ARTIGO MUITO BOM - Gestão de Riscos em Tecnologia Da Informação Como Fator Critico de Sucesso.

______________________________________________
Edifcio da Biblioteca Central (BCE), Entrada Leste, Mezanino, Sala 211, Campus Universitrio Darcy Ribeiro, Asa Norte, Braslia/DF Cep:
70.910-900 Telefax: +55 (61) 3107 2632 Tel: +55 (61) 3107 2633 e-mail: pgcinf@unb.br
Universidade de Braslia - UnB
Faculdade de Economia Administrao e Cincia da Informao e Documentao - FACE
Departamento de Cincia da Informao CID
Programa de Ps-Graduao em Cincia da Informao PPGCinf

Gesto de Riscos em Tecnologia da Informao como fator crtico de
sucesso na Gesto da Segurana da Informao dos rgos da
Administrao Pblica Federal: estudo de caso da Empresa Brasileira de
Correios e Telgrafos ECT

Luiz Fernando Costa Pereira da Silva

Braslia 2010
______________________________________________

Edifcio da Biblioteca Central (BCE), Entrada Leste, Mezanino, Sala 211, Campus Universitrio Darcy Ribeiro, Asa Norte, Braslia/DF
Cep: 70.910-900 Telefax: +55 (61) 3107 2632 Tel: +55 (61) 3107 2633 e-mail: pgcinf@unb.br

Luiz Fernando Costa Pereira da Silva

Gesto de Riscos em Tecnologia da Informao como fator crtico de
sucesso na Gesto da Segurana da Informao dos rgos da
Administrao Pblica Federal: estudo de caso da Empresa Brasileira de
Correios e Telgrafos ECT

Dissertao apresentada banca
examinadora como requisito parcial
obteno do Ttulo de Mestre em Cincia da
Informao pelo Programa de Ps-Graduao
em Cincia da Informao do Departamento
de Cincia da Informao e Documentao da
Universidade de Braslia.

Orientador: Prof. Dr. Renato Tarciso
Barbosa de Sousa

Braslia 2010
Len
a Faculdade de Cincia da Informao (FCI)
Una Programa de Ps-Graduao em Cincia da Informao - PPGCInf
FOLHA DE APROVAO
Ttulo: "Gesto de Riscos em Tecnologia da Informao corno fator crtico de sucesso
na Gesto da Segurana da Informao dos rgos da Administrao Pblica Federal:
estudo de caso da Empresa Brasileira de Correios e Telgrafos (ECT)"
Autor: Luiz Fernando Costa Pereira da Silva
rea de concentrao: Transferncia da Informao
Linha de pesquisa: Gesto da Informao e do Conhecimento
Dissertao submetida Comisso Examinadora designada pelo Colegiado do
Programa de Ps-Graduao em Cincia da Informao do Departamento de Cincia da
Informao e Documentao da Universidade de Braslia corno requisito parcial para
obteno do ttulo de Mestre em Cincia da Informao.
Dissertao aprovada em: 24 de maio de 2010.
Aprovado por:
(...<.,c.
Prof. Dr. Renato Tarciso Barbosa de 8 usa
Presie (UnB/PPGCINF)
/14,17f
P of. Dr. Rogrio ritp,Arajo J or
mbro Interne: /PPGel,)
Eis
A
Go
r. Miguel
ernbro Ex n
o Ferreira-d Oliveira
(CEF)
Prof." Dr". Lillian Maria Araujo de Rezende Alvares
Suplente (UnB/CID)
Edifcio da Biblioteca Central (BCE) - Entrada Leste - Campos Universitrio Darcy Ribeiro - Asa NO110 - Braslia. DF
CEP 70910.900 -+55 (61) 3102-2632 - Telefax: 55 (61) 3107 2633 - E-mail: ocin teun b br

minha Me, Tereza Costa Pereira da Silva, pela dedicao e
exemplo de vida, que fazem tudo valer a pena.

Agradecimentos

Ao Prof. Dr. Renato Tarciso, meu orientador, pela pacincia e
orientao segura at a concluso desta.

Aos professores e colegas do Programa de Ps-Graduao em Cincia
da Informao do Departamento de Cincia da Informao e Documentao da
Universidade de Braslia, pelas valorosas aulas e discusses.

A Jucilene e Martha, da Secretaria de Ps-Graduao do CID/UnB, pela
disposio e presteza no trato dos assuntos "burocrticos".

Aos meus irmos, Jnior e Vincius, e irm, Luciana, pelo carinho
famlia.

Mariana pelo amor, pacincia e companheirismo.

Aos meus amigos da ECT Ricardo, Juliana, Nara, Cristiano e Nassif
pelo incentivo e apoio nas minhas ausncias.

A todos aqueles que, direta ou indiretamente, contriburam para a
concluso desta.

Resumo
Este estudo visa investigar o contexto da segurana da informao e da gesto de
riscos no ambiente da Empresa Brasileira de Correios e Telgrafos (ECT). Parte-se do
pressuposto de que a ECT, ambiente emprico da pesquisa, assim como a maioria dos
rgos da Administrao Pblica Federal, no tem conhecimento suficiente sobre
Gesto de Riscos para implementar uma Gesto de Segurana da Informao
eficiente e eficaz. A empresa carece de uma orientao especfica sobre o que fazer
e como fazer acerca da implementao de uma Gesto de Riscos em Tecnologia da
Informao que fomente a Gesto de Segurana de suas informaes. O estado
pouco desenvolvido em que se encontra os rgos da Administrao Pblica Federal,
tanto em nvel de conhecimento quanto no tocante s implementaes de sua Gesto
de Riscos em Tecnologia da Informao, faz com que as orientaes governamentais
tenham que ser baseadas na mera aplicao das melhores prticas de Segurana da
Informao adotadas nacional e internacionalmente. A pesquisa de carter qualitativo
e exploratrio, envolvendo pesquisa bibliogrfica, pesquisa documental e estudo de
caso no ambiente da ECT, tem por objetivo verificar aes que tornam mais eficiente o
processo de Gesto de Segurana da Informao, no mbito da Administrao Pblica
Federal (APF), a partir da Gesto de Riscos em Tecnologia da Informao,
considerando a poltica, o comportamento e a cultura informacional.

Palavras-chave
Gesto de Risco em Tecnologia da Informao; Gesto da Segurana da Informao;
Administrao Pblica Federal; Gesto da Informao; Empresa Brasileira de Correios
e Telgrafos (ECT).

Abstract
Studies aimed at investigating the context of information security and of risk
management in the environment of the Brazilian Agency for Post and Telegraphs
(ECT). It has been assumed that the ECT, empirical environment of this research, and
most organizations of the Federal Public Administration, is not aware enough about
Risk Management to implement an Information Security Management efficiently and
effectively. The company lacks of the one specific guidance about what to do" and
"how to do" for the implementation of Risk Management in Information Technology to
promote the Security Management of your informations. The inceptive state where the
organizations of the Federal Public Administration, both at the level of knowledge as
regards the implementation of Risk Management in Information Technology, makes the
government guidelines have to be based on application best practices of Information
Security adopted nationally and internationally. The research qualitative and
exploratory in nature, involving literature research, documentary research and case
study in the ECTs environment aims to verify actions that make more efficient the
process of Information Security Management within the Federal Public Administration
(APF) from the Risk Management in Information Technology, considering the policy,
behavior and culture information.

Keywords
Risk Management in Information Technology, Information Security Management,
Federal Public Administration, Information Management, Brazilian Post and Telegraphs
(ECT).

Lista de Figuras

Figura 1 - Esquema da pesquisa ................................................................................ 21
Figura 2 - Ciclo de vida da informao........................................................................ 29
Figura 3 - Ciclo de vida da informao nas organizaes ........................................... 29
Figura 4 - A classificao da Informao segundo a sua finalidade ............................ 38
Figura 5 - Fatores econmicos de produo............................................................... 40
Figura 6 - Classificao da Informao....................................................................... 45
Figura 7 - Objetos de Estudo da CI e da SI................................................................. 50
Figura 8 - Ciclo de vida da informao e Segurana da Informao ........................... 52
Figura 9 - Diagrama de Ishikawa: fatores que interferem na SI................................... 55
Figura 10 - Os pilares da Segurana da Informao................................................... 56
Figura 11 - Diagrama de Causas e Efeitos ................................................................. 78
Figura 12 - Matriz de Responsabilidades.................................................................... 86
Figura 13 Relacionamento entre os termos associados ao risco para a SI .............. 87
Figura 14 - Modelo de Gesto de Riscos.................................................................... 88
Figura 15 - Processo de gesto de riscos de segurana da informao ..................... 89
Figura 16 - Definio do contexto ............................................................................... 90
Figura 17 - Anlise/avaliao de riscos de segurana da informao......................... 91
Figura 18 - A atividade de tratamento do risco............................................................ 92
Figura 19 - Ciclo de criao da Poltica de Segurana da Informao da ECT ........... 96
Figura 20 Perigos x Riscos associados confidencialidade, integridade e
disponibilidade das informaes............................................................................... 107
Figura 21 - Diagrama de Ishikawa - Desastres Naturais ........................................... 108
Figura 22 - Diagrama de Ishikawa - Falhas no Ambiente Fsico ............................... 109
Figura 23 - Diagrama de Ishikawa - Furto................................................................. 109
Figura 24 - Diagrama de Ishikawa - Malware............................................................ 110
Figura 25 - Diagrama de Ishikawa - Hacking ............................................................ 110
Figura 26 - Diagrama de Ishikawa - Cdigos Ocultos ............................................... 111
Figura 27 - Diagrama de Ishikawa - Falha de Hardware ........................................... 111
Figura 28 - Diagrama de Ishikawa - Falha de Software............................................. 112
Figura 29 - Diagrama de Ishikawa - Erro Humano .................................................... 112
Figura 30 - Matriz de Probabilidade e Impacto Classificao da Probabilidade...... 114
Figura 31 - Matriz de Probabilidade e Impacto Nvel de Impacto ........................... 116
Figura 32 - Matriz Impacto X Probabilidade .............................................................. 117

Lista de Abreviaturas e Siglas

ABNT Associao Brasileira de Normas Tcnicas
AE Ambiente Externo
AI Ambiente Interno
APF Administrao Pblica Federal
BS British Standart
Cc Custo consequncia
CC Common Criteria
CI Cincia da Informao
COSO Committee of Sponsoring Organizations of the Treadway Commission
CP Custo Provvel
DITEC Diretoria de Tecnologia da Empresa Brasileira de Correios e Telgrafos
ECT Empresa Brasileira da Correios e Telgrafos
FERMA Federation of European Risk Management Associations
FR Fatores de Riscos
GEI Gesto Estratgica da Informao
GP Grau de Probabilidade
GSI Gabinete de Segurana Institucional da Presidncia da Repblica
ISO/IEC - International Organization for Standardization / International Eletrotechinical
Commision
ITSEC Information Technology Security Evaluation Criteria
MO Meios Organizacionais
MTA Meios Tcnicos Ativos
MTP Meios Tcnicos Passivos
PE Perda Esperada
PNPC Programa Nacional de Proteo ao Conhecimento
Rc Reduo de dinheiro em caixa
ROI Return of Investiment retorno de investimentos
SI Segurana da Informao
Sp Substituio permanente
St Substituio temporria
TI Tecnologia da Informao

Sumrio

Introduo............................................................................................................... 11

Parte I Requisitos Pr-pesquisa
1. Problema da pesquisa..................................................................................... 13
2. Justificativa ..................................................................................................... 18
3. Objetivos......................................................................................................... 22
3.1. Geral ............................................................................................................ 22
3.2. Especficos................................................................................................... 22
4. Hiptese.......................................................................................................... 22
5. Metodologia..................................................................................................... 22

Parte II Reviso de Literatura e Fundamentos
6. Informao...................................................................................................... 24
6.1. Definio de informao............................................................................... 24
6.2. Ciclo de vida da informao ......................................................................... 28

7. Gesto Estratgica da Informao (GEI)......................................................... 31
7.1. O que estratgia?...................................................................................... 31
7.2. Necessidade de segurana da informao................................................... 32
7.2.1. Informao como fator estratgico........................................................... 32
7.2.2. Informao como ativo de valor histrico para a organizao.................. 40
7.3. Classificao da informao......................................................................... 42

8. Segurana da informao ............................................................................... 46
8.1. Definio de segurana da informao ........................................................ 46
8.2. Atributos da segurana da informao ......................................................... 47
8.2.1. Confidencialidade.................................................................................... 47
8.2.2. Integridade .............................................................................................. 48
8.2.3. Disponibilidade ........................................................................................ 48
8.2.4. Autenticidade........................................................................................... 49
8.2.5. No repdio............................................................................................. 49
8.2.6. Legalidade............................................................................................... 49
8.3. Segurana da informao e a Cincia da Informao .................................. 49
8.4. Pilares da segurana da informao ............................................................ 52
8.4.1. Pessoas .................................................................................................. 52

8.4.2. Processos................................................................................................ 53
8.4.3. Tecnologia............................................................................................... 54
8.4.4. A relao entre os pilares da segurana da informao .......................... 55
8.5. Arcabouo normativo e padres de segurana da informao ..................... 56
8.5.1. Information Technology Security Evaluation Criteria - ITSEC.................. 57
8.5.2. Common Criteria for Information Technology Security Evaluation ........... 57
8.5.3. COBIT (Control Objectives for Information and Related Technology) ...... 58
8.5.4. BS 7799 e ISO/IEC 17799....................................................................... 58
8.5.5. ABNT NBR ISO/IEC 27001:2006............................................................. 58
8.5.6. ABNT NBR ISO/IEC 27005 ..................................................................... 59
8.5.7. ISO Guide 73 Risk management Vocabulary Guidelines for Use in
Standard 59
8.5.8. ISO 13335 Guidelines for the Management of IT Security .................... 60
8.6. Arcabouo legal de Segurana da Informao............................................. 60

9. Gesto de Riscos............................................................................................ 64
9.1. Definio de Gesto de Riscos .................................................................... 64
9.2. Termos relacionados gesto de riscos ...................................................... 67
9.3. Componentes do risco.................................................................................. 70
9.3.1. Ameaa................................................................................................... 70
9.3.2. Vulnerabilidade........................................................................................ 71
9.3.3. Impacto ................................................................................................... 71
9.3.4. Incidente.................................................................................................. 71

10. Mtodos de Anlise de Riscos Organizacionais .............................................. 71
10.1. Mtodo de Mosler......................................................................................... 72
10.2. Mtodo de T. Fine ........................................................................................ 74
10.3. Diagrama de Causa e Efeito (Diagrama de Ishikawa) .................................. 77
10.4. Diagrama de rvore ..................................................................................... 79
10.5. Tcnica de Brainstorming............................................................................. 79
10.6. Brainstorming inverso (ou invertido) ............................................................. 79
10.7. Brainswriting................................................................................................. 80
10.8. Brainswriting inverso (ou invertido)............................................................... 80
10.9. Mapa mental ................................................................................................ 80
10.10. Diagrama de Pareto ..................................................................................... 80
10.11. Matriz de Prioridades.................................................................................... 81
10.12. Tcnica de Painel e de Delfos...................................................................... 81

10.13. Tcnica de Anlise Associativa e de Cenrios ............................................. 81
10.14. Mtodo Brasiliano......................................................................................... 82

11. Gesto de riscos de segurana da informao................................................ 87
11.1. Etapas do processo de gesto de riscos de segurana da informao ........ 90
11.1.1. Definio do contexto.............................................................................. 90
11.1.2. Anlise/avaliao de riscos de segurana da informao........................ 90
11.1.3. Tratamento do risco................................................................................. 91
11.1.4. Aceitao do risco ................................................................................... 92
11.1.5. Monitorao e anlise crtica de riscos.................................................... 93
11.1.6. Comunicao do risco............................................................................. 93

12. Concluso da Reviso de Literatura e Fundamentos ...................................... 94

Parte III Estudo de Caso
13. Diagnstico do processo de gesto de segurana da informao e gesto de
risco na ECT........................................................................................................... 96

14. Identificao dos espaos informacionais dos usurios e riscos aos ativos de
informao da ECT............................................................................................... 101

15. Estudo de aes para nortear o processo de Gesto de Segurana da
Informao e proposta de modelo sistmico para a Gesto de Riscos que norteie a
Gesto de Segurana da Informao.................................................................... 103
15.1. Base normativa .......................................................................................... 103
15.2. Ambiente.................................................................................................... 103
15.3. Estratgias e Polticas................................................................................ 104
15.4. Metodologia de Gesto de Segurana da Informao................................ 104
15.5. Modelo de Gesto de Riscos...................................................................... 104
15.6. O emprego de metodologia de anlise de risco.......................................... 105
15.6.1. Avaliao dos perigos analisados.......................................................... 117
15.6.1.1. Desastres naturais............................................................................. 117
15.6.1.2. Falha no ambiente fsico.................................................................... 118
15.6.1.3. Furto.................................................................................................. 118
15.6.1.4. Malware............................................................................................. 118
15.6.1.5. Hacking ............................................................................................. 118
15.6.1.6. Falha de Hardware ............................................................................ 119

15.6.1.7. Falha de Software.............................................................................. 119
15.6.1.8. Erro Humano ..................................................................................... 119

16. Concluso..................................................................................................... 120

Referncias Bibliogrficas..................................................................................... 123

Anexos
Anexo 1 Diretrizes da Poltica de Segurana da Informao da ECT................. 137
Anexo 2 Estrutura da Norma de Segurana da Informao da ECT .................. 139
Anexo 3 Instruo Normativa GSI n
o
1, de 13 de junho de 2008........................ 143
Anexo 4 Norma Complementar n02/IN01/DSIC/GSIPR.................................... 147
Anexo 5 Mtodo e questionrio de captura de informaes utilizados no estudo de
caso ECT. ............................................................................................................. 154

11

Introduo

Em 07 de agosto de 2007, o Gabinete de Segurana da Informao da
Presidncia da Repblica, por meio da portaria da Secretaria Executiva do Conselho
de Defesa Nacional, instituiu um grupo de trabalho composto por representantes de
diversos rgos e entidades da Administrao Pblica Federal
1
. O grupo de trabalho
tinha o objetivo de aperfeioar e propor a padronizao de normas e procedimentos de
Gesto de Segurana da Informao aplicveis Administrao Pblica.
As reunies e os debates dos representantes evidenciaram a
necessidade de criao de um modelo para a Gesto de Segurana da Informao e
de uma metodologia de Gesto de Riscos que permitam empregar os recursos
destinados segurana da informao de maneira mais eficiente e eficaz, no mbito
da Administrao Pblica Federal APF.
Constatou-se ainda que, no raramente, se tem, nos rgos da APF, a
impresso de que a melhoria nos processos de segurana da informao depende
nica e exclusivamente de investimentos generalizados em equipamentos de
hardware e software. No entanto, as experincias tm demonstrado que o
investimento em recursos de Tecnologia da Informao nem sempre traz o retorno
desejado.
De acordo com o Committee of Sponsoring Organizations of the
Treadway Commission COSO

a premissa inerente ao gerenciamento de riscos corporativos que toda
organizao existe para gerar valor s partes interessadas. Todas as
organizaes enfrentam incertezas, e o desafio de seus administradores
determinar at que ponto aceitar essa incerteza, assim como definir como essa
incerteza pode interferir no esforo para gerar valor s partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou
agregar valor. O gerenciamento de riscos corporativos possibilita aos
administradores tratar com eficcia as incertezas, bem como os riscos e as
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar
valor. (Coso, 2007)

nesse contexto que se encontra a motivao para a realizao desta
pesquisa, uma vez que as qualidades inerentes ao gerenciamento de riscos
corporativos, apesar de incipientes nas organizaes pblicas, podem ajudar os
administradores pblicos a atingirem as metas de desempenho da organizao, e

1
Advocacia Geral da Unio, Controladoria Geral da Unio, Ministrio da Agricultura, Pecuria e Abastecimento,
Ministrio das Cidades, Ministrios das Comunicaes, Ministrio da Defesa, Ministrio do Desenvolvimento Industrial
e Comrcio Exterior, Ministrio da Educao, Ministrio da Justia, Ministrio das Minas e Energia, Ministrio da
Previdncia Social, Ministrio da Sade, Ministrio do Trabalho e Emprego, Comando da Marinha, Comando da
Aeronutica, Banco Central do Brasil, Caixa Econmica Federal, Empresa Brasileira de Correios e Telgrafos, Infraero
e Empresa Brasileira de Pesquisa Agropecuria

12
evitar a perda de recursos. Adicionalmente, o gerenciamento de riscos corporativos
pode contribuir para assegurar a comunicao eficaz e o cumprimento de leis e
regulamentos, bem como evitar danos reputao da organizao e suas
conseqncias.
Em suma, o gerenciamento de riscos corporativos pode ajudar a
organizao a atingir seus objetivos, com economia de recursos evitando os perigos e
surpresas em seu negcio.
Quando as organizaes estabelecem estratgias e traam objetivos
para alcanar o equilbrio entre as metas de crescimento e de retorno de investimentos
(ROI), assim como os riscos a elas associados, conseguem explorar seus recursos
com mais eficcia e eficincia e maximizar a gerao de valores.
O gerenciamento de riscos corporativos tem por finalidade:
alinhar a tolerncia a risco com a estratgia adotada;

fortalecer as decises em resposta aos riscos;

reduzir as surpresas e prejuzos operacionais;

identificar e administrar riscos mltiplos e entre empreendimentos;

aproveitar oportunidades;

otimizar o capital.

13
Parte I Requisitos Pr-pesquisa
1. Problema da pesquisa
A informao um ativo essencial para os negcios de uma
organizao e, como qualquer outro ativo dessa natureza, precisa ser adequadamente
protegido, independente da forma como se apresenta ou do meio pelo qual
compartilhado e/ou armazenado.
A importncia da informao pode ser observada se considerarmos a
transformao radical ocorrida no perfil do trabalho exercido pela mo-de-obra nas
diversas atividades produtivas de um pas. O trabalho intensivo foi sendo substitudo
pela mecanizao crescente das tarefas componentes dos processos de produo e
transporte, o que permitiu, ao longo dos anos, extraordinrios ganhos de
produtividade.
Drucker (1991), analisando o perfil da mo-de-obra existente nos pases
desenvolvidos, constata que apenas 20% de seu total se dedicam diretamente a
tarefas operacionais. O restante, 80%, so trabalhadores intelectuais e de servios
cujo elemento de trabalho a informao. Dessa forma, conclui que a eficcia do
tratamento da informao o elemento crtico da atividade desses trabalhadores.
Lesca e Almeida (1994) apresentam diversos argumentos para justificar
a importncia da informao para o desempenho das organizaes contemporneas.
Um dos mais conhecidos o da informao como um elemento redutor de incertezas,
importante na tomada de decises estratgicas pertinentes, de melhor qualidade e no
momento mais adequado.
Outro argumento aborda a informao como fator de produo
importante para projetar e introduzir no mercado produtos e servios de maior valor
agregado. Assim, numa sociedade onde os fatores de produo tradicionais, como
energia, tecnologia da informao, mo-de-obra e recursos financeiros, passam a no
ser recursos garantidores da vantagem competitiva, a informao figura como fator de
produo importante para as organizaes.
Sob a tica da sinergia organizacional, constata-se que o desempenho
de uma organizao est condicionado qualidade das ligaes e relaes entre as
unidades que a constituem. A informao um vetor estratgico importante, pois
permite multiplicar a sinergia dos esforos, ao passo que, se mal utilizada, pode anular
o resultado de conjunto dos esforos. Consequentemente, alm de se preocuparem
com o modo como suas atividades so coordenadas, as empresas deveriam estar
sempre atentas para a eficcia dos fluxos de informao por meio dos quais se
realizam as interdependncias organizacionais.
A informao como fator determinante de comportamento tambm

14
uma das razes para consider-la essencial s estratgias das organizaes
contemporneas. No meio social, a informao tem por sentido exercer influncia
sobre o comportamento dos indivduos e dos grupos. No ambiente organizacional
interno, a informao pode influenciar o comportamento dos indivduos para que suas
aes sejam condizentes com os objetivos da empresa. Externamente, a informao
pode influenciar o comportamento dos atores clientes, fornecedores, parceiros e
concorrentes de modo que seja favorvel aos objetivos da empresa.
As empresas so cada vez mais globais e operam em vrios lugares e
culturas diferentes, o que exige mltiplas habilidades e capacidade de adaptao.
Com isso, preliminarmente, ressalta-se a preocupao em garantir recursos e polticas
de Segurana da Informao como fatores de salvaguarda de dados e informaes.
Nesse contexto, a utilizao de polticas corporativas de segurana da informao
auxilia as organizaes a impedir que os concorrentes recolham com sucesso suas
informaes estratgicas, diferenciais e secretas, controlando as informaes
sensveis.
O fato que no existe segurana total. As organizaes e seus
sistemas de informao esto vulnerveis a diversos tipos de ameaas segurana
da informao e a explorao dessas vulnerabilidades se torna, a cada dia, mais
comum e sofisticada.
Segundo Smola (2005), o que torna algo mais ou menos seguro a
gesto de uma srie de fatores dentre os quais: poltica corporativa de segurana da
informao; abordagem e estrutura de segurana da informao alinhada cultura
organizacional; comprometimento de todos os nveis gerenciais; conscientizao dos
envolvidos nos processos organizacionais; gesto de riscos.
O foco da mdia em torno de acontecimentos envolvendo fraudes
eletrnicas, sabotagens, espionagens, ataques de hackers e vrus eletrnicos tem
impactado o comportamento de executivos da maioria das organizaes que, no
raramente, tm sua imagem e credibilidade questionadas em razo desses incidentes.
A preocupao com a gesto de uma poltica corporativa de segurana da informao
assume um papel especialmente importante para os negcios.
O destaque dado s consequncias da ausncia de uma poltica
corporativa de Segurana da Informao - que garanta a proteo dos sistemas de
informao contra a negao de servios a usurios autorizados, assim como contra a
intruso e a modificao desautorizada de dados ou informaes corrobora na
conscientizao de que algo precisa ser feito. No entanto, a urgncia em resolver a
questo tem levado organizaes a adotarem medidas paliativas que no atuam na
raiz do problema, ou seja, no prezam pela criao e/ou atualizao da poltica

15
corporativa de segurana da informao. Em alguns casos, o cenrio ainda pior,
pois, alm de no resolverem o problema, essas medidas mascaram pontos crticos
dando margem a um falso sentimento de segurana.
Podemos observar empiricamente essa situao em parte dos rgos
da Administrao Pblica Federal (APF), por meio de troca de experincias com os
representantes daquelas entidades que fazem parte do Grupo de Trabalho do
Gabinete de Segurana da Informao da Presidncia da Repblica.
Pode-se perceber, a partir dos contatos estabelecidos, que esses
rgos no contam com conhecimento suficiente para implementar uma estrutura
eficiente de gesto de segurana da informao.
Segundo Hilgenberg (2005), o governo brasileiro, por meio da
proposio de leis e decretos que levaram a normatizao de procedimentos de
salvaguarda s informaes, manifestou sua preocupao relacionada com a
preservao de informaes sensveis. De acordo com o autor, informaes sensveis
so aquelas que merecem tratamentos especiais quanto a sua confidencialidade,
integridade e disponibilidade.
Dentre os documentos propostos, destacam-se:
Lei n 8.159, de 8 de janeiro de 1991 dispe sobre a poltica
nacional de arquivos pblicos e privados;
Lei n 9.983, de 14 de julho de 2000 altera o Cdigo Penal,
inserindo penas para quem altera ou permita alterar dados em
sistemas de informao;
Lei Complementar n 105, de 10 de janeiro de 2001 dispe
sobre o sigilo das operaes de instituies financeiras;
Decreto 3.505, de 13 de junho de 2000 institui a Poltica de
Segurana da Informao nos rgos e entidades da
Administrao Pblica Federal, sendo que dois outros decretos
foram publicados posteriormente visando ajustar detalhes, foram
estes os Decretos 5.110, de 18 de junho de 2004, e 5.495, de 20
de julho de 2005; e
Decreto 4.553, de 27 de dezembro de 2002 dispe sobre a
salvaguarda de dados, informaes, documentos e materiais
sigilosos de interesse da segurana da sociedade e do Estado,
no mbito da Administrao Pblica Federal.

O Programa Nacional de Proteo ao Conhecimento (PNPC) a
concretizao da funo da Agncia Brasileira de Inteligncia ABIN, descrita na Lei

16
n 9.883/1999, sendo tambm conseqncia da aprovao da Poltica de Segurana
da Informao, que atende tanto as empresas pblicas quanto particulares, pois visa
proteo de conhecimentos sensveis, estratgicos para a economia nacional.
Em 13 de junho de 2008, foi publicada no Dirio Oficial da Unio a
Instruo Normativa GSI/PR n
o
1. Elaborada pelo Gabinete de Segurana Institucional
da Presidncia da Repblica, a instruo disciplina a Gesto de Segurana da
Informao e Comunicaes na Administrao Pblica Federal.
Essas publicaes compem parte do arcabouo legal que configura a
salvaguarda da informao no governo brasileiro.
Vale ressaltar a existncia de algumas referncias que, ao longo dos
anos, vm moldando os conceitos e as ferramentas de Segurana da Informao,
dentre as quais podemos destacar:

BS 7799 Publicada em1995 pela Brithish Standart, uma
norma padro de Segurana da Informao. Divide-se em duas
partes, sendo a primeira homologada em 2000 e a segunda em
2002. A BS 7799 a base de gesto de Segurana da
Informao usada por diversas metodologias de Governana e
Gesto de TI e assim como a maioria das normas de segurana,
focaliza trs pontos principais para garantir a Segurana da
Informao: a confidencialidade, a integridade e a
disponibilidade;

ABNT NBR ISO/IEC 27001:2006: Elaborada no Comit
Brasileiro de Computadores e Processamento de Dados, pela
Comisso de Estudo de Segurana Fsica em Instalaes de
Informtica, esta norma uma traduo idntica da ISO
27001:2005, que foi elaborada pelo Join Technical Commitee
Information Technology, subcommitee IT Security Tecchniques e
que constitui primeiro padro da famlia de Segurana da
Informao relacionado aos padres ISO que espera-se sejam
agrupados srie 27000; e

ABNT NBR ISO/IEC 17799:2005: Publicada em 2005 pela
Associao Brasileira de Normas Tcnicas e equivalente a
norma publicada em 2000 e revisada em 2005 pelo International
Organization for Standardization e pelo International

17
Eletrotechinical Commision, uma norma de Segurana da
Informao que traz um conjunto de recomendaes para
prticas para a gesto da Segurana da Informao.

Embora as informaes sob custdia do Estado exijam um tratamento
especial para sua proteo, os rgos da Administrao Pblica Federal, em sua
maioria, no possuem uma poltica de segurana da informao e nem um processo
corporativo de gesto de segurana de suas informaes (Gabinete de Segurana
Institucional da Presidncia da Repblica GSI, 2006).
A Empresa Brasileira de Correios e Telgrafos (ECT), ambiente
emprico deste estudo, possui uma histria de atuao social e de tratamento com a
informao que corresponde crescente transformao histrica do prprio Pas.
No Brasil, a histria postal tem incio no perodo colonial com a chegada
de Pedro lvares Cabral, em 1500, quando Pero Vaz de Caminha escreveu e enviou a
primeira correspondncia oficial ligada ao pas. No Perodo Imperial, D. Pedro I
reorganizou os Correios do Brasil de maneira independente e iniciou o processo de
criao de administraes de correios nas provncias. O Perodo Republicano
representou para o servio postal brasileiro um perodo de modernizao, decorrente
da aquisio de novas mquinas e da evoluo dos transportes (implantao do
Correio Areo). Tal modernizao resultou na ampliao da rea de atuao interna e
externa dos Correios e permitiu a expanso dos servios postais s populaes de
todas as regies do Pas.
A Revoluo de 30 causou alteraes profundas na estrutura poltico-
administrativa do Pas e acabou atingindo o setor postal. Em 1931, o ento presidente
Getlio Vargas baixou o decreto que fundia a Direo-Geral dos Correios com a
Repartio-Geral dos Telgrafos. Originava-se assim o Departamento de Correios e
Telgrafos, subordinado ao Ministrio da Viao e Obras Pblicas.
Em 20 de maro de 1969, por meio da Lei n
o
509, a Empresa Brasileira
de Correios e Telgrafos (ECT) foi criada como empresa pblica vinculada ao
Ministrio das Comunicaes.
Atualmente, a Empresa Brasileira de Correios e Telgrafos possui uma
estrutura organizacional composta por uma Administrao Central, formada pelo
Conselho Fiscal, Conselho de Administrao, Presidncia e seis Diretorias, e 28
Diretorias Regionais, com atuao nos estados brasileiros.
Um departamento da Diretoria de Tecnologia (DITEC) responsvel
pela gesto da poltica de segurana da informao da ECT, o que lhe confere um
aporte com foco em Tecnologia da Informao e desconsidera aspectos corporativos

18
pertinentes s demais diretorias, tais como: comercial, econmico-financeiro e de
pessoal.
O problema que motiva esta pesquisa surgiu com o aumento da
complexidade organizacional somado crescente demanda de informaes das quais
depende a Empresa Brasileira de Correios e Telgrafos. Tais fatores evidenciam a
necessidade da ECT e dos demais rgos, que suportam a gesto do Estado, de
conhecerem e implementarem, de forma abrangente, sua poltica de segurana da
informao e o processo corporativo de gesto de segurana da informao. Porm, o
estado incipiente em que se encontram, no tocante segurana da informao, faz
com que as primeiras orientaes governamentais tenham que ser simples, factveis e
alinhadas com as melhores prticas de mercado.
Nesta pesquisa, investigaremos as possveis respostas para a seguinte
questo: Como utilizar a Gesto de Risco em Tecnologia da Informao (TI) para
entender os riscos que afetam os negcios dos rgos da Administrao Pblica
Federal e definir uma Gesto de Segurana da Informao eficiente?

2. Justificativa
A Intel, ao lanar no mercado o microprocessador, desencadeou uma
srie de inovaes tecnolgicas microcomputadores, servios de rede, aplicativos
empresariais, internet que transformaram o mundo dos negcios. Hoje, aceita
como vlida a ideia de que a Tecnologia da Informao (TI) uma das peas-chave
da engrenagem comrcio. A TI atua como pilar de sustentao das operaes
empresariais, une entes distantes de cadeias de fornecimento e, cada vez mais, liga
empresas a clientes.
Com a expanso do poder e da presena da TI, o empresariado
(pblico e privado) cada vez mais a encara como um recurso essencial para o
sucesso. Este fato fica claramente evidenciado se analisarmos o investimento de
capital das empresas. Dcadas atrs, os executivos menosprezavam a utilizao do
computador. Hoje, isso mudou. Presidentes de empresas agora falam rotineiramente
sobre o valor estratgico da tecnologia da informao e as maneiras de utiliz-la para
obter vantagens competitivas.
Por trs da mudana de mentalidade reside uma premissa simples: a de
que com o aumento da capacidade de processamento e da presena da TI aumentou
tambm seu valor estratgico. uma premissa razovel, mas, atualmente,
questionvel. Questionvel porque as funes bsicas da TI armazenamento,
processamento e transporte de dados esto disponveis e acessveis maioria. Seu

19
poder e sua presena comeam a transform-los de recursos potencialmente
estratgicos em fatores de produo padronizados. Esto virando custos de operao
que precisam ser pagos por todos, mas no oferecem distino a ningum.
Para Carr (2003),

[...] o que torna um recurso realmente estratgico o que o capacita a servir de
base para uma vantagem competitiva sustentada no sua ubiqidade, mas
sua escassez. S ganha uma vantagem sobre os rivais aquele que tem ou faz
algo que os outros no tm ou no fazem.

Analisando a utilizao e a padronizao de recursos infra-estruturais
anteriores (energia eltrica e ferrovias) nos processos de produo, Carr (2003)
destaca: Quando um recurso se torna essencial para a competio, mas irrelevante
para a estratgia, os riscos que cria passam a importar mais do que as vantagens que
oferece.
Os riscos operacionais associados TI so muitos panes tcnicas,
interrupo de servio, obsolescncia, falhas de segurana, fornecedores ou parceiros
no confiveis, dentre outros. Hoje, um distrbio de TI pode tornar uma empresa
incapaz de produzir seus bens, prestar seus servios e conectar-se com clientes.
Pode, alm disso, manchar sua reputao. Mas poucas empresas agem com rigor
para identificar e amenizar suas vulnerabilidades.
As organizaes continuam investindo na realizao de atualizaes
generalizadas de hardware e software para aumentar a segurana de seus ativos de
informao. Grande parte desse gasto movida por estratgias dos fornecedores.
Grandes empresas fornecedoras de hardware e software tornaram-se mestres na arte
de vender novos recursos e funes de forma a forar as empresas, principalmente
aquelas da Administrao Pblica Federal, a comprar novos computadores, aplicativos
e equipamentos de rede com frequncia muito maior do que precisam.
Para Carr (2003), incomum uma empresa ganhar uma vantagem
competitiva graas ao uso distinto de uma tecnologia infra-estrutural madura. Em
contrapartida, a interrupo na disponibilidade da tecnologia, por mnima que seja,
pode ser devastadora. Logo, uma empresa precisa se preparar para panes tcnicas,
quedas no servio e violaes da segurana, transferindo sua ateno de
oportunidades para a preveno de vulnerabilidades.
O segredo do sucesso passa por um modelo de Gesto da Segurana
da Informao bem definido para cada tipo de risco. Ao tratar a questo da segurana
pelo vis da gesto de riscos, o gestor consegue aproximar o assunto da estratgia de

20
negcios. De acordo com o Instituto Gartner
2
, o nvel de segurana adequado
proporcional ao grau de risco, que por sua vez vai direcionar o volume de
investimentos que a empresa aceita fazer. Nivelar os gastos pelo valor mais alto em
segurana de TI pode no ser a deciso mais acertada. importante mensurar o
impacto das ameaas do ponto de vista dos processos. Um determinado nvel de risco
pode ser aceitvel, enquanto outro precisa ser evitado a todo custo e, portanto,
demanda um desembolso maior.
No entanto, a Empresa Brasileira de Correios e Telgrafos, assim como
a maioria dos rgos da Administrao Pblica Federal:
a. no conta com conhecimento sobre Gesto de Riscos em TI
suficiente para implementar uma Gesto de Segurana da
Informao eficiente e eficaz;
b. carece de uma orientao especfica sobre o que fazer e
como fazer a respeito da implementao de uma Gesto de
Riscos em TI que fomente a Gesto de Segurana de suas
informaes. Mesmo aqueles rgos que tm implementaes
na rea, no contam com amparo legislativo e normativo
suficientes que definam uma estratgia de Estado sobre o
assunto;
c. est num estado incipiente, seja a respeito do nvel de
conhecimento seja no tocante s implementaes de sua
Gesto de Riscos em TI, que faz com que as primeiras
orientaes governamentais tenham que ser simples e factveis,
mantida a compatibilidade com as melhores prticas sobre
Segurana da Informao adotadas nacional e
internacionalmente;
d. deve possuir um sistema de operao que, alm de traar
rumos, monitorar aes e adequar desvios, deve estar
hierarquicamente subordinada alta administrao da
organizao.

necessria uma anlise cuidadosa das questes relacionadas
Gesto de Risco em TI e Gesto de Segurana da Informao da Empresa. A
melhoria desses processos poder contribuir com o cumprimento de sua ampla
misso institucional, que "facilitar as relaes pessoais e empresariais mediante a

2
Fundado em 1979, o Instituto Gartner tem sede em Stamford, e possui 3.700 associados, sendo 1.200 analistas de
pesquisa e consultores em mais de 75 localidades em todo o mundo. Dedica-se a analisar e pesquisar assuntos da
reas de tecnologia da informao a fim de aconselhar organizaes em suas decises sobre negcios e tecnologia.

21
oferta de servios de correios com tica, competitividade, lucratividade e
responsabilidade social". (ECT, 2007).
A figura a seguir apresenta um esquema relacionando os fatos
observados nos rgo da Administrao Pblica Federal, o problema e a justificativa
para a pesquisa.

Ao tratar a questo da segurana pelo vis da
gesto de riscos, o gestor consegue aproximar
o assunto da estratgia de negcios.
O estado incipiente em que os rgos da
Administrao Pblica Federal se encontram,
no tocante segurana da informao, faz com
que as primeiras orientaes governamentais
tenham que ser simples, factveis e alinhadas
com as melhores prticas de mercado.
Justificativa
Como utilizar a Gesto de Risco em Tecnologia
da Informao (TI) para entender os riscos que
afetam os negcios dos rgos da
Administrao Pblica Federal e definir uma
Gesto de Segurana da Informao eficiente?
Problema
A informao uma ativo de valor e precisa ser protegido
Os rgos da Administrao Pblica Federal,
em sua maioria, no possuem uma poltica de
segurana da informao e nem um processo
corporativo de gesto de segurana de suas
informaes.
As empresas so cada vez mais globais e
usurias de recursos de tecnologia da
informao.
Fatos
Os rgos da Administrao Pblica Federal
no contam com conhecimento para
implementar uma Gesto de Segurana da
Informao eficiente e eficaz e carecem de
orientao a respeito da implementao de uma
Gesto de Riscos em TI que fomente a Gesto
de Segurana de suas informaes.

Figura 1 - Esquema da pesquisa. Fonte: elaborao prpria

22
3. Objetivos
3.1. Geral
Estudar aes que tornam mais eficiente o processo de Gesto de
Segurana da Informao, a partir da aplicao do conceito de Gesto de Riscos,
considerando-se a poltica, o comportamento e a cultura informacional existentes.

3.2. Especficos
Os objetivos especficos da pesquisa so:

estudar definies de Gesto de Segurana da Informao;

diagnosticar o processo de Gesto da Segurana da Informao
da Diretoria de Tecnologia da Informao da ECT;

identificar os espaos informacionais dos empregados da
Diretoria de Tecnologia da ECT;

analisar definies e modelos de Gesto de Riscos;

propor um modelo sistmico para a Gesto de Riscos, alinhado
com as normas e regulamentaes legais, que norteie a Gesto
de Segurana da Informao em uma empresa pblica.

4. Hiptese
A Segurana da Informao, conceito ainda incipiente nas organizaes
pblicas, mais eficiente e eficaz quando adota a Gesto de Riscos.

5. Metodologia
Este trabalho caracteriza-se como uma pesquisa aplicada, pois objetiva
gerar conhecimento para a aplicao dos conceitos de Gesto de Riscos Segurana
da Informao no ambiente de uma empresa pblica.
A abordagem utilizada nesta pesquisa tem um carter qualitativo. Ao
empregar o mtodo qualitativo, busca-se visualizar o contexto da Segurana da

23
Informao e, se possvel, ter uma integrao com a Gesto de Riscos, que implique
em melhor compreenso da segurana da informao.
A base terica que d sustentao a este trabalho construda a partir
de pesquisa bibliogrfica e visa estudar os conceitos, definies e modelos de Gesto
de Segurana da Informao e Gesto de Riscos.
O universo de pesquisa deste estudo so os rgos da Administrao
Pblica Federal e, a partir da necessidade prtica de selecionar uma amostra que
represente corretamente o universo pesquisado, foi escolhida a Diretoria de
Tecnologia da Empresa Brasileira e Correios e Telgrafos ECT.
O diagnstico do processo de Gesto de Segurana da Informao da
Diretoria de Tecnologia da ECT inicia-se com a investigao das iniciativas de
Segurana da Informao no ambiente da ECT, utilizando pesquisa documental nas
normas, manuais, procedimentos e publicaes internas da empresa. O diagnstico do
processo de Gesto de Segurana da Informao, tratado nesta pesquisa, resultado
da comparao entre as iniciativas de Segurana da Informao no ambiente da ECT
e as boas prticas recomendadas na literatura e documentos tcnicos que abordam o
assunto, considerando-se os valores, a cultura e o comportamento humano na
empresa.
Embora o objeto de estudo desta pesquisa seja a informao que
trafega por meios eletrnicos no ambiente da ECT, o estudo envolve a entrevista com
colaboradores da empresa a fim de investigar os espaos informacionais dos
empregados da Diretoria de Tecnologia da ECT e entender o comportamento das
pessoas envolvidas no tratamento da informao. Todavia, as informaes disponveis
em outros meios tais como unidades arquivsticas e bibliotecas sero
desconsideradas para as anlises finais deste trabalho.
O procedimento tcnico adotado para investigar os riscos que podem
afetar a Segurana da Informao e definir um processo para Gesto da Segurana
da Informao a partir da Gesto de Riscos o estudo de caso.
A primeira etapa do estudo de caso consiste em identificar, por meio de
levantamento com colaboradores da ECT, os fatores de riscos que podem afetar a
Segurana da Informao e os negcios da empresa.
A etapa seguinte consiste em aplicar um mtodo para a Gesto de
Riscos, alinhada com as normas e regulamentaes legais, para nortear a Gesto de
Segurana da Informao. A aplicao do mtodo fundamentada em um estudo
comparativo entre os principais modelos de Gesto de Riscos conhecidos no mercado
com adaptao realidade da ECT.

24
Parte II Reviso de Literatura e Fundamentos
6. Informao
6.1. Definio de informao
No discurso cientfico, no existe definies verdadeiras ou falsas para
conceitos tericos, em vez disso existem construes destinadas a suportar as
pesquisas da melhor forma possvel. Diferentes concepes de termos fundamentais
como Informao so assim mais proveitosos dependendo da teoria que se espera
que eles suportem (Capurro & Hjrland, 2003).
Partindo dessa premissa, neste captulo ser apresentado um
apanhado de propostas de definio para os termos dados e informao.
O conceito de informao foi definido por Le Coadic (2004, p. 4), como:

um conhecimento inscrito (registrado) em forma escrita (impressa ou
digital), oral ou audiovisual, em um suporte. A informao comporta um
elemento de sentido. um significado transmitido a um ser consciente
por meio de uma mensagem inscrita em um suporte espacial-temporal:
impresso, sinal eltrico, onda sonora, etc. Inscrio feita graas a um
sistema de signos (a linguagem), signo este que um elemento da
linguagem que associa um significante a um significado: signo
alfabtico, palavra, sinal de pontuao. (Le Coadic, 2004, p. 4).

Smola (2003, p. 45) define informao como: Conjunto de dados
utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em
processo comunicativos ou transacionais. Para o autor, a informao representa a
inteligncia competitiva dos negcios e reconhecida como ativo crtico para a
continuidade operacional e sade da empresa.
A definio de McGee & Prusak (1994, p.23 e 24) extrapola a idia de
conjunto de dados. Para eles, informao um conjunto de dados coletados,
organizados, ordenados, aos quais so atribudos significados e contexto. Informao
deve informar, enquanto os dados absolutamente no tm essa misso. Informao
representa dado em uso, e esse uso implica um usurio.
Para Davenport (1998, p. 18), antes de definir informao necessrio
definir dados e conhecimento visto que esses conceitos servem como conexo entre
dados brutos e o conhecimento que se pode eventualmente obter. Ele define dados
como observaes sobre o estado do mundo, e conhecimento como informao
valiosa da mente humana. Assim, conclui que informao um conjunto de dados
dotados de relevncia. Ainda segundo Davenport a informao: requer unidade de
anlise; exige consenso em relao ao significado; e, exige necessariamente a
mediao humana.
Boisot (1998), apud Roberts (2000), prope as seguintes definies
para dados, informao e conhecimento:

25

Dados so definidos como uma srie de observaes, medidas ou
fatos na forma de nmeros, palavras, sons e/ou imagens. Os dados
no tm significado prprio, mas fornecem a matria prima a partir da
qual produzida a informao. Informao definida como dados que
foram organizados de uma forma significativa. A informao deve estar
relacionada com um contexto para possuir significado. Conhecimento
definido como a aplicao e o uso produtivo da informao. (Boisot
1998)

Sianes (2005) define informao como uma srie de dados
organizados de um modo significativo, analisados e processados, que geram
hipteses, sugerem solues, justificativas de sugestes, crticas, de argumentos,
utilizada em apoio ao processo de tomada de deciso. Exige mediao humana e seu
valor est associado utilidade que ela apresenta.
Em uma definio ampla sobre o que pode ser o conceito de
informao, Carvalho (2001, p. 5) relaciona-o ao conceito de dado, significado e
contexto. Ela sugere que o conjunto de dados no corresponde a informao, mas
pode fazer parte de sua constituio se, para o indivduo que o recebe, possuir algum
significado, o qual determinado pelo prprio contexto em que aquela pessoa se
insere. Dessa forma, se determinados dados no possurem significado algum para o
mesmo, simplesmente so desprezados.
Stair (1998), em seu livro Princpios de Sistemas de Informao, define
informao como: um conjunto de fatos organizados de tal forma que adquirem valor
adicional alm do valor do fator em si.
Robredo (2003) apresenta no primeiro captulo de sua obra Da
cincia da informao revisitada: aos sistemas humanos de informao - algumas
definies de informao:
Um conjunto de dados organizado de forma compreensvel registrado
em papel ou em outro meio e suscetvel de ser comunicado. (Harrods
Librarian Glossary of Terms Used in Librarianship,1989 apud Robredo
2003, p.1);

[...] parece aproximar-se desta definio a de dado (representao de
fatos, conceitos ou instrues, de um modo convencional e adequado
comunicao, interpretao ou tratamento por meios humanos ou
automticos), tomado expressamente como sinnimo de informao
(ALVES et al.,1993 apud Robredo (2003), p. 1 e 2)
3
;

1) Noo, idia ou mensagem contida num documento. 2) Em
Processamento de Dados, o resultado do processamento de dados
obtidos por meio de algum tipo de clculo ou regra de comportamento,
que constitui a sada do trabalho de computao
4
;

3
Robredo (2003, p.1) destaca, na definio de Alves (1993), a possibilidade de tratamento do dado/informao por
meios automticos.
4
Robredo (2003, p.2) destaca a forte relao de informao e documento.

26
A informao o registro de conhecimentos para sua transmisso.
Essa finalidade implica que os conhecimentos sejam inscritos num
suporte, objetivando sua conservao e codificados, toda
representao sendo simblica por natureza (Dictionnaire
encyclopdique de linformation et de La documentation. 2 me dition.
Paris: Nathan, 2001 apud Robredo (2003) p. 3);

Informao uma propriedade dos dados resultante de ou produzida
por um processo realizado sobre os dados. O processo pode ser
simplesmente a transmisso de dados (em cujo caso so aplicveis a
definio e medida utilizadas na teoria da comunicao); pode ser a
seleo de dados; pode ser a organizao de dados pode ser a anlise
de dados (HAYES, 1986 apud Robredo (2003), p. 3);

A informao um conhecimento inscrito (gravado) sob a forma
escrita (impressa ou digital), oral ou audiovisual
5
;

Informao - 1) Aquilo que reduz a incerteza. (Claude Shannon apud
Robredo (2003), p. 5); 2) aquilo que nos muda (Gregory Bateson apud
Robredo (2003), p. 5); e

informao era um termo (latino) escolstico especializado, menor
informatio significando o ato de dar ou mudar a forma de uma pea
particular de matria (Marijun, 1994 apud Robredo (2003), p. 7).

Robredo (2003) ainda destaca algumas caractersticas da informao,
que suscetvel de ser:
registrada (codificada) de diversas formas;
duplicada e reproduzida ad infinitum;
transmitida por diversos meios;
conservada e armazenada em suportes diversos;
medida e quantificada;
adicionada a outras informaes;
organizada, processada e reorganizada segundo diversos
critrios;
recuperada quando necessrio segundo regras
preestabelecidas.

Arajo (1999), em seu estudo sobre A construo social da informao,
traz vrios conceitos de informao, entre eles:
processo de atribuio de sentido;
elemento que provoca transformaes nas estruturas (Brookes,
1980 apud Arajo (1999));

5
Robredo (2003, p.4) destaca na definio de Le Codiac (1994) a relao entre o termo informao com a
comunicao e a cognio.

27
estrutura de qualquer texto capaz de modificar a estrutura da
imagem de um receptor (Belkin & Robertson, 1976 apud Arajo
(1999));
prtica social que envolve aes de atribuio e de comunicao
de sentido que por sua vez, pode provocar transformaes nas
estruturas, pois gera novos estados de conhecimento;
prtica social de um sujeito cognitivo-social que desenvolve
aes de atribuio e de comunicao de sentido que, por sua
vez, podem provocar transformaes nas estruturas (tanto
individuais como sociais), pois geram novos estados de
conhecimento;
elemento que representa dupla significao, pois, por um lado, a
informao mediatiza os processo de apreenso da realidade e
as prprias relaes sociais, e por outro, ela um elemento que
adquire caractersticas de mercadoria (commodity), pois torna-se
indispensvel fora produtiva. Assim, a informao fica
submetida s leis de mercado e ganha valor de troca. Ela
transforma-se em informao-mercadoria (Lyottard, 1990).

Para McGarry (1999, p. 4), a informao pode ser:
considerada como um quase-sinnimo do termo fato;
um reforo do que j se conhece;
a liberdade de escolha ao selecionar uma mensagem;
a matria prima da qual se extrai o conhecimento;
aquilo que permutado com o mundo exterior e no apenas
recebido passivamente;
definida em termos de seus efeitos no receptor;
algo que reduz a incerteza em determinada situao.

Na literatura possvel encontrar diversas definies a respeito de
dado, informao e conhecimento, que pode variar de autor para autor. Apesar das
diferenas de conceituao, pode-se identificar um entendimento comum: um conjunto
de dados no produz necessariamente uma informao, nem um conjunto de
informaes representa necessariamente um conhecimento.

28
Nesta pesquisa o conceito adotado para informao um conjunto de
dados registrados, independente do suporte, dotados de significado e que pode ser
transmitido a um usurio (receptor).

6.2. Ciclo de vida da informao
No decurso de suas atividades, uma organizao produz, recebe, trata,
acumula, usa e descarta informao.
O crescimento das empresas, o acesso rede mundial de
computadores e as novas tecnologias aumentam cada vez mais a quantidade de
dados nas corporaes. Segundo Feldman (2005), muitos desses dados sero
consultados apenas nos seus primeiros dias de vida, mas outros, por legislao ou por
necessidade, precisam ser armazenados por mais tempo.
Para Silva, Ferreira e Borges (2002), o ciclo de vida da informao em
uma empresa pode variar em funo dos fatores que lhe so inerentes, tais como:
campo de atuao, porte e tipo de segmento. A importncia dada a cada um desses
fatores peculiar de cada empresa e definem o modo de lida com o conjunto das
atividades que envolvem a utilizao da informao. Gerenciar tais atividades at
chegar propriamente ao uso da informao , segundo Sobreira (1999), uma tarefa
das mais complexas e difceis dentro das empresas.
De acordo com Lyra (2008) e Beal (2008), figuras 2 e 3, o ciclo de vida
da informao dentro das organizaes se inicia com a identificao das necessidades
e requisitos informacionais dos grupos e indivduos que integram a organizaes e de
seus pblicos externos. Segundo os autores, essa identificao uma atividade
fundamental para desenvolver produtos e servios informacionais orientados
especificamente para cada grupo de pessoas ou processos internos ou externos. A
recompensa para o esforo de descoberta das necessidades e dos requisitos de
informao tornar a informao mais til e os seus destinatrios mais receptivos a
aplic-la na melhoria da tomada de deciso ou na melhoria de produtos e processos.

29

Figura 2 - Ciclo de vida da informao. Fonte: Lyra (2008, p. 9)

Figura 3 - Ciclo de vida da informao nas organizaes. Fonte: Beal (2008, p. 4)

Definidas as necessidades de informao, na prxima etapa a
obteno so desenvolvidos os procedimentos de criao, recepo ou captura de
informaes, provenientes de fontes externas ou internas. Nessa etapa preciso
garantir a integridade da informao, isto , que a informao genuna, produzida
por pessoa ou entidade autorizada e apresentada de forma precisa e compatvel com
os requisitos levantados na fase de identificao de necessidades.

30
Antes de ser consumida, comum que a informao passe por
processos de organizao, formatao, estruturao, classificao, anlise, sntese,
apresentao e reproduo para tornar-se mais acessvel e de fcil utilizao. Nesta
etapa de tratamento, preciso garantir a integridade da informao, bem como sua
confidencialidade.
A etapa de distribuio da informao consiste em levar a informao
necessria at seus consumidores. A eficincia do processo de distribuio da
informao est diretamente ligada a capilaridade da rede de comunicao da
organizao e permite que a informao certa chegue tempestivamente a quem
necessite dela para a tomada de deciso.
A etapa de uso consiste em utilizar a informao para gerar valor para a
organizao. Para Beal (2008), a existncia da informao por si s no garante
melhores resultados para a organizao. necessrio que as pessoas utilizem a
informao para fomentar os processos ou as tomadas de decises organizacionais.
Nesta etapa os conceitos de integridade, disponibilidade e confidencialidade devem
ser aplicados em sua plenitude.
O armazenamento assegura a conservao da informao permitindo o
seu uso futuro dentro da organizao. Os recursos investidos e a complexidade de
armazenamento das informaes aumentam proporcionalmente conforme a variedade
de formatos e mdias utilizadas para armazen-las. Assim como na etapa de uso, os
objetivos de confidencialidade, integridade e disponibilidade so fundamentais nesta
etapa.
Quando uma informao torna-se obsoleta ou perde a utilidade para a
organizao, ela deve ser objeto de processos de descarte que obedeam a normas
legais, polticas operacionais e exigncias internas (Beal, 2008). O processo de
excluso de informaes corporativas permite a economia de recursos de
armazenamento e aumenta a eficincia nos processos de localizao da informao,
melhorando o processo de Gesto da Informao.
Smola (2003) prope um modelo, associando o ciclo de vida da
informao aos os conceitos bsicos de segurana, para demonstrar que toda a
informao manipulada por uma organizao passa por quatro fases distintas, a saber:
o manuseio, armazenamento, transporte e descarte. Dessa forma, uma tecnologia que
deseje prover segurana deve buscar o equilbrio entre o ciclo de vida da informao
criando mecanismos de proteo para todas as fases deste processo respeitando os
conceitos bsicos de segurana e possveis aspectos complementares.

31
7. Gesto Estratgica da Informao (GEI)
7.1. O que estratgia?
Segundo Bethlem (1981), a palavra estratgia foi inicialmente utilizada
no mbito militar, entendida como grande ttica, centrada na fora. A partir do sculo
XX, a estratgia passou a significar a seleo de meios e objetivos, privilegiando
fatores psicolgicos em detrimento da fora.
Beuren (2000, p. 41), afirma que a partir da dcada de 60, emergiram
vrias definies de estratgia. Todavia, caracterizada como a composio de planos
e metas com a finalidade de atingir o objetivo da organizao, configurou-se como um
indicador dos negcios da empresa e dos meios para reagir frente s mudanas
ambientais, auferindo, ento o sentido organizacional. Em sua obra, a autora cita
vrios conceitos de estratgia, entre eles:

um dos vrios conjuntos de regras de deciso para orientar o
comportamento de uma organizao, ou melhor, um mix de
produto/mercado (Ansoff, 1990);

um mtodo (intenes conscientes) de ao para diferentes
situaes, que pode ser geral ou especfica. Quando
especfica, a estratgia vista como uma manobra que tem a
inteno de amedrontar competidores. Como padro o prprio
padro de comportamento de uma empresa, que estar
consciente dele ou no. A estratgia como posio identifica
qual a situao da empresa no mercado, sua posio no
ambiente. E como perspectiva, a viso de mundo que a
empresa tem (Mintzberg, 1992);

um plano, um padro de aes, uma posio produto mercado
ou uma perspectiva especfica (Simons, 1994); e

a criao de uma posio singular e valiosa, envolvendo um
conjunto diferente de atividades. A essncia do posicionamento
estratgico escolher atividades que sejam diferentes das
atividades dos concorrentes (Porter, 1996).

A estratgia competitiva de uma empresa define suas atividades
comerciais, a forma de operar essas atividades e, particularmente, a forma de

32
diferenciar seus produtos e servios daqueles oferecidos pelos concorrentes. Em
primeiro lugar, as estratgias devem considerar os clientes da empresa e os
segmentos de mercado aos quais a organizao almeja servir. Segundo, as
estratgias devem considerar habilidades e recursos que a organizao dever reunir
para fornecer produtos e recursos a esses mercados. Esses dois pontos dependem da
informao.
A questo da diferenciao fundamental para uma compreenso da
estratgia competitiva, pois uma estratgia efetiva deve definir as formas pelas quais
os produtos e servios de uma empresa sero superiores aos de seus concorrentes
aos olhos dos clientes. (McGee e Prusak, 1994, p. 22)
Para Beuren (2000, p.43),

a definio e a traduo da estratgia, de forma compreensvel e factvel aos
membros da organizao, passa pela necessidade de disponibilizar
informaes adequadas aos responsveis pela elaborao da estratgia
empresarial. A adaptao da empresa aos novos paradigmas de um mercado
globalizante, exigindo capacidade de inovao, flexibilidade, rapidez,
qualidade, produtividade, dentre outros requisitos, torna cada vez mais
estratgico o papel que a informao exerce.

7.2. Necessidade de segurana da informao
7.2.1. Informao como fator estratgico
Segundo McGee e Prusak (1994), o surgimento da tecnologia da
informao
6
trouxe a idia de que computadores digitais de alta capacidade
permitiriam a otimizao das organizaes e o fornecimento, sempre tempestivo, de
informaes precisas e no local apropriado. Contudo, com o decorrer dos anos, essa
realizao mostrou ser muito mais difcil do que se esperava.
Os autores ressaltam que, muitas vezes, as limitaes da tecnologia e
dos profissionais de TI so apontadas como fatores que favorecem o fracasso dessa
possibilidade. As organizaes talvez de forma enganada continuam a esperar que
a prxima gerao tecnolgica seja capaz de materializar essa idia ou que os
profissionais melhor capacitados sero capazes de encontrar o elo perdido entre
oportunidade de negcios e a promessa da tecnologia.
De fato os produtos e servios de TI evoluem a cada dia e, alm de
apresentarem solues para velhos problemas, criam novas oportunidades. Destarte,
os limites tecnolgicos no constituem desculpas aceitveis para fracassos constantes

6
Tecnologia da Informao (TI): soluo ou conjunto de solues sistematizadas baseadas no uso de mtodos,
recursos de informtica, de comunicao e de multimdia que visam a resolver problemas relativos gerao,
tratamento, processamento, armazenamento, veiculao e reproduo de dados, e a subsidiar processo que
convertem dados em informao. Beal (2005, p. 8)

33
na aplicao da tecnologia da informao para atender s necessidades da
organizao. O problema fundamental continua a ser o mesmo: definir a informao
correta, em tempo hbil e no local adequado.
Acompanhamos, ao longo das ltimas quatro dcadas, a transio da
era industrial para a era da informao. Nesse novo contexto, a concorrncia entre as
organizaes fundamenta-se na capacidade de adquirir, tratar, interpretar e utilizar a
informao de forma eficaz.
Assim, os investimentos em tecnologia por si prprios no criam valor
adicional, mas sim o uso dessa tecnologia. O valor da tecnologia da informao
depende da informao e do papel desempenhado por ela nas organizaes.

A criao, captao, organizao, distribuio, interpretao e
comercializao da informao so processos essenciais. A tecnologia
utilizada para apoiar esses processos consideravelmente menos
importante do que a informao contida nos sistemas. A Informao
dinmica, capaz de criar grande valor e o elemento que mantm as
organizaes unificadas. A tecnologia da Informao pode ser um fator
importante no aperfeioamento do uso da informao, mas facilmente
poder se transformar num peso morto, intil, sem a informao e os seres
humanos usurios. (McGee e Prusak, 1994, p. 5).

O contraste entre os investimentos macios em tecnologia da
informao, seu evidente potencial transformador, e os lucros auferidos contriburam
para uma percepo crescente entre as organizaes de que preciso reexaminar
seus pressupostos fundamentais quanto estruturao e o uso da informao e de
sua tecnologia. Os investimentos em tecnologia da informao eram apregoados por
vendedores, consultores e jornalistas como ferramentas que criariam uma revoluo
no mundo executivo. A tecnologia da informao criaria escritrios sem papis onde
todos os empregados, executivos e escriturrios, da mesma forma receberiam
poderes para fazer contribuies mais criativas e significativas para que suas
empresas alcanassem seus objetivos.
Outra idia que encanta e atrai muitas organizaes que os
investimentos em tecnologia da informao podem ser estratgicos e capazes de criar
uma vantagem competitiva substancial.
Em uma anlise mais ampla, Phahalad e Hamel (1990), sugerem que
esses investimentos em tecnologia representam uma resposta a necessidades
internas, ao invs de uma ao estratgica consciente, que proporciona vantagem
competitiva em curto prazo.
Para McGee e Prusak (1994), a idia de que problemas e situaes
complexas podem ser solucionados com associao de recursos financeiros a

34
mquinas altamente tentadora. De fato, h situaes onde isso verdadeiro, porm,
esse certamente no o modelo a ser universalmente adotado. Essa idia j levou
empresas a gastarem milhes de dlares em sua busca por um objetivo esquivo e, em
ltima instncia, falso.
Qual ser o valor da tecnologia da informao na era da informao?
Certamente, uma das respostas fundamenta-se no fato de que a prpria informao
constitui e fornece o maior potencial de retorno s organizaes. No entanto, o ritmo
alucinante das mudanas na indstria da tecnologia da informao tende a manter as
atenes voltadas mais para aquilo que a tecnologia capaz de fazer do que para se
obter melhores informaes.
Por se tratar de um recurso estratgico a informao precisa ser
administrada e merece a mesma ateno dispensada aos recursos humanos e
financeiros da organizao. Para isso, as organizaes devem investir em processos
estruturados para o gerenciamento da informao. Do ponto de vista estrutural, esses
processos devem fornecer suporte e reforo mtuo, criando espao de informao
dentro do qual as pessoas possam executar suas tarefas dirias. Esses processos de
administrao e arquitetura da informao devem ser concebidos e desenvolvidos com
uma apreciao bem completa das dimenses polticas da informao. Para que a
execuo da estratgia possa ocorrer sem incidentes, o processo e a arquitetura da
informao devero encorajar atitudes desejveis quanto informao e desencorajar
atitudes pouco desejveis.
Para Alvarenga Neto, Barbosa e Pereira (2007), existe a percepo, por
parte dos dirigentes das organizaes, de que a informao e o conhecimento
consolidam-se como os principais fatores de diferenciao para a competitividade
organizacional. Tal fato sustenta a idia de que a Gesto Estratgica da Informao
deve nortear e validar as atividades e outros temas vinculados gesto do
conhecimento, como a gesto de capital intelectual, a aprendizagem organizacional, a
criao e transferncia do conhecimento, a gesto da inovao, as comunidades de
prtica e a inteligncia competitiva.

O desafio organizacional contemporneo traduz-se em aprender a nadar em
um oceano de informaes, prospectando e coletando informaes
relevantes para a sobrevivncia organizacional e para a compreenso de
um ambiente de negcios cada vez mais dinmico e mutvel. Destarte,
reafirma-se que a evidncia deste novo paradigma sugere tambm a
emergncia de organizaes cujos principais fatores de competitividade
sejam pautados no binmio informao-conhecimento. (Alvarenga Neto;
Barbosa & Pereira, 2007, p. 9)

35
A ao organizacional tem suas origens na prospeco do ambiente
organizacional interno e externo em busca de informaes relevantes para a
compreenso dos negcios, clientes e demais fatores ambientais em suas interaes
complexas. Tal informao pode reduzir ou aumentar a incerteza e, na hiptese da
ocorrncia da ltima, cabe organizao a tarefa de promover rodadas sucessivas de
negociao e interpretao at que uma construo coletiva ou entendimento
compartilhado seja alcanado.
Diversos argumentos justificam a importncia da informao de
qualidade relevante, precisa, consistente, clara e oportuna para as organizaes.
Lesca e Almeida (1994), apontam:
a. A informao como fator de apoio deciso
A informao possibilita a reduo de incertezas na tomada de
decises e permite que essas sejam feitas de forma pertinente,
tempestiva e com menor risco.
Entretanto, Beal (2004, p.21) afirma que a qualidade das
decises ir depender tanto da qualidade da informao provida quanto
da capacidade dos tomadores de deciso de interpret-la e us-la na
escolha das melhores alternativas.

b. A informao como fator de produo
Numa sociedade onde os fatores de produo tradicionais,
como energia, tecnologia da informao, mo-de-obra e recursos
financeiros, passam a no ser recursos garantidores da vantagem
competitiva (Drucker, 1991), a informao figura como elemento
importante para se criar e introduzir no mercado produtos de maior
valor adicionado.

c. A informao como fator de sinergia
A qualidade das ligaes e a inter-relao de suas unidades
interferem diretamente no desempenho de uma organizao. A eficcia
do fluxo de informao, por meio dos quais se realizam as
interdependncias organizacionais, permite multiplicar a sinergia dos
esforos ou anular o resultado do conjunto dos esforos.

d. A informao como fator determinante de comportamento
A informao exerce influncia sobre o comportamento dos
indivduos e grupos, internos e externos s organizaes. Internamente,

36
a informao pode influenciar o comportamento dos indivduos para que
suas aes sejam condizentes com os objetivos da empresa.
Externamente, a informao pode influenciar o comportamento dos
atores clientes, fornecedores, parceiros e concorrentes de modo
que seja favorvel aos objetivos da empresa.

McGee e Prusak (1994) apresentam:
a. Informao e definio de estratgia
A informao sobre o ambiente competitivo e sobre a
organizao atual auxilia os executivos a identificarem tanto as
ameaas quanto as oportunidades para a empresa e cria o cenrio para
uma resposta competitiva mais eficaz. A informao funciona como um
recurso essencial para a definio de estratgias alternativas.

b. Informao e execuo da estratgia
A tecnologia da informao propicia novas alternativas para a
elaborao de processos que criam e oferecem produtos e servios. A
informao representa uma das ferramentas mais importantes e
maleveis a serem utilizadas pelos executivos para diferenciar produtos
e servios. Em alguns casos, a informao o prprio produto.

c. Informao e integrao
O feedback da informao sobre desempenho essencial para
a criao de uma organizao flexvel onde existe um constante
aprendizado, que imediatamente implementa a realizao estratgica
de seus objetivos e reconhece a necessidade de modificar esses
objetivos quando os mesmos se tornam ineficazes.

Choo (2003, p. 27) destaca trs searas onde a criao e o uso da
informao desempenham papel estratgico no crescimento e na capacidade de
adaptao das empresas:
a. A organizao utiliza a informao para dar sentido s mudanas do
ambiente externo.
Na era da informao, o desempenho das organizao
moldado pelas foras e dinmica do mercado. A vantagem competitiva
pode ser obtida a partir da capacidade de perceber a influncia do
ambiente externo nos processos organizacionais. Em conseqncia

37
disso, uma tarefa crucial na gesto organizacional distinguir as
mudanas mais significativas, interpret-las e criar respostas
adequadas para elas, garantindo que a organizao de adapte e
continue prosperando num ambiente dinmico.

b. A organizao cria, organiza e processa a informao de modo a
gerar novos conhecimentos por meio do aprendizado
Novos conhecimentos permitem que as organizaes
desenvolvam novas capacidades, criem novos produtos e servios,
aperfeioem os produtos e servios j existentes e melhores os
processos organizacionais.

c. As organizaes buscam e avaliam informaes de modo a tomar
decises importantes

Na teoria, toda deciso deve ser tomada racionalmente, com base em
informaes completas sobre os objetivos da empresa, alternativas
plausveis, provveis resultados dessas alternativas e importncia desses
resultados na organizao. Na prtica, a racionalidade da deciso
atrapalhada pelo choque de interesses entre scios da empresa, pelas
barganhas e negociaes entre grupos e indivduos, pelas limitaes e
idiossincrasias que envolvem as decises, pela falta de informaes e
assim por diante. A despeito dessas complicaes, uma organizao deve
manter ao menos a aparncia de racionalidade, para manter a confiana
interna e, ao mesmo tempo, preservar a legitimidade externa. Embora a
tomada de decises seja um processo complexo, no h dvida de que ela
uma parte essencial da vida da organizao. (Choo, 2003)

A mensagem estratgica enviada por uma economia baseada na
informao clara:
A informao torna-se cada vez mais a base para a competio;
As necessidades do gerenciamento de informao devem
acionar as alternativas tecnolgicas;
Os executivos devem identificar claramente o papel que a
informao ir desempenhar na estratgia competitiva de sua
empresa. (McGee e Prusak, 1994, p. 16)

A informao, segundo Smola (2005, p.286), torna-se um fator
essencial na corrida das organizaes em busca de agilidade, competitividade,
modernizao, lucratividade e principalmente flexibilidade e adaptabilidade para o
crescimento fatores primordiais para que as empresas prosperem na era da

38
informao. Isso justifica porque, a informao, como ativo, bem e patrimnio
organizacional, deve estar bem guardada como um segredo de negcio.
A informao, segundo Fontes (2000, p. 34), um bem da organizao
e possui valor para a organizao, para seus concorrentes, para os funcionrios
insatisfeitos, para os ladres eletrnicos e para os no eletrnicos. Portanto, ela deve
ter um processo de segurana compatvel com seu porte, que gerencie, estruture e
responsabilize o seu uso. Da mesma forma que o recurso financeiro possui controles,
mtodos, responsveis e auditorias, o recurso informao tambm precisa de um
processo contnuo que controle os acessos dos usurios, descreva regras de
utilizao, estabelea responsveis e que possa ter todos estes procedimentos
auditados. A liberao de um acesso informao crtica deve ter controles
equivalentes a um repasse financeiro na empresa: pedido explcito, responsveis,
registro e autorizao da diretoria.
Para Moresi (2001, p. 111), a informao um dos recursos mais
importantes e sua gesto e aproveitamento esto diretamente relacionados ao
sucesso de uma organizao. O autor cita Chaumier (1986) para destacar duas das
principais finalidades da informao: para conhecimento dos ambientes internos e
externos de uma organizao e para atuao nesses ambientes. Considerando o
papel que a informao pode desempenhar nas atividades de uma organizao, o
autor prope uma derivao da classificao do valor da informao, conforme figura
abaixo:

Informao sem Interesse
Lixo
Informao Potencial
Informao Mnima
Informao Crtica
Sobrevivncia da Organizao

Figura 4 - A classificao da Informao segundo a sua finalidade
para uma organizao. Fonte: Moresi (2001, p. 112)

39
Barreto (1996 apud MORESI 2001) define valor da informao como:
estruturas significantes com a competncia de gerar conhecimento no indivduo, em
seu grupo ou na sociedade.
Cronin (1990 apud MORESI 2001) classifica o valor da informao nos
seguintes tipos:
- Valor de uso: baseado na utilizao final que se far com a
informao;
- Valor de troca (ou de mercado): aquele que o usurio est
preparado para pagar e variar de acordo com as leis de oferta e
de demanda;
- Valor de propriedade: reflete o custo substitutivo de um bem;
- Valor de restrio: quando o uso de informaes secretas ou de
interesse comercial fica restrito apenas a algumas pessoas.
Por ser um bem abstrato e intangvel o valor da informao estar
associado a um contexto, considerando que a partir de determinada informao uma
organizao poder obter alguma vantagem competitiva ou diferencial de mercado em
relao a outra organizao. (Moresi, 1991, p. 113)
Portanto, considerando contextos organizacionais diferentes, uma
mesma informao pode ser de extrema relevncia para determinada organizao em
dado momento e no representar nenhum interesse para outra organizao.
Para Wetherbe (1987 apud Moresi 2001), o valor da informao est
relacionado ao efeito que ela tem sobre o processo decisrio de um gestor. Se a
informao adicional resultar em uma deciso melhor, ento ela ter valor.
A informao um importante ativo de valor para os negcios. Dessa
forma, os processos de definio, implantao, manuteno e melhoramento contnuo
da segurana da informao podem ser atividades fundamentais para assegurar a
competitividade, alavancar os lucros, atender aos requisitos legais e a preservar a
imagem de uma organizao junto ao mercado.
importante ressaltar que tradicionalmente as empresas dedicam
ateno especial proteo de seus ativos fsicos e financeiros, mas pouca ateno
aos seus ativos de informao. Para Caruso & Steffen (1999, p. 23), ainda que as
informaes no sejam passveis do mesmo tratamento fsico-contbil que os outros
ativos, do ponto de vista do negcio elas so um ativo da empresa, pois de forma
anloga envolvem os trs fatores de produo tradicionais: capital, mo-de-obra e
processos. Portanto, devem ser protegidas.

40
Processos
Ativos
Produtos
Bens
Informaes

Figura 5 - Fatores econmicos de produo. Fonte: Caruso & Steffen (1999, p. 23)

7.2.2. Informao como ativo de valor histrico para a organizao
Durante a Conferncia de Zagreb, em 1957, o arquivista italiano A.
Lombardo, apud Bellotto (2004), afirmou que no h arquivos que sejam, em
essncia, histricos, e todo papel administrativo, desde sua criao, tem, em potencial,
um valor histrico.
Grande parte das organizaes mantm como testemunho de outras
pocas uma srie de documentos polticas, normas, relatrios, fotografias, pareceres
etc que fornecem informaes fundamentais para o entendimento de sua trajetria e
de seus processos contemporneos.
Morris Rieger (1979), considerando o valor dos documentos para as
organizaes, define duas classes para os documentos que compem o patrimnio
documental: os documentos de valores primrios e os documentos de valores
secundrios. O valor primrio a prpria razo do documento; j o valor secundrio
um valor residual que os papis ainda podem conservar. Dessa forma, o arquivista
considera como documentos de valor secundrio:
- os que mantm valores administrativos, jurdicos, financeiros
para a administrao de origem ou para outras administraes,
depois de ter perdido seu valor primrio para as operaes
correntes;
- os que podem ter valor para a proteo dos direitos cvicos,
jurdicos e de propriedade de certos cidados;
- os que refletem a evoluo histrica da administrao de origem,
de seus mtodos e operaes mais importantes;
- os que possuem valor de informao, isto , que aportem uma
contribuio importante para a pesquisa e para os estudos no
domnio do conhecimento.

41
Para Alberch Fugueras & Cruz Mundet, (1999, p.167), o patrimnio
documental resultado de uma lenta e prolongada sedimentao de documentos,
gerados enquanto materializao de uma ao administrativa e, inicialmente, sem
levar em conta a utilidade para uma futura explorao com finalidades culturais e
cientficas.
De acordo com Goulart (2002, p.8), o patrimnio documental de uma
organizao permite uma releitura da histria econmica e social, uma maneira de
reencontrar as interrogaes que envolvem a compreenso das economias
dominantes de consumo e de comercializao, seu nascimento e desenvolvimento.
A autora continua:

[...] o conhecimento que da se extrai gera a histria dos produtos fabricados
para alimentar o comrcio interno e externo, a trajetria das manufaturas,
dos empresrios, das sociedades financeiras. Trata-se da histria dos
meios de produo em certas pocas, das condies de trabalho, dos
recursos, do habitat e das relaes.

Bellotto (2004, p. 114) acrescenta que a preservao do patrimnio
documental, passada sua fase ativa, traz benefcios para a pesquisa histrica e para a
prpria organizao, pois, segundo a autora:

[...] o processo decisrio s pode ser satisfatoriamente informado e
adequadamente instrumentado se puder recorrer legislao, s
resolues j tomadas, aos casos registrados em processo e em dossis
ou aos dados constantes em atos administrativos semelhantes queles de
que se est tratando.

Segundo Menezes (1999, p.12), temas como resgate, recuperao e
preservao das informaes organizacionais esto em voga, no apenas como
objeto de estudo de especialistas, mas, como suporte aos processos e identidade das
organizaes. Para o autor, todos os temas pressupem uma essncia que demanda
cuidados especiais para que as informaes organizacionais no se deteriorem.
Assim, preciso enfatizar que a informao um ativo de valor histrico
para as organizaes por dois motivos principais: O primeiro refere-se natureza
probatria, isto , histria e ao da organizao. O segundo refere-se aos
aspectos que elucidam fatores econmicos, polticos, sociais e de pesquisa no mbito
da organizao.

42
7.3. Classificao da informao
De maneira geral, classificar a informao envolve atividades de
inventrio, definio do grau de relevncia e identificao dos ativos de informao.
Para Campos (2006, p. 121) a classificao da informao essencial
na definio de quantos e quais recursos devem ser investidos para proteger cada
ativo de informao, evitando que altos investimentos sejam feitos para proteger ativos
de pouca importncia para as organizaes e vice-versa.
Sob a tica da Segurana da Informao, o principal objetivo da
classificao da informao assegurar que a informao receba um nvel adequado
de proteo (ABNT NBR ISO/IEC 17799:2005, p. 23) permitindo determinar com
maior preciso os requisitos de tratamento e proteo a ela aplicveis.
A classificao pode ser balizada de acordo com o valor, requisitos
legais, criticidade e grau de sensibilidade atribudo s informaes pela organizao.
Beal (2005, p. 61) enumera uma srie de caractersticas que justificam a
adoo de diferentes nveis de proteo para os ativos informacionais, ao invs da
adoo de um nvel nico de proteo baseado no mais alto patamar de exigncia de
segurana. Dentre eles destacamos:
O custo de proteo dos ativos informacionais normalmente, a
proteo de ativos informacionais envolve altos investimentos. A
classificao da informao e dos ativos associados de acordo
com seus requisitos de segurana permite uma diferenciao
nos recursos utilizados para armazenar a informao e nos
controles aplicados para sua proteo, resultando economias e
ganhos de produtividade para a organizao;

A utilizao de mecanismos de proteo para atender a
determinado objetivo de segurana pode afetar negativamente o
alcance de outro objetivo necessrio definir os requisitos de
segurana de cada tipo de ativo informacional e a etapa do ciclo
de vida da informao para evitar que a utilizao de medidas de
proteo voltadas para determinado objetivo de segurana
prejudique o alcance de outro objetivo;

Independncia da classificao da informao em relao a
cada um dos objetivos de segurana um mesmo ativo de
informao pode, ao mesmo tempo, apresentar grandes
exigncias com relao a um objetivo de segurana e dispensar

43
exigncias com relao a outro objetivo. Os requisitos de
segurana precisam ser analisados separadamente para que se
possam classificar corretamente os ativos informacionais;

Periodicidade da classificao da informao a classificao
dos ativos informacionais deve ser revista periodicamente para
que as informaes possam ser reclassificadas e passem a
receber o tratamento mais adequado de acordo com sua
exigncia.

O modelo de classificao da informao adotado neste trabalho
baseado nas exigncias de confidencialidade, integridade e disponibilidade da
informao.
O nvel de confidencialidade de uma informao definido pelo valor
representativo do diferencial competitivo de mercado ou por exigncias legais. Assim,
algumas informaes devem ter seu sigilo preservado.
O Decreto n
o
4.553/2002, artigo 5
o
, estabelece os ditames de
classificao de confidencialidade (sigilo) dos dados e informaes pblicas, definindo
quatro categorias:
Ultra-secretos: informaes cujo conhecimento no autorizado
possa acarretar dano excepcionalmente grave segurana da
sociedade e do Estado;

Secretos: informaes cujo conhecimento no autorizado possa
acarretar em dano grave segurana da sociedade e do Estado;

Confidenciais: documentos de conhecimento restrito, no
interesse do Poder Executivo e das partes, e cujo conhecimento
no autorizado possa afetar seus objetivos ou acarretar dano
segurana da sociedade e do Estado;

Reservados: documentos cuja revelao no autorizada possa
comprometer planos, operaes ou objetivos neles previstos ou
referidos.

44
Embora a legislao federal no mencione classificaes relativas
integridade e disponibilidade das informaes, importante para as organizaes,
pblicas e privadas, estabelecer estes requisitos.
Para Smola (2003, p. 44), os requisitos de integridade asseguram a
preservao da informao na mesma condio em que foi disponibilizada pelo seu
proprietrio, visando proteg-las contra alteraes indevidas, intencionais ou
acidentais. Quanto aos requisitos de integridade, a informao pode ser classificada
em:
Registrada: informaes classificadas como registradas so
aquelas importantes para o negcio da organizao que,
portanto, exigem cuidados especiais quanto ao seu contedo,
podendo em caso de modificaes indesejveis gerarem
repercusses negativas, quer no mbito interno, causando
prejuzos ou resultados distorcidos, quer no mbito externo,
afetando a sua imagem;

Controlada: informaes classificadas como controladas so
aquelas reservadas ao mbito interno da organizao e que no
exigem os controles rigorosos de auditoria aplicveis s
classificadas como registradas, mas que requerem medidas
excepcionais de controle contra modificaes no autorizadas;

Normal: informaes classificadas como normais so aquelas
que exigem controles quanto a modificao menos rigorosos que
os aplicveis s informaes controladas.

Para definir os requisitos de disponibilidade da informao, convm
analisar o custo de produo e recuperao da informao bem como as
consequncias para a organizao e seus processos produtivos caso a informao
deixe de estar disponvel. Para Beal (2005, p. 65), as concluses das anlises dos
impactos organizacionais decorrentes da falta ou indisponibilidade de informaes e o
tempo necessrio para o surgimento desse efeito permitem classificar as informaes
e os sistemas que a processam, definido a exigncia de disponibilidade e uma ordem
de prioridade para a recuperao em caso de indisponibilidade. Quanto aos requisitos
de disponibilidade, a informao pode ser classificada em:

45
Vital: informaes classificadas como vitais so aquelas
essenciais para a sobrevivncia da organizao cuja perda ou
indisponibilidade por determinado perodo provoca prejuzos
irreparveis para os negcios;

Crtica: informaes classificadas como crticas so aquelas cuja
perda ou indisponibilidade por tempo acima do determinado
implica em srios prejuzos para a organizao;

Comum: informaes classificadas como comum so aquelas
que cuja perda ou indisponibilidade por tempo acima do
determinado no implica em srios prejuzos para a
organizao, dessa forma, no exigem os controles rigorosos de
contingncia e recuperao aplicveis s vitais e crticas.

O subitem 7.2 da Norma Brasileira ABNT NBR ISO/IEC 17799:2005,
que discorre sobre classificao da informao e aponta que, em geral, a classificao
dada informao uma maneira de determinar como esta informao ser tratada e
protegida.

Figura 6 - Classificao da Informao. Fonte: elaborao prpria

46
8. Segurana da informao
8.1. Definio de segurana da informao

Segurana da informao pode ser entendida como o processo de proteger
informaes das ameaas para sua integridade, disponibilidade e
confidencialidade. (Beal, 2005, p.1)

Segurana a proteo de informaes, sistemas, recursos, e servios
contra desastres, erros e manipulao no autorizada, de forma a reduzir a
probabilidade e o impacto de incidentes de segurana. (Dias, 2001, p.41)

Smola (2003, p. 43) define Segurana da Informao como uma rea
do conhecimento dedicada proteo de ativos da informao contra acessos no
autorizados, alteraes indevidas, no-repdio ou sua indisponibilidade. O autor
considera a Segurana a Informao como a prtica da gesto de riscos de incidentes
que afetem a confidencialidade, integridade e disponibilidade da informao. Dessa
forma, definem-se regras que incidem sobre as fases do ciclo de vida da informao
(manuseio, armazenamento, transporte e descarte), viabilizando a identificao e o
controle de ameaas e vulnerabilidades.
A Associao Brasileira de Normas Tcnicas (2005, p.ix) define o termo
Segurana da Informao (SI) como a proteo da informao de vrios tipos de
ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio,
maximizar o retorno sobre os investimentos e as oportunidades de negcio.
Para Zapater e Suzuki (2005, p.6), o conceito de Segurana da
Informao vai muito alm; pressupe a identificao das diversas vulnerabilidades e
a gesto dos riscos associados aos diversos ativos da informao de uma corporao,
independentemente de sua forma ou meio em que so compartilhados ou
armazenados, digital ou impresso. Para eles, o objetivo da segurana garantir a
confidencialidade, a integridade e a disponibilidade desses ativos de informao de
uma corporao. Alguns autores acrescentam a autenticidade e o no-repdio a essas
garantias.
Ramos (2006, p.19) faz uma distino entre os conceitos de segurana
e Segurana da Informao. Para ele, segurana costuma se aplicar a tudo aquilo
que possui valor e, conseqentemente, demanda proteo. E continua: [...] na
Segurana da Informao lidamos com um tipo especfico de ativo que chamamos de
ativo de informao, isto , ativos que geram processam manipulam, transmitem e
armazenam informaes, alm das informaes em si.
Porm, Smola (2003, p. 44) alerta que o termo Segurana da
Informao apresenta uma ambigidade, podendo assumir dupla interpretao:

47
Segurana como meio: uma prtica, de carter
interdisciplinar, composta de metodologias adotadas para tornar
um ambiente mais seguro e aplicaes que visam estabelecer:
controle de segurana dos elementos constituintes de uma rede
de comunicao e ou que manipulem a informao
(autenticao, autorizao e auditoria, por exemplo); e
procedimentos para garantir a continuidade de negcios na
ocorrncia de incidentes.

Segurana como fim: o resultado da prtica adotada e das
polticas voltadas para uma padronizao operacional e
gerencial dos ativos e processos que manipulam a informao.
a caracterstica que a informao adquire ao ser alvo de uma
prtica segura.

No contexto deste trabalho, o conceito mais adequado para segurana
da informao : a proteo da informao de vrios tipos de ameaas para garantir a
continuidade, integridade e disponibilidade da informao adicionalmente, a
autenticidade, responsabilidade, no repdio, legalidade e confiabilidade, podem
tambm estar envolvidas minimizando o risco ao negcio e maximizando o retorno
sobre os investimentos e as oportunidades de negcio. Para tanto, necessrio
implementar um conjunto de controles incluindo polticas processos, procedimentos
e estruturas organizacionais a fim de se obter a segurana da informao. (ABNT
NBR ISO/IEC 17799:2005, p. ix)

8.2. Atributos da segurana da informao
8.2.1. Confidencialidade
Garantia de que o acesso informao restrito aos seus usurios legtimos.
(Beal, 2005, p.1)

Para Dias (2000, p.42) o conceito de confidencialidade est associado
ou conceito de privacidade e implica em proteger as informaes contra acesso de
qualquer pessoa no explicitamente autorizada pelo dono da informao, isto , as
informaes e processos so liberados apenas a pessoas autorizadas, esse objetivo
envolve medidas tais como controle de acesso e criptografia.

48
Para Smola (2003, p. 44), confidencialidade a proteo da
informao de acordo como grau de sigilo de seu contedo, de forma a limitar seu
acesso e uso exclusivamente s pessoas para quem elas so destinadas.
Nos conceitos apresentados, nota-se que o conceito de
confidencialidade est relacionado ao sigilo da informao e legitimidade de seus
usurios. O conceito de confidencialidade mais adequado no contexto deste trabalho
: propriedade que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados. (ISO/IEC 13335-1:2004)

8.2.2. Integridade
Para Beal (2005, p.1), integridade a garantia da criao legtima e da
consistncia da informao ao longo do seu ciclo de vida: em especial, preveno
contra criao, alterao ou destruio no autorizada de dados e informaes.
Para Dias (2000, p. 42), o conceito de integridade est relacionado a
evitar que dados o conceito de dados nesse objetivo amplo, englobando dados,
programas, documentao, registros, fitas magnticas etc - sejam apagados ou de
alguma forma alterados, sem a permisso do proprietrio da informao. Infere-se
que o conceito de integridade est, de alguma forma, relacionado ao conceito de
confidencialidade pelo fato assegurar que os dados no sero modificados por
pessoas no autorizadas. Porm, enquanto finalidade da confidencialidade focada
na leitura dos dados, a integridade preocupa-se com a gravao e alterao dos
dados.
A norma ISO/IEC 13335-1:2004 conceitua integridade como a
propriedade de salvaguarda da exatido e completeza de ativos.

8.2.3. Disponibilidade
Garantia de que a informao e os ativos associados estejam disponveis para
os usurios legtimos de forma oportuna. (Beal, 2005, p.1)

Proteger os servios de informtica de tal forma que no sejam degradados ou
tornados indisponveis sem a devida autorizao. A disponibilidade pode ser
definida como a garantia de que os servios prestados por um sistema so
acessveis, sob demanda, aos usurios ou processos autorizados. Em relao
segurana de informaes, sua principal preocupao prevenir que ataques
deliberados ou maliciosos evitem ou dificultem o acesso de usurios
autorizados a seus sistemas. (Dias, 2000, p.43)

49
Para Smola (2003, p. 44), disponibilidade a garantia de que toda
informao gerada ou adquirida esteja disponvel aos seus usurios autorizados no
momento em que os mesmos delas necessitarem para qualquer finalidade.

8.2.4. Autenticidade
O objetivo da autenticidade da informao englobado pelo de integridade,
quando se assume que este visa a garantir no s que as informaes
permaneam completas e precisas, mas tambm que a informao capturada
do ambiente externo tenha sua fidedignidade verificada e que a criada
internamente seja produzida apenas por pessoas autorizadas e atribuda
unicamente ao seu autor legtimo. (Beal, 2005, p.1)

8.2.5. No repdio
Para Fontes (2000, p.22) no repdio a garantia de que o usurio no
possa negar sua responsabilidade pelo uso ou envio de uma informao.

8.2.6. Legalidade
Garantia de que a informao foi produzida em conformidade com a lei. (Beal,
2005, p.1)

O acesso informao deve estar de acordo com as leis aplicveis,
regulamentos, licenas e contratos para o negcio, bem como os princpios
ticos que deve ser seguidos pela organizao. (Fontes, 2000, p.21)

Smola (2003, p. 46) define legalidade como a caracterstica das
informaes que possuem valor legal dentro de um processo de comunicao, onde
todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a
legislao poltica institucional, nacional ou internacional vigentes.
.

8.3. Segurana da informao e a Cincia da Informao
Para discorrer sobre a relao entre a Cincia da Informao (CI) e a
Segurana da Informao (SI) fundamental definir e conceituar as duas disciplinas:
Para Le Coadic (1996), Cincia da Informao

[...] o estudo da informao e suas propriedades gerais: natureza, gnese
e efeitos, e seus objetivos so a anlise dos processos de construo, sua
utilizao, como a concepo dos produtos, sistemas que permitem sua
organizao, comunicao, armazenamento e uso.

Para Borko (1968), Cincia da Informao

50
[...] a disciplina que investiga as propriedades e o comportamento da
informao, as foras que regem o fluxo informacional e os meios de
processamento para otimizao do acesso e uso. Est relacionada com um
corpo de conhecimento que abrange a origem, coleta, organizao,
armazenamento, recuperao, interpretao, transmisso, transformao e
utilizao da informao.

Como j mencionado, Segurana da Informao definida pela ABNT
NBR ISO/IEC 17799:2005 como

[...] a proteo da informao de vrios tipos de ameaas para garantir a
confidencialidade, integridade e disponibilidade da informao
adicionalmente, a autenticidade, responsabilidade, no repdio, legalidade e
confiabilidade, podem tambm estar envolvidas minimizando o risco ao
negcio e maximizando o retorno sobre os investimentos e as
oportunidades de negcio. (ISO 17799:2005, p.ix)

Ramos (2006) preconiza que se costuma aplicar segurana a tudo
quilo que possui valor e, consequentemente, demanda proteo. (Ramos, 2006,
p.19)
Analogamente, a informao, como ativo de valor, precisa ser protegida.
Nenhum dos aspectos abordados por Borko (1968) e Le Coadic (1996) pode ser
privado da segurana sem ficar exposto ao risco. Alis, a Segurana da Informao
busca desenvolver meios para garantir que estes atinjam seus objetivos de forma mais
efetiva e eficaz.
Adicionalmente, sendo o objeto de estudo da Segurana da Informao
a informao com valor e o da Cincia da Informao a informao em todos os seus
aspectos, pode-se inferir que o objeto de estudo da Segurana da Informao est
contido no objeto de estudo da Cincia da Informao, conforme representado na
figura abaixo:

Figura 7 - Objetos de Estudo da CI e da SI. Fonte: elaborao prpria.

51
A Cincia da Informao estuda o ciclo de vida da informao, este
composto pelos momentos vividos pela informao dentro de um sistema natural,
informacional, organizacional etc - em determinado espao de tempo.
Destacamos quatro grandes momentos vividos pela informao:

a) Manuseio momento de criao e manipulao da informao.
Nesta etapa, preciso atentar-se para a confidencialidade,
integridade e disponibilidade da informao. Sob o aspecto da
confidencialidade, a informao produzida ou manipulada pode ser
de acesso restrito, tendo em vista o processo de classificao da
informao. Da mesma forma, a preocupao com o uso legtimo da
informao pode legar a requisitos de confidencialidade, restringindo
o acesso e uso de dados e informaes s pessoas devidamente
autorizadas. No que tange a integridade, existe a preocupao para
que a informao tenha sido criada de forma legtima e por algum
autorizado a produzi-la ou ser proveniente de uma fonte confivel,
livre de adulteraes e precisa de acordo com as necessidades
levantadas em cada grupo de usurios. As questes relacionadas
disponibilidade podem prejudicar os processos decisrios e
operacionais da organizao.

b) Armazenamento momento em que a informao armazenada.
Nesta etapa, necessrio assegurar a conservao dos dados e
informaes, permitindo o seu uso dentro da organizao. Assim, os
objetivos de integridade e disponibilidade dos dados e informaes
adquirem maior destaque.

c) Transporte momento em que a informao transporta, seja em
meio fsico ou eletrnico;

d) Descarte momento em que a informao considerada obsoleta
ou intil para a organizao descartada fsica ou eletronicamente.
O descarte das informaes precisa ser realizado dentro dos critrios
de segurana, considerando, principalmente os princpios da
confidencialidade e da disponibilidade. Sob o aspecto da
confidencialidade, dados de carter sigiloso devem ser destrudos.
No que tange disponibilidade, as preocupaes incluem a

52
legalidade da destruio de informaes que podem vir a ser
exigidas no futuro e a necessidade de preservao de dados
histricos valiosos para a organizao.

Smola (2003) prope um modelo onde destaca esses momentos em
que a informao tratada por ativos fsicos, tecnolgicos ou humanos, suportando
processos organizacionais. So fases crticas que, no raramente, expem a
informao ao risco. Tal exposio justifica os esforos das empresas para
diagnosticar e trabalhar na gesto da segurana no ciclo de vida da informao. A
figura a seguir representa essa interrelao:

Figura 8 - Ciclo de vida da informao e Segurana da Informao. Fonte: Smola (2003, p.11)

8.4. Pilares da segurana da informao
8.4.1. Pessoas
A corrente to forte quanto seu elo mais fraco. O ditado popular
pode ser aplicado no mbito da segurana da informao quando tratamos dos
aspectos humanos a ela relacionados.
As pessoas so consideradas o elemento central de um sistema de
segurana da informao e, ao mesmo tempo, o seu elo frgil. Para Beal (2005, p.
71), a associao pode ser entendida quando se imagina que qualquer esquema de
segurana, por mais sofisticado que seja, pode ser derrubado pela atuao de uma

53
nica pessoa que decida abusar de seus privilgios de acesso a dados ou instalaes
de processamento da informao.
Adicionalmente, fato que qualquer incidente de segurana da
informao envolve pessoas, quer pelo lado das vulnerabilidades exploradas, quer
pelo lado das ameaas que exploram essas vulnerabilidades.
Sendo assim, fundamental que os aspectos humanos e seus
possveis controles incluindo definio de responsabilidades, procedimentos de
seleo e poltica de pessoal, acordos de confidencialidade, segregao de funes,
treinamento e cultura organizacional tenham sua relevncia considerada em um
sistema de gesto de segurana da informao.
Outro aspecto de grande importncia na relao entre pessoas e
segurana da informao a engenharia social. Engenharia social consiste em uma
tcnica onde agentes mal-intencionados, valendo-se da ingenuidade, confiana ou
ignorncia de usurios, obtm, de forma indevida, informaes confidenciais (pessoais
e corporativas) que podem comprometer a segurana da organizao.

8.4.2. Processos
A idia de dividir o trabalho em atividades seqenciais surgiu no incio
do sculo XX, quando o engenheiro francs Henry Fayol definiu gerenciamento como
uma disciplina e publicou, entre seus 14 princpios gerenciais, a diviso do trabalho em
tarefas.
No segundo captulo do livro, Gesto por processos: uma abordagem
moderna, De Sordi (2005, p. 21), apresenta definies de processos propostas por
vrios autores, entre eles:

Davenport (2003 apud De Sordi, 2005, p. 21): uma organizao
de atividades de trabalho, com incio e fim e com entradas e
sadas claramente definidas;

Bereta (2002 apud De Sordi, 2005, p. 21): o local onde os
recursos e as competncias da empresa so ativados a fim de
criar uma competncia organizacional capaz de preencher suas
lacunas a fim de gerar uma vantagem competitiva sustentvel;

54
Hammer & Champy (1997 apud De Sordi, 2005, p. 21): um
conjunto de atividade cuja operao conjunta produz um
resultado de valor para o cliente;

Harrington (1991 apud De Sordi, 2005, p. 21): um grupo de
tarefas interligadas logicamente, que utilizam os recursos da
organizao para a gerao de resultados predefinidos, visando
apoiar os objetivos da empresa.

Isso posto, definiremos processos como um conjunto de atividades ou
etapas da produo a serem executadas, com emprego de recursos organizacionais, a
fim de gerar valores aos seus clientes.
Os processos atuam como meios integradores dos recursos
organizacionais pessoas, papis e responsabilidades, polticas e regras, estrutura
organizacional e TI e a sua relevncia uma varivel importante para a definio do
impacto de um incidente de segurana da informao em determinado ambiente.
Segundo Campos (2006, p. 60), alm da definio de relevncia dos
processos, o entendimento do fluxo da informao entre os processos, outra varivel
fundamental para a compreenso de que informaes precisam ser protegidas. Com a
viso do fluxo das informaes entre os processos, o entendimento de onde as
informaes so geradas torna-se mais claro e, consequentemente, a definio de
controles para garantir a segurana das informaes que so essenciais para os
processos torna-se mais fcil.

8.4.3. Tecnologia
No atual ambiente globalizado de negcios, onde disponibilidade e
acessibilidade s informaes ocupam lugares de destaque, a maioria das
organizaes utiliza recursos tecnolgicos para armazenar suas informaes e dados
corporativos.
Cria-se uma relao de dependncia onde a diferena entre o fracasso
e o triunfo organizacional est relacionada s informaes fornecidas por sistemas
baseados em tecnologia da informao. Dessa forma, o impacto da indisponibilidade
desses sistemas pode ser comparado ao impacto da indisponibilidade da prpria
informao.
A despeito dos grandes investimentos feitos em tecnologia visando
mitigar os problemas da disponibilidade e acessibilidade da informao, somente a

55
tecnologia no suficiente para resolver estes problemas. Segundo Marciano (2007),
a tecnologia da informao capaz de apresentar parte da soluo, no sendo,
contudo, capaz de resolv-los integralmente, e at mesmo contribuindo, em alguns
casos, para agrav-los.

8.4.4. A relao entre os pilares da segurana da informao
De acordo com a Pesquisa Global sobre Segurana da Informao
2006, conduzida pela Ernest & Young, entre abril e junho de 2006, com executivos de
aproximadamente 1200 organizaes globais e agncias governamentais e sem fins
lucrativos, em 48 pases, nos ltimos anos houve significativos investimentos em
segurana da informao, incluindo, no somente a tecnologia, mas com nfase em
pessoas e processos.
Inferimos, portanto, que os trs fatores TI, processos e pessoas
interferem na Segurana da Informao e constituem os pilares que do sustentao a
Segurana da Informao, os quais, se no balanceados, podem colocar em risco
todo o esforo a ela (segurana da informao) dedicado.
Neto; Martins; Crte & Silva (2008) descrevem, por meio do diagrama
de Ishikawa
7
, os fatores que interferem na Segurana da Informao conforme
apresentado na figura 9, a seguir:

Figura 9 - Diagrama de Ishikawa: fatores que interferem na Segurana da Informao. Fonte: Neto; Martins; Crte &
Silva (2008).

7
Trata-se de uma forma de anlise que permite esclarecer relao entre efeitos dos eventos e suas causas
provveis. Permite agrupar as causas em vrias categorias, o que facilita o processo de seu prprio levantamento.
(Mandarini, 2005, p. 41)

56
Baseados no Axioma 2 de Euclides onde definido que "trs pontos
definem um plano", na geometria Euclideana os autores representam a segurana
da informao apoiada sobre um plano formado por trs pilares, quais sejam, a
tecnologia, os processos e as pessoas. Por fim, concluem que caso no haja equilbrio
entre estes trs pilares o plano ficar inclinado, afetando diretamente a estabilidade da
segurana da informao. A figura 10 apresenta graficamente esta idia.

Figura 10 - Os pilares da Segurana da Informao. Fonte: Neto; Martins; Crte & Silva (2008)

8.5. Arcabouo normativo e padres de segurana da informao
Normas e padres tcnicos tm por objetivo definir regras, critrios e
registrar as melhores prticas para promover a uniformidade e a qualidade de
processos organizacionais, produtos e servios.
As normas e padres tcnicos de Segurana da Informao prezam
pela qualidade dos processos e integridade das informaes. So mecanismos que
orientam o comportamento das pessoas em um ambiente organizacional e,
geralmente, determinam uma srie de restries e condutas obrigatrias.
Adicionalmente, auxiliam as organizaes a implementar as melhores prticas da
Segurana e Tecnologia da Informao.
Convm que todo o sistema de Segurana da Informao esteja em
conformidade com as orientaes de normatizao e regulamentao do mercado e
em consonncia com as leis, internacionais e nacionais.
A seguir, so apresentados o arcabouo normativo e alguns padres
mais conhecidos e utilizados por organizaes que possuem um sistema de gesto de
Segurana da Informao:

57
8.5.1. Information Technology Security Evaluation Criteria - ITSEC
Publicado pela primeira vez em 1990, resultado do esforo conjunto
dos governos da Frana, Alemanha, Pases Baixos e Reino Unido e compreende um
conjunto estruturado de padres e critrios para avaliar a segurana de produtos e
sistemas computacionais (ITSEC, 1991).
Em junho de 1991, aps reviso de vrios pases da comunidade
europia, foi publicadada a verso 1.2 do padro ITSEC. Nos ltimos tempos tem sido
substitudo pelo Common Criteria.

8.5.2. Common Criteria for Information Technology Security Evaluation
Em portugus: Critrio Comum para Avaliao de Segurana de
Tecnologia da Informao. O Common Criteria (CC) um projeto patrocinado por sete
organizaes de seis pases distintos, so eles:

Alemanha: Bundesamt fr Sicherheit in der Informationstechnik;
Canad: Communications Security Establishment;
Estados Unidos: National Institute of Standards and Technology e
National Security Agency;
Frana: Service Central de la Scurit ds Systmes dInformation;
Holanda: Netherlands National Communicarions Security Agency; e
Reino Unido: Communications-Electronics Security Group.

Tendo como pblico alvo os desenvolvedores, avaliadores e usurios
de sistemas e produtos de TI que requerem segurana, seu principal objetivo ser
referncia para avaliao de propriedades de segurana de produtos e sistemas de TI,
a partir de caractersticas do ambiente da aplicao e de um conjunto de critrios fixos
que permitem especificar a segurana de uma aplicao de forma no ambgua.
O processo de avaliao estabelece os nveis de confiabilidade que as
funes avaliadas atingem conforme os requisitos estabelecidos, ajudando os usurios
a determinar se os sistemas e produtos de TI possuem os nveis de segurana
desejados e se os riscos inerentes ao seu uso so aceitveis.

58
8.5.3. COBIT (Control Objectives for Information and Related
Technology)
Desenvolvido pelo IT Governance Institute e pela Information Systems
Audit and Control Association ISACF, o COBIT um conjunto de diretrizes para a
gesto e auditoria de processos, prticas e controles de TI e oferece um modelo de
maturidade para o controle dos processos de TI. Suas prticas so divididas em
quatro domnios: planejamento e organizao, aquisio e implementao, entrega e
suporte e monitorao. (COBIT, 2007)
Apresenta pontos de controles para 34 processos, dentre eles a
segurana da informao. Este tem como principal objetivo auxiliar a organizao a
equilibrar riscos e retorno de investimento (ROI) em TI.

8.5.4. BS 7799 e ISO/IEC 17799
Publicada em 1995 pelo British Standards Institution BSI, a norma BS
7799 dividida em duas partes e trata da gesto da segurana da informao. A
norma britnica BS 7799 tornou-se um padro em 2000 quando a International
Organization for Standardzation ISO a adotou sob o nome de ISO/IEC 17799. No
Brasil, publicada pela Associao Brasileira de Normas Tcnicas ABNT, com a
denominao NBR ISO/IEC 17799.
A primeira parte da norma BS 7799-1, oficialmente denominada Code
of Practice for Information Security Management, descreve os controles de segurana
fundamentais ao ambiente organizacional.
A segunda parte da norma, BS 7799-2, voltada para a definio de um
Sistema de Gesto de Segurana da Informao e preconiza que os Sistemas de
Gesto de Segurana da Informao devem se focar na gesto de riscos de forma a
garantir a avaliao e o tratamento dos riscos, bem como a melhoria dos processos e
a atualizao dos sistemas frente as mudanas do ambiente de negcios.
A norma NBR ISO/IEC 17799 uma adaptao da primeira parte da
norma BS7799 e traz um conjunto de boas prticas para a gesto da Segurana da
Informao. Adicionalmente, versa sobre conceitos bsicos relacionados Segurana
da Informao e destaca sua importncia para os negcios. (ABNT, 2005)

8.5.5. ABNT NBR ISO/IEC 27001:2006
Elaborada no Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes

59
de Informtica (CE-21:204.01), uma traduo idntica da ISO/IEC 27001:2005, que
foi elaborada pelo Join Technical Commitee Information Technology (ISO/IEC/JTC 1),
subcommitee IT Security Tecchniques (SC27).
Essa norma prov um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de
Segurana da Informao (SGSI) a partir do modelo Plan-Do- Check-Act (PDCA).
(ABNT, 2006)
Os requisitos previstos na norma so abrangentes e aplicveis a todas
as organizaes, independente de tamanho, tipo e natureza.

8.5.6. ABNT NBR ISO/IEC 27005
Publicada em julho de 2008, a norma ABNT NBR ISO/IEC 27005 foi
elaborada no Comit Brasileiro de Computadores e Processamento de Dados, pela
Comisso de Estudo de Tecnologia da Informao (CE-21:027).
uma adoo idntica, em contedo tcnico, estrutura e redao,
norma ISO/IEC 27005:2008, essa elaborada pelo Technical Committee Information
Technology.
A norma ABNT NBR ISO/IEC 27005 fornece diretrizes para o processo
de gesto de riscos em segurana da informao, podendo ser aplicada a todos os
tipos de organizao que pretendam gerir os riscos que poderiam comprometer a
segurana da informao da organizao. (ABNT, 2008)

8.5.7. ISO Guide 73 Risk management Vocabulary Guidelines for
Use in Standard
Publicada em 2002, a norma ISO Guide 73 Risk management
Vocabulary Guidelines for Use in Standard apresenta a definio de 29 termos da
Gesto de Riscos, agrupados em quatro categorias: termos bsicos, relacionados a
pessoas ou organizaes afetadas por riscos, relacionados a avaliao de riscos,
relacionados a tratamento e controle de riscos.
Sua principal aplicao equalizar o entendimento de conceitos
relacionados a Segurana da Informao e Gesto de Riscos.

60
8.5.8. ISO 13335 Guidelines for the Management of IT Security
Consiste em um conjunto de diretrizes de gesto de segurana
aplicadas a tecnologia da informao. A norma tem por objetivos servir de base para o
desenvolvimento e aprimoramento de estruturas de segurana de TI e estabelecer
uma referncia de gesto de segurana para as organizaes.
A norma ISO 13335 trata conceitos e modelos para a segurana de TI;
administrao e planejamento de segurana de TI; tcnicas para a gesto da
segurana de TI; escolha e definio de medidas de proteo; e, da orientao
gerencial em segurana de redes de computadores. (ISO/IEC 13335-1:2004, 2004)

8.6. Arcabouo legal de Segurana da Informao
A legislao brasileira, com relao Segurana da Informao,
incipiente se comparada a legislaes de pases europeus ou dos Estados Unidos.
Porm existem alguns dispositivos legais sobre assuntos relativos tecnologia da
informao, direitos autorais, sigilo de informaes e Segurana da Informao,
inclusive no mbito da Administrao Pblica, dentre eles:

Constituio Federal, Artigo 5, inciso X: Sigilo das informaes
relacionadas intimidade ou vida privada de algum;

Constituio Federal, Artigo 5, inciso XXXIII e Artigo 37, 3,
inciso II: Disponibilidade das informaes constantes nos rgos
pblicos, exceto das sigilosas.

Constituio Federal, Artigo 216, 2: Obrigao da
Administrao Pblica de promover a gesto documental.

Constituio Federal, Artigo 37, caput: Vinculao da
Administrao Pblica aos princpios da legalidade,
impessoalidade, moralidade, publicidade e eficincia.

Lei n. 7.170, de 14 de dezembro de 1983: define os crimes
contra a segurana nacional, a ordem poltica e social,
estabelece seu processo de julgamento. Artigo 13: Sigilo de
dados sigilosos relacionados segurana nacional.

61
Lei n. 7.232, de 29 de outubro de 1984: dispe sobre a Poltica
Nacional de Informtica. Artigo 2, inciso VIII: Sigilo dos dados
relacionados intimidade, vida privada e honra, especialmente
dos dados armazenados atravs de recursos informticos.

Consolidao das Leis do Trabalho CLT, Artigo 482, alnea
g: Proteo das informaes sigilosas acessadas no exerccio
de emprego pblico.

Decreto n 1.171, de 22 de junho de 1994: aprova o Cdigo de
tica do Servidor Pblico Civil do Poder Executivo Federal.
Alneas h e I do inciso XV da Seo II: Proteo da
integridade e disponibilidade das informaes pblicas.

Lei n 8.027, de 12 de abril de 1990: dispe sobre normas de
conduta dos servidores pblicos civis da Unio, das autarquias e
das fundaes pblicas. Artigo 5, incisos I e V: Proteo das
informaes privilegiadas produzidas ou acessadas no exerccio
de cargo ou funo pblica.

Cdigo Penal, Artigo 153: Proteo do sigilo das informaes
classificadas constantes nos sistemas ou bancos de dados da
Administrao Pblica.

Cdigo Penal, Artigo 154: Proteo do sigilo das informaes
conhecidas em razo de funo, ministrio, ofcio ou profisso.

Cdigo Penal, Artigo 297: Proteo da integridade e
autenticidade dos documentos pblicos.

Cdigo Penal, Artigo 305: Proteo da disponibilidade e
integridade das informaes constantes nos rgos e entidades
pblicos.

62
Cdigo Penal, Artigos. 313 A e 313-B: Proteo da integridade
e disponibilidade das informaes constantes nos rgos e
entidades pblicos.

Cdigo Penal, Artigo 314: Proteo da disponibilidade das
informaes constantes nos rgos e entidades pblicos.

Cdigo Penal, Artigo 325: Proteo das informaes sigilosas
acessadas no exerccio de cargo, funo ou emprego pblico.

Cdigo Processo Penal, Artigo 20: Sigilo do inqurito policial.

Cdigo Processo Penal, Artigo 745: Sigilo do processo de
reabilitao do condenado.

Cdigo Tributrio Nacional, Artigo 198: Proteo do sigilo
fiscal.

Cdigo Processo Civil, Artigo 347, inciso II c/c Artigo 363,
inciso IV: Direito da parte de guardar sigilo profissional.

Cdigo Processo Civil, Artigo 406, inciso II c/c Artigo 414,
2: Direito da testemunha de guardar sigilo profissional.

Lei n 6.538, de 22 de junho de 1978, Artigo 41: Sigilo de
correspondncia.

Lei n 7.492, de 16 de junho de 1986: define os crimes contra o
sistema financeiro nacional, Artigo 18: Proteo das
informaes sigilosas no mbito das instituies financeiras ou
integrantes do sistema de distribuio de ttulos mobilirios.

Lei n 8.112, de 11 de dezembro de 1990: dispe sobre o
regime jurdico dos servidores pblicos civis da Unio, das
autarquias e das fundaes pblicas federais. Artigo 116, inciso

63
VIII e Artigo 132: Sigilo das informaes produzidas ou
conhecidas no exerccio de cargo ou funo pblica.

Lei no 8.159, de 8 de janeiro de 1991: trata da poltica nacional
de arquivos pblicos e privados. Foi retificada no Dirio Oficial
da Unio de 28/01/1991;

Lei n 9.296, de 24 de julho de 1996: regulamenta o inciso XII,
parte final, do artigo 5 da Constituio Federal. Artigo 10: Sigilo
dos dados e das comunicaes privadas. O disposto nessa lei
aplica-se a interceptao do fluxo de comunicaes em sistemas
de informtica e telemtica;

Lei n 9.507, de 12 de novembro de 1997: regula o direito de
acesso a informaes e disciplina o rito processual do habeas
data.

Lei n 8.159, de 08 de janeiro de 1991: dispe sobre a Poltica
Nacional de Arquivos Pblicos e Privados e d outras
providncias.

Lei Complementar 105, de 10 de janeiro de 2001: dispe sobre
o sigilo das operaes de instituies financeiras e d outras
providncias.

Lei n 11.111, de 05 de maio de 2005: regula o direito
informao e ao acesso aos registros pblicos.

Decreto no 2.134, de 8 de janeiro de 1991: regulamenta o Artigo
23 da Lei n 8.159, que dispe sobre a categoria dos
documentos pblicos sigilosos e o acesso a eles;

Decreto n 3.505, de 13 de junho de 2000: institui a Poltica de
Segurana da Informao nos rgos e entidades da
Administrao Pblica Federal.

64
Decreto n 4.553, de 27 de dezembro de 2002: dispe sobre a
salvaguarda de dados, informaes, documentos e materiais
sigilosos de interesse da segurana da sociedade e do Estado,
no mbito da Administrao Pblica Federal, e d outras
providncias.

Decreto n 5.301, de 09 de dezembro de 2004: institui a
Comisso de Averiguao e Anlise de Informaes Sigilosas,
dispe sobre suas atribuies e regula seu funcionamento.

Decreto n 5.584, de 18 de novembro de 2005: dispe sobre o
recolhimento ao Arquivo Nacional dos documentos arquivsticos
pblicos produzidos e recebidos pelos extintos Conselho de
Segurana Nacional - CSN, Comisso Geral de Investigaes -
CGI e Servio Nacional de Informaes - SNI, que estejam sob a
custdia da Agncia Brasileira de Inteligncia - ABIN.

Decreto no 79.099, de 06 de janeiro de 1977: aprova o
regulamento para a salvaguarda de assuntos sigilosos;

Instruo Normativa GSI n 1, de 13 de junho de 2008:
disciplina a Gesto de Segurana da Informao e
Comunicaes na Administrao Pblica Federal, direta e
indireta.

Resoluo n 7, de 29 de julho de 2002: estabelece regras e
diretrizes para os stios na Internet da Administrao Pblica
Federal.

9. Gesto de Riscos
9.1. Definio de Gesto de Riscos
Segundo Salles (2006, p. 19), o termo risco tem origem no italiano
antigo risicare, que quer dizer ousar (Bernstein, 1997), e no sentido de incerteza,
derivada do latim risicu e riscu. Nesse contexto, o termo risco deve ser interpretado

65
como um conjunto de incertezas encontradas quando ousamos fazer algo, e no
apenas como problema.
No contexto deste trabalho, a definio mais adequada de risco a
proposta por Oliveira (2001, p. 55): risco a probabilidade de uma ameaa explorar
vulnerabilidades para causar perdas ou danos a um ativo ou grupo de ativos da
organizao. Desta forma, riscos so determinados pela combinao das ameaas,
vulnerabilidades e valores dos ativos, valores estes mensurados com base no impacto
destes ativos aos negcios da organizao, onde impacto se traduz como os
resultados de um incidente inesperado.
Nos dias de hoje, os meios de comunicao tem registrado diariamente
vrias questes que trazem preocupao para a humanidade: devastao do meio
ambiente, instabilidade financeira, violncia, drogas, desastres naturais decorrentes de
mudanas climticas.
Os acontecimentos scio-econmicos corroboram para caracterizar que
vivemos em um mundo repleto de incertezas sociais, polticas e econmicas e com
novas categorias de riscos que no podem ser desconsideradas no contexto das
organizaes.
O conceito de gesto de risco tem sido adotado de formas dispersas por
diferentes grupos e para questes bastante distintas.
Cicco (1990, p.25) apresenta vrias definies de gesto de riscos sob
o prisma de vrias reas:

Para organizaes ligadas rea de seguro, gesto de riscos
a cincia que se ocupa dos chamados riscos segurveis e da
reduo dos custos de seguro;
Para profissionais da rea financeira, a gesto de riscos consiste
no uso de tcnicas de proteo de ativos financeiros e no
manejo adequado de taxas de juros;
Para muitos polticos e analistas sociais, representa o controle
de situaes que podem afetar o meio ambiente e so
decorrentes do avano tecnolgico crescente e desordenado;
Para administradores hospitalares, pode significar o mesmo que
garantia da qualidade dos servios prestados aos pacientes.

66
Na verdade, a existncia de todas estas abordagens resultado das
crescentes incertezas
8
que cercam o mundo que vivemos e suas limitaes advm do
fato de focalizarem somente uma parte de todo o espectro de riscos a que as
organizaes esto expostas.
A gesto de riscos um elemento central que faz parte do planejamento
estratgico da organizao e deve ser praticado por todos os nveis da administrao.
O Committee of Sponsoring Organizations of the Treadway Commission
COSO (2004, p.4) define gesto de riscos como um processo aplicado no
estabelecimento de estratgias formuladas para identificar na organizao eventos em
potencial, capazes de afet-la, e administrar os riscos de modo a mant-los
compatveis com a tolerncia da organizao e possibilitar garantia razovel do
cumprimento dos seus objetivos.
A Federation of European Risk Management Associations - FERMA
(2003, p.3) define gesto de riscos como o processo por meio do qual as organizaes
analisam metodicamente os riscos inerentes s suas respectivas atividades, com o
objetivo de atingirem uma vantagem sustentada em cada atividade individual e no
conjunto de todas as atividades.
O COSO (2004, p. 3) admite duas premissas inerentes a gesto de
riscos corporativos. A primeira que as organizaes existem para gerar valor s
partes interessadas. A segunda que todas as organizaes enfrentam incertezas.
Diante disso, o grande desafio de seus administradores determinar at que ponto
tolerar essas incertezas, assim como estabelecer como essas incertezas podem
interferir nos processos de gerao de valores s partes interessadas.
A gesto de riscos corporativos permite que os administradores tratem
como maior eficcia as incertezas bem como os riscos e oportunidades a elas
associados, a fim de melhorar a capacidade de gerar valor.
Ainda de acordo com aquele comit, o planejamento estratgico e a
definio de objetivos para alcanar o equilbrio entre as metas de crescimento, o
retorno de investimentos e os riscos a eles associados permitem que as organizaes
maximizem a gerao de valor e melhorem a explorao de seus recursos na buscas
de seus objetivos.
O framework proposto pelo Committee of Sponsoring Organizations of
the Treadway Commission COSO (2004, p. 3) enumera algumas finalidades da
gesto de riscos, dentre elas:

8
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor aos negcios. (COSO,
2004, p. 3)

67
Alinhar a tolerncia ao risco com o planejamento estratgico
corporativo;
Subsidiar as decises em respostas aos riscos corporativos;
Reduzir as surpresas e prejuzos operacionais decorrentes de
eventos potenciais;
Identificar e administrar riscos mltiplos e entre
empreendimentos possibilitando respostas eficazes a impactos
inter-relacionados;
Identificar e aproveitar as oportunidades de forma proativa;
Conduzir uma avaliao eficaz das necessidades de capital e
aprimorar a alocao desse capital.

Neste estudo vamos nos ater aplicao da gesto de riscos na
segurana da informao. Nesta abordagem, definiremos gesto de riscos como:
conjunto de processos que permite s organizaes identificar e implementar as
medidas de proteo necessrias para diminuir os riscos a que esto sujeitos os seus
ativos de informao, e equilibr-los com os custos operacionais e financeiros
envolvidos. (Beal, 2005, p. 11)
Devemos ter como premissa bsica que no existe sistema seguro em
todos os aspectos. Existem diferenas de complexidade, emprego de recursos e
custos financeiros para manter os ativos de informao a salvo de ameaas sua
confidencialidade, integridade e disponibilidade. Partindo dessa premissa, o enfoque
de gesto baseado nos riscos especficos para o negcio assume um papel de suma
importncia, pois conhecendo as ameaas e as vulnerabilidades a que esto sujeitas
as informaes, bem como os impactos decorrentes do comprometimento de sua
segurana, a tomada de deciso sobre como empregar recursos para proteger os
dados corporativos torna-se melhor fundamentada e mais confivel.

9.2. Termos relacionados gesto de riscos
A seguir sero apresentadas as definies adotadas nesta pesquisa
para vrios termos relacionados gesto de riscos. Diante da existncia de vrios
diferentes cenrios organizacionais de aplicao da gesto de riscos, importante
promover ajustes na terminologia adotada para adequao ao escopo em que est
sendo estudada a gesto de riscos.

68
Aceitao do risco: deciso de aceitar um risco. (ABNT ISO/IEC Guia
73:2005)

Agente: fonte produtora de um evento que pode ter efeitos adversos
sobre um ativo e informao. (Beal, 2005, p.14)

Alvo: ativo de informao que pode ser objeto de um ataque/incidente.
(Beal, 2005, p.14)

Anlise do risco: uso sistemtico de informao para identificar fontes
e estimar o risco. A anlise de risco oferece ma base para a avaliao, o tratamento e
a aceitao do risco. (Beal, 2005, p. 12)

Ataque: evento decorrente da explorao de uma vulnerabilidade por
uma ameaa. (Beal, 2005, p.14)

Atenuao: limitao de quaisquer conseqncias negativas de um
evento em particular. (Beal, 2005, p. 13)

Avaliao do risco: processo de comparao do risco estimado com o
critrio de risco determinado para determinar sua relevncia. (Beal, 2005, p. 12)

Controle do risco: aes para implementao das decises de gesto
do risco. O controle do risco pode envolver monitorao, reavaliao e conformidade
com decises. (Beal, 2005, p. 13).

Comunicao do risco: traa o compartilhamento da informao sobre
o risco feita entre o tomador de deciso e outros stakeholders. (Beal, 2005, p. 12)

Conseqncia: resultado de um evento. [ABNT ISO/IEC Guia 73:2005]

Critrios de risco: termos de referncia pelos quais a relevncia do
risco avaliada. [ABNT ISO/IEC Guia 73:2005]

Estimativa do risco: processo usado para atribuir valores
probabilidade e as conseqncias de um risco. A estimativa do risco pode considerar

69
custo, benefcios, preocupaes de stakeholders e outras variveis apropriadas para a
avaliao do risco. (Beal, 2005, p. 12)

Estudo do risco: processo global de anlise e avaliao do risco.
(Beal, 2005, p. 13)

Evaso do risco: deciso de no envolver, ou ao de fuga de uma
situao de risco. (Beal, 2005 p. 13)

Evento: evento a ocorrncia de um conjunto particular de
circunstncias, que caracterizam uma ocorrncia ou srie delas. (ABNT ISO/IEC Guia
73:2005)
Para o COSO (2004, p. 16), evento um incidente ou ocorrncia gerada
a partir de fontes inter ou extra-organizacionais que pode causar impactos negativos
e/ou positivos na realizao dos objetivos organizacionais.

Fonte: item ou atividade associada a uma consequncia potencial

Gesto do risco: atividades coordenadas para diferenciar e controlar
uma organizao no que se refere a riscos. (ABNT ISO/IEC Guia 73:2005)

Identificao do risco: processo de localizar, listar e caracterizar
elementos do risco. Os elementos podem incluir fonte, evento, consequncia e
probabilidade.

Otimizao do risco: processo relacionado a um risco para minimizar
as consequncias negativas e maximizar as consequncias positivas e suas
respectivas probabilidades. (Beal, 2005, p. 13)

Parte interessada: pessoa ou grupo que possui interesse no
desempenho ou sucesso de uma organizao. (Beal, 2005, p. 12)

Percepo do risco: maneira pela qual um stakeholder v um risco,
com base em um conjunto de valores ou preocupaes. (Beal, 2005, p. 12)

70
Probabilidade: nmero real na escala de 0 a 1 associado a um evento
aleatrio, que pode estar relacionado a uma frequncia de ocorrncia relativa de longo
prazo ou a um grau de confiana de que um evento irar ocorrer. (Beal, 2005, p. 12)

Reduo do risco: aes tomadas para reduzir a probabilidade, as
consequncias negativas ou ambas, associadas a um risco (Beal, 2005, p. 13)

Risco: combinao da probabilidade de um evento e de suas
consequncias. (ABNT ISO/IEC Guia 73:2005)

Risco residual: risco remanescente aps o tratamento de riscos.
(ABNT ISO/IEC Guia 73:2005)

Stakeholder: qualquer indivduo, grupo ou organizao que pode influir,
sofrer influncia ou perceber-se como sendo afetado por um risco. (Beal, 2005, p. 12)

Tratamento do risco: processo de seleo e implementao de
medidas para modificar um risco. (ABNT ISO/IEC Guia 73:2005)

9.3. Componentes do risco
9.3.1. Ameaa
De acordo com a norma ISO/IEC 13335-1:2004, ameaa a causa
potencial de um incidente indesejado, que pode resultar em dano para um sistema ou
organizao.
Beal (2005, p.14) define ameaa como expectativa de acontecimento
acidental ou proposital, causado por um agente, que pode afetar um ambiente,
sistema ou ativo de informao.
No contexto deste estudo, ameaas so agentes ou condies que
causam incidentes que comprometam as informaes e seus ativos por meio da
explorao de vulnerabilidades, provocando perdas de confidencialidade, integridade e
disponibilidade e consequentemente, causando impactos aos negcios de uma
organizao.
Considerando a intencionalidade, as ameaas podem ser divididas nos
seguintes grupos:
Naturais ameaas decorrentes de fenmenos da natureza, como
incndios naturais, enchentes, terremotos, tempestades, maremotos, aquecimento,
poluio etc.

71
Involuntrias ameaas inconscientes, quase sempre causadas pelo
desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc.
Voluntrias ameaas propositais causadas por agentes humanos
como hackers, invasores, espies, ladres etc.

9.3.2. Vulnerabilidade
De acordo com a norma ABNT NBR ISO/IEC 17799:2005,
vulnerabilidade a fragilidade de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaas.
Para esta pesquisa, o conceito mais adequado para vulnerabilidade :
fragilidade presente ou associada a ativos que manipulam e/ou processam
informaes que, ao ser explorada por ameaas, permite a ocorrncia de um incidente
de segurana, afetando negativamente um ou mais princpios da segurana da
informao: confidencialidade, integridade e disponibilidade.
Segundo Smola (2003, p.48), as vulnerabilidades por si s no
provocam incidentes, pois so elementos passivos, necessitando para tanto de um
agente causador ou condio favorvel, que so as ameaas.

9.3.3. Impacto
Smola (2003, p. 50) define impacto como a abrangncia dos danos
causados por um incidente de segurana sobre um ou mais processos de negcio.
Beal (2005, p. 14) faz uma correspondncia da definio do termo
impacto com a definio do termo conseqncia proposta pela ABNT na norma
ISO/IEC Guia 73:2005. Dessa forma, na definio da autora, impacto o efeito ou
conseqncia de um ataque ou incidente para a organizao.
9.3.4. Incidente
Fato ou evento decorrente da ao de uma ameaa, que explora uma
ou mais vulnerabilidades, levando perda de princpios da segurana da informao.
(Smola, 2003, p.50)

10. Mtodos de Anlise de Riscos Organizacionais
Realizar a anlise de riscos em uma organizao implica em aplicar
metodologias, tcnicas e artifcios a fim de descrever, analisar e interpretar dados
estatsticos e o histrico de incidentes.

72
O resultado dessa anlise a construo de parmetros e a utilizao
de dispositivos que permitam prospectar, inferir, organizar e formalizar julgamentos
probabilsticos acerca da segurana institucional.
A anlise de risco permite ainda quantificar a relao entre o
investimento nos recursos de segurana que podem ser empregados para minimizar
os riscos institucionais e os benefcios obtidos contra eventos com potencial para
causar danos.
A seguir, sero apresentados os principais mtodos empregados na
anlise de riscos organizacionais:

10.1. Mtodo de Mosler
O mtodo de Mosler um artifcio til e bastante utilizado em
organizaes que carecem de banco de dados suficiente sobre a problemtica que se
pretende abordar.
Deve ser empregado para cada risco individualmente, projetando seu
impacto sobre determinada atividade. Depende puramente de opinies dos analistas
para a valorao das funes utilizadas como parmetros de interferncia na atividade
institucional, o que lhe d um carter subjetivo.
O mtodo de Mosler composto por quatro fases distintas e
interdependentes, a saber:

1
a
Fase Definio do risco ou ameaa: nesta fase o objetivo
levantar e identificar o risco ou ameaa a se analisado,
integrando com determinada atividade da empresa;

2
a
Fase Anlise do risco ou ameaa: nesta fase a anlise do
risco ou ameaa realizada com base em seis critrios, voltados
para avaliar a influncia do evento em determinada atividade da
empresa. Cada um dos critrios pode ser pontuado, em uma
escala de 1 a 5 sendo 5 o maior grau, conforme sua gravidade.
Os critrios considerados so:

Critrio da Funo F: refere-se ao nvel de gravidade
das conseqncias negativas ou dos danos sobre a
atividade da organizao, podendo variar entre muito
grave, grave, mediano, leve e muito leve;

73
Critrio da Substituio S: avalia o impacto da
concretizao do risco ou ameaa sobre os bens,
podendo variar entre muito difcil, difcil, sem muita
dificuldade, fcil e muito fcil;
Critrio da Profundidade P: projeta o grau de
perturbao e os efeitos psicolgicos que o evento
poder causar imagem da empresa, podendo variar
entre perturbaes muito graves, graves, limitadas, leves
e muito leves;
Critrio da Extenso E: mede o alcance e a extenso
dos danos que o evento pode causar empresa,
podendo variar entre extenso internacional, nacional,
regional, local e individual;
Critrio da Agresso A: avalia a possibilidade de o
evento acontecer, considerando caractersticas
conjunturais e fsicas da organizao. A escala pode
variar entre muito alta, alta, normal, baixa e muito baixa;
Critrio de Vulnerabilidade mede a intensidade das
perdas financeiras possveis caso o evento venha a se
concretizar. A escala pode variar entre muito alta, alta,
normal, baixa e muito baixa.

3
a
Fase Evoluo do Risco (ER): nesta fase, o objetivo
quantificar o grau do risco analisado. Primeiramente, calcula-se
a magnitude do risco (C) e, em seguida, quantifica-se a
probabilidade de ocorrncia(PB), projetando-se a
potencialidade do evento. A frmula para clculo da evoluo do
risco :

ER = C x Pb

A magnitude do risco (C) calculada pela frmula C = I + D,
onde I representa a importncia do sucesso e D, os danos
causados.
A importncia do sucesso o resultado do produto entre os
critrios de Funo e de Substituio (I = F x S), e o dano

74
causado o resultado do produto entre os critrios de
Profundidade e Extenso (D = P x E).
A probabilidade de ocorrncia do risco calculada pela
multiplicao dos critrios de Agresso e de Vulnerabilidade,
assim:

Pb = A x V

4
a
fase Comparao e classificao: nessa fase o resultado
obtido para a evoluo do Risco nas etapas anteriores
comparado com a tabela abaixo, para verificar a classe de risco:

Valor ER Quantificado Classe de Risco
02 250 Muito baixo ou baixssimo
251 500 Pequeno ou baixo
501 750 Normal
751 1.000 Grande
1.001 1250 Elevado

A priorizao de procedimento para preveno ou mitigao dos riscos
organizacionais pode ocorrer de acordo com a classe de risco.

10.2. Mtodo de T. Fine
Promove a integrao entre o grau de riscos e as limitaes
oramentrias das organizaes, estabelecendo prioridades de atuao, o esforo e
os investimentos a serem empregados, a partir da criticidade de cada risco ou
ameaa.
Assim como o mtodo de Mosler, o mtodo T. Fine utiliza grades de
probabilidade e baseado no clculo do perigo de cada situao, estabelecendo seu
Grau de Criticidade (GC).
O Grau de Criticidade determina a urgncia das medidas necessrias, e
estabelece parmetros para justificar os investimentos. calculado com base em trs
fatores:

75
Conseqncia C: corresponde aos impactos financeiros e
pessoais mais passveis de ocorrerem caso o evento venha a se
concretizar;

Exposio ao risco E: a freqncia de ocorrncia de
determinado evento em uma organizao ou em organizaes
similares;

Probabilidade P: a chance real de o evento vir a acontecer,
num determinado Perodo de tempo.

Para que possam ser mensurados e projetados, os trs fatores
possuem uma escala de valores numricos, baseada na experincia de T. Fine.
O Grau de Criticidade o resultado do produto entre os trs fatores
Conseqncia, Exposio do Risco e Probabilidade que constitui uma escala de
valores compreendida entre 0,05 e 10 mil. Tais valores resultam de uma classificao
intermediria dos fatores de risco, que decresce de forma linear, assegurando uma
correo no incremento do GC. Estatsticas e referencias histricas so utilizadas no
processo de fixao desses valores.
A tabela a seguir apresenta os valores fixados:

Fator Classificao Valor
a) Dano superior a US$ 1 milho quebra da atividade
fim da empresa Insuportvel.
100
b) Dano entre US$ 500 mil e US$ 1 milho Gravssima. 50
c) Dano entre US$ 100 e US$ 500 mil Grave 25
d) Dano entre US$ 1 mil e US$ 100 mil Baixa 15
e) Dano abaixo de US$ 1 mil Muito Baixa 5

Conseqncia
C
f) Pequenos danos Baixssima 1
a) Vrias vezes ao dia Frequentemente 10
b) Uma vez ao dia Sistematicamente 5
c) Uma vez por semana / ms Ocasionalmente 3
d) Uma vez por ms / ano Irregularmente 2

Exposio
E
e) Ocorre, mas no se sabe com que freqncia
Raramente
1

76

f) No se sabe se j ocorreu

0,5
Espera-se que ocorra Provavelmente 10
Completamente Possvel 50% de chance de ocorrer
Possivelmente
6
Coincidncia, se ocorrer Coincidentemente 3
Coincidncia remota sabe-se que j ocorreu
Remotamente

Extremamente remota porm possvel ocorrer Muito
Remotamente
0,5

Probabilidade
P
Praticamente impossvel ocorrer Dificilmente 0,1

A escala de valores para a priorizao dos riscos :

Grau de Criticidade Prioridades Aes a tomar
GC maior ou igual a 200 Correo imediata o risco deve ser
diminudo.
GC menor que 200 e maior ou igual a 85 Correo urgente risco requer ateno.
GC menor que 85 O risco deve ser eliminado mais cedo ou
mais trade.

O clculo da justificativa de investimento dado pela razo entre o Grau
de Criticidade e o produto entre o Fator de Custo e o Grau de Correo.

JI = GC _
Fator de Custo x Grau de Correo

As tabelas a seguir apresentam as escalas de valores para o Fator de
Custo e para o Grau de Correo:

Tabela de Fator de Custo
Classificao Valor
Maior que US$ 50 mil 10
Entre US$ 25 mil e US$ 50 mil 6
Entre US$ 10 mil e US$ 25 mil 4

77

Entre US$ 1.000 e US$ 10 mil

3
Entre US$ 100 e US$ 1.000 2
Entre US$ 25 e US$ 100 1

Tabela de Grau de Correo
Classificao Valor
Risco eliminado 100% 1
Risco reduzido 75% 2
Risco reduzido entre 50 e 75% 3
Risco reduzido entre 25 e 50% 4
Risco reduzido menor que 25% 6

Para determinar se o investimento proposto justificvel, deve-se
aplicar os valores das classificaes correspondentes e obter um valor numrico,
denominado ndice de justificao do rendimento do investimento proposto.
Para que o investimento seja considerado justificvel, o ndice de
justificao dever ser superior a 10. Quanto maior o ndice de justificao, maior ser
o interesse para com o programa de preveno.
R. Pickers, estudioso de riscos, props uma variao na escala de
valorao do ndice de justificao do mtodo de T. Fine, conforme apresentado na
tabela a seguir. Essa escala foi estabelecida como padro, em 1976, pela Associao
Americana de Gerenciamento de Riscos.

Fator ndice de Justificao IJ Comentrios
IJ menor que 10 Investimento duvidoso
IJ entre 10 e 20 Investimento normalmente justificado
IJ maior que 20

Investimento plenamente justificado;
grande reduo de risco.

10.3. Diagrama de Causa e Efeito (Diagrama de Ishikawa)
Desenvolvido pelo professor Kaoru Ishikawa presidente do Musashi
Institute of Technology em 1943, trata-se de um mtodo de anlise que permite
estabelecer relao entre efeitos dos eventos e todas as possibilidades de suas

78
causas provveis. Permite agrupar as causas em diversas categorias, o que pode
facilitar o processo e seu prprio levantamento.
O efeito ou problema colocado na direita de um grfico e as causas
para esse problema so colocadas esquerda. Para efeito ou problema existem
inmeras categorias de causas, sendo que as principais podem ser agrupadas nas
seguintes categorias: material, mo de obra, mtodo, mquinas, meio ambiente e
medio.

Figura 11 - Diagrama de Causas e Efeitos. Fonte: elaborao prpria.

Para construir o Diagrama de Causa e Efeito necessrio executar as
seguintes etapas:
1
a
Etapa: definir claramente o problema selecionado
identificando em que consiste, onde ocorre, quando ocorre e
qual a sua extenso;

2
a
Etapa: detectar as possveis causas para o problema definido.
Nessa etapa, pode-se empregar os mtodos de brainstorming,
brainswriting etc;

3
a
Etapa: construir o diagrama de causa e efeito para a
problemtica, estabelecendo as categorias de causas aplicveis,
aplicando o resultado do mtodo utilizado para a gerao das
categorias de causas provveis e questionado a razo de sua
ocorrncia.

4
a
Etapa: consiste em interpretar os resultados alcanados
buscando estabelecer relao entre cada efeito e as causas que
podem levar a sua ocorrncia.

79
A partir de um diagrama de causa e efeito bem definido, as causas mais
provveis so identificadas e selecionadas para uma anlise mais detalhada. Convm
investigar em profundidade a causar e o que contribui para sua ocorr6encia, a fim de
elimin-la.

10.4. Diagrama de rvore
Trata-se de um desdobramento grfico dos caminhos que conduzem s
causas fundamentais de um determinado evento a partir do qual pergunta-se o por
qu de seu acontecimento, para cada causa aventada.
A partir de sua aplicao, pode-se identificar as causas mais relevantes,
bem como as solues para estas e definir a priorizao conforme critrios
estabelecidos.
A tcnica aplicada em trs tempos: primeiramente, necessrio
identificar todas as causas relevantes possveis. Em seguida, vislumbra-se solues
para as diversas causas. Por fim, deve-se priorizar as solues vislumbradas.

10.5. Tcnica de Brainstorming
Consiste em uma reunio cujos participantes tenham conhecimento
sobre determinado evento, para gerao espontnea e ilimitada de ideias, o que
justifica o mtodo tambm ser conhecido como tempestade de idias.
Obedece a uma rotina que no admite criticas ou avaliaes durante o
processo, pois este est voltado para a quantidade e no para a qualidade das idias
geradas.
A tcnica de brainstorming emprega como tema para a discusso o
objetivo que se deseja alcanar.

10.6. Brainstorming inverso (ou invertido)
O mtodo de Brainstorming inverso indicado para problemas em que
h dificuldade para definir ou propor a soluo a partir do emprego de outros mtodos.
Deve ser utilizado quando a aplicao de outros mtodos no for
eficiente.
Fundamenta-se no fato de que, por vezes, mais fcil definir aquilo que
no se quer. Dessa forma, a inverso ocorre na discusso do objetivo que no se

80
deseja alcanar. O processo funciona da mesma forma como o do mtodo de
Brainstorming.

10.7. Brainswriting
Geralmente, o mtodo de Brainswriting empregado para solucionar
problemas complexos e que exigem a participao de uma equipe multidisciplinar ou
cuja formao inclua componentes com diferentes nveis intelectuais, hierrquicos,
tcnicos etc.
Previne a inibio e o desconforto de se manifestar por parte dos
componentes dos nveis mais baixos, evitando que o processo de gerao de idias
seja prejudicado.
O tema empregado para a discusso o objetivo que se deseja
alcanar.

10.8. Brainswriting inverso (ou invertido)
O mtodo de Brainswriting inverso empregado nos mesmos casos e
de forma anloga ao mtodo Brainswriting, porm, apresenta a inverso do objeto da
discusso, empregando-se aquele que no se deseja alcanar.

10.9. Mapa mental
O processo de mapa mental consiste em resumir o tema ou problema a
uma nica palavra, proposta para a discusso por um pequeno grupo de debate.
Dessa forma, pretende-se levantar de forma aleatria, outras idias que se
correlacionem com a idia central.
Geralmente utilizado quando de dispe de pouco tempo para elaborar
idias de forma organizada, para uma possvel apresentao em curto prazo.

10.10. Diagrama de Pareto
O Diagrama de Pareto representa graficamente, a partir de dois eixos
cartesianos e de um histrico dos incidentes mais comuns, os problemas que ocorrem
em um determinado sistema.
Um dos eixos cartesianos representa os eventos o outro a incidncias
desses eventos.

81
O Diagrama de Pareto permite vislumbrar o comportamento dos
eventos no sistema considerado e previne atribuio de prioridades inadequadas ao
revelar os eventos mais crticos.

10.11. Matriz de Prioridades
O mtodo de Matriz de Prioridades consiste numa tabela bidimensional
que permite avaliar opes em relao a critrios previamente definidos. Deste
cruzamento, resulta uma avaliao a ser considerada.
So exemplos de matrizes empregadas na segurana empresarial para
avaliar a prioridade de problemas: a Matriz GUT (Gravidade, Urgncia e Tendncia) e
a Matriz PARE (Prazo, Aceitao, Recursos e Efetividade).

10.12. Tcnica de Painel e de Delfos
A tcnica de Painel tem como objetivo principal obter uma opinio
coletiva que represente um ponto de vista dominante, a partir de uma reunio de
especialistas experientes para debater um assunto especfico.
A tcnica de Delfos obtm e combina em sequncias, as opinies de
especialistas experientes, tendo em vista alcanar consenso em relao a
determinado assunto. Nesse caso, aps tabulao de um questionrio, discutem-se as
questes em que no houve consenso, seguidamente e em consecutivas consultas,
at que se evidencie uma opinio convergente. Essa tcnica no prev a realizao
de debates entre os participantes.

10.13. Tcnica de Anlise Associativa e de Cenrios
A tcnica de Anlise Associativa consiste em aplicar as relaes entre
os principais aspetos de determinados assunto, valendo-se de matrizes de
associao.
A tcnica de Cenrios, implica em descrever as alternativas futuras e
plausveis para a evoluo de determinado assunto. Efetiva-se mediante anlises
prospectivas que tratam o assunto sob diversos prismas de interpretao e envolvem
variveis de diversas naturezas.

82
10.14. Mtodo Brasiliano
O mtodo Brasiliano uma forma de acompanhar a evoluo dos
perigos organizacionais. A aplicao do mtodo resulta em uma matriz de
vulnerabilidade, resultante do cruzamento da probabilidade de ocorrncia do perigo
versus o impacto financeiro para a organizao.
Ao contrrio dos mtodos de Mosler e T. Fine, que classificam o perigo,
o mtodo Brasiliano estima a probabilidade de ocorrncia do perigo considerando as
influncias do ambiente interno e externo da organizao.
A elaborao do Grau de Probabilidade implica em estudar o Critrio
dos Fatores de Riscos e o Critrio da Exposio. O Grau de Probabilidade est
alicerado em uma frmula simples, que calcula de forma direta, atravs da
multiplicao dos dois critrios, o nvel de possibilidade do perigo ou evento vir a
acontecer, frente a situao de segurana e sua exposio. (Brasiliano, 2008)
O Grau de Probabilidade pode ser classificado de forma objetiva ou de
forma subjetiva. Baseado nessa classificao e no cruzamento com o impacto
(operacional e/ou financeiro) decorrente da concretizao do perigo possvel montar
a matriz de vulnerabilidade e priorizar o tratamento que ser dado aos riscos da
organizao.
O mtodo Brasiliano possui quatro fases. So elas:

1
a
Fase Identificao dos Fatores de Riscos: nessa fase, so
identificadas a origem/causa de cada perigo. Para dissecar os
fatores que podem influenciar na concretizao do perigo utilizado
o Diagrama de Causa e Efeito, tambm conhecido como Diagrama
de Ishikawa. Os fatores de riscos podem ser classificados em seis
categorias (sub critrios) principais. So elas:
Meios organizacionais (MO): identifica se a organizao
possui normas de rotina, poltica de tratamento e
gerenciamento de riscos;
Recursos humanos da segurana (RH): identifica o nvel
de qualificao, quantidade, posicionamento ttico da
equipe de segurana;
Meios tcnicos passivos (MTP): identifica a existncia de
recursos fsicos, no existentes na organizao, que
corroboram para a ocorrncia do perigo;

83
Meios tcnicos ativos (MTA): identifica a existncia de
sistemas eletrnicos que corroboram, ou no, para a
concretizao de perigos;
Ambiente interno (AI): o levantamento do nvel de
relacionamento dos colaboradores da organizao;
Ambiente externo (AE): identifica fatores externos que
influenciam na concretizao de perigos.

2
a
Fase Determinao do Grau de Probabilidade (GP): o clculo
do Grau de Probabilidade feito multiplicando-se critrio de Fatores
de Riscos (FR) com o critrio de Exposio (E).
Para calcular o critrio de Fator de Risco, basta somar a pontuao de
cada um dos seis sub critrios e dividir por 6. Segue tabela que
correlaciona a escala e a pontuao dos sub fatores:

Escala Pontuao
Influencia muito 05
Influencia 04
Influencia medianamente 03
Influencia levemente 02
Influencia muito levemente 01

FR = AI +AE + RH + MO + MTA + MTP
6
O critrio de Exposio (E) a freqncia que o perigo costuma se
manifestar na organizao ou em organizaes similares. A tabela a
seguir apresenta a escala de gradao para esse critrio:

Escala Pontuao
vrias vezes ao dia 05
frequentemente 04
ocasionalmente 03
irregularmente 02
remotamente possvel 01

84
Grau de Probabilidade = Fator de Risco x Exposio

O produto dessa multiplicao o Grau de Probabilidade que por sua
vez classificado em cinco nveis:

Escala Nvel da Probabilidade Nvel da Probabilidade
1 5 Muito Baixo Improvvel
5,1 10 Pequeno Remota
10,1 15 Normal Ocasional
15,1 20 Alta Provvel
20,1 25 Elevado Frequente

A transformao dessa classificao subjetiva em objetiva, d-se
multiplicando o Grau de Probabilidade pelo fator 4. A explicao para
utilizao do fator 4 est na equivalncia entre o numero mximo obtido
pela multiplicao entre os fatores de riscos e de exposio - 25 e a
probabilidade mxima 100%.

3a fase Determinao do Impacto Financeiro: nessa etapa o
objetivo projetar os custos que os perigos causam nos negcios
da organizao, levantando suas conseqncias. A multiplicao
entre a probabilidade de ocorrncia de cada risco com o seu
impacto financeiro indica o investimento necessrio para mitigar,
eliminar ou transferir o perigo. O produto dessa multiplicao
denominado Perda Esperada (PE) e considerado o investimento
mximo a ser realizado pela organizao.
O mtodo Brasiliano sugere um estudo baseado nos custos provveis
caso determinado perigo venha a se concretizar. Nesse estudo, a
organizao deve considerar os seguintes dados:
Custo conseqente (Cc): avaliado o prejuzo resultante
de um risco organizao;
Indenizao do Seguro (I): avalia quanto o seguro ir
reembolsar empresa no caso de ocorrncia do sinistro;
Prmio pago at o momento do sinistro (P): avalia quanto
j foi pago seguradora;

85
Reduo de dinheiro em caixa (Rc): refere-se reduo
efetiva do numerrio em caixa;
Substituio permanente (Sp): enquadram-se os custos
definitivos que a empresa no obter mais;
Substituio temporria (St): enquadram-se os custos
que a empresa perde temporariamente.
Assim, o custo provvel das perdas reais e potenciais (CP) calculado
pela frmula:
CP = Sp + St + Cc + Rc (I P)
Para Brasiliano (2008), a classificao de impacto no negcio prpria
de cada empresa, porm sugere a seguinte escala: leve, moderado,
severo e catastrfico. Tal parmetro fundamental para que o gestor
possa definir quais perigos e em que urgncia devem ser tratados.

4
a
Fase Elaborao da Perda Esperada (PE) e Matriz de
Vulnerabilidade: nessa etapa o objetivo calcular um parmetro
(PE) para a comparao entre investimento em preveno e
conseqncias empresariais. Este parmetro pode ser representado
por meio de uma matriz a Matriz de Vulnerabilidade.
Dessa forma, a Matriz de Vulnerabilidades representa o cruzamento
entre a probabilidade de ocorrncia de um perigo e o impacto financeiro
que sua concretizao resultar para a organizao.
A figura a seguir apresenta uma das formas de representao da Matriz
de Vulnerabilidade:

86
I
m
p
a
c
t
o

Figura 12 - Matriz de Responsabilidades. Fonte: Brasiliano (2005, p.34)

A Matriz de Responsabilidade pode fundamentar as estratgias
organizacionais de proteo, pois representa uma justificativa para os
investimentos conforme a influncia dos perigos nos resultados da
organizao.
Observa-se na figura acima que a matriz dividida em quatro
quadrantes, donde podemos considerar:
a. Os riscos existentes no quadrante I so aqueles que
possuem alta probabilidade e ocorrncia e, caso se
concretizem, podero resultar em impactos severos ou
catastrficos organizao. Assim, exigem a pronta
implantao de estratgias de proteo e preveno;

b. Os riscos existentes no quadrante II podem resultar em
impactos severos ou catastrficos organizao,
porm, possuem menor probabilidade de ocorrncia.
Sugere-se que sejam monitorados de forma
sistemtica e peridica;

c. No quadrante III, esto os riscos com alta probabilidade
de ocorrncia, mas que causam poucos danos

87
organizao. Para essas ameaas deve ser previsto
um plano de contingncia com respostas rpidas e
planejadas;

d. Os riscos do quadrante IV possuem baixa probabilidade
e, caso se concretizem, resultam em pequenos
impactos para a organizao. Podem, portanto, serem
somente gerenciados e monitorados caso venham a se
concretizar.

11. Gesto de riscos de segurana da informao
Risco de segurana da informao a possibilidade de uma determinada
ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos
de informao, desta maneira prejudicando a organizao. (ABNT, 2008, p.1)

Beal (2005, p.16) relaciona os termos associados ao risco Segurana
da Informao, conforme mostrado na figura 13:

Figura 13 Relacionamento entre os termos associados ao risco para a SI. Fonte: Beal (2005, p.16 - adaptado)

Para Beal (2005, p.15), o alvo de um ataque pode ser um ativo de
informao. Nesse contexto, a ameaa um elemento do risco ao qual pode-se

88
associar uma probabilidade que por sua vez calculada a partir da frequncia de
ocorrncia. As medidas de proteo podem reduzir a probabilidade de concretizao
de uma ameaa e as vulnerabilidades com potencial de explorao,
consequentemente corroboram para a reduo do risco ao ativo de informao.
De acordo com Braithwaite (2002), realizar o gerenciamento de riscos
em segurana da informao consiste em aplicar os conceitos de gerenciamento de
riscos sobre o tema segurana da informao.
Para fundamentar sua teoria, Braithwaite (2002) apresenta o modelo de
gerenciamento de riscos proposto por Campbell e Sands (1979). Esse modelo
apresentado na figura abaixo:

Anlise de valor
Anlise e identificao
de ameaas
Anlise de
vulnerabilidade
Anlise do risco
Deciso de
Gerenciamento
Implementao de
controles
Reviso de
efetividade
Avaliao do risco
Determinar sensitividade
Estimar valor do ativo
Determinar impacto
Identificar agentes de ameaa
Usurio autorizados
Elementos de ambiente
Agentes adversos
Identificar vulnerabilidades
Mensurar vulnerabildades
Identificar tcnicas de invaso
Fsica
Pessoal
Hardware
Software
Procedimentos
Rede
Analisar ameaas e vulnerabilidades Identificar eventos desconhecidos
Revelaes no autorizadas
Manipulaes no autorizadas
Usos no autorizados
Negao de uso
Determinar atribuio de
eventos
Determinar impactos
relativos
Estimar
probabilidade
Classificar
aceitao
Rever risco Identificar indicadores Avaliar indicadores Selecionar indicadores
Desenvolver Plano Aprovar Plano Implementar indicadores Testar e avaliar
Controlar reviso Auditar efetividade
Controlar ajustes
Figura 14 - Modelo de Gesto de Riscos. Fonte: Campbell e Sands (1979 Adaptado).

Alberts & Dorofee (2002) propem um modelo para o processo de
gerenciamento de riscos em segurana da informao composto por cinco etapas:
identificao e anlise, planejamento, implementao, monitorao e controle.
O modelo de processo de gesto de riscos em segurana da
informao que ser abordado nesta pesquisa proposto pela Norma ABNT NBR
ISO/IEC 27005: 2008.

89
Neste modelo, o processo de gesto de riscos em segurana da
informao um processo contnuo e consiste na definio do contexto,
anlise/avaliao de riscos, tratamento do risco, aceitao do risco, comunicao do
risco e monitoramento e anlise crtica de riscos.
A figura 15 mostra uma viso geral das etapas do processo de gesto
de riscos em segurana da informao.

Definio do Contexto
Avaliao do Risco
Anlise/Avaliao de Riscos
Identificao do Risco
Anlise de Riscos
Estimativa do Risco
Tratamento do Risco
Aceitao do Risco
No
No
Sim
Sim
Ponto de Deciso 1
Avaliao Satisfatria
Ponto de Deciso 2
Tratamento Satisfatria
Fim da primeira ou das demais iteraes

Figura 15 - Processo de gesto de riscos de segurana da informao. Fonte: ABNT ISO/IEC 27005 (2008, p.5).

90
11.1. Etapas do processo de gesto de riscos de segurana da informao
11.1.1. Definio do contexto
De acordo com a norma ABNT NBR ISO/IEC 27005:2008, nesta etapa
do processo, o contexto da gesto de riscos em segurana da informao
estabelecido a partir das informaes sobre a organizao de forma a definir: os
critrios bsicos necessrios para a gesto de riscos, o escopo da gesto de riscos e
a estrutura apropriada para operar a gesto de riscos de segurana da informao.

Figura 16 - Definio do contexto. Fonte: elaborao prpria.

Os critrios bsicos para a gesto de riscos em segurana da
informao definem os parmetros necessrios para avaliar os riscos, bem como seus
impactos e os critrios de aceitao no contexto organizacional.
A definio do escopo do processo de gesto de riscos de segurana
da informao fundamental para assegurar que os ativos organizacionais mais
relevantes sejam considerados durante o subprocesso de anlise/avaliao dos riscos.
(ABNT NBR ISO/IEC 27005:2008, p.8)
Por fim, convm que a organizao (estrutura funcional) para o
processo de gesto de riscos de segurana da informao e as aladas para a tomada
de decises sejam especificadas de forma a definir os papis e responsabilidades das
partes envolvidas.

11.1.2. Anlise/avaliao de riscos de segurana da informao
Definidos os critrios bsicos, o escopo e a organizao do processo de
gesto de riscos de segurana da informao, a etapa de anlise/avaliao de riscos
envolve identificar, quantificar e priorizar os riscos tendo como parmetro os critrios
de avaliao de riscos e os objetivos organizacionais.
De acordo com a ABNT NBR ISO/IEC 27005 (2008, p.10),

91
A anlise/avaliao de riscos determina o valor dos ativos de informao,
identifica as ameaas e vulnerabilidades aplicveis existentes, identifica os
controles existentes e seus efeitos no risco identificado, determina as
conseqncias possveis, prioriza os riscos derivados e ordena-os de
acordo com os critrios de avaliao de riscos estabelecidos na definio do
contexto.

Fazem parte do subprocesso de anlise/avaliao de risco as seguintes
atividades:
Identificar e classificar os riscos: o objetivo da identificao dos
riscos determinar os eventos que podem causar perdas para a
organizao e identificar as causas e as situaes em que as
perdas podem ocorrer.

Estimar os riscos: tem como objetivo principal descrever a
magnitude das consequncias potenciais do risco e a
probabilidade dessas consequncias ocorrerem.

Avaliar os riscos: a avaliao feita a partir da comparao
entre os nveis dos riscos e os critrios de avaliao e aceitao
dos riscos decididos durante a definio do contexto.

Figura 17 - Anlise/avaliao de riscos de segurana da informao. Fonte: elaborao prpria.

11.1.3. Tratamento do risco
O subprocesso de anlise/avaliao dos riscos produz uma lista de
riscos ordenados por prioridade e associados aos cenrios de incidentes que os
provocam. Essa lista fomenta o subprocesso de tratamento do risco e permite definir o
plano de tratamento e os controles para mitigar, reter, evitar ou transferir os riscos.
A figura 18 mostra a atividade de tratamento do risco no processo de
gesto de riscos da informao.

92

Figura 18 - A atividade de tratamento do risco. Fonte: ABNT NBR ISO/IEC 27005 (2008, p.18).

O resultado dessa etapa um plano de tratamento dos riscos que
compreende a relao de controles possveis, acompanhada de seus custos,
benefcios e prioridades de implementao, sujeitos deciso de aceitao por parte
dos gestores da organizao.
Convm que a deciso do tratamento que ser dado a determinado
risco considere, alm dos critrios para aceitao dos riscos, os requisitos legais e
regulatrios vigentes.
Durante a seleo dos controles fundamental mensurar os custos da
aquisio, implementao, administrao, operao dos controles em relao ao valor
dos ativos protegidos (ABNT NBR ISO/IEC 27005:2008, p.19).

11.1.4. Aceitao do risco
Em alguns casos, ao avaliar o plano de tratamento do risco, preciso
que se aceite o risco no mbito organizacional, seja porque a probabilidade de se

93
concretizar pequena, seja porque os impactos nos processos so irrelevantes ou
porque os custos de sua reduo so demasiadamente elevados.
No entanto, a deciso de aceitar os riscos deve ser formalmente
registrada juntamente com a responsabilidade pela deciso (ABNT NBR
ISO/IEC27001, p.6).
O produto desse subprocesso a relao dos riscos aceitos
acompanhada das justificativas para aqueles que no satisfaam os critrios normais
para aceitao do risco (ABNT NBR ISO/IEC 27005:2008, p. 21).

11.1.5. Monitorao e anlise crtica de riscos
Os riscos so eventos dinmicos, visto que as ameaas, as
vulnerabilidades, a probabilidade e as consequncias no ambiente organizacional
podem mudar repentinamente, e vir a ampliar os riscos anteriormente avaliados como
pequenos.
Assim, de acordo com a ABNT NBR ISO/IEC 27005:2008, convm que
os riscos e seus fatores sejam monitorados e analisados criticamente, a fim de se
identificar tempestivamente as eventuais mudanas no contexto organizacional e se
manter uma viso geral.
O resultado da atividade de monitoramento de riscos um alinhamento
contnuo da gesto de riscos com os objetivos da organizao e com os critrios para
a aceitao do risco.

11.1.6. Comunicao do risco
A percepo do risco pode variar devido a diferenas de conceitos,
necessidades e interesses das partes envolvidas no processo de gesto de risco em
segurana da informao.
Dessa forma, o objetivo do subprocesso de comunicao do risco
assegurar um consenso e um bom entendimento sobre como os riscos devem ser
gerenciados, o porqu de determinadas decises e os motivos de certas aes.
(ABNT NBR ISO/IEC 27005:2008, p.21)
A comunicao eficaz e a interrelao das partes envolvidas no
tratamento dos riscos pode ter um impacto significativo nos processos de deciso da
gesto de riscos em segurana da informao.

94
12. Concluso da Reviso de Literatura e Fundamentos
A informao um ativo essencial para os negcios de uma
organizao seja por seu valor estratgico, seja por seu valor histrico na corrida
em busca de agilidade, competitividade, modernizao, lucratividade e principalmente
flexibilidade e adaptabilidade para o crescimento.
Do ponto de vista estratgico, a mensagem enviada por uma economia
global e baseada na informao denota que a informao a base para a competio.
Tal fato exige que os gestores sejam eficazes e eficientes para identificar o papel que
a informao ir desempenhar na estratgia competitiva de suas organizaes.
Considerando o valor histrico da informao, destacam-se a natureza
probatria da informao e seus aspectos que elucidam fatores econmicos, polticos,
sociais e de pesquisa no mbito da organizao.
Tais fatores justificam porque a informao, como ativo, bem e
patrimnio organizacional, deve ser protegida e guardada como um segredo de
negcio.
neste contexto que a Segurana da Informao, como rea do
conhecimento dedicada proteo de ativos da informao, adquire papel de
destaque nas organizaes. O estudo da Segurana da Informao permite
implementar controles de proteo da informao contra vrios tipos de ameaas
garantindo a confidencialidade, integridade e disponibilidade da informao,
minimizando o risco ao negcio, direcionando o emprego de recursos e maximizando
o retorno sobre os investimentos e as oportunidades de negcio.
No entanto, no raramente, tem-se nas organizaes a impresso de
que a melhoria nos processos de segurana da informao depende nica e
exclusivamente de investimentos generalizados em equipamentos de hardware e
software. As experincias tm demonstrado que o investimento em recursos de
Tecnologia da Informao nem sempre traz o retorno desejado. Adicionalmente,
necessrio dedicar ateno especial aos processos e aos recursos humanos da
organizao. Esses trs fatores (TI, processos e pessoas) constituem os pilares que
do sustentao Segurana da Informao, os quais, se no balanceados, podem
colocar em risco todo o esforo dedicado a proteo dos ativos de informao.
Atualmente, existe um arcabouo legal e normativo que orienta o
comportamento das pessoas e baliza os controles organizacionais que prezam pela
qualidade dos processos e a integridade da informao. As boas prticas de
segurana da informao apontam que os sistemas de segurana da informao
estejam em consonncia com as leis e em conformidade com as orientaes de
normatizao e regulamentao do mercado. Todavia, os valores, a cultura e o

95
comportamento humano no ambiente organizacional no podem ser ignorados na
concepo e na implementao de controles de segurana da informao.
Partindo das premissas que no existe sistema totalmente seguro e que
h diferenas de complexidade, emprego de recursos e custos financeiros para manter
os ativos de informao a salvo de ameaas sua confidencialidade, integridade e
disponibilidade, o enfoque de gesto baseada nos riscos especficos ao negcio torna-
se fundamental para o processo de Gesto de Segurana da Informao das
organizaes.
A gesto de riscos em segurana da informao fornece subsdios que
fundamentam a tomada de decises sobre como empregar recursos para proteo
dos ativos de informao de uma organizao. Por meio da gesto de riscos,
possvel conhecer as ameaas e as vulnerabilidades a que esto sujeitas as
informaes, bem como os impactos resultantes do comprometimento de sua
segurana. Assim, a tomada de deciso sobre como empregar recursos para proteger
os dados corporativos torna-se melhor fundamentada e mais confivel.

96
Parte III Estudo de Caso
13. Diagnstico do processo de gesto de segurana da informao e gesto de
risco na ECT
O diagnstico do processo de gesto de segurana da informao
inicia-se com a anlise do panorama atual das questes relativas segurana da
informao e gesto de riscos em segurana da informao da Empresa Brasileira de
Correios e Telgrafos. Esse diagnstico foi realizado em julho de 2009 a partir de
levantamento das iniciativas corporativas e da anlise de documentos e manuais
corporativos.
Verificou-se que, ao contrrio da maioria dos rgos da Administrao
Pblica Federal, a ECT possui uma poltica corporativa de segurana de suas
informaes, homologada em novembro de 2001. A ECT define poltica de segurana
da informao como o conjunto de diretrizes e normas que devem ser seguidas no
mbito corporativo e visa conscientizar e orientar os empregados, clientes, parceiros
e fornecedores para o uso seguro do ambiente informatizado da ECT (ECT, 2007).

Figura 19 - Ciclo de criao da Poltica de Segurana da Informao da ECT. Fonte: elaborao prpria.

O cumprimento da Poltica de Segurana da Informao de
responsabilidade de todos colaboradores, empregados ou prestadores de servios,
que devem obedecer uma srie de diretrizes. As diretrizes da Poltica de Segurana
da Informao da ECT esto descritas no Anexo 1.
Adicionalmente, est publicado no Manual de Informtica da ECT
MANINF, mdulo 07, um conjunto de 21 captulos que compem as normas de
segurana da informao da ECT. As normas de segurana da informao tm como
objetivo principal assegurar que a poltica de segurana da informao seja
implementada, mantida ou modificada de forma harmnica e convergente, de acordo

97
com os objetivos estabelecidos, garantindo a Segurana da Informao na ECT, a
continuidade do negcio e a mitigao de riscos. As normas de segurana da
informao da ECT esto estruturadas conforme Anexo 2.
A poltica e as normas de Segurana da Informao da ECT so as
bases para o estabelecimento de todos os padres corporativos de segurana. Sua
abrangncia compreende todos os ambientes de informtica da ECT.
Como estrutura organizacional, h na Administrao Central uma
gerncia corporativa para tratar de normas e padres, incluindo a segurana da
informao. Essa gerncia corporativa (Gerncia Corporativa de Normas e Padres
Tecnolgicos - GNOP) subordinada ao Departamento de Planejamento de
Tecnologia da Informao e Comunicao DETIC. Os assuntos operacionais
relacionados segurana da informao so de responsabilidade de uma equipe
tcnica subordinada a Central de Suporte e Produo CESEP.
Baseado nas recomendaes da Instruo Normativa GSI N 1 (Anexo
3), publicada em 13 de junho de 2008 pelo Gabinete de Segurana da Informao da
Presidncia da Repblica, foram identificadas as principais falhas no processo de
gesto de segurana da ECT. So elas:

a. Ausncia de uma estrutura organizacional nica e vinculada
diretamente alta administrao da empresa, responsvel por
coordenar as aes de segurana da informao, aplicar as
aes corretivas e disciplinares cabveis nos casos de quebra da
segurana das informaes e propor programa oramentrio
especfico para as aes de segurana da informao;

b. Ausncia de profissional nomeado para Gestor de Segurana da
Informao e responsvel por: promover a cultura de segurana
da informao, acompanhar as investigaes e as avaliaes dos
danos decorrentes de quebras de segurana, propor recursos
necessrios s aes de segurana da informao, coordenar o
comit de segurana da informao e a equipe de tratamento e
resposta a incidentes em redes computacionais, realizar e
acompanhar estudos de novas tecnologias, manter contato com
os demais rgos da APF e propor normas relativas segurana
da informao;

98
c. Ausncia de comit de segurana da informao, constitudo por
representantes das diversas diretorias da empresa, para tratar
temas e propor solues especficas sobre segurana da
informao;

d. Falta de integrao com os demais rgos da Administrao
Pblica Federal, incluindo o Gabinete de Segurana da
Informao da Presidncia da Repblica, para tratar de assuntos
referentes Segurana da Informao;

Adicionalmente, destacamos como falha no processo de gesto de
segurana da ECT a ausncia do processo corporativo que defina a classificao da
informao e a tabela de temporalidade
9
dos documentos corporativos.
Quanto s atividades de gesto de riscos na ECT, no existe rgo na
estrutura organizacional nem modelo de gesto de riscos sistematizado em aplicao.
H o uso setorizado de alguns conceitos de anlise de riscos, entretanto no h um
uso corporativo do conhecimento sobre o tema.
Em fevereiro de 2008, foi emitida a Portaria PRESI-027/2008 que
instituiu um Grupo de Trabalho para propor a organizao e estruturao da gesto de
riscos e a reorganizao das atividades de segurana empresarial na ECT.
De acordo com o grupo de trabalho, a reorganizao das atividades de
segurana empresarial na ECT envolve inicialmente o entendimento do conceito de
Segurana Empresarial, o seu contorno e limites na relao com as demais atividades
desenvolvidas na Empresa.
Para o correto entendimento do conceito de segurana empresarial,
procurou-se estabelecer os objetos e respectivos valores protegidos por intermdio
das medidas de segurana no ambiente da ECT.
Os seguintes valores foram identificados como elementos da atuao
da segurana empresarial: Vida, Negcio, Conhecimento e Recursos. A partir desta
identificao foram relacionados os seguintes objetos, razo da atuao da segurana
empresarial: Pessoas, Objetos Postais, Informao, Receitas e Patrimnio.
Dessa forma, a proposta do grupo de trabalho desempenhar a
segurana empresarial na ECT considerando os diferentes bens protegidos, de modo
coordenado por todas as reas e em harmonia com os demais segmentos de atuao

9
A tabela de temporalidade define quais documentos sero preservados para fins administrativos ou de pesquisa e em
que momento podero ser eliminados ou destinados aos arquivos intermedirio e permanente, segundo o valor e o
potencial de uso que apresentam para a administrao que os gerou e para a sociedade.

99
da Empresa, visando atingir os objetivos da instituio, conforme a organizao a
seguir relacionada:
1. Segurana patrimonial: compreende as aes e os recursos
voltados proteo ao patrimnio, incluindo-se os bens mveis,
os estoques, os bens imveis e o numerrio disponvel na
Empresa em decorrncia de atividades que lhes so peculiares.

2. Segurana das pessoas: envolve aes e recursos direcionados
proteo das pessoas que atuam na organizao
considerando-se dois grupamentos:
a. A segurana dos empregados e colaboradores
envolvendo os riscos, as doenas e os acidentes que
decorram das operaes da ECT. Traduz-se no
conjunto de medidas e aes que visam prevenir,
detectar e corrigir os atos inseguros e as condies
ambientais inadequadas ao trabalho, de modo a
prevenir a ocorrncia dos acidentes do trabalho;

b. A segurana dos gestores e tcnicos envolvendo os
riscos caracterizados pela natureza e o nvel de
exposio das decises vinculadas s atividades
tpicas da funo exercida. Traduz-se no conjunto de
benefcios garantidos ao gestor e aos tcnicos para o
legal e regular exerccio do mandato recebido da
Empresa.

3. Segurana das informaes: abrange aes e recursos voltados
proteo das informaes, entendidas como relatrios,
documentos, dados, conhecimento intrnseco e outras formas de
registros oficiais relativos, dentre outros, aos processos,
produtos, estudos e projetos, decorrentes das atividades da
ECT. Divide-se em trs grupamentos:
a. Informaes fsicas envolvem todos os papis
oficiais da Empresa, incluindo seus documentos
fiscais, processos de todas as naturezas, expedientes
e demais instrumentos de comunicao, que
registram os atos praticados na ECT;

100

b. Informaes lgicas envolvem os registros digitais
da Empresa, incluindo arquivos operacionais e
administrativos relativos a todos os sistemas em
operao na Empresa.

c. Comportamental inclui as Informaes intrnsecas, o
conhecimento tcito, no explcito, especfico de cada
profissional tcnico ou gestor na Empresa.

4. Segurana postal compreende as aes e recursos
direcionados proteo dos objetos postais integrados ao
processo operacional de recebimento, expedio, transporte e
entrega. Inclui as medidas, os procedimentos, os instrumentos e
os equipamentos adotados pelos Correios com a finalidade de
prevenir e de detectar as infraes e as irregularidades no
servio postal e de telegramas. Est subdividida em quatro
grupamentos:
a. Processos de Recebimento;
b. Processos de Expedio;
c. Processos de Transporte;
d. Processos de Entrega.

5. Segurana das Receitas compreende as aes e recursos
destinados aos controles das receitas a vista e a faturar,
incluindo os registros fsico-financeiros.

Definida a organizao da segurana empresarial, e considerando a
sinergia do assunto com a gesto de riscos, a proposta do grupo de trabalho criar
um comit de gesto de riscos e segurana empresarial, vinculado ao Comit
Executivo da Empresa Brasileira de Correios e Telgrafos.
O comit executivo de gesto de riscos e segurana da informao teria
como misso construir a sinergia entre as diversas reas da Empresa envolvidas com
os temas, desenvolver e propor as polticas globais, coordenar a elaborao dos
planos de ao, de contingncia e de continuidade de negcios e acompanhar a
evoluo dos indicadores e metas relativas aos temas.

101
14. Identificao dos espaos informacionais dos usurios e riscos aos ativos de
informao da ECT
Desde o incio da dcada de 80, com o advento dos equipamentos de
processamento de dados, as organizaes humanas tornam-se cada vez mais
dependentes de informaes armazenadas em computadores.
A velocidade e a capacidade de processamento de informaes dos
computadores so utilizadas para agilizar o processo de tomada de decises e auxiliar
o processo de definio/alterao de estratgias.
Por outro lado, a mesma facilidade proporcionada pelos computadores
contribui sobremaneira para o aumento das ameaas aos espaos informacionais
10
da
ECT e, dessa forma, podem colocar em risco a confidencialidade, a integridade e a
disponibilidade das informaes.
Analisando os espaos informacionais virtuais da ECT tais como: web
sites, bancos de dados, bibliotecas virtuais e comunidades prticas de conhecimento
identificamos alguns riscos que afetam as informaes corporativas. Dentre eles
destacamos:

Concentrao de informaes: ao multiplicar a quantidade de
informaes que podem ser armazenadas em espaos restritos,
a utilizao de computadores potencializou um problema que j
existia antes da era do advento da informtica;

Acesso indiscriminado s informaes: no raramente, usurios
tm acesso a mais recursos e informaes do que necessitam
para executar suas funes.

Obscuridade das informaes: com os computadores o
problema da obscuridade das informaes tornou-se crucial,
uma vez que a informaes disponveis em meios eletrnicos
no pode ser vistas diretamente, isto , precisam de recursos de
hardware e software. Assim, so mais difceis de serem
controladas e, conseqentemente, mais fceis de serem
roubadas ou fraudadas.

10
Um espao informacional significa qualquer sistema que inclua a interao com usurios, com o objetivo de
resgatar ou trocar informaes. (Agner & Silva, 2003)

102
Concentrao de funes: a concentrao de funes pode
tornar a organizao vulnervel ao humor de poucos indivduos
e permitir que um mesmo indivduo adquira conhecimentos para
executar aes ilcitas e obter vantagens por meio das
informaes que manuseia.

Falta de controle: a ausncia de controles pode retardar a
descoberta de irregularidades impossibilitando a tomada de
aes que poderiam remediar as situaes indesejadas e seus
impactos.

Relacionamento e combinao de informaes: o cruzamento e
combinao de informaes podem revelar informaes
sigilosas e permitir a quebra de confidencialidade. Os recursos
de informtica facilitam os processos de relacionamento e
combinao de informaes permitindo a obteno de
informaes sensveis.

Introduo de cdigos ocultos: so erros ou linhas de cdigos
que podem ser inseridas nas rotinas de processamento da
informao e comprometer a confidencialidade, integridade e
confidencialidade das informaes geradas.

Caruso & Steffen (1999) afirmam, no Captulo 2 de seu livro, Segurana
em Informao e de Informaes, que os riscos decorrem de fatores que, em maior ou
menor grau, aparecem nas organizaes humanas e sua principal diferena a escala
e o grau de acesso existente.

103
15. Estudo de aes para nortear o processo de Gesto de Segurana da
Informao e proposta de modelo sistmico para a Gesto de Riscos que
norteie a Gesto de Segurana da Informao.
A ECT ser utilizada como ambiente emprico para estudar as aes
necessrias para nortear o processo de Gesto de Segurana da Informao, a partir
da aplicao do conceito de Gesto de Riscos, que tem como ponto de partida uma
prospeco realizada pelo Grupo de Gesto de Riscos institudo por meio de portaria
para atuar no mbito interno da organizao.
Para a realizao das prospeces, o Grupo identificou empresas
pblicas e privadas com nvel de complexidade de gesto compatvel com a ECT e
realizou benchmarking para absoro de suas experincias, no tocante a Gesto de
Riscos e Segurana Empresarial. Para este trabalho, consideramos somente as
iniciativas referentes Segurana da Informao.
Foram realizadas visitas tcnicas nas seguintes empresas: Banco do
Brasil, Caixa Econmica Federal, SERPRO, HSBC, UNIBANCO e BR Distribuidora.
Foram realizadas pesquisas junto aos principais correios internacionais Canad,
Frana e Alemanha, e empresas privadas que atuam no setor, como : Fedex e UPS e
ainda mantido contatos com institutos de pesquisa e desenvolvimento do tema como a
COPEAD/UFRJ. Como resultado das observaes das visitas e do benchmarking
propomos as seguintes aes convenientes ao processo de Gesto de Riscos em
Segurana da Informao:

15.1. Base normativa
A base normativa determinante na organizao e estruturao da rea
de gesto de riscos e segurana da informao. Assim, convm que a organizao
esteja em consonncia com as normas e padres que servem de referncia para o
mercado. So elas: Acordo Basilia II; Lei Sarbanes-Oxley; AS/NZS 4360/2004; norma
ABNT ISO/IEC 15999-1/2007; norma ABNT ISO/IEC 27001; norma ABNT ISO/IEC
27002; norma ABNT ISO/IEC 27005; norma ABNT ISO/IEC 17799; COBIT e ITIL.

15.2. Ambiente
O ambiente comum s empresas pesquisadas apontou como elementos
fundamentais implementao da gesto de riscos e segurana da informao:
a) comprometimento da alta administrao com o tema gesto de
riscos;
b) identificao dos processos crticos referentes ao negcio;
c) existncia da cultura de controle;

104
d) existncia de sistema de informao estruturado e profissionais
capacitados em Gesto de Risco;
e) gerenciamento da organizao por processo;
f) difuso do tema em todos os nveis da organizao e, ainda, a
existncia de imposio regulatria.

15.3. Estratgias e Polticas
Dentre os elementos que integram as estratgias e polticas das
empresas pesquisadas destacam-se:
a) o disciplinamento tico dos empregados e colaboradores;
b) a conformidade das informaes;
c) a transparncia da gesto;
d) a segregao de atividades;
e) a acurcia dos registros;
f) o retorno ajustado ao risco sobre capital;
g) o limite de exposio ao risco e de perdas;
h) A unicidade de fonte de dados e a definio de
responsabilidades.

15.4. Metodologia de Gesto de Segurana da Informao
A ECT uma empresa que compe a Administrao Pblica Federal,
assim, convm que a metodologia de gesto de segurana da informao esteja
aderente metodologia proposta pelo Gabinete de Segurana da Informao da
Presidncia da Repblica GSIPR, por meio da Norma Complementar
n02/IN01/DSIC/GSIPR.
Essa metodologia de gesto de segurana da informao baseia-se no
processo de melhoria contnua, denominado Ciclo PDCA (Plan-Do-Check-Act),
referenciado pela norma ABNT ISO/IEC 27001:2006.
O anexo 4 apresenta os detalhes da Norma Complementar
n02/IN01/DSIC/GSIPR Metodologia de Gesto de Segurana da Informao e
Comunicaes, publicada no DOU n 199, de 14 de outubro de 2008 seo 1.

15.5. Modelo de Gesto de Riscos
Como forma de organizao das atividades de segurana empresarial e
de gesto de riscos pode-se observar como prtica comum:
a) a existncia de estrutura exclusiva de Gesto de Risco e
segurana da informao;

105
b) a vinculao da Gesto de Risco alta administrao;
c) a definio de responsabilidades;
d) mtodo de reconhecimento pela boa prtica da Gesto de Risco.

15.6. O emprego de metodologia de anlise de risco
O emprego de metodologias de anlise de riscos permite que as
organizaes operem seus recursos com eficcia e identifique nveis aceitveis de
riscos aos negcios. Observou-se que a definio de risco aceitvel e a abordagem de
gerenciamento de riscos podem variar de empresa para empresa.
H vrias metodologias e modelos de gesto de riscos sendo utilizados
nas organizaes contemporneas. Cada modelo busca equilibrar, sua maneira, a
preciso, os recursos, o tempo, a complexidade e a subjetividade.
Para analisar os riscos envolvidos nos processos de Gesto de
Segurana da Informao utilizamos o Mtodo Brasiliano porque permite estimar a
probabilidade de ocorrncia do perigo. O mtodo simples do ponto de vista de
aplicao e suscetvel a conciliao com a cultura de gesto de segurana em uso na
ECT. Alm disso, o resultado prtico de sua aplicao uma matriz de
vulnerabilidade, resultante do cruzamento da probabilidade de ocorrncia e o impacto
do perigo, que pode fundamentar a escolha dos recursos a serem empregados para a
segurana adequada dos ativos de informao.
Conforme mencionado anteriormente, a aplicao do Mtodo Brasiliano
composta de quatro fases. A primeira fase consiste em identificar a origem/causa de
cada perigo. Foram identificados oito principais perigos que podem colocar em riscos a
confidencialidade, integridade e confidencialidade das informaes no ambiente
corporativo de uma empresa pblica. So eles:

Falha de hardware: queda de desempenho ou indisponibilidade de
equipamentos do ambiente computacional que processam
informaes corporativas.

Falha de software: queda de desempenho ou indisponibilidade de
aplicativos/programas do ambiente computacional que processam
informaes corporativas.

Falha no ambiente fsico: indisponibilidade dos recursos do
ambiente computacional e/ou infraestrutra predial do ambiente

106
fsico. Exemplo: pane eltrica, incndio, falha no sistema de ar-
condicionado.

Erro humano: queda no desempenho ou indisponibilidade de
equipamentos, servios, aplicativos ou programas em razo de ato
no proposital de empregados e colaboradores.

Hacking: queda no desempenho ou indisponibilidade de
equipamentos, servios, aplicativos ou programas em razo de ato
proposital de pessoas mal-intencionadas em busca de auto
promoo, benefcios financeiros, concorrncia desleal ou roubo de
informao.

Malware: termo genrico que abrange todos os tipos de programa
especificamente desenvolvidos para executar aes maliciosas em
um computador. Na literatura de segurana o termo malware
tambm conhecido por "software malicioso". Alguns exemplos de
malware so: vrus, worms, bots, backdoors, cavalos de tria,
keyloggers, spyware, rootkits.

Desastres naturais: queda no desempenho ou indisponibilidade de
equipamentos, aplicativos ou programas em razo fatores naturais
tais como enchente, raio e inundao.

Furto de informao: subtrao com ilegtima inteno de
apropriao de informao para si ou para outra pessoa.

A figura a seguir correlaciona os perigos identificados aos riscos
associados aos ativos de informao, com base no entendimento dos usurios da
informao da ECT.

107
Falha de Hardware
Erro Humano
Falha no Ambiente
Fsico
Falha de Software
Introduo de cdigos ocultos
Concentrao de informaes
Falta de controle
Relacionamento e combinao de informaes
Concentrao de Funes
Obscuridade das informaes
Acesso indiscriminado s informaes
Furto
Hacking
Malware
Desastres Naturais
Perigos
Perigos
Riscos associados confidencialidade,
integridade e disponibilidade das informaes

Figura 20 Perigos x Riscos associados confidencialidade, integridade e disponibilidade das informaes.
Fonte: elaborao prpria.

Para detalhar os fatores que podem influenciar na concretizao do
perigo utilizado o Diagrama de Causa e Efeito, tambm conhecido como Diagrama
de Ishikawa.
O Diagrama de Ishikawa foi elaborado a partir de estudos de seis
macrofatores, tambm conhecidos como 6M (Meio Ambiente, Mtodo, Mo de Obra,
Monitoramento, Material e Mquina).
No Mtodo de Avaliao de Risco os macrofatores foram ajustados
para: Ambiente Externo, Processos de Apoio, Recursos Humanos, Segurana,
Processos de Controle e Processos Operacionais conforme a seguir:
Ambiente Externo (AE) variveis, caractersticas e
circunstncias externas, incontrolveis pelo gestor, vinculadas
atividade da Empresa sob risco.
Processos de Apoio (PA) principais processos de apoio da
regional existentes ligados atividade da Empresa sob risco.
Recursos Humanos (RH) tudo que envolve os colaboradores
ligados direta ou indiretamente atividade da Empresa sob
risco.
Processos de Controle (PC) principais processos de controle
da regional ligados atividade da Empresa sob risco.

108
Segurana (SE) todos os meios, equipamentos, instrumentos e
processos de segurana relacionados atividade da Empresa
sob risco.
Processos Operacionais (PO) principais processos
operacionais e produtos inter-relacionados atividade da
Empresa sob risco.

A seguir, so apresentadas as anlises individuais (Diagramas de
Ishikawa) contendo os principais fatores que contribuem para ocorrncia de cada um
dos perigos. Nesta anlise, contamos com a colaborao de empregados e
colaboradores das centrais de servios de sistemas e servios de produo que
compem a Diretoria de Tecnologia da ECT. O mtodo de coleta de dados descrito
no Anexo 5.

Desastres Naturais

Figura 21 - Diagrama de Ishikawa - Desastres Naturais. Fonte: elaborao prpria.

109
Falhas no Ambiente Fsico

Figura 22 - Diagrama de Ishikawa - Falhas no Ambiente Fsico. Fonte: elaborao prpria.

Furto

Figura 23 - Diagrama de Ishikawa Furto. Fonte: elaborao prpria.

110
Malware

Figura 24 - Diagrama de Ishikawa Malware. Fonte: elaborao prpria.

Hacking

Figura 25 - Diagrama de Ishikawa Hacking. Fonte: elaborao prpria.

111

Cdigos Ocultos

Figura 26 - Diagrama de Ishikawa - Cdigos Ocultos. Fonte: elaborao prpria.

Falha de Hardware

Figura 27 - Diagrama de Ishikawa - Falha de Hardware. Fonte: elaborao prpria.

112
Falha de Software

Figura 28 - Diagrama de Ishikawa - Falha de Software. Fonte: elaborao prpria.

Erro Humano

Figura 29 - Diagrama de Ishikawa - Erro Humano. Fonte: elaborao prpria.

Aps identificar os fatores que podem influenciar cada perigo, foi
definido o grau de influncia de cada macrofator. Conforme Tabela 1, o grau de

113
influncia de cada macrofator estudado no Diagrama de Ishikawa recebe a seguinte
ponderao:

Peso Grau de Influncia do Macrofator
1 Irrelevante ou quase nada
2 Pouco relevante
3 Medianamente relevante
4 Muito relevante
5 Extremamente relevante
Tabela 1 Grau de Influncia do Macrofator

A gradao final ser o resultado da mdia aritmtica simples de todos
os valores estabelecidos aos macrofatores.

6
PO SE PC RH PA AE
MFR
+ + + + +
=

A segunda fase do Mtodo Brasiliano consiste em determinar o grau de
probabilidade de ocorrncia de cada perigo. Para o clculo do Grau de Probabilidade
de ocorrncia de cada perigo, utilizamos o Grau de Influncia dos Macrofatores (MFR)
e a Exposio ao Perigo (E) freqncia com que o perigo costuma se manifestar
num determinado intervalo de tempo dos perigos durante o ltimo ano.
O padro para estabelecer os pesos da Exposio ao Perigo obedece
ao padro:

Peso Frequncia de Ocorrncia
1 Menos que trimestralmente
2 Ocorre trimestralmente
3 Ocorre mensalmente
4 Ocorre semanalmente
5 Ocorre diariamente
Tabela 2 Exposio ao Perigo

O clculo da Probabilidade de ocorrncia do Perigo o resultado do
produto entre o Fator de Risco (MFR) e a Exposio ao Perigo (E). O escalonamento
do nvel de probabilidade representado pela tabela de classificao a seguir:

114

Escala (FR x E) Nvel de probabilidade Probabilidade
1,00 a 5,00 Baixa Improvvel 4,0% a 20,0%
5,01 a 10,00 Mdia Ocasional 20,4% a 40,0%
10,01 a 15,00 Alta - Provvel 40,4% a 60,0%
15,01 a 20,00 Muito Alta Freqente 60,4% a 80,0%
20,01 a 25,00 Elevada 80,4% a 100%
Tabela 3 Probabilidade de ocorrncia do perigo

A matriz a seguir nos mostra os graus de influncia dos macrofatores
definidos, a frequncia de ocorrncia e o grau de probabilidade de ocorrncia do
perigo.

Figura 30 - Matriz de Probabilidade e Impacto Classificao da Probabilidade

A terceira fase do Mtodo Brasiliano consiste em determinar o impacto
11

decorrente da ocorrncia do perigo. O impacto analisado em cinco aspectos, e para
cada aspecto atribudo um peso diferenciado em razo da relevncia para a
Empresa. Os aspectos analisados e seus respectivos pesos so:

a) Imagem peso 2;
b) Financeiro peso 5;
c) Legal peso 2;
d) Operacional peso 5;
e) Social peso 3.

Onde:

11
consequncia malfica que o perigo, se concretizado, poder causar.

115
Imagem a credibilidade ou percepo pblica de confiana na
ECT. Os pesos foram determinados, conforme o carter de
abrangncia de abalo da imagem:

Peso Escala Abrangncia Abalo da Imagem
1 Individual Somente a uma pessoa
2 Bairro O bairro ou comunidade
3 Cidade Uma cidade
4 Regional A regional ECT ou estadual
5 Nacional Nacional
Tabela 4 - Impacto imagem

Legislao a transgresso dos dispositivos legais a que est
sujeita a ECT. Elas podem ser em decorrncia de sanes por
reguladores e indenizaes por danos a terceiros, por m
interpretao ou falhas nos pagamentos de tributos e por contratos
omissos, mal redigidos ou sem devido amparo legal.

Peso Escala Abrangncia Bem Jurdico Atingido
1 Irrelevante No atinge nenhum bem jurdico na legislao vigente
3 Mdio Individual ou de uma pessoa
5 Superior Da coletividade ou de grupos de pessoas
Tabela 5 - Impacto legal

Social configura os efeitos do perigo na relao entre as pessoas
envolvidas no ciclo de vida da informao. Os pesos foram
determinados, conforme o carter de abrangncia social:

Peso Escala Abrangncia Reflexo nas pessoas
(fora de trabalho)
1 Irrelevante No atinge ningum
2 Pouco Importante Atinge pessoas indiretamente
3 Mdio Atinge uma pessoa diretamente
4 Alto Atinge mais de uma pessoa diretamente
5 Superior Atinge toda unidade ou efetivo da unidade
Tabela 6 - Impacto social

Operacional configura a interrupo total ou parcial dos
processos operacionais da ECT. Os pesos foram determinados,
conforme o carter de abrangncia operacional:

116
Peso Escala Abrangncia
1 Irrelevante No gera nenhuma alterao no processo produtivo
2 Pouco
Importante
Gera pequenas alteraes no processo produtivo
3 Mdio Gera grandes alteraes no processo produtivo
4 Muito Importante Gera parcial paralisao no processo produtivo
5 Superior Gera a paralisao total do processo de uma
unidade
Tabela 7 - Impacto operacional

O impacto o resultado da mdia ponderada dos cinco aspectos
analisados, considerando o peso e a ponderao atribudos:

Impacto = (IMA x 2) + (FIN x 5) + (LEG x 2) + (OPE x 5) + (SOC x 3)
17 (soma dos pesos)

O impacto classificado conforme tabela abaixo:

Grau de Impacto Nvel de Impacto
At 1,51 Irrelevante
De 1,52 a 2,51 Leve
De 2,52 a 3,51 Moderado
De 3,52 a 4,51 Severo
Acima de 4,52 Catastrfico
Tabela 8 - Classificao do impacto

A matriz a seguir nos mostra o impacto dos perigos relatados nos
aspectos: imagem, financeiro, legislao, operacional e social. O aspecto financeiro
recebeu a ponderao mnima, visto que no foi possvel levantar precisamente os
valores das perdas ocasionadas pela ocorrncia dos perigos.

Figura 31 - Matriz de Probabilidade e Impacto Nvel de Impacto

117
A quarta e ltima fase do Mtodo Brasiliano envolve a criao da matriz
de vulnerabilidade a partir da relao entre o impacto e o grau de probabilidade dos
perigos analisados. O grfico abaixo apresenta a consolidao do grau de
probabilidade e impacto dos perigos analisados e permite avaliar comparativamente os
diversos riscos a que o ambiente est exposto a partir da interpretao em quatro
quadrantes:

Figura 32 - Matriz Impacto X Probabilidade

15.6.1. Avaliao dos perigos analisados
15.6.1.1. Desastres naturais
Este perigo possui grau de probabilidade baixo e em caso de ocorrncia
pode resultar impactos de propores moderadas para o ambiente analisado.
Grande parte dos equipamentos e sistemas que processam
informaes corporativas da ECT est instalada numa sala cofre localizada no edifcio
da Administrao Central. Essas instalaes esto preparadas contra inundaes,
fogo e alteraes climticas. Portanto, no h necessidade de mais investimentos para
minimizar as vulnerabilidades que corroboram para a ocorrncia desse perigo.
Recomenda-se realizar revises peridicas nas instalaes fsicas da sala cofre e nos
processos de incidentes relacionados a esse perigo.

118
15.6.1.2. Falha no ambiente fsico
Este perigo apresenta grau de probabilidade baixo e impacto moderado.
Os principais equipamentos do parque computacional da ECT que processam e
armazenam informaes esto instalados fisicamente em ambiente isolado (sala cofre)
que dispe de vrios mecanismos que garantem sua segurana e disponibilidade, tais
como: controle de acesso fsico, sistema de monitoramento de imagem, alarme,
sensores e mecanismos de combate a incndio e redundncia de rede eltrica.
Recomenda-se: revisar periodicamente a relao de pessoas com direito de acesso ao
ambiente fsico, incluindo os prestadores de servios; revisar os demais processos de
controle; realizar manuteno preventiva nos recursos de infraestrutura (fornecimento
de energia, cabeamento, sistemas de monitoramento de imagem, sistemas de
preveno de incndio).

15.6.1.3. Furto
Este perigo apresenta grau probabilidade baixo e impacto moderado.
Alguns controles implementados no parque computacional da ECT tais como:
segregao de reas, segregao de funes, sanes previstas no Manual de
Pessoal, controle de acesso, sistema de monitoramento corroboram para o baixo
grau de risco envolvido

15.6.1.4. Malware
Este perigo apresenta grau de probabilidade alta e impacto severo.
Dentre os perigos analisados, o que representa maior risco para as informaes
corporativas da ECT. A ECT utiliza alguns meios de segurana para a preveno
contra este tipo de ataque, dentre os quais destacam-se: a utilizao de sistemas de
preveno de intruso (IPS), firewalls, solues anti-malwares, alm dos processos de
conscientizao dos usurios internos. Portanto, o risco associado a este perigo
aceitvel e inerente a qualquer sistema disponvel em ambiente computacional.

15.6.1.5. Hacking
Este perigo apresenta grau de probabilidade baixo e impacto severo. Da
mesma forma como que o malware, a ECT utiliza meios de segurana necessrios
para a preveno deste tipo de ataque. Constata-se que este perigo apresenta o grau
de probabilidade menor que o malware devido baixa incidncia de tentativas de
ataque bem sucedidas no ambiente computacional da ECT.

119
15.6.1.6. Falha de Hardware
Este perigo apresenta grau de probabilidade baixo e impacto moderado.
Os principais equipamentos de hardware que processam informaes corporativas
esto instalados fisicamente em ambiente isolado (sala cofre) que dispe de
mecanismos de controle e contratos de manuteno que garantem sua integridade
fsica. Para aumentar a disponibilidade das informaes que trafegam por meio
eletrnico na ECT, convm estudar a possibilidade de replicao dos principais
equipamentos envolvidos no processamento de informaes em outro Centro
Corporativo de Dados, com infraestrutura similar da sala do Edifcio da
Administrao Central.

15.6.1.7. Falha de Software
Este perigo apresenta grau de probabilidade alto e impacto moderado.
Para mitigar o risco inerente a esse perigo, convm: manter as documentaes de
sistemas atualizadas e disponveis aos envolvidos; prover treinamentos de
capacitao e reciclagem s pessoas envolvidas; garantir que as alteraes no cdigo
do sistema sejam executadas e testadas no ambiente de testes antes de serem postas
em produo; revisar periodicamente os processos de controle de acesso que
garantam acesso somente a pessoas devidamente autorizadas e que essas executem
suas funes com efetiva performance; prover aos usurios regras escritas contento
seus direitos de acesso e responsabilidades a eles atribudas.

15.6.1.8. Erro Humano
Este perigo apresenta grau de probabilidade alto e impacto moderado.
Para mitigar o risco desse perigo as principais aes a serem tomadas esto
relacionadas capacitao, treinamento e conscientizao dos envolvidos na soluo.
Adicionalmente, convm evitar o acmulo de funes e atividades em um nico
colaborador - que implicam em sobrecarga de trabalho.

120
16. Concluso
A informao um ativo que, independente da forma em que se
apresenta impressa, falada, registrada no papel ou armazenada eletronicamente
deve ser protegida adequadamente.
A proteo da informao pode ser obtida a partir da implementao de
polticas, processos, procedimentos, estruturas organizacionais, funes de software e
hardware. Esses controles precisam ser definidos, implantados e monitorados
regularmente a fim de melhorar os processos e garantir que os objetivos do negcio e
de segurana da informao na organizao sejam atendidos.
Constatou-se que existem pelo menos trs fatores fundamentais a
serem considerados para definir os requisitos de segurana da informao de forma
eficaz e eficiente. O primeiro fator composto pelo arcabouo legal e pelo arcabouo
normativo. Este ltimo tem por objetivo definir regras, critrios e registrar as melhores
prticas para promover a uniformidade e a qualidade de processos organizacionais,
produtos e servios. Embora considerada incipiente, se comparada a legislaes de
pases europeus ou dos Estados Unidos, a legislao brasileira dispe de vrios
documentos que discorrem sobre segurana da informao, principalmente no mbito
da Administrao Pblica Federal.
O segundo fator particular de cada organizao e envolve os
princpios, objetivos e os requisitos de negcio necessrios ao processamento da
informao e de suas atividades, alm do fator humano, da cultura e do ambiente
sociocultural.
O terceiro fator obtido a partir da anlise e gesto dos riscos a que
esto suscetveis a organizao e seus ativos. Embora esta pesquisa tenha se
limitado a estudar os riscos relacionados segurana da informao, convm que
sejam consideradas outras vertentes da Gesto de Riscos Corporativos para
elaborao dos controles e requisitos de segurana da informao e de planejamento
estratgico organizacional.
No mbito da Administrao Pblica Federal e luz da Instruo
Normativa n 01 do Gabinete de Segurana da Informao da Presidncia da
Repblica, constatou-se que para tornar o processo de gesto de segurana da
informao mais eficiente fundamental instituir um comit na estrutura organizacional
de cada rgo com competncia para propor, aplicar e coordenar as aes de
Segurana da Informao.
Adicionalmente, convm que as entidades da Administrao Pblica
Federal definam uma metodologia de gesto de segurana da informao baseada no
processo de melhoria contnua. Nesta pesquisa, sugere-se que as entidades da

121
Administrao Pblica Federal estejam aderentes metodologia proposta pelo
Gabinete de Segurana da Informao da Presidncia da Repblica, por meio da
Norma Complementar n02/IN01/DSIC/GSIPR.
A implantao das aes de segurana na Administrao Pblica
justifica-se pelo valor da informao para a eficiente prestao dos servios pblicos e
no interesse do cidado como beneficirio dos servios prestados.
Quanto aplicao dos conceitos de gesto de riscos segurana da
informao no mbito da APF, esta pesquisa permite concluir que ao tratar a questo
da segurana da informao pelo vis da gesto de riscos, o gestor consegue
aproximar o assunto da estratgia de negcios e empregar melhor os recursos, pois
conhecendo as ameaas, as vulnerabilidades a que esto sujeitas as informaes e os
impactos decorrentes do comprometimento de sua segurana, a tomada de deciso
para proteger os dados corporativos torna-se melhor fundamentada e mais confivel.
Isso posto, confirma-se a hiptese desta pesquisa, onde, inicialmente,
admitiu-se a proposio de que a Segurana da Informao mais eficiente e eficaz
quando adota a Gesto de Riscos.
Parte-se do pressuposto que as entidades que compem a APF, assim
como as entidades privadas, existem para gerar valor e enfrentam incertezas. Diante
disso, um dos grandes desafios dos administradores pblicos determinar at que
ponto tolerar essas incertezas, assim como estabelecer de que forma essas incertezas
podem interferir nos processos de gerao de valores s partes interessadas e no
emprego dos recursos corporativos.
O emprego de metodologias de anlise de riscos pode ser til no
desempenho dessas tarefas. Constatou-se que o Mtodo Brasiliano adequado para
fundamentar um modelo sistmico aplicvel ao processo de anlise de riscos em
segurana da informao nas entidades da APF. Isso porque o Mtodo Brasiliano
simples do ponto de vista de aplicao, suscetvel a conciliao com a cultura de
gesto de segurana em uso nas organizaes pblicas e coerente com as prticas de
qualidade e gesto adotadas em rgos pblicos brasileiros.
A partir da aplicao do mtodo, verificamos que diversos fatores
podem corroborar para a ocorrncia dos perigos que colocam em risco a
confidencialidade, integridade e disponibilidade das informaes no ambiente
corporativo de uma empresa pblica. Nesta pesquisa foram estudadas a
origem/causa, o impacto e a probabilidade dos seguintes perigos: desastres naturais,
falhas no ambiente fsico, furto, malware, hacking, cdigos ocultos, falha de hardware,
falha de software e erro humano.

122
Vale destacar que os perigos considerados em uma anlise de riscos
variam de acordo com a natureza do negcio e a percepo dos gestores e usurios
da informao de uma organizao. Por ser um processo contnuo, a anlise riscos
pode considerar diferentes perigos de acordo com momento vivido e o ambiente em
que est inserida a organizao.
Observamos que o grau de tolerncia ao risco varia de organizao
para organizao. O impacto e a probabilidade de ocorrncia do perigo podem
justificar as aes dos gestores para mitigar o risco.
Por se tratar de uma pesquisa estritamente acadmica, uma proposta
de trabalho futuro a efetiva implantao dos comits de segurana da informao e
dos comits de gesto de riscos corporativos nas estruturas organizacionais dos
rgos da APF. Alm disso, importante que esses rgos realizem um planejamento
estratgico organizacional para que os planos de trabalho desses comits estejam
alinhados.
Outra proposta de trabalho o estudo e definio de um modelo de
classificao da informao aplicvel aos rgos da Administrao Pblica Federal.
Na verdade, a classificao da informao deve ser uma atividade que precede as
questes relacionadas segurana da informao, pois define os ativos de informao
que demandam mais recursos para sua proteo.
Sugere-se ainda que seja elaborado um estudo a fim de propor a
definio e implementao de um sistema de medio que permita avaliar o
desempenho e a maturidade da gesto da segurana da informao nas organizaes
pblicas.
Por fim, a Gesto de Segurana da Informao e a Gesto Riscos so
reas desafiadoras que assumem papis de extrema importncia para as
organizaes contemporneas que produzem, consomem e trocam informaes em
um ambiente cada vez mais competitivo, globalizado e informatizado. Porm, embora
a utilizao de recursos de TI no processamento de informaes seja um assunto em
evidncia, h que se considerar as questes relacionadas aos processos e
principalmente s pessoas que os operam.

123
Referncias Bibliogrficas

AGNER, L.; SILVA, F. L. C. M. Uma introduo arquitetura da informao:
conceitos e usabilidade. In: 2 Congresso Internacional de Pesquisa em Design.
Artigo. Rio de Janeiro, 2003.

ALBERCH FUGUERAS, Ramn; CRUZ MUNDET, Jos Ramn. Arquivese! Los
documentos Del poder: El poder de los documentos. Madrid: Alianza Editotial,
1999, p.167.

ALBERTS, C.; DOROFEE, A.; Managing Information Security Risks. United States:
Addison- Wesley, 2002; p.10-25; 81-113.

ALVARENGA NETO, Rivadria Correa Drummond de; BARBOSA, Ricardo Rodrigues;
PEREIRA, Heitor Jos. Gesto do conhecimento ou gesto de organizaes da
era do conhecimento? Um ensaio Terico-prtico a partir de intervenes na
realidade brasileira. Perspectivas em Cincia da Informao, Belo Horizonte, v.12,
n.1, p. 5-24, jan./abr. 2007.

ALVES, Ivone et al. Dicionrio de terminologia arquivstica. Lisboa: Instituto da
Biblioteca Nacional e do Livro, 1993, p 30 e 57 ( apud SILVA, Armando Malheiro da;
RIBEIRO, Fernanda; RAMOS, Jlio; REAL, Manuel) Apud ROBREDO, Jaime. Da
cincia da informao revisitada: aos sistemas humanos de informao. Jaime
Robredo. Braslia: Thesaurus; SSRR Informaes, 2003.

ANSOFF, H. Igor. A nova estratgia empresarial. So Paulo: Atlas, 1990.

ARAJO, Eliany Alvarenga de. A construo social da informao: prticas
informacionais no contexto de Organizaes no governamentais/ONGs brasileiras.
Cincia da Informao, Braslia, v.29, n.2, p. 155-167, mai./ago. 1999.

AS/NZS 4360:2004 Australian Standard for Risk Management, 2004.

Associao Brasileira de Normas Tcnicas ABNT ISO/IEC Guia 73:2005 Gesto
de riscos - Vocabulrio - Recomendaes para uso em normas. Rio de Janeiro:
ABNT, 2005.

Associao Brasileira de Normas Tcnicas ABNT NBR ISO/I 17799:2005

124
Tecnologia da Informao Tcnicas de Segurana Cdigo de prtica para a
gesto de segurana da informao. Rio de Janeiro: ABNT, 2005.

Associao Brasileira de Normas Tcnicas ABNT NBR ISO/I 27001:2006
Tecnologia da Informao Tcnicas de Segurana Sistemas de Gesto de
segurana da informao Requisitos. Rio de Janeiro: ABNT, 2006 40p.

Associao Brasileira de Normas Tcnicas ABNT NBR ISO/IEC 27005:2008
Tecnologia da Informao Gesto de riscos de segurana da informao.
Associao Brasileira de Normas Tcnicas. Rio de Janeiro ABNT, 2008 55p.

BARRETO, A. de A. A eficincia tcnica e econmica e a viabilidade de produtos e
servios de informao. Cincia da Informao, Braslia, v. 25. n 3, p. 405-414,
set./dez. 1996.

BEAL, Adriana. Gesto estratgica da informao: como transformar a
informao e a tecnologia da informao em fatores de crescimento e de alto
desempenho nas organizaes. So Paulo: Atlas, 2004.

BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005.

BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes 1
a
edio 2
a
reimpresso
So Paulo: Atlas, 2008.

BELKIN, N. J.; ROBERTSON, S. E. Science and the phenomenon of information.
Journal of the American Society form Information Science, v. 27, no 4, 1976.

BELLOTTO, Helosa Liberalli. Arquivos permanentes: tratamento documental 2
edio revisada e ampliada. Rio de Janeiro: Editora FGV, 2004. p. 112-124.

BERETA, Sergio. Unleashing the integration potencial of ERP system. Bussiness
Process Management Journal, Bradford, v. 8, n.3, p. 259, 2002.

BERSTEIN, P. L. Desafio aos deuses: a fascinante histria do risco. So Paulo:
Elsevier/Campus, 1997.

125

BETHLEM, Agrcola. Os conceitos de poltica e estratgia. Revista de Administrao
de Empresas. Rio de Janeiro, v, 21, n
o
1, p. 7-15, jan./mar. 1981.

BEUREN, Ilse Maria. Gerenciamento da informao: um recurso estratgico no
processo de gesto empresarial. So Paulo: Atlas, 2000. p.41-58.

BOISOT, Max. Knowledge Assets: Securing Competitive Advantage in the
Information Economy. Oxford; New York: Oxford Universit Press, 1998.

BORKO, H. Information science: what is this? American Documentation, v. 19, 3-5,
1968.

BRASIL, Constituio (1988), Constituio da Repblica Federativa do Brasil.
Braslia, 2004. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/Constituicao.htm>. Acesso em: maio 2008.

BRASIL, Lei n 8.159, de 08 de janeiro de 1991. Dispe sobre a poltica nacional de
arquivos pblicos e privados e d outras providncias. Dirio Oficial da Repblica
Federativa do Brasil. Braslia, 09 jan. 1991. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/Leis/L8159.htm>. Acesso em: maio 2008.

BRASIL, Lei n 9.883, de 07 de dezembro de 1999. Institui o Sistema Brasileiro de
Inteligncia, cria a Agncia Brasileira de Inteligncia - ABIN, e d outras providncias.
Dirio Oficial da Repblica Federativa do Brasil. Braslia, 08 dez. 1999. Disponvel
em: <https://www.planalto.gov.br/ccivil_03/Leis/L9883.htm>. Acesso em: maio 2008.

BRASIL, Lei n 9.983, de 14 de julho de 2000. Altera o Decreto-Lei no 2.848, de 7 de
dezembro de 1940 Cdigo Penal e d outras providncias. Dirio Oficial da
Repblica Federativa do Brasil. Braslia, 17 jul. 2000. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/Leis/L9983.htm>. Acesso em: maio 2008.

BRASIL, Decreto n 3.505, de 13 de junho de 2000. Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal. Dirio Oficial
da Repblica Federativa do Brasil. Braslia, 14 jun. 2000. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: maio 2008.

126
BRASIL, Lei Complementar n 105, de 10 de janeiro de 2001. Dispe sobre o sigilo
das operaes de instituies financeiras e d outras providncias. Dirio Oficial da
Repblica Federativa do Brasil Braslia, 11 jan. 2001. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/Leis/LCP/Lcp105.htm >. Acesso em: maio 2008.

BRASIL, Decreto n 4.553, de 27 de dezembro de 2002. Dispe sobre a salvaguarda
de dados, informaes, documentos e materiais sigilosos de interesse da segurana
da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras
providncias. Dirio Oficial da Repblica Federativa do Brasil. Braslia, 30 dez.
2002. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/decreto/2002/D4553Compilado.htm>. Acesso
em: maio 2008.

BRASIL, Decreto n 5.110, de 18 de junho de 2004. Acresce inciso ao art. 7 do
Decreto no 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica. Dirio Oficial da
Repblica Federativa do Brasil. Braslia, 21 jun 2004. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/_Ato2004-2006/2004/Decreto/D5110.htm>.
Acesso em: maio 2008.

BRASIL, Decreto n 5.495, de 20 de junho de 2005. Acresce incisos ao art. 7o do
Decreto no 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da
Informao nos rgos e entidades da administrao pblica federal. Dirio Oficial da
Repblica Federativa do Brasil. Braslia, 21 jun. 2005. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/_Ato2004-2006/2005/Decreto/D5495.htm>.
Acesso em: maio 2008.

BRAITHWAITE, T.; Securing E-Business Systems; John Wiley and Sons, 2002;
ISBN 0-471-07298-2; p. 109-145.

BRASILIANO, Antnio Celso Ribeiro. Matriciamento de Riscos. Revista Eletrnica
Brasiliano & Associados, So Paulo, n 20, p. 34-38, 2005. Disponvel em
<http://www.brasiliano.com.br>. Acesso em: junho 2009.

BRASILIANO, Antnio Celso Ribeiro. Anlise de Risco (Mtodo Brasiliano). 2008.
Artigo Tcnico. Disponvel em: <www.brasiliano.com.br>. Acesso em: maio 2009.

127

BROOKES, B.C. The foundations of informations of information science. Journal of
Information Science, v.2, p. 209-221, 1980.

BRYMAN, Alan. Quantity and Quality in social Research. Canad: Routledge, 1996.

BS 7799-2:2002, Information Security Management Part 2: Specification for
Information Security Management System. BSI, 2001.

CAMPBELL, R.P.; SANDS, G.A. A modular approach to computer security risk
management. Artigo. In: AFIPS National Computer Conference. 1979. p. 293-303.

CAMPOS, Andr L. N. Sistemas de segurana da informao: controlando os
riscos. Florianpolis: Visual Books, 2006. 180p.

CNDIDO, Carlos Aparecido; VALENTIM, Marta Lgia Pomim; CONTANI, Miguel Luiz.
Gesto Estratgica da Informao: semitica aplicada ao processo de tomada de
deciso. Cincia da Informao, Braslia, vol. 6, n. 3, 2005.

CAPURRO, R.; HJRLAND, B. The concept of information. In. Annual Review of
Information Science and Technology, v. 37, p. 343-411, 2003.
Disponvel em: <http://www.capurro.de/infoconcept.html>. Acessado em: dez/2008.

CARR, Nicholas G. TI j no importa. Harvard Business Review. Harvard: maio/2003.

CARUSO, C. A. A. & STEFFEN, F.D. Segurana em informtica e de informaes.
2 edio. Revisada e ampliada. So Paulo: Editora SENAC. So Paulo, 1999.
Captulo 2. p. 35-47.

CARVALHO, Gilda Maria Rocha de. Informao e conhecimento: uma abordagem
organizacional. Rio de Janeiro: Qualitymark, 2001, 152p.

CHAUMIER, J. Systemes marche et tecnologies D information. Paris: Editora
Entreprise Moderne d dition, 1986. Apud MORESI, Eduardo Amadeu Dutra. Gesto
da Informao e do conhecimento. In: TARAPANOFF, Kira. Inteligncia
organizacional e competitiva. Braslia: Editora Universidade de Braslia, p. 111-141,
2001

128

CHECKLAND, Peter. Systems thinking, systems pratice. Chichester: John Wiley &
Sons, 1999.

CHOO, Chun Wei. A organizao do conhecimento: como as organizaes usam
a informao para criar significado, construir conhecimento e tomar decises.
Traduo: Eliana Rocha. So Paulo: Editora SENAC So Paulo, 2003.

CICCO, Francesco M. G. A. F de. O gerenciamento dos riscos empresariais nos
anos 90. Revista do IRB (Instituto de resseguros do Brasil), Rio de Janeiro, ano 51, n.
254, p. 25 e 26, out./dez. 1990.

CRONIN, Blaise. Esquemas conceituais e estratgicos para a gerncia da
informao. Revista da Escola de Biblioteconomia da UFMG, v. 19, n. 2, p. 195-220,
set. 1990.

COBIT 4.1., Control Objectives for Information and Related Technology Institute,
2007.

COSO, Committee of Sponsoring Organizations of the Treadway Commission.
Enterprise Risk Management Integrated Framework: Executive Summary and
Framework and Enterprise Risk Management Integrated Framework:
Application Techniques, vol. 2. New Jersey: COSO, set. 2004.

DAVENPORT, Thomas H. Process inovation. Boston: Harvard Business School
Press, 1993.

DAVENPORT, Thomas H. Ecologia da informao: por que s a tecnologia no
basta para o sucesso na era da informao. Traduo: Bernadette Siqueira Abro.
So Paulo: Futura, 1998.

DE SORDI, Jos Osvaldo. Gesto por processos: uma abordagem da moderna
administrao. So Paulo: Saraiva, 2005. Captulo 2. p. 17-27.

DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro:
Axcel Books do Brasil, 2000. p.39-83.

129
Dictionnaire encyclopdique de linformation et de La documentation. 2 me
dition. Paris: Nathan, 2001, p.297. URL: HTTP://www.natahn.u.com. ISBN:2-09-
191252-2. Apud ROBREDO, Jaime. Da cincia da informao revisitada: aos
sistemas humanos de informao. Jaime Robredo. Braslia: Thesaurus; SSRR
Informaes, 2003.

DRUCKER, Peter. Fator Humano e Desempenho. So Paulo: Pioneira,1991.

ECT, Empresa Brasileira de Correios e Telgrafos. Poltica de Segurana da
Informao da ECT, 2001.

ECT, Empresa Brasileira de Correios e Telgrafos. Conhea os Correios. Disponvel
em: <http://www.correios.com.br/institucional/conheca_correios/conheca.cfm>.
Acessado em: junho 2007.

Ernest & Young. O sucesso em um mundo globalizado: Seu caminho est
seguro? - Pesquisa Global sobre Segurana da Informao 2006. Disponvel em
www.ey.com.br. Acessado em: outubro 2008.

FELDMAN, Jacob. Qual informao til?. 2005. Revista TI Master - Artigo.
Disponvel em:
http://www.timaster.com.br/revista/artigos/main_artigo.asp?codigo=1004
Acessado em: abril 2009.

FERMA, Federation of European Risk Managemente Associations. Norma Europia
de Gesto de Riscos. AIRMIC, ALARM, IRM: 2002, translation copyright FERMA:
2003.

FERREIRA, Sueli Mara Soares Pinto. Novos Paradigmas e novos usurios de
informao. Cincia da Informao, vol. 25, n. 2, 1995.

FONTES, Edison Luiz Gonalves. Vivendo a segurana da informao:
orientaes prticas para as organizaes. 1 Edio. So Paulo: Sicurezza:
Brasiliano e Associados, p. 21-39, 2000.

GIL, Antnio Carlos: Como Elaborar Projetos de Pesquisa. So Paulo: Atlas, 1991.

130
GODOY, Arilda S. Introduo pesquisa qualitativa e suas possibilidades.
Revista de Administrao de Empresas, v. 35, n2, p. 57-63, Mar./abr. 1995.

GOULART, Silvana. Patrimnio documental e histria Institucional. So Paulo:
Associao de Arquivistas de So Paulo. 2002.

Gabinete de Segurana Institucional da Presidncia da Repblica GSI.
Metodologia para Gesto de Segurana da Informao pra a Administrao
Pblica Federal Relatrio Final. Maio/2006. Disponvel em:
http://www.presidencia.gov.br/estrutura_presidencia/gsi/publicacoes/
Acessado em: abr/2007.

GUAN, B-C. et al. Evaluation of information security related risks of an
organization: the application of the multi-criteria decision-making method. In:
Marciano, Joo Luiz Pereira. Segurana da Informao uma abordagem social.
Braslia: CID/FACE UnB, 2006.

HAMMER, Michael; CHAMPY, James. Reengineering the corporation. London:
Nicholas Breadley Publishing, 1997.

Harrods Librarian Glossary of Terms Used in Librarianship, Documentation and
the Book Crafts and Reference Book. 6th edition. Aldershot: Gower, 1989, p.281
Apud ROBREDO, Jaime. Da cincia da informao revisitada: aos sistemas
humanos de informao. Jaime Robredo. Braslia: Thesaurus; SSRR Informaes,
2003.

HARRINGTON, James. Business process improvement. New York: McGraw-Hill,
1991.

HAYES, Robert M. Information Science Education. In: ALA World Encyclopedia of
Library and Information Sciences. 2nd edition. Chicago: American Library Association,
p. 358-360, 1986.

HILGENBERG, Alexandre Bento. Necessidade de uma poltica de proteo
informao. Universidade do Legislativo Brasileiro e Universidade Federal do Mato
Grosso do Sul. Dissertao (Ps Graduao). Braslia, 2005.

131
ISO/IEC 13335-1:2004, Information technology Security techniques
Management of information and mommunications technology security Part 1:
Concepts ond models for information and commuications technology security
management, 2004.

ISO 17799, International Organization for Standardization. Code of practice for
information security management, 2007.

ISO 27001, International Organization for Standardization. Information Security
Management Systems Requirements, 2005.

ISO Guide 73, Risk management - Vocabulary - Guidelines for use in standards,
2002.

ITSEC (June 1991). Information Technology Security Evaluation Criteria (ITSEC):
Preliminary Harnonised Criteria. Documente COM (90) 314, Version 1.2.
Commission of the European Communities. Retrieved on 2006-06-02.

ITIL. Office of Government. Information Technology Infrastructure Library
Commerce, 2007.

LE COADIC, Yves-Francois. A Cincia da Informao. Braslia: Briquet de Lemos
Livros, 1996, p.4. ISBN: 85-85637-08-0 (traduo do original francs La science de
linformation. Paris: PUF, 1994 Collection Que sais-je?).

LE COADIC, Y-F. A Cincia da Informao. 2. ed. Traduo de Maria Yda F. S. de
Figueiras Gomes. Braslia: Briquet de Lemos Livros, 124 p, 2004.

LESCA, Humbert; ALMEIDA, Fernando C. De. Administrao estratgica da
informao. Revista de Administrao - RAUSP. So Paulo, v.29, n.03, p.66-75,
jul./set., 1994.

LOMBARDO, A. Une table ronde utile Ihistoire. Paris: Conseil International des
Archives, 1958. apud BELLOTTO, Helosa Liberalli. Arquivos permanentes:
tratamento documental 2 edio revisada e ampliada Rio de janeiro: Editora
FGV, p. 112-124, 2004.

132
LYOTARD, J. F. O que ps-moderno. 3
a
edio. Rio de Janeiro: J. Olympio, 1990.

LYRA, Mauricio Rocha. Segurana e Auditoria em Segurana da Informao. Rio
de Janeiro: Ed. Cincia Moderna Ltda, 2008.

MANDARINI, Marcos. Segurana corporativa estratgica: fundamentos. Barueri,
SP: Manole, p. 293-315, 2005..

MARIJUAN, Pedro C. Introduction. In: Proceedings of the First Conference on the
Foudations of Information Science: From Computers and Quantum Physics to
Cell, Nervous Systems, and Societies. July 11-15, 1994. Madrid. URL:
HTTP://fis.iguw.tuwien.ac.at/index1.html. Apud ROBREDO, Jaime. Da cincia da
informao revisitada: aos sistemas humanos de informao. Jaime Robredo.
Braslia: Thesaurus; SSRR Informaes, 2003.

MENESES, Ulpiano T. Bezerra de. A crise da memria, histria e documento:
reflexes para um tempo de transformaes. In: SILVA, Zlia Lopes da. Arquivos,
patrimnio e memria: trajetria e perspectivas. So Paulo: Editora UNESP / FAPESP,
p.11-29, 1999.

MCGARRY, Kevin. O contexto dinmico da informao: uma anlise introdutria.
Traduo de Helena Vilar de Lemos. Braslia, DF: Briquet de Lemos/Livros, 1999.

MCGEE, James; PRUSAK, Laurence. Gerenciamento estratgico da informao:
aumente a competitividade e a eficincia de sua empresa utilizando a informao
como ferramenta estratgica. Traduo de Astrid Beatriz de Figueiredo. Rio de
Janeiro: Campus, 1994.

MINTZBERG, Henry, QUINN, James Brian. The stragy process: concepts and
contexts. Engle Wood Cliffs, New Jersey: Prentice Hall International, p. 12-19, 1992.

MORESI, Eduardo Amadeu Dutra. Gesto da Informao e do conhecimento. In:
TARAPANOFF, Kira. Inteligncia organizacional e competitiva. Braslia: Editora
Universidade de Braslia, p. 111-141, 2001

133
NATIONAL INFORMATION ASSURANCE PARTNERSHIP. Common Criteria For
Information Technology Security Evaluation v.2.2.: Part 1 Introduction and
general model. Washington, 2006.
Disponvel em: <http://www.commoncriteriaportal.org/thecc.html>. Acesso em:
abril.2009.

NETO, C.; MARTINS, J. B.; CRTE, K. & SILVA, L. F. C. P da. Os Pilares da
Segurana da Informao. Set/2008. Programa de Ps-Graduao em Cincia da
Informao PPGCInf. Disciplina: Fundamentos da Cincia da Informao.
Disponvel em: < http://aprender.unb.br>. Acesso em: dezembro 2008.

OLIVEIRA, Wilson Jos de. Segurana da Informao Tcnicas e solues.
Florianpolis: Editora Visual Books, maio 2001.

PRAHALAD, C.K & G. HAMEL. The Core Competence of the Organizations,
Harvard Bussines Review, p. 118-125, 1990.

PORTER, Michael. What is strategy? Harvard Business Review, nov./dez. 1996.

RAMOS, Anderson. Security Officer 1. Guia Official para Formao de Gestores
em Segurana da Informao. Porto Alegre: Mdulo Security Solutions, 2006.

RIEGER, Morris. Procedes moderns de disposition ET dvaluation ds dossiers.
Rusiba, v. 1, n.3, p. 209-219. Jul./sept. 1979 . apud BELLOTTO, Helosa Liberalli.
Arquivos permanentes: tratamento documental 2 edio revisada e ampliada Rio
de janeiro: Editora FGV, p. 112-124, 2004.

ROBERTS, Joanne. The Drive to Codify: Implications for the Knowledge Based
Economy. In: Proceedings of the 8th International Joseph A. Schumpeter Society
Conference, 28th June-1st July 2000, University of Manchester: UK

ROBREDO, Jaime. Da cincia da informao revisitada: aos sistemas humanos
de informao. Braslia: Thesaurus; SSRR Informaes, 2003.

SALLES JUNIOR, Carlos Alberti Corra et al. Gerenciamento de riscos em projetos.
Rio de Janeiro: Editora FGV, 160p, 2006.

134
SMOLA, Marcos. Gesto de segurana da informao: viso executiva da
segurana da informao: aplicada ao Security Officer. Rio de Janeiro: Campus, p.
43-73, 2003.

SMOLA, Marcos. Gesto da Segurana da Informao. In STAREC, Cludio;
GOMES, Elisabeth; BEZERRA, Jorge. Gesto estratgica da informao e
inteligncia competitiva. So Paulo: Saraiva, p. 285-305, 2005.

SIANES, Marta. Compartilhar ou proteger conhecimentos? Grande desafio no
comportamento informacional das organizaes. In STAREC, Cludio; GOMES,
Elisabeth; BEZERRA, Jorge. Gesto estratgica da informao e inteligncia
competitiva. So Paulo: Saraiva, p. 259, 2005.

SILVA, Adailton. Segurana da Informao Anlise e Avaliao de Riscos.
Centro de Pesquisa, Desenvolvimento e Educao Continuada da Unicamp,
dezembro/2003.

SILVA, Adailton. OCTAVE Como Gerenciar Riscos em Segurana da Informao.
Revista Economia & Tecnologia, vol. 7, n 4, julho/agosto 2004.

SILVA, Janete Fernandes; FERREIRA, Marta Arajo Tavares; BORGES, Mnica
Erichsen Nassif. Anlise metodolgica dos estudos de necessidades de
informao sobre setores industriais brasileiros: proposies. Revista Cincia da
Informao. Vol.31 n
o
2. Braslia Maio/Agosto 2002.

SIMONS, Robert. Levels of control: how managers use innovative control
systems to drive strategic renewal. Boston, Massachusetts: Havard Business
School Press, 1994, p.154.

SOBREIRA, Isabela Figueiredo. A disseminao da informao na avaliao
institucional e seus reflexos na cultura organizacional da UFMG. 1999.
Dissertao (Mestrado) - UFMG, Belo Horizonte, 1999.

STAIR, Ralph M. Princpios de Sistemas de Informao Uma Abordagem
Gerencial. Rio de Janeiro: Editora LTC, 1998.

135
STRAUSS, Anselm; CORBIN, Juliet. Basics of qualitative research Techniques
and procedures for developing grounded theory. 2 Ed. Califrnia: SAGE
publications, 1998.

TARAPANOFF, Kira. Referencial Terico: introduo. In: TARAPANOFF, Kira.
Inteligncia organizacional e competitiva. Braslia: Editora Universidade de Braslia,
p. 33-46, 2001.

THIOLLENT, Michel. Metodologia da Pesquisa- ao. So Paulo: Cortez,1996.

TOMANIK, Eduardo Augusto. O olhar no espelho conversas sobre a pesquisa
em Cincias Sociais. 2 edio revista. Maring: Eduem, 2004.

WETHERBE, James C. Anlise de sistema para sistemas de informao por
computador. 3 Ed. Rio de Janeiro: Campus, 1987

ZAPATER, Mrcio; SUZUKI, Rodrigo. Segurana da Informao Um diferencial
na competitividade das corporaes. Rio de Janeiro: Promon Businnes &
Technology Review, 2005.

136

Anexos

137
Anexo 1 Diretrizes da Poltica de Segurana da Informao da ECT

a. proteger as informaes contra acesso, modificao, destruio ou
divulgao no autorizada;
b. assegurar que os recursos de informao colocados disposio dos
empregados e prestadores de servios sejam utilizados apenas para
finalidades aprovadas pela ECT;
c. garantir que os sistemas e informaes sob a responsabilidade dos
empregados e prestadores de servios estejam adequadamente protegidos;
d. garantir a continuidade do processamento das informaes criticas de
negcio;
e. selecionar os mecanismos de segurana da informao, balanceando
fatores de risco, tecnologia e custo;
f. comunicar imediatamente ao seu chefe imediato ou ao gestor responsvel
pela sua rea de trabalho, qualquer descumprimento da poltica e normas
de segurana da informao que tenha conhecimento;
g. toda informao gerada ou adquirida pela ECT com a utilizao de seu
recursos de sua propriedade e somente deve ser utilizada atendendo a
seus interesses;
h. as informaes devem receber classificao conforme o seu risco e
importncia para o negcio, devendo seu tratamento obedecer a esta
classificao;
i. todos os recursos que armazenam, processam ou transportam informao,
merecem o mesmo tratamento que do prpria informao e s devem
ser utilizados para os fins estabelecidos e de acordo com os padres
vigentes;
j. o acesso de terceiros s normas da ECT disponibilizado e controlado
conforme contratos, termos e acordos estabelecidos entre as partes,
garantindo-se o sigilo e observando-se as necessidades de negcio;
k. a comunidade ecetista deve atuar como agente ativo, comprometido com a
segurana da informao;
l. a implementao de segurana da informao no pode ser prejudicial ao
desenvolvimento e continuidade dos negcios da ECT;
m. a preservao do negcio depende da continuidade operacional dos
processos crticos da ECT;
n. o estabelecimento de estrutura funcional adequada para a administrao de
aes que envolvam todas as reas da Instituio, deve propiciar o
desenvolvimento e segurana da informao da ECT;
o. a avaliao da eficcia e a eficincia dos controles internos, disciplinados
pela poltica de segurana da informao, subsidiam as aes de segurana
da informao na ECT;

138
p. avaliar o cumprimento da poltica e das normas de segurana da informao
no mbito da ECT tarefa que dever ser desempenhada pelo
Departamento de Auditoria. No entanto cabe aos empregados, clientes,
parceiros e fornecedores o cumprimento da poltica e das normas de
segurana da informao e a todas as chefias o papel de superviso do
cumprimento da poltica;
q. atualizar a poltica e as normas de segurana da informao da ECT
tarefa que dever ser desempenhada pelo Departamento de Planejamento
de Tecnologia da Informao e Comunicao.
(ECT 2001, p. 2)

139
Anexo 2 Estrutura da Norma de Segurana da Informao da ECT
- Captulo 1 Norma de Segurana da Informao para Administrao de
Contas define critrios para a criao, alterao, desabilitao e
excluso de contras de usurios, bem como estabelece a poltica de
senhas, do horrio para utilizao dos recursos de informtica, da
criao de contas especiais e de utilizao do servio de correio
eletrnico.

- Captulo 2 - Norma de Segurana da Informao para Desenvolvimento
de Sistemas estabelece regras para o desenvolvimento e aquisio
de sistemas, com nvel de segurana e padronizao adequados,
visando otimizao das rotinas de trabalho, a documentao, o
tratamento e a segurana da informao.

- Captulo 3 - Norma de Segurana da Informao para Acesso ao
Ambiente Computacional estabelece requisitos para acesso fsico e
caractersticas dos ambientes da rede corporativa da ECT, dos centros
corporativos de dados da Administrao Central e diretorias regionais,
preservando a Empresa quanto ocorrncia de acessos no
autorizados.

- Captulo 4 - Norma de Segurana da Informao para Administrao de
Estao de Trabalho estabelece requisitos para manter a integridade
e a disponibilidade das estaes de traalho e assegurar a devida
proteo das informaes nelas armazenadas.

- Captulo 5 - Norma de Segurana da Informao para Operao de
Estao de Trabalho estabelece padres de segurana para
utilizao das estaes de trabalho.

- Captulo 6 - Norma de Segurana da Informao para Banco de Dados
descreve as condies para a correta configurao, proteo e uso de

140
banco de dados e sua interrelao com os sistemas.

- Captulo 7 - Norma de Segurana da Informao para Cpia de
Segurana define critrios para a execuo e utilizao das copias de
segurana das informaes e das configuraes dos equipamentos de
rede.

- Captulo 8 - Norma de Segurana da Informao de Critrios para
Classificao das Informaes define critrios para a classificao
das informaes e seus recursos de acordo com a sua importncia para
a ECT, visando a preservao e a proteo adequada.

- Captulo 9 - Norma de Segurana da Informao para Auditoria,
Gerao e Anlise de Registros estabelece critrios para a gerao,
auditoria e as anlises dos eventos ocorridos, visando a rastreabilidade
e avaliao das ocorrncias.

- Captulo 10 - Norma de Segurana da Informao para Acesso
Internet, Intranet e Extranet define critrios para administrao e
utilizao dos servios de Internet, Intranet e Extranet.

- Captulo 11 - Norma de Segurana da Informao para Acesso Remoto
define critrios para a disponibilizao do servio de acesso remoto
rede corporativa da ECT, bem como as regras a serem obedecidas
pelos usurios, visando a preveno do acesso no autorizado s
informaes da ECT.

- Captulo 12 - Norma de Segurana da Informao para Transmisso de
Informaes define requisitos tecnolgicos e aspectos a serem
obedecidos pelos usurios para a transmisso de dados entre as
unidades da ECT e dessas com os clientes externos e parceiros,

141
garantindo que no haja perda, modificao ou acesso indevido s
informaes transmitidas atravs da rede corporativa da ECT e deres
pblicas, ou qualquer outro meio de comunicao.

- Captulo 13 - Norma Geral de Segurana da Informao para Tcnicos
agrega segurana s atividades desempenhadas pelos tcnicos,
orientando-os para auxlio nas aes de segurana e definindo critrios
para manipulao e disponibilizao dos recursos de tecnologia da
informao da ECT.

- Captulo 14 - Norma Geral de Segurana da Informao para Usurios
agrega segurana s atividades desempenhadas pela comunidade
ecetista, definindo critrios e responsabilidades para utilizao e
disponibilizao das informaes e dos recursos de informao da ECT.

- Captulo 15 - Norma de Segurana da Informao para os Casos de
Deteco de Intrusos nos Sistemas de Informao da ECT visa
regulamentao das Aes mnimas a serem executadas, em caso de
deteco de intrusos, nos sistemas de informao da ECT. Abrange
todos os sistemas de informao da ECT, seja nas dependncias da
ECT ou de parceiros.

- Captulo 16 - Norma de Segurana da Informao AntiSpam
estabelece critrios de gesto de mensagens eletrnicas denominadas
SPAM.

- Captulo 17 - Norma de Segurana da Informao para Utilizao de
Equipamentos de Rede sem Fio (Wireless) define critrios para a
utilizao e administrao de equipamentos de rede sem fio.

- Captulo 18 - Norma de Segurana da Informao para Controle de

142
Acesso aos Sistemas de Informao define quesitos de segurana
que devero ser usados pelos desenvolvedores, gestores, usurios e
administradores de sistemas, objetivando prevenir a perda, modificao
ou uso imprprio de dados.
Anexo 1. Termo de Responsabilidade
Anexo 2. Formulrio de Solicitao de Acesso a Sistemas
Anexo 3. Modelo de CI

- Captulo 19 - Norma de Segurana da Informao para Especificao e
Organizao da CDI-ECT define os requisitos de especificao e
organizao da Certificao Digital Interna da ECT.
Anexo 1: Termo de Responsabilidade para Certificao
Digital Interna

- Captulo 20 - Norma de Segurana da Informao para Administrao
dos Servios da CDI-ECT - define os critrios para administrao dos
servios de Certificao Interna da ECT.

- Captulo 21: Norma de Segurana da Informao para Criao e Fluxo
de e-CIs, e-NIs e e-MAILs com Assinatura Digital estabelece o fluxo
para circulao de documentos eletrnicos (comunicaes internas,
notas internas e e-mails) assinados digitalmente no mbito da ECT.

143
Anexo 3 Instruo Normativa GSI n
o
1, de 13 de junho de 2008.
Extrada do Dirio Oficial da Unio n
o
115, seo 1, junho/2008, ISSN 1677-7042, p. 6-
7

CONSELHO DE DEFESA NACIONAL
SECRETARIA EXECUTIVA

INSTRUO NORMATIVA GSI n
o
1, DE 13 DE JUNHO DE 2008

Disciplina a Gesto de Segurana da Informao
e Comunicaes na Administrao Pblica
Federal, direta e indireta, e d outras
providncias.

O MINISTRO CHEFE DO GABINETE DE SEGURANA INSTITUCIONAL DA
PRESIDNCIA DA REPBLICA, na condio de SECRETRIO-EXECUTIVO DO
CONSELHO DE DEFESA NACIONAL, no uso de suas atribuies;

CONSIDERANDO:

o disposto no artigo 6 e pargrafo nico do art. 16 da Lei n 10.683, de 28 de
maio de 2003;

o disposto no inciso IV do caput e inciso III do 1 do art. 1 e art. 8 do Anexo I
do Decreto n 5.772, de 08 de maio de 2006;
o disposto nos incisos I, VI, VII e XIII do artigo 4 do Decreto n 3.505, de 13 de junho
de 2000;

as informaes tratadas no mbito da Administrao Pblica Federal, direta e
indireta, como ativos valiosos para a eficiente prestao dos servios pblicos;

o interesse do cidado como beneficirio dos servios prestados pelos rgos
e entidades da Administrao Pblica Federal, direta e indireta;

o dever do Estado de proteo das informaes pessoais dos cidados;

a necessidade de incrementar a segurana das redes e bancos de dados
governamentais; e

a necessidade de orientar a conduo de polticas de segurana da informao
e comunicaes j existentes ou a serem implementadas pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.

RESOLVE:

Art. 1 Aprovar orientaes para Gesto de Segurana da Informao e
Comunicaes que devero ser implementadas pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.

Art. 2 Para fins desta Instruo Normativa, entende-se por:

I - Poltica de Segurana da Informao e Comunicaes: documento aprovado
pela autoridade responsvel pelo rgo ou entidade da Administrao Pblica Federal,
direta e indireta, com o objetivo de fornecer diretrizes, critrios e suporte administrativo

144
suficientes implementao da segurana da informao e comunicaes;

II - Segurana da Informao e Comunicaes: aes que objetivam viabilizar
e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informaes;

III - disponibilidade: propriedade de que a informao esteja acessvel e
utilizvel sob demanda por uma pessoa fsica ou determinado sistema, rgo ou
entidade;

IV - integridade: propriedade de que a informao no foi modificada ou
destruda de maneira no autorizada ou acidental;

V - confidencialidade: propriedade de que a informao no esteja disponvel
ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado;

VI - autenticidade: propriedade de que a informao foi produzida, expedida,
modificada ou destruda por uma determinada pessoa fsica, ou por um determinado
sistema, rgo ou entidade;

VII - Gesto de Segurana da Informao e Comunicaes: aes e mtodos
que visam integrao das atividades de gesto de riscos, gesto de continuidade do
negcio, tratamento de incidentes, tratamento da informao, conformidade,
credenciamento, segurana ciberntica, segurana fsica, segurana lgica, segurana
orgnica e segurana organizacional aos processos institucionais estratgicos,
operacionais e tticos, no se limitando, portanto, tecnologia da informao e
comunicaes;

VIII - quebra de segurana: ao ou omisso, intencional ou acidental, que
resulta no comprometimento da segurana da informao e das comunicaes;

IX - tratamento da informao: recepo, produo, reproduo, utilizao,
acesso, transporte, transmisso, distribuio, armazenamento, eliminao e controle
da informao, inclusive as sigilosas.

Art. 3 Ao Gabinete de Segurana Institucional da Presidncia da Repblica -
GSI, por intermdio do Departamento de Segurana da Informao e Comunicaes -
DSIC, compete:

I - planejar e coordenar as atividades de segurana da informao e
comunicaes na Administrao Pblica Federal, direta e indireta;

II - estabelecer normas definindo os requisitos metodolgicos para
implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos
e entidades da Administrao Pblica Federal, direta e indireta;

III - operacionalizar e manter centro de tratamento e resposta a incidentes
ocorridos nas redes de computadores da Administrao Pblica Federal, direta e
indireta, denominado CTIR.GOV;

IV - elaborar e implementar programas destinados conscientizao e
capacitao dos recursos humanos em segurana da informao e comunicaes;

V - orientar a conduo da Poltica de Segurana da Informao e
Comunicaes na Administrao Pblica Federal, direta e indireta;

145

VI - receber e consolidar os resultados dos trabalhos de auditoria de Gesto de
Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e
indireta;

VII - propor programa oramentrio especfico para as aes de segurana da
informao e comunicaes.

Art. 4 Ao Comit Gestor de Segurana da Informao compete:

I - assessorar o GSI no aperfeioamento da Gesto de Segurana da
Informao e Comunicaes da Administrao Pblica Federal, direta e indireta;

II - instituir grupos de trabalho para tratar de temas especficos relacionados
segurana da informao e comunicaes.

Art. 5 Aos demais rgos e entidades da Administrao Pblica Federal, direta
e indireta, em seu mbito de atuao, compete:

I - coordenar as aes de segurana da informao e comunicaes;

II - aplicar as aes corretivas e disciplinares cabveis nos casos de quebra de
segurana;

III - propor programa oramentrio especfico para as aes de segurana da
informao e comunicaes;

IV - nomear Gestor de Segurana da Informao e Comunicaes;

V - instituir e implementar equipe de tratamento e resposta a incidentes em
redes computacionais;

VI - instituir Comit de Segurana da Informao e Comunicaes;

VII - aprovar Poltica de Segurana da Informao e Comunicaes e demais
normas de segurana da informao e comunicaes;

VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gesto
de Segurana da Informao e Comunicaes para o GSI.
Pargrafo nico. Para fins do disposto no caput, dever ser observado o disposto no
inciso II do art. 3 desta Instruo Normativa.

Art. 6 Ao Comit de Segurana da Informao e Comunicaes, de que trata o
inciso VI do art. 5, em seu mbito de atuao, compete:

I - assessorar na implementao das aes de segurana da informao e
comunicaes;

II - constituir grupos de trabalho para tratar de temas e propor solues
especficas sobre segurana da informao e comunicaes;

III - propor alteraes na Poltica de Segurana da Informao e
Comunicaes; e

146
IV - propor normas relativas segurana da informao e comunicaes.

Art. 7 Ao Gestor de Segurana da Informao e Comunicaes, de que trata o
inciso IV do art. 5, no mbito de suas atribuies, incumbe:

I - promover cultura de segurana da informao e comunicaes;

II - acompanhar as investigaes e as avaliaes dos danos decorrentes de
quebras de segurana;

III - propor recursos necessrios s aes de segurana da informao e
comunicaes;

IV - coordenar o Comit de Segurana da Informao e Comunicaes e a
equipe de tratamento e resposta a incidentes em redes computacionais;

V - realizar e acompanhar estudos de novas tecnologias, quanto a possveis
impactos na segurana da informao e comunicaes;

VI - manter contato direto com o DSIC para o trato de assuntos relativos
segurana da informao e comunicaes;

VII - propor normas relativas segurana da informao e comunicaes.

Art. 8 O cidado, como principal cliente da Gesto de Segurana da
Informao e Comunicaes da Administrao Pblica Federal, direta e indireta,
poder apresentar sugestes de melhorias ou denncias de quebra de segurana que
devero ser averiguadas pelas autoridades.

Art. 9 Esta Instruo Normativa entra em vigor sessenta dias aps sua
publicao.

JORGE ARMANDO FELIX

147
Anexo 4 Norma Complementar n02/IN01/DSIC/GSIPR - Metodologia de Gesto de
Segurana da Informao e Comunicaes publicada no DOU n 199, de 14 de
outubro de 2008 seo 1.

PRESIDNCIA DA REPBLICA
Gabinete de Segurana Institucional
Departamento de segurana da Informao e
Comunicaes
METODOLOGIA DE GESTO DE
SEGURANA DA INFORMAO E
COMUNICAES

ORIGEM
Departamento de Segurana da Informao e Comunicaes

REFERNCIA NORMATIVA
Instruo Normativa GSI n 1, de 13 de junho de 2008.
ABNT NBR ISO/IEC 27001:2006.

CAMPO DE APLICAO
Esta Norma se aplica no mbito da Administrao Pblica Federal, direta e indireta.

SUMRIO
1. Objetivo
2. Metodologia
3. Ciclo da Metodologia
4. Responsabilidades
5. Consideraes Finais
6. Vigncia

INFORMAES ADICIONAIS
No h

APROVAO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurana da Informao e Comunicaes

148
1 OBJETIVO
Definir a metodologia de gesto de segurana da informao e
comunicaes utilizada pelos rgos e entidades da Administrao Pblica Federal,
direta e indireta.

2 METODOLOGIA
2.1 A metodologia de gesto de segurana da informao e comunicaes
baseia-se no processo de melhoria contnua, denominado ciclo PDCA (Plan-Do-
Check-Act), estabelecido pela norma ABNT NBR ISO/IEC 27001:2006.

2.2 A escolha desta metodologia levou em considerao trs critrios:
a) Simplicidade do modelo;

b) Compatibilidade com a cultura de gesto de segurana da informao
em uso nas organizaes pblicas e privadas brasileiras; e

c) Coerncia com as prticas de qualidade e gesto adotadas em rgos
pblicos brasileiros.

3 CICLO DA METODOLOGIA
3.1 (Plan P) Planejar - a fase do ciclo na qual o Gestor de Segurana da
Informao e Comunicaes planejar as aes de segurana da informao e
comunicaes que sero implementadas, considerando os requisitos ou pressupostos
estabelecidos pelo planejamento organizacional, bem como as diretrizes expedidas
pela autoridade decisria de seu rgo ou entidade. Para planejar necessrio:

3.1.1 Definir o escopo e os limites onde sero desenvolvidas as aes de
segurana da informao e comunicaes;

3.1.2 Definir os objetivos a serem alcanados com a implementao das aes
de segurana da informao e comunicaes, considerando as expectativas ou
diretrizes formuladas pela autoridade decisria de seu rgo ou entidade;

3.1.3 Definir a abordagem de gesto de riscos de seu rgo ou entidade, sendo
necessrio:
a) definir uma metodologia de gesto de riscos que seja adequada ao
escopo, limites e objetivos estabelecidos;

149
b) identificar os nveis de riscos aceitveis e os critrios para sua
aceitao, considerando decises superiores e o planejamento
estratgico do rgo ou entidade;

3.1.4 Identificar os riscos, sendo necessrio:
a) Identificar os ativos e seus responsveis dentro do escopo onde sero
desenvolvidas as aes de segurana da informao e comunicaes;

b) Identificar as vulnerabilidades destes ativos;

c) Identificar os impactos que perdas de disponibilidade, integridade,
confidencialidade e autenticidade podem causar nestes ativos;

3.1.5 Analisar os riscos, sendo necessrio:
a) identificar os impactos para a misso do rgo ou entidade que podem
resultar de falhas de segurana, levando em considerao as
conseqncias de uma perda de disponibilidade, integridade,
confidencialidade ou autenticidade destes ativos;

b) identificar a probabilidade real de ocorrncia de falhas de segurana,
considerando as vulnerabilidades prevalecentes, os impactos
associados a estes ativos e as aes de segurana da informao e
comunicaes atualmente implementadas no rgo ou entidade;

c) estimar os nveis de riscos;

d) determinar se os riscos so aceitveis ou se requerem tratamento
utilizando os critrios para aceitao de riscos estabelecidos em 3.1.3;

3.1.6 Identificar as opes para o tratamento de riscos, considerando a
possibilidade de:
a) aplicar aes de segurana da informao e comunicaes alm das
que j esto sendo executadas;

b) aceitar os riscos de forma consciente e objetiva, desde que satisfaam
o planejamento organizacional, bem como a diretrizes expedidas pela

150
autoridade decisria de seu rgo ou entidade, bem como aos critrios
de aceitao de riscos estabelecidos em 3.1.3;

c) evitar riscos;

d) transferir os riscos a outras partes, por exemplo, seguradoras ou
terceirizados;

3.1.7 Selecionar as aes de segurana da informao e comunicaes
consideradas necessrias para o tratamento de riscos. (Alguns exemplos de aes de
segurana da informao e comunicaes so: Poltica de Segurana da Informao e
Comunicaes, infra-estrutura de segurana da informao e comunicaes,
tratamento da informao, segurana em recursos humanos, segurana fsica,
segurana lgica, controle de acesso, segurana de sistemas, tratamento de
incidentes, gesto de continuidade, conformidade, auditoria interna, alm de outras
que sero exploradas em outras normas complementares);

3.1.8 Obter aprovao da autoridade decisria de seu rgo ou entidade quanto
aos riscos residuais propostos;

3.1.9 Obter autorizao da autoridade decisria de seu rgo ou entidade para
implementar as aes de segurana da informao e comunicaes selecionadas,
mediante uma Declarao de Aplicabilidade, incluindo o seguinte:
a) Os objetivos e os recursos necessrios para cada ao de segurana
da informao e comunicaes selecionada e as razes para sua
seleo;

b) Os objetivos de cada ao de segurana da informao e
comunicaes que j foram implementadas em seu rgo ou entidade;

c) Um resumo das decises relativas gesto de riscos; e

d) Justificativas de possveis excluses de aes de segurana da
informao e comunicaes sugeridas pelo Gestor de Segurana da
Informao e Comunicaes e no autorizadas pela autoridade
decisria de seu rgo ou entidade.

151
3.2 (Do D) Fazer - a fase do ciclo na qual o Gestor de Segurana da
Informao e Comunicaes implementar as aes de segurana da informao e
comunicaes definidas na fase anterior. Para fazer necessrio:

3.2.1 Formular um plano de metas para cada objetivo das aes de segurana
da informao e comunicaes aprovadas na fase do planejamento em ordem de
prioridade, incluindo a atribuio de responsabilidades, os prazos para execuo, e os
custos estimados;

3.2.2 Obter autorizao da autoridade decisria de seu rgo ou entidade para
implementar o plano de metas com a garantia de alocao dos recursos planejados;

3.2.3 Implementar o plano de metas para atender as aes de segurana da
informao e comunicaes aprovadas;

3.2.4 Definir como medir a eficcia das aes de segurana da informao e
comunicaes, estabelecendo indicadores mensurveis para as metas aprovadas;
3.2.5 Implementar programas de conscientizao e treinamento, sendo
necessrio:
a) assegurar que todo pessoal que tem responsabilidades atribudas no
plano de metas receba o treinamento adequado para desempenhar
suas tarefas;

b) manter registros sobre habilidades, experincias e qualificaes do
efetivo do rgo ou entidade relativos segurana da informao e
comunicaes;

c) assegurar que todo efetivo do rgo ou entidade esteja consciente da
relevncia e importncia da segurana da informao e comunicaes
em suas atividades e como cada pessoa pode contribuir para o alcance
dos objetivos das aes de segurana da informao e comunicaes;

3.2.6 Gerenciar a execuo das aes de segurana da informao e
comunicaes;

3.2.7 Gerenciar os recursos empenhados para o desenvolvimento das aes de
segurana da informao e comunicaes; e

152

3.2.8 Implementar procedimentos capazes de permitir a pronta deteco de
incidentes de segurana da informao e comunicaes, bem como a resposta a
incidentes de segurana da informao e comunicaes.

3.3 (Check C) Checar - a fase do ciclo na qual o Gestor de Segurana
da Informao e Comunicaes avaliar as aes de segurana da informao e
comunicaes implementadas na fase anterior. Para checar necessrio:

3.3.1 Executar procedimentos de avaliao e anlise crtica, a fim de:
a) detectar erros nos resultados de processamento;

b) identificar incidentes de segurana da informao e comunicaes;

c) determinar se as aes de segurana da informao e comunicaes
delegadas a pessoas ou implementadas por meio de tecnologia da
informao e comunicaes esto sendo executadas conforme
planejado;

d) determinar a eficcia das aes de segurana da informao e
comunicaes adotadas, mediante o uso de indicadores;

3.3.2 Realizar anlises crticas regulares, a intervalos planejados de pelo menos
uma vez por ano;

3.3.3 Verificar se os requisitos ou pressupostos estabelecidos pelo planejamento
organizacional, bem como as diretrizes expedidas pela autoridade decisria de seu
rgo ou entidade foram atendidos;

3.3.4 Atualizar a avaliao/anlise de riscos a intervalos planejados de pelo
menos uma vez por ano;

3.3.5 Conduzir auditoria interna, tambm denominada auditoria de primeira parte,
das aes de segurana da informao e comunicaes a intervalos planejados de
pelo menos uma vez ao ano;

153
3.3.6 Atualizar os planos de segurana da informao e comunicaes,
considerando os resultados da avaliao e anlise de crtica; e

3.3.7 Registrar e levar ao conhecimento da autoridade superior os possveis
impactos na eficcia da misso de seu rgo ou entidade.

3.4 (Act A) Agir - a fase do ciclo na qual o Gestor de Segurana da
Informao e Comunicaes aperfeioar as aes de segurana da informao e
comunicaes, baseando-se no monitoramento realizado na fase anterior. Para
aperfeioar e promover a melhoria contnua necessrio:

3.4.1 Propor autoridade decisria de seu rgo ou entidade a necessidade de
implementar as melhorias identificadas;

3.4.2 Executar as aes corretivas ou preventivas de acordo com a identificao
de no conformidade real ou potencial;

3.4.3 Comunicar as melhorias autoridade decisria de seu rgo ou entidade; e

3.4.4 Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

4 CONSIDERAES FINAIS
A metodologia apresentada nesta norma deve ser complementar aos
primeiros processos de Gesto de Segurana da Informao e Comunicaes,
previstos na IN 01 GSI, de 13 de junho de 2008, a serem implementados pelos rgos
e entidades da Administrao Pblica Federal, direta e indireta.

5 VIGNCIA DA NORMA
Esta Norma entra em vigor na data de sua publicao.

154
Anexo 5 Mtodo e questionrio de captura de informaes utilizados no estudo de
caso ECT.
As perguntas a seguir foram proferidas aos grupos de usurios da informao
da ECT e as respostas alimentaram a planilha eletrnica que compe a base de dados
para o estudo em questo.

1 Passo
Identificar e definir os principais perigos que podem colocar em riscos a
corporativo de uma empresa pblica.

Pergunta: Em sua opinio, que incidentes podem colocar as informaes corporativas
da ECT?

2 Passo
Cadastrar os principais perigos identificados que podem colocar em riscos a
corporativo de uma empresa pblica que foram definidos no 1 Passo.
Os principais perigos identificados pelos representantes da central de servios
de sistemas foram: erro humano, malware, hacking e falha de software.
Ao passo que os principais perigos elencados pelos representantes da central
de servios de produo foram: desastres naturais, falhas no ambiente fsico, furto de
informao e falha de hardware.

Figura 33- Cadastro de Perigos

155
3 passo:
Detalhar os fatores que podem influenciar na concretizao de cada perigo por
meio do Diagrama de Causa e Efeito, tambm conhecido como Diagrama de Ishikawa.

Pergunta: Que fatores podem influenciar na concretizao dos perigos identificados?

A relao de fatores corresponde ao registro das ideias expostas pelos
usurios, de forma espontnea e ilimitada, acerca dos fatores que poderiam
potencializar a ocorrncia de um incidente.
Os fatores identificados foram agrupados em seis macrofatores. So eles:
Ambiente Externo, Processos de Apoio, Recursos Humanos, Segurana, Processos
de Controle e Processos Operacionais.

Figura 34 - Cadastramento de Fatores

156

Figura 35 - Fatores cadastrados (Ambiente Externo, Recursos Humanos e Segurana Fsica)

Figura 36 - Fatores cadastrados (Processo Operacional, Processo de Controle e Processo de Apoio)

A construo do Diagrama de Ishikawa consiste em identificar, dentre os
fatores cadastrados, os principais fatores que compem o macrofator de cada perigo
analisado. As perguntas a seguir correspondem anlise do perigo Falha de
Software. A pesquisa consistiu em repeti-las para os demais perigos analisados.

Pergunta: Considerando a tabela Ambiente Externo, que fatores contribuem para a
ocorrncia de Falha de Software no ambiente da ECT?

Pergunta: Considerando a tabela Recursos Humanos, que fatores contribuem para a

157
Pergunta: Considerando a tabela Segurana, que fatores contribuem para a

Pergunta: Considerando a tabela Processo Operacional, que fatores contribuem para
a ocorrncia de Falha de Software no ambiente da ECT?

Pergunta: Considerando a tabela Processo de Controle, que fatores contribuem para
a ocorrncia de Falha de Software no ambiente da ECT?

Pergunta: Considerando a tabela Processo de Apoio, que fatores contribuem para a

Figura 37 - Diagrama de Ishikawa - Falha de Software

4 Passo:
Definir, a partir da percepo do usurio, o grau de influncia de cada
macrofator para a ocorrncia do perigo.

Pergunta: Considerando a tabela a seguir, informe na Matriz de Probabilidade e
Impacto, o grau de influncia dos macrofatores Ambiente Externo (AE), Recursos
Humanos (RH), Segurana (SE), Processo Operacional (PO), Processo de Controle
(PC) e Processo de Apoio (PA) para a ocorrncia de cada um dos perigos.

158

Figura 38 - Matriz de Probabilidade e Impacto

5 passo:
Definir a Exposio ao Perigo (E), ou seja, a frequncia com que o perigo
costuma se manifestar num determinado intervalo de tempo.

Pergunta: Considerando a tabela a seguir, informe na coluna (E) da Matriz de
Probabilidade e Impacto a freqncia com que cada um dos perigos se manifestou no
ambiente da ECT no ltimo ano.


159

6 passo:
Determinar o impacto decorrente da ocorrncia de cada perigo, considerando
os seguintes aspectos: imagem, financeiro, legal, operacional e social.
As perguntas a seguir correspondem anlise do perigo Falha de Software. A
pesquisa consistiu em repeti-las para os demais perigos analisados.

Pergunta: Imagem na sua percepo e com base na tabela a seguir, qual a
abrangncia de abalo imagem e credibilidade da ECT quando ocorre uma Falha de
Software? Informe na coluna correspondente da Matriz de Impacto e Probabilidade.

Pergunta: Legislao na sua percepo e com base na tabela a seguir, quando
ocorre Falha de Software no ambiente da ECT h transgresso de dispositivos legais
a que esto sujeitos a ECT? Informe na coluna correspondente da Matriz de Impacto e
Probabilidade.

Pergunta: Social na sua percepo e com base na tabela a seguir, como Falha de
Software afeta a fora de trabalho no ambiente da ECT? Informe na coluna
correspondente da Matriz de Impacto e Probabilidade.

160

Pergunta: Operacional na sua percepo e com base na tabela a seguir, como
Falha de Software afeta os processos produtivos no ambiente da ECT? Informe na
coluna correspondente da Matriz de Impacto e Probabilidade.


ARTIGO MUITO BOM - Gestão de Riscos em Tecnologia Da Informação Como Fator Critico de Sucesso.

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ARTIGO MUITO BOM - Gestão de Riscos em Tecnologia Da Informação Como Fator Critico de Sucesso.

Transféré par

Droits d'auteur :

Formats disponibles

______________________________________________

Vous aimerez peut-être aussi