Contra-inteligncia Organizacional: Identificao de

Requisitos de Segurana e Priorizao de Riscos

Autoria: Rlu Dani Cosme da Silva, Eduardo Amadeu Dutra Moresi

Resumo
Este artigo objetiva analisar os requisitos de controle em segurana da informao, constantes
nas normas ISO/IEC 27001, quanto ao atendimento s premissas de contra-inteligncia, e
identificar riscos para delimitar o escopo de proteo de ativos organizacionais. As reas de
conhecimento utilizadas neste estudo foram a Segurana da Informao e Contra-inteligncia.
Apresenta-se uma caracterizao da organizao em estudo e uma reviso dos conceitos
relacionados, fundamentando a proposta de um mtodo visando identificao de requisitos
de controles e riscos que envolvam a Segurana em Operaes. Este processo representa uma
abordagem de contra-inteligncia em termos prticos, que busca proteger informaes e
segredos fundamentais de negcios entendidos como competitivos para as organizaes.
Conclui-se por meio da aplicao da matriz de identificao dos requisitos de segurana com
foco na contra-inteligncia a existncia de uma srie de requisitos da ISO que so
convergentes com este tema. Ao todo foram identificados 176 requisitos associados com a CI.
Deste total foram criados agrupamentos de requisitos denominados de categoria 1, 2 e 3. Estas
categorias foram concebidas com o intuito de facilitar o processo de identificao ao analisar
a associao tanto de requisitos da norma para com os processos de CI, quanto inversamente.
Na categoria 1 temos como caracterstica a associao de 1 requisito de segurana para com 1
processo de CI, nesta categoria foram identificados 51 requisitos. Na categoria 2, temos como
atributo a associao de 1 requisito de segurana com no mnimo 2 ou no mximo 3 processos
de CI, nesta categoria foram identificados 46 requisitos. Na categoria 3, a mais abrangente por
considerar como condicionante a associao de um requisito com no mnimo 4 ou todos os 5
processos de CI, aqui obteve-se a identificao de 4 requisitos. Outro produto da pesquisa foi
definir qual seria o escopo de proteo organizacional de uma empresa nacional de grande
porte que atua no segmento de TI. Para este objetivo foi concebida uma matriz de
levantamento de riscos. Esta matriz foi aplicada por meio de uma srie de workshops,
realizados com participao de gestores desta organizao. Assim, pode-se formalizar 117
riscos organizacionais. Tais riscos foram identificados e associados conforme os domnios de
segurana, em primeiro temos o domnio de Documentao (23%); sem seguida Pessoal
(23%); Informtica (23%); Material (11%); reas e instalaes (11%); e Comunicao (9%).
Ao considerar riscos com alta prioridade temos esta configurao, Documentao (25%);
Pessoal (24%); Informtica (21%); Material (13%); reas e instalaes (10%); e
Comunicao (7%). Em uma anlise mais qualitativa, percebe-se que os aspectos
Documentao e Pessoal foram os que mais preocuparam os gestores quando a deciso estiver
relacionada com a perda do conhecimento sensvel. Nestes segmentos pode-se concluir que as
atividades relacionadas com Informaes crticas de fcil acesso a pessoas no autorizadas;
Ausncia de diretrizes para controle de informaes sigilosas e Atos ilcitos por funcionrios
se sobressaram como os quesitos de maior preocupao dos gestores.

1
1 Introduo
Um espectro de incerteza e insegurana permeia o nosso cotidiano profissional quando o
assunto proteo de vantagens competitivas de uma organizao. Talvez o sintoma seja
conseqncia de uma realidade de extrema competitividade aonde se encontram nossas
organizaes. Vantagens competitivas organizacionais podem, em sua maioria, se traduzir
pelo simples fato de organizaes possurem algum tipo de ativo que possa ser um diferencial
em seu modelo de gesto. No que concerne especificamente ao mbito empresarial, no basta
focar somente aes e tcnicas relacionadas ao estabelecimento das vantagens competitivas
obtidas. Conforme afirma a Associao Brasileira de Inteligncia Competitiva (ABRAIC),
torna-se fundamental, tambm, a aplicao de tcnicas e ferramentas para a manuteno
dessas vantagens, incluindo a proteo do chamado conhecimento sensvel, ou vantagens
competitivas para os fins deste trabalho.
Assim, esta questo torna-se pertinente:
que mecanismos de segurana que podem ser implementados no ambiente organizacional
para amenizar esta insegurana?

As necessidades de segurana em um ambiente organizacional se tornam vlidas somente

aps a ocorrncia de determinado incidente. As possveis perdas organizacionais so diversas,
desde o vazamento de informaes sigilosas ao colapso de infra-estruturas que sustentam a
viabilidade de determinados negcios. Dos vrios entendimentos sobre como manter
protegidas tais vantagens competitivas, um se sobressai, a de que se minimize a necessidade
de aplicar contramedidas para a proteo organizacional, devido sua complexidade de aes,
e eventuais resultados imprevistos. Todavia, no instante em que forem necessrias, elas devem
estar presentes e prontas para a ao e defesa da organizao.

Como problema de pesquisa visualiza-se que os requisitos de controle de TI atualmente

vigentes na organizao estudada esto todos voltados para o enfoque em SI, tendo como
objetivo atender a poucos requisitos da ISO/IEC 27001:2006. Todavia, os demais enfoques de
segurana e proteo acontecem na organizao de maneira espordica, muitas das vezes por
demandas especficas ou reativas. Perde-se com isso a oportunidade de diagnosticar e tratar
uma eventual ameaa ou risco considerando premissas de contra-inteligncia e,
conseqentemente, podendo minimizar eventual perda de informaes organizacionais de
carter sigiloso.

Portanto, o objetivo deste trabalho propor um mtodo para identificar mecanismos de

proteo no ambiente organizacional em convergncia com conceitos relacionados
Segurana da Informao (SI) e a Contra-inteligncia (CI). Como proposio para delimitar o
escopo de proteo no ambiente organizacional, foi empregada uma sistemtica de Gesto de
Riscos (GR) para a identificao e avaliao de riscos.

2 Conceitos de Contra-inteligncia
As atividades de Contra-Inteligncia (CI) foram desenvolvidas e adaptadas a partir das
tcnicas aplicadas nos contextos militar e de estado e, no seu sentido mais amplo, tais tcnicas
so entendidas como sendo as que objetivam neutralizar as aes de espionagem. No que
concerne especificamente ao mbito empresarial, no basta focar somente aes e tcnicas
relacionadas ao estabelecimento das vantagens competitivas obtidas. Torna-se fundamental a

2
aplicao de tcnicas e ferramentas para a manuteno dessas vantagens, incluindo a proteo
do chamado conhecimento sensvel (ABRAIC, 2008).

A CI, pela perspectiva militar, definida como um esforo multidisciplinar que contempla a
Contra-inteligncia Humana (C-HUMINT), a Contra-inteligncia de Sinais (C-SIGINT) e a
Contra-inteligncia de Imagens (C-IMINT) desenvolvidas contra todo processo de coleta de
origem externa (FM 34-60, 1995). A fora da CI em conjunto com outros ativos de
inteligncia devem possuir a capacidade em detectar todos os aspectos da coleta de
inteligncia e atividades relacionadas que se prope a ameaar a Segurana em Operaes, de
Pessoal e de Material (Equipamentos). Atravs de sua capacidade analtica, a CI prov
recomendaes, as quais, se implementadas, iro resultar em negao de informao (denial
of information) s eventuais ameaas.

O MCWP 2-14 (2000) conceitua a contra-inteligncia como sendo a coleta de informaes e a

conduo de atividades que visa proteger contra espionagem ou outras atividades de
inteligncia, sabotagem ou assassinatos conduzidos por ou em nome de governos ou
elementos estrangeiros, assim como organizaes estrangeiras, ou atividades de terrorismo
internacional.

Gleghorn (2003, p. 19) se apia nos referenciais dos manuais FM 34-60 e MCWP 2-14 para
afirmar que existem essencialmente quatro funes na qual a contra-inteligncia se
fundamentada e opera: coleta, investigao, anlise e operaes. Enquanto estas quatro
funes so derivadas especificamente do FM 34-60 e do MCWP 2-14, os demais organismos
de fora nacional e o Departamento de Defesa Americano reconhecem que as diretivas de
contra-inteligncia possuem como princpio estas mesmas funes.

Pela perspectiva civil, as aes de contra-inteligncia buscam detectar o invasor, neutralizar

sua atuao, recuperar, ou mesmo contra-atacar por meio da produo de desinformao
(ABRAIC, 2008). A ABRAIC entende que especificamente ao ambiente organizacional, no
basta focar somente aes e medidas relacionadas ao estabelecimento das vantagens
competitivas obtidas. Torna-se fundamental, tambm, a aplicao de tcnicas e ferramentas
para a manuteno dessas vantagens.

Quando o processo de deciso envolve as necessidades de segurana e proteo nas

organizaes, somos impelidos a imaginar somente as perspectivas da tecnologia da
informao (TI) como sendo as principais. Todavia, existem outros aspectos que precisam ser
considerados, e que se imagina haver tantas vulnerabilidades quanto possveis.

Segundo a Portaria Nr11 do Exrcito Brasileiro (BRASIL, 2001) com o fim de abranger todas
as eventuais vulnerabilidades, as medidas de proteo de CI devem contemplar aes nos
mais variados segmentos das instituies. Os domnios de informao sensvel relativos
Segurana de Pessoal, da Documentao, do Material, de reas e Instalaes, da
Comunicao e da Informtica necessitam de anlise e ateno quanto s necessidades de
controles e mecanismos de proteo. Esta maior abrangncia torna-se fundamental para
permitir a reduo das vulnerabilidades e ameaas em um ambiente organizacional.

Conforme Kevin Mitnick (apud McMarthy & Campbell, 2003, p. 56), as pessoas so o seu
melhor ativo de segurana e sua maior vulnerabilidade. O hacker admitiu que raramente
precisasse recorrer a softwares de explorao.

3
Starry e Arnenson (2008), afirmam que medida que a tecnologia permite um maior nmero
de indivduos, grupos, organizaes e naes-estados conectarem-se com o mundo por meio
do ambiente de informao global. Assim, pode-se esperar que esses usurios persigam seus
interesses, tentando manipular e controlar o contedo e o fluxo das informaes dentro do
ambiente de informao militar.

2.1 Segurana em Operaes na Contra-inteligncia

O processo de Segurana em Operaes um contraponto ao modelo de Inteligncia
Competitiva por se configurar na defesa de aes de inteligncia. Este processo representa
uma abordagem de contra-inteligncia em termos prticos. Esta abordagem se trata de um
processo sistemtico que propicia proteo a informaes e segredos fundamentais de
negcios (Quinn, 2002, p.245). Conforme apresentado na Figura 1, o objetivo implantar
aes concretas em matria de capacidades, limitaes, atividades e intenes, evitando ou
controlando, assim, a explorao por adversrios ou concorrentes de negcio.

Figura 1: Segurana em Operaes

IDENTIFICAO DA
INFORMAO CRTICA

POTENCIAL DA AMEAA
APLICAO DAS
CONTRAMEDIDAS

ANLISE DAS
VULNERABILIDADES
AVALIAO DOS RISCOS

Fonte: Anton et all, 2003 e Miller, 2002

Este processo contempla uma estrutura de fluxo contnuo de atividades, onde o resultado de
cada uma sada para as atividades seguintes. O referido autor apresenta o modelo tendo
como principal objetivo considerar o valor do tempo da informao. Corresponde ao
entendimento de que se qualquer organizao tiver algum tipo de invaso, qual seria a
capacidade da funo Segurana em identificar e quantificar o potencial da perda. Tal postura
fundamental para amenizar os eventuais resultados negativos.

O manual MCWP 2-14 (2000, p.276) conceitua a abordagem de segurana em operaes

como sendo um processo para identificao de informao crtica e subseqente anlise de
aes no atendimento e apoio s operaes militares e outras atividades com o objetivo de:
identificar aes que podem ser observadas por sistemas de inteligncia adversrios;
determinar indicaes de sistemas de inteligncia hostis que possam obter ou
interpretar de maneira fragmentada informaes crticas a tempo de serem teis aos
adversrios; e
selecionar e executar medidas que eliminem ou reduzam a um nvel aceitvel as
vulnerabilidades das aes de explorao adversria.

Como metodologia, a Segurana em Operaes, tambm denominado de OPSEC originou-se

durante a guerra do Vietnam como um meio de descobrir como o inimigo estava obtendo
4
informaes avanadas em certas operaes de combate no Sudeste da sia. OPSEC um
programa de contramedidas voltado para a proteo de informaes crticas (ANTN et all,
2003, p.21).

Conforme Miller (2002, p.249), George Lean, o ex-diretor de Segurana em Operaes da

NSA, comenta que cada uma das fases do Modelo de Proteo importante para a integridade
e eficcia do processo em seu todo. Embora cada uma delas possua valores, isoladamente
nessa condio, s quando se consegue empreg-las em conjunto que se faz possvel avaliar
o valor sinergtico do processo de segurana em operaes.

3 Metodologia
A pesquisa se classifica como descritiva quanto aos fins, e documental e de campo quanto aos
meios. Sendo caracterizada como uma pesquisa mista, abordando premissas qualitativas e
quantitativas. Para a classificao dessa pesquisa, tomou-se como base a orientao de
Vergara (2000, p.46).
O modelo conceitual da pesquisa apresentado na Figura 2.
Figura 2: Perspectiva e associao dos temas

Fonte: Cosme, 2009

A forma de investigao foi embasada em levantamento bibliogrfico e pesquisa de campo.

Neste levantamento foram utilizadas referncias bibliogrficas dos campos de administrao,
especificamente de contra-inteligncia, segurana da informao e gesto de riscos.

A organizao alvo da aplicao foi caracterizada como empresa de grande porte no segmento
de TI e com abrangncias nacional e internacional. O processo de coleta de dados foi
composto por workshops e entrevistas com gestores da organizao. Conforme os objetivos
propostos, a aplicao dos questionrios foi caracterizada como uma observao sistemtica

5
por meio de planejamento e de condies controladas. O questionrio concebido para o
workshop de levantamento de riscos (vide apndice 1) foi estruturado com questes abertas e
de mltipla escolha.

Foram coletados dados e informaes relacionadas aos eventuais riscos de controles internos,
sistemas informatizados e os nveis de interao que validam as operaes de controle
vigentes. Para fins desta pesquisa os gestores respondentes foram entendidos como uma
amostra no-probabilstica e intencional. Os mesmos foram escolhidos tendo como pr-
requisito o nvel funcional, pretendeu-se ouvir os respondentes que tivessem nveis de
responsabilidade corporativa e de diferentes reas organizacionais. Assim, os participantes
ocupavam as seguintes funes: Gerente de Apoio Comercial, Gerente de Atendimento,
Controller, Assessor Controladoria, Assessor da Diretoria de Atendimento, Gerente de Infra-
estrutura e TI, Gerente da Qualidade e Coordenador de Auditorias Internas da Qualidade.

4 Construo do mtodo
Apresenta-se nesta seo como foi construda a matriz para identificao dos requisitos de
segurana associados com a contra-inteligncia e a relao com os temas propostos.

4.1 ISO/IEC 27001 e a Contra-inteligncia

A matriz de identificao foi composta visando integrar a estrutura da ISO/IEC 17799 (2005),
o modelo de Segurana em Operaes apresentado por Quinn (2002, p.245) e as possveis
Contramedidas de natureza ativa e/ou passiva. Pretendeu-se que, atravs desta anlise e da
associao de cada item citado, fosse obtida uma identificao dos requisitos de controle para
atender as premissas de CI.

A sua estrutura foi elaborada seguindo trs etapas. Conforme a Tabela 1, na primeira etapa
cada requisito de controle constante na ISO foi listado na 1 coluna da matriz de identificao,
ao todo foram citados os 133 controles, conforme a estrutura original da norma.

Tabela 1 Coluna de Identificao dos Requisitos de Controle

ISO 27001
Controle Descriao
Documento da poltica de
1 A.5.1.1 segurana da informaao
Anlise crtica da poltica de
2 A.5.1.2 segurana da informaao
Fonte: ISO/IEC 17799 (2005)

O conjunto dos requisitos de segurana apresentado pela ISO/IEC 17799 possui uma
estrutura, que consiste em 11 sees de controle, 39 objetivos de controle e 133 controles.
Segundo Karabacak e Sogukpinar (2006), esta considerada a principal norma voltada para a
segurana da informao. Considerada como um cdigo de prticas que contempla 133
controles em 11 diferentes domnios de segurana. Apresenta considervel nmero de
requisitos de controles que podem ser utilizados pelas organizaes para checar o quanto esto
em conformidade com as orientaes normativas.

6
Conforme a Tabela 2, a segunda etapa consistiu na identificao das colunas da matriz,
constituda pelos cinco processos do modelo de Segurana em Operaes apresentada por
Quinn (2002, p.245).

Tabela 2 Matriz de Identificao e Associao dos Requisitos com a CI

Identificao da Anlise do Anlise das Avaliao dos Aplicao das
informao crtica potencial da vulnerabilidades riscos contramedidas
item Segurana em Operaes ameaa
Autenticao para conexo
82 A.11.4.2 externa do usurio X X X X
Identificao de equipamento em
83 A.11.4.3 redes X X

No terceiro passo as duas colunas que devem encerrar a matriz citam os tipos de
contramedidas, sendo Contramedida ativa e Contramedida passiva.
ContraMedida ContraMedida
Ativa Passiva

Como resultados, obteve-se uma estrutura que permitiu analisar a inter-relao entre os
requisitos de controles e os processos de CI, e quais destes podem ser classificados como
mecanismos de proteo ativa e/ou passiva.

4.2 Mtodo de aplicao

A aplicao da matriz de identificao considerou as marcaes de cada requisito de controle
relacionando com as perspectivas processuais do modelo de Segurana em Operaes. Dada
cada relao, a matriz tambm contemplou a existncia de possveis contramedidas ativas e/ou
passivas na estrutura da norma ISO/IEC 27001 (2006).

A principal questo a ser respondida: Quais so os requisitos de controle e o percentual de

cobertura destes requisitos da ISO/IEC 27001 no atendimento s premissas de Contra-
inteligncia?
O mtodo utilizado aplicou uma simples frmula matemtica na estrutura da matriz, sendo:
% Cob = RQaPSO/ ( RQ * PSO) * (1)
Onde:
% Cob o Percentual de Cobertura;
RQaPSO a Quantidade total de Requisitos de Controle no Atendimento aos Processos de
Seg. em Operaes;
RQ a Quantidade de Requisitos de Controle previstos na ISO 27001; e
PSO so as Etapas do Modelo de Segurana em Operaes.

Conforme a Tabela 3, foi identificado a varivel RQaPSO, sendo a quantidade dos

requisitos de controle identificados e que possuem alguma relao com as premissas de CI.

Tabela 3 Quantidade dos Requisitos de Controle e a relao com a CI

Etapas da Segurana em Qtde de Req.s
Operaes de Controle % de cobertura
Identificao da informao crtica 45 26%
Potencial da ameaa 4 2%
Anlise das vulnerabilidades 42 24%
Avaliao dos riscos 10 6%
Aplicao das contramedidas 75 43%
176 100%

7
Conforme a Tabela 4 foi identificada a varivel RQ * PSO, sendo o somatrio total dos
requisitos de controle pelo total das etapas do modelo de segurana em operaes.

Tabela 4 Requisitos de Controle pelo total das Etapas da Segurana em Operaes

Qtde Abrangncia (SI x CI)
Requisitos de controle da ISO/IEC
133 27001
Etapas do modelo de Segurana
5 em Operaes
665

Conforme a Tabela 5 foi identificado percentual de cobertura, assim representado como, %

Cob = RConPSO/ RCon * PSO, onde temos a quantidade de Requisitos de Controle
identificados e relacionados com as premissas de CI dividido pelo Somatrio total dos
Requisitos de Controle multiplicado pelas etapas do modelo de Segurana em Operaes.

Tabela 5 Percentual de Cobertura

Qtde Abrangncia (SI x CI) % cobertura
Requisitos de controle da ISO/IEC
133 27001 176
Etapas do modelo de Segurana
5 em Operaes
665 26%

A consistncia da etapa de identificao relativa associao dos Requisitos de Controle x

Processos de CI foi validada pelo preenchimento da matriz por 2 profissionais com
certificao como auditor lder (Lead Auditor) pelo IRCA na ISO/IEC 27001.

4.3 Avaliao de riscos de operaes de informaes

Este item analisa a funo de avaliao de riscos como proposta de um mtodo para definir o
critrio de identificao das propriedades de proteo no ambiente organizacional. O mtodo
teve como finalidade responder a questes que envolvem os interesses e receios dos principais
gestores organizacionais relacionados aos itens de proteo.

Nesta etapa foram aplicados dois questionrios, com o objetivo de formalizar junto aos
gestores qual o entendimento e grau de importncia dos ativos organizacionais (Propriedades
de Proteo) que so reconhecidos como crticos. Por meio deste levantamento, delimitou-se
quais os principais ativos que devem ser protegidos no ambiente organizacional, e quais
possveis contramedidas podem ser aplicadas.

Desta maneira, recomenda-se a seguinte seqncia de aes para implantar tal sistemtica de
identificao. Planejar uma atividade de workshop para aplicar o mtodo de identificao e
priorizao de riscos no ambiente organizacional; Por meio do questionrio identificar quais
os riscos que a organizao est ou foi exposta; Identificar o(s) Gestor(es) e rea de atuao
que formalizou o risco; Associar para cada risco a categoria qual est relacionado; Associar
para cada risco qual o processo inerente; Associar para cada risco o impacto deste evento ou
incidente, como conseqncia no ambiente organizacional; Quais requisitos de controle da
ISO/IEC 17799 (2005) podem ser associados; Quais Contramedidas Ativas e Passivas podem
ser aplicadas para o tratamento do risco em questo; e Associar para cada risco quais recursos
e responsveis devem ser dispostos para a aplicao das referidas contramedidas.

8
4.4 A matriz de identificao riscos organizacionais
Neste item apresentado um modelo de matriz que se prope a identificar e priorizar quais
ativos organizacionais possui correlao com as premissas de Contra-inteligncia.

A proposta da sistemtica de identificao a de listar todos os principais ativos

organizacionais vigentes na organizao, na mesma estrutura da matriz esto identificados
possveis riscos relacionados aos ativos, as categorias de processos e a descrio dos impactos
dos respectivos riscos. A identificao, anlise e a associao de cada risco aos ativos
organizacionais nos fornecem um critrio de priorizao de quais requisitos de controle
poderiam atender as premissas de CI, quanto proteo dos respectivos ativos
organizacionais, entendidos como aspectos de vantagem competitiva. Vide matriz no
Apndice 2. Com esta estrutura foi possvel identificar e avaliar os riscos organizacionais e
associar quais requisitos de controle presentes na ISO/IEC 27001 e na ISO/IEC 17799, e quais
contramedidas ativas e/ou passivas poderiam ser utilizadas para a proteo da informao
sensvel no ambiente organizacional. Tais aes de proteo podem estar presentes nestas
normas ou podem ser de conhecimento dos especialistas em segurana envolvidos nesta etapa
do levantamento.

5 Resultados e discusso
No incio deste trabalho foi mencionado que, em geral, as organizaes poderiam acrescentar
aos esforos de segurana da informao outros aspectos de gesto que no sejam
preferencialmente a TI. Assim h um risco inerente a essa postura, que considera somente
aspectos tecnolgicos, de perdas de informaes sensveis acontecerem por outras vias, seja
por pessoas, por documentao no controlada, por reas ou instalaes inseguras, e outras
vias. Neste sentido, foi a partir desta idia, decidido discorrer sobre os requisitos de segurana
da informao identificados ao considerar premissas de contra-inteligncia. A identificao de
tais requisitos necessria para analisar a possvel implantao de mecanismos de defesa e/ou
proteo organizacional em um contexto empresarial, e com a aplicao complementar da
avaliao de riscos para atestar as condicionantes propostas.

Conforme a Tabela 6, a aplicao das matrizes de identificao pode-se observar que os

requisitos de segurana referenciados pela ISO 27001 e ISO 17799 foram validados como
uma abordagem parcial s necessidades de proteo a partir das premissas de contra-
inteligncia. As matrizes de identificao aplicadas mostraram que os atendimentos destes
requisitos de controle correspondem a 26% de cobertura frente a estes conceitos. As matrizes
de identificao tambm revelaram que a norma possui 85% de contramedidas passivas e 15%
de contramedidas ativas.

9
 Tabela 6 Identificao de Requisitos; Percentual de Cobertura e Contramedidas
Etapas da Segurana em Qtde de Req.s
Operaes de Controle % de cobertura
Identificao da informao crtica 45 26%
Potencial da ameaa 4 2%
Anlise das vulnerabilidades 42 24%
Avaliao dos riscos 10 6%
Aplicao das contramedidas 75 43%
176 100%

Qtde Abrangncia (SI x CI) % cobertura

Requisitos de controle da ISO/IEC
133 27001 176
Etapas do modelo de Segurana
5 em Operaes
665 26%

Contramedidas Qtde. Requisitos

Ativa 8 15%
Passiva 45 85%
Qtde Qtde 53 100%

Com o objetivo de facilitar o processo de identificao como resultado da pesquisa, os

requisitos de segurana foram categorizados tendo como principal caracterstica a relao com
os conceitos de CI. Com esta classificao pretendeu-se identificar quais agrupamentos de
requisitos de segurana possuem relao direta com os conceitos de CI. Aps esta anlise
observou-se que o agrupamento denominado de categoria 1 foi definido como sendo o
conjunto de requisitos de segurana que possui relao direta com no mnimo 1 processo de
CI. Na categoria 2 temos a relao com no mnimo 2 e no mximo 3 processos, e na categoria
3 apresentam-se os requisitos relacionados com no mnimo 4 ou com todos os processos de
CI. Obteve-se assim a Tabela 7 como resultado desta classificao.

Tabela 7 Categorias de Requisitos

Qtde. Requisitos
Categorias x conceitos CI
Categoria 1 51 50%
Categoria 2 46 46%
Categoria 3 4 4%
Qtde 101 100%

Os requisitos de segurana da ISO 27001 das categorias 1 e 2 em conjunto obtiveram 96% da

abrangncia relacionada com a contra-inteligncia. Os 4% restantes da categoria 3
representam um agrupamento de requisitos com uma abrangncia bastante completa frente aos
processos de CI.

5.1 Definio do Escopo de Proteo

Do processo de levantamento de riscos, participaram os representantes dos seguintes nveis
funcionais na organizao em questo: Assessoria de Segurana, Gerncia da Qualidade,
Gerncia Comercial, Gerncia de TI, Assessoria da Diretoria de PMO e Controladoria. Todos
estes profissionais participam ativamente no processo decisrio da organizao e suas
responsabilidades so corporativas.

O workshop teve como finalidade a aplicao do formulrio para levantamento de riscos.

Conforme apresentado na Tabela 8 foram identificados 117 riscos organizacionais. Pelo

10
instrumento de pesquisa tais riscos esto diretamente associados aos 6 domnios de segurana
(BRASIL, 2001).
Tabela 8 Riscos Organizacionais
Contar de Domnio Domnio
Perda esperada reas e instalaes Comunicao Documentao Informtica Material Pessoal Total geral
Alta 9 6 22 18 11 21 87
Baixa 1 1 1 3
Mdia 4 4 5 8 1 5 27
Total geral 13 10 27 27 13 27 117

% riscos 11% 9% 23% 23% 11% 23%

% riscos categoria A 10% 7% 25% 21% 13% 24%

5.2 Validao preliminar

Com o objetivo de realizar uma validao preliminar da pesquisa foram submetidos a uma
pesquisa semi-estruturada dois especialistas em segurana da informao. Os mesmos
preencheram um questionrio em que foram coletadas informaes quanto ao perfil do
especialista, informaes sobre como funciona controles de segurana somente pela viso da
ISO, qual seria a utilidade do mtodo a partir da viso da contra-inteligncia e a
caracterizao de contribuies para esta pesquisa que fossem pertinentes.

Os respondentes atuam como Gestores nas reas de Suporte e Outsourcing (nfase em ITIL) e
como auditores lderes segundo as normas NBR ISO 9001, TL 9000, QWeb e GoodPriv@cy.
Considerando o conhecimento sobre o tema, cabe ressaltar que os respondentes possuem as
seguintes certificaes: Certificado MS-MCSE (Microsoft Certified System Engineer) e
Certificado NSAE-DoD (National Security Agent Engineer-Department of Defense).

Segundo a percepo dos mesmos, atualmente os controles de segurana com foco na ISO
27001, no so capazes de reagir aos ataques e vazamento de informaes do seu ambiente
computacional a tempo de impedir prejuzos financeiros diretos e indiretos aos negcios.
Sendo assim, o maior desafio das empresas aplicar Gesto Segurana de forma estratgica,
alinhando a TI com tcnicas de Contra-Informao. Outro entendimento o de que base de
processos continua sendo a reao aos acontecimentos e no como uma ao pro ativa.

Eles entendem que o mtodo pode ter a sua utilidade na aplicao onde as empresas passam a
gerenciar a Segurana das Informaes desenvolvendo estratgias pr-ativas, analisando todos
os riscos para o processo de negcio do ponto de vista da competio de mercado. A
elaborao de um trabalho voltado para a Gesto da Segurana com Inteligncia, permitir
que as empresas analisem com eficincia o estado atual do ambiente, determinando o grau de
proteo dos ativos em informaes contra possveis ameaas. Sendo assim, os esforos e
oramentos sero direcionados para atividades mais prioritrias para o processo de negcios.

Para que o mtodo proposto possa ser efetivo recomenda-se que o corpo gestor da
organizao possua a capacidade de tomar decises rpidas e precisas; que haja
comprometimento da Alta Direo, pois determinadas decises que envolvam o uso de
contramedidas possuem uma alta carga de responsabilidade; que a organizao reconhea a
possibilidade de altos investimentos em controles preventivos; que haja reserva de capital para
eventuais processos jurdicos; manter no quadro funcional equipes multiespecialistas em
segurana fsica e lgica no ambiente tecnolgico; e que a organizao em foco esteja atenta

11
quanto capacitao de gestores nos temas Inteligncia Competitiva, Contra-inteligncia e
Segurana da Informao.

6 Concluso
Nos tempos atuais o mercado global preconiza a necessidade das organizaes conquistarem
diferenciais competitivos como a fora-motriz para se manterem bem sucedidas em
determinados segmentos de negcios. Muito se investe na conquista de vantagens
competitivas empresariais. Diferenciais tecnolgicos, de conhecimento, na formao de
equipes de alto desempenho, e os mais variados esforos se fazem presentes nas arenas
competitivas do mercado. Por outro lado, quais seriam as capacidades organizacionais e
motivacionais que tais empresas possuem para manter e proteger estes diferenciais
competitivos? Foi com esta pergunta que se iniciou este trabalho de pesquisa. E ao tentar
achar respostas por meio do processo metodolgico e cientfico que se percebe o quanto este
assunto poderia ser mais explorado nos ambientes acadmicos e empresariais. As linhas
mestras deste estudo focalizaram o processo de Contra-inteligncia pelas publicaes de
organismos do segmento militar e de segurana de estado e conceitos de Segurana da
Informao pelas normas ISO.

Conclui-se por meio da aplicao da matriz de identificao dos requisitos de segurana com
foco na contra-inteligncia a existncia de uma srie de requisitos da ISO que so
convergentes com este tema. Ao todo foram identificados 176 requisitos associados com a CI.
Deste total foram criados agrupamentos de requisitos denominados de categoria 1, 2 e 3. Estas
categorias foram concebidas com o intuito de facilitar o processo de identificao ao analisar
a associao tanto de requisitos da norma para com os processos de CI, quanto inversamente.
Na categoria 1 temos como caracterstica a associao de 1 requisito de segurana para com 1
processo de CI, nesta categoria foram identificados 51 requisitos. Na categoria 2, temos como
atributo a associao de 1 requisito de segurana com no mnimo 2 ou no mximo 3 processos
de CI, nesta categoria foram identificados 46 requisitos. Na categoria 3, a mais abrangente por
considerar como condicionante a associao de um requisito com no mnimo 4 ou todos os 5
processos de CI, aqui obteve-se a identificao de 4 requisitos de segurana definidos pelas
normas ISO/IEC 27001:2006 e ISO/IEC 17799:2005.

Outro aspecto resultante da pesquisa e tambm relacionado com o processo de identificao

foi apresentar por meio do clculo da quantidade de requisitos associados com o tema CI qual
seria o percentual de cobertura das referidas normas. O valor 26% de cobertura surge como
resultante desta aplicao terica, isto trs o entendimento de que o atual contedo da norma
parcial frente s necessidades de proteo, tendo a CI como principal referncia e ao envolver
outros aspectos de gesto.

Outro produto da pesquisa foi definir qual seria o escopo de proteo organizacional. Aqui
com o valor agregado de que outros aspectos de gesto estariam sendo considerados. Para este
objetivo foi concebida uma matriz de levantamento de riscos. Esta matriz foi aplicada por
meio de uma srie de workshops, realizados tendo como premissa a participao de gestores
da organizao em questo. Como resultado deste diagnstico pode-se formalizar 117 riscos
organizacionais. Neste levantamento foram avaliadas as perdas esperadas de riscos ao
considerar as variveis de probabilidade de ocorrncia e impacto como alto, mdio e baixo.
Os riscos foram assim identificados e associados conforme os domnios de segurana, em
primeiro temos o domnio de Documentao (23%); sem seguida Pessoal (23%); Informtica
(23%); Material (11%); reas e instalaes (11%); e Comunicao (9%). Ao considerar riscos

12
com alta prioridade temos esta configurao, Documentao (25%); Pessoal (24%);
Informtica (21%); Material (13%); reas e instalaes (10%); e Comunicao (7%).

Em uma anlise mais qualitativa, percebe-se que os aspectos Documentao e Pessoal foram
os que mais preocuparam os gestores quando a deciso estiver relacionada com a perda do
conhecimento sensvel. Nestes segmentos pode-se concluir que as atividades relacionadas
com Informaes crticas de fcil acesso a pessoas no autorizadas; Ausncia de diretrizes
para controle de informaes sigilosas e Atos ilcitos por profissionais na organizao se
sobressaram como os quesitos de maior preocupao. Consequentemente por meio deste
estudo sugere-se que os maiores investimentos no tocante a implantao de requisitos de
controle previstos nas normas devem ser direcionados mitigao e ao contingenciamento
nestas atividades organizacionais.

Ao encerrar as atividades de pesquisa relacionadas com o processo de medio de cobertura

da norma; identificao dos requisitos de segurana e do levantamento de riscos iniciou-se
uma sistemtica de validao preliminar da pesquisa. Tal validao foi realizada com a
aplicao de um questionrio semi-estruturado com 2 especialistas de segurana da
informao. As questes do questionrio foram relativas a informaes do perfil do
respondente; informaes sobre como funciona controles de segurana somente pela viso
atual da ISO; qual seria a utilidade do mtodo a partir da viso da contra-inteligncia e a
caracterizao de contribuies que fossem pertinentes para esta pesquisa. A percepo dos
especialistas referente ao mtodo foi de que neste cenrio em que devemos garantir a
autonomia de processos que geram, tratam e manejam a informao, motor propulsor desta
nova sociedade, devemos estar preparados para gerenciar a segurana da informao de
maneira efetiva, por meio do conhecimento e da utilizao de formas sistmicas e planejadas,
e o mtodo proposto vem apoiar a anlise cartesiana da anlise de riscos. Outro entendimento
relatado foi o de que com a aplicao do mtodo proposto as empresas passam a gerenciar a
Segurana das Informaes desenvolvendo estratgias pr-ativas, analisando todos os riscos
para o processo de negcio do ponto de vista da competio de mercado. A elaborao de um
trabalho voltado para a Gesto da Segurana com Inteligncia, permitir que as empresas
analisem com eficincia o estado atual do ambiente, determinando o grau de proteo dos
ativos em informaes contra possveis ameaas. Desta maneira, os esforos e oramentos
podero ser direcionados para as atividades mais prioritrias ao processo de negcios.

Como extenso desta pesquisa para trabalhos futuros, sugere-se a aplicao prtica do
processo de identificao e a anlise direta no ambiente operacional de qualquer organizao.
Os seguintes temas podem ser partes integrantes desta extenso: Aes de vigilncia que
gerem possveis conflitos com uma sociedade; Protocolos para relaes internacionais quanto
conduta e investigao em cybercrimes; Aplicao e anlise criteriosa de Contramedidas
com muita complexidade em aes; Elementos de um segredo de negcios ao considerar
sigilo: valor; precaues razoveis do proprietrio; Diretrizes para a proteo de segredos de
negcios e propriedades intelectuais; Da comparao com grupos de funes com as
operaes de inteligncia de negcios; Valor do dinheiro no tempo x Valor da informao que
se quer proteger; e Anlise de Contramedidas quanto a aquilo que voc pretende atingir est
sendo praticado no mercado.

13
7 Referncias

ABRAIC, Associao Brasileira dos Analistas de Inteligncia Competitiva (n.d.). Perguntas

Freqentes. Recuperado em 02 abril, 2008, de http://www.abraic.org.br/site/faqs.asp

Antn, P. S., & Anderson, R. H., Mesie, R. & Scheiern, M. (2003). The Vulnerability
Assessment & Mitigation Methodology. Santa Monica: National Defense Research Institute.

Associao Brasileira de Normas Tcnicas (2005). ABNT NBR ISO/IEC 17799:2005:

Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da
segurana da informao. Rio de Janeiro.

Associao Brasileira de Normas Tcnicas (2006). ABNT NBR ISO/IEC 27001:2006:

Tecnologia da informao Tcnicas de segurana - Sistemas de gesto de segurana da
informao - Requisitos. Rio de Janeiro.

BRASIL. Secretaria Geral do Exrcito (2001). Portaria n.11, de 10 de janeiro de 2001. Aprova
as Instrues gerais para salvaguarda de assuntos sigilosos no Exrcito Brasileiro (IG 10-51).
Recuperado em 24 setembro, 2008, de http://www.dee.ensino.eb.br/legislacao

Cosme, R. D. (2009). Anlise de Requisitos de Segurana no Atendimento as Premissas de

Contra-inteligncia. Braslia. 2009. 88 f. Dissertao (Mestrado em Gesto do Conhecimento
e TI) Universidade Catlica de Braslia, Braslia.

Gleghorn, T. E. (2003). Exposing the seams: The impetus for reforming U.S.
counterintelligence. California. 2003. 92 f. Thesis Naval Postgraduate School, California.

Karabacak, B. & Sogukpinar, I. (2006). A quantitative method for ISO 17799 gap analysis:
Elsevier.

McCarthy, M. P. & Campbell, S. (2003). Transformao da Segurana Eletrnica. So Paulo:

Pearson Education do Brasil.

Miller, J. (2002). O Milnio da Inteligncia Competitiva (Org.). Porto Alegre: Bookman.

Nollan, J. A. (2002). Inteligncia e Segurana nos Negcios. In: Miller, J. (Org.). O Milnio
da Inteligncia Competitiva. Porto Alegre: Bookman, p. 230 a 245.

Quinn, J. F. (2002). A Segurana em Operaes e as Contramedidas da Inteligncia

Competitiva. In: MILLER, Jerry (Org.). O Milnio da Inteligncia Competitiva. Porto Alegre:
Bookman, p. 245 a 249.

Saunders, K. (2000). Open Source Information A True Collection Discipline. Canada. 2000.
85. Dissertao (Mestrado em Studies War) Royal Military College of Canada, Canada.

14
Starry, Coronel M. D. & Arneson, Tenente-coronel C. W. Jr. (n.d.). FM 100-6 Operaes de
Informaes. Military Review. Recuperado em 09 de junho 2008 de, file://F:\ info op\ FM
100-6 Operaes de Informaes.htm

Tzu, S. (2001). A Arte da Guerra; adaptao e prefcio de James Clavell.; traduo de Jos
Sanz 26. ed. Rio de Janeiro: Record.

US Army, Field Manual. Information Operations (1996). Washington, D.C.: Department of

the Army, n. 100-6.

US Army, Field Manual. Counterintelligence Operations (1995). Washington, D.C.:

Department of the Army, n. 34-60.

US Navy, Marine Corps Warfighting Publication (2000). Counterintelligence. Washington,

D.C.: Department of the Navy, n. 2-14, September.

Vergara, S. C. (2000). Projetos e relatrios de pesquisa em administrao. So Paulo: Atlas.

15
8 Apndices
Apndice 1: Questionrio concebido para o workshop de levantamento de riscos

Autorizado para aplicao no ambiente

Elaborado por: Aprovado por:
organizacional:

Nome Nome Nome e funo

FORMULRIO LEVANTAMENTO DE RISCOS

Nome: __________________________________________________________
Data: _____/ _____/ _____
Segurana de Pessoal Segurana no Processo Seletivo
Segurana no Desempenho da Funo
Segurana no Desligamento da Funo
Segurana da Documentao Generalidades (prazos de classificao)
Segurana na Produo
Segurana na Expedio e recepo
Segurana no Manuseio
Segurana no Arquivamento
Segurana na Eliminao
Segurana do Material Segurana na Celebrao de contratos e convnios
Segurana no Transporte
Segurana na Eliminao
Segurana das reas e instalaes Demarcao, sinalizao, concesso de acesso
Segurana das Comunicaes Segurana na Remessa ou transmisso
Segurana do Contedo
Segurana da Informtica Segurana de Hardware
Segurana de Software
Segurana Fsica
Segurana na Internet
Segurana no Correio eletrnico
Segurana em Sistemas corporativos, Intranet e redes locais
Segurana Contra furto, roubo ou extravio de dados

Risco 01 Descrio: Onde pode ocorrer?

Probabilidade: Alta Mdia Baixa

Conseqncia: Alta Mdia Baixa
Risco 02 Descrio: Onde pode ocorrer?

Probabilidade: Alta Mdia Baixa

Conseqncia: Alta Mdia Baixa
Risco 03 Descrio: Onde pode ocorrer?

Probabilidade: Alta Mdia Baixa

Conseqncia: Alta Mdia Baixa
Risco 04 Descrio: Onde pode ocorrer?

Probabilidade: Alta Mdia Baixa

Conseqncia: Alta Mdia Baixa
Risco 05 Descrio: Onde pode ocorrer?

Probabilidade: Alta Mdia Baixa

Conseqncia: Alta Mdia Baixa
Risco 06 Descrio: Onde pode ocorrer?

Probabilidade: Alta Mdia Baixa

Conseqncia: Alta Mdia Baixa

16
Apndice 2: Matriz de Riscos

Definindo propriedades de proteo - Matriz de Riscos

Instrues de Preenchimento
As colunas em amarelo escuro so prenchidas durante a identificao do risco e normalmente no so alteradas durante a execuo do projeto.

As colunas em amarelo claro so preenchidas durante a avaliao qualitativa dos riscos e periodicamente revisadas durante as reunies de monitoramento e controle.

Todos os riscos de Perda Esperada Mdia ou Alta devem obrigatoriamente passar por reviso d
As clulas em branco contm frmulas e no devem ser editadas

Riscos
Identificao das proriedades de proteo
ID Domnio de segurana
Descrio Descrio do Impacto

Estratgia de Ao SIxCI
1 Fonte Data Probabilidade Impacto Perda Esperada

#VALOR!
Situao
Requisitos da ISO 27001 Contramedidas Ativas Recursos e Responsabilidades

#VALOR!
#VALOR!

17