3 Livro GSIC UNB

1
GESTO DA SEGURANA DA
INFORMAO E COMUNICAES

2

Editora da Faculdade de Cincia da Informao
Universidade de Braslia
Srie Segurana da Informao

A Srie Segurana da Informao visa publicao de produo bibliogrfica desenvolvida
junto Universidade de Braslia e relacionada pesquisa, ao ensino e extenso na rea da
segurana da informao. editada por Jorge Henrique Cabral Fernandes, professor do
Departamento de Cincia da Computao do Instituto de Cincias Exatas e da Ps-
Graduao em Cincia da Informao da Faculdade de Cincia da Informao, ambas da
Universidade de Braslia. Jorge Fernandes foi coordenador do Curso de Especializao em
Gesto da Segurana da Informao e Comunicaes CEGSIC 2007-2008. Possui ttulos
de Doutor (2000) e Mestre (1992) em Informtica pelo Centro de Informtica da
Universidade Federal de Pernambuco. Especialista em Engenharia de Sistemas pelo
Departamento de Informtica e Matemtica Aplicada da Universidade Federal do Rio
Grande do Norte (1988) e Bacharel em Cincias Biolgicas pelo Centro de Biocincias da
Universidade Federal do Rio Grande do Norte (1987). Servidor pblico de universidades
federais desde 1984, atualmente se dedica pesquisa, ensino e extenso nas reas de
informao e computao, com nfase em fundamentos, gesto e governana da segurana.

O logotipo Gesto da Segurana da Informao e Comunicaes uma marca registrada da
Universidade de Braslia. Outros produtos e nomes de companhias mencionadas aqui
podem ser marcas comerciais de seus respectivos proprietrios.

O contedo deste livro distribudo no melhor esforo para o provimento de informao
precisa, mas fornecido sem garantias implcitas ou explcitas. Embora todas as precaues
tenham sido tomadas na preparao deste trabalho, nem o editor, nem o organizador, nem
os autores, nem a casa publicadora devem estar sujeitas a quaisquer responsabilidades
referentes a qualquer pessoa ou entidade, com respeito a qualquer perda ou dano causado
ou alegadamente causado, de forma direta ou indireta, pela informao aqui contida.

As opinies aqui formuladas refletem as posies de seus autores e no podem ser
atribudas a qualquer organizao pblica ou privada a que os autores esto ou estiveram
vinculados.

Jorge Henrique Cabral Fernandes
(Organizador)

3

Srie Segurana da Informao
2010

Volume I

Editado pela Faculdade de Cincia da Informao
Universidade de Braslia
Braslia - Brasil

Desenvolvido em atendimento ao plano de trabalho do Programa de
Formao de Especialistas para a Elaborao da Doutrina Nacional de
Gesto da Segurana da Informao e Comunicaes - CEGSIC 2007-2008.

Este material distribudo sob a licena
creative commons
http://creativecommons.org/licenses/by-nc-
nd/3.0/br/

4

Disponvel tambm em formato e-book: <http://cegsic.unb.br>

Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)

G393 Gesto da segurana da informao e comunicaes : volume 1
/ Jorge Henrique Cabral Fernandes, organizador.- Braslia :
Faculdade de Cincia da Informao, c2010.
125 p. ; 23 cm.

Inclui bibliografia.

1. Gesto da informao. 2. Segurana da informao e
comunicaes. I. Fernandes, Jorge Henrique Cabral (org.).

CDU 004.056

Arte grfica e impresso: Grfica da ABIN

5

Luiz Incio Lula da Silva
Presidente da Repblica
Fernando Haddad
Ministro da Educao

UNIVERSIDADE DE BRASLIA
Jos Geraldo de Sousa Junior
Reitor

Joo Batista de Sousa
Vice-Reitor

Pedro Murrieta Santos Neto
Decano de Administrao

Rachel Nunes da Cunha
Decana de Assuntos Comunitrios

Mrcia Abraho Moura
Decana de Ensino de Graduao

Ouviromar Flores
Decano de Extenso

Denise Bomtempo
Decana de Pesquisa e Ps-graduao

Nora Romeu Rocco
Diretor do Instituto de Cincias Exatas

Priscila Barreto
Chefe do Departamento de Cincia da
Computao

Coordenador do CEGSIC 2007-2008

Alex Harlen
Revisor de Lngua Portuguesa

Mnica Regina Peres
Revisora Normativa
Jorge Armando Flix
Ministro-Chefe do Gabinete
de Segurana Institucional

Antonio Sergio Geromel
Secretrio Executivo

Raphael Mandarino Junior
Diretor do Departamento de
Segurana da Informao e
Comunicaes

Reinaldo Silva Simio
Coordenador Geral de
Gesto da Segurana da
Informao e Comunicaes

6

7

AGRADECIMENTOS
O resultado apresentado neste livro no poderia ter sido produzido sem a
valiosa contribuio e suporte de muitos colegas, a maioria de servidores
pblicos que atuam dentro e fora da Universidade de Braslia. Estendo meus
agradecimentos aos tcnicos e alunos do Departamento de Cincia da
Computao da UnB, que forneceram o apoio logstico realizao do
curso. Aos professores colegas do Instituto de Cincias Exatas, do
Departamento de Cincia da Computao e da Universidade de Braslia,
tanto pelo envolvimento de alguns na realizao do curso, quanto pelos
valiosos comentrios e crticas construtivas na conduo e ajustes do
CEGSIC 2007-2008. Embora sujeito a inevitveis omisses, expresso meus
agradecimentos pessoais a Alan Correa, Andr Ancona Lopez, Arthur
Nbrega, Clia Ghedini Ralha, Cesar Fonseca, Cludia Canongia, Fabrcio
Braz, Fernanda Fernandes, Fernando Schelb, Georgina Mandarino, Gilberto
de Oliveira Netto, Guilherme Marques, Honrio Crispim, Humberto
Abdalla, Indiana Kosloski de Medeiros, Isabella Tavares, Joo Jos Costa
Gondim, Kenia Alvarenga, Leidiane Cardoso, Leonardo Lazarte, Masa
Pieroni, Magda Fernandes, Marco Carvalho, Marcos Allemand, Maria Nilza
Mendona, Maria do Carmo Mendona, Maria Helena do Carmo, Nathalia
Alvarenga, Norai Romeu Rocco, Odacyr Luiz Timm Jnior, Paula
Fernandes, Paulo Gondim, Paulo Hidaka, Pedro Freire, Polyana Souza,
Raphael Mezzomo, Ricardo Sampaio, Tarcsio Freire Junior, Ulysses
Machado e Vitor Fujimoto.

8

Agradeo tambm ao apoio da Editora da Faculdade de Cincia da
Informao (FCI) da UnB, na pessoa da Professora Elmira Simeo, pela
oportunidade de publicar, pela editora citada, esta obra e pela oferta de
servios profissionais que melhoraram a qualidade dos resultados, atestando
a importncia do profissional de informao na disseminao do
conhecimento.
Agradeo a confiana no Departamento de Cincia da Computao da UnB,
depositada pelo General Jorge Armando Flix, Ministro-Chefe do Gabinete
de Segurana Institucional; pelo Sr. Raphael Mandarino Jnior, Diretor do
Departamento de Segurana da Informao e Comunicaes, que construiu
uma viso de que seria possvel a realizao do CEGSIC; pelos Coronis
Reinaldo Silva Simio e Macarino Freitas, responsveis pela co-gesto e
ajustes no curso, sempre na forma de um proveitoso dilogo. Tambm
agradeo Doutora Claudia Canongia, pesquisadora do INMETRO cedida
ao DSIC/GSIPR, pelo estmulo e orientaes essenciais para a publicao
deste livro.
Agradeo tambm a gentil colaborao das organizaes pblicas a seguir
citadas, que nos receberam durante os seminrios de gesto da segurana,
pois do contato com seus representantes pudemos ter a oportunidade de
discutir situaes prticas vivenciadas por cada rgo pblico no trato de
suas informaes e comunicaes: Banco do Brasil (BB), Caixa Econmica
Federal (CEF), Departamento de Polcia Federal (DPF), Exrcito Brasileiro
(EB), Ministrio da Defesa (MD), Ministrio da Agricultura, Pecuria e
Abastecimento (MAPA), Departamento de Segurana de Informaes e
Comunicaes (DSIC), Superior Tribunal Eleitoral (TSE), SERPRO e
Estao de Rdio da Marinha do Brasil (ERMB).
Por fim, no poderia deixar de agradecer e homenagear alunos e alunas que
participaram do CEGSIC 2007-2008, que so autores deste trabalho, pelo
empenho e entusiasmo demonstrados durante os quase dois anos de intensas
atividades do curso. Sem o esprito valoroso de vocs, mesmo nos momentos
de grande cansao devido dupla carga de trabalho quando da realizao do
curso, no teramos avanado tanto nesses ltimos 4 anos, na discusso desse
precioso assunto que a segurana da informao e comunicaes no
servio pblico. Espero que o trabalho aqui registrado sirva para valorizar a
atuao de vocs, por vossas organizaes, pelo servio pblico e pela
sociedade brasileira.

Jorge Fernandes

9

Braslia, Distrito Federal
Novembro de 2010

10

11

. . .
Quando conheces a ti
mesmo e aos outros,
a vitria no est
ameaada.
quando conheces o cu
e a terra,
a vitria inesgotvel.

Sun Tzu, em A Arte da
Guerra

12

13

LISTA DE TABELAS
TABELA 5.1: Docentes, pesquisadores e (ou) consultores que
participaram de disciplinas do CEGSIC 2007-2008. ................................... 42
TABELA 6.1: Enquadramento das Pesquisas conforme rea
Temtica. ..................................................................................................... 47
TABELA 6.2: Orientadores de Monografias do CEGSIC 2007-2008. ......... 53

14

15

SUMRIO
AGRADECIMENTOS .............................................................................................. 7
LISTA DE TABELAS ............................................................................................... 13
APRESENTAO ................................................................................................... 19
CAPTULO 1 | PRLOGO ...................................................................................... 21
PARTE I | MOTIVAES, PLANEJAMENTOS E AES ..................................... 25
CAPTULO 2 | A SEGURANA DOS SISTEMAS NA ADMINISTRAO
PBLICA ................................................................................................................. 27
CAPTULO 3 | PANORAMA INTERNACIONAL DA SEGURANA DA
INFORMAO ........................................................................................................ 33
CAPTULO 4 | EM BUSCA DE UMA DOUTRINA ................................................... 37
CAPTULO 5 | CEGSIC: Pesquisa e Ensino em Gesto da Segurana ................. 40
PARTE II | MONOGRAFIAS E REAS TEMTICAS ............................................. 44
CAPTULO 6 | MONOGRAFIAS DO CEGSIC 2007-2008 E SUAS REAS
TEMTICAS ............................................................................................................ 46
PARTE III | RESUMOS DAS MONOGRAFIAS DO CEGSIC 2007-2008 ............... 50
CAPTULO 7 | FUNDAMENTOS DA SEGURANA DA INFORMAO ................ 54
7.1 UMA PROPOSTA DE CONCEITO PARA "COMUNICAES" NO
TERMO SEGURANA DA INFORMAO E COMUNICAES, por Liliana
Suzete Lopes de Queiroz Campos ......................................................................... 55
7.2 SEGURANA DA INFORMAO E COMUNICAES: CONCEITO
APLICVEL EM ORGANIZAES GOVERNAMENTAIS, por Reinaldo Silva
Simio ..................................................................................................................... 55
CAPTULO 8 | PESSOAS E SEGURANA DA INFORMAO ............................. 58
8.1 SEGURANA DA INFORMAO: UMA QUESTO NO APENAS
TECNOLGICA, por Paulo Csar Cardoso Rocha ................................................ 59
8.2 UM MODELO DE ANLISE DO COMPORTAMENTO DE SEGURANA
DE SERVIDORES DA ADMINISTRAO PBLICA FEDERAL BRASILEIRA,
por Renato do Carmo das Neves Alves .................................................................. 59
8.3 ANLISE DA POLTICA DE SEGURANA DA INFORMAO DA
MARINHA QUANTO AOS CONTROLES VOLTADOS PARA O RISCO DO
COMPONENTE HUMANO EM AMBIENTES E SISTEMAS CRTICOS, por
Roberto Ribeiro Bastos ........................................................................................... 60
CAPTULO 9 | POLTICAS DE SEGURANA DA INFORMAO ......................... 61

16

9.1 FATORES CRTICOS DE SUCESSO PARA ELABORAO DE
POLTICAS DE SEGURANA NA APF, por Danielle Rocha da Costa ................... 62
9.2 PROPOSTA DE UM GUIA PARA ELABORAO DE POLTICAS DE
SEGURANA DA INFORMAO E COMUNICAES EM RGOS DA
ADMINISTRAO PBLICA FEDERAL (APF), por In Lcia Cipriano de
Oliveira Monteiro ...................................................................................................... 62
CAPTULO 10 | GESTO DO RISCO DE SEGURANA DA INFORMAO ......... 64
10.1 ANLISE COMPARATIVA DE METODOLOGIAS DE GESTO E DE
ANLISE DE RISCOS SOB A TICA DA NORMA ABNT NBR ISO/IEC
27005, por Paulo Hideo Ohtoshi .............................................................................. 65
10.2 ANLISE/AVALIAO DE RISCOS DE SEGURANA DA
INFORMAO PARA A ADMINISTRAO PBLICA FEDERAL: UM
ENFOQUE DE ALTO NVEL BASEADO NA ABNT NBR ISO/IEC 27005, por
Pedro Jorge Sucena Silva ....................................................................................... 65
CAPTULO 11 | INCIDENTES DE SEGURANA DA INFORMAO..................... 68
11.1 PROPOSTA DE MODELO DE MELHORIA DE QUALIDADE BASEADO
EM PROCESSOS PARA TRATAMENTO DE INCIDENTES
COMPUTACIONAIS NA APF, por Roberto Moutella Pimenta ................................. 69
CAPTULO 12 | GESTO DE CRISES ORGANIZACIONAIS ................................. 70
12.1 GESTO DE CRISES NO MBITO DA ADMINISTRAO PBLICA
FEDERAL E SUA RELAO COM A RESPONSABILIDADE CIVIL
OBJETIVA EM DEMANDAS JUDICIAIS DECORRENTES, por Gerson
Charbel Costa .......................................................................................................... 71
12.2 GESTO DE CRISES NA ADMINISTRAO PBLICA FEDERAL: UM
ESTUDO SOBRE A TIPOLOGIA DE MITROFF, por Gilberto Dias Palmeira
Jnior ....................................................................................................................... 71
CAPTULO 13 | CRIPTOGRAFIA E INFRAESTRUTURA DE CHAVES
PBLICAS ............................................................................................................... 74
13.1 PROPOSTA DE UMA SOLUO DE CERTIFICAO DIGITAL PARA
O EXRCITO BRASILEIRO, por Jorge Euler Vieira ................................................ 74
13.2 A CRIPTOGRAFIA E SEU PAPEL NA SEGURANA DA INFORMAO
E DAS COMUNICAES (SIC): RETROSPECTIVA, ATUALIDADE E
PERSPECTIVA, por Edilson Fernandes da Cruz .................................................... 75
CAPTULO 14 | CONTROLE DE ACESSOS LGICO ............................................ 76
14.1 PROPOSTA DE MODELO DE CONTROLE DE ACESSO LGICO POR
SERVIDORES PBLICOS AOS RECURSOS COMPUTACIONAIS DA
ADMINISTRAO PBLICA, por Sergio Roberto Fuchs da Silva .......................... 80
CAPTULO 15 | SEGURANA EM TELECOMUNICAES E REDES DE
COMPUTADORES .................................................................................................. 78

17

15.1 SISTEMA DE COMUNICAES OPERACIONAIS MULTIMDIA,
COMUNICAES MVEIS (REDE MESH) 802.11S, por Everardo de Lucena
Tavares ................................................................................................................... 79
15.2 BOAS PRTICAS E SUA APLICAO NOS SERVIOS DE
TELEFONIA DA ADMINISTRAO PBLICA FEDERAL, por Marcos
Ambrogi Leite .......................................................................................................... 79
15.3 UM ESTUDO DE IMPLANTAO DE IPV6 NA ADMINISTRAO
PBLICA FEDERAL, por Lindeberg Pessoa Leite .................................................. 80
CAPTULO 16 | GESTO DA SEGURANA DA INFORMAO E
COMUNICAES .................................................................................................. 82
16.1 SEGURANA DA INFORMAO: PRESERVAO DAS
INFORMAES ESTRATGICAS COM FOCO EM SUA SEGURANA, por
Silvana Crispim Loureiro ......................................................................................... 83
16.2 PMBOK E GESTO DA SEGURANA DA INFORMAO E
COMUNICAO, por Antnio Carlos Pereira de Britto .......................................... 84
16.3 ANLISE E SOLUO PRELIMINAR PARA PROBLEMAS DE
SEGURANA DA INFORMAO NA ADVOCACIA-GERAL DA UNIO, por
Mnica Costa Tkaczyk Martins ............................................................................... 84
16.4 PRMIO DE QUALIDADE EM GESTO DA SEGURANA DA
INFORMAO E COMUNICAES NA ADMINISTRAO PBLICA
FEDERAL, por Juscelino Kilian ............................................................................... 85
CAPTULO 17 | SEGURANA EM COMPRAS E CONTRATOS DE TI ................. 87
17.1 PROCEDIMENTOS DE SEGURANA DA INFORMAO E
COMUNICAES EM CONTRATOS DE TECNOLOGIA DA INFORMAO
NO EXRCITO BRASILEIRO, por Gerson Ben-Hur Mayer .................................... 88
CAPTULO 18 | GOVERNANA, CONTROLE, AUDITORIA,
CONFORMIDADE E CERTIFICAO .................................................................... 89
18.1 LEVANTAMENTO DE REQUISITOS E CONTROLES DE SEGURANA
PARA O PORTAL DE INTELIGNCIA OPERACIONAL DO ESTADO MAIOR
DE DEFESA, por Kleber Ferreira Rangel................................................................ 90
18.2 PROPOSTA DE CENRIO PARA APLICAO DA NORMA NBR
ISO/IEC 27002 EM AUDITORIAS GOVERNAMENTAIS DO SISTEMA DE
CONTROLE INTERNO, por Henrique Aparecido da Rocha ................................... 91
18.3 AUDITORIA BASEADA EM CENRIOS DE RISCO: UM PARADIGMA
MODERNO INTEGRADO GESTO DE SEGURANA DA INFORMAO
E COMUNICAES NO MBITO DA ADMINISTRAO PBLICA
FEDERAL, por Newton Daltro Santos ..................................................................... 91
18.4 AVALIAO DE CONFORMIDADE A MODELOS DE GESTO DE
SEGURANA DA INFORMAO NA MARINHA DO BRASIL (MB), por
Rubem Ribeiro Veloso ............................................................................................ 92

18

18.5 PROPOSTA DE PROCEDIMENTO SIMPLIFICADO DE AUDITORIA DE
GESTO EM SEGURANA DA INFORMAO EM RGOS DO PODER
EXECUTIVO FEDERAL, por Rogrio Xavier Rocha ............................................... 93
18.6 AVALIAO PRELIMINAR DOS CONTROLES DE SEGURANA
USADOS NO EXRCITO BRASILEIRO, por Alessandro S Barbosa .................... 93
CAPTULO 19 | GESTO DA CONTINUIDADE ...................................................... 95
19.1 UMA ANLISE DA ATIVIDADE DE TESTES DO PLANO DE
CONTINUIDADE DE NEGCIO E SUA CONFORMIDADE COM A NORMA
ABNT NBR ISO/IEC 17799:2005, por Idilson Alexandre Palhares Cassilhas ......... 96
19.2 UM ESTUDO SOBRE MTODOS E PROCESSOS PARA A
IMPLANTAO DA GESTO DE CONTINUIDADE DE NEGCIOS
APLICVEIS A RGOS DA ADMINISTRAO PBLICA FEDERAL
BRASILEIRA, por Vitor Friedenhain ........................................................................ 96
19.3 NVEL DE COMPREENSO DA GESTO DE CONTINUIDADE DOS
NEGCIOS, por Antnio Magno Figueiredo de Oliveira ......................................... 97
CAPTULO 20 | SEGURANA E DEFESA CIBERNTICAS .................................. 99
20.1 ANLISE E PROPOSTA DE ARTICULAO DE ESFOROS NO
CONTEXTO DA DEFESA CIBERNTICA DA ADMINISTRAO PBLICA
FEDERAL, por Marcelo Paiva Fontenele ................................................................ 100
20.2 UM ESTUDO SOBRE A SEGURANA E A DEFESA DO ESPAO
CIBERNTICO BRASILEIRO, por Raphael Mandarino Junior ................................ 100
CAPTULO 21 | EPLOGO ....................................................................................... 102
REFERNCIAS BIBLIOGRFICAS ........................................................................ 109
NOTAS SOBRE ESTA EDIO .............................................................................. 125

19

APRESENTAO
com satisfao que apresento este Livro, o qual rene produes
intelectuais, de alto nvel, nos mais variados assuntos acerca de Gesto de
Segurana da Informao e Comunicaes (GSIC), tema consideravelmente
importante ao Estado brasileiro, em face de sua complexidade nos
panoramas nacional e internacional.
Investir em capacitao sempre foi prioridade do Gabinete de Segurana
Institucional da Presidncia da Repblica. Este Livro concretiza tal ao,
pois o resultado aqui apresentado vem ao encontro dos nveis insatisfatrios
de investimento e conhecimento, sobre Segurana da Informao e
Comunicaes, apresentados, em 2003, pelos rgos da Administrao
Pblica Federal, direta e indireta.
Uma Doutrina Nacional de Gesto da Segurana da Informao e
Comunicaes, no mbito dos rgos e entidades da APF compreende:
conceitos, princpios, diretrizes, mtodos, tcnicas, habilidades e
competncias no plano gerencial. Tal cultura deve ser disseminada junto aos
servidores pblicos, bem como junto s organizaes nas quais atuam.
No tenho dvidas que este Livro fundamento essencial para a concepo
de metodologia de Gesto de Segurana da Informao e Comunicaes na
Administrao Pblica Federal, e para a elaborao de normas e padres
mnimos necessrios para assegur-la.
Recomendo, portanto, a leitura deste Livro, cuja publicao considero
significativa contribuio tcnica s entidades, pblicas e privadas, para o
estabelecimento da cultura interna de GSIC, para a devida compreenso dos

20

incidentes de segurana da informao e comunicaes e para a implantao
de processos concisos, que garantam a continuidade do negcio nos
momentos de crise.
Boa leitura!
J orge Armando Felix
Ministro Chefe do Gabinete de Segurana I nstitucional
da Presidncia da Repblica

21

CAPTULO 1
PRLOGO
Este livro um registro parcial da produo intelectual desenvolvida pela
primeira turma do Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes, realizado pelo Departamento de Cincia da
Computao da Universidade de Braslia, CEGSIC 2007-2008.
O curso foi realizado em resposta ao convite, seguido de colaborao, apoio
e aporte de recursos organizacionais e financeiros pelo Gabinete de
Segurana Institucional da Presidncia da Repblica Federativa do Brasil,
mais especificamente pelo Departamento de Segurana da Informao e
Comunicaes (DSIC/GSIPR). Foi produzido para atendimento Portaria
17/2007 GSIPR.
O CEGSIC 2007-2008, iniciou-se formalmente em novembro de 2007 e sua
concluso ocorreu em meados do ano de 2009. O CEGSIC 2007-2008 teve
carga horria de 375 horas aula, realizadas em regime presencial, nas
dependncias da Universidade de Braslia. Contou com a participao e
apoio de docentes e tcnicos dos Departamentos de Cincia da Computao,
Engenharia Eltrica e Cincias da Informao e Documentao da UnB, bem
como com professores e pesquisadores de fora da UnB.
A parte I deste livro descreve em mais detalhes as motivaes e conceitos
subjacentes realizao do CEGSIC 2007-2008.
Os alunos e alunas do CEGSIC 2007-2008 foram selecionados por meio de
entrevistas realizadas pela coordenao do curso. O horrio de realizao das
aulas do curso foi principalmente o noturno, visto que no havia
possibilidade de realiz-lo integralmente durante o horrio de expediente dos

22

servidores pblicos que nele ingressaram. Visitas a organizaes diversas,
pblicas e privadas, localizadas em Braslia, foram realizadas nos horrios
matutino ou vespertino.
Os 40 servidores ingressantes no CEGSIC 2007-2008 pertenciam aos
seguintes rgos:
Advocacia Geral da Unio (AGU)
Agncia Brasileira de Inteligncia (ABIN)
Banco Central do Brasil (BACEN)
Casa Civil da Presidncia da Repblica
Controladoria Geral da Unio (CGU)
Departamento de Segurana da Informao e Comunicaes (DSIC)
Exrcito Brasileiro (EB)
Fora Area Brasileira (FAB)
Gabinete de Segurana Institucional da Presidncia da Repblica
(GSIPR)
Marinha do Brasil (MB)
Ministrio da Previdncia Social (MPS)
Ministrio da Defesa (MD)
Ministrio da Sade (MS)
Departamento de Polcia Federal (DPF)
Secretaria da Receita Federal (SRF)

Aps concluso com sucesso das 25 disciplinas do curso, seguida de
pesquisa, elaborao de monografia, defesa bem sucedida e entrega da
verso final da monografia impressa e em formato digital, os 35 servidores
que concluram o curso em seu prazo regulamentar receberam o ttulo de
especialista pela Universidade de Braslia.
As 35 monografias sumarizadas nas Partes II e III deste livro esto
disponveis para consulta, de forma plena ou parcial, e constituem rico
acervo de conhecimento sobre segurana da informao no servio pblico
federal. Espera-se que venham auxiliar na construo dos elementos de uma
metodologia brasileira de gesto da segurana da informao e
comunicaes.

23

Os 35 resumos foram produzidos pelos autores listados a seguir, por ordem
alfabtica: Alessandro de S Barbosa, Antnio Carlos Pereira de Britto,
Antnio Magno Figueiredo de Oliveira, Danielle Rocha da Costa, Edlson
Fernandes da Cruz, Everardo de Lucena Tavares, Gerson Ben-Hur Mayer,
Gerson Charbel Costa, Gilberto Dias Palmeira Jnior, Henrique Aparecido
da Rocha, Idilson Alexandre Palhares Cassilhas, In Lcia Cipriano de
Oliveira Monteiro, Jorge Euler Vieira, Juscelino Kilian, Kleber Ferreira
Rangel, Liliana Suzete Lopes de Queiroz Campos, Lindeberg Pessoa Leite,
Luiz Guilherme S da Silva, Mnica Costa Tkaczyk Martins, Marcelo Paiva
Fortenele, Marcos Ambrogi Leite, Newton Daltro Santos, Paulo Csar
Cardoso Rocha, Paulo Hideo Ohtoshi, Pedro Jorge Sucena Silva, Raphael
Mandarino Jnior, Reinaldo Silva Simio, Renato do Carmo das Neves
Alves, Roberto Moutella Pimenta, Roberto Ribeiro Bastos, Rogrio Xavier
Rocha, Rubem Ribeiro Veloso, Sergio Roberto Fuchs da Silva, Silvana
Crispim Loureiro e Vitor Friedenhain.

24

25

PARTE I
MOTIVAES, PLANEJAMENTOS E
AES

26

27

CAPTULO 2
A SEGURANA DOS SISTEMAS NA
ADMINISTRAO PBLICA
A evoluo tecnolgica contribui para que as organizaes automatizem seus
servios, em direo a maior eficincia e eficcia. Mas h uma contrapartida
do processo, que demanda cuidados frente s ameaas a que se tornam
expostos os sistemas de informao e comunicao, especialmente quando
conectados rede mundial de computadores.
O NCLEO DE INFORMAO E COORDENAO DO PONTO BR -
NIC.br (2010) apresenta resultados de uma pesquisa sobre o tamanho da web
brasileira no domnio .gov.br, isto , no domnio onde se supe encontrar a
presena, na Internet, da maioria das organizaes da administrao pblica
direta do Brasil. Segundo a pesquisa, realizada em outubro de 2009, foram
identificados 18.796 stios sob o domnio .gov.br, sendo que cerca de 25%
desses stios so vinculados esfera federal, e os demais s esferas estaduais
ou municipais.

2.1 TECNOLOGIA E APERFEIOAMENTO DA ADMINISTRAO
PBLICA
A administrao pblica brasileira, assim como os governos de muitos pases
em franco desenvolvimento, encontra-se sob intensa presso por
aperfeioamento, visando atender demanda por servios com maior
qualidade, em resposta presso de cidados cada vez mais integrados

28

Sociedade da Informao
1
. Um dos reflexos desse desenvolvimento o
conjunto de aes em torno da Gesto Pblica do MINISTRIO DO
PLANEJAMENTO, ORAMENTO E GESTO (2009).
Supe-se que a adoo de sistemas computadorizados na administrao
pblica fornea um considervel apoio ao aperfeioamento da gesto
pblica, seja devido transparncia na qual se ofertam seus servios, seja no
apoio a operaes em volume e extenso geogrfica compatveis com as
dimenses populacional e territorial brasileiras. Tais medidas, quando
combinadas com aes de formao de recursos humanos, podem produzir
um ciclo virtuoso, que aumenta o desempenho e estimula novas demandas
por atuao do governo, especialmente necessrias no atendimento reduo
das desigualdades sociais ainda muito grandes no pas.
Os sistemas computadorizados constituem parte essencial dos Sistemas de
Informao
2
e Sistemas de Comunicao
3
(coletivamente chamados de
SICs), e so cada vez mais crticos atuao das organizaes, inclusive da
administrao pblica.
Os SICs, sejam eles pertencentes a organizaes pblicas ou privadas, so
tambm mais complexos e automatizados que seus antecessores, e visam
incrementar a eficincia operacional e gerencial dos processos de trabalho,
de produo, de prestao de servios e de realizao de negcios pelas
organizaes que os implantam.

2.2 RISCOS SEGURANA
Em contrapartida melhoria em decorrncia do aporte tecnolgico, surge a
demanda por maior nvel de segurana das informaes e dos processos de

1
Veja informaes recentes e histricas sobre a constituio da sociedade
de informao no Brasil em obras como CENTRO DE ESTUDOS SOBRE
AS TECNOLOGIAS DA INFORMAO E DA COMUNICAO - CETIC.br
(2009) e TAKAHASHI (Org.) (2000).
2
Segundo a Wikipedia (http://pt.wikipedia.org/wiki/Sistema_de_informaao)
um Sistema de Informao um sistema automatizado (que pode ser
denominado como Sistema de Informao Computadorizado) ou manual,
que abrange pessoas, mquinas e/ou mtodos organizados para coletar,
processar, transmitir e disseminar dados que representam informao para
o usurio e/ou cliente.
3
Sistemas de Comunicao so sistemas que permitem a comunicao,
seja ela entre humanos ou entre mquinas. Ver
http://en.wikipedia.org/wiki/Communication.

29

comunicaes, a fim de garantir o adequado funcionamento dos sistemas,
frente a um grande nmero de ameaas
4
.
Avaliando-se superficialmente a situao dos rgos pblicos brasileiros, no
que se refere Gesto da Segurana de seus sistemas computadorizados,
detecta-se um conjunto de caractersticas nicas e preocupantes. H grande
heterogeneidade de solues no plano tecnolgico, bem como de mtodos e
processos no plano gerencial
5
. No plano da segurana fsica e lgica, a
sociedade brasileira no passou pelas mesmas experincias histricas de
outros pases nos quais j houve forte desenvolvimento de tecnologias, e,
desta forma, nossa cultura
6
parece no se adequar aos mtodos e conceitos
de segurana j desenvolvidos nesses pases.
Em contraponto a um pequeno volume de investimentos em pesquisa e
inovao em segurana, h um alto volume de investimentos em aquisies
no desenvolvimento de sistemas de informao e comunicaes. No entanto,
estes investimentos em aquisies de tecnologias para sistemas de
informao e sistemas de comunicao ainda ocorrem com pouco
planejamento e acompanhamento de resultados, alm de pouco planejamento
para manuteno e evoluo, sobretudo no que concerne segurana da
informao e comunicaes. Alm das vrias instrues normativas lanadas
pelo DSIC/GSIPR nos ltimos anos, a Instruo Normativa 04 da
SECRETARIA DE LOGSTICA E TECNOLOGIA DA INFORMAO
DO MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO
(2008) uma importante resposta a essa situao.
Dessa forma, configura-se um cenrio de riscos crescentes para o Estado e
governos, e consequentemente para a prpria sociedade brasileira. Esses
riscos se apresentam tanto como oportunidades, quanto tambm como
ameaas, sendo que a gesto da segurana ocorre no plano das ameaas, isto
, dos riscos segurana.

2.3 CAPACIDADES GERENCIAIS EM SEGURANA
Os riscos segurana dos sistemas de informao pblicos parecem
decorrentes da combinao entre aumento da conectividade dos SICs
pblicos Internet, especialmente na busca por ofertar servios de Governo
Eletrnico, e o descompasso entre o rpido avano da complexidade dos

4
Veja em http://www.net-security.org/secworld.php?id=8709 uma lista das
10 principais ameaas segurana da informao, segundo a empresa
Perimeter E-Security.
5
Veja, por exemplo, os resultados das pesquisas sobre Governana de TI
feitas pelo TRIBUNAL DE CONTAS DA UNIO (2008).
6
Veja um manifesto sobre a cultura de paz no Brasil em
http://www.cultura.gov.br/site/2003/03/10/o-brasil-quer-paz-por-gilberto-gil/.

30

sistemas e o lento avano das capacidades gerenciais das organizaes que
os desenvolvem.
Configura-se uma lacuna na capacitao de servidores pblicos voltados
Gesto da Segurana da Informao e que sejam comprometidos com a
eficcia dos SICs pblicos. O preenchimento dessa lacuna demanda solues
imediatas, que no se encontram disponveis "em prateleiras", mas to
somente so possveis atravs de processos de educao, treinamento e
conscientizao de pessoal permanente dos quadros de servidores da
Administrao Pblica Federal, envolvendo gesto de conhecimento e
comunidades de prtica
7
.
Para reduo dos riscos se faz tambm necessrio melhorar as percepes,
atitudes, capacidades tcnicas e aes gerenciais dos servidores pblicos no
que concerne ao valor estratgico da informao e da comunicao pblicas,
e aos cuidados com a gesto da segurana dessas informaes, de suas
tecnologias de suporte. Tais competncias devem ser combinadas com o
contnuo alinhamento ao interesse pblico, inclusive transparncia.
Os gestores pblicos da segurana devem ser capazes de planejar, organizar,
adquirir, implantar, implementar, dirigir e controlar, de forma efetiva, os
programas, projetos, aes e sistemas de segurana que contribuam para o
funcionamento adequado dos SICs pblicos
8
.
2.4 CONSTRUO DA GESTO DA SEGURANA DA
Desenvolve-se no Brasil, sob os auspcios do Gabinete de Segurana
Institucional da Presidncia da Repblica, GSIPR, mais especificamente no
Departamento de Segurana da Informao e Comunicaes, DSIC
9
, o
conceito de Segurana da Informao e Comunicaes. A abordagem de SIC
(Segurana da Informao e Comunicaes) considera como pilares da ao
da segurana o alcance primrio da Disponibilidade, Integridade,
Confidencialidade e Autenticidade da informao, conhecida como

7
Ver Wenger, McDermott e Snyder (2002) sobre propostas de como
proceder gesto do conhecimento por meio da construo de
comunidades de prtica.
8
O conceito de sistema de gesto da segurana da informao proposto
nas normas da ISO/IEC (ASSOCIAO BRASILEIRA DE NORMAS
TCNICAS, 2006), bem como adotado nas normas do DSIC/GSIPR como
GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA
REPBLICA (2008) e DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR (2008) contemplam as
aes citadas.
9
Veja na pgina http://dsic.planalto.gov.br as aes relacionadas ao
conceito.

31

D.I.C.A. de Segurana da Informao e a questo da Segurana
Ciberntica, entre outras.
O conceito de Segurana da Informao e Comunicaes surge no momento
que o pas amadurece e a administrao pblica federal aperfeioa-se, pondo
dvidas quanto convenincia, ou no, de se adotar integralmente as
doutrinas desenvolvidas em outros pases, considerando que possumos
diferentes necessidades de proteo, bem como cultura e histria prprias.

32

33

CAPTULO 3
PANORAMA INTERNACIONAL DA
SEGURANA DA INFORMAO
A Gesto da Segurana da Informao e a Garantia da Informao so duas
das abordagens internacionalmente conhecidas para a busca da integridade,
disponibilidade, confidencialidade e autenticidade de sistemas de informao.
Note que abordagens "de gesto" estendem as de segurana computacional
tecnolgica. Enquanto que a segurana computacional (ANDERSON, 2001;
SCHNEIER, 1996), a segurana de redes (SYSTEMS AND NETWORK
ATTACK CENTER - SNAC, 2006; CONVERY, 2004; STALLINGS, 2008)
a segurana de dados (LITCHFIELD et al., 2005) e a segurana de cdigo ou
software (HOGLUND; MCGRAW, 2004) ocorrem por meio da implantao e
operao da criptografia, dos mecanismos de autenticao, dos sistemas de
defesa de redes de computadores e de tolerncia a falhas, entre outros, a gesto
da segurana da informao busca o alinhamento entre as necessidades
organizacionais de segurana e o gerenciamento dos sistemas de informao,
no apenas no que concerne ao emprego de tecnologias, mas com nfase em
aspectos de risco (DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR, 2009b;
STONEBURNER; GOGUEN; FERINGA, 2002; PELTIER, 2001; ISO/IEC,
2007; ALBERTS; DOROFEE, 2002), poltica organizacional (GABINETE
DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA
REPBLICA, 2008; DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR, 2009a; CASA CIVIL DA
PRESIDNCIA DA REPBLICA, 2001; BRASIL, 2000), recursos humanos

34

na rea de segurana (DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR, 2009c; LEACH, 2003),
segurana fsica e ambiental (DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR, 2010a), processos e
mtodos de gesto aplicveis ao desenvolvimento, operao e manuteno de
sistemas (DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR, 2008; DEPARTAMENTO DE
SEGURANA DA INFORMAO E COMUNICAES DO GSIPR,
2010b; SECRETARIA DE LOGSTICA E TECNOLOGIA DA
INFORMAO DO MINISTRIO DO PLANEJAMENTO, ORAMENTO
E GESTO, 2008; HOWARD; LIPNER, 2006), alm de foco na continuidade
dos servios e negcios das organizaes (DEPARTAMENTO DE
SEGURANA DA INFORMAO E COMUNICAES DO GSIPR,
2009d; ASSOCIAO BRASILEIRA DE NORMAS TCNICAS, 2008).
O estado da prtica da Gesto da Segurana da Informao fruto do
desenvolvimento de mtodos oriundos do Ministrio de Indstria e Comrcio
do Reino Unido
10
, e consolida-se nas normas desenvolvidas pelo rgo
britnico de padronizao BS (British Standards), posteriormente incorporadas
pela ISO/IEC. A abordagem da ISO/IEC segurana da informao,
representada sobretudo na srie de normas 27000
11
, alinha-se com uma ao
mais ampla de melhoria na gesto da informao, e seu desenvolvimento
inevitavelmente incorpora o princpio da Governana (THE
INTERNATIONAL BANK FOR RECONSTRUCTION AND
DEVELOPMENT and THE WORLD BANK, 2006). A governana de TI, a
mais conhecida dos modelos de governana, busca o alinhamento entre a rea
de tecnologia da informao de uma organizao e as necessidades de
informao organizacionais, e amplamente divulgada por meio do modelo
COBIT (IT GOVERNANCE INSTITUTE, 2007). A governana da segurana
da informao, conceito emergente no cenrio internacional, busca o
alinhamento entre a rea da segurana da informao e as necessidades
organizacionais de segurana
12
.
Outra corrente de prticas de gesto da segurana da informao a Garantia
da Informao (Information Assurance) estabelecida por meio da NSA -

10
Ver mais alguns comentrios em
http://www.anupnarayanan.org/ism3andiso27001.pdf.
11
A srie ISO/IEC 27000 foi adotada no Brasil pela ABNT, e suas normas
podem ser obtidas em lngua portuguesa atravs do stio
http://www.abnt.org.br/.
12
Veja mais detalhes em http://www.isaca.org/Knowledge-
Center/Research/Documents/InfoSecGuidanceDirectorsExecMgt.pdf.

35

National Security Agency do Governo dos EUA
13
. A abordagem de
Information Assurance
14
tambm baseada na gesto de riscos
(STONEBURNER; GOGUEN; FERINGA, 2002), s que complementa, aos
aspectos normativos, aes visando formao de servidores pblicos e redes
de escolas e universidades para atuao na proteo de infraestruturas de
informao, no combate ao ciberterrorismo e na proteo dos sistemas de
informao estratgicos do Governo dos EUA. Os aspectos tecnolgicos
normativos da gesto da segurana foram consolidados pelos trabalhos da
Diviso de Segurana Computacional (CSD - Computer Security Division) do
NIST
15
(National Institute of Standards and Technology
16
), por meio de suas
responsabilidades estabelecidas na Lei de Reforma da Gesto da Tecnologia
da Informao (Information Technology Management Reform Act) do ano de
1996 e da Lei Federal de Gesto da Segurana da Informao, conhecida
como FISMA - Federal Information Security Management Act
17
.
Em ambas correntes doutrinrias, seja a da ISO/IEC, seja a da NSA, a prtica
da gesto da segurana da informao depende da atuao dos agentes
humanos nas organizaes, contribuindo com vises multidisciplinares para
solucionar a questo da segurana, empregando conhecimentos de tecnologias
da informao e comunicao, bem como da gesto da qualidade e da
governana. Mais informaes podem ser obtidas em Fernandes (2009).

13
Um glossrio dos termos relacionados Information Assurance pode ser
visto em COMITTEE ON NATIONAL SECURITY SYSTEMS (2010).
14
Veja a pgina que apresenta a abordagem em
http://www.nsa.gov/ia/ia_at_nsa/index.shtml.
15
Ver http://csrc.nist.gov/.
16
Ver http://www.nist.gov/index.html.
17
Para uma introduo ao FISMA ver
http://en.wikipedia.org/wiki/Federal_Information_Security_Management_Act_
of_2002.

36

37

CAPTULO 4
EM BUSCA DE UMA DOUTRINA
Considerando que:
o desenvolvimento de habilidades gerenciais em segurana da
informao demanda formao tipicamente presente nos
profissionais de nvel superior que atuam nas organizaes pblicas
federais;
os problemas de segurana da informao manifestam-se de forma
bastante prtica no seio das organizaes;
os fenmenos subjacentes segurana no so to bem
compreendidos quanto as manifestaes de incidentes de segurana,
descontinuidades de processos e crises organizacionais;
mostra-se conveniente formular um programa de formao de gestores em
segurana com carter de aplicao prtica, bem como de investigao
sistemtica de problemas de Gesto da Segurana da Informao e
Comunicaes baseado no mtodo cientfico
18
.
Diante desse cenrio, a Universidade de Braslia (UnB), por meio de seu
Departamento de Cincia da Computao, atendendo demanda do
Departamento de Segurana da Informao e Comunicaes, props e

18
Veja em Descartes (1962) as justificativas para a adoo de abordagem
cientfica compreenso das coisas que nos cercam.

38

executou um Curso de ps-graduao Lato Sensu, baseado no envolvimento
de docentes, pesquisadores e alunos de ps-graduao e graduao na UnB,
para a investigao e proposio de elementos de uma Doutrina Nacional de
Gesto da Segurana da Informao e Comunicaes.
Uma Doutrina Nacional de Gesto da Segurana da Informao e
Comunicaes aplicvel nos rgos e entidades da Administrao Pblica
Federal deveria compreender a definio de um conjunto de conceitos,
princpios, diretrizes, mtodos, tcnicas, habilidades e competncias no
plano gerencial da segurana dos SICs pblicos, a ser desenvolvido junto aos
servidores pblicos, bem como junto s organizaes nas quais estes atuam.
Uma doutrina
19
pode ser definida como um cdigo de crenas, um corpo de
ensinamentos ou instrues que so professadas em uma determinada rea
do conhecimento. Segundo a Wikipedia, doutrina tem sua origem na palavra
grega doctrina, que possui significado anlogo a catecismo. O termo
doutrina empregado em reas como Poltica Externa
20
, Religio
21
,
Militar
22
, Poltica Interna (DOCKHORN, 1999) e Direito
23
.
Embora o termo doutrina possa ser usado com a conotao de um conjunto
de dogmas, possvel, e necessrio, que uma doutrina seja desenvolvida
segundo uma abordagem dialtica
24
para permitir o aperfeioamento
contnuo do estado da prtica dos grupos que a empregam.
No mbito das organizaes pblicas atuais, o termo metodologia
25

apresenta melhor adequao que o termo doutrina. Uma metodologia

19
Ver vrias definies alternativas para o termo doutrina em
http://en.wikipedia.org/wiki/Doctrine.
20
Veja a Doutrina de Poltica Externa da Alemanha, aps 1955, em
http://en.wikipedia.org/wiki/Hallstein_Doctrine.
21
Veja verbete sobre doutrina na Enciclopdia Britnica em
http://www.britannica.com/EBchecked/topic/167440/doctrine.
22
Veja, por exemplo, a doutrina de operaes de paz da ONU em
http://pbpu.unlb.org/pbps/Library/Capstone_Doctrine_ENG.pdf
23
Veja uma grande compilao de doutrina jurdica em
http://jus.uol.com.br/doutrina/.
24
Dialtica consiste em considerar argumentos sob pontos de vista
conflitantes, visando a construo de uma sntese de melhor qualidade que
as anteriores. Para maiores detalhes veja a definio do mtodo dialtico
em http://pt.wikipedia.org/wiki/Dialtica.
25
Ver em http://en.wikipedia.org/wiki/Methodology, http://www.merriam-
webster.com/dictionary/methodology e

39

descreve, em linguajar tcnico ou cientfico
26
, uma compilao de mtodos,
tcnicas, processos e ferramentas em uso e constante aperfeioamento por
uma comunidade ou grupo social para soluo de um determinada questo.

4.1 ELEMENTOS DE UMA METODOLOGIA OU DOUTRINA
Uma metodologia, ou doutrina, que seja aplicvel Gesto da Segurana da
Informao e Comunicaes deve conter os seguintes elementos:
prescrio de adoo, isto , onde e sob quais condies sua
aplicao adequada;
prescrio sobre a organizao do espao de atuao das pessoas da
segurana;
prescrio sobre a organizao do espao tecnolgico de automao
da segurana;
prescrio sobre a atuao operacional do pessoal da segurana;
prescrio para gesto dos elementos organizados.
Se considerarmos que o objetivo de uma metodologia de Gesto da
Segurana da Informao e Comunicaes gerenciar a segurana nas
organizaes pblicas brasileiras, aplicam-se definio dos elementos
acima, as caractersticas e restries que regulam o funcionamento de rgos
pblicos no pas, que podem ser sumarizados pelo atendimento aos preceitos
constitucionais
27
da legalidade, impessoalidade, moralidade, publicidade e
eficincia, dentre outros.

http://www.google.com/search?q=define:methodology algumas definies
mais detalhadas para o termo metodologia.
26
Ver em http://pt.wikipedia.org/wiki/Ciencia um conjunto de definies bastante
completo sobre o que cincia.
27
Ver no caput do Artigo 37 da Constituio
(http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm) o
enunciado dos princpios da administrao pblica.

40

CAPTULO 5
CEGSIC: PESQUISA E ENSINO EM
GESTO DA SEGURANA
O Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes (CEGSIC) foi criado para atender necessidade de
consolidao de uma metodologia brasileira de GSIC, sobre demanda do
DSIC/GSIPR.
O curso foi concebido a partir de desenvolvimentos pr-existentes no
panorama internacional da segurana da informao, bem como no nascente
conceito de Segurana da Informao e Comunicaes, criado no Gabinete
de Segurana Institucional da Presidncia da Repblica. Adota abordagem
baseada na integrao entre teorias e prticas gerenciais de segurana da
informao. um curso voltado para turmas de gestores, com foco
relacionado gesto de sistemas de informao e sistemas de comunicao.
O Curso exige que os servidores pblicos que o frequentam, alunos e alunas,
possuam experincia prvia e interesse na gesto de sistemas de informao
pblicos, seja no referente ao aspecto tecnolgico (bases de dados, software
ou rede e sistemas de computadores), procedimental e organizacional
(atividades em equipes), bem como do ambiente corporativo normativo
(legislao e ambiente).
Dentro desta perspectiva, alm de empreenderem estudo voltado para os
tpicos apresentados em disciplinas de um curso de ps-graduao tpico, os
servidores pblicos so expostos a relatos de estudos de caso e experincias
apresentadas por praticantes da rea, vinculados a organizaes pblicas,
privadas, mistas e da rea de defesa. Muitos desses relatos decorrem da

41

formao das redes de troca de informaes estabelecidas entre os servidores
durante o curso. Desse modo, so fortalecidas as ligaes entre a realidade
na qual muitos trabalham e as teorias e mtodos de gesto, tecnologia e
relaes humanas discutidos em sala de aula. Esta abordagem visa criar
experincias de aprendizagem significativa.
Para que o curso seja concludo com sucesso necessrio que os servidores
pblicos realizem uma pesquisa de carter cientfico, a partir da qual
elaboram e defendem uma monografia de carter individual, acerca de um
problema de gesto da segurana associado sua atividade profissional, s
vezes com proposio de solues.
O Captulo 6 e a Parte III deste livro apresentam vises gerais e resumos das
monografias que foram defendidas com sucesso pelos alunos e alunas da
turma 2007-2008.
Na turma de 2007-2008, as disciplinas do CEGSIC foram divididas em seis
trilhas. As trilhas de disciplinas realizadas abordaram: (i) Teoria; (ii)
Indivduo e Sociedade; (iii) Reflexo e Pesquisa; (iv) Tecnologias; (v)
Gesto da Segurana da Informao e (vi) Seminrios de Gesto.
Na trilha Teoria, foram apresentadas teorias multidisciplinares da segurana
da informao, por meio da abordagem sistmica.
Na trilha Indivduo e Sociedade, foram apresentados aspectos tericos e
prticos da sociologia, psicologia, administrao e legislao relacionadas
segurana da informao e comunicaes.
Na trilha Reflexo e Pesquisa, foram fornecidos os suporte crtico e
metodolgico que favoreceu a elaborao de estudos cientficos voltados
para o tema multidisciplinar da Gesto da Segurana.
Na trilha Tecnologias, foram abordadas algumas das principais tecnologias
de suporte gesto da informao e comunicaes, juntamente com os
problemas de segurana relacionados ao uso destas.
Na trilha Gesto da Segurana da Informao, foram abordados os temas
usuais da gesto da segurana das tecnologias da informao e comunicao.
Na trilha Seminrios de Gesto, foram apresentados e discutidos estudos de
caso relacionados com segurana da informao, ocorridos em empresas
pblicas e privadas. Muitas das informaes foram coletadas durante visitas
s prprias organizaes.
Devido premncia da discusso sobre o tema e elaborao da metodologia
j referenciada, as disciplinas do curso foram realizadas de forma intensiva,
sendo um mdulo por semana. Foi intensivo o suporte discusso e
reteno de conhecimentos por meios de um ambiente de educao

42

distncia baseado na plataforma Moodle
28
e seus vrios instrumentos de
apoio aprendizagem, como Tarefas, Wikis, Fruns, Questionrios, alm do
uso de mapas conceituais
29
e textos de apresentao conceitual
(CANONGIA, 2008; FERNANDES, 2007; BORDIM, 2009; GONDIM,
2008a; GONDIM, 2008b; NASCIMENTO, 2008; REZENDE, 2009;
MALTA, 2007; HARGER, 2008; BERGER, 2008; BARRETO, 2008;
COSTA, 2008b; RALHA, 2008; NETTO; ALLEMAND; FREIRE, 2007;
NETTO et al., 2008; BORDIM, 2008a; BORDIM, 2008b; BRAZ, 2008;
CARNIELLI, 2008; FERNANDES, 2008d; FERNANDES, 2008b;
FERNANDES, 2008a; FERNANDES, 2008c) com referncias para leituras
adicionais. O udio da maioria das aulas presenciais tambm foi gravado em
meio digital, para que fosse possvel a compensao de aulas perdidas em
caso de viagem a trabalho de algum aluno durante o curso.
A Tabela 5.1 apresenta a lista das disciplinas ofertadas durante o CEGSIC
2007-2008 e a lista dos docentes, pesquisadores e consultores que atuaram
nas mesmas.

TABELA 5.1: Docentes, pesquisadores e (ou) consultores que participaram
de disciplinas do CEGSIC 2007-2008.
DISCIPLINA OU TRILHA DOCENTES, PESQUISADORES E
(OU) CONSULTORES
Ataques, Intruses e Investigao
Forense em Sistemas de
Computao
MSc. Joo Jos Costa Gondim
Auditoria e Certificao de
Segurana da Informao
Dr. Jorge Henrique Cabral Fernandes
Direito na Sociedade da Informao Me. Tatiana Malta Vieira
Controles de Acesso Lgico Dra. Priscila America Solis Mendez
Barreto
Controles de Segurana da
Informao
PhD Jacir Luiz Bordim
Criptografia e Infraestrutura de
Chaves Pblicas
PhD Anderson Clayton Alves
Nascimento
Estratgias e Doutrinas para
Governana da Segurana da
Informao e Comunicaes
Gesto Operacional da Segurana
da Informao
Me. Gilberto de Oliveira Netto, Esp.
Marcos Allemand e Esp. Pedro Andr

28
Ver mais detalhes sobre o Moodle em http://moodle.org.
29
Veja mais sobre a importante tcnica de mapas conceituais em
http://pt.wikipedia. org/wiki/Mapa_conceitual.

43

Faria Freire
Gesto de Riscos Dr. Edgard Costa Oliveira
Gesto por Processos e Projetos PhD Clia Ghedini Ralha
Gesto de Crise e Continuidade Dr. Jorge Henrique Cabral Fernandes
e Dr. Hervaldo Sampaio Carvalho
Inteligncia Competitiva Dra. Claudia Lyrio Canongia e Esp.
Celina Maria Lamb
Metodologia Cientfica Dr. Mamede Lima-Marques
Modelos de Confiana em
Informtica
Ms. Pedro Antonio Dourado de
Rezende
Pensamento Crtico Dr. Walter Alexandre Carnielli
Projeto de Monografia Dr. Jorge Henrique Cabral Fernandes
Polticas, Procedimentos e Normas
de Segurana da Informao
Ms. Gilberto de Oliveira Netto, Esp.
Marcos Allemand, Esp. Pedro Andr
Faria Freire e Ms. Maria do Carmo
Mendona
Redes de Computadores PhD Jacir Luiz Bordim
Segurana em Aplicaes Me. Fabrio Atades Braz
Segurana Fsica de TI Dr. Pedro Azevedo Berger e Esp.
Vera Parucker Harger
Seminrios de Gesto da
Segurana da Informao e
Comunicaes (Trilha)
e Me. Odacyr Luiz Timm Jnior
Sistemas Complexos Dr. Jorge Henrique Cabral Fernandes
Sociedade da Informao Dra. Magda Fernanda Medeiros
Fernandes

44

PARTE II
MONOGRAFIAS E REAS
TEMTICAS

45

46

CAPTULO 6
MONOGRAFIAS DO CEGSIC 2007-
2008 E SUAS REAS TEMTICAS
As pesquisas realizadas no CEGSIC 2007-2008, e as correspondentes
monografias desenvolvidas pelos alunos e alunas, servidores pblicos,
podem ser organizadas conforme os temas apresentados na Tabela 6.1. A
riqueza de trabalhos demonstra o carter multidisciplinar do problema e
algumas possibilidades de abordagens que podem ser desenvolvidas para
estudo da questo.
Algumas reas de estudos esto associadas a corpos de conhecimento
internacionalmente reconhecidos, como os propostos pela ISO/IEC
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (2006) e
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (2005) e mais
propositivamente no modelo de certificao profissional CISSP - Certified
Information Systems Security Professional (HARRIS, 2005), mantido pelo
International Information Systems Security Certification Consortium e
alinhado ao conceito de Information Assurance
30
. So exemplos dessas
reas:
Controle de Acessos
Segurana em Aplicaes

30
Para mais detalhes sobre o modelo CISSP ver
http://en.wikipedia.org/wiki/Certified_Information_Systems_Security_Professi
onal e https://www.isc2.org/default.aspx.

47

Planejamento de Continuidade de Negcios e Recuperao de
Desastres
Criptografia
Gesto da Segurana da Informao e do Risco
Aspectos Legais, Regulatrios, de Conformidade e Investigaes
Segurana Operacional
Segurana Fsica e Ambiental
Arquitetura e Desenho de Segurana
Segurana em Telecomunicaes e Redes
Temas como Pessoas e Segurana esto mais alinhados com normas como
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (2006) e
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (2005). A
Segurana em Compras e Contratos est alinhada a modelos de Governana de
TI como IT GOVERNANCE INSTITUTE (2007). A Gesto de Crises,
apresentada nos vrios artigos contidos em Smith e Elliot (2006), fundamenta-
se no estudo de questes tericas como os fenmenos emergentes que surgem
em sistemas complexos (HOLBROOK, 2006) para estudar o comportamento
de organizaes e da sociedade em situaes de stress. A Defesa e Segurana
Cibernticas tambm possuem componentes diversos, apoiando-se em
aspectos tecnolgicos como segurana em aplicaes (HOGLUND;
MCGRAW, 2004), segurana em redes e telecomunicaes (HANSMAN;
HUNT, 2005), para construir investigaes relacionadas ao Direito
Internacional, Cincia Poltica e s Cincias Militares.

TABELA 6.1: Enquadramento das Pesquisas conforme rea Temtica.
REA TEMTICA ALUNO(A)S E SEES DO LIVRO
(18) Auditoria e Controle Alessandro de S Barbosa (18.6), Henrique
Aparecido da Rocha (18.2), Newton Daltro
Santos (18.3), Roberto Ribeiro Bastos (8.3),
Rogrio Xavier Rocha (18.5), Rubem Ribeiro
Veloso (18.4)
Classificao da
Informao
Silvana Loureiro (16.1)
(18) Conformidade e
Certificao
Alessandro Barbosa (18.6), Henrique da
Rocha (18.2), Idilson Cassilhas (19.1), Kleber
Rangel (18.1), Rubem Veloso (18.4)
(14) Controle de Acessos Sergio da Silva (14.1)
(13) Criptografia e Infra Edlson da Cruz (13.2), Jorge Vieira (13.1),

48

Estrutura de Chaves
Pblicas
Sergio da Silva (14.1)
(7) Fundamentos da
Segurana
Liliana Campos (7.1), Reinaldo Simio (7.2)
(19) Gesto da
Continuidade
Antnio de Oliveira (19.3), Idilson Cassilhas
(19.1), Vitor Friedenhain (19.2)
12) Gesto de Crises Gerson Costa (12.1), Gilberto Palmeira Jnior
(12.2)
(16) Gesto da Segurana Antnio de Britto (16.2), Antnio de Oliveira
(19.3), Danielle da Costa (9.1), Juscelino
Kilian (16.4), Kleber Rangel (18.1), Mnica
Martins (16.3), Pedro Silva (10.2), Silvana
Loureiro (16.1)
(10) Gesto do Risco de
Segurana
Marcos Leite (15.2), Paulo Ohtoshi (10.1),
Pedro Silva (10.2)
(11) Incidentes de
Segurana
Roberto Pimenta (11.1)
(8) Pessoas e Segurana Paulo Rocha (8.1), Renato Alves (8.2),
Roberto Bastos (8.3)
(9) Poltica de Segurana Danielle da Costa (9.1), In Monteiro (9.2)
Processos de Segurana Roberto Pimenta (11.1)
Segurana Fsica e
Ambiental
Marcos Leite (15.2)
(20) Segurana e Defesa
Ciberntica
Marcelo Fontenele (20.1), Raphael Mandarino
Junior (20.2)
(17) Segurana em
Compras e Contratos
Gerson Mayer (17.1)
(15) Segurana em Redes
e Telecomunicaes
Everardo Tavares (15.1), Lindeberg Leite
(15.3), Marcos Leite (15.2)

49

50

PARTE III
RESUMOS DAS MONOGRAFIAS
DO CEGSIC 2007-2008

51

52

TABELA 6.2: Orientadores de Monografias do CEGSIC 2007-2008.
ORIENTADORE(A)S DE MONOGRAFIAS DO CEGSIC
2007-2008
Clia Ghedini Ralha
Edgard Costa Oliveira
Gilberto de Oliveira Netto
Jacir Luiz Bordim
Joo Jos Costa Gondim
Magda Fernanda Medeiros Fernandes
Mamede Lima-Marques
Priscila America Solis Mendez Barreto
Ricardo Camelo
Tatiana Malta Vieira

Os resumos das monografias produzidas durante o CEGSIC 2007-2008 so
apresentados nos prximos captulos, precedidos de breve comentrio que
situa as reas temticas nas quais foram agrupados. As apresentaes dos
resumos foram organizadas conforme a data de defesa. Pequenas edies
foram realizadas em alguns resumos, visando dar maior clareza ao texto, mas
com o cuidado de preservar o sentido original.
A Tabela 6.2 apresenta, ordenados alfabeticamente, os nomes dos
pesquisadores que atuaram na orientao das pesquisas e elaborao de
monografias pelos alunos e alunas do curso.

53

54

CAPTULO 7
FUNDAMENTOS DA SEGURANA
DA INFORMAO
Pesquisas sobre fundamentos de um determinado conceito ou prtica so
usualmente de natureza exploratria e terica. Buscam o desenvolvimento de
uma teoria do conhecimento
31
sobre um determinado assunto.
No CEGSIC 2007-2008, duas monografias abordaram o estudo dos
fundamentos da segurana da informao e comunicaes. O trabalho de
Liliana Suzete Lopes de Queiroz Campos (CAMPOS, 2008) apresenta uma
proposta de conceito para "comunicaes", fundamentada na necessidade de
considerar a comunicao como um elemento formador da cultura. O
segundo trabalho, elaborado por Reinaldo Silva Simio (SIMIO, 2009),
formulou uma interpretao para o conceito de Segurana da Informao e
Comunicaes, e que passou a ser utilizado pela Administrao Pblica
Federal brasileira com a edio da Instruo Normativa No. 1 do
GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA
DA REPBLICA (2008).
A defesa da monografia de pesquisa de Liliana Campos ocorreu no dia 15 de
dezembro de 2008, e foi avaliada pela banca composta por Mamede Lima-
Marques (orientador), Magda Fernanda Medeiros Fernandes e Jorge
Henrique Cabral Fernandes.

31
Uma teoria do conhecimento denominada epistemologia. Ver
http://en.wikipedia.org/wiki/Epistemology.

55

A defesa da monografia de Reinaldo Silva Simio ocorreu no dia 23 de
junho de 2009, e foi avaliada pela banca composta por Jorge Henrique
Cabral Fernandes (orientador), Edgard Costa Oliveira e Jacir Luiz Bordim.

7.1 UMA PROPOSTA DE CONCEITO PARA "COMUNICAES"
NO TERMO SEGURANA DA INFORMAO E COMUNICAES,
por Liliana Suzete Lopes de Queiroz Campos
O trabalho apresenta proposta para conceituar Comunicaes, no termo
Segurana da Informao e Comunicaes, de modo a justificar sua adoo e
aplicabilidade no mbito da Administrao Pblica Federal, rea de
abrangncia da atuao do Departamento de Segurana da Informao e
Comunicaes, do Gabinete de Segurana Institucional da Presidncia da
Repblica. Tambm mostra que o verbete "Comunicaes" pode ser aplicado
e entendido em relao aos indivduos sob um aspecto pouco explorado nos
processos de implementao de Sistemas de Segurana da Informao: a
formao de uma Cultura Organizacional de Segurana da Informao, por
meio de processos de conscientizao com foco nas comunicaes. Com
essa associao, atribui-se ao tema uma abordagem na qual foco e nvel de
ateno na pessoa sejam semelhantes aos dispensados tecnologia, no
processo que envolve Segurana da Informao.
Palavras-chave: Segurana da Informao e Comunicaes, Administrao
Pblica Federal, Comunicao Organizacional, Cultura Organizacional.

7.2 SEGURANA DA INFORMAO E COMUNICAES:
CONCEITO APLICVEL EM ORGANIZAES
GOVERNAMENTAIS, por Reinaldo Silva Simio
Os rgos e entidades governamentais so organizaes complexas e
possuem alcance amplo em suas atividades, lidando com informaes
importantes, tanto para a prestao de servio pblico ao cidado, como para
tomada de decises estratgicas de Estado. Problemas decorrentes da falta de
disponibilidade, integridade, confidencialidade e autenticidade em sistemas
de informao levam necessidade de desenvolver aes de segurana nas
organizaes governamentais. As aes de segurana baseadas em modelos
de segurana da informao, no encontram eco no servio pblico como
soluo eficaz. A eficcia do servio pblico exige intensa cooperao entre
as organizaes para troca de informaes. Como ser comprovado no
trabalho, os modelos atuais de segurana da informao so baseados em
ambiente competitivo de mercado, a fim de maximizar o retorno sobre
investimentos e as oportunidades de negcio. O status e a abrangncia da
segurana da informao nos rgos pblicos precisam ser aperfeioados,
demandando nova abordagem do problema. O trabalho analisa o novo
conceito de segurana da informao e comunicaes, que passou a ser

56

utilizado pela Administrao Pblica Federal brasileira com a edio da
Instruo Normativa No. 1 do Gabinete de Segurana Institucional da
Presidncia da Repblica do Brasil. luz da anlise efetuada, o trabalho
demonstra a melhor adequao do novo conceito e destaca as diferenas
relativas aos conceitos de segurana da informao pesquisados na literatura.
Palavras-chave: Segurana, Informao, Comunicaes, Inteligncia,
Confiana, Organizaes Governamentais, Disponibilidade, Integridade,
Confidencialidade, Autenticidade.

57

58

CAPTULO 8
PESSOAS E SEGURANA DA
INFORMAO
Uma busca no Google contendo a expresso "pessoas elo mais fraco" retorna
mais de 80.000 resultados
32
. So muitas as imagens que fazem aluso s
pessoas como sendo o elo mais fraco da cadeia de segurana da informao,
embora o mais correto talvez seja dizer que as pessoas so o elo essencial.
Trs pesquisas realizadas no CEGSIC 2007-2008 abordaram a relao entre
as pessoas e a segurana da informao organizacional. O primeiro dos
trabalhos, desenvolvido por Paulo Csar Cardoso Rocha (ROCHA, 2008b),
aborda as razes para o comportamento inapropriado de usurios de TI. O
segundo trabalho, desenvolvido por Renato do Carmo das Neves Alves
(ALVES, 2009), apresenta um modelo de anlise quantitativo para medio
do comportamento de segurana, que pode ser aplicvel a servidores
pblicos. O terceiro trabalho, realizado por Roberto Ribeiro Bastos
(BASTOS, 2009), realiza uma anlise da poltica de segurana da
informao na Marinha e sua relao com o componente humano.
A defesa da monografia de Paulo Rocha ocorreu no dia 15 de dezembro de
2008 e foi avaliada pela banca composta por Priscila America Solis Mendez
Barreto (orientadora), Jorge Henrique Cabral Fernandes e Pedro de Azevedo
Berger. A defesa da monografia de Renato Alves ocorreu no dia 22 de junho

32
Tente por exemplo
http://www.google.com/search?q=pessoas+elo+mais+fraco

59

de 2009, e foi avaliada pela banca composta por Jorge Henrique Cabral
Fernandes (orientador), Joo Jos Costa Gondim e Magda Fernanda
Medeiros Fernandes. A defesa da monografia de Roberto Ribeiro Bastos
ocorreu no dia 16 de julho de 2009, e foi avaliada pela banca composta por
Jorge Henrique Cabral Fernandes (orientador), Joo Jos Costa Gondim e
Magda Fernanda Medeiros Fernandes.

8.1 SEGURANA DA INFORMAO: UMA QUESTO NO
APENAS TECNOLGICA, por Paulo Csar Cardoso Rocha
O foco do trabalho, ao abordar a rea de segurana da informao, discutir
razes para o comportamento inapropriado dos funcionrios e apresentar
solues para mitigar as vulnerabilidades organizacionais em razo do
comportamento humano. De forma especfica, busca-se listar e exemplificar
condutas comportamentais que tornam o sistema de segurana vulnervel;
abordando a padronizao de condutas para mitigar o risco. Desta forma, o
trabalho pretende salientar a importncia do componente comportamental
nos processos de Aprendizagem Organizacional nas instituies pblicas,
assim como a preponderncia da mudana comportamental. Os resultados
obtidos sugerem um modelo para a formulao de polticas de segurana da
informao baseadas em moldes afeitos ao domnio das cincias sociais e
construdas com nfase na observao dos sistemas de informao e no
contexto em que se inserem.
Palavras-chave: Segurana da Informao; Polticas de Segurana da
Informao; Componente Comportamental.

8.2 UM MODELO DE ANLISE DO COMPORTAMENTO DE
SEGURANA DE SERVIDORES DA ADMINISTRAO PBLICA
FEDERAL BRASILEIRA, por Renato do Carmo das Neves Alves
O trabalho prope um modelo de anlise do comportamento de segurana
dos servidores pblicos da Administrao Pblica Federal, estabelecendo
uma relao entre o nvel de conhecimento e conscientizao dos servidores
das organizaes pblicas, em relao s normas e prticas de segurana da
informao no ambiente de trabalho, devendo mensurar o grau de
comprometimento de cada servidor para com os ativos da organizao e a
sua preocupao com a segurana da informao. Pretende-se demonstrar
que para o sucesso na implantao de um modelo de anlise do
comportamento dos servidores pblicos, os responsveis pela organizao
pblica, bem como pela segurana da informao na organizao, tero
como responsabilidade desenvolver, melhorar e construir mecanismos que

60

possam reforar a importncia de se ter um programa de conscientizao
para todos os servidores da organizao.
Palavras-chave: Comportamento de Segurana, Servidores Pblicos,
Administrao Pblica Federal, Prticas de Segurana da Informao.

8.3 ANLISE DA POLTICA DE SEGURANA DA INFORMAO
DA MARINHA QUANTO AOS CONTROLES VOLTADOS PARA O
RISCO DO COMPONENTE HUMANO EM AMBIENTES E
SISTEMAS CRTICOS, por Roberto Ribeiro Bastos
inegvel o impacto que a presena e a contnua evoluo da tecnologia da
informao (TI) provoca na vida das sociedades, das organizaes e dos
indivduos. Este impacto observado na absoro da TI nos mais diversos
processos dos quais aquelas entidades so partcipes. Esta aderncia da TI
aos processos traz, alm dos benefcios bvios, uma variedade enorme de
potenciais riscos para o desempenho ou a prpria existncia desses processos
e, em consequencia, para as entidades envolvidas. Dessa sinergia
identificam-se seus elementos principais: a tecnologia, o processo e o
homem, todos orbitando em torno dos principais ativos: informao e
conhecimento. Desses trs elementos, o agente humano, diferentemente dos
outros dois, caracteriza-se pela sua imprevisibilidade, sendo considerado,
portanto, o fator intangvel na problemtica da segurana da informao e
comunicaes. Na maioria dos incidentes de segurana observada a
importncia do componente humano, seja por ao ou omisso, seja por
intencionalidade positiva ou negativa. Os programas de sensibilizao,
conscientizao e treinamento so encarados como as medidas iniciais
indicadas para se mitigar a participao negativa do homem nos incidentes
de segurana. No entanto essas medidas por si s so insuficientes para a
previso, deteco e neutralizao de aes propositalmente deletrias contra
ambientes computacionais crticos. Este estudo prope enfatizar a
importncia da adoo de controles efetivos, balizados pela pertinente
anlise de risco, destinados a auxiliar na antecipao dos riscos potenciais
atinentes ao humana em ambientes computacionais crticos existentes na
Marinha do Brasil, testando a sua conformidade e eficcia com as
recomendaes observadas pelas normas vigentes.
Palavras-chave: Comportamento Humano, Controles, Ambientes Crticos,
Marinha do Brasil.

61

CAPTULO 9
POLTICAS DE SEGURANA DA
INFORMAO
A experincia de praticantes e pesquisadores de segurana da informao
tem demonstrado que o estabelecimento e manuteno de polticas de
segurana uma rdua tarefa (NETTO et al., 2008; TRIBUNAL DE
CONTAS DA UNIO, 2008; PELTIER, 1998). Hoje j h normas federais
que disciplinam o desenvolvimento de polticas de segurana da informao
e comunicaes em rgos da APF, como a criada pelo DEPARTAMENTO
DE SEGURANA DA INFORMAO E COMUNICAES DO GSIPR,
(2009a), que confere direitos e deveres ao gestor pblico, no que concerne
proteo dos sistemas e da informao pblicos.
Duas pesquisas do CEGSIC 2007-2008 abordaram de forma explcita o
desenvolvimento de polticas de segurana da informao e polticas de
segurana da informao e comunicaes. O trabalho de Danielle Rocha da
Costa (COSTA, 2008a) pesquisou os fatores crticos de sucesso que devem
ser considerados por gestores durante o estabelecimento de polticas de
segurana da informao. O trabalho de In Lcia Cipriano de Oliveira
Monteiro (MONTEIRO, 2009) apresenta uma proposta de guia para
elaborao de polticas de segurana da informao e comunicaes para
rgos da APF.
A defesa da monografia de Danielle Rocha ocorreu no dia 15 de dezembro
de 2008, e foi avaliada pela banca composta por Gilberto de Oliveira Netto
(orientador), Jorge Henrique Cabral Fernandes e Mamede Lima-Marques. A
defesa da monografia de In Monteiro ocorreu no dia 25 de junho de 2009, e

62

foi avaliada pela banca composta por Gilberto de Oliveira Netto (orientador),
Magda Fernanda Medeiros Fernandes e Jorge Henrique Cabral Fernandes.

9.1 FATORES CRTICOS DE SUCESSO PARA ELABORAO DE
POLTICAS DE SEGURANA NA APF, por Danielle Rocha da
Costa
Considerando a importncia de uma poltica de segurana da informao e
comunicaes como instrumento estratgico para as organizaes, o trabalho
prope um modelo de formulao de polticas no mbito da Administrao
Pblica Federal, baseado na adoo de um conjunto de fatores considerados
crticos para o sucesso dessa atividade. Os resultados obtidos originaram um
conjunto de Fatores Crticos de Sucesso, os quais foram identificados por
uma sequencia de procedimentos que fazem parte de um processo de
elaborao de uma poltica de segurana da informao e comunicaes.
Palavras-chave: Segurana da Informao, Polticas, Fatores Crticos de
Sucesso, Administrao Pblica Federal.

9.2 PROPOSTA DE UM GUIA PARA ELABORAO DE
POLTICAS DE SEGURANA DA INFORMAO E
COMUNICAES EM RGOS DA ADMINISTRAO PBLICA
FEDERAL (APF), por In Lcia Cipriano de Oliveira Monteiro
A necessidade de segurana um fator que vem transcendendo os limites de
uma organizao, pois pode ser aplicada a pessoas, processos, tecnologia e
prpria informao. Apesar de vrios trabalhos relacionados ao tema
Segurana da Informao, pouco enfoque tem sido dado definio de um
conjunto de diretrizes e procedimentos coerentes, que auxiliem a elaborao
de uma Poltica de Segurana da Informao e Comunicaes. Uma Poltica
deve indicar como as coisas devem acontecer em uma organizao no que se
refere segurana da informao, ou seja, quais as regras, normas e
procedimentos que determinam qual deve ser o comportamento das pessoas
que se relacionam com a organizao. Visando suprir esta deficincia, o
trabalho apresenta uma proposta de um guia para auxiliar na elaborao de
Polticas de Segurana da Informao e Comunicaes em Organizaes da
Administrao Pblica Federal, baseado em uma srie de padres, normas e
bibliografias de referncia, cuja contribuio a de um controle essencial em
assuntos relacionados com segurana da informao.
Palavras-chave: Segurana da Informao, Poltica de Segurana da
Informao, Normas e Padres de Segurana, Guia de Poltica de
Segurana da Informao e Comunicaes.

63

64

CAPTULO 10
GESTO DO RISCO DE
SEGURANA DA INFORMAO
A gesto do risco de segurana da informao (ISO/IEC, 2007) um
processo sistemtico, adotado na gesto da segurana da informao, que
realiza a identificao dos eventos potencialmente negativos para a
segurana de uma organizao, chamados de riscos de segurana, e em
seguida formula um ou mais planos que permitam o tratamento destes riscos
de forma custo-efetiva, por meio da adoo de controles e outras aes
gerenciais.
Hoje a aplicao da gesto de riscos de segurana da informao na
administrao pblica federal disciplinada pela Norma Complementar 04
do DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR (2009b).
No CEGSIC 2007-2008 foram desenvolvidas duas monografias que
abordam de forma explcita os mtodos e processos de gesto do risco de
segurana. A monografia de Paulo Hideo Ohtoshi (OHTOSHI, 2008) realiza
uma anlise comparativa entre vrias metodologias de gesto e anlise de
riscos. A monografia de Pedro Jorge Sucena (SILVA, 2009) apresenta uma
proposta de metodologia de alto nvel para a anlise e avaliao do risco, que
possa ser empregada por organizaes da APF.
A defesa da monografia de Paulo Ohtoshi ocorreu no dia 10 de dezembro de
2008, e foi avaliada pela banca composta por Edgard Costa Oliveira
(orientador), Jos Carlos Ralha e Jorge Henrique Cabral Fernandes. A
monografia de Pedro Sucena foi defendida e aprovada no dia 23 de junho de

65

2009, perante uma banca composta por Jorge Henrique Cabral Fernandes
(orientador), Edgard Costa Oliveira e Jacir Luiz Bordim.

10.1 ANLISE COMPARATIVA DE METODOLOGIAS DE GESTO
E DE ANLISE DE RISCOS SOB A TICA DA NORMA ABNT NBR
ISO/IEC 27005, por Paulo Hideo Ohtoshi
O trabalho de pesquisa visa ao aprimoramento da Gesto de Segurana de
Sistemas de Informao e Comunicaes da Administrao Pblica Federal.
Rene os conceitos recentes de gesto de riscos, descreve as principais
metodologias e ferramentas de gesto e de anlise de riscos existentes no
mundo. Apresenta um estudo comparativo entre as principais metodologias e
ferramentas e serve como instrumento de avaliao que pode ser utilizado na
escolha da metodologia a ser aplicada pelos rgos Administrao Pblica
Federal. Os resultados do trabalho so um inventrio de metodologias e
ferramentas e quadros comparativos que destacam algumas qualidades e
benefcios que cada uma delas oferece. O estudo dessas normas,
metodologias e ferramentas demonstra uma tendncia de convergncia e de
integrao entre essas metodologias.
Palavras-chave: Gesto de Riscos, Normas, Metodologias, Ferramentas,
Inventrio, Anlise Comparativa, Riscos, Ameaas, Vulnerabilidades,
Conformidade.

10.2 ANLISE/AVALIAO DE RISCOS DE SEGURANA DA
INFORMAO PARA A ADMINISTRAO PBLICA FEDERAL:
UM ENFOQUE DE ALTO NVEL BASEADO NA ABNT NBR
ISO/IEC 27005, por Pedro Jorge Sucena Silva
O trabalho apresenta um modelo preliminar de anlise/avaliao de riscos de
segurana da informao, capaz de identificar os riscos com alto potencial de
impacto em uma organizao pblica. A anlise/avaliao de riscos uma
atividade do processo de gesto de riscos em que so identificados os riscos
e seus componentes (ativos, ameaas, vulnerabilidades e consequncias). A
probabilidade de ocorrncia do cenrio de risco e suas consequncias so
avaliadas, resultando em um nvel de risco. Esse risco ento avaliado
segundo critrios pr-definidos que determinaro a sua importncia para a
organizao. A norma ISO/IEC 27005 recomenda iniciar o processo de
gesto de riscos com uma anlise/avaliao com um enfoque de alto nvel,
isto , uma abordagem mais global que vise os principais riscos que
envolvem o negcio. uma abordagem simplificada que considera os
aspectos tecnolgicos de forma independente das questes de negcio. A
partir dos resultados dessa primeira iterao possvel definir as prioridades,
os riscos que precisam ser detalhados em uma segunda iterao e uma

66

cronologia para a execuo de aes. O trabalho prope um modelo com
essas caractersticas, tendo como base a Norma ABNT ISO/IEC 27005 e
considerando algumas especificidades da Administrao Pblica Federal.
Palavras-chave: Segurana da Informao, Gesto de Riscos, Administrao
Pblica.

67

68

CAPTULO 11
INCIDENTES DE SEGURANA DA
INFORMAO
A prtica da segurana da informao fortemente associada ao tratamento
de incidentes, pois por meio desse tratamento que os praticantes da
segurana oferecem auxlio direto aos usurios de sistemas de informao e
plataformas tecnolgicas, bem como por meio da anlise das informaes
coletadas durante o tratamento de incidentes que se pode compreender, de
forma mais precisa, as condies da segurana da informao num espao
organizacional ou tecnolgico.
Hoje j h pelo menos duas normas federais que disciplinam o tratamento de
incidentes de segurana da informao em rgos da APF: Norma
Complementar 05 do DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR (2009c), que orienta a
criao de equipes de tratamento de incidentes; e Norma Complementar 08
do DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR (2010b), que define diretrizes para
gerenciamento de redes computacionais.
No CEGSIC 2007-2008, a monografia desenvolvida por Roberto Moutella
Pimenta (PIMENTA, 2008) foi diretamente relacionada ao tema gesto de

69

incidentes de segurana. O foco do trabalho foi a modelagem dos processos
de tratamento de incidentes do rgo CTIR.Gov
33
.
A monografia de Roberto Pimenta foi defendida no dia 10 de dezembro de
2008, perante uma banca composta por Clia Ghedini Ralha (orientadora),
Joo Jos Costa Gondim e Indiana Belianka Kosloski de Medeiros.

11.1 PROPOSTA DE MODELO DE MELHORIA DE QUALIDADE
BASEADO EM PROCESSOS PARA TRATAMENTO DE
INCIDENTES COMPUTACIONAIS NA APF, por Roberto Moutella
Pimenta
A complexidade das infraestruturas de redes computacionais da Administrao
Pblica Federal, como consequncia do fenmeno da convergncia, gerou a
criao de equipes de resposta de incidentes conhecidas genericamente por
Computer Security Incident Response Teams (CSIRTs). Na atualidade,
percebe-se a necessidade de troca de informaes entre estas equipes, com a
finalidade de melhor desenvolver o trabalho de segurana das infraestruturas
supracitadas. Uma resposta rpida e eficiente a um evento computacional j
no mais suficiente. H que se impedir incidentes com as experincias j
vivenciadas por outras equipes. O foco do trabalho remeter troca de
informao e compartilhamento do conhecimento entre os colaboradores e o
pblico-alvo (stakeholderes) de um CSIRT. Tendo este foco como meta, o
trabalho primeiramente tratou da documentao dos fluxos de trabalho de
um CSIRT de coordenao - o Centro de Tratamento de Incidentes de
Segurana em Redes de Computadores da Administrao Pblica Federal
(CTIR.Gov), que utiliza como base os modelos adaptados do Computer
Emergency Response Team Coordination Center (CERT-CC) e do MANDIA.
Com a documentao dos macroprocessos do CTIR Gov tornou-se possvel
definir um modelo de melhoria de qualidade dos servios prestados, o qual
permitiu um maior fluxo de informao entre os stakeholders.
Palavras-chave: CTIR.Gov, CSIRT, Modelo de Qualidade, Tratamento de
Incidentes, Integrao.

33
O CTIR.Gov (http://www.ctir.gov.br/) um centro responsvel pela
coordenao do tratamento de incidentes computacionais que ocorrem nas
redes de computadores dos rgos da APF.

70

CAPTULO 12
GESTO DE CRISES
ORGANIZACIONAIS
Segundo Smith e Elliot (2006), crises so fenmenos emergentes e errticos,
que se movimentam dentro do sistema complexo que uma organizao, e
que normalmente so disparadas por um incidente ou outro conjunto de
circunstncias de origem interna ou externa organizao. Crises no
ocorrem "da noite para o dia". Pelo contrrio, expem uma vulnerabilidade
inerente que foi incubada dentro da organizao durante um longo perodo
de tempo.
No CEGSIC 2007-2008 duas pesquisas versaram sobre o assunto Gesto de
Crises. A monografia de Gerson Charbel Costa (COSTA, 2008c) props
uma abordagem para a Gesto de Crises no mbito da APF, visando a
reduo de prejuzos ao errio devidos a demandas judiciais decorrentes. A
monografia de Gilberto Palmeira (PALMEIRA JNIOR, 2008) explorou a
aplicabilidade da tipologia de crises de Mitroff (MITROFF; PAUCHANT;
SHRIVASTAVA, 2006) para o enquadramento de uma srie de fenmenos
danosos que ocorreram de forma vinculada a organizaes da APF nos
ltimos anos e que foram enquadrados como sendo crises.
A monografia de Gerson Charbel foi defendida no dia 10 de dezembro de
2008, perante uma banca composta por Tatiana Vieira Malta (orientadora),
Joo Jos Costa Gondim e Jorge Henrique Cabral Fernandes. A monografia
de Gilberto Palmeira foi defendida no dia 15 de dezembro de 2008, perante
uma banca composta por Jorge Henrique Cabral Fernandes (orientador),
Joo Jos Costa Gondim e Magda Fernanda Medeiros Fernandes.

71

12.1 GESTO DE CRISES NO MBITO DA ADMINISTRAO
PBLICA FEDERAL E SUA RELAO COM A
RESPONSABILIDADE CIVIL OBJETIVA EM DEMANDAS
JUDICIAIS DECORRENTES, por Gerson Charbel Costa
As crises, como sabido de todos, ameaam as organizaes em seus
objetivos fundamentais naquilo que se refere ao cumprimento da sua misso
estratgica e, em termos de Administrao Pblica, pode acarretar na
reparao dos danos provocados s vtimas, por exemplo, do sistema de
controle de trfego areo, de vez que circunscrita teoria da
responsabilidade civil objetiva. A gesto de crises, por conseguinte, objetiva
limitar os impactos causados por incidentes, sejam eles previstos ou
inesperados, integrando-se a outros processos da organizao, dentre eles, os
relacionados segurana da informao, gesto de riscos, gesto de
incidentes e continuidade de negcios. O presente estudo tem como foco
principal extrair do episdio que culminou no chamado "caos areo" lies
que visam disseminar a necessidade de implementao de uma poltica de
gesto de crises no mbito da administrao pblica federal cujas decises
tero reflexo direto nas demandas judiciais de responsabilidade civil
objetivando a reparao de danos, ao mesmo passo em que ir propor um
modelo de defesa judicial baseado nas excludentes de responsabilidade a fim
de minimizar ou mesmo excluir o dever de reparao.
Palavras-chave: Crise, Gesto de Crises, Responsabilidade Civil,
Administrao Pblica Federal.

12.2 GESTO DE CRISES NA ADMINISTRAO PBLICA
FEDERAL: UM ESTUDO SOBRE A TIPOLOGIA DE MITROFF, por
Gilberto Dias Palmeira Jnior
O objetivo do trabalho experimentar o modelo terico de tipologias de
crises proposto por Mitroff, aplicando-o na classificao das crises que
afligem ou afligiram a Administrao Pblica Federal do Brasil. A pesquisa
considerada exploratria, aplicada, qualitativa e documental, com
caractersticas bibliogrficas, por envolver o exame de materiais j
publicados que serviram de subsdio para anlise e classificao das crises
estudadas. O estudo produzido poder auxiliar no desenvolvimento da rea
de gesto de crises aplicada na APF, baseado nos estudos de Mitroff em
agrupar crises em tipos definidos. Com o "agrupamento" de crises, espera-se,
em vez de serem envidados esforos no gerenciamento especfico de uma
crise, que possam ser desenvolvidos "portflios" de aes aplicveis a vrias
crises do mesmo tipo. Foram selecionados alguns dos fenmenos complexos
e danosos mais relevantes relacionados APF nos ltimos dez anos e que
podiam ser caracterizados como crises. A todos eles pde ser aplicado o

72

modelo de tipologias de Mitroff. Com os resultados, possvel verificar a
aderncia do modelo proposto por Mitroff s crises estudadas.
Palavras-chave: Gesto de crise, Tipologias de Crises, Modelo de Mitroff,

73

74

CAPTULO 13
CRIPTOGRAFIA E
INFRAESTRUTURA DE CHAVES
PBLICAS
Os mtodos, tcnicas, processos, ferramentas e sistemas criptogrficos,
conceitualmente expostos em livros como Stallings (2008) e Schneier
(2001), so frequentemente usados como blocos construtores de solues
mais complexas de segurana computacional, como stios de comrcio
eletrnico, que dependem de uma infraestrutura de chaves pblicas.
No CEGSIC 2007-2008, duas monografias abordaram questes relativas
proteo ao sigilo da informao quando em trnsito ou durante
armazenamento, por meio da criptografia. O trabalho de Jorge Euler Vieira
(VIEIRA, 2008) props uma Soluo de Certificao Digital para o Exrcito
Brasileiro. O trabalho desenvolvido por Edilson Fernandes da Cruz (CRUZ,
2009) apresentou uma reviso histrica do papel da criptografia na proteo
das comunicaes no Brasil e no mundo.
A monografia de Jorge Euler foi defendida em 15 de dezembro de 2008,
perante uma banca composta por Jos Ricardo Camelo (orientador), Jorge
Henrique Cabral Fernandes e Joo Jos Costa Gondim. A defesa da
monografia de Edilson da Cruz ocorreu no dia 31 de julho de 2009 e foi
avaliada pela banca composta por Joo Jos Costa Gondim (orientador),
Priscila America Solis Mendez Barreto e Jorge Henrique Cabral Fernandes.
13.1 PROPOSTA DE UMA SOLUO DE CERTIFICAO
DIGITAL PARA O EXRCITO BRASILEIRO, por Jorge Euler Vieira

75

O trabalho descreve uma soluo de certificao digital que atende aos
requisitos de segurana do Exrcito Brasileiro, mantendo uma
compatibilidade com a Infraestrutura de Chaves Pblicas Brasileira. Para
isso, prope uma metodologia que busca, por meio de instrumentos de
pesquisa junto a usurios do Exrcito Brasileiro, os requisitos operacionais
para uma soluo de certificao digital. Estes requisitos foram
transformados em requisitos tcnicos, que norteiam a descrio da soluo
proposta.
Palavras-chave: Certificao Digital, Assinatura Digital, LCR, AR, AC, ICP.

13.2 A CRIPTOGRAFIA E SEU PAPEL NA SEGURANA DA
INFORMAO E DAS COMUNICAES (SIC): RETROSPECTIVA,
ATUALIDADE E PERSPECTIVA, por Edilson Fernandes da Cruz
O trabalho apresenta um estudo sobre a Criptografia e seu papel na
Segurana da Informao e das Comunicaes (SIC), considerando sua
retrospectiva, atualidade e perspectiva. Comea pela definio de
criptografia, na tentativa de explicar o que vem a ser essa tcnica. A seguir,
apresenta breve histria da criptografia e discute a sua evoluo, desde as
mais remotas origens. Tambm mostra a importncia da criptografia para a
segurana da informao e das comunicaes. Na sequncia, analisa os tipos
de criptografia em uso nos dias de hoje e examina onde e como esto sendo
usados. Finalmente, apresenta a evoluo da criptografia no Brasil e, antes
de concluir, investiga o que o futuro reserva para a criptografia e que
avanos ainda pode incorporar.
Palavras-chave: Cifra, Cdigo, Criptoanlise, Criptografia, Escrita Secreta,
Espionagem, Esteganografia, Segurana da Informao e das
Comunicaes, Sigilo.

76

CAPTULO 14
CONTROLE DE ACESSOS LGICO
O controle de acessos a primeira linha defensiva de controles de segurana
de um sistema. O controle de acessos envolve a anlise, desenho,
implementao e manuteno de mecanismos e mtodos usados para
permitir a gestores de segurana controlar quais objetos podem ser acessados
por quais sujeitos. So mecanismos centrais do controle de acessos a
identificao, autenticao, autorizao, monitoramento, contabilizao e
auditoria.
Hoje h um norma que disciplina o controle de acesso de segurana da
informao em rgos da administrao pblica federal, que a Norma
Complementar 07 do DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR (2010a).
No CEGSIC 2007-2008, a monografia de Sergio Roberto Fuchs da Silva
(DA SILVA, 2008) abordou o tema controle de acesso em ambiente
computacional.
A monografia de Sergio da Silva foi defendida no dia 1 de dezembro de
2008, perante uma banca composta por Jacir Luiz Bordim (orientador), Joo
Jos Costa Gondim e Jorge Henrique Cabral Fernandes.

14.1 PROPOSTA DE MODELO DE CONTROLE DE ACESSO
LGICO POR SERVIDORES PBLICOS AOS RECURSOS
COMPUTACIONAIS DA ADMINISTRAO PBLICA, por Sergio
Roberto Fuchs da Silva

77

A Administrao Pblica, brao operacional do Estado, por intermdio de
seus servidores e funcionrios, desempenha suas atividades precpuas em
benefcio do cidado brasileiro, utilizando sistemas de informao e recursos
computacionais como forma de aperfeioar e alcanar de maneira mais
competente seus objetivos. Nesses sistemas esto contidos dados e
informaes, em sua maioria, sigilosas, cabendo ao Estado, inclusive no
cumprimento de determinaes legais, o dever de zelar pela sua guarda e
proteo. Esse zelo deve abranger todo o ciclo de vida da informao, desde
sua coleta at sua destruio, passando pela disponibilizao de acesso para
sua utilizao, em especial, por parte de seus servidores, que devem faz-lo
no estrito cumprimento de suas funes. Como parte integrante desse
arcabouo de proteo, historicamente, tem sido utilizado mecanismo de
controle de acesso a esses sistemas com base em senhas, o que tem se
mostrado, principalmente nos tempos atuais, uma forma de controle
ultrapassada e ineficiente, possibilitando acesso por pessoas no autorizadas
com objetivos no mais das vezes inescrupulosos, trazendo prejuzos tanto
para o Estado quanto para o cidado. A Administrao Pblica deve avanar
cada vez mais no apenas tcnica e culturalmente, com o objetivo de
alcanar melhor e mais eficazmente os objetivos finais a que se prope, mas
tambm nas formas acessrias de bem servir ao cidado, zelando
criteriosamente pelas suas informaes sob sua guarda, bem assim primar
pelo cumprimento dos requisitos legais de proteo informao a qual est
submetida. Visando atender a essa necessidade de aprimoramento do
controle de acesso pelos servidores pblicos aos recursos computacionais da
Administrao Pblica, esta pesquisa descreve uma proposta de controle de
acesso utilizando certificado digital armazenado em carto inteligente, cujo
acionamento se efetiva com a utilizao de senha.
Palavras-chave: Acesso, Criptografia, Certificado, Digital, Biometria,
Senha.

78

CAPTULO 15
SEGURANA EM
TELECOMUNICAES E REDES
DE COMPUTADORES
O intenso aumento da conectividade entre sistemas computacionais por meio
das redes de computadores e sistemas de telecomunicaes ofereceu,
simultaneamente, uma grande oportunidade e vrias ameaas para a
segurana computacional e para a segurana da informao e segurana das
comunicaes.
No CEGSIC 2007-2008, foram desenvolvidas trs monografias que abordam
temas relacionados segurana de redes de computadores e sistemas de
telecomunicaes. A monografia de Everardo de Lucena Tavares
(TAVARES, 2008) foi desenvolvida sob um tema que combina
Comunicaes Operacionais Multimdia e Comunicaes Mveis em rede
mesh 802.11s. A monografia de Marcos Ambrogi Leite (LEITE, 2008)
abordou prticas nos servios de telefonia da Administrao Pblica Federal.
A monografia de Lindeberg Pessoa Leite (LEITE, 2009) abordou a
implantao do IPv6 no Brasil.
A monografia de Everardo Tavares foi defendida no dia 1 de dezembro de
2008, perante uma banca composta por Jacir Luiz Bordim (orientador), Joo
Jos Costa Gondim e Jorge Henrique Cabral Fernandes. A monografia de
Marcos Ambrogi Leite foi defendida no dia 1 de dezembro de 2008, perante
uma banca composta por Jacir Luiz Bordim (orientador), Joo Jos Costa

79

Gondim e Jorge Henrique Cabral Fernandes. A monografia de Lindeberg
Leite foi defendida no dia 20 de julho de 2009, perante uma banca composta
por Joo Jos Costa Gondim (orientador), Jorge Henrique Cabral Fernandes
e Priscila Solis Barreto.

15.1 SISTEMA DE COMUNICAES OPERACIONAIS
MULTIMDIA, COMUNICAES MVEIS (REDE MESH) 802.11S,
por Everardo de Lucena Tavares
Este trabalho descreve as tecnologias empregadas na implantao de uma
infraestrutura de rede sem fio WLAN (Wireless Local Area Network) -
WMAN (Wireless Metropolitan Area Network), no Haiti, em um Teatro de
Operaes de Combate, utilizando o Padro 802.11s (Mesh). Uma WLAN-
WMAN uma rede sem fio, implementada como extenso ou alternativa
para redes convencionais. Alm de redes locais, esta tecnologia pode ser
utilizada para redes de acesso Internet, que nestes casos so denominadas
redes WiFi (Wireless Fidelity) / WiMAX (Worldwide Interoperability for
Microwave Access). Estas redes utilizam sinais de RF ou infravermelho para
a transmisso de dados, minimizando a necessidade de cabos de conexo dos
usurios rede. Desta forma, uma WLAN-WMAN combina comunicao de
dados com mobilidade dos usurios dentro da rea de cobertura da rede. As
tecnologias de redes sem fio mais conhecidas atualmente so as IEEE
802.11b/g/s, as quais foram propostas como elementos agregados, para
comporem o sistema do trabalho em anlise. O padro 802.11 utiliza
frequncias das bandas ISM (Instrumentation, Scientific & Medical), as
quais compreendem trs segmentos do espectro (902 a 928 MHz, 2.400 a
2.483,5 MHz e 5.725 a 5.850 MHz) reservados para uso, sem a necessidade
de licena, sendo, portanto, de uso livre. Qualquer pessoa pode utilizar esta
fatia de frequncia, como um provedor para um grande bairro, por exemplo.
As WLAN-WMAN adotam uma tcnica chamada OFDM (Orthogonal
Frequency-Division Multiplexing).
Palavras-chave: Redes sem Fio, Wi-Fi, WiMAX, Mesh.
15.2 BOAS PRTICAS E SUA APLICAO NOS SERVIOS DE
TELEFONIA DA ADMINISTRAO PBLICA FEDERAL, por
Marcos Ambrogi Leite
A pesquisa foi desenvolvida com foco nas atuais prticas na gesto de
Servios de Telefonia Fixa Comutada (STFC) prestados ao Ministrio da
Sade, com o intuito de propor melhorias que possam ser implementadas, de
imediato, em conformidade com a Norma Brasileira ABNT NBR ISO/IEC
27002:2006 - Cdigo de Prtica para a Gesto da Segurana da Informao.

80

Palavras-chave: Gesto, Segurana, Informao, Comunicaes, Telefonia.

15.3 UM ESTUDO DE IMPLANTAO DE IPV6 NA
ADMINISTRAO PBLICA FEDERAL, por Lindeberg Pessoa
Leite
Este trabalho tem o objetivo de subsidiar os gestores da Administrao
Pblica Federal (APF) na elaborao de um plano de implantao de IPv6.
Os assuntos pertinentes foram levantados por meio de uma pesquisa
explanatria constituda por uma anlise bibliogrfica e documental. A
anlise bibliogrfica est baseada em livros sobre o assunto, bem como
artigos e documentos publicados na internet. Na anlise documental, foi
analisada a experincia do POP-RS na implantao de IPv6, uma vez que o
mesmo guarda caractersticas com os rgos da APF. Essa pesquisa se inicia
com informaes tcnicas sobre o assunto, para fundamentar o
desenvolvimento e concluso do trabalho. No desenvolvimento, so
analisados os impactos organizacionais com relao aos equipamentos,
custos, pessoal e servios. Por fim, com a anlise documental conclui-se qual
a melhor estratgia de implantao de IPv6 na APF e quais medidas
emergenciais devem ser praticadas.
Palavras-chave: IPV6, Implantao, Estratgias, Medidas Emergenciais,

81

82

CAPTULO 16
Uma organizao no detm nem jamais deter controle pleno sobre os
eventos do seu ambiente, sejam o interno ou o externo. Portanto, sujeita-se
aos riscos. Decorre da exposio ao risco a necessidade de aes que
consistem em:
observar os eventos passados e as condies da situao presente;
estimar as chances de eventos potenciais no futuro (riscos) que
influenciem a organizao de forma negativa (riscos de segurana)
ou positiva; e
adotar decises e controles para neutralizar os riscos negativos,
garantindo o alcance de condies desejveis no futuro.
D-se o nome de gesto da segurana a este conjunto de aes, quando
realizadas de forma intencional, planejada, organizada, monitorada e
controlada.
No CEGSIC 2007-2008, foram desenvolvidas 4 monografias que adotaram a
perspectiva de gesto para a melhoria da segurana. A monografia de
Silvana Crispim Loureiro (LOUREIRO, 2008) apresenta uma reviso
bibliogrfica dos conceitos relacionados ao estabelecimento de um SGSI,
tomando por base a situao da Advocacia Geral da Unio. A monografia de
Antnio Carlos Pereira de Britto (BRITTO, 2008) relatou o uso de uma
metodologia de implementao de SGSI baseada no modelo PMBOK,
desenvolvida pelo autor no ano de 2006. A monografia de Juscelino Kilian

83

(KILIAN, 2009) props um modelo para avaliao da maturidade dos
processos de Gesto da Segurana da Informao e Comunicaes para
rgos da APF, visando a concesso de prmios aos melhores gestores e
praticantes da segurana. A monografia de Mnica Costa Tkaczyk Martins
(MARTINS, 2009) descreveu os passos iniciais para estabelecimento de um
SGSI na Advocacia-Geral da Unio, por meio de uma declarao preliminar
de escopo de um SGSI.
A monografia de Silvana Crispim Loureiro foi defendida no dia 1 de
dezembro de 2008, perante uma banca composta por Jacir Luiz Bordim
(orientador), Joo Jos Costa Gondim e Jorge Henrique Cabral Fernandes.
A monografia de Antonio Britto foi defendida no dia 15 de dezembro de
2008, perante uma banca composta por composta por Jorge Henrique Cabral
Fernandes (orientador), Joo Jos Costa Gondim e Gilberto de Oliveira
Netto. A monografia de Mnica Costa Tkaczyk Martins foi defendida no dia
23 de junho de 2009, perante uma banca composta por Jorge Henrique
Cabral Fernandes (orientador), Edgard Costa Oliveira e Jacir Luiz Bordim.
A monografia de Juscelino Kilian (KILIAN, 2009) foi defendida no dia 25
de junho de 2009, perante uma banca composta por Magda Fernanda
Medeiros Fernandes (orientadora), Jorge Henrique Cabral Fernandes e
Gilberto de Oliveira Netto.

16.1 SEGURANA DA INFORMAO: PRESERVAO DAS
INFORMAES ESTRATGICAS COM FOCO EM SUA
SEGURANA, por Silvana Crispim Loureiro
O estudo tem como objetivo realizar uma reviso bibliogrfica acerca da
Segurana da Informao, especialmente tratando da preservao das
informaes estratgicas e contribuir para ressaltar sua importncia para a
Advocacia-Geral da Unio (AGU). Na primeira parte do trabalho
apresentada uma pesquisa bibliogrfica para nivelamento dos conceitos
relacionados informao, normas e melhores prticas existentes e aspectos
legais, ressaltando o valor da informao como recurso estratgico para
organizao. O foco do estudo ser a Advocacia-Geral da Unio, que, como
outras organizaes da Administrao Pblica Federal (APF), necessita de
informaes seguras e confiveis para tomada de deciso. Novos modelos
para tratar de segurana tm sido propostos, mas so sempre voltados para
parte tecnolgica, esquecendo que a mudana de cultura, programas de
conscientizao e o apoio da alta direo so fatores primordiais para
alcanar o sucesso. Na concluso, apresenta sugestes de medidas a serem
tomadas para aprimorar a Segurana da Informao na Advocacia-Geral da
Unio, podendo at servir para utilizao em outras organizaes que ainda
no iniciaram estudos para atender o Decreto N. 3.595, que institui a Poltica
de Segurana nos rgo e entidades APF.

84

Palavras-chave: ABNT NBR ISO/IEC 27002, ABNT NBR ISO/IEC 27001,
Segurana da Informao, Ativos, Classificao da Informao.

16.2 PMBOK E GESTO DA SEGURANA DA INFORMAO E
COMUNICAO, por Antnio Carlos Pereira de Britto
A Gesto da Segurana da Informao e Comunicao (GSIC) hoje um dos
pilares do Modelo de Governana de Tecnologia da Informao (TI), e
responsvel por assegurar a disponibilidade, integridade, autenticidade e
confidencialidade das informaes da Sociedade e do Estado. Um Modelo de
Gesto de Segurana da Informao e Comunicao (MGSIC) deve ser
utilizado na Administrao Pblica Federal (APF) para satisfazer os critrios
tcnicos de segurana da informao e as obrigaes legais, e principalmente
como forma de atender aos requisitos para a preservao do valor intrnseco
da informao em uso na APF. Esta monografia prope a abordagem do
Gerenciamento de Projetos baseada nas orientaes do Guia Project
Management Body of Knowledge (PMBOK), criado pelo Project
Management Institute (PMI), como forma de viabilizar a implementao do
MGSIC na APF. O modelo considerado para a implementao foi o proposto
pelo Grupo de Trabalho Metodologia 2005 (GT-2005), institudo pelo
DSIC/GSI, do qual o autor participou quando da coordenao dos trabalhos
do GT pelo CEPESC nos anos de 2005 e 2006. O modelo do GT-2005
aderente ao conjunto de Normas 27000, sendo que o GT-2005 usou uma
abordagem holstica e sistmica que leva a viso da Governana de TI para a
fundamentao do MGSIC. Esta monografia relaciona dois modelos: o
PMBOK para o Gerenciamento de Projetos e o Modelo de Gesto da
Segurana da Informao e Comunicao do GT-2005, propondo uma
abordagem orientada ao projeto na implantao do MGSIC na APF.
Palavras-chave: Gesto da Segurana da Informao e Comunicao,
Governana de TI, Modelo de Referncia, Modelo de Gesto, APF,
DSIC/GSI, Grupo de Trabalho Metodologia 2005, Gerenciamento de
Projetos, Ciclo PDCA, PMBOK, ISO/IEC 27001.

16.3 ANLISE E SOLUO PRELIMINAR PARA PROBLEMAS
DE SEGURANA DA INFORMAO NA ADVOCACIA-GERAL DA
UNIO, por Mnica Costa Tkaczyk Martins
A produo e manuteno das notas tcnicas, pareceres e demais trabalhos
jurdicos produzidos pelos profissionais da rea jurdica so informaes
imprescindveis para a AGU e tornaram-se to essenciais que qualquer
problema que afete a segurana destas informaes causa inmeros
transtornos e atrasos nos servios prestados pela AGU. Tendo em vista este
cenrio, torna-se fundamental tomar as providncias necessrias para evitar

85

problemas e/ou minimizar os efeitos de possveis falhas de segurana nos
ambientes tecnolgicos e fsicos da AGU. Como proposta para minimizar e
solucionar estes problemas, a implantao de um Sistema de Gesto de
Segurana da Informao, oriundo de modelos de qualidade como as normas
da famlia NBR ISO/IEC 27000, apresenta grande chance de ser adotada e
melhorar a situao de segurana da AGU, no trato de suas informaes e
comunicaes. Esta monografia descreve os resultados de um estudo
preliminar para implantao de um sistema de gesto de segurana da
informao na AGU, onde se faz uma breve anlise da organizao e as
restries que afetam a implantao deste SGSI, propondo ao final o escopo
onde dever ser implantado o SGSI.
Palavras-chave: Sistema de Gesto de Segurana da Informao, ISO 27001,
ISO 27005, Administrao Pblica Federal, Advocacia-Geral da Unio.

16.4 PRMIO DE QUALIDADE EM GESTO DA SEGURANA DA
INFORMAO E COMUNICAES NA ADMINISTRAO
PBLICA FEDERAL, por Juscelino Kilian
A sociedade da informao trouxe mudanas nas organizaes em relao ao
uso das informaes, as quais tm sido reconhecidas como um ativo de
importncia crescente. As informaes esto cada vez mais disponveis a
todos os segmentos de atividades de governo, com um papel importante no
suporte tomada de decises em nveis operacionais e estratgicos. O
trabalho tem por objetivo propor o Prmio de Qualidade em Gesto da
Segurana da Informao e Comunicaes na Administrao Pblica
Federal, que ser um instrumento valioso de avaliao da maturidade dos
processos de Gesto da Segurana da Informao e Comunicaes para
rgos da Administrao Pblica Federal (APF). Para tanto foi realizada
uma reviso de literatura procurando relacionar assuntos relativos
Segurana da Informao, includos modelos existentes e formas de
avaliao de processos contexto de rgos pblicos, visando identificar a
aderncia em relao Instruo Normativa No. 1 do Gabinete de Segurana
Institucional da Presidncia da Repblica (IN GSIPR Nr 1).
Palavras-chave: Nveis de Maturidade de Processo, Gesto de Segurana da
Informao, Administrao Pblica Federal.

86

87

CAPTULO 17
SEGURANA EM COMPRAS E
CONTRATOS DE TI
As compras e contratos do governo brasileiro so regidas pela Lei 8.666, de
21 de junho de 1993. A aquisio e implementao de sistemas de tecnologia
da informao encontram-se em fase de regulao na esfera Federal,
especialmente pela Instruo Normativa 04 da SECRETARIA DE
LOGSTICA E TECNOLOGIA DA INFORMAO DO MINISTRIO DO
PLANEJAMENTO, ORAMENTO E GESTO (2008), a qual "dispe
sobre o processo de contratao de servios de Tecnologia da Informao
pela Administrao Pblica Federal direta, autrquica e fundacional." Em
adio realidade complexa envolvida no processo das compras pblicas em
TI, destaca-se o desafio do domnio gerencial e tecnolgico sobre os servios
e produtos que implementam controles de segurana da informao,
qualquer que seja a natureza dos mesmos. Os controles de segurana
apresentam complexas formas de funcionamento, e o grau de domnio
necessrio sobre esses, por parte das organizaes pblica contratantes e
adquirentes, demanda um processo bastante elaborado, onde surge
necessidade de tratar, ainda durante a aquisio, aspectos como
monitoramento, aprimoramento e continuidade do servio ou produto. A
especificao, contratao, aquisio, implementao, operao,
monitoramento e aprimoramento de controles de segurana constituem-se
um dos grandes desafios gesto da segurana da informao e
comunicaes.
Se ainda acrescenta-se a este cenrio as possveis demandas atuais e futuras
pela criao de uma indstria de produtos e servios de segurana

88

computacional e da informao, que permita o necessrio grau de autonomia
segurana da nao, cria-se um cenrio promissor para estudos sobre
Segurana em Compras e Contratos.
Uma pesquisa do CEGSIC 2007-2008 abordou o tema compras pblicas
relacionadas a segurana, e foi desenvolvido por Gerson Ben-Hur Mayer
(MAYER, 2008), descrevendo Procedimentos de Segurana da Informao e
Comunicaes em Contratos de Tecnologia da Informao no Exrcito
Brasileiro.
A monografia de Gerson Ben-Hur Mayer foi defendida no dia 17 de
dezembro de 2008, perante uma banca composta por Jos Ricardo Camelo
(orientador), Jorge Henrique Cabral Fernandes e Joo Jos Costa Gondim.

17.1 PROCEDIMENTOS DE SEGURANA DA INFORMAO E
COMUNICAES EM CONTRATOS DE TECNOLOGIA DA
INFORMAO NO EXRCITO BRASILEIRO, por Gerson Ben-Hur
Mayer
Este trabalho pretende apresentar uma proposta de procedimentos a serem
observados em segurana da informao e comunicaes por ocasio da
formulao de contratos de Tecnologia da Informao (TI). Genericamente,
tais procedimentos j vm sendo adotados nas Organizaes Pblicas e
Privadas, sendo, no entanto, em muitas delas, um processo feito quase
instintivamente ou baseado na experincia pessoal dos envolvidos na
formulao do contrato. Para este trabalho, o universo considerado foi o
Centro de Desenvolvimento de Sistemas (CDS) do Exrcito Brasileiro,
instituio voltada para a formulao e acompanhamento tcnico de
Contratos de Tecnologia da Informao.
Palavras-chave: Contratos, Tecnologia da Informao, Procedimentos,
Exrcito Brasileiro.

89

CAPTULO 18
GOVERNANA, CONTROLE,
AUDITORIA, CONFORMIDADE E
CERTIFICAO
Os temas Governana, Controle, Auditoria, Conformidade e Certificao so
interrelacionados. por meio da conformidade aos controles, atestada
especialmente atravs de relatos de auditoria, que a alta administrao pode
reduzir a incerteza sobre o alinhamento de interesses entre as reas de gesto
e de operao. De outra forma, por meio da conformidade aos controles,
atestada atravs de um certificado de conformidade, que o cliente de uma
organizao pode reduzir a incerteza acerca dos procedimentos e processos
realizados por um fornecedor atual ou potencial.
No CEGSIC 2007-2008, foram desenvolvidas 8 monografias relacionadas
aos temas Governana, Controle, Auditoria, Conformidade e (ou)
Certificao. Kleber Ferreira Rangel (RANGEL, 2008) realizou um
levantamento de requisitos e controles de segurana para o Portal de
Inteligncia Operacional do Estado Maior de Defesa. Henrique Aparecido da
Rocha (ROCHA, 2008a) props um cenrio para aplicao da norma NBR
ISO/IEC 27002:2005 em auditorias governamentais do sistema de controle
interno implementado pela CGU. Newton Daltro Santos (SANTOS, 2008)
discorreu sobre o paradigma da auditoria baseada em cenrios de risco.
Rogrio Xavier Rocha (ROCHA, 2008c) elaborou uma proposta de
procedimento simplificado de auditoria de gesto em segurana da
informao em rgos do Poder Executivo Federal. Rubem Ribeiro Veloso
(VELOSO, 2008) fez uma avaliao de conformidade na Marinha do Brasil

90

(MB) a modelos de gesto da segurana da informao. A monografia de
Alessandro S Barbosa (BARBOSA, 2009) realizou uma Avaliao
Preliminar de Controles de Segurana usados em algumas organizaes
militares do Exrcito Brasileiro. A monografia de Idilson Alexandre
Palhares Cassilhas (CASSILHAS, 2008) est relatada no Captulo 19. A
monografia de Roberto Ribeiro Bastos (BASTOS, 2009) est relatada no
Captulo 8.
A monografia de Kleber Ferreira Rangel foi defendida no dia 10 de
dezembro de 2008, perante banca composta por Jorge Henrique Cabral
Fernandes (orientador), Tatiana Vieira Malta e Joo Jos Costa Gondim. A
monografia de Henrique da Rocha foi defendida no dia 10 de dezembro de
2008, perante banca composta por Edgard Costa Oliveira (orientador), Jos
Carlos Ralha e Jorge Henrique Cabral Fernandes. A monografia de Newton
Daltro foi defendida no dia 10 de dezembro de 2008, perante banca
composta por Edgard Costa Oliveira (orientador), Jos Carlos Ralha e Jorge
Henrique Cabral Fernandes. A monografia de Rubem Ribeiro Veloso foi
defendida no dia 15 de dezembro de 2008, perante banca composta por Jos
Ricardo Camelo (orientador), Jorge Henrique Cabral Fernandes e Joo Jos
Costa Gondim. A monografia de Rogrio Rocha foi defendida no dia 17 de
Fernandes (orientador), Joo Jos Costa Gondim e Jos Ricardo Camelo. A
monografia de Alessandro S Barbosa foi defendida no dia 27 de julho de
2009, perante banca composta por Jos Ricardo Camelo (orientador), Jorge
Henrique Cabral Fernandes e Jacir Luiz Bordim.

18.1 LEVANTAMENTO DE REQUISITOS E CONTROLES DE
SEGURANA PARA O PORTAL DE INTELIGNCIA
OPERACIONAL DO ESTADO MAIOR DE DEFESA, por Kleber
Ferreira Rangel
O trabalho descreve um conjunto de requisitos e controles de segurana que
foram levantados para o Portal de Inteligncia Operacional do Estado-Maior
de Defesa do Ministrio da Defesa. O enfoque desenvolvido sob o ponto
de vista dos diversos conceitos, mtodos e tcnicas usualmente abordados na
rea de gesto da segurana da informao e comunicaes. O resultado
apresenta-se til no complemento a uma viso de segurana, com base nos
princpios de Contra-Inteligncia, normalmente utilizada por esse Estado-
Maior de Defesa com o propsito de aumentar a segurana de seus sistemas.
Palavras-chave: Requisitos, Controles de Segurana, Segurana da
Informao, Inteligncia Operacional.

91

18.2 PROPOSTA DE CENRIO PARA APLICAO DA NORMA
NBR ISO/IEC 27002 EM AUDITORIAS GOVERNAMENTAIS DO
SISTEMA DE CONTROLE INTERNO, por Henrique Aparecido da
Rocha
As iniciativas em segurana da informao tm se destacado nos ltimos
anos em virtude de fatores que incluem o poder conquistado pela informao
nos processos de negcio atuais, a grande exposio dessas informaes
propiciada pelo desenvolvimento tecnolgico e o consequente aumento dos
registros de incidentes de segurana. Entretanto, a Administrao Pblica
Federal (APF) ainda no absorveu totalmente essa cultura de segurana e
no protege adequadamente as suas informaes de valor. De outro lado, o
sistema de controle interno tem a incumbncia de assessorar os gestores
pblicos na implementao dos controles internos responsveis por garantir
que sejam alcanados os objetivos das instituies. Nesse contexto, a
segurana da informao pode ajudar. O foco desta monografia especificar
meios de disseminar a cultura de segurana da informao entre os rgos da
APF e apoi-los a implementar os controles adequados para esse fim. A
soluo proposta consiste na incorporao de procedimentos de verificao,
baseados em normas de segurana da informao amplamente utilizadas, no
processo de auditoria do sistema de controle interno. A ideia utilizar a
estrutura j existente de auditorias peridicas como suporte tambm para
conscientizar e orientar os rgos da importncia da segurana da
informao para suas misses. As principais contribuies desta monografia
so: (1) descrever o processo de auditoria empregado pelo sistema de
controle interno do governo federal; (2) descrever a norma NBR ISO/IEC
270002 que apresenta cdigo de prtica para a gesto da segurana da
informao; e (3) propor cenrio de aplicao da norma NBR ISO/IEC
270002 no processo de auditoria do Sistema de Controle Interno do Governo
Federal.
Palavras-chave: Controle Interno, Cultura de Segurana, Procedimentos de
Auditoria.
18.3 AUDITORIA BASEADA EM CENRIOS DE RISCO: UM
PARADIGMA MODERNO INTEGRADO GESTO DE
SEGURANA DA INFORMAO E COMUNICAES NO MBITO
DA ADMINISTRAO PBLICA FEDERAL, por Newton Daltro
Santos
Os recursos organizacionais definidos como pessoa, informao, sistema,
equipamento, servio e reputao representam hoje os principais ativos
tangveis e intangveis de qualquer corporao, pblica ou privada, sendo de
importncia estratgica a administrao slida e eficaz dos riscos associados
a esses ativos corporativos, como requisito indispensvel ao sucesso no
gerenciamento da segurana da informao aplicado ao negcio

92

organizacional e, consequentemente, na adequada governana corporativa.
Nesse contexto, o comprometimento da equipe de auditores internos da
organizao com tal desafio, mediante uma mudana de enfoque em relao
auditoria tradicional centrada em controles, agregaria maior valor
sistemtica gerencial adotada pela corporao para lidar com os riscos que
ameaam os ativos que sustentam os negcios. Este trabalho acadmico
visou dissertar a respeito de um novo paradigma no campo da auditoria,
conhecido como risk-based auditing, no intento de investigar se essa
moderna abordagem contribuiria no aperfeioamento de processos voltados
ao gerenciamento de riscos e, por conseguinte, na melhoria contnua de
sistemas de gesto especializados na segurana de sistemas de informao e
comunicaes no mbito da administrao pblica federal. Para tanto, o
trabalho de pesquisa evidencia com clareza as diferenciaes mais evidentes
entre o paradigma tradicional e o enfoque moderno da auditoria, descreve
alguns benefcios e desafios que caracterizam a utilizao de uma
sistemtica de auditoria baseada em riscos, com foco no gerenciamento
seguro de ativos organizacionais, alm de propor algumas competncias
necessrias aos gestores pblicos que atuam ou venham a atuar na auditoria
interna, quando da utilizao desse novo paradigma no mbito
governamental.
Palavras-chave: Auditoria, Auditoria Baseada em Risco.

18.4 AVALIAO DE CONFORMIDADE A MODELOS DE
GESTO DE SEGURANA DA INFORMAO NA MARINHA DO
BRASIL (MB), por Rubem Ribeiro Veloso
A pesquisa visa a atender necessidade de aprimoramento da Gesto da
Segurana da Informao na Marinha do Brasil e tambm verificar se os
instrumentos normativos internos sobre Segurana da Informao esto em
conformidade com a norma ABNT NBR ISO/IEC 17999 (Tecnologia da
Informao - Tcnicas de Segurana - Cdigo de Prtica para a Gesto da
Segurana da Informao). O levantamento dos assuntos relevantes foi
realizado por meio de uma pesquisa exploratria constituda por uma anlise
bibliogrfica e a anlise documental. A anlise documental est baseada nos
documentos formalmente publicados no mbito da Marinha do Brasil. Os
dados obtidos na pesquisa documental so tratados de forma qualitativa. So
abordados temas da gesto da segurana da informao e apresenta-se como
a Marinha do Brasil trata a Gesto da Segurana da Informao, sua
infraestrutura de intranet e internet. feita uma avaliao de conformidade
dos controles: Poltica de Segurana da Informao, Organizando a
Segurana da Informao e Gesto de Riscos. Ao final, conclui-se que a
Marinha do Brasil possui documentao formalmente instituda e estruturada
de forma a se adequar e manter atualizada frente s constantes inovaes de

93

TI e preparada para se contrapor s possveis ameaas no campo da
segurana da Informao.
Palavras-chave: Conformidade, Segurana da Informao, Marinha do
Brasil.

18.5 PROPOSTA DE PROCEDIMENTO SIMPLIFICADO DE
AUDITORIA DE GESTO EM SEGURANA DA INFORMAO EM
RGOS DO PODER EXECUTIVO FEDERAL, por Rogrio Xavier
Rocha
A pesquisa tem por objetivo principal propor um procedimento de auditoria
de gesto de segurana da informao em rgos da Administrao Pblica
Federal, baseado em controles de normas consagradas em segurana da
informao, tais como a NBR ISO/IEC 17799:2005. A partir de
levantamentos sobre os principais riscos e vulnerabilidades encontradas que
impactam uma gesto efetiva da segurana da informao em rgos da
administrao pblica federal, buscar-se-, por meio do procedimento
proposto, incentivar uma implementao gradativa e sedimentada de
diversos controles por meio das aes de controle do sistema de controle
interno do poder executivo federal, que por fora constitucional, tem por
misso auxiliar a gesto pblica na consecuo de seus objetivos.
Palavras-chave: Auditoria, Segurana da Informao. Procedimentos de
Auditoria.
18.6 AVALIAO PRELIMINAR DOS CONTROLES DE
SEGURANA USADOS NO EXRCITO BRASILEIRO, por
Alessandro S Barbosa
A informao, cada vez mais, tem sido considerada um importante ativo para
muitas empresas e organizaes da iniciativa privada e, tambm, da
administrao pblica em todos os nveis. Portanto, proteg-la de acessos
no autorizados, que ocasionem alterao em quaisquer de suas
caractersticas bsicas, tem se tornado um constante desafio para gestores e
profissionais que atuam na rea da Tecnologia da Informao e, mais
especificamente, da Segurana da Informao e das Comunicaes. A
adoo da Norma ABNT NBR ISO/IEC 27002:2005 e a implementao dos
controles de segurana sugeridos no documento mencionado tm se
constitudo em importantes aliados na luta contra o aumento da ocorrncia
de incidentes de segurana. Aps realizao de uma criteriosa anlise de
riscos, que permite dimensionar adequadamente o tipo de controle de
segurana a ser adquirido pelas instituies, a adoo de tais dispositivos de
segurana aprovada com a finalidade de mitigar as vulnerabilidades
encontradas. Com vistas a obter novos controles de segurana e a aprimorar
o nvel de maturidade dos controles adotados em algumas Organizaes

94

Militares do Exrcito Brasileiro, a pesquisa verificou em que nveis de
maturidade esto os controles de segurana atualmente adotados e se os
mesmos esto em conformidade com os sugeridos pela Norma de Segurana.
Para tanto, a pesquisa utilizou um instrumento que permitiu coletar os dados
necessrios, junto aos responsveis pela Segurana da Informao de cada
Organizao Militar selecionada, que possibilitou, aps a anlise, verificar
os nveis de maturidade e, posteriormente, a proposio de aes que visem
a melhoria desses nveis de maturidade e, quando necessria, a adoo de
novos controles de segurana, mais adequados e condizentes com a realidade
de cada Organizao. O trabalho teve, tambm, o intuito de nortear as aes
do rgo de Direo Setorial, responsvel, atualmente, por prescrever as
diretrizes de segurana da informao para a Fora Terrestre.
Palavras-chave: Informao, Controles de Segurana, Segurana da
Informao, Exrcito Brasileiro, Maturidade.

95

CAPTULO 19
GESTO DA CONTINUIDADE
Segundo a ASSOCIAO BRASILEIRA DE NORMAS TCNICAS
(2008), continuidade de negcios uma capacidade estratgica e ttica de
uma organizao de se planejar e responder a incidentes de grandes
propores, desastres ou interrupes de negcios significativas, para
conseguir continuar suas operaes em um nvel aceitvel previamente
definido.
Na Administrao Pblica Federal j dispomos de uma norma que regula a
gesto da continuidade no servio pblico, que a NC 06 do
DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR (2009d), de 11 de novembro de 2009.
No CEGSIC 2007-2008, foram desenvolvidas 3 monografias relacionadas ao
temas da gesto da continuidade. A monografia de Idilson Alexandre
Palhares Cassilhas (CASSILHAS, 2008) realizou uma Anlise da Atividade
de Testes do Plano da Continuidade de Negcio em um setor da Marinha do
Brasil, avaliando sua Conformidade com a Norma ABNT NBR ISO/IEC
17799:2005. A monografia de Antnio Magno Figueiredo de Oliveira
(OLIVEIRA, 2008) envolveu pesquisa qualitativa e quantitativa acerca do
Nvel de Compreenso da Gesto da Continuidade dos Negcios junto a
gestores de segurana de organizaes pblicas. Vitor Friedenhain
(FRIEDENHAIN, 2008) fez um levantamento de Mtodos e Processos para
a Implantao da Gesto da Continuidade de Negcios que poderiam ser
aplicveis a rgos da Administrao Pblica Federal.
A defesa da monografia de Idilson Alexandre Palhares Cassilhas ocorreu no
dia 01 de dezembro de 2008, e foi avaliada pela banca composta por Jacir

96

Luiz Bordim (orientador), Joo Jos Costa Gondim e Jorge Henrique Cabral
Fernandes. A monografia de Vitor Friedenhain foi defendida no dia 10 de
Fernandes (orientador), Tatiana Vieira Malta e Joo Roberto V. Guimares.
A monografia de Antnio de Oliveira foi defendida no dia 15 de dezembro
de 2008, perante banca composta por Jorge Henrique Cabral Fernandes
(orientador), Joo Jos Costa Gondim e Magda Fernanda Medeiros
Fernandes.

19.1 UMA ANLISE DA ATIVIDADE DE TESTES DO PLANO DE
CONTINUIDADE DE NEGCIO E SUA CONFORMIDADE COM A
NORMA ABNT NBR ISO/IEC 17799:2005, por Idilson Alexandre
Palhares Cassilhas
Um Plano de Continuidade de Negcio (PCN) uma descrio detalhada das
aes que devem ser tomadas em resposta a uma interrupo sbita e
inesperada de um dado servio, permitindo que a organizao continue
trabalhando mesmo com uma reduo aceitvel do desempenho de seus
processos. A rede integrada de comunicaes de uma instituio como a
Marinha do Brasil, que possui diversas organizaes militares interligadas e
espalhadas por todo o territrio nacional, para ser considerada um sistema
bem sucedido e que mantm a continuidade de seus negcios durante uma
falha ou qualquer acontecimento brusco e imprevisto, deve possuir
capacidade de oferecer os servios essenciais requeridos por seus usurios,
preservando as suas principais conexes e componentes durante o tempo que
for necessrio para o reestabelecimento da situao normal de operao. Tal
capacidade conseguida atravs de preparao, planejamento, investimento
e, principalmente, por meio da implementao de um Plano de Continuidade
de Negcio (PCN), precedido de uma anlise detalhada sobre cada um dos
ativos que fazem parte dessa grande infraestrutura e dos seus respectivos
riscos. Esta pesquisa visa averiguar se a atividade de testes de continuidade
de negcio aplicada ao servio fixo de comunicaes da Marinha do Brasil
eficaz e se est em conformidade com as melhores tcnicas e prticas para a
Gesto da Segurana da Informao e Comunicaes, previstas na Norma
ABNT NBR ISO/IEC 17799:2005.
Palavras-chave: Marinha do Brasil, Continuidade, PCN, Conformidade,
Comunicaoes.
19.2 UM ESTUDO SOBRE MTODOS E PROCESSOS PARA A
IMPLANTAO DA GESTO DE CONTINUIDADE DE NEGCIOS
APLICVEIS A RGOS DA ADMINISTRAO PBLICA
FEDERAL BRASILEIRA, por Vitor Friedenhain
O trabalho apresenta um estudo sobre mtodos e processos para a
implantao da Gesto de Continuidade de Negcios (GCN) aplicveis a

97

rgos da Administrao Pblica Federal (APF). A implantao da GCN
importante dada a essencialidade dos servios prestados por essas
instituies, os quais esto sujeitos a uma ampla gama de riscos que podem
levar sua interrupo. Inicialmente, destaca-se que os gestores da APF
devem ser convencidos da importncia da GCN, para que estes dem
respaldo ao seu desenvolvimento, alocando recursos para o programa.
Mostra-se, tambm, que necessrio um diagnstico da situao atual de
maturidade em GCN das organizaes. A partir do diagnstico, possvel
traar um objetivo que as instituies pretendam atingir, e verificar quais
variveis devem ser desenvolvidas para que o mesmo seja alcanado. Com
base no diagnstico, destaca-se que deve ser desenvolvida a poltica de GCN
com variveis como o conceito de GCN, escopo do programa, normas e
regulamentos que a influenciaram, entre outros. Tendo sido estabelecida a
infraestrutura para a implantao do programa de GCN, mostra-se a
necessidade de uma anlise de impacto nos negcios e avaliao de riscos
para determinar quais so relevantes para as atividades consideradas crticas.
Estas definies servem de embasamento para a definio de estratgias
preventivas de tratamento dos riscos e estabelecimento de parmetros (meta
de tempo de recuperao e nvel mnimo de servios, por exemplo) que so
base para a formulao dos planos de continuidade de negcios. Finalizando,
aps a formulao dos planos, estes devem ser divulgados atravs de
programas de conscientizao e treinamento, assim como testados e
atualizados, completando o ciclo de etapas de implantao da GCN na APF.
Palavras-chave: Gesto de Continuidade de Negcios, GCN, Administrao
Pblica Federal.

19.3 NVEL DE COMPREENSO DA GESTO DE
CONTINUIDADE DOS NEGCIOS, por Antnio Magno Figueiredo
de Oliveira
O trabalho busca identificar a compreenso dos conceitos de Gesto de
Continuidade de Negcios pelos Gestores Pblicos no mbito da
Administrao Pblica Federal (APF). Para isso prope modelo de
instrumento a fim de realizar pesquisa qualitativa para coleta de dados com
gestores que atuem na APF. O pesquisador prope anlise subjetiva,
diretamente relacionada com a avaliao da correlao que o entrevistado
demonstra fazer, a partir do contedo de sua resposta, com: o tema da
pergunta; os conceitos de GCN aos quais ele se reporta para embasar a sua

98

resposta; e o entendimento sobre a organizao e as suas especificidades e o
quanto os procedimentos adotados pela organizao esto em conformidade
com conceitos de GCN. Prope uma anlise dos dados para classificar o
nvel de compreenso dos conceitos, usando como referncia de avaliao a
Taxonomia de Bloom, dividindo o nvel de compreenso em trs categorias:
baixo, mdio e alto. Apresenta uma reviso de literatura abordando os
principais conceitos relacionados Gesto de Continuidade de Negcios.
Como resultado apresenta a consolidao dos dados levantados na pesquisa a
fim de subsidiar a realizao de futuros trabalhos acerca do tema na APF.
Palavras-chave: Gesto de Continuidade de Negcios (GCN),
Internalizao, Gesto de Risco, Anlise de Impacto de Negcios, GCN,
Aprovao, Implantao, Teste e Manuteno do Plano, Incidentes,
Desastres, Riscos, Ameaas, Vulnerabilidades, Mitigar.

99

CAPTULO 20
SEGURANA E DEFESA
CIBERNTICAS
Pesquisa do CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA
INFORMAO E DA COMUNICAO - CETIC.br (2008) sobre uso das
TICs no Brasil, realizada no ano de 2008, revela que:
Cerca de 1/4 da populao brasileira estava usando a Internet;
a quase totalidade das organizaes privadas e pblicas faz acesso
Internet;
cerca de 1/5 das organizaes brasileiras ofertam servios (na
Internet) atravs de Extranet.
De uma forma ou de outra, organizaes do pas conectam seus sistemas de
informao e comunicao Internet, a fim de permitir o compartilhamento
e o acesso a informaes e servios providos pela Internet. H ntida
percepo, no s aqui no Brasil mas especialmente nos EUA, que cada
vez maior a diferena entre o aumento da exposio dos SICs pblicos s
redes mundiais e o tempo de resposta da administrao pblica no sentido de
preservar a segurana destes SICs. Apresenta-se desta forma, com extrema
relevncia, as pesquisas sobre a segurana nas redes abertas, associadas ao
conceito de Segurana Ciberntica.

100

No CEGSIC 2007-2008, foram desenvolvidas 2 monografias relacionadas
aos temas Defesa e Segurana Cibernticas na Administrao Pblica
Federal. A monografia de Marcelo Paiva Fontenele (FONTENELE, 2008)
contm anlises e propostas para articulao de organizaes do Estado
Brasileiro no Contexto da Defesa Ciberntica. A monografia de Raphael
Mandarino Junior (MANDARINO JNIOR, 2009) realiza um amplo estudo
e proposta de classificao para alvos e atores do crime ciberntico, prope
um modelo de atuao em segurana e defesa ciberntica no Brasil baseado
na construo de comunidades de prtica e formula uma definio para
Infraestrutura Crtica de Informao.
A monografia de Marcelo Fontenele foi defendida no dia 15 de dezembro de
2008, perante banca composta por Joo Jos Costa Gondim (orientador),
Macarino Bento Garcia de Freitas e Jorge Henrique Cabral Fernandes. A
monografia de Raphael Mandarino Junior foi defendida no dia 24 de junho
de 2009, perante banca composta por Jorge Henrique Cabral Fernandes
(orientador), Joo Jos Costa Gondim e Cladia Lyrio Canongia.

20.1 ANLISE E PROPOSTA DE ARTICULAO DE ESFOROS
NO CONTEXTO DA DEFESA CIBERNTICA DA
ADMINISTRAO PBLICA FEDERAL, por Marcelo Paiva
Fontenele
Visando atender necessidade de desenvolver a Defesa Ciberntica no
mbito da Administrao Pblica Federal, este trabalho analisa e prope uma
articulao de esforos para sua implementao por meio da definio do
escopo dos rgos envolvidos e de requisitos para suas ligaes e
comunicaes.
Palavras-chave: Segurana da Informao e Comunicaes, Guerra da
Informao, Guerra Ciberntica, Defesa Ciberntica, Crime Digital,
Administrao Pblica Federal, Criptografia, Infraestrutura Crtica,
Inteligncia, Segurana e Defesa Ciberntica.

20.2 UM ESTUDO SOBRE A SEGURANA E A DEFESA DO
ESPAO CIBERNTICO BRASILEIRO, por Raphael Mandarino
Junior
Com o advento da Internet, parte da humanidade se viu inserida, quase que
sem perceber, na chamada Sociedade da Informao. As modificaes

101

introduzidas nos valores sociais, profissionais, polticos ou econmicos at
ento presentes foram absorvidas sem maiores questionamentos. Vrias
informaes geradas e armazenadas em diferentes lugares do planeta
passaram a trafegar livremente, ultrapassando fronteiras e continentes
fazendo com que o acesso a elas e aos conhecimentos ocorresse de forma
inimaginvel at pouco tempo. Por um certo perodo acreditou-se,
romanticamente, que a Internet permitiria o romper de barreiras econmicas,
culturais e at quem sabe religiosas entre os povos, constituindo-se no ideal
filosfico de democracia da antiga Grcia. Mas a realidade acabou por
demonstrar que esses tempos romnticos eram uma utopia. A nova fronteira
constituda, o Espao Ciberntico, semelhana de qualquer novo espao
ainda no perfeitamente demarcado, como o antigo "velho oeste", atraiu
tambm pessoas mal intencionadas, que buscam vantagens e ganhos ilcitos,
explorando a falta de regras e sendo acobertadas pela distncia e pelo
aparente anonimato. Assim, a questo da proteo das informaes ganhou
destaque. Como a informao um bem incorpreo, intangvel, os seus
ativos, os meios de armazenagem, de transmisso, de processamento, os
sistemas, interconexes e as pessoas que os usam; passaram a ser o foco da
ateno da Segurana Informao. A um subconjunto desses ativos de
informao, aqueles que afetam diretamente a consecuo e a continuidade
da misso do Estado e a segurana da sociedade, denominamos
Infraestrutura Crtica de Informao, crtica para a existncia do Espao
Ciberntico. Apesar da impossibilidade de definio clara dos limites das
suas fronteiras, o Espao Ciberntico se constitui em verdadeiro Estado-
Nao, que, embora virtual, se confunde com Estado Real, pois rene as trs
caractersticas de formao de um Estado: o povo - caracterizado pela
Sociedade da Informao que o habita; o territrio - que o prprio espao
ciberntico; e a soberania - a capacidade de controlar e de ter poder sobre
este espao. Como cabe ao Estado o monoplio do uso legtimo da fora e da
produo legislativa, cabe-lhe tambm a proteo desse Estado-Nao
virtual, e de suas Infraestruturas Crticas. Propomos nesta monografia, aes
que em seu conjunto se constituem em uma Estratgia de Segurana
Ciberntica, entendida como a arte de assegurar a existncia e a continuidade
da Sociedade da Informao de uma nao, garantindo e protegendo, no
Espao Ciberntico, seus ativos de informao e suas infraestruturas crticas.
Palavras-chave: Segurana Ciberntica, DSIC/GSIPR, Sociedade da
Informao.

102

CAPTULO 21
EPLOGO
Decorridos praticamente um ano desde a formatura da primeira turma de
especialistas do CEGSIC, CEGSIC 2007-2008, cujos resumos de trabalhos
foram aqui apresentados, se pode dizer com certa confiana que o CEGSIC
20072008 apresentou valiosas contribuies diretas e indiretas para a
formulao de uma Metodologia Brasileira de Gesto da Segurana da
Informao e Comunicaes. reas temticas foram mapeadas, relaes de
troca de informao entre servidores pblicos da esfera federal foram
fortalecidas, estudos organizacionais foram realizados, revelando
fragilidades que passaram a ser melhor compreendidas e sanadas.
Do ponto de vista da instituio universitria brasileira, se apresentam
grandes oportunidades de contribuio para o fortalecimento do Estado
brasileiro.
Falando em nome de todos os que contriburam para a produo do
conhecimento aqui apenas parcialmente registrado, esperamos que este livro
possa lanar sementes de reflexo, discusso, investigao, proposta e
implementao de solues para a melhoria da gesto pblica sobre o ponto
de vista da segurana.

103

104

REFERNCIAS BIBLIOGRFICAS
ALBERTS, C.; DOROFEE, A. Managing Information Security Risks:
The OCTAVE Approach. [S.l.]: Addison Wesley, 2002. 512 p.
ALVES, R. do Carmo das N. Um Modelo de Anlise do
Comportamento de Segurana de Servidores da Administrao
Pblica Federal Brasileira. [S.l.], 6 2009. Monografia de Concluso de
Curso (Especializao) Departamento de Cincia da Computao,
Instituto de Cincias Exatas, Universidade de Braslia.
ANDERSON, R. security Engineering: a guide to building dependable
distributed systems. USA: John Wiley and Sons, 2001. 612 p.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia
da informao - Tcnicas de segurana - Cdigo de prtica para a
gesto da segurana da informao: ABNT NBR ISO/IEC
27002:2005. 2a. ed. Rio de Janeiro, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia
da informao - Tcnicas de segurana - Sistemas de gesto de
segurana da informao - Requisitos: ABNT NBR ISO/IEC
27001:2006. 1a. ed. Rio de Janeiro, 2006.

105

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Gesto de
continuidade de negcios: Parte 1 - Cdigo de Prtica: ABNT NBR
15999-1:2007. Errata 1, de 01.02.2008. Rio de Janeiro, 2008.
BARBOSA, A. de S. Avaliao Preliminar dos Tipos de Controles de
Segurana da Informao e Comunicao usados nas Organizaes
Militares do Exrcito Brasileiro. [S.l.], 7 2009. 72 p. Monografia de
Concluso de Curso (Especializao) - Departamento de Cincia da
Computao, Instituto de Cincias Exatas, Universidade de Braslia.
BARRETO, P. A. S. M. Controles de Acesso Lgico. Campus
Universitrio Darcy Ribeiro. Instituto Central de Cincias, Fevereiro
2008. 24 p. Notas de Aula desenvolvidas no mbito do Programa de
Pesquisas e Formao de Especialistas para a Elaborao da
Doutrina Nacional de Gesto da Segurana da Informao e
Comunicaes.
BASTOS, R. R. Anlise da Poltica de Segurana da Informao da
Marinha quanto aos Controles Voltados para o Risco do Componente
Humano em Ambientes e Sistemas Crticos. [S.l.], 7 2009.
Monografia de Concluso de Curso (Especializao) - Departamento
de Cincia da Computao, Instituto de Cincias Exatas,
Universidade de Braslia.
BERGER, P. de A. Segurana Fsica de Tecnologia da Informao -
Parte 1. Campus Universitrio Darcy Ribeiro. Instituto Central de
Cincias, Fevereiro 2008. 31 p. Notas de Aula desenvolvidas no
mbito do Programa de Pesquisas e Formao de Especialistas para
a Elaborao da Doutrina Nacional de Gesto da Segurana da
Informao e Comunicaes.
BORDIM, J. L. Controles de Segurana da Informao. Campus
Universitrio Darcy Ribeiro. Instituto Central de Cincias, Fevereiro
Comunicaes.

106

BORDIM, J. L. Redes de Computadores. Campus Universitrio Darcy
Ribeiro. Instituto Central de Cincias, Abril 2008. 17 p. Notas de Aula
desenvolvidas no mbito do Programa de Pesquisas e Formao de
Especialistas para a Elaborao da Doutrina Nacional de Gesto da
BORDIM, J. L. Gesto de Riscos de Segurana da Informao Parte
II: Notas de Aula. Braslia, Abril 2009. 31 p.
BRASIL. Decreto No. 3.505, de 13 de junho de 2000 : Institui a
poltica de segurana da informao nos rgos e entidades da
administrao pblica federal. Braslia, 2000. Disponvel em:
<http:www:planalto:gov:br/ccivil 03/decreto/D3505:htm>. Acesso em:
Agosto de 2009.
BRAZ, F. A. Segurana de Aplicaes. Campus Universitrio Darcy
Ribeiro. Instituto Central de Cincias, Maio 2008. 32 p. Notas de Aula
BRITTO, A. C. P. de. Estudo do Gerenciamento de Projeto Baseado no
PMBOK para a Implantao da Gesto da Segurana da Informao e
Comunicao na Administrao Pblica Federal. [S.l.], 12 2008. 125 p.
Monografia de Concluso de Curso (Especializao) - Departamento de
Cincia da Computao, Instituto de Cincias Exatas, Universidade de
Braslia.
CAMPOS, L. S. L. de Q. Uma Proposta de Conceito para
"Comunicaes" no Termo Segurana da Informao e Comunicaes.
[S.l.], 12 2008. Monografia de Concluso de Curso (Especializao) -
Departamento de Cincia da Computao, Instituto de Cincias Exatas,
CANONGIA, C. Inteligncia Competitiva: Informao Estratgica e
Deciso. Campus Universitrio Darcy Ribeiro. Instituto Central de
Cincias, Janeiro 2008. 25 p. Notas de Aula desenvolvidas no mbito
do Programa de Pesquisas e Formao de Especialistas para a

107

Elaborao da Doutrina Nacional de Gesto da Segurana da
CARNIELLI, W. A. Pensamento Crtico. Campus Universitrio Darcy
Ribeiro. Instituto Central de Cincias, Maro 2008. 10 p. Notas de
Aula desenvolvidas no mbito do Programa de Pesquisas e
Formao de Especialistas para a Elaborao da Doutrina Nacional
de Gesto da Segurana da Informao e Comunicaes.
CASA CIVIL DA PRESIDNCIA DA REPBLICA. Diretrizes de
Segurana Parte III: Poltica de segurana da ICP - Brasil. 2001. 26
p. Disponvel em: <http:www:planalto:gov:BR/ccivil
03/consultapublica/PDF/PoliticadeSeguranca:pdf>. Acesso em: Jul
2009.
CASSILHAS, I. A. P. Uma Anlise da Atividade de Testes do Plano
de Continuidade de Negcio e sua Conformidade com a Norma ISO
17799:2005. [S.l.], 12 2008. 84 p. Monografia de Concluso de Curso
(Especializao) - Departamento de Cincia da Computao,
CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA
INFORMAO E DA COMUNICAO - CETIC.br. Pesquisa sobre o
uso das Tecnologias da Informao e da Comunicao no Brasil
2008:: TIC Domiclios e TIC Empresas 2008. Brasil, 2008. Disponvel
em: <http://www.cetic.br/tic/2008/index.htm>. Acesso em: Outubro de
2010.
CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA
INFORMAO E DA COMUNICAO - CETIC.br. PESQUISA SOBRE
USO DAS TECNOLOGIAS DA INFORMAO E COMUNICAO NO
BRASIL 2009. Brasil, 2009. Disponvel em:
<http://www.cetic.br/tic/2009/index.htm>. Acesso em: Outubro de 2010.
COMITTEE ON NATIONAL SECURITY SYSTEMS. National
Information Assurance (IA) Glossary: CNSS Instruction No. 4009.
2010. Disponvel em: <http://www.cnss.gov>. Acesso em: Novembro
de 2010.

108

CONVERY, S. Network Security Architectures. USA: Cisco, 2004. 794
p. COSTA, D. R. da. Fatores Crticos de Sucesso para Elaborao de
Polticas de Segurana da Informao e Comunicaes no mbito da
Administrao
Pblica Federal. [S.l.], 12 2008. Monografia de Concluso de Curso
COSTA, E. O. Gesto de Riscos. Campus Universitrio Darcy
Ribeiro. Instituto Central de Cincias, Janeiro 2008. 15 p. Notas de
Aula desenvolvidas no mbito do Programa de Pesquisas e
COSTA, G. C. Gesto de Crises no mbito da Administrao Pblica
Federal e sua Relao com a Responsabilidade Civil Objetiva em
Demandas Judiciais Decorrentes. [S.l.], 12 2008. 108 p. Monografia
de Concluso de Curso (Especializao) - Departamento de Cincia
da Computao, Instituto de Cincias Exatas, Universidade de
Braslia.
CRUZ, E. F. da. A Criptografia e seu Papel na Segurana da
Informao e das Comunicaes (SIC): Retrospectiva, Atualidade e
Perspectiva. [S.l.], 7 2009. Monografia de Concluso de Curso
(Especializao) Departamento de Cincia da Computao,
DA SILVA, S. R. F. Proposta de Modelo de Controle de Acesso
Lgico por Servidores Pblicos aos Recursos Computacionais da
Administrao Pblica. [S.l.], 12 2008. Monografia de Concluso de
Curso (Especializao) - Departamento de Cincia da Computao,
COMUNICAES DO GSIPR. Norma Complementar
02/IN01/DSIC/GSIPR, de 13 de outubro de 2009 : Metodologia de
gesto de segurana da informao e comunicaes. Braslia,

109

outubro 2008. Disponvel em: <http://dsic.planalto.gov.br>. Acesso
em: Outubro de 2010.
03/IN01/DSIC/GSIPR, de 30 de junho de 2009 : Diretrizes para
elaborao de poltica de segurana da informao e comunicaes
nos rgos e entidades da administrao pblica federal. Braslia,
junho 2009. Publicada no DOU No. 115, de 18 Jun 2008 - Seo 1.
Disponvel em: <http://dsic.planalto.gov.br>. Acesso em: Novembro de
2010.
04/IN01/DSIC/GSIPR, de 14 de agosto de 2009 : Gesto de riscos de
segurana da informao e comunicaes - grsic. Braslia, agosto
2009. Disponvel em: <http://dsic.planalto.gov.br>. Acesso em:
Novembro de 2010.
05/IN01/DSIC/GSIPR, de 14 de agosto de 2009 : Criao de equipes
de tratamento e resposta a incidentes em redes computacionais -
etir. Braslia, agosto 2009. Disponvel em:
<http://dsic.planalto.gov.br>. Acesso em: Novembro de 2010.
06/IN01/DSIC/GSIPR, de 11 de novembro de 2009 : Gesto de
continuidade de negcios em segurana da informao e
comunicaes. Braslia, novembro 2009. Disponvel em:
07/IN01/DSIC/GSIPR, de 06 de maio de 2010 : Diretrizes para
implementao de controles de acesso relativos segurana da
informao e comunicaes. Braslia, maio 2010. Disponvel em:

110

08/IN01/DSIC/GSIPR, de 19 de agosto de 2010 : Gesto de etir:
Diretrizes para gerenciamento de incidentes em redes
computacionais nos rgos e entidades da administrao pblica
federal. Braslia, agosto 2010. Disponvel em:
DESCARTES, R. DISCURSO DO MTODO: para bem conduzir a
prpria razo e procurar a verdade nas cincias. So Paulo: Difel
Difuso Europia do Livro, 1962. Disponvel em:
<http://www.consciencia.org/o-discurso-do-metodo-rene-descartes>.
Acesso em: Novembro de 2010.
DOCKHORN, G. O. V. Quando a Ordem Segurana e o Progresso
Desenvolvimento: O Estado Civil Militar Brasileiro 1964-1974.
Dissertao (Mestrado) | Histria, 1999. Disponvel em:
<http://books.google.com.br/books?id=iPS1kOtBLesC>. Acesso em:
Maio de 2009.
FERNANDES, J. H. C. Auditoria e Certiao de Segurana da
Informao. Campus Universitrio Darcy Ribeiro. Instituto Central de
Cincias, Maro 2008. 26 p. Notas de Aula desenvolvidas no mbito
FERNANDES, J. H. C. Estratgias e doutrinas para a Gesto da
Segurana da Informao e Comunicaes. Campus Universitrio
Darcy Ribeiro. Instituto Central de Cincias, Julho 2008. 32 p. Notas
de Aula desenvolvidas no mbito do Programa de Pesquisas e
FERNANDES, J. H. C. Gesto de Crise. [S.l.], Junho 2008. 22 p.
Notas de Aula desenvolvidas no mbito do Programa de Pesquisas e

111

FERNANDES, J. H. C. Sistemas Complexos. Campus Universitrio
Darcy Ribeiro. Instituto Central de Cincias, Janeiro 2008. 65 p.
Notas de Aula desenvolvidas no mbito do Programa de Pesquisas e
FERNANDES, J. H. C. CEGSIC 2007-2008 - Relatrio I - O Estado
da Arte das Metodologias, Doutrinas e Estratgias em Gesto da
Segurana de Informao e Comunicaes. Campus Universitrio
Darcy Ribeiro. Instituto Central de Cincias, Maio 2009. 38 p.
FERNANDES, M. F. M. Sociedade da Informao: breve introduo
sociolgica. Campus Universitrio Darcy Ribeiro. Instituto Central de
Cincias, Dezembro 2007. 28 p. Notas de Aula desenvolvidas no
mbito do Programa de Pesquisas e Formao de Especialistas para
a Elaborao da Doutrina Nacional de Gesto da Segurana da
FONTENELE, M. P. Anlise e Proposta de Articulao de Esforos
no Contexto da Defesa Ciberntica da Administrao Pblica
Federal. [S.l.], 12 2008. 66 p. Monografia de Concluso de Curso
FRIEDENHAIN, V. Um estudo sobre mtodos e processos para a
implantao da gesto de continuidade de negcios aplicveis a
rgos da administrao pblica federal brasileira. [S.l.], 12 2008. 56
p. Monografia de Concluso de Curso (Especializao) -
Departamento de Cincia da Computao, Instituto de Cincias
Exatas, Universidade de Braslia.
GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA
DA REPBLICA. Instruo Normativa GSI No. 1, de 13 de junho de
2008 : Disciplina a gesto de segurana da informao e
comunicaes na administrao pblica federal, direta e indireta, e
d outras providncias. Braslia, junho 2008. Publicada no DOU No.
115, de 18 Jun 2008 Seo 1. Disponvel em:
<http://dsic.planalto.gov.br/legislacaodsic>. Acesso em: Agosto de
2009.

112

GONDIM, J. J. C. Ataques, Intruses e Investigao Forense em
Sistemas de Computao: Parte 1 - Vulnerabilidades e Ataques.
[S.l.], Maio 2008. 38 p.
GONDIM, J. J. C. Ataques, Intruses e Investigao Forense em
Sistemas de Computao: Parte 2 - Introduo Auditoria de
Sistemas. [S.l.], Maio 2008. 36 p.
HANSMAN, S.; HUNT, R. A taxonomy of network and computer
attacks. Computers & Security, v. 24, n. 1, p. 31{43, February 2005.
Disponvel em:
<http://linkinghub.elsevier.com/retrieve/pii/S0167404804001804>.
Acesso em: agosto de 2008.
HARGER, V. P. Segurana Fsica de Tecnologia da Informao
Parte 2: Interpretao do Captulo 9 da Norma NBR ISO/IEC 17799.
Campus Universitrio Darcy Ribeiro. Instituto Central de Cincias,
Fevereiro 2008. 19 p. Notas de Aula desenvolvidas no mbito do
Programa de Pesquisas e Formao de Especialistas para a
HARRIS, S. CISSP Exam guide. 3. ed. USA: Osborne McGraw Hill,
2005. 1001 p.
HOGLUND, G.; MCGRAW, G. Exploiting Software: How to Break
Code. [S.l.]: Addison-Wesley, 2004.
HOLBROOK, M. B. Adventures in complexity: An essay on dynamic
open complex adaptive systems, buttery ects, self-organizing order,
coevolution, the ecological perspective, fitness landscapes, market
spaces, emergent beauty at the edge of chaos, and all that jazz.
Academy of Marketing Science Review (online), v. 6, 2006.
Disponvel em: <http://www.amsreview.org/articles/holbrook06-
2003.pdf>. Acesso em: 15/09/2008.
HOWARD, M.; LIPNER, S. The Security Development Lifecycle: SDL:
a process for developing demonstrably more secure software. USA:
Microsoft, 2006.

113

ISO/IEC. ISO/IEC FDIS 27005 - Information technology Security
Techniques - Information security risk management. [S.l.], 2007.
IT GOVERNANCE INSTITUTE. COBIT 4.1. 4.1. ed. USA, 2007.
Disponvel em: <http://www.itgi.org>. Acesso em: Janeiro de 2009.
KILIAN, J. Prmio de Qualidade em Gesto da Segurana da
Informao e Comunicaes na Administrao Pblica Federal. [S.l.],
6 2009. Monografia de Concluso de Curso (Especializao) -
LEACH, J. Improving user security behaviour. Computers & Security,
Elsevier Ltd, v. 22, n. 8, 2003.
LEITE, L. P. Um Estudo de Implantao de IPv6 na Administrao
Pblica Federal. [S.l.], 7 2009. Monografia de Concluso de Curso
LEITE, M. A. Boas Prticas e sua Aplicao nos Servios de
Telefonia da Administrao Pblica Federal. [S.l.], 12 2008. 127 p.
LITCHFIELD, D. et al. The Database Hacker's Handbook: Defending
Database Servers. USA: Wiley, 2005. 500 p.
LOUREIRO, S. C. Segurana da Informao: Preservao das
Informaes Estratgicas com Foco em sua Segurana. [S.l.], 12
2008. 66 p. Monografia de Concluso de Curso (Especializao) -
MALTA, T. V. Direito na Sociedade da Informao. Campus
Universitrio Darcy Ribeiro. Instituto Central de Cincias, Dezembro

114

Comunicaes.
MANDARINO JNIOR, R. Um Estudo sobre a Segurana e a Defesa
do Espao Ciberntico Brasileiro. [S.l.], 6 2009. Monografia de
MARTINS, M. C. T. Anlise e Soluo Preliminar para Problemas de
Segurana da Informao na Advocacia-Geral da Unio. [S.l.], 6 2009.
Braslia.
MAYER, G. B.-H. Procedimentos de Segurana da Informao e
Comunicaes em Contratos de Tecnologia da Informao no
Exrcito Brasileiro. [S.l.], 12 2008. 61 p. Monografia de Concluso de
MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO.
Construindo uma agenda de gesto pblica. 2009. Disponvel em:
<http://www.gespublica.gov.br/>. Acesso em: Setembro de 2009.
MITROFF, I.; PAUCHANT, T.; SHRIVASTAVA, P. The structure of
man-made organizational crises: Conceptual and empirical issues in
the development of a general theory of crisis management. In:
SMITH, D.; ELLIOT, D. (Ed.). Key Readings in Crisis Management.
USA: Routeledge, 2006. cap. 4.
MONTEIRO, I. L. C. de O. Proposta de um Guia para Elaborao de
Polticas de Segurana da Informao e Comunicaes em _ rgos
da Administrao Pblica Federal (APF). [S.l.], 6 2009. Monografia
Braslia.
NASCIMENTO, A. C. do. Criptogra e infra-estrutura de chaves
pblicas. Campus Universitrio Darcy Ribeiro. Instituto Central de

115

Cincias, Abril 2008. 65 p. Notas de Aula desenvolvidas no mbito do
Programa de Pesquisas e Formao de Especialistas para a
NCLEO DE INFORMAO E COORDENAO DO PONTO BR -
NIC.br. Dimenses e Caractersticas da Web Brasileira: um estudo
do gov.br. Brasil, 2010. Disponvel em:
<http://www.cgi.br/publicacoes/pesquisas/govbr/>. Acesso em:
Outubro de 2010.
NETTO, G. O.; ALLEMAND, M.; FREIRE, P. F. Notas de Aula sobre
Gesto Operacional da Segurana da Informao. Campus
Universitrio Darcy Ribeiro. Instituto Central de Cincias, Novembro
Comunicaes.
NETTO, G. O. et al. Notas de Aula sobre Polticas, Procedimentos e
Normas da Segurana da Informao. Campus Universitrio Darcy
Ribeiro. Instituto Central de Cincias, Maio 2008. 30 p. Notas de Aula
OHTOSHI, P. H. Anlise Comparativa de Metodologias de Gesto e
de Anlise de Riscos sob a _ Otica da Norma NBR-ISO/IEC 27005.
[S.l.], 12 2008. Monografia de Concluso de Curso (Especializao)
OLIVEIRA, A. M. F. de. Nvel De Compreenso Dos Gestores Da
Administrao Pblica Federal Acerca De Conceitos De Gesto De
Continuidade Dos Negcios. [S.l.], 12 2008. 109 p. Monografia de

116

PALMEIRA JNIOR, G. D. Gesto de Crises na Administrao Pblica
Federal: Um Estudo sobre a Tipologia de Mitroff. [S.l.], 12 2008. 75 p.
Braslia.
PELTIER, T. R. Information security policies and procedures: a
practitionert's reference. Boca Raton: Auerbach Publications, 1998.
PELTIER, T. R. Information security risk analysis. Boca Raton:
Auerbach Publications, 2001.
PIMENTA, R. M. Proposta de modelo de melhoria de qualidade
baseado em processos para tratamento de incidentes
computacionais na administrao pblica federal. [S.l.], 12 2008.
RALHA, C. G. Gesto por Processos e Projetos. Campus
Universitrio Darcy Ribeiro. Instituto Central de Cincias, Abril 2008.
15 p. Notas de Aula desenvolvidas no mbito do Programa de
Comunicaes.
RANGEL, K. F. Levantamento de Requisitos e Controles de
Segurana para o Portal de Inteligncia Operacional do Estado Maior
de Defesa. [S.l.], 12 2008. 67 p. Monografia de Concluso de Curso
REZENDE, P. A. D. de. Modelos de Conna para Segurana em
Informtica. Campus Universitrio Darcy Ribeiro. Instituto Central de
Cincias, Maio 2009. 47 p. Notas de Aula desenvolvidas no mbito

117

ROCHA, H. A. da. Proposta de Cenrio para Aplicao da Norma
NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de
Controle Interno. [S.l.], 12 2008. Monografia de Concluso de Curso
ROCHA, P. C. C. Segurana da Informao - Uma Questo No
Apenas Tecnolgica. [S.l.], 12 2008. Monografia de Concluso de
ROCHA, R. X. Proposta de procedimento simplificado de auditoria de
gesto em segurana da informao em rgos do Poder Executivo
Federal. [S.l.], 12 2008. Monografia de Concluso de Curso
SANTOS, N. D. Auditoria Baseada Em Cenrios De Risco: Um
Paradigma Moderno Integrado Gesto de Segurana da Informao e
Comunicaes no mbito da Administrao Pblica Federal. [S.l.], 12
2008. Monografia de Concluso de Curso (Especializao) -
Departamento de Cincia da Computao, Instituto de Cincias Exatas,
SCHNEIER, B. Applied Cryptography: protocols, algorithms, and
source code in C. 2nd. ed. USA: John Wiley and Sons, 1996.
SCHNEIER, B. Segurana.com: segredos e mentiras sobre a
proteo na vida digital. Rio de Janeiro - RJ: Campus, 2001.
SECRETARIA DE LOGSTICA E TECNOLOGIA DA INFORMAO
DO MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO.
INSTRUO NORMATIVA No. 4, DE 19 DE MAIO DE 2008 : Dispe
sobre o processo de contratao de servios de tecnologia da
informao pela administrao pblica federal direta, autrquica e
fundacional. Braslia, maio 2008. Disponvel em:
<http://www.servidor.gov.br/noticias/noticias08/arqdown/080519 IN
4.pdf>. Acesso em: Agosto de 2009.

118

SILVA, P. J. S. Anlise/Avaliao de Riscos de Segurana da
Informao para a Administrao Pblica Federal: um enfoque de
alto nvel baseado na ISO/IEC 27005. [S.l.], 6 2009. Monografia de
SIMIO, R. S. Segurana da Informao e Comunicaes: conceito
aplicvel em organizaes governamentais. [S.l.], 6 2009. Monografia
Braslia.
SMITH, D.; ELLIOT, D. (Ed.). Key Readings in Crisis Management.
USA: Routeledge, 2006. 430 p.
STALLINGS, W. Criptogra e Segurana em Redes: Princpios e
prticas. So Paulo: Pearson Education Brasil, 2008.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. NIST Special
Publication 800-30: Risk Management Guide for Information
Technology Systems. [S.l.], July 2002. 55 p. Disponvel em:
<http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf>.
Acesso em: julho de 2009.
SYSTEMS AND NETWORK ATTACK CENTER - SNAC. The 60
Minute Network Security Guide: First steps towards a secure network
environment. USA, 2006. 48 p. Disponvel em:
<http://www.nsa.gov/ia/ _les/support/I33011R-2006.pdf>. Acesso em:
maro de 2009.
TAKAHASHI (Org.), T. Livro Verde da Sociedade da Informao no
Brasil. Braslia - DF: Ministrio de Cincia e Tecnologia, 2000. 195 p.
ISBN 85-88063-01-8. Disponvel em:
<http://www.mct.gov.br/index.php/content/view/18878.html>. Acesso
em: Outubro de 2010.
TAVARES, E. de L. Sistema de Comunicaes Operacionais Multimdia,
Comunicaes Mveis (REDE MESH 802.11s). [S.l.], 12 2008. 126 p.

119

Braslia.
THE INTERNATIONAL BANK FOR RECONSTRUCTION AND
DEVELOPMENT and THE WORLD BANK. A Decade of Measuring
the Quality of Governance. Washington - DC - USA, 2006. Disponvel
em: <http://go.worldbank.org/KUDGZ5E6P0>.
TRIBUNAL DE CONTAS DA UNIO. Acrdo 1.603/2008-TCU-
Plenrio: Levantamento acerca da Governana de Tecnologia da
Informao na Administrao Pblica Federal: Sumrios Executivos.
Braslia, 2008. 48 p. Disponvel em: <www.tcu.gov.br/_scalizacaoti>.
Acesso em: agosto de 2009.
VELOSO, R. R. Avaliao de Conformidade a Modelos de Gesto de
Segurana da Informao na Marinha do Brasil (MB). [S.l.], 12 2008.
Braslia.
VIEIRA, J. E. Proposta de uma Soluo de Certiao Digital para o
Exrcito Brasileiro. [S.l.], 12 2008. Monografia de Concluso de
WENGER, E.; MCDERMOTT, R.; SNYDER, W. M. Cultivating
Communities of Practice: A guide to managing knowledge. USA:
Harward Business School Press, 2002.

120

121

NOTAS SOBRE ESTA EDIO

Visite http://cegsic.unb.br para atualizaes, errata e outras informaes.

Este livro foi impresso na Grfica da Agncia Brasileira de Inteligncia, e
produzido para atendimento Portaria 17/2007, do Gabinete de Segurana
Institucional da Presidncia da Repblica Federativa do Brasil.

3 Livro GSIC UNB

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

3 Livro GSIC UNB

Загружено:

Авторское право:

Доступные форматы

1

Вам также может понравиться