Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Este artigo objetiva analisar os requisitos de controle em segurana da informao, constantes
nas normas ISO/IEC 27001, quanto ao atendimento s premissas de contra-inteligncia, e
identificar riscos para delimitar o escopo de proteo de ativos organizacionais. As reas de
conhecimento utilizadas neste estudo foram a Segurana da Informao e Contra-inteligncia.
Apresenta-se uma caracterizao da organizao em estudo e uma reviso dos conceitos
relacionados, fundamentando a proposta de um mtodo visando identificao de requisitos
de controles e riscos que envolvam a Segurana em Operaes. Este processo representa uma
abordagem de contra-inteligncia em termos prticos, que busca proteger informaes e
segredos fundamentais de negcios entendidos como competitivos para as organizaes.
Conclui-se por meio da aplicao da matriz de identificao dos requisitos de segurana com
foco na contra-inteligncia a existncia de uma srie de requisitos da ISO que so
convergentes com este tema. Ao todo foram identificados 176 requisitos associados com a CI.
Deste total foram criados agrupamentos de requisitos denominados de categoria 1, 2 e 3. Estas
categorias foram concebidas com o intuito de facilitar o processo de identificao ao analisar
a associao tanto de requisitos da norma para com os processos de CI, quanto inversamente.
Na categoria 1 temos como caracterstica a associao de 1 requisito de segurana para com 1
processo de CI, nesta categoria foram identificados 51 requisitos. Na categoria 2, temos como
atributo a associao de 1 requisito de segurana com no mnimo 2 ou no mximo 3 processos
de CI, nesta categoria foram identificados 46 requisitos. Na categoria 3, a mais abrangente por
considerar como condicionante a associao de um requisito com no mnimo 4 ou todos os 5
processos de CI, aqui obteve-se a identificao de 4 requisitos. Outro produto da pesquisa foi
definir qual seria o escopo de proteo organizacional de uma empresa nacional de grande
porte que atua no segmento de TI. Para este objetivo foi concebida uma matriz de
levantamento de riscos. Esta matriz foi aplicada por meio de uma srie de workshops,
realizados com participao de gestores desta organizao. Assim, pode-se formalizar 117
riscos organizacionais. Tais riscos foram identificados e associados conforme os domnios de
segurana, em primeiro temos o domnio de Documentao (23%); sem seguida Pessoal
(23%); Informtica (23%); Material (11%); reas e instalaes (11%); e Comunicao (9%).
Ao considerar riscos com alta prioridade temos esta configurao, Documentao (25%);
Pessoal (24%); Informtica (21%); Material (13%); reas e instalaes (10%); e
Comunicao (7%). Em uma anlise mais qualitativa, percebe-se que os aspectos
Documentao e Pessoal foram os que mais preocuparam os gestores quando a deciso estiver
relacionada com a perda do conhecimento sensvel. Nestes segmentos pode-se concluir que as
atividades relacionadas com Informaes crticas de fcil acesso a pessoas no autorizadas;
Ausncia de diretrizes para controle de informaes sigilosas e Atos ilcitos por funcionrios
se sobressaram como os quesitos de maior preocupao dos gestores.
1
1 Introduo
Um espectro de incerteza e insegurana permeia o nosso cotidiano profissional quando o
assunto proteo de vantagens competitivas de uma organizao. Talvez o sintoma seja
conseqncia de uma realidade de extrema competitividade aonde se encontram nossas
organizaes. Vantagens competitivas organizacionais podem, em sua maioria, se traduzir
pelo simples fato de organizaes possurem algum tipo de ativo que possa ser um diferencial
em seu modelo de gesto. No que concerne especificamente ao mbito empresarial, no basta
focar somente aes e tcnicas relacionadas ao estabelecimento das vantagens competitivas
obtidas. Conforme afirma a Associao Brasileira de Inteligncia Competitiva (ABRAIC),
torna-se fundamental, tambm, a aplicao de tcnicas e ferramentas para a manuteno
dessas vantagens, incluindo a proteo do chamado conhecimento sensvel, ou vantagens
competitivas para os fins deste trabalho.
Assim, esta questo torna-se pertinente:
que mecanismos de segurana que podem ser implementados no ambiente organizacional
para amenizar esta insegurana?
2 Conceitos de Contra-inteligncia
As atividades de Contra-Inteligncia (CI) foram desenvolvidas e adaptadas a partir das
tcnicas aplicadas nos contextos militar e de estado e, no seu sentido mais amplo, tais tcnicas
so entendidas como sendo as que objetivam neutralizar as aes de espionagem. No que
concerne especificamente ao mbito empresarial, no basta focar somente aes e tcnicas
relacionadas ao estabelecimento das vantagens competitivas obtidas. Torna-se fundamental a
2
aplicao de tcnicas e ferramentas para a manuteno dessas vantagens, incluindo a proteo
do chamado conhecimento sensvel (ABRAIC, 2008).
A CI, pela perspectiva militar, definida como um esforo multidisciplinar que contempla a
Contra-inteligncia Humana (C-HUMINT), a Contra-inteligncia de Sinais (C-SIGINT) e a
Contra-inteligncia de Imagens (C-IMINT) desenvolvidas contra todo processo de coleta de
origem externa (FM 34-60, 1995). A fora da CI em conjunto com outros ativos de
inteligncia devem possuir a capacidade em detectar todos os aspectos da coleta de
inteligncia e atividades relacionadas que se prope a ameaar a Segurana em Operaes, de
Pessoal e de Material (Equipamentos). Atravs de sua capacidade analtica, a CI prov
recomendaes, as quais, se implementadas, iro resultar em negao de informao (denial
of information) s eventuais ameaas.
Gleghorn (2003, p. 19) se apia nos referenciais dos manuais FM 34-60 e MCWP 2-14 para
afirmar que existem essencialmente quatro funes na qual a contra-inteligncia se
fundamentada e opera: coleta, investigao, anlise e operaes. Enquanto estas quatro
funes so derivadas especificamente do FM 34-60 e do MCWP 2-14, os demais organismos
de fora nacional e o Departamento de Defesa Americano reconhecem que as diretivas de
contra-inteligncia possuem como princpio estas mesmas funes.
Segundo a Portaria Nr11 do Exrcito Brasileiro (BRASIL, 2001) com o fim de abranger todas
as eventuais vulnerabilidades, as medidas de proteo de CI devem contemplar aes nos
mais variados segmentos das instituies. Os domnios de informao sensvel relativos
Segurana de Pessoal, da Documentao, do Material, de reas e Instalaes, da
Comunicao e da Informtica necessitam de anlise e ateno quanto s necessidades de
controles e mecanismos de proteo. Esta maior abrangncia torna-se fundamental para
permitir a reduo das vulnerabilidades e ameaas em um ambiente organizacional.
Conforme Kevin Mitnick (apud McMarthy & Campbell, 2003, p. 56), as pessoas so o seu
melhor ativo de segurana e sua maior vulnerabilidade. O hacker admitiu que raramente
precisasse recorrer a softwares de explorao.
3
Starry e Arnenson (2008), afirmam que medida que a tecnologia permite um maior nmero
de indivduos, grupos, organizaes e naes-estados conectarem-se com o mundo por meio
do ambiente de informao global. Assim, pode-se esperar que esses usurios persigam seus
interesses, tentando manipular e controlar o contedo e o fluxo das informaes dentro do
ambiente de informao militar.
POTENCIAL DA AMEAA
APLICAO DAS
CONTRAMEDIDAS
ANLISE DAS
VULNERABILIDADES
AVALIAO DOS RISCOS
Este processo contempla uma estrutura de fluxo contnuo de atividades, onde o resultado de
cada uma sada para as atividades seguintes. O referido autor apresenta o modelo tendo
como principal objetivo considerar o valor do tempo da informao. Corresponde ao
entendimento de que se qualquer organizao tiver algum tipo de invaso, qual seria a
capacidade da funo Segurana em identificar e quantificar o potencial da perda. Tal postura
fundamental para amenizar os eventuais resultados negativos.
3 Metodologia
A pesquisa se classifica como descritiva quanto aos fins, e documental e de campo quanto aos
meios. Sendo caracterizada como uma pesquisa mista, abordando premissas qualitativas e
quantitativas. Para a classificao dessa pesquisa, tomou-se como base a orientao de
Vergara (2000, p.46).
O modelo conceitual da pesquisa apresentado na Figura 2.
Figura 2: Perspectiva e associao dos temas
A organizao alvo da aplicao foi caracterizada como empresa de grande porte no segmento
de TI e com abrangncias nacional e internacional. O processo de coleta de dados foi
composto por workshops e entrevistas com gestores da organizao. Conforme os objetivos
propostos, a aplicao dos questionrios foi caracterizada como uma observao sistemtica
5
por meio de planejamento e de condies controladas. O questionrio concebido para o
workshop de levantamento de riscos (vide apndice 1) foi estruturado com questes abertas e
de mltipla escolha.
Foram coletados dados e informaes relacionadas aos eventuais riscos de controles internos,
sistemas informatizados e os nveis de interao que validam as operaes de controle
vigentes. Para fins desta pesquisa os gestores respondentes foram entendidos como uma
amostra no-probabilstica e intencional. Os mesmos foram escolhidos tendo como pr-
requisito o nvel funcional, pretendeu-se ouvir os respondentes que tivessem nveis de
responsabilidade corporativa e de diferentes reas organizacionais. Assim, os participantes
ocupavam as seguintes funes: Gerente de Apoio Comercial, Gerente de Atendimento,
Controller, Assessor Controladoria, Assessor da Diretoria de Atendimento, Gerente de Infra-
estrutura e TI, Gerente da Qualidade e Coordenador de Auditorias Internas da Qualidade.
4 Construo do mtodo
Apresenta-se nesta seo como foi construda a matriz para identificao dos requisitos de
segurana associados com a contra-inteligncia e a relao com os temas propostos.
A sua estrutura foi elaborada seguindo trs etapas. Conforme a Tabela 1, na primeira etapa
cada requisito de controle constante na ISO foi listado na 1 coluna da matriz de identificao,
ao todo foram citados os 133 controles, conforme a estrutura original da norma.
ISO 27001
Controle Descriao
Documento da poltica de
1 A.5.1.1 segurana da informaao
Anlise crtica da poltica de
2 A.5.1.2 segurana da informaao
Fonte: ISO/IEC 17799 (2005)
O conjunto dos requisitos de segurana apresentado pela ISO/IEC 17799 possui uma
estrutura, que consiste em 11 sees de controle, 39 objetivos de controle e 133 controles.
Segundo Karabacak e Sogukpinar (2006), esta considerada a principal norma voltada para a
segurana da informao. Considerada como um cdigo de prticas que contempla 133
controles em 11 diferentes domnios de segurana. Apresenta considervel nmero de
requisitos de controles que podem ser utilizados pelas organizaes para checar o quanto esto
em conformidade com as orientaes normativas.
6
Conforme a Tabela 2, a segunda etapa consistiu na identificao das colunas da matriz,
constituda pelos cinco processos do modelo de Segurana em Operaes apresentada por
Quinn (2002, p.245).
No terceiro passo as duas colunas que devem encerrar a matriz citam os tipos de
contramedidas, sendo Contramedida ativa e Contramedida passiva.
ContraMedida ContraMedida
Ativa Passiva
Como resultados, obteve-se uma estrutura que permitiu analisar a inter-relao entre os
requisitos de controles e os processos de CI, e quais destes podem ser classificados como
mecanismos de proteo ativa e/ou passiva.
7
Conforme a Tabela 4 foi identificada a varivel RQ * PSO, sendo o somatrio total dos
requisitos de controle pelo total das etapas do modelo de segurana em operaes.
Nesta etapa foram aplicados dois questionrios, com o objetivo de formalizar junto aos
gestores qual o entendimento e grau de importncia dos ativos organizacionais (Propriedades
de Proteo) que so reconhecidos como crticos. Por meio deste levantamento, delimitou-se
quais os principais ativos que devem ser protegidos no ambiente organizacional, e quais
possveis contramedidas podem ser aplicadas.
Desta maneira, recomenda-se a seguinte seqncia de aes para implantar tal sistemtica de
identificao. Planejar uma atividade de workshop para aplicar o mtodo de identificao e
priorizao de riscos no ambiente organizacional; Por meio do questionrio identificar quais
os riscos que a organizao est ou foi exposta; Identificar o(s) Gestor(es) e rea de atuao
que formalizou o risco; Associar para cada risco a categoria qual est relacionado; Associar
para cada risco qual o processo inerente; Associar para cada risco o impacto deste evento ou
incidente, como conseqncia no ambiente organizacional; Quais requisitos de controle da
ISO/IEC 17799 (2005) podem ser associados; Quais Contramedidas Ativas e Passivas podem
ser aplicadas para o tratamento do risco em questo; e Associar para cada risco quais recursos
e responsveis devem ser dispostos para a aplicao das referidas contramedidas.
8
4.4 A matriz de identificao riscos organizacionais
Neste item apresentado um modelo de matriz que se prope a identificar e priorizar quais
ativos organizacionais possui correlao com as premissas de Contra-inteligncia.
5 Resultados e discusso
No incio deste trabalho foi mencionado que, em geral, as organizaes poderiam acrescentar
aos esforos de segurana da informao outros aspectos de gesto que no sejam
preferencialmente a TI. Assim h um risco inerente a essa postura, que considera somente
aspectos tecnolgicos, de perdas de informaes sensveis acontecerem por outras vias, seja
por pessoas, por documentao no controlada, por reas ou instalaes inseguras, e outras
vias. Neste sentido, foi a partir desta idia, decidido discorrer sobre os requisitos de segurana
da informao identificados ao considerar premissas de contra-inteligncia. A identificao de
tais requisitos necessria para analisar a possvel implantao de mecanismos de defesa e/ou
proteo organizacional em um contexto empresarial, e com a aplicao complementar da
avaliao de riscos para atestar as condicionantes propostas.
9
Tabela 6 Identificao de Requisitos; Percentual de Cobertura e Contramedidas
Etapas da Segurana em Qtde de Req.s
Operaes de Controle % de cobertura
Identificao da informao crtica 45 26%
Potencial da ameaa 4 2%
Anlise das vulnerabilidades 42 24%
Avaliao dos riscos 10 6%
Aplicao das contramedidas 75 43%
176 100%
10
instrumento de pesquisa tais riscos esto diretamente associados aos 6 domnios de segurana
(BRASIL, 2001).
Tabela 8 Riscos Organizacionais
Contar de Domnio Domnio
Perda esperada reas e instalaes Comunicao Documentao Informtica Material Pessoal Total geral
Alta 9 6 22 18 11 21 87
Baixa 1 1 1 3
Mdia 4 4 5 8 1 5 27
Total geral 13 10 27 27 13 27 117
Os respondentes atuam como Gestores nas reas de Suporte e Outsourcing (nfase em ITIL) e
como auditores lderes segundo as normas NBR ISO 9001, TL 9000, QWeb e GoodPriv@cy.
Considerando o conhecimento sobre o tema, cabe ressaltar que os respondentes possuem as
seguintes certificaes: Certificado MS-MCSE (Microsoft Certified System Engineer) e
Certificado NSAE-DoD (National Security Agent Engineer-Department of Defense).
Segundo a percepo dos mesmos, atualmente os controles de segurana com foco na ISO
27001, no so capazes de reagir aos ataques e vazamento de informaes do seu ambiente
computacional a tempo de impedir prejuzos financeiros diretos e indiretos aos negcios.
Sendo assim, o maior desafio das empresas aplicar Gesto Segurana de forma estratgica,
alinhando a TI com tcnicas de Contra-Informao. Outro entendimento o de que base de
processos continua sendo a reao aos acontecimentos e no como uma ao pro ativa.
Eles entendem que o mtodo pode ter a sua utilidade na aplicao onde as empresas passam a
gerenciar a Segurana das Informaes desenvolvendo estratgias pr-ativas, analisando todos
os riscos para o processo de negcio do ponto de vista da competio de mercado. A
elaborao de um trabalho voltado para a Gesto da Segurana com Inteligncia, permitir
que as empresas analisem com eficincia o estado atual do ambiente, determinando o grau de
proteo dos ativos em informaes contra possveis ameaas. Sendo assim, os esforos e
oramentos sero direcionados para atividades mais prioritrias para o processo de negcios.
Para que o mtodo proposto possa ser efetivo recomenda-se que o corpo gestor da
organizao possua a capacidade de tomar decises rpidas e precisas; que haja
comprometimento da Alta Direo, pois determinadas decises que envolvam o uso de
contramedidas possuem uma alta carga de responsabilidade; que a organizao reconhea a
possibilidade de altos investimentos em controles preventivos; que haja reserva de capital para
eventuais processos jurdicos; manter no quadro funcional equipes multiespecialistas em
segurana fsica e lgica no ambiente tecnolgico; e que a organizao em foco esteja atenta
11
quanto capacitao de gestores nos temas Inteligncia Competitiva, Contra-inteligncia e
Segurana da Informao.
6 Concluso
Nos tempos atuais o mercado global preconiza a necessidade das organizaes conquistarem
diferenciais competitivos como a fora-motriz para se manterem bem sucedidas em
determinados segmentos de negcios. Muito se investe na conquista de vantagens
competitivas empresariais. Diferenciais tecnolgicos, de conhecimento, na formao de
equipes de alto desempenho, e os mais variados esforos se fazem presentes nas arenas
competitivas do mercado. Por outro lado, quais seriam as capacidades organizacionais e
motivacionais que tais empresas possuem para manter e proteger estes diferenciais
competitivos? Foi com esta pergunta que se iniciou este trabalho de pesquisa. E ao tentar
achar respostas por meio do processo metodolgico e cientfico que se percebe o quanto este
assunto poderia ser mais explorado nos ambientes acadmicos e empresariais. As linhas
mestras deste estudo focalizaram o processo de Contra-inteligncia pelas publicaes de
organismos do segmento militar e de segurana de estado e conceitos de Segurana da
Informao pelas normas ISO.
Conclui-se por meio da aplicao da matriz de identificao dos requisitos de segurana com
foco na contra-inteligncia a existncia de uma srie de requisitos da ISO que so
convergentes com este tema. Ao todo foram identificados 176 requisitos associados com a CI.
Deste total foram criados agrupamentos de requisitos denominados de categoria 1, 2 e 3. Estas
categorias foram concebidas com o intuito de facilitar o processo de identificao ao analisar
a associao tanto de requisitos da norma para com os processos de CI, quanto inversamente.
Na categoria 1 temos como caracterstica a associao de 1 requisito de segurana para com 1
processo de CI, nesta categoria foram identificados 51 requisitos. Na categoria 2, temos como
atributo a associao de 1 requisito de segurana com no mnimo 2 ou no mximo 3 processos
de CI, nesta categoria foram identificados 46 requisitos. Na categoria 3, a mais abrangente por
considerar como condicionante a associao de um requisito com no mnimo 4 ou todos os 5
processos de CI, aqui obteve-se a identificao de 4 requisitos de segurana definidos pelas
normas ISO/IEC 27001:2006 e ISO/IEC 17799:2005.
Outro produto da pesquisa foi definir qual seria o escopo de proteo organizacional. Aqui
com o valor agregado de que outros aspectos de gesto estariam sendo considerados. Para este
objetivo foi concebida uma matriz de levantamento de riscos. Esta matriz foi aplicada por
meio de uma srie de workshops, realizados tendo como premissa a participao de gestores
da organizao em questo. Como resultado deste diagnstico pode-se formalizar 117 riscos
organizacionais. Neste levantamento foram avaliadas as perdas esperadas de riscos ao
considerar as variveis de probabilidade de ocorrncia e impacto como alto, mdio e baixo.
Os riscos foram assim identificados e associados conforme os domnios de segurana, em
primeiro temos o domnio de Documentao (23%); sem seguida Pessoal (23%); Informtica
(23%); Material (11%); reas e instalaes (11%); e Comunicao (9%). Ao considerar riscos
12
com alta prioridade temos esta configurao, Documentao (25%); Pessoal (24%);
Informtica (21%); Material (13%); reas e instalaes (10%); e Comunicao (7%).
Em uma anlise mais qualitativa, percebe-se que os aspectos Documentao e Pessoal foram
os que mais preocuparam os gestores quando a deciso estiver relacionada com a perda do
conhecimento sensvel. Nestes segmentos pode-se concluir que as atividades relacionadas
com Informaes crticas de fcil acesso a pessoas no autorizadas; Ausncia de diretrizes
para controle de informaes sigilosas e Atos ilcitos por profissionais na organizao se
sobressaram como os quesitos de maior preocupao. Consequentemente por meio deste
estudo sugere-se que os maiores investimentos no tocante a implantao de requisitos de
controle previstos nas normas devem ser direcionados mitigao e ao contingenciamento
nestas atividades organizacionais.
Como extenso desta pesquisa para trabalhos futuros, sugere-se a aplicao prtica do
processo de identificao e a anlise direta no ambiente operacional de qualquer organizao.
Os seguintes temas podem ser partes integrantes desta extenso: Aes de vigilncia que
gerem possveis conflitos com uma sociedade; Protocolos para relaes internacionais quanto
conduta e investigao em cybercrimes; Aplicao e anlise criteriosa de Contramedidas
com muita complexidade em aes; Elementos de um segredo de negcios ao considerar
sigilo: valor; precaues razoveis do proprietrio; Diretrizes para a proteo de segredos de
negcios e propriedades intelectuais; Da comparao com grupos de funes com as
operaes de inteligncia de negcios; Valor do dinheiro no tempo x Valor da informao que
se quer proteger; e Anlise de Contramedidas quanto a aquilo que voc pretende atingir est
sendo praticado no mercado.
13
7 Referncias
Antn, P. S., & Anderson, R. H., Mesie, R. & Scheiern, M. (2003). The Vulnerability
Assessment & Mitigation Methodology. Santa Monica: National Defense Research Institute.
BRASIL. Secretaria Geral do Exrcito (2001). Portaria n.11, de 10 de janeiro de 2001. Aprova
as Instrues gerais para salvaguarda de assuntos sigilosos no Exrcito Brasileiro (IG 10-51).
Recuperado em 24 setembro, 2008, de http://www.dee.ensino.eb.br/legislacao
Gleghorn, T. E. (2003). Exposing the seams: The impetus for reforming U.S.
counterintelligence. California. 2003. 92 f. Thesis Naval Postgraduate School, California.
Karabacak, B. & Sogukpinar, I. (2006). A quantitative method for ISO 17799 gap analysis:
Elsevier.
Nollan, J. A. (2002). Inteligncia e Segurana nos Negcios. In: Miller, J. (Org.). O Milnio
da Inteligncia Competitiva. Porto Alegre: Bookman, p. 230 a 245.
Saunders, K. (2000). Open Source Information A True Collection Discipline. Canada. 2000.
85. Dissertao (Mestrado em Studies War) Royal Military College of Canada, Canada.
14
Starry, Coronel M. D. & Arneson, Tenente-coronel C. W. Jr. (n.d.). FM 100-6 Operaes de
Informaes. Military Review. Recuperado em 09 de junho 2008 de, file://F:\ info op\ FM
100-6 Operaes de Informaes.htm
Tzu, S. (2001). A Arte da Guerra; adaptao e prefcio de James Clavell.; traduo de Jos
Sanz 26. ed. Rio de Janeiro: Record.
15
8 Apndices
Apndice 1: Questionrio concebido para o workshop de levantamento de riscos
16
Apndice 2: Matriz de Riscos
As colunas em amarelo claro so preenchidas durante a avaliao qualitativa dos riscos e periodicamente revisadas durante as reunies de monitoramento e controle.
Todos os riscos de Perda Esperada Mdia ou Alta devem obrigatoriamente passar por reviso d
As clulas em branco contm frmulas e no devem ser editadas
Riscos
Identificao das proriedades de proteo
ID Domnio de segurana
Descrio Descrio do Impacto
Estratgia de Ao SIxCI
1 Fonte Data Probabilidade Impacto Perda Esperada
#VALOR!
Situao
Requisitos da ISO 27001 Contramedidas Ativas Recursos e Responsabilidades
#VALOR!
#VALOR!
17