UNIVERSIDADE DE BRASLIA

INSTITUTO DE CIENCIAS EXATAS

DEPARTAMENTO DE CINCIA DA COMPUTAO
ESPECIALIZAO EM GESTO DA SEGURANA DA
INFORMAO



SILVANA CRISPIM LOUREIRO



SEGURANA DA INFORMAO
Preservao das Informaes Estratgicas com
Foco em sua Segurana

Orientador: Prof. Dr. Jacir Bordim






Braslia, 14 janeiro de 2008

II


UNIVERSIDADE DE BRASLIA
INSTITUTO DE CIENCIAS EXATAS
DEPARTAMENTO DE CINCIA DA COMPUTAO
ESPECIALIZAO EM GESTO DA SEGURANA DA
INFORMAO


SILVANA CRISPIM LOUREIRO

SEGURANA DA INFORMAO
Preservao das Informaes Estratgicas com
Foco em sua Segurana

Monografia apresentada ao Departamento de Cincia da
Computao da Universidade de Braslia como parte dos requisitos
para obteno do ttulo de ps-graduada em Gesto da Segurana
da Informao e Comunicaes.


Orientador: Prof. Dr. Jacir Bordim

Coordenador: Prof. Dr. Jorge H C Fernandes


Braslia, 14 janeiro de 2008

III


SEGURANA DA INFORMAO
Preservao das Informaes Estratgicas com
Foco em sua Segurana




Silvana Crispim Loureiro




Monografia de Especializao submetida e aprovada pela Universidade de
Braslia como parte do requisito parcial para a obteno do certificado de
Especialista em Cincia da Computao: Gesto da Segurana da Informao.



Aprovada em: 01 de dezembro de 2008




_________________________________________
Prof. Dr. Jacir Bordim
Universidade de Braslia


_________________________________________
Prof. Dr. Jorge H C Fernandes
Universidade de Braslia


_________________________________________
Prof. Dr. Joo Gondim
Universidade de Braslia

Coordenador do curso: Prof. Dr. Jorge H C Fernandes
Universidade de Braslia


IV



















Determinao coragem e autoconfiana
so fatores decisivos para o sucesso.
Se estamos possudos por uma inabalvel
determinao conseguiremos super-los.
Independentemente das circunstncias,
devemos ser sempre humildes,
recatados e despidos de orgulho .

Dalai Lama


V

































Dedico

Este trabalho ao meu marido e meus
filhos
que me incentivaram neste desafio.

VI



SUMRIO
1 INTRODUO ....................................................................................................... 10
1.1 Objetivos .........................................................................................................................11
1.1.1 Objetivo Geral ............................................................................................................................... 11
1.1.2 Objetivos Especficos .................................................................................................................... 11
1.2 Justificativa .................................................................................................................... 12
1.3 Metodologia ................................................................................................................... 12
1.4 Organizao do Trabalho ............................................................................................... 13
2 MELHORES PRTICAS ASSOCIADAS SI ....................................................... 14
2.1 O Que Segurana da Informao e Comunicao ...................................................... 15
2.2 Metodologias em segurana da informao ................................................................... 17
2.3 Norma ABNT NBR ISO/IEC 27002 ................................................................................ 19
2.4 Norma ABNT NBR ISO/IEC 27001:2006 ........................................................................ 20
2.5 ITIL ................................................................................................................................ 21
2.6 COBIT ........................................................................................................................... 24
2.6.1 Aplicabilidade do COBIT ............................................................................................................ 24
2.7 Comparando as Normas de Segurana ......................................................................... 25
2.8 A importncia de realizar a Anlise de Risco .................................................................. 26
3. GESTO DE ATIVOS EM UMA ORGANIZAO ................................................ 29
3.1 Responsabilidade Sobre os Ativos ................................................................................. 30
3.1.1 Inventrio dos Ativos ..................................................................................................................... 30
3.1.2 Proprietrio dos Ativos .................................................................................................................. 31
3.1.3 Uso Aceitvel de Ativos ................................................................................................................. 32
3.2 Classificao da Informao .......................................................................................... 32
3.2.1 Contabilizando os ativos .............................................................................................................. 35
3.2.2 Classificando os ativos ................................................................................................................. 35
3.2.3 Classificao da informao quanto aos requisitos de segurana .............................................. 35
3.2.4 Classificao de Relevncia dos Ativos ....................................................................................... 35
3.3 Rtulos e Tratamento da Informao ............................................................................ 35
3.4 Ciclo de Vida da Informao .......................................................................................... 36
4 INFORMAO E ESTRATGIA.......................................................................... 38
4.1 Definies e conceitos sobre Informaes .................................................................... 39

VII
5. ASPECTOS LEGAIS, POLTICAS E PROCEDIMENTOS ................................... 42
5.1 Legislao sobre Segurana da Informao e Comunicao ........................................ 42
5.2 Poltica Nacional de Segurana das Informaes ......................................................... 42
5.3 Leis ............................................................................................................................... 43
5.4 Decretos ....................................................................................................................... 43
5.5 Normas ......................................................................................................................... 43
5.6 Poltica de segurana da informao, padres e procedimentos .................................. 44
5.7 Decises do Tribuna de Contas da Unio - TCU ........................................................... 44
5.8 Consideraes sobre a Poltica Nacional de Segurana das Informaes ..................... 46
6. GERENCIAMENTO DAS INFORMAES ESTRATGICAS.............................. 49
6.1 Nveis da informao e tipos de informaes estratgicas ............................................. 50
6.2 Caracterstica da Informao Estratgica ...................................................................... 52
7. IDENTIFICANDO AS INFORMAES ESTRATGICAS DA AGU ..................... 53
7.1 Situao Atual das Bases de Dados Estratgicas da AGU ............................................ 53
7.2 Levantamento dos Procedimentos de Segurana Existentes na AGU ........................... 54
8. CONSIDERAES FINAIS .................................................................................. 58
REFERNCIAS BIBLIOGRFICAS ......................................................................... 62


VIII
RESUMO

Este estudo tem como objetivo realizar uma reviso bibliogrfica acerca da
Segurana da Informao, especialmente tratando da preservao das
informaes estratgicas e contribuir para ressaltar sua importncia para a
Advocacia-Geral da Unio - AGU. Na primeira parte do trabalho apresentada
uma pesquisa bibliogrfica para nivelamento dos conceitos relacionados
informao, normas e melhores prticas existentes e aspectos legais,
ressaltando o valor da informao, como recurso estratgico para organizao.

O foco do estudo ser a Advocacia-Geral da Unio, que como outras
organizaes da Administrao Pblica Federal (APF) necessitam de
informaes seguras e confiveis para tomada de deciso. Novos modelos
para tratar de segurana tm sido propostos, mas so sempre voltados para
parte tecnolgica, esquecendo que a mudana de cultura, programas de
conscientizao e o apoio da alta direo so fatores primordiais para alcanar
o sucesso.

Na concluso, apresenta sugestes de medidas a serem tomadas para
aprimorar a Segurana da Informao, na Advocacia-Geral da Unio podendo
at servir para utilizao em outras organizaes que ainda no iniciaram
estudos para atender o Decreto N 3.595, que institui a Poltica de Segurana
nos rgo e entidades APF.


Palavras-chave: ABNT NBR ISO/IEC 27002 e 27001, Segurana da
Informao, Ativos, Classificao da Informao.

IX
ABSTRACT

This study aims to conduct a review of the Security of Information, particularly
the preservation of strategic information and also to help to emphasize its
importance for the organization. In the first part of the work will be presented
a literature search for to study the concepts related to information, standards
and best practices and legal aspects, emphasizing the value of information,
such as strategic resource for organization.

The focus of the study will be the Advocacia-Geral da Unio (General Counsel
of the State) and other organizations that the federal government needs to
secure and reliable information for decision-making. New models for dealing
with security have been proposed, but they are always focused on the
technological but they forget that the change of culture, awareness and support
programs for the high direction are key factors for achieving success.

In conclusion, offering suggestions for measures to be taken to implement the
models of Security of Information in Advocacia-Geral da Unio (General
Counsel of the State), and also it could even serve to use in other organizations
that have not begun studies to of the Decree No. 3595, that establishing the
Security Policy in APF and others entities.

Keywords: ABNT-NBR-ISO/IEC 27002 and 27001, Information Security,
Assets, Classification of Information.

















1 INTRODUO
Quem tem o conhecimento e sabe como
utiliz-lo em seu beneficio, tem o poder.
POLLONI (2000)

Diante do avano tecnolgico imposto ao mundo moderno, as
organizaes tiveram que se adequar, estabelecendo polticas e procedimentos
de segurana fundamentais para a gesto da segurana da informao e
comunicaes. A segurana da informao evoluiu e no est apenas focada
na confidencialidade da informao como anteriormente. Atende tambm os
requisitos de assegurar disponibilidade, integridade, a autenticidade das
informaes. Todas as organizaes esto em busca de comunicaes
seguras, dos sistemas seguros e de tcnicas que permitam manipulao e
armazenamentos seguros das informaes estratgicas.
A Advocacia-Geral da Unio - AGU foi criada pela Constituio de
1988, figurando como uma das funes essenciais justia. Tem como
objetivo assessorar o Presidente da Repblica em assuntos de natureza
jurdica, alm de representar judicialmente a Unio em atividades de
consultoria. Para executar suas atribuies com segurana a AGU precisa
conhecer suas informaes para traar estratgias jurdicas.
Neste cenrio, a pergunta-problema a ser respondida :
Com base na proteo das informaes, o que ocorreria se a AGU
no tivesse o controle e acompanhamento das aes em que atua?
Este trabalho visa realizao da anlise das informaes estratgicas
existentes na Advocacia-Geral da Unio e, com base nas orientaes
estabelecidas pela Norma ABNT NBR ISO/IEC 27002, demonstrar os
equvocos hoje existentes no armazenamento e tratamento destes dados.
Como resultado, ser apresentado um modelo para o correto tratamento
dessas informaes, tornando-as seguras, sem torn-las inacessveis ou
ineficazes.


11
A importncia deste estudo para Advocacia-Geral da Unio garantir
que as informaes estratgicas estejam protegidas e prontamente disponveis
ao processo estratgico do negcio, permitindo garantir o planejamento nas
aes que sustentam as necessidades do negcio.
De acordo com Miranda (1998), a gesto da informao fundamental
para o desenvolvimento das organizaes e nesse contexto o Tribunal de
Contas da Unio TCU, em suas auditorias com abordagem em segurana da
informao, em rgos da Administrao Pblica Federal - APF, tem
determinado que se inventarie os ativos de informao e estabelea critrios
para a classificao desses ativos (Acrdo n. 1.092/2007 do TCU). As
auditorias realizadas pelo TCU objetivam avaliar se a gesto da segurana da
informao est sendo efetivamente implementada e executada de modo a
propiciar um ambiente seguro e disponvel no qual as ameaas e
vulnerabilidades sejam conhecidas e controladas.
1.1 Objetivos
1.1.1 Objetivo Geral
Apresentar uma proposta de modelo para tratamento das
informaes estratgicas, em consonncia com a norma ABNT NBR
ISO/IEC 27002.
1.1.2 Objetivos Especficos
Identificar as informaes consideradas estratgicas para a AGU;
Levantar os procedimentos de segurana existentes na AGU com
relao ao trato de suas informaes estratgicas;
Identificar os pontos em desacordo com a norma ABNT NBR
ISO/IEC 27002;
Apresentar novos procedimentos, seguindo as orientaes da
norma ABNT NBR ISO/IEC 27002, de forma a diminuir ou
eliminar os problemas detectados.


12
1.2 Justificativa
A AGU, como as demais organizaes da atualidade, est em busca
de processos seguros que garantam a disponibilidade, integridade,
confidencialidade e autenticidade de suas informaes estratgicas.
Atualmente o processo de segurana efetuado no adota um modelo
especfico que possa ser avaliado e retroalimentado, ou seja, est no nvel de
maturidade inicial efetuando esforos individuais e procedimentos informais.
Como rgo essencial ao desempenho da justia, a AGU deve ter seus
procedimentos baseados em normas de segurana j consagradas e em
consonncia com os demais rgos do governo federal.
Deste modo, este trabalho se justifica no sentido de atender essa
necessidade seguindo as orientaes das melhores prticas adotadas no
mercado de maneira a garantir que as informaes estratgicas estejam
protegidas e prontamente disponveis aos processos estratgicos do negcio
da AGU.
1.3 Metodologia
A metodologia utilizada para as anlises desenvolvidas neste trabalho
baseou-se no mtodo indutivo de anlise qualitativa, classificando-a como
qualitativa e bibliogrfica, apresentado por Marconi e Lakatos (2003) e teve por
meta a busca por meio desta, de elementos que subsidiassem de forma
qualitativa os pressupostos bsicos e essenciais, a interpretao e reflexo do
problema objeto da pesquisa.
A pesquisa ter um carter metodolgico-descritivo, no qual os fatos
sero observados, analisados, registrados, classificados e por fim interpretados
de forma concisa e embasados em referncias bibliogrficas, com base em
mtodos comparativos.
A pesquisa tambm quantitativa, na medida em que apresenta um
estudo de caso, cujos dados a serem apresentados so oriundos de trabalhos
de campo e de medies realizadas em ambiente informatizado da Advocacia-
Geral da Unio.


13
1.4 Organizao do Trabalho
Este trabalho est organizado em captulos. No segundo captulo so
tratados os principais conceitos relacionados segurana da informao e s
normas e padres que facilitam o seu entendimento.
O objeto do terceiro captulo a gesto de ativos, ou seja, a
informao com capacidade de adicionar valor a processos, produtos e
servios e as metodologia de classificao dos ativos.
O quarto captulo trata do relacionamento entre ativos, informao e
estratgia, enfatizando a importncia da gesto da informao nas
organizaes da Administrao Pblica Federal com o propsito de apresentar
a gesto de informao dentro de um referencial estratgico sendo um fator de
crescimento e sustentabilidade das organizaes.
O quinto captulo faz uma breve apresentao sobre os aspectos
legais, polticas, leis, decretos sobre a segurana da informao.
O sexto captulo apresenta estudo de levantamento das informaes
estratgicas.
O stimo captulo apresenta o estgio atual da segurana da
informao na AGU.
O ltimo captulo apresenta a concluso do trabalho com o foco na
gesto estratgica da informao na Advocacia-Geral da Unio.






14
2 MELHORES PRTICAS ASSOCIADAS SI
A expresso segurana da informao
normalmente usada para referenciar a
proteo de informaes mantidas em
componentes de TI contra as ameaas que
esto expostas .
Adriana Beal

A informao um dos principais ativos da organizao e como tal
deve ser preservada em um ambiente seguro. Aplicar a Segurana da
Informao no mais um modismo, hoje se refere a uma necessidade
estabelecida por normas e padres tcnicos. Para Ferreira (2003)
implantao de um conjunto de boas prticas em segurana da informao
minimiza as chances de ocorrem problemas de segurana e facilita a
administrao das redes e dos recursos de forma segura. Entre os rgos da
APF podemos citar a Receita Federal e o SERPRO como instituies que tem
adotado os controles recomendados para segurana da informao e possuem
programas de conscientizao dos usurios.
Nas auditorias realizadas pelo Tribunal de Contas da Unio, o tribunal
recomenda a conformidade e o desempenho dessas aes com bases na
norma ABNT NBR ISO/IEC 27002. De acordo com o Manual de Boas Prticas
do TCU (2003) O objetivo dessas fiscalizaes contribuir para o
aperfeioamento da gesto pblica, para que a Tecnologia da Informao
agregue valor ao negcio da Administrao Pblica Federal em beneficio da
sociedade.
Neste contexto, segundo resenha da empresa Logike Associados,
TEECE (1998) considera a informao como um ativo capaz de ter fluidez
semelhante de bens acabados, bens intermedirios e outros bens e no caso
da informao elas circulam sem a proteo devida.


15
2.1 O Que Segurana da Informao e Comunicao
A Instruo Normativa n. 1 do Gabinete de Segurana Institucional da
Presidncia da Repblica, na qualidade de Secretaria Executiva do Conselho
de Defesa Nacional conceitua Segurana da Informao e Comunicaes
como aes que objetivam viabilizar e assegurar a disponibilidade, a
integridade, a confidencialidade e a autenticidade das informaes e
considera:
as informaes tratadas no mbito da Administrao Pblica
Federal, direta e indireta, como ativos valiosos para a eficiente
prestao dos servios pblicos; o interesse do cidado como
beneficirio dos servios prestados pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta; o dever do Estado de
proteo das informaes pessoais dos cidados; a necessidade de
incrementar a segurana das redes e bancos de dados
governamentais; e a necessidade de orientar a conduo de polticas
de segurana da informao e comunicaes j existentes ou a
serem implementadas pelos rgos e entidades da Administrao
Pblica Federal, direta e indireta.
Para a Norma ABNT NBR ISO/IEC 27002 no item 01. Introduo
apresenta a seguinte definio para o assunto:
A informao um ativo que, como qualquer outro ativo importante,
essencial para os negcios de uma organizao e
conseqentemente necessita ser adequadamente protegida. Isto
especialmente importante no ambiente dos negcios, cada vez mais
interconectado. Como um resultado deste incrvel aumento da
interconectvidade, a informao est agora exposta a um crescente
nmero e a uma grande variedade de ameaas e vulnerabilidades
(ver OECD Diretrizes para a Segurana de Sistemas de Informaes
e Redes).
A informao pode existir em diversas formas. Ela pode ser impressa
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou
por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja
qual for a forma apresentada ou o meio atravs do qual a informao
compartilhada ou armazenada, recomendado que ela seja sempre protegida
adequadamente.
Segurana da informao a proteo da informao de vrios tipos
de ameaas para garantir a continuidade do negcio, minimizar o risco ao


16
negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio. (ABNT NBR ISO/IEC 27002).
A segurana da informao obtida a partir da implementao de um
conjunto de controles adequados, incluindo polticas, processos,
procedimentos, estruturas organizacionais e funes de software e hardware.
Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, onde necessrio, para
garantir que os objetivos do negcio e de segurana da organizao sejam
atendidos. Convm que isto seja feito em conjunto com outros processos de
gesto do negcio, ABNT NBR 27002.
O Decreto 3.505, de 13 de junho de 2000, que institui a Poltica de
Segurana da Informao nos rgos e nas entidades da Administrao
Pblica Federal no seu artigo 2 faz a seguinte conceituao no item II:
II - Segurana da Informao: proteo dos sistemas de informao
contra a negao de servio a usurios autorizados, assim como
contra a intruso, e a modificao desautorizada de dados ou
informaes, armazenados, em processamento ou em trnsito,
abrangendo, inclusive, a segurana dos recursos humanos, da
documentao e do material, das reas e instalaes das
comunicaes e computacional, assim como as destinadas a
prevenir, detectar, deter e documentar eventuais ameaa a seu
desenvolvimento.
Peltier (2004, p.3) diz que alm dos conceitos acima, a segurana deve
ser parte de um programa de segurana, onde poltica, padres e
procedimentos so elementos chaves para garantir nveis apropriados de
controle que garantam esse recurso, observando que uma poltica de
segurana no se restringe a tecnologia da informao ou procedimentos de
auditoria, deve ser objeto de todas as polticas da organizao.
Segundo Dias (2000), segurana proteger as informaes, sistemas,
recursos e servios contra erros, manipulao no autorizada e desastres
visando reduo do impacto e diminuir a probabilidade de incidentes de
segurana.


17
Podemos ento, concluir com Ferreira (2003), que a segurana da
informao protege a informao dos diversos tipos de ameaas, garantindo a
continuidade dos negcios, minimizando os danos e maximizando o retorno
dos investimentos.
2.2 Metodologias em segurana da informao
As normas surgiram da preocupao com a segurana desde a criao
e utilizao dos primeiros computadores. Segundo Longo (2006) em seu artigo
sobre o histrico e evoluo das normas de segurana, o marco da primeira
tentativa de criar regras para proteo dos dados foi em 1967, nos Estados
Unidos. Para esta atividade foi estabelecida uma "fora tarefa", que deu origem
ao documento "Security Control for Computer System: Report of Defense
Science Board Task Force on computer Security, editado por W. H. Ware. Este
documento originou a criao de um conjunto de regras para segurana de
computadores.
Em 1972, J. P. Anderson produziu um modelo de relatrio tcnico que
apresenta sua preocupao com os processos que envolvem a segurana dos
dados em computadores. Este modelo juntamente com os modelos elaborados
por D.E. Bell e por L. J. La Padula originou o modelo "Doctrine", que serviu de
base para vrios estudos com objetivos de estabelecer melhores prticas na
segurana dos dados (Longo, 2006).
Em 1985 foi publicada a primeira verso de um manual de segurana,
para tratar da questo da Segurana de Dados, chamado de "DoD Computer
Security Initiative". Para chegar a este modelo final foi necessrio criar regras e
estabelecer processos e procedimentos para validao. Estas regras so
tambm conhecidas como de "The Orange Book", devido cor laranja da capa
deste manual de segurana. Este foi o incio da criao de padres de
segurana. A partir dele foram criados outros padres utilizando a mesma
filosofia e mtodos proprietrios (Longo, 2006).


18
Com objetivo de chegar a um padro que atendesse vrias
necessidades do mercado, novos estudos foram realizados at concluir uma
norma com a viso mais ampla da segurana, ou seja, de toda ou qualquer
forma de informao. Desse estudo nasceu a norma ISO/IEC 17799 (Longo,
2006).
De acordo com a empresa PITZ 2008, uma norma uma regra
reconhecida legalmente por todos e concluda, com validade geral, bem como
publicada atravs de um processo de normalizao para soluo de uma
realidade.
Para Ferreira (2003), esta necessidade em busca de padres deve-se
s reas de TI tentar encontrar um modelo de segurana que atenda suas
necessidades e a dificuldade de manter o controle desse modelo em suas
reas, uma vez que as evolues tecnolgicas criam necessidades constantes.
As organizaes esto expostas quebra dos princpios bsicos de
segurana a todo instante. Os pontos bsicos a serem tratados so a cultura
de segurana da informao e o foco do negcio, Siewert (2007). A colocao
de Albuquerque (2006) de que a tecnologia disponvel para garantir a
segurana da informao no ser eficaz se o foco for somente a tecnologia ao
invs dos objetivos estratgicos do negcio das organizaes.
Segundo uma pesquisa da Ernst&Young, o principal motivo pelo qual
uma empresa investe em segurana a obrigao no cumprimento de normas
e regulamentaes (CAUBIT, 2006).
As organizaes devem alinhar suas aes com as melhores prticas
para proteo e controle da informao. Os padres de mercado mais aceitos
pelas reas do governo e empresas, segundo pesquisa da INFOSEC
COUCIL(2006), so a norma ABNT NBR ISO/IEC 27002, COBIT e o ITIL,
sendo que cada uma dessas prticas possui abordagem e escopo diferentes,
como podemos verificar a seguir.


19
2.3 Norma ABNT NBR ISO/IEC 27002
No entendimento de Asciutti (2006), a norma ABNT NBR ISO/IEC
27002 um manual de boas prticas de gesto de segurana da informao
que tem como objetivo identificar os riscos e implantar medidas que de forma
efetiva torne estes riscos gerenciveis e minimizados. Ele conclui que a sua
importncia pode ser verificada pelo grande nmero de pessoas e ameaas a
quem a informao exposta na rede de computadores. O nome completo da
norma Tcnicas de segurana - Cdigo de prtica para a gesto da
segurana da informao e o seu contedo tcnico idntico ao da ABNT NBR
ISO/IEC 17799.
A proteo ocorre a partir da implementao de uma srie de controles
como, por exemplo, a poltica de segurana, a classificao e controle dos
ativos de informao, segurana fsica do ambiente, entre outros. A
implantao desses controles no garante que a organizao esteja 100%
segura. O que se procura reduzir os riscos a um nvel aceitvel pela
organizao.
Com o foco na gesto de informaes estratgicas a implantao
desse padro de segurana da informao, baseado em controles, contempla
os seguintes aspectos de qualidade da informao, segundo Ferreira (2003):
Confidencialidade: apenas pessoas autorizadas podem acessar
as informaes;
Integridade: garantia que dados e sistemas esto corretos;
Disponibilidade: usurios autorizados devem ter acesso s
informaes necessrias;
Confiabilidade: a imagem da instituio deve ser protegida.



20
Esta norma apresenta orientaes efetivas para o processo de
segurana da informao na organizao elencando os principais elementos
desse processo devem ser desenvolvidos e implantados.
O mais importante do que buscar a conformidade total com esta norma
conhecer a lista de recomendaes e extrair o que puder ser til para a
organizao.
2.4 Norma ABNT NBR ISO/IEC 27001:2006
A norma ABNT NBR ISO/IEC 27001:2006 uma norma que possibilita
s organizaes a implementao de um Sistema de Gesto da Segurana da
Informao (SGSI), atravs do estabelecimento de uma poltica de segurana,
controles e gerenciamento de riscos. Inclui o ciclo PDCA (Plan-Do-Check-Act
ou Planejar-Executar-Verificar-Agir) de melhorias e apresenta uma viso por
processos. Segundo a Fundao Vanzolini (2008), o PDCA um mtodo de
gesto que se caracteriza por um ciclo de aes que se repete continuamente
de forma a incorporar alteraes no ambiente. Seu emprego garante uma
efetiva gesto da empresa.
Esta norma bastante utilizada como referncia em auditorias e serve
como instruo normativa para toda administrao pblica. Seu objetivo
fundamental proteger as informaes das organizaes para que no caiam
em mos erradas ou se percam para sempre. A norma ABNT NBR ISO/IEC
27001 esta dividida em 11 captulos principais renomeados e reorganizados
conforme segue:
1. Polticas de Segurana;
2. Organizando a Segurana da Informao;
3. Gerenciamento de ativos;
4. Segurana dos Recursos Humanos;
5. Segurana Fsica e Ambiental;
6. Gerenciamento das Comunicaes e Operaes;


21
7. Controle de Acessos;
8. Aquisio, Desenvolvimento e Manuteno de Sistemas de
Informao;
9. Gerenciamento de Incidentes na Segurana da Informao;
10. Gerenciamento da Continuidade do Negcio;
11. Conformidade.
Nesta norma o conceito de ativos foi ampliado para incluir pessoas e
imagem/reputao da organizao, alm dos ativos de softwares, ativos fsicos
e servios j existentes na verso de 2000.
2.5 ITIL
No entendimento de Beal (2008), o ITIL (Information Technology
Infrastructure Library) um conjunto de documentos para registrar melhores
prticas para a gesto de servios de TI, desenvolvidos pelo governo do Reino
Unido no final dos anos 80. Dita as regras de qualidade e eficincia nas
organizaes. O processo de melhor prtica promovido no ITIL apoiado pelo
padro da Instituio Britnica de padres para o servio de gerenciamento IT
(BS15000).
O ITIL tem a funo de enderear estruturas de processos para a
gesto de uma organizao de Tecnologia da Informao TI, apresentando
um conjunto bastante genrico de processos e procedimentos gerenciais,
organizados em disciplinas. Por meio deles uma organizao esta capacitada
a realizar a gesto ttica e operacional objetivando alcanar o alinhamento
estratgico com os negcios.
As melhores prticas da ITIL tm como objetivos:
Servir de inspirao para melhorar seus processos de TI;
Sugerir onde possvel chegar, com base no resultado positivo que
outras empresas j conseguiram resultados;


22
Sugerir para que sirvam os processos e prticas;
Sugerir por que adotar os processos e prticas.

Segundo INFOSEC COUCIL(2006), na gesto de segurana da
informao, o ITIL possui um processo especfico para a segurana da
informao, enfatizando a importncia do adequado gerenciamento de
segurana e considerando os acordos de nvel de servios - SLAs, entre os
processos de negcio e os de TI. O ITIL recomenda ainda que o
gerenciamento de segurana faa parte do trabalho de cada gerente, em todos
os nveis, e recomenda firmemente alguns procedimentos que visam
evoluo da organizao:
Publicar um catlogo de servios com um descritivo dos seus
servios, com as condies que atendem a cada requisito do
negcio;
Estabelecer com cada cliente interno um SLA acordo de nvel
de servio;
Estabelecer com os provedores de servios os SLA, inclusive
com as penalidades legais;
Levantar os bancos de dados existentes e detalhar os ativos,
inclusive valorando a informao;
Criar service desk como ponto central e focal de contatos de
todos os usurios da rea de TI. O objetivo conhecer todos os
incidentes com foco na continuidade de servios e manter o SLA
com os clientes;
Implementar gesto de problemas, rea em que so
identificados e estudados os incidentes, determinando suas
causas e as medidas para evit-los. Nesta abordagem
possvel identificar onde a segurana est falhando;


23
Implementar gesto de mudanas, que coordenar todas as
mudanas da rea de TI baseando-se na documentao dos
incidentes;
Criar comit de mudanas, que avaliar e autorizar as
mudanas necessrias. composto por representantes de todas
as reas de TI e vai ser o facilitador da introduo de novas
medidas de segurana;
Estabelecer a gesto de liberdade, com objetivo de controlar a
implantao e distribuio de novas verses de softwares.
A ITIL no uma metodologia, pois as melhores prticas so flexveis
podendo adaptar aos processos da organizao, j uma metodologia possui
uma implementao mais rgida, com regras bem definidas.
No ITIL tudo pode depende da maneira que voc visualiza o padro.
Entre os principais objetivos da adoo da melhores prticas da ITIL
podemos destacamos:
Alinhar os Servios de TI com as necessidades atuais e futuras do
negcio e seus clientes;
Melhorar a qualidade dos servios de TI;
Reduzir custos na proviso de servios.
A revista Computer World (2007) apresentou estudo onde conclui que
as empresas com uma cultura de melhores prticas adotam o ITIL mais
rapidamente, fazendo-o de forma extensiva. Alm disso, este ajuda a gerar
negcio para as companhias e a melhorar a produtividade. Contudo, o estudo
revelou, tambm, que fora da organizao de TI, o ITIL um conceito
desconhecido


24
2.6 COBIT
De acordo com OLIVEIRA, MARTINS, SEGATE (2005) o COBIT
(Control Objectives for Information and related Technology) um conjunto de
diretrizes para gesto e auditoria de processos, prticas e controles de TI. Seu
principal objetivo auxiliar a organizao equilibrando risco x retorno em
investimentos de TI. Oferece um modelo de maturidade para controle e
processos de TI que abrange prticas em quatro domnios: Planejamento e
organizao, aquisio e implementao, entrega e suporte e monitorao.
Possui mais de 300 pontos de controle para 34 processos, sendo um deles o
de segurana da informao.
Em termos de informao, o COBIT define os seguintes critrios:
Eficcia, Eficincia, Confidencialidade, Integridade, Disponibilidade,
Conformidade, Confiabilidade. A combinao desses elementos depende da
natureza do processo de TI. Vale ressaltar que o COBIT um modelo
amplamente reconhecido e utilizado, no Brasil e no mundo, no mbito da
tecnologia da informao, tanto por gerentes de informtica como por auditores
de TI.
2.6.1 Aplicabilidade do COBIT
De acordo com os diferentes autores, o COBIT pode ser aplicado em
diferentes projetos e processos internos, abaixo seguem alguns exemplos:
Conformidade com leis e regulamentaes. O COBIT permite definir,
por meios dos seus modelos, um programa de implementao do
sistema de controles internos, ao menos nas questes dependentes
de TI.
Projetos de auditoria externa, a automao desse processo permite
uma boa escabilidade em grandes empresas. O Check-up Tool,
ferramenta de anlise de riscos, possibilita avaliar os controles
existentes de segurana da informao com base na ABNT NBR


25
ISO/IEC 27002, associando-os aos respectivos processos do
COBIT.
Projetos de Terceirizao de Servios, que exijam, por exemplo,
uma avaliao do nvel real de maturidade dos processos
associados manuteno da TI.
O COBIT no prev um processo de certificao de suas prticas, mas
admite avaliao destas por meio de relatrios de auditria.
2.7 Comparando as Normas de Segurana

Todas as normas apresentadas tm seu diferencial e sua importncia
na segurana das informaes estratgicas. A norma ABNT ISO/IEC 27002
prope a implantao de controle para garantir a segurana da informao
enfatizando o que deve ser feito sem preocupar com os processos ou
tecnologias para atingir este objetivo. Para atingir o objetivo deve ser utilizada
em conjunto com outras normas, como a ABNT ISO/IEC 27001.
A norma ABNT NBR ISO/IEC 27001 especifica como implantar os
controles da norma ABNT NBR ISO/IEC 27002 e para isso prope um modelo
de gesto SGSI.
O ITIL sugere a implantao de melhores prticas para a gesto de TI
com o foco no negcio da empresa, garantindo a entrega dos servios em um
custo adequado para organizao.
E finalmente o COBIT que permite o acompanhamento e a comparao
das prticas de controles e segurana de TI alm de assegurar aos usurios a
existncia de controles. Suas diretrizes so bastante utilizadas no trabalho de
auditoria realizado pelo TCU e por outras empresas. Por ser orientado ao
negcio capaz de fornecer informaes detalhada para gerenciar processos
baseados em objetivos de negcios. A tabela 1 apresenta uma comparao
entre as normas de segurana da informao apresentadas captulo:


26
Tabela 1 Comparativo entre normas de segurana da informao
Norma Aspectos Positivos
Observaes
ABNT NBR-ISO/IEC
27002
Tem o controle de segu-
rana.
Os controles so recomendaes. No
possvel obter certificao
ABNT NBR-ISO/IEC
27001
Implementa um sistema
de gesto da segurana
Os itens so obrigatrios. possvel obter a
certificao.
ITIL
Processos de operao (o
que deve ser feito).
Foco no negcio, gesto de servios de TI.
Deve ser utilizado juntamente com COBIT
COBIT
Possui mtricas, controles
e processos.
Utilizar juntamente com ITIL.
2.8 A importncia de realizar a Anlise de Risco
A anlise de risco uma tendncia atual das organizaes
preocupadas em saber qual o seu grau de exposio frente s ameaas
capazes de comprometer a segurana do seu negcio.
Brasiliano (2008) define risco como a condio que aumenta ou
diminui o potencial de perdas, ou seja, o risco a condio existente. Nestas
condies o risco uma possibilidade do acontecimento ocorrer. Este
acontecimento deve ser incerto no pode existir certeza que vai ocorrer, deve
ser furtivo ou acidental e ter a caracterstica negativa com o sentido de uma
perda.
O objetivo da anlise de risco identificar e classificar todos os riscos
inerentes atividade da organizao, no que diz respeito a seus ativos de
informao. Sendo mais abrangente que uma anlise de vulnerabilidade a
analise de risco busca por todas as possibilidades de explorao de
vulnerabilidades lgicas e fsicas.
Para analisar risco necessrio estudar os principais processos do
negcio, avaliar as vulnerabilidades e classificar o risco destes processos.
A anlise de risco se divide em cinco partes de igual importncia e
deve ser implantada na totalidade, pois cada etapa isolada representa pouco e
juntas esto alinhadas e apontam caminhos seguros em busca de um nvel


27
adequado de segurana para uma organizao (RAMOS, 2006). Segundo o
mesmo autor, as cinco etapas so:
Identificao e Classificao dos Processos de Negcio
Identificao e Classificao dos Ativos
Anlise de Ameaas e Danos
Anlise de Vulnerabilidades
Anlise de Risco
O resultado da anlise de risco um documento que indica para alta
administrao que todos os cuidados foram tomados, para que o negcio da
organizao transcorra em segurana. Deve ser elaborada a relao dos ativos
e indicado o seu valor e quais controles devem ser implementados
estabelecendo os prazos.
Ramos (2006) recomenda utilizar como referncia as melhores prticas
de segurana da informao do mercado, apontada na norma ABNT NBR
ISO/IEC 27002. A partir das informaes levantadas faz a elaborao do perfil
de risco, utilizando a frmula:
Ameaa x Vulnerabilidade x Valor do Ativo = RISCO
Os produtos gerados da analise de risco so a planilha de identificao
e classificao dos ativos, relatrio executivo de riscos e um relatrio tcnico
que lista as vulnerabilidades classificadas por grau de risco, descrio para
correo e outras informaes relacionadas.
Para que seja implantada com eficcia a anlise de risco necessita do
apoio da alta direo da empresa, pois envolve alterao dos valores culturais
existentes. Uma organizao que possui a anlise de risco efetivamente
implantada e retro-alimentada agrega solidez informao corporativa.


28
Benefcios de uma anlise de risco segundo a empresa AXUR (2008)
so:
Maior capacidade de controle, a partir do conhecimento das
principais ameaas e vulnerabilidades ao ambiente de negcio;
Compreenso de riscos de tecnologia, riscos administrativos e
riscos fsicos de comprometimento da Segurana da Informao;
Maior capacidade de otimizao de investimentos em
Segurana da Informao;
Gesto de Riscos em conformidade com as principais normas
do mercado, em especial a ISO 27001;
Sistematizao do processo atravs de ferramenta de apoio
para gesto de riscos;
importante entender que anlise de risco diferente de anlise de
vulnerabilidade. A anlise de risco garante que uma organizao tomou os
cuidados necessrios para que seus planos se concretizem. Quando a anlise
de risco instituda formalmente gerado um documento identificando quais
controles devem ser implementados e em que tempo, uma avaliao do valor
da informao e a que custo ela vai ser protegida.
Uma anlise de risco deve ser feita antes de uma organizao iniciar
um projeto ou novo processo de negcio. A equipe a ser envolvida deve ser de
tcnicos especialistas em anlise de riscos e no negcio da organizao.
Verificando artigo da Expresso Digital (2007), de que alto o nmero
de incidentes de segurana que ocorrem nas redes de rgos da administrao
pblica, sendo que no primeiro quadrimestre de 2007 mais de 1,1 milho foram
detectados. Podemos entender que fazer uma gesto do risco na AGU vai
permitir identificar e implementar medidas de proteo necessrias para
diminuir os riscos a que as organizaes pblicas esto expostas (Diretoria de
Segurana da Informao e Comunicao DSIC).


29
3. GESTO DE ATIVOS EM UMA ORGANIZAO
A Segurana de Informao objetiva garantir requisitos mnimos e
essenciais para preservar o negcio da organizao, atender os requisitos
legais e principalmente resguardar a imagem da organizao.
Para ICP Brasil (Infra-estrutura de Chaves Pblicas Brasileira), ativo
de informao o patrimnio composto por todos os dados e informaes
geradas e manipuladas durante a execuo dos sistemas e processos de uma
organizao. tudo que a organizao possui envolvido nos seus processos e
que de extrema importncia para seu negcio.
Os ativos da organizao envolvem as pessoas, a informao e a
tecnologia empregadas em cada processo. A proteo dos ativos deve ser
implantada em todas as reas da organizao, pois a informao encontrada
em diversos meios como: em uma mesa de trabalho, em papis sobre a mesa,
no lixo descartado, armazenado eletronicamente nas estaes de trabalho e
nos servidores, no e-mail, e em diversos outros locais.
A organizao deve observar o tipo de informao que as pessoas
tratam para poder estabelecer o nvel de segurana necessria. A proteo dos
ativos o objetivo da segurana da informao que leva em conta os objetivos
fundamentais listados abaixo como princpios bsicos da segurana da
informao:
Confidencialidade: Garantia de que o acesso informao seja
obtido somente por pessoas autorizadas.
Integridade: Salvaguarda da exatido e completeza da informao
e dos mtodos de processamento de forma que as alteraes
sejam planejadas e autorizadas.
Disponibilidade: Garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que
necessrio.


30
Autenticidade: Garantir a veracidade do emissor, sendo genuno e
que possa ser verificado quanto sua confiana.
Recentemente outros dois objetivos tm sido bastante discutidos:
No Repdio: Garantir a autoria de determinadas aes impedindo
o repdio (negao) da mesma.
Conformidade: Garantir que as medidas legais cabveis so
aplicadas quando necessrias.
A figura 1 apresenta o modelo dos objetivos da segurana da
informao.
Figura 1 Objetivos da Segurana da Informao

Fonte: adaptado da apostila do curso de GESIC 2008 prof. Gilberto
3.1 Responsabilidade Sobre os Ativos
Segundo a ABNT NBR ISO/IEC 27001:2006 (p. 16) o objetivo de
identificar os responsveis pelos ativos alcanar e manter a proteo
adequada dos ativos da organizao.
3.1.1 Inventrio dos Ativos
O inventrio dos ativos, conforme acrdo do TCU a classificao do
nvel de confidencialidade de cada ativo e a definio de procedimentos para
garantir a segurana nas diversas mdias nas quais a informao


31
armazenada ou pelas quais transmitida, como o papel, as fitas magnticas e
as redes locais e externas.
Segundo Ramos (2007), o primeiro passo para iniciar um inventrio
identificar os ativos da organizao com o objetivo de identificar as classes de
ativos (categorias) e dessa forma estruturar melhor a organizao dos ativos,
no contexto da gesto do risco.
As normas, em sua maioria, fazem referncia a seis grandes grupos de
ativos, que so:
Ativos de Informao: informao digital e em papel;
Ativos de Software: sistemas, aplicaes, ferramentas;
Ativos Fsicos: dispositivos de processamento, armazenamento,
ambientes;
Servios: servios de computao, servio de transporte de dados
(aluguel de link), servio de fornecimento de energia eltrica;
Pessoas: funcionrios, terceiros, estagirios;
Ativos Intangveis: imagem da empresa, reputao, credibilidade,
vantagem estratgica.
Com estas seis categorias possvel classificar qualquer ativo
(RAMOS, 2007).
A funo de ter um inventrio de ativos identificar aquilo que
importante, mais relevante, o foco do negcio da organizao. Nesta etapa
importante no confundir a necessidade de identificar e classificar ativos
relevantes e elaborar listas extensas de ativos de hardware e software.
investir tempo em anlise e proteo daquilo que de fato faz diferena para o
negcio.
3.1.2 Proprietrio dos Ativos


32
Para que os ativos sejam protegidos, necessrio identificar o
proprietrio. O proprietrio pode ser uma pessoa ou entidade autorizada a
controlar o uso e a segurana dos ativos, tornando-se o responsvel pelos
mesmos. Ele vai classificar e valorar a informao de acordo com o que ela
representa para a organizao.
3.1.3 Uso Aceitvel de Ativos
Alm de proprietrio, os ativos da organizao possuem usurios.
importante que sejam criadas regras que iro compor a poltica da empresa
quanto a permisses de uso das informaes e de ativos associados aos
recursos de processamento das informaes. Cada usurio deve conhecer e
cumprir essa poltica para uso dos recursos, a fim de no comprometer a
empresa e ao prprio usurio. Exemplos de ativos que necessitam de cuidados
especiais quanto ao seu uso so: Internet, Correio eletrnico, Estaes de
trabalho (a estao de trabalho do usurio, assim como sua mesa ou cadeira
pertence exclusivamente empresa e deve ser tratado como um recurso
precioso), Notebooks, entre outros.
3.2 Classificao da Informao
A classificao da Informao o processo de identificar e definir
nveis e critrios adequados de proteo das informaes que garantam a sua
confidencialidade, integridade e disponibilidade de acordo com a importncia
para a organizao.
Segundo os autores Laudon & Laudon (1996), tratando da evoluo do
conceito de informao, definem a evoluo da informao a partir de 1985 at
2000 como sendo um recurso estratgico que permite vantagem competitiva se
tornando uma arma para a organizao.
A norma ABNT NBR ISO/IEC 27002 apresenta como objetivo da
Classificao da Informao, assegurar que os ativos da informao recebam
um nvel adequado de proteo. Para Ferreira (2003) classificar a informao


33
baseadas no risco do negcio, valor dos dados ou qualquer outro critrio uma
questo de bom senso.
A classificao da informao deve indicar sua importncia, a
prioridade e o nvel de proteo, pois nem toda informao possui o mesmo
valor ou uso e nem os mesmos riscos.
Toda organizao deve utilizar um sistema de classificao da
informao para definir um conjunto apropriado de nveis de proteo e
determinar a necessidade de medidas especiais de tratamento, sendo que
alguns itens podem necessitar um nvel adicional de proteo ou tratamento
especial. Apesar de no existir uma forma padronizada de se classificar a
informao existente em uma organizao, segundo Kovacich (1998) ela pode
ser dividida em trs categorias que so:
Informao pessoal;
Informao de segurana nacional;
Informaes de negcio.

A classificao da informao deve atender poltica de segurana das
organizaes, que invariavelmente diz que somente permitido o uso de
recursos homologados e autorizados pela empresa, identificados e
inventariados, protegidos, com documentao atualizada e estando de acordo
com as clusulas contratuais e a legislao em vigor.
A classificao deve tratar a informao durante todo o seu ciclo de
vida, com nveis e critrios para sua criao, manuseio, transporte,
armazenamento e descarte. Ao longo da execuo do servio ser
desenvolvida a norma de classificao, caso ainda no exista na poltica de
segurana vigente, e um procedimento para a classificao das informaes,
abrangendo tanto os ativos de informao no formato fsico quanto no
eletrnico. O procedimento ser composto por um ou mais documentos
(questionrios, tabelas etc.) para levantamento do valor e impacto da perda de


34
confidencialidade, disponibilidade ou integridade das informaes, e para a
classificao das informaes.
Os ativos devem ser classificados primeiramente por assunto e dentro
do assunto quanto aos requisitos de segurana. A classificao por assunto
permite organizar a informao com um sentido lgico que faa sentido ao
negcio da organizao. Dispor os ativos em categorias de assunto vai permitir
ao usurio um sistema de localizao fcil de forma a ir peneirando at chegar
onde o interesse. Classificando a informao quanto aos requisitos de
segurana os requisitos normalmente utilizados so: sigilo, autenticidade,
integridade, disponibilidade.
Para o requisito de sigilo, no mbito do Decreto n 4.553/2002 que
iremos ver no captulo 5, classifica os documentos pblicos sigilosos em quatro
categorias: Ultra-secretos, Secretos, Confidenciais, Reservados, mostrados as
seguir no Quadro 2.
Quadro 2 Classificao das informaes

Governo Brasileiro Empresa Privada
Ultra-secreto Interna
Secreto Pblica
Confidencial Restrita
Reservado Privada

Fonte: Decreto n 4.553/2002
Para a maioria das empresas privadas a classificao do sigilo na
maior parte, direcionado proteo da confidencialidade das informaes. As
categorias podem ser confidencial, restrito, institucional, privado, pblico,
secreto e outras denominaes semelhantes.
No existe legislao na esfera federal que estabelea outro tipo de
classificao alm do sigilo e importante estender esta classificao aos


35
outros requisitos da Segurana da Informao que so disponibilidade,
integridade e autenticidade.
A classificao das informaes deve ser revista periodicamente, pois
seu valor e impacto para a organizao, bem como a aquisio de novos ativos
e/ou manipulao de novas informaes, podem mudar a prioridade de
implementao dos controles de segurana.
3.2.1 Contabilizando os ativos
Os ativos de informao podem estar associados aos sistemas de
informao como, por exemplo: base de dados, arquivos e meio magntico,
documentao de sistemas, manuais diversos.
3.2.2 Classificando os ativos
Depois de concludo o inventrio dos ativos de informao existentes
necessrio classificar de acordo com a sensibilidade que ela representa para o
negcio da organizao.
3.2.3 Classificao da informao quanto aos requisitos de segurana
No existe um modelo de classificao que possa ser utilizado em
todas as organizaes, pois cada organizao possui sua caracterstica.
A classificao deve ser elaborada levando em conta a necessidade do
negcio e sem criar muitas classes, que podem prejudicar a classificao
tornando o trabalho impraticvel.
3.2.4 Classificao de Relevncia dos Ativos
Caso existam regulamentaes que exijam a proteo do ativo, a
aplicao do controle independe da anlise de risco.
Pode-se classificar a relevncia dos ativos em trs nveis: alto, mdio
ou baixo.
3.3 Rtulos e Tratamento da Informao



36
Antes de rotular necessrio fazer uma anlise de riscos criteriosa,
eleger os ativos de informao mais crticos para a organizao, saber qual
destes est mais vulnervel no momento, e por conseqncia, precisa ser
protegido. necessrio determinar onde sero empregados os maiores
recursos (lembrando sempre que as medidas necessrias conteno dos
riscos inicialmente levantados devero ser aplicadas seguindo a ordem de
criticidade do impacto das perdas deste ativo para os negcios da companhia).
A sabedoria popular conhece o velho ditado que diz que sempre mais
custoso remediar do que prevenir.
a partir desta anlise que se comea a escrever as polticas de
segurana, as quais sero as regras implementadas (e somente se sarem do
papel), iro proporcionar a organizao, as bases de um sistema de gesto da
segurana eficaz e que fornecer as definies que garantiro um ambiente de
trabalho confivel a todos os usurios. Estes documentos devem deixar claro o
que necessrio para se alcanar um nvel de segurana adequado.
A primeira poltica a ser implementada e a mais fundamental a de
classificao da informao. Ela determina os critrios para classificar e
manipular cada informao dentro do ambiente corporativo. (Santanna,2005).
Kovacich (1998, p. 105) coloca que, se a informao tem valor, ela
deve ser protegida e a proteo cara. Afirma ainda que o valor da informao
deva ser determinado pelo proprietrio da informao baseado no valor da
informao para organizao e para outras pessoas. Ento devemos proteger
as informaes necessrias e indispensveis ao negcio por tempo
determinado pela classificao.
3.4 Ciclo de Vida da Informao
Para Smola (1972) o ciclo de vida da informao composto e
identificado pelos momentos vividos pela informao que a coloca em risco.
Isso ocorre quando os ativos fsicos, tecnolgicos e humanos fazem uso da
informao, nos processos da empresa que a mantm funcionando. So


37
identificados por este autor 4 momentos em que necessrio manter a ateno
pois so ameaas a segurana da informao. Os momentos so:
manuseio: quando a informao criada e manipulada;
armazenamento: quando a informao armazenada ( pode ser em
papel ou em meios magnticos);
transporte: quando a informao transportada (pode por conversas
telefnicas, por fax por e-mail, entre outros);
descarte: quando a informao descartada, seja um papel
eliminado na lixeira, ou arquivos eletrnicos.
Para Smola (1972) toda a informao influenciada pelas
propriedades: confidencialidade, integridade e disponibilidade alm dos
aspectos de autenticidade e legalidade.
Para atingir o gerenciamento das informaes necessria a sua
classificao. Se for implementada uma classificao corretamente vai reduzir
o custo com recursos para proteger e ajudar na implementao dos controles
onde realmente so necessrios.
O processo de classificao garante os princpios bsicos da
segurana da informao, boas praticas de segurana so implementadas ou
aprimoradas e o destino da informao identificado.
Como apresentado em todo este captulo, a utilizao da informao
representa a etapa mais importante no processo de gesto da informao,
permitindo que pessoas e a organizao interajam no ambiente com base nas
informaes adquiridas.



38
4 INFORMAO E ESTRATGIA
... a informao gerencial deixa de ser vista
como um fenmeno de natureza puramente
tcnico e passa a ser enfocada como um
fenmeno organizacional substantivo
Roberto Rodrigues, 1987

As organizaes enfrentam novos desafios neste mundo digital de
facilidades e necessitam manter a competitividade e a salvaguarda dos ativos,
mobilizando grande parte dos recursos e investimento para esta proteo.
Para os autores Papa Filho e Vanalle (2002) neste novo ambiente
que a informao se torna uma necessidade nas organizaes, aps serem
analisadas adquirem o valor estratgico. Para atender esta necessidade vrias
ferramentas de TI foram desenvolvidas para dar suporte a esta necessidade do
mercado. Estas ferramentas armazenam em sua base grande quantidade de
informao permitindo assim a sistematizao do saber e decidir em todos os
nveis gerenciais (JAMIL, 2001).
Entre as tecnologias conhecidas dispomos de data warehouse (DW),
data mining, data mart que so capazes de apresentar informaes
estruturadas a partir de buscas elaboradas qualitativamente e
quantitativamente (SMOLA, 2003). O DW surgiu nos anos 90, (CHAUDHURI
e DAYAL, 1997) como proposta como uma soluo genrica para suprir a
necessidade de informaes gerenciais das organizaes (MOODY e
KORTINK, 2000). A partir deles que possvel minerar dados com objetivo de
reconhecer o comportamento e a potencialidade do negcio. Segundo Papa
Filho e Vanalle (2002) atravs dessa anlise as decises tomadas so rpidas
e provavelmente mais corretas gerando resultados objetivos ao negcio da
organizao. Todo este aparato de tecnologia perde o sentido sem um sentido
lgico do processo organizacional (DAVENPORT, DELONG & BEERS, 1998).
Informao o elemento essencial para estabelecer qualquer
estratgia e estratgia pode ser entendida como conjunto de decises tomadas
para definio dos objetivos globais (estratgicos) associados a um


39
determinado perodo e identificando os meios para superar e alcanar esses
objetivos, BEAL(2008).
A estratgia est ligada busca de informaes para as organizaes
se manterem no ambiente competitivo sendo capazes de monitorar as
constantes mudanas a que esto sujeitas. Drucker (1992) afirma que [...] as
organizaes modernas so fundamentadas na informao e no
conhecimento.
O planejamento estratgico o processo desenvolvido internamente
nas organizaes, para definir e mostrar sua estratgia, com objetivo de
adquirir direo, foco e constncia facilitando sair de uma zona de conforto
para uma posio mais desejvel. A organizao muda o foco que estava nos
resultados esperados para o foco no cumprimento da misso e no alcance da
viso de futuro.
4.1 Definies e conceitos sobre Informaes
Miranda (1999) estabeleceu alguns conceitos, por meio de uma reviso
da literatura, com objetivo de conceituar e padronizar um referencial terico
sobre a variedade de conceitos, de forma a padronizar um entendimento sobre
o assunto. Adotou-se os resultados de uma pesquisa sobre diversos autores
para estabelecer os seguintes conceitos para o assunto em estudo:
Dado conjunto de registros conhecidos;
Ativo o dado conhecido, organizado, agrupado, categorizado e
padronizado;
Informao so dados organizados de modo significativo, sendo
subsdio til a tomada de deciso. Segundo Teece (1998) a
informao sem um contexto raramente conhecimento;
Monitoramento estratgico a constante observao da coleta
dos dados;


40
Conhecimento especifico o conjunto de informaes j
identificadas e que caracteriza o saber disponvel sobre um tema
especifico;
Conhecimento tcito acmulo de saber pratico sobre um
determinado assunto, que agrega alguma experincia a
personalidade de quem o detm;
Conhecimento estratgico combinao das informaes
estratgicas e as informaes de acompanhamento, agregando-se o
conhecimento de especialistas;
Inteligncia estratgica o uso do conhecimento estratgico no
processo de tomada de deciso quanto formulao ou redefinio
de estratgias adotadas por uma organizao;
Informao estratgica a informao obtida do monitoramento
estratgico, que subsidia a formulao de estratgias pelos
tomadores de deciso nos nveis gerenciais da organizao;
Informao de acompanhamento a informao obtida do
monitoramento interno, que aliada a informao estratgica,
constitui-se em conhecimento estratgico explicito;
Estratgia a ao gerada a partir de informaes que levam a
criatividade, a originalidade, que permite a organizao diferenciar-
se dos seus semelhantes assumindo vantagem competitiva no seu
negcio;
Sistema de informaes estratgicas o conjunto de ferramentas
informatizadas que permite o tratamento dos dados coletados pelo
monitoramento estratgico, transformando em informaes e
agregando conhecimento, a fim de que se constitua insumo para a
inteligncia estratgica;
Sistema especialista a ferramenta informatizada que agrega o
conhecimento de especialistas ao processamento de informaes
que suportam a tomada de deciso;


41
Sistema no especialista a ferramenta informatizada que
processa informaes usadas na tomada de deciso sem agregar o
conhecimento de especialistas no processamento.
Para Miranda a formulao de aes estratgicas inicia com a
avaliao e identificao dos fatores externos que podem ser levantamento
histrico e prospeco futura. Aps a identificao do conhecimento estratgico
as alternativas mais viveis so avaliadas estabelecendo um conjunto de
estratgicas viveis. As estratgias viveis passam por um filtro da alta direo
para que se decida sobre que aes estratgicas devem ser adotadas.
A expresso informao e estratgia, no contexto desse trabalho, no
implicam em abandonar a gesto da informao voltada na coleta, tratamento e
disponibilidade da informao que suporta os processos do negcio da
organizao com vista que ela alcance os objetivos permanentes, mas
acrescentar o foco da informao voltada para os objetivos estratgicos
estabelecidos para determinado perodo de tempo (BEAL 2008).



42
5. ASPECTOS LEGAIS, POLTICAS E PROCEDIMENTOS
5.1 Legislao sobre Segurana da Informao e Comunicao
A segurana da informao um assunto de extrema relevncia e
ainda no possui leis suficientes para ser tratado com toda a complexidade que
ele requer. necessrio estabelecer regulamentaes para segurana da
informao, para polticas nacionais e internacionais relativas ao assunto, para
a questo de infra-estrutura de chaves-pblicas, e para o direito penal voltado a
crimes digitais.
5.2 Poltica Nacional de Segurana das Informaes
Em 2000 foi publicado o Decreto 3.505, por meio do qual foi instituda a
poltica nacional de segurana das informaes. Este decreto demonstra o
inicio de um amadurecimento sobre a importncia de manter seguras as
informaes processadas nos rgos e entidades da administrao pblica.
Neste decreto, no artigo 3, define os objetivos da poltica (de segurana) da
informao nos rgos e entidades da Administrao Pblica Federal que so:
a. dot-los de instrumentos e recursos tecnolgicos que os capacitem
a assegurar a confidencialidade, a integridade e a autenticidade
dos dados e informaes classificadas como "sensveis";
b. eliminar a dependncia externa em relao a sistemas e
equipamentos relacionados segurana da informao;
c. promover a capacitao dos recursos humanos para o
desenvolvimento de competncia cientfico-tecnolgica em
segurana da informao;
d. promover a capacitao industrial do pas com vistas sua
autonomia no desenvolvimento e na fabricao de produtos e
servios relacionados com a segurana da informao.




43
5.3 Leis
Lei n.9.609, de 19 de fevereiro de 1998 Dispe sobre a proteo da
propriedade intelectual de programa de computador, sua comercializao no
Pas, e d outras providncias.
Lei n. 9.983, de 14 de julho de 2000 Altera o Cdigo Penal. Prev
penas especficas para crimes de insero, alterao, excluso e divulgao
indevidas de dados nos sistemas informatizados ou bancos de dados da
Administrao Pblica
5.4 Decretos
Decreto n. 3.505, de 13 de junho de 2000 - Estabelece diretrizes
gerais para definio da Poltica de Segurana da Informao nos rgos e
entidades da Administrao Pblica Federal.
Decreto n. 4.553, de 27 de dezembro de 2002 - Dispe sobre a
salvaguarda de dados, informaes, documentos e materiais sigilosos de
interesse da segurana da sociedade e do Estado, no mbito da Administrao
Pblica Federal.
5.5 Normas
Norma ABNT - Cdigo de prtica para a gesto da Segurana da
Informao
Origem : British Standard Institution (BSI) _ Aprovada em 2000 como
padro internacional pela ISO: ISO/IEC 17799
Em 2001, a ABNT decidiu adot-la como norma brasileira (NBR
ISO/IEC 17799)
2 verso foi lanada pela ABNT (Associao Brasileira de Normas
Tcnicas) no dia 24/08/2005 nomeada de NBR ISO IEC 17799:2005;
a partir de 2007 ser numerada como NBR ISO IEC 27002.
A norma ISO/IEC 27002, equivalente norma brasileira, amplamente
reconhecida e utilizada por Entidades Fiscalizadoras Superiores, rgos de


44
governo, empresas pblicas e privadas nacionais e internacionais, atentas ao
tema Segurana da Informao.
5.6 Poltica de segurana da informao, padres e procedimentos

A Poltica de Segurana da Informao PSI o documento de
diretriz, o primeiro passo na construo de uma gesto de segurana da
informao. A norma ABNT NBR ISO/IEC 27002, recomenda que todos os
rgos estabeleam uma poltica clara, alinhada com os objetivos do negcio e
demonstre apoio e comprometimento atravs de campanhas educativas e
motivadoras por toda organizao.
Para Ferreira (2003) as polticas, padres e procedimentos de
segurana da informao fornecem melhor direcionamento para
implementaes tcnicas e expressam os anseios da alta direo em decidir na
destinao do uso da informao, quem pode acess-los.
A poltica de segurana proporciona o direcionamento para as aes
tcnicas. Entretanto, a poltica deve ser um dos elementos do conjunto que
compe a Gesto da Segurana da Informao.
A falta de uma PSI estabelecida apresenta os seguintes efeitos:
. Enfraquecimento das aes de segurana, por no estarem
respaldadas por uma poltica institucional;
. Desequilbrio entre gesto de segurana e objetivos do negcio;
. Transparece para os usurios a falta de comprometimento da alta
direo com a segurana da informao.
5.7 Decises do Tribuna de Contas da Unio - TCU

O Tribunal de Contas da Unio, como rgo de auditoria de Governo
Federal, tem desempenhando aes no sentido que os rgos da
Administrao Pblica Federal - APF cumpram o previsto nos atos normativos,
sobre a segurana da informao e promovam aes com objetivo de


45
disseminar a importncia da segurana da informao. Abaixo algumas
decises do TCU que muito tem ajudado neste sentido:
Deciso n. 669/1995 - Plenrio
_ 2.1. estude a possibilidade de implementar, a mdio prazo, no
mbito do seu plano de contingncia, uma soluo alternativa para o
caso de perda total das instalaes da Filial So Paulo, nas quais se
opera o processamento da Arrecadao Federal, para que o
tratamento das informaes essenciais no sofra soluo de
continuidade no caso de ocorrncia de sinistro de grande propores;
Deciso n. 445/1998 - Plenrio
_ 3.7.1. Disciplinar de forma rgida o acesso de pessoas aos andares
do prdio onde a Gerncia Executiva de Tecnologia [...] se encontra
instalada;
_ 3.7.2. Definir, oficialmente, junto aos gestores responsveis, uma
sistemtica de "back-up" para os sistemas existentes;
_ 3.7.5. Definir regras que regulamentem o acesso de usurios
externos ao ambiente computacional;
Acrdo n. 2.023/2005-Plenrio - Determinaes
_ defina uma Poltica de Segurana da Informao, nos termos das
orientaes contidas no item 3 da NBR ISO/IEC 17799:2001, que
estabelea os princpios norteadores da gesto da segurana da
informao no Ministrio e que esteja integrada viso, misso, ao
negcio e s metas institucionais, observando a regulamentao ou
as recomendaes porventura feitas pelo Comit Gestor de
Segurana da Informao institudo pelo Decreto n. 3.505/2000 e pelo
Gabinete de Segurana Institucional da Presidncia da Repblica,
conforme Decreto n. 5.408, de 1/04/2005;
Acrdo n. 2.023/2005-Plenrio - Determinaes
_ estabelea institucionalmente as atribuies relativas segurana
da informao, conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3 da
NBR ISO/IEC 17779:2001;
_ no assuma responsabilidades inerentes s reas de negcio,
como a insero, alterao e excluso de informaes em bases de
dados;
_ crie critrios de classificao das informaes;
_ crie mecanismos para que as polticas e normas se tornem
conhecidas, acessveis e observadas;
_ o acesso ao ambiente de produo deve ser feito de forma
controlada pelos gestores dos sistemas;
Acrdo n. 2.023/2005-Plenrio - Determinaes
defina uma Poltica de Controle de Acesso aos ativos de informao
que contenha, no mnimo:


46
9.1.3.1. regras de concesso, de controle e de direitos de acesso
para cada usurio e/ou grupo de usurios [...], conforme preceitua o
item 9.1.1 da NBR ISO/IEC 17799:2001;
9.1.3.2. responsabilidades dos gestores de negcios sobre os seus
sistemas, bem como a obrigao deles [...] fazerem a reviso
peridica, com intervalos de tempo previamente
definidos, dos direitos de acesso dos usurios, conforme prevem os
itens 9.2.1, incisos h e i, e 9.2.4 da NBR ISO/IEC 17799:2001;
_ Acrdo n. 1.092/2007-TCU-Plenrio Determinaes _ inventarie
os ativos de informao e estabelea critrios para a classificao
desses ativos;
_ implante a gesto de continuidade do negcio e elabore o Plano de
Continuidade do Negcio (PCN);
_ implante e divulgue sua Metodologia de Desenvolvimento de
Sistemas (MDS) em toda a Empresa, semelhana das orientaes
contidas nos itens PO 8.3 e AI 2.7 do COBIT 4.0.
Ademais, estabelea os requisitos mnimos de documentao que
todos os sistemas devem apresentar, inclusive os sistemas legados,
e defina um prazo para que todos os sistemas estejam adequados
nova MDS;
5.8 Consideraes sobre a Poltica Nacional de Segurana das
Informaes

O Decreto 3.505, citado no item 5.2, resultado da constante
preocupao da importncia das informaes processadas nos rgos e
entidades da Administrao Pblica Federal - APF. Com esse ato
regulamentado, o governo brasileiro apontou para a necessidade de proteo
de assuntos que meream tratamento especial, adotando medidas para
prevenir o risco de sua vulnerabilidade. A administrao pblica, em todos os
seus nveis, processa informaes consideradas "sensveis", que requerem a
proteo contra a intruso e modificao desautorizadas. Assim, o
estabelecimento de uma poltica de segurana, do material informativo que
armazenado e documentado em seus sistemas de computao de extrema
importncia.
Este decreto, apesar de ter sido publicado em 2000 no cumprido por
maior parte dos rgos da APF. A situao atual, levantada pelo TCU, no
acrdo n 1.603/2008, junto 255 rgos da APF, com objetivo de obter
informaes sobre como est a gesto e uso da Tecnologia da Informao,
apresenta no quadro 3, o seguinte resultado:


47
Quadro 3 Requisitos de itens avaliados pela pesquisa do TCU

Neste acrdo foi ento concludo que a falta de planejamento
institucional prejudica as aes de TI, pois podem ocorrer aes equivocadas
que levam a desperdcio de recursos. Conclui-se tambm que a ausncia de
planejamento estratgico na rea de TI leva no s ao enfraquecimento da
rea, devido descontinuidade dos projetos e conseqente desagrado dos
usurios. A falta de comit demonstra pouco envolvimento e importncia dada
pela alta administrao com as decises estratgicas de TI.
Focando na segurana da informao, este mesmo acrdo quando
verifica a qualidade do tratamento dado pelos rgos da APF segurana das
informaes sobre sua responsabilidade obteve os resultados apresentados no
quadro 4:
Quadro 4 Requisitos de itens avaliados pela pesquisa do TCU
Requisitos avaliados Sim No
Existe planejamento estratgico institucional
em vigor
53% 47%
Existe planejamento estratgico de Tecnolo-
gia da Informao em vigor
41% 59%
Existe comit diretivo sobre aes de Tecno-
logia da Informao em vigor
32% 68%
Requisitos avaliados No
Ausncia de Poltica de Segurana da Informao, em vigor 64%
Ausncia de Plano de Continuidade de negcio, em vigor 88%
Ausncia de Classificao da Informao, em vigor 80%
Ausncia de rea especifica para lidar com segurana da
informao
64%


48

Das respostas fornecidas pelos rgos avaliados, sob as questes de
tratamento das informaes sob sua responsabilidade, conclui este mesmo
acrdo, que preciso dar mais ateno ao assunto, pois so grandes as
deficincias encontradas no tratamento da segurana da informao.
O resultado encontrado pela pesquisa preocupante, pois uma
instituio pblica presta servios aos cidados e depende da confiabilidade
das informaes por ela tratadas e prestadas.
A Lei n. 9.983, no novo art. 313-A, trata da insero de dados falsos
em sistemas de informao, enquanto o art. 313-B fala sobre a modificao ou
alterao no autorizada desses mesmos sistemas. O 1 do art. 153 do
Cdigo Penal foi alterado agora e define penas quando da divulgao de
informaes sigilosas ou reservadas, contidas ou no nos bancos de dados da
Administrao Pblica.
Todas estas aes demonstram a importncia da conscientizao dos
servidores e dirigentes quanto Poltica de Segurana da Informao. Uma
vez que a Poltica seja de conhecimento de todos da organizao, no ser
admissvel que as pessoas aleguem ignorncia quanto s regras nela
estabelecidas a fim de evitar punio sobre violaes cometidas.

Ausncia de rea especifica para gerncia de incidentes 76%
Ausncia de gesto de mudanas 88%
Ausncia de gesto de capacidade e compatibilidade das
solues de TI
84%
Ausncia de anlise de riscos na rea de TI 75%
Ausncia de procedimentos de controle de acesso em vigor 48%


49
6. GERENCIAMENTO DAS INFORMAES ESTRATGICAS
Gerenciar os fluxos de informaes existentes na AGU hoje uma
necessidade. Para serem eficientes estes fluxos devem ser alimentados com
informaes de qualidade, dentro de uma relao de custo x beneficio e
adequadas a necessidade do negcio. Alm de ter que atender os requisitos
legais a organizao necessita garantir sua imagem, no deixando que
incidentes de segurana possam atingi-la ou se atingir esteja em nvel
aceitvel. So famosas as frases informao fundamental para o
desenvolvimento das empresas ou informao bsica em qualquer
empreendimento sem que fossem apresentados estudos sobre seu valor para
as empresas (MIRANDA, 1999).
Para Beal (2008) informao estratgica capaz de melhorar o
processo de deciso porque reduz o grau de incerteza em relao a outras
variveis.
Vrios estudos so necessrios com objetivo de caracterizar quais
informaes so importantes para a organizao, avaliando suas qualidades e
pertinncias, em funo de categorias definidas pela organizao.
Segundo MIRANDA (1999), para a identificao da necessidade de
quais dados deve ser acompanhado para que possa ser traduzido como
informaes estratgicas aos processos do negcio so necessrias levantar
os 6 (seis) requisitos de informaes, com base no planejamento estratgico:
1. Identificar as aes estratgicas do negcio avaliando o seu
comportamento e definindo os tipos mais freqentes;
2. Identificar os tipos de informaes estratgicas mais freqentes
que so utilizadas nas aes estratgicas;
3. Analisar o comportamento de cada informao estratgica com
base na ao do planejamento estratgico;


50
4. Analisar as caractersticas da informao estratgica quanto a
sua forma de tratamento em relao a outras informaes
estratgicas;
5. Analisar o comportamento dos tipos de ao estratgica em
funo dos ciclos evolutivos do negcio;
6. Em funo dos resultados obtidos neste estudo, propor um
modelo de gerenciamento das informaes estratgicas.
Pode-se definir estratgica como uma ao para obter resultados
concretos que permite organizao diferenciar dos seus concorrentes,
podendo ser um servio, uma implementao, um produto (Miranda, 1999). As
aes estratgicas podem ser classificadas em 3 tipos:
liderana: visa reduzir custos;
diferenciao: visa colocar no mercado um produto ou servio
diferente dos concorrentes;
foco: explorao de segmento especfico no mercado.
6.1 Nveis da informao e tipos de informaes estratgicas
Na maioria das organizaes os nveis ou tipos de informaes
obedecem hierarquia padro conhecida como pirmide organizacional, onde
os nveis so conhecidos como estratgico ttico ou gerencial e operacional.
Cada nvel requer um grau de agregao da informao diferente dos outros.
No nvel estratgico, as decises ocorrem na alta direo da
organizao e geram aes duradouras baseadas no Planejamento
Estratgico. O nvel da informao gerencial com dados de toda a
organizao e relacionando-se com meio ambiente interno e externo.
Os outros nveis as informaes ocorrem em escales intermedirios e
inferiores e possuem menos impacto no funcionamento da organizao.


51
Os tipos de informaes estratgicas podem ser agrupados nas
categorias:
Clientes: informaes sobre as tendncias quanto aos
comportamentos dos usurios internos e externos;
Concorrentes: informaes sobre tendncias quanto aos servios
prestados por rgo que executam as mesmas atividades;
Cultural: informaes quanto ao perfil dos solicitantes das aes;
Demogrfico: informaes sobre tendncias quanto os locais onde
as aes so iniciadas;
Ecolgica: informaes sobre tendncias de aes com a matria
ambiental;
Econmica/financeira: informaes sobre tendncias quanto
conjuntura econmica nacional e mundial, atuao de blocos
econmicos e segmentos de mercado;
Fornecedor: informaes sobre o perfil, atitudes, localizao;
Governamental/poltica: informaes sobre tendncias quanto a
diretrizes do Poder Executivo no que se refere interveno do
poder judicirio;
Legal: informaes sobre tendncias quanto a aes dos Poderes
Legislativas e Judicirio no que se refere legislao;
Social: informaes sobre tendncias quanto distribuio dos
segmentos;
Tecnolgica: informaes sobre pesquisas realizadas e em
andamento, tendncias quanto poltica de pesquisa e
desenvolvimento;


52
6.2 Caracterstica da Informao Estratgica
Qualitativa: refere-se a informaes consolidadas a partir de dados que
em sua maioria so no-numricos.
Quantitativa: refere-se a informaes consolidadas a partir de dados
que em sua maioria so numricos.
Mista: refere-se a informaes consolidadas a partir de dados
numricos e no-numricos, sendo que no possvel estabelecer-se a
predominncia de um sobre o outro em sua formao.
Figura 2 - Mapa Conceitual Informao Estratgica e Estratgia

Fonte: Miranda (1999)
A figura 2 trata-se do mapa conceitual da informao que ocorreu em
um levantamento nos Empresa Brasileira de Correios e Telgrafos, realizado
por MIRANDA. Considero que o levantamento esta adequado para ser utilizado
como modelo na AGU, na definio de quais informaes deva ser
acompanhada.



53
7. IDENTIFICANDO AS INFORMAES ESTRATGICAS DA
AGU
A Advocacia-Geral da Unio, tambm conhecida pela sigla "AGU"
responsvel por toda a defesa judicial da Unio (administrao direta e
indireta), bem como pela consultoria jurdica dos Ministrios. Antes estas
atividades eram executadas pelo Ministrio Pblico Federal, atravs da
Procuradoria-Geral da Repblica.
A AGU compe-se de procuradorias, ou seja, cada estado possui
uma representao, que ir representar aquele estado, ao qual faz parte.
O chefe o Advogado Geral da Unio nomeado pelo Presidente da
Repblica.
Atualmente, o gabinete do ministro da AGU, considera como
informaes estratgicas para o negcio da AGU:
O resultado da participao nos processos em que atua;
O banco de subsdios, que a forma como a Unio defende-se;
O banco partes interessadas;
O banco de pareceres.
7.1 Situao Atual das Bases de Dados Estratgicas da AGU
A Advocacia-Geral da Unio AGU como outras instituies
jurdicas do Governo, possui entre seus bancos de dados as bases de
dados jurdicas, que constituem importante fonte de informao para
todos os servidores das carreiras jurdicas da AGU.
Segundo Lavin (1992) a pesquisa em bases de dados parte
integrante em qualquer busca de informaes para negcios e na AGU
estas bases de dados permitem consulta local ou via internet contando


54
com uma mdia de 700 acessos ao dia. Estas bases de dados
representam a base de conhecimento do negcio da AGU que a defesa
da Unio.
Entre as bases jurdicas e estratgicas encontra-se o banco de
dados de acompanhamentos das aes da unio, que possui mais de
10.000 processos cadastrados, banco de pareceres, banco de subsdios
jurdicos.
Todas estas bases de dados encontram-se hospedadas no CPD
da AGU podendo ser acessadas por meio da intranet.
7.2 Levantamento dos Procedimentos de Segurana Existentes na
AGU
Esse levantamento foi realizado tomando como base os controles
existentes na norma ABNT NBR ISO/IEC 27002, aqui considerado um
manual de boas prticas de gesto da segurana da informao e nas
recomendaes do acrdo do TCU 1.603/2008.
A rea de TI da AGU encontra-se em processo de estruturao.
Foi realizado o planejamento estratgico no final de 2007 e estabelecida
uma estrutura hierrquica com atribuies para definir a respeito das
atribuies e estabelecer prioridades para o setor. A aquisio de bens e
servios da rea de informtica ocorre com critrios estabelecidos pela
gerencia de planejamento que aps receber as demandas das reas que
compe a AGU estabelece as prioridades.
No aspecto da segurana da informao existe uma Gerncia de
Segurana de informao que esta sendo implantada, conforme
recomendado pelas normas e melhores prtica do mercado.
Estabelecer uma quantidade de controles para iniciar a segurana
da informao considerado um bom ponto de partidas. No quadro 5


55
vamos avaliar quais controles esto implantados na AGU baseando na
norma ABNT ISO/IEC 27002 e nos controles considerados por ela, como
prticas para a segurana da informao e por informaes prestadas
pela gerncia da rea de TI da AGU.
Quadros 5 Controles considerados prtica de segurana da informao
CONTROLES SITUAO ATUAL PONTOS EM DESACORDO
Documento da Poltica de
Segurana da Informao
O documento esta sendo
elaborado.
A organizao no possui PSI
aprovado
Atribuir responsabilidade pela
segurana da informao
Aguardando a elaborao da
PSI quando poder ser cobrada
a responsabilidade da
segurana
Como no existe PSI no
possvel cobrar
responsabilidades pela
segurana da informao
Conscientizao, educao e
treinamento sobre segurana
da informao
Pela internet alguns avisos
sobre segurana de senhas de
e-mail e senhas de redes tm
sido enviados.
No existe programa de
conscientizao implantado
Processamento correto das
aplicaes
Utilizao de metodologia
prpria
No existe metodologia
aprovado e instituda como
norma, apoiada pela PSI.
Gesto de vulnerabilidades
tcnicas
No existe documento com as
vulnerabilidades de aplicaes
e softwares
Estabelecer um inventario
completo e atualizado para a
gesto de vulnerabilidades.
Gesto de continuidade dos
negcios
No existe plano de gesto de
continuidade de negocio
institudo, revisado e atualizado
anualmente.
Implantar processo de gesto
de continuidade do negocio
Gesto de incidentes de
segurana da informao e
melhorias
No existe equipe de resposta
rpida a incidente de
segurana
Estabelecer responsabilidades
e procedimentos de gesto
para assegurar respostas
rpidas e efetivas

Foram utilizados como critrio na rea de Segurana da
Informao, controles previstos na norma ABNT ISO/IEC 27002, que
fornece recomendaes para a gesto da segurana da informao
aconselhando sua utilizao pelos responsveis pela implementao e
manuteno da segurana na organizao. Tem como propsito prover


56
uma base comum para o desenvolvimento de normas de segurana
organizacional e de prticas efetivas para a gesto da segurana, no
mbito da AGU.
A fim de avaliar a aplicao das normas de segurana algumas
questes foram levantadas, baseadas nas recomendaes do acrdo
TCU N 1. 603 e respondidas pela gerencia da rea de TI.
Existem padres para desenvolvimento de sistemas que
permita avaliar a qualidade no setor? Sim, atualmente existe
norma interna baseada nas orientaes do COBIT.
efetuada anlise de riscos na rea de TI? Existem
procedimentos neste sentido, mas no da forma recomendada
pelas melhores prticas do mercado.
O setor de TI adota o gerenciamento por processos? S
algumas gerncias a maior parte no.
H um plano de continuidade do negcio PCN compatvel
com as necessidades do rgo? No.
Existe controle de segurana da informao no rgo? No
Existe poltica de cpia de segurana formalmente instituda?
Sim
Existe o monitoramento de processos? No.
Existe controle de acesso fsico? Sim.
Neste cenrio, encontramos a seguinte situao na AGU:


57
Informaes tratadas com nvel inadequado de proteo,
sujeitas a perda de integridade, confiabilidade e
disponibilidade;
Tratamento da segurana da informao de forma incipiente e
dependem do meio em que so produzidas ou transitam;
Falta de amparo de uma PSI para responsabilizao por
acesso indevido informao;
Falta de conscientizao que a proteo da informao
fortalece a organizao.


58
8. CONSIDERAES FINAIS
Como visto nos captulos anteriores, para que a Segurana da
Informao possa ser efetiva necessrio que seja permanentemente revista e
baseada em processos (tcnicos e organizacionais). Vale lembrar que o
negcio da AGU a defesa jurdica da Unio e como qualquer outro rgo da
Administrao Pblica Federal tem entre os seus ativos, informaes
estratgicas que definem sua diretriz. Hoje as unidades da AGU esto
distribudas em 125 unidades de atuao diretas e mais 150 unidades
instaladas em autarquias federais. Todas estas unidades acessam via internet
bases de dado centralizada, que requer segurana para o negcio da AGU.
As principais informaes que a AGU trabalha existem tambm
disponveis em bases jurdicas dos diversos tribunais e so pblicas, mas como
so apresentadas de forma pulverizadas, no permitem uma anlise gerencial,
de como esta ocorrendo atuao da AGU, nos mais diversos assuntos.
A gerao de informaes estratgica produz grande impacto nas
atividades do rgo e so essenciais para o suporte as tomada de deciso
requerida pelo gabinete do AGU. Para iniciar o planejamento da segurana, a
AGU deve comear pelo do nvel mais alto da organizao, identificando os
processos crticos do negcio e os fluxos de informao e planejar uma
estrutura de segurana baseada na real necessidade da organizao. Sero
estabelecidos graus de importncia para os processos e avaliada a
sensibilidade das informaes. Hoje isso ainda no ocorre. As informaes no
esto classificadas, no existe uma poltica de segurana nem a gesto de
risco.
No processo atual que AGU se encontra, de elaborao do
planejamento estratgico, com foco na Tecnologia, uma Gerncia de
Segurana da Informao esta sendo implantada juntamente com uma
Gerncia de Informaes Estratgicas.


59
A Gerncia de Segurana est desenvolvendo atividades para
estabelecer uma Poltica de Segurana com base nas normas ABNT ISO/IEC
27002: 2005 e ABNT ISO/IEC 27001. So estas polticas que vo delinear o
papel da segurana da informao dentro da organizao, identificando os
ativos principais, definindo polticas de confidencialidade e acessibilidade e
como eles so protegidos. Ainda apresentam procedimentos e mtodos de
organizao da informao, com o intuito de cumprir as exigncias regulatrias.
Alguns autores dentre esses Silva, Campos, Brando, Barbosa e
Polloni concordam que a informao melhorou o desempenho das
organizaes. Acontece que, nem todos na organizao tm acesso a elas,
ocorrendo o que Polloni (2000) resume afirmando que quem tem o
conhecimento e sabe como utiliz-lo em seu benefcio, tem o poder.
Entende-se que a AGU deve promover aes com objetivo de
disseminar a importncia da segurana das informaes, inclusive procedendo
orientao normativa, voltadas a conscientizao e a mudana de cultura.
Para que AGU possa estabelecer com sucesso o gerenciamento da
segurana da informao, algumas aes devem ser tomadas como:
1- Normatizao do assunto com o estabelecimento da Poltica de
Segurana da Informao;
2- Promover aes que visem estabelecer e ou aperfeioar a gesto
de continuidade do negocio;
3- Classificao da informao;
4- Estabelecer procedimentos de gerenciamento de incidentes, a
analise de riscos de TI, a rea de segurana da informao.
5- Assegurar padronizao e nveis de confiabilidade e segurana
estimulando a padronizao de metodologias no desenvolvimento
de sistemas.


60
No contexto atual, de mudanas rpidas e constantes, faz com que as
organizaes tenham que se adaptarem as modificaes que ocorrem no
ambiente em que atuam. Existem organizaes que atuam de forma reativa,
respondendo as mudanas quando elas ocorrem.
Ento respondendo pergunta-problema que originou este estudo O
que ocorreria caso a Instituio no tivesse o controle e acompanhamento das
aes em que atua? podemos concluir que ocorreria:
Abalo na credibilidade da instituio (externo);
Prejuzos ao cofre pblico (a Unio perde a defesa);
Perda de controle das aes que acompanha (controle de
resultado, controle de prazos);
Falta de credibilidade dos usurios (interno);
Neste cenrio implantar a segurana da informao tem se tornado um
desafio a ser perseguido e construdo de maneira flexvel, com o engajamento
e compromisso.
Uma ferramenta importante para tomada de deciso so as
informaes estratgicas que permite a tomada de deciso orientando uma
ao de forma-pr ativa, contra as ameaas e a favor das oportunidades
identificadas nas constantes mudanas que ocorrem nos ambientes.
Assim, a proteo das informaes estratgicas da organizao deve
alinhar necessidade da organizao e aos planos de negcio.
O prximo desafio da AGU implantar o documento jurdico virtual
chamado internamente de processo virtual que a automao dos
cartrios/secretarias e a transmutao do processo fsico para o virtual. Sendo
uma questo de extrema importncia para o rgo, a gesto da segurana da
informao deve ser aplicada e estar em conformidade para garantir a validade
do documento jurdico eletrnico, assegurando que os processos virtuais no


61
sejam alterados e tenha plena validade jurdica. Este assunto pode ser tema de
trabalhos futuros se for interesse da administrao da AGU.



62
REFERNCIAS BIBLIOGRFICAS

ALBUQUERQUE, Fabio S. de. A nova viso da rea de segurana da
informao. Modulo Security Magazine. 2006. Disponvel em:<
http://www.modulo.com.br>. Acesso em: 20 set. 2008.

ASCIUTTI, Csar Augusto, Alinhando ABNT-NBR-ISO/IEC 17799 e 27001
para a Administrao Pblica USP, So Paulo (SP), 2006. Disponvel em:
http://www.security.usp.br/palestras/Normas-Encontro-USP-Seguranca-
Computacional-II-V-1-02.pdf. Acesso em: 15 set. 2008.

Associao Brasileira de Normas Tcnicas - ABNT. Norma NBR 27002.

Associao Brasileira de Normas Tcnicas - ABNT. Norma NBR-ISO/IEC
27001:2006.

Axur Information Security,, Especializada em Segurana da Informao,
Porto Alegre. Disponvel em: <http://www.axur.com.br/page1b.html>. Acesso
em: 05.01.2009 .

BEAL, Adriana. Gesto Estratgica da Informao: como transformar a
informao e a tecnologia da informao em fatores de crescimento e de alto
desempenho nas organizaes. So Paulo: Atlas, 2008 .

BECKER, Fernando, FARINA, Srgio, SCHEID, Urbano. Apresentao de
trabalhos escolares. Orientao para datilografia e digitao. Porto Alegre:
Multilivro, 2000.

BRASIL. Diretoria de Auditoria da tecnologia da Informao do Tribunal de
Contas da Unio. Boas Prticas em Segurana da Informao, Braslia,
2007.

BRASIL. Instruo Normativa N 1 de 13.06.2008 do Gabinete de Segurana
Institucional da Presidncia da Repblica, Braslia, 2008. Disponvel em:
<http://www.mct.gov.br/index.php/content/view/72703.html>.
Acesso em: 30 set. 2008.

BRASIL. Decreto n. 3.505, de 13 de junho de 2000. Institui a Poltica de
Segurana da Informao nos rgos e entidades da Administrao
Pblica Federal. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 24 out.
2008.

BRASIL. Decreto 4.553, de 27 de dezembro de 2000. Dispe sobre a salva-
guarda de dados. Rio de Janeiro: Axcel Books, 2000.



63
BRASIL. Tribunal de Contas da Unio. Acrdo 782/2004-TCU - Primeira
Cmara. Disponvel em:
<http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=
(acordao+adj+782/2004+adj+primeira+camara)[idtd][b001]>. Acesso em: 17
out. 2008.

BRASIL. Tribunal de Contas da Unio. Acrdo 1.092/2007-TCU-Plenrio
Disponvel em:
<http://www.tcu.gov.br/publicacoes/sefti/Segurana%20da%20Informao/abert
ura.htm#Abertura.htm>. Acesso em: 02 set. 2008.

BRASIL. Tribunal de Contas da Unio. Acrdo 1.603/2007-TCU-Plenrio
de 13.ago. 2008.

BRASILIANO, Antonio Celso Ribeiro Brasiliano , Mtodo brasiliano de
Anlise de Risco. Disponvel em: <http://www.brasiliano.com.br/blog/?p=377>.
Acesso em: 10 out. 08.

CAUBIT, Rosngela. Segurana como Norma. Disponvel em:
<blog.processusnet. com.br/2006/07/04/seguranca-como-norma>. Acesso
em: 16 jul. 2008, publicado 19 jun. 2006.

CHAUDHURI, S., DAYAL, U. "An Overview of Data Warehousing and OLAP
Technology". ACM SIGMOD Record (Mar), 1997 Vol. 26, No. 1, pp. 65-74.

CHEMIN, Beatriz Francisca. Guia Prtico da UNIVATES para trabalhos
acadmicos. Lajeado: UNIVATES, 2005.

Computer World (2007) artigo Adoo do ITIL condicionada IT Management
Gesto, 21-03-2007.

DAVENPORT, T. H., DELONG, D. W., & BEERS, M. C. (1998). Successful
Knowledge Management Projects. Sloan Management Review, 39(2): 43-
57.January 15, 1998

DIAS, Claudia. Segurana e auditria da tecnologia da informao. Rio de
Janeiro: Axcel Books, 2000.

ERNEST&YONG. Blog Alerta Digital. Disponvel em:
<http://blog.processusnet.com.br/category/normas-e-padroes/>. Acesso: 04
ago. 2008.

Expresso Digital, Artigo, Redes de rgos pblicos sofreram 1,1 mi de inci-
dentes de segurana no primeiro quadrimestre. Disponvel em <
http://www.expresso.com.br/index.php?goto=artigos_view&cod=6>. Acesso em:
31 out. 2008.



64
FARINA, Srgio. Referncias Bibliogrficas e Eletrnicas. So Leopoldo:
UNISINOS, 1997.

FERREIRA, Fernando Nicolau Freit. Segurana da Informao. Rio de
Janeiro; Editora Cincia Moderna, 2003.

FUNDAO VANZOLINI, Manual de Comunicao com o Cliente.
Disponivel em:
http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/iso17021/proc
ed/p.032.pdf. Acesso em: 02.nov.2008.

INFOSEC CONCIL, Formao de Cultura em Segurana da Informao.
Congresso.Ano:2005. Disponvel em:
<http://computerworld.uol.com.br/gestao/2006/08/11/idgnoticia.2006-08-
11.6447350724/>. Acesso em: 25 out. 2008.

JAMIL, George Leal. Repensando a TI na Empresa Moderna. Rio de janeiro:
Axcel Books, 2001.

LAVIN, Michael R. Business information: how to find it, how to use it.
Phoenix, Arizona : Oryx, 1992.

LAUDON&LAUDON . Artigo Segurana como Norma, blog Alerta Digital.
Disponvel em: <http://blog.processusnet.com.br/2006/07/04/seguranca-
como-norma/>. Acesso em: 20 set. 2008.

LOGIKE ASSOCIADOS, Artigo Estratgia para gesto dos ativos do
conhecimento. Disponvel em:
http://www.iautomotivo.com/papers/LOGIKE_PAPER_GMB_TEECE.pdf.
Acesso:25.set.2008.

KOVACICH, J., Ph.D. Interview with Nick Houtman. University of Maine
Department of Public Affairs, Orono, Maine. August 7, 1998.

MARCONI E LAKATOS, Eva Maria e Marina. Fundamentos da Metodologia
Cientfica Lakatos. Editora: Atlas. Ano: 2001.

MIRANDA, A Produo cientfica em cincia da informao [Editorial]. Cincia
da Informao, Braslia, v.27, n.1, p. 5-6, 1998.

Mdulo Security. Artigo Disponvel em
http://artigocientifico.uol.com.br/uploads/artc_1202929819_49.pdf. Acesso
em: 22 set. 2008.

MOODY, D. L., KORTINK, M. A. R., 2000, From Enterprise Models to
Dimensional Models: A Methodology for Data Warehouse and Data Mart
Design. In: Proceedings of the International Workshop on Design and


65
Management of Data Warehouses (DMDW), M. Jeusfeld, H. Shu, M. Staudt,
G. Vossen (eds.), Stockholm, Sweden (Jun).

OLIVEIRA, Jos Maria de, MARTINS, Vidigal Fernandes, SEGATE, Susiane
Oliveira. O Papel do COBIT na governana de TI. Disponvel em:
<http://www.niltonandrade.com.br/index.php?option=com_content&task=
view&id=51&Itemid=61>. Acesso em: 24 out. 2008. MBA - AUDITORIA E
PERCIA.

PAPA FILHO, Sudrio e VANALLE, Rosangela M. O uso da informao como
recurso estratgico de tomada de deciso ENAGE 2002

PELTIER. Apostila: Polticas, procedimentos e normas da Segurana da
Informao Netto, Gilbeto, Allemand, Marcos, Freire, Pedro, Mendona,
Maria do Carmo. 2004

Pilz, disponvel em:
<http://www.pilz.com/knowhow/standards/standards/index.pt.jsp>.
Acesso: 17 out. 2008.

POLLONI, Eurico G. F. Administrando Sistemas de Informao. So Paulo:
Futura, 2000.

RAMOS, Fbio Furtado; NBR-ISO/IEC 17799: Benefcios e aplicaes, maro /
2002.

RAMOS, F.F. Anlise de Risco: o que se diz o que realmente se faz?
Disponivel em: <http://www.malima.com.br/article_read.asp?id=339>. Acesso
em: 27 out. 2008.

ROCHA, Jos Antonio Meira da. Modelo de Trabalho de Concluso de Curso
(TCC). disponvel em:
<http://www.meiradarocha.jor.br/uploads/1021/196/modelo
_de_projeto_de_TCC-2006-06-12a.sxw>. Acesso: 12 jun. 2006.

SANTANNA, Carlos, Segurana da Informao: O inicio o comeo.
Disponvel em: <http://internativa.com.br/artigo_seguranca_02.html>. Acesso
em: 12 nov 2008.

SMOLA, Marcos, Gesto da segurana da Informao: viso executiva da
segurana da informao. Editora Elsevier Rio de Janeiro, 2003.

SIEWERT, Vanderson C. A constante Evoluo da Segurana da
Informao. TCC em Segurana da Informao em redes de computadores,
CTAI, Florianpolis, 2007.

SILVA, Antonio B. O., CAMPOS, Marcus Jose de Oliveira e BRANDO,
Wladmir Cardoso, Proposta para um esquema de classificao das fontes


66
de informao para o negcio. Revista de Cincia da Informao. v. 6, n. 5
out. 2005

TAPSCOTT, Don. Economia Digital, So Paulo: Makron, 1997.

TEECE, D Capturing value from knowledge assets. California management
Review 1998

THUMS, Jorge. Acesso realidade: tcnicas de pesquisa e construo do
conhecimento. Porto Alegre: Sulina/Ulbra, 2000.

3Elos Segurana em TI. Disponvel em:
<http://www.3elos.com.br/produtos/classificacaodainformacao.php>.
Acesso em: 29 set. 2008.