Whitepaper PlanejamentoPT PDF

52
2
Associaes representadas no Infosec Council:
Apoio:
Planejamento Estratgico da Segurana da Informao
3
O InfoSec Council
O InfoSec Council foi criado em 2005, idealizado como uma reunio de profssionais de alto nvel (C-level),
cujas reas de atuao implicam no estmulo, criao, manuteno e evoluo de tcnicas e estratgias volta-
das segurana da informao, aqui considerada em um espectro bem amplo.
Neste aspecto, esto compreendidas as disciplinas de:
Tecnologia da Informao;
Segurana da Informao;
Segurana Corporativa;
Auditoria de Sistemas;
Governana de Tecnologia da Informao;
Compliance;
Recursos Humanos (voltado segurana e auditoria).
Ainda que estes profssionais exeram atividades em suas respectivas organizaes pblicas, privadas e
associativas , sua participao se d em carter pessoal em funo de sua comprovada e reconhecida expe-
rincia neste exerccio.
O objetivo do InfoSec Council atender s trs comunidades-alvo (usuria, provedora e acadmica) e con-
tribuir e infuenciar na evoluo dos aspectos regulatrios da tecnologia e da segurana da informao.
Divulgao
Os direitos autorais deste documento so do InfoSec Council e devem ser respeitados nos termos da Lei
9.610, de 19/02/1998, em especial quanto ao artigo 46.
autorizada a reproduo do todo ou de suas partes para uso acadmico, devendo ser citada expressamen-
te sua fonte. vedada a reproduo ou armazenamento deste documento para fns comerciais, exceto em caso
de autorizao anterior, por escrito, do InfoSec Council. Nenhuma outra permisso ou direito so concedidos
em relao a este documento.
InfoSec Council
security.advisor@live.com
www.infoseccouncil.org.br
4
Profssionais membros do InfoSec Council
Astor Calasso Gerente Consultor Governana, Auditoria e Segurana de TI
CONSIST Business Information Technology
Christiane Mecca Gerente de Segurana da Informao / Rhodia
Dioniso Campos Gerente de Segurana Corporativa / Nextel e VP / ABSEG
Djalma Andrade Gerente de Estratgias da Microsoft
Edison Fontes Consultor e Professor de Segurana da Informao
Fabiana Santos Analista de Marketing da Microsoft
Giuliano Giova Economista, Perito de TI e Diretor do IBP Brasil
Igor Pipolo Chairman da ABSEG
Joo Rufno de Sales Chefe da Assessoria de TI do DEC-Exrcito
Juliana Abrusio Advogada, especialista em Direito Eletrnico / Opice Blum Advogados Associados
Marines Gomes Gerente de Segurana da Microsoft
Mnica Orsolini Gerente de Infraestrutura da Promon Engenharia
Renato Opice Blum Advogado, especialista em Direito Eletrnico / Opice Blum Advogados Associados
Ricardo Castro Coordenador de Auditoria e Presidente da ISACA-SP
Ricardo Franco Coelho Coordenador Segurana-DF / Banco Central e VP / ABSEG
Valmir Schreiber CSO / Banco BNP Paribas e Past President da ISACA Captulo SP
Autores
Mnica Orsolini
Formada em anlise de sistemas, com mestrado em gerenciamento de sistemas de informao, gerente
de infraestrutura da unidade de sistemas da Promon Engenharia, empresa onde atua desde 1987, tendo tra-
balhado em vrias reas de TI. Sua principal misso prover uma infraestrutura de TI segura e confvel para
suportar os negcios da Promon.
Astor Calasso
Economista, gerente consultor da Consist Business Information Technology. Atua na rea de tecnologia da
informao (TI) h mais de 35 anos, gerenciando e implantando solues de TI e de governana em empresas
de grande porte, alm de atuar como consultor em reas corporativas estratgicas. Foi chief information offcer
(CIO) e chief security offcer (CSO) da rea corporativa da Accor Brasil (Ticket Servios), acumulando as reas
de telecomunicao, consultoria interna e shared services. membro da Comisso Organizadora do Congres-
so Nacional de Auditoria de Sistemas, Segurana e Governana de TI (CNASI) e membro fundador e vice-
presidente do InfoSec Council (SP). Foi diretor da Information Systems Audit and Control Association (ISACA)
em So Paulo nas gestes 2004 a 2006.

Joo Rufno de Sales
Coronel do Exrcito Brasileiro. Mestre em aplicaes militares, especialista em segurana da informao,
armamento e guerra eletrnica, atualmente exerce a funo de chefe da assessoria especial de tecnologia da
informao do Departamento de Engenharia e Construo do Exrcito Brasileiro. Foi membro do Comit Ges-
tor da Segurana da Informao, do Comit Gestor de Chaves Pblicas Brasileira, chefe da Seo de Internet
5
do Centro de Comunicao Social do Exrcito Brasileiro, onde foi responsvel pela implantao do Provedor
de Internet do Exrcito. Foi chefe do Grupo de Assessoramento Tcnico do Gabinete de Segurana Institucional
da Presidncia da Repblica e chefe do 3 Centro de Telemtica de rea So Paulo. membro da Sociedade
Brasileira de Engenharia de Rdio e TV e membro fundador do InfoSec Council.
Edison Fontes
Consultor, gestor e professor de segurana da informao, assunto ao qual se dedica desde 1989. Bacharel
em informtica pela Universidade Federal de Pernambuco (UFPE), instituio na qual fez especializao em cin-
cia da computao, ps-graduado em gesto empresarial pela Fundao Instituto de Administrao, da Univer-
sidade So Paulo (FIA/USP), e mestrando em tecnologia da informao pelo Centro Paula Souza, de So Paulo
(SP). autor dos seguintes livros:
Praticando a Segurana da Informao, Editora Brasport, 2008.
Segurana da Informao: O Usurio faz a Diferena, Editora Saraiva, 2006.
Vivendo a Segurana da Informao, Editora Sicurezza, 2000.
Christiane Mecca
Gerente de segurana da informao da Rhodia. Analista de sistemas com mais de 20 anos de atuao em
tecnologia da informao (TI), possui larga experincia em segurana da informao, e-commerce e redes. Gra-
duada em anlise de sistemas, ps-graduada em marketing e MBA em engenharia da qualidade, atua tambm
como auditora ISO 9001.
Alvaro Teflo
Administrador de empresas, com 15 anos de experincia no mercado fnanceiro, com foco na gesto de se-
gurana digital e combate fraude eletrnica. Foi CSO do Grupo Caixa Seguros e Business Security Offcer do
Citigroup. Atualmente, superintendente do Centro de Servios de Segurana Gerenciados na Produban, em-
presa de TI do Grupo Santander. Foi professor do curso de Gesto de Segurana da Informao da Universidade
Euro-Americana, em Braslia (SF), e professor-convidado do Curso de MBA em TI da Fundace-USP, em Ribeiro
Preto (SP). J escreveu artigos sobre segurana para a Gazeta Mercantil, KPMG Business Magazine, Microsoft
Business Magazine, TI Inside, entre outras publicaes. tambm palestrante, tendo realizado apresentaes
em 2009 no CERT-Forum, em So Paulo (SP), e no Security Summit 2009, organizado pela Revista The Econo-
mist, em Washington, DC (Estados Unidos).
Valmir Schreiber
Profssional com mais de 25 anos nos segmentos de informtica e segurana da informao. Atualmente
Chief Security Offcer (CSO) do Banco BNP Paribas Brasil. Graduado em matemtica e ps-graduado em segu-
rana da informao; possui certifcado Certifed Information Security Manager (CISM) pela Information System
Audit and Control Association (ISACA); certifcado em Information Technology Infrastructure Library (ITIL Foun-
dation); representante da Associao Brasileira de Bancos Internacionais (ABBI) no Banco Central para o grupo
de trabalho de segurana do Sistema de Pagamento Brasileiro (SPB); membro do InfoSec Council do Brasil; pre-
miado em 2004, 2005, 2006 e 2007 entre os 50 mais infuentes Security Offcer pela revista IT Intelligence Maga-
zine. Foi Presidente da ISACA captulo So Paulo nos anos de 2005, 2006 e 2007. Atua no mercado em palestras
sobre gesto de riscos tecnolgicos, governana de TI e conscientizao da segurana da informao.
Andr Pitkowski
Consultor snior em governana corporativa e de TI, avaliao de riscos e projetos de compliance
(GRC) h mais de 15 anos. Possui MBA em governana de TI pela Fundao IPT, certifcado CGEIT (Cer-
6
tifed in the Governance of Enterprise IT) pela ISACA, onde atua como diretor do captulo So Paulo desde
2003 e coordenador da ISACA-EUA para o Risk IT Framework. certifcado OCTAVE pela Software Enginee-
ring Institute (SEI), da Carnegie Melon University (CMU), de Pittsburg (EUA). ainda auditor lder em ISO 31.000,
framework de riscos corporativos. Atualmente, gerencia projetos para avaliao de riscos em ativos crticos,
mapa de riscos de TI e projetos para governana de TI e compliance em empresas nacionais e internacionais,
realiza palestras em mbito internacional e professor universitrio de ps-graduao e MBA.
Ricardo Castro, CISA CFE
Coordenador de auditoria interna no grupo Hamburg-Sd de Navegao e Logstica e presidente da Infor-
mation Systems Audit and Control Association Captulo So Paulo (ISACA-SP). Profssional com mais de 11 anos
de experincia nas reas de segurana da informao, gesto de riscos, auditoria e investigao de fraudes cor-
porativas. Graduado em tecnologia e processamento de dados pela Universidade Presbiteriana Mackenzie e
ps-graduado em anlise e projeto de sistemas. Foi o primeiro brasileiro a receber o Prmio ACFE Outstanding
Achievement Awards, concedido pela Association of Certifed Fraud Examiners norte-americana por suas con-
tribuies no combate s fraudes corporativas. palestrante e professor em cursos de MBA e ps-graduao
nas disciplinas de governana e gesto de riscos, auditoria, investigao e preveno de fraudes, introduo
forense computacional e gesto por processos.
Renato Opice Blum
Advogado e economista; Coordenador do curso de MBA em Direito Eletrnico da Escola Paulista de Direito;
Professor convidado do Curso Electronic Law da Florida Christian University, Fundao Getlio Vargas, PUC,
FIAP, Rede de Ensino Luiz Flvio Gomes (LFG), Universidade Federal do Rio de Janeiro, FMU e outras; Professor
palestrante/congressista da Universidade Mackenzie, FMU; Professor colaborador da parceria ITA-Stefanini; r-
bitro da FGV, da Cmara de Mediao e Arbitragem de So Paulo (FIESP); Presidente do Conselho Superior de
Tecnologia da Informao da Federao do Comrcio/SP e do Comit de Direito da Tecnologia da AMCHAM;
Membro da Comisso de Direito da Sociedade da Informao OAB/SP; Vice-Presidente do Comit sobre Cri-
mes Eletrnicos OAB/SP; Coordenador e coautor do livro Manual de Direito Eletrnico e Internet; Scio do
Opice Blum Advogados; Currculo Plataforma Lattes: http://lattes.cnpq.br/0816796365650938.
Juliana Abrusio
Scia da Opice Blum Advogados Associados, advogada atuante na rea de Direito Eletrnico. Mestre pela
Universidade de Roma II, professora da Faculdade de Direito Mackenzie e da Ps-Graduao em Computa-
o Forense desta mesma instituio. membro do Conselho de Comrcio Eletrnico da Federao de Comr-
cio (SP) e co-coordenadora da obra Manual de Direito Eletrnico e Internet, da Editora Lex.
Giuliano Giova
Executivo e profssional de processamento de dados h mais de 30 anos. Economista, perito judicial em
questes de tecnologia da informao (TI) e telemtica, diretor do Instituto Brasileiro de Peritos em Comrcio
Eletrnico e Telemtica (IBP Brasil), instrutor e palestrante a respeito de percia em TI, som, imagem e crimes
perpetrados por meios eletrnicos.
7
Sumrio
Apresentao ................................................................................................................................................................10
Captulo 1
Sistema de gesto de segurana da informao ........................................................................................11
Mnica Orsolini
1. Patrocinadores e comit ........................................................................................................................................11
1.1. Conceito-chave ......................................................................................................................................................11
1.2. Mecanismos de controle ....................................................................................................................................11
1.2.1. Mtricas .................................................................................................................................................................11
1.2.2. Defnio ...............................................................................................................................................................12
1.2.3. Tipos de mtricas ...............................................................................................................................................12
1.2.4. Coleta de resultados .........................................................................................................................................13
1.2.5. Fatores-chave de sucesso ...............................................................................................................................13
Captulo 2
Participao do negcio no PESI ........................................................................................................................14
Astor Calasso
1. A responsabilidade dos gestores no PESI ........................................................................................................14
2. Quem paga pela segurana?................................................................................................................................15
3. Como fazer a segurana? ......................................................................................................................................15
4. Segurana interna ou outsourcing? ...................................................................................................................15
5. Quem o comit do PESI? ...................................................................................................................................16
6. Quais riscos e vulnerabilidades devem ser tratados? ..................................................................................16
7. O papel da administrao e dos investidores ................................................................................................17
Captulo 3
Gesto de riscos ...........................................................................................................................................................18
Joo Rufno de Sales
Captulo 4
Aspectos tecnolgicos, humanos e fnanceiros ..........................................................................................20
Edison Fontes
1. Introduo ...................................................................................................................................................................20
2. Defnies ....................................................................................................................................................................20
2.1. Aspectos sociais .....................................................................................................................................................20
2.2. Aspectos tcnicos ..................................................................................................................................................20
3. Planejamento da segurana da informao ...................................................................................................20
4. Aspectos sociais .........................................................................................................................................................22
4.1. Regulamentos .........................................................................................................................................................22
4.2. Cultura organizacional ........................................................................................................................................22
4.3. Clima organizacional ...........................................................................................................................................22
4.4. Processo contnuo de treinamento ................................................................................................................23
4.5. Profssionalismo .....................................................................................................................................................23
8
5. Aspectos tcnicos .....................................................................................................................................................23
5.1. Atualizao da tecnologia .................................................................................................................................23
5.2. O fornecedor da soluo ....................................................................................................................................23
5.3. Requisitos de segurana devem ser mantidos ...........................................................................................24
6. Aspectos fnanceiros ................................................................................................................................................24
7. Concluso ....................................................................................................................................................................24
Captulo 5
Servios internos .........................................................................................................................................................25
Christiane Mecca
Captulo 6
Provedores externos .................................................................................................................................................26
lvaro Teflo
1. Introduo ...................................................................................................................................................................26
2. Gesto de parceiros de negcios........................................................................................................................26
3. Quem, quando e o que avaliar ............................................................................................................................26
4. Avaliando e monitorando o risco .......................................................................................................................27
5. Implantando o processo ........................................................................................................................................27
Captulo 7
Melhores prticas .......................................................................................................................................................29
Valmir Schreiber e Andr Pitkowski
1. Introduo ...................................................................................................................................................................29
1.1. As dimenses ..........................................................................................................................................................29
1.2. Os mecanismos ......................................................................................................................................................29
2. CobiT .............................................................................................................................................................................30
2.1. Um modelo unifcado .........................................................................................................................................30
3. ITIL ..................................................................................................................................................................................31
3.1. ITIL uma viso geral ..........................................................................................................................................31
4. CobiT e ITIL agregando resultados ....................................................................................................................31
4.1. Combinando CobiT e ITIL para atingir os desafos dos negcios .......................................................31
4.2. Combinao de modelos ...................................................................................................................................32
5. COSO .............................................................................................................................................................................32
6. CBK .................................................................................................................................................................................33
7. Associaes .................................................................................................................................................................34
7.1. ISACA .........................................................................................................................................................................34
7.2. ISSA .............................................................................................................................................................................34
9
Captulo 8
Gerenciamento de mudanas ...............................................................................................................................35
Ricardo Castro
1. Mudanas como causas de incidentes ............................................................................................................. 35
2. Desafos na gesto de mudana .........................................................................................................................35
3. Gesto de mudanas segundo o CobiT .......................................................................................................36
4. Mantendo os riscos sob controle .......................................................................................................................37
5. Medindo a efcincia dos controles ...................................................................................................................37
6. Pergunta para pensar ..............................................................................................................................................38
Captulo 9
Aspectos jurdicos do PESI .....................................................................................................................................39
Renato Opice Blum e Juliana Abrusio
1. Introduo ...................................................................................................................................................................39
2. A estratgia da organizao frente s normas de segurana ..................................................................39
3. Conformidade com requisitos legais .................................................................................................................39
4. Regulamento Interno de Segurana da Informao ...................................................................................40
5. Termo de Uso da Segurana da Informao ..................................................................................................40
6. Monitoramento de e-mails ...................................................................................................................................40
7. Responsabilidades ....................................................................................................................................................41
8. Implementao..........................................................................................................................................................42
Captulo 10
Computao forense .................................................................................................................................................44
Giuliano Giova
1. O poder do fara ......................................................................................................................................................44
2. Milhares de anos depois ........................................................................................................................................44
3. E hoje? ..........................................................................................................................................................................45
4. Revisitando o velho confito de interesses ......................................................................................................46
5. Computao forense ...............................................................................................................................................47
6. Princpio de Locard ..................................................................................................................................................48
7. Heisenberg e a fsica quntica .............................................................................................................................48
8. Cadeia de custdia ...................................................................................................................................................48
9. Quesitos .......................................................................................................................................................................49
10. Exames tcnicos ......................................................................................................................................................49
11. Laudo pericial ..........................................................................................................................................................50
12. Finalmente ................................................................................................................................................................50
10
Apresentao
medida que a tecnologia representa cada vez mais um componente importante e preponderante dos
negcios em muitos casos, parte integrante dos prprios produtos e servios oferecidos , no permitido
que as organizaes descuidem do controle adequado e meticuloso de seus processos. Caso contrrio, elas te-
ro perda expressiva de capacidade de operao nos seus mercados e da credibilidade de sua administrao.
Durante diversos eventos, em que participamos como membros do InfoSec Council ou em decorrncia das
nossas atividades profssionais, de forma recorrente somos confrontados com questionamentos referentes
forma de criao, elaborao e estabelecimento de um Planejamento Estratgico de Segurana da Informao
(PESI).
As questes levantadas so multidisciplinares e frequentemente referem-se a:
Metodologias empregadas;
Cuidados considerados;
Envolvimento da alta administrao;
Formas de funding e custeio;
Gesto de riscos e vulnerabilidade dos processos;
Determinaes legais e regulatrias;
Gerenciamento da execuo.
Em face desta demanda, o InfoSec Council resolveu, em suas reunies peridicas, que deveria propiciar
nossa comunidade um material para servir como guia e consulta para esta tarefa. Assim, seus membros foram
alocados para compilar suas experincias, lies aprendidas e, por que no, difculdades enfrentadas e at os
erros cometidos.
Este material foi consolidado neste documento, cuja fnalidade fornecer informaes, sugestes e alertas
sobre uma forma de atingir o objetivo maior: mobilizar todas as reas das organizaes em torno de um tema
fundamental. Portanto, no nossa ambio estabelecer aqui um formato fnal e defnitivo sobre a matria.
Neste sentido, trata-se da soma das experincias vividas, ajustadas a uma pesquisa de melhores prticas, bus-
cando traar recomendaes e direes a serem observadas na elaborao do PESI.
A quem se destina este documento
Este trabalho endereado gerncia executiva e aos profssionais responsveis pelos controles e pela
informao, incluindo gestores de SI e de TI e aos profssionais de auditoria, apoiando-os na avaliao dos
ambientes da informao.
Particularmente, recomendamos tambm sua leitura ao board das organizaes.
Agradecimento
O InfoSec Council deseja agradecer s Organizaes e Empresas em que os seus Membros atuam, pelo est-
mulo e motivao que proporcionam aos seus Executivos. O InfoSec Council tambm agradece Consist pelo
apoio editorial na impresso deste paper.
Agradecemos, tambm, ao inestimvel apoio de:
Fabiana Santos Analista de Marketing da Microsoft
Marcelo Melro LAM Solutions Consulting Manager / Siemens Enterprise Communications
11
Captulo 1
Sistema de gesto de segurana da informao
Mnica Orsolini
1. Patrocinadores e comit
A escolha dos patrocinadores fundamental para o sucesso da implantao de um Sistema de Gesto de
Segurana de Informao (SGSI) em uma organizao. por meio deles que se obtm o respaldo para a im-
plantao do SGSI, tornando vivel a tomada de aes decorrentes da aplicao do sistema. Geralmente, so
escolhidos como patrocinadores profssionais da alta direo da organizao, alm de outras pessoas-chave
da rea do negcio.
Estas pessoas devem formar um comit, comumente chamado de Grupo Gestor de Segurana da Infor-
mao (GGSI), que tem como meta a manuteno do SGSI na organizao. Entre as atribuies deste grupo,
est a criao da Poltica de Segurana da Informao, bem como os procedimentos que decorrem dela e a
aplicao de eventuais sanes, que devem ser aplicadas de forma imparcial a qualquer colaborador que in-
frinja a poltica estabelecida, no importando seu grau hierrquico. Para que esta premissa possa ser cumprida,
entretanto, necessrio que o GGSI tenha infuncia sufciente para sensibilizar os colaboradores dos riscos
envolvidos no no-cumprimento da poltica.
Porm, vale destacar que a segurana da informao uma questo cultural, de aprendizado e de proces-
sos. Por isso, as sanes devem ser aplicadas medida que o sistema torna-se consistente, de conhecimento de
todos, e a partir do momento em que a curva de aprendizado se mostrar favorvel. Este um processo lento
e que exige muita dedicao do GGSI.
1.1. Conceito-chave
Sanes: regras tm de ser cumpridas e, a cada no-cumprimento, uma sano pode ser aplicada. Todas
as regras devem ter os riscos associados ao seu no-cumprimento muito bem documentados, bem como tm
necessidade de deixar claras as sanses possveis de aplicao.
Perguntas para pensar:
Voc escolheu um patrocinador que poder dar respaldo adequado ao projeto?
Seu patrocinador apoiar as sanes contra qualquer membro, caso ele mesmo cometa alguma irregu-
laridade?
O patrocinador um dos maiores interessados no sucesso do projeto?
1.2. Mecanismos de controle
No se gerencia o que no se mede, no se mede o que no se defne, no se defne o que no se entende,
no h sucesso no que no se gerencia (William Edwards Deming).
1.2.1. Mtricas
Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente
este processo implica ao gestor responsvel pela misso a necessidade de gerenciar diversos mecanismos de
controles implementados em diversas plataformas e em vrios ambientes organizacionais. Dependendo do
nmero de pessoas, processos e tecnologias envolvidas, esta atividade pode se tornar rdua, devido quanti-
dade e diversidade de elementos a serem monitorados.
Surge, ento, a necessidade iminente de responder algumas questes:
Como podemos saber se o nvel atual de segurana est no patamar requerido para o nosso negcio?
Como medir o nvel de efccia dos controles atuais frente aos riscos identifcados?
Uma boa estrutura de mtricas permite avaliar a efetividade de um SGSI. Mas, para se chegar a este nvel,
a organizao precisa desenvolver um plano de mtricas, que deve incluir a forma de coleta, o repositrio, os
12
Escopo da mtrica
Propsito e objetivo
Mtodo de medio
Frequncia da medio
Origem dos dados
e procedimento de coleta
Indicadores
Data da medio e responsvel
Nvel da efetividade alcanada
Causas do no-cumprimento
Este campo deve conter o nome da mtrica e a descrio da escala que ser usada.
Este campo descreve o que deve ser medido. Por exemplo: o processo ou controles do ISMS
e quais partes do processo ou controles.
Este campo deve definir o propsito da mtrica, quais as metas e objetivos devem ser atingidos
Este campo deve descrever como a medio ser realizada, por exemplo, usando clculo, frmula
ou porcentagens.
Este campo deve descrever a periodicidade da medio. Por exemplo: mensal, semanal, dirio etc.
Este campo deve definir de onde os dados sero coletados e quais mtodos so usados para a coleta.
Este campo deve conter os indicadores usados para otimizar a mtrica e definir o seu propsito
e como eles so entendidos e podem ser aplicados.
Este campo deve descrever a data da medio e a pessoa responsvel por esta ao.
Este campo deve conter o resultado e a data da medio
Este campo deve conter as causas do no-cumprimento dos objetivos, indicadores etc.
Mtrica
Fonte: Measuring the effectiveness of your ISMS.
procedimentos para reteno e a forma de avaliao, entre outras. O primeiro passo compreender quais so
os objetivos a serem atingidos e, a partir disto, desenvolver mtricas que satisfaam estes objetivos.
Medir a efccia de um SGSI est longe de ser uma tarefa fcil. Para tanto, estratgias devem ser elaboradas
para monitor-la, resultando em informaes que faam sentido e auxiliam os tomadores de deciso. Em mui-
tos casos, a falta de tempo, conhecimento e a adoo de uma estratgia inadequada para a criao de mtricas
podem prejudicar o SGSI.
Por outro lado, como o SGSI muito dinmico. Mtricas bem defnidas ajudam a visualizar a situao atual,
bem como auxiliam a realizao de simulaes e o desenvolvimento das melhorias necessrias. preciso man-
ter o SGSI vivo e em constante evoluo.
1.2.2. Defnio
Mtricas em um SGSI so medidas estipuladas com base em metas a serem atingidas, as quais so compa-
radas aos resultados obtidos durante a sua operao de um SGSI. Contudo, isto no invalida a importncia de
comparar os resultados alcanados anteriormente, pois, desta forma, possvel vislumbrar tendncias e avaliar
o amadurecimento de seu SGSI. Esta anlise de tendncia ajudar a organizao a se precaver e tomar medidas
preventivas para a correo de determinados desvios.
Um mtodo bastante importante no SGSI o Benchmarking. Ele usado para se comparar o desempenho
de algum processo a outro similar, de outra organizao, que esteja sendo executado de maneira mais efcaz
e efciente.
1.2.3. Tipos de mtricas
Mediante uma diversidade de mtricas, devemos escolher as mais adequadas a cada caso. Algumas podem
ser utilizadas (mas no se limita a estas) para medir efccia, efcincia, tempo, produtividade, qualidade, per-
formance e confabilidade do SGSI.
Como exemplo de acompanhamento das mtricas, podemos citar:
Benchmarking de pesquisas de sobre segurana da informao;
Resultados de pesquisas internas de avaliao do SGSI;
Gesto de incidentes de segurana.
Independente da diversidade dos tipos de mtricas existentes, a organizao deve selecionar aquelas que
lhe forneam informaes relevantes de seu SGSI, conforme citado anteriormente. A seguir, apresentamos uma
tabela com as informaes mnimas, porm, necessrias, para se criar um plano de mtricas.
Tabela 1 Passo a passo para o estabelecimento de mtricas.
13
1.2.4. Coleta de resultados
A atividade de medir demanda recursos e, obviamente, tempo para a coleta e anlise dos resultados. Por
esta razo, as mtricas devem fazer sentido e ser coerentes, alm de alinhadas aos objetivos a serem alcana-
dos. Como nem todos os resultados podem ser coletados automaticamente, importante determinar a melhor
forma de faz-lo, principalmente quando o envolvimento de outras reas se faz necessrio e a coleta tem de
ser realizada manualmente.
Alguns processos eventualmente so executados e os registros coletados e armazenados em outra localida-
de. Independente disto, o resultado deve ser coletado e consolidado em um nico repositrio.
1.2.5. Fatores-chave de sucesso
Destacamos alguns fatores que devem ser gerenciados adequadamente para que a organizao consiga
desenvolver mtricas adequadas e que ajudem a monitorar de forma mais assertiva o seu SGSI.
Conhecer o objetivo a ser alcanado;
Conhecer as metas a serem alcanadas;
Coletar os resultados em tempo hbil;
Apresentar resultados vlidos e confveis;
Criar mtricas que permitam monitorar o SGSI;
Desenvolver metas desafadoras.
de fundamental importncia que os fatores-chave de sucesso sejam identifcados e documentados para
que a organizao consiga administr-los. Por fm, notria a importncia do estabelecimento de mtricas,
para que seja possvel vislumbrar a efetividade de qualquer SGSI. Sem elas, o gerenciamento passa a ser reali-
zado de forma pontual, com muitas aes sem foco e, em alguns casos, sem critrios defnidos.
A gesto que utiliza um sistema de mtricas permite no apenas uma visualizao rpida da situao atual,
mas, tambm, contribui para uma tomada de deciso mais assertiva.
Bibliografa
HUMPHREY, Ted, PLATE, Angelika. Measuring the effectiveness of your ISMS implementations based on ISO/
IEC 27001. London: BSI Standards, 2006.
NIST SPECIAL PUBLICATION. Security Metrics Guide for Information Technology Systems. 800-55, July 2003.
PAYNE, Shirley. A Guide to Security Metrics. SANS Security Essentials GSEC Practical Assignment, Version
1.2e, July 2004.
14
Captulo 2
Participao do negcio no PESI
1

Astor Calasso
Quem conhece os outros inteligente. Quem conhece a si mesmo, iluminado.
(Tao Te King Lao Tzu)
Predio algo muito difcil. Especialmente sobre o futuro.
(Niels Bohr, Nobel de Fsica-1922)
Ns somos o que repetidamente fazemos. Excelncia no um ato, mas um hbito.
(Aristteles)
A premissa fundamental da gesto de riscos corporativos que cada organizao existe para proporcionar
VALOR aos seus investidores. Todas as organizaes enfrentam incertezas, e o desafo para os seus gestores
determinar o quanto de incerteza deve ser aceita, uma vez que difcultam o crescimento de valor aos investi-
dores.
A incerteza apresenta tanto riscos quanto oportunidades, com potencial para destruir ou aumentar o valor.
A gesto dos riscos propicia aos gestores lidar efetivamente com a incerteza e os riscos e oportunidades asso-
ciados, reforando a capacidade de criar valor.
O valor maximizado quando os gestores estabelecem a estratgia e os objetivos para atingir o equilbrio
ideal entre as metas de crescimento / retorno e os riscos a elas relacionados, empregando os recursos de forma
efciente e efcaz para a consecuo dos objetivos da Organizao (COSO Committee of Sponsoring Organi-
zations of the Treadway Commission).
A citao acima d incio ao Sumrio Executivo do Enterprise Risk Management Integrated Framework,
editado e distribudo pelo COSO. Estas afrmaes exprimem, em suas essncias, o papel fundamental e inde-
legvel da diretoria e dos gestores de todas as organizaes. Deve-se notar que nenhuma designao feita
a funes especfcas, referindo-se aos gestores de forma generalizada.
1. A responsabilidade dos gestores no PESI
De fato, esta responsabilidade repousa por inteira sobre os ombros do board gestor. Ainda que a execuo de
determinadas aes sejam atividades delegadas a uma rea especializada (por exemplo, ao CSO Chief Security
Offcer), o estabelecimento de seus objetivos e limites responsabilidade de todos os gestores. rea delegada
cabe o papel de implantar tecnicamente, observando a execuo e a realizao da estratgia (fazer-fazer) e,
com a autoridade associada responsabilidade que recebeu, atuar para seu correto direcionamento e efetivida-
de. E isto fundamental: a rea delegada tem a responsabilidade e, na mesma medida, autoridade recebida do
board sobre os eixos estratgicos a ela atribudos.
Entretanto, como reza a boa prtica na delegao de poderes, todas as tarefas podem ser delegadas, mas
nenhuma tarefa pode ser delegada por inteiro; a poro que fca com quem delega constitui o ponto de con-
trole.
o negcio quem tem as medidas exatas dos riscos a que esto expostos e, da mesma forma, quais incer-
tezas, na sua justa medida, devem ser prevenidas (ou aproveitadas) para a gerao de melhores negcios e o
atendimento diferenciado de seus mercados. Nem mais, nem menos. Outra vantagem expressiva deste envol-
vimento que, ao entender a exata aplicao das medidas, os gestores do negcio podero tambm apresen-
tar ao seu mercado esta segurana como um benefcio adicional agregado aos seus produtos e servios.
1
Plano Estratgico de Segurana da Informao.
15
2. Quem paga pela segurana?
Atualmente, inaceitvel a situao muitas vezes encontrada, em que, de um lado, a gesto de riscos deve
cobrir vulnerabilidades de tecnologia da informao (TI) ou de processos e, ao mesmo tempo, no consegue
recursos para implantar seus projetos. Ora, se fundamental que o negcio estabelea a organizao e o
comportamento frente aos riscos, ele quem deve prover seus recursos e, a partir da, cobrar pelo seu correto
emprego. E isso, sem qualquer dvida, parte integrante do custo do negcio. A ideia de que custos de TI e
da segurana so destas reas e no do negcio uma forma inconsistente de administrar. So custos que o
negcio deve arcar, considerando a evoluo no curto, mdio e longo prazos. Mas importante no perder
de vista que a aplicao, a existncia e a extenso da segurana deve ser uma imposio estratgica da orga-
nizao.
Em resumo, saudvel considerar que o setor de segurana da informao uma rea de custo zero, em
que suas despesas e investimentos so repassados s demais reas, produtos ou fliais da organizao. Desta
forma, melhora a percepo de todos de que obrigatria a gesto do risco e a segurana da informao e que
isto responsabilidade de todos. Alis, esta cultura saudvel tambm quando aplicada a toda a rea de TI.
3. Como fazer a segurana?
No raro, nos deparamos com situaes em que os projetos so estabelecidos em funo apenas de alertas
do mercado, principalmente de consultores e fornecedores. No que eles sejam errados ou perniciosos, mas
comum que, apenas vindos de fora para dentro da organizao, no enderecem adequadamente as reais carac-
tersticas demandadas ou suportadas pelo negcio. Exploram, em muitos casos, as tcnicas de fear, uncertainty
and doubt (FUD, sigla em ingls para designar medo, incerteza e dvida). Projetos assim, no mais das vezes,
resultam em custos e esforos desproporcionais s necessidades reais ou muito grandes, implicando ociosidade,
ou muito pequenos, implicando em grande vulnerabilidade residual.
Estes projetos acabam fcando no campo da capacidade poltica e de convencimento dos gestores de risco,
simplesmente aceitos pelos demais gestores de forma passiva, acreditando somente na argumentao apre-
sentada (fenmeno conhecido no campo comportamental como O paradoxo de Abilene, um fenmeno no
qual um grupo de pessoas se v forado a agir de forma oposta s suas convices).
Na melhor das hipteses, esta prtica representa apenas pura perda de esforos, tempo, credibilidade e, fnal-
mente, dinheiro. Nestes casos, quando os problemas acontecem, invariavelmente toda a responsabilidade recai
sobre o CSO. Cada organizao deve estabelecer, luz de suas caractersticas prprias, da evoluo prevista, de
novos negcios planejados e dos benchmarks que lhe fazem sentido, as melhores prticas a serem seguidas e
qual ser a medida da averso ao risco a ser observada. O contrrio implica em corte arbitrrio dos recursos a
cada vez que o negcio enfrente percalos, no havendo certeza do emprego adequado dos recursos.
4. Segurana interna ou outsourcing?
O cenrio que tratamos at aqui diz respeito poltica a ser empregada na segurana e deve ser conside-
rado sem importar qual modelo operacional a ser praticado. Mesmo quando falamos em outsourcing, estas
questes devem ser adequadamente endereadas, para que o baseline a ser contratado seja o mais realista
possvel. Afnal, outsourcing no signifca transferncia de responsabilidade, apenas uma delegao da ativi-
dade operacional.
Da mesma forma, a deciso por outsourcing apenas pela tica da reduo de custos pode mostrar-se peri-
gosa em todas as situaes, mas, particularmente, no que tange segurana da informao. preciso ter em
mente dois aspectos:
Terceirizar aquilo que no se domina ou apenas por ser mal feito internamente pode signifcar insucesso
e maiores custos;
O perodo imediatamente anterior contratao do outsourcing um momento privilegiado para a reor-
ganizao do processo a ser terceirizado.
16
A reduo de custos, neste cenrio, poder, ento, ser mais facilmente atingida, de uma forma mais con-
sistente, resultando em que o que for contratado seja realmente o baseline necessrio: nem to pequeno que
gere no-qualidade, nem to grande que signifque custos indevidos (ociosidade).
Dentro disso, outro aspecto desta mesma situao o caso frequente que acontece quando defnido o
fornecedor antes da escolha do processo ou da soluo adequada, tambm conhecida como Sndrome da
Grife ou Efeito Manada. Esta inverso da ordem de escolha uma prtica recorrente, citada pelo Gartner
como sendo uma das fontes de problemas na gesto da segurana (e da TI como um todo). Nestes casos,
comum que a organizao seja adaptada soluo, quando o correto o contrrio. Depois de escolhido o
fornecedor, muito difcil mudar alternativas e at mesmo defnir os SLA (Service Level Agreement, ou acordo
de nvel de servio) convenientes, pois as atividades sero desenvolvidas apenas segundo as prticas deste
fornecedor, ou amarradas ao baseline contratado.
Como qualquer investimento, os projetos propostos no PESI devem prover sempre a anlise de ROI (return
on investment, ou retorno sobre o investimento), seja fnanceiro ou intangvel. Para que esse retorno seja efeti-
vo, imprescindvel que os benefcios sejam mensurados e determinados pelo negcio, segundo sua viso da
taxa interna de retorno aceitvel. E vale repetir o alerta: os gestores de riscos no devem procurar sozinhos os
ndices de retorno adequados; de novo, o negcio quem pode formular as melhores condies.
5. Quem o comit do PESI?
Embora j mencionado em outro captulo deste documento, vale aqui seu reforo. Um aspecto importante
quando falamos da participao do negcio no PESI deixar bem claro que os gestores envolvidos so aqueles
da linha de frente da organizao, aqueles que atendem diretamente aos processos. Mas eles devem ser se-
cundados e fundamentados pelas equipes de auditoria, departamento jurdico, compliance, TI e segurana (de
TI e corporativa). Em todos os casos, tambm a rea de recursos humanos (RH) deve participar, uma vez que o
comportamento do quadro de colaboradores um importante elemento de mitigao de riscos. E como um
plano s bom quando conhecido, compreendido e abraado por toda a organizao, deve-se considerar
a mobilizao do marketing e da comunicao social para sua divulgao e conhecimento, desenvolvendo
aes de endomarketing adequadas a cada organizao.
Quanto ao patrocinador, a sugesto que seja, na medida do possvel, o responsvel maior da organizao
(CEO Chief Executive Offcer ou presidente etc.). Uma alternativa ter sua nomeao feita pelo rgo a que
a organizao esteja subordinada, como conselho de acionistas, conselho curador etc.
Ainda segundo o COSO, no Sumrio Executivo acima citado, esta participao visa estabelecer aes con-
juntas e harmnicas no sentido de:
Alinhar a averso ao risco e a estratgia necessria;
Melhorar as decises de resposta aos riscos;
Reduzir os imprevistos operacionais e as perdas;
Identifcar e gerenciar riscos mltiplos e cruzados na organizao;
Aproveitar as oportunidades em um ambiente proativo;
Otimizar o emprego de capital / investimentos.
6. Quais riscos e vulnerabilidades devem ser tratados?
A anlise das origens dos riscos um aspecto importante e fundamental a ser considerado. Correntemente,
a segurana da informao tratada como uma das atividades ligadas, de uma forma ou de outra, prpria
TI. Neste caso, o que se v o tratamento tcnico destas ameaas, provendo-se o ambiente de poderosas
ferramentas para evitarmos os ataques externos, tais como Firewalls, IDS, antivrus etc. Claro, este tipo de
ferramenta fundamental e, infelizmente, continuar a ser. Entretanto, ateno especial deve ser dada s
ameaas internas, em que usurios, utilizando operaes legtimas e que fazem parte de seu trabalho normal,
causam danos s vezes maiores (e quase sempre recorrentes) do que os ataques externos. Estes casos, que
incluem vazamento de informaes, perda de capital intelectual, fraudes etc., causam prejuzos irreparveis
organizao, tanto em termos de expressivas perdas fnanceiras como (pior) de imagem. O importante que
17
estes riscos e vulnerabilidades quase nunca so objeto de considerao pela rea tcnica, mas so fontes de
enorme preocupao por parte dos gestores do negcio e, em ltima anlise, pelos gestores maiores CFO
(chief fnancial offcer), COO (chief operating offcer), CTO (chief technical offcer), CCO (chief compliance offcer)
etc., inclusive do CEO.
Alm das questes organizacionais relativas aos riscos derivados do negcio, h que se preparar tambm
para as questes regulatrias. Mais e mais surgem (e surgiro) regras impostas para a conduo das organiza-
es, em funo da crescente interdependncia dos mercados globais e da proteo necessria aos investido-
res e stakeholders. Neste aspecto, a organizao dever estar preparada para outro tipo de risco, no menos
importante: as questes de compliance. E a surgem novas condies: as organizaes devem, sistematicamen-
te, adequar-se a diversas regras de natureza e origens diferentes. Como exemplo, temos as regras internacio-
nais, as dos pases de origem, as do pas de operao (estas duas conhecidas como questes home-host), as
estabelecidas pelos segmentos em que operam, alm das prprias regras internas. Todas estas regulaes so
dirigidas diferentemente (s vezes de forma quase confitante) a todas as reas da organizao: administrativa,
fnanceira, operacional, comercial, logstica, produo etc. A inobservncia de apenas uma delas pode ser fatal
a todo o empreendimento, sendo, portanto, uma enorme questo de RISCO.
7. O papel da administrao e dos investidores
Neste processo, os responsveis diretos pela segurana devero desempenhar um papel que vai alm da
simples coleta de informaes para a tomada de deciso, pois deve apresentar um modelo com escopo def-
nido e sugerir critrios para que o processo decisrio seja estruturado e no apenas baseado em um evento.
Como os riscos, invariavelmente, so maiores do que os recursos disponveis, o colegiado de gestores dever,
ento, defnir o que ser feito e suas prioridades frente s realidades atuais e das tendncias do negcio. Ape-
nas assim possvel defender, junto direo da organizao e aos investidores, a alocao de recursos para
sua realizao e a obteno da fora e autoridade indispensveis na sua conduo.
Um processo decisrio estruturado e conjunto permitir:
Alinhar a viso dos gestores quanto aos aspectos estratgicos e sua importncia;
Elencar critrios qualitativos e quantitativos das diversas reas;
Decises consistentes, baseadas em regras claras e de consenso;
Otimizao dos recursos em funo da prpria evoluo do negcio (anlise estratgica dos cenrios);
Priorizar os projetos de forma consistente e estruturada;
Comunicar a deciso e seus critrios de forma adequada a todo o corpo da organizao;
Assegurar compliance da organizao adequado aos seus ambientes;
Resultados justifcveis.
Procurar usar uma linguagem comum uma tarefa importante, sempre considerando que os diversos ato-
res tm modelos mentais diferentes, segundo suas atribuies funcionais. O ideal criar um modelo comum,
que permita compartilhamento entre eles: o CEO com o CFO, com o COO etc. E eles devem entender que sero
responsveis tambm pelo sucesso e pelas metas que declararem.
importante ter em mente que os investidores esto interessados em dois aspectos e que nenhum deles
deve ou pode ser minimizado. Por um lado, eles querem os melhores resultados imediatos possveis, rentabi-
lizando os investimentos feitos e, de outro, preocupam-se com a capacidade de a organizao proporcionar
lucros e benefcios futuros em ltima anlise, a perenidade da operao, que determina o valor real do ne-
gcio (goodwill).
18
Captulo 3
Gesto de riscos
Joo Rufno de Sales
Rir correr o risco de parecer um tolo.
Chorar correr o risco de parecer sentimental.
Abrir-se para algum arriscar envolvimento.
Expor os sentimentos arriscar a expor-se a si mesmo.
Expor suas idias e sonhos arriscar-se a perd-los.
Amar correr o risco de no ser amado.
Viver correr o risco de morrer.
Ter esperanas correr o risco de se decepcionar.
Tentar correr o risco de falhar.
(Autor desconhecido)
A nossa vida assim: uma seqncia infndvel de escolhas entre uma situao ou outra. O risco inerente
s sociedades humanas. A nossa condio de seres inteligentes faz de nossas opes uma constante escolha
se devemos ou no aceitar o prximo passo. Dentro deste aspecto que a gerncia de riscos em segurana
assume decisivo papel na elaborao do Planejamento Estratgico de Segurana da Informao (PESI).
Mais do que arriscar para ter sucesso em um bom planejamento, necessrio ter apetite pelo risco, quanti-
fcar corretamente e escolher os tipos de riscos que uma organizao est preparada para correr ou perseguir.
o risco aceitvel que nos faz diferentes e competitivos na sociedade moderna. O risco deve ser retido de for-
ma consciente e alinhado aos nossos objetivos. Devemos sempre, a cada passo, estar preparados para escolher
qual o risco que desejamos aceitar para atingir nossos objetivos.
A gesto de riscos, portanto, um processo sistemtico para identifcar, analisar, avaliar e tratar os riscos e
permite melhorar o desempenho da organizao por meio da identifcao de oportunidades de ganhos e de
reduo de probabilidades ou impactos de perdas, indo alm de demandas regulatrias. O processo de ava-
liao de riscos (risk assessment), na verdade, no um processo nico e, sim, uma composio de trs outros
processos: identifcao de riscos, anlise de riscos e avaliao de riscos. O objetivo fnal do processo sempre
que o risco seja reduzido ao nvel aceitvel, o que signifca que o custo do tratamento no deve ultrapassar o
custo proporcionado pelo risco.
Os hackers e crackers esto mais atuantes a cada dia. As mazelas do mundo real esto cada vez mais pre-
sentes no virtual, em um cenrio complexo de redes interconectadas. Pesquisa realizada pela AON com 320
executivos de diversos segmentos, em 29 pases, revelou que o risco mais temido pelas grandes corporaes
o dano reputao da organizao seguido de perto pela interrupo dos negcios e pela responsabilidade
civil. Podemos verifcar, ento, que todos os maiores temores esto diretamente ligados informao, sua
integridade e disponibilizao adequada. Confana e credibilidade constituem a base de nossa sociedade e
podem ser amplamente prejudicadas pela informao.
Como fazer para implantar uma adequada gesto dos riscos? Em minha opinio e de muitos autores, a me-
lhor maneira escolher o framework de trabalho mais adequado e obter da alta administrao o comprome-
timento. Normas e diretrizes no faltam. Experimente digitar as palavras normas, gesto e riscos no Bing:
milhares de links lhe indicaro bons caminhos. Selecione aqueles que lhe paream mais adequados, busque
especialistas, implemente solues automatizadas de anlise de riscos para auxiliar a tomada de decises.
Finalmente, tenha sempre em mente que no existe como eliminar 100% dos riscos. Fazer gesto de riscos
descobrir qual nvel de risco aceitvel para o seu negcio ou at mesmo para sua vida. Depender de orculos
algo do passado, onde tudo parecia ser determinado pelo destino e um ser superior decidiria por ns. Para
crescer e para, acima de tudo, sermos mais competitivos, necessrio e urgente ousar. E ousar em italiano
19
riscare, ou seja, o poema de autor desconhecido (pelo menos por mim) continua como uma grande verdade
tentar correr o risco de falhar; porm, se no tentarmos, nunca saberemos a conseqncia de nossa deci-
so, e conseqncia mistrio e mistrio, acima de tudo, vida.
20
Captulo 4
Aspectos tecnolgicos, humanos e fnanceiros
Edison Fontes
Neste captulo, destacamos um aspecto que deve ser considerado no Planejamento Estratgico da Segu-
rana da Informao (PESI) nas organizaes, independente do seu porte ou tipo do negcio. Trata-se do
aspecto humano, que to importante quanto a questo tcnica e a fnanceira. Acreditamos que o balancea-
mento adequado destes trs elementos possibilita o sucesso do planejamento e da execuo do processo de
segurana da informao.
1. Introduo
A segurana em sistemas de informao deve contemplar no apenas os aspectos tcnicos. As particulari-
dades sociais referentes ao ambiente da organizao e s pessoas tambm tm sua importncia e devem ser
consideradas. Pelo fato de, historicamente, a segurana da informao ter incio a partir da rea tcnica de
processamento de dados, os aspectos sociais da organizao e das pessoas tm sido deixados de lado ou tm
tido uma menor prioridade ou, em caso extremos, tm sido completamente esquecidos. Este fato pode ser
uma boa explicao para muitas empresas, mas, com certeza, no justifca as atitudes de muitas organizaes
pelo desinteresse ou no considerao dos aspectos relativos s pessoas, seja considerando os indivduos iso-
ladamente ou o ambiente social da organizao.
Precisamos de regras explcitas, rgidas o sufciente para que sejam cumpridas por todos. Porm, mais do
que isso, precisamos de pessoas que entendam o porqu das regras de proteo da informao e as sigam no
por medo, mas por alinhamento com a organizao em termos de proteo do negcio e de que o sucesso
do negcio o sucesso de todos. Isto no quer dizer que todos concordaro com todas as regras, normas e
polticas, mas que todos tero uma postura profssional perante a segurana da informao.
Em relao aos aspectos tcnicos, chamamos a ateno para o fato de muitas vezes o profssional de segu-
rana da informao focar-se apenas na proteo do recurso, sem se preocupar com os fatores gerenciais e
outros que permitam um planejamento adequado e uma execuo do processo de segurana da informao
com mais chances de sucesso. O profssional de segurana da informao deve ter uma viso ampla de tudo
que contribui para o sucesso do processo de Segurana da Informao (bem como o que pode prejudicar),
comeando pelo planejamento e se cristalizando na sua implantao.
O terceiro aspecto fundamental a ser contemplado no processo de segurana da informao a questo
fnanceira, que possibilita a viabilizao do uso dos bens de informao e dos recursos de proteo.
2. Defnies
2.1. Aspectos sociais
So os aspectos relacionados s pessoas e ao ambiente em que as elas vivem e trabalham.
2. 2. Aspectos tcnicos
So os aspectos relacionados tecnologia e aos seus recursos.
3. Planejamento da segurana da informao
A elaborao de um planejamento primordial para a implantao de um processo de segurana da in-
formao. Abaixo, consideramos os principais itens que devem ser observados em uma ao de planejamento
neste sentido.
A segurana da informao rica em atividades operacionais. Em funo de fraquezas existentes, somos
levados a comear imediatamente pelas aes tcnicas que so importantes. Porm, o perigo reside em fcar-
mos limitados s atividades operacionais. Por ser um elemento importante para a organizao, fundamental
a existncia de um elaborado planejamento estratgico, que deve ser validado com a alta administrao da
21
organizao e que orienta o direcionamento dos caminhos que os projetos e atividades devem seguir. Em sua
montagem, o PESI deve ter orientaes bsicas que devem proteger a estratgia a ser adotada.
Entre elas, consideramos:
a) Alinhamento com a legislao e polticas da organizao todas as aes voltadas segurana da infor-
mao devem respeitar a legislao vigente do pas e no devem ir de encontro s polticas organizacionais.
b) Considerao s iniciativas de negcio realizao dos negcios a ao mais importante, afnal, dela
depende a sobrevivncia da organizao. A segurana deve garantir que o uso da informao nas diversas
iniciativas esteja acontecendo de forma adequada, assim como uma proteo extremada pode acabar inviabi-
lizando a realizao de negcios.
c) Defnio da estrutura e forma de atuao da rea de segurana esta questo deve defnir alguns pon-
tos, como abaixo:
Se a rea de segurana da informao ir utilizar recursos humanos prprios ou de outras reas para os
projetos;
Qual ser a posio organizacional da rea de segurana da informao;
Qual ser o escopo de atuao da rea de segurana da informao.
d) Defnio de onde viro os recursos fnanceiros durante o planejamento do processo de segurana da
informao que se deve defnir estrategicamente de onde viro os recursos fnanceiros para viabilizar a exe-
cuo dos diversos projetos, bem como a utilizao pela organizao de vrios recursos de informao. Neste
momento, tambm se deve esclarecer as responsabilidades (em relao aos recursos fnanceiros) para as reas
usurias, tcnicas e para a de segurana da informao.
e) Arquitetura de segurana da informao o processo de segurana da informao deve seguir uma ar-
quitetura e importante que seja algo possvel de ser implantado. Afnal, ela possibilita a viso completa da
abordagem da proteo. Em meu livro Vivendo a segurana da informao, sugiro uma arquitetura prtica.
f) Ser humano o comprometimento do usurio um pilar para que a segurana da informao seja efetiva
para a organizao. necessrio que este usurio receba treinamento especfco para:
Conscientizao em segurana;
Conhecimento das polticas, normas e procedimentos;
Conhecimento tcnico, relativo s questes que lhe afetam.
g) Tecnologia para aes de proteo o uso da tecnologia necessrio para a proteo no ambiente
computacional. A organizao, por meio da rea de segurana, deve utilizar todos os recursos disponveis para
a proteo da informao; evidentemente, de forma profssional e compatvel e com os seus recursos fnan-
ceiros.
Muitas vezes, o profssional de segurana da informao, pressionado pela situao da organizao, foca
apenas neste aspecto das solues tecnolgicas para a proteo da informao. Situaes deste tipo podem
existir, mas de forma temporria, pontual. Para implantar um processo efetivo de segurana da informao
necessrio no fcar focado neste aspecto.
Figura 1. Estrutura do PESI.
22
4. Aspectos sociais
4.1. Regulamentos
Os regulamentos (polticas, normas e procedimentos) proporcionam a construo e explicitao dos pontos
considerados como padro de conduta. As pessoas devem seguir estes regulamentos; caso contrrio, estaro
quebrando regras de convivncia com a organizao.
Para melhor compreenso, importante que estes documentos sejam objetivos, claros e transmitam o es-
sencial. Isto , quando falamos em poltica, signifca a cultura da organizao em relao ao tema segurana da
informao. Ela deve ter poucas pginas e dizer explicitamente o que se quer. No precisa entrar em detalhes
do como fazer, j que nas normas e procedimentos teremos este detalhamento.
importante para o aspecto social que a poltica principal da organizao para a segurana da informao
seja assinada pelo presidente. As pessoas, ao lerem a poltica e identifcarem que a mesma foi assinada pelo
presidente da organizao, entendero mais facilmente a importncia da segurana da informao para o
negcio.
Os regulamentos sobre a segurana da informao devem ser sempre lembrados aos usurios nos treina-
mentos peridicos. Eles devem ser de fcil acesso, tipo intranet da organizao. Evidentemente, junto com a
existncia destes documentos, fundamental que as regras descritas sejam seguidas por todos, inclusive pelo
presidente. As pessoas precisam entender que as regras so para cumprimento profssional por todos da or-
ganizao.
4.2. Cultura organizacional
Esse aspecto social construdo ao longo do tempo. Quando implantamos um processo de segurana da
informao devemos considerar a cultura da organizao. Na medida do possvel, devemos defnir os controles
de segurana respeitando esta cultura. No quer dizer que este processo v se curvar e deixar de fazer a devida
proteo de um recurso por que isto vai contra a cultura. Quer dizer que, ao implantar um controle, devemos
considerar seu impacto sobre as pessoas e a cultura organizacional existente. A implantao de um processo de
segurana da informao em rgo do governo bem diferente de uma empresa de publicidade, por exemplo.
Contudo, ambas as implantaes buscam proteger adequadamente a informao necessria ao sucesso do ne-
gcio e/ou alcance dos objetivos da organizao.
Mas, cultura organizacional tambm se cria. Normalmente, para que o processo de segurana da informa-
o acontea de forma adequada necessrio que os requisitos de segurana sejam considerados no incio do
desenvolvimento de sistemas. Na vida prtica das organizaes, muitas vezes esta rea envolvida em novos
sistemas na fase de implantao do sistema em produo. Neste caso, tem de haver uma mudana na cultura
organizacional no que diz respeito ao processo de desenvolvimento de sistemas para que os requisitos de segu-
rana sejam discutidos e a sua utilizao seja validada na especifcao tcnica do desenvolvimento de sistemas.
Sendo assim, considerar a cultura organizao uma estrada de duas vias. A segurana considera as caracte-
rsticas da organizao, que deve desejar que a segurana proteja adequadamente a informao, mesmo que (na
verdade, quase sempre) este fato acarrete um custo de tempo e de esforo nos processos.
4.3. Clima organizacional
O clima organizacional o ar virtual de todos os pensamentos e sentimentos em relao organizao que
as pessoas inspiram e expiram. Quanto melhor o clima organizacional, mais chances de sucesso o processo de
segurana da informao ter. Este aspecto fundamental e ser um acelerador ou um impedimento para que
a informao tenha a proteo adequada. Isto no quer dizer que organizaes que possuam um clima organi-
zacional em baixa no possam implantar um processo de segurana da informao. Podem e devem. Porm, o
profssional da rea deve estar atento, pois ser uma tarefa mais difcil.
Mais importante do que o nvel do clima organizacional, entretanto, a sua causa. Seu nvel apenas uma
foto. Precisamos estar cientes e acompanhando a causa. Se uma organizao ser adquirida por outra ou se est
deixando de atuar no pas, evidentemente, o clima ser tenso e a alegria no ser o forte.
23
Esta situao bem diferente de uma organizao que possui historicamente um programa de busca o cul-
pado, caa s bruxas, altssima rigidez (no compatvel com o negcio) em relao a atitudes do funcionrio ou
terceiros e outras situaes equivalentes.
Uma organizao que possui funcionrios e prestadores de servio satisfeitos com o trabalho, orgulhosos
das conquistas de todos e desejosos de continuarem neste ambiente nos prximos cinco anos, tem facilitada a
implantao do processo de segurana da informao. Isto no quer dizer que todos acharo uma maravilha
estas aes. Signifca que todos tero uma atitude profssional perante s polticas, normas e procedimentos de
proteo da informao.
Concluindo, ambiente de no-confana entre as pessoas, clima de inimizades, revolta contra a organizao e
outros problemas no impedem a implantao de um processo de segurana, mas difcultam em muito.
4.4. Processo contnuo de treinamento
Quando uma organizao possui um processo de treinamento contnuo, mais fcil desenvolver um processo
de conscientizao em segurana da informao, que, por sua vez, contribui para que o ambiente de trabalho das
pessoas esteja constantemente possibilitando o crescimento profssional e como ser humano do funcionrio ou
prestador de servio. medida que a pessoa se sente considerada para treinamentos e outras aes, o ambiente
social torna-se mais positivo. necessrio que todos, ao entrarem na organizao, recebam um treinamento ini-
cial em segurana da informao e, ao longo da sua permanncia na empresa, recebam treinamento peridico
sobre o assunto, tanto com foco de conscientizao quanto com uma abordagem mais tcnica.
A realizao de campanhas de segurana recomendvel, mas elas devem fazer parte de um conjunto de
medidas praticadas por toda a vida da organizao. Hoje, j h elementos que ajudam neste processo: palestras,
livros, teatro corporativo, entre outros.
4.5. Profssionalismo
Muitas organizaes ainda possuem um clima amador nas relaes com seus funcionrios e entre eles. Um
processo de segurana da informao ser mais bem-sucedido quando o ambiente pautado pelo profssiona-
lismo. O amadorismo / informalismo profssional em questes empresariais aparece mais nas empresas mdias e
nas familiares (independente do tamanho) e este elemento est intimamente ligado com a questo das polticas,
normas e procedimentos. Organizaes pautadas pelo profssionalismo desenvolvem e implantam mais facil-
mente regulamentos deste tipo.
5. Aspectos tcnicos
5.1. Atualizao da tecnologia
Estamos em um mundo que tem uma fantstica rapidez na mudana e aprimoramento da tecnologia, fazen-
do com que o negcio utilize cada vez mais estes novos recursos. Desta forma, a segurana da informao tem
de alcanar esta nova tecnologia e defnir quais sero os novos controles. Esse fato, muitas vezes, faz com que a
questo esteja (considerando o cronograma) atrs das iniciativas do negcio. O que devemos garantir que esta
diferena seja aceitvel e no ponha em risco o negcio.
Precisamos considerar como a rea de segurana da informao se manter atualizada em termos de tecno-
logia. Para isso, as formas variam desde uma soluo interna at a utilizao de um parceiro competente. O que
importante que o responsvel pela rea de segurana da informao tenha isso esclarecido.
5.2. O fornecedor da soluo
Quando uma organizao adota uma soluo ou um fornecedor de tecnologia, de uma maneira mais ou
menos forte, ele fca refm desta soluo ou do provedor de recurso. Sendo assim, muito importante que
sempre seja considerada a continuidade da soluo (ou do fornecedor). Nos ltimos anos, mesmo empresas
slidas foram adquiridas por outras organizaes que simplesmente congelavam uma soluo da primeira,
obrigando os clientes mudar para a soluo da organizao compradora.
24
Porm, estes acontecimentos no devem impedir a utilizao de parceiros. Homem algum uma ilha,
j dizia um pensador. Organizao alguma sobrevive sozinha, a nossa realidade. Precisamos de parceiros e
teremos parceiros sempre. necessrio termos uma viso profssional que nos permita analisar e gerenciar o
risco que estes relacionamentos e dependncias trazem para a organizao.
5.3. Requisitos de segurana devem ser mantidos
No pelo fato de estarmos utilizando uma nova tecnologia ou soluo que os requisitos de segurana
devem ser deixados de lado. Identifcao individual, registro dos acessos realizados, controle de acesso, cpias
de segurana, continuidade de negcio etc. so aspectos da segurana da informao que sempre devem ser
considerados, independente da soluo ou tecnologia. Todo profssional da rea deve ter claro os seus princi-
pais requisitos, que so vlidos h sculos e continuaro assim por muitos outros.
Em alguns momentos, a tecnologia disponvel no facilita; em outras vezes, ela torna possvel e facilita a
implantao de requisitos especfcos. No devemos confundir os requisitos de segurana com as facilidades
que a tecnologia nos disponibiliza para implantar estes requisitos.
6. Aspectos fnanceiros
O planejamento e implantao do processo de segurana da informao necessitam de recursos fnanceiros
para a sua execuo. Pessoalmente, sou da opinio de que todas as organizaes tm condies de planejar,
implantar e manter um processo de segurana da informao. Todas tm recursos fnanceiros sufcientes para
ter uma proteo da informao compatvel com o porte e seu negcio/objetivo.
O que se precisa identifcar como o recurso fnanceiro realizar o processo de segurana. Isto , de quem
ser a verba fnanceira para o processo de segurana. Por exemplo: a compra de equipamentos tipo frewall e
os respectivos produtos sero pagos pela rea de tecnologia ou pela rea de segurana da informao?
necessrio que este aspecto esteja explcito para que o planejamento do recurso fnanceiro esteja sincro-
nizado com o cronograma do planejamento, desenvolvimento e manuteno do processo de segurana da
informao.
7. Concluso
A segurana para sistemas de informao no uma atividade trivial, pois deve considerar tanto os aspec-
tos tcnicos quanto os do ambiente da pessoa e do ambiente da organizao. Cada um dos aspectos apre-
sentados pode (e deve) ser subdividido. O importante que voc entenda este conceito e aplique quando da
implantao e manuteno do processo de segurana da informao em uma organizao.
25
Captulo 5
Servios internos
Christiane Mecca
O grande desafo enfrentado pelos CIOs (Chief Information Offcers) no cenrio atual o alinhamento do
trabalho da rea de tecnologia da informao (TI) estratgia de negcios da organizao. Os servios ofere-
cidos no passado tinham como principais caractersticas o atendimento ao usurio, foco na tecnologia, uso de
recursos internos e comportamento reativo. medida que a TI passou a trabalhar com o objetivo de atender
seus clientes e processos internos, gerando valor para a organizao e maximizando o retorno para os neg-
cios dos investimentos realizados na rea, novos conceitos, como melhores prticas e qualidade do servio,
foram introduzidos no cenrio atual.
Atualmente, o atendimento ao cliente, foco no processo e comportamento proativo so extremamente va-
lorizados. At mesmo atender demanda interna dos processos de negcios e suas certifcaes da qualidade,
como ISO 9001, ISO/TS:16494 e tantas outras, levaram a rea de TI a reavaliar seus servios, no sentido de estar
estruturada para atender aos requisitos destas normas. Como processo de suporte para os principais processos
da organizao, faz-se necessrio o conhecimento dos requisitos das normas que impactam diretamente a
performance dos processos principais, e que so passveis de auditorias internas e externas. A TI deve se pre-
parar, no com o objetivo principal de obter a certifcao do prprio processo, mas para atender os requisitos
mnimos que impactam os processos clientes.
Quando falamos em servios de TI, fundamental falarmos em ITIL (Information Technology Infrastructure
Library) um conjunto das melhores prticas para atender s exigncias dos cenrios atuais. Nela, a defnio
de servio pode ser encontrada como um ou mais sistemas de TI que habilitam um processo de negcio. Um
sistema est baseado em hardware, software, pessoas e processos. ITIL pode ser considerado um referencial
para se estabelecer servios de qualidade integrando pessoas, processos e tecnologia, e gerenciando a TI como
um negcio da organizao.
O valor do servio de TI percebido por meio do alinhamento com a estratgia da organizao, custo, tem-
po de resposta s demandas internas e qualidade. O gerenciamento dos servios de TI com qualidade exigem
equilbrio das demandas internas e recursos disponveis, com custos aprovados pelo negcio.
O nvel de servio oferecido e acordado com o negcio, SLA (Service Level Agreement), um indicador da
performance e qualidade do processo TI. Por meio dele se pode medir a satisfao do cliente, isto , como
ele percebe o servio prestado. Os SLAs dos servios que afetam o desempenho dos negcios, como dispo-
nibilidade dos sistemas crticos, infraestrutura de rede, help desk, fornecimento de equipamentos de TI etc.,
quando no atingem os nveis acordados devem ser utilizados como parmetros para o processo de melhoria
contnua do processo TI. Um plano de ao deve ser desenvolvido e apresentado para as reas de negcio da
organizao.
O desenvolvimento e implantao de controles internos so fundamentais para avaliao da maturidade do
gerenciamento de servios de TI e garantia de alinhamento estratgia e processos do negcio.
Bibliografa
FOINA, Paulo Rogrio. Tecnologia da informao planejamento e gesto. 2 Ed. So Paulo: Atlas, 2006.
MAGALHES, Ivan Luizio, PINHEIRO, Walfrido Brito. Gerenciamento de servios de TI na prtica: uma abor-
dagem com base na ITIL. So Paulo: Novatec, 2007.
26
Captulo 6
Provedores externos
lvaro Teflo
Neste captulo, trataremos dos desafos de uma organizao ao contratar servios externos. Veremos tam-
bm os desafos que estes terceiros representam no cotidiano da gesto de segurana, tanto no cumprimento
de seus prazos SLAs (Service Level Agreement) quanto na conformidade dos mesmos com a poltica vigente
em sua organizao.
1. Introduo
cada vez maior o nmero de organizaes que tomam a deciso de terceirizar parte de suas operaes. Mui-
tos iniciaram este campo contratando parceiros para execuo de servios de tecnologia e de operaes muito
especfcas (como os call centers) a outras empresas de grande e mdio porte, para que estas fzessem pela orga-
nizao o que at ento era responsabilidade de seus prprios funcionrios.
A principal razo da terceirizao , sem dvida, a reduo de custos diretos e indiretos que um determinado
servio gera para uma organizao. Agregado a isso, a especializao de algumas empresas em executar deter-
minadas funes com maior conhecimento atrai muitos gestores, que precisam de um servio de qualidade, mais
livre para se alinhar ao negcio da organizao e oferecer novos servios a ela.
No entanto, se torna mais usual que operaes de backoffce e at mesmo servios que so considerados core
business, ou seja, a alma do negcio das organizaes, sejam transferidas para um parceiro de negcios. Apesar
de forma ainda tmida, j existem vrias iniciativas que indicam que as organizaes, procurando ganhar efcincia
e que iro claramente para um caminho sem volta de terceirizar parte de suas operaes mais crticas, trazendo
discusso a necessidade de entendermos e enderearmos os impactos destas decises sob o ponto de vista de
riscos.
Terceirizar servios necessrios, mas que no sejam o core business da organizao e que possuem um alto cus-
to administrativo, como um call center, pode ter um excelente retorno. Ao terceirizar uma operao importante
para o negcio, o parceiro selecionado precisa ter reputao e porte para assumir os problemas operacionais desta
funo.
2. Gesto de parceiros de negcios
Independente do grau de profundidade que a terceirizao de operaes j atingiu em uma organizao, al-
gum deve assumir, dentro de cada corporao, o papel de orientar homens de negcios e de tecnologia a respei-
to de quais preocupaes devem ser endereadas no momento em que uma externalizao de operaes feita.
Obviamente, necessrio que a organizao compreenda a importncia desta deciso e as conseqncias que a
falta de uma avaliao e gesto de riscos operacionais pode trazer para ela. Com esta questo reconhecida, cada
organizao deve defnir quem far o papel de gesto de riscos em operaes terceirizadas. Normalmente, temos
visto a prpria rea de segurana da informao como a lder da gesto de parceiros em grandes organizaes.
Neste sentido, importante se observar algumas questes:
a) A terceirizao deve ter um gestor, responsvel por acompanhar as mtricas e fazer com que os SLAs sejam
cumpridos.
b) O apoio jurdico importantssimo na hora de se estabelecer os SLAs e as penalidades pelo seu no-cum-
primento.
c) No subestime o impacto que uma m contratao pode ocasionar em sua operao. A responsabilidade
continua sendo do gestor; e, para os clientes, os problemas so sempre da sua organizao.
3. Quem, quando e o que avaliar
Uma das perguntas mais comuns no mercado a respeito da questo da terceirizao : por onde comear a
gesto? Antes de tudo, tenha em mente que existem dois mundos que precisam ser trabalhados paralelamente: a)
27
a gesto de servios e operaes que j esto terceirizadas; e b) a gesto de novas terceirizaes.
A gesto de riscos de servios j contratados deve ser iniciada a partir de um levantamento completo de todos
os servios prestados fora de sua organizao. Algumas outras reas internas podero ajudar na sua pesquisa, es-
pecialmente as reas de gesto de contratos, jurdico, compras e at mesmo tecnologia. Voc ter de defnir uma
pessoa ou equipe que ter a responsabilidade, dentro de sua rea, de executar esta tarefa em tempo integral.
Separar estas operaes por nvel de criticidade para os negcios envolve um esforo razovel e, neste sentido,
encontramos duas variveis que conseguem dar peso a elas e nos ajudam a determinar a priorizao das avalia-
es:
a) Quanto maior o nvel de dependncia da operao externalizada para a sua organizao, maior deve ser a
prioridade dada sua gesto de riscos. importante deixar claro que a dependncia aqui est relacionada im-
portncia que a operao traz para a organizao e, obviamente, de que forma a falha da entrega de seus servios
pode impactar seus negcios.
b) O armazenamento de informaes de clientes deve ser visto como um fator crtico na avaliao de parceiros.
A possibilidade de vazamento de uma base de dados ou um incidente envolvendo a divulgao de informaes
de clientes pode levar a organizao contratante a uma sria exposio de imagem, cujas consequncias so sem-
pre difceis de serem medidas.
Avalie o grau de dependncia da operao terceirizada e a sensibilidade das informaes confadas a terceiros.
4. Avaliando e monitorando o risco
O primeiro passo deste trabalho deve ser feito junto ao jurdico da organizao. A existncia de clusulas de
responsabilidade, privacidade e segurana devem ser avaliadas contrato por contrato, o que gera um esforo
razovel para advogados e gestores. Deve-se tambm incluir no aditamento uma clusula de acordo onde a
empresa se compromete a adotar todas as polticas e medidas de segurana que a contratante exigir, bem
como aceitar a existncia de auditorias peridicas que avaliaro seu nvel de adaptao a estas polticas. Estas
clusulas tambm devem ser utilizadas nos novos contratos que a organizao assinar no futuro.
A existncia das clusulas no deve ser considerada como uma premissa para o incio do trabalho de ava-
liao, mas as experincias das organizaes encaram esta questo de uma forma bastante conservadora. Se
h, por exemplo, uma boa relao entre contratante e contratado, muito provvel que a avaliao de riscos
possa ser feita antes do aditamento.
Com a lista de operaes crticas em mos e com a questo contratual endereada, hora de defnir qual
ser o nvel e a profundidade das avaliaes de risco. Neste momento, a organizao dever construir questio-
nrios que incluam todas as disciplinas de segurana que desejam ser avaliadas, como a existncia de polticas
de segurana, a gesto de segurana de redes, atendimento s legislaes e compliance, entre outros.
Uma boa ferramenta encontra-se livre na Internet e pode ser utilizada por qualquer indivduo que tenha
interesse em utiliz-la. Construda pelo BitsInfo, o processo chamado Financial Institution Shared Assessment
Program produziu uma planilha que cobre com bastante extenso as principais aes e processos de gesto
e controle de riscos de segurana em ambientes fsicos e lgicos. A planilha encontra-se no prprio site da
instituio, em www.bitsinfo.org.
5. Implantando o processo
Com os questionrios desenvolvidos e defnidos, deve-se construir um processo com diversas fases que
indiquem o comeo, meio e fm do processo, incluindo, pelo menos, dez pontos:
1) O envio de uma carta ao provedor de servios, informando a existncia do processo de avaliao de
riscos e solicitando o seu acordo, bem como a determinao de um nome de gerente ou diretor responsvel
pelo atendimento da demanda;
2) A defnio do escopo de trabalho baseado na realidade de cada operao;
3) A defnio de cronograma de trabalho entre as partes;
4) O envio e devoluo dos questionrios aos responsveis na empresa parceira;
5) A visita ao site para testes dos controles declarados pelo provedor;
28
6) A gerao de relatrio draft que indique os primeiros resultados do trabalho, que deve ser usado como
base para uma discusso com o parceiro;
7) A emisso de relatrio fnal, informando o nvel de aderncia do parceiro s prticas exigidas pela orga-
nizao;
8) A determinao de plano de ao de melhorias, se for necessrio, bem como a obteno do comprome-
timento da empresa parceira declarada
9) O acompanhamento da aplicao dos pontos pendentes de acordo com os prazos estabelecidos entre as
partes;
10) A reavaliao peridica (a cada ano, por exemplo) do processo, passando por todas as fases anteriores.
Observe que este processo pode tambm ser aplicado para a segunda dimenso de trabalho que desta-
camos neste documento. A contratao de novas operaes terceirizadas pode utilizar os mesmos passos para
ajudar s reas de negcios a avaliar empresas que esto concorrendo em um novo contrato. Temos vivido
experincias bastante positivas em relao a este tema, percebendo que, uma vez apoiados desde o primeiro
momento em que tomam a deciso de externalizar uma operao, homens de negcios utilizam nossas ava-
liaes como um dos principais fatores de deciso sobre qual empresa contratar.
Neste momento, tambm tivemos a ideia clara de que a gesto de riscos em operaes terceirizadas mui-
tas vezes ignorada pela simples falta de conhecimento e experincia dos gestores de negcios. uma questo
cultural que ns, gestores de segurana da informao, podemos trabalhar na empresa e que geramos resul-
tados excelentes na relao entre segurana e negcios. Neste caso, estreitamos relacionamentos, geramos
valor agregado para os negcios e temos muito mais claramente uma foto de onde esto os riscos associados
a este tipo de operao.
Finalmente, com a tendncia clara demonstrada pelo mercado de que a terceirizao continuar sendo
utilizada como um fator de ganho e efcincia, qualidade e redutor de custos, imperativo que um processo
muito bem defnido garanta que a gesto de riscos operacionais e de segurana faa parte das avaliaes de
novas parcerias.
29
Captulo 7
Melhores prticas
Valmir Schreiber
Andr Pitkowski
1. Introduo
Um dos maiores desafos da rea de TI nos dias de hoje estruturar os esforos para obter a conformi-
dade com os critrios da SOX (Sarbanes-Oxley), circulares governamentais ou at mesmo as contratuais, PCI
(Payment Card Industry). De modo geral, a maioria das empresas entende que precisam manter estruturas de
proteo e segurana para seus sistemas e dados, mas tem difculdade em entender quanto detalhadamente
ou amplamente estes requerimentos devem ser interpretados. Neste ponto, as estruturas de controles inter-
nos como o CobiT (Control Objectives for Information and Related Technology), ITIL (Information Technology
Infrastructure Library) ou a ISO 27001 (padro relacionado segurana da informao) podem ajudar o pro-
fssional.
Estruturas de controle e governana como o CobiT, ITIL ou catlogos de prticas como a ISO 27001 podem
ajudar as empresa de trs formas distintas:
Explicitando as dimenses dos requerimentos de segurana e governana;
Demonstrando as vrias opes para se atingir estes requerimentos; e
Estruturando um programa de conformidade.
1.1. As dimenses
Fcil pensar nos aspectos de conformidade como sendo o mesmo que um dos mecanismos que podem
ajudar o profssional de TI a atingir suas metas de segurana. Por exemplo, seria o mesmo que os profssionais
de segurana pensarem em seus frewalls, autenticao e mecanismos de autorizao quando considerarem
como sua informao deve ser protegida.
Uma forma mais produtiva ver a segurana sob a perspectiva do que e como a organizao costuma se
proteger. Estruturas de controle exigem uma avaliao de riscos e a classifcao de informaes e ativos a
serem protegidos antes de decidir como proteg-los. Ao considerar os riscos associados a uma atividade de
conformidade, a avaliao de riscos ir forar a organizao a perceber quais das suas informaes e processos
iro impactar a preciso, transparncia e responsabilidade fnal sobre os seus relatrios fnanceiros. A identif-
cao e o processo de avaliao de riscos permitem organizao defnir o escopo das atividades de confor-
midade e os riscos que devero ser mitigados.
As estruturas de controle como o CobiT e ITIL expem o fato de que segurana mais do que simplesmente
controles sobre sistemas e aplicativos. O escopo total da segurana inclui como uma organizao est estrutu-
rada corporativamente os checklists elaborados para desenvolver, manter e auditar os processos de negcio
que esto contidos no escopo do Compliance. Inclua neste escopo mais do que as atividades internas, mas as
externas, como os provedores de servios e contratos com terceiros, por exemplo.
1.2. Os mecanismos
As estruturas de controle ajudam na identifcao das ofertas de mecanismos, servios e metodologias que
as organizaes podem fazer uso para mitigar riscos. Enquanto os tecnlogos tendem a estabelecer solues
tcnicas, os padres do CobiT, ITIL e da ISO enfatizam a necessidade de polticas e procedimentos baseados
em processos de negcios corretamente estruturados para gerenciar riscos.
Por exemplo, existem momentos em que os mecanismos mais efetivos para garantir que somente os usu-
rios apropriados obtenham acesso s informaes fnanceiras da organizao so envolver as pessoas corretas
na aprovao e certifcao destes controles de acesso. Algumas organizaes podem passar ao largo da ne-
cessidade de mecanismos de segurana simplesmente confgurando polticas que declarem qual informao
30
sensvel para o negcio deve estar contida em determinados ambientes de processamento de dados apro-
priadamente protegidos e devem ser transmitidas de forma particular. Esta medida compensatria simplifca
tremendamente a tarefa de conformidade.
2. CobiT
Uma parte importante a ser considerada no texto de um documento de compliance deve ser a dedicada ao
processo de continuidade de melhoria do prprio compliance, que, com qualquer regulamentao, contrato
ou padro, requer uma abordagem cclica e estruturada para que se atinjam as metas. O CobiT apresenta e
descreve os seguintes processos, que podem ser encontrados tambm em outras estruturas de controle:
Defnir as metas especfcas para o contexto do negcio e da organizao da empresa;
Seleo dos controles para atender estas metas;
Organizar e implementar estes controles;
Avaliar a efetividade dos controles;
Repetir o processo.
Na medida em que o negcio evolui e se adequa ao mercado, o ambiente de trabalho acompanha estas
mudanas. Cresce, encolhe, oferece novos produtos, instala novos processos ou se torna exposto a novas amea-
as. Se os riscos mudam, os controles acompanham estas mudanas.
H de se considerar, tambm, que uma prtica considerada boa hoje poder no mais atender s de-
mandas de mercado amanh. Em outras palavras, faz-se necessrio um processo que se adapte e reconhea
mudanas do negcio para as atividades de compliance, isto : de uma estrutura de controle.
O pblico-alvo do CobiT a alta administrao das organizaes, como tambm diretores e gerentes de
IT e auditores em geral. O CobiT consiste em quatro sees:
Avaliao executiva;
Estrutura;
Contedo principal (objetivos de controle, guia de gerenciamento e modelos de maturidade);
Apndices (mapas, referncias e glossrio).
A seo contedo principal dividida em 34 processos, nos quais em cada um deles est descrito em qua-
tro subsees de cerca de uma pgina cada. Cada subseo contempla:
Viso geral dos objetivos de controle, que inclu um resumo das metas do processo, mtricas e prticas;
Uma descrio dos objetivos e um mapeamento do processo e seus domnios, critrios de informao e
recursos de TI;
Objetivos detalhados dos controles dos processos, que prov um total de 214 indicadores divididos entre
os 34 processos;
Guias de gerenciamento, que incluem as entradas e sadas do processo, a tabela RACI (responsible,
accountable, consulted, and informed), metas e mtricas;
Modelo de maturidade para o processo, que orientada ao.
Este material tem como objetivo ajudar s organizaes a responder perguntas gerenciais, tais como:
Quanto a empresa pretende investir? Os custos so justifcados pelos benefcios?
Quais so os indicadores que medem boas performances?
Quais so os fatores crticos de sucesso?
Quais so os riscos se os objetivos da organizao no forem alcanados?
O que outras organizaes iguais minha esto fazendo? E como elas fazem para medir e comparar?
2.1. Um modelo unifcado
O CobiT contempla os modelos estabelecidos, como o CMM (Capability Maturity Model, ou Modelo de
Maturidade de Capacidade) do Instituto de Engenharia de Software, ISO 9000, ITIL e ISO 27001 (modelo de
segurana padro, agora ISO 27001). Na realidade, 13 dos 34 objetivos de controle de alto nvel so derivados
diretamente do ITIL Service Support e Service Delivery.
31
Em funo da sua larga abrangncia e tambm porque est baseado em muitas prticas existentes, o
CobiT pode agir como um integrador que traz prticas dispersas debaixo de um modelo nico, ajudando a
alinhar atividades com os objetivos do negcio.
Orientado para governana de TI, prov um modelo amplo e genrico, o que o torna aplicvel na maioria
das organizaes. Podem ser usados outros padres que cubram reas especfcas com mais detalhe, como
ITIL e ISO 27001, e que, em conjunto com o CobiT, permitem criar uma melhor orientao a resultados.
3. ITIL
O ITIL prov diretrizes para melhores prticas de processos de ITSM (ou gerenciamento de servios de TI)
para melhor alinhar a TI aos negcios. O CobiT ajuda a organizao a moldar os processos de ITIL s suas
necessidades e metas, alm de ajudar a estabelecer um ponto de incio e um para o fm; ou seja, avalia onde
a organizao est agora e onde ela quer chegar. Sabendo-se estas metas, ento, criar ou desenvolver as ati-
vidades para atingir esse objetivo.
3.1. ITIL viso geral
O ITIL pode ser defnido como um guia para as melhores prticas dos processos de TI. Desenvolvido na
dcada de 1980 pela OGC (Offce of Government Commerce), uma agncia do governo britnico, o ITIL defne
processos em alto nvel, deixando para as organizaes a tarefa de implantar os processos da maneira mais
satisfatria s suas necessidades.
O ITIL tem se tornado um padro mundial de fato, desde que milhares de organizaes adotaram este guia
como modelo de gesto de TI. A principal contribuio do ITIL promover o alinhamento de TI ao negcio.
O ITIL defne qualidade de servio como objetivo e promove o alinhamento entre os servios a serem entre-
gues e as necessidades atuais do negcio. Organizaes que queiram certifcar suas reas de TI em gesto de
processo podero faz-lo por meio do ISO 20000, baseado no ITIL.
Embora o ITIL tenha uma cobertura abrangente, seu foco principal o ITSM. O ITIL prov um modelo
compreensivo, consistente e coerente de melhores prticas para o ITSM e seus processos relacionados, pro-
movendo foco na qualidade, visando alcanar efetividade empresarial e efcincia no uso de sistemas de
informao.
4. CobiT e ITIL agregando resultados
4.1. Combinando ITIL e CobiT para atingir os desafos dos negcios
As reas de TI esto cada vez mais sob crescente presso para alinhar-se s metas empresariais de suas or-
ganizaes. Desafo que pode estar sob a presso de atender a regulamentaes como a lei SOX e Basilia II.
Obter esta conformidade requer forte capacidade de governana, com evidncias claras para auditores ex-
ternos. Em virtude de representar um papel to importante para os negcios, a rea de TI se v cada vez
mais comprometida a prover os meios de demonstrar essa capacidade de responder a estes desafos. Para tal,
confam em diretrizes como o ITIL e o CobiT para ajudar a entender e enderear estes desafos.
Este tpico discute como ITIL e CobiT podem ser usados em conjunto com uma breve avaliao sobre
ambos e uma anlise de sua complementaridade. Tanto ITIL quanto CobiT permitem que as organizaes
alcancem trs objetivos:
Por meio do uso de melhores prticas, prover gerenciamento por processos alm de gerenciar TI por
meio de uma perspectiva empresarial focada em resultado e conformidade;
Foco em processos com metas claras, baseado nos objetivos de negcios da organizao e provendo
recursos que permitam a medio deste progresso;
Assegurar governana efetiva de TI ao nvel de controle de processos e permitindo TI demonstrar que
atende ou excede os requisitos estipulados pela rea de negcios ou por regras externas TI.
Porm, h certa confuso nas reas de TI sobre estes modelos. Alguns pensam que eles so duas alternati-
vas para uma mesma meta, enquanto outros pensam que eles so mutuamente exclusivos. Na realidade, eles
32
so altamente complementares e juntos provem muito mais valor do que se usados separadamente. O CobiT
esboa o que voc precisa fazer para enfrentar estes desafos, enquanto o ITIL mostra como chegar l.
4.2. Combinao de modelos
Organizaes que querem adotar o ITIL precisam estruturar um modelo para a governana efetiva de TI. O
CobiT prov um modelo amplo de governana, que inclui diretrizes para ajudar a estruturar a rea de TI para
as exigncias organizacionais. O CobiT tambm prov um mecanismo para medir a capacidade da atividade
(pessoas, processos e tecnologia) para alcanar um resultado que satisfaa as exigncias organizacionais, por
medir seu desempenho.
Embora o CobiT seja orientado a processos de TI, no inclui as atividades ou etapas de processos. Focaliza
sobre o que a organizao precisa fazer em lugar de como fazer isto. focado nas exigncias empresariais e
prov orientao do que necessrio para satisfazer estas exigncias. Por outro lado, o ITIL defne as melhores
prticas dos processos para o ITSM e como chegar l. Focaliza em mtodos e defne um jogo mais inclusivo de
processos que o CobiT, provendo um guia para a construo destes processos.
CobiT e ITIL provem uma excelente combinao para ajudar s organizaes a gerenciar TI a partir de uma
perspectiva de negcios, em um modelo conhecido como Gerenciamento de Servios de Negcios (Business
Service Management, ou BSM).
Repetindo: o ITIL prov diretrizes para melhores prticas de processos de ITSM para melhor alinhar TI com
os negcios. O CobiT ajuda a organizao a moldar os processos de ITIL s suas necessidades e metas. Ajuda
a organizao a estabelecer um ponto de incio e um para o fm; ou seja, avaliando onde a organizao se
encontra e onde quer chegar. Sabendo-se estas metas, criar ou desenvolver as atividades para atingir esse
objetivo.
O CobiT tambm prov um mecanismo efetivo para gerenciar e medir o progresso da implantao dos pro-
cessos do ITIL, ajudando a organizao a entender seus objetivos, alm de medir o progresso para atingi-los,
em melhoria contnua uma das maiores contribuies de projetos baseados no ITIL. Para maior proveito,
sugerido, inclusive, o uso do documento Alinhando CobiT, ITIL, ISO 2000 e ISO 27001 para Gerenciamento dos
Negcios (Aligning CobiT, ITIL, ISO 20000, and ISO 27001 for Business Beneft Management Summary), criado
pelas entidades ITGI (IT Governance Institute), OGC (Offce of Government Commerce), itSMF (IT Service Mana-
gement Forum) e BSI (British Standards Institution), que apresenta um guia sobre como implementar melhor a
combinao do CobiT, ITIL e srie ISO 27000.
5. COSO
H mais de uma dcada, o COSO (Committee of Sponsoring Organizations of the Treadway Commission)
publicou a obra Internal Control Integrated Framework para ajudar s organizaes a avaliar e aperfeioar
seus sistemas de controles internos. Desde ento, a referida estrutura foi incorporada em polticas, normas e
regulamentos adotados por milhares de organizaes para controlar melhor suas atividades, visando o cum-
primento dos objetivos de negcio estabelecidos.
Nos ltimos anos, intensifcou-se o foco e a preocupao com a gesto de riscos e tornou-se cada vez
mais clara a necessidade de uma estratgia slida, capaz de identifcar, avaliar e administrar riscos. Em 2001,
o COSO iniciou um projeto com esta fnalidade e solicitou PricewaterhouseCoopers que desenvolvesse uma
estratgia de fcil aceitao e utilizao pelas organizaes para avaliar e melhorar o prprio gerenciamento
de riscos. O perodo de desenvolvimento desta estrutura foi marcado por uma srie de escndalos e quebras
de negcios, de grande repercusso, que gerou prejuzos signifcativos a investidores, empregados e outras
partes interessadas. Na esteira destes eventos, vieram solicitaes de melhoria dos processos de governana
corporativa e gesto de riscos, por meio de novas leis, regulamentos e de padres a serem seguidos. Tornou-se
ainda mais necessria uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os princpios e
conceitos fundamentais, com uma linguagem comum, direcionamento e orientao claros. O COSO de opi-
nio que o documento Gerenciamento de Riscos Corporativos Estrutura Integrada vem para preencher esta
lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizaes, bem como por
todas as partes interessadas. Nos Estados Unidos, entre as consequncias, destacam-se a Lei SOX, de 2002, e a
33
legislao semelhante que est sendo promulgada ou analisada em outros pases. Esta lei amplia a exigncia
de que as companhias que negociam aes em bolsas de valores norte-americanas mantenham sistemas de
controles internos, demandem a certifcao da administrao e contratem os servios de auditores indepen-
dentes para atestar a efccia dos referidos sistemas. A obra Internal Control Integrated Framework, que vem
sendo submetida ao teste do tempo, serve como norma de ampla aceitao para o atendimento dos requisitos
de comunicao.
A obra Gerenciamento de Riscos Corporativos Estrutura Integrada amplia seu alcance em controles
internos, oferecendo um enfoque mais vigoroso e extensivo no tema, mais abrangente, de gesto de riscos
corporativos, cuja estrutura proposta, embora no tenha por meta substituir a estrutura de controles internos
das organizaes, incorpora a estrutura de controles internos em seu contedo. Alm disso, poder ser por
elas utilizada, tanto para atender s suas necessidades de controles internos quanto para adotar um processo
completo de gesto de riscos.
A premissa inerente ao gerenciamento de riscos corporativos que toda organizao existe para gerar
valor s partes interessadas (donos, acionistas, investidores e controladores). Todas as organizaes enfrentam
as incertezas do mercado onde atuam e o desafo de seus administradores determinar at que ponto pode
aceitar esta incerteza e defnir como ela pode interferir no esforo para gerar valor s partes interessadas. As
incertezas representam os riscos e as oportunidades de negcio, com potencial para destruir ou agregar valor.
A gesto de riscos corporativos possibilita aos administradores tratar com efccia as incertezas, isto , os riscos
e as oportunidades a elas associadas, a fm de melhorar a capacidade de gerar valor.
O valor maximizado quando a organizao estabelece estratgias e objetivos para alcanar o equilbrio
ideal entre as metas de crescimento e de retorno de investimentos, considerando os riscos a elas associados, e
para explorar os seus recursos com efccia e efcincia na busca dos objetivos da organizao.
O gerenciamento de riscos corporativos tem por fnalidade:
Alinhar o apetite a risco com a estratgia adotada: os administradores avaliam o apetite a risco da or-
ganizao ao analisar as estratgias, defnindo os objetivos a elas relacionados e desenvolvendo mecanismos
para gerenciar estes riscos;
Fortalecer as decises em resposta aos riscos: o gerenciamento de riscos corporativos possibilita o rigor na
identifcao e na seleo de alternativas de respostas aos riscos como evitar, reduzir, compartilhar e aceitar
os riscos;
Reduzir as surpresas e prejuzos operacionais: as organizaes adquirem melhor capacidade para identi-
fcar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuzos associa-
dos;
Identifcar e administrar riscos mltiplos e entre empreendimentos: todo empreendimento enfrenta uma
variedade de riscos que podem afetar diferentes reas da organizao. A gesto de riscos corporativos possi-
bilita uma resposta efcaz a impactos interrelacionados e, tambm, respostas integradas aos diversos riscos;
Aproveitar oportunidades: pelo fato de considerar todos os eventos em potencial, a organizao posicio-
na-se para identifcar e aproveitar as oportunidades de forma proativa;
Otimizar o capital: a obteno de informaes adequadas a respeito de riscos possibilita administrao
conduzir uma avaliao efcaz das necessidades de capital como um todo e aprimorar a alocao deste capi-
tal.
Estas qualidades, inerentes gesto de riscos corporativos, ajudam os administradores a atingir as metas de
desempenho e de lucratividade da organizao, evitando a perda de recursos. A gesto de riscos corporativos
contribui para assegurar comunicao efcaz e o cumprimento de leis e regulamentos, bem como evitar danos
reputao da organizao e suas consequncias.
6. CBK
O CBK (Common Body Of Knowledge) uma compilao feita pela ISC2 (International Information Systems
Security Certifcation Consortium) do conhecimento relativo rea de segurana da informao em dez do-
mnios distintos, que compreendem desde a segurana fsica at a anlise de risco. A ISC criou tambm um
34
programa de treinamento e certifcao do profssional de segurana, chamado CISSP (Certifed Information
Systems Security Professional).
7. Associaes
7.1. ISACA
A ISACA (Information Systems Audit and Control Association) uma associao internacional formada por
profssionais que atuam nas reas de auditoria de sistemas, segurana da informao e, principalmente, gover-
nana de TI. Iniciou suas atividades em 1967, com um pequeno grupo de auditores que atuavam em organiza-
es nas quais os sistemas informatizados comeavam a cada vez mais desempenhar operaes crticas.
Os associados da ISACA (mais de 86 mil em todo o mundo) so caracterizados por sua diversidade. Estes
membros vivem e atuam em mais de 160 pases e em diferentes posies relativas tecnologia da informao
(auditores de sistemas, consultores, profssionais de segurana da informao, CIOs, professores e pesquisa-
dores, dentre outros).
importante notar que a maioria dos associados desempenha suas funes em organizaes de todos os
segmentos econmicos indstria, comrcio, fnanas e governo. Esta , positivamente, a origem da fora e
expressividade da ISACA (www.isaca.org). As experincias adquiridas e trocadas entre os associados o fator
mais importante da associao, que possui uma base de conhecimento muito rica e diversifcada disponvel
aos associados.
Esta representatividade da ISACA tambm reside na sua abrangncia global com mais de 175 captulos
estabelecidos em mais de 70 pases. Estes captulos provem s suas comunidades oportunidades de trei-
namentos, compartilhamento de recursos, suporte, network profssional e facilidade de interagir pelos cinco
continentes e uma srie de benefcios em nvel local e internacional.
Mundialmente, a ISACA organiza, patrocina e controla a certifcao para profssionais que atuam nas reas
de auditoria de sistemas (CISA Certifed Information Systems Auditor), de segurana da informao (CISM
Certifed Information Security Manager) e de Governana de TI (CGEIT Certifed in the Governance of Enterpri-
se IT). Estas certifcaes so internacionais, reconhecidas e altamente valorizadas no mundo inteiro, constituindo
hoje uma comunidade de mais de 38 mil profssionais certifcados.
No Brasil, a ISACA (www.isaca.org.br) possui captulos em So Paulo, Rio de Janeiro, Braslia e em formao
em outras regies, com uma rede de mais de 450 associados e em ascenso.

7.2. ISSA
A ISSA (Information Systems Security Association) uma associao de profssionais de segurana da infor-
mao presente hoje em 24 pases, com mais de 13 mil associados. Seu objetivo estimular o relacionamento
entre os associados e trazer benefcios a estes por meio de parcerias, eventos, treinamentos e contedo. Uma
de suas caractersticas ser focada especifcamente em segurana da informao, embora a associao possua
programas diversifcados que benefciam desde o tcnico iniciante at o executivo tomador de decises das
organizaes.
Da ISSA nasceu a ISC2, responsvel pela certifcao de Profssionais SSCP (Systems Security Certifed Prac-
titioner), voltada certifcao tcnica de profssionais de segurana e CISSP (Certifed Information Systems
Security Professional), uma das mais respeitadas certifcaes de segurana no mundo, baseada nos dez dom-
nios do CBK, que cobrem praticamente todos os tpicos referentes segurana da informao.
Para obter a certifcao CISSP, necessrio comprovar experincia em pelo menos um dos domnios e rea-
lizar uma prova com 250 questes sobre os dez domnios em um prazo mximo de seis horas.
No Brasil, a ISSA possui um captulo regional que pode ser acessado pelo endereo www.issabrasil.org e a
ISC2 pode ser acessada pelo endereo www.isc2.org.
35
Captulo 8
Gerenciamento de mudanas
Ricardo Castro, CISA CFE
Neste captulo, trataremos das questes que envolvem a gesto de mudanas, os desafos relacionados a
este processo crtico da tecnologia da informao (TI), como dois dos mais conhecidos modelos de melhores
prticas tratam o tema e como possvel avaliar se um processo de gesto de mudanas alinhado ao planeja-
mento estratgico de segurana da informao (PESI) entrega, de fato, valor ao negcio.
1. Mudanas como causas de incidentes
Um percentual signifcativo dos problemas que ameaam a disponibilidade, a integridade e a aderncia
regulatria nos servios crticos da TI tem sua origem na execuo inadequada e pouco planejada de mudan-
as. Desta forma, ao invs de voltar sua ateno na gesto de incidentes, que trata do problema depois de
seu aparecimento, a TI deve olhar, de forma preventiva, para a gesto de mudanas para evitar a ocorrncia
de incidentes. Na verdade se os processos de gesto de mudanas no so estruturados e constantemente
aprimorados (no melhor entendimento do modelo PDCA Plan, Do, Check and Action, ou planejamento, exe-
cuo, verifcao e ao), provavelmente o departamento de TI entrar em um ciclo vicioso, onde parte dos
incidentes de segurana ser causada por aes oriundas da prpria TI; e mesmo as aes corretivas podem
ser a origem de novos incidentes.
Segundo o ITIL (Information Technology Infrastructure Library), os principais problemas relacionados a
este processo so:
A falta de informao para anlise de riscos o surgimento de situaes no previstas decorre da falta
de uma base de confgurao atualizada com as informaes necessrias para fazer uma adequada anlise de
impacto;
A falta de integrao entre processos a utilizao de uma ferramenta adequada apia o controle de
mudanas e a sua integrao aos demais processos auxilia o planejamento da mudana;
Priorizao de todas as mudanas as mudanas devem ser planejadas e agendadas no tempo correto e
de acordo com as necessidades de negcio. Devem ser tratadas apenas como mudanas urgentes quelas que
implicam na indisponibilidade atual ou imediata de um servio.
A cultura da empresa infuenciar na adeso e implantao deste processo e seus controles. O fator huma-
no essencial na mudana de paradigma. importante fazer com que a equipe em TI esteja consciente dos
efeitos positivos do processo como um todo. A falta de comprometimento da equipe um dos pontos crticos
em se tratando da gesto de mudanas. Da mesma forma, os usurios e a alta administrao precisam estar
conscientes de que o planejamento e os controles no so inimigos da fexibilidade, mas contribuem para um
ambiente operacional equilibrado, estvel e disponvel.
Para colocar um pouco mais de ordem neste cenrio extremamente desafador, podemos lanar mo dos
modelos de melhores prticas do CobiT 4.1, mais especifcamente no processo AI6 Gerenciar mudanas.
2. Desafos na gesto de mudana
As exigncias pela excelncia nos nveis de servios para alcanar os objetivos do negcio so crescentes.
Derivado desta necessidade, possvel perceber a rea de TI em constante mudana para atender a demanda
da evoluo do cenrio de negcios, implantando novas solues, aumentando a capacidade e criando novos
controles. Como fazem os tubares, preciso estar sempre em movimento, atento e, principalmente, sem se
deixar levar pelo pnico. Planejar, ponderar e agir com lucidez so requisitos para que decises emotivas no
nos levem ao fracasso.
36
A princpio todas as mudanas, previstas ou no, seriam contempladas em um processo de gesto de mu-
danas. Contudo, na maioria das vezes impraticvel tratar todas as mudanas desta forma. Sinteticamente,
podemos dizer que as principais atividades que envolvem a gesto de mudanas so:
Monitorao e direcionamento do processo de mudana;
Registro, avaliao e aceite ou rejeio das requisies de mudana (request for change ou, simplesmente,
RFCs) recebidas;
Classifcao e priorizao das mudanas junto aos comits de negcio competentes para aprovao das RFCs;
Coordenao do desenvolvimento e implantao da mudana;
Avaliao dos resultados da mudana e encerramento do processo de mudana em caso de sucesso.
Todas as mudanas, incluindo aplicao de patches e manutenes emergenciais, sejam relacionadas
infraestrutura ou aplicaes em ambiente de produo, devem ser formalmente geridas de maneira contro-
lada. As mudanas (incluindo de procedimentos, processos, sistemas e parmetros de servio) so registradas,
avaliadas e autorizadas antes de sua implantao e revisadas frente aos benefcios planejados. Estas etapas
garantem certo conforto de que impactos negativos no afetem dois dos principais pilares da segurana da
informao: a disponibilidade e a integridade do ambiente de produo.
A gesto de mudanas no pode ser uma cruzada individual da TI. O envolvimento e o apoio da rea de
negcio so vitais para o sucesso desta empreitada. Desde o primeiro momento, comits de negcio devem
ser formados visando no s a participao das principais reas da empresa, mas a formao de uma cultura
de gesto recursos e governana da TI. Outro suporte altamente recomendvel a aplicao de um modelo
de maturidade na indicao dos nveis de formalizao e automatizao das atividades.
3. Gesto de mudanas segundo o CobiT
Segundo o modelo de boas prticas e controles da ISACA, os controles sobre o processo da TI de gerir
mudanas visam, de forma direta, a gerao de solues que reduzam defeitos e retrabalho, requisitos alinha-
dos as estratgias de negcio de qualquer companhia. Para isso, preciso focar nos controles relacionados a
avaliaes de impacto, na autorizao e implantao de todas as mudanas infraestrutura da TI e na implan-
tao de solues tcnicas. Estas aes minimizam erros originados de requisies de mudana incompletas
ou podem chegar a suspender uma implantao de mudanas no autorizadas.
Estes objetivos, contudo, so alcanados pela defnio e comunicao de procedimentos de mudana,
incluindo-se a as mudanas emergenciais. Soma-se a este procedimento o desenvolvimento e aplicao de
mtodo para avaliao, priorizao e autorizao de mudanas e, por fm, o rastreamento de status e reporte
das mudanas.
O processo em si de gesto de mudanas subdividido em cinco atividades, a saber:
1) Padres e procedimentos de mudana: estabelecimento de procedimentos formais de mudana para
gerir de forma padronizada todas as solicitaes (incluindo manuteno e patches) para mudanas em aplica-
es, procedimentos, processos, sistemas e parmetros de servio, em suas respectivas plataformas.
2) Avaliao de impacto, priorizao e autorizao: avaliao de todas as requisies de mudana (RFCs) de
forma estruturada para determinar o impacto nos sistemas em operao e suas funcionalidades. Alm disso,
garantir que todas as mudanas sejam categorizadas, priorizadas e, principalmente, autorizadas.
3) Mudanas Emergenciais: estabelecimento de um processo para defnio, identifcao, teste, documen-
tao, avaliao e autorizao de mudanas emergenciais que, eventualmente, no seguiro o processo pr-
estabelecido de mudanas.
4) Rastreamento de status das mudanas e reporte: estabelece um sistema, automatizado ou no, para
rastreamento e reportado as mudanas rejeitadas, comunicao do status das alteraes aprovadas, em ava-
RFC
Registro
e Aceite
Classificao
Aprovao e
Planejamento
Implementao
Avaliao e
Encerramento
37
liao, em andamento e das mudanas fnalizadas. Ter segurana de que toda as alteraes aprovadas foram
implementadas conforme planejado.
5) Encerramento e documentao: independente da mudana implementada, deve-se atualizar os sistemas
relacionados, bem como a documentao do usurio e procedimentos.
Espera-se que, fruto da implantao destas atividades, tenha-se os seguintes resultados:
Uma abordagem padronizada e consensual para avaliao de impactos de forma efciente e efcaz;
Expectativas formalmente defnidas para impactos de mudanas, emergenciais ou no, baseadas nos ris-
cos do negcio e em medies de desempenho;
Procedimentos consistentes de mudana, emergenciais ou no;
Uma abordagem padronizada e consensual para documentao das mudanas;
Mudanas revisadas e aprovadas de forma consistente e coordenada;
Procedimentos consistentes para mudanas e documentao.
Como em qualquer processo, vital que todas as atividades gerem um resultado formal, rastrevel e
auditvel.
4. Mantendo os riscos sob controle
O processo de gesto de mudanas tem impactos em virtualmente todos os recursos da TI, como os huma-
nos, infra-estrutura, informaes ou aplicaes. Da mesma forma, aspectos de efcincia, efccia, integridade,
disponibilidade e confabilidade das informaes (este ltimo, de forma secundria) podem ser afetados nega-
tivamente caso um processo formal e bem controlado no esteja implantado. Algumas das principais ameaas
TI que podem ser controladas so:
Autorizao de acesso especial no-revogado adequadamente;
Efeitos adversos na capacidade e desempenho da infraestrutura;
Mudanas no registradas ou rastreadas;
Documentao de confgurao que no refete as confguraes atuais do sistema;
Falta de aderncia s normas e polticas internas;
Falta de habilidade na resposta as necessidades emergenciais de mudana;
Alocao incorreta de recursos;
Dependncia crescente em pessoas;
Probabilidade crescente de que mudanas no autorizadas so introduzidas nos sistemas-chave da
companhia;
Alocao insufciente de recursos;
Controle insufciente sobre as mudanas emergenciais;
Falta de documentao dos processos de negcio;
Falta de gesto na priorizao das mudanas;
Perda do rastreamento das mudanas;
Disponibilidade de sistema reduzida;
Mudanas no autorizadas implantadas, resultando em comprometimento da segurana e acesso no
autorizado s informaes da companhia;
Mudanas no detectadas e no autorizadas em ambiente de produo.
5. Medindo a efcincia dos controles
A efcincia e a efccia deste processo podem ser medidas pela implantao de alguns indicadores de desem-
penho, a saber:
Nmero de falhas graves ou erros de dados causados por uma especifcao imprecisa ou uma avaliao de
impacto incompleta;
Volume de retrabalho em aplicaes ou infraestrutura causado pela especifcao inadequada de mudanas;
Percentual de mudanas que seguem o processo formal de controle de mudanas.
38
6. Pergunta para pensar
Um processo fruto de entradas e sadas. Ao se implantar um processo para gesto de mudanas, quais
seriam as principais fontes dentro da TI e do negcio a serem consideradas? Considerando o CobiT como mo-
delo, consulte os processos PO1, PO4, PO6, PO6 ,PO7, PO8, PO9, PO10, DS3, DS5, DS8, DS9 e DS10.
Leitura recomendada:
CobiT Mapping Documents. Disponvel em: http://www.isaca.org/cobitmapping.
39
Captulo 9
Aspectos jurdicos do PESI
2

Renato Opice Blum
Juliana Abrusio
1. Introduo
No mundo moderno, o bem mais valioso a informao. As empresas esto preocupadas com o chamado
capital intelectual. Tudo o que se quer evitar a ocorrncia do dano, aqui entendido como qualquer evento
que atinja a propriedade imaterial da empresa, causando-lhe prejuzos.
Muitas vezes tais leses so irreparveis, vez que se est diante de um patrimnio que no comporta a sim-
ples devoluo da coisa mvel. Diante de tal complicao, questiona-se a qual tutela legal as empresas podem
recorrer para se protegerem da melhor forma possvel. E mais, quais os procedimentos jurdicos devem ser
incorporados ao mundo corporativo visando no somente prevenir o evento danoso, mas, tambm, municiar
a empresa de provas contra futuros processos judiciais.
preciso adotar um Plano Estratgico da Segurana da Informao (PESI) para garantir o binmio preven-
o e reao. O primeiro para evitar a ocorrncia de fraudes, invases, descuido de funcionrios, condutas
de m-f dos insiders, sabotagem, concorrncia desleal, fraudes eletrnicas etc. O segundo, como dito, para
cercar a parte lesada no caso, a empresa que j sofreu o ataque de todas as provas possveis para o pro-
cesso judicial. H, ainda, um terceiro requisito, no menos importante, que, ao lado do binmio preveno e
reao, essencial para a vida de uma empresa bem preparada em sede de segurana da informao, ou seja,
a condio em que se encontra toda estrutura de tecnologia da informao da empresa, para, se preciso for,
perici-la. dizer, a condio da empresa em responder a incidentes e gerar provas diante de tais incidentes,
de modo a coletar as provas relacionadas corretamente, para que no sejam desconsideradas no futuro.
2. A estratgia da organizao frente s normas de segurana
As questes relacionadas segurana da informao conquistaram lugar de destaque nas estratgias
corporativas em mbito mundial. Proteger e conservar a informao das inmeras ameaas tornou-se es-
sencial para garantir a continuidade do negcio, minimizando riscos e maximizando o retorno sobre os
investimentos.
Diversas normas regem os procedimentos relativos segurana da informao. Entre elas, a ABNT ISO/IEC
27001, ABNT ISO/IEC 27002, e outras tais como a Basilia II e a Sarbanes-Oxley. Porm, no podemos esquecer
que o universo corporativo est alocado em um Estado de direito, onde o exerccio aos direitos sociais e indi-
viduais assegurado, como valores supremos da sociedade, por meio de vasta legislao.
A adoo e a implantao do Cdigo de prticas para a gesto da segurana da informao devem estar
obrigatoriamente alinhadas s leis, estatutos, regulamentaes e obrigaes contratuais inerentes,
3
sob pena
de sofrer as sanes legalmente previstas. Em que pese referidas prticas estarem restritas ao universo corpo-
rativo, em hiptese alguma se deve deixar de considerar os aspectos legais envolvidos.
3. Conformidade com requisitos legais
A primeira grande preocupao no assunto a conformidade com a legislao ptria vigente, incluindo
todas as leis trabalhistas, civis, criminais e administrativas. preciso repelir a violao de qualquer legislao,
bem como de estatutos, regulamentaes e obrigaes contratuais inerentes aos requisitos de segurana da
2
Plano Estratgico da Segurana da Informao.
3
Legislao: conjunto de leis decretadas ou promulgadas em um pas, disciplinando matria em carter geral ou especfco. Ex.: Constituio Federal, Cdigo Civil, Cdigo
Penal, Consolidao das Leis do Trabalho, Lei do Software, Lei da Propriedade Industrial.
Estatutos: complexo de regras estabelecidas e observadas por uma instituio jurdica a serem adotadas como lei orgnica, que fxam os princpios institucionais de uma
corporao pblica ou privada. Ex.: Estatuto Social, Estatuto dos Funcionrios Pblicos.
Regulamentos: conjunto de normas ou regras, em que se fxam o modo de direo ou conduo de uma instituio ou associao. Ex.: Regulamento de Segurana da Infor-
mao.
Obrigaes Contratuais: obrigaes oriundas de acordo de duas ou mais pessoas fsicas ou jurdicas para entre si, constituir, regular ou extinguir uma relao jurdica. Ex.:
Contrato de Compra e Venda, Contrato de Trabalho, Contrato com Empresas Terceirizadas.
40
informao. Anote-se, ainda, que extremamente necessria a interligao entre o setor de auditoria e a
rea jurdica para terem a tranqilidade de atuar conforme os ditames legais, sem incorrer em qualquer
irregularidade.
O tipo de controle sugerido para a identifcao da legislao vigente fundamentado na verifcao da
documentao. A norma ABNT ISO/IEC 27002 preconiza que todos os requisitos estatutrios, regulamentares e
contratuais relevantes, bem como o enfoque da organizao para atender tais requisitos, sejam explicitamente
defnidos, documentados e mantidos atualizados para cada sistema de informao.
4. Regulamento Interno de Segurana da Informao
A organizao deve aplicar, internamente, um documento apto a render-lhe a maior segurana possvel,
considerando os elementos de preveno, reao e condio forense. Tal documento conhecido como
Regulamento Interno de Segurana da Informao (RISI), que constitui um conjunto de normas e regras de
segurana da informao, que visam possibilitar o compartilhamento de informaes dentro da infraestrutura
tecnolgica da organizao, por meio de seus recursos computacionais.
Por informao deve ser entendido todo o patrimnio que se refere cultura da organizao ou ao seu
negcio, podendo elas ser de carter comercial, tcnico, fnanceiro, legal, recursos humanos, ou de qualquer
outra natureza que tenham valor para organizao e que se encontrem armazenadas em seus recursos com-
putacionais, com trfego dentro da sua infraestrutura tecnolgica.
A efccia do regulamento depende da vinculao de todas as pessoas que mantm contato com a orga-
nizao, como empregados, prestadores de servios, colaboradores.
4
Assim, dentro do regulamento sero
inseridas clusulas relativas aos usurios da rede; senhas e amplitude de acesso a arquivos; controle de ame-
aas (vrus, crackers etc.); uso e instalao de software e hardware; utilizao de equipamentos (computado-
res, impressoras, notebooks, smartphones etc.); procedimentos de acesso internet e ao correio eletrnico;
dentre outras.
5. Termo de Uso da Segurana da Informao
O Termo de Uso de Segurana da Informao (TUSI) tambm deve ser utilizado pela organizao em
conjunto com o RISI. O TUSI consiste em um compromisso assumido, individualmente, de forma expressa e
escrita, pelos empregados, prestadores de servios ou colaboradores, declarando estarem subordinados ao
cumprimento das atribuies e responsabilidades advindas do RISI.
O TUSI um documento importante medida que garante a cincia das partes e poder ser um excelente
meio de prova, j que a pessoa se compromete por escrito. Ambos os documentos (RISI e TUSI) devem ser feitos
com base nas mais atualizadas e confveis diretrizes de segurana mundiais, em especial a NBR ISO IEC 27002
e NBR ISO IEC 27001; na reforma do Brgerliches Gesetzbuch (BGB) envolvendo documentos eletrnicos; no
Data Protection Working Party, da Unio Europia, no Statuto dei Lavoratori Italiani; Codice della Privacy (Itlia);
Diretiva 2002/58/CE; Decreto Legislativo Italiano n.196 de 30 de junho de 2003 (Misure di sicurezza) e outros.
O RISI e o TUSI so os dois principais instrumentos jurdicos que compem o PESI. Tais instrumentos res-
guardam no somente a organizao, como tambm os administradores, os empregados e terceiros envolvi-
dos em todas as esferas do direito.
6. Monitoramento de e-mails
O monitoramento de e-mails pode ser considerado como vlido, desde que se atente a alguns requisitos.
O Tribunal Superior do Trabalho, bem como os Tribunais Regionais do Trabalho brasileiros, vm cristalizando
a jurisprudncia ptria no sentido de permitir o monitoramento dos meios eletrnicos da corporao para
verifcao do mau uso dos recursos de processamento da informao, o que possibilita, inclusive, a dispensa
4
Empregados: considerando os prepostos da empresa que mantm vnculo empregatcio (CLT).
Prestadores de servios: tendo em vista os prepostos de empresas contratadas, ou autnomos, que, de qualquer forma, estejam alocados na prestao de algum servio em
favor da empresa, por fora de contrato de prestao de servios, sem qualquer vnculo empregatcio.
Colaboradores: outras pessoas como estagirios, cooperados e quaisquer terceiros que no se enquadrem no conceito de empregado ou prestador de servios, mas que,
direta ou indiretamente, exeram alguma atividade dentro ou fora da empresa.
41
motivada por justa causa, inexistindo expectativa de privacidade por parte dos empregados da organizao.
Acertadamente e a fm de evitar maiores discusses, salutar que todos os usurios estejam conscientes
do escopo de suas permisses de acesso e da monitorao realizada, o que pode ser viabilizado por meio de
registro de autorizaes escritas, devidamente assinadas por funcionrios, fornecedores e terceiros envolvidos
na organizao, o que, mormente, denominado de Termo de Uso dos Sistemas de Informao.
Recomenda-se, ainda, a apresentao de mensagem no momento da conexo inicial, advertindo ao usurio
que o recurso de processamento da informao utilizado de propriedade da organizao e que no so per-
mitidos acessos no-autorizados, necessitando de confrmao do usurio para o prosseguimento do processo
de conexo.
7. Responsabilidades
O Cdigo Civil Brasileiro, em seu art. 186, prev a responsabilidade civil para aquele que viola direito ou
causa dano a outrem, ainda que exclusivamente moral, por ao ou omisso voluntria, negligncia ou im-
prudncia, confgurando-se ato ilcito, fcando obrigado a repar-lo independentemente de culpa, quando
a atividade normalmente desenvolvida pelo autor do dano implicar por natureza em risco para outrem (art.
927, CC). Ainda na mesma trilha de entendimento, referido diploma legal preconiza, por meio do art. 1.016, a
responsabilidade solidria dos administradores perante a sociedade e terceiros prejudicados no desempenho
de suas funes.
Tais dispositivos demonstram de forma evidente a necessidade de resguardar juridicamente a corporao
na gesto da segurana da informao, considerando-se que o objetivo maior das corporaes na adoo da
norma a minimizao dos riscos inerentes e no a gerao de mais riscos.
Especifcamente, em relao aos gestores da segurana da informao, estes esto ligados ao complexo
de atividades relacionadas s diversas formas de utilizao dos recursos proporcionados pelo computador, e
como conseqncia, so responsveis por proporem solues capazes de maximizar o uso das ferramentas
tecnolgicas, bem como por sugerir medidas tendentes a evitar riscos dos mais diversos tipos para a organiza-
o, seja com relao perda de dados, vrus, entre outros. O gestor tem o dever de promover o processo de
conscientizao e treinamento.
Assim, recomendvel que elabore uma espcie de relatrio com a descrio da atual situao da empresa,
no que tange tecnologia empregada. Alis, a Resoluo 3.380 do BACEN, de 2006, inauguradora da primeira
fase da adoo da Basilia II no Brasil, acentua a preocupao com a elaborao de relatrios, contendo as
questes crticas das instituies fnanceiras.
sabido que ningum pode alegar em sua defesa o desconhecimento das normas vigentes. Portanto, o
gestor dever estar sempre atualizado acerca dos aspectos jurdicos que envolvem sua profsso. muito im-
portante que exista este tipo de conhecimento, pois o gestor de segurana poder ser responsabilizado, civil
e criminalmente, por seus atos, seja em virtude da conivncia com certos comportamentos, ou ainda, por no
ter agido com o cuidado e diligncia do que se espera normalmente do profssional.
Ademais, o empregado, em razo do cargo ou funo que ocupa, poder tomar conhecimento de informa-
es sigilosas, como componentes de frmulas criadas por empresas que elaborem produtos; detalhes sobre
a vida de clientes que sejam partes em demandas judiciais; dados cadastrais de clientes; planejamento para
desenvolver a atividade comercial durante o ano; entre outras.
Por tais motivos, alguns dispositivos do Cdigo Penal podero ter incidncia, conforme listado abaixo:
Divulgao de segredo
Art. 153 Divulgar algum, sem justa causa, contedo de documento particular ou de correspondncia
confdencial, de que destinatrio ou detentor, e cuja divulgao possa produzir dano a outrem:
Pena deteno, de um a seis meses, ou multa.
1 Somente se procede mediante representao.
1-A. Divulgar, sem justa causa, informaes sigilosas ou reservadas, assim defnidas em lei, contidas ou
no nos sistemas de informaes ou banco de dados da Administrao Pblica:
42
Pena deteno, de 1 (um) a 4 (quatro) anos, e multa.
2 Quando resultar prejuzo para a Administrao Pblica, a ao penal ser incondicionada.
Divulgao de segredo
Art. 154 Revelar algum, sem justa causa, segredo, de que tem cincia em razo de funo, ministrio,
ofcio ou profsso, e cuja revelao possa produzir dano a outrem:
Pena deteno, de 3 (trs) meses a 1 (um) ano, ou multa.
Pargrafo nico Somente se procede mediante representao.
No obstante a isso, pode acontecer de um funcionrio acessar, sem a devida autorizao, documentos ou
informaes confdenciais que no lhe seja permitido o conhecimento. Assim, ocorrer o descumprimento de
ordens de seu empregador ou superior hierrquico, podendo o empregado ser demitido por justa causa em
virtude de ato de indisciplina ou de insubordinao (artigo 482, alnea h da CLT).
Ademais, o gestor pode se deparar com concorrncia desleal, que so as prticas antiticas ou ilegais no
exerccio da atividade econmica, previstas no art. 195
5
da Lei 9.279/96.
8. Implementao
Em concluso s ponderaes legais colacionadas, recomenda-se que as principais posturas a serem ado-
tadas pela organizao sejam:
Divulgao de poltica de conformidades com direitos de propriedade intelectual, que contenha def-
nio expressa sobre o uso legal de software. Ser adequado que a poltica mencione a legislao vigente
sobre o tema;
Aquisio de software somente por meio de fontes idneas para assegurar que o direito autoral no
seja violado;
Conscientizar os empregados por meio de polticas e adotar aes disciplinares em face dos que viola-
rem tais polticas. Seria adequado que as aes disciplinares culminem at em demisso por justa causa;
Manter o registro de ativos e identifcar todos os possivelmente relacionados aos direitos de proprie-
dade intelectual. Assim, deve-se verifcar e registrar tudo dentro da organizao que esteja submetido
legislao pertinente;
Manter provas da propriedade de licenas, tais como contrato de licena, recibos, manuais, discos mestres;
Implantao de controles para que o nmero de usurios permitidos seja compatvel com o nmero de
licenas adquiridas; tal recomendao extrema importncia, haja vista o disposto na Lei n. 9609/98 (lei
do software);
5
EArt. 195. Comete crime de concorrncia desleal quem:
I publica, por qualquer meio, falsa afrmao, em detrimento de concorrente, com o fm de obter vantagem;
II presta ou divulga, acerca de concorrente, falsa informao, com o fm de obter vantagem;
III emprega meio fraudulento, para desviar, em proveito prprio ou alheio, clientela de outrem;
IV usa expresso ou sinal de propaganda alheios, ou os imita, de modo a criar confuso entre os produtos ou estabelecimentos;
V usa, indevidamente, nome comercial, ttulo de estabelecimento ou insgnia alheios ou vende, expe ou oferece venda ou tem em estoque produto com essas refern-
cias;
VI substitui, pelo seu prprio nome ou razo social, em produto de outrem, o nome ou razo social deste, sem o seu consentimento;
VII atribui-se, como meio de propaganda, recompensa ou distino que no obteve;
VIII vende ou expe ou oferece venda, em recipiente ou invlucro de outrem, produto adulterado ou falsifcado, ou dele se utiliza para negociar com produto da mesma
espcie, embora no adulterado ou falsifcado, se o fato no constitui crime mais grave;
IX d ou promete dinheiro ou outra utilidade a empregado de concorrente, para que o empregado, faltando ao dever do emprego, lhe proporcione vantagem;
X recebe dinheiro ou outra utilidade, ou aceita promessa de paga ou recompensa, para, faltando ao dever de empregado, proporcionar vantagem a concorrente do em-
pregador;
XI divulga, explora ou utiliza-se, sem autorizao, de conhecimentos, informaes ou dados confdenciais, utilizveis na indstria, comrcio ou prestao de servios, ex-
cludos aqueles que sejam de conhecimento pblico ou que sejam evidentes para um tcnico no assunto, a que teve acesso mediante relao contratual ou empregatcia,
mesmo aps o trmino do contrato;
XII divulga, explora ou utiliza-se, sem autorizao, de conhecimentos ou informaes a que se refere o inciso anterior, obtidos por meios ilcitos ou a que teve acesso me-
diante fraude; ou
XIII vende, expe ou oferece venda produto, declarando ser objeto de patente depositada, ou concedida, ou de desenho industrial registrado, que no o seja, ou men-
ciona-o, em anncio ou papel comercial, como depositado ou patenteado, ou registrado, sem o ser;
XIV divulga, explora ou utiliza-se, sem autorizao, de resultados de testes ou outros dados no divulgados, cuja elaborao envolva esforo considervel e que tenham
sido apresentados a entidades governamentais como condio para aprovar a comercializao de produtos.
Pena deteno, de 3 (trs) meses a 1 (um) ano, ou multa.
1 Inclui-se nas hipteses a que se referem os incisos XI e XII o empregador, scio ou administrador da empresa, que incorrer nas tipifcaes estabelecidas nos mencionados
dispositivos.
2 O disposto no inciso XIV no se aplica quanto divulgao por rgo governamental competente para autorizar a comercializao de produto, quando necessrio para
proteger o pblico.
43
Proceder constantes verifcaes para que somente sejam instalados produtos de software autoriza-
dos e licenciados na corporao;
Criar normas para manuteno das condies adequadas de licenas;
Adotar contratos para transferncia de software para terceiros;
Utilizar ferramentas de auditoria adequadas;
Identifcar e respeitar termos e condies para software obtido a partir de redes pblicas;
No duplicar, alterar para outro formato ou ainda extrair registros de flme ou udio alm do que
permitido pela lei de direito autoral, qual seja, Lei n. 9610/98;
No copiar livros, artigos ou outros documentos, fora dos padres admitidos pela Lei de Direitos
Autorais n. 9610/98.
44
Captulo 10
Computao Forense
Giuliano Giova
A informao est substituindo a autoridade.
Peter Druker
1. O poder do fara
Nada melhor do que comearmos esta rpida viagem no mundo da percia forense tendo como guia o pro-
fessor Peter Druker, mente brilhante que nos explica os segredos que entrelaam poder e informao.
Raramente houve poder maior do que aquele que emanava do fara. No era apenas um rei no Egito anti-
go, podia decidir sozinho o destino da nao e de cada um dos seus habitantes. Dono de autoridade absoluta
e cercado por milhares de escravos, o fara era capaz de construir monumentos que assombraram o mundo,
administrar sozinho a justia, desenvolver as cincias e conduzir os exrcitos; no bastasse isso, era considerado
o verdadeiro e nico representante de Deus na terra.
Exatamente nesse ponto, os ensinamentos de Druker nos ajudam a compreender que, por trs de tanto poder,
havia a posse e utilizao inteligente de informaes to importantes que seriam consideradas privilegiadas por
qualquer bolsa de valores atual.
O observador mais atento percebia que o poder dos faras vinha, de fato, dos seus sacerdotes, os verdadeiros
conhecedores do sistema de construo das pirmides, da astronomia que trazia alimento e prosperidade ao
prever secas e o momento para plantar e colher e, ainda, conhecedores da medicina que aliviava o sofrimento
do povo.
Os sacerdotes eram os nicos que sabiam ler escritos antigos sobre matemtica, qumica e posio dos astros.
Guardies dos grandes segredos, eles interpretavam sonhos, dominavam magias que curavam ou amaldioavam
e conduziam rituais. Assim, a felicidade e a prpria sobrevivncia do fara e do seu reino dependiam bem mais do
conhecimento detido pelo sacerdote do que do poder absoluto do seu governante, ou seja, mesmo na antigui-
dade posse e utilizao da boa informao era mais importante do que apenas ser ungido como autoridade.
2. Milhares de anos depois
Foram precisos alguns milhares de anos para que a humanidade conseguisse produzir mquinas efcazes para
o tratamento de informaes. Nas dcadas de 1950 e 1960, imensos computadores, os famosos mainframes, ofe-
receram um novo tipo de magia sacerdotal: coletar e processar milhes de dados e fornecer servios de proces-
samento de dados simultaneamente a legies de usurios. O Eniac, o System/360 da IBM e outros da Burroughs
e HP forneceram a governos e empresas capacidade de atender cada vez mais clientes e processar mais servios,
levando reduo de custos via ganhos de escala e, paulatinamente, substituio do trabalho braal por pro-
cessos automticos, tendo o desemprego como efeito colateral.
Nesta poca, as diretorias de informtica e O&M (organizao e mtodos) ostentavam o ttulo de mais po-
derosas, eleitas pontas de lana da alta administrao para modifcar e desenvolver comportamentos na organi-
zao, novas guardis da informao e entes responsveis por sua aplicao nas questes prticas da empresa,
mostrando a cara do dono. Novamente, presenciamos o efeito Druker, pois vimos o poder dos conselhos e da
presidncia executiva materializa-se pelas reas que dominam e aplicam as informaes relevantes.
Como conseqncia, as reas de informtica e O&M inicialmente cresceram muito, com quadros que chega-
vam a centenas ou milhares de funcionrios, mas algum tempo depois no mais davam conta do recado. Acumu-
lavam anos de backlog, enormes listas de servios pendentes sem previso razovel de atendimento, tornando-se
mais um problema no desenvolvimento da empresa do que uma soluo confvel.
A contrapartida veio naturalmente, ao longo dos anos 1970 e 1980, com o surgimento comercial do micro-
computador, equipamento inicialmente desacreditado para aplicaes mais srias na empresa, mas que logo se
imps ao trazer autossufcincia informtica aos usurios fnais.
45
A despeito das previses catastrfcas no quesito segurana da informao, pelo alto risco de perda ou cpia
indevida dos dados, o novo equipamento pessoal multiplicou-se rapidamente porque os usurios sentiram-se
livres para criar suas prprias aplicaes sem ter de negociar prioridades e prazos com a rea de desenvolvimen-
to de sistemas. Usurios fnais dominaram a tecnologia e desenvolveram seus prprios sistemas de pequeno e
mdio porte, muitas vezes em Lotus 123, Excel, Access ou mesmo algum dialeto xBase. Gerentes de reas admi-
nistrativas especializavam-se na tarefa de controlar e consolidar informaes. Muitas dessas aplicaes nasceram
timidamente stand-alone e depois foram se integrando, entre si e com mainframes.
O resultado no poderia ser outro: a partir do momento em que a integrao dos sistemas mostrou-se conf-
vel, foram demitidos gerentes que se dedicavam a consolidar informaes operacionais das suas reas (vendas,
compras, recursos humanos etc.) e repass-las aos colegas e superiores. Os sistemas integrados mostraram-se
mais efcazes e confveis do que as pessoas na tarefa de sincronizar metas organizacionais, reas funcionais e
projetos, fortalecendo a adoo de estruturas matriciais em detrimento das puramente hierrquicas, e vindas de
encontro a movimentos como rightsizing, downsizing e reduo de nveis hierrquicos.
Nesta nova fase, o controle efetivo sobre as informaes relevantes da empresa moveu-se para as mos
dos executivos responsveis pelo core business. Visivelmente, o centro do poder abandonou o CPD a partir do
momento em que deixou de propor e tornar efetivos novos negcios que faziam a empresa galgar etapas e
diferenciar-se no mercado. Salta aos olhos quando a rea de tecnologia mostra-se mera hospedeira e mantene-
dora de dados e software, travestida de coadjuvante focada apenas na tarefa de assegurar o nvel dos servios
prestados. Perdeu a posio de lder e somente presta servios para os verdadeiros donos do poder, as reas fm
da empresa.
Chegamos, ento, aos anos 1990 e ao incio de um novo sculo presenciando algumas novas magias no jogo
da informao e do poder. Computadores e redes de comunicao alcanaram desempenhos jamais imaginados.
Sistemas tornaram-se fexveis e capazes de se ajustar ao desejo individual de cada usurio fnal, uma liberdade
de escolha jamais vista. No apenas esvaram-se as previses catastrfcas que gravavam sobre a cabea dos re-
beldes que ousaram afastar-se das rigorosas normas, procedimentos e sistemas impostos pela cpula administra-
tiva, como tambm se abriram inmeros novos horizontes na esteira da internet. O pndulo do poder desloca-se
um pouco mais na direo do usurio fnal e da vontade do mercado, os verdadeiros detentores das informaes
relevantes.
3. E hoje?
Mesmo computadores mais simples, adquiridos em supermercados, apresentam desempenho impensvel
h poucos dias. No prazo de um segundo, durao de uma simples piscadela de olho, equipamentos deste tipo
processam dois bilhes de instrues (2.0 GHz), vasculham meio bilho de caracteres (HD 500 MB), transmitem
quase um bilho de bits (rede gigabit) e podem interagir com um bilho de computadores (IPv6). So frutos
da nanotecnologia, com componentes medidos na escala de um bilionsimo de metro.
Software e dados abandonam os ultrapassados desktops e se teletransportam no melhor estilo do Capito
Kirk
6
para celulares, automveis, geladeiras, controles de acesso, outdoors e equipamentos mdicos. Atraves-
sam o mundo na velocidade da luz, saltando de chip em chip, seus abrigos preferidos, onipresentes em qual-
quer caminho escolhido, seja em terra frme, nas profundezas dos oceanos ou no espao sideral.
Como que possudas, pessoas relegam a vida no mundo dito real e se sentem prias se no passam dia e
noite ligadas a um sistema de mensagens, se escasseiam os torpedos ou se no h novos scraps em seu perfl.
Jovens no podem ser considerados um bom partido enquanto no forem prospectados via webcam ou se
tiverem poucos amigos virtuais. Governos, empresas e igrejas tornam-se inteis sem conexes eletrnicas.
Pela primeira vez aps milhares de anos, a humanidade abandona o mundo real e pisa com ambos os ps
no mundo virtual.
6
Contos escritos por Gene Roddenberry.
46
4. Revisitando o velho confito de interesses
Esta breve sinopse nos ajudou a recordar que, desde a antiguidade, a informao sempre foi personagem
de destaque em todas as disputas pelo poder. Mostrou-nos, ainda, que nessa longa jornada o domnio sobre
a informao nunca foi pacato; ao contrrio, esteve imerso em disputas lancinantes das quais no escaparam
ilesos bruxas, Galileu, polticos, renomados executivos ou dedicados funcionrios.
Porm, curiosamente, algo diferente parece ocorrer hoje em dia. Fica fanando entre ns um sentimento
geral de que neste novo mundo digital no h, ou pelo menos no deveria haver, grandes disputas sobre a
criao, posse e uso de informaes. Um esprito adolescente de que no haveria necessidade de limites e se
pode tudo, afnal o noticirio mostra diariamente que qualquer um invade computadores dos servios secretos
ou opera rdios piratas.
Um olhar mais atento logo percebe que este sentimento no aderente aos crescentes ndices que medem
a quantidade de processos judiciais sobre confitos, erros e procedimentos indevidos e ilcitos praticados por
meios eletrnicos. inexorvel que provedores de informaes, construtores de software, gestores de sistemas
e operadores do direito busquem compreender esse aparente paradoxo.
Os grandes pensadores econmicos nos ensinaram, h muito tempo, que os bens so escassos e que, por
isso, tm custo de oportunidade e preo de mercado. Em outras palavras, tudo o que vale a pena no escapa
da sina de ser almejado e disputado por dois ou mais indivduos. Este o real signifcado do termo confito
de interesse, a disputa entre dois ou mais indivduos pela posse e uso de bens escassos, bastando lembrar
quantas contendas, latrocnios e guerras j resultaram desta disputa.
O comportamento conhecido desde a pr-histria, uma vez que sempre foi trabalhoso, complexo e
demorado reproduzir objetos do dito mundo real, como armas para caar alimentos, arados, relgios ou hi-
droeltricas. Imagine quantos insumos so necessrios para copiar uma simples bolsa, desde a obteno de
todas as matrias-primas e a realizao das sucessivas transformaes at que seja obtida uma nova unidade,
pronta e embalada. Assim, parece explicvel que sejam freqentes confitos de interesse relacionados a bens
do mundo fsico, levados tutela do Estado.
Todavia, ao contrrio do que ocorre no mundo real, replicar um objeto digital, parece ser uma tarefa muito
simples, barata e sem riscos. Bastam comandos triviais como copiar e colar, por mais complexo que seja o
componente digital reproduzido. Fica o sentimento ingnuo de que podem ser reproduzidos, quase que ins-
tantaneamente e de graa, milhes de objeto virtuais, um mundo nababesco com infnita fartura, a verdadeira
universalizao das benesses ao alcance de um simples clique.
O paradoxo est, ento, em saber por qual motivo surgem tantos confitos de interesse no mundo virtual
se, aparentemente, nele existiria imensa fartura objetos digitais? Para ilustrar esta viso, qual motivo poria
indivduos em confito pela posse do ar atmosfrico se ele um bem largamente disponvel e sem preo de
mercado, pelo menos por enquanto?
Mentes brilhantes debruam-se sobre tais temas. Muitos defendem regras e sistemas mais rgidos para pro-
teger e manter motivados criadores e empreendedores que continuamente revolucionam a tecnologia e ge-
ram riquezas para a humanidade. Outros pretendem reduzir as restries legais sobre direitos autorais, marcas
e bens universais como o espectro de radiofreqncia, afrmando que somos todos piratas luz da legislao
atual. Muitas outras frentes de batalha convivem no mesmo caldeiro virtual, alimentadas por personagens to
heterogneos como crackers, pedflos, estelionatrios, chantagistas, seqestradores, trafcantes, sabotadores,
espies, scios infis, funcionrios revoltados, enamorados ciumentos e espertalhes de todo o tipo.
Este confronto conceitual, cultural e fnanceiro com tempero high-tech cada vez mais palpitante, pois a
soluo dos confitos que embutem alta tecnologia jamais ser tarefa simples ou rpida. Devemos primeira-
mente considerar que na anlise destes confitos no pode faltar seu principal elemento diretor: o conceito
de nao, intimamente relacionado aos costumes dos seus habitantes e ao conjunto de leis fundamentais que
regem a vida e as relaes entre governo, pessoas e empresas.
Em segundo lugar, preciso considerar que a grande velocidade da evoluo tecnolgica impede que a le-
gislao e at mesmo simples normas tcnicas prevejam e defnam regras para as novas situaes onde podem
ocorrer confitos. Em terceiro lugar, a sobrevivncia da humanidade e das empresas depende de existirem con-
47
tnuas inovaes nas relaes sociais e nos modelos de negcios, impulsionadas e demandadas ciclicamente
pelo prprio avano tecnolgico.
Finalmente, devemos ter presente que os dispositivos digitais tornaram-se essenciais em todas as atividades
humanas e passaram a ser foco de tantos interesses distintos que projetos de lei sobre crimes informticos
fcam anos se entrechocando em interminveis debates parlamentares. O resultado geral que se avolumam
as questes sobre alta tecnologia a serem resolvidas pelos tribunais com o apoio de especialistas, tanto peritos
ofciais dos institutos de criminalstica como peritos judiciais nomeados pelos magistrados entre os profssionais
acreditados nos tribunais. Mais ainda, este cenrio agrava-se rapidamente devido crescente complexidade
dos ambientes a serem examinados, tornando cada vez mais difcil, cara e demorada a misso dos operadores
do direito, dos peritos e assistentes tcnicos das partes.
Tarefas que antes eram cumpridas por apenas um perito, muitas vezes agora requerem equipes multidis-
ciplinares com profssionais como cientistas da computao, engenheiros de telecomunicaes, contabilistas
e mdicos, afnal tudo se tornou digital. Alm disso, no bastam mais as competncias pessoais porque os
imensos volumes de dados, as inmeras formas de armazenamento e a completa mobilidade dos dispositivos
requerem mtodos e ferramentas sofsticados de anlise que esto disponveis apenas nos laboratrios mais
bem equipados, muito distantes dos milhares de comarcas espalhadas pelo Pas.
Como veremos mais adiante, se a tarefa pericial no for corretamente preparada e conduzida, a comple-
xidade inerente tecnologia da informao e s telecomunicaes aumentar muito o risco de que culpados
sejam considerados inocentes ou, pior, que inocentes sejam considerados culpados.
5. Computao forense
Em termos gerais, podemos considerar que computao forense
7
consiste no emprego de conhecimentos
sobre computao e telecomunicaes para responder questionamentos jurdicos. Trata-se, portanto, do em-
prego do mtodo cientfco, um sistema racional para adquirir conhecimento em oposio mera opinio ou
dogma, e do prprio conhecimento resultante desse mtodo, adequadamente organizado e continuamente
revisado. No marcantemente cincia pura, mas cincia aplicada ou, melhor ainda, um campo interdisciplinar
que faz uso das descobertas de outras cincias e reas como direito e computao para atender necessidades
especfcas da justia.
O termo abrange, tambm, comunidades tcnicas e cientfcas que atuam nas diversas disciplinas e campos
de estudos fundamentais ou limtrofes computao forense, inclusive colaborando com ela por meio de
conhecimento prtico, no necessariamente cientfco, e algumas vezes mais prximo s inovaes empricas
da indstria e dos costumes policiais e judiciais. Entre as comunidades, podem ser consideradas tambm as
diversas instituies voltadas comunicao tcnica e cientfca, manuteno de grupos de pesquisa, aos
estudos usualmente em nvel tcnico ou de ps-graduao, elaborao de normas e padres e certifcao
de profssionais.
O termo forense
8
remete ampla discusso pblica sob o comando do direito. Neste caso, dos fatos sobre
tecnologia da informao e telecomunicaes, em respeito ao princpio constitucional do contraditrio que
assegura a toda a pessoa em juzo o direito de ampla defesa ou a proteo do direito de quem busca a tutela
do Estado. Portanto, fca claro, por exemplo, que no pode ser considerado sufciente para se apurar a ver-
dade dos fatos o simples apontamento de um endereo IP (Internet Protocol) no cabealho tcnico de uma
mensagem ou no log de um computador servidor. essencial que estes vestgios sejam submetidos ampla
discusso tcnica forense para que, por meio de um conjunto de atividades de verifcao e demonstrao se
chegue verdade dos fatos, produo das provas.
9
Ainda com base no exemplo anterior, h alguns anos o debate tcnico em busca de evidncias possivel-
mente estaria focado no conjunto de protocolos conhecidos pela sigla TCP/IP
10
utilizados para a comunicao
7
Forense computacional, entre outros termos.
8
Do Latim: fornsis pblico, relativo aos tribunais; foro lugar onde se discutem os assuntos pblicos.
9
Dinamarco, 2005.
10
TCP: Transmission Control Protocol (Protocolo de Controle de Transmisso); IP: Internet Protocol (Protocolo de Interconexo).
48
entre computadores em rede, mapeando-se todo o trajeto da mensagem, desde o computador emitente at
aquele de destino. Porm, com a ampla disseminao da computao mvel, provavelmente o endereo IP de
origem da mensagem apontar apenas para o computador gateway da empresa operadora de telecomunica-
o mvel celular, dado insufciente para identifcar o equipamento celular emitente da mensagem, uma vez
que o mesmo sistema pode ser utilizado por diversos usurios ao mesmo tempo.
Novos conhecimentos tcnicos, investigaes e verifcaes sero agora necessrios para se comprovar a
origem da mensagem, pois parte do seu trajeto ocorre por circuitos e tecnologias prprios do sistema mvel
celular. A prpria determinao da localizao geogrfca de emisso da mensagem ganha novas dimenses,
implicando, especialmente para casos mais crticos, no estudo de elementos tcnicos inusitados at ento,
como estaes rdio base, azimutes e refexo de ondas eletromagnticas.
6. Princpio de Locard
Edmund Locard, cientista forense e diretor de um dos primeiros laboratrios europeus nesta rea, enuncia
que, na cena de um crime, sempre existir algum rastro proveniente da permuta de materiais como fbras ou
fos de cabelo, quando houver contato entre itens distintos.
O princpio de Locard aplica-se perfeitamente aos eventos do mundo digital, pois computadores que pro-
cessam bilhes de instrues por segundo certamente registraro alguma mudana em funo de qualquer
contato externo, seja proveniente de uma tecla pressionada, da movimentao do mouse, da conexo de um
pendrive, da execuo de software ou de um acesso via rede. A crescente capacidade de processamento e de
armazenamento dos computadores fez com que tanto o software bsico quanto os aplicativos aumentassem
muito seu nvel de log, passando a coletar e registrar automaticamente grande quantidade de informaes his-
tricas sobre os eventos que ocorrem no equipamento, material relevante para o investigador forense atento
ao princpio de Locard.
7. Heisenberg e a fsica quntica
Talvez, Locard tenha se inspirado nos estudos de Heisenberg sobre o observador alterar os eventos que ob-
serva na dimenso da fsica quntica. No mundo digital, ocorre algo similar. Por isso, fundamental recordar
que no apenas o suspeito deixa rastros na cena do crime virtual, mas o prprio investigador tambm deixa ou
modifca rastros ao fazer suas observaes.
Muitas vezes, cuidados elementares previnem a contaminao da cena do crime, especialmente no voltil
e complexo mundo digital. Ao suspeitar que algo indevido ou ilcito possa estar ocorrendo na empresa, seus
gestores e funcionrios devem saber que averiguar os fatos sem a metodologia correta certamente far perder
evidncias essenciais, pela contaminao da cena do crime. O prprio especialista pode ser trado pela urgncia
de apresentar respostas ao comando da empresa ou repor a operao normal de um sistema afetado. Alm da
sempre possvel perda de vestgios, mesmo aqueles preservados e submetidos autoridade policial ou ao judi-
cirio tero seu valor probante reduzido se tiverem sido contaminados, situao que pode se revelar durante os
debates forenses. Portanto, desde as primeiras investigaes at a coleta e exame de evidncias, essencial que
sejam adotados mtodos e ferramentas adequados e confveis.
8. Cadeia de custdia
A metodologia e as melhores prticas periciais determinam que todos os eventos relacionados investigao
de incidentes e coleta de vestgios devem ser detalhadamente registrados. Esta postura ainda mais relevante
porque algumas vezes inevitvel que o observador contamine ou transforme a cena do crime. O mecanismo
para este registro denomina-se cadeia de custdia, um documento onde devem ser claramente e detalhadamen-
te registrados todos os vestgios encontrados, toda e qualquer manuseio que ocorrer e seu objetivo, as pessoas
que com eles tiveram contato, alm de data, hora e local de cada evento.
A existncia de cadeia de custdia confvel fundamental para que as evidncias resultantes no possam
ser facilmente contestadas. Um dos elementos importantes na cadeia de custdia de componentes digitais a
gerao do cdigo hash, um pequeno conjunto de caracteres digitais que representa um conjunto bem maior de
49
bytes armazenados em um disco rgido ou em um arquivo, por exemplo. Tendo-se o hash, possvel demonstrar
em qualquer momento posterior que o conjunto original de dados permanece inalterado.
Portanto, tenha sempre muita ateno com evidncias que no estejam acompanhadas por registro da cadeia
de custdia original e confvel.
9. Quesitos
Quesitos so perguntas formuladas pelo juiz ou pelas partes ao perito para a instruo da causa em questes
tcnicas. Geralmente, quesitos so apresentados logo aps a deciso de se realizar a percia tcnica, um momen-
to preparatrio no qual, provavelmente, ainda no so conhecidas todas as variveis e difculdades que devero
ser enfrentadas at que se chegue verdade dos fatos.
Este quadro mostra-se mais grave medida que os novos computadores possuem capacidade enorme de
armazenamento, obrigando o perito a examinar bilhes de bytes para tentar encontrar alguns poucos bytes de
interesse pericial, muitas vezes, travestidos por codifcaes e formataes inesperadas. Junte-se a isso o frequen-
te cenrio de sobrecarga de servio e falta de ferramentas periciais adequadas. Resulta clara a importncia de
que quesitos sejam sempre muito bem formulados, pois se forem apresentados quesitos vagos ou incompletos o
resultado do trabalho pericial ser inaproveitvel ou, ainda mais grave, levar o julgador e as partes a erro.
Cumpre sempre recordar que quesitos so perguntas cuja resoluo requer esforo mental e trabalho braal
de investigao e anlise. Portanto, devem ser adequadamente detalhados para assegurar que os inmeros com-
ponentes de um sistema digital tenham sido efetivamente e corretamente examinados.
10. Exames tcnicos
Os exames periciais so procedimentos de investigao tcnica e cientfca que tm por objetivo responder os
questionamentos jurdicos sob um prisma tipicamente multidisciplinar. Certamente, por um lado, cabe ao perito
restringir-se determinao judicial e aos quesitos recebidos, sem devaneios ou incurses estranhas misso que
lhe foi confada pelo magistrado. Por outro lado, responsvel eticamente e tecnicamente, inclusive frente ao seu
conselho profssional, pela busca da verdade registrada nas peas examinadas. Nem sempre fcil compatibilizar
estes dois aspectos do trabalho pericial. Muitas vezes, o primeiro vestgio encontrado no revela a verdade real
dos fatos e pode at mesmo levar o perito e o julgador a erro.
Por exemplo, ao encontrar erro no cdigo fonte de um software, pode haver a tendncia imediata de se atri-
buir a falha ao programador, esquecendo-se que ele no trabalha ou no deveria trabalhar sozinho. Ao contr-
rio, o programador est submetido a uma estrutura tcnica de superviso, treinamento, metodologia, normas,
ferramentas, especifcaes, testes e homologaes; portanto, talvez seja aquele com menor responsabilidade
pelo problema ocorrido. Percebemos facilmente que a anlise pericial pode focar no apenas o componente es-
pecfco, mas, tambm, todo o sistema dentro de uma viso multidisciplinar e abrangente, no sentido de reiterar
incurses de anlise e sntese at que a verdade real seja encontrada.
Outra falha tpica ocorre, ainda como exemplo, na avaliao de sistemas de gesto, em embates entre empre-
sas produtoras destes softwares e seus clientes. Algumas vezes, o perito limita-se a avaliar se os procedimentos
operativos do sistema contestado apresentam interrupes ou erro nos dados ou nas regras de negcio. Mas o
principal problema pode estar em nveis bastante distintos. Por exemplo, a prpria oferta e contratao podem
ter sido inadequados se o sistema tiver um projeto voltado reduo de custos e mo-de-obra, um antigo con-
ceito de 50 anos atrs, e a empresa procurar, ao contrrio, um sistema atual de gesto que lhe permita inovar
continuamente, isto , tornar-se uma nova empresa a cada novo dia, saltando etapas e superando os concorren-
tes. Nesse contexto, parece ter um peso bem maior avaliao da compatibilidade entre os objetivos da empresa
e do sistema nas dimenses estratgica e ttica.
Ainda no contexto da determinao dos fatos ocorridos e respectivas responsabilidades tcnicas, no se pode
deixar de avaliar a responsabilidade da estrutura organizacional nos atos inadvertidos, indevidos ou ilcitos que
ocorram na empresa. Usualmente, cumpre ao perito a tarefa de apurar no apenas o evento no qual algum re-
curso da empresa foi utilizado indevidamente, mas, tambm, se a companhia foi zelosa ao estabelecer contratos,
normas de uso, orientao e controle adequados quanto sua infraestrutura.
50
Portanto, a investigao pericial torna-se cada vez mais sistmica, estruturada e multidisciplinar no sentido de
apurar a verdade real e as responsabilidades tcnicas compartilhadas.
11. Laudo pericial
O objetivo fnal do laudo pericial o magistrado, que poder tom-lo em considerao para seu convenci-
mento. Cumpre recordar que o Brasil adota o princpio do livre convencimento motivado do julgador, signif-
cando que o juiz decide a causa de acordo com o seu livre convencimento, mas deve fundamentar e explicar
o que decidiu no contexto do material probatrio levado aos autos.
Disto resulta claro que um laudo pericial redigido conforme as melhores prticas da computao forense
elemento essencial para a qualidade da deciso do magistrado e at mesmo para a fundamentao da sua
deciso. Infelizmente, no esta a realidade de muitos laudos periciais apresentados em nossos tribunais.
Descrevem os objetivos, as peas submetidas percia e as concluses obtidas, mas falta-lhes a indispensvel
fundamentao tcnica. Com isso, prejudicam ou at mesmo inviabilizam o contraditrio, impossibilitam a
avaliao da qualidade do trabalho pericial, tornam-se contestveis e podem levar a graves erros.
Um laudo pericial bem elaborado apresenta fundamentao clara, tcnica e facilmente compreensvel e ve-
rifcvel at mesmo por leigos. A Associao Brasileira de Normas Tcnicas (ABNT) indica que laudo a pea na
qual o perito relata o que observou e avalia fundamentadamente o valor de coisas ou direitos. J o Conselho
Regional de Engenharia e Arquitetura (CREA) esclarece que laudo uma pea escrita, fundamentada, que ex-
pe as observaes e estudos efetuados. O dicionrio Aurlio defne que laudo pea escrita, fundamentada,
na qual os peritos expem as observaes e estudos que fzeram e registram as concluses da percia.
Assim, todas estas defnies so unnimes ao impor a presena da fundamentao nos laudos pericial,
sendo inaceitvel que o perito simplesmente apresente suas concluses sem que as evidncias estejam preser-
vadas, sem que as concluses estejam fundamentadas e sem que os exames possam ser repetidos para validar
os resultados obtidos.
12. Finalmente
Neste nosso breve trabalho, verifcamos que a informao alcana valor cada vez maior, por ser elemento
essencial para a diferenciao de empresas e das pessoas que sabem inovar, possibilitando-lhes saltar frente
dos concorrentes.
Constatamos que as medidas de segurana devem proteger a empresa, mas no podem bloquear a fexi-
bilidade essencial para que a inovao fua livremente, seno ela sucumbir rapidamente neste novo mundo
virtual. O cenrio tecnolgico mundial, muito complexo, disperso geografcamente e com pouco compro-
metimento, aumenta fortemente o risco, impondo maior zelo e vigilncia e, portanto, maiores custos com
segurana preventiva e com a investigao de incidentes. O sistema judicirio passa a depender cada vez mais
da avaliao feita por especialistas em alta tecnologia, contudo, a crescente complexidade dos dispositivos
digitais encarece e sujeita o trabalho pericial a graves falhas, impondo empresa e s pessoas medidas acau-
teladoras no sentido de resguardar-se dos riscos digitais.
51
51

Whitepaper PlanejamentoPT PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Whitepaper PlanejamentoPT PDF

Enviado por

Direitos autorais:

Formatos disponíveis

52

Você também pode gostar