Você está na página 1de 10

Framework de Gesto de Segurana da Informao para Organizaes Militares Orientada pelos Principais Vetores de Ataque

Jos Martins1, Henrique dos Santos2, Paulo Nunes3, Rui Silva4


1

Academia Militar CINAMIL, Lisboa, Portugal jose.carloslm@gmail.com

Universidade do Minho DSI, Guimares, Portugal hsantos@dsi.uminho.pt


3

Academia Militar CINAMIL, Lisboa, Portugal pfvnunesam@gmail.com Lab UbiNET/IPBeja, INESC-ID, Beja, Portugal rs.beja@gmail.com

RESUMO
Este artigo pretende responder questo: Quais so as mais relevantes dimenses e categorias de controlos de segurana da informao a aplicar nas organizaes militares em ambiente de Guerra de Informao e de que forma a doutrina militar em vigor limita ou promove a aplicao das normas de segurana da informao disponveis? Deste modo, prope-se uma framework de gesto de segurana da informao para unidades militares, orientada para a proteo deste tipo de organizaes face aos principais vetores de ataque informao e aos Sistemas de Informao. Numa primeira fase da investigao, atravs da utilizao do mtodo de investigao focus group percecionam-se as principais dificuldades e os fatores considerados fundamentais para o sucesso na gesto da segurana da informao nas unidades, estabelecimentos e rgos militares do Exrcito Portugus. Numa segunda fase da investigao prope-se a framework de gesto de segurana da informao que vai possibilitar aos decisores militares planear de modo racional e sistemtico os controlos de segurana a aplicar nas unidades militares e integrar as diferentes dimenses da segurana da informao. Palavras Chave: Segurana da Informao Militar, Gesto da Segurana da Informao, Segurana de Sistemas de Informao, Dimenses e Categorias de Controlos de Segurana da Informao.

1. Introduo
A North Atlantic Treaty Organization (NATO) define segurana da informao como parte da segurana das operaes (OPSEC), cujo objetivo da segurana da informao (INFOSEC) proteger a informao (armazenada, processada ou transmitida), bem como os sistemas que a suportam, contra a perda de confidencialidade, integridade e disponibilidade, por meio de uma variedade de controlos processuais, tcnicos e administrativos. A INFOSEC inclui uma srie de medidas de rotina que so aplicadas sob os auspcios da poltica de segurana para proteger a informao (AAP-6, 2009, p. 174). No entanto, de acordo com os novos conceitos de doutrina militar da NATO o que se pretende garantir, com o contributo da INFOSEC a information assurance, que tem como objetivo central contribuir para a obteno da superioridade de informao no domnio militar. A information assurance segundo a doutrina militar dos EUA, pode ser definida como as Operaes de Informao que protegem e defendem os Sistemas de Informao e a informao, garantindo a sua disponibilidade, integridade, autenticao, confidencialidade e no-repdio (JP313, 1998, pp. GL-7).

Da reviso de literatura efetuada por Martins e Santos (2010) e do focus group realizado com especialistas militares no se identifica a existncia ou a aplicao de um mtodo de segurana ajustado aos desafios colocados pelo ambiente de Guerra de Informao, suficientemente estruturado para permitir obter uma viso integrada de gesto de segurana da informao para as unidades militares, face aos principais vetores de ataque informao e aos Sistemas de Informao (SI). A no identificao de uma viso clara (no implicando necessariamente a sua inexistncia) e simultaneamente a relevncia do assunto, resultaram no mbito da investigao em curso neste domnio, na proposta de uma framework de segurana da informao para o exrcito portugus, que possa contribuir futuramente para o desenvolvimento de um mtodo de segurana da informao e de uma possvel doutrina de segurana da informao e de SI (e de cibersegurana) para o Exrcito Portugus. A framework de gesto de segurana da informao proposta para as unidades militares, identifica e estrutura de modo integrado as principais dimenses e categorias de controlos que garantem a segurana da informao. As dimenses e categorias apresentadas tm por base fundamentalmente a norma internacional ISO 27001 e as normas de segurana da NATO, as quais resultam da sua experincia na mitigao do risco em segurana da informao e de SI. Para a estruturao desta framework, contribuem tambm os trabalhos conduzidos no contexto do focus group realizado e um estudo exploratrio de Martins, Santos e Nunes (2009), elaborado com o objetivo central da construo de uma framework de segurana para SI. De modo a responder questo central de investigao, o artigo est dividido em quatro seces, a primeira seco apresenta a problemtica e enuncia os objetivos principais da sua realizao. A segunda seco apresenta as principais limitaes e fatores de sucesso na gesto da segurana da informao e SI nas unidades militares, atravs da realizao do focus group com especialistas militares de segurana da informao ou de SI. De seguida, na seco trs prope-se a framework de gesto de segurana da informao para as unidades, estabelecimentos e rgos militares do Exrcito Portugus. Para finalizar o estudo, apresenta-se na quarta seco, as concluses do estudo, algumas das limitaes do mesmo e trabalhos futuros a realizar.

2. Focus Group
Neste estudo de orientao epistemolgica interpretativista, utiliza-se o mtodo de investigao focus group (Liamputtong, 2011). Na aplicao do focus group foram realizadas duas reunies com um grupo de seis oficiais do Exrcito, com experincia de cinco anos, no mnimo, na temtica da gesto da segurana da informao ou dos SI. O estudo foi realizado no Instituto de Defesa Nacional, durante os meses de Outubro e Novembro de 2011. As reunies tiveram como objetivo principal, percecionar algumas das dificuldades e fatores considerados fundamentais para o sucesso na gesto da segurana da informao na organizao militar e identificar o modelo ou mtodo atualmente utilizado para realizar a sua gesto. Para atingir os objetivos propostos foi colocada aos participantes a seguinte questo nuclear: Podem falar-me da experincia das vossas organizaes (i.e., unidades, estabelecimentos ou rgos militares do Exrcito Portugus) na gesto da segurana da informao e dos SI (e.g. dificuldades, fatores fundamentais para o sucesso, mtodo utilizado), questo esta que orientou cada reunio durante aproximadamente duas horas. Os resultados obtidos do focus group justificam a relevncia deste assunto no mbito da organizao militar Exrcito e a sua preocupao permanente e atual com esta temtica. Na aplicao deste mtodo de investigao obtiveram-se os seguintes resultados, os quais

contribuem para a construo da framework de gesto de segurana da informao e, posteriormente na construo de um mtodo para a gesto da segurana: A gesto de segurana da informao deve ter em ateno a cultura da organizao militar, onde existe um misto de civis e de militares e entre os militares, de colaboradores do quadro permanente e contratados, com percees diferentes da segurana da informao e dos SI. Embora exista a preocupao com a gesto do risco (PDE5-00, 2007), no se identifica um modelo ou um processo de gesto de segurana da informao suficientemente estruturado e sistemtico que integre as diferentes dimenses da gesto da segurana da informao. Utilizam-se fundamentalmente um conjunto de manuais de boas prticas de segurana que resultam da aplicao de normas de segurana militar (RAD280-1, 2003; SEGMIL1, 1986) e de orientaes da NATO (segundo site restrito, verso 2.2 de maro de 2011), mas sem um carcter impositivo que permita deduzir a existncia de indicadores ou mtricas de eficincia na segurana da informao. Na organizao militar est consolidada a dimenso da segurana fsica e a gesto da segurana da informao est focada essencialmente na implementao de controlos tcnicos de segurana tecnolgica (e.g. firewalls, antivrus). Constata-se que as unidades militares possuem um sistema de gesto orientado por processos (e.g., de acordo com a ISO 9001) ou por normas de execuo permanente (NEP). A abordagem utilizada para o planeamento e a implementao da segurana da informao essencialmente bottom-up e deriva principalmente de procedimentos tcnicos, sem uma viso global e integrada de todas as dimenses da segurana da informao, comum aos vrios nveis da organizao militar (i.e., nvel estratgico, de gesto e operacional). Existe a perceo nos nveis superiores da organizao militar que a segurana da informao uma rea essencialmente de cariz tecnolgico, competindo aos tcnicos a identificao dos problemas, o planeamento operacional e a execuo das tarefas associadas gesto da segurana da informao, embora o poder de deciso (e a responsabilidade) esteja centrado nos nveis estratgico e de gesto da organizao militar. Excetuando o Regulamento de Catalogao e Armazenamento de Informao do Exrcito (RCAE), no existe um processo definido para a classificao da informao em formato digital e dos ativos crticos na maioria das unidades militares, ou pelo menos evidncias que o mesmo seja realizado. Consequentemente, para atingir os objectivos a que nos propomos com o levantamento desta framework obrigatrio conhecer em profundidade a organizao, bem como os processos que esto formal ou informalmente implementados e ter devidamente levantados e classificados os ativos crticos e a informao nos diversos formatos. Constata-se que existem algumas dificuldades na aquisio e consolidao de competncias especficas neste domnio, fator que pode condicionar o desenvolvimento de uma eficiente segurana da informao (e.g. na administrao de redes de computadores, no desenvolvimento seguro de software, na implementao e manuteno de tecnologias de segurana, na construo e implementao de polticas de segurana da informao). Existe simultaneamente alguma falta de formao e at de consciencializao para a importncia crescente da gesto da segurana da informao em muitos quadros situados aos vrios nveis da cadeia de comando militar. Existe a necessidade de uma taxonomia ou de um modelo para a classificao de incidentes de segurana da informao e de SI. Atualmente no existe nas unidades militares um processo que permita normalizar o registo de incidentes de segurana da informao, a soluo dos problemas e a partilha das lies aprendidas pelos colaboradores a todos os nveis da organizao. Existe a perceo nos participantes do focus group de que no existe uma receita nica de segurana da informao, para todas as unidades militares. unanimemente aceite

pelos intervenientes no focus group, a necessidade da existncia de baselines de segurana da informao, em funo da tipificao das unidades militares e dos possveis cenrios de incidentes de segurana da informao. Pode posteriormente ser realizada uma identificao e avaliao do risco de segurana da informao para as excees. Em concluso, embora exista uma preocupao crescente na maioria dos decisores militares com esta temtica, constata-se fundamentalmente pelos dados empricos obtidos do focus group, que existe a necessidade de um modelo ou mtodo que garanta um processo comum de gesto de segurana da informao a todas as unidades militares do Exrcito Portugus. Este modelo ou mtodo, deve possibilitar que todos os nveis da cadeia de comando da organizao militar possam ter a mesma viso da segurana da informao, de modo a garantir a celeridade na seleo e implementao dos controlos de segurana da informao, de acordo com os possveis vetores de ataque de um adversrio e a consequente operacionalizao do princpio militar da Unidade de Comando.

3. Gesto de Segurana da Informao


Nesta seco, prope-se a framework de gesto de segurana da informao. A construo desta framework orientada pela necessidade de proteo da organizao face aos principais vetores de ataque de um possvel adversrio. Estes vetores no mbito da Guerra de Informao e das Operaes de Informao podem ser realizados e ter efeitos fundamentalmente a trs nveis ou dimenses de atuao, que so predominantemente: um nvel fsico, um nvel da informao e um nvel cognitivo (Alberts, Garstka, Hayes, & Signori, 2001; Andress & Winterfeld, 2011; Martins, et al., 2009; Waltz, 1998). 3.1 Norma Internacional de Gesto de Segurana da Informao ISO / IEC 27001 A norma Internacional ISO/IEC 27001 considera a gesto de segurana da informao, como um processo de gesto estruturado que permite garantir os principais requisitos de segurana da informao, fornecendo um modelo para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI) (ISO/IEC27001, 2005). Ao mesmo tempo, fomenta a adoo de uma abordagem por processos, que tem por orientao a utilizao de um modelo que permite planear, executar, verificar e atuar sobre todos os processos do SGSI, conhecido como modelo PDCA (Plan-Do-Check-Act) (ISO/IEC27001, 2005). Por anlise de contedo da norma internacional ISO/IEC 27001, identificam-se na Figura 1 as principais dimenses onde se integram os controlos de segurana que so sugeridos numa perspetiva de auditoria pela norma para garantir a segurana da informao nas organizaes.

Figura 1 - ISO / IEC 27001 dimenses de segurana da informao

Estas dimenses de segurana so a principal orientao para o planeamento e a implementao do SGSI, de acordo com a especificidade da organizao, quer em termos de requisitos de negcio, quer nas leis e regulamentos que necessita aplicar (ISO/IEC27001, 2005). No entanto, esta norma demasiado genrica na interligao entre os possveis incidentes de segurana da informao e os controlos de segurana da informao a aplicar na organizao. Em rigor, no possui um modelo ou mtodo que permita orientar a operacionalizao do que se deve fazer face a possveis mtodos de ataque de um adversrio. Em concluso, esta norma tem com objetivo principal a realizao de auditorias de segurana da informao e a sua estruturao reflete esse mesmo objetivo, no a sua operacionalizao em funo dos vetores de ataque de um adversrio. apoiada na seleo dos controlos de segurana da informao a implementar na organizao pela ISO 27002, na gesto do risco pela ISO 27005 e na orientao da sua aplicao pela ISO 27003. 3.2 Gesto de Segurana da Informao no Exrcito Portugus As unidades militares do Exrcito Portugus suportam a gesto da segurana fundamentalmente atravs das dimenses apresentadas na Figura 2, obtidas por anlise do SEGMIL 1 (1986), documento de segurana militar com a classificao de segurana reservado. O SEGMIL 1, apresenta fundamentalmente os princpios bsicos, as normas e os procedimentos destinados a garantir a proteo das matrias classificadas contra possveis incidentes de segurana, como seja a ttulo exemplificativo aes de sabotagem ou espionagem. No SEGMIL 1 sobressai a preocupao com a coordenao da segurana e a comunicao dos incidentes de segurana, sendo estas atividades realizadas atravs de dois canais de comunicao, um hierrquico e outro tcnico. Verifica-se tambm a importncia de uma coordenao estreita com os Servios de Informaes (i.e., intelligence), os quais so fundamentais na identificao e avaliao do adversrio, o que pressupe o planeamento e a implementao no apenas de controlos de segurana reativos, i.e., uma segurana defensiva, mas tambm uma segurana ofensiva.

Figura 2 - SEGMIL 1 dimenses de segurana militar

Este documento refere que a segurana da responsabilidade de todos oficiais, sargentos, praas e funcionrios civis. Sendo esta, orientada principalmente pelo princpio da defesa em profundidade, da necessidade de conhecer e da credenciao do pessoal militar ou civil que necessita de aceder s matrias classificadas. Nestas instrues, um dos aspetos centrais de planeamento e implementao, a necessidade de combinar medidas de segurana de diversos tipos e de garantir uma defesa em profundidade, onde a segurana realizada sempre que possvel possv deve concentrar-se se nos interesses a proteger de forma a poderem beneficiar de uma segurana mais eficaz (SEGMIL1, 1986, p. I.2), embora no apresente um modelo ou o processo de planear e realizar essa combinao de medidas. A segurana militar abordada no SEGMIL 1 centra-se centra se fundamentalmente nas matrias classificadas em suporte fsico (e.g. papel) e na dimenso fsica da segurana. Formaliza os processos para a classificao, o manuseamento, a transferncia e a destruio de documentos classificados, bem como os procedimentos para lidar com as quebras de segurana das matrias classificadas. Da anlise das instrues do SEGMIL 1, pode-se pode se constatar que estas no descrevem um processo racional e sistemtico, i.e., um mtodo para para garantir a seleo dos controlos adequados para proteger a informao classificada em formato digital ou os ativos crticos dos SI que suportam as aes realizadas sobre a informao, interligando os possveis incidentes de segurana com os controlos de segurana a aplicar, face aos possveis vetores de ataque de um adversrio. Para alm do SEGMIL 1, as unidades militares do Exrcito Portugus, tm complementado a gesto da segurana da informao com as normas de segurana definidas na NATO (Figura 3).

Fonte: Adaptado do Roadmap to NATO Security Policy (Verso 2.2 de maro aro de 2011)

Figura 3 - Segurana da NATO - dimenses de segurana militar

A gesto de segurana da informao deve ser suportada se possvel num modelo, o qual possa posteriormente orientar um processo sistemtico e racional de efetuar a gesto da segurana da informao. Um dos modelos militares possveis de utilizar o modelo atual da NATO de information assurance apresentado na Figura 4 e que se prev que possa orientar nos prximos anos a gesto da segurana da informao e de SI da NATO e consequentemente do Exrcito Portugus.

Fonte: Adaptado da framework de capacidades de ciberdefesa da NATO (28FEV2011)

Figura 4 - Modelo de information assurance da NATO

Neste modelo surgem como principais dimenses de segurana, a dimenso Fsica, a Pessoal e a Segurana de Suportes de Informao. Existe a dimenso da ciberesegurana a qual integra as dimenses de ciberdefesa e a INFOSEC, sendo esta constituida pela segurana dos computadores e das comunicaes. Se em relao INFOSEC, o assunto est descrito em normas e procedimentos da NATO, a ciberdefesa perspectivada como resultando da articulao sinrgica entre as Computer Network Operations (CNO) e a Segurana dos Computadores (COMPUSEC). Adicionalmente possvel tambm observar-se uma preocupao com o estado final a atingir, ou seja a segurana das Comunicaes e dos SI (CSI). Em concluso, constata-se que no existem evidncias nos documentos analisados da existncia de um mtodo que oriente de forma integrada a gesto de todas as dimenses da segurana da informao. Ou seja, tal como na norma ISO 27001, o SEGMIL 1 e as normas de segurana da NATO no apresentam formalmente a interligao entre os possveis incidentes de segurana da informao e de SI e os controlos de segurana a aplicar na organizao, com a existncia de indicadores ou mtricas de eficincia dos controlos aplicados. 3.3 Framework Militar de Gesto de Segurana da Informao No caso da organizao militar, a construo da framework deve ter fundamentalmente em considerao os vetores de ataque de um adversrio e a possibilidade de rigorosa atribuio de responsabilidade aos vrios nveis da organizao militar. A framework de gesto de segurana da informao para as unidades militares do Exrcito Portugus proposta na Figura 5. As categorias principais de controlos de segurana so identificadas atravs do mtodo de anlise de contedo. A sua construo tem por base fundamentalmente a norma internacional ISO 27001 e as normas de segurana da NATO. Simultaneamente consideraram-se as orientaes militares indicadas no SEGMIL 1, na norma nacional NIST 800-53 dos EUA (NIST-SP800-53, 2007), na certificao CISSP (Harris, 2008) e em uma framework para segurana de SI proposta por Martins et al. (2009). A correspondncia entre os vetores de ataque e as dimenses de segurana feita tendo em considerao fundamentalmente que ao vetor de ataque fsico corresponde a segurana fsica e ao vetor de ataque cognitivo corresponde a segurana humana. No caso do vetor de ataque ao nvel da informao a dimenso fundamental de segurana a dimenso tecnolgica, a qual tem em considerao a segurana lgica, a segurana das redes de computadores, telecomunicaes e internet e a segurana na aquisio, desenvolvimento e manuteno de sistemas e software. No entanto, para garantir a segurana da informao, necessria uma integrao da dimenso tecnolgica, com a segurana fsica e a humana, bem como garantir a eficiente gesto dos processos que garantem a operacionalizao das vrias dimenses da segurana e a sua integrao. Consequentemente, a dimenso organizacional desempenha a funo que permite realizar a gesto da segurana da informao ao nvel organizacional. Na framework proposta de gesto de segurana da informao, podem-se referenciar na Figura 5 as principais dimenses e categorias de controlos de segurana da informao e de SI a ter em considerao i.e. a Dimenso Organizacional, a Dimenso Fsica, a Dimenso Humana e por fim a Dimenso Tecnolgica. As categorias indicadas na framework representam controlos individuais ou conjuntos de controlos de segurana da Informao e de SI (e.g., Politica de Segurana, Controlo de Acessos Fsico, Aes de Sensibilizao, Tecnologias de Segurana, Anlise do Cdigo Fonte). Os controlos de segurana a selecionar e a implementar resultam fundamentalmente das dimenses e das categorias de segurana propostas na framework. Os controlos selecionados e implementados devem ser utilizados para prevenir, detetar, deter, desviar, recuperar ou reagir a um incidente de segurana da informao ou de SI (Dhillon, 2007; Pfleeger & Pfleeger, 2007).

Figura 5 - Framework militar de gesto de segurana da informao

No entanto, prope-se que a sua seleo seja suportada atravs da aplicao de um modelo de incidentes de segurana da informao e de SI (Martins, Santos, Nunes, & Silva, 2012), o qual permitir integrar as diferentes dimenses de segurana propostas nesta framework com os possveis mtodos de ataque. Esta abordagem permite responder s questes: o que fazer, porque fazer e como fazer? Sendo o objetivo principal da framework de gesto proposta o de minimizar os riscos de segurana da informao e consequentemente maximizar a segurana da informao ao nvel organizacional. A partir desta framework de gesto de segurana da informao, possvel definir e gerir de forma racional e sistemtica baselines de segurana da informao para as unidades militares tendo em considerao a sua especificidade e todos os possveis cenrios de mtodos de ataque definidos atravs do modelo de incidentes proposto por Martins et al. (2012). Considera-se que essencial que as unidades militares do Exrcito Portugus baseline de segurana da informao comum, a qual minimize os riscos de informao e a partir da qual possam evoluir em termos de maturidade na informao ou seja na procura da qualidade total em termos de gesto de informao i.e., zero riscos de segurana da informao. possuam uma segurana da segurana da segurana da

Os dados empricos obtidos do focus group permitem constatar a importncia para as organizaes militares das dimenses de segurana da informao apresentadas, bem como a necessidade de possuir uma framework de segurana cuja construo orientada pelos principais vetores de ataque dos adversrios e pelos principais cenrios de incidentes de segurana da informao, Em concluso, constata-se que os controlos de segurana da informao das normas internacionais e das normas militares da NATO e do SEGMIL 1 so na essncia semelhantes, embora agrupados de forma diferente nas dimenses de segurana identificadas. A norma internacional ISO/IEC 27001 de gesto da segurana da informao pode contribuir essencialmente na complementaridade dos possveis controlos de segurana a aplicar e na definio das mtricas dos controlos de segurana aplicados nas unidades militares. A framework proposta oferece uma mais fcil perceo das dimenses e das categorias de controlos de segurana da informao, o que sem dvida permite uma mais fcil integrao das dimenses da segurana propostas na resposta a um possvel incidente de segurana da informao e a facilidade de escalabilidade, em funo do aparecimento de novos mtodos de ataque ou de controlos de segurana da informao.

4. Concluses
Neste estudo, prope-se uma framework de gesto de segurana da informao para as unidades militares do Exrcito Portugus, orientada pela necessidade de garantir proteo face aos principais vetores de ataque informao e aos SI e que tem por base fundamentalmente a norma internacional ISO 27001 e as normas de segurana da NATO. Perceciona-se tambm neste estudo, que as principais propriedades da segurana da informao a ser garantidas nas unidades militares so a disponibilidade e a confidencialidade. Sendo que a informao vista no s numa perspetiva de possvel alvo, mas tambm de arma e que a preocupao da seleo dos controlos de segurana a aplicar centrada na sua eficcia para evitar a diminuio do potencial de combate ou capacidade para o cumprimento da misso. A framework proposta permite definir futuramente protocolos entre as dimenses de segurana, identificar claramente quais os servios prestados por cada nvel da organizao e uma mais fcil monitorizao e atribuio de responsabilidades ao longo da cadeia de comando. Permite simultaneamente orientar a anlise e o desenho de um curso de gesto de segurana da informao para as Foras Armadas Portuguesas, pois identifica as principais dimenses e

categorias de controlos de segurana da informao e um contributo para o planeamento estruturado e sistemtico da temtica da cibersegurana no Exrcito Portugus, pois os fundamentos tericos principais da cibersegurana so certamente a segurana da informao e dos SI. Neste estudo, no se identificou a existncia ou a aplicao de um modelo ou mtodo de gesto de segurana da informao e de SI para as unidades militares, no se assegurando consequentemente um processo de planeamento racional e sistemtico, mas deixando ao critrio dos tcnicos da organizao ou de consultores externos organizao o planeamento dos controlos de segurana mais eficientes para mitigar o risco identificado. Neste estudo no foram validadas as categorias de segurana, resultando estas apenas da anlise de contedo realizada com base nos documentos referidos, ficando consequentemente em aberto a sua validao atravs de um painel de especialistas e de um Estudo de Caso a realizar numa unidade do Exrcito Portugus durante o ano de 2013. Fica tambm em aberto para um prximo estudo a proposta de um mtodo de gesto de segurana da informao para as unidades militares do Exrcito Portugus, tendo como suporte o modelo de incidentes de segurana da informao apresentado na 11th European Conference on Information Warfare and Security (Martins et al., 2012) e a framework de gesto de segurana proposta. A integrao da framework com o modelo de incidentes deve permitir minimizar o risco de segurana da informao nas unidades militares e responder s trs questes: o que fazer, o porqu e o como fazer? Para garantir a gesto eficiente da segurana da informao, a responsabilidade de cada colaborador da organizao e fundamental que todos saibam o que fazer e tenham competncias para o fazer. Referncias Bibliografias
AAP-6 (2009). NATO Glossary of Terms and Definitons. Alberts, D., Garstka, J., Hayes, R., & Signori, D. (2001). Understanding Information Age Warfare, CCRP Publication Series, Washington, United States of America. Andress, J., & Winterfeld, S. (2011). Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners: Syngress Media Inc. Dhillon, G. (2007). Principles of Information Systems Security - Text and Cases: WILEY. Harris, S. (2008). CISSP All-in-One Exam Guide, Fourth Edition, McGraw-Hill, New York, United States of America. ISO/IEC 27001 (2005). Information technology Security techniques Information Security Management Systems Requirements. JP313 (1998). Joint Doctrine for Information Operation, United States of America. Liamputtong, P. (2011). Focus Group Methodology - Principles and Practice: SAGE. Martins, J., & Santos, H. (2010). Methods of Organizational Information Security - A Literature Review. Paper presented at the 6th International Conference On Global Security, Safety and Sustainability, Braga. Martins, J., Santos, H., & Nunes, P. (2009). Security Framework for Information Systems. Paper presented at the 8th European Conference on Information Warfare and Security, Lisboa. Martins, J., Santos, H., Nunes, P., & Silva, R. (2012). Information Security Model to Military Organizations in Environment of Information Warfare. Paper presented at the 11 th European Conference on Information Warfare and Security, Laval, France. NIST-SP 800-53 (2007). Information Security. USA. PDE 5-00 (2007). Planeamento Tctico e Tomada de Deciso: Ministrio da Defesa Nacional - Exrcito Portugus Comando da Instruo e Doutrina. Pfleeger, C. P., & Pfleeger, S. L. (2007). Securiy in Computing, Prentice Hall, 4 ed, United States of America. RAD 280-1 (2003). Segurana da Informao Armazenada, Processada ou Transmitida nos Sistemas de Informao e Comunicao do Exrcito: Estado Maior do Exrcito / Exrcito Portugus /Ministrio da Defesa Nacional. SEGMIL 1 (1986). Instrues para a Segurana Militar, Salvaguarda e Defesa de Matrias Classificadas (Reservado), EMGFA, Portugal. Waltz, E. (1998). Information Warfare: Principles and Operations, Artech House.

10