Você está na página 1de 15

XXX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUO

Maturidade e desafios da Engenharia de Produo: competitividade das empresas, condies de trabalho, meio ambiente.
So Carlos, SP, Brasil, 12 a15 de outubro de 2010.

SALVAGUARDA DE CONHECIMENTO
SENSVEL: ESTUDO DE CASO NA
GESTO DAS COMUNICAES EM
PROJETOS GOVERNAMENTAIS
Ferrucio de Franco Rosa (CTI)
ferrucio@ita.br
Amndio Ferreira Balco Filho (CTI)
amandio.balcao@cti.gov.br
Jos Henrique de Sousa Damiani (ITA)
ferrucio@ita.br
Giuseppe Dutra Janino (TSE)
ferrucio@ita.br

A utilizao da Internet como um ativo imprescindvel ao


gerenciamento e acesso s informaes tem aumentado medida que
os projetos se tornam globais, ou seja, geridos e executados
globalmente. No entanto, h um significativo aumento nos riscos ao se
disponibilizar pela rede as informaes entre os diversos grupos e
membros do projeto. Tambm h o aumento de gastos e esforos para
se manter a rede, os dados e as decises seguras. Normalmente as
equipes de Tecnologia da Informao (TI) j mantm polticas e
estratgias de defesa de suas redes corporativas internas e implantar
os mesmos nveis de segurana para as informaes e ativos de
comunicao pela Internet se revela uma sobrecarga muito grande e
um aumento de custos. O desafio das equipes de TI passa ento a ser:
implantar e manter de forma efetiva e eficiente um Sistema de
Gerenciamento dos Sistemas de Informao de suas redes corporativas
internas, alm de propiciar o acesso a softwares e dados crticos para
os projetos, cujas equipes esto distribudas globalmente; que pode
incluir subcontratados e terceiros. O conhecimento uma vantagem
competitiva e talvez o ativo mais importante das instituies. O
vazamento de conhecimento sensvel pode causar danos e perdas de
recursos diversos, sendo extremamente prejudicial para o Estado e
para a sociedade como um todo. Medidas especiais de segurana
destinadas a garantir sigilo, inviolabilidade, integridade,
autenticidade, legitimidade e disponibilidade de dados e informaes
sigilosos devem ser tomadas, objetivando prevenir, detectar, anular e
registrar ameaas reais ou potenciais a esses dados e informaes.
Dessa forma, torna-se extremamente importante a adoo de aes e
medidas para salvaguardar os conhecimentos sensveis nacionais,
sobretudo por meio da formao de uma cultura de proteo desses
ativos. Na gesto dos projetos governamentais, principalmente os que
envolvam mais de um ministrio e que contenham informaes
classificadas, deve-se adotar tcnicas e ferramentas adequadas para
que estas informaes no sejam divulgadas ou manipuladas
indevidamente. Baseado nesta problemtica, em normas
regulamentadoras e padres de melhores prticas, o objetivo deste
artigo apresentar uma abordagem para manipulao de informaes
sigilosas de projetos no mbito do servio pblico federal. Como
objetivo especfico, apresentar um estudo de caso onde a abordagem
foi aplicada, seus resultados, as ferramentas utilizadas e uma srie de
controles, em forma de recomendaes, delimitados e propostos de
modo que possam ser usados na prtica pelas instituies pblicas
federais sem interferir negati

Palavras-chaves: Salvaguarda de Conhecimento Sensvel, Operaes,


Segurana da Informao, Gesto de Projetos

2
1. Introduo
O conhecimento uma vantagem competitiva e talvez o ativo mais importante das
instituies. O vazamento de conhecimento sensvel pode causar danos e perdas de recursos
diversos, sendo extremamente prejudicial para o Estado e para a sociedade como um todo. Na
gesto dos projetos governamentais, principalmente os que envolvam mais de um ministrio e
que contenham informaes classificadas, devem-se adotar tcnicas e ferramentas adequadas
para que estas informaes no sejam divulgadas ou manipuladas de forma a prejudicar o
andamento das atividades.
Segundo o Programa Nacional de Proteo ao Conhecimento PNPC (ABIN, 2009)
recomendvel que as instituies definam quais conhecimentos devem ser protegidos,
classifiquem e reclassifiquem documentos e materiais em graus de sigilo, conforme a
legislao brasileira e normas internas; estabeleam a proteo de conhecimentos sensveis
como funo de todos na instituio, dando-lhes cincia de normas, treinando-os para os
procedimentos adequados e sensibilizando-os para a necessidade de proteo, de maneira que
conheam suas responsabilidades e estejam aptos a cumpri-las.
Baseado nesta problemtica, em normas regulamentadoras e padres de melhores prticas, o
objetivo deste trabalho apresentar uma abordagem para manipulao de informaes
sigilosas de projetos. Neste trabalho a metodologia utilizada detalhada, apresentando as
melhores prticas de segurana na gesto de projetos governamentais, apresentando
recomendaes para implantao de processos seguros, tanto para a gesto da comunicao
em projetos quanto para o trato de informaes sensveis e operao de sistemas considerados
crticos pela instituio.
2. Fundamentao Terica e Terminologia
A segurana permeia todas as reas de conhecimento da gesto de projetos. De acordo com o
guia PMBOK (PMI, 2008), as reas de conhecimento na gesto de projetos so: Integrao,
Prazo, Custo, Qualidade, Escopo, Comunicaes, Recursos Humanos, Risco, Aquisies. O
guia segue o seguinte ciclo de processos: Iniciao, Planejamento, Execuo, Monitoramento
e Controle, Encerramento, repetindo este ciclo para cada uma das fases do ciclo de vida do
projeto (Concepo, Desenvolvimento, Construo, Testes e Integrao, Entrega).
Para Xavier (2007), o gerenciamento das comunicaes do projeto descreve os processos
relativos gerao, coleta, disseminao, armazenamento e a destinao final das
informaes do projeto de forma oportuna e adequada.
Valeriano (1998) recomenda que esta rea de conhecimento (gesto das comunicaes) seja
tratada na, chamada por ele, fase de planejamento, definindo os processos relativos gerao,
coleta, disseminao, armazenamento e a destinao final das informaes.
Tambm se faz necessrio o entendimento do conceito de Maturidade Institucional na Gesto
de Projetos. Para Kerzner (2006), importante compreender que todas as organizaes
atravessam seus prprios processos de maturidade, e que se trata de um processo que deve
preceder a excelncia. O autor mostra as cinco fases do ciclo de vida para a maturidade em
gesto de projetos, quais sejam: Embrionria, Aceitao pela gerncia executiva, Aceitao
pelos gerentes de rea, Crescimento, Maturidade; concluindo que praticamente todas as
instituies que alcanaram algum grau de maturidade passaram por essas fases.
Para que o entendimento do trabalho flua de forma natural, alguns termos e conceitos

3
relativos gesto de projetos e segurana da informao precisam ser definidos, como segue:
Gesto do Conhecimento Sistema integrado que visa desenvolver conhecimento e
competncia coletiva para ampliar o capital intelectual de organizaes e a sabedoria
das pessoas (SABBAG, 2007).
Vulnerabilidades Uma fraqueza no processo que pode ser explorada para violar a
poltica de segurana de sistemas.
Controles Mecanismos usados para impedir ou reduzir vulnerabilidades, bem como
buscar a preservao da confidencialidade, integridade e disponibilidade da
informao; adicionalmente, outras propriedades, tais como autenticidade,
responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas
(ABNT 2005).
Conhecimento sensvel Conhecimento sensvel explicado como todo
conhecimento, sigiloso ou estratgico, cujo acesso no autorizado pode comprometer a
consecuo dos objetivos nacionais e resultar em prejuzos ao Pas, necessitando de
medidas especiais de proteo. So considerados originariamente sigilosos, e sero
como tal classificados, dados ou informaes cujo conhecimento irrestrito ou
divulgao possa acarretar qualquer risco segurana da sociedade e do Estado, bem
como aqueles necessrios ao resguardo da inviolabilidade da intimidade da vida
privada, da honra e da imagem das pessoas (ABIN, 2009).
Ativos de informao Qualquer informao que tenha valor para a instituio
(ABNT, 2005). Instalaes, servios, bens e sistemas que, se interrompidos ou
destrudos, podem provocar srio impacto social, econmico, poltico, internacional ou
segurana do Estado e da sociedade caracterizam as infraestruturas crticas (ABIN,
2009).
Ameaa (ABNT, 2008) Um evento que pode ter algum tipo de impacto negativo
para a organizao. As ameaas podem ser consideradas intencionais, acidentais ou
naturais (estas sendo causadas por condies ambientais severas).
3. Reviso de Artigos Relacionados ao Tema
Atualmente, tanto empresas quanto o meio acadmico tm interesse em salvaguardar
informaes sensveis contidas em seus projetos. Iniciativas esto buscando essa proteo,
provocando o surgimento de trabalhos neste sentido. Diversos artigos focaram na gesto de
risco de projetos e alguns com foco especfico na segurana das informaes contidas nos
projetos ou em metodologias para salvaguardar dados sigilosos (sensitive data). Notou-se na
pesquisa que apenas a partir de 2006 os trabalhos publicados comeam a demonstrar
preocupao em proteger os ativos de informao.
Dean (2008) apresenta uma abordagem baseada em risco que pode ajudar as organizaes a
planejar e implementar um programa de segurana da informao. Ao faz-lo, identifica
vrios tipos de riscos de segurana da informao, a legislao fundamental sobre a
privacidade e segurana da informao, tais como Gramm-Leach-Bliley e Sarbanes-Oxley.
Em seguida, descreve a abordagem proposta para a gesto das iniciativas de segurana da
informao, identificando os dois tipos de riscos comumente envolvidos em projetos de
tecnologia e uma frmula para o clculo do impacto de um risco. Tambm detalha seis etapas
para o desenvolvimento e implementao de iniciativas de segurana da informao. O
material estudado fornece um bom referencial terico e apresenta uma legislao fundamental

4
para quando se estuda privacidade e segurana da informao. O trabalho tambm apresenta
uma sequncia de passos para se implantar iniciativas de segurana da informao.
Wheatley (2009) discute como as organizaes podem estabelecer e aplicar polticas de
segurana dentro de suas equipes de projeto. Ao faz-lo, discute problemas crticos de
segurana que as organizaes muitas vezes no conseguem resolver. Ele defende a tese de
que os membros da equipe do projeto so a ameaa mais comum para a segurana de um
projeto. Ele tambm sugere dois mtodos para melhorar a organizao e segurana do projeto.
Em seguida, descreve como as organizaes podem priorizar a informao que deseja
proteger e integrar medidas de segurana em seus planos de projeto. Wheatley coloca que as
organizaes tm muito medo do ataque externo em uma rede corporativa para obter segredos
comerciais. Apresenta que a maior ameaa segurana corporativa pode no ser um estranho
mal-intencionado, mas sim um membro da equipe do projeto (inimigo interno). Problemas de
segurana acontecem, na maioria das vezes, por negligncia e impercia e no de forma
intencional.
Buchanan (2008) discute como as organizaes podem evitar a ameaa interna tanto a
proposital quanto a acidental de vazamento de dados. Ao fazer isso, ele descreve porque as
organizaes esto vulnerveis a vazamentos de dados internos e de como as organizaes
esto respondendo a tais vazamentos. Define a, cada vez mais popular, soluo de segurana
estratgica, conhecida como governana de acesso. Ele identifica a fonte mais provvel de
eventos de segurana da informao. O autor explica como gerentes de projeto podem
proteger dados crticos e como o gerenciamento de projeto pode fornecer apoio
organizacional para proteger os ativos de dados. Em seguida, os olhares se voltam para os
desafios da segurana dos dados e os papis que os executivos devem desempenhar para
garantir que suas organizaes esto efetivamente protegendo dados sensveis. Competir
globalmente expe uma organizao a inmeras ameaas de segurana da informao, tanto
aquelas geradas internamente quanto aquelas geradas externamente. Sem uma estratgia para
evitar tais ameaas e mitigar o impacto real das violaes, as organizaes no esto
preparadas para se proteger.
Hildebrand (2006) analisa como vrias organizaes esto enfrentando as ameaas de
segurana eletrnica que geralmente assolam ambos, as organizaes e os indivduos. Ao
fazer isso, ele explica o impacto do roubo de identidade e lista trs mtodos que
frequentemente os ladres de identidade utilizam. Discute o esforo do Governo Federal dos
Estados Unidos (conhecida como HSPD 12) para conter o roubo de identidades de
funcionrios do governo federal e a resistncia interna do governo est enfrentando na
tentativa de implementar esse esforo. Em seguida, descreve tcnicas que as organizaes
podem usar para implementar trs abordagens para reduzir brechas de segurana, abordagens
que envolvem o desenvolvimento de polticas, criptografia e autenticao, e aplicaes de
segurana incorporadas. Tambm recomenda trs mtodos para testar os procedimentos de
segurana eletrnica. O autor considera que os extraordinrios avanos tecnolgicos, que tm
ocorrido durante os ltimos vinte anos, tm mudado a maneira como o mundo funciona. Mas,
com estas inovaes vieram problemas de segurana graves. No ambiente de negcios de
hoje, conversas sobre problemas como o roubo de identidade agora so rotineiras.
Klingler (2002) apresenta questes relevantes dentro do contexto de segurana, tais como
Empresas confiam seus dados corporativos confidenciais para gerentes de projeto. Quais as
precaues devem ser levadas em conta e como o gerente de projetos valida a confiana?
Muitos gerentes de projeto tm implementado segurana, privacidade e polticas e processos
de recuperao de desastres, mas quo seguras so as ferramentas do gerente de projeto?

5
Muitos autores e relatrios de segurana apontam para a direo da necessidade de maior
monitoramento e controle das atividades do chamado inimigo interno. A pessoa que recebe
a incumbncia de zelar pelas informaes dos projetos pode trair a instituio por motivaes
diversas. E adicionalmente, este trabalho questiona a confiabilidade das ferramentas que o
gerente de projetos usa para realizar o seu trabalho. Estas ferramentas so confiveis? Quem
homologou ou atestou o uso desta ferramenta na instituio? Critrios de segurana foram
considerados quando da especificao da ferramenta?
Essex (2003) tambm destaca questes problema e adicionalmente oferece sugestes para
gerir projetos governamentais de forma eficaz. A terceirizao pode trazer habilidades e
conhecimentos necessrios para os projetos, mas o gerente de projetos precisa esclarecer as
responsabilidades da subcontratada, o cumprimento dos requisitos de aquisio, e as linhas de
comunicao. A recente tendncia de tornar o governo mais acessvel aos cidados tem
gerado muitos projetos de banco de dados governamentais. Devido natureza sensvel das
informaes das bases de dados, a segurana questo importante. A distribuio real de
informao deve ser analisada cuidadosamente, e as permisses devem ser feitas para os
procedimentos de auditoria governamental necessrios. O autor coloca que especialistas em
domnios chave, tais como direito ou segurana devem ser includos na equipe do projeto.
Leighton (2008) examina como a organizao do autor LoadSpring Solutions (LSS)
desenvolveu uma soluo de software que provia com acesso remoto seguro rede central da
empresa uma equipe de projeto de uma empresa de construo localizada no Oriente Mdio e
sediada nos Estados Unidos. Ao faz-lo, sumariza os requisitos de projeto da empresa e define
os desafios de cinco projetos; discute as preocupaes de projeto da empresa e identifica os
problemas e solues comumente envolvidos na criao de uma rede segura que fornece
globalmente acesso a informaes sensveis necessrias s equipes de projetos dispersas
geograficamente. Em seguida, o autor apresenta a soluo criada para seu cliente,
descrevendo o processo de projeto do LSS e os elementos chave de sua soluo. Como o
mercado de hoje torna-se cada vez mais internacional, mais organizaes esto contando com
equipes dispersas globalmente para implementar projetos de misso crtica. Mas a concesso
desse acesso remoto das equipes rede de informao para completar os seus trabalhos
podem comprometer a integridade e a segurana dos sistemas de TI da organizao.
4. Proposta de Abordagem
Gerentes de projeto se tornaram muito importantes para as iniciativas de segurana das
informaes, pois o escopo de tais incitativas impacta em todas as atividades do projeto de
forma abrangente. Uma medida importante fazer da segurana parte integral do projeto e do
oramento, no tratando a segurana como uma atividade parte, com um oramento
separado e recursos previstos somente quando se tornarem importantes.
Por meio da utilizao de metodologias de gerenciamento de projeto, possvel analisar as
necessidades, estabelecer as prioridades e obter o consenso das partes interessadas. Tambm
possibilita implementar as mudanas necessrias em torno do projeto e obter as mtricas
corretas, de modo a permitir que seja medido o grau (nvel) de maturidade na gesto da
segurana e report-lo para a alta gerncia.
Definir o fluxo de informao no incio do projeto crtico para prevenir vazamentos, no se
deve deixar que o fluxo de informao evolua naturalmente durante o desenvolvimento do
projeto. Desde o incio deve-se definir quem pode ver ou ler quais documentos, relatrios,
participar de reunies e definir tambm onde sero armazenados ou descartados. Essas
atitudes visam tornar a tarefa do gerente de projeto bem mais simples, no mbito da gesto

6
das comunicaes.
A segurana permeia todas as reas de conhecimento da gesto de projetos, mas no mbito
deste trabalho, ser tratada a rea de Comunicaes, baseando-se no framework sugerido pelo
PMBOK (PMI, 2008). A abordagem, descrita a seguir, visa propor uma forma de gerenciar as
comunicaes do projeto, buscando salvaguardar o conhecimento sensvel.
Na concepo da abordagem proposta, sero considerados trs princpios bsicos, que
seguem:
Foco no nvel de salvaguarda exigido pelos objetos do contrato;
Facilidade de uso pelos integrantes do projeto;
Baixa complexidade de gerenciamento e suporte.
Conforme apresentado na Figura 1, a rea de conhecimento Comunicaes est presente em
todo o ciclo dos processos e so tratados os seguintes processos:
Iniciao: Identificar as partes interessadas;
Planejamento: Planejar as comunicaes;
Execuo: Distribuir as informaes e Gerenciar as partes interessadas;
Monitoramento e Controle: Relatar o desempenho;
Encerramento: No considerada a rea de conhecimento dentro do processo de
encerramento.

Figura 1 Viso geral dos processos de gerenciamento de projetos. Baseada em: (Xavier, 2009; Com
adaptaes)

Dentro do contexto dos referidos processos, apresenta-se a seguinte arquitetura para


salvaguarda de conhecimento sensvel, no mbito das comunicaes em projetos
governamentais. A arquitetura apresentada na Figura 2 no objetiva propor uma mudana no
framework PMBOK (PMI, 2008), mas sim, realar a importncia de se observar atividades de
salvaguarda de informao crtica ou sensvel durante o processo de gesto.

7
Figura 2 Viso geral da Proposta.

Como apresentado na Figura 2, a preocupao com a segurana da informao est implcita e


diretamente relacionada com os processos dentro da rea de conhecimento Comunicaes. Os
componentes da figura foram destacados para mostrar as aes consideradas importantes para
que o processo de gesto segura das informaes seja mais efetivo, principalmente, mas no
exclusivamente, em projetos governamentais.
Para cada processo (PMI, 2008) as seguintes consideraes sobre segurana das informaes
devero ser observadas:
a) Iniciao: Identificar as partes interessadas;
A identificao das partes interessadas importante, pois os perfis de usurios
devero ser considerados durante todo o projeto. Se h informaes, de cunho
sigiloso, a serem geradas ou manipuladas, os diversos perfis devero ser
especificados logo no incio para facilitar o planejamento correto das
comunicaes no mbito do projeto, levando-se em conta questes de segurana.
b) Planejamento: Planejar as comunicaes;
No planejamento, aps a definio do escopo, criao da Estrutura Analtica de
Projeto (EAP) e o desenvolvimento do plano de recursos humanos, o plano de
gerenciamento de riscos dever considerar tambm como a comunicao dever
ocorrer. Assim, o plano de comunicaes dever conter aspectos de segurana para
salvaguarda de conhecimento sensvel.
Durante o processo de planejamento, os seguintes pontos devero ser observados:
Identificao de processos crticos, onde pode haver informaes sensveis;
Identificao dos ativos de informao, com seus respectivos responsveis;
Identificao das ameaas aos ativos de informao;
Identificao dos controles aplicveis, em forma de recomendaes;
Identificao de vulnerabilidades que podem ser exploradas por agentes de
ameaa;
Identificao de conseqncias da perda de confidencialidade, integridade
ou disponibilidade podem causar;

8
Elaborao de conjunto de recomendaes.
Neste momento tambm dever estar definido um Ativo de Processo
Organizacional (APO) para classificao de informaes sensveis. No caso do
governo federal, o Decreto n 4553/2002 define em seu artigo 35 que As
entidades e rgos pblicos constituiro Comisso Permanente de Avaliao de
Documentos Sigilosos (CPADS). Essa comisso atuar em todos os processos da
gesto de projetos, inclusive no encerramento.
Tambm se deve pensar em como as informaes sero armazenadas quando o
projeto terminar e como estas informaes sero disponibilizadas futuramente,
mesmo que o solicitante possua credencial de sigilo equivalente.
c) Execuo, Monitoramento e Controle: Aps definir como as informaes iro
tramitar e como as mesmas sero classificadas, dever ser acompanhado e relatado
o desempenho do processo de comunicao, verificando possveis falhas ou
incidentes, tais como vazamentos de informao sensvel.
d) Encerramento: Quando do trmino do projeto, as informaes devero ser
armazenadas (tombadas ou arquivadas) em algum repositrio. Este repositrio
dever levar em considerao alguns aspectos para permisso de acesso a
informaes classificadas. Pode-se citar como preocupao importante como se
dar o controle do acesso a essa documentao arquivada. Um usurio com
credencial secreto no poder acessar toda a documentao classificada com
esse grau de sigilo, pois determinados projetos somente podero ser acessados
pelos membros da equipe responsvel pelo projeto.
Como a equipe ir desfazer-se e existe uma informao importante que precisa ser
divulgada para uma melhor execuo de outro projeto, como proceder para re-
classificar as informaes sensveis?
Assim, sugere-se que a CPADS delibere sobre o acesso aos projetos classificados
individualmente, mantendo uma lista mestra de quem pode acess-los, quem
acessou os referidos documentos, quando e porque houve o acesso e tambm quem
autorizou o acesso dentro da CPADS. Como essa lista mestra um APO sensvel,
a mesma dever ser armazenada de forma segura, com acesso restrito. Caso no
haja uma comisso com responsabilidade equivalente da CPADS, o dono do
ativo de informao dever definir os procedimentos citados.
5. Estudo de Caso
O Estudo de Caso refere-se ao contrato de consultoria na rea de Segurana de Sistemas de
Informao, mais especificamente relacionados ao Sistema Eletrnico de Votao brasileiro.
Neste caso, uma das maiores preocupaes era evitar os riscos de: vazamento de informaes,
especulao sobre o andamento dos trabalhos, uso poltico, malicioso, ou venda das
informaes, haja vista o interesse que o assunto desperta, nos mais diferentes atores polticos
e imprensa em geral. A tarefa de identificar e mitigar os riscos foi iniciada j nas primeiras
reunies, ou seja, na fase conceptual do projeto.
Neste tpico, primeiramente, segue uma caracterizao das organizaes envolvidas, pois as
mesmas possuem idiossincrasias em seus modos de operao e tambm nveis de maturidade
diferentes com relao gesto de projetos.
Posteriormente, ser descrito como se deu a relao institucional e como foi efetuada a gesto

9
das comunicaes no mbito do projeto, haja vista que o conhecimento a ser gerado e
manipulado sensvel e relacionado diretamente com a segurana nacional.
No processo de planejamento das comunicaes, os requisitos colocados pelo contratante
foram tratados e foram definidas as medidas a serem adotadas em todas as fases do projeto.
Essas medidas seriam seguidas por todos os envolvidos no projeto.
5.1. Caracterizao das Organizaes
As instituies envolvidas so o Tribunal Superior Eleitoral (TSE) e o Centro de Tecnologia
da Informao Renato Archer (CTI), este vinculado ao Ministrio de Cincia e Tecnologia
(MCT).
CTI O CTI uma unidade do MCT que atua na pesquisa e no desenvolvimento em
tecnologia da informao, principalmente, mas no exclusivamente, nos seguintes focos de
atuao: componentes eletrnicos, microeletrnica, sistemas, software e aplicaes de TI, tais
como robtica, softwares de suporte deciso. Com relao ao nvel de maturidade em
Gesto de Projetos, o CTI possui algumas iniciativas ainda no validadas pela alta
administrao. Est em curso a discusso para criao do Escritrio de Gesto de Projetos,
ainda sem uma estrutura formal estabelecida. Dessa forma, de acordo com Kerzner (2006),
encontra-se na fase de Aceitao pela gerncia executiva.
TSE O TSE compe o Poder Judicirio brasileiro. Sua misso assegurar os meios efetivos
que garantam sociedade a plena manifestao de sua vontade, pelo exerccio do direito de
votar e ser votado; e sua viso ser referncia mundial na gesto de processos eleitorais que
possibilitem a expresso da vontade popular e contribuam para o fortalecimento da
democracia (TSE, 2009). Com relao ao nvel de maturidade em Gesto de Projetos, o TSE
possui um Escritrio de Gesto de Projetos ativo, com um corpo de funcionrios treinados e
atuantes nos diversos projetos da casa. Dessa forma, de acordo com Kerzner (2006), encontra-
se na fase de Crescimento.
5.2. Descrio do Estudo de Caso
Em 2008 o TSE contratou o CTI para realizar estudos de vulnerabilidades no Sistema
Eletrnico de Votao, especialmente na urna eletrnica, com vistas a submeter esse sistema a
testes pblicos de vulnerabilidades em 2009. Logo se percebeu a necessidade de estabelecer
mecanismos que garantissem a segurana dos dados e informaes trocadas entre a equipe do
CTI sediada em Campinas e a sede do TSE em Braslia. Era necessrio que os recursos de
segurana adotados fossem simples de utilizar para os usurios e muito seguros na perspectiva
dos administradores de TI.
Como o objeto do projeto contratado justamente a Segurana de Sistemas de Informao, ou
seja, do Sistema Eletrnico de Votao, a prpria equipe contratada do CTI a mais adequada
para estabelecer as medidas a serem adotadas para se garantir a confidencialidade e
integridade dos dados do projeto. Com essa perspectiva, no se recorreu s equipes que
gerenciam as redes de dados das duas instituies na definio das medidas adotadas. Foram
discutidos procedimentos e medidas, divididos da seguinte forma: segurana lgica,
segurana fsica, recursos humanos, procedimentos e comportamentos.
Inicialmente, foi feita uma anlise para definir as necessidades de comunicao entre as
equipes e ento decidir quais mecanismos e modos de operao seriam adotados ao longo da
realizao do projeto. Essa anlise pautou-se por, primeiramente, manter o foco no objeto do
contrato de modo a entender quais as necessidades e desafios que o objeto contratado impe.

10
Em seguida, no se apoiar nas equipes de TI das instituies, mas sim numa equipe prpria
bastante reduzida, focada na soluo que atenda s necessidades de segurana levantadas.
Finalmente, que as solues adotadas fossem simples de utilizar no dia-a-dia e de baixa
complexidade de suporte e gerenciamento. A seguir detalhado como ocorreu esse processo.
Deve-se deixar claro que as aes apresentadas neste tpico no so no-conformidades
encontradas, mas sim um apanhado de melhores prticas utilizadas durante todo o projeto.
Em reunio entre o contratante e o contratado foram definidos os critrios, ferramentas e
procedimentos relativos segurana das informaes. Tendo em vista a complexidade que
esse tema pode assumir foram definidos os seguintes critrios para nortear as decises a serem
tomadas:
a) Foco no nvel de salvaguarda exigido pelos objetos do contrato propor medidas que
atendam s necessidades do projeto sem se preocupar em resolver questes de
segurana relativas s organizaes envolvidas;
b) Facilidade de uso pelos integrantes do projeto adotar ferramentas que sejam
facilmente assimiladas pelos diversos tipos de usurios, ou seja, que aps uma
pequena explanao estes sejam capazes de fazer uso dessas ferramentas;
c) Baixa complexidade de gerenciamento e suporte a equipe do projeto ser a
responsvel por implantar e gerir as medidas adotadas, devendo resultar em um dos
principais motivos da busca de facilidade de gerenciamento.
Foram tomadas as seguintes decises relativas segurana lgica:
a) Todos os documentos foram classificados no grau de sigilo Secreto;
b) Todas as mensagens eletrnicas sero criptografadas e assinadas, tanto para troca de
mensagens entre a equipe de projeto como com o TSE; o aplicativo GnuPG utilizado
para este fim, integrado aos leitores de e-mail. O GnuPG (The Gnu Privacy Guard)
um software livre para criptografia de mensagens eletrnicas. Disponvel em:
<www.gnupg.org>;
c) Somente assuntos administrativos podero ser discutidos por telefone, fixo ou mvel;
d) Assuntos tcnicos sero tratados em reunies presenciais, ou atravs de vdeo-
conferncia utilizando o aplicativo Skype, pois este faz uso de criptografia na troca de
mensagens de texto e voz. O Skype um software gratuito para comunicao de voz
sobre rede de dados. Disponvel em: <www.skype.com>;
e) Em todos os computadores envolvidos nas atividades do projeto, dever ser instalado o
aplicativo TrueCrypt para manter criptografados todos os documentos do projeto. O
TrueCrypt software livre para criptografia de discos rgidos de mdias eletrnicas.
Disponvel em: <www.truecrypt.org>;
f) Usar computadores dedicados para atividades sensveis;
Com relao Segurana Fsica:
a) Sala separada dedicada s atividades tcnicas do projeto;
b) Implantar controle de acesso fsico em pelo menos dois nveis;
c) Adotar controle na portaria com segurana fsica em perodo integral, monitorando o
ambiente com gravao de imagens e seu respectivo procedimento para restaurao e

11
verificao dos vdeos gravados;
d) A Instituio dever adotar uma poltica de gerenciamento de riscos, de forma a
inventariar ativos, riscos, segurana dos ativos e planos de contingncia e
continuidade.
Quanto a Recursos Humanos, procedimentos e comportamentos:
a) Assinatura de um Termo de Confidencialidade por todas as partes que tiveram a
qualquer nvel de acesso aos dados e discusses do projeto;
b) As reunies e conversas sobre o projeto so sempre realizadas em ambiente
apropriado;
c) empregada a poltica de mesas e quadros limpos;
d) Todos os papis relativos ao projeto so fragmentados antes de serem descartados;
e) No se transportar documentos em papel, somente em mdia eletrnica criptografada;
f) Os consultores so orientados para no comentar com ningum as atividades em
desenvolvimento;
g) Foi elaborada uma lista com os nomes das pessoas que podem ter acesso aos
documentos;
h) Dever haver separao de papis entre os membros da equipe (need to know);
i) Definio e implantao de uma poltica de treinamento em gesto de segurana da
informao para os envolvidos;
j) Adotar um procedimento para desimpedimento (desligamento) seguro de pessoal
(servidores e terceiros).
Este projeto teve seu apogeu durante os dias 10 a 13 de novembro de 2009, quando foram
realizados os Testes Pblicos no Sistema Eletrnico de Votao (TSE, 2009). Estes testes
foram patrocinados pelo TSE e permitiram aos interessados testar as urnas eletrnicas e os
sistemas correlatos. Este evento foi amplamente coberto pelos meios de comunicao.
Quando o contrato for encerrado (fase de entrega), as informaes classificadas devero ser
reclassificadas e ocorrero os processos de descredenciamento das partes interessadas e o
devido arquivamento das informaes.
5.3. Consideraes sobre o Estudo de Caso
Como lies aprendidas, podem-se citar o aprendizado e a conscientizao dos envolvidos no
uso de ferramentas para salvaguarda de conhecimento, como preconiza a IN-01 (BRASIL,
2008) e o Decreto n 4553 (BRASIL, 2002).
Procedimentos e solues foram adotados para que os envolvidos pudessem implantar os
processos seguros, tanto para a comunicao na gesto de projetos quanto para o trato de
informaes sensveis e operao de sistemas considerados crticos pelas instituies
envolvidas.
O acesso a assuntos sensveis somente permitido a pessoas com necessidade de conhec-los.
Tambm devero ser guardados documentos sob custdia em locais seguros e trancados,
atribuindo grau de sigilo preliminarmente elaborao de documento, para que o material e
os rascunhos utilizados na sua produo recebam o devido tratamento. Recomenda-se tambm
certificar-se de que esboos, cpias e materiais subsidirios produo de documentos

12
sensveis sejam devidamente destrudos, por fragmentao ou outro processo. A eliminao
dos documentos propriamente ditos s deve ser realizada em conformidade com as
determinaes legais.
Foi necessrio desenvolver atividades de conscientizao dos envolvidos e as ferramentas
utilizadas se mostraram eficientes, de baixo custo e de baixa complexidade de gerenciamento
e uso.
O exerccio dessa metodologia nas instituies envolvidas gerou uma cultura de segurana
para atividades ou processos na gesto de projetos interinstitucionais e na gesto das
comunicaes.
6. Concluses
O conhecimento um ativo importante de uma organizao, sendo muito difcil definir quais
informaes devero ser classificadas como sigilosas, principalmente nas fases iniciais dentro
do ciclo de vida do projeto. Dessa forma, devem-se buscar mecanismos (mtodos e processos)
destinados a garantir, efetivamente e de uma forma aplicvel, sigilo, inviolabilidade,
integridade, autenticidade, legitimidade e disponibilidade dos ativos organizacionais, antes,
durante e depois do projeto.
Neste trabalho apresentou-se uma abordagem para salvaguarda de conhecimento sensvel na
gesto das comunicaes dentro do contexto de projetos governamentais. Um estudo de caso,
com seus resultados, que utilizou a abordagem foi apresentado. So propostas recomendaes
para se trabalhar com conhecimento sensvel, de modo que possam ser usados na prtica por
organizaes interessadas, buscando no interferir negativamente na produtividade.
As instituies envolvidas, por manipularem informaes sensveis, esto trabalhando para
adicionar controles de segurana na gesto de projetos, buscando sempre responder s
seguintes questes:
i) Em que medida o aumento da confidencialidade impacta negativamente na
disponibilidade de conhecimento e na produtividade da instituio?
ii) Quais so as melhores prticas (aplicveis e pouco geradoras de burocracia e custos)
para proteo de conhecimento sensvel?
iii) Uma questo mais ampla verificar se as instituies pblicas, que lidam com
conhecimento sensvel e com informaes relacionadas com a privacidade dos
cidados, esto preparadas para atuarem como guardis destes ativos to importantes?
Recomenda-se s instituies pblicas que busquem implantar os seus Sistemas de Gesto de
Segurana da Informao, baseados na norma NBR ISO/IEC 27001:2006, pois os resultados
obtido com essa implantao sero ativos de processos organizacionais fundamentais para a
gesto do conhecimento sensvel.
Ainda h muito por fazer quando o assunto Proteo do Conhecimento, devido grande
complexidade e multidisciplinaridade do tema e seus sem nmero de atores e interesses
envolvidos. Pouca pesquisa direcionada ao tema, pois difcil medir (quantitativamente) e
apontar o retorno dos investimentos nessa rea, sempre prevalecendo aes corretivas em
detrimento de aes preventivas.

13
Referncias
ABIN AGNCIA BRASILEIRA DE INTELIGNCIA. PNPC Programa Nacional de Proteo ao
Conhecimento. Braslia DF, 2009. Disponvel em: http://www.abin.gov.br/modules/mastop_publish/?tac=PNPC
ABNT ASSOCIAO BRASILEIRA DE NOMAS TCNICAS. NBR ISO/IEC 27001: Sistema de Gesto
da Segurana da Informao. Rio de Janeiro, 2006.
______ NBR ISO/IEC 27005: Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008.
ALBERTS, C.; DOROFEE, A. Managing Information Security Risks: The OCTAVESM Approach, 5th
Printing. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2005.
BRASIL Gabinete de Segurana Institucional da Presidncia da Repblica. INSTRUO NORMATIVA
GSI/PR n 1, de 13 de junho de 2008. Disciplina a Gesto de Segurana da Informao e Comunicaes na
Administrao Pblica Federal, direta e indireta, e d outras providncias.
______ PRESIDNCIA DA REPBLICA FEDERATIVA DO BRASIL. Decreto n 4.553, de 27 de
dezembro de 2002. Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de
interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras
providncias.
BUCHANAN, J. Blind spot. PMI PM Network. Vol. 22, no. 6 (June 2008), p. 42-47. 2008. Disponvel em:
<http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00101068200&iss=1>
DEAN, M. A risk-based approach to planning and implementing an information security. PMI Global
Congress 2008 -- EMEA. Proceedings. 2008. Disponvel em:
<http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00101073500>
DSIC Departamento de Segurana da Informao e Comunicaes do Gabinete de Segurana
Institucional da Presidncia da Repblica (GSI/PR). Stio que disponibiliza uma compilao da legislao
vigente a respeito da Segurana da Informao e Comunicaes. 2009. Disponvel em: <
http://dsic.planalto.gov.br/legislacaocgsi>.
ESSEX, D. E. Detect + protect. PMI PM Network. Vol. 19, no. 1 (Jan. 2005), p. 36-41. 2005. Disponvel
em: <http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00100827800&iss=1>
______ A matter of public record. PMI PM Network. Vol. 17, no. 8 (Aug. 2003), p. 22-26. 2003. Disponvel
em: <http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00100723800&iss=1>
HILDEBRAND, C. Safety zone. PMI PM Network. Vol. 20, no. 9 (Sept. 2006), p. 28-33. 2006. Disponvel
em: <http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00100957200&iss=1>
KERZNER H. Gesto de Projeto: as Melhores Prticas. 2006. Editora Bookman Companhia.
KLINGLER, C. Security, privacy and disaster recovery for the project manager. PMI Seminars &
Symposium. Proceedings. 2002. Disponvel em:
<http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00100490600&iss=1>
LEIGHTON, E. Securing software and data for today's dispersed project teams. PMI Global Congress 2007--
North America. Proceedings. 2009 Disponvel em:
<http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00101048000&iss=1>
PMI PROJECT MANAGEMENT INSTITUTE. A guide to the Project management body of knowledge.
Syba: PMI Publishing Division, 4th edition, 2008. Disponvel em: <www.pmi.org>.
SABBAG, P. Y. Espirais do conhecimento: ativando indivduos grupos e organizaes. So Paulo: Saraiva,
2007.
SEI SOFTWARE ENGINEERING INSTITUTE. CMMI for Systems Engineering/Software Engineering
(CMMI-SE/SW), Staged Representation,Version 1.1, Technical report CMU/SEI-2002-TR-02. Pittsburgh, PA:
Software Engineering Institute, Carnegie Mellon University, 2002.
SOFTEX SOCIEDADE SOFTEX. MPS.BR Melhoria de Processo do Software Brasileiro Guia Geral
Verso 1.1. Maio 2006. Disponvel em: <www.softex.br>.
TSE TRIBUNAL SUPERIOR ELEITORAL. Misso e Viso institucionais. Braslia, 2009. Disponvel em:
<www.tse.gov.br>. Acessado em: 19/11/2009.

14
______ Testes de Segurana. Braslia, 2009. Disponvel em: <testes pblicos -
http://www.tse.gov.br/internet/eleicoes/teste_seguranca.htm>. Acessado em: 19/11/2009.
WHEATLEY, M. An inside job. PMI PM Network. Vol. 23, no. 7 (July 2009), p. [46]-50. 2009. Disponvel
em: <http://www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00101073500>
XAVIER, C. M. S. Gerenciamento de Projetos: como definir e controlar o escopo do projeto. 2. ed. atual.
So Paulo: Saraiva, 2009.

15