O enfoque social da segurana da informao

Joo Luiz Marciano

Doutorando em cincia da informao pela UnB.
E-mail: marciano@unb.br

Mamede Lima-Marques
Doutor em informatique Universite de Toulouse III (Paul Sabatier).
E-mail: mamede@unb.br

Resumo
O uso cada vez mais disseminado de sistemas informatizados
integrados por meio de redes um fato determinante da
sociedade da informao. Este universo de contedos e
continentes digitais est sujeito a vrias ameaas que
comprometem seriamente a segurana do complexo usuriosistema-informao. A tecnologia da informao capaz de
apresentar parte da soluo a este problema, mas no
capaz de resolv-lo integralmente. As polticas de segurana
da informao devem contemplar o adequado equilbrio dos
aspectos humanos e tcnicos da segurana da informao,
em contraposio aos modelos de polticas atuais,
extremamente voltados s questes tecnolgicas.
Palavras-chave
Interao social. Segurana da informao. Polticas de
segurana da informao.

Social approach concerning information

security
Abstract
The ever increasing use of network-integrated information
systems is an Information Societys landmark. This universe
of digital contents and media is prone to some threats that
seriously compromise the security of the user-systeminformation relationship. Information technology can present
part of this problems solution, but cannot solve it integrally.
The information security policies must observe the balance
between the human and technology issues about information
security, in contrast with current policy models, extremely
devoted to technological questions.
Keywords
Information security. Information security policies. Policy
networks. Social interaction.

INTRODUO
O uso cada vez amplo e disseminado de sistemas
informatizados para a realizao das mais diversas
atividades, com a integrao destes sistemas e de suas
bases de dados por meio de redes, um fato determinante
da sociedade da informao. Contudo, este universo de
contedos e continentes digitais est sujeito a vrias
formas de ameaas, fsicas ou virtuais, que comprometem
seriamente a segurana das pessoas e das informaes a
elas atinentes, bem como das transaes que envolvem o
complexo usurio-sistema-informao. A tecnologia da
informao capaz de apresentar parte da soluo a este
problema, no sendo, contudo, capaz de resolv-lo
integralmente, e at mesmo contribuindo, em alguns
casos, para agrav-lo. Nos ambientes organizacionais, a
prtica voltada preservao da segurana orientada
pelas chamadas polticas de segurana da informao,
que devem abranger de forma adequada as mais variadas
reas do contexto organizacional, perpassando os recursos
computacionais e de infra-estrutura e logstica, alm dos
recursos humanos. Diante deste panorama e dada a
relevncia dos aspectos humanos no contexto da
segurana da informao, este artigo prope a integrao
de disciplinas oriundas do mbito das cincias sociais
para a construo de um arcabouo destinado
elaborao, implementao e acompanhamento de
polticas de segurana abrangentes, que contemplem com
o adequado equilbrio os aspectos humanos e tcnicos da
segurana da informao, em contraposio aos modelos
atuais, notadamente voltados s questes tecnolgicas.
O roteiro apresentado prope que se inicie a anlise de
tais problemas pela compreenso dos conceitos
relacionados ao comportamento dos usurios dos
sistemas de informao, passando pelas interaes
observadas neste comportamento, pela formulao do
conceito do que se compreende por segurana da
informao mediante esta nova conformidade e
terminando com a sugesto de alguns princpios ticos e
legais que venham a govern-la.
INTERAO SOCIAL E COMPORTAMENTO
As polticas de segurana da informao so, via de regra,
apresentadas como cdigos de conduta aos quais os
usurios dos sistemas computacionais devem se adequar
integralmente. Entretanto, no se v uma discusso
adequada sobre o grau de receptividade dos usurios a

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

89

Joo Luiz Marciano / Mamede Lima-Marques

estas polticas, nem se apresentam questes sobre o

impacto, usualmente considervel, por elas causado sobre
o ambiente e sobre o comportamento daqueles que as
devem seguir (WOOD, 2000). Este artigo prope que,
antes de apresentar-se um elemento de perturbao de
uma ordem vigente (mesmo que catica), analisem-se os
indivduos e as interaes ali existentes.
O campo da interao social, o qual envolve as relaes
intra e interorganizacionais, abarcando, por conseguinte, a gnese dos sistemas de informao ali existentes,
visto pelas diferentes cincias sob vrios enfoques.
A administrao e a economia, por exemplo, devido
prpria natureza particular dos seus objetos de estudo,
debruam-se sobre este tema com especial ateno. Da
mesma forma, as estratgias de tomada de deciso e de
implementao de sistemas de informao, voltadas
gerao ou manuteno de diferenciais e vantagens
competitivos, ressaltam continuamente o papel preponderante assumido pelos processos de comunicao organizacional ante os demais processos presentes no ambiente analisado. A cincia da informao, por sua vez,
ao ressaltar o prprio carter transdisciplinar e o seu relacionamento com a comunicao (a informao um
fenmeno e a comunicao o processo de transferncia
ou compartilhamento deste fenmeno (SARACEVIC,
1999)), analisa os aspectos da comunicao organizacional ora pela ptica da teoria geral dos sistemas (BATES,
1999; VON BERTALANFFY, 1975, passim), ora pela
ptica dos processos cognitivos envolvidos na gerao e
na externalizao desta comunicao (LIMA, 2003).
Do ponto de vista da psicologia, por sua vez, vrias
abordagens aos processos da comunicao tm sido
apresentadas, em particular da comunicao em
ambientes organizacionais, procurando afastar-se do
reducionismo materialista que caracterizou tais
abordagens no decorrer do sculo passado, especialmente
em sua primeira metade (PASQUALI, 2003, pp. 19-28).
Cumpre observar que as classificaes apresentadas pela
psicologia quanto aos aspectos comportamentais do
indivduo, em especial quanto queles manifestos em sua
vida em sociedade e no mbito organizacional, evoluram
da mera anlise da intensidade dos processos neurais,
tais como a excitao e a inibio na teoria de Pavlov,
para conceitos mais elaborados baseados na resposta a
estmulos vindos do meio, buscando identificar a
estrutura da personalidade apresentada na resposta
obtida. Esta evoluo, por sua vez, veio preencher uma
lacuna da teoria da administrao quanto aos processos
mais adequados de seleo e de colocao de pessoal e de
tratamento tico de empregados em situaes de
90

demisso, entre outras necessidades. Um resultado

evidente desta parceria entre psicologia e administrao
a prtica adotada por muitas organizaes de submeter
a testes psicotcnicos os candidatos a postos de trabalho
ou a promoes funcionais, muitas vezes derivando para
um psiquismo exacerbado (PASQUALI, 2003, pp. 2941), em detrimento de outras anlises, por exemplo
socioeconmicas, que deveriam ser acrescidas ao
conjunto de avaliaes utilizadas.
Deve-se ressaltar, ainda, que cada um destes estudos
atende a nveis especficos do ambiente organizacional:
quando se quer observar o indivduo e suas interaes
com o meio, utilizam-se instrumentos do campo da
psicologia; quando se pretende observar o
comportamento de grupos diante de situaes e suas
aes coletivas, recorre-se sociologia; por fim, o estudo
cultural, partindo da gnese e evoluo desta cultura, o
campo da antropologia (BATES, 1999). Eis o motivo de
propor-se uma anlise da segurana da informao
organizacional pela viso da teoria das cincias sociais: a
informao gerada, armazenada, tratada e transmitida
com o fim de ser comunicada, e a comunicao
eminentemente um processo grupal, seja ela interna ou
externa s fronteiras da organizao.
Diversas abordagens tm sido propostas para a anlise
do comportamento social. A escolhida para este artigo
baseada na interao simblica, conforme descrito a
seguir.
INTERAO SIMBLICA E DRAMATURGIA
SOCIAL
As origens da interao simblica remetem s obras de
socilogos como Cooley, Thomas e Mead, publicadas
entre o final do sculo XIX e o incio do sculo XX. Este
enfoque envolve a concepo da sociedade como um
processo de interao, vendo-se o indivduo e a sociedade
como entidades intimamente inter-relacionadas. Alm
disso, d- se especial ateno aos aspectos
comportamentais do ser humano enquanto formador e
mantenedor do grupo e da identidade sociais
(HAGUETE, 1995, pp. 27-28). Ao referir-se prpria
obra, em especial ao trabalho Mind, Self and Society, como
pertencente ao campo do behaviorismo social, em
contraposio ao behaviorismo psicolgico ento
dominante, Mead salientava a importncia do ato social
no s em termos de sua componente observvel, mas
tambm da atividade no revelada, ntima, do ato. De
acordo com ele, toda atividade grupal se baseia no
comportamento cooperativo, diferenciando - se o
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

comportamento humano pela inteno percebida nos atos

dos demais atores e pela resposta baseada nesta percepo.
Tais intenes so transmitidas por meio de gestos que
se tornam simblicos, portanto passveis de serem
interpretados, e que levam o homem a desenvolver a
habilidade de responder aos prprios gestos. O que
permite o compartilhamento de experincias e de
condutas a capacidade de diferentes seres humanos
responderem da mesma forma ao mesmo gesto,
desenvolvendo, assim, comportamentos grupais
(HAGUETE, 1995, pp. 34).
As idias de Mead foram revistas por vrios pensadores,
em especial Blumer, que em sua obra Symbolic
Interactionism, Perspective and Method, salienta aquelas que
so, em seu entendimento, as trs premissas bsicas do
interacionismo simblico:
1) o ser humano age com relao s coisas (todos os
objetos fsicos, outros seres humanos, instituies, idias,
valores) com base no sentido que elas tm para ele;
2) o sentido destas coisas advm da interao que o
indivduo estabelece com seu grupo social;
3) estes sentidos so manipulados e modificados por meio
de um processo interpretativo usado pelo indivduo ao
tratar as coisas com as quais se depara.
Deste modo, o interacionismo simblico atribui
fundamental importncia ao sentido que as coisas tm
para o comportamento do indivduo, alm de vislumbrar
este sentido como resultante do processo de interao
entre indivduos, e no como algo inato, constituinte da
mente ou da psique. Deve-se observar a aproximao
desta viso com os estudos fenomenolgicos de Husserl
e Merleau-Ponty, dentre outros, e com as novas
abordagens da fenomenologia aplicada cincia da
informao.

atuam em resposta a uma situao na qual so chamadas

a agir, e no porque as organizaes funcionem
automaticamente em atendimento a uma dinmica
interna ou a determinado sistema de regras e
requerimentos (HAGUETE, 1995, pp. 38-39).
Baseando-se na obra de Mead, Erving Gorffman, em seu
trabalho mais conhecido, The Presentation of Self in
Everyday Life, de 1959, apresenta a importncia que tm
as aparncias sobre o comportamento dos indivduos e
grupos, levando-os a agir com o intento de transmitir
certas impresses aos que os rodeiam, ao mesmo tempo
que tentam controlar o prprio comportamento a partir
das reaes que lhes so transmitidas pelos demais atores,
a fim de projetar uma imagem distinta da realidade. A
conceituao de Gorffman envolve termos como palco,
desempenho, audincia, papel, pea e ato, dentre outros
do vocabulrio cnico. Em termos sucintos, para
Gorffman, o homem visto no como sendo ou fazendo
alguma coisa, mas sim fingindo ser ou fingindo fazer alguma
coisa (HAGUETE, 1995, p. 54).
Considera-se que a anlise dos temas anteriormente
propostos extremamente pertinente ao mbito da
segurana da informao, uma vez que neste mbito
comum deparar- se com o seguinte problema:
implementam-se regras (genericamente chamadas
polticas) que se mostram inadequadas ao ambiente
organizacional, sendo rechaadas pelos usurios como
inadequadas, impraticveis ou extremamente invasivas.
Com o intuito de reduzir esta averso e de contemplar
questes de fato pertinentes, prope-se a anlise do
comportamento dos usurios ante a segurana da
informao, idealmente em dois momentos, prvia e
posteriormente adoo de tais regras.
A ANLISE DE COMPORTAMENTO E A
FORMALIZAO DE REGRAS DE CONDUTA

Essencial para o interacionismo simblico tambm o

processo de auto-interao, por meio do qual o indivduo
manipula o seu mundo e constri sua ao (HAGUETE,
1995, pp. 29-30), seja esta ao individual ou coletiva.
Contrariamente viso ento vigente de que a sociedade
humana existe sob a forma de uma ordem estabelecida
por meio da aderncia a um conjunto de regras, normas e
valores, Blumer sustenta que o processo social de vida
em grupo que cria e mantm as regras, tratando de
descartar aquelas que no lhe so interessantes.

A correta mensurao do comportamento individual

obtida por meio da construo, aplicao e anlise de
instrumentos (em geral, questionrios ou entrevistas)
capazes de formular de modo claro e consistente os
conceitos que se deseja medir e a extenso em que se
deseja medi-los. A psicologia, em suas vertentes social e
comportamental, apresenta vrias modalidades para a
consecuo de tais instrumentos, associando aplicao
destes uma gama de ferramentas estatsticas (para
instrumentos quantitativos) ou de carter analtico (para
pesquisas qualitativas).

Blumer complementa que as instituies, em particular,

funcionam porque as pessoas, em momentos diferentes,

Associam-se ainda a esta discusso as idias tecidas por

Wittgenstein em suas Consideraes filosficas. Ali, ao falar

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

91

Joo Luiz Marciano / Mamede Lima-Marques

sobre os requisitos necessrios ao entendimento de

determinado contexto social, tal como a prtica de seguir
determinadas regras de convvio, ele afirma que este
estgio implica o conhecimento ou ateno das situaes
subjacentes a este contexto. No entanto, para
Wittgenstein, o indivduo no pode estar ciente de todas
as exigncias e desdobramentos do cumprimento destas
regras, permitindo a ocorrncia de interpretaes
errneas e ambguas (TAYLOR, 1993).
Nestes termos, o prprio atendimento a regras uma
prtica social, moldada pelos conceitos inerentes a cada
indivduo e traduzida pelas aes executadas em
atendimento (ou no) s regras vigentes.
Conseqentemente, a avaliao do entendimento reside
na observao das prticas adotadas, o que atribui um
papel extremamente importante compreenso do locus
de convvio, o que se observa, por exemplo, em MerleauPonty, Heidegger e no prprio Wittgenstein (TAYLOR,
1993) e que se reflete no conceito de habitus (o nvel de
entendimento e o modo de agir social) de Bourdieu
(THROOP; MURPHY, 2001). O grau com que
determinada regra aplicada reflete a sua incorporao
(embodiment, no dizer de Merleau-Ponty) pelos indivduos
pertencentes ao contexto social do qual ela emana.
Outra indagao repousa sobre a forma de representao
de tais regras: por mais que a interpretao seja moldada
por experincias pessoais, esta representao deve se dar
de tal modo que possa ser perceptvel de maneira o mais
uniforme possvel por todos os que devem segui-la,
evitando ambigidades lingsticas e reduzindo os malentendidos (inevitveis, conforme j se disse, segundo
Wittgenstein). Regras no so auto-aplicveis nem
autoformulveis: elas devem ser univocamente
formuladas e adequadamente aplicadas, o que exige, por
vezes, elevada carga de julgamentos e percepes, tanto
de seus formuladores, quanto daqueles que se espera que
as sigam, alm de uma prtica coerentemente alinhada
com a sua formulao.
No convvio social moderno, mais especificamente na
sociedade da informao, a padronizao de regras de
conduta voltadas ao convvio diante das fontes e acervos
informacionais se traduz por meio da formulao,
aplicao e acompanhamento de polticas da informao,
sejam elas governamentais ou organizacionais, expressas
em linguagem natural, o que as sujeita a interpretaes
dbias. A fim de contornar esta dificuldade, existem
propostas de representar as polticas de segurana da
informao com base em formalismos capazes de
expressar os conceitos da linguagem natural e de
92

averiguar a consistncia dos modelos ali representados,

como a lgica e, mais especificamente, as lgicas modais
(GLASGOW; MACEWEN; PANANGADEN, 1992).
A ABRANGNCIA DA SEGURANA DA
INFORMAO
Embora, do ponto de vista tecnolgico, a necessidade de
uma segurana da informao efetiva e os requisitos que
almejam satisfaz-la estejam muito bem definidos e sejam
amplamente conhecidos, conforme pode-se ver, por
exemplo, em ABNT (2002), o estgio atual da segurana
da informao assiste a um panorama no mnimo
pessimista: de um lado, a engenharia de software propese a desenvolver sistemas cuja aplicabilidade medida
quase que exclusivamente em termos prticos,
atendendo-se a pressupostos do tipo o sistema atende
s finalidades para as quais foi concebido (PRESSMAN,
1995, p. 34-36) a este pressuposto, a segurana apresenta
um adendo: o sistema realiza as atividades para as quais
foi concebido, e somente estas; de outro, assiste-se a
um nmero cada vez maior de ocorrncias de falhas de
segurana relativas a sistemas de informao que no
contemplaram adequadamente os conceitos da segurana
em sua formulao (SCHNEIER, 2000, p. 27).
A disseminao de meios macios de acesso informao,
com a integrao organizacional por meio da informtica
(FLORES et al., 1988) e posteriormente com a
proliferao da internet e de redes corporativas, ao
mesmo tempo que introduz formas de fcil e rpida
utilizao dos recursos computacionais, expe ainda mais
a fragilidade e os riscos a que esto expostos os usurios,
os sistemas que utilizam e os dados armazenados e
tratados por tais sistemas. Para citar-se um caso restrito
ao Brasil, a iniciativa que visava incluso digital e que
foi preconizada pelo poder pblico por meio do Programa
Sociedade da Informao (TAKAHASHI, 2000),
apontava o foco da segurana como essencial ao
provimento de servios de governo (vide TAKAHASHI,
op. cit., p. 99). O mesmo raciocnio pode ser aplicado a
outras finalidades de sistemas de informao, tais como
o comrcio eletrnico e o acesso a pginas de instituies
financeiras por meio da internet. Em todos estes casos, a
preocupao com a segurana permeia os sistemas
desenvolvidos, sendo item obrigatrio para a sua
implementao.
Entretanto, as formas correntes de implementao de
mecanismos de segurana em sistemas de informao,
como a criptografia, que utilizada como preveno ou
soluo para falhas em segurana, na ampla maioria dos
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

casos, so notadamente tcnicas, e tendem a s-lo em

grau cada vez maior, haja vista o fato de as iniciativas
apresentadas se basearem em atualizaes e sofisticaes
da tecnologia. Estas implementaes incorporam
elementos que, se no forem devidamente analisados,
podem resultar em impactos negativos que se
contrapem e at mesmo anulam os benefcios
alcanados, seja por no se incorporarem adequadamente
aos sistemas de informao que os suportam, seja por
trazerem consigo outras falhas inesperadas, por vezes
maiores que as falhas que se tentava corrigir
(SCHNEIER, 2000, p. 83). Esta abordagem da segurana
da informao termina por gerar uma srie de barreiras
que impedem a utilizao adequada e amigvel dos
sistemas por parte de seus usurios.
Os mecanismos de anlise e de formalizao de polticas
de segurana atualmente em voga, tais como a norma
International Organization for Standardization/
International Electrotechnical Commission ISO/IEC
17799, cuja adoo no Brasil se deu por meio da norma
da Associao Brasileira de Normas Tcnicas (ABNT)
Norma Brasileira de Referncia (NBR) 17799 (ABNT,
2002), ou a descrio de recomendaes de institutos de
tecnologia e de padres, partem de pressupostos
representados por melhores prticas (ABNT, 2002, p.
4), ou seja, adota-se um conjunto de procedimentos ad
hoc definidos de forma emprica e exclusivamente
voltados a aspectos tcnicos, por vezes deslocados do
contexto humano e profissional em que se inserem.

Deste modo, a segurana se faz presente nas arquiteturas

e modelos da informao, neles inserindo-se em todos
os nveis. Entretanto, observa-se um nmero crescente
de ocorrncias de incidentes relativos segurana da
informao. Fraudes digitais, furtos de senhas, cavalos
de tria (cdigos de programas aparentemente
inofensivos, mas que guardam instrues danosas ao
usurio, ao software ou ao equipamento), vrus e outras
formas de ameaas tm se multiplicado vertiginosamente,
conforme ilustra a figura 1.
Na imagem apresentada pela figura 1, mostra-se o
aumento do nmero de vulnerabilidades, ou seja,
potenciais falhas de mecanismos computacionais
(implementados em software ou em hardware), as quais,
uma vez exploradas, ou em virtude de fatores notecnolgicos, como humanos, do ensejo ocorrncia
dos incidentes. Estes, por sua vez, apresentam-se em
nmero e crescimento muito superiores s
vulnerabilidades, mesmo porque a reiterada explorao
da mesma vulnerabilidade pode ocasionar mltiplos
incidentes. Observe-se, ainda, que um mesmo incidente
que atinja diversas instalaes (como a infeco por um
mesmo vrus em centenas de milhares de computadores,
por exemplo) contabilizado como caso nico para a
confeco do grfico. A evoluo destes incidentes atesta
o fato de que a tecnologia por si s, da forma como vem
sendo empregada, no capaz de solucionar semelhantes
problemas, levando ocorrncia de um crculo vicioso: a
aplicao da tecnologia aumenta o volume de ameaas
introduzem-se mais vulnerabilidades , as quais
procura-se combater com maior aporte tecnolgico.

Cumpre observar que os sistemas de informao,

mormente aqueles digitais, em ampla voga
no contexto da sociedade da informao, FIGURA 1
encontram-se, naturalmente, envoltos por Vulnerabilidades e incidentes de segurana da informao em sites no
completo em ambientes do mundo real, mundo reportados no perodo de 1988 a 2003
estando sujeitos a vrias formas de aes
afeitas sua segurana, tais como negaes
de servio, fraudes, roubos, tentativas de
invaso, corrupo e outras atividades
hostis.
Em resposta a estas hostilidades, a segurana da informao, em seu sentido mais
abrangente, envolve requisitos voltados
garantia de origem, uso e trnsito da informao, buscando certificar todas as etapas
do seu ciclo de vida. Estes objetivos podem
ser resumidos na forma dos seguintes itens
(ABNT, 2002): confidencialidade, integridade, disponibilidade, autenticidade e
irretratabilidade ou no repdio.

Fonte: CERT (2004).

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

93

Joo Luiz Marciano / Mamede Lima-Marques

Este enfoque resultante de uma viso canhestra da

situao, que considera to-somente os aspectos
tecnolgicos ali relacionados. Correntemente, para
contemplar este problema a partir de uma abordagem
abrangente, procede- se adoo de estratgias
organizacionais de segurana, as quais so implementadas
com base em polticas de segurana institucionais.
O CONCEITO
INFORMAO

DE

SEGURANA

DA

A literatura especializada prdiga na apresentao de

conceitos do que a segurana da informao faz e de quais
so os domnios de sua atuao, mas no do que ela de
fato . Ou seja, abundam as anlises funcionais, mas so
escassas as anlises descritivas da segurana da
informao.
Pemble (2004) sugere que a segurana da informao deve
ser definida em termos das atribuies do profissional
responsvel por ela. O autor descreve trs esferas de
atuao de tais profissionais em torno das quais a
segurana deveria ser parametrizada e compreendida:
a esfera operacional, voltada ao impacto que os
incidentes podem gerar capacidade da organizao de
sustentar os processos do negcio;
a esfera da reputao, voltada ao impacto que os
incidentes tm sobre o valor da marca ou sobre o valor
acionrio;
a esfera financeira, voltada aos custos em que se incorre
na eventualidade de algum incidente.
Arce (2003a) lembra que diversos tipos de ataques em
redes produzem resultados sobre a informao no nvel
semntico, ou seja, atuam sobre o significado da
informao, modificando-o. A mudana de rotas de
acesso em redes e a falsificao de endereos de servidores
computacionais so exemplos destes ataques. Contudo,
as ferramentas de deteco e preveno atuam no nvel
sinttico: elas tratam cadeias de caracteres em busca de
padres ou seqncias no esperadas, como o caso de
um software antivrus ou de uma ferramenta de preveno
de intruses. Esta diferenciao produz um descompasso
evidente entre caa (atacante) e caador (profissional
da segurana): por vezes, eles simplesmente atuam em
nveis epistemolgicos distintos, requerendo abordagens
diferenciadas das atualmente utilizadas para a soluo
efetiva do problema.
Uma das frases mais citadas no contexto da segurana da
informao que uma corrente to resistente quanto
94

seu elo mais fraco. comum a assero de que o elo mais

fraco da corrente da segurana da informao seja o
usurio, uma vez que os recursos computacionais j
estariam protegidos por considervel acervo tecnolgico.
Arce (2003b) sugere que os sistemas operacionais das
estaes de trabalho e seus usurios seriam os mais
vulnerveis a ataques internos e externos contudo,
como j se viu, o complexo que a segurana abrange requer
ateno a todos os nveis de usurios e sistemas.
Outro aspecto que se tem mostrado extremamente
relevante o custo da segurana da informao. Geer Jr,
Hoo e Jaquith (2003) mostram o custo relativo para a
correo de falhas de segurana em softwares, em cada
etapa do processo de desenvolvimento, conforme ilustra
a tabela 1. Como se v, quanto mais tardiamente as falhas
so detectadas e corrigidas, tanto maior o custo em que
se incorre para san-las.
TABELA 1
Custo relativo da segurana no desenvolvimento de
software

Estgio
Projeto
Implementao
Testes
Manuteno

Custo relativo
1,0
6,5
15,0
100,0

Fonte: Geer Jr, Hoo e Jaquith (2003).

Ainda, Venter e Eloff (2003) sugerem uma taxonomia

para as tecnologias de segurana da informao,
dividindo-as em reativas e proativas, baseando-se no
clssico modelo de redes em sete camadas da Open
Systems Interconnection (OSI).
Todas as definies e proposies anteriores baseiam-se
ou derivam de conceitos da segurana da informao vista
como um domnio tecnolgico, em que ferramentas e
recursos tecnolgicos so aplicados em busca de solues
de problemas gerados, muitas vezes, com o concurso
daquela mesma tecnologia. Evidencia-se a necessidade
de uma compreenso mais abrangente destes problemas.
NECESSIDADE DE NOVO CONCEITO DE
SEGURANA DA INFORMAO
A ausncia de um conceito exato do que seja a segurana
da informao j foi abordada, entre outros, por Anderson
(2003). O autor cita vrios textos que sugerem uma
definio para o termo, mas que na verdade apresentam
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

as atribuies ou resultados esperados pela aplicao da

segurana da informao. Ele apresenta seu prprio
conceito: Um sentimento bem fundamentado da
garantia de que os controles e riscos da informao esto
bem equilibrados, discorrendo em seguida sobre cada
uma das partes componentes da definio.
Hitchings (1995) apresentava, j h mais de uma dcada,
a necessidade de um conceito de segurana da informao
no qual o aspecto do agente humano tivesse a devida
relevncia, fosse como agente ou paciente de eventos de
segurana (ataques, mais especificamente).
Mesmo no aspecto tecnolgico, sugestes como a de
Stergiou, Leeson e Green (2004) de uma alternativa
estrutural ao modelo da OSI, ou como a de Aljareh e
Rossiter (2002), de um modelo de segurana
colaborativo, tm sido apresentadas em contraposio
ao modelo vigente.
Visto todo este contexto, propem-se ento novos
conceitos, capazes de representar adequadamente os
atores e o ambiente envolvidos na sistemtica da
segurana da informao. A primeira definio a do
que se deva entender como um sistema de informaes.
Um sistema de informaes composto pela
somatria do sistema social no qual ele se apresenta,
compreendendo os usurios e suas interaes entre si
e com o prprio sistema, e do complexo tecnolgico
sobre o qual estas interaes se sustentam.
Deve-se observar que a tecnologia da informao
adotada cada vez mais como uma tecnologia de
representao do mundo, real ou virtual, gerando vises
prprias da realidade objetiva, as quais se estendem pela
reflexividade de seu prprio uso ou seja, a tecnologia
aponta novos caminhos antes no concebidos. Assim
sendo, o prprio uso da tecnologia por seus usurios
constitui- se em um campo aberto a diversos
questionamentos e consideraes, falando-se at mesmo,
como em Kim (2001), em uma fenomenologia do serdigital. Por questes de escopo e praticidade, no presente
artigo delimita-se o campo de utilizao das tecnologias
da informao aos ambientes organizacionais, nas esferas
circunscritas pelos sistemas de informao formais, ou
seja, de utilizao reconhecida na organizao, e utilizados
com vistas aos fins organizacionais.
Entretanto, para que no pairem dvidas sobre o tipo
de usurio sobre o qual se fala, segue-se mais uma
definio:
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O usurio de um sistema de informao o indivduo

para o qual se concretiza o fenmeno do conhecimento mediante as informaes providas por aquele
sistema.
Esta definio se baseia no conceito fenomenolgico de
que o conhecimento representa a apropriao, por parte
do indivduo, das propriedades do objeto apresentado
(HUSSERL, 1996; CAPURRO, 1982).
No resta dvida de que o processo de disseminao de
informaes por meio de redes, notadamente a internet,
amplia sobremaneira o escopo de alcance dos sistemas
de informao. So muitos os exemplos nos quais o
alcance obtido muito maior que o pretendido, o que
nem sempre um bom resultado.
Segurana da informao um fenmeno social no
qual os usurios (a includos os gestores) dos sistemas
de informao tm razovel conhecimento acerca do
uso destes sistemas, incluindo os nus decorrentes
expressos por meio de regras, bem como sobre os
papis que devem desempenhar no exerccio deste
uso.
Esta definio procura abranger todos os componentes
localizados no complexo da segurana da informao:
1) os atores do processo (os usurios);
2) o ambiente original de sua atuao (os sistemas
computacionais de informao, potencializados pelos
recursos tecnolgicos);
3) o alcance final dessa mesma atuao (a prpria
sociedade, mediante o impacto causado pelas
modificaes introduzidas pela utilizao dos sistemas
de informao).
Deste modo, tem-se uma via de mo dupla entre o
contexto social no qual se inserem os sistemas de
informao e a sua segurana: a partir do contexto social
chega-se definio dos requisitos necessrios
segurana da informao. Em contrapartida, partindose dos requisitos adotados para segurana da informao,
chega-se ao contexto social em que esto inseridos os
sistemas os requisitos, como regras de comportamento,
refletem as interaes observadas no convvio social,
conforme se observou anteriormente.
Resta ainda uma questo fundamental: em que se
baseiam os requisitos da segurana da informao? Em
outras palavras, quais so os pressupostos necessrios para
95

Joo Luiz Marciano / Mamede Lima-Marques

a adequada formulao de polticas de segurana da

informao?

2) responsabilidade todos os participantes so coresponsveis pela segurana dos sistemas de informao;

Para a correta abordagem a este problema, so

apresentados alguns princpios bsicos sobre os quais se
prope que se baseiem os requisitos para a formulao
das polticas de segurana da informao.

3) responsividade os participantes devem agir de modo

coordenado e em tempo hbil a fim de prevenir, detectar
e responder aos incidentes de segurana;

PRINCPIOS PARA A SEGURANA DA

INFORMAO
A correta gesto ou governana da segurana da
informao atingida com o compromisso de todos os
usurios quanto aplicao das normas e procedimentos
estabelecidos. De fato, o termo governana tem sido
usado cada vez mais para indicar as atividades de
planejamento, implementao e avaliao das atividades
voltadas segurana. Estas diferentes atividades podem
ser agrupadas conforme a seguinte disposio (ISACF,
2001):
1) desenvolvimento de polticas, com os objetivos da
segurana como fundamentos em torno dos quais elas
so desenvolvidas;
2) papis e autoridades, assegurando que cada
responsabilidade seja claramente entendida por todos;
3) delineamento, desenvolvendo um modelo que consista
em padres, medidas, prticas e procedimentos;
4) implementao, em um tempo hbil e com capacidade
de manuteno;
5) monitoramento, com o estabelecimento de medidas
capazes de detectar e garantir correes s falhas de
segurana, com a pronta identificao e atuao sobre
falhas reais e suspeitas com plena aderncia poltica,
aos padres e s prticas aceitveis;
6) vigilncia, treinamento e educao relativos
proteo, operao e prtica das medidas voltadas
segurana.
Por sua vez, a Organizao para a Cooperao e
Desenvolvimento Econmico (OCDE) apresenta os
seguintes princpios para o desenvolvimento de uma
cultura de segurana da informao (OCDE, 2002):
1) vigilncia os participantes devem estar atentos para
a necessidade da segurana dos sistemas de informao e
sobre o que cada um deve fazer com vistas ao incremento
desta segurana;
96

4) tica cada participante deve respeitar os legtimos

interesses dos demais;
5) democracia a segurana dos sistemas de informaes
deve ser compatvel com os valores essenciais das
sociedades democrticas;
6) avaliao de risco devem ser conduzidas avaliaes
de risco, periodicamente, a fim de mensurar eventuais
vulnerabilidades;
7) delineamento e implementao da segurana os
participantes devem incorporar a segurana como um
elemento essencial dos sistemas de informaes;
8) gesto da segurana os participantes devem adotar
uma abordagem abrangente da gesto da segurana
(compreendida em muitos meios como governana);
9) reavaliao os participantes devem rever e reavaliar
a segurana da informao, fazendo as modificaes
apropriadas a polticas, prticas, medidas e
procedimentos.
Observa-se que o cumprimento de tais princpios uma
atividade discricionria, ou seja, cabe aos gestores decidir
se aderem ou no s recomendaes apresentadas.
Pragmaticamente, cada vez mais empresas buscam a
aderncia a padres internacionais ou nacionais, mesmo
que advindos de fruns externos, de segurana. No
espectro governamental, h algumas imposies. Cabe
meno especial disposio da Constituio brasileira,
que estabelece que
A administrao pblica direta e indireta de qualquer
dos Poderes da Unio, dos Estados, do Distrito Federal
e dos Municpios obedecer aos princpios de
legalidade, impessoalidade, moralidade, publicidade
e eficincia (...) (BRASIL, 2002, art. 37)
Embora estes princpios sejam comumente vistos como
aplicveis somente aos procedimentos e aos trmites
ligados s atividades da administrao, como a gesto de
pessoal e de finanas, no h nada que impea a sua
aplicao segurana da informao. Pelo contrrio:
como os procedimentos e trmites da administrao tm
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

cada vez mais apoio sobre os sistemas de informao, a

aplicao dos princpios dispostos pela Carta Magna a
estes sistemas vem ao encontro da inteno do
constituinte: garante-se que os sistemas de informao
sejam aderentes aos princpios legais vigentes, de ampla
utilizao, atendam aos preceitos da moral e da tica,
dem vazo aos anseios democrticos por acesso
informao e atendam eficientemente aos seus objetivos.
COMENTRIOS FINAIS
O crescimento alarmante dos incidentes relacionados
segurana da informao alerta para a premente
necessidade de uma viso fundamentada em bases slidas
para este problema, a qual extrapola em muito o mbito
da tecnologia. Esta capaz de apresentar solues para
alguns dos problemas apresentados, mas falha
clamorosamente quanto apresentada a vrios outros.
Um conceito essencial a esta nova viso o de que devese analisar adequadamente os papis representados pelos
usurios e suas interaes diante dos sistemas de
informao.
Outro aspecto que merece especial ateno a urgente
necessidade de uma discusso aprofundada dos preceitos
subjacentes s polticas de segurana da informao
adotadas no Brasil em sua maioria, do lado estatal, so
voltadas ao prprio aparato do Estado, salvo no tocante
aos aspectos penais e judiciais. Do lado corporativo,
carece-se de uma discusso adequada da realidade
nacional ante o fenmeno da sociedade da informao e
dos modelos que a sociedade brasileira pretende adotar
diante desta realidade.
Por fim, cabe o comentrio de que no se conhece
qualquer soluo meramente tecnolgica para problemas
sociais. Sendo um conceito eminentemente social, a
segurana da informao necessita de uma viso
igualmente embasada em conceitos sociais, alm dos
tecnolgicos, para sua correta cobertura.

Artigo submetido em 12/06/2006 e aceito em 16/03/2007.

REFERNCIAS
ALJAREH, S.; ROSSITER, N. A task-based security model to
facilitate collaboration in trusted multi-agency networks. In: 2002
ACM SYMPOSIUM ON APPLIED COMPUTING, 2002, Madrid.
Proceedings Madri: ACM, 2002. p. 744749.
ANDERSON, J. M. Why we need a new definition of information
security. Computers & Security, v. 22, n. 4, p. 308313, May 2003.
ARCE, I. The rise of the gadgets. IEEE Security & Privacy, v. 1, n. 5,
p. 7881, Sept./Oct. 2003.
__________. The weakest link revisited. IEEE Security & Privacy,
v. 1, n. 2, p. 7276, Mar./Apr. 2003.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS - ABNT.
NBR ISO/IEC 17799: tecnologia da informao - cdigo de prtica
para a gesto da segurana da informao. Rio de Janeiro, 2002.
BATES, M. J. The invisible substrate of information science. Journal
of the American Society for Information Science, v. 50, n. 12, 1999.
Disponvel
em:
<http://www.gseis.ucla.edu/faculty/bates/
substrate.html>. Acesso em: 08 ago. 2003.
BRASIL. Constituio (1988). Constituio. Braslia: Cmara dos
Deputados, Centro de Documentao e Informao, 2002.
CAPURRO, R. Heidegger y la experiencia del lenguaje. 1982. Disponvel
em: <http://www.capurro.de/boss.htm>. Acesso em: 24 maio 2005.
COMPUTER EMERGENCY RESPONSE TEAM. CERT/Coordination
Center Statistics. 2004. Disponvel em: <http://www.cert.org/stats/
cert_stats.html>. Acesso em: 09 jan. 2006.
FLORES, F. et al. Computer systems and the design of organizational
interaction. ACM Transactions on Office Information Systems, v. 6, n. 2,
p. 153172, 1988. Disponvel em: <http://doi.acm.org/10.1145/
45941.45943>. Acesso em: 07 abr. 2004.
GEER, D.; HOO, K. S.; JAQUITH, A. Information security: why
the future belongs to the quants. IEEE Security & Privacy, v. 1, n. 4,
p. 2432, July/Aug. 2003.
GLASGOW, J.; MACEWEN, G.; PANANGADEN, P. A logic for
reasoning about security. ACM Transactions on Computer Systems,
v. 10, n. 3, p. 226264, 1992.
. Metodologias
HAGUETE, T. M. F. A interao simblica. In:
qualitativas na sociologia. 4. ed. Petrpolis: Vozes, 1995. p. 2550.
HITCHINGS, J. Deficiencies of the traditional approach to information
security and the requirements for a new methodology. Computers &
Security, v. 14, n. 5, p. 377383, May 1995.
HUSSERL, E. Investigaes lgicas: sexta investigao - elementos de
uma elucidao fenomenolgica do conhecimento. So Paulo: Nova
Cultural, 1996.
INFORMATION SYSTEMS AUDIT AND CONTROL
FOUNDATION. Information security governance: guidance for boards
of directors and executive management. Illinois: Rolling Meadows,
2001.
KIM, J. Phenomenology of digital-being. Human Studies, v. 24, n. 1/2,
p. 87111, Mar. 2001.

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

97

Joo Luiz Marciano / Mamede Lima-Marques

LIMA, G. A. B. Interfaces entre a cincia da informao e a cincia
cognitiva. Cincia da Informao, v. 32, n. 1, jan./abr. 2003. Disponvel
em: <http://www.ibict.br/cionline/320103/3210308.pdf>. Acesso em:
16 ago. 2003.
ORGANIZAO
PARA
A
COOPERAO
E
DESENVOLVIMENTO ECONMICO - OCDE. Guidelines for the
security of information systems and networks: towards a culture of security.
Paris, 2002. Disponvel em: <http://www.oecd.org/dataoecd/16/22/
15582260.pdf>. Acesso em: 20 nov. 2002.
PASQUALI, L. Os tipos humanos: a teoria da personalidade. Petrpolis:
Vozes, 2003.
PEMBLE, M. What do we mean by information security. Computer
fraud & security, v. 2004, n. 5, p. 1719, May 2004.
PRESSMAN, R. S. Software Engineering: A practitioners approach.
2nd. ed. New York: McGraw-Hill, 1995.
SARACEVIC, T. Information science. Journal of the American Society
for Information Science, v. 50, n. 12, p. 10511063, Oct. 1999.
SCHNEIER, B. Secrets and lies: digital security in a networked world.
New York: John Wiley & Sons, 2000.

98

STERGIOU, T.; LEESON, M.; GREEN, R. An alternative architectural

framework to the OSI security model. Computers & Security, v. 23,
n. 2, p. 137153, Mar. 2004.
TAKAHASHI, T. Sociedade da informao no Brasil: livro verde. Braslia:
Ministrio da Cincia e Tecnologia, 2000.
TAYLOR, C. To follow a rule... In: CALHOUN, C.; LIPUMA, E.;
POSTONE, M. (Ed.). Bourdieu: critical perspectives. Chicago: Chicago
University, 1993. p. 150165.
THROOP, C. J.; MURPHY, K. M. Bourdieu and phenomenology: a
critical assessment. Anthropological theory, v. 2, n. 2, p. 185207, June
2001.
VENTER, H. S.; ELOFF, J. H. P. A taxonomy for information security
technologies. Computers & Security, v. 22, n. 4, p. 299307, May 2003.
VON BERTALANFFY, L. Teoria Geral dos Sistemas. Petrpolis: Vozes,
1975.
WOOD, C. C. An unnapreciated reason why information security
policies fail. Computer Fraud & Security, v. 2000, n. 10, p. 1314, Oct.
2000.

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006