Segurança da Informação no Setor Público e Privado

Fonte Fonte F te on
3
Julho/Dezembro de 2007
editorial
Editorial
Nesta edio, a revista Fonte traz aos seus
leitores um tema que, de forma crescente, vem ocu-
pando a pauta de executivos e usurios das tecnolo-
gias da informao e comunicao (TICs) em todo o
mundo: a segurana da informao. A preocupao
tambm atinge os usurios domsticos, que, a cada
dia, se deparam com novos golpes que ameaam
suas informaes e privacidade e, em casos extre-
mos, sua integridade fsica.
O desenvolvimento das TICs trouxe, em sua
trajetria, benefcios inquestionveis para o desen-
volvimento de toda a sociedade, democratizando
servios e informaes, facilitando a vida dos cida-
dos, provendo os administradores de recursos para
executar de forma mais efcaz seus projetos e con-
cretizar estratgias.
No entanto, e infelizmente, essa evoluo,
com seu carter essencialmente democrtico, tam-
bm acessvel a pessoas ou organizaes que agem
de forma inescrupulosa e reproduzem, no mun-
do virtual, um ambiente de risco e contraveno.
Na maioria das vezes motivados por objetivos fnan-
ceiros e pelo desafo de burlar sistemas de segurana,
os chamados hackers inovam de forma permanente,
utilizando recursos tecnolgicos e eventualmente
prescindindo deles, amparados pela engenharia so-
cial para executar seus projetos criminosos.
Os refexos do risco que representam para a
sociedade so percebidos na crescente necessidade
de investimentos das organizaes em ferramentas
de segurana, na reengenharia de processos e na
capacitao de colaboradores; no impacto sobre os
negcios e transaes realizadas pela internet; em
prejuzos s empresas, especialmente dos setores
fnanceiro e de e-commerce; e, de forma geral, na
ameaa privacidade.
O debate que a revista Fonte promove, nesta
sua stima edio, procura tornar mais transparente
para os leitores os riscos e ameaas que caracteri-
zam a comunicao em rede, oferecendo insumos
para que organizaes pblicas e privadas e usurios
domsticos possam se prevenir, conhecendo formas
de identifcar vulnerabilidades e as solues que
o mercado desenvolve para fazer frente a essa
realidade.
Para isso, foram ouvidos especialistas nas
mais diversas reas ligadas segurana da infor-
mao, resultando na apresentao de um panora-
ma dos problemas e das solues que envolvem a
questo. Entre os colaboradores desta edio est
o consultor americano Kevin Mitnick, que se tor-
nou famoso como o maior hacker da histria da
internet. Com a experincia de quem esteve do
lado oposto da lei, mostra como agem os contra-
ventores na rede. A advogada Patrcia Peck, espe-
cialista em direito digital, d sua contribuio na
seo Dilogo, analisando as mudanas culturais
impostas pelas tecnologias e seus refexos na le-
gislao. O advogado Alexandre Atheniese aborda
a questo das relaes trabalhistas e privacidade,
e os analistas da Prodemge, Paulo Csar Lopes e
Mrio Velloso, fazem um alerta sobre cuidados que
os pais podem adotar com relao a seus flhos, na
internet. Professores, empresrios, pesquisadores
e especialistas apresentam estudos, tendncias
e experincias prticas, como os programas de
segurana da Cemig, em Minas Gerais, e da Re-
ceita Federal.
A Prodemge espera contribuir para a amplia-
o do debate sobre as questes relativas ao valor
da informao nas organizaes e entre os usu-
rios domsticos, sinalizando riscos e vulnerabili-
dades e indicando solues. Com a experincia de
40 anos gerenciando as informaes do Estado de
Minas Gerais, a Prodemge valoriza conceitos como
integridade, disponibilidade e sigilo. Essa mesma
experincia, numa trajetria paralela histria da
informtica, d Companhia o conhecimento dos
riscos e das tecnologias disponveis para preveno
e combate ao problema, que se pretende comparti-
lhar com os leitores da revista Fonte.
Diretoria da Prodemge
sumrio
Sumrio
Ano 04 - Julho/Dezembro de 2007 Tecnologia de Minas Gerais
Interao
Comentrios e sugestes dos leitores.
Dilogo
Entrevista com a advogada especialista em direito digital, Patrcia Peck, que analisa os desafos do Direito diante da evoluo das tecnologias
e fala das mudanas culturais, da privacidade e anonimato na sociedade digital e da prtica de monitoramento nas comunicaes em ambientes
corporativos.
Dossi
O crescimento do uso de redes e o aumento de riscos nas transaes feitas na internet. As pesquisas e investimentos em tecnologias e
comportamentos na busca de uma harmonia entre a segurana da informao e a continuidade dos negcios.
A segurana da informao freia ou acelera os negcios?
O professor da FGV e diretor de Operaes de Information Risk, da Atos Origin, em Londres, Marcos Smola, faz uma refexo sobre os
impactos dos programas de segurana da informao nos negcios das empresas.
Iniciativas e importncia da segurana da informao e privacidade na sade
O uso de documentos eletrnicos na rea da sade e as implicaes das tecnologias da informao e comunicao no setor, em artigo do
pesquisador do Laboratrio de Sistemas Integrveis da EPUSP, Lus Gustavo Kiatake.
Benchmarking
A implantao e o gerenciamento de programas de segurana da informao nas organizaes. Mudana e consolidao de cultura e tecnologias
no combate aos incidentes de segurana na Companhia Energtica de Minas Gerais e na Receita Federal.
Informao sobre sade na web
A professora Isa Maria Freire, lder do Grupo de Pesquisa Informao e Incluso Social do IBICT, faz um alerta aos usurios da internet quanto
veracidade das informaes publicadas na rede. Como identifcar fontes confveis?
A chave da segurana est no treinamento
Um panorama da segurana da informao nas organizaes e a importncia da preparao dos colaboradores para fazer frente aos riscos, em
artigo do professor Erasmo Borja Sobrinho, diretor da Assespro-MG.
Wireless LAN para ambiente corporativo: muito alm de extinguir o cabo azul
O especialista em networking e segurana digital, Vitrio Urashima, discute a questo da segurana em redes sem fo.
Universidade Corporativa Prodemge
A segurana da informao, em artigos acadmicos inditos, com abordagem dos aspectos tecnolgicos, legais e sociais do tratamento da
informao. As experincias na rea pblica, as relaes trabalhistas, os riscos para indivduos e organizaes.
Algumas recomendaes para um modelo de governana da segurana da informao
Mauro Csar Bernardes, diretor de diviso tecnolgica no Centro de Computao Eletrnica da USP e professor no Centro
Universitrio Radial.
Aes de segurana da informao no governo mineiro 2005/2007
Marconi Martins de Laia, diretor da Superintendncia Central de Governana Eletrnica do Governo de Minas Gerais, e Rodrigo Diniz
Lara, titular da Diretoria Central de Gesto da Informao da Secretaria de Planejamento e Gesto do Estado de Minas Gerais.
O monitoramento eletrnico e as relaes trabalhistas
Alexandre Atheniense, advogado com especializao em Internet Law e Propriedade Intelectual. Presidente da Comisso de
Tecnologia da Informao do Conselho Federal da OAB.
Aplicao de ontologias em segurana da informao
Maurcio B. Almeida, professor da UFMG, pesquisador nas reas de Gesto da Informao e do Conhecimento.
Protegendo os inocentes
Mrio Augusto Lafet Velloso, analista de Sistemas na Prodemge, consultor em segurana da informao, e Paulo Csar Lopes,
analista de Suporte Tcnico na Prodemge, especialista em sistemas operacionais e redes.
Governana de TICs e Segurana da Informao
Joo Luiz Pereira Marciano, doutor em Cincia da Informao, consultor de programas da TecSoft e Softex, do Departamento de
Polcia Federal e da Organizao das Naes Unidas.
Esteganografa: a arte das mensagens ocultas
Clio Albuquerque, professor do DCC / UFMG; Eduardo Pagani Julio, professor da Universidade Salgado de Oliveira e da Faculdade
Metodista Granbery; Wagner Gaspar Brazil, atua na rea de segurana da informao da Petrobras.
Fim de Papo Lus Carlos Eiras
Voc sabe com o qu est falando?
5
52
7
13
34
36
38
44
46
48
110
62
70
75
84
93
101
50
Fonte Fonte F te on
5
Inter@o
Governador do Estado de Minas Gerais
Acio Neves da Cunha
Vice-Governador do Estado de Minas Gerais
Antonio Augusto Junho Anastasia
Secretria de Estado de Planejamento e Gesto
Renata Maria Paes de Vilhena
Diretora-Presidente
Isabel Pereira de Souza
Vice-Presidente
Cssio Drummond de Paula Lemos
Diretora de Gesto Empresarial
Maria Celeste Cardoso Pires
Diretor de Negcios
Srgio Augusto Gazzola
Diretor de Produo
Raul Monteiro de Barros Fulgncio
Diretor de Desenvolvimento de Sistemas
Nathan Lerman
Superintendente de Marketing
Heloisa de Souza
Assessor de Comunicao
Dnis Kleber Gomide Leite
CONSELHO EDITORIAL
Antonio Augusto Junho Anastasia
Paulo Klber Duarte Pereira
Isabel Pereira de Souza
Maurcio Azeredo Dias Costa
Amlcar Vianna Martins Filho
Marcio Luiz Bunte de Carvalho
Marcos Brafman
Gustavo da Gama Torres
EDIO EXECUTIVA
Superintendncia de Marketing
Heloisa de Souza
Edio, Reportagem e Redao
Isabela Moreira de Abreu MG 02378 JP
Artigos Universidade Corporativa
Renata Moutinho Vilella
Coordenao da Produo Grfca
Gustavo Rodrigues Pereira
Consultoria Tcnica
Paulo Csar Lopes
Srgio de Melo Daher
Reviso
Marlene A. Ribeiro Gomide
Rosely Battista
Diagramao
Carlos Weyne
Capa
Guydo Rossi
Impresso
Grupo Open/Lastro Editora
Tiragem
Quatro mil exemplares
Periodicidade
Semestral
Patrocnio/Apoio Institucional
Gustavo Rodrigues Pereira
(31) 3339-1133 / revistafonte@prodemge.gov.br
Filiada Aberje
Uma publicao da:
Ano 4 - n 07 - Julho/Dezembro de 2007
Esta edio contou com o apoio:
Agradecimento especial:
Naira Fontes Faria Marcela Garcia
Bruno Moreira Carvalho Belo Sucesu-MG
A revista Fonte visa abertura de espao para
a divulgao tcnica, a refexo e a promo-
o do debate plural no mbito da tecnologia da
informao e comunicao, sendo que o
contedo dos artigos publicados nesta edio
de responsabilidade exclusiva de seus autores.
Prodemge - Rua da Bahia, 2.277 - Bairro Lourdes
CEP 30160-012 - Belo Horizonte - MG - Brasil
www.prodemge.gov.br
prodemge@prodemge.gov.br
OPINIES DOS LEITORES
A revista Fonte agradece as mensagens enviadas redao, entre as quais
algumas foram selecionadas para publicao neste espao destinado a acolher
as opinies e sugestes dos leitores. Continuem participando: o retorno fun-
damental para que a revista evolua a cada edio.
e-mail: revistafonte@prodemge.gov.br
Revista Fonte - Companhia de Tecnologia da Informao do Estado de Minas Gerais
Rua da Bahia, 2.277, Lourdes,
Belo Horizonte, MG - CEP: 30160-012
Recebemos os exemplares da nova edio da revista Fonte. Tenho
a impresso de que a presena da RNP nessa edio vai ser marcante na
histria de nossa comunicao. Foi a informao certa, no momento cer-
to, no veculo certo. Houve uma feliz sincronia entre o que estamos reali-
zando implementao da rede nacional de alto desempenho e extenso
dessa infra-estrutura at a ltima milha para conexo de instituies de
ensino superior e pesquisa em todo o Pas e a excelente viso geral que
essa edio da Fonte construiu acerca do cenrio de redes de comunica-
o, no Brasil e no mundo. Parabns pelo trabalho.
Marcus Vinicius Rodrigues Mannarino
RNP Gerente de Comunicao e Marketing
AGRADECIMENTOS
Primeiramente, gostaria de agradecer equipe da revista Fonte, por
eu ter recebido, no ano que passou, todos os exemplares. Sou consultor de
TI Software, nesta capital, e me surpreendo a cada exemplar publicado
por este veculo de comunicao, no qual a Prodemge retrata os temas
abordados com muita clareza. Parabns mais uma vez aos colaboradores
desta publicao to elementar em nosso dia-a-dia, contribuindo para o
acesso s informaes que merecem destaque em TI. Aproveitando, gos-
taria de reiterar o meu interesse em assinar a revista Fonte neste ano que
se inicia, com o frme objetivo de estudos e atualizao diria em meu
ambiente de trabalho.
Cristiano A. Firmino
Belo Horizonte/MG
Fonte Fonte F te on
6
Dilogo
Nosso departamento, na pre-
feitura de Par de Minas, o res-
ponsvel direto e est completa-
mente envolvido com as redes de
comunicao locais e wireless.
Conversando com um dos nossos
fornecedores sobre as opes que
temos disposio para integra-
o dos pontos remotos mais dis-
tantes, normalmente localizados
em reas rurais e sem visada com
as antenas, recebemos dele uma
revista trazendo uma matria so-
bre o Wimax. Essa revista foi a
Fonte, ano 4, nmero 6, da qual
extramos muita informao e
que nos agradou bastante pelo con-
tedo claro e abrangente. Gostar-
amos de ser includos na sua lista
de assinantes.
Francisco V. Severino Sobrinho
Departamento de Processamento
de Dados
Prefeitura Municipal de Par de
Minas/MG
Sou formando do curso de
Cincia da Computao da Uni-
versidade Federal de Viosa.
Estou fundando uma empresa
para consultoria em automao
comercial e gesto de informa-
es. Gostaria muito de assinar a
revista pois os contedos sempre
atualizados e bem formulados
seriam de grande ajuda para apli-
cao na minha empresa, alm de
poder disponibiliz-la para meus
clientes e parceiros.
Fabrcio Passos
Viosa/MG

Sou jornalista e trabalho na
Secretaria Municipal de Meio
Ambiente da Prefeitura de Mon-
tes Claros. Fazemos parte da
Rede Brasileira de Fundos So-
cioambientais Pblicos do Bra-
sil, criada em junho de 2006.
Gostaria de receber exemplares
da revista Fonte. Esse material
poder contribuir para o fortale-
cimento do Fundo nico de Meio
Ambiente, que faz parte da Rede
citada acima. www.montesclaros.
mg.gov.br/semma.
Andra Fres
Projetos e Captao de Recursos
/ Fundo nico de Meio
Ambiente (FAMA)
Secretaria Municipal
de Meio Ambiente
Montes Claros/MG
Estou lendo a revista Fonte
pela primeira vez e adorando o
contedo dela, bem atual e falan-
do de tecnologias que ainda no
so bem conhecidas no mercado
de informtica. Por isso, gostaria
de receber as prximas edies da
revista.
Renato Carvalho
Salvador/BA
Consegui, por um amigo, al-
gumas edies da revisa Fon-
te e achei bastante interessante.
Meu nome Joo Pedro e sou
acadmico do curso Sistemas de
Informao na Universidade dos
Vales do Jequitinhonha e Mucuri
Diamantina (UFVJM) e tenho
certeza de que a revista Fonte vai
auxiliar muito na minha formao
profssional. Gostaria de saber o
que fao para adquirir a revista.
Joo Pedro Campos Ferreira
Diamantina/MG
Bom dia, meu nome Fa-
biano, sou estudante na rea de
informtica e trabalho em uma
empresa que presta servios de
implantao de tecnologias e ser-
vios na rea de informtica. Tive
conhecimento da revista Fonte
atravs de um amigo e achei-a
muito interessante, pois fornece
informaes inovadoras e novas
fontes de pesquisas. Em mos,
tenho apenas a edio nmero 6.
Gostaria de ter as anteriores e a
seqncia dela em diante.
Fabiano G. S. P.
Santos/SP
Tive acesso ao exemplar n-
mero 4, gostei do nvel dos arti-
gos, e gostaria de ser assinante
da revista, para poder ter acesso
a ela e a seus artigos que muito
me interessam. Gostaria de saber
o custo da assinatura. Sou aluno
do 4 perodo de Sistema de In-
formao.
Leonardo Leite Torres
Porto Velho/RO
A nossa instituio tem inte-
resse em receber a revista Fonte
tecnologia da informao na
gesto pblica, que foi solicitada
para esta biblioteca pelo coordena-
dor-adjunto do curso de Sistemas
de Informao, professor lisson
Rabelo Arantes, por entend-la de
grande relevncia para os acad-
micos do referido curso.
Maria Irene de Oliveira Faria
Sociedade Mineira de Cultura
Arcos/MG
O interessado em assinar
a revista Fonte deve enviar seu
nome e endereo completo
para o e-mail
revistafonte@prodemge.gov.br,
informando, quando for o caso,
a empresa ou instituio
a que vinculado.
As revistas seguiro
via Correios,
de acordo com a
disponibilidade de exemplares.
SOLICITAES DE ASSINATURA
Dilogo
Dilogo
Fonte Fonte F te on
7
Sociedade digital:
cenrio virtual impe mudanas culturais
Patricia Peck Pinheiro, advogada especialista em Direito
Digital, scia do escritrio PPP Advogados, formada pela Uni-
versidade de So Paulo, com especializao em Negcios pela
Harvard Business School e MBA em Marketing pela Madia Marketing
School. escritora, tendo publicado o livro Direito Digital pela
Editora Saraiva, alm de participao nos livros e-Dicas e Internet
Legal. professora da ps-graduao da FAAP, Impacta, Fatec,
IBTA e colunista do IDG Now e articulista da Gazeta Mercantil, Va-
lor Econmico, Revista Executivos Financeiros, Info Exame, Info
Corporate, About, Revista do Anunciante, entre outros. Iniciou sua
carreira como programadora de games aos 13 anos. J atuou em
diversas empresas e possui experincia internacional com Direito
e Tecnologia nos Estados Unidos, Portugal e Coria. Atualmente
assessora 127 clientes no Brasil e no exterior, j tendo treinado mais de 10.500 profssionais de di-
versas empresas nos temas de Gesto de Risco Eletrnico e Segurana da Informao.
D
i
v
u
l
g
a
o
e ordenamento jurdico globalizado
A
existncia de um mundo virtual, criado imagem e semelhana do mundo real, tem
exigido adequaes dos diversos setores da sociedade, a fm de manter, nessa nova di-
menso, parmetros comportamentais que garantam uma convivncia social no mnimo tica.
Nesta edio de Fonte, o Dilogo com a advogada especialista em direito digital, Patrcia
Peck Pinheiro, que apresenta um panorama do Direito e das relaes sociais nesse contexto.
Nesta entrevista, ela fala da evoluo do Direito, em funo das transformaes sociais,
e da forma como as lacunas abertas por novos comportamentos so preenchidas por leis e
Fonte Fonte F te on
8
FONTE: O Direito tem acompanhado as rpidas
transformaes sociais provocadas pela evoluo da
tecnologia e suas conseqncias positivas e negativas
na vida das pessoas? Com que velocidade a legislao
tem se adequado s novas exigncias?
O Direito muda conforme a sociedade evolui, ento
natural, sim, que o Direito acompanhe as novas ques-
tes trazidas pela tecnologia, mas o tempo desta adap-
tao no rpido. Em termos de leis, as normas atuais
j alcanam e tratam bem vrias questes relacionadas
com a internet e com as ferramentas tecnolgicas, mas
h leis que precisam ser criadas, para preencher lacunas
naturais, j que h novos comportamentos e riscos. Mas
esse processo legislativo leva alguns anos, j h projetos
de lei, mas o trmite deles de, aproximadamente, uns
10 anos.
FONTE: Sob esse ponto de vista, quais so as
experincias recentes mais relevantes no Pas? H expe-
rincias adotadas em outros pases que podem ser consi-
deradas bem-sucedidas?
As experincias recentes esto alinhadas com o
princpio de auto-regulamentao muito forte no Direito
Digital, onde as regras so estabelecidas pelos prprios
agentes sociais, tais como provedores de internet, pro-
vedores de e-mail, internautas. Isso tem ocorrido por
meio de Termos de Uso, Polticas Eletrnicas, insero
de clusulas especfcas em contratos. Este tempo mais
rpido e atende demanda a curto prazo de adequao
do Direito s novas exigncias da sociedade, enquanto,
em paralelo, so elaboradas novas leis. J foi atualizado
o Cdigo Penal em 2002 e 2005 e j foram acrescidos
novos tipos penais, especialmente no tocante a crimes
eletrnicos no ambiente da Administrao Pblica. Tem
sido assim em outros pases, a atualizao do prprio C-
digo Penal.
FONTE: Voc acredita que todo o arcabouo legal
existente no Brasil pode acobertar e tipifcar todos os cri-
mes virtuais? Se no, quais seriam as leis que faltam?
O arcabouo legal atual est bem adequado. O
problema tem sido mais de prova de autoria do que de
tipifcao de condutas. Ou seja, a questo passa pelo
anonimato e a falta de guarda de provas em terceiros,
como provedores, para permitir a identifcao adequada
do infrator e a sua punio. Falta uma lei que defna um
prazo mnimo de guarda e o que tem de ser guardado
sobre o acesso internet e aos servios eletrnicos, para
que seja possvel a investigao. Na Europa, j h medi-
das nesse sentido, determinando guarda por at dois anos
de logs e dados de IP. No Brasil, uma iniciativa positiva
j em vigor a lei paulista sobre lan house e cybercafs,
que exige identifcao do usurio e guarda de dados. H
lei sobre cybercafs e lan house em vrios Estados (So
Paulo, Bahia, Minas Gerais); a lei de Minas no trata da
obrigatoriedade de se fazer cadastro do usurio como for-
ma de preservar os dados de autoria para uma eventual
investigao. A lei de So Paulo j trata disso, e exige a
guarda dos dados inclusive por cinco anos.
FONTE: A internet apresenta-se, muitas vezes,
como um meio sem regras e sem dono, onde os usu-
rios sentem-se livres para fazer o que quiser. Quais os
regulamentaes. A advogada revela o grande desafo do Direito diante da evoluo das tec-
nologias, enfatizando a educao e as mudanas culturais como as grandes perspectivas para a
harmonia nos ambientes virtuais.
Patrcia Peck aborda ainda aspectos do exerccio da cidadania na rede, da privacidade e
anonimato na sociedade digital, da prtica de monitoramento nas comunicaes em ambientes
corporativos e comenta as propostas de instalao de controles de acesso internet. Entre
outros vrios temas, a especialista traa ainda um paralelo entre as necessidades de exigncias
legais nos dois mundos, fala dos crimes na internet e d dicas para que os usurios possam se
prevenir e se defender em casos de incidentes.
Fonte Fonte F te on
9
principais desafos que o Direito enfrenta ao lidar com
esse mundo virtual?
O principal desafo do Direito comea na educao
das pessoas. Independente das leis, h princpios de tica
e valores que precisam ser ensinados s novas geraes da
era digital. Alm disso, preciso orientar sobre as prprias
leis que existem e so vlidas e que esto sendo descum-
pridas. A constituio federal protege o direito imagem,
mas, mesmo assim, muitas pessoas fazem uso da imagem
de outras sem autorizao. Assim como protege a honra, e
h cada vez mais ofensas digitais. J proibida a pirataria,
assim como o plgio, mas muitas pessoas no acham que
esto fazendo algo errado quando do CTRL+C, CTRL+V
e copiam o contedo alheio. A educao no uso tico, legal
e seguro da tecnologia o maior desafo do Direito, mais
que criar outras leis.
FONTE: No mundo
real, onde h leis consoli-
dadas, estamos assistindo a
prevalncia da impunidade
em inmeros casos. O que os
cidados podem esperar da
resposta jurdica em ambien-
tes digitais?
fundamental denunciar, por ser um exerccio de
cidadania. Por mais que em alguns casos no haja for-
ma de punir o infrator, uma hora isso ocorre, e o con-
junto de denncias que permite reunir provas. Isso serve
tanto para um problema em uma loja virtual ou em uma
comunidade do Orkut, como uma situao de fraude de
carto de crdito ou no internet banking. O cidado deve
cumprir com a parte dele, que reunir informaes e de-
nunciar. assim que conseguimos fazer a justia andar e
criar estatsticas que permitem alocao de investimentos
e treinamentos.
FONTE: Em recente artigo publicado na Folha de
So Paulo, Uma questo de privacidade, Jos Murilo
Junior, do Global Voices Online, afrma: Deve caber ao
usurio defnir os diferentes nveis de acesso s suas in-
formaes, e cabe aos servios evoluir para prover essa
funcionalidade de forma transparente. Na sua opinio,
qual seria o papel do Estado para prover e exigir da so-
ciedade que tais funcionalidades sejam disponibilizadas
para os cidados?
A questo da privacidade na sociedade digital en-
volve, sim, a participao conjunta de usurios e empre-
sas para uso de bancos de dados. Em termos de leis, j
temos a proteo da Constituio Federal e do Cdigo de
Defesa do Consumidor, onde fca claro que cabe s partes
regular a questo em contrato. O que no pode haver o
usurio querer usufruir de servios gratuitos, em que a
empresa deixa claro no termo de uso que os dados desse
usurio so objeto da contratao gratuita e, depois, este
no querer que seus dados sejam usados. Na era da infor-
mao, os dados tornaram-se a moeda e muitos servios
que se dizem gratuitos, na verdade cobram pelos dados
do usurio, esta a troca. importante estar transparen-
te esta questo e haver fun-
cionalidades que permitam
atender lei j existente para
retifcao de uma informa-
o, para saber que informa-
o a empresa possui do usu-
rio, para pedir a retirada de
um contedo que fra direito
de imagem, direito autoral ou
reputao, entre outros. Po-
demos, sim, programar o Direito nas interfaces grfcas e
usar a tecnologia para fazer valer o cumprimento das leis,
j que as testemunhas so as mquinas.
FONTE: Quais os limites legais do governo ele-
trnico?
No tocante ao Estado, cabe a este fazer o que esti-
ver delimitado em lei. Sendo assim, o governo eletrnico
tratado em uma srie de normativas que determinam
sua capacidade de agir, diretrizes, entre outros. uma
tendncia internacional que o Estado atenda e sirva o seu
povo, os cidados, por meio de servios de e-gov.
FONTE: Quais as peculiaridades de tratamento
das informaes e sua guarda por parte de empresas p-
blicas?
As instituies da Administrao Pblica devem
guardar os dados dos cidados com zelo, para garantir
A educao no uso tico,
legal e seguro da tecnologia o
maior desafo do Direito,
mais que criar outras leis.
Fonte Fonte F te on
10
o sigilo. E o Estado possui responsabilidade objetiva, ou
seja, vai responder por danos causados, mesmo indepen-
dente de culpa.
FONTE: No caso de redes wireless estruturadas e
disponibilizadas pela administrao pblica, como fazer
o gerenciamento e controle de acessos?
fundamental que haja sempre uma autenticao de
usurio, com dados completos, em virtude da questo atual
da autoria em ambientes eletrnicos, onde essas informa-
es so necessrias, se for preciso investigar um inciden-
te. Sendo assim, mesmo em ambientes de incluso digital,
cabe a elaborao do termo de uso do servio, mesmo que
gratuito, determinando claramente os direitos e as obri-
gaes dos usurios e a solicitao de dados detalhados
de identidade. A no-coleta
desses dados, a no-guarda, a
no-autenticao contribuem
para o anonimato e mesmo
para prticas ilcitas.
FONTE: Uma polmi-
ca recente a da realizao
de audincias remotas (video-
conferncia), para minimizar
custos e dar maior dinamismo ao poder judicirio. Alguns
juristas afrmam que a presena do detento na audincia
indispensvel. Qual a sua opinio sobre o assunto?
Minha opinio a de que deve haver sim videocon-
ferncia, com a presena do advogado no mesmo recinto
do preso. Isto no apenas gera economia, como reduz ris-
cos de fuga. Ou seja, o ganho social coletivo justifca sim
a aplicao desse recurso, e no h uma perda individual
para o preso que justifque sua no-aplicao.
FONTE: Quando se pensa em internet, pensa-se
em relaes internacionais, especialmente nos aspectos
legais e jurdicos, j que cada pas possui sua constitui-
o e suas leis. Na internet realizam-se transaes de
compra e venda, trabalha-se num determinado pas, para
uma empresa que s tem sede em outro. Como tratar o
Direito do Consumidor e o Direito Tributrio? Como f-
cam os aspectos e questes que envolvem o Direito do
Trabalho? E os Direitos Individuais?
Realmente a sociedade digital cada vez mais pede
por um ordenamento jurdico mais globalizado. No en-
tanto, apesar de no haver barreiras fsicas na web, o Di-
reito limitado ao seu pas de origem e h regras de ter-
ritorialidade para isso. Pode valer o local de domiclio do
consumidor, da vtima de um crime, onde o crime ocor-
reu no todo ou em parte, ou onde melhor a execuo da
ao para garantir efccia de resultados. difcil alinhar
algumas questes at por diferenas culturais, do que
considerado certo ou errado em cada pas, seu conjunto
de valores. Mas h algumas questes que so comuns, re-
cebem tratamento igual e podem estar alinhadas, como j
tem sido feito h anos, por meio de tratados e convenes
internacionais. A mais recente em discusso a Conven-
o de Budapeste sobre crimes eletrnicos.
FONTE: Como a pes-
soa pode se proteger dos
perigos do mundo virtual?
Ao sentir-se prejudicada por
alguma situao ocorrida na
internet ou por meio dela, o
que fazer?
A melhor dica de pro-
teo no acreditar em tudo
que v na internet ou em e-mail. Na verdade, vale o mesmo
princpio de proteo que usamos para o mundo real, ou
seja, no deixar a porta de casa aberta, nem o computador
aberto, no falar com estranhos, nem responder e-mails de
estranhos, no passar informaes pessoais ou de carto
de crdito ou banco por telefone sem ter certeza de quem
est do outro lado da linha, e o mesmo na internet, do outro
lado do site, do blog, do chat, da comunidade. Se a pessoa
tiver um problema, deve entrar em contato com o provedor
do servio e, se necessrio, com as autoridades por meio
da Delegacia (se houve crime), do Juizado Especial Cvel
ou do Procon, em caso de problema de consumidor.
FONTE: Qual a responsabilidade legal das em-
presas no trfego de informaes consideradas crimino-
sas em suas redes corporativas, feitas por funcionrios?
A empresa responde legalmente pelo mau uso
das suas ferramentas tecnolgicas de trabalho que gere
leso a terceiros. Pelo crime em si, s responde quem o
uma tendncia internacional
que o Estado atenda e sirva
o povo, os cidados,
por meio de servios de e-gov.
Fonte Fonte F te on
11
cometeu (no caso, o funcionrio), mas a responsabilidade
civil pelo dano causado (moral ou material) pode caber
empresa, que depois tem o direito de regresso contra o
funcionrio, que foi o verdadeiro causador do dano.
FONTE: real a possibilidade de uma empresa
monitorar os e-mails de seus funcionrios. A questo da
privacidade x segurana x direitos individuais tema
constante de discusso. Na sua opinio, como adminis-
trar interesses no contexto das organizaes?
Novamente, precisamos de educao, na verdade.
Cabe empresa deixar claro o limite de uso das ferramen-
tas tecnolgicas de trabalho e dever da empresa moni-
torar para fazer valer suas normas internas, para fns de
preveno (evitar incidentes) ou para fns de reao (punir
infratores). Sendo assim, se a
empresa fzer o aviso legal de
monitoramento claramente e
previamente, pode monitorar
os ambientes corporativos, o
que inclui navegao na inter-
net e uso de caixa postal de e-
mail corporativa. Assim, j
comum a empresa inspecionar
equipamentos mveis, como
notebook, celular, pen drive, para evitar a pirataria, bem
como vazamento de informao confdencial ou at mes-
mo contaminao por vrus. Mas tudo isso tem que estar
claro em Polticas e Normas, documentado e, se possvel,
atualizado no Cdigo de Conduta do Profssional ou em
seu contrato de trabalho. Quanto melhor estiver a informa-
o, menos riscos a empresa e o funcionrio correm.
FONTE: Vrias empresas esto monitorando,
alm do e-mail, os acessos internet, as ligaes telef-
nicas e as atividades nas estaes de trabalho. Algumas
chegam a instalar monitoramento por circuito fechado
de TV (CFTV) dentro das salas onde trabalham seus
funcionrios. No estaramos prximos do descrito em
1984? Quais so os monitoramentos considerados le-
gais? E quais so as exigncias legais, para que se pos-
sam utilizar tais monitoramentos?
Estamos vivendo uma sndrome do pnico, asso-
ciada ao poder da tecnologia, que d a sensao de que
possvel controlar tudo. No entanto, j vimos em mui-
tos trabalhos que importante a empresa equilibrar as
protees e os riscos inerentes ao negcio, para permitir
tambm que os profssionais trabalhem e que o exces-
so de proteo no gere queda de produtividade ou at
inviabilize negcios. No h uma receita de prateleira,
depende muito de cada realidade empresarial, cultura in-
terna e riscos envolvidos. Se o risco for relevante, deve
sim ser implementada a proteo, o monitoramento. Mas
preciso avaliar cada caso.
FONTE: Voc utiliza o termo esquizofrenia di-
gital. Fale um pouco sobre o comportamento dos cida-
dos que sofre transformaes, nem sempre positivas, em
seus respectivos avatares, no mundo virtual.
interessante obser-
varmos que h pessoas que
usam o mundo virtual para
ser outra pessoa, totalmente
diferente da que no dia-a-
dia e, inclusive, para praticar
ilcitos ou at ter uma m-
conduta, que jamais seria
imaginada que a pessoa teria.
Isso tem a ver com a facilida-
de que a tecnologia trouxe, em realizar aes e, de certo
modo, anonimamente. Logo, muitos acham que ningum
vai descobrir e isso vira estmulo. Mas, na grande maio-
ria dos casos, a pessoa descoberta, pois as testemunhas
so as mquinas e elas contam. Sendo assim...
FONTE: A questo da responsabilidade individual
sobre atitudes, ainda pouco praticada na internet, traz
refexos em mudanas nos valores e cultura de um grupo
social?
Sim. Temos visto muito isso em palestras que mi-
nistramos para o pblico mais jovem, quando se explica
a responsabilidade individual de um ato e seu impacto
coletivo, s vezes, inclusive, na vida de familiares (pais).
Esta orientao ajuda na construo clara dos valores da
sociedade digital, os quais continuam, de certo modo,
balizados nos princpios: no faa aos outros o que no
gostaria que fzessem a voc e diga-me com quem na-
vegas que te direi quem s.
Estamos vivendo uma sndrome
do pnico, associada ao poder da
tecnologia, que d a sensao de
que possvel controlar tudo.
Fonte Fonte F te on
12
FONTE: Vrias foram as tentativas de se criar
uma lei para controlar o acesso web, inclusive a pro-
posta que exigiria o CPF e a identifcao de cada usu-
rio, que sofreu questionamentos tcnicos com relao
viabilizao desses controles. Qual a sua opinio sobre
esta implementao e o conseqente combate ao acesso
annimo aos recursos da internet?

Sou a favor de um processo de verifcao de identi-
dade ou de concesso de uma identidade digital obrigat-
ria, em que em algum momento no acesso internet fosse
possvel registrar quem estaria navegando, quem seria o
usurio. No entanto, isso no signifca no permitir que a
pessoa tenha um avatar ou um apelido, mas sim, em uma
investigao, ter registros que permitam saber quem prati-
cou a conduta indevida. assim no mundo real para viajar
em avio, em nibus, dirigir
um carro. H atos da vida em
sociedade que exigem o regis-
tro de uma identidade ou de
um responsvel legal (quando
menor), e a tendncia isso
acontecer na internet. Todos
tm interesse em uma internet
mais segura, mas a questo
quem paga esta conta, pois
tecnologia j existe para isso.
FONTE: Com os recursos j disponveis da crip-
tografa e da assinatura digital/virtual, h o risco de a
internet abrigar dois grupos distintos, os no-annimos,
formais e legais, e os underground, que defendem e man-
tero o anonimato? Quais as tendncias de formalizao
de uma identidade digital?
Acredito que a internet pode ter seu lado annimo,
mas isso no condizente com uma web transacional,
principalmente, onde, em termos de questes legais, es-
sencial ter a prova de autoria. No entanto, mesmo quando
falamos de uma web 2.0, por causa da falta de educao
dos usurios comum a prtica de crimes, principalmen-
te contra a honra e, portanto, o Direito precisa garantir
a possibilidade de investigao e punio, sob pena de
voltarmos para o estado da natureza, com a lei do mais
forte, e no o estado democrtico do Direito, que permite
a liberdade de expresso, mas com responsabilidade. A
pessoa pode dizer o que quiser, mas responde pelo que
disse, pelo dano que causar. Est, assim, j na Constitui-
o de 1988, no artigo 5
o
Inciso IV.
FONTE: A discusso da identifcao passa, natu-
ralmente, pelos custos de operacionalizar novos procedi-
mentos nesse sentido. A questo fnanceira sobrepe-se a
questes ideolgicas relativas manuteno do anoni-
mato na internet?
Sim.
FONTE: Recentemente em So Paulo, um cartrio
no reconheceu a Nota Fiscal Eletrnica, o que leva
antiga discusso dos aspectos legais dos documentos e
provas vinculadas ao papel. Chegar o dia em que o
papel ser substitudo pelas
mdias eletrnicas, garan-
tindo-se todos os aspectos
legais e jurdicos?
Acredito que sim, mas
no sei se iremos eliminar o
papel totalmente, assim como
at hoje temos contratos ver-
bais, ou seja, o papel tambm
no eliminou as relaes entre as pessoas de modo menos
formal. Assim como todo fax uma cpia, e no deixa-
mos de nos relacionar com este. Ocorre que, quando bem
trabalhado, o meio eletrnico gera maior prova. Se no es-
tiver bem arrumado, ao contrrio, gera maior potencial de
adulterao de contedo ou identidades. Mas a melhoria
do processo em termos de segurana jurdica e da informa-
o aumenta os custos, naturalmente. Logo, o que teremos
escolha, onde a pessoa pode decidir que grau de certeza
jurdica quer ter sobre determinado fato e/ou obrigao e,
assim, aplicar os meios necessrios para garantir isso.
FONTE: Na sua opinio, como a certifcao di-
gital se posiciona, atualmente, e quais as perspectivas
para os prximos anos?
A certifcao digital uma via de soluo adequada,
mas precisa de criao de cultura. Acredito que talvez a bio-
mtrica ande mais rpido, pela maior facilidade de entrar na
rotina das pessoas e empresas, como j vem entrando.
A empresa responde legalmente
pelo mau uso de suas ferramentas
tecnolgicas de trabalho, que
venha a gerar leso a terceiros.
Fonte Fonte F te on
13
TRATADA AT POUCO TEMPO ATRS COMO
um problema afeto exclusivamente aos
departamentos de tecnologia das organi-
zaes, a segurana da informao vem
ganhando, neste incio de sculo, um sta-
tus que, em muitos casos, se equipara ao
tradicionalmente atribudo s suas reas
mais estratgicas. O uso crescente das
redes, principalmente da internet, agre-
gou-se gesto das empresas e trouxe
aos usurios, de forma geral, uma nova
preocupao que se relaciona com a pri-
vacidade, segurana e continuidade dos
negcios.
Ao analisar a Sociedade em Rede,
Manuel Castells conclui que a nova eco-
nomia est organizada em torno de re-
des globais de capital, gerenciamento e
informao, cujo acesso ao know-how
importantssimo para a produtividade e competitividade. Empresas comerciais e, cada vez
mais, organizaes e instituies so estabelecidas em redes de geometria varivel, cujo
entrelaamento suplanta a distino tradicional entre empresas e pequenos negcios, atra-
vessando setores e espalhando-se por diferentes agrupamentos geogrfcos de unidades
econmicas.
Se por um lado a tecnologia vem apoiando o desenvolvimento de novos negcios,
promovendo aes sociais e direcionando o mundo para uma nova realidade de democra-
tizao de informaes, servios e conhecimento, por outro, como qualquer ferramenta,
passou a ter uma ampla aplicao por indivduos que identifcam, nesse contexto, oportuni-
dades de ganhos de forma ilcita.
Na sociedade do conhecimento, a informao o principal ativo e o valor atribudo
a ela objeto de desejo de atores de empreendimentos, que visam ao desenvolvimento, e
tambm daqueles que vislumbram possibilidades de ganhos fceis. O problema da transfe-
rncia natural dos crimes do mundo real para o espao digital passa, dessa forma, a fgurar
nas agendas de profssionais dos mais diversos setores.
D o s s i
Privacidade,
integridade e sigilo
Os desafos da segurana da informao
G
u
y
d
o

R
o
s
s
i
Dossi Dossi Dossi Dossi Dossi Dossi
Fonte Fonte F te on
14
Engenharia social e vulnerabilidades
Como se no bastassem os problemas ligados es-
sencialmente ao uso das tecnologias, outra ameaa, a en-
genharia social, foco de preocupao dos especialistas,
por envolver um dos pontos considerados mais vulner-
veis num programa de segurana: as pessoas.
O fato que por mais que a tecnologia desenvol-
va e fornea solues para preveno e combate aos
crimes virtuais, a informao ainda estar ameaada,
se o elemento humano no for contemplado adequada-
mente. Defnida pelo especialista em segurana Kevin
Mitnick como a arte de fazer com que as pessoas faam
coisas que normalmente no fariam para um estranho, a
engenharia social , na verdade, o grande temor das organi-
zaes que se preocupam em proteger suas informaes.
Em seu livro A arte de enganar, Mitnick chama a
ateno para o fato de que a maioria das pessoas su-
pe que no ser enganada, com base na crena de que
a probabilidade de ser enganada muito baixa; o atacan-
te, entendendo isso como uma crena comum, faz a sua
solicitao soar to razovel que no levanta suspeita
enquanto explora a confana da vtima. Para isso, se-
gundo o especialista, o perfl do engenheiro social a
combinao de uma inclinao para enganar as pessoas
com os talentos da infuncia e persuaso.
A exigncia imposta s empresas, de desenvolver programas e iniciativas de segu-
rana, vem no s da preocupao em manter nveis satisfatrios de servio e de confana
dos clientes, mas tambm das diversas regulamentaes impostas por organismos nacio-
nais e internacionais, que defnem posturas e normas s empresas, sob pena de serem
responsabilizadas por eventuais problemas. E mais: ataques comprometem no s seus
negcios e informaes, mas tambm sua imagem.
O crescimento, a diversifcao e a gravidade dos ataques criaram, ao mesmo tem-
po, um mercado bastante efervescente de servios e produtos para preveno e combate
aos incidentes de segurana. Segundo dados do IDC, o mercado mundial de TI movimen-
tou, em 2007, US$ 1,2 trilho, dos quais, US$ 44,5 bilhes referem-se ao mercado de segu-
rana. No Brasil, dos US$ 20,4 bilhes contabilizados no mercado de TI (2007), US$ 0,37
bilho destinou-se segurana, com uma taxa de crescimento mdio de 15,3%, at 2010.
Para a analista de segurana do Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurana no Brasil (CERT.br), Cristine Hoepers, embora no exista um comparativo
mundial sobre a situao de todos os pases, possvel ver que os problemas enfrentados
aqui no so diferentes dos problemas encontrados em outros pases.
Os investimentos so canalizados para a aquisio de software, hardware, consulto-
rias especializadas, equipamentos para segurana fsica, capacitao dos colaboradores,
programas de gerenciamento de cultura organizacional e racionalizao de processos, ali-
nhando as estratgias de segurana ao negcio da empresa.
Em sua publicao trimestral sobre alertas, vulnerabilidades e demais acontecimen-
tos que se destacaram na rea de segurana, o Centro de Atendimento a Incidentes de
Segurana da Rede Nacional de Ensino e Pesquisa destacou, no quarto trimestre de 2007,
o tratamento de um total de 7.436 incidentes de segurana. Desses, 44,72% referem-se ao
envio de spam em grande escala, 16,31% a tentativas de invaso de sistemas e 11,29%
propagao de vrus e worms atravs de botnets (computadores infectados e controlados
a distncia por atacantes). Tambm foram tratados 241 casos de troca de pginas, em que
o atacante substituiu o contedo original de uma pgina da web ou incluiu contedo no
autorizado na pgina atacada, e ainda 56 casos de phishing, ataques que tm por objetivo
obter dados confdenciais de usurios (site Cais: www.cais.rnp.br).
Dossi Dossi Dossi Dossi Dossi Dossi Dossi Dossi Dossi Dossi Dossi Dossi
Fonte Fonte F te on
15
O analista de segurana do Centro de Atendimento
a Incidentes de Segurana da Rede Nacional de Pesqui-
sa (Cais / RNP), Ronaldo Vasconcelos, explica que, em
bom portugus, o engenheiro social aquele que usa de
lbia para conseguir as coisas e pode, ou no, utilizar a
tecnologia para obter informaes valiosas para seus ob-
jetivos.
Essas pessoas so capazes de obter informaes
reservadas sem necessidade de instalar um cavalo de
tria, por exemplo. Podem passar por atendentes da ope-
radora do carto de crdito e solicitar o nmero do carto
do usurio, data da expirao; h golpistas que chegam ao
refnamento de colocar fundo musical imitando um ser-
vio de atendimento. As pessoas, na maioria das vezes,
nem questionam. Outro exemplo comum de engenharia
social so os seqestros falsos, uma forma de extorquir
dinheiro enganando as pessoas, sem usar a tecnologia ou
a violncia. O forte dessas pessoas obter dados conf-
denciais, usando apenas a conversa.
A opinio prevalece entre os administradores de se-
gurana, como o responsvel pelo setor na Companhia
Energtica de Minas Gerais (Cemig), Jos Lus Brasil,
para quem a engenharia social existe porque as empre-
sas investem em tecnologia e esquecem as pessoas. So
elas que operam sistemas e mquinas, que fornecem in-
formaes. Se elas no sabem por que esto apertando
um parafuso, no sabem a importncia do seu trabalho,
passam a ser um ponto fraco no processo.
Cultura de segurana
A analista do CERT.br, Cristine Hoepers, afrma
que existe uma grande tendncia de associar o que ocor-
re via internet com algo virtual, ou que no oferece os
mesmos riscos a que j estamos acostumados no dia-a-
dia. Porm, a internet no tem nada de virtual: os dados
so reais, as empresas so reais e as pessoas com quem se
interage na internet so as mesmas que esto fora dela.
Desse modo, explica a especialista, preciso le-
var para a internet as mesmas preocupaes que temos
no dia-a-dia, como por exemplo: visitar somente lojas
confveis; no deixar pblicos dados sensveis; ter cui-
dado ao ir ao banco ou fazer compras, etc. Quando
um usurio coloca comentrios sobre sua rotina e suas
preferncias em um blog ou no Orkut, ele normalmen-
te est pensando nos amigos e familiares. Porm, essas
informaes tornam-se pblicas e do conhecimento de
todos.
Cristine alerta para o fato de que, de modo similar, o
usurio assume como verdadeiras informaes prestadas
por terceiros ou que parecem vir de amigos e familiares,
armadilhas usadas com freqncia para tentar induzir um
usurio a instalar cavalos de tria ou outros cdigos
maliciosos. Os golpes que so aplicados pela internet
so similares queles que ocorrem na rua ou por telefone;
a grande diferena que na internet existem algumas ma-
neiras de tornar o golpe mais parecido com algo legtimo.
Portanto, o importante que o usurio use na internet o
mesmo tipo de cuidado que j usa fora dela.
Com relao aos hbitos de usurios da internet,
o gerente de Solues da IBM para a Amrica Latina,
Marcelo Bezerra, considera a existncia de dois compor-
tamentos importantes: segundo ele, uma pessoa que no
especialista em tecnologia, no ambiente de uma organi-
zao vai se adequar s exigncias e procedimentos exi-
gidos. Vai adotar uma senha forte, com nmeros e tipos
de caracteres bem defnidos, vai contar com software que
faz controle de acesso, etc. Ela tem que se enquadrar at
mesmo por exigncia da empresa e acaba aprendendo
procedimentos recomendveis. Convive, inclusive, com
restries em relao ao que tem no computador.
J em casa, esse comportamento vai ser muito diferen-
te. As pessoas costumam ter jogos, aplicaes de msica e
outras. E, de forma geral, no querem ter a responsabilidade
de cuidar dos procedimentos de segurana, querem ter essas
coisas de forma tranqila, fcil, querem ter mais liberdade.
No caso de um software em confito com um anti-
vrus, por exemplo: na empresa, voc vai pedir ajuda,
considerar como funciona o sistema de segurana. J em
casa, mais fcil mudar o software de segurana. Esses
comportamentos so muito diferentes. Hoje, nas empre-
sas, a questo est bem equacionada. Em casa, a tendn-
cia desejar que o problema da segurana se adapte
nossa necessidade, enquanto o correto seria priorizar a
segurana. Mas h coisas que se v e aprende nas empre-
sas e so levadas pra casa, como o caso dos e-mails, as
pessoas em geral tm mais cuidado.
Marcelo Bezerra lembra que h tambm
questes sobre as quais ainda no h defnies,
como a comercializao de msicas pela internet.
A Amazon lanou loja nos Estados Unidos que
Fonte Fonte F te on
16
comercializa msicas totalmente sem proteo. No
sabemos como a indstria do setor vai se comportar.
H coisas ainda sem defnio, sobre as quais no se
sabe se esto certas ou erradas. Muitas esto claras,
como o fato de piratear software ser crime, apesar de
a tolerncia variar. H pases onde se alugam DVDs
piratas. O Brasil j tem um nvel melhor de esclare-
cimento sobre o assunto. H ainda a questo cultural,
que varia de pas para pas.
Alm dos recursos tecnolgicos, ele aconselha um
trabalho de informao, especialmente com os novos
usurios. Com relao aos riscos para as crianas, que
j esto na internet, oriento meus flhos para no passa-
rem informaes, alerto para o perigo de conversar com
pessoas desconhecidas. Mas com relao cultura,
importante tambm no pensar que isso basta. H pes-
soas inventando novos golpes mais sofsticados, tecno-
logias novas, sistemas e vulnerabilidades. Daqui a pouco
tempo, muitos cuidados podem no estar valendo mais
e outros sero mais importantes. Isso porque os hackers
tambm evoluem, h quadrilhas muito bem estruturadas,
h o crime organizado sofsticando os ataques.
Guerra ao crime virtual
O valor da informao, aliado ao desenvolvimen-
to tecnolgico, em especial da consolidao de uso das
redes, criou um universo virtual que, se por um lado fa-
cilita o fuxo de informaes e as democratiza, por outro
promove a ao de pessoas mal intencionadas, que vis-
lumbram, nesse mundo, uma srie de oportunidades de
negcios ilcitos.
Especialistas de todo o mundo unem-se na guerra
contra esses invasores por meio de entidades criadas com
a fnalidade de antepor a esses criminosos, identifcando
golpes, softwares, uma infnidade de formas de ataque,
que so disseminadas pela internet numa luta constante.
Essas entidades mantm na internet uma rede de in-
formaes atualizadas de forma permanente, e promovem
encontros, seminrios e congressos, onde os incidentes,
ferramentas de preveno e deteco so apresentados,
buscando equipar os especialistas para garantir, da me-
lhor forma, a integridade de informaes corporativas e,
no raro, resguardar as pessoas de golpes que se tornam,
a cada dia, mais comuns e mais sofsticados.
No Brasil, o Centro de Atendimento a Incidentes de
Segurana da Rede Nacional de Pesquisa (Cais/RNP) com-
pletou dez anos de criao e amplia sua atuao para toda
a sociedade. Segundo a gerente do Cais, Liliana Solha, o
Centro, criado para fazer frente vulnerabilidade da rede
acadmica nacional, comemora seus dez anos com um sal-
do positivo de parcerias formadas, desde a comunidade
acadmica, at os usurios domsticos. Todos eles so ex-
tremamente importantes em nosso trabalho, pois funcionam
como multiplicadores da cultura de segurana, explica.
A criao dessa cultura de segurana, para uma
convivncia segura em um mundo relativamente novo
a internet um dos grandes desafos dos especialis-
tas, que apontam, no elemento humano, no s o risco,
mas tambm a melhor soluo para prevenir o problema.
Segundo o analista de Segurana do Cais, Ronaldo Vas-
concelos, as pessoas que tm um certo tempo de vida
na internet j esto entendendo a necessidade de uma
mudana de postura, mas h sempre algum que est
chegando, comeando a usar. O que muitas pessoas vi-
ram e aprenderam h dez anos, outras esto aprendendo
agora. De forma geral, esto aprendendo melhor, j sa-
bem o risco de passar dados pessoais, clicar em qualquer
coisa; aprendem a pensar com bom senso. Se algum
chegar na rua lhe pedindo nome, nmero de conta cor-
rente, carteira de identidade, CPF, voc no vai dar. Na
internet a mesma coisa, e essa resposta dos usurios
tem melhorado.
Grupo do Cais/RNP
Divulgao
Fonte Fonte F te on
17
Alm de um site rico em informaes e registros
de incidentes (www.cais.rnp.br), o Cais tem ampliado
sua atuao para a sociedade por meio da promoo e
participao em eventos, como o Dia Internacional de
Segurana da Informao (Disi), realizado anualmente.
H uma boa resposta da comunidade, no s a comuni-
dade acadmica, mas o Brasil como um todo. As pessoas
se interessam pelo tema, explica Ronaldo Vasconcelos.
Para ele, um dos grandes mritos do Disi, realizado em
2007, no ms de novembro, foi o de sair um pouco do
meio acadmico. Anteriormente, o evento focava priori-
tariamente os administradores de segurana, divulgando
contedos mais tcnicos. No entanto, foram ganhando
notoriedade abordagens mais prticas para os usurios
em geral, como medidas para desinfectar um ambiente,
confgurao segura de redes sem fo, por exemplo. H
maior participao dos usurios. A idia compartilhar
essas informaes, muito do que a equipe sabe pode ser
til para outras pessoas. Nosso objetivo aumentar essa
participao, enfatiza Vasconcelos.
Mantido pelo Comit Gestor da Internet no Brasil, o
Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil (CERT.br) o grupo responsvel por re-
ceber, analisar e responder a incidentes de segurana em com-
putadores, envolvendo redes conectadas internet brasileira.
A entidade mantm, na internet, a Cartilha de
Segurana para Internet, um documento com recomen-
daes e dicas sobre como o usurio da rede deve se
comportar para aumentar a sua segurana e proteger-se
de possveis ameaas.
A analista do CERT.br, Cristine Hoepers, lembra que
os computadores domsticos so utilizados para realizar
inmeras tarefas, tais como: transaes fnanceiras, sejam
elas bancrias, sejam para compra de produtos e servios;
comunicao, por exemplo, por e-mails; armazenamento
de dados, sejam eles pessoais, sejam comerciais, etc.
importante que o usurio se preocupe com a se-
gurana de seu computador, pois ele, provavelmente, no
gostaria que suas senhas e nmeros de cartes de crdito
fossem furtados e utilizados por terceiros; que sua conta
de acesso internet fosse utilizada por algum no auto-
rizado; que seus dados pessoais, ou at mesmo comer-
ciais, fossem alterados, destrudos ou visualizados por
terceiros; ou que seu computador deixasse de funcionar,
por ter sido comprometido e arquivos essenciais do siste-
ma terem sido apagados, etc.
Dessa forma, o material da Cartilha serve como
fonte de consulta para todas as vezes em que o usurio
quiser esclarecer dvidas sobre segurana ou aprender
como se proteger desses ataques e ameaas.
Projeto Honeypots
U
ma importante iniciativa do CERT.br, na preveno aos incidentes na internet brasileira, o Consrcio Bra-
sileiro de Honeypots - Projeto Honeypots Distribudos, que tem o objetivo de aumentar a capacidade de
deteco de incidentes, correlao de eventos e determinao de tendncias de ataques no espao internet brasileiro.
Operacionalmente, o projeto funciona com a instalao de mltiplos honeypots de baixa interatividade no
espao internet brasileiro e com o processamento centralizado pelo CERT.br dos dados capturados por esses honey-
pots. Um honeypot pote de mel, no ingls um recurso computacional de segurana dedicado a ser sondado,
atacado ou comprometido em um ambiente prprio que permite que esses eventos sejam registrados e avaliados.
Cada instituio participante tem a chance de capacitar-se na tecnologia de honeypots, livre para adapt-los,
conforme as suas necessidades, e para utilizar como quiser os dados capturados em seus honeypots. Por meio dos
dados obtidos, possvel que o CERT.br identifque mquinas brasileiras envolvidas em atividades maliciosas e
notifque os responsveis por estas redes. Essas atividades incluem, por exemplo, mquinas que realizam varreduras
ou que esto infectadas por worms.
Atualmente, o projeto conta com 35 instituies parceiras nos setores pblico e privado. Essas instituies
mantm honeypots que esto distribudos em 20 cidades do Brasil e em diversos blocos de rede da internet no Brasil.
Muitas das instituies participantes tm, por meio do projeto, a oportunidade de adquirir ou aprimorar conheci-
mentos sobre as reas de honeypots, deteco de intruso, frewalls e anlise de artefatos. A simples participao no
projeto faz com que elas se aproximem e outras possibilidades de cooperao sejam exploradas.
Na pgina do projeto so mantidas estatsticas dirias dos ataques coletados pelos sensores, alm de outras
informaes relacionadas com o funcionamento do consrcio: http://www.honeypots-alliance.org.br/
Fonte Fonte F te on
18
Crimes mais comuns
O analista do Cais, Ronaldo Vasconcelos, enume-
ra alguns dos incidentes considerados mais comuns: um
deles a tentativa de explorao de vulnerabilidades em
aplicaes web, que podem levar pichao da pgina
(defacement) ou roubo de dados sigilosos ou de contas.
Outro incidente comum a tentativa de controle
remoto da mquina. Hoje, isso acontece principalmente
pela tentativa de login por fora bruta: tentativas exausti-
vas de combinaes de usurio e senha em servio SSH
e de explorao de uma vulnerabilidade no software de
controle remoto VNC (controle total de uma mquina re-
mota), que permite login sem usurio e senha.
Com relao a golpes, o especialista afrma que
phishing mensagem falsa que induz a vtima a acessar
um site falso, onde poder contaminar-se com um cavalo
de tria ou enviar dados pessoais ainda popular. A
evoluo mais comum desse golpe o uso de software ma-
licioso (bot ou cavalo de tria), que se instala no compu-
tador da vtima, ou mensagens de phishing direcionadas a
usurios de uma organizao especfca (spear phishing).
H ainda outro golpe muito comum que a tentati-
va de lavagem de dinheiro proveniente de golpes on-line
pelo uso de mulas de dinheiro (do ingls money mu-
les). Por trs de uma oportunidade de dinheiro fcil, que
chega por e-mail, muitas pessoas tentam receber porcen-
tagens por transaes. Na maioria dos casos, a vtima fca
com a conta do primeiro fraudador para pagar.
Cristine Hoepers, do CERT.br, destaca que a maior
parte das tentativas de fraude atuais est relacionada
com a utilizao de algum tipo de programa malicioso,
em geral direcionado a computadores de usurios fnais.
Existem duas maneiras de o usurio ser infectado por
este programa malicioso: o ataque tenta levar a pessoa
a acreditar em algum fato e a seguir um link ou instalar
um cdigo malicioso em seu computador. Se o usurio
no est esclarecido sobre o problema e acredita no ar-
dil utilizado, ele pode ser afetado pela fraude. Ou sua
mquina pode ser comprometida automaticamente, via
rede, por um worm ou bot. Ao ter acesso mquina do
usurio, o invasor no s poder utilizar os recursos de
processamento e banda, fazendo com que o usurio f-
que com a mquina e com a conexo internet lentas, mas
tambm poder furtar dados de sua mquina, como dados
pessoais (contas, senhas, nmero de carto de crdito,
declaraes de imposto de renda, cadastro em sites de
relacionamento, etc.) e os endereos de e-mail de amigos
e familiares, para serem posteriormente utilizados em lis-
tas de spam.
Tambm h informaes mais detalhadas, espe-
cfcas sobre fraudes, no documento: Cartilha de Segu-
rana para Internet Parte IV: Fraudes na Internet em
http://cartilha.cert.br/fraudes/
Cuidado com as atualizaes
Os cuidados para evitar danos comeam pela cons-
cincia do usurio de que ele pode, com algumas atitu-
des, criar um ambiente seguro para trabalhar e se divertir.
Ronaldo Vasconcelos, do Cais / RNP, admite que gostaria
que todos conhecessem bem as ferramentas disponveis
e os riscos. As pessoas devem estar bem atentas, o bom
senso muito importante: pensar, por exemplo, que o que
voc no faria no mundo real, no deve fazer no mundo
virtual. Fornecer quaisquer tipos de informaes um
grande risco; h tipos de ataque que enganam.
Ele d outras dicas: manter antivrus atualizado,
mas ateno: a vida til dessas ferramentas est se tor-
nando muito curta. Os softwares maliciosos mudam rapi-
damente e h grande variedade de malware nem sem-
pre o perigo s o vrus, h muita variedade de ataques
e pode acontecer de determinadas verses no identif-
carem todos. Manter atualizado o navegador. Ronaldo
Vasconcelos recomenda que o usurio deve manter, na
verdade, toda a mquina atualizada e ter um cuidado es-
pecial com as ferramentas de comunicao: e-mail, MSN
e navegador e atender notifcaes de atualizao.
Ter um frewall pessoal para evitar conexes in-
desejadas sua mquina. Se a pessoa no tem frewall
pessoal, fca muito vulnervel. Para usurios de laptops
e acessos sem fo, cuidado especial, at mesmo dentro
de casa, se tiver um access point; ele j tem um frewall
pessoal ativado, mas o usurio tem que estar atento.
Pessoas que usam softwares para e-mail: im-
portante usar um bloqueador de spam. Tanto phishing
quanto outros problemas so distribudos por spam. O
Fonte Fonte F te on
19
especialista recomenda o uso de webmail, como Hotmail
ou Yahoo, que j tm um bom fltro para spam. Nesse
caso, o usurio se benefcia do conhecimento de outras
pessoas; pode aproveitar desse conhecimento coletivo.
Pode tambm instalar pacotes spyware; alguns vm
com essas ferramentas para spam, frewall, antivrus.
Ronaldo enfatiza o cuidado nas comunicaes,
com os relacionamentos feitos no Orkut e outras co-
munidades de redes sociais: cuidado com o que re-
cebe. Quem ataca, sabe o que popular, o que agrada.
Para ataques em massa, essas pessoas mal intenciona-
das vo usar algo popular e hoje o Orkut importante
na vida de muita gente. Ateno, portanto, usurios de
redes sociais mais populares, bancos mais populares.
Ao invs de uma pistola, o ataque como uma metra-
lhadora.
Atentos a essas dicas, os usurios podem tambm
consultar orientaes no site do Cais, onde h lista de
incidentes e orientaes on-line. Mais do que isso, seria
pedir que o paciente saiba mais que o mdico. O especia-
lista tem que trabalhar para prover segurana.
A analista do CERT.br, Cristine Hoepers, recomenda
cuidados relacionados com o comportamento dos usurios:
no acessar sites ou seguir links recebidos por e-
mail, por servios de mensagem instantnea ou
presentes em pginas sobre as quais no se saiba
a procedncia;
jamais executar ou abrir arquivos recebidos por e-
mail, mesmo que venham de pessoas conhecidas;
jamais executar programas de procedncia duvi-
dosa ou desconhecida;
consultar sua instituio fnanceira sempre
que tiver dvidas sobre a utilizao de meca-
nismos de acesso e segurana ou quando re-
ceber convites para cadastros em promoes
ou atualizao de dados, entre outros. Muitas
vezes os fraudadores utilizam estes ardis para
tentar convencer o usurio a fornecer dados de
cadastramento.
Na pgina da Cartilha de Segurana para Internet
possvel obter um folder com essas e com outras dicas de
segurana: http://cartilha.cert.br/dicas/
Redes sem fo
Se para os usurios em geral as questes de segu-
rana so to importantes, aquelas que se conectam em
redes sem fo devem ter ateno redobrada. O alerta
do gerente de Solues da IBM para a Amrica Latina,
Marcelo Bezerra, que reconhece e aplaude os benefcios
da tecnologia, mas recomenda cuidado. Trata-se de um
benefcio enorme, que traz uma srie de facilidades ao
usurio. Os equipamentos, em sua maioria, j saem de
fbrica com o recurso da conexo sem fo, j temos o
iPod sem fo, acesso rede via celular. Mas o problema
da segurana existe.
Embora os manuais descrevam em detalhes os
procedimentos para confgurao segura de uma rede
wireless, a tecnologia apresenta riscos adicionais: a
rede no tem um limite defnido, susceptvel; outras
pessoas podem usar uma determinada conexo at sem
querer. Ele exemplifca com o fato ocorrido com a f-
lha, que reclamou de quedas sucessivas em sua cone-
xo. Na rede que tenho em casa as confguraes esto
adequadas; o que estava acontecendo que minha flha
estava usando, sem querer, a rede do vizinho, que esta-
va aberta, sem proteo. Como no h limites, o risco
aumenta, seu computador pode ser invadido por algum
que voc nem sabe onde est.
Ele adverte para o fato de que, se houver uma co-
nexo da rede wireless com uma rede cabeada, o acesso
aberto tambm segunda. Existem hoje os chamados
sniffers, que conseguem capturar todo o trfego em um
segmento de rede. Se o dado est sem criptografa, ele
pode capturar tudo. Fazendo uma analogia com a rede
fsica, seria como colocar um plug de rede na calada,
para que qualquer pessoa possa se conectar.
As redes sem fo esto sendo muito usadas em ae-
roportos, laboratrios, restaurantes, hotis. Tudo isso
tem que ser muito bem confgurado, seno a pessoa pode
ter problemas como invaso de seu computador, ter seus
dados capturados. Trata-se, basicamente, de confgurar o
ponto de acesso de forma que fque invisvel para outras
pessoas, e usar criptografa, limitando o acesso ao usu-
rio que conhece a chave criptogrfca. H recurso para
que voc determine autorizaes para quem voc permite
que entre. Colocando algumas difculdades, a pessoa re-
duz sua exposio e a probabilidade de algum invadir o
seu computador.
Fonte Fonte F te on
20
Segurana Corporativa
O cuidado que usurios domsticos devem adotar
com suas informaes ganham dimenses superlativas
quando se trata de uma organizao. Para o presidente
da Mdulo Security, empresa especializada em tecno-
logia para Gesto de Riscos, Fernando Nery, a segu-
rana da informao deve ser tratada no s do ponto
de vista tecnolgico, mas prioritariamente pela sua
relao com o negcio da empresa. Trata-se de um
desafo do dia-a-dia da informtica; gestores de segu-
rana de TI compartilham angstias e difculdades ao
tratar a questo, afrma. Nery explica que atualmente
o problema da segurana abrangente: comea den-
tro de casa, com os flhos alimentando seus blogs, re-
lacionando-se pelo Orkut, a famlia fazendo compras
pela internet; at mesmo pelo telefone, os riscos de
extorso existem.
Com a experincia de atuao no mercado corpo-
rativo, ele defende que os oramentos dedicados segu-
rana da informao variam de acordo com a importncia
que a empresa d a esse aspecto. Quanto mais importan-
te a segurana da informao para o negcio da empre-
sa, maior o oramento destinado.
Nery ressalta ainda o desafo dos gestores de se-
gurana para sinalizar aos responsveis pelas reas de
negcios a importncia de adotar medidas de segurana
numa empresa. Ele explica que a segurana ou proble-
mas relacionados, aparecem em casos crticos, quando h
uma invaso, indisponibilidade ou queda de um sistema,
e defende que relevante trat-la como algo positivo:
o risco pode ser positivo, considerando-se o conceito
de que o risco o efeito das incertezas nos objetivos.
trabalho do profssional de segurana conscientizar
usurios e gestores.
Em palestra realizada durante o Security Meeting
2007, em Belo Horizonte, o executivo fez alerta aos pro-
fssionais da rea sobre o conceito de Governana, Gesto
de Riscos e Compliance (GRC). Segundo ele, uma ten-
dncia, na forma de um conceito mais abrangente do que
os trs elementos tratados de forma individual. Ele explica
que os trs pontos, juntos, so capazes de contemplar uma
capacidade de trabalho superior da soma dos trs, alm
de evitar redundncias entre reas da empresa.
Ele adverte para o fato de que a aplicao do
GCR exige dois princpios bsicos: a automao e a
Fernando Nery: governana, gesto de riscos e compliance.
W
a
g
n
e
r

A
n
t
n
i
o
/
S
u
c
e
s
u
-
M
G
Fonte Fonte F te on
21
Regulamentaes
O problema da segurana das informaes e a glo-
balizao, que coloca on-line na internet diferentes legis-
laes e culturas, refete profundamente na gesto das
organizaes, com maiores ou menores impactos, em
funo da natureza de seus negcios. Uma srie de nor-
mas e regulamentaes tm surgido, para enquadrar, num
padro desejado de segurana, determinados grupos de
instituies que se relacionam pela rede.
Segundo o analista da Prodemge, Paulo Csar Lo-
pes, os impactos atingem diretamente os departamentos
de administrao de risco e as reas de tecnologia, que
assumem novas funes, a partir dessas normas, visando
adequao. Marcelo Bezerra, da IBM, acrescenta que a
questo pode se transformar num problema administrativo
para organizaes vinculadas s vrias regulamentaes.
O no cumprimento de determinadas normas pode
desabilit-las para prestao de servios, j que esto su-
jeitas a auditorias e punies.
Uma das normas mais conhecidas internacio-
nalmente a Sarbanes-Oxley, a chamada SOX, uma
regulamentao fscal norteamericana aplicvel a em-
presas de todo o mundo que tenham aes nas bolsas
dos Estados Unidos. Segundo Marcelo Bezerra, como
todas as transaes baseiam-se na tecnologia da in-
formao, nesse caso, os sistemas de dados contbeis,
fnanceiros, operacionais e jurdicos tm que estar
ntegros e aderentes s centenas de artigos que com-
pem a SOX.
Uma regulamentao importante, dirigida
ao sistema financeiro, o acordo de Basilia, que
procura, em sua essncia, estabelecer padres de
qualidade para as instituies financeiras, aperfei-
oando-as. Os acordos de Basilia I e II podem ser
vistos tambm como um estmulo transparncia e
segurana para clientes, investidores, acionistas e
controladores.
integrao; a importncia da troca de informaes, re-
mete colaborao: fundamental um clima propcio
colaborao, ressalta.
Nery lembra que hoje existe uma boa base terica
e tcnica para tratar a questo, que deve contemplar trs
conceitos bsicos: a confdencialidade (resguardar sigilo
e evitar vazamento), a integridade (combate a fraudes,
conformidade com leis, normas, regulamentao) e a
disponibilidade. Ele alerta ainda para o fato de que pro-
gramas e normas de segurana hoje so compulsrios
para as organizaes quem tm alguma regulamentao,
de acordo com a rea de atuao.
E deixa um lembrete: pense no todo. Comece
pequeno. Crie um modelo escalvel. Cresa rapida-
mente.
Para a analista do CERT.br, Cristine Hoepers, de
forma geral, empresas, provedores e outras grandes ins-
tituies devem seguir as boas prticas de segurana de
redes internet, possuir polticas e procedimentos adequa-
dos, ferramentas adequadas de proteo e investir for-
temente em treinamento de pessoal. Ela ressalta que a
qualifcao de pessoal e a conscientizao dos usurios
a chave para o aumento da segurana.
Para a implementao de um programa de seguran-
a, afrma, importante que a pessoa responsvel pela
gesto de riscos compreenda no s as implicaes de
segurana de cada soluo de TI adotada, mas tambm
entenda profundamente o negcio da empresa. Somente
somando esses conhecimentos, o profssional tem condi-
es de avaliar quais as reas prioritrias e qual a estrat-
gia adequada para gerir os riscos de sua infra-estrutura.
Para o envolvimento dos colaboradores num proje-
to de gesto de riscos, Cristine afrma que no existe uma
receita de sucesso, mas este depende do envolvimento de
todos os setores no processo de defnio da estratgia.
Se os setores-chave esto envolvidos no projeto e dis-
cusses e, conseqentemente, compreendem a importn-
cia, fca muito mais fcil conseguir o comprometimento
para atingir o sucesso.
Mais informaes especfcas para administradores
de redes podem ser encontradas nos seguintes sites:
Antispam.br rea de Administradores - http://
antispam.br/admin/
Prticas de Segurana para Administradores de
Redes Internet http://www.cert.br/docs/seg-
adm-redes/
Fonte Fonte F te on
22
ENTREVISTA
Kevin
Mitnick
Kevin Mitnick
M
o
n
t
y

B
r
i
n
t
o
n
/
J
o
h
n

W
i
l
e
y

&

S
o
n
s
O
s perigos crescentes na rede mundial de computadores, especialmente aqueles produzidos por
meio da engenharia social, so abordados, nesta entrevista, por um dos maiores especialistas no
assunto. O consultor norte-americano na rea de segurana da informao, Kevin Mitnick, fala com o
conhecimento e a experincia do mais conhecido hacker da histria da internet.
Aps uma trajetria pouco convencional, quando se tornou famoso pelas ousadas investidas
em redes de grandes organizaes entre elas o Comando de Defesa Area norte-americano e pela
perseguio por agentes do FBI, que culminou em sua priso por crimes digitais, o especialista agora
trabalha no lado certo da lei, oferecendo o que ele chama de servios de hacker tico. Atendendo
clientes em todo o mundo, com dois livros publicados sobre o assunto A arte de enganar e A arte de
invadir ele se diz recompensado com a nova rotina.
Mitnick fascinado pela mgica, conforme confessa em seu primeiro livro, e consolidou a
expresso e a prtica da engenharia social, a arte de manipular ou infuenciar pessoas para conseguir
delas informaes importantes ou sigilosas.
Nesta entrevista exclusiva revista Fonte, concedida por telefone, ele fala ainda sobre a
importncia da anlise de riscos, os reais perigos da internet e de como prevenir incidentes ou reduzir
vulnerabilidades, destacando o peso que as organizaes devem dar aos aspectos tecnolgico e humano.
Com a participao dos analistas da Prodemge Naira Faria e Paulo Csar Lopes.
Fonte Fonte F te on
23
Mitnick
Em seu livro A arte de enganar (The art of
deception), o senhor enftico ao falar da vulnera-
bilidade dos sistemas de segurana. Como prestar
servios provendo justamente segurana?
Eu me sinto muito melhor, claro, trabalhando
no lado certo da lei e ajudando empresas, setores
governamentais, universidades e protegendo seus
sistemas de informao. defnitivamente uma
carreira muito recompensadora; e o gerenciamento
desses riscos realmente imprescindvel no hostil
ambiente da computao atual.
Na prtica, que servios o senhor oferece aos
seus clientes?
Os servios que eu forneo so servios de
hacker tico. Empresas me contratam para tentar
comprometer seus sistemas ou, em outras palavras,
para encontrar todas as falhas de segurana que um
hacker poderia usar para entrar em suas redes ou
para ter acesso a informaes crticas. E o que de-
safador nisso? Como um hacker, voc s precisa
encontrar um dos furos na segurana para burlar o
sistema. Mas como um hacker tico, como um pro-
fssional de segurana, voc tem que encontrar to-
das as vulnerabilidades e garantir que suas respecti-
vas defesas sejam institudas, porque se voc deixar
uma abertura, com certeza algum ir explor-la.
muito difcil trabalhar para proteger sistemas, mais
difcil do que ser um invasor. Ser um hacker mais
fcil, porque voc s vai precisar encontrar um pro-
blema de segurana, vai ter que encontrar apenas
um furo, mas proteger o sistema mais difcil, por-
que voc vai ter que encontrar todos eles. muito
mais desafador, na verdade, mais desafador do que
ser um hacker. mais difcil proteger um sistema do
que hackear um sistema. Pesquisar e garantir prote-
o ao seu cliente melhor do que s encontrar uma
nica vulnerabilidade e invadir.
Atualmente, qual o grau de segurana (ou in-
segurana) na internet?
Bem, segurana na internet realmente depen-
de da empresa ou do setor do governo que est co-
nectado internet. No geral, a internet, como uma
imensa rede global, cria um ambiente rico em alvos,
porque h muitos sistemas inseguros que podem
ser hackeados. um ambiente hostil e uma vez que
voc conecte seu sistema nessa rede, tem que adotar
o devido cuidado para proteger seu sistema de ser
comprometido. , sem dvida, uma rede hostil. E o
que voc tem que fazer como empresrio ou indiv-
duo adotar como padro a devida precauo para
se proteger.
O senhor acha que hoje mais difcil inva-
dir?
Na verdade, mais fcil hoje em dia, porque
muitas das faanhas identifcadas por pesquisado-
res de segurana so publicadas. Muitas empresas e
clientes tm empacotado seus sistemas e corrigido
essas vulnerabilidades; h tambm a divulgao das
vulnerabilidades zero-day, para as quais no h
soluo. De fato, h anos, quando eu era um hacker,
informaes como essas no eram publicadas, voc
tinha que encontrar as vulnerabilidades de seguran-
a por conta prpria ou se associar a um pequeno
grupo de pessoas que compartilhasse esses mesmos
interesses e tambm as informaes sobre vulne-
rabilidades. Atualmente, h muita informao dis-
ponvel sobre como invadir um sistema, por isso
mais fcil. Temos que considerar, no entanto, que ao
mesmo tempo, esse fato pode tornar a invaso mais
difcil, porque muitas empresas, setores governa-
mentais e universidades esto mais prevenidos, de-
senvolvendo tecnologias de segurana para garantir
sua proteo. Ento, nesse caso, a questo se torna
mais desafadora.
ENTREVISTA
Fonte Fonte F te on
24
Quais os principais pilares de um programa
de gesto de risco?
A habilidade para identifcar uma ameaa e
determinar como e em que medida ela poderia afe-
tar seu negcio. Voc precisa identifcar a ameaa e
a probabilidade do seu sistema ser comprometido.
E voc quer desenvolver um programa de gerencia-
mento de riscos para avaliar que rea do negcio voc
precisa proteger e como prioriz-la corretamente. E,
ainda, qual seria o custo efetivo, porque em anlise
de riscos importante saber quanto se perderia se
um incidente de segurana ocorresse. Ento, na an-
lise fnal, voc precisa identifcar as vulnerabilidades
que podem resultar numa perda signifcativa, para
que voc possa priorizar quais itens focar e quanto
seria orado para garantir sua proteo.

H alguma peculiaridade, se considerarmos
uma empresa pblica?
No necessariamente. Toda empresa est sob
risco e no importa se um setor do governo, uma
empresa pblica ou privada. H, defnitivamente,
ameaas e voc tem que gerenci-las apropriada-
mente. claro que hackers com intenes criminosas
iro onde o dinheiro est. Mas no necessariamente
precisa ser uma empresa pblica, poderia ser uma
empresa de servios fnanceiros ou de transferncia
de dinheiro, que poderia ser atacada pela habilidade
de roubar dinheiro. Geralmente, as grandes empre-
sas tm um oramento de segurana para comprar
tecnologias apropriadas e treinar seu pessoal. Des-
sa forma, podem ser menos vulnerveis. Mas voc
no pode generalizar seus inimigos, isso, de fato, se
resume individualidade de cada empresa e o que
elas fazem com seus programas de gerenciamento
de segurana. Voc pode ter uma empresa pblica
que possui uma segurana terrvel e uma empresa
pblica que possui uma boa segurana. So todas
diferentes, no tudo igual para todas as empresas
conectadas internet.
Qual a importncia do elemento humano
nesse contexto?
A infuncia humana pode ser usada para o
que conhecido como engenharia social, que
signifca que voc pode enganar, manipular ou in-
fuenciar uma pessoa, uma vtima, para conseguir
que ela atenda uma solicitao, geralmente pessoas
confveis em uma organizao. Ento, claro, se as
empresas no treinarem seus funcionrios sobre o
que a engenharia social, sobre as diferentes abor-
dagens utilizadas pelos engenheiros sociais e treinar
funcionrios nas polticas de segurana e motiv-los
a no quebr-las sob qualquer circunstncia, as em-
presas estaro correndo risco de ser atacadas pela
engenharia social.
As ferramentas para prevenir ou detectar
ataques tm acompanhado a velocidade de sofsti-
cao dos hackers?
Eu vejo preveno e proteo como ferra-
mentas da tecnologia e os hackers experientes, ao
us-las, deveriam saber como usar essas ferramen-
tas para prevenir e detectar invases. Mas isso real-
mente depende da habilidade do hacker. H hackers
que podem no estar familiarizados com determina-
da tecnologia; e h hackers profssionais. Isso real-
mente depende da experincia particular deles.
Pode-se falar em crime organizado na inter-
net? H quadrilhas de hackers? Como elas atuam?
Com certeza. Especialmente na Rssia e
em algumas naes pobres, o crime organizado
defnitivamente um srio problema, porque pela
internet torna-se mais fcil roubar. Ento, h muitas
fraudes de cartes de crdito, fraudes fnanceiras,
ENTREVISTA
Fonte Fonte F te on
25
ENTREVISTA
extorses, esquemas de sites falsos que esto acon-
tecendo todo dia, envolvendo at sites de relaciona-
mentos. H crimes organizados explorando pessoas
por meio da construo de falsos relacionamentos
e usando-as para conseguir sua ajuda involuntaria-
mente; por exemplo, se voc compra mercadorias
com um carto de crdito internacional, a vtima
ir reenviar o produto para um pas estrangeiro por
acreditar tratar-se de algo legtimo. Mas eles iro
pensar que esto fazendo isso para a namorada ou
namorado que conheceram na internet. Mas, na ver-
dade, um esquema fraudulento.
Que crimes so mais comuns na rede?
Roubar dados de cartes de crdito, usar car-
tes fraudulentos para comprar produtos e servios,
esquemas de extorso virtual, nos quais as empresas
so ameaadas, a fm de pagar para que seus web
sites no sejam derrubados ou o hacker, de algu-
ma forma, rouba seu domnio. H ainda o roubo
de informaes privadas e spywares, que infectam
o computador do consumidor com programas que,
na verdade, agem como grampos: os hackers conse-
guem, dessa forma, roubar informaes como cre-
denciais bancrias on-line. Eles logam na conta
bancria do cliente e a esvaziam. Todos esses tipos
de crimes so cometidos na internet.
Quais os riscos reais em compras eletrnicas
e no uso de servios bancrios pela internet?
Em e-commerce, so ladres roubando os da-
dos do seu carto de crdito e usando esses dados
para comprar outros produtos e mercadorias. Feliz-
mente, nos Estados Unidos, se algum rouba o nme-
ro do seu carto de crdito, voc no responsvel
pelo pagamento, mas sim o comerciante. Mas em al-
guns outros pases, o dono do carto assume o risco.
Felizmente, na Amrica, o banco assume o risco. O
internet banking pode ser arriscado se um fraudador
conseguir seu nome de usurio e senha da sua conta
bancria, o que pode possibilitar que ele transfra di-
nheiro. A responsabilidade da dvida depende da lei
do pas onde o cliente do banco reside. Mas em al-
guns casos, o consumidor pode ser o responsvel pelo
prejuzo, isso realmente depende da lei do pas, o que
pode ser bastante desastroso para um consumidor.
Planos de aposentadoria podem ser roubados. Se um
fraudador tem acesso carteira de investimento das
pessoas e os proprietrios dessas contas fcarem com-
prometidos e o dinheiro desaparecer, o consumidor
que assumir o risco. Isto bastante assustador.
Quais os erros mais comuns cometidos por em-
presas na implantao de programas de segurana?
Elas investem todo o dinheiro em tecnologia,
elas podem comprar produtos, elas podem no con-
fgur-los corretamente. A maioria dos produtos de
segurana cria logs de auditoria. A no ser que algo
suspeito ocorra, ningum analisa logs para identi-
fcar incidentes de segurana. Em outras palavras,
as empresas apenas compram tecnologia e esperam
que esta gerencie a segurana por si s. Mas o de-
partamento de TI precisa realmente gerenciar a tec-
nologia. E eles no fazem isso corretamente.
Que recomendaes o senhor daria a esses
empresrios?
Para levar segurana a srio e no apenas fo-
car em tecnologia unicamente, atente ao seu quadro
de funcionrios. Treine seu pessoal sobre a ameaa
segurana, que pode afet-los, como a engenharia
social. Desenvolva processos de segurana com um
ciclo de vida, ento voc estar constantemente re-
vendo os requisitos de sua segurana, mudando-os
sempre que preciso e adquirindo tecnologia efcaz
para reduzir o risco especfco ao seu ambiente.
Mais informaes sobre Kevin Mitnick em www.mitnicksecurity.com
Fonte Fonte F te on
26
Mercado e tendncias
O desenvolvimento da indstria de segurana, em
todo o mundo, tem acompanhado as necessidades dessa
nova realidade. No que a internet tenha trazido novi-
dades de risco, explica Marcelo Bezerra, da IBM. Na
verdade, o crime vai onde h oportunidades de ganhos. H
alguns anos, as pessoas fcavam vontade para andar com
quantias enormes de dinheiro nos bolsos. Muitas foram v-
timas de assalto ou do velho golpe do bilhete premiado.
Com a imposio de mudana nesse hbito, reduziu-se o
nmero de pessoas que carregam dinheiro e muitas foram
para a internet, onde realizam suas operaes. O crime vai
junto. As partes boa e ruim andam juntas; a tecnologia ser-
ve da mesma forma aos dois lados da sociedade.
Ele lembra que a segurana fsica patrimonial tam-
bm acompanhou as demandas da sociedade, desenvol-
vendo tecnologias sofsticadas para segurana de prdios
comerciais ou residenciais, como alarmes, cercas, etc.
Esse movimento acompanha o crescimento da crimina-
lidade; uma caracterstica da nossa sociedade.
Marcelo Bezerra afrma que segurana da informao
tornou-se um componente importante no universo de TI: no
se trata de uma aplicao em si, mas que possibilita que outras
aplicaes sejam feitas; uma vez que as empresas esto inves-
tindo em TI e internet, os recursos de segurana agregam a
essas inovaes a garantia de que elas aconteam.
Ele cita, como exemplo, a Web 2.0, que tem sido
amplamente utilizada pelas organizaes em seus rela-
cionamentos com clientes e que se trata de um ambien-
te pautado fortemente pela interao. Os programas
so feitos para facilitar a comunicao, conversarem de
forma interativa. Um determinado site tambm conversa
com outros. Para facilitar toda essa dinmica, novos pro-
tocolos e ferramentas de desenvolvimento so largamente
utilizados, tudo com base no webbrowser, que funciona
como um sistema operacional.
Essa caracterstica de interao, se por um lado
torna as coisas mais fceis para o usurio, por outro as
torna mais acessveis para os hackers, ou mais fceis do
que eram antes. Para que essas novidades sejam viabili-
zadas, segundo o gerente da IBM, tem que haver segu-
rana, seno voc est abrindo novas portas, problemas
que estavam resolvidos podem voltar. As empresas esto,
em suas rotinas, utilizando novos softwares, protocolos,
camadas de programas, ou seja, novas vulnerabilidades
tambm surgem, podem ser novas janelas de ataque.
Investindo maciamente em produtos para segu-
rana h cerca de dois anos, a IBM tem feito avanos e
aquisies no setor e formou um portflio abrangente de
produtos para seus clientes. So alternativas de segurana
em quase todas as disciplinas. A IBM no uma empresa
de segurana da informao, mas tendo esse conhecimento
dentro de casa, tem uma possibilidade muito boa de trazer
essas solues para seus clientes, informa Bezerra.
Ele explica que no aspecto tecnolgico a busca dos pro-
fssionais do setor por sistemas mais automticos, que detec-
tem fraudes com base no mapeamento de comportamentos.
Existem no mercado investimentos para fazer isso de forma
cada vez mais efciente; programas que analisam comporta-
mentos de sistemas, de pessoas e de trfego na rede.
Como funciona isso? Se um determinado programa
no computador comea a ser executado e tenta acessar ou
gravar informaes em reas que no so as usuais, ou a
interagir com outros programas, com os quais no tem
nenhuma relao, esse fato identifcado. O acompa-
nhamento pode ser feito tanto com relao ao comporta-
mento de redes quanto de pessoas. Por exemplo, o caso de
um colaborador que tem perfl de acesso a determinadas
aplicaes e de repente comea a mandar, de seu usurio,
Marcelo Bezerra, da IBM
D
i
v
u
l
g
a
o
Fonte Fonte F te on
27
dados criptografados para endereo desconhecido. Tra-
ta-se de um procedimento que foge rotina ou compor-
tamento diferente que pode ser identifcado e analisado.
Pode no ser nada, mas se for, h como intervir.
Segundo Marcelo, a indstria vem estudando pa-
dres de comportamento e j tem mapeada uma srie de
padres de comportamento de programas de ataque. Os
vrus automticos, por exemplo, que comeam a partir de
uma mquina contaminam cem, que por sua vez contami-
nam mais cem. Quanto mais efetivo for o mapeamento
de comportamento, melhor.
Outra tendncia a preveno de perdas de dados.
Ele explica que um problema hoje bem identifcado a
perda de dados, sejam eles pessoais ou de empresas. O
data lost prevention uma soluo que acompanha produ-
tos de rede e capaz de detectar, por exemplo, um nmero
de CPF circulando pela rede. Nesse caso, se passar pela
rede um nmero de CPF, ele acusa. Da mesma forma, h
inteligncia para detectar fraudes no correio eletrnico.
Outra preocupao dos executivos de segurana,
que vem recebendo resposta dos fornecedores, a questo
de ajustamento do ambiente s regulamentaes exigidas
por entidades no Brasil e no mundo. O funcionamento de
muitos setores est condicionado ao cumprimento des-
sas exigncias. Na confgurao, o sistema de seguran-
a deve estar aderente a determinadas normas que so
exigidas para aquela organizao, de acordo com a sua
natureza. O objetivo facilitar a vida do administrador de
segurana, explica Bezerra. Nesse grupo, enquadram-se
as ferramentas de adequao.
Outro recurso de apoio gesto da segurana a
chamada correlao de eventos, que gera informaes
importantes a partir do cruzamento de eventos. Por exem-
plo, o registro de um evento que houve no frewall e um
outro de tentativa de ataque a um servidor podem ter vin-
do de um mesmo endereo IP, mostrando ao administra-
dor uma informao que pode ser muito importante. Ou
a tentativa repetida de logon, o chamado ataque de fora
bruta, tambm detectado. A associao de muitas in-
formaes pode mostrar fatos suspeitos que no seriam
visveis. Quanto mais fontes de dados disponveis, mais
forte o mecanismo se torna.
Certifcao Digital
Num cenrio de crescimento dos servios ofere-
cidos pela internet, a certifcao digital posiciona-se
como grande aliada da segurana em transaes reali-
zadas via web. A Receita Federal estima que, at 2010,
o Brasil deve atingir a marca de 4 milhes de certifca-
dos emitidos, um nmero ainda muito longe do ideal,
considerando os riscos que a internet representa e o
nmero de usurios, segundo o diretor da CertiSign,
Srgio Kulikovski. Contudo j um grande avano,
visto que o certifcado digital uma tecnologia relati-
vamente nova.
A analista do CERT.br, Cristine Hoepers, entende
que o certifcado digital no um mecanismo de segu-
rana, mas sim de autenticao. Ele normalmente uti-
lizado para comprovar a identidade de uma pessoa, em-
presa ou site, semelhante ao CNPJ, RG, CPF e carteira
de habilitao de uma pessoa. Cada um deles contm um
conjunto de informaes que identifcam a instituio
ou pessoa; e a autoridade, para estes exemplos, rgos
pblicos que garantem sua validade. Alguns usos tpi-
cos da certifcao, segundo a analista, so assegurados
pela tecnologia, como o acesso a um site com conexo
segura, como a conta bancria do usurio pela internet,
possibilitando checar se o site apresentado realmente
da instituio que diz ser, por meio da verifcao de seu
certifcado digital.
Na opinio do coordenador-adjunto de TI da Recei-
ta Federal, Donizette Victor Rodrigues, j existem muitos
benefcios no uso da certifcao, tanto para pessoas fsi-
cas, quanto jurdicas. Para profssionais de contabilida-
de, no ter o certifcado acaba fcando caro, uma vez que
h necessidade de deslocamentos e trmites de papel, que
podem ser feitos seguramente pela internet.
Ele afrma que a oferta de mais servios instrumento
para popularizar o uso da tecnologia. Hoje, muitos rgos
do Governo j exigem o certifcado para vrios servios.
Novas Autoridades Certifcadoras esto sendo credencia-
das e h cartrios, que oferecem servios por certifcao
digital. Com isso, a tendncia reduzir o custo.
A questo do custo de obteno e manuteno de
um certifcado digital apontada, tambm pelo gerente
da IBM, Marcelo Bezerra, como um obstculo sua po-
pularizao. A certifcao digital aumenta bastante a
segurana nas transaes para as duas partes envolvidas,
mas o custo ainda alto. A partir do momento em que
haja mais servios, o interesse aumenta; aumentando o
interesse, crescer o uso e o preo cair. Trata-se de ir
sofsticando, inventando servios.
Fonte Fonte F te on
28
O presidente da CertiSign,
Srgio Kulikovisk,
mostra um panorama da
certifcao digital no Brasil
Atualmente, o nmero de servios oferecidos que
utilizam a certifcao digital no grande e a maioria
limita-se a servios pblicos. Qual a tendncia para am-
pliao desses servios?
Alm da segurana e autenticidade de todo e qualquer
tipo de mensagem trocada eletronicamente, caractersticas
inerentes tecnologia, a certifcao digital tem como um
dos seus principais benefcios a agilidade na tomada de
decises. justamente neste sentido que temos direciona-
do o desenvolvimento de novas solues e o que tem nos
permitido crescer e atingir novos nichos de mercado.
Como popularizar a certifcao digital?
Na condio de uma das trs primeiras Autoridades
Certifcadoras do mundo e a primeira da Amrica Latina,
a CertiSign v uma agressiva curva de crescimento na
adoo da tecnologia de certifcao digital no Brasil e a
expectativa para 2008 que surjam cada vez mais aplica-
es, principalmente no setor fnanceiro, judicirio e em
rgos pblicos, desencadeando a disseminao defniti-
va desta tecnologia em nosso pas.
Fale sobre o mercado de solues para segurana da in-
formao. Como a certifcao digital fgura nesse contexto?
A necessidade de implementao de medidas de se-
gurana da informao tem crescido de maneira expres-
siva nos ltimos anos. O valor da informao tornou-se
mais expressivo para as empresas, que, muitas vezes,
tm seu negcio e seu diferencial competitivo com base
unicamente em informaes.
Neste contexto, a certifcao digital seria o equiva-
lente a um Mercedes blindado trafegando nas vias inse-
guras das empresas e at mesmo dos cidados, apresen-
tando em cada barreira um chip de identifcao RFID,
provendo ao mesmo tempo, base jurdica, identifcao,
autenticao e confdencialidade.

As instituies fnanceiras so as grandes deman-
dantes de ferramentas de segurana. A tendncia do
crescimento das transaes via internet levar exign-
cia de uso de certifcados por todos os clientes?
Tudo depende de como as instituies fnanceiras
iro posicionar-se. As que j adotaram a certifcao di-
gital deram-se muito bem, no apenas na reduo dos
riscos, mas tambm dos custos inerentes s suas polticas
de segurana. A tendncia que haja cada vez mais o uso
dos certifcados digitais, mas ainda no possvel afrmar
que haver uma exigncia desse mercado quanto ao uso
dessa tecnologia.
Com relao ao comrcio eletrnico, qual o com-
portamento atual e quais as tendncias?
A internet j vem se mostrando como uma exce-
lente oportunidade para alavancar negcios no Pas. De-
certo, h ainda uma signifcativa parcela da populao
que no tem acesso rede ou no dispe de banda larga
para melhor usufruir dela, no entanto, os nmeros j
impressionam.
No se trata aqui apenas de um espao reservado a
grandes varejistas, muito pelo contrrio, o investimento
inicial reduzido e a possibilidade de atingir um pbli-
co maior, mais heterogneo e disposto a comprar pela
internet, tm atrado, cada vez mais, empreendedores
e pequenos empresrios. Segundo dados da Cmara
Brasileira de Comrcio Eletrnico (Cmara-e.net), j
existem 14,9 mil pequenas e mdias companhias que
vendem na internet. E esse nmero, com certeza, deve
aumentar cada vez mais.
D
i
v
u
l
g
a
o
Fonte Fonte F te on
29
O que tem surgido de novo nas tecnologias da cer-
tifcao digital? A dinmica a mesma da poca da sua
criao?
Cada vez mais, as instituies esto aderindo
aos certifcados digitais na troca de informaes. Como
exemplo, posso citar o Troca de Informaes em Sa-
de Suplementar (TISS), criado pela Agncia Nacional
de Sade Suplementar (ANS), para padronizar os do-
cumentos de registro e de intercmbio de dados entre
operadoras de planos privados de assistncia sade e
prestadores de servios de sade. A nota fscal eletrnica
outra aplicao que est em funcionamento, j com 84
empresas emitindo notas fscais por meio eletrnico.
Quanto dinmica, com certeza a situao outra,
atualmente. As aplicaes surgem mais rapidamente em
relao poca da criao dos certifcados e, cada vez mais
esto-se adaptando s necessidades de cada rgo/cliente.
H registros de quebra de chaves ou tentativas de
quebra da segurana em transaes com certifcados di-
gitais? H estatsticas?
At hoje no existe nenhum caso de fraude em cer-
tifcao digital. A tecnologia bastante forte e robusta,
de modo que o nvel de segurana das assinaturas eletr-
nicas possa ser aumentado com o passar dos anos.
Com relao aos sites seguros, como hoje a situa-
o em empresas pblicas? O que levar as empresas em
geral a adotarem certifcao em seus sites?
Hoje, as empresas pblicas j utilizam a certifca-
o digital em seus sites. O principal benefcio para elas
a possibilidade de aumento no nmero de negcios que
podem ser feitos eletronicamente com muito mais segu-
rana. Alm disso, o cidado fca satisfeito, pois atendi-
do de forma muito diferente da que est acostumado nas
transaes com o governo.
Em geral, o que levar as empresas pblicas a ado-
tarem a certifcao digital est intrinsecamente ligado
questo da segurana, mas a transparncia, a agilidade
e a desmaterializao dos processos em papel tambm
sero fatores decisrios para as empresas aderirem ao
certifcado.
COMRCIO ELETRNICO
O impacto da revoluo da informao est ape-
nas comeando. Mas a forma motriz desse impacto no
a informtica, a inteligncia artifcial, o efeito dos
computadores sobre a tomada de decises ou sobre a
elaborao de polticas ou de estratgias. algo que pra-
ticamente ningum previu nem mesmo falava h 10 ou
15 anos: o comrcio eletrnico, o aparecimento explo-
sivo da internet como um canal importante, talvez prin-
cipal, de distribuio mundial de produtos, servios e,
surpreendentemente, de empregos de nvel gerencial. Essa
nova realidade est modifcando profundamente econo-
mias, mercados e estruturas setoriais; os produtos e servios
e seu fuxo; a segmentao, os valores e o comportamento
dos consumidores; o mercado de trabalho. O impacto, po-
rm, pode ser ainda maior nas sociedades e nas polticas
empresariais e, acima de tudo, na maneira como encara-
mos o mundo e a ns mesmos dentro dele. As palavras,
do pai da administrao moderna, Peter Drucker, de
G
u
y
d
o

R
o
s
s
i
Fonte Fonte F te on
30
Parcerias internacionais
Criado em 1997 para cuidar da segurana na
Rede Nacional de Pesquisa, o Centro de Atendimento
a Incidentes de Segurana (Cais) completa uma dcada
com propostas de abertura em sua atuao, buscando
contemplar o usurio domstico, e consolidando
uma postura voltada prioritariamente preveno de
incidentes.
O que tem mudado na nossa atuao expli-
ca o analista Ronaldo Vasconcelos que deixamos
de aguardar as notifcaes e adotamos uma postu-
ra de buscar os incidentes. Efetivamos parcerias com
comunidades internacionais na rea de incidentes de
segurana e, com o tempo, passamos a receber notifcaes
do mundo todo e selecionar aquelas que diziam respeito
RNP, como mquinas infectadas. O Cais participa de
vrias comunidades internacionais, passou de uma atua-
o passiva a proativa, buscando incidentes novos, moni-
torando. Nessas comunidades, o que importa a confan-
a. No esperamos que algum reclame de um spam, mas
procuramos identifc-lo e combat-lo.
Essa postura de preveno consolidou-se, basica-
mente, em 2007, com refexos expressivos nas estatsticas
no combate a incidentes
certa forma do uma dimenso da realidade e das pers-
pectivas do comrcio eletrnico e de outras tantas opera-
es feitas pela internet.
No entanto, os riscos no podem ser desconsidera-
dos e os especialistas alertam para procedimentos simples
que podem evitar conseqncias desastrosas. Cristina
Hoepers, do CERT.br, adverte para o fato de que o perigo
no est associado utilizao desses servios em si, mas
sim falta de cuidados de segurana com o prprio com-
putador do usurio. Ou seja, independente de qual servio
usado pela internet, a segurana da transao vai depender
da segurana do computador do usurio.
Ela afrma que os bancos e sites de comrcio ele-
trnico, atualmente, j tm implementados diversos me-
canismos tecnolgicos para difcultar a fraude. Mas, se
o usurio no entender a utilizao do mecanismo e no
compreender a importncia de sua utilizao, algum pro-
blema ainda pode ocorrer.
O gerente da IBM, Marcelo Bezerra, tambm
comenta o servio de internet banking: os bancos
investiram muito e continuam a faz-lo. Promovem
tambm a disseminao de informaes alertando seus
clientes. difcil acontecer algum incidente e, nesse
caso, o computador utilizado que certamente est
com problema.
Ele explica que o risco pode estar no computador
do usurio, da seguinte forma: se a mquina, a partir
da qual voc vai fazer a operao, no for bem prote-
gida, h possibilidade de ter problemas. Pode haver
programas rastreando nmeros de cartes e senhas. Os
bancos esto cientes de que no d para esperar que o
cliente tenha essa segurana e passaram a investir nis-
so. Usam uma srie de recursos, como senhas dinmi-
cas, cartes de senhas, teclados virtuais que pedem se-
nhas com nmeros e letras, blindagem de software, que
difculta muito, evitando que outras aplicaes inter-
fram neles.
Com relao s compras pela internet, ele recomen-
da cuidados adicionais: no comprar em lojas totalmen-
te desconhecidas, mesmo que a oferta seja muito boa.
Alis, se for boa demais, melhor desconfar da pro-
cedncia do produto. Com relao s lojas desconhe-
cidas, checar telefones para comprovar se elas de fato
existem, conferir endereo. H lojas fctcias esperando
que algum caia em seus golpes. Cuidado tambm com
algumas lojas menores que, s vezes, tm seus websites
invadidos e passam a disseminar outras invases.
Marcelo Bezerra ensina: para fazer a compra com
tranqilidade, alm de manter o computador atualizado,
pesquisar em sites de busca de preos, que mostram pon-
tuao das lojas em relao qualidade de produtos e
atendimento. O risco reduz bastante, escolhendo bem
em que loja comprar. Uma busca na prpria internet vai
tomar alguns minutos, mas vale a pena. Se ao fazer com-
pras numa loja fsica as pessoas procuram aquelas mais
conhecidas, observam aparncia da loja, forma de aten-
dimento do vendedor e mercadoria em exposio, devem
fazer o mesmo na compra virtual.
Fonte Fonte F te on
31
de registros de incidentes da entidade. Trata-se de cor-
tar o mal antes que ele se instale, enfatiza Vasconcelos.
Uma das medidas mais importantes a identifcao
e combate a botnets, capazes de provocar estragos de
grandes dimenses. As chamadas botnets so, na ver-
dade, grandes redes de mquinas infectadas. Quan-
do a mquina infectada, torna-se vulnervel e passa
a se comunicar com uma mquina central. Nessa rede
de bots infectados, cada uma delas um verdadeiro ar-
senal de ferramentas; utiliza-se IRC, um tipo de chat
mais antigo, entra automaticamente no canal e comea a
esperar comandos, podendo infectar at 30 mil mqui-
nas e mandar spams a partir de vrias mquinas ao mes-
mo tempo.
Cortando a proliferao de botnets e tambm redu-
zindo alguns tipos de incidentes, como spams, o Cais tem
evitado que a RNP tenha mquinas infectadas e torne-se
um vetor de ataque.
Outra linha importante de combate a incidentes
a parceria com outras entidades que trabalham com os
mesmos objetivos. Segundo Ronaldo Vasconcelos, h
bastante interao entre o Cais e vrios grupos, como
por exemplo o Forum of Incident Response and Security
Teams (First) e do Antiphishing Working Group (APWG).
A gerente do Cais, Liliana Solha, faz parte do Comit
Gestor e tem apoiado a criao de grupos no Brasil e ou-
tros pases da Amrica Latina.
H tambm iniciativas hacker positivas no Brasil,
a exemplo de outros pases, com a realizao de confe-
rncias. O especialista chama a ateno para o uso do
termo hacker, cujo sentido original refere-se pessoa que
gosta de pesquisar softwares na internet, que se interessa
por essas questes e que ganhou o sentido pejorativo de
criminoso na internet. Segundo ele, nesses eventos nor-
malmente discutem-se problemas de vulnerabilidade, e o
Cais tem participado. O Brasil tambm tem esse tipo de
evento, para discutir tecnologias e, pelo que tenho obser-
vado, no tm carter underground.
A colaborao entre entidades em todo o mundo
suporte tambm s atividades do CERT.br. Segundo
Cristine Hoepers, existe uma cooperao muito grande
entre os grupos de segurana existentes. Aqui no Brasil,
a interao muito boa, havendo cooperao e troca
de informaes sobre tecnologias e tendncias (lista
de grupos brasileiros em: http://www.cert.br/contato-
br.html). Do ponto de vista internacional, ns do CERT.
br temos uma cooperao grande com outros CERTs
com responsabilidade nacional (lista de grupos em:
http://www.cert.org/csirts/national/contact.html). Des-
se modo, podemos atuar como facilitadores no contato
entre grupos do Brasil e grupos internacionais, sendo a
recproca verdadeira.
Ela explica que as comunicaes so geralmente
sob demanda, ocorrendo quando h um incidente de se-
gurana envolvendo as redes atendidas por um dos gru-
pos. Em geral, at pelos desafos de fuso horrio, a co-
municao toda feita pela internet, por meio de e-mails,
que so cifrados, quando necessrio.
Gl ossri o
Termos prprios de segurana da informao e jarges
ADS Anomaly Detection System
Adware forma de spyware, seu nome vem da justaposio de duas palavras da lngua inglesa: advertisement
software, e identifca um programa, ou parte de um programa de computador, que exibe propagandas, en-
quanto seu programa hospedeiro, ou aplicao principal, executado. Veja The Difference Between Adware
& Spyware em http://www.webopedia.com/DidYouKnow/Internet/2004/spyware.asp.
Ataque de fora bruta uma estratgia de descoberta de senha que tenta todas as combinaes possveis de ca-
racteres alfanumricos e smbolos especiais. (A arte de enganar Kevin Mitnick e William L. Simon)
Backdoors ponto de entrada oculto que fornece um caminho secreto para o computador de um usurio, o qual
desconhecido do usurio. Usado tambm pelos programadores que desenvolvem um programa de software,
Fonte Fonte F te on
32
para que possam entrar no programa para corrigir problemas. (A arte de enganar Kevin Mitnick e William
L. Simon)
Cavalo de tria programa que contm um cdigo malicioso ou prejudicial, criado para gerenciar os arquivos
do computador da vtima ou para obter informaes do computador ou da rede da vtima. Alguns deles foram
criados para se ocultar dentro do sistema operacional do computador e espiar cada tecla digitada ou ao, ou
para aceitar instrues por uma conexo de rede para executar alguma funo, tudo isso sem que a vtima
tenha conscincia da sua presena. (A arte de enganar Kevin Mitnick e William L. Simon)
Dead drop lugar para deixar as informaes, no qual pouco provvel que sejam encontradas por outras pes-
soas. No mundo dos espies tradicionais, isso poderia estar atrs de um tijolo falso na parede; no mundo dos
hackers de computadores, comum haver um site da internet em um pas remoto. (A arte de enganar Kevin
Mitnick e William L. Simon)
Defacement roubo de dados sigilosos ou de contas.
Freeware ou software gratuito qualquer programa de computador cuja utilizao no implica no pagamento de
licenas de uso ou royalties. (http://pt.wikipedia.org/wiki/Freeware)
IDP Intrusion Detection and Prevention
IDS Intrusion Detection System deteco de invases em rede
IPS Intrusion Prevention System
ISS Internet Security Systems
Malware gria para software malicioso, um programa de computador, tal como um vrus, um worm ou um
Cavalo de Tria, que executa tarefas prejudiciais. (A arte de enganar Kevin Mitnick e William L. Simon)
Mail drop termo da engenharia social para uma caixa postal alugada, em geral com um nome fctcio, usada
para o recebimento de documentos ou pacotes que a vtima foi convencida a enviar. (A arte de enganar Ke-
vin Mitnick e William L. Simon)
Mulas de dinheiro (do ingls Money Mules) por trs de uma oportunidade de dinheiro fcil que chega por
e-mail, muitas pessoas tentam receber porcentagens por transaes. Na maioria dos casos, a vtima fca com
a conta do primeiro fraudador para pagar.
Phishing mensagem falsa que induz a vtima a acessar um site falso, onde se poder contaminar com um Ca-
valo de Tria ou enviar dados pessoais. So aquelas mensagens de recadastramento de bancos, de CPF, etc.
Shareware uma modalidade de distribuio de software em que voc pode copi-lo, distribu-lo sem restries
e us-lo experimentalmente por um determinado perodo. No entanto, voc se coloca no compromisso moral
de pagar uma taxa (geralmente pequena em comparao a outros softwares proprietrios), caso queira us-lo
sistematicamente. Passado o tempo de avaliao o software pode parar de funcionar, perder algumas fun-
es ou fcar emitindo mensagens incmodas de aviso de prazo de avaliao expirado. (http://pt.wikipedia.
org/wiki/Shareware)
SPAM todo e-mail cujo remetente inexistente ou falso, o destinatrio no autorizou previamente o seu envio,
no podendo, inclusive, requerer o no envio. E, ainda, o contedo do e-mail no condiz com o cabealho da
mensagem, no apresentando qualquer classifcao ou alerta de que o e-mail de pesquisa ou marketing.
Fonte Fonte F te on
33
E-mails comerciais enviados a algum sem solicitao. Vo para milhares de usurios ao mesmo tempo e
congestionam a rede.
Spam zombies so computadores de usurios fnais que foram comprometidos por cdigos maliciosos em
geral, como worms, bots, vrus e Cavalos de Tria. Esses cdigos maliciosos, uma vez instalados, permitem
que spammers utilizem a mquina para envio de spam, sem o conhecimento do usurio. Enquanto utilizam
mquinas comprometidas para executar suas atividades, difcultam a identifcao da origem do spam e dos
autores tambm. So muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege.
(TI Inside)
Spyware software especializado usado para monitorar, de modo oculto, as atividades do computador de um
alvo. Um dos meios mais comuns dessa prtica usada para controlar os sites visitados pelos compradores
da internet, para que os anncios on-line possam ser adaptados aos seus hbitos de pesquisa na internet.
A outra forma anloga grampear um telefone, s que o dispositivo alvo um computador. O software
captura as atividades do usurio, incluindo as senhas e as teclas digitadas, e-mail, conversas de chat, men-
sagens instantneas, todos os sites web visitados e capturas de tela. (A arte de enganar Kevin Mitnick e
William L. Simon)
Surfar sobre os ombros o ato de observar uma pessoa digitando no teclado do computador para descobrir e
roubar sua senha ou outras informaes do usurio.
Threat Intelligence um pr-requisito para fazer uma anlise de risco conhecer quais so as ameaas o que
est a fora que pode nos atacar, quo severas so as ameaas, como elas vm evoluindo, etc. Isso o que
chamamos de Threat Intelligence e um componente essencial do gerenciamento de riscos de uma organi-
zao.
Trojans Cavalos de Tria. Os Trojan horses propagam-se quando as pessoas abrem inadvertidamente um pro-
grama, porque pensam que a mensagem proveniente de uma fonte legtima.
Virar latas vasculhar o lixo de uma empresa (quase sempre em um lixo externo e vulnervel), para encontrar
informaes descartadas que tm valor ou que fornecem uma ferramenta a ser usada em um ataque de en-
genharia social, tal como nmeros de telefones internos ou cargos. (A arte de enganar Kevin Mitnick e
William L. Simon)
Vrus um programa de computador que se replica, utilizando outro programa de computador. No jargo da
computao, o vrus, semelhante ao vrus biolgico, infecta outro programa, para que se possa propagar
pela internet. PC Worm um programa de computador mais complexo e mais completo que o vrus. Ele, por
si s, capaz de se auto-replicar sem ajuda de qualquer outro programa de computador, j programado para
infectar outros computadores alm daquele invadido inicialmente.
Fonte Fonte F te on
34
D
i
v
u
l
g
a
o
A segurana
freia ou acelera os negcios?
H
quase dez anos publico opinies relaciona-
das com a gesto de riscos, continuidade de
negcios, governana, conformidade e inteligncia
competitiva e, desde ento, vejo-me s voltas com
novas normas, padres, controles e, conseqente-
mente, com o esforo do mercado em identifcar
os benefcios e os impactos diretos e indiretos dos
programas de segurana da informao em seus ne-
gcios, bem como em tangibilizar os valores que
adicionam e convert-los em resultado.
Pois quando, fnalmente, a segurana da
informao deixou de ser um assunto restrito aos
pores dos quartis generais, s ofcinas de desen-
volvimento de inteligncia e contra-inteligncia e
chegou s salas de reunio da diretoria, mesa dos
auditores, dos administradores e security offcers, a
confuso j estava formada.
O que nasceu com o propsito legtimo e uni-
dimensional de proteger a confdencialidade das co-
municaes, foi-se transformando, acompanhando
os requerimentos do novo mundo dos negcios e,
assim, assumindo mltiplas aplicaes e dimenses.
A velocidade com que isso vem acontecendo, asso-
ciada ao entusiasmo dos que querem realizar sem
despender muito tempo na prancheta, revisando e
revalidando conceitos ou, simplesmente, contra-
riando-os, a fm de buscar inovaes metodolgi-
cas, aumenta a confuso.
Infelizmente, muitos dos que hoje, volunt-
ria ou involuntariamente, envolvem-se com a ta-
refa de fazer segurana da informao, no tm
uma viso holstica de seu legtimo papel. prov-
vel que tenham uma viso correta, porm isolada
e focada no problema que est ao alcance de seus
olhos e no, necessariamente, uma viso integrada
dos riscos inerentes, presentes, residuais e, assim,
a real percepo das implicaes e das razes para
se desenvolver um programa corporativo de segu-
rana da informao. Tudo deveria funcionar como
em uma orquestra, onde cada msico domina e sabe
exatamente o que fazer com o seu instrumento, mas
conta com o maestro que detm a viso do todo e
capaz de coordenar aes isoladas em busca de um
resultado nico que capture a essncia original da
obra.
Seria ingnuo pensar que agora o desafo
multidimensional de proteger a confdencialidade,
integridade e disponibilidade das informaes esti-
vesse claro para todos os nveis hierrquicos e em
todas as camadas de atividade. Que compreendes-
sem em sua plenitude a importncia e os mtodos
de transmisso de dados, camadas de protocolo,
chaves de sesso, algoritmos criptogrfcos, redes
sem fo, sistemas operacionais e todos os seus sa-
bores, as tcnicas de desenvolvimento de aplica-
es seguras e suas interfaces. E que, alm disso,
Marcos Smola*
da informao
Fonte Fonte F te on
35
ainda enxergassem os aspectos fsicos, os proces-
sos, a segregao de permetros, os sensores e tri-
lhas de auditoria, a contingncia, as polticas e os
procedimentos, bem como todas as outras implica-
es advindas de aspectos humanos, mercadolgi-
cos, fnanceiros e legais que inevitavelmente giram
em sua rbita.
Como qualquer outro produto ou servio de
que se tem notcia, a segurana da informao tam-
bm tem um propsito essencial e este deve estar
claro. Para produtos e servios compostos, como o
que ocorre aqui, preciso compreender o propsito
de cada camada de atividade para fnalmente conhe-
cer o propsito essencial.
Tomemos como exemplo a instalao de um
sistema de backup em uma instituio fnanceira.
Enquanto esta ao tem o propsito de primei-
ro nvel de automatizar a confeco de cpias de
segurana para garantir o mximo de disponibi-
lidade da informao diante da perda do meio de
armazenamento principal, o segundo nvel o
de aumentar a aderncia poltica de backup da
companhia. Este, por sua vez, adere ao propsito
de terceiro nvel de garantir a conformidade com
auditorias setoriais externas, at que, fnalmen-
te, toca o propsito essencial de manter o nvel
adequado de operao do negcio, fazendo-o ser
reconhecido como um fornecedor de produtos
e servios de alta qualidade. Seja por sua repu-
tao diante da adoo de melhores prticas ou
simplesmente por sua efccia diante de situaes
de crise vividas anteriormente, a segurana da
informao, de maneira geral, foi o instrumento
de valorizao do negcio, da marca, e aumentou
tambm a percepo de valor do cliente fnal.
No mercado em geral e neste caso em
particular, a segurana da informao oferece
controles que analogamente a um veculo, repre-
sentam o freio. Contudo, diferente da interpretao
inicial que fazemos do freio para um veculo, este
no tem o objetivo de impedir que o carro ande mais
rpido. Ao contrrio disso, a efcincia do freio
justamente a pea-chave para que os engenheiros de
motores possam desenvolver veculos ainda mais
velozes com a certeza de que estaro prontos para
parar efcazmente
diante de uma si-
tuao de crise. Na
prtica e sob a ti-
ca dos negcios,
possuir mecanis-
mos efcazes de
gesto de riscos da
informao jus-
tamente estar apto
a ousar, a inovar
dentro do nvel de
risco considerado aceitvel. estar mais confante
ao impor velocidades maiores ao negcio, ao diver-
sifcar, e oferecer ferramentas e mtodos novos de
trabalho que, fnalmente, suportem o propsito es-
sencial de gerar valor.
* Marcos Smola
Diretor de Operaes de Information Risk da Atos Origin em Londres,
CISM, BS7799 Lead Auditor, PCI Qualifed Security Assessor.
Membro fundador do Institute of Information Security Professionals of London.
MBA em Tecnologia Aplicada, professor da FGV com especializao em
Negociao e Estratgia pela London School, bacharel em Cincias da Computao,
autor de livros sobre gesto da segurana da informao e inteligncia competitiva.
Visite www.semola.com.br ou contate marcos@semola.com.br
Na prtica e sob a tica
dos negcios, possuir
mecanismos efcazes de
gesto de riscos da infor-
mao justamente es-
tar apto a ousar, a inovar
dentro do nvel de risco
considerado aceitvel.
Fonte Fonte F te on
36
D
i
v
u
l
g
a
o
Iniciativas e importncia
e privacidade na sade
A
rea de sade est vivendo um momento hist-
rico. O Conselho Federal de Medicina (CFM)
acaba de publicar uma resoluo que aprova o uso
de documentos eletrnicos, permitindo a eliminao
do papel. Essa ao deve ser um grande impulsiona-
dor para o maior uso das tecnologias de informao
e comunicao na rea de sade. Alis, j era tem-
po. Nos ltimos anos, assistimos a uma tremenda
evoluo nos equipamentos mdicos, mas o papel
ainda persistia em ser o principal instrumento de re-
presentao dos pronturios, resultando em salas e
salas destinadas aos lendrios Servios de Arquivo
Mdico e Estatstica (SAMEs). Bem mais que isso,
estando as informaes de sade de uma pessoa no
formato digital, outros benefcios podem ser ex-
plorados, como a facilidade na comunicao para
consultas de segundas opinies, acompanhamento
remoto em procedimentos complexos e at no apoio
tomada de decises e reduo de erros em prescri-
es. Ou seja, uma notria melhora no atendimento
assistencial.
O cenrio muito promissor. Contudo, temos
que admitir que uma grande mudana de para-
digma, que muda conceitos e processos. Conceitos,
na medida em que, como pacientes, temos, com a
internet, acesso a uma avalanche de informaes e
ferramentas, fazendo com que sejamos muito mais
participativos e pr-ativos no tratamento da doena
e, mais que isso, na promoo da sade. Processos,
j que no fazemos mais as coisas da mesma forma
que antes e temos que aprender, pacientes e profs-
sionais da sade.
Em se tratando de segurana, do que estamos
falando? Existem vrias questes que envolvem a
segurana da informao, mas as principais tratam
da privacidade e da integridade das informaes
digitais e da identidade dos atores. Essas questes
tambm esto presentes no mundo tradicional, mas
no mundo digital ganham propores muito maio-
res. Aquela pasta que era guardada e trancada no
armrio agora est em um servidor, que, potencial-
mente, pode ser acessado do outro lado do mundo.
S precisamos aprender como funcionam as trancas
eletrnicas, ou seja, quem pode abrir, ler, alterar e
excluir as informaes. E como verifcamos, em
um arquivo digital, se ele foi ou no adulterado, da
mesma forma que um papel escrito a tinta, que no
poderia ser apagado sem deixar rastros?
Existem sadas tecnolgicas para todas essas
questes e vale ressaltar a importncia da adoo
de padres nacionais e internacionais, de forma
que propiciem interoperabilidade e nveis de qua-
lidade. Nesse sentido, destaco algumas iniciativas
em curso.
Uma das principais trata do uso da certifca-
o digital. O Brasil j regulamentou, por meio da
Infra-Estrutura de Chaves Pblicas do Brasil (ICP-
Brasil), as formas de uso e emisso de certifcados
digitais aos cidados, que podem ser usados para
autenticao em aplicativos, em substituio ao
Luis Gustavo Gasparini Kiatake*
da segurana da informao
Fonte Fonte F te on
37
tradicional usurio e senha, e para gerar assinaturas
digitais, com validade jurdica equivalente assi-
natura manuscrita. Com o uso desse instrumento,
ser possvel eliminar o papel. Alm disso, tambm
prov condies de verifcar a integridade dos do-
cumentos assinados digitalmente, e possibilita a
criptografa de arquivos, agregando sigilo. Ou seja,
com esse instrumento pode-se atuar nos principais
pontos de segurana mencionados.
Outra iniciativa est sendo conduzida pela
Sociedade Brasileira de Informtica em Sade
(SBIS), em convnio com o CFM, para estabele-
cer um processo de Certifcao de Software de
Registros Eletrnicos de Sade. Os aplicativos
podero ser classifcados em dois nveis de segu-
rana, sendo que o primeiro avalia se um conjun-
to de controles bsicos de segurana seguido e,
o segundo, obrigatrio para programas que dis-
pensaro o suporte em papel, inclui aspectos de
certifcao digital. O manual de certifcao est
disponvel no site da SBIS (www.sbis.org.br).
Vale lembrar que este referncia para uma das
principais iniciativas de informatizao da sade
que o padro para Troca de Informao na Sa-
de Suplementar (TISS), implantado pela Agncia
Nacional de Sade Suplementar (ANS).
Finalmente, um novo e, talvez, o mais impor-
tante frum de discusso e promoo da informati-
zao do setor a recm-criada Comisso de Estu-
do Especial em Informtica em Sade (CEEIS), da
Associao Brasileira de Normas Tcnicas (ABNT).
Com suporte do Ministrio da Sade, por meio do
Datasus, a comisso tem participado ativamente
na International Organization for Standardization
(ISO) na elaborao das normas internacionais e
publicao de suas verses brasileiras. As questes
de segurana e privacidade so discutidas no Grupo
de Trabalho 4, especfco para esse assunto. Entre
os principais trabalhos em curso destacam-se dois:
a ISO 27799, que trata da aplicao da ISO/IEC
27002, a principal norma de segurana da informa-
o, especifcamente para a rea de sade, e que tem
programada a sua publicao no Brasil, to logo a
norma internacional seja publicada; e a ISO 25237,
que trata de tcnicas de pseudonimizao, que visa
impedir a possibilidade da identifcao de um pa-
ciente por meio de seu conjunto de informaes de
sade, como aquele contido em um pronturio do
paciente, permitindo, contudo, que seja vivel uma
cobrana fnanceira a esse paciente.
No h d-
vidas que o uso
da tecnologia na
rea da sade tra-
r muitos ganhos.
Contudo, dada a
alta sensibilida-
de desse tipo de
informao, po-
demos dizer que
a segurana um
fator essencial e
que, sem os devidos controles implantados, me-
lhor manter os processos tradicionais. No h como
pensar em uma situao na qual, sem a expressa au-
torizao de um paciente, uma informao de sade
seja divulgada, seja uma doena, uma consulta, seja
um diagnstico. Esse um direito dos cidados que,
se violado, pode acarretar danos morais e at risco
de vida, o que faz o assunto da segurana da infor-
mao e da privacidade ser discutido to seriamente
pelo setor.
* Luis Gustavo Gasparini Kiatake
Diretor Executivo da E-VAL Tecnologia e pesquisador do Laboratrio de Sistemas
Integrveis da EPUSP. Colaborador nos comits ISO/IEC JTC1/SC27 (Information
Technology/IT Security Techniques) e ABNT/CB-21/SC-02 (Comit Brasileiro
Computadores e Processamento de Dados Segurana). Professor nos cursos de
ps-graduao em Segurana da Informao, do SENAC, IPT e EDUCC. Desenvolve seu
doutorado na EPUSP, com foco em Comunicao Digital e Segurana de Informao.
No h como pensar em
uma situao, na qual,
sem a expressa autoriza-
o de um paciente, uma
informao de sade
seja divulgada, seja uma
doena, uma consulta,
seja um diagnstico.
Fonte Fonte F te on
38
O crescimento do uso das redes, especialmente a internet, e o conseqente agravamento dos problemas de
segurana tm imposto s organizaes pblicas e privadas a adoo de medidas de preveno e correo de
problemas, que chegam aos seus colaboradores na forma de polticas e programas de segurana da informao.
O valor que a informao tem para o negcio da empresa, assim como sua dependncia do uso de redes
e a natureza de sua misso, determinam os investimentos direcionados gesto de riscos e segurana da
informao e estruturao de polticas que orientem no s as equipes de Tecnologia da Informao (TI), mas
todos os empregados. Essas polticas priorizam investimentos em ferramentas de ltima gerao ou hardware
e segurana fsica. No entanto, em um ponto, a grande maioria dos gestores dos programas de segurana
concorda: o principal suporte de qualquer iniciativa dessa natureza so as pessoas, consideradas os principais
atores na criao e consolidao de uma cultura voltada para a segurana.
Nesta edio, a seo Benchmarking mostra como duas organizaes de grande porte a Companhia
Energtica de Minas Gerais (Cemig), com 11 mil empregados, e a Secretaria da Receita Federal, com mais de
30 mil conceberam, implantaram e como mantm seus programas de segurana.
Benchmarking
Investindo maciamente em segurana da in-
formao, h cerca de oito anos, a Cemig comemora
os resultados provenientes de uma nova cultura na or-
ganizao. Os incidentes esto controlados e o nvel
de conscincia dos empregados sobre sua responsa-
bilidade individual pode ser considerado satisfatrio.
Segundo o coordenador da rea responsvel
pela segurana da informao na Empresa a Ad-
ministrao da Segurana da Informao (ASI), Jos
Lus Brasil, essa nova postura dos empregados foi
obtida com muito investimento em capacitao e um
trabalho criativo de divulgao, desenvolvido em
parceria com a rea de comunicao empresarial.
Outro ingrediente dessa receita de sucesso
o humor. Utilizando recursos alternativos, como
o teatro interativo e shows de msica, empregados
e at mesmo seus familiares so envolvidos num
ambiente de descontrao que valoriza atitudes
corretas em toda e qualquer ao que envolva tran-
saes via rede, seja ela no trabalho, seja em casa.
Hoje, o programa encontra-se consolidado,
com atividades de rotina e inovaes que garantem
o envolvimento dos empregados. O programa Em
dia com a segurana da informao o elemento de
sustentao da poltica de segurana, veiculando in-
formaes sobre diversos assuntos ligados ao tema.
Enquetes sinalizam novas aes e temas a serem
abordados e, com isso, o contedo torna-se a cada
dia mais consistente.
Atualmente, empregados de municpios do in-
terior demandam visitas, que na medida do possvel,
so atendidas. Houve ano em que visitamos 34 mu-
nicpios, percorrendo mais de 5 mil km, lembra Jos
Lus Brasil. A usina mais distante, So Simo, a 900
km de Belo Horizonte, recebe tambm treinamentos
presenciais. Brasil acrescenta que as visitas tm um
Humor na construo
de uma cultura de segurana
Cemig
Fonte Fonte F te on
39
atributo adicional: a assimilao das informaes
facilitada pela disposio do empregado, que se sente
valorizado com a nossa presena. Ns de fato acredi-
tamos que o que faz a diferena so as pessoas.
Histria
Desde 1993, a Cemig preocupa-se com a segu-
rana de suas informaes. Segundo o coordenador
Jos Lus Brasil, com o mainframe j se adotava a
utilizao de software de gesto da segurana, ainda
de forma centralizada. Em 1996, houve a primeira
iniciativa de implantao de uma poltica de seguran-
a na Empresa, que, no entanto, fgurou somente no
Manual de Organizao da Cemig, entendida como
mais uma norma da Empresa. Essa poltica foi escrita
para toda a corporao, no s para a rea de TI.
Naquela poca, lembra Lus Brasil, nem
todo o ambiente de TI operava em rede e a conexo
com a internet estava longe de ser como hoje. Os
riscos eram, portanto, menores.
Um problema com o site da Empresa, em
2000, foi o alerta para uma mudana mais orientada.
Foi criado um grupo de trabalho formado por um
representante de cada gerncia de TI, com a mis-
so de planejar a segurana da informao na Em-
presa. Jos Lus ressalta que um fator importante,
identifcado naquele momento, foi a necessidade de
uma equipe especfca que tivesse foco na questo
da segurana de forma corporativa, sem se ocupar
das questes operacionais. Ele explica que essa
preocupao deveu-se constatao de que o en-
volvimento natural dos profssionais com as rotinas
operacionais no permitia uma viso mais ampla da
questo; difcil ver o todo, estando envolvido com
detalhes e precisvamos de uma viso corporativa,
que pudesse inclusive estabelecer uma relao da
segurana com os processos de negcios da Empre-
sa. Foi criada ento a ASI, uma assessoria vincula-
da Superintendncia de TI.
A primeira iniciativa da nova equipe, formada
por trs profssionais da prpria Cemig, foi elaborar
um plano de segurana da informao considerando
cinco pilares: anlise de risco e vulnerabilidades;
polticas; continuidade dos negcios; classifcao
das informaes e conscientizao dos usurios.
As primeiras etapas, segundo Lus Brasil, fo-
ram demoradas; compreendiam levantamentos de
necessidades de continuidade e impactos nos neg-
cios. A equipe deparou-se tambm com a difculda-
de de disponibilidade oramentria.
Enquanto isso, medidas com foco nas pessoas ti-
veram incio j em 2001. Foram adotadas medidas mais
imediatas de conscientizao dos usurios. A partir de 2002,
tiveram incio, ainda timidamente, os treinamentos.
Lus Brasil ressalta que em todo o processo
o foco principal do trabalho da ASI foi na adapta-
o da cultura da Empresa, na conscientizao dos
usurios. Vrias enquetes foram feitas pela nossa
intranet e revelaram que a maioria dos emprega-
dos (97,5%) ignorava a existncia da poltica de
segurana; dos 2,5% que sabiam de sua existncia,
apenas 1,5% a tinha lido. Vrias questes foram le-
vantadas nessas enquetes, a fm de sinalizar, para a
equipe, os pontos que deveriam ser tratados priori-
tariamente no trabalho de conscientizao.
A partir da, em parceria com a equipe de
comunicao empresarial da Cemig, tiveram incio
campanhas que visavam divulgao de conceitos
bsicos de segurana da informao, engenharia so-
cial e poltica de segurana. Os empregados foram
conhecendo e entendendo a existncia e a misso da
rea criada. Para isso todos os recursos e mdias dis-
ponveis foram e continuam sendo utilizados: qua-
dros de aviso, intranet, eventos, banners, cartilhas e
manuais. Todo empregado ou estagirio, ao ingres-
sar na empresa, recebe informaes sobre segurana
no treinamento introdutrio. H treinamento espec-
fco tambm para a equipe de teleatendimento, ca-
pacitando-a para as demandas das reas.
I
s
a
b
e
l
a

A
b
r
e
u

Lucas Lanna, Ricardo Moleda, Jean Marcelo Oliveira,
Arlindo Porto, Marcus Vincius Belfort e Jos Lus Brasil
Fonte Fonte F te on
40
Lus Brasil explica que o planejamento das
capacitaes considerou um fato importante: a gran-
de disperso da Empresa em todo o Estado. Como
podamos estar juntos a todos os empregados? A
Cemig tem sete regionais: Centro (em Belo Hori-
zonte), Tringulo, Sul, Mantiqueira, Norte, Oeste
e Leste. Pensvamos que esse trabalho deveria ser
algo interessante, diferente. Foi contratado, ento,
o grupo de teatro empresarial Grafte, de Belo Ho-
rizonte, que criou roteiros personalizados com base
nos temas fornecidos pela equipe da ASI. Eles
desenvolviam roteiros especfcos e faziam uma
apresentao prvia para nossa aprovao ou para
adequaes.
Segundo Lus, houve uma receptividade mui-
to boa. O treinamento era composto de palestras e
das peas de teatro, que representavam cenas dos
contedos abordados nas palestras. Reforaram,
dessa forma, conceitos de segurana da informao,
engenharia social e polticas de segurana. A dura-
o era de meio expediente e acontecia em ambien-
tes da Cemig, com um custo mdio de R$40,00 por
empregado.
Nunca utilizamos imagens como cadeados,
que remetem excluso, enfatizando, ao contrrio,
a segurana da informao com abordagem de in-
cluso; nunca como policiamento, ensina o coor-
denador do programa. Nenhum dos treinamentos
obrigatrio.
Com esse roteiro, chegaram a treinar 1.500
pessoas em um ano. Cada vez mais procurvamos
a inovao, sempre resguardando a preocupao de
proporcionar um treinamento agradvel, com brin-
des, jogos, brincadeiras e o teatro. Sai barato para a
empresa, garante.
Dos primeiros sinais de mudanas de cultura
para uma atitude pr-ativa, foi uma guinada, ex-
plica Brasil. Em 2005, cerca de quatro anos depois
do incio do trabalho, os empregados comearam a
solicitar informaes e capacitaes. Quando divul-
gamos o calendrio do ano, empregados de cidades
que no esto contempladas reclamam. Ns priori-
zamos aquelas com maior nmero de empregados e
em centros de fcil acesso para cidades prximas,
mas tentamos ir tambm nas demais.
Os contedos de palestras e treinamentos
so desenvolvidos pela prpria equipe, privile-
giando as imagens. Percebemos que demonstrar
a importncia da segurana da informao para
o empregado, seja na Empresa ou na sua prpria
residncia, era mais efcaz do que mostrar apenas a
viso da Empresa; foi por onde comeou a mudar
o comportamento.
A poltica
Para o lanamento da poltica de segurana
da Empresa, em 2005, a equipe manteve-se fel
preocupao em oferecer algo diferente, no po-
dia ser algo convencional, tinha que ser diferente e
agradvel, lembra Brasil.
O lanamento foi considerado pelos orga-
nizadores motivo de festa. A poltica estruturada
em Diretrizes (contedos-macro) e Instrues de
procedimentos corporativas e restritas rea de TI.
Seu objetivo regulamentar o processo e servir de
orientao e referncia para todos os usurios da
Empresa.
O lanamento foi realizado no auditrio da
Cemig, com exibio de flme institucional. A sur-
presa foi a palestra do ator e produtor artstico Harol-
do Costa, que mostrou como uma escola de samba
prepara-se para um desfle importante, ressaltando o
valor da participao individual, das contingncias
e do sigilo das informaes, para que tudo d certo.
Aps a palestra, uma escola de samba apresentou-se
para os presentes, com sambistas, passistas, bateria
e muita animao.
Em 2006, a ASI cresceu e hoje tem seis pessoas:
Jos Lus Brasil, Arlindo Porto, Marcus Vincius
Belfort, Jean Marcelo Oliveira, Ricardo Moleda e
Lucas Lanna. Em 2007, o programa de conscien-
tizao foi estendido aos flhos dos empregados.
A percepo de que a questo ia alm do local de
trabalho foi sinalizada pelos prprios empregados,
durante os treinamentos, explica Lus Brasil. Em
novembro de 2007, foi feito um piloto em Belo Ho-
rizonte, com 108 flhos de empregados com idade
entre 12 e 16 anos. Reunimos a garotada num s-
bado pela manh para palestra da advogada Patrcia
Peck, especialista em direito digital. Ela falou sobre
Fonte Fonte F te on
41
os perigos da internet e cuidados que devem ter em
suas comunicaes pela rede. Foram distribudos
brindes e uma cartilha com dicas para evitar pagar
mico na rede e exibido flme sobre utilizao da
internet, alm de cinco cenas de teatro, escolhidas
pela platia. A programao foi encerrada com a
apresentao de um show de rock, pelo grupo Tchai,
que movimentou a meninada.
Treinamento on-line e classifcao
Outra frente de ao o treinamento on-line
sobre a nova poltica disponvel para todos os em-
pregados. Todos tiveram o direito de fazer, explica
Lus Brasil. Cerca de 85% dos empregados j foram
treinados em um ano e meio, contemplando todas as
diretorias da Cemig. Os gerentes das diversas reas
acompanhavam a situao de suas respectivas equi-
pes por meio de relatrios semanais e podiam, assim,
estimular a participao dos empregados. A avalia-
o desses treinamentos permitiu aferir resultados e
prover a ASI de informaes para novas iniciativas.
Foi feita tambm pesquisa com empregados
para avaliar o grau de assimilao das informa-
es, o que norteou o planejamento da divulgao
da Poltica de Segurana. Foram eleitos 14 temas
e quinzenalmente um deles destaque, com suas
respectivas instrues, no programa Em dia com a
segurana da informao.
Outra etapa importante do programa de segu-
rana da Cemig foi a classifcao das informaes,
considerada, pelos especialistas, uma das mais im-
portantes em um programa de segurana. Trata-se
de identifcar as informaes mais importantes para
o negcio da empresa e classifc-las, de acordo
com seu grau de sigilo, a fm de organizar e priorizar
aes diferenciadas para aquelas consideradas mais
crticas, esclarece o coordenador.
Trata-se de uma ao complexa, que foi co-
ordenada pela ASI e desenvolvida pelos prprios
empregados. Para isso, foi criada uma metodologia
para identifcao das informaes que deveriam ser
classifcadas. Mais de 200 pessoas foram capacita-
das nessa metodologia. Cada rea fez a classifcao
e tratamento das suas informaes, num prazo de
30 dias. A capacitao para multiplicar informaes
sobre como classifcar as informaes contemplou
430 pessoas. O trabalho foi feito em Belo Horizonte
e tambm no interior.
Nessa etapa do programa foi utilizado o re-
curso do teatro, apresentado em todos os andares
do prdio, no hall dos elevadores, em Belo Hori-
zonte. A informao sobre a classifcao de cada
informao da Cemig est disponvel para todos os
empregados em um portal especfco. Brevemen-
te, ser lanado um game com 100 perguntas ca-
dastradas que, randomicamente sero sorteadas.
um jogo on-line, explica Brasil. Esse jogo tambm
ser referncia para o planejamento de medidas da
ASI, com base nos resultados.
Outra medida em andamento pela equipe a
defnio da anlise de vulnerabilidades, que permi-
tir a interligao da gesto de processos, pessoas e
ferramentas. J podemos determinar ndices de risco,
temos indicadores defnidos para isso. Estamos tratan-
do e minimizando os riscos, afrma Lus Brasil.
Alinhamento com os negcios
Para 2008, a equipe da ASI vai priorizar a im-
plementao de medidas de segurana que estejam ali-
nhadas com as necessidades dos negcios da Empresa,
levantando e avaliando a dependncia que cada pro-
cesso de negcio tem das tecnologias da informao e
comunicao. O objetivo defnir, com base nos pro-
cessos prioritrios, medidas capazes de assegurar que
os sistemas e rotinas de TI estejam de fato de acordo
com as necessidades de confdencialidade, integridade
e disponibilidade dos negcios da empresa.
Divulgao
Capacitao utiliza recursos ldicos
Fonte Fonte F te on
42
Certifcao digital
a chave da segurana
Antes mesmo da oferta de informaes e
servios pela internet, a Receita Federal j ado-
tava procedimentos para segurana de suas infor-
maes, desde 1994. O coordenador-adjunto de
Tecnologia da Informao da Receita, Donizette
Victor Rodrigues, lembra que no incio as medidas
eram ainda incipientes, uma vez que os riscos e
preocupaes eram tambm pequenos. Os siste-
mas eram basicamente em mainframe, no havia
muito perigo, lembra.
Em 1995, a entidade passou a instalar e a
utilizar redes locais, adotando microcomputadores,
servidores e intensifcando, ao mesmo tempo, o uso
da internet, o que levou a uma preocupao maior
com a segurana das informaes. dessa poca a
oferta das primeiras informaes para os usurios
na internet, em uma seo do site do Ministrio da
Fazenda, uma vez que a Receita ainda no tinha seu
prprio site.
A criao da homepage da entidade, em
1996, ainda no site do Ministrio da Fazenda, foi
um importante passo para uma ao mais consisten-
te de oferta de informaes e servios. A primeira
homepage trazia informaes para o preenchimento
da declarao do imposto de renda e, pela primeira
vez, o download do programa gerador da declara-
o, que at o ano anterior s estava disponvel em
disquete.
Ainda em 1996, no segundo semestre, foi
criado o site da receita www.receita.fazenda.gov.br
que veio acompanhado de medidas mais dirigi-
das segurana da informao: so dessa poca as
primeiras normas e regulamentos relativos a acesso
a sistemas, redes, correio eletrnico e internet. Se-
gundo Donizette Rodrigues, a primeira poltica de
segurana foi escrita nessa poca e vem evoluindo e
sendo aprimorada at hoje.
Certifcados digitais
A grande aceitao dos servios via inter-
net e o crescimento dos acessos impuseram novas
necessidades de tratamento dos riscos. O coorde-
nador lembra que, na Receita Federal, uma impor-
tante evoluo foi a adoo de certifcados digitais,
tanto para segurana interna, no acesso a sistemas,
quanto no relacionamento com os contribuintes.
Ele explica que sites com servios mais sensveis,
que envolvem sigilo fscal, existem desde 2001 e
a certifcao digital a garantia de proporcionar
a mesma segurana que os contribuintes tm nas
aes feitas de forma presencial. Ele enfatiza que
essa segurana tem viabilizado a pesquisa e a iden-
tifcao constantes de novos servios via internet.
A garantia de autoria, autenticidade, no repdio,
deu um impulso muito grande ao uso dessa tecno-
logia, afrma.
A certifcao digital a chave para fun-
cionamento do Centro Virtual de Atendimento ao
Contribuinte (e-CAC), onde as pessoas podem
executar, via internet, diversas operaes, inclusi-
ve algumas protegidas pelo sigilo fscal. Consulta
a cadastros, alterao e retifcao de dados, emis-
so de comprovantes, parcelamento de dbitos e
transaes relativas ao Siscomex so alguns servi-
os disponveis.
Receita Federal
Donizette Victor Rodrigues
D
i
v
u
l
g
a
o

R
e
c
e
i
t
a

F
e
d
e
r
a
l
Fonte Fonte F te on
43
Exemplo dessa aceitao a adeso de re-
presentantes das prefeituras municipais de todo o
Pas para acesso s informaes do Simples, com
uso de certifcados digitais. Segundo o coordena-
dor, a adeso foi mais fcil do que o esperado.
Eles precisam das informaes, no foi difcil;
mais de 5.600 municpios j usam a certifcao
digital.
Na Receita Federal, todos os funcionrios
utilizam, hoje, certifcados digitais para controle de
acesso a sistemas, totalizando 37 mil pessoas, no
Brasil. Donizette considera a tecnologia um marco
no processo de segurana da informao no rgo.
Antes, os acessos eram controlados da forma tradi-
cional, com usurio e senha e j h pesquisas para
avanos no uso de ferramentas mais sofsticadas
de segurana, como por exemplo, a biometria. Se-
gundo ele, nos relacionamentos externos com os
contribuintes, a certifcao digital tem atendido
de forma satisfatria.
Para suportar o volume de informaes de
forma segura, a rea de TI adota um conjunto de
ferramentas bastante avanadas de segurana,
de transmisso e de recepo. algo sempre
em evoluo. O Receitanet, por exemplo, tem
sempre novas verses. Donizette afirma que
essas protees garantem, de fato, a integridade
das informaes: a proteo e as garantias so
muito grandes. No temos ocorrncias dignas
de nota.
Outro investimento importante para a
disponibilidade dos servios, especialmente em
infra-estrutura nos perodos de pico: nossa es-
trutura bastante escalvel, nossos servidores
priorizam aplicaes para no haver impacto. H
esquema de dedicao quase exclusiva na poca
de pico. Nunca houve problema de congestiona-
mento; pode haver problemas fora da Receita,
garante.
O coordenador adverte para a necessidade de
obter equilbrio entre os custos e os benefcios des-
sas inovaes: segurana da informao algo em
que se tem que pesar, tambm, o custo, buscando,
naturalmente, o nvel mximo de segurana, dispo-
nibilidade e facilidade de uso.
Estrutura
O gerenciamento das aes de segurana da
Receita est centralizado em Braslia, onde atua a
coordenao de TI, com uma diviso de seguran-
a da informao. Essa rea responsvel pela
normatizao e disseminao das informaes.
Nas regionais, em todo o Pas, tambm existem
divises de TI. Cada unidade conta com estrutu-
ra prpria, para superviso geral da legislao e
implantao.
Com quase dez anos de experincia com o
tratamento e trfego de informaes sigilosas, Do-
nizette aponta o elemento humano como um dos fa-
tores mais importantes do processo: ele considera a
cultura organizacional para segurana, na Receita,
bastante slida hoje. Houve um trabalho intenso
ao longo dos anos com foco na conscientizao dos
colaboradores com relao aos cuidados com segu-
rana, explica.
Os funcionrios foram exaustivamente infor-
mados sobre o conceito e os riscos da engenharia
social, por meio de campanhas de conscientizao e
disseminao e a publicao do Manual Institucio-
nal de Segurana, que contempla todos os aspectos
relacionados ao tema, como software, engenharia
social, controles de acesso. A Receita mantm ainda
campanha permanente da intranet. Hoje, o nvel
de conscincia para TI bastante alto, todos tm
uma preocupao muito grande com a segurana.
um trabalho que no acaba nunca, no se pode
dar trgua: so cartazes, alertas, palestras, flmes
um trabalho permanente. Donizette ressalta que o
mais importante o trabalho com as pessoas, as
normas por si s no fazem nada acontecer. Depen-
de das pessoas, de um trabalho de divulgao, de
conscientizao.
A entidade mantm, ainda, iniciativas relacio-
nadas com a pesquisa em tecnologias existentes no
mercado, por meio de uma diviso de prospeco,
que procura novidades na rea de software; esta-
mos sempre pesquisando, procurando novas idias
que possamos adotar, para melhorar cada vez mais.
um trabalho constante.
Fonte Fonte F te on
44
C
l
a
u
d
i
a

G
u
e
r
r
a

Informao sobre
sade na web
Q
uando a web se instalou, em meados da dcada
de 90, milhes de usurios levaram suas inova-
es sociais para a rede e deram contribuio decisi-
va para a confgurao e evoluo da internet, espe-
cialmente na formao de comunidades virtuais e no
estabelecimento dos valores de uma cibercultura.
O cenrio do ciberespao foi construdo a
partir das tecnologias digitais de informao e co-
municao criadas no incio dos anos 80, que, com a
web, se tornaram um fenmeno econmico e cultu-
ral. Com base na cooperao anarquista de milha-
res de centros informatizados no mundo, a internet
tornou-se o smbolo de uma ferramenta social indis-
pensvel no cotidiano profssional e pessoal.
nesse sentido que Manoel Castells fala da
sociedade em rede e Pierre Lvy anuncia que es-
tamos vivendo um momento histrico raro, em que
uma civilizao inventa a si prpria, deliberadamen-
te. Seria o caso da ocorrncia, aqui e agora, de um
fenmeno de alta cultura, que o historiador Giorgio
Di Santillana explica como um salto quntico na cul-
tura de uma civilizao. No ocidente, dois fenmenos
anteriores emergncia do ciberespao so identifca-
dos no perodo da inveno das tecnologias da escrita
e, depois, da imprensa. Agora, trata-se da nova rele-
vncia de um fenmeno antigo, a informao, desta
vez viajando nos meios digitais de comunicao.
Os nmeros so esclarecedores: aos milhes
de usurios da internet, do sculo 20, somaram-
se mais de 1,1 bilho de usurios at 2007, que
buscam, nos mais de 125 milhes de sites e 70 mi-
lhes de blogs, informaes relevantes para dimi-
nuir a incerteza em face dos problemas do cotidiano.
Um dos temas recorrentes dessa oferta de informa-
es na web a sade, coletiva e individual.
Uma busca simples no Google com o termo
sade tem como resultado 132 milhes de links,
elos para ligao com fontes de informao sobre
sade. E mesmo que o tema seja especifcado, como
em sade coletiva, o resultado ultrapassa 318 mil
links disponveis. Como selecionar uma fonte rele-
vante e confvel, nesse mar de informaes? Ade-
mais, alm de um direito social, a sade um bem
pessoal e intransfervel, que recebemos da vida e
nos compete cuidar e preservar. aqui que a noo
de segurana da informao se introduz.
As informaes sobre sade tm como p-
blico-alvo profssionais e pesquisadores da rea,
estudantes e pacientes, alm da populao em geral.
Quando disponibilizadas em sites de instituies de
ensino e pesquisa, organizaes da sociedade civil
ou bases de dados de teses e dissertaes acadmi-
cas e revistas cientfcas, as informaes podem ser
consideradas confveis, embora no ltimo caso,
muitas vezes, seja exigido o pagamento de uma as-
sinatura. A questo da segurana impe-se, quando
se trata da informao dirigida populao em ge-
ral, comunidade de usurios leigos que tm di-
reito informao que diminua a incerteza sobre
problemas de sade.
Isa Maria Freire*
Devemos aprender a aplicar critrios
de qualidade nas informaes
sobre sade disponveis na web.
Fonte Fonte F te on
45
Sales e Toutain pesquisaram critrios de ava-
liao da informao em sade na web, identifcan-
do credibilidade, apresentao formal do site, links,
design, interatividade e anncios como categorias
recomendadas pela Agency for Health Care Policy
and Research, do Health Information Technology
Institute (Hiti). Para a Health On the Net (HON)
Foundation, as categorias so autoridade, comple-
mentaridade, confdencialidade, atribuies, justi-
fcativas, transparncia na propriedade, transparn-
cia do patrocnio e honestidade da publicao e da
poltica editorial. No Brasil, o Conselho Regional
de Medicina de So Paulo prope como critrios
transparncia, honestidade, qualidade, consenti-
mento livre e esclarecido, privacidade tica mdi-
ca, responsabilidade e procedncia, alm de outros
aspectos semelhantes aos propostos pelo Hiti e da
HON Foundation.
Em ar t i go onde resume sua tese de dou-
torado, Lopes oferece um quadro com links para
acesso a instituies que desenvolveram ckecklists
para avaliao de sites sobre sade na web. A auto-
ra tambm nos informa que o Centro de Vigilncia
Sanitria do Governo do Estado de So Paulo tra-
duziu e adaptou o Guia Para Encontrar Informa-
es Seguras produzido pela Organizao Mundial
da Sade. Nesse Guia, so indicadas as questes
que devem nortear os usurios na busca de infor-
mao relevante e confvel:
H indicaes claras do nome e endereo
do proprietrio do site?
H alguma instituio responsvel?
H indicao de patrocinadores?
H indicaes claras sobre o propsito do
site?
Qual a data da publicao da informao?
Instituies reconhecidamente qualifcadas
apiam a publicao da informao?
Se for o caso de resultado de pesquisa, h
meno a testes clnicos?
No caso de produtos novos, estes foram re-
gistrados e aprovados no pas de origem?
No Brasil, o Comit Executivo do Governo
Eletrnico estabeleceu regras e diretrizes para si-
tes na Administrao Pblica Federal, enfatizando
como critrios, alm da validao cientfca, a cla-
reza, simplicidade, objetividade e organicidade da
informao. Em 2006, foi apresentado projeto no
Congresso Nacional sobre as responsabilidades as-
sociadas produo e comunicao de informaes
sobre sade em stios e portais da internet.
Parece muito, mas, quando se trata de garantir
a segurana da informao sobre sade, ainda mui-
to pouco. A parte
mais difcil, en-
tretanto, ser feita
pelos usurios, no
cotidiano anni-
mo, quando buscar
informaes na in-
ternet: adotar como
norma a avaliao
das fontes, como
proposto pelas ins-
tituies nacionais
e internacionais, no confar apenas nos discursos e
no esquecer os critrios de segurana.
De modo que a informao na web represen-
te, realmente, a diminuio da incerteza para um
dado usurio e, no caso da sade, propicie um cami-
nho para o conhecimento e a cura.
* Isa Maria Freire
Doutora em Cincia da Informao
Lder do Grupo de Pesquisa Informao
e Incluso Social do IBICT (Instituto Brasileiro de
Informao em Cincia e Tecnologia)
www.isafreire.pro.br
Em 2006, foi apresenta-
do projeto no Congresso
Nacional sobre as res-
ponsabilidades associa-
das produo e comu-
nicao de informaes
sobre sade em stios e
portais da internet.
1 LEVY, P. A inteligncia coletiva: por uma antropologia do ciberespao. 3ed. So Paulo: Ed. Loyola, 2000.
2 Dados em O Globo, 27 ago. 2007.
3 SALES, A.L.C.; TOUTAIN, L.B.. Aspectos que norteiam a avaliao da qualidade da informao em sade na era da sociedade digital. Anais. Salva-
dor: Cinform, 2005. Disponvel em: http://www.cinform.ufba.br/vi_anais/docs/AnaLidiaSales.pdf. Acesso em 6 dez. 2007.
4 LOPES, Ilza Leite. Estudos sobre qualidade da informao sobre sade na Web e a viso de entidades de classe brasileiras. Tempus Actas de Sade
Coletiva, v.1, n.1, 2007. Disponvel em: http://164.41.105.3/portalnesp/ojs-2.1.1/index.php/tempus/article/view/398/381. Acesso em 6 dez. 2007.
Fonte Fonte F te on
46
D
i
v
u
l
g
a
o
A chave da segurana
est no treinamento
A
internet no mundo globalizado como uma
rvore plantada junto a um ribeiro. No lhe
faltam nutrientes e seu crescimento vertiginoso.
Proporcionalmente, crescem os meios de us-la de
forma escusa. A segurana tornou-se fundamental.
Segurana de rede no mais algo esttico, din-
mico. No existe hoje soluo que preveja o futu-
ro. No passado, a soluo estava em procedimentos
ou em simples prevenes contra vrus. Hoje, no
h soluo vencedora. Tudo requer evoluo e
acompanhamento constantes.
Os agentes do mal no param de evoluir. O
que antes era brincadeira, hoje virou negcio. A
espionagem e os negcios escusos, com base em
TI, so hoje rentveis. Tem gente faturando com
isto. No s com transferncia de valores de con-
tas bancrias invadidas que os criminosos virtuais
esto ganhando dinheiro. Estes so os que a mdia
mais veicula, por serem mais compreensveis ao
grande pblico. Existem vrias empresas sendo
atacadas por gente paga para faz-lo. Por isso o ou-
tro lado tambm precisa de pessoal em evoluo,
por dentro das novidades, infltrado nas comuni-
dades de hackers, que entenda o pensamento do
inimigo.
Boas ferramentas so fundamentais nessa
guerra e precisam ser fexveis. Por exemplo: dar se-
gurana com todas as portas fechadas, no resolve.
como construir um bunker para proteger uma pes-
soa importante. Quando esta precisar entrar e sair
desse bunker, os pontos fracos sero expostos. Na
rede corporativa a mesma coisa. A empresa pre-
cisa de acesso internet em mo dupla. Tanto seus
colaboradores precisam acess-la dentro da empre-
sa, quanto seus funcionrios e clientes precisam de
acesso a informaes e servios via internet, fora
dela.
Existem empresas, at do Primeiro Mundo,
que ainda tm rede interna separada da rede que tem
ligao com a internet, por receio de roubo de dados
estratgicos. Imagino quantos negcios esto sendo
perdidos, porque seus executivos no podem aces-
sar informaes estando fora da empresa. Enquanto
o concorrente soluciona o problema em minutos, o
funcionrio da empresa X tem que ligar para a ma-
triz e pedir ao setor de engenharia para analisar a
questo, usando a rede interna, e enviar uma solu-
o por e-mail ou fax. Parece piada, mas funciona
assim.
No mundo de hoje, empresas com essa men-
talidade esto fadadas a fechar suas portas, engo-
lidas pela concorrncia. A soluo est nas aes
coordenadas com treinamento dos usurios, para
que tenham procedimentos seguros dentro da rede.
Ferramentas so fundamentais, como as portas de
nossas casas. Tm que ter fechaduras e precisam es-
tar trancadas, mas se cada um que entrar no tornar
a tranc-las, em algum momento a casa estar vul-
nervel.
O treinamento no simples. No se padro-
niza o usurio. Enquanto uns tm acesso limitado,
outros, em pontos superiores na escala de poder,
tm acesso quase irrestrito. Enquanto uns esto bem
acostumados aos recursos disponveis, outros no
tm o mnimo conhecimento e, muitas vezes, esto
no topo da hierarquia.
Erasmo Borja Sobrinho*
Fonte Fonte F te on
47
As regras para a presidncia so permissivas
e, na maioria das vezes, onde esto os usurios
menos preparados. Via de regra, desprezam treina-
mentos. No que os achem desnecessrios ou menos
importantes, mas por no terem tempo a perder
com esses treinamentos.
O correio eletrnico, hoje, fonte da maioria
das falhas de segurana, exige fltros cada vez mais
complexos, capazes de distinguir as mensagens
teis das inteis e, s vezes, perigosas. Barrar so-
mente os famigerados spams no basta. Os fltros
modernos tm que entender toda a estratgia de
quem quer passar por eles e fechar as alternativas
quase em tempo real.
Quem no quer se arriscar, no deve enviar
e nem receber e-mails. Esta no mais uma opo
vivel. Sem comunicao o profssional e a em-
presa no existem. As ferramentas mais uma vez
requerem treinamento. Filtros podem barrar men-
sagens importantes simplesmente porque contm
alguma caracterstica que as torna parecidas com
um spam ou com um worm. No ser mais o setor
de TI que ir vasculhar o lixo de cada usurio para
procurar um falso positivo (mensagem barrada in-
devidamente nos fltros de correio). O usurio tem
que saber acessar as ferramentas, para recuperar
suas prprias mensagens.
O usurio que vai ter acesso abertura de
mensagens de risco tem que estar treinado, tem
que saber o que faz, tem que identifcar quando
est recebendo um arquivo de risco. No porque
o e-mail vem de um amigo, que a mensagem no
tem risco. Os amigos tambm podem ser vtimas
de pessoas que os usam para enviar mensagens pe-
rigosas. Talvez ele nem saiba disso. Sua mquina
pode ter sido invadida e passar a ser um ponto de
envio de spam.
Sem treinamento, o usurio pode no saber
que algumas condutas so consideradas inade-
quadas, com relao a um cdigo de tica que se
estabelece no uso da internet. Com isso, causam
problemas que acabam trazendo prejuzos para a
instituio onde ele trabalha. Um simples e-mail
respondido com letras maisculas pode ofender o
destinatrio, por exemplo.
O treinamento no pra no usurio fnal. O
profssional de TI, no uso de cada ferramenta, preci-
sa estar atento s opes no uso de cada programa,
mesmo que o servio de segurana seja terceirizado.
Deve seguir as recomendaes da empresa contrata-
da. Sua atuao fundamental para adequar as ins-
trues realidade da empresa e s peculiaridades
de sua rede interna.
Terceirizao, este outro ponto importante
em segurana. At onde seguro passar o controle
a terceiros? Est
cada vez mais di-
fcil manter pro-
fssionais de TI
atualizados com
o que acontece no
mundo da segu-
rana de rede. Isto
est-se tornando
assunto para es-
pecialistas. Uma
empresa dedicada
a essa tarefa tem equipe que trabalha s com segu-
rana e pode replicar as atualizaes e novidades a
toda a sua base de clientes instantaneamente. Este
nvel de entendimento requer dedicao e compe-
tncia. Dessa forma, os servios de segurana dei-
xam o setor de TI mais tranqilo quanto s atua-
lizaes e novidades constantes. O treinamento da
equipe encarregada, neste caso, pode ser focado na
ferramenta escolhida e na estratgia de adequ-la ao
objetivo da empresa.
Portanto, seja qual for o nvel de envolvimen-
to do usurio com o sistema, o treinamento passou a
ser ponto fundamental para garantir a segurana.
* Erasmo Borja Sobrinho
Engenheiro Mecnico pela UFMG. Especializao em Engenharia Econmica FDC. Scio
/Diretor da NetSol. Diretor da Assespro MG. Professor Titular na Universidade FUMEC.
A SOLUO EST
nas aes
coordenadas com
treinamento dos
usurios, para que
tenham procedimentos
seguros dentro
da rede.
Fonte Fonte F te on
48
D
i
v
u
l
g
a
o
para ambiente corporativo:
extinguir o cabo azul
A
rpida diminuio de custo de concentrado-
res e placas de rede sem fo access points e
wireless adapters, respectivamente, sendo que estas
ltimas j vm integradas nos notebooks de ponta
tornou o uso de wireless LAN popular tambm no
ambiente corporativo.
Entretanto, adotar wireless nas empresas vai
muito alm de extinguir o cabo azul que liga o ponto
de rede ao notebook. O ambiente corporativo exige
a soluo de vrios desafos antes de o acesso wi-
reless ser utilizado de modo que proporcione uma
verdadeira vantagem competitiva para as empresas.
Para se ter idia dos principais problemas, sero lis-
tados seis deles:
1. redes wireless isoladas e no gerenciadas
com mltiplas confguraes so difceis
de suportar;
2. o padro mais utilizado, o 802.11 b/g, pos-
sui somente trs canais de rdio disponveis
no sobrepostos e utiliza freqncias j con-
gestionadas perto de 2.4 GHz, junto com te-
lefones sem fo, celulares, bluetooth, etc.;
3. usurios podem montar redes wireless de
compartilhamento em confgurao ad hoc
(conexes diretas entre estaes) sem au-
torizao e, provavelmente, sem proteo;
4. a instalao de access points de uso doms-
tico sem autorizao da empresa tambm
comum. Este tipo de instalao geralmente
realizado com as confguraes padro
de fbrica, que tm pouca ou nenhuma
segurana de autenticao de usurios ou
criptografa de dados;
5. a segurana WEP (wired equivalent pri-
vacy), utilizada inicialmente para proteger
as redes wireless LAN, no mais conside-
rada segura. J possvel, utilizando ferra-
mentas disponveis na internet, descobrir a
chave de criptografa WEP, aps a coleta de
cerca de 1 milho de pacotes. Isto equivale,
em uma rede com alto trfego, a aproxima-
damente 17 minutos de atividade;
6. o uso de wireless em ambientes dinmicos
alteraes na quantidade de usurios ao
longo do dia, alteraes em posies de
obstculos como mquinas, estoques de
peas e at pessoas transitando muda o
ambiente de RF e cria reas de sombra ou
de interferncia no previstas inicialmente.
Unifed Wireless Network
Para solucionar estes problemas, empresas
tm adotado a unifed wireless network, cuja tradu-
o rede sem fo unifcada. Controladores wire-
less concentram as informaes dos access points.
Os controladores, por sua vez, so agregados por
meio de software de gerenciamento em servidores
ou appliances dedicados. Dessa forma, h geren-
ciamento nico valendo-se de interfaces grfcas e
inteligncia que indica a melhor confgurao para
cada caso. Em suma: a soluo une o alcance e a fe-
xibilidade que as redes sem fo oferecem sem abrir
Vitrio Urashima*
Wireless LAN
muito alm de
Fonte Fonte F te on
49
mo do gerenciamento e da segurana necessrios
ao ambiente corporativo.
Com a unifed wireless network, h possibili-
dade de criar templates de confgurao e atualiza-
o de frmware centralizados e enviados automa-
ticamente para os concentradores, desfrutando das
ltimas inovaes disponibilizadas pelo fabricante.
O gerenciamento da rede RF, ativado com o uso
dos controladores wireless, permite a reconfgurao
de canais utilizados, nveis de potncia, taxas de trans-
misso e tipo de modulao do sinal (maior alcance ou
melhor confabilidade para oferecer o melhor throu-
ghput). Com isso, pode-se melhorar a cobertura de
acordo com as mudanas do ambiente, como falha em
um dos APs ou mudanas no layout. Tudo isto de for-
ma consistente e automtica. Os clculos das diversas
confguraes possveis e escolha das melhores prti-
cas so feitos pelo software de gerenciamento.
Outra vantagem que a centralizao das informa-
es da rede RF permite a implementao de solues
de localizao de dispositivos wireless, que podem ser
APs no autorizados, notebooks, coletores de dados e,
mais recentemente, tags wireless. Os softwares de ge-
renciamento permitem tambm a representao grfca
das reas de cobertura e localizao dos dispositivos wi-
reless em mapas com preciso de metros. Solues de
localizao que utilizam tags permitem o rastreamento
e controle de ativos preciosos de qualquer tipo. Basta
associar um tag ao dispositivo que se quer controlar e
monitor-lo pelo software de gerenciamento.
Em termos de segurana e disponibilidade do am-
biente wireless, podemos citar as seguintes inovaes:
adoo de esquemas de segurana de da-
dos com chaves dinmicas (se forem que-
bradas, j tero sido mudadas);
zero confguration deployment: impede a
utilizao, se um AP for roubado;
deteco e conteno de APs no autorizados;
IDS/IPS para deteco e preveno contra
ataques de rede wireless;
load balancing entre APs;
fast roaming transparente entre clulas
para voice over wireless LAN;
adaptao dinmica de RF para melhor co-
bertura.
Com gerenciamento e segurana, vale a pena
Graas fexibilidade de acesso aos dados
de qualquer lugar, o wireless representa um salto
na produtividade de nossas equipes. Dados da rede
podem ser acessados em salas de reunies, e-mails
podem ser lidos e respondidos de qualquer lugar
e no existe mais a necessidade de o usurio estar
em sua mesa de trabalho para acessar as informa-
es.
Parceiros tambm podem utilizar a rede wire-
less como visitantes, de forma segura e controlada, e
consultar intranets e extranets para obter, por exem-
plo, novos descontos, consultar posies de entrega,
resgatar documentos, requisitar aes imediatas em
vez de acumular pendncias, para quando voltarem
para suas sedes.
Tel ef ones
wireless podem
ser ramais que
acompanham o
usurio at o am-
biente de fbrica
ou depsito sem
problemas de al-
cance ou degrada-
o da qualidade
da voz. Enfm, as
solues de wireless LAN tm muito a oferecer,
mas devem ser disponibilizadas no ambiente cor-
porativo de forma segura, gerenciada, centralizada
e com escalabilidade.
No devemos perder tempo e recursos nos
prendendo a redes wireless voltadas para uso doms-
tico. Elas podem ser muito atrativas em um primeiro
momento, devido ao baixo custo de aquisio, mas,
em ambientes maiores, geram um alto custo de ope-
rao e restrio ao crescimento. Planejando de for-
ma correta, estaremos criando um ambiente propcio
ao desenvolvimento das pessoas e dos negcios.
* Vitrio Urashima
Engenheiro eletrnico pelo Instituto Tecnolgico de
Aeronutica. Especialista em Networking e
Segurana Digital da Tecnoset IT Solutions.
OS SOFTWARES DE
gerenciamento permitem
tambm a representao
grfca das reas de
cobertura e localizao
dos dispositivos wireless
em mapas com
preciso de metros
A segurana da informao em artigos acadmicos
inditos, com abordagem de aspectos tecnolgicos,
legais e sociais. Experincias na rea pblica, as relaes
trabalhistas, os riscos para indivduos e organizaes.
Fonte Fonte F te on
52
Algumas recomendaes
para um modelo de governana
da segurana da informao
Mauro Csar Bernardes
Doutor em Computao pela Universidade de So Paulo
(ICMC/USP 2005). Atualmente, diretor de diviso tecnolgica
no Centro de Computao Eletrnica da USP (CCE/USP) e
professor no Centro Universitrio Radial (UniRadial), atuando na
rea de Segurana da Informao e Governana de TIC.
RESUMO
Este artigo apresenta um conjunto de recomendaes para o desenvolvimento de
um modelo que permitir, aos administradores de uma organizao, a incorpora-
o da governana da segurana da informao, como parte do seu processo de
governana organizacional. A partir da utilizao desse modelo, pretende-se que
o conhecimento sobre os riscos relacionados com a infra-estrutura de Tecnologia
da Informao e Comunicao (TIC) seja apresentado de forma objetiva ao conse-
lho administrativo, ao longo do desenvolvimento de seu planejamento estratgico.
Uma reviso de literatura, sobre governana de TIC, foi realizada para a identifca-
o de modelos que pudessem oferecer contribuies.
D
i
v
u
l
g
a
o
1. Governana de Tecnologia da Informao e Comunicao
A informao reconhecida pe-
las organizaes nos ltimos anos
como sendo um importante recurso
estratgico, que necessita ser geren-
ciado (Weill & Ross, 2004). Os sis-
temas e os servios de Tecnologia da
Informao e Comunicao (TIC)
desempenham um papel vital na co-
leta, anlise, produo e distribuio
da informao, indispensvel exe-
cuo do negcio das organizaes.
Dessa forma, tornou-se essencial
o reconhecimento de que a TIC
crucial, estratgica e um importante
recurso que precisa de investimento
e gerenciamento apropriados.
Esse cenrio motivou o surgi-
mento do conceito de governana
tecnolgica, do termo ingls IT Go-
vernance, por meio da qual procu-
ra-se o alinhamento de TIC com os
objetivos da organizao. Governan-
a tecnolgica defne que TIC um
fator essencial para a gesto fnancei-
ra e estratgica de uma organizao e
no apenas um suporte a esta.
Governana de TIC pode ser de-
fnida da seguinte forma:
Uma estrutura de relaciona-
mentos entre processos para
direcionar e controlar uma em-
presa para atingir seus objeti-
vos corporativos, por meio da
agregao de valor e controle
dos riscos pelo uso da TIC e
seus processos (ITGI, 2001);
capacidade organizacional
exercida pela mesa diretora,
gerente executivo e gerente
Fonte Fonte F te on
53
de TIC, de controlar o plane-
jamento e a implementao
das estratgias de TIC e, dessa
forma, permitir a fuso da TIC
ao negcio (Van Grembergen,
2003);
especifcao das decises
corretas em um modelo que
encoraje o comportamento
desejvel no uso de TIC, nas
organizaes (Weill & Ross,
2004).
A governana envolve direcio-
namento de TIC e controle da gesto,
verifcao do retorno do investimen-
to e do controle dos riscos, anlise do
desempenho e das mudanas na TIC
e alinhamento com as demandas fu-
turas da atividade fm foco interno
e com a atividade fm de seus clien-
tes foco externo. Essa abrangncia
ilustrada na Figura 1. A gesto
preocupa-se com o planejamento, a
organizao, a implementao, a
implantao e a manuteno da in-
fra-estrutura de TIC e com o geren-
ciamento dos processos com foco no
suporte e no fornecimento dos servi-
os (Van Grembergen, 2003).
Para alcanar a governana da tec-
nologia da informao e comunicao,
as organizaes utilizam modelos que
defnem as melhores prticas para a
gesto de TIC. Entre esses modelos,
os de maior aceitao so o COBIT
(ITGI, 2000) e ITIL (OGC, 2000).
Figura 1 Abrangncia da governana e da gesto de TI (Van Grembergen, 2003).
Atvidade-fim
Governana de TI
Gesto de TI
Presente
Tempo
Externo
Futuro
Interno
2. Necessidade de Governana da Segurana da Informao
Seja de forma sistmica e pr-
tica ou de forma cientfca, o gestor
deve sempre buscar a melhor das
alternativas para suas decises. De
forma sistmica, o gestor usa a expe-
rincia acumulada e as observaes
do ambiente para fazer seu cenrio
decisrio ou modelo decisrio.
possvel considerar que isso seja v-
lido no s para o processo decis-
rio no enfoque organizacional, mas
tambm para o gerenciamento de
segurana da informao. Entretan-
to, em funo do grande nmero de
dados provenientes das mais diver-
sas fontes da infra-estrutura de TIC
no cenrio atual, boa parte das de-
cises precisa ser tomada de forma
estruturada e cientfca e no mais de
forma sistmica. Isso vlido tanto
para as questes de segurana com-
putacional, quanto para o processo
de tomada de decises estratgicas
nas organizaes.
No enfoque organizacional, de
forma cientfca, o gestor pode uti-
lizar modelos de governana orga-
nizacional apoiados por ferramentas
disponveis na teoria da deciso,
que, por sua vez, utiliza ferramental
de outras cincias, tais como mate-
mtica, estatstica, flosofa, admi-
nistrao, etc.
Fonte Fonte F te on
54
Considerando a dependncia
atual das organizaes do correto
funcionamento de sua rea de TIC,
para a realizao de sua misso, as
aes relacionadas com a segurana
computacional esto deixando cada
vez mais de ser tratadas apenas como
uma responsabilidade da rea de TIC
e esto sendo vistas como um desafo
para os gestores das organizaes.
Os gestores atuais esto cada vez
mais necessitados de incorporar as
responsabilidades relacionadas com
a segurana computacional em seu
processo de tomada de deciso.
Alm disso, os administradores
atuais necessitam que no s a TIC
esteja alinhada com as estratgias da
organizao, mas que estas estrat-
gias estejam tirando o melhor provei-
to da infra-estrutura de TIC existente.
Eles tero que assumir cada vez mais
a responsabilidade de garantir que as
organizaes estejam oferecendo aos
seus usurios e clientes um ambiente
de TIC seguro e confvel.
As organizaes necessitam de
proteo contra os riscos inerentes
ao uso da infra-estrutura de TIC e
simultaneamente obter indicadores
dos benefcios de ter essa infra-estru-
tura segura e confvel. Dessa forma,
alm da governana de TIC, as orga-
nizaes precisam estruturar especi-
fcamente a governana da segurana
da informao.
3. Algumas Iniciativas Relacionadas com a Governana da Segurana da Informao
possvel encontrar estudos que
apontem a necessidade de um modelo,
para que as organizaes possam al-
canar a governana da segurana da
informao (BSA, 2003) (ITGI, 2001)
(IIA, 2001) (CGTFR,2004) (NCSP,
2004) (Caruso, 2003) (OGC, 2001B)
(CERT, 2005b).
Em um estudo recente, o
Coordination Center (CERT/CC),
um centro especializado em se-
gurana na internet, localizado no
Software Engineering Institute-
Carnegie Mellon University, aponta
a atual necessidade de as organiza-
es estabelecerem e manterem a cul-
tura de uma conduta organizacional
para a segurana da informao.
Eles procuram motivar as organiza-
es a expandirem seus modelos de
governana, incluindo questes de
segurana computacional, e incor-
porar o pensamento sobre seguran-
a por toda a organizao, em suas
aes dirias de governana corpo-
rativa (CERT, 2005b ).
Como resultado de uma for-
a tarefa formada nos Estados
Unidos, em dezembro de 2003,
para desenvolver e promover um
framework de governana coerente,
para direcionar a implementao de
um programa efetivo de segurana
da informao, foi apresentado ao
pblico um documento descreven-
do a necessidade de governana da
segurana da informao (CGTFR,
2004). Esse trabalho apresenta tam-
bm recomendaes do que ne-
cessrio ser implementado e uma
proposta para avaliar a dependncia
das organizaes em relao segu-
rana computacional.
O IT Governance Institute apre-
senta tambm a necessidade de ter
um modelo para governana da se-
gurana da informao (ITGI, 2001).
Nesse trabalho apresentada a neces-
sidade de as diretorias das organiza-
es envolverem-se com as questes
de segurana computacional.
4. Modelos em Auxlio Governana da Segurana da Informao
Um modelo para governana da
segurana da informao pode ser
estruturado como um subconjunto da
governana de TIC e, conseqente-
mente, da governana organizacio-
nal. Esse modelo ser responsvel
pelo alinhamento das questes de se-
gurana computacional com o plano
estratgico da organizao.
Ao descrever o cenrio atual
para o gerenciamento de segurana
computacional, muitas fontes na li-
teratura apontam a necessidade e a
importncia de alcanar um mode-
lo de governana da segurana da
informao, que possa ser utilizado
pelas organizaes, de modo que a
segurana computacional no seja
tratada apenas no mbito tecnol-
gico, mas reconhecida como parte
integrante do planejamento estrat-
gico das organizaes no processo
de tomada de deciso. O The
Institute of Internal Auditors (IIA)
publicou um trabalho onde destaca
que, uma vez que os diretores so
responsveis pelos bons resultados
e pela continuidade da organiza-
o que governam, eles precisam
aprender a identifcar, atualmente,
as questes corretas sobre seguran-
a computacional e, ainda, conside-
r-las como parte de sua responsa-
bilidade (IIA, 2001).
Atualmente, as responsabilida-
des acerca da segurana computacio-
nal so, freqentemente, delegadas
ao gerente de segurana (Chief Security
Offcer) das organizaes, gerando
Fonte Fonte F te on
55
confitos em relao ao oramento
destinado a essa rea e necessidade
de impor medidas que vo alm de
seu escopo de atuao. Dessa forma,
muito comum observar um cen-
rio, em que as questes de seguran-
a computacional no so tratadas
em um nvel de gesto da organi-
zao, tendo, como conseqncia, a
falta de recursos para minimizar os
riscos existentes no patamar exigi-
do pela estratgia organizacional. A
responsabilidade pelo nvel correto
de segurana computacional dever
ser uma deciso estratgica de ne-
gcios, tendo como base um modelo
de governana da segurana da in-
formao que contemple uma an-
lise de risco.
Em um relatrio do Corporate
Governance Task Force proposto
que, para proteger melhor a infra-es-
trutura de TIC, as organizaes deve-
riam incorporar as questes de segu-
rana computacional em suas aes
de governana corporativa (CGTFR,
2004).
Em um trabalho publicado em
2003, o Business Software Alliance
(BSA) chama a ateno para a ne-
cessidade de desenvolver um mo-
delo de governana da segurana da
informao, que possa ser adotado
imediatamente pelas organizaes
(BSA, 2003). Esse trabalho sugere
que os objetivos de controle contidos
na ISO 27000 devam ser considera-
dos e ampliados para o desenvolvi-
mento de um modelo, em que gover-
nana da segurana da informao
no seja considerada apenas no plano
tecnolgico, mas parte integrante das
melhores prticas corporativas,
no deixando de cobrir aspectos rela-
cionados com as pessoas, processos
e tecnologia.
Para que as organizaes obte-
nham sucesso na segurana de sua
informao, os gestores precisam
tornar a segurana computacional
uma parte integrante da operao do
negcio da organizao (ENTRUST,
2004). A forma proposta para se con-
seguir isso utilizar um modelo de
governana da segurana da informa-
o como parte do controle interno e
polticas que faam parte da gover-
nana corporativa. Considerando-se
esse modelo, segurana computa-
cional deixaria de ser tratada apenas
como uma questo tcnica, passando
a ser um desafo administrativo e es-
tratgico.
Um modelo de governana da
segurana da informao dever
considerar as observaes apresen-
tadas anteriormente e apresentar-se
fortemente acoplado ao modelo de
governana de TIC, detalhando e
ampliando seu escopo de atuao na
rea de interseo com a segurana
computacional.
5. Requisitos para um Modelo de Governana da Segurana da Informao
Uma vez que as organizaes pos-
suem necessidades distintas, elas iro
apresentar abordagens diversas para
tratar as questes relacionadas com a
segurana da informao. Dessa for-
ma, um conjunto principal de requi-
sitos deve ser defnido para guiar os
mais diversos esforos. Identifcados
esses requisitos, deve-se correlacio-
n-los em um modelo de governana
da segurana da informao.
Um modelo de governana da
segurana da informao poder ser
desenvolvido tendo em mente os se-
guintes requisitos:
1. Os Chief Executive Offcers
(CEOs) precisam ter um
mecanismo para conduzir
uma avaliao peridica
sobre segurana da infor-
mao, revisar os resultados
com sua equipe e comunicar
o resultado para a mesa dire-
tora.
2. Os CEOs precisam adotar
e patrocinar boas prticas
corporativas para segurana
computacional, sendo mu-
niciados com indicadores
objetivos que os faam con-
siderar a rea de segurana
computacional como um
importante centro de inves-
timentos na organizao e
no apenas um centro de
despesas.
3. As organizaes devem
conduzir periodicamente
uma avaliao de risco rela-
cionada com a informao,
como parte do programa de
gerenciamento de riscos.
4. As organizaes precisam
desenvolver e adotar polti-
cas e procedimentos de se-
gurana com base na anlise
de risco para garantir a segu-
rana da informao.
estabelecer uma estrutura de
gerenciamento da segurana
para defnir explicitamente o
que se espera de cada indiv-
duo em termos de papis e
responsabilidades.
desenvolver planejamento
estratgico e iniciar aes
para prover a segurana ade-
quada para a rede de comu-
nicao, para os sistemas e
para a informao.
tratar segurana da informa-
o como parte integral do
ciclo de vida dos sistemas.
Fonte Fonte F te on
56
divulgar as informaes so-
bre segurana computacio-
nal, treinando, conscienti-
zando e educando todos os
envolvidos.
conduzir testes peridicos e
avaliar a efcincia das po-
lticas e procedimentos re-
lacionados com a segurana
da informao.
criar e executar um plano
para remediar vulnerabili-
dades ou defcincias que
comprometam a segurana
da informao.
desenvolver e colocar em
prtica procedimentos de
resposta a incidentes.
estabelecer planos, procedi-
mentos e testes para prover a
continuidade das operaes.
usar as melhores prticas re-
lacionadas com a segurana
computacional, como a ISO
20000 (antiga ISO 17799),
para medir a performance da
Tendo como base a estrutura de
tomada de deciso em sistemas de
informao gerenciais, os princ-
pios citados podem ser organizados
em trs nveis: operacional, ttico e
estratgico. A organizao nesses n-
veis ir permitir a evoluo de dados
do nvel operacional em informao
do nvel ttico e, posteriormente, em
conhecimento do nvel estratgico,
que possa ser til aos gestores no
planejamento estratgico das organi-
zaes.
Estruturado dessa forma, o mo-
delo poder ser utilizado para prover
conhecimento necessrio para moti-
var os administradores a patrocinar
a utilizao das melhores prticas de
segurana computacional em todos
os nveis da organizao. Dessa for-
ma, o modelo dever ainda ser capaz
de apontar as melhores prticas a se-
rem seguidas em cada um dos nveis
da organizao, contemplando trs
pontos principais em cada um desses
nveis:
O que se espera de cada indi-
vduo: o que deve e o que no
deve ser feito.
Como cada indivduo poder
verifcar se est cumprindo o
que esperado: indicadores de
produtividade.
Quais mtricas devem ser uti-
lizadas para medir a efcincia
dos processos executados e
para apontar ajustes que ne-
cessitem ser aplicados.
Uma reviso de literatura sobre
prticas de gerenciamento de segu-
rana computacional aponta, pelo
menos, quatro pontos chaves a serem
considerados na defnio de um mo-
delo para a governana da segurana
da informao, a saber:
Necessidade de uma avaliao
de risco. Os riscos precisam
ser conhecidos e as medidas
de segurana correspondentes
devem ser identifcadas.
Necessidade de uma estrutura
organizacional de segurana
computacional, tratada em to-
dos os nveis da organizao.
Necessidade de criar, endos-
sar, implementar, comunicar
e monitorar uma poltica de
segurana por toda a organiza-
o, com comprometimento e
apoio visvel dos gestores.
Necessidade de fazer com que
cada indivduo da organizao
conhea a importncia da se-
gurana computacional e trei-
n-los, para que possam utili-
zar as melhores prticas neste
sentido.
Embora esses quatro pontos cha-
ve sejam os mais comuns apontados
pela literatura, os seguintes pontos
so citados com freqncia:
Necessidade de monitorar, au-
ditar e revisar as atividades de
forma rotineira.
Necessidade de estabelecer
um plano de continuidade de
negcio que possa ser testado
regularmente.
6. Processos e Controles para um Modelo de Governana da Segurana da Informao
Para atender a todos os requisitos
necessrios a um modelo de gover-
nana da segurana da informao,
proposto, neste artigo, a combina-
o das potencialidades dos modelos
COBIT e ITIL e da norma ISO 20000.
Esses modelos vm sendo utilizados
isoladamente pelas organizaes nos
ltimos anos e representam as me-
lhores prticas desenvolvidas, testa-
das e aprovadas por especialistas ao
redor do mundo.
Uma viso geral da norma ISO
27000, dos modelos COBIT e ITIL
sero apresentados a seguir.
Fonte Fonte F te on
57
6.1 Cdigo de Prtica para a Gesto da Segurana da Informao - ISO 27001
Para atender aos anseios de gran-
des empresas, de agncias governa-
mentais e de instituies internacio-
nais em relao ao estabelecimento de
padres e normas que refetissem as
melhores prticas de mercado relacio-
nadas com a segurana dos sistemas
e informaes, o British Standards
Institute (BSI) criou uma das primei-
ras normas sobre o assunto. Denomi-
nada BS 7799 - Code of Practice for
Information Security Management,
ela foi ofcialmente apresentada em
primeiro de dezembro de 2000, aps
um trabalho intenso de consulta p-
blica e internacionalizao. A BS
7799 foi aceita como padro inter-
nacional pelos pases membros da
International Standards Organization
(ISO), sendo ento denominada ISO/
IEC 17799:2000 (ISO, 2000). No ano
2001, a norma foi traduzida e adotada
pela Associao Brasileira de Normas
Tcnicas (ABNT), como NBR 17799
- Cdigo de Prtica para a Gesto da Se-
gurana da Informao (ABNT, 2001).
A norma ISO/IEC 17799, com
base na parte 1 da BS 7799, fornece
recomendaes para gesto da segu-
rana da informao, a serem usadas
pelos responsveis pela introduo,
implementao ou manuteno da
segurana em suas organizaes.
Tem como propsito prover uma base
comum para o desenvolvimento de
normas de segurana organizacional
e das prticas efetivas de gesto da
segurana, e prover confana nos
relacionamentos entre organizaes
Atualmente, essa norma evoluiu para
um conjunto de normas organizadas
pelo ISO, como ISO 27000 (ISO, 2000).
O conjunto de normas ISO 27000,
que substituiu a norma 17799:2005,
defne 127 objetivos de controle que
podero ser utilizados para indicar o
que deve ser abordado no modelo de
governana da segurana da infor-
mao a ser adotado na organizao,
enfocando o processo sob o ponto de
vista do negcio da empresa. A norma
trata, dentre outros, dos seguintes as-
pectos: Poltica de Segurana, Plano
de Continuidade do Negcio, Organi-
zao da Segurana, Segurana Fsica
e Ambiental, Controle de Acesso e
Legislao.
Essa norma considera a informa-
o como um patrimnio que, como
qualquer importante patrimnio da
organizao, tem um valor e, conse-
qentemente, precisa ser adequada-
mente protegido. A conformidade dos
processos corporativos com a norma
ISO 27001 pode ser utilizada pelas
empresas, para demonstrar aos seus
parceiros de negcio e clientes o seu
comprometimento com as informa-
es por ela manipuladas em relao
aos seguintes conceitos bsicos da se-
gurana da informao:
Confdencialidade: garantia de
que o acesso informao seja
obtido somente por pessoas au-
torizadas.
Integridade: salvaguarda da
exatido e completeza da infor-
mao e dos mtodos de pro-
cessamento.
Disponibilidade: garantia de
que os usurios autorizados
obtenham acesso informao
e aos ativos correspondentes,
sempre que necessrio.
Nesse contexto, a segurana da
informao est relacionada com a
proteo da informao contra uma
grande variedade de ameaas, para
permitir a continuidade do negcio,
minimizar perdas, maximizar o re-
torno de investimentos e capitalizar
oportunidades.
Para a seleo dos objetivos de
controle apropriados para a organi-
zao, a norma recomenda que seja
realizada uma Anlise de Risco, que ir
determinar a necessidade, a viabilida-
de e a melhor relao custo/benefcio
para a implantao desses controles.
6.2 Modelo COBIT
A misso maior relacionada com
desenvolvimento do modelo Con-
trol Objectives for Information and
Related Technology (COBIT) pes-
quisar, desenvolver, publicar e pro-
mover um conjunto atualizado de
padres internacionais e de melhores
prticas referentes ao uso corporati-
vo de TIC para os gerentes e audito-
res de tecnologia (ITGI, 2000).
Desenvolvido e difundido pelo
Information System Audit and
Control (ISACA) e pelo IT
Governance Institute (a partir da
terceira edio do modelo), o COBIT
um modelo considerado por muitos
a base da governana tecnolgica. O
COBIT funciona como uma entidade
de padronizao e estabelece mto-
dos formalizados para guiar a rea de
tecnologia das empresas, incluindo
qualidade, nveis de maturidade e se-
gurana da informao.
O COBIT est estruturado em
quatro domnios, para que possa
refetir um modelo para os proces-
sos de TIC. Esses domnios podem
ser caracterizados pelos seus pro-
cessos e pelas atividades executadas
em cada fase de implementao da
Fonte Fonte F te on
58
governana tecnolgica. Os dom-
nios do COBIT so os seguintes:
a) Planejamento e Organizao:
esse domnio possui onze ob-
jetivos de controle que dizem
respeito s questes estratgi-
cas associadas a como a TIC
pode contribuir, da melhor
forma possvel, para alcanar
os objetivos da organizao.
b) Aquisio e Implementao:
possui seis objetivos de con-
trole que defnem as questes
de identifcao, desenvolvi-
mento e aquisio da infra-
estrutura de TIC, conforme
as diretivas estratgicas e de
projeto predefnidos no Plano
Estratgico de Informtica
da empresa, tambm conhe-
cido como Plano Diretor de
Informtica (PDI).
c) Entrega e Suporte: esse do-
mnio, com treze objetivos de
controle, defne as questes
ligadas ao uso da TIC, para
atendimento dos servios
oferecidos para os clientes,
a manuteno e as garantias
ligadas a estes servios.
d) Monitorao: com quatro ob-
jetivos de controle, esse do-
mnio defne as questes de
auditoria e acompanhamento
dos servios de TIC, sob o
ponto de vista de validao
da efcincia dos processos
e evoluo destes em ter-
mos de desempenho e auto-
mao.
O modelo COBIT defne obje-
tivos de controle como sendo de-
claraes de resultado desejado ou
propsito a ser atingido, pela im-
plementao de procedimentos de
controle numa atividade de TI em
particular.
A Figura 2 ilustra os quatro do-
mnios do COBIT, os objetivos de
controle para cada domnio e seus
inter-relacionamentos.
Figura 2 Os domnios de processo do COBIT (ITGI, 2000).
PO1 - Definir um Plano Estratgico de TI
PO2 - Definir a Arquitetura da Informao
PO3 - Determinar a Direo Tecnolgica
PO4 - Definir a Organizao e Relacionamentos de TI
PO5 - Gerenciar o Investimento em TI
PO6 - Comunicar Metas e Diretivas Gerenciais
PO7 - Gerenciar Recursos Humanos
PO8 - Garantir Conformidade com Requisitos Externos
PO9 - Avaliar Riscos
PO10 - Gerenciar Projetos
PO11 - Gerenciar Qualidade
Objetivos do Negcio
M1 - Monitorar os Processos
M2 - Avaliar a Adequao do Controle Interno
M3 - Obter Certificao Independente
M4 - Providenciar Auditoria Independente
Monitorizao
AI1 - Identificar Solues Automatizadas
AI2 - Adquirir e Manter Software Aplicativo
AI3 - Adquirir e Manter Infra-Estrutura Tecnolgica
AI4 - Desenvolver e Manter Procedimentos
AI5 - Instalar e Validar Sistemas
AI6 - Gerenciar Mudanas
Aquisio e Implementao
DS1 - Definir e Gerenciar Nveis de Servio
DS2 - Gerenciar Servios de Terceiros
DS3 - Gerenciar Desempenho e Capacidade
DS4 - Garantir Continuidade dos Servios
DS5 - Garantir Segurana de Sistemas
DS6 - Identificar e Alocar Custos
DS7 - Educar e Treinaar Usurios
DS8 - Auxiliar e Aconselhar Clientes
DS9 - Gerenciar Configurao
DS10 - Gerenciar Problemas e Incidentes
DS11 - Gerenciar dados
DS12 - Gerenciar Instalaes
DS13 - Gerenciar a Operao
Entrega e Suporte
Eficincia
Eficcia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
COBIT
Objetivos do Negcio
Informao
Governana de TIC
Fonte Fonte F te on
59
Alm dos quatro domnios prin-
cipais, que guiam o bom uso da tecno-
logia da informao na organizao,
existe tambm a questo de audito-
ria, que permite verifcar, por meio
de relatrios de avaliao, o nvel de
maturidade dos processos da organi-
zao. O mtodo de auditoria segue
o modelo do Capability Maturity
Model for Software (CMMS)
(Paulk et al., 1993) e estabelece os
seguintes nveis:
0) Inexistente: Signifca que ne-
nhum processo de gerencia-
mento foi implementado.
1) Inicial: O processo imple-
mentado realizado sem
organizao, de modo no
planejado.
2) Repetitvel: O processo imple-
mentado repetido de modo
intuitivo, isto , depende
mais das pessoas do que de
um mtodo estabelecido.
3) Defnido: O processo imple-
mentado realizado, docu-
mentado e comunicado na
organizao.
4) Gerenciado: Existem m-
tricas de desempenho das
atividades, de modo que o
processo implementado
monitorado e constantemen-
te avaliado.
5) Otimizado: As melhores
prticas de mercado e auto-
mao so utilizadas para a
melhoria contnua dos pro-
cessos envolvidos.
O resultado da auditoria da me-
todologia COBIT, para a avaliao
do nvel de maturidade, ajuda a rea
de TIC a identifcar o nvel atual
e como evoluir para melhorar os
processos da organizao, permitin-
do a evoluo gradativa desses.
O resultado da auditoria per-
mite identifcar o nvel de evoluo
dos processos na organizao, de
modo concreto, com base em re-
latrios confveis de auditoria e
parmetros de mercado. O sumrio
executivo do relatrio gerado pela
auditoria traz as seguintes informa-
es: se existe um mtodo estabele-
cido para o processo; como o mto-
do defnido e estabelecido; quais
os controles mnimos para a verif-
cao do desempenho do mtodo;
como pode ser feita a auditoria no
mtodo; quais as ferramentas utili-
zadas no mtodo e o que avaliar no
mtodo para sua melhoria. A partir
desse ponto, a organizao defne
os objetivos de controle a serem
atingidos.
6.3 Modelo ITIL
O modelo Information Technology
Infraestructure Library (ITIL) foi
desenvolvido pelo governo britnico
no fnal da dcada de 80 e tem como
foco principal a operao e a gesto
da infra-estrutura de TIC na orga-
nizao, incluindo todos os pontos
importantes no fornecimento e ma-
nuteno dos servios de TIC (OGC,
2000). O ITIL, composto por um
conjunto das melhores prticas para
auxiliar a governana de TIC, vem
sendo um modelo amplamente utili-
zado atualmente (RUDD, 2004).
O princpio bsico do ITIL o
objeto de seu gerenciamento, ou seja,
a infra-estrutura de TIC. O ITIL des-
creve os processos que so necess-
rios para dar suporte utilizao e ao
gerenciamento da infra-estrutura de
TIC. Outro princpio fundamental do
ITIL o fornecimento de qualidade
de servio aos clientes de TIC a custos
justifcveis, isto , relacionar os cus-
tos dos servios de tecnologia de for-
ma que se possa perceber como estes
trazem valor estratgico ao negcio.
Por meio de processos padronizados
de gerenciamento do ambiente de TIC
possvel obter uma relao adequa-
da entre custos e nveis de servios
prestados pela rea de TIC.
O ITIL consiste em um con-
junto de melhores prticas, que so
inter-relacionadas, para minimizar o
custo, ao mesmo tempo em que au-
menta a qualidade dos servios de
TIC entregues aos usurios. Como
destacado na Figura 3, o ITIL or-
ganizado em cinco mdulos princi-
pais, a saber: A Perspectiva de Neg-
cios, Gerenciamento de Aplicaes,
Entrega de Servios, Suporte a Servi-
os e Gerenciamento de Infra-estrutu-
ra. Embora o modelo ITIL no tenha
um mdulo dedicado ao gerenciamen-
to de segurana computacional, ele faz
referncia a esse tema descrevendo,
em um documento, como este poderia
ser incorporado, por meio dos proces-
sos descritos, nos mdulos de Suporte
a Servios e Entrega de Servios.
Dentre os cinco mdulos cita-
dos, os mais utilizados so o Suporte
a Servios e Entrega de Servios.
Apesar de o modelo ITIL pos-
suir processos bem defnidos para
auxiliar na governana de TIC, neste
trabalho identifca-se a necessidade
de algumas adaptaes para que
possa ser utilizado para implemen-
tar todos os requisitos de um mo-
delo de governana da segurana da
Fonte Fonte F te on
60
informao. Essas adaptaes esto
relacionadas, principalmente, com a
forma de tratar incidentes de segu-
rana computacional.
Considerando a estrutura
de tomada de deciso em siste-
mas de informao, este trabalho
prope ainda um mapeamento dos
mdulos Suporte a Servios e Entre-
ga de Servios do modelo ITIL, no
nvel operacional e no nvel ttico,
conforme descrito a seguir.
7. Consideraes Finais
Neste artigo apresentaram-se a
necessidade de um modelo para go-
vernana da segurana da informa-
o e os requisitos para isto. Para
atender todos os requisitos neces-
srios a um modelo de governana
da segurana da informao, pro-
pe-se a utilizao integrada dos
modelos COBIT e ITIL e da norma
ISO 27002.
O modelo COBIT e a norma ISO
27002 iro fornecer os objetivos de
controle necessrios para atender aos
requisitos apresentados. Os proces-
sos descritos no modelo ITIL sero
utilizados para guiar a implementa-
o desses objetivos de controle.
Por meio de uma correlao des-
ses objetivos, presentes no modelo
COBIT e na norma ISO 27002, com
os processos descritos no modelo
ITIL, neste trabalho identifcou-se
que os mdulos de Suporte a Servi-
os e Entrega de Servios do mode-
lo ITIL no esto estruturados para
implementar todos os objetivos de
controle apresentados para o nvel
operacional e ttico.
Para que o modelo ITIL seja ca-
paz de implementar todos os obje-
tivos de controle apresentados pela
norma ISO 27002 e pelo modelo
COBIT, para os nveis operacional e
ttico, este trabalho props, no Captu-
lo 6, uma expanso de seus processos.
A combinao do modelo COBIT
com a norma ISO 27002 e o mode-
lo ITIL permitir a utilizao das
potencialidades de cada uma dessas
Figura 3 Modelo para Gerenciamento de Servios ITIL (OGC, 2000).
Gerenciamento dos Servios
Suporte ao
Servio
Entrega
do Servio
O
N
e
g
c
i
o
A
T
e
c
n
o
l
o
g
i
a
Planejamento para Implementar o
Gerenciamento de Servios
A
Perspectiva
do
Negcio
Gerencia-
mento
da
Infra-
estrutura
da ICT
Gerenciamento
das Aplicaes
Gerenciamento
da Segurana
Fonte Fonte F te on
61
Referncias
(ABNT, 2001) ABNT. Tecnologia da informao Cdigo de prtica para a gesto da segurana da Informao. NBR ISO/IEC 17799.
30/09/2001. (Atualmente substituda pela ISO 27002)
(BSA, 2003) BUSINESS SOFTWARE ALLIANCE. Information Security Governance: Toward a Framework for Action. Disponvel
on-line em http://www.bsa.org.Visitado em 12/12/2004.
(CARUSO, 2003) CARUSO, J.B. Information Technology Security: Governance, Strategy and Practice in Higher Education. EDUCASE
Center for Applied Research, September, 2003. Disponvel on-line em http://www.educause.edu/ecar/. Visitado em 16/03/2005.
(CERT, 2005b) CERT CORDINATION CENTER, Governing for Enterprise Security. (2005) Disponvel on-line em http://www.cert.
org/governance/ges.html. Visitado em 01/03/2005
(CGTRF, 2004) CORPORATE GOVERNANCE TASK FORCE REPORT. Information Security Governance: A Call to Action. April,
2004. Disponvel on-line em: www.cyberpartnership.org/InfoSecGov4_04.pdf. Visitado em 15/11/2004.
(ENTRUST, 2004) ENTRUST. Information Security Governance (ISG): An Essential Element of Corporate Governance. April, 2004.
Disponvel on-line em: http://www.entrust.com/governance/. Visitado em 16/03/2005.
(IIA, 2001) THE INSTITUTE OF INTERNAL AUDITORS. Information Security Governance: What Directors Need to Know. (2001).
The Critical Infraestructure Assurance Project. ISBN 0-89413-457-4. Disponvel on-line em www.theiia.org/eSAC/pdf/ISG_1215.
pdf. Visitado em 14/01/2005.
(ISO, 2000) International Organization for Standardization / International Eletrotechnical Committee. Information technology- Code
of practice for information security management. Reference number ISO/IEC 17799:2000(E). (Atualmente substituda pela ISO
27002)
(ITGI, 2000) THE IT GOVERNANCE INSTITUTE.COBIT: Control Objectives for information and related Technology. Printed in the
United States of America, 2000. ISBN: 1-893209-13-X.
(ITGI, 2001) THE IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance for Boards of Directors and Executive
Management. Printed in the USA, 2001. ISBN 1-893209-28-8. Disponvel on-line em: http://www.itgi.org/template_ITGI.
cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=6672. Visitado em 02/02/2005.
(NCSP, 2004) NATIONAL CYBER SECURITY PARTNERSHIP. Information Security Governance Assessment Tool for Higher
Education. 2004. Disponvel on-line em: http://www.cyberpartnership.org. Visitado em 15/03/2005.
(OGC, 2000) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Service Support.
Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330015 8,
(OGC, 2001a) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Service Delivery.
Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330017 4.
(OGC, 2001b) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Security Management.
Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330014 X.
(PAULK et al, 1993) PAULK, M.C.; CURTIS, B; CHRISSIS, M.B.;WEBER, C.V. Capability Maturity Model for Software, version 1.1.
Technical Report, Carnegie Mellon Software Engeneering Institute, CMU/SEI-93-TR-024, February 1993. Disponvel on-line em:
http://www.sei.cmu.edu/cmm/. Visitado em 12/01/2005.
(RUDD, 2004) RUDD, Colin. An Introductory Overview of ITIL. Publicado por iTSMF ltd, Webbs Court, United Kingdom, 2004.
Version 1.0a. Disponvel on-line em: http://www.itsmf.com/publications/ITIL/Overview.pdf. Visitado em 13/03/2005.
(van GREMBERGEN, 2003) VAN GREMBERGEN, Wim. Strategies for Information Technology Governance. Idea Group Publishing,
2003. ISBN 1-591140-140-2.
(WEILL&ROSS, 2004) WEILL, Peter; Ross, Jeanne W. IT Governance: how top performers manage IT decision rights for superior
results. Harvard Business School Publishing, 2004. ISBN 1-59139-253-5.
propostas para o desenvolvimen-
to de um modelo nico que facilite
identifcar: o qu, quem, como e que
recursos tecnolgicos utilizar, para o
alcance da governana da segurana
da informao.
Fonte Fonte F te on
62
Aes de segurana da informao
no governo mineiro 2005/2007
Marconi Martins de Laia
Graduado em Administrao pela Universidade Federal de Minas
Gerais (1999), e em Administrao Pblica, pela Fundao Joo
Pinheiro (1997). Possui mestrado em Cincias da Informao,
pela Universidade Federal de Minas Gerais (2002) e, atualmente,
doutorando do Programa de Ps-graduao em Cincia da
Informao da UFMG. Diretor da Superintendncia Central de
Governana Eletrnica do Governo de Minas Gerais.
marconi.laia@planejamento.mg.gov.br
RESUMO
A segurana da informao hoje uma atividade essencial em qualquer tipo de organizao, principal-
mente do setor pblico que, alm de ter que proteger as informaes do seu negcio, responsvel pela
custdia das informaes de cidados e empresas. O objetivo deste artigo apresentar a concepo do
Plano Corporativo de Segurana da Informao do Governo do Estado de Minas Gerais e seus prin-
cipais resultados. Sero apresentadas as duas fases do Plano, sendo que a primeira contemplou a sua
elaborao e contou com a participao da Secretaria de Estado de Fazenda (SEF), Secretaria de Esta-
do de Planejamento e Gesto (Seplag) e a Companhia de Tecnologia da Informao de Minas Gerais
(Prodemge). J a segunda fase refere-se implementao do Plano e os resultados, aqui apresentados,
restringem-se Seplag.
W
a
g
n
e
r

A
n
t
n
i
o

/

S
u
c
e
s
u
Rodrigo Diniz Lara
Diretor Central de Gesto da Informao da Secretaria de
Estado de Planejamento e Gesto, graduado em Administrao
Pblica, pela Fundao Joo Pinheiro, especialista em
Gesto Estratgica da Informao pela UFMG.
rodrigo.diniz@planejamento.mg.gov.br
D
i
v
u
l
g
a
o
Palavras-chave: Segurana da Informao. ABNT NBR ISO/IEC 27001:2006. Gesto de Riscos
Fonte Fonte F te on
63
1. Introduo
A sociedade da informao vem
sendo discutida e apresentada como
uma nova era, em que a informao
pode fuir a velocidades e quantida-
des at h pouco tempo inimagin-
veis, alm de assumir valores sociais
e econmicos centrais (Brasil, 2000).
A base instrumental para esse novo
paradigma encontra-se no desenvol-
vimento sem precedentes das Tecno-
logias da Informao e Comunicao
(TICs), que permitem a troca de da-
dos por meio dos fos de telefone, li-
nhas de fbra-tica, transmisses via
satlite, dentre outros, e formam uma
estrada virtual capaz de interligar e
conectar pases, comunidades e pes-
soas em qualquer lugar do planeta.
Embora com base no desenvolvi-
mento das TICs, no se resume ao
desenvolvimento tecnolgico.
No contexto supramencionado, a
informao adquiriu o status de recur-
so fundamental para as organizaes.
O desenvolvimento da TIC tornou
a informao cada vez mais difusa
nas ltimas dcadas (Akutsu; Pinho;
2002; Castells, 2003), o que ensejou
um novo conjunto de riscos e oportu-
nidades para organizaes privadas,
pblicas ou no-governamentais.
Para as organizaes pblicas,
o desenvolvimento das TICs ense-
jou grandes desafos. Como destaca
Arajo (2006), a dcada de 80 tes-
temunhou o incio dos processos de
Reforma do Estado, que transforma-
ram radicalmente o papel e a gesto
das organizaes pblicas. No por
acaso, a aplicao e a utilizao das
Tecnologias da Informao fguram
sempre nas experincias recentes de
reforma administrativa em todo o
mundo.
Smola (2003) afrma que a
crescente valorizao da informao
como principal ativo das organiza-
es, somada a alguns fatores como:
a dependncia dos processos organi-
zacionais em relao aos sistemas de
informao; o crescimento contnuo
da digitalizao das informaes;
o crescimento exponencial da co-
nectividade da organizao; o cres-
cimento do compartilhamento das
informaes; a macia utilizao da
internet; a grande diversidade e com-
partilhamento de tcnicas de ataque
e invaso; a carncia de mecanismos
legais de responsabilizao em am-
biente virtual; e a diversifcao dos
tipos de ameaas como, funcionrios
insatisfeitos, hacker
1
, vrus
2
, spams
3
,
engenharia social
4
, tem infuenciado
para que a segurana da informao
seja considerada uma real necessi-
dade e um requisito estratgico, que
interfere na capacidade das organi-
zaes de realizarem suas atividades
com efcincia e efccia.
No mbito pblico, Brasil (2006,
p. 4) afrma que:
As informaes sob custdia do
Estado sempre exigiram um tra-
to especial para sua proteo. No
entanto, com o aumento da com-
plexidade das organizaes que
realizam as tarefas de suporte
gesto de Estado, aliada cres-
cente demanda de informaes,
das quais dependem, tornou-se
vital prover a proteo a essa
massa informacional com uma
abordagem moderna e sufcien-
temente abrangente.
Diante desse cenrio, o Governo
do Estado de Minas Gerais, em con-
sonncia com o Programa de Gover-
nana Eletrnica, sob a coordenao
da Secretaria de Estado de Planeja-
mento e Gesto (Seplag) e em par-
ceria com a Secretaria de Estado de
Fazenda (SEF) e da Companhia de
Tecnologia da Informao de Minas
Gerais (Prodemge) iniciou, em 2005,
a elaborao e a implantao do Pla-
no Corporativo de Segurana da In-
formao com o objetivo de preparar
as referidas organizaes a alcanar
o nvel de segurana desejvel.
A implantao de controles de
segurana da informao efcazes ga-
rantir que o Governo do Estado ado-
te novas tecnologias, principalmente
a internet, como recurso estratgico
1 Hacker indivduo que se especializa em estudar os ativos tecnolgicos (computadores, sistemas, redes) e testar seus limites, explorando suas fra-
quezas e falhas. Tem grande facilidade de assimilao e estuda exaustivamente algo at dominar o assunto (MOREIRA, 2001, p. 65)
2 Vrus um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infeco, o vrus embute uma cpia de si
mesmo em um programa ou arquivo, que, quando executado, tambm executa o vrus, dando continuidade ao processo de infeco. (NIC BR Security
Offce, 2007, 1)
3 Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o con-
tedo exclusivamente comercial, este tipo de mensagem tambm referenciada como UCE (do ingls Unsolicited Commercial Email). (NIC BR
Security Offce, 2007, 1)
4 Engenharia Social o mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confana do usurio, para
obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. (NIC BR Security Offce, 2007, 1)
Fonte Fonte F te on
64
para disseminao de informaes e
canal de comunicao junto a outros
rgos do Governo, fornecedores e
cidado, preservando os princpios
bsicos de segurana da informao:
confdencialidade, integridade e dis-
ponibilidade.
O Plano Corporativo de Segu-
rana da Informao foi estrutura-
do em etapas, conforme o modelo
PDCA aplicado aos processos do
Sistema de Gesto de Segurana da
Informao (SGSI), defnido pela
ABNT NBR ISO/IEC 27001:2006
5
.
Primeiramente, foi realizada uma
ampla fase de diagnstico, que con-
tou com a parceria da Consultoria
Mdulo. Nessa etapa foi identif-
cado um conjunto de reas priori-
trias para aplicao das aes de
segurana. Aps o diagnstico foi
estruturado o Plano Diretor de Se-
gurana. No segundo momento,
cada um dos rgos participantes
Seplag, SEF e Prodemge pas-
sou implementao das diretrizes
expostas no Plano. Atualmente, o
Plano Corporativo de Segurana da
Informao encontra-se na terceira
etapa (Fig. 1).
Figura 1 Situao da aplicao do Modelo PDCA aplicado aos processos do SGSI do Plano
Corporativo de Segurana da Informao do Governo do Estado de Minas Gerais 2007
Fonte: Adaptado de: ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC
27001:2006 Tecnologia da informao Tcnicas de segurana Sistemas de gesto de se-
gurana da informao - Requisitos. Rio de Janeiro, 2006. vi p.
Check
Monitoramento e
anlise crtica
do SGSI
Do
Implementao
e operao
do SGSI
Plan
Estabelecimento SGSI
Act
Manuteno e
melhoria do SGSI
O objetivo desse artigo
apresentar o Plano Corporati-
vo de Segurana da Informao
do Governo do Estado e os seus
principais resultados. Alm des-
ta seo introdutria, o artigo
composto de mais trs sees. A
Seo 2 apresenta a primeira fase
que contemplou a elaborao do
Plano Corporativo de Segurana
da Informao da SEF, Seplag e
Prodemge. A Seo 3 apresenta os
produtos que foram gerados aps
a implementao do Plano Corpo-
rativo de Segurana da Informa-
o na Seplag, que corresponde
fase de implantao das diretrizes
do Plano. A Seo 4 tece consi-
deraes finais sobre os desafios
do Governo do Estado, na rea de
5 A norma ABNT NBR ISO/IEC 27001:2006 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar critica-
mente, manter e melhorar um Sistema de Gesto de Segurana da Informao.
Fonte Fonte F te on
65
2. 1 Fase Elaborao do Plano Corporativo de Segurana da Informao SEF
Seplag e Prodemge 2005/2006
A primeira fase do Plano Corpo-
rativo de Segurana da Informao da
SEF, Seplag e Prodemge contemplou
as atividades para o estabelecimento
de um Sistema de Gesto de Seguran-
a da Informao (SGSI), que repre-
senta a primeira etapa na implementa-
o de um Modelo PDCA aplicado aos
processos do SGSI, conforme explici-
tado pela norma ABNT NBR ISO/IEC
27001:2006. Essa primeira etapa pos-
sui o objetivo de:
Estabelecer a poltica, objetivos,
processos e procedimentos do
SGSI, relevantes para a gesto de
riscos e a melhoria da segurana
da informao para produzir resul-
tados de acordo com as polticas e
objetivos globais de uma organi-
zao. (ASSOCIAO BRASI-
LEIRA DE NORMAS TCNI-
CAS, 2006, p. vi)
Os projetos dessa primeira etapa
sero descritos a seguir.
2.1 Anlise de Riscos
A anlise de riscos identifcou os
riscos e vulnerabilidades dos ativos tec-
nolgicos, fsicos e humanos, que supor-
tam os processos crticos e sensveis das
trs organizaes, estabelecendo aes
para a preparao do ambiente, para
implementao de medidas de segu-
rana. Smola (2003, p.109) reafrma o
papel da anlise de riscos ao mencionar
que ela um [...] instrumento perfeito
para dimensionar a situao da seguran-
a atual (da organizao), tornando-a
consciente dos riscos e orientando-a na
busca de solues que a conduzam para
o patamar de risco aceitvel.
A anlise de riscos contemplou em
seu escopo cerca de um conjunto de
servidores, computadores/notebooks,
contratos/regulamentaes, ativos de
conectividade, gestores/usurios e os
ambientes fsicos e os Data Centers da
SEF, Seplag e Prodemge. O mais im-
portante que a anlise do Governo de
Minas Gerais no focou somente ativos
tecnolgicos. A metodologia identifcou
um conjunto de processos crticos para
as organizaes. A partir da, os ativos
que suportam os processos foram ana-
lisados. Para realizao dos trabalhos
foi utilizado um software de Gesto de
Riscos denominado Risk Manager, que
possui uma base de conhecimento vasta
sobre segurana da informao.
2.2 Plano Diretor de Segurana da Informao
A partir da anlise de risco, o
Plano Diretor de Segurana (PDS)
defniu os projetos e investimentos
em segurana em um horizonte de
tempo de trs anos, que sero exe-
cutados para conduzir o ambiente
da SEF, Seplag e Prodemge infra-
estrutura fsica, tecnologia e pes-
soas a um nvel de segurana
defnido como aceitvel pelas trs
organizaes.
A criao do PDS contou com o
desenvolvimento das seguintes ati-
vidades:
a) Mapeamento dos processos
crticos de negcio e dos seus
gestores.
b) Mapeamento da relevncia
dos processos crticos, para
o funcionamento global do
negcio.
c) Classifcao da sensibilida-
de Confdencialidade, Inte-
gridade, Disponibilidade e
Legalidade (CIDAL) de cada
processo de negcio, referen-
te a uma provvel quebra de
segurana.
d) Identifcao das caracters-
ticas de cada processo, em
funo das dimenses Gra-
vidade, Urgncia e Tendn-
cia (GUT).
e) Identifcao e planejamen-
to dos projetos de segurana
que devem ser implementa-
dos, indicando os objetivos,
escopo, benefcios, produ-
tos bsicos, atividades, re-
cursos necessrios, priori-
dade, prazo e estimativa de
investimentos.
2.3 Poltica de Segurana da Informao
A Poltica de Segurana da In-
formao estabeleceu, formalmente,
as diretrizes, normas, procedimentos/
instrues de trabalho de segurana
a serem cumpridos por todos os ser-
vidores e prestadores de servio das
Fonte Fonte F te on
66
2.4 Programa de Sensibilizao em Segurana
O elemento humano apontado
por vrios autores, entre eles, Mo-
reira (2001), Smola (2003), Ra-
mos (2004) e Teflo (2002), como
o elo mais fraco na implementao
do processo de gesto da seguran-
a da informao. O programa de
sensibilizao em segurana teve
o propsito de formar uma cultu-
ra de segurana que se integre s
atividades de rotina dos colabora-
dores das organizaes, a partir de
uma ampla divulgao da Poltica
de Segurana e dos seus conceitos
principais.
A campanha de segurana da
informao da Seplag utilizou como
mote Segurana da Informao.
Adote essa idia (Fig. 2). O proces-
so de conscientizao contou com a
realizao de 11 palestras de sensibi-
lizao com a pea teatral As velhas
e o dia de chuva, para 800 servidores
pblicos, contratados e estagirios.
Essa pea teatral j havia sido utiliza-
da pela Companhia Energtica de Mi-
nas Gerais (Cemig) e aborda, de for-
ma ldica, os problemas dos velhos
hbitos de segurana da informao
adotados pelas pessoas. Nas palestras
foram distribudas cartilhas e brindes,
como camisas, cordas de crachs e ca-
netas. Na intranet da Seplag foi criada
uma rea de segurana da informao
e foram divulgados 12 cartazes sobre
o tema, ao longo do ano de 2006.
A campanha de segurana da in-
formao da SEF utilizou como mote
Segurana da Informao. Segure
essa idia (Fig. 3) e contou tambm
com um mascote chamado Seguri-
to. A campanha conscientizou cerca
de 7.683 servidores e terceirizados
distribudos por todas as regionais da
SEF no Estado.
trs organizaes, alm de fornecer
orientao e apoio s aes de gesto
de segurana.
As diretrizes da Poltica de
Segurana foram elaboradas em
conjunto e foram as mesmas para
a SEF, Seplag e Prodemge. As nor-
mas, procedimentos e instrues
de trabalho foram desenvolvidos
tendo em vista o ambiente de cada
organizao. Ao fnal do trabalho
foram desenvolvidas 15 normas de
usurios, 15 normas tcnicas, 15
procedimentos e 15 instrues de
trabalho, alm de um modelo de
termo de sigilo desenvolvido para
cada organizao.
Os principais benefcios dessa
ao foram a determinao dos va-
lores de segurana da informao
para as organizaes, a criao de
uma linguagem comum, no que se
refere segurana da informao e
a padronizao e normatizao dos
processos e tecnologias em seguran-
a. Ademais, a Poltica de Segurana
da Informao mostrou-se como um
exemplo exitoso de poltica realizada
de forma corporativa. No so raros
os casos em que a administrao p-
blica precisa lidar, como os proble-
mas e as difculdades de fazer com
que agncias autnomas trabalhem
de forma cooperativa para buscar ob-
jetivos comuns de uma poltica, evi-
tando que cada uma fque insulada
em seu prprio contexto. O projeto
de segurana foi bem-sucedido ao
criar uma estrutura de gesto descen-
tralizada coordenada, que permitiu a
criao de uma Poltica nica para os
trs rgos em questo.
Figura 2 Mote da Campanha de Segurana da Informao Seplag (2006)
Fonte Fonte F te on
67
Figura 3 Mote da Campanha de Segurana da Informao SEF (2006)
2.5 Plano de Continuidade de Negcios para os Ativos de Tecnologia da Informao
O Plano de Continuidade de
Negcios (PCN), para os ativos
de tecnologia da informao, foi
elaborado com o objetivo de es-
tabelecer as aes para garantir a
continuidade dos processos vitais
de negcio identifcados no PDS
das trs organizaes em caso de
desastre nos ativos de TI, que su-
portam esses processos.
A primeira etapa do trabalho
foi a realizao de uma anlise
de Impacto ao Negcio tambm
conhecida por Business Impact
Analysis (BIA), que procurou or-
denar os processos de negcio de
acordo com a sua criticidade e re-
quisitos de continuidade. A partir
do BIA foi elaborada a estratgia
de recuperao e os planos: Gesto
da Continuidade, Administrao de
Crises, Recuperao do Desastre,
Validao e Testes para serem im-
plementados.
3. 2 fase Implantao do Plano Corporativo de Segurana da Informao na
Seplag 2006/2007
A 2 fase do Plano Corporativo
de Segurana da Informao con-
templou as atividades de Implemen-
tao e Operao do SGSI (Do) e
Monitoramento e anlise crtica do
SGSI (Check), que representam, res-
pectivamente, a segunda e a tercei-
ra etapas na implementao de um
Modelo PDCA aplicado aos proces-
sos do SGSI, conforme explicitado
pela norma ABNT NBR ISO/IEC
27001:2006. A segunda etapa possui
o objetivo de implementar e ope-
rar a poltica, controles, processos
e procedimentos do SGSI (ASSO-
CIAO BRASILEIRA DE NOR-
MAS TCNICAS, 2006, p. vi). J a
terceira etapa do ciclo PDCA tem o
intuito de
Avaliar e, quando aplicvel, me-
dir o desempenho de um proces-
so diante da poltica, objetivos
e experincia prtica do SGSI
e apresentar os resultados para
a anlise crtica pela direo.
(ASSOCIAO BRASILEI-
RA DE NORMAS TCNICAS,
2006, p. vi)
Por se tratar de etapas que de-
pendem das anlises de riscos de
cada ambiente, essa segunda eta-
pa foi realizada separadamente em
cada organizao. Para fazer frente
s recomendaes e s necessidades
estabelecidas na Anlise de Riscos
e no Plano de Segurana, a Seplag
empreendeu um conjunto de proje-
tos, cujos resultados podem ser vis-
tos de forma sumria a seguir:
Primeiramente, em funo das
vulnerabilidades encontradas nos
ativos tecnolgicos na primeira fase
do projeto, foram realizadas imple-
mentaes e confguraes, de modo
que os ativos fquem protegidos das
ameaas que possam causar algum
impacto para a Seplag, visando um
aumento de performance e segurana
para os usurios. Nessa primeira eta-
pa foram implementados os contro-
les relacionados com os riscos classi-
fcados como alto e muito alto.
Ademais, um segundo projeto
focou a realizao de uma espe-
cifcao para os requisitos cons-
tantes na Poltica de Segurana da
Informao da Seplag, indicando
as aes a serem tomadas para a
efetiva implementao da poltica
publicada.
A primeira ao a ser executada
foi a adeso a um registro de pre-
os realizado pela Prodemge, para
aquisio de uma ferramenta de
administrao centralizada de anti-
vrus e de anti-spam. A ferramenta
de anti-spam reduziu drasticamente
o nmero de e-mails indevidos que
giram em torno de 70% do total de
e-mails recebidos pelos funcionrios
da Seplag, atualmente.
O terceiro projeto foi criar o
escritrio de projetos de Seguran-
a da Informao Security Project
Management Offce (SPMO), que f-
cou subordinado Superintendncia
Central de Governana Eletrnica,
apoiando diversos projetos simulta-
neamente como um centro de compe-
tncia em segurana da informao.
A razo da escolha foi por acreditar
que as funes de segurana, assim
como outras, so parte de um proje-
to amplo de utilizao das TICs na
Fonte Fonte F te on
68
administrao pblica. Um manual
de gerenciamento de projetos em
segurana da informao foi criado
estabelecendo os processos e os indi-
cadores para uma gesto efciente.
Atrelada criao do escritrio,
uma das aes mais importantes foi
realizar o treinamento de todos os
componentes do Security Project
Management Offce (SPMO). Alm
destes, um conjunto com mais 32
gestores de outras organizaes p-
blicas do Poder Executivo Estadual
tambm foi qualifcado. O treina-
mento foi constitudo de dois mdu-
los, sendo que o primeiro focou os
fundamentos dos aspectos de gesto
da segurana da informao e o se-
gundo focou os aspectos de gesto
das tecnologias da segurana da in-
formao. Todos os trs servidores
do SPMO da Seplag, responsveis
pela implementao da segurana
da informao no rgo, realizaram
a prova de certifcao e receberam
o certifcado Mdulo Certifed
Security Offcer.
Tambm foi criado o projeto de
classifcao da informao, que teve
como objetivo, em um processo-pi-
loto, classifcar as informaes para
indicar a necessidade, prioridades e
o nvel esperado de proteo, quan-
do do tratamento da informao. O
processo-piloto escolhido foi o de
concursos pblicos, gerenciado pela
Diretoria Central de Proviso, que
possui informaes crticas e bastan-
te visadas at o momento da publica-
o do edital do concurso.
As atividades do projeto con-
templaram a criao de uma norma
que estabeleceu trs nveis de classi-
fcao: sem restrio, restrito e con-
fdencial; treinamento dos gestores
responsveis por esse processo, com
o intuito de garantir a continuidade
da classifcao; informaes do pro-
cesso classifcadas a partir da data da
implantao da norma.
Aps a execuo das atividades
previstas na fase 2 do Plano Corpora-
tivo de Segurana da Informao da
Seplag foi realizada uma nova An-
lise de Riscos, no mesmo escopo de
ativos, e constatados resultados posi-
tivos descritos a seguir:
a) Evoluo do ndice de segu-
rana mdio em estaes de
trabalho de 82,7%.
b) Evoluo do ndice de segu-
rana mdio em servidores
de 41%.
c) Evoluo do ndice de segu-
rana mdio em ativos de co-
nectividade de 205%.
d) Evoluo do ndice de se-
gurana mdio em pessoas
de 17%.
4. Consideraes fnais
A Administrao Pblica do Po-
der Executivo Estadual, por meio
das aes do Plano Corporativo de
Segurana da Informao da SEF,
Seplag e Prodemge, iniciou a traje-
tria para implementao de um n-
vel satisfatrio de proteo das suas
informaes.
O Plano Corporativo de Segu-
rana da Informao est sendo rea-
lizado por fases, para alcanar nveis
de segurana progressivos em pero-
dos limitados, conforme expostos
nas fases 1 e 2. Aps essas fases, as
organizaes devero avaliar a ne-
cessidade de execuo de outras e,
assim, sucessivamente, pois a ges-
to de segurana da informao
contnua e permanente. Esse modelo
permite a evoluo por fases, atin-
gindo cada vez maior escopo e maior
nvel de segurana, sem que haja
concentrao antecipada de investi-
mentos que concorreriam com as ati-
vidades dirias das organizaes.
Alm dos resultados da Seplag,
descritos no artigo, SEF e Prodemge
tambm empreenderam um conjunto
de aes para elevar a segurana das
informaes governamentais. No
obstante os avanos, o prximo de-
safo do Governo do Estado de Mi-
nas Gerais a expanso dos projetos
de segurana da informao para o
restante dos rgos e entidades da
Administrao Pblica do Estado de
Minas Gerais, principalmente a pu-
blicao de uma Poltica Corporativa
de Segurana da Informao e a con-
solidao de um Modelo de Gesto
de Segurana da Informao para o
futuro Centro Administrativo do Go-
verno do Estado
6
, previsto para o in-
cio de 2010, que concentrar todas as
Secretarias de Estado e outros rgos
da Administrao Direta e Indireta.
Embora os desafos sejam gran-
des, a breve descrio, neste artigo,
mostra o compromisso e a responsa-
bilidade do Governo de Minas Ge-
rais com a gesto pblica, fato que o
referencia como modelo de gerencia-
mento de polticas pblicas em todo
o Brasil.
6 Informaes adicionais sobre a implantao do Centro Administrativo do Governo do Estado de Minas Gerais podem ser obtidas por meio do site
www.codemig.com.br.
Fonte Fonte F te on
69
Referncias
ARAJO, L. A. D. A correspondncia eletrnica do empregado e o poder diretivo do empregador. In: Revista de direito constitucional
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC 27 002:2005 Tecnologia da informao Tc-
nicas de segurana - Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. 120 p.
______. ABNT NBR ISO/IEC 27001:2006 Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da
informao - Requisitos. Rio de Janeiro, 2006. 40 p.
AKUTSU, Luiz; PINHO, Jos Antnio Gomes de. Sociedade da informao, accountability e democracia delegativa: investigao em
portais de governo no Brasil. Revista de Administrao Pblica, Rio de Janeiro, v. 36, n. 5, p. 723-745, set/out. 2002.
ARAJO, Wagner Frederico Gomes de. A Avaliao de Stios Governamentais como um Instrumento para Melhoria dos Servios e
Informaes On-line: da concepo aos resultados. Trabalho premiado em 1 Lugar no 1 Prmio Excelncia em Gesto Pblica
do Estado de Minas Gerais. Belo Horizonte, Junho de 2006.
BRASIL. Livro Verde da Sociedade da Informao no Brasil. Braslia: Ministrio da Cincia e Tecnologia, (2000).
BRASIL. Gabinete de Segurana Institucional. Metodologia para gesto de segurana da informao para a administrao pblica
federal. 30 maio. Braslia. 2006 14 p. Disponvel em: < https://www.governoeletronico.gov.br/anexos/metodologia-para-gestao-
de-seguranca-da-informacao> Acesso em: 08 dez. 2007.
CASTELLS, Manuel. A sociedade em rede. 7.ed. So Paulo: Paz e Terra, 2003. p.1 118. (A era da informao: economia, sociedade e
cultura, v.1)
MOREIRA, Nilton Stringasci. Segurana mnima: uma viso corporativa da segurana de informaes. Rio de Janeiro: Axcel Books,
2001. 240 p.
NIC BR Security Offce. Cartilha de Segurana para Internet. Verso 3.1. [s.l]. 11 set. 2007. Disponvel em: <http://www.nbso.nic.
br/docs/cartilha/>. Acesso em: 06 dez. 2007.
SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de Janeiro: Elsevier, 2003. 156 p.
TEFILO, lvaro. Treinamento e conscientizao: fatores essenciais para o sucesso de uma poltica de segurana. Mdulo Security
Magazine, So Paulo, 15 out. 2002. Disponvel em: <http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=304&pa
gecounter=0&idiom=0>. Acesso em 8 out. 2007.
Fonte Fonte F te on
70
O monitoramento eletrnico
e as relaes trabalhistas
Alexandre Atheniense
Advogado graduado pela UFMG, com especializao em Internet Law e Propriedade
Intelectual (Berkman Center - Harvard Law School). Scio do escritrio Aristoteles
Atheniense Advogados. Presidente da Comisso de Tecnologia da Informao do
Conselho Federal da OAB. Coordenador e professor do curso de ps-graduao de
Direito de Informtica da Escola Superior de Advocacia da OAB/SP. Coordenador
da Comisso de Estudos da Associao Brasileira de Direito de Informtica e
Telecomunicaes (ABDI) em Minas Gerais. Autor do livro Internet e o Direito e co-
Autor dos livros Internet Legal e Manual de Direito Eletrnico e Internet. Atua nas
reas de Direito Empresarial e Direito de Informtica. Editor do blog DNT - O Direito
e as Novas Tecnologias (www.dnt.adv.br).
RESUMO
A utilizao de vrios dispositivos de comunicao no ambiente empresarial por
meio eletrnico pode resultar na transmisso ou acesso de dados sigilosos pelos
empregados. Este problema resulta na necessidade de monitoramento eletrnico
por parte dos empregadores. Este recurso vem suscitando discusses controversas
sobre a violao ao direito de privacidade dos empregados. Neste artigo, sero
analisados os fundamentos da licitude e dos limites do monitoramento eletrnico.
D
i
v
u
l
g
a
o
A atividade empresarial mo-
derna est inserida em um contexto
de extrema competitividade, com
demandas crescentes por solues
rpidas e efcazes. O advento e a
conseqente consolidao das tec-
nologias de informao propiciaram
o instrumental necessrio para res-
ponder adequadamente a estas exi-
gncias apontadas. Somado a este
fator, observa-se o decrscimo no
custo de tais ferramentas, bem como
a sua simplifcao, permitindo,
dessa forma, uma abrangncia dila-
tada de usurios, devido sua maior
acessibilidade.
Nesse diapaso, o implemento da
tecnologia adentrou-se no somente
nas linhas de produo, mas tam-
bm em todos os setores da empresa.
Esta incorporao deu-se de forma
irreversvel ao ponto de se constatar
a dependncia de atividades estrita-
mente secundrias da empresa aos
meios de informtica e tecnologia
da informao em geral.
O correio eletrnico, especifca-
mente, exerce papel imprescindvel
nesse cenrio delineado. A comuni-
cao veloz e efcaz que ele propicia,
permitindo inclusive a incorporao
de diversos documentos digitaliza-
dos, enseja benefcios imediatos e
um prisma de possibilidades que no
podem ser desprezados. Salienta-se
ainda o baixo custo e o alcance que
tal meio de comunicao se reveste,
acarretando a adeso em massa em
todo o ambiente empresarial.
Fonte Fonte F te on
71
A tecnologia como um todo apta
a fornecer inmeras comodidades,
mas no se pode ignorar que seu uso
inadequado pode gerar danos de am-
plitudes considerveis. No que tange
s tecnologias da informao, desvios
de fnalidade podem ser facilmente
constatados no mbito das relaes de
trabalho, tanto no plo do emprega-
dor, quanto no do empregado.
Sob a tica do trabalhador, o
meio de comunicao eletrnico
pode ensejar a transmisso de dados
sigilosos a competidores, bem como
pode ser um mecanismo para a pr-
tica de diversos ilcitos, na seara c-
vel e criminal. Em resguardo a esta
constatao, o empregador utiliza
variados instrumentos para viabilizar
o monitoramento das atividades dos
seus prepostos.
O chamado monitoramento ele-
trnico corresponde justamente
consecuo dos meios disponveis de
vigilncia com emprego de recursos
tecnolgicos. Este procedimento
plenamente vivel quanto s mensa-
gens eletronicamente transmitidas.
Basicamente pode-se distinguir o
monitoramento eletrnico em duas
modalidades de controle. A vigiln-
cia pelo controle formal concretiza-se
em programas que analisam aspectos
externos da mensagem, tais como o
destinatrio, o ttulo da mensagem e
o registro das pginas visitadas. Via
de regra, buscam-se indcios tecnol-
gicos de diversas naturezas que cor-
respondam a ultrapassagem do limite
de conduta dos empregados.
Devemos entender que o espectro
de monitoramento nas empresas atual-
mente extrapola o at ento restrito
controle das mensagens eletrnicas
intercambiadas pelos empregados.
O efetivo monitoramento se d
at mesmo antes da efetiva contra-
tao pelo departamento de recur-
sos humanos, que traa um perfl do
candidato atravs da somatria das in-
formaes colacionadas a partir de sites
de relacionamento. Estas informaes
cotejadas com os dados dos currculos
enviados revelam hbitos inerentes a
esfera privada dos candidatos.
Ressalte-se que estas informa-
es tendem a possuir maior credi-
bilidade pois so fornecidas gracio-
samente pelo usurio, alm de fotos
e vdeos que compe este banco de
dados interativo, muito mais atraente
do que um breve resumo das ativida-
des curriculares.
Nas empresas que se preocu-
pam com a segurana da informa-
o, constitui-se regra a adoo de
poltica de segurana interna onde se
impe a criao de regras sistmicas
somadas s normas legais vigentes,
de modo a delimitar com efcincia
o limite da conduta no meio digital a
ser concedido a cada empregado.
A publicidade desta poltica re-
duzida a um termo de adeso obri-
gatrio, ser fundamental para con-
verso em prova inconteste do poder
diretivo dos empregados em discus-
ses trabalhistas futuras.
Nesta poltica no se encontram
apenas defnidos o contedo ou site
e servios que sero vedados aos
empregados, mas tambm o alcance
do acesso permitido a rede interna e
externa e os recursos que sero utili-
zados para este fm.
As ferramentas que permitem re-
gular o uso seguro das informaes
esto se aperfeioando com o uso
das identidades biomtricas e certif-
cao digital, de modo a deixar in-
dcios inequvocos sobre o acesso e
compartilhamento de materiais con-
siderados como ilcitos.
Essa poltica demanda viglia e
reviso permanente, seja no aspecto
sistmico quanto legal, uma vez que
as ferramentas de interatividade na
internet e no ambiente de trabalho
se aperfeioam a cada dia, no sig-
nifcando que inexista sufciente pro-
teo jurdica para tornar a captura
destas informaes pelo empregador
como meio de prova ilcita a ser pro-
duzida em processos judiciais.
Impe-se que o poder diretivo
do empregado no ambiente de tra-
balho permita que este se traduza no
maior numero possvel de logs que
possam evidenciar todas os atos pra-
ticados pelos empregados a partir do
momento que se conecta a infra-es-
trutura tecnolgica da empresa.
O monitoramento eletrnico
ampara-se em diversos fundamentos
legais. Primeiramente, menciona-se
o poder de direo atribudo ao em-
pregador (art. 2
o
da CLT), visando o
controle e direcionamento da ativida-
de desenvolvida pela empresa. Esta
diretriz advm do prprio direito de
propriedade, vinculando a determina-
o do uso e da fruio ao seu titular.
A infuncia da propriedade no
se restringe quela supra menciona-
da. Para a determinao de sua real
abrangncia, insta distinguir as duas
modalidades de correio eletrnico
disponibilizadas em um ambiente de
empresa.
O chamado e-mail corporativo
consiste no correio eletrnico forne-
cido pela empresa ao seu preposto.
H uma identifcao direta com a
empresa devido adoo de nomen-
clatura do empregador, o chamado
domnio na internet (por exemplo:
fulano@empresabeltrana.com.br).
J o denominado e-mail privado
aquele provido por ente alheio ao
empregador. No obstante, o acesso
a tal meio de comunicao se concre-
tiza apenas com a utilizao da estru-
tura, do maquinrio de propriedade
da empresa.
Destarte, o e-mail corporativo
pode ser facilmente caracterizado
como ferramenta de trabalho, nos
Fonte Fonte F te on
72
termos do art. 458, 2
o
da CLT, e,
como tal, tem sua funo adstrita ao
exerccio da atividade laboral.
A funo da senha e sua respec-
tiva fnalidade adquirem relevncia
neste contexto. A tentativa de des-
caracterizao do e-mail corporativo
como ferramenta de trabalho im-
pulsionada pelo argumento de que a
senha fornecida ao empregador teria
como propsito a garantia de sua pri-
vacidade frente ao seu empregador,
bem como a terceiros. No se pode
olvidar o fato de que as senhas, nes-
ta modalidade de correio eletrnico,
so criadas e posteriormente forneci-
das diretamente pelo empregador aos
seus prepostos. O intuito nitidamente
perceptvel o resguardo de informa-
es pertinentes empresa que so
transmitidas por tal meio de comu-
nicao, ocorrendo, por conseguinte,
a proteo da atividade empresarial
desenvolvida em face de terceiros e
at mesmo do prprio empregado.
O conhecimento quanto senha,
destarte, decorre logicamente da pr-
pria estrutura do e-mail corporativo.
Enfatiza-se que posicionamento con-
trrio poderia at mesmo gerar obs-
tculos considerveis realizao da
atividade empresarial. Basta salientar
o transtorno que o impedimento do
empregado poderia causar. Seu afas-
tamento, por qualquer motivo, poderia
ensejar, no mnimo, a interrupo do
curso normal do trabalho e a ausncia
de acesso a dados imprescindveis.
So tambm fundamentos para
a determinao da licitude do mo-
nitoramento eletrnico as inmeras
hipteses legais de responsabilizao
do empregador pela conduta de seus
prepostos. Nesta seara, menciona-se
o art. 932, III do Cdigo Civil que
atribui a responsabilidade objetiva
do empregador por fato de tercei-
ro. O tipo penal previsto no art. 241,
1
o
, III do Estatuto da Criana e do
Adolescente quanto transmisso de
material envolvendo pedoflia por meio
eletrnico. O crime de violao de di-
reitos autorais disposto no art. 12 da Lei
9.609/98, tambm pode ser mencionado.
A atribuio de crime conduta
do empregado que viola segredo pro-
fssional (art. 154 do Cdigo Penal),
assim como o delito de concorrncia
desleal (art. 195 da Lei 9.279/96), da
mesma forma incluem-se no rol de le-
gtimos fundamentos para o monitora-
mento eletrnico. No entanto, o moni-
toramento eletrnico pode esbarrar em
garantias fundamentais do cidado,
acarretando confitos que passam a ser
observados no Judicirio brasileiro.
Os argumentos formulados con-
trariamente ao monitoramento resi-
dem basicamente na proteo dada
pela Constituio ao sigilo das co-
municaes (art. 5
o
, XII). Esta prote-
o constitucional decorrncia l-
gica de outra garantia fundamental: a
privacidade (art. 5
o
, X).
A fxao da possvel antinomia
deve ser realizada com cautela. Os su-
postos bices constitucionais ao mo-
nitoramento eletrnico cingem-se
vedao ao controle material das men-
sagens. A vigilncia desenvolvida por
meios de controle meramente formais
no atinge a inviolabilidade tutelada
pela Magna Carta e, portanto, nesta
modalidade, no h que se falar em
confito de valores constitucionais.
Quanto ao controle material, di-
versas variveis devem ser levadas
em considerao. Inicia-se perquirin-
do a natureza jurdica do correio ele-
trnico. A controvrsia quanto a este
ponto presente na doutrina. Sua ca-
racterizao como correspondncia
torna-se pressuposto essencial para a
corrente que pugna pela inviolabili-
dade de seu contedo.
Relevante a considerao de
Kildare Gonalves Carvalho (2004:
390) que assevera:
Quanto inviolabilidade de
correspondncia, embora no
haja, quanto a ela, previso ex-
pressa no texto constitucional
permitindo seja interceptada,
deve-se entender possa ser que-
brada naqueles casos em que
venha a ser utilizada como ins-
trumento de prticas ilcitas.
A perspectiva do citado consti-
tucionalista encontra fulcro no prin-
cpio da proporcionalidade. Uma
norma constitucional no deve pre-
valecer de forma abstrata e apriors-
tica em relao outra. Constatada a
antinomia, esta se resolve por meio
do princpio da proporcionalidade.
Contudo, a caracterizao do
correio eletrnico como correspon-
dncia no abrange o cerne da ques-
to, podendo at mesmo ser conside-
rada incua. Mesmo que se repute o
correio eletrnico como correspon-
dncia, os limites de sua proteo
esto determinados na Lei 9.296/96,
que regulamentou o aludido disposi-
tivo constitucional.
O artigo 10 da mencionada lei or-
dinria estatui: Constitui crime rea-
lizar interceptao de comunicaes
telefnicas, de informtica ou tele-
mtica, ou quebrar segredo da Jus-
tia, sem autorizao judicial ou com
objetivos no autorizados em lei. A
exegese da norma aponta a permissi-
vidade do monitoramento desde que
haja autorizao judicial ou se esteja
munido por uma fnalidade legalmen-
te tutelada. Neste ponto urge o refor-
o dos inmeros fundamentos legais
apresentados para o monitoramento
eletrnico, atribuindo legitimidade
ao seu implemento, desde que adstri-
to aos objetivos apresentados.
O Tribunal Superior do Trabalho
manifestou-se quanto ao tema no RR
613, publicado em 10/06/2005. Esta
importante deciso reconhece a lega-
lidade do monitoramento do e-mail
Fonte Fonte F te on
73
corporativo. Pertinente a vinculao
do monitoramento ao controle reali-
zado de forma moderada, generali-
zada e impessoal. O desvio destes
objetivos confgura abuso de direito
(art. 187 do Cdigo Civil), viabili-
zando inclusive a reparao civil.
A garantia da inviolabilidade das
comunicaes nos termos supra des-
critos funda-se na proteo ao direito
privacidade, como j assentado. Por-
tanto, sua correta defnio torna-se
imprescindvel para a soluo do con-
fito posto. Costumeiramente, aborda-
se o tema da privacidade pela delimita-
o de sua abrangncia, deslocando-se
do ponto essencial da questo.
Mesmo a doutrina que procede
perspectiva do direito adstrita a sua
amplitude reconhece a relativizao
de seu contedo, moldado segundo al-
gumas especifcidades. Alexandre de
Morais (2000: 74) estabelece os par-
metros para tal restrio: Essa neces-
sidade de interpretao mais restrita,
porm, no afasta a proteo constitu-
cional contra ofensas desarrazoadas,
desproporcionais e, principalmente,
sem qualquer nexo causal com a ativi-
dade profssional realizada.
Da mesma forma, pondera Jos
Afonso da Silva (1996: 204) ao dis-
tinguir os aspectos da vida da pes-
soa: A vida exterior, que envolve
a pessoa nas relaes sociais e nas
atividades pblicas, pode ser objeto
das pesquisas e das divulgaes de
terceiros, porque pblica.
O contedo abrangido pela pri-
vacidade de relevante determina-
o, entretanto, a limitao a este
aspecto foge do ncleo do problema.
A privacidade consiste em essncia,
no ao seu contedo em si. Refere-se
ao poder atribudo ao seu titular de
autodeterminar a exteriorizao do
contedo que abrange o prprio con-
ceito de privacidade. O conceito co-
lacionado por Jos Afonso da Silva
(1996: 202) de preciso irreparvel,
caracterizando a privacidade como
o conjunto de informao acerca do
indivduo que ele pode decidir man-
ter sob seu exclusivo controle, ou co-
municar, decidindo a quem, quando,
onde e em que condies, sem a isso
poder ser legalmente sujeito.
Nestes termos, no se cogita de
violao privacidade pelo simples
fato de ocorrer o conhecimento de
terceiro quanto a elemento intrnseco
esfera ntima do indivduo. A ofen-
sa privacidade exige o cerceamento
na faculdade do titular em determinar
os destinatrios de tais informaes
1
.
Esta noo, aplicada proble-
mtica do monitoramento eletrni-
co, produz efeitos imediatos em sua
resoluo. Fixa-se a premissa que o
e-mail corporativo, como ferramen-
ta de trabalho que , restringe-se
transmisso de mensagens pertinen-
tes atividade laboral desenvolvida.
Admitido este pressuposto, tem-se
que o monitoramento eletrnico le-
gtimo, pois seu objeto de incidncia
no alcana contedo da esfera pri-
vativa do empregado.
Assim, o ambiente proporcio-
nado pelo e-mail corporativo des-
provido de qualquer expectativa de
privacidade. O envio de mensagens
com contedo ntimo no caracteri-
za violao da privacidade, devido
cognio do empregado, quanto
natureza do meio de comunicao
utilizado. No ocorreu, neste caso,
subtrao ao poder de autodetermina-
o do preposto como j ressaltado,
restando, inclume, a sua privacidade.
No obstante a predisposio do
e-mail corporativo como ferramenta
de trabalho e as j expostas conse-
qncias advindas de tal imputao,
a conduta das partes elemento id-
neo modifcao destas caractersti-
cas. O contrato de trabalho demanda
que a atuao de seus fgurantes seja
pautada pela boa-f. O dever de in-
formao insere-se plenamente neste
instituto.
A vedao expressa ao uso par-
ticular do e-mail corporativo e a
previso do monitoramento eletr-
nico de tal meio de comunicao,
disposta no contrato de trabalho ou
em termo aditivo (art. 444 da CLT),
no somente qualifca a conduta do
empregador como fel, mas tambm
torna inequvoco o comportamento
esperado do empregado.
notrio que o direito do traba-
lho (material e processual) possui,
como um de seus princpios regen-
tes, o da proteo. A inrcia do em-
pregador, acrescida de demais vari-
veis relevantes, pode caracterizar sua
anuncia tcita quanto ao uso par-
ticular do correio eletrnico, sendo
esta perspectiva reforada pelo prin-
cpio acima apresentado.
A repercusso do aludido aceite
tcito modifca a prpria natureza
do correio eletrnico. Admitida sua
utilizao para fns alheios ativida-
de laboral, tem-se criada a legtima
expectativa do empregado quanto
ao respeito de informaes pertinen-
tes sua esfera ntima, suscitando a
1 A ttulo de exemplo menciona-se a seguinte situao: um indivduo que procede a um dilogo com seu amigo, abordando aspectos de sua intimidade,
em um elevador lotado de passageiros no tem sua privacidade violada. Apesar destas informaes alcanarem terceiros, este fato ocorreu sem mcula
sua faculdade de autodeterminao.
Fonte Fonte F te on
74
necessidade de um ambiente de pri-
vacidade. Como no h modo de se
aferir aprioristicamente a natureza do
contedo da mensagem, seno pela
sua averiguao, o monitoramento
eletrnico (material como j enfati-
zado) neste contexto deve ser repu-
tado ilcito.
Em sntese, o usurio de e-mail
privado detm expectativa de privaci-
dade quanto a este meio de comuni-
cao, ensejando assim a proteo do
contedo das mensagens transmitidas.
J o e-mail corporativo, a princpio,
poderia ser objeto de controle ma-
terial desde que no caracterizada a
aceitao tcita pelo empregador para
fns distintos da atividade laboral.
Torna-se assim aconselhvel que
o empregador proba o uso do cor-
reio eletrnico corporativo para fns
diversos. Caso a poltica da empresa
deseje permitir o uso privado, o ca-
minho mais sensato seria a exigncia
de que as mensagens privadas sejam
transmitidas por e-mail privado. Este
posicionamento facilmente rea-
lizado tendo em vista os inmeros
provedores que oferecem tal servio
gratuitamente na internet.
De todo modo, optando o em-
pregador a permitir seus prepostos a
utilizarem o e-mail corporativo para
fns privados, o monitoramento ele-
trnico somente torna-se sustentvel
caso se estabelea um horrio rgido
para a veiculao de tais mensagens.
Neste lapso temporal facultado ao
empregado, por consectrio lgico, o
monitoramento eletrnico veemen-
te proibido.
Quanto a qualifcao das provas
obtidas com o monitoramento, a lici-
tude daquelas determinada pela va-
lidade deste. Ou seja, o resultado de
um monitoramento validamente rea-
lizado (nas hipteses j devidamen-
te arroladas) pode ser perfeitamente
utilizado para a instruo probatria
em eventual lide.
A despeito de se viabilizar as
provas obtidas pelo monitoramen-
to nas hipteses acima delineadas,
o uso de e-mail corporativo para
fins privados no acarreta por si
s a possibilidade de resciso do
contrato por justa causa. A juris-
prudncia tem exigido a demons-
trao de prejuzo ao desenvol-
vimento normal do trabalho ou
idoneidade dos atos para causarem
danos empresa
2
.
As questes envolvendo o mo-
nitoramento eletrnico ainda podem
ser consideradas incipientes. Soma-
do a este fato, tem-se o envolvimento
de um complexo de valores de gran-
de apreo no bojo constitucional, o
que acaba por acirrar a controvrsia.
Inmeras decises judicirias con-
fitantes foram prolatadas, cenrio
este que felizmente tende a ser sa-
nado com a j mencionada deciso
do Tribunal Superior do Trabalho
quanto ao tema. Espera-se a obser-
vncia deste precedente para que se
estabelea maior segurana jurdica
nas relaes de trabalho.
2 Justa causa. Email no caracteriza-se como correspondncia pessoal. O fato de ter sido enviado por computador da empresa no lhe retira essa
qualidade. Mesmo que o objetivo da empresa seja a fscalizao dos servios, o poder diretivo cede ao um nico email enviado para fns particulares,
em horrio de caf, no tipifca justa causa (TRT-SP n. 2000034734, rel. Fernando Antnio Sampaio da Silva).
Referncias
e internacional. v.40. So Paulo: 2002.
BARROS, A. M. Curso de direito do trabalho. So Paulo: LTr, 2005.
BELMONTE, A. A. O controle da correspondncia eletrnica nas relaes de trabalho. In: Revista LTr, v. 68, n.9. So Paulo: LTr,
2004.
CARVALHO, K. G. Direito constitucional. 10 ed.. Belo Horizonte: Del Rey, 2004.
FERRAZ JR, T.S. Sigilo de dados: o direito a privacidade e os limites funo fscalizadora do Estado. In: Cadernos de direito consti-
tucional e cincia poltica. n. 19. So Paulo: 2002.
LEITE, C. H. B. Curso de direito processual do trabalho. 3 ed. So Paulo: LTr, 2005.
MORAES, A. Direito constitucional. 7 ed. So Paulo: Atlas, 2000.
PECK, P. O mau uso da tecnologia e a falta de observncia da arquitetura legal geram riscos desnecessrios para as empresas. Dispo-
nvel em: http://www.serpro.gov.br/noticiasSERPRO/200521406. Acesso: 25/08/2006.
SILVA, J. A. da Curso de direito constitucional positivo. 11 ed. So Paulo: Malheiros, 1996.
SOUZA, M. c. m. de. E-mail (... net) na relao de emprego: poder diretivo do empregador (segurana) & privacidade do empregado.
Kplus. Disponvel em: http://kplus.cosmo.com.br.materia.asp?co= 46&rv=Direito. Acesso em: 29/11/2006.
Fonte Fonte F te on
75
Aplicao de ontologias
em segurana da informao
RESUMO
Segurana da informao um assunto relevante em praticamente todas as organi-
zaes. Ao mesmo tempo em que sentem necessidade de implement-la, os gerentes
no possuem clareza sobre o que deve ser protegido e como faz-lo. Este artigo
apresenta uma viso geral da pesquisa na rea e descreve iniciativas diversas. Des-
taca a importncia de classifcar a informao no ambiente corporativo e conclui
que existem benefcios na aplicao de ontologias em segurana da informao.
Espera-se contribuir com uma reviso de literatura, sem a pretenso de que seja
exaustiva e com um roteiro para construo de ontologias, bem como sua integrao
aos recursos corporativos.
D
i
v
u
l
g
a
o
1. Introduo
A expresso segurana da in-
formao representa um conceito
amplo. Em geral, nas empresas e
nas instituies, est associada a sis-
temas informatizados e a dados que
estes manipulam. Entretanto, uma
organizao no possui apenas dados
em formato digital. Considere-se que
muita informao sobre uma empresa
est armazenada fora dela (governo,
conselhos, fornecedores, etc.). Con-
sidere-se, ainda, a complexidade do
ciclo de vida da informao, desde sua
produo at sua disseminao, e as
infuncias do fator humano. Mesmo
se observado apenas o contexto das
organizaes, no parece tarefa trivial
defnir segurana da informao.
Os problemas de muitas organi-
zaes na implementao de segu-
rana da informao esto relacio-
nados com a difculdade em defnir
o que deve ser protegido, qual o n-
vel de proteo necessrio e quais
ferramentas utilizar no ambiente cor-
porativo. A difculdade comea na
prpria defnio do objeto a prote-
ger, ou seja, na defnio da informa-
o. Wilson (2002) alerta para o uso
indistinto dos termos dado e infor-
mao. Para o autor, dados so fatos
e esto fora da mente de uma pessoa.
Informaes consistem de dados aos
quais se incorpora um contexto rele-
vante para o indivduo. Cabe ento
organizao descobrir em quais
Mauricio B. Almeida
Doutor em Cincia da Informao (UFMG), atualmente professor
adjunto do departamento de Teoria e Gesto da Informao da UFMG,
onde est integrado linha de pesquisa Gesto da Informao e do
Conhecimento. Mantm pesquisas nas reas de Representao do
Conhecimento e Ontologias, Sistemas de Informao,
Memria Organizacional e Preservao Digital.
Fonte Fonte F te on
76
contextos a informao crtica se ma-
nifesta e quais as necessidades cor-
porativas em relao segurana, e
no apenas buscar proteo para da-
dos em computadores e em redes.
A despeito da discusso, a ex-
presso segurana da informao
amplamente utilizada no ambiente
corporativo e envolve uma srie de
possibilidades, muitas delas, associa-
das Tecnologia da Informao (TI):
controle de acesso a recursos (dispo-
sitivos ou documentos); segurana
em comunicao; gesto de riscos;
polticas de informao; sistemas de
segurana; diretrizes legais; seguran-
a fsica; criptografa; arquivstica;
dentre outros (Krause e Tipton, 1997).
Para o Legal Information Institute
(2005), segurana da informao diz
respeito a proteger a informao e
os sistemas de informao de aces-
so no autorizado, uso, divulgao,
modifcao ou destruio. Est rela-
cionada a trs aspectos: integridade,
confdencialidade e disponibilidade.
Integridade diz respeito proteo
contra alterao indevida ou destrui-
o, assegurando a autenticidade e o
no-repdio. Confdencialidade sig-
nifca preservar restries de divul-
gao e de acesso, garantindo meios
para proteo da privacidade pessoal.
Disponibilidade signifca assegurar o
acesso e o uso da informao de for-
ma confvel.
Este artigo destaca a importn-
cia da classifcao da informao
em questes de segurana. Apresenta
uma abordagem com base em ontolo-
gias para segurana da informao. O
termo ontologia nasceu na flosofa,
mas tem sido utilizado para designar
uma estrutura de organizao da in-
formao que se baseia em conceitos
e em suas relaes. Esperam-se duas
contribuies principais ao leitor: i)
informar sobre as abordagens dispo-
nveis na literatura, proporcionando
uma viso geral da rea; ii) apresen-
tar a ontologia como um importante
instrumento passvel de utilizao
em iniciativas de segurana.
O restante do presente artigo
est dividido em quatro sees: a
seo dois apresenta consideraes
sobre segurana da informao nas
organizaes, com destaque para ini-
ciativas governamentais e iniciativas
normativas; a seo trs destaca as
iniciativas que envolvem a TI; a se-
o quatro enfatiza as iniciativas que
envolvem a TI e, ao mesmo tempo,
utilizam ontologias como ferramenta
de classifcao, alm de apresentar
um roteiro sobre como construir on-
tologias para fns de segurana da in-
formao; e a seo cinco apresenta
as consideraes fnais.
2. Viso geral sobre segurana da informao
Para muitas organizaes, a se-
gurana da informao uma neces-
sidade de negcio. Ainda assim, nem
sempre se implementam prticas para
tal, visto que os projetos necessrios
so caros, complexos, demandam
tempo e no tm garantia de suces-
so. Segundo Fowler (2005), os prin-
cipais mecanismos para proteger as
informaes corporativas so: as po-
lticas de segurana da informao, a
anlise de riscos e a classifcao da
informao.
Uma poltica de segurana um
plano de alto nvel que estabelece
como esta segurana deve ser prati-
cada na organizao, que aes so
aceitveis e que nvel de segurana
a organizao est disposta a aceitar.
A anlise de riscos consiste da prti-
ca de confrontar o valor da informa-
o e as ameaas com perdas, bem
como identifcar meios de proteo
que possam reduzir riscos. Os pro-
cedimentos de classifcao da in-
formao agrupam objetos similares
em categorias, o que possibilita im-
plementar medidas de proteo que
vo garantir a confdencialidade da
informao.
Existem diversos tipos de ini-
ciativas para lidar com problemas de
segurana da informao, dentre os
quais se destacam: iniciativas gover-
namentais; iniciativas normativas;
iniciativas tecnolgicas.
No contexto da Federation of
American Scientists (FAS), associa-
o formada em 1946 pelos cientis-
tas atmicos do Projeto Manhattan
1
,
Quist (1993) discute a necessidade
de uma classifcao da informao,
para fns de segurana e descreve as
trs aes principais para tal: i) de-
terminar se a informao deve ser
classifcada; ii) determinar o nvel de
classifcao; iii) determinar a dura-
o da classifcao. O autor tambm
apresenta procedimentos para ava-
liar, se a informao deve ser classif-
cada: i) defnir precisamente a infor-
mao, descrevendo-a em linguagem
sem ambigidades; ii) verifcar a
existncia de classifcao especfca
1 Projeto em que os Estado Unidos tentavam desenvolver a primeira arma nuclear durante a 2 Guerra Mundial.
Fonte Fonte F te on
77
para o setor da organizao, onde a
informao foi obtida; iii) verifcar
se a informao controlada pelo
governo; iv) determinar se a divul-
gao da informao causar danos
segurana nacional; v) especifcar,
precisamente, porque a informao
classifcada.
O ISOO (2003) estabelece um
sistema de classifcao da informa-
o para segurana no mbito do go-
verno norte-americano. So descritas
algumas regras sobre classifcao de
documentos, como, por exemplo: i)
apenas pessoas autorizadas podem
classifcar documentos originais; ii)
existem apenas trs nveis de classi-
fcao: supersecreto, secreto e con-
fdencial; iii) informaes no devem
ser classifcadas pelo sistema de clas-
sifcao, caso no sejam de interes-
se da segurana nacional. O ISOO
(2003) descreve ainda marcas obri-
gatrias, aplicadas aos documentos
originais, para identifcao dos n-
veis de segurana a adotar: i) marcas
em partes do documento, caso tais
partes tenham diferentes classifca-
es; ii) classifcao do documento
como um todo, com o nvel mais res-
trito de classifcao presente dentre
as partes do documento; iii) insero
dos campos classifcados por, razo
da classifcao e data fnal da clas-
sifcao no documento.
No Canad, o Government of
Alberta (2005) dispe de um siste-
ma de classifcao de documentos
que tem por objetivos: i) proteger a
informao pessoal; ii) proteger a in-
formao confdencial contra acesso
no autorizado; iii) proteger a pro-
priedade intelectual do governo; iv)
dar suporte disseminao de infor-
mao; v) possibilitar cooperao
intergovernamental e para segurana
pblica. O sistema de classifcao
identifca quatro nveis de segurana
para a informao: irrestrita, prote-
gida, confdencial e restrita. Existem
casos em que a informao de inte-
resse nacional e, assim, classifcada
como: confdencial, secreta e super-
secreta. Na prtica, a implementao
da classifcao envolve os seguintes
procedimentos: i) marcar a informa-
o; ii) armazen-la; iii) transmiti-la;
iv) descartar a informao desneces-
sria; v) permitir o acesso e a divul-
gao apropriados; vi) estabelecer
responsabilidades.
Baker (2004) estabelece cate-
gorias para informao e para sis-
temas de informao, no mbito do
National Institute of Standards and
Technology (NIST)
2
. As categorias
propostas baixa, moderada, alta
tm como base o impacto potencial
para a organizao, quando ocor-
rem eventos que colocam em risco
a informao e os seus sistemas. A
avaliao do impacto em categorias
fundamenta-se nos objetivos de se-
gurana para informao e para sis-
temas de informao (confdenciali-
dade, integridade, disponibilidade)
especifcados pelo Legal Information
Institute (2005).
Baker (2004) apresenta um con-
junto de procedimentos para mapea-
mento entre a informao e os nveis
de impacto que pode provocar: i)
identifcar sistemas de informao;
ii) identifcar tipos de informao;
iii) selecionar nveis de impacto
temporrios; iv) rever e ajustar n-
veis de impacto temporrios; v) atri-
buir categoria do sistema de segu-
rana. O autor descreve, ainda, outro
conjunto de procedimentos para
identifcar os tipos de informaes:
i) identifcar as reas de negcio fun-
damentais; ii) identifcar, para cada
rea de negcio, as operaes que
descrevem o propsito do sistema
em termos funcionais; iii) identifcar
as subfunes necessrias para con-
duzir cada rea; iv) selecionar tipos
de informaes bsicas associados
com as subfunes identifcadas; v)
identifcar qualquer tipo de informa-
o que receba manipulao especial
por ordem superior ou agncia regu-
latria.
As iniciativas citadas apresentam
consideraes sobre segurana da
informao, sem, entretanto, defnir
exatamente a qual objeto se refere,
quando citam o termo informao.
Alm disso, tambm no citado o
meio onde a informao dissemina-
da na organizao. Uma importante
forma para disseminao o meio
digital, representado por documen-
tos em formato digital, sistemas de
informao automatizados, dentre
outros recursos de TI.
2 Parte do U.S. Department of Defense.
3. Segurana da informao no contexto da TI
Em muitas organizaes, os ge-
rentes encarregam as equipes de TI
de solucionar questes de segurana
da informao. Tal prtica tem con-
duzido a planos de segurana fun-
damentados em solues puramente
tecnolgicas e, dessa forma, inef-
cientes em atender s necessidades
da organizao. A comunidade de
Fonte Fonte F te on
78
negcios quem realmente sabe da
importncia de determinada infor-
mao no contexto organizacional e
deve participar ativamente do plane-
jamento da segurana.
A ISO/IEC-15408-1 (2005) a
principal referncia para avaliao
de atributos de segurana em produ-
tos e em sistemas de TI, os quais so
denominados objetos de avaliao.
Usurios de TI, sejam consumido-
res, desenvolvedores ou avaliadores,
nem sempre possuem conhecimento
ou recursos para julgar questes de
segurana. Para atender a esses usu-
rios, a ISO/IEC-15408-1 (2005) es-
tabelece um critrio comum para a
avaliao, o que possibilita que o re-
sultado seja signifcativo para audin-
cias variadas. O resultado das ava-
liaes da ISO/IEC-15408-1 (2005)
auxilia os consumidores de TI a de-
cidirem se um produto ou sistema
atende aos requisitos de segurana.
Do ponto de vista do desenvolvedor,
a norma descreve as funes de se-
gurana, que devem ser includas no
projeto do objeto de avaliao. Do
ponto de vista dos avaliadores e de
outros membros da organizao, a
norma determina as responsabilida-
des e as aes necessrias para a ava-
liao do objeto.
No mbito da internet, cabe des-
tacar o papel do Computer Emergency
Response Team/Coordination Center
(CERT/CC), criado pelo Defense
Advanced Research Projects Agency
(ARPA), aps o incidente worm
3
,
em 1988. O objetivo centralizar a
coordenao de respostas a inci-
dentes de segurana. Alm disso,
o CERT ainda responsvel por
publicar informes, pesquisar sobre
segurana e manter um banco de
dados sobre segurana em redes e na
internet.
Alm das referncias principais,
uma grande diversidade de iniciati-
vas para segurana da informao,
na rea de TI, vem surgindo desde
os anos 80: roteiros para avaliaes e
para auditorias (Kraus, 1980; GAO,
1988; Garfnkel e Spafford, 1996;
ISACF, 2000; ISSEA, 2003); listas
de verifcao (Wood, et al. 1987;
CIAO, 2000); diretrizes e critrios
(OECD, 1992; Wood, et al. 1990;
NIST/CSD, 1998), listas de termos
e taxonomias (Neumann e Parker,
1989; Meadows, 1992; Levine, 1995;
Howard e Longstaff, 1998).
Dentre essas iniciativas, desta-
ca-se a taxonomia de incidentes de
segurana proposta por Howard e
Longstaff (1998). Os autores advo-
gam a necessidade de uma linguagem
comum sobre segurana, que permi-
ta o intercmbio e a comparao de
dados sobre incidentes de segurana.
Tal linguagem composta por ter-
mos de alto nvel, ou seja, genricos,
estruturados em uma taxonomia.
Na linguagem de Howard e
Longstaff (1998), um evento corres-
ponde a uma alterao no estado do
sistema ou dispositivo. A alterao
resultado de aes (autenticar, ler,
copiar, etc.) direcionadas a objetos
(conta, processo, dado, rede, etc.).
Um evento pode ser parte de um con-
junto de processos, que objetivam
ocorrncias no autorizadas. Esse
evento , ento, parte de um ataque.
Um ataque utiliza uma ferramenta
(ataque fsico, comando, script, etc.),
para explorar a vulnerabilidade de um
dispositivo, que corresponde a uma
falha no sistema e permite ao no
autorizada. A vulnerabilidade pode
ser de projeto, de implementao ou
de confgurao. Alm disso, provo-
ca um evento e gera um resultado no
autorizado (acesso indevido, roubo
de recursos, etc.). Um grupo de ata-
ques que envolve diferentes agentes,
objetivos, locais ou horrios, de-
nominado incidente. Um incidente
um ataque mais um objetivo, o qual
pode ser ganho poltico ou fnancei-
ro, danos ou prejuzos, etc.
O uso de uma linguagem nica,
com signifcados consensuais, possi-
bilita a construo de modelos sobre
um domnio do conhecimento e pode
incrementar a forma com que os in-
divduos da empresa aprendem novas
prticas, compartilham conhecimen-
to e o armazenam com um nvel de
ambigidade reduzido (Von Krogh e
Roos, 1995; Eccles e Nohria, 1994).
As linguagens informais, como a lin-
guagem natural, so expressivas, mas
geram interpretaes ambguas. As
linguagens formais proporcionam
a criao de modelos com nvel de
ambigidade reduzido e com signi-
fcados consistentes para o contex-
to da organizao. Uma ontologia
pode operacionalizar a linguagem
formal, visto que possui conceitos,
relaes e atributos semanticamente
bem defnidos e pode variar em grau
de formalidade, conforme a neces-
sidade.
A linguagem representada pela
ontologia precisa estar restrita apenas
a um vocabulrio sobre segurana da
informao. Pode abranger conceitos
signifcativos para uma organizao
naquele domnio, alm de permitir a
classifcao da informao registra-
da, ou seja, a classifcao dos docu-
mentos corporativos pelos prprios
membros da organizao.
3 Robert T. Morris, estudante da Cornell University, criou, em 1988, um worm para um experimento de acesso a computadores. O programa deveria
detectar a existncia de cpias de si mesmo e no reinfectar computadores. Um bug impediu a deteco e sistemas foram infestados com centenas de
cpias do worm, cada uma delas tentando acesso e se replicando em mais worms. (Menninger, 2005)
Fonte Fonte F te on
79
4. Ontologias aplicadas segurana da informao
O termo ontologia originrio
da flosofa e tem sido utilizado des-
de o incio dos anos 80, em Cincia
da Computao e em Cincia da In-
formao, para designar uma estru-
tura de organizao da informao,
com base em um vocabulrio repre-
sentacional. Segundo Borst (1997),
uma ontologia uma especifcao
formal e explcita de uma concei-
tualizao compartilhada. Nessa
defnio, formal signifca legvel
por computadores; especifcao
explcita diz respeito a conceitos,
relaes e a axiomas explicitamen-
te defnidos; compartilhado quer
dizer conhecimento consensual;
conceitualizao diz respeito a um
modelo abstrato de algum fenme-
no do mundo real
4
.Com aplicaes
em diversas reas, as ontologias
tambm servem a propsitos de se-
gurana da informao, conforme
comprovam exemplos apresentados
na seo 4.1. A seo 4.2 apresenta
um breve roteiro sobre como cons-
truir uma ontologia organizacional,
para classifcao da informao
em projetos de segurana da infor-
mao.
4.1 Pesquisa anterior signifcativa sobre ontologias em segurana
Segundo Raskin et al. (2001), a
pesquisa em segurana da informa-
o pode se benefciar da adoo de
ontologias. Os autores apresentam
duas propostas para utilizao da on-
tologia na pesquisa em segurana da
informao.
A primeira proposta enfatiza a
possibilidade de reunir um conjunto
de termos e relaes representativos
do domnio de segurana da informa-
o. Uma ontologia sobre segurana
da informao auxilia os usurios de
produtos e sistemas de informao
ao proporcionar intercmbio, organi-
zao e comparao de dados sobre
incidentes de segurana, bem como
melhorias na capacidade de tomada
de deciso diante de um incidente.
A segunda proposta consiste em
incluir fontes de dados em linguagem
natural na aplicao de aes em se-
gurana da informao. Dessa forma,
seria possvel especifcar formalmen-
te o know-how da comunidade de se-
gurana, possibilitando o incremento
de medidas para preveno e para
reao a ataques. O Processamento
de Linguagem Natural (PNL)
5
pode
ser aplicado, por exemplo, no pro-
cessamento de logs de sistemas, os
quais so escritos em uma sublingua-
gem da linguagem natural.
Para Martiniano e Moreira
(2007), o grande volume de dados
gerado por diferentes fontes, tais
como logs de sistemas, de frewalls
6
,
alertas de vulnerabilidade, etc., tem
causado problemas aos administra-
dores. O principal problema est
relacionado com a difculdade em
acumular conhecimento para a to-
mada de deciso e para a soluo de
incidentes de segurana.
Apesar dos esforos em clas-
sifcar dados sobre segurana, as
iniciativas, em geral, no contemplam
a semntica dos dados armazenados.
Sem o signifcado dos dados, um ad-
ministrador ou um agente de softwa-
re no capaz de fazer correlaes
sobre os incidentes de segurana.
Nesse contexto, Martiniano e Morei-
ra (2006) propem uma ontologia de
incidentes de segurana, a qual defne
um vocabulrio nico. A maioria dos
conceitos da ontologia sobre inciden-
tes de segurana foi obtida de glos-
srios e taxonomias sobre segurana
da informao (Howarde Longstaff,
1998; NSCS, 1988; Shirley, 2000),
em recursos sobre vulnerabilidade
(NVD-National Vulnerability Data-
base
7
, CVE-Common Vulnerabilities
and Exposures Project
8
). Para avaliar
se representativa, a ontologia foi
confrontada com o SNORT
9
.
Fenz et al. (2007) tambm pro-
pem a construo de uma ontologia,
4 Para um estudo comparativo das diversas defnies de ontologias e suas aplicaes ver Almeida (2003).
5 Processamento da linguagem natural um campo da lingstica computacional que estuda os problemas de compreenso e gerao automtica de
linguagens naturais.
6 Um frewall uma aplicao que analisa o trfco em uma rede, dando permisso ou no para a passagem de dados a partir de um conjunto de regras.
7 O NVD um repositrio de padres do governo norte-americano voltado para questes de vulnerabilidade. Disponvel na internet em http://nvd.nist.gov/.
8 CVE um dicionrio pblico com informaes sobre vulnerabilidades. Disponvel na internet em http://cve.mitre.org/.
9 SNORT uma rede com recursos sobre preveno e deteco de invases em sistemas, a partir de uma linguagem com base em regras. Disponvel na
internet em http://www.snort.org/.
Fonte Fonte F te on
80
em Ontology Web Language (OWL),
de suporte certifcao ISO/IEC-
27001 (2005), com informaes para
criao e manuteno de polticas de
segurana. O mapeamento ontolgi-
co do padro ISO aumenta o grau de
automao do processo, reduzindo
custos e o tempo para a certifcao.
A ontologia de suporte criada a partir
da combinao de trs recursos prin-
cipais: i) a CC Ontology (Ekelhart et
al., 2007), a qual contempla o domnio
Common Criteria
10
(CC) e enfatiza re-
quisitos de garantia de segurana para
a avaliao; ii) a Security Ontology
(Ekelhart et al., 2006), que contm
dados sobre ameaas e respectivas
medidas de proteo; iii) o prprio pa-
dro ISO/IEC-27001 (2005). A Figura
1 apresenta um fragmento de uma on-
tologia sobre segurana.
4.2 Construo de ontologia organizacional para segurana da informao
Existem aplicaes com base
em ontologias para segurana da
informao, conforme comprovam
as iniciativas apresentadas na seo
4.1. Tais iniciativas esto relaciona-
das com a criao de um vocabulrio
consensual, de alto nvel, com ter-
mos sobre segurana da informao.
Pretende-se apresentar uma aborda-
gem que enfatize duas aes princi-
pais: i) agrupamento dos termos sobre
segurana em uso no dia-a-dia da
Figura 1 Ontologia de incidentes em um editor de ontologias (Fenz et al., 2007).
10 O CC-Common Criteria for Information Tecnhnology Secutity Evaluation fornece diretrizes para avaliao e certifcao de segurana.
Fonte Fonte F te on
81
11 Para um levantamento abrangente sobre ferramentas, linguagens e metodologias para a construo de ontologias ver Almeida (2003).
12 Documentos vitais so aqueles essenciais para atestar uma atividade em um contexto organizacional, ou seja, documentos sem os quais os processos
no teriam incio, continuidade, e os agentes no contariam com instrumental para exercer avaliaes e gesto.
organizao e dos termos obtidos em
ontologias de alto nvel, os quais re-
presentam padres aceitos no dom-
nio; ii) integrao do vocabulrio so-
bre segurana a um vocabulrio mais
amplo, representativo da informao
registrada e compartilhado por todos
os membros da organizao. As duas
contribuies podem ser operaciona-
lizadas em uma ontologia.
Apresenta-se, a seguir, um con-
junto de procedimentos e uma breve
descrio sobre como construir ontolo-
gias para classifcao de informao
registrada (documentos). O processo
foi dividido em duas etapas, apresen-
tadas de forma genrica: 1- Ontologia
e 2- Recursos corporativos.
Etapa 1 Ontologia
i. Aquisio de conhecimen-
to: o objetivo dessa etapa
obter, com os membros de
um setor, informaes sobre
suas atividades, sobre docu-
mentos que utilizam, sobre
conceitos e relaes relevan-
tes para o entendimento das
prticas organizacionais. As
tcnicas mais utilizadas para
isso so as entrevistas e a
anlise de documentos.
ii. Conceitualizao: os dados
so organizados em uma taxo-
nomia corporativa composta
por classes representativas de
conceitos, bem como por rela-
es entre as classes; em on-
tologias, classes representam
uma categoria de objetos simi-
lares, denominados instncias.
iii. Construo da ontologia
11
: a
ontologia ento constru-
da por meio de um editor de
ontologias e em duas cama-
das: a primeira, de alto nvel
(reaproveitamento de outras
ontologias, como as da seo
4.1); a segunda, com termos
especfcos do ambiente de
trabalho, levantados na fase
de aquisio de conhecimen-
to e organizados na fase de
conceitualizao.
Etapa 2 Recursos corporativos
i. Organizao dos documen-
tos: a partir de princpios da
arquivstica, organizam-se os
documentos, conforme sua
origem, registram-se a tipo-
logia de documentos e seu
ciclo de vida e elegem-se os
documentos vitais
12
para as
atividades corporativas.
ii. Padronizao dos documen-
tos: a partir de princpios da
Organizao, Sistemas e M-
todos (OSM), os documentos
so padronizados formal-
mente e acrescentada uma
folha de rosto a cada um, na
qual so registrados dados
como autor, data de emisso,
data de reviso, autorizao,
dentre outros.
iii. Classifcao dos documen-
tos: os membros dos setores
so orientados e treinados
para classifcar documentos,
conforme as classes defni-
das na ontologia, assim que
estes so produzidos; a clas-
sifcao feita na folha de
rosto e pode ocorrer, a partir
de um sistema de informao
automatizado, que a consulta
ontologia seja um docu-
mento em formato digital ou
em papel.
Com esses procedimentos,
apresentados de forma simplifi-
cada, os documentos, que corres-
pondem a uma grande parte da
informao registrada na organi-
zao, so classificados e relacio-
nados entre si. A ontologia permite
a insero de atributos, os quais
podem apresentar caractersticas
especiais de um documento, como
por exemplo, sua confidencialida-
de, temporalidade, dentre outros.
Alm de permitir a classificao,
a ontologia pode armazenar, ain-
da, as instncias de tipos de do-
cumentos, ou seja, referncias aos
prprios documentos utilizados na
rotina organizacional.
A ontologia resultante um
modelo consultado por um siste-
ma, que pode ser, por exemplo, de
gesto de documentos. Sugere-se
que a interface de classificao
seja integrada a outra interface j
em uso, de forma que o usurio
no tome a tarefa como um traba-
lho adicional. A ontologia passa a
ser a referncia nica para qual-
quer sistema de informao em
uso na organizao em questes
que dizem respeito segurana
da informao.
Fonte Fonte F te on
82
Referncias
ALMEIDA, M.B.; BAX, M.P. Uma viso geral sobre ontologias: pesquisa sobre defnies, tipos, aplicaes, mtodos de avaliao
e de construo. Cincia da Informao. v. 26, n. 1. p. 39-45, set./dez. 2003.
BAKER, W. Information security; volume I. (2004). Available from Internet: <http://csrc.nist.gov/publications/nistpubs/800-60/SP800-
60V1-fnal.pdf >. Access: 02 May 2006.
CIAO-Critical Infrastructure Assurance Offce. Practices for Securing Critical Information Assets. (2000). Available from Internet:
<http://www.infragard.net/library/pdfs/securing_critical_assets.pdf> . Access: 02 Dec. 2007.
ECCLES, R.G.; NOHRIA, N. Assumindo a responsabilidade; redescobrindo a essncia da administrao. Rio de Janeiro: Campus, 1994.
287p.
EKELHART, A. et al. Ontological Mapping of common criterias security assurance requirements. INTERNATIONAL INFORMATION
SECURITY INFORMATION, 2007, Sandton, Proccedings Springer: [s.n.], 2007.
EKELHART, A. et al. Security ontology; simulating threats to corporate assets. (2006). Available from Internet: <http://www.springerlink.
com/index/w530v5081301j833.pdf>. Access: 30 July 2007.
FENZ, S. et al. Information security fortifcation by ontological mapping of the ISO/IEC 27001 Standard. (2007). Available from Internet:
<http://www.ifs.tuwien.ac.at/node/4274 >. Access: 19 Nov. 2007.
FOWLER, S. GIAC Security essentials certifcation. (2003). Available from Internet: <http://www.sans.org/reading_room/whitepapers/
auditing/846.php>. Access: 13 April 2005.
GAO-General Accounting Offce of United States. GAO Audit Guide. (1988). Available from Internet: <http://www.gao.gov/index.
html>. Access: 15 Nov. 2007.
GARFINKEL, S.; SPAFFORD, G. Practical Unix and Internet Security, 2 ed. 1996. Sebastopol : OReilly. 1000 p.
GOVERNMENT OF ALBERTA. Information Security Classifcation. (2005). Avalaible from Internet: <http://www.im.gov.ab.ca/
publications/pdf/InfoSecurityClassifcation.pdf>. Access: 20 Oct. 2006.
HOWARD, J.D.; LONGSTAFF, T. A. A common language for computer security incidents. (1998). Avalaible from Internet: <http://
www.cert.org/research/taxonomy_988667.pdf>. Access: 13 Dec. 2006.
5. Consideraes Finais
Este artigo apresentou conside-
raes sobre segurana da informa-
o, destacando iniciativas governa-
mentais, normativas e tecnolgicas.
Sem pretenso de abranger toda a
pesquisa em segurana da informa-
o, apresentou-se apenas o sufcien-
te para uma viso geral da rea. In-
troduziu-se, ento, a ontologia como
importante instrumento para projetos
de segurana nas organizaes, e
descreveu-se um breve roteiro para a
sua construo.
Vrios benefcios podem ser
contabilizados com o uso de onto-
logias em projetos de segurana: i)
criar modelos conceituais que tornam
possvel a organizao saber mais
sobre o domnio de incidentes de
segurana; ii) facilitar a interopera-
bilidade entre diferentes ferramentas
de segurana; iii) criar um padro
para estruturar dados sobre seguran-
a e possibilitar que termos diversos
sejam mapeados para a ontologia;
iv) possibilitar a reutilizao de da-
dos sobre segurana, por meio da
importao e exportao de ontolo-
gias; v) auxiliar os administradores de
sistemas nas decises sobre gesto de
segurana, com possibilidades de con-
sultas e de inferncias automticas.
Apesar das vantagens com o uso
de ontologias, cabe destacar a infun-
cia do fator humano. Tal infuncia
marcante pelo fato de que grande
parte dos problemas de segurana
gerada por aes, intencionais ou
no, de pessoas em suas atividades
rotineiras. A classifcao da infor-
mao registrada em uma ontologia
pelos prprios usurios, a partir de
suas necessidades, uma primeira
resposta ao problema do fator huma-
no. Ao tornar as pessoas parte do pro-
cesso, orient-las, trein-las e deixar
que decidam sobre a classifcao das
informaes que manipulam rotinei-
ramente, pode-se esperar por colabo-
rao nas iniciativas de segurana da
informao. Sem essa participao,
fomentada pela abordagem distri-
buda de conhecimento consensual
da teoria das ontologias, nenhum sis-
tema tecnolgico de segurana pode-
r ser considerado efciente, a partir
de uma abordagem sistmica.
Fonte Fonte F te on
83
ISACF-Information Systems Audit and Control Foundation. COBIT-Control Objectives for Information and Related Technology. (2000).
Available from Internet: <http://www.isaca.org/>. Access: 01 Dec. 2007.
ISSEA-International Systems Security Engineering Association. SSE/CMM-System Security Engineering/Capability Maturity Model,
V3.0. (2003). Available from Internet: <http://www.sse-cmm.org/>. Access: 02 Dec. 2007.
ISO/IEC 15408-1. Internacional Standard Information Technology Security Techniques; Evaluation Criteria for IT Security part
1. (2005). Available from Internet : <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=40612> .
Access: 21 April 2006.
ISO/IEC-27001. International Standard Information Technology Security Techniques; information security management
systems requirements. (2005). Available from Internet : <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.
htm?csnumber=42103> . Access: 21 April 2006.
ISOO-The Information Security Oversight Offce; Marking classifed national security information. (2003). Avalaible from Internet:
<http://www.archives.gov/isoo/training/marking-booklet.pdf>. Access: 12 Jan. 2006.
KRAUSE, M.; TIPTON, H.F. Handbook of Information Security Management. 3 ed., 1997. Boca Raton: Auerbach. 729 p.
KRAUSS, L. I. SAFE; security audit and feld evaluation for computer facilities and information systems. New York : Amacom, 1980.
336 p.
LEVINE, D. E. Auditing Computer Security. In: HUTT, A. E. et al. (Ed.). Computer Security Handbook. 3 ed. New York : Wiley, 1995.
LII-Legal Information Institute of Cornell University. U.S. Code collection; 3452 Defnitions. (2005). Available from Internet: <http://
www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html>. Access: 8 Dec. 2007.
MARTINIANO, L.A.F.; MOREIRA, E. S. An OWL-based security incident ontology. (2007). Available from Internet: <http://protege.
stanford.edu/conference/2005/submissions/posters/poster-martimiano.pdf >. Access: 20 Nov. 2007.
MARTINIANO, L.A.F.; MOREIRA, E. S. The evaluation process of a computer security incident ontology. (2006). Available from
Internet: <http://ftp.informatik.rwth-aachen.de/Publications/CEUR-WS/Vol-199/wonto-06.pdf >. Access: 20 Nov. 2007.
MEADOWS, C. An outline of a taxonomy of computer security research and development. (1992). Available from Internet: <http://
portal.acm.org/citation.cfm?id=283770>. Access: 2 Jan.2005.
MENNINGER, M.R. The birth of incident response; the story of the frst Internet worm. (2005). Available from Internet: <http://www.
selfseo.com/story-9757.php >. Access: 20 Nov. 2006.
NCSC-National Computer Security Center. Glossary of computer security itens. (1988). Available from Internet: <http://
packetstormsecurity.org/docs/rainbow-books/NCSC-TG-004.txt >. Access: 15 Nov. 2007.
NEUMANN, P.; PARKER, D. A summary of computer misuse techniques. (1989). Available from Internet: <http://www.emeraldinsight.
com/Insight/ViewContentServlet?Filename=Published/EmeraldFullTextArticle/Pdf/0460110503_ref.html>. Access: 8 July 2007.
NIST/CSD-Nacional Institute of Standards and Technology/Common Criteria/Computer Security Division. Common Criteria for
Information Technology Security Evaluation. (1998). Available from Internet: <http://csrc.nist.gov/nissc/1999/proceeding/papers/
p15.pdf >. Access: 01 Dec. 2007.
OECD-Organization for Economic Cooperation and Development. Guidelines for the Security of Information Systems. (1992). Available
from Internet: <http://www.oecd.org/ >. Access: 01 Dec. 2007.
QUIST, A. S. Security Classifcation of Information; volume 2, principles and techniques for classifcation of information. (1993).
Available from Internet: <http://fas.org/sgp/library/quist2/index.html>. Access: 02 Dec. 2007.
RASKIN, V. et al. Ontology in information security; a useful theoretical foudation and methodological tool. (2001). Available from
Internet: <http://portal.acm.org/ft_gateway.cfm?id=508180&type=pdf&dl=portal&dl=ACM>. Access: 16 Aug. 2005.
SHIREY, R. RFC 2828; Internet Security Glossary. (2000). Available from Internet: <http://rfc.dotsrc.org/rfc/rfc2828.html>. Access: 19
Nov. 2007.
VON KROGH, G.; ROOS, J. Conversation Management. European Management Journal. [online].v. 13, n. 4, p. 390-394, 1995a.
Available from Internet: <http://www.sciencedirect.com>. Access: 10 March 2005.
WILSON, T.D. The nonsense of knowledge management . (2002). Available from Internet: <http://informationr.net/ir/8-1/paper144.
html#non95>. Access: 03 April 2006.
WOOD, C. C. Principles of Secure Information Systems Design. (1990). Available from Internet: <http://portal.acm.org/citation.
cfm?id=85089.85091>. Access: 22 Sept. 2007.
WOOD, C. C. et al. Computer Security; a comprehensive controls checklist. New York : Wiley, 1987. 214 p.
Fonte Fonte F te on
84
Protegendo os inocentes
Mrio Augusto Lafet Velloso
Consultor em Segurana da Informao, especialista em Gesto
de Tecnologia da Informao, analista de Sistemas e professor do
curso de Sistemas de Informao do Departamento de Cincias
Exatas e Tecnolgicas da Universidade Estadual de Montes Claros/
MG (Unimontes). Certifcado em Segurana da Informao MCSO,
pela Mdulo Security Solutions S/A. Ps-graduado em Gesto de
Tecnologia da Informao pela Universidade Federal de Minas Gerais
(UFMG). Ps-graduado em Tecnologias na Educao e bacharel em
Sistemas de Informao pela Unimontes.
RESUMO
Este artigo prope uma refexo sobre as mudanas sociais provocadas pelo
desenvolvimento das tecnologias da informao e comunicao e seus refe-
xos nos hbitos e formas de relacionamento entre as pessoas, com foco nas
crianas e adolescentes. Identifca os principais riscos a que esto expostos na
internet e prope recursos auxiliares e prticas usuais que visam a colaborar
no processo de monitoramento e acompanhamento desses usurios da rede
mundial de computadores. O aspecto da educao de crianas e adolescentes
enfatizado como o mais efcaz instrumento para preservao da segurana
e privacidade. Este artigo no tem a pretenso de esgotar a questo, mas de
contribuir para que os jovens se tornem usurios conscientes das vantagens e
dos riscos da internet.
D
i
v
u
l
g
a
o
D
i
v
u
l
g
a
o
Paulo Csar Lopes
Bacharel em Computao, Administrao e Direito pela UFMG. Ps-
graduado em Cincia da Computao (UFMG), com nfase em Redes de
Computadores. Analista de Suporte Tcnico da Companhia de Tecnologia da
Informao do Estado de Minas Gerais (Prodemge), especialista em sistemas
operacionais e redes. Coordenador do projeto de reestruturao tecnolgica e
migrao dos sistemas legados para a plataforma aberta na Prodemge.
Fonte Fonte F te on
85
Introduo
J foi o tempo em que os pais
apenas limitavam-se a orientar seus
flhos sobre os perigos de aceitarem
presentes de pessoas estranhas, de
conversarem com quem no se co-
nhece, de esquecer o porto ou a
porta aberta ou de entrar em lojas
ou bares no caminho de casa. Mui-
tas destas recomendaes esto
entrando em desuso e algumas j
podem ser consideradas at mesmo
desnecessrias. Grande parte das
crianas e muitos adolescentes no
podem mais brincar nas ruas, cami-
nhar para ir padaria do bairro ou
retornar da escola sozinhos. Hoje,
para a maioria das famlias com al-
gumas posses, a infncia deve ser
protegida por quatro paredes, por
veculos automotores, por acompa-
nhantes e extenso monitoramento.
Jogos e brincadeiras como escon-
de-esconde, rouba-bandeira, gar-
rafo, pega-ladro e outros, reali-
zados nas ruas, foram substitudos
por jogos eletrnicos em videoga-
mes ou computadores e pelo acesso
internet. Muitos pais, por no po-
der oferecer a infncia que tiveram,
tentam compensar as restries fsi-
cas, impostas aos seus flhos, com a
amplitude e as possibilidades quase
ilimitadas da grande rede mundial
de computadores.
A internet , sem dvida, revo-
lucionria e dona de um potencial
educacional sem limites. Mas tam-
bm apresenta grandes riscos para os
inocentes. Tudo na web ampliado.
Tanto o lado construtivo e produtivo,
quanto o destrutivo e improdutivo. O
mundo virtual advindo da conexo
dos computadores a internet no
possui limites, e limites fazem parte
de uma boa educao. Duas pergun-
tas constantes de pais preocupados
com o intenso acesso dos seus flhos
web so: quais so os riscos que
meus flhos correm ao usarem a in-
ternet? O que posso fazer para pro-
teg-los?
Este artigo pretende contribuir,
em parte, na elaborao de respostas
para estas perguntas simples. Evi-
dentemente, no pretendemos esgo-
tar assunto to instigante, complexo
e polmico.
Contextualizando
A internet: essa rede que interli-
ga milhes de computadores ao redor
do mundo e permite a publicao e
a troca de informaes de qualquer
tipo entre seus usurios parte ine-
gvel do cotidiano dos nossos flhos.
realmente uma tecnologia fasci-
nante. Mas o acesso s informaes
de qualquer tipo precisa ser tratado,
j que estamos considerando indiv-
duos cujo carter e cuja personalida-
de esto em processo de formao.
Como esse processo se d a partir dos
valores e informaes que recebem,
bem como do meio e da cultura ao
qual esto inseridos, o uso que eles
do internet deve ser examinado,
analisado e controlado, bloquean-
do-se as informaes e experincias
negativas que no contribuam para o
seu desenvolvimento.
A tendncia natural dos pais
ou dos responsveis de serem
otimistas a respeito do uso que seus
flhos fazem da internet. Essa tendn-
cia teria como pressuposto o fato de
essa rede ser considerada o caminho
do futuro, pois estariam cientes de
que essa nova tecnologia encontra-se
em estgio de formao e aperfeio-
amento e, por este motivo, poderiam
infuenciar a maneira como as crian-
as iro us-la. A partir dessa tendn-
cia otimista, poderamos inferir que
esses pais e responsveis gostariam
que seus flhos usassem a internet de
modo seguro e responsvel. Da, a
necessidade de estratgias para admi-
nistrar esse uso, alm da necessidade
de estabelecer controles e restries
de contedo, caso julguem necess-
rio. Em outras palavras, poderamos
afrmar que necessrio ir alm da
responsabilidade de supervisionar e
administrar as atividades on-line
das crianas: preciso torn-las s-
bias, responsveis e conhecedoras
de alguns dos riscos aos quais fcam
expostas, enquanto usurias dessa
tecnologia.
Apesar do alarde acerca dos
riscos do uso da internet, ainda h
uma tendncia de acreditar que ela
seja uma fonte esttica de informa-
es ao invs de uma ferramenta
extremamente dinmica de comuni-
cao, com possibilidades de impli-
caes positivas e negativas para as
crianas. Trata-se de um equvoco
primrio e perigoso. Essas pessoas
costumam acreditar tambm que as
crianas usam a internet primordial-
mente para atividades educacionais e
de pesquisa. Portanto, importante
estar atento para uma possvel dis-
crepncia entre o que os pais acre-
ditam que as crianas estejam fazen-
do e o que elas realmente fazem na
internet. Como pai ou responsvel,
como voc se classifca como usu-
rio de internet: leigo, intermedirio,
avanado ou especialista ?
Fonte Fonte F te on
86
Alguns aspectos precisam tam-
bm ser considerados para o ade-
quado tratamento do problema: nor-
malmente suas crianas acessam a
internet a partir de qual(is) ponto(s)
de acesso: de casa? Da escola? Da
casa de um(a) amigo(a) ? De uma
biblioteca pblica? De um compu-
tador em seu local de trabalho? De
um ponto de acesso comunitrio? De
uma lan-house? Do seu celular? Um
outro aspecto: at onde voc sabe,
qual o principal uso que sua(s)
criana(s) faz(em) da internet? Ta-
refas da escola? Pesquisa por infor-
maes? Jogos? Troca de mensagens
instantneas? Salas de bate-papo?
E-mails? Encontrar novos amigos?
Criar seu site pessoal (blog)? Pe-
gar/ouvir msicas? Todas as alterna-
tivas anteriores? H mais alguma que
voc ainda no saiba? O desafo est
fcando cada vez maior.
Apesar dos tantos benefcios des-
sa tecnologia, precisamos ressaltar a
existncia de contedos na internet
que poderamos classifcar como
inapropriados. Apenas para exem-
plifcar, citamos a pornografa, a vio-
lncia, o racismo, alm das questes
sobre a segurana nas interaes
on-line com outras pessoas quanto
divulgao de informaes pessoais
e sigilosas. Diante dessa realidade,
poderamos dizer que no possumos
nenhuma preocupao com o uso que
nossas crianas fazem da internet?
Afnal, como poderamos conci-
liar o uso da internet com nveis de
segurana satisfatrios? Poderamos
apresentar em algumas sugestes
iniciais: colocar o computador que
as crianas usam em uma rea de uso
comum do lar; haver sempre um adul-
to por perto, enquanto as crianas es-
tiverem usando a internet; educ-las
a sempre pedir permisso antes de
enviar informaes ou participarem
de atividades na internet; ensin-las
a contornar adequadamente qualquer
situao desconfortvel que ocor-
ra enquanto elas estiverem on-line;
orient-las sobre como proteger sua
privacidade diante dessa inovadora
ferramenta de comunicao. Ou seja,
o primeiro passo a ser dado deve ser
a defnio clara e objetiva das regras
bsicas para o uso adequado e segu-
ro de todo o potencial oferecido pela
internet, sempre tendo o bom senso
como pano de fundo, no estabele-
cimento de tais regras. Os passos se-
guintes seriam o monitoramento do
histrico dos endereos de sites visi-
tados, bem como a lista de favoritos
ou bookmarks; o uso de softwares de
monitorao automtica de navega-
o bem como softwares de bloqueio
de contedo; o uso de softwares que
impedem a instalao de vrus de
computador, de programas que es-
pionam e roubam dados sigilosos
e pessoais ou que representem outros
tipos de ameaas cibernticas.
timo, agora demos alguns pas-
sos na direo da navegao segura
das nossas crianas, mas e quanto aos
computadores das escolas, das biblio-
tecas, das lan-houses ou de qualquer
outro lugar que estas crianas podem
usar para acessar a internet, o que fa-
zer? Como implementar as sugestes
que propusemos anteriormente? Para
estes locais, importante que os pais
ou os responsveis verifquem as res-
pectivas polticas existentes de uso
da internet e solicitem a instalao
das ferramentas de software j suge-
ridas, quando for o caso.
Ressaltamos ainda que vivemos
em um planeta composto de comu-
nidades distintas, com valores morais
e culturais diversos. Partindo desse
contexto, percebemos que, enquanto
comunidade, precisaremos ainda nos
envolver com outras questes mais
amplas, porm que tambm dizem res-
peito aos riscos a que nossas crianas
esto expostas. So questes como:
os provedores de acesso internet
devem ser administradores e supervi-
sores de contedo? Ou nossa comu-
nidade entende que isso seria invaso
de privacidade e prefere deixar esta
responsabilidade como sendo apenas
dos pais? O governo deveria desem-
penhar algum tipo de papel no con-
trole de contedo da internet? Qual?
At que ponto estaramos dispostos a
deixar o governo entrar na vida pes-
soal de nossas famlias com esse tipo
de controle? Seria melhor atribuir a
uma organizao independente tal
responsabilidade? Ou deveramos
deixar a internet sem administrao
ou superviso como atualmente est
e trataramos os riscos com aes
positivas e educativas voltadas para
nossas crianas, dentro dos limites
que julgamos adequados, sem a inter-
ferncia de terceiros ou de estranhos
em nossa liberdade de surfar na rede
mundial de computadores?
Ameaas mais comuns
Podemos dividir as ameaas da
internet em dois grandes grupos:
as ameaas por pessoas e as amea-
as por softwares. As ameaas por
pessoas tm como pr-requisito a
interao de um usurio (nossos f-
lhos, por exemplo) com um terceiro
com ms intenes. J as ameaas
por softwares englobam os progra-
mas de computador que executam
tarefas, cujas conseqncias so
negativas.
Fonte Fonte F te on
87
1 As informaes referentes s ameaas por softwares basearam-se no vdeo Os Invasores, criado pelo Comit Gestor da Internet no Brasil CGI.br,
disponvel em http://www.antispam.br/videos/.
Ameaas por Pessoas
Parte das ameaas da internet
proporcionadas por pessoas a mes-
ma que motivava nossos pais e avs
a sempre nos recomendarem, quando
ramos pequenos, a no falar com
estranhos. A web permite a comu-
nicao com estranhos de todo tipo e
de qualquer parte do mundo. O pro-
blema que manter o anonimato nes-
ses dilogos muito simples. Se pas-
sar por outras pessoas tambm. Um
terceiro mal intencionado pode usar
o anonimato ou o disfarce criado,
explorando a inocncia das crianas.
Pode ainda seduzi-las com propostas
atraentes, com a fnalidade de encon-
tr-las para cometer qualquer tipo de
abuso (inclusive os sexuais), planejar
seqestros ou apenas extrair infor-
maes pessoais e sigilosas.
Mas h tambm aquelas amea-
as oriundas no s dos dilogos
on-line que acontecem via internet.
So aquelas que recebemos por
meio de e-mails, que esto pre-
sentes em alguns sites inidneos
ou em algumas daquelas janelas
que se abrem, enquanto estamos
navegando (pop-ups), sempre com
propostas sedutoras e atraentes. Ao
clicarmos naqueles links, acaba-
mos por cair em uma armadilha e,
caso no haja uma ao corretiva e
bloqueadora no devido tempo, nos
tornamos mais uma vtima de uma
fraude eletrnica.
Ameaas por Softwares
1
Os primeiros programas inva-
sores de computadores foram os v-
rus. Criados no incio da dcada de
80, normalmente propagavam-se
por meio de disquetes contamina-
dos, alterando as informaes de
inicializao do computador (Master
Boot Record ou MBR). Desde ento,
sua capacidade destrutiva vem au-
mentando exponencialmente. Eles
se propagam infectando, ou seja,
criando cpias deles mesmos, tor-
nando-se parte de outros programas
de computador. Dependem da exe-
cuo do programa hospedeiro para
tornarem-se ativos e dar continuida-
de ao processo de infeco e tambm
podem acessar sua lista de endere-
os de e-mails, enviando cpias de
si mesmo, provocando verdadeiras
epidemias. Alguns desses programas
podem apagar arquivos, desconfgu-
rar sistemas operacionais ou mesmo
inutilizar todos os dados de um disco
rgido.
Os worms so programas que
enviam cpias de si mesmos para
outros computadores. Diferentes dos
vrus, os worms no embutem cpias
em outros programas e no necessi-
tam ser executados para se propagar.
Eles exploram vulnerabilidades ou
falhas nas confguraes de softwa-
res instalados em computadores. Eles
so programas autnomos, criados
para cumprir determinadas misses,
como enviar spams ou atacar sites.
Outra tarefa tpica abrir portas na
mquina invadida para a entrada de
outros worms.
Os bots, termo derivado de ro-
bot, ou rob, em portugus, um
tipo de worm que possui dispositi-
vos de comunicao com o invasor,
permitindo seu controle a partir de
outros computadores. Os bots so
normalmente utilizados para atacar
sites, retirando-os do ar, e enviar e-
mails no solicitados em grandes
quantidades.
O Trojan, ou cavalo de tria,
chega at nossos computadores
como uma espcie de presente:
um lbum de fotografas interes-
santes, um protetor de tela bacana,
um carto virtual, jogo ou algo que
possa despertar o interesse do des-
tinatrio. Alm de executarem as
aes para as quais foram aparen-
temente projetados, os Trojans rea-
lizam outras aes malignas sem
o conhecimento do usurio, como
instalar vrus ou abrir portas que
podem ser acessadas distncia
por um invasor.
Os spywares compem a cate-
goria de software que tem como ob-
jetivo monitorar as atividades de um
sistema e enviar as informaes cole-
tadas para um terceiro. Normalmente,
so capturadas informaes pessoais
e privadas, tais como nome completo
do usurio, nome da esposa e flhos,
idades, nmeros de documentos
ofciais como RG e CPF, bancos e
Fonte Fonte F te on
88
2 GETSCHKO, Demi. Participao e Presena na Rede. In: CGI.br (Comit Gestor da Internet no Brasil). Pesquisa sobre o uso das tecnologias da
informao e da comunicao 2006. So Paulo, 2007, pp. 35-37.
3 Algumas das informaes referentes ao resguardo das vulnerabilidades da prpria mquina foram extradas do vdeo A Defesa , criado pelo Comit
Gestor da Internet no Brasil CGI.br, disponvel em http://www.antispam.br/videos/.
instituies fnanceiras com as quais
o usurio tem relacionamento.
H dois subtipos de spywares
bem conhecidos: os keyloggers e os
screenloggers. Os keyloggers armaze-
nam as teclas digitadas pelo usurio.
Normalmente, o incio de sua atividade
de captura est condicionada a uma
ao do usurio como entrar no site
de um banco ou entrar em um site
de comrcio eletrnico. Os keyloggers
capturam todas as informaes im-
portantes digitadas pelo usurio como
senhas, nmeros de conta, identi-
fcadores e nomes de usurio. Os
screenloggers podem ser caracteri-
zados como uma forma avanada de
keylogger: eles capturam as regies
da tela onde o usurio clica com o
mouse e armazenam essas imagens
para posterior envio a um terceiro.
Tratando o problema
A exposio de crianas e ado-
lescentes s ameaas da internet
uma realidade. No h como priv-
las de uma ferramenta de educao
2

to dinmica e til como esta. Por-
tanto, urge a necessidade de reali-
zarmos algumas aes que minimi-
zem os riscos aos quais elas fcam
expostas.
Consideramos que o principal
aspecto a ser tratado pelos pais e
responsveis a educao e a cons-
cientizao dos nossos flhos, quanto
ao cuidado no relacionamento e inte-
rao com pessoas desconhecidas e
no envio de informaes pessoais ou
sigilosas por meio da rede.
Mas necessrio tambm tratar
algumas vulnerabilidades da prpria
mquina
3
. Para isso, recomenda-
mos o uso de softwares de proteo.
Deve-se comear pela instalao ou
ativao de um frewall pessoal, de
um anti-vrus e de um anti-spyware.
Alm disso, necessrio manter os
programas em uso sempre atualiza-
dos, alm de instalar todos os pacotes
de correes de segurana. Deve-se
dar especial ateno atualizao
dos programas de proteo e atua-
lizao das assinaturas de vrus do
seu anti-vrus.
Podemos, ainda, ressaltar algu-
mas dicas para serem aplicadas no
uso cotidiano da internet:
No clique em links recebidos
por e-mail ou via servios de
mensagens instantneas.
Sempre examine os arquivos
recebidos por e-mail ou via
servios de mensagens instan-
tneas com anti-vrus antes de
abr-los. Na dvida, melhor
apagar o arquivo, sem abri-lo.
Esteja sempre atento ao nave-
gar na internet.
Evite entrar em sites com con-
tedo suspeito.
Evite clicar em links das ja-
nelas que se abrem automa-
ticamente, enquanto navega
(pop-ups).
Se o computador est se com-
portando de forma estranha,
atualize o seu anti-vrus e
acione a opo de varredura
completa do equipamento.
Se o problema persistir, reco-
mendamos a reinstalao do
sistema operacional e dos apli-
cativos.
No fornea informaes pes-
soais na rede, especialmente
aquelas referentes a dados
cadastrais, cartes de crditos,
dados bancrios e senhas, a
no ser que seja um site de sua
inteira confana.
Utilize e-mails diferentes para
uso pessoal, trabalho, compras
on-line e cadastros em sites
em geral.
Evite o clique compulsivo,
ou seja, clique apenas naquilo
que realmente lhe interessa,
descartando a curiosidade de
clicar em links recebidos alea-
toriamente.
Ao receber e-mails promocio-
nais de empresas, evite clicar
no link disponvel no e-mail.
Ao acessar o site da empresa
voc poder confrmar a exis-
tncia da promoo ou mesmo
de um golpe que anda circu-
lando pela rede.
Leia com ateno as infor-
maes fornecidas em sites,
onde voc realiza cadastros
para evitar que concorde
sem querer com opes in-
desejveis. Ao realizar esses
cadastros certifique-se que a
empresa possui uma polti-
ca de privacidade adequada
para resguardar o sigilo das
Fonte Fonte F te on
89
4 Existe ferramenta semelhante para o Windows XP que implementa estas protees. A ferramenta o Windows Live OneCare Proteo para a Famlia.
A soluo exige a inscrio no Windows Live. Veja em http://get.live.com/. Acesso em 31/10/2007.
5 Para mais informaes veja http://www.microsoft.com/protect/products/family/vista.mspx. Acesso em 31/10/2007.
6 Disponvel em http://www.snapfles.com/get/iprotectyou.html. Acesso em 31/10/2007.
7 Disponvel em http://www.naomiflter.org/index.html.
8 Exemplos de solues P2P: Kazaa, Emule, LimeWire, Morpheus. Disponveis em http://baixaki.ig.com.br/categorias/cat283_1.htm. Cabe salientar
que estas solues podem tornar os sistemas vulnerveis e contribuem para a transgresso de vrias leis, especialmente a de Direitos Autorais.
9 Disponvel em: http://kidrocket.org/download.php. Acesso em 21/11/2007.
informaes que voc for-
nece.
Antes de repassar e-mails que
relatam fatos atpicos, procure
certifcar-se quanto veracidade
das informaes ali contidas.
Mantenha-se atualizado quan-
to s novas ameaas virtuais
que surgem na rede.
Ferramentas e links interessantes
Alm das ferramentas j conhe-
cidas para a proteo de um sistema
(frewall, anti-vrus, anti-spyware,
anti-spam e outras), existe um vo-
lume considervel de solues de-
senvolvidas especialmente para a
proteo das crianas e adolescen-
tes. Geralmente o desenvolvimento
de tais solues busca monitorar e/
ou bloquear as atividades de risco
na web. Alguns fornecedores esto
disponibilizando estas ferramentas
junto com seus produtos. Podemos
citar a Microsoft que disponibili-
zou junto ao sistema operacional
VISTA
4
o Windows Vista Parental
Controls, que permite o ajuste de
restries como limites de tempo,
limites de quais programas podero
ser executados, quais jogos pode-
ro ser utilizados e quais sites po-
dem ser visitados por componente
da famlia
5
.
A soluo da Microsoft inte-
ressante, mas existem diversas ou-
tras. Estes programas de computador,
com funes semelhantes ao Parental
Control, so comuns e fceis de en-
contrar. Quatro conjuntos destacam-
se para os ambientes domsticos. O
primeiro deles so os fltros de con-
tedo para acesso web, instalado
nas estaes de trabalho, o segundo
envolve as solues que substituem
os navegadores web; o terceiro um
conjunto que possui solues hbri-
das: so os navegadores com fltros;
o ltimo voltado para o monitora-
mento das atividades que esto sendo
realizadas no computador. A maioria
destas solues gratuita para uso
no corporativo, mas poucas pos-
suem verso em portugus.
Um bom exemplo de fltro
de contedo IProtectYou verso
freeware
6
. Este programa um fltro
que pode ser manipulado por leigos,
sem muitas difculdades. Permite
bloquear e-mails, chats, servios de
mensagens instantneas, palavras es-
pecfcas, e bloquear web sites. um
fltro simples e funcional que permite
a instalao de senha para a desinsta-
lao ou mudanas de confgurao.
O mesmo produto apresenta uma
verso Shareware (IProtectYou Pro),
que disponibiliza outras funcionali-
dades, como nveis de restrio para
cada membro da famlia obter infor-
maes on-line das atividades dos
usurios, restringir o tempo de utili-
zao liberando e proibindo o acesso
web de acordo com horrios pr-
agendados. Outro bom representante
deste grupo de solues Blue Coat
K
9
Web Protection. Este produto
bastante semelhante ao IProtectYou
e permite um controle efetivo aos
acessos web. Existem outros re-
presentantes deste grupo na verso
freeware: so eles Parental Filter e
Naomi
7
. Todos permitem controlar
alguns tipos de acessos web e at
os acessos s redes ponto a ponto
(P2P
8
Peer to Peer). Existem outros
programas semelhantes em verses
shareware. Dois exemplos: Advan-
ced Parental Control e Anti-Porn.
O segundo grupo possui vrios
representantes, mas poucos so gra-
tuitos. Uma soluo freeware Web
Browser KidRocket
9
. Esta soluo
bastante simples e efciente. Direcio-
nada para as crianas com menos de
oito anos, o KidRocket possui lista
de sites, que podem ser utilizados, e
algumas funcionalidades que auxi-
liam no desenvolvimento da criana.
Esta soluo pode ser confgurada de
maneira que tome conta do equipa-
mento, inviabilizando a utilizao
de qualquer outro programa. Ou-
tras solues conhecidas: Frostzo-
ne KidSafe; Firefy Web Browser;
TUKI Freedom Browser; KidSurf
Child Safe Web Browser; My Kids
Fonte Fonte F te on
90
Browser e Kids Playground Web
Browser. Uma soluo com design
voltado para o pblico infantil o
navegador BuddyBrowser. Trata-se
de uma soluo interessante e bas-
tante completa, j direcionada para
crianas um pouquinho mais velhas,
que inclui vrias outras ferramentas
e funcionalidades (mas este no
freeware). Possui lista de sites con-
venientes s crianas, o que viabiliza
um controle efetivo das atividades
da criana e do pr-adolescente na
web, direcionando-os a realizarem
conexes mais seguras.
Ressaltamos tambm que alguns
provedores de acesso internet no
Brasil disponibilizam aos pais so-
lues que permitem o controle das
atividades on-line dos flhos. Estas
solues geralmente possuem custos,
mas so bem prximos dos valores
das solues disponveis na modali-
dade shareware.
Vrias solues licenciadas,
disponveis na web, agregam grande
segurana ao seu computador. Estas
ferramentas podem ser adquiridas
atravs da prpria internet e alguns
dos grandes fornecedores tais como
Symantec, Computer Associates,
Mcafee, Panda, Trend Micro, entre
outros, disponibilizam verses para
avaliao de seus produtos. Reco-
mendamos que voc experimente
tais ferramentas antes de adqui-
ri-las. Assim ter certeza quanto
satisfao em relao ferramenta
adquirida, seja ela um frewall, um
antivrus, um anti-spyware, anti-
trojan ou uma ferramenta qualquer
que reduza sua exposio aos riscos
existentes.
Outras solues so disponibili-
zadas sem nus e algumas delas so
efcientes. Citamos alguns softwa-
res gratuitos importantes para uma
melhor proteo do computador que
voc usa:
Firewalls: Sygate Personal
Firewall (gratuito), dispo-
nvel em http://microlink.
tucows.com/files3/spf.exe,
ZoneAlarm Firewall Ba-
sic (gratuito), disponvel em
http://download.zonealarm.
com/bin/free/1025_update/za-
Setup_en.exe. Comodo ou-
tro frewall sem nus (Windo-
ws XP e 2000). Disponvel em
http://www.personalfirewall.
comodo.com/. Outra opo
o Outpostfree Firewall. Dispo-
nvel em http://www.agnitum.
com/products/outpostfree/.
Software anti-vrus: AVG Free
Edition (gratuito), disponvel
em http://free.grisoft.com/,
avast! Home (gratuito), dis-
ponvel em http://www.avast.
com/index_por.html. Outra
opo de antivrus o Bitde-
fender Free Edition. Dispon-
vel em http://www.bitdefender.
com/PRODUCT-14-world--
BitDefender-10-Free-Edition.
html. O ClamWin um pro-
grama GPL. Disponvel em
http://www.clamwin.com/.
Software anti-spyware: Spy-
bot Search and Destroy (gra-
tuito), disponvel em http://
www.spybot.info/pt/down-
load/index.html, Microsoft
Windows Defender (gratuito),
disponvel em http://www.mi-
crosoft.com/athome/securi-
ty/spyware/software/default.
mspx. Free Spyware Remo-
val Forever outra soluo
sem nus. Remove spyware e
adware. Disponvel em http://
free-spyware-removal-fore-
ver.microsmarts-llc.qarchive.
org/. Outro programa gratui-
to para uso pessoal ou edu-
cacional o SpywareBlaster
3.5.1. Disponvel em http://
www.javacoolsoftware.com/
spywareblaster.html. Opo
tambm interessante o Free
Anti-SPY Guard. Disponvel
em http://www.pcguardsoft.
com/free-anti-spy.html. O
SpywareTerminator outra
soluo gratuita. Disponvel
em http://www.spywareter-
minator.com/.
H tambm alguns sites que so
muito teis, pois apresentam infor-
maes interessantes a respeito da
segurana no uso da internet. Pode-
mos citar:
http://www.cgi.br/
http://cartilha.cert.br/
http://www.antispam.br/
http://www.infowester.com/
dicaseguranca.php
http://www.portaldafamilia.
org/artigos/artigo054.shtml
http://www.microsoft.com/
brasil/athome/security/chil-
dren/default.mspx
http://www.safecanada.ca/
link_e.asp?category=3&topic
=94
http://www.internet101.ca/en/
index.php
http://www1.k9webprotec-
tion.com/
http://www.datastronghold.
com/security-articles/general-
security-articles/the-state-of-
kids-internet-safety.html
http://online-security-for-kids.
qarchive.org/
http://www2.cifop.ua.pt/no-
nio/seguranet/guia_pais.htm
http://www.seguranet.crie.
min-edu.pt/pais/Default.aspx
http://www.acmesecurity.org/
laboratorio/news/seguranca-
na-internet-para-criancas
http://dotsafe.eun.org/dotsafe.
eun.org/eun.org2/eun/index_
dotsafe.html
http://www.fosi.org/icra/
Fonte Fonte F te on
91
Checklist de segurana
Apresentamos um checklist, desen-
volvido pela Media Awareness Network
em 2003
10
, onde voc pode verifcar seu
grau de envolvimento nas principais aes
de proteo das suas crianas e adoles-
centes, enquanto usurios da internet:
Checklist SIM NO
Voc est envolvido e ciente das atividades on-line das suas crianas? Voc sabe o que eles esto
fazendo e com quem eles esto conversando enquanto esto na internet?
A sua famlia (pai, me e flhos) j estabeleceu um conjunto de regras ou um acordo para o uso
apropriado da internet?
Suas crianas j sabem que tm que pedir permisso antes de enviar qualquer tipo de informao
pessoal on-line? Isso inclui: enquanto usa o e-mail, as salas de bate-papo ou de mensagens instant-
neas, preenchendo formulrios em sites, perfs pessoais em sites de relacionamento ou participando
de desafos na web.
Voc tenta no fazer tantas crticas negativas sobre as atividades de seus flhos na web e usa as experi-
ncias deles como uma oportunidade de discutir contedo inapropriado, estabelecimento de confana
entre vocs e responsabilidades advindas de seus atos on-line?
Voc faz do uso da internet uma atividade familiar, guiando suas crianas para sites bons e ensinan-
do-os como fazer pesquisas com segurana e efccia?
Voc j ensinou seus flhos a no acreditarem em tudo o que lem na internet e a verifcar a veraci-
dade das informaes que ali se encontram junto a um adulto ou com uma outra fonte confvel?
Se sua criana acessa a internet a partir da escola, da biblioteca, de uma lan-house ou de um outro
local pblico, voc j avaliou se so adequadas as regras, polticas e restries de uso da internet
impostas por esses locais?
Voc verifca as polticas de privacidade dos sites que suas crianas acessam, para se certifcar de
quais informaes pessoais que so coletadas e se estas informaes podem ou no ser vendidas ou
repassadas a terceiros?
Para tornar seu trabalho de monitoramento mais fcil, voc j colocou o computador usado pelos
seus flhos para o acesso internet em um local de uso comum da casa, tais como a sala de estar, a
sala de TV, a sala de jantar ou a cozinha?
Se seu flho ou flha possui uma pgina web pessoal ou um blog, voc j verifcou se ela no publicou
nenhuma informao pessoal que possa exp-la a riscos desnecessrios?
Voc j conversou com seus flhos sobre comportamento on-line responsvel? Eles entendem que
furtar informaes de web sites, fazer download de software pirata, criar ou fazer ameaas on-line
e hackear e crackear so atividades ilegais?
Legislao correlacionada
Desde a Constituio de 1988
(art. 227, CF/88), o Brasil j demons-
trava o envolvimento com a Doutrina
de Proteo Integral da Criana e do
Adolescente. Em 1990 ofcializou
com a adeso a Conveno Inter-
nacional sobre Direitos da Criana
por meio do Decreto Legislativo
28/1990.
Em 1990 tambm surge a primei-
ra e nica lei efetiva, e em nvel infra-
constitucional, de proteo crian-
a e ao adolescente. O Estatuto da
Criana e do Adolescente (ECA Lei
8069/90) instrumento de efetivao
dos direitos fundamentais garantidos
pela Constituio. No seu artigo 2
existe a defnio de criana e ado-
lescente. Criana, para os efeitos da
lei, pessoa com menos de doze anos
de idade, e adolescente pessoa entre
doze e dezoito anos de idade.
Recentemente, o Brasil tam-
bm ratifcou, por meio do Decreto
n 5007/04, o Protocolo Facultati-
vo Conveno sobre os Direitos
da Criana (Nova York 2000), re-
ferente venda de crianas, pros-
tituio infantil e pornografa in-
fantil.
O Cdigo Penal, junto ao Estatu-
to da Criana e Adolescente, prope
a preveno e a represso a vrios
10 Disponvel em http://www.media-awareness.ca/english/resources/tip_sheets/internet_checklists/loader.cfm?url=/commonspot/security/getfle.
cfm&PageID=27804. Acesso em 09/12/2007.
Fonte Fonte F te on
92
Concluso
Os recursos e consideraes aqui
apresentadas no esgotam todos os
problemas ocasionados pela intensa
exposio das crianas e adolescen-
tes web. So apenas alguns recursos
auxiliares e prticas usuais que visam
colaborar no processo de monitora-
mento e acompanhamento dos jovens
enquanto usurios da internet. A edu-
cao infantil e do adolescente exige
tempo, dedicao, dilogo e con-
fana. Mecanismos implementados
por programas de computador nunca
daro plena segurana s crianas e
aos adolescentes. As solues com-
putacionais no daro maturidade,
discernimento, bom senso, virtuosi-
dade, astcia e sabedoria. No h tec-
nologia capaz de substituir a relao
aberta, o dilogo franco e a educao
dada pelos pais aos seus flhos.
O grande dilema da educao
de crianas quando liberar e quan-
do proibir a questo basilar que
envolve esta discusso dos riscos
existentes no acesso delas internet.
evidente que a independncia e a
autonomia das crianas e adolescen-
tes so caractersticas que devem ser
construdas e incentivadas, como
afrmava Piaget
13
. Mas todo pai sabe
que o cotidiano exige proximidade,
acompanhamento, participao e
monitoramento. A presena dos pais
simplesmente insubstituvel. As
crianas e os adolescentes devem
experimentar e aprender. Da a dif-
culdade em decidir quando liberar
e quando proibir. Trata-se de um
dilema individual, que, em parte,
respondido quando lembramos que
educar antes de tudo amar profun-
damente. Conclumos com a fala de
Paulo Freire
14
: Educar um ato de
amor e para educar crianas neces-
srio, sobretudo, am-las profunda-
mente e com a sintetizao de Iami
Tiba
15
: Quem Ama, Educa!.
delitos que envolvem os jovens. Al-
guns so conhecidos: estupro, aten-
tado violento ao pudor, corrupo
de menores e outros. Alguns so no-
vos como a produo, divulgao e
publicao de fotografas com cono-
tao sexual, envolvendo crianas e
adolescentes. Apresentamos o artigo
do ECA
11
:
Art. 241. Apresentar, produzir,
vender, fornecer, divulgar ou
publicar, por qualquer meio de
comunicao, inclusive rede
mundial de computadores ou
internet, fotografas ou imagens
com pornografa ou cenas de
sexo explcito envolvendo crian-
a ou adolescente.
Pena recluso de 2 (dois) a 6
(seis) anos, e multa.
1 Incorre na mesma pena
quem: (Includo pela Lei n
10.764, de 12/11/2003)
I - agencia, autoriza, facilita ou,
de qualquer modo, intermedeia
a participao de criana ou
adolescente em produo referi-
da neste artigo;
II - assegura os meios ou servi-
os para o armazenamento das
fotografas, cenas ou imagens
produzidas na forma do caput
deste artigo;
III - assegura, por qualquer meio,
o acesso, na rede mundial de com-
putadores ou internet, das fotogra-
fas, cenas ou imagens produzidas
na forma do caput deste artigo.
2 A pena de recluso
de 3 (trs) a 8 (oito) anos:
(Includo pela Lei n 10.764, de
12/11/2003)
I - se o agente comete o crime
prevalecendo-se do exerccio de
cargo ou funo;
II - se o agente comete o crime
com o fm de obter para si ou
para outrem vantagem patrimo-
nial.
Apesar da possibilidade de in-
terpretao do artigo acima de que
o simples armazenamento das ima-
gens e fotografas envolvendo sexo
com crianas e adolescentes, mes-
mo sem cincia do usurio do equi-
pamento computacional, seja crime,
para grande parte dos penalistas, o
ordenamento jurdico brasileiro
incipiente e tmido no combate
pedoflia
12
.
11 ECA disponvel em http://www.planalto.gov.br/ccivil_03/Leis/L8069.htm. Acesso 27/12/2007.
12 Para denncias de crimes virtuais que afetem toda a sociedade, como o caso da PEDOFILIA, utilize a Central Nacional de Denncias de Crimes
Cibernticos. Disponvel em http://www.safernet.org.br/twiki/bin/view/SaferNet/WebHome. Para outros casos o site apresenta algumas orientaes
interessantes. Acesso em 30/11/2007.
13 http://pt.wikipedia.org/wiki/Piaget
14 http://pt.wikipedia.org/wiki/Paulo_Freire
15 http://pt.wikipedia.org/wiki/I%C3%A7ami_tiba
Fonte Fonte F te on
93
Governana de TICs
e Segurana da Informao
RESUMO
Os padres e modelos direcionados correta gerncia dos temas relacionados com as tecnologias de informao e de
comunicao (TICs), no meio organizacional, tm-se proliferado continuamente, tanto no tipo, quanto no nmero de
utilizaes. Em conseqncia ao grande volume de informaes de diversas fontes e categorias, que permeiam as redes
e os demais recursos digitais, somam-se as informaes acerca da gesto desses mesmos recursos, as quais tm seus
prprios requisitos de sensibilidade e ciclos de vida. As metodologias de segurana da informao muito tm a contribuir
neste contexto, ao se aliarem s prticas de gesto em busca de solues que devem se adequar, ao mesmo tempo, ao
negcio e s estratgias de governana da informao.
D
i
v
u
l
g
a
o
1. Introduo
Muito tem-se falado acerca da
necessidade de implementao de
modelos e metodologias destinados
governana das tecnologias de in-
formao e de comunicao (TICs).
Na literatura, diversas acepes so
apresentadas ao termo governana
(Van Grembergen; De Haes; Gulden-
tops, 2004, p. 5), sendo que, de modo
geral, quanto governana corporati-
va, elas esto relacionadas com a ca-
pacidade da organizao realizar ati-
vidades voltadas ao seu desempenho
e vantagem competitiva. Esta ca-
pacidade pode variar conforme o
negcio e a localizao geogrfca
da organizao, o que constitui um
problema parte para as organiza-
es globais. Em especial, o trabalho
de Ayogu (2001, p. 309), acerca do
tema, introduz uma observao fun-
damental, ao notar que, do ponto de
vista prtico, o problema da gover-
nana corporativa est relacionado
com o delineamento de instituies
(entendidas como o conjunto de
procedimentos, normas, rotinas e
convenes, formais ou informais,
que norteiam as aes coletivas
(North, 1991; Ostrom, 1999, p. 36-37)
que orientam o corpo de gerentes em
suas aes, levando em considerao
o bem-estar dos stakeholders (inves-
tidores, empregados, comunidades,
fornecedores e clientes).
No tocante s TICs, a gover-
nana assume aspectos necessaria-
mente mais localizados, inseridos
em um contexto delineado pelas
Palavras-chave: Governana da informao. Segurana da informao. ITIL. COBIT. TICs.
Joo Luiz Pereira Marciano
Bacharel e mestre em Cincia da Computao, doutor em Cincia da Informao,
consultor de programas da TecSoft e SofTex, do Departamento de Polcia Federal e
da Organizao das Naes Unidas. Ex-professor do programa de ps-graduaco da
Universidade Catlica de Braslia e ex-professor substituto da Universidade de Braslia,
atualmente Analista Legislativo da Cmara dos Deputados.
reas de interesse: segurana da informao, polticas de informao, epistemologia e
hermenutica, anlise estatstica. marciano@unb.br
Fonte Fonte F te on
94
prprias tecnologias que se prope
aplicar e gerenciar. Pode-se enten-
der a governana das TICs como
sendo a responsabilidade desempe-
nhada pela alta gerncia para ga-
rantir que tais tecnologias suportem
adequadamente o negcio, em toda
a sua extenso interna corpore e no
relacionamento com os parceiros,
aqui entendidos como aqueles que
se relacionam com a organizao ao
longo da sua cadeia produtiva.
Torna-se, ento, essencial a cons-
truo de um mapeamento adequado
entre os objetivos organizacionais e os
objetivos das TICs. Este alinhamento
estratgico entre a governana orga-
nizacional e a governana das TICs,
o qual se mostra em diferentes est-
gios de maturidade, apresenta, via de
regra, profundo impacto sobre as ati-
vidades da organizao. Desse modo,
a governana das TICs assume papel
essencial, agora no mais restrito ao
subconjunto tecnolgico, mas expan-
dido ao prprio locus da organizao
em sua rede de relacionamentos.
Diversas abordagens podem ser
aplicadas modelagem do mapea-
mento entre os dois tipos de gover-
nana (Peterson, 2004): baseiam-se
no estabelecimento de prioridades e
objetivos, na obedincia a determi-
naes legais e governamentais, nos
pontos de vista dos principais agen-
tes da cadeia de valor, etc. Porm,
a ttulo de marco inicial, deve-se
observar que existe um aspecto da
governana das TICs que tambm
se insere frmemente no ambiente
organizacional: a segurana da in-
formao, que percorre (idealmente)
todos os meandros da vida da orga-
nizao e que se utiliza de ferramen-
tas de observao de diversos com-
portamentos de usurios, clientes e
parceiros. Alm disso, a segurana
da informao, adequadamente nor-
teada por polticas, busca os mesmos
objetivos do alinhamento estratgico
j citado, a saber, atender a priori-
dades e objetivos organizacionais,
basear-se frmemente na aderncia a
padres e determinaes legais e in-
serir-se no ambiente organizacional
de modo a apoiar os ativos com os
quais se relaciona, no s no tocan-
te ao valor monetrio de tais ativos,
mas, principalmente, na preservao
do conhecimento organizacional.
2. O contexto da segurana da informao diante da governana de TICs
Os mecanismos de anlise e de
formalizao de polticas de seguran-
a atualmente em voga, tais como a
norma ISO/IEC 27001 (ISO, 2006),
ou a descrio de recomendaes de
institutos de tecnologia e de padres
(Bass, 1998), partem de pressupostos
representados por melhores prti-
cas (Wood, 2002b), ou seja, adota-
se um conjunto de procedimentos ad
hoc, defnidos de forma emprica e
geralmente voltados a aspectos tc-
nicos, por vezes deslocados do con-
texto humano e profssional no qual
se inserem.
Cumpre observar que os sis-
temas de informao, mormente
aqueles digitais, em ampla voga
no contexto da Sociedade da
Informao, encontram-se, natu-
ralmente, envoltos por completo
em ambientes do mundo real, es-
tando sujeitos a vrias formas de
aes afeitas sua segurana, tais
como negaes de servio, frau-
des, roubos, tentativas de invaso,
corrupo e outras atividades hos-
tis (Schneier, 2000; Wood, 2002a;
Bosworth; Kabay, 2002).
Em resposta a estas hostilida-
des, a segurana da informao, em
seu sentido mais abrangente, envol-
ve requisitos voltados garantia de
origem, uso e trnsito da informao,
buscando certifcar todas as etapas do
seu ciclo de vida. Estes requisitos po-
dem ser resumidos na forma dos trs
primeiros itens a seguir (ISO, 2006),
aos quais algumas abordagens agre-
gam ainda os dois ltimos (Krutz;
Vines, 2002; Krause; Tipton, 1999):
Confdencialidade: garantia de
que a informao acessvel somen-
te por pessoas autorizadas a realiza-
rem tal acesso (Jonsson, 1998).
Integridade: garantia de no-
violao da informao e dos mto-
dos de seu processamento
1
.
Disponibilidade: garantia de
que os usurios, devidamente auto-
rizados, obtenham acesso informa-
o e aos recursos computacionais
correspondentes, sempre que neces-
srio.
Autenticidade: garantia de que
a informao de fato originria da
procedncia alegada.
1 comum confundir-se integridade com corretude, mas um exemplo banal ilustra a distino entre ambas: imagine-se uma mensagem cujo contedo
original seja 2+2=5; caso, ao ser transmitida, tal mensagem chegue ao seu destino com esta mesma disposio, ela se mostra ntegra, porm, no
correta. Isto salienta tambm a distino entre estrutura e signifcado, aos quais, conforme j se disse, a segurana no est afeita. Note-se que esses
dois conceitos pertencem a domnios distintos de representao: sinttico e semntico.
Fonte Fonte F te on
95
Irretratabilidade ou no re-
pdio: garantia de que no se pode
negar a autoria da informao ou o
trfego por ela percorrido.
Desse modo, a segurana faz-se
presente nas arquiteturas e modelos
da informao, inserindo-se em todos
os nveis. Entretanto, observa-se um
nmero crescente de ocorrncias de
incidentes relativos segurana da in-
formao. Fraudes digitais, furtos de
senhas, cavalos de tria (cdigos de
programas aparentemente inofensivos,
mas que guardam instrues danosas
ao usurio, ao software ou ao equipa-
mento), vrus e outras formas de ame-
aas tm-se multiplicado vertiginosa-
mente, conforme ilustra a Figura 1.
Na imagem apresentada pela Figu-
ra 1, mostra-se o aumento do nmero
de vulnerabilidades, ou seja, potenciais
falhas de mecanismos computacionais
(implementados em software ou em
hardware), as quais, uma vez explo-
radas ou em virtude de fatores no
tecnolgicos, como humanos, do en-
sejo ocorrncia dos incidentes. Estes,
por sua vez, apresentam-se em nme-
ro e crescimento muito superiores s
vulnerabilidades, mesmo porque a rei-
terada explorao de uma mesma vul-
nerabilidade pode ocasionar mltiplos
incidentes. Observa-se, ainda, que um
mesmo incidente que atinja diversas
instalaes (como a infeco por um
mesmo vrus em centenas de milhares
de computadores, por exemplo) con-
tabilizado como um nico caso para a
confeco do grfco.
Figura 1 Vulnerabilidades e incidentes de segurana da informao em sites no mundo,
reportados no perodo de 1988 a 2003. Fonte: (CERT, 2006).
0
1
9
9
5
1
9
9
6
1
9
9
7
1
9
9
8
1
9
9
9
2
0
0
0
2
0
0
1
2
0
0
2
2
0
0
3
2
0
0
4
2
0
0
5
2
0
0
6
2
0
0
7
20.000
40.000
60.000
80.000
100.000
120.000
140.000
160.000
Incidentes
Vulnerabilidades
Tabela 1 Ranking de pases por acesso internet (Fonte: e-Commerce.Org (2006)).
Pas Usurios da Populao Adoo da Usurios no
internet (milhes) (est. 2006, milhes) internet (%) mundo (%)
EUA 203,8 299,0 68,1 20,0
China 111,8 1.307,0 8,5 10,9
Japo 86,3 128,4 67,2 8,5
ndia 50,6 1.112,2 4,5 5,0
Alemanha 48,7 82,5 59,0 4,8
Reino Unido 37,8 60,1 62,9 3,7
Coria do Sul 33,9 50,6 67,0 3,3
Itlia 28,9 59,1 48,8 2,8
Frana 26,2 61,0 43,0 2,6
Brasil 25,9 184,3 14,1 2,5
Fonte Fonte F te on
96
3. Alguns organismos e padres relacionados com a governana das TICs e com as
polticas de segurana da informao
Tal como a governana de TICs,
as polticas de segurana da informa-
o, para serem efcazes, devem ade-
rir legislao e s regulamentaes
vigentes sobre o contexto organiza-
cional. Leis e normas nacionais ou
mesmo internacionais, alm de pa-
dres reconhecidos, contribuem para
esta prtica.
Os Estados Unidos da Amri-
ca, como grande plo gerador de
inovaes tecnolgicas e como um
dos pases de mais alta taxa percen-
tual de uso computacional por ha-
bitante, conforme ilustra a Tabela
1, ditam muitas normas utilizadas
pela comunidade internacional no
tocante SI. Muitas dessas normas
e procedimentos so gerados tendo
em vista o contexto cultural e eco-
nmico daquele pas, sendo criados
por rgos governamentais como o
General Accounting Offce (GAO)
(GAO, 1998), com o objetivo de
embasar ou atender sua legisla-
o. Em outras situaes, organis-
mos de alcance global propem
e discutem modelos de normas e
procedimentos a serem aplicados a
todo o contexto da internet. Neste
mbito destacam-se, dentre vrias
organizaes, o NIST, o CERT e o
SANS Institute.
3.1 NIST
O National Institute of Standards
and Technology (NIST) uma orga-
nizao voltada normatizao e pa-
dronizao de instrumentos e prticas
no mbito do governo e das organi-
zaes pblicas nos Estados Unidos.
O rgo realiza periodicamente con-
ferncias voltadas SI, cujos resulta-
dos so publicados e disponibilizados
ao pblico. Como exemplo, cite-se o
texto de Bass (1998), o qual apresen-
ta um modelo de poltica de seguran-
a, que abrange aspectos gerenciais,
de operao e de implementao. Por
sua vez, King (2000) discorre sobre
algumas das chamadas melhores
prticas da SI, ou seja, estratgias
heursticas que se baseiam em casos
reais, no necessariamente corrobo-
radas pela teoria. Por fm, Raggad
(2000) prope uma estratgia de
defesa corporativa, semelhante aos
moldes adotados pelo Department of
Defense (DoD).
3.2 CERT
O Computer Emergency Res-
ponse Team (CERT) (CERT, 2004)
uma organizao sem fns lu-
crativos, sediada na Universidade
Carnegie-Mellon, na Pennsylvania,
cujos relatrios estatsticos anuais
constituem uma referncia global
para o acompanhamento de vulne-
rabilidades, ameaas e incidentes
no mbito da internet. Alm disso, o
CERT realiza estudos e desenvolve
instrumentos e metodologias, como
a OCTAVE, voltados ao incremen-
to da segurana da informao, que
so aplicados em larga escala, e,
ainda, disponibiliza correes para
falhas encontradas em diferentes
softwares.
3.3 SANS Institute
O SysAdmin, Audit, Network,
Security Institute (SANS Institu-
te) uma organizao de pesquisa
e educao estabelecida em 1989,
que conta, atualmente, com mais
de 165 mil profssionais de segu-
rana entre seus afliados. Alm de
uma grande gama de cursos e tex-
tos tcnicos sobre a segurana da
informao, o SANS Institute pu-
blicou e tornou disponveis na in-
ternet diversos modelos templates
de pequenas normas de segurana,
voltadas para correio eletrnico, uso
de computadores, controle de aces-
so e muitas outras. Alm disso, sua
lista das 20 principais vulnerabilida-
des dos sistemas Windows e Unix
bastante conceituada (SANS, 2004).
O SANS Institute publicou ainda
um modelo para a elaborao de po-
lticas de segurana de nvel orga-
nizacional (GUEL, 2001), alm de
uma lista de verifcao (checklist)
para validao da conformidade
ao padro ISO/IEC 17799 (Thiaga-
rajan, 2003).
Fonte Fonte F te on
97
3.4 ITSEC
O Information Technology for
Security Evaluation Criteria (ITSEC)
foi um dos primeiros padres pro-
postos para a interoperabilidade de
sistemas computacionais com requi-
sitos de segurana, principalmente
criptografa de chaves simtricas.
Seu desenvolvimento ocorreu como
resultado de um esforo conjunto dos
governos da Frana, Alemanha, Rei-
no Unido e Holanda. Em meados da
dcada de 80, foi apresentado como
um padro proposto para aquisio e
desenvolvimento de sistemas gover-
namentais e comerciais (Ford, 1994).
Nos ltimos tempos, tem sido substi-
tudo por outros padres, como CO-
BIT e Common Criteria.
3.5 COBIT
Em 1998, foi criado o Infor-
mation Technology Governance
Institute (ITGI), organismo com
base nos Estados Unidos, com o
objetivo de realizar pesquisas e es-
tudos sobre o tema da governana,
proteo e segurana de TI. Um dos
principais produtos desses estudos
o guia conhecido como Control
Objectives for Information and
related Technology (COBIT), to-
talmente compatvel com a norma
ISO/IEC 17799, que tem como
pblico-alvo gestores de organi-
zaes, auditores e responsveis
pela segurana da informao (IT
Governance Institute, 2005).
Os componentes do COBIT
so os seguintes (IT Governance
Institute, 2004):
sumrio executivo, que detalha
os conceitos fundamentais do
guia (IT Governance Institute,
2000b);
framework, que a base e o
suporte para os demais compo-
nentes, organizando o modelo
de processos em quatro gran-
des domnios (IT Governance
Institute, 2000c):
- planejamento e organizao;
- aquisio e implementao;
- entrega e suporte;
- monitorao e avaliao.
objetivos de controle, proven-
do mais de 300 enunciados
que defnem o que precisa ser
gerenciado em cada processo
de TI, a fm de atingir os obje-
tivos da organizao, inclusive
quanto gesto de riscos (IT
Governance Institute, 2000a);
prticas de controle, que indi-
ca quais controles e prticas
so necessrios para atingir os
objetivos estabelecidos;
linhas mestras de gesto,
com ferramentas para dar su-
porte aos gestores de TI (IT
Governance Institute, 2000e);
linhas mestras de auditoria,
que delineiam 34 objetivos da
auditoria de TI, com ativida-
des e um guia para a sua rea-
lizao.
Alm desses componentes, pro-
v-se ainda um guia rpido (COBIT
QuickStart), para a adoo gradual e
orientada dos elementos do COBIT
(IT Governance Institute, 2000d).
3.6 Common Criteria
O projeto Common Criteria
(CC), originalmente patrocinado por
sete organizaes de seis pases dis-
tintos, foi padronizado sob o cdigo
ISO/IEC 15408. Seu objetivo ser
usado como base para avaliao de
propriedades de segurana de pro-
dutos e sistemas de TI, permitindo
a comparao entre os resultados
de avaliaes independentes de se-
gurana, por meio de um conjun-
to de requisitos padronizados a ser
atingido. O processo de avaliao
estabelece nveis de confabilidade
de que as funes avaliadas atingem
os requisitos estabelecidos, ajudando
os usurios a determinar se tais siste-
mas ou produtos possuem os nveis
desejados de segurana e se os riscos
advindos de seu uso so tolerveis.
Seu pblico-alvo so os desenvolve-
dores, avaliadores e usurios de sis-
temas e produtos de TI que requerem
segurana.
O padro est dividido em trs
partes (NIAP, 2003a):
introduo e modelo geral,
onde so defnidos os conceitos
e princpios seguidos pelo
modelo, alm de uma nomen-
clatura e uma diagramao,
que se baseiam na orientao
a objetos, especfcas para a
formulao de objetivos de
segurana, selecionar e defnir
seus requisitos e o alto nvel
de produtos e sistemas;
requisitos funcionais de segu-
rana, que estabelecem um
Fonte Fonte F te on
98
conjunto de elementos funcio-
nais para a padronizao dos
requisitos, divididos em classes,
como gesto de segurana,
privacidade e comunicao;
em famlias, como funes e
mensagens; e em componen-
tes, como as bibliotecas de de-
fnies (NIAP, 2003b);
requisitos da garantia de se-
gurana, que estabelecem um
conjunto de elementos para a
padronizao da garantia da
segurana, tambm divididos
em famlias, classes e compo-
nentes, ao longo do ciclo de de-
senvolvimento dos produtos ou
sistemas. Um exemplo de classe
a gesto de documentao do
produto ou sistema, com as fa-
mlias guia do administrador
e guia do usurio, contendo
componentes como um que de-
termine que o guia do adminis-
trador deve ser consistente com
toda a documentao suprida
para avaliao (NIAP, 2003c).
3.7 ITIL
A Information Technology
Infrastructure Library (ITIL) com-
preende um conjunto de melhores
prticas destinadas ao provimento da
qualidade de servios em TI, origi-
nalmente patrocinadas pelo Offce for
Government Commerce da Inglaterra.
Posteriormente, originou a norma BS
15000, que, por sua vez, tornou-se um
anexo da norma ISO 20000.
A biblioteca ITIL divide-se em
dois grandes segmentos, sendo o
primeiro o Service Support, dividido
em (Inform-IT, 2007):
gesto de incidentes: destina-
da a reduzir a indisponibilida-
de dos servios;
gesto de problemas: destina-
da a minimizar o impacto de
incidentes e problemas causa-
dos por falhas de TI;
gesto de confgurao: desti-
nada a identifcar e controlar os
ativos de TI na organizao, es-
tabelecendo suas relaes com
os servios por eles prestados;
gesto de mudanas: desti-
nada a minimizar o impacto
das mudanas eventualmente
requeridas por incidentes ou
problemas, garantindo o nvel
de qualidade dos servios;
gesto de instalaes: desti-
nada a garantir que instala-
es de verses de hardware e
software estejam consoantes
com testes e requisitos de se-
gurana.
O segundo segmento o Service
Delivery, dividido em:
gesto do nvel de servios:
destinada a garantir o acordo
de nvel de servios Service
Level Agreements (SLA)
com o cliente;
gesto fnanceira para servios
de TI: destinada formao,
negociao e exibio de cus-
tos dos servios;
gesto de disponibilidade: des-
tinada garantia de disponibi-
lidade, com vistas satisfao
do cliente e manuteno do
negcio;
gesto de capacidades: des-
tinada observncia de de-
mandas, sua adequao e
consonncia com tempos e
custos;
gesto de continuidade de ser-
vios de TI: destinada a asse-
gurar a recuperao dos ativos
de TI, quando necessrio.
3.8 Brasil
No Brasil, principalmente a par-
tir do fnal da dcada de 90, tem-se
dado importncia especfca a even-
tos da segurana da informao, no
tocante aos aspectos legais e jurdi-
cos que os envolvem. At ento, os
incidentes eram enquadrados sob a
ptica do contexto, em que se inse-
riam, por exemplo, fraude ou falsif-
cao, conforme o caso e a viso do
jurista responsvel.
Nos ltimos anos, leis tm
sido propostas para tratar especi-
ficamente de temas relacionados
com a segurana da informao
em formato digital, como o co-
mrcio eletrnico, mas tais pro-
jetos ainda encontram-se em tra-
mitao no Congresso Nacional.
A legislao brasileira, como se
sabe, bastante abrangente; po-
rm, em diversos casos, carece
de atualizaes essenciais sua
formalizao e implementao.
Exemplos que merecem desta-
que, no tocante segurana da
informao, so o texto publi-
cado pelo Tribunal de Contas da
Unio (TCU), com melhores pr-
ticas sobre o tema (TCU, 2003),
e recomendaes dispostas pelo
Network Information Center do
pas (NIC-BR) (NBSO, 2005).
Fonte Fonte F te on
99
4. Comentrios fnais
Evidencia-se a inter-relao entre
os modelos de governana de TICs e
os modelos voltados segurana da in-
formao. Um no pode subsistir sem o
outro. Enquanto as TICs devem-se ade-
quar perfeitamente governana institu-
cional, a segurana da informao deve
dar-lhe suporte, a fm de garantir o exato
alinhamento com as polticas e prticas
dos ativos da informao, os quais so
o principal insumo para as organizaes
da Sociedade da Informao.
Referncias
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27001 : Tecnologia da informao tcnicas de segurana
sistemas de gesto de segurana da informao - requisitos. Rio de Janeiro, 2006.
AYOGU, M. D. Corporate governance in Africa: the record and policies for good corporate governance. African Development Review,
v. 13, n. 2, p.308_330, Dec. 2001.
BASS, F. T. Security policy: target, contents and links. In: Proceedings of the 21st National Information Systems Security Conference.
NIST National Institute of Standards and Technology, 1998. Disponvel em: <http://csrc.nist.gov/nissc/1998/proceedings/paperG4.
pdf>. Acesso em: 2 jun. 2003.
BOSWORTH, S.; KABAY, M. E. (Eds.). Computer Security Handbook. 4th. ed. New York: John Wiley & Sons, 2002.
BRASIL. TRIBUNAL DE CONTAS DA UNIO. Boas prticas em segurana da informao. Braslia: Tribunal de Contas da Unio,
2003. Disponvel em: <http://www.tcu.gov.br>. Acesso em: 8 jul. 2003.
COMPUTER EMERGENCY RESPONSE TEAM. Site ofcial. Pittsburgh, 2004. Disponvel em: <www.cert.org>. Acesso em: 9 maio
2003.
COMPUTER EMERGENCY RESPONSE TEAM. CERT/Coordination Center Statistics. Pittsburgh, Carnegie Mellon University, Jan.
2006. Disponvel em: <http://www.cert.org/stats/cert_stats.html>. Acesso em: 9 jan. 2006.
E-COMMERCE.ORG. Dados estatsticos sobre a internet e comrcio eletrnico. So Paulo, 2006. Disponvel em: <http://www.
ecommerce. org.br/STATS.htm>. Acesso em: 9 maio 2006.
FORD, W. Standardizing information technology security. StandardView, ACM, v. 2, n. 2, p. 64_71, 1994. Disponvel em: <http://doi.
acm.org/10.1145/202949.202951>. Acesso em: 2 ago. 2004.
GENERAL ACCOUNTING OFFICE. Information Security Management : learning from leading organizations.Washington - General
Accounting Offce, 1998. Disponvel em: <http://www.gao.gov/special.pubs/ai9868.pdf>. Acesso em: 05 abr. 2004.
GUEL, M. D. A short primer for developing security policies. Bethesda, Maryland, 2001. Disponvel em: <http://www.sans.org/resources/
policies/Policy_Primer.pdf>. Acesso em: 25 abr. 2002.
INFORM-IT. Foundations of IT Service Management Based on ITIL V3. Zaltbommel, Netherlands: Van Haren Publishing, 2007.
IT GOVERNANCE INSTITUTE. COBIT Control Objectives. 3rd. ed. Chicago, 2000. Disponvel em: <www.isaca.org>. Acesso em: 3
ago. 2004.
IT GOVERNANCE INSTITUTE. COBIT Executive Summary. 3rd. ed. Chicago, 2000. Disponvel em: <www.isaca.org>. Acesso em:
3 ago. 2004.
IT GOVERNANCE INSTITUTE. COBIT Framework. 3rd. ed. Chicago, 2000. Disponvel em: <www.isaca.org>. Acesso em: 3 ago.
2004.
IT GOVERNANCE INSTITUTE. COBIT Implementation Tool Set. 3rd. ed. Chicago, 2000. Disponvel em: <www.isaca.org>. Acesso
em: 3 ago. 2004.
IT GOVERNANCE INSTITUTE. COBIT Management Guidelines. 3rd. ed. Chicago, 2000. Disponvel em: <www.isaca.org>. Acesso
em: 3 ago. 2004.
IT GOVERNANCE INSTITUTE. COBIT security baselines. Chicago, 2004. Disponvel em: <http://www.isaca.org>. Acesso em: 17
jan. 2005.
IT GOVERNANCE INSTITUTE. COBIT. Chicago, 2005. Disponvel em: <http://www.isaca.org>. Acesso em: 17 jan. 2005.
JONSSON, E. An integrated framework for security and dependability. In: Proceedings of the 1998 workshop on New security paradigms.
Charlottesville, Virginia, United States: ACM, 1998. p. 22_29. Disponvel em: <http://doi.acm.org/10.1145/310889.310903>.
Acesso em: 2 ago. 2004.
KING, G. Best security practices: an overview. In: Proccedings of the 23rd National Information Systems Security Conference. NIST
National Institute of Standards and Technology, 2000. Disponvel em: <http://csrc.nist.gov/nissc/2000/proceedings/papers/022.
pdf>. Acesso em: 18 jul. 2003.
KRAUSE, M.; TIPTON, H. F. Information Security Management Handbook. New York: CRC Press - Auerbach, 1999.
Fonte Fonte F te on
100
KRUTZ, R. L.; VINES, R. D. The CISSP Prep Guide: Gold edition. New York: John Wiley & Sons, 2002.
NATIONAL INFORMATION ASSURANCE PARTNERSHIP. Common Criteria for Information Technology Security Evaluation (ISO
15408) v 2.2.: Part 1 - introduction and general model. Washington, 2003. Disponvel em: <http://www.commoncriteriaportal.
org/public/_les/ccpart1v2.2.pdf>. Acesso em: 9 jul. 2004.
15408) v 2.2 : Part 2 - security functional requirements. Washington, 2003. Disponvel em: <http://www.commoncriteriaportal.
15408) v 2.2 : Part 3 - security assurance requirements. Washington, 2003. Disponvel em: <http://www.commoncriteriaportal.
NBSO. Site ofcial do Network Information Center Security Offce. Rio de Janeiro, 2005. Disponvel em: <http://www.nbso.nic.br/>.
Acesso em: 13 fev. 2005.
NORTH, D. C. Institutions. The Journal of Economic Perspectives, v. 5, n. 1, p. 97_112, Winter 1991.
OSTROM, E. Institutional rational choice: an assessment of the institutional analysis and development frameworks. In: SABATIER, P.
(Ed.). Theories of the policy process. Boulder - Colorado: Westview Press, 1999. p. 35_71.
PETERSON, R. R. Integration strategies and tactics for information technology governance. In: VAN GREMBERGEN, W. (Org.).
Strategies for information technology governance. Hershey, PA: Idea Group Inc. Publishing, 2004. p. 37_80.
RAGGAD, B. G. Corporate vital defense strategy: a framework for information assurance. In: Proccedings of the 23rd National
Information Systems Security Conference. NIST-National Institute of Standards and Technology, 2000. Disponvel em: <http://csrc.
nist.gov/nissc/2000/proceedings/papers/029.pdf>. Acesso em: 9 jul. 2003.
SANS. The Twenty Most Critical Internet Security Vulnerabilities . Bethesda, Maryland, 2004. Disponvel em: <http://_les.sans.org/
top20.pdf>. Acesso em: 10 dez. 2004.
SCHNEIER, B. Secrets and Lies: digital security in a networked world. New York: John Wiley & Sons, 2000.
THIAGARAJAN, V. Information Security Management : BS 7799.2:2002 Audit Check List. Bethesda, Maryland, 2003. Disponvel em:
<http://www.sans.org/score/checklists/ISO_17799_checklist.pdf>. Acesso em: 3 ago. 2004.
VAN GREMBERGEN, W.; DE HAES, S.; GULDENTOPS, E. Structures, processes and relational mechanisms for IT governance. In:
VAN GREMBERGEN, W. (Org.). Strategies for information technology governance. Hershey, PA: Idea Group Inc. Publishing,
2004. p. 1_36.
WOOD, C. C. Dont let the role of information security policies in the Arthur Andersen/Enron case go without mention to your Chief
Executive Offcer. Computer Fraud & Security, v. 2002, n. 5, p. 11_13, May 2002.
WOOD, C. C. Information Security Policies Made Easy : Version 9. Boston: Baseline Software Press, 2002.
Fonte Fonte F te on
101
Esteganografa:
a arte das mensagens ocultas
1
Clio Albuquerque
Ph.D. (2000) em Informao e Cincia da Computao, pela University of
California, Irvine, e atua como professor do DCC/UFF, desde 2004.
RESUMO
Esteganografa deriva do grego, em que estegano signifca esconder, mascarar, e grafa signifca es-
crita. Logo, esteganografa a arte da escrita oculta. Durante toda a histria, as pessoas buscam in-
meras maneiras de esconder informaes dentro de outros meios, para, de alguma forma, obter mais
privacidade para seus meios de comunicao. As abordagens mais comuns de insero de mensagens
em imagens incluem tcnicas de insero no bit menos signifcativo, fltragem e mascaramento e
algoritmos de transformaes. Cada uma destas tcnicas pode ser aplicada a imagens, com graus
variados de sucesso.
D
i
v
u
l
g
a
o
Eduardo Pagani Julio
Mestre em Computao (2007), pela UFF,
e atua, desde 2004, como professor da
Universidade Salgado de Oliveira e da
Faculdade Metodista Granbery, ambas em
Juiz de Fora.
D
i
v
u
l
g
a
o
Wagner Gaspar Brazil
Mestre em Computao (2007), pela UFF, e atualmente trabalha na Petrobrs, na rea de Segurana da
Informao, sendo responsvel por projetos de criptografa, anlise de risco e certifcao digital.
D
i
v
u
l
g
a
o
1 Uma verso estendida deste trabalho encontra-se disponvel em [20].
Fonte Fonte F te on
102
1. Introduo
A segurana digital uma rea
com grande potencial para pesquisa e
desenvolvimento. Sistemas de detec-
o de intruso, anti-vrus, proxies
e frewalls, ultimamente, aparecem
muito na mdia em geral e esto se
tornando ferramentas de uso doms-
tico. cada vez maior o nmero de
pessoas que tentam ludibriar as de-
fesas, para ter acesso a um dos bens
mais preciosos da sociedade moder-
na: a informao. Por outro lado,
existem outras pessoas que buscam o
desenvolvimento e o estudo de tcni-
cas para proteo das comunicaes.
As ferramentas e tcnicas que prov-
em a segurana da informao so
inmeras. A criptografa est entre
elas h milhares de anos.
Um dos ramos da criptografa
a esteganografa. De origem grega, a
palavra signifca a arte da escrita es-
condida (estegano = esconder e grafa
= escrita). A esteganlise, por sua
vez, a arte de detectar mensagens
escondidas nos mais diversos meios
de comunicao. A esteganografa in-
clui um amplo conjunto de mtodos e
de tcnicas, desenvolvido ao longo da
histria, para prover comunicaes
secretas. Dentre as tcnicas desta-
cam-se: tintas invisveis, micropon-
tos, arranjo de caracteres, assinaturas
digitais e canais escondidos [1,2,3].
As aplicaes de esteganografa
incluem identifcao de compo-
nentes dentro de um subconjunto
de dados, legendagem, rastreamen-
to de documentos e certifcao
digital e demonstrao de que um
contedo original no foi alterado.
Entretanto, como qualquer tcni-
ca, a esteganografa pode ser usada
correta ou incorretamente. H ind-
cios recentes de que a esteganografa
tem sido utilizada para divulgar ima-
gens de pornografa infantil na in-
ternet [4,5], alm das mensagens de
redes terroristas.
H um interesse cada vez maior,
por diferentes comunidades de pes-
quisa, no campo da esteganografa,
marcas dgua e seriao digitais.
Com certeza, isso leva a uma certa
confuso na terminologia. A seguir,
encontram-se alguns dos principais
termos utilizados nestas reas:
dado embutido ou embedded
data o dado que ser en-
viado de maneira secreta, nor-
malmente em uma mensagem,
texto ou fgura;
mensagem de cobertura ou co-
ver-message a mensagem
que servir para mascarar o
dado embutido. Esta mensa-
gem de cobertura pode ser de
udio, de texto ou uma ima-
gem;
estego-objeto ou stego-object
aps a insero do dado em-
butido na mensagem de cober-
tura obtm-se o estego-objeto;
estego-chave ou stego-key
adicionalmente pode ser
usada uma chave para inserir
os dados do dado embutido na
mensagem de cobertura. A esta
chave d-se o nome de estego-
chave;
nmero de srie digital ou
marca fngerprinting consis-
te em uma srie de nmeros
embutidos no material que
ser protegido, a fm de provar
a autoria do documento.
Os sistemas de marcao visam
proteger a propriedade intelectual so-
bre algum tipo de mdia (eletrnica
ou no). Estes sistemas de marcao
so conhecidos tambm como wa-
termarking (marca dgua). Apesar
de aparecer quase sempre em con-
junto com a esteganografa, os sis-
temas de marcao no pertencem
a esse ramo. Ambos fazem parte
de uma rea de pesquisa conhecida
como ocultamento da informao ou
information hiding.
O sistema de marcao tipo
marca dgua refere-se a mtodos
que escondem informaes em ob-
jetos que so robustos e resistentes
a modifcaes. Nesse sentido, se-
ria impossvel remover uma marca
dgua de um objeto sem alterar
a sua qualidade visual. Por outro
lado, a esteganografa prope-se a
esconder uma informao em uma
imagem de cobertura. Se a imagem
for destruda ou afetada, a mensa-
gem perdida. Uma outra dife-
rena clara entre esteganografa e
tcnicas de marca dgua que,
enquanto o dado embutido da
esteganografa nunca deve fcar
aparente, a marca dgua pode ou
no aparecer no objeto marcado,
dependendo da aplicao que se
queira atender.
Nesse sentido, podem-se classi-
fcar os sistemas de marcao segundo
sua robustez e sua aparncia. Quanto
robustez, podem ser classifcados
como robustos ou frgeis. J quanto
aparncia, os sistemas de marca-
o podem ser classifcados como de
marcao imperceptvel ou de mar-
cao visvel.
Fonte Fonte F te on
103
2. Aspectos histricos
A esteganografa uma arte an-
tiga. Suas origens remontam anti-
guidade. Os gregos j a utilizavam
para enviar mensagens em tempos
de guerra [6]. Alguns reis raspavam
as cabeas de escravos e tatuavam as
mensagens nelas. Depois que o cabe-
lo crescesse, o rei mandava o escra-
vo pessoalmente com a mensagem.
Os egpcios usavam ilustraes para
cobrir as mensagens escondidas. O
mtodo de escrita egpcio conheci-
do como hierglifo era uma tcnica
comum para esconder mensagens.
Quando um mensageiro egpcio era
pego com um hierglifo que continha
algum cdigo, o inimigo no suspei-
tava e a mensagem podia ser entregue
sem problemas ao destinatrio.
Durante a Idade Mdia, a
esteganografa foi mais estudada e
desenvolvida. Em 1499, um monge
chamado Tritheimius escreveu uma
srie de livros chamados Stegano-
graphia, nos quais descreveu vrias
tcnicas diferentes. Uma delas foi a
grade de Cardano, que era uma lmina
que randomicamente defnia retngu-
los. A quantidade e o posicionamento
dos retngulos eram o segredo da gra-
de. O remetente escrevia as palavras
da mensagem secreta nos retngulos.
Depois, a grade era removida e o re-
metente preenchia os espaos rema-
nescentes com letras ou palavras, para
criar a mensagem que seria enviada.
Uma vez entregue a mensagem, o
destinatrio colocava a grade, que era
a mesma do emissor, sobre o papel ou
superfcie que continha a mensagem,
e podia ler os caracteres, dentro dos
retngulos, sem problemas.
Tintas invisveis tambm foram
muito usadas em esteganografa nos
tempos mais modernos e so utiliza-
das at hoje. Essas tintas foram utili-
zadas por espies durante a Primeira
e a Segunda Guerra Mundial, com o
desenvolvimento de reagentes qumi-
cos especfcos para cada uma. Outros
mtodos modernos de esteganografa
incluem cifradores nulos, que so
mensagens nas quais certas letras
devem ser usadas para formar a men-
sagem e todas as outras palavras ou
letras so consideradas nulas. Para o
seu uso, ambos os lados da comuni-
cao devem manter o mesmo proto-
colo de uso das letras que formam a
mensagem. Este mtodo difcil de
implementar, pois a mensagem de
cobertura deve ter algum sentido, do
contrrio, um inimigo desconfar e
quebrar o cdigo. Um exemplo de
um cdigo utilizando cifrador nulo
mostrado a seguir [7].
News Eight Weather: tonight
increasing snow. Unexpected
precipitation smothers eastern
towns. Be extremely cautious and
use snowtires especially heading
east. The highways are knowingly
slippery. Highway evacuation is
suspected. Police report emergencies
in downtown ending near Tuesday.
Usando as primeiras letras de
cada palavra o texto que aparece :
Newt is upset because he
thinks he is president.
Novas tcnicas de esteganografa
so produzidas atualmente para ser
utilizadas nos novos meios de comu-
nicao. Por exemplo, hoje em dia
muitos artistas e gravadoras usam
a marca dgua para proteger suas
obras. Com o crescente aumento da
pirataria e de sites na internet, onde
se podem baixar flmes, msicas e
vdeos, esta tcnica tem se mostrado
uma aliada na proteo dos direitos
autorais. O uso de esteganografa em
software tem um grande potencial,
pois pode esconder dados em uma
infnidade de mdias. Nas tcnicas que
utilizam o ltimo bit de um byte para
esconder mensagens, uma mensagem
de 64kbytes pode ser escondida em
uma fgura de 1.024 x 1.024 em tons
de cinza ou imagens coloridas. Esta e
outras novas tcnicas representam o
estado da arte da esteganografa atual
e so apresentadas a seguir.
3. Tcnicas de esteganografa
As abordagens mais comuns
de insero de mensagens em ima-
gens incluem tcnicas de insero
no bit menos signicativo, tcnicas
de fltragem e mascaramento e algo-
ritmos e transformaes. Cada uma
destas tcnicas pode ser aplicada a
imagens, com graus variados de su-
cesso. O mtodo de insero no bit
menos signicativo , provavelmen-
te, uma das melhores tcnicas de
esteganografa em imagem [1,9].
3.1 LSB
Estas tcnicas baseiam-se
na modifcao dos bits menos
signifcativos (Least Signifcant Bit)
dos valores de pixel no domnio
espacial. Em uma implementao
bsica, estes pixels substituem o
Fonte Fonte F te on
104
plano LSB inteiro com o stego-dados.
Com esquemas mais sofsticados,
em que locais de incluso so adap-
tativamente selecionados, depen-
dendo de caractersticas da viso
humana, at uma pequena distoro
aceitvel. Em geral, a incluso de
LSB simples suscetvel a proces-
samento de imagem, especialmente
a compresso sem perda.
Tcnicas com base em LSB po-
dem ser aplicadas a cada pixel de
uma imagem codifcada em 32bits
por pixel. Estas imagens possuem
seus pixels codifcados em quatro
bytes. Um para o canal alfa, outro
para o vermelho, outro para o verde
e outro para o azul. Seguramente,
pode-se selecionar o LSB de cada
byte do pixel para representar o bit a
ser escondido sem causar alteraes
perceptveis na imagem. Estas tcni-
cas constituem a forma de mascara-
mento em imagens mais difcil de ser
detectada, pois podem inserir dados
em pixels no seqenciais, tornando
complexa a deteco [1,9,12].
3.2 Filtragem e mascaramento
As tcnicas de esteganografa
que se baseiam em fltragem e mas-
caramento so mais robustas que a
insero LSB. Estas geram estego-
imagens imunes compresso e ao
recorte. No entanto, so tcnicas mais
propensas deteco [9]. Ao contrrio
da insero no canal LSB, as tcnicas
de fltragem e mascaramento traba-
lham com modifcaes nos bits mais
signifcativos das imagens. As ima-
gens de cobertura devem ser em tons
de cinza, porque estas tcnicas no so
efcazes em imagens coloridas [12]. Isto
deve-se ao fato de que modifcaes
em bits mais signifcativos de imagens
em cores geram muitos artefatos, tor-
nando as informaes mais propensas
deteco.
Estas tcnicas so semelhantes
marca dgua visvel, em que valo-
res de pixel em reas mascaradas so
aumentados ou diminudos por um
pouco de porcentagem. Reduzindo o
incremento por um certo grau faz a
marca invisvel. No mtodo de reta-
lhos (patchwork), pares de remendos
(patches) so selecionados pseudo-
aleatoriamente. Os valores de pixel
em cada par so aumentados por
um valor constante pequeno em um
remendo e diminudos pela mesma
quantia no outro.
3.3 Algoritmos e transformaes
As tcnicas de esteganografa,
que se baseiam em algoritmos e
transformaes, conseguem tirar
proveito de um dos principais pro-
blemas da insero no canal LSB,
que a compresso. Para isso, so
utilizadas: a transformada de Fourier
discreta, a transformada de cosseno
discreta e a transformada Z [13].
Sendo embutido no domnio de
transformao, os dados escondidos
residem em reas mais robustas, es-
palhadas atravs da imagem inteira,
e fornecem melhor resistncia contra
processamento de sinal. Confguram-
se como as mais sofsticadas tcnicas
de mascaramento de informaes
conhecidas [12], embora sofsticao
nem sempre implique em maior ro-
bustez aos ataques de esteganlise. A
incluso de dados apresentados no do-
mnio de transformao amplamente
usada para marca dgua robusta.
De forma geral, estas tcnicas
com base em algoritmos e transfor-
maes aplicam uma determinada
transformao em blocos de 8x8 pi-
xels na imagem. Em cada bloco, de-
vem ser selecionados os coefcientes
redundantes ou de menor importn-
cia. Posteriormente, estes coefcientes
so utilizados para atribuir a mensa-
gem a ser escondida em um processo,
em que cada coefciente substitudo
por um valor pr-determinado para o
bit 0 ou 1 [12].
A transformada de cosseno discre-
ta (DCT) muito utilizada nas com-
presses dos padres JPEG e MPEG.
Para imagens em que as variaes
dos tons so graduais, a tcnica de
DCT mostra excelentes resultados e,
por isso, adotada nos padres mais
usados hoje em dia. O padro MPEG
usa para a compresso de udio uma
variante da DCT conhecida como
MDCT (Modifed DCT). Maiores de-
talhes podem ser obtidos em [14].
3.4 Outras tcnicas
Na tcnica de espalhamento de
espectro (como o espalhamento de
freqncia), os dados escondidos so
espalhados ao longo da imagem de
cobertura. Uma estego-chave usa-
da para selecionar randomicamen-
te os canais de freqncia. A White
Noise Storm uma ferramenta po-
pular que usa esta tcnica. Em [15],
Fonte Fonte F te on
105
dados embutidos como objeto a ser
transmitido, a imagem de cobertura
visualizada como interferncia em
um framework de comunicao de
cobertura.
No mundo digital atual, h
grande quantidade de udio e v-
deo circulando principalmente pela
internet. Quando informaes so
escondidas dentro de um vdeo,
normalmente usado o mtodo da
DCT. Sendo assim, esteganografa
em vdeo muito similar
esteganografa em imagens, exce-
to pelo fato de que as informaes
so escondidas em cada frame do
arquivo de vdeo.
Esconder imagens em sinais de
udio algo desafante, pois o sis-
tema auditivo humano (SAH) pode
trabalhar em uma faixa muito gran-
de de freqncias. A sensitividade
a rudo muito apurada. Apesar de
ser to poderoso para captar sinais e
freqncias, o SAH no consegue fa-
zer diferenciao de tudo que recebe.
Sendo assim, sons mais altos tendem
a mascarar sons mais baixos. Alm
disso, o SAH no consegue perceber
um sinal em fase absoluta, somente
em fases relativas. Tambm exis-
tem algumas distores do ambiente
muito comuns, que so simplesmen-
te ignoradas pelo ouvido na maioria
dos casos. Para desenvolver um m-
todo de esteganografa em udio, a
representao do sinal e o caminho
de transmisso devem ser conside-
rados na escolha de um mtodo de
esteganografa. A taxa de dados
muito dependente da taxa de amos-
tragem e do tipo de som que est
sendo codifcado. Um valor tpico
de taxa 16 bps, mas este valor pode
variar de 2 bps a 128 bps.
4. Tcnicas de esteganlise
Grande parte das tcnicas de
esteganografa possui falhas ou inse-
re padres que podem ser detectados.
Algumas vezes, basta um agressor fa-
zer um exame mais detalhado desses
padres gerados, para descobrir que
h mensagens escondidas. Outras ve-
zes, o processo de mascaramento de
informaes mais robusto e as ten-
tativas de detectar ou mesmo recupe-
rar ilicitamente as mensagens podem
ser frustradas. A pesquisa de mtodos
para descobrir se h alguma mensa-
gem escondida por esteganografa
chamada esteganlise.
Recuperar os dados escondidos
est alm da capacidade da maioria
dos testes atuais, uma vez que muitos
algoritmos de mascaramento utilizam
geradores aleatrios muito seguros
para esconder a informao durante
o processo de mascaramento. Muitas
vezes, os bits so espalhados pelo
objeto de cobertura. Dessa forma, os
melhores algoritmos de esteganlise
podem no ser capazes de dizer onde
est a informao, mas devem dizer
se h dados escondidos.
Existem diversas abordagens
para detectar a presena de contedo
escondido em imagens digitais. Estas
abordagens podem ser divididas em
trs tipos [16]:
ataques aurais estes ataques
consistem em retirar as partes
signifcativas da imagem como
um meio de facilitar aos olhos
humanos a busca por anoma-
lias nessa imagem. Um teste
comum mostrar os bits me-
nos signifcativos da imagem.
Cmeras, scanners e outros
dispositivos sempre deixam
alguns padres nos bits menos
signifcativos.
ataques estruturais a estru-
tura do arquivo de dados al-
gumas vezes muda assim que
outra mensagem inserida.
Nesses casos, um sistema ca-
paz de analisar padres estru-
turais seria capaz de descobrir
a mensagem escondida. Por
exemplo, se mensagens so
escondidas em imagens inde-
xadas (paletas de cores), pode
ser necessrio usar diferentes
verses de paletas. Este tipo
de atitude muda as caracters-
ticas estruturais da imagem de
cobertura, logo, as chances de
deteco da presena de uma
mensagem escondida aumen-
tam [9].
ataques estatsticos os pa-
dres dos pixels e seus bits
menos signifcativos freqen-
temente revelam a existncia
de uma mensagem secreta
nos perfs estatsticos. Os no-
vos dados no tm os mesmos
perfs esperados. Estas tcnicas
estatsticas tambm podem ser
usadas para determinar se uma
dada imagem e/ou som possui
alguma mensagem escondida.
Na maioria das vezes, os da-
dos escondidos so mais ale-
atrios que os substitudos no
processo de mascaramento ou
inserem padres que alteram
as propriedades estatsticas
inerentes do objeto de cober-
tura [9,17,18]. Dentre as tc-
nicas de esteganlise, que se
baseiam em ataques estatsti-
cos existentes, podem ser cita-
das: esteganlise por teste do
2
(Chi-Square Test Approach),
anlise RS, mtricas de quali-
dade de imagens, mtricas de
tons contnuos e anlise de pa-
res de amostragem.
Fonte Fonte F te on
106
5. Aplicaes
Em atividades militares, a des-
coberta de comunicaes secretas
pode levar a um ataque imediato do
inimigo. Mesmo com a criptografa,
a simples deteco do sinal fatal,
pois descobre-se no somente a exis-
tncia de inimigos, mas tambm a
sua posio. Unindo o conceito de
ocultamento de informao com
tcnicas como modulao em espa-
lhamento de espectro torna-se mais
difcil de os sinais serem detectados
ou embaralhados pelo inimigo.
Vrias tcnicas relacionadas
com o ocultamento de informao
levam em considerao sistemas
com nveis de segurana. Um vrus
ou um programa malicioso propaga-
se dentro do sistema passando de n-
veis de segurana inferiores para os
superiores. Uma vez que alcana seu
objetivo, tenta passar informaes si-
gilosas para setores de nvel de segu-
rana menores. Para isso, utilizam-
se de tcnicas de ocultamento para
esconder informaes confdenciais
em arquivos comuns de maneira que
o sistema lhe permita ultrapassar n-
veis de segurana diferentes.
Existem situaes em que se
deseja enviar uma mensagem sem
que seja possvel descobrir quem a
enviou. Geralmente, esse tipo de si-
tuao mais uma caracterstica de
atividades ilegais. Entretanto, essa
situao tambm tem aplicaes em
atividades legais, em que se deseja
que a privacidade do remetente seja
mantida. Alguns exemplos dessas
situaes so: registros mdicos ou
votaes on-line.
Existem tambm grandes aplica-
es na rea da indstria mdica no
que diz respeito a imagens mdicas.
Normalmente, usada uma forma
de comunicao padro chamada
DICOM, que separa a imagem das
informaes relativas ao paciente e
ao exame como o nome, a data e o
mdico. Em alguns casos, a ligao
entre os dados e a imagem perdi-
da. Ento, se as informaes fossem
ocultadas dentro da prpria imagem,
no haveria risco de a imagem se se-
parar dos dados [19].
Em alguns casos, deseja-se mo-
nitorar um dado arquivo, com direi-
tos autorais, que est sendo distribu-
do na internet, por exemplo. Pode-se
tambm inserir pedaos de informa-
es dentro dos dados que esto sen-
do transmitidos, para que o pblico
que as receba possa us-las. Como
exemplo, podem-se ter informaes
de um dado produto anunciado por
uma rdio, em que o cliente, com um
simples apertar de boto, pode des-
cobrir o preo, o local de venda mais
prximo ou fabricante. Atualmente, a
esteganografa tem sido tambm ex-
plorada em ramos de sistemas de de-
teco de intruso [10] e em sistemas
de arquivos [11]. Outras aplicaes
de esteganografa incluem as tcnicas
de autenticao, criptografa e rastre-
amento de documentos, que podem
ser utilizadas normalmente em con-
junto com a tcnica de marca dgua.
5.1 Marcas dgua
O grande crescimento dos siste-
mas de multimdia interligados pela
rede de computadores nos ltimos
anos apresenta um enorme desafo
nos aspectos propriedade, integrida-
de e autenticao dos dados digitais.
Para enfrentar tal desafo, o conceito
de marca dgua digital foi defnido.
Uma marca dgua um sinal
portador de informao, visualmen-
te imperceptvel, embutido em uma
imagem digital. A imagem que con-
tm uma marca dita imagem mar-
cada ou hospedeira. Apesar de muitas
tcnicas de marca dgua poderem ser
aplicadas diretamente para diferentes
tipos de dados digitais, as mdias mais
utilizadas so as imagens estticas.
Existe uma certa confuso entre
as marcas dgua imperceptveis e
as visveis utilizadas em cdulas de
dinheiro, por exemplo. As visveis
so usadas em imagens e aparecem
sobrepostas, sem prejudicar muito
a sua percepo. So usadas geral-
mente para expor imagens em locais
pblicos, como pginas na internet,
sem o risco de algum copi-las e
us-las comercialmente, pois difcil
remover a modifcao sem destruir
a obra original. possvel tambm
inserir digitalmente marcas visveis
em vdeo e at audveis em msica.
As marcas dgua digitais
so classifcadas, de acordo com
a difculdade em remov-las, em
robustas, frgeis e semifrgeis. Nor-
malmente, esta classifcao tambm
determina a fnalidade para a qual a
marca ser utilizada.
As marcas robustas so pro-
jetadas para resistir maioria dos
procedimentos de manipulao de ima-
gens. A informao embutida em
uma imagem, por meio de uma marca
robusta, poderia ser extrada mesmo
que a imagem hospedeira sofresse
rotao, mudana de escala, mudan-
a de brilho/contraste, compactao
com perdas com diferentes nveis de
compresso, corte das bordas, etc.
Uma boa marca dgua robusta
deveria ser impossvel de ser remo-
vida, a no ser que a qualidade da
Fonte Fonte F te on
107
imagem resultante deteriore a ponto
de destruir seu contedo visual. Por
esse motivo, as marcas dgua robus-
tas so normalmente utilizadas para a
verifcao da propriedade das imagens.
As marcas frgeis so facilmente
removveis e corrompidas por qual-
quer processamento na imagem. Este
tipo de marca dgua til para che-
car a integridade e a autenticidade
da imagem, pois possibilita detectar
alteraes nesta. s vezes, esta pro-
priedade indesejvel. Por exemplo,
ajustar brilho/contraste para melhorar
a qualidade da imagem pode ser um
processamento vlido, que no deve-
ria ser detectado como uma tentativa
de adulterao maliciosa. Ou ento,
compactar uma imagem com perdas
em diferentes nveis de compresso
deveria ser uma operao permiti-
da. Ainda, imprimir e escanear uma
imagem no deveria levar perda da
autenticao. Assim, foram criadas
as marcas dgua semifrgeis.
Uma marca semifrgil tam-
bm serve para autenticar imagens.
Diferentemente, estas procuram distin-
guir as alteraes que modifcam uma
imagem substancialmente daquelas
que no modifcam o contedo visual
da imagem. Uma marca semifrgil nor-
malmente extrai algumas caractersticas
da imagem que permanecem invarian-
tes por meio das operaes permitidas e
as insere de volta na imagem de forma
que a alterao de uma dessas caracte-
rsticas possa ser detectada.
Podem-se subdividir as marcas
de autenticao em trs subcatego-
rias: sem chave, com chave secreta
e com chave pblica/privada. Com
relao extrao da marca dgua,
tm-se trs tipos de sistemas dife-
rentes. Cada um deles diferencia-se
pela sua natureza ou combinao de
entradas e sadas:
marcas dgua privadas (tam-
bm chamadas no-cegas)
esse sistema requer a marca
dgua original. Dentro desse
esquema, existem dois tipos. No
primeiro, necessrio o arquivo
original para achar pistas de
onde se localiza a marca dentro
do arquivo marcado. O sistema
do segundo tipo necessita das
mesmas informaes do ante-
rior, mas somente tenta respon-
der se o arquivo contm a marca
dgua. Espera-se que este sis-
tema seja mais robusto, j que
transporta pouca informao e
requer acesso a dados secretos;
marcas dgua semiprivadas
ou semicegas diferente do
anterior, no utiliza o arquivo
original na extrao. Algumas
aplicaes onde poderia ser
utilizado esse esquema seriam
para provar a propriedade em
corte ou em mecanismos de
controle de cpia como em
aparelhos de DVDs;
marcas dgua pblicas ou
cegas no requer nem o ar-
quivo original nem a marca. A
inteno do esquema tentar
retirar a marca do dado sem
pistas de onde este se localiza
ou como seria.
6. Aplicativos existentes
As redes de computadores, atu-
almente, provem um canal de f-
cil utilizao para a esteganografa.
Vrios tipos de arquivo podem ser
utilizados como imagem de cober-
tura incluindo imagens, sons, texto
e at executveis. Por isso, grande
o nmero de aplicativos j criados
para tentar usar esta facilidade. Por
outro lado, existem tambm alguns
softwares de esteganlise que tentam
localizar os dados embutidos nas di-
versas mensagens de cobertura. Tais
aplicaes podem ser encontradas fa-
cilmente na internet e funcionam em
vrias plataformas.
As ferramentas Ezstego e Stego
On-line trabalham com imagens in-
dexadas de 8bits no formato GIF.
Outra aplicao o Revelation, que
esconde arquivos em imagens de co-
bertura no formato bitmap de 24bits.
Por ser escritas em Java, estas ferra-
mentas so altamente portveis.
As ferramentas Hide and Seek e
Jphide and Seek so capazes de in-
serir uma lista de arquivos em uma
imagem no formato JPEG. O Jphide
and Seek utiliza criptografa de cha-
ve simtrica e o usurio obrigado a
fornecer uma pass phrase. interes-
sante notar que o aplicativo analisa
a imagem de cobertura e diz qual o
tamanho mximo que o arquivo de
entrada deve ter para que o processo
seja seguro.
O Outguess prope-se a me-
lhorar o passo da codifcao da
imagem JPEG por meio de um ge-
rador de nmeros pseudoaleat-
rios. Os coefcientes da DCT so
escolhidos tambm de maneira ran-
dmica para ser substitudos pelos
nmeros gerados aleatoriamente. O
LSB dos coefcientes selecionados
substitudo pela mensagem cifra-
da. Testes estatsticos de primeira
ordem no so capazes de detec-
tar mensagens mascaradas com o
Outguess.
Os softwares de esteganlise dis-
pem-se a descobrir se os arquivos
usados como mensagem de cobertura
contm algum dado embutido e se
possvel identifcar o software utili-
zado no processo de esteganografa.
Um destes softwares o StegSpy,
Fonte Fonte F te on
108
que permite a identifcao de um
arquivo que serve como mensagem
de cobertura. O programa detectar
a esteganografa e o software utiliza-
do para esconder o dado embutido.
A verso atual do software tambm
identifca a localizao da mensa-
gem embutida dentro do arquivo de
cobertura. O StegSpy, atualmente,
identifca os programas Hiderman,
JPHide and Seek, Masker, JPegX e
Invisible Secrets.
Outra ferramenta de estegan-
lise o StegDetect. Este software pro-
pe-se a detectar o contedo estega-
nogrfco gerado pelos softwares
Jsteg, JP Hide and Seek, Invisible
Secrets, verses mais antigas do
Outguess, F5, AppendX, e Camoufage.
A verso mais atual do StegDetect
suporta anlise discriminante linear
(LDA), para detectar qualquer este-
go sistema.
No campo das marcas dgua,
existem vrios softwares para gerar
marcas em diversos tipos de mdias,
tais como TeleTrax, Alpha Tec, Sys-
cop e DataMark. O ponto funda-
mental de todos os programas a
robustez da marca produzida. Nesse
sentido, preciso testar esta robustez
de alguma forma. O StirMark uma
ferramenta para testes de robustez de
algoritmos de marca dgua. Com o
StirMark foi possvel realizar o pri-
meiro benchmarking de algoritmos
de marca dgua, em 1999.
O programa SignIt da AlpVision
de fcil utilizao para esconder
nmeros de srie IDDN em imagens
de vrios formatos. Este nmero
escondido em todos os lugares na
imagem e no pode ser visto a olho
nu. Alm disso, impossvel remo-
ver o nmero de inscrio embutido
sem alterar a imagem em um modo
visvel. Para controlar sua utilizao,
o software conecta-se com a empre-
sa desenvolvedora pela internet, que
armazena o IDDN de todos os usu-
rios registrados, o que torna esse
identifcador nico, podendo ser utili-
zado para proteger os direitos autorais
de imagens e localizar cpias ilegais.
O software GWatermarker in-
sere tanto a marca dgua de forma
visvel a olho nu, quanto de maneira
invisvel de forma robusta. O softwa-
re utiliza algoritmos prprios para a
insero e remoo das marcas vis-
veis e invisveis (algoritmo RC4 para
a insero da chave secreta e o algo-
ritmo hash MD5).
7. Consideraes fnais e tendncias
Tanto a esteganografa quanto
a marca dgua descrevem tcnicas
que so usadas na inteno de ocul-
tar uma comunicao dentro de uma
informao disfarce. Entretanto,
esteganografa refere-se tipicamente
a uma comunicao ponto-a-ponto.
Por isso, o mtodo geralmente no
robusto contra modifcaes ou tem
somente uma robustez limitada que
a protege de pequenas alteraes que
possam ocorrer em termos de trans-
misso, armazenamento, mudanas
de formato, compresso ou conver-
ses digital-analgicas.
Em marcas dgua, por outro
lado, o foco est na robustez. No
existe comunicao ponto-a-ponto,
mas deseja-se que a marca inserida
em um dado seja recuperada de al-
gum modo depois da imagem circular
por quaisquer canais tpicos da apli-
cao. Por exemplo, pode-se marcar
uma imagem que se deseja proteger
contra cpias sem autorizao. Caso
algum a copie e utilize tcnicas de
processamento de imagem para ten-
tar apagar a marca, ainda assim deve
ser possvel decodifcar a marca da
imagem alterada. Isso provaria quem
o verdadeiro autor ou proprietrio
da imagem. A questo da deteco
no to importante, apesar de que,
se o observador no perceber a mar-
ca, talvez nem tente remov-la.
Um exemplo de aplicao opos-
ta seria marcar uma imagem para
verifcar se esta sofrer alteraes.
Caso a imagem seja modifcada
de alguma forma, a marca ser des-
truda, mostrando que o ato realmen-
te aconteceu. A robustez ou a sua
ausncia defne a aplicao da marca
utilizada. As marcas dgua robustas
devem resistir a ataques e alteraes
na imagem. As marcas frgeis devem
ser destrudas, caso a imagem sofra
alteraes.
Atualmente, existem estudos
para proteger a esteganografa das
tcnicas de esteganlise. Em [8] so
apresentados novos mtodos que
permitem esconder mensagens de
forma segura e resistente anlise
estatstica.
Tcnicas esteganogrfcas tm
uso legal e ilegal. Como uso legal no
presente e no futuro, esteganografa
tem sido usada e ser cada vez mais
utilizada na proteo de direitos in-
telectuais, principalmente quando se
consideram as novas formas de co-
mercializao que utilizam a mdia
digital. Nesse sentido, as tcnicas de
marca dgua parecem ser um campo
profcuo de pesquisa e aplicaes no
futuro.
Por outro lado, h o uso ilegal
de tcnicas esteganogrfcas, que
cresce cada vez mais, em virtude da
facilidade de acesso internet. Usar
esteganografa para transitar men-
sagens ou at pequenas imagens de
pornografa ou pedoflia possvel e
provvel. Um relatrio de crimes de
Fonte Fonte F te on
109
tecnologia lista alguns tipos de crime
comuns utilizando alta tecnologia:
comunicaes criminosas;
fraudes;
hacking;
pagamentos eletrnicos;
pornografa e pedoflia;
ofensas propriedade intelec-
tual;
propagao de vrus e cavalos
de tria.
Um exame preliminar desta lis-
ta mostra vrios casos de mau uso
da esteganografa, principalmen-
te no que se refere comunicao
criminosa. Em termos de segurana
da informao h tambm outras re-
as de interesse. Uma rea com uso
potencial em vrias aplicaes o
desenvolvimento de protocolos que
usam esteganografa para burlar cen-
sura. H tambm a possibilidade de
ataques de vrus utilizarem tcnicas
de esteganografa. As tcnicas e fer-
ramentas esteganogrfcas podem ser
utilizadas em conjunto com outras
aplicaes para, automaticamente,
extrair informaes escondidas sem
a interveno do usurio. Um cen-
rio possvel para um ataque de vrus
poderia ser o envio de uma mensa-
gem escondida em uma imagem en-
viada por e-mail. Um cavalo de tria
instalado na mquina poderia ento
extrair o vrus da imagem e infectar
vrias mquinas.
Finalizando, a esteganografa,
quando bem utilizada, fornece meios
efcientes e efcazes na busca por pro-
teo digital. Associando criptografa
e esteganografa, as pessoas tm em
mos o poder de comunicar-se em
segredo pela rede mundial de com-
putadores mantendo suas identidades
ntegras e secretas.
Referncias
[1] PETITCOLAS, F. A. P.; ANDERSON, R. J.; KUHN, M. G. Information hiding A survey. Proceedings of the IEEE, v. 87, n. 7, p.
10621078, 1999.
[2] PETITCOLAS, F. A. P.; KATZENBEISSER, S. Information hiding techniques for steganography and digital watermarking. 1st. ed.
[S.l.]: Artech House Books, 1999.
[3] JOHNSON, N. F.; JAJODIA, S. Exploring steganography: Seeing the unseen. IEEE Computer, v. 31, n. 2, p. 2634, 1998.
[4] MORRIS, S. The future of netcrime now (1) -threats and challenges. Home Offce Crime and Policing Group, USA, 2004. Technical
Report 62.
[5] HART, S. V.; ASHCROFT, J.; DANIELS, D. J. Forensic examination of digital evidence: a guide for law enforcement. Department
of Justice -Offce of Justice Programs, USA, April 2004. Technical Report NCJ 199408.
[6] KAHN, D. The history of steganography. In: Proceedings of the First International Workshop. Cambridge, UK: [s.n.], 1996.
[7] JOHNSON, N. Steganography. George Mason University, 1998.
[8] MEERWALD, P. Digital Image Watermarking in the Wavelet Transform Domain. Dissertao (Mestrado) Department of Scientifc
Computing, University of Salzburg, Austria, January 2001.
[9] WAYNER, P. Disappearing Cryptography: Information Hiding: Steganography and Watermarking (2nd Edition). San Francisco,
CA, USA: Morgan Kaufmann Publishers Inc., 2002. ISBN 1558607692.
[10] SIEFFERT, M. et al. Stego intrusion detection system. AFRL/ASU Assured Information Security, Rome, NY, USA, 2004.
[11] HIROHISA, H. Crocus: a steganographic flesystem manager. In: ASIACCS 07: Proceedings of the 2nd ACM symposium on
Information, computer and communications security. New York, NY, USA: ACM Press, 2007. p. 344346. ISBN 1-59593-574-6.
[12] POPA, R. An analysis of steganography techniques. Dissertao (Mestrado) The Polytechnic University of Timisoara, Timisoara,
Romnia, 1998.
[13] GONZALEZ, R. C.; WOODS, R. E. Digital Image Processing. 2nd. ed. Boston, MA, USA: Prentice-Hall, 2002.
[14] SALOMON, D. Data Compression: The Complete Reference. Segunda edio. Nova Iorque: Springer, 2000.
[15] MARVEL, L.; BONCELET, C.; RETTER, J. Spread spectrum image steganography. 1999.
[16] ROCHA, A. de R. Randomizao Progressiva para Esteganlise. Dissertao (Mestrado) Universidade Estadual de Campinas,
Campinas, Brasil, 2006.
[17] WESTFELD, A.; PFITZMANN, A. Attacks on steganographic systems. In: IH 99: Proceedings of the Third International Workshop
on Information Hiding. London, UK: Springer-Verlag, 2000. p. 6176. ISBN 3-540-67182-X.
[18] PROVOS, N.; HONEYMAN, P. Hide and seek: An introduction to steganography. IEEE Security and Privacy, IEEE Educational
Activities Department, Piscataway, NJ, USA, v. 1, n. 3, p. 3244, 2003. ISSN 1540-7993.
[19] FILHO de L. et al. Electrocardiographic signal compression using multiscale recurrent patterns. IEEE Transactions on Circuits and
Systems I: Fundamental Theory and Applications, v. 52, n. 12, p. 27392753, 2005.
[20] JULIO, E. P. ; BRAZIL, W. ; Albuquerque, C. Esteganografa e suas Aplicaes. Em: Livro de Minicursos do SBSEG. Rio de
Janeiro: Sociedade Brasileira de Computao, 2007, v. VII, p. 54-102.
[21]WANG, H.; WANG, S., Cyber warfare: steganography vs. steganalysis. Commun. ACM, ACM Press, New York, NY, USA, v. 47,
n. 10, p. 7682, 2004. ISSN 0001-0782.
Fonte Fonte F te on
110
F
I
M

d
e

P
A
P
O
F
I
M

d
e

P
A
P
O
Lus Carlos Silva Eiras
luiscarloseiras@gmail.com
Voc sabe com o qu
est falando?
D
i
v
u
l
g
a
o
E
m Jogos de guerra
1
, David (Mathew Broderick) um
garoto que vai mal na escola. Numa das muitas vezes em
que chamado na diretoria, depois de uma tima piada sobre
reproduo assexuada em sala de aula, descobre a senha do
sistema de notas. Pencil est escrito num papel colado na
mesa retrtil da secretria. sufciente para que ele, em casa,
entre no sistema e aumente sua nota e a de sua namorada.
Essas cenas resumem um dos problemas da segu-
rana de qualquer sistema: senhas bvias, guardadas em
lugares bvios. Enfm, no adianta sofsticar o acesso nas
mquinas e nos sistemas, se a engenharia social eufe-
mismo para roubo de senhas tem sempre xito. Quem,
num centro de um centro de processamento de dados, no
ouviu algum gritando: , fulano, qual que mesmo a
senha?. E quem no conhece algum cuja senha do banco
est anotada no prprio carto magntico?
Alm das senhas, outras invenes para identifcao
podem ser vistas em flmes. Em 2001, Uma odissia no
espao
2
, Dr. Heywood Floyd (Willian Sylvester) tem que
falar seu destino, nacionalidade e nome para ser identif-
cado na estao espacial
3
. James Bond (Sean Connery)
erradamente identifcado pelas digitais por uma complica-
da mquina escondida dentro de um guarda-roupa (!) em
007 - Os diamantes so eternos
4
.
s vezes, h um ntido avano na imaginao dos
roteiristas. Em Blade Runner, O caador de andrides
5

o reconhecimento feito por meio de um teste chamado
Voight-Kampff, que mistura anlise da ris com perguntas
idiotas. J em Minority Report
6
a mesma anlise feita
por aranhas-robs sem as perguntas. A identifcao em
Gattaca
7
mais complicada: os personagens so subme-
tidos, toda hora, a testes de DNA, o que no impede que
sejam burlados.
Os flmes do apenas uma idia
8
. Na prtica j pode-
mos ser identifcados por meios biomtricos (impresses
digitais, formato da mo e do rosto, altura, cor dos olhos
e dos cabelos, ris, voz etc.), pelo registro e anlise au-
tomtica da imagem nas cmeras de segurana (de noite,
por infravermelho na fronteira do Mxico com os Esta-
dos Unidos), por rastreamento de cartes de dbito, cr-
dito, de identifcao e passaporte, no uso de celulares e
no acesso internet, pelas escutas telefnicas, braceletes e
grampos rastreados por GPS etc. Quanto ao DNA, exa-
mes esto sendo implantados na Frana para controle dos
imigrantes.
Mas nessa histria de segurana, legal mesmo so
os captchas. Ao invs de o usurio submeter sua identida-
de ao computador, o computador que submete o usurio
a um teste para certifcar se ele mesmo gente ou uma
mquina. Captcha Completely Automated Turing Test
To Tell Computers and Humans Apart ou Teste de Turing
Completamente Automtico para Diferenciar Computado-
res e Humanos e foi inventado em 2000.
Um captcha formado de nmeros e letras distorci-
das e, s vezes, riscadas, que aparecem nas pginas iniciais
de certos sistemas. Como ainda os computadores so inca-
pazes de ler essas distores e repeti-las, todo usurio que
faz a soluo correta presumidamente humano. Isso tem
impedido que sistemas consigam, por tentativas automti-
cas, entrar em outros sistemas
9
.
Os captchas tocam em outro problema. Num mundo
onde mquinas, sistemas e pessoas esto cada vez mais co-
nectadas, como saber quem quem? Quando o mundo do
Second Life dominar a internet, como saber se os avatares
so de gente ou de mquinas? Com quem ou com o qu
voc estar falando?
1 John Badham, 1983.
2 Stanley Kubrick, 1968.
3 Mas ele j no teria sido identifcado na Terra quando embarcou? Ah, a burocracia espacial!
4 Guy Hamilton, 1971.
5 Ridley Scott, 1982.
6 Steven Spielberg, 2002.
7 Andrew Niccol, 1997.
8 Uma lista de 50 flmes que utilizam biometria para identifcao pode ser encontrada em http://www1.folha.uol.com.br/folha/informatica/
ult124u21492.shtml.
9 Nesta histria de captcha possvel deparar com humor involuntrio. O texto na Wikipdia em portugus sobre o assunto est escrito numa lngua
muito estranha. http://pt.wikipedia.org/wiki/CAPTCHA.

Segurança da Informação no Setor Público e Privado

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Segurança da Informação no Setor Público e Privado

Загружено:

Авторское право:

Доступные форматы

Fonte Fonte F te on

Вам также может понравиться