Escola de Planejamento, Governança e Gestão

Curso de Governança de TIC para o Governo Digital

Módulo 6
SEGURANÇA DA INFORMAÇÃO

por Prof. Azriel Majdenbaum

Última atualização: 09 de dezembro de 2018

RESUMO
A segurança da informação (SI) tem se tornado uma preocupação cada vez maior na sociedade
digital. O artigo percorre temas como a gestão da SI nas organizações apresentando as normas
ISO 27001/ISO 27002; a segurança em nível de estado – cibersegurança; o direito à privacidade
dos dados dos cidadãos através da lei geral de proteção dos dados – LGPD e aborda a
confiabilidade de sistemas de informação através do uso dos paradigmas ACID e Base na
construção de banco de dados.

Palavras-chave: Segurança da Informação; ISO 27001; ISO 27002; Cibersegurança; LGPD; ACID

Informações Gerais:

Este texto é parte integrante do conteúdo elaborado pelos professores da Escola de

Negócios e Escola Politécnica da Pontifícia Universidade Católica do Rio Grande do Sul
(PUCRS) para o Curso de Governança de TIC para o Governo Digital.

A capacitação presencial é ministrada pela Pontifícia Universidade Católica do Rio

Grande do Sul (PUCRS), constituindo-se em produto do Projeto de Fortalecimento
Institucional da Secretaria de Planejamento, Governança e Gestão (SPGG) e integra o
Programa de Apoio à Retomada do Desenvolvimento do Rio Grande do Sul (PROREDES-
BIRD), com financiamento do Banco Mundial.

A capacitação faz parte da Escola de Planejamento e tem como objetivo aperfeiçoar os

gestores de TIC que compõem a Rede de TIC do Estado do Rio Grande do Sul e fortalecer a
implementação da Política de TIC-RS, estabelecida pelo Decreto 52.616, de 19 de outubro
de 2015.

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
1
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

1 INTRODUÇÃO

De acordo com a análise de empresas de mercado, o custo médio de uma única violação
de segurança da informação e proteção de dados aumentou duas vezes durante 2015
(Pricewaterhouse Coopers 2015). As violações de segurança da informação (SI) podem ter
origem externa ou interna á organização. Sendo que os ataques originados por pessoas que
receberam privilégios que autorizam seu acesso e a utilização de sistemas ou instalações na
respectiva organização, um grande risco para os ativos das empresas (Siponen et al., 2014;
Garcia et al, 2018).
Um ativo de SI pode ser entendido como tudo aquilo que tem valor para a organização,
devendo ser inventariado. Os ativos de SI podem ser identificados como informação (base de
dados, arquivos, etc.), software (aplicativos, sistemas, utilitários), físicos (computadores,
mídias, equipamentos), serviços (energia, comunicações, processamento), pessoas (junto a
suas competências) ou intangíveis, como reputação ou imagem da organização (ISO 27001).
A segurança da informação refere-se ao processo de proteção de ativos (ISMAIL, et al.,
2018), tendo como objetivo principal a preservação da confidencialidade, integridade e
disponibilidade da informação. A SI precisa ser gerenciada adequadamente em toda a
organização.
Atualmente, existe um conjunto de padrões de segurança amplamente reconhecidos e
aprovados, entre elas as normas da família ISO 27000. Alguns padrões são desenvolvidos por
governos (Lei Sarbane-Oxley de 2002), Lei de Portabilidade e Responsabilidade de Seguro
Saúde (HIPAA: 2002) e são obrigatórios para organizações que trabalham em áreas específicas
(como setor financeiro ou área de garantia de saúde). Outros padrões de segurança foram
desenvolvidos por organizações comerciais, no entanto, alguns deles também se tornam
obrigatórios para organizações que trabalham em áreas específicas (por exemplo, Padrão de
Segurança de Dados do Setor de Cartões de Pagamento – PCI DSS, 2016).
A proteção da disponibilidade e da privacidade dos dados de clientes em posse de
empresas também tem sido alvo de preocupação da legislação. Em 2018 foi aprovada no Brasil
a Lei Geral de Proteção dos Dados (LGPD).
A questão da segurança cibernética do Estado até o ano 2000 era denominada segurança
da informação. A segurança promovida tanto por entes estatais, como por organizações
autônomas, revelou a vulnerabilidade dos sistemas no âmbito governamental e motivou a
criação de políticas públicas e leis que regulamentaram o Espaço Cibernético Brasileiro (de
SOUZA & ALMEIDA, 2018).
A julgar pela literatura disponível sobre padrões e métodos, a abordagem comum para
lidar com problemas de segurança da informação é a avaliação de riscos (WANGEN et al, 2017).

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
2
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

A avaliação de risco visa estimar a probabilidade e o impacto de um cenário identificado ou

para incidentes recorrentes e propor tratamentos de risco com base nos resultados. Ao estimar
o risco esperado de repetição de incidentes ou um cenário identificado, a avaliação de risco
visa propor tratamentos de risco com base nos resultados estimados para garantir a
confidencialidade, integridade e disponibilidade de informações ou outros ativos (ISO 27001).
Uma maneira comum de avaliar os riscos identificados é atribuir valores para a
probabilidade de sua ocorrência, assim como para o impacto para a organização caso o risco
venha a acontecer. Em seguida a exposição do risco é calculada como resultado da
probabilidade do risco se concretizar multiplicada pelo seu impacto na organização. Os riscos
com maior exposição têm prioridade no seu tratamento, que pode ser mitigar, aceitar, evitar
ou transferir o risco.
2 AS NORMAS ISO 27001 E ISO 27002

As normas ISO 27001 e ISO 27002 usadas em conjunto têm sido cada vez mais
consideradas um padrão internacional para lidar com a SI em organizações (DISTERER, 2013). A
norma ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão da Segurança da Informação (SGSI), dentro do contexto
da organização. O SGSI busca a preservação da confidencialidade, integridade e disponibilidade
da informação por meio da aplicação de um processo de gestão de riscos que fornece
confiança para as partes interessadas de que os riscos são adequadamente gerenciados. A
especificação e a implementação do SGSI de uma organização são influenciadas pelas suas
necessidades e objetivos, requisitos de segurança, processos organizacionais, funcionários,
tamanho e estrutura da organização.
A norma ISO 27002 foi projetada para as organizações usarem como uma referência
prática na seleção e aplicação de ações dentro do processo de implementação de um SGSI
baseado na norma ISO 27001. A norma possui 14 seções numeradas de cinco a quatorze, onde
é apresentado um conjunto de objetivos genéricos para segurança da informação, compilados
a partir de riscos comumente presentes em organizações. Cada um dos objetivos se desdobra
em vários controles que devem ser implementados para atingir os objetivos propostos.
3 CIBERSEGURANÇA

A necessidade de adaptação permanente das sociedades modernas ao ambiente social,

econômico e militar em que estão inseridas, coloca novos desafios aos Estados, obrigando-os
ao levantamento de novas capacidades, à revisão dos seus modelos de governança, à geração
de competências associadas à exploração das Tecnologias de Informação e Comunicação (TIC),
ao acesso à Internet e à utilização do ciberespaço (Nunes, 2012). Este espaço virtual,

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
3
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

estruturado com base na Internet, serve também de suporte tecnológico a muitos dos serviços
críticos e infraestruturas de que milhões de pessoas dependem diariamente.
A dependência crescente do ciberespaço expõe a sociedade a novas vulnerabilidades,
aumentando exponencialmente o risco social (NUNES, 2012). Ataques lançados para prejudicar
o funcionamento normal das redes e sistemas de informação têm aumentado em número e
em impacto, tornando as ameaças mais sérias e persistentes (de SOUZA & ALMEIDA, 2018).
Estes ciberataques, devido ao seu poder disruptivo e destrutivo crescente, se tornaram uma
preocupação estratégica prioritária não só para os Estados, mas também para a comunidade
internacional (NUNES, 2012).
Os autores de SOUZA & ALMEIDA (2018) elencam as principais medidas tomadas pelo
Estado Brasileiro para promover a cibersegurança:

 Decreto No. 3.505 de 13 de junho de 2000, instituindo a Política de Segurança da

Informação nos órgãos e nas entidades da Administração Pública Federal, aplicando a
definição de pressupostos básicos, conceituações, objetivos, diretrizes, alocação de
recursos e de responsabilidades.
 Lei Federal No 10.683, de 28 de maio de 2003, criando o Gabinete de Segurança
Institucional da Presidência da República (GSI/PR), o qual tinha como uma de suas
competências a de coordenar as atividades de inteligência federal e de segurança da
informação.
 O Decreto Presidencial No. 5.772 de 08 de maio de 2006 criando o Departamento de
Segurança da Informação e Comunicações (DSIC), com o objetivo de exercer exatamente
as atividades de SI. Enquanto que a Agência Brasileira de Inteligência (ABIN) atua nas
vertentes de inteligência e contra inteligência em prol do Estado, tendo como função,
entre outras, “avaliar as ameaças internas e externas à ordem constitucional”.
 Outros órgãos criados serviram para potencializar o surgimento da segurança
cibernética, como o Centro de Pesquisas e Desenvolvimento para a Segurança das
Comunicações (CEPESC), o Centro de Tratamento de Incidentes de Segurança em Redes
de Computadores da Administração Publica Federal (CTIR.gov), o Comitê Gestor da
Internet (CGI), o Núcleo de Informação e Coordenação do Ponto BR (Nic.br) – este último
mantendo também o Centro de Estudos de Resposta e Tratamento de Incidentes de
Segurança para a Internet Brasileira CERT.br , o Centro de Estudos sobre as TIC (CETIC.br)
e o Centro de Estudos e Pesquisas em Tecnologias de Rede e Operações (CEPTRO.br),
entre outros.
4 LEI GERAL DE PROTEÇÃO DOS DADOS (LGPD)

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
4
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

A LGDP brasileira foi baseada na General Data Protection Regulation (GDPR) que já está
em vigor na Europa. O GDPR 1 diz que todos os clientes têm direito de acesso teoricamente
imediato aos seus dados pessoais que uma empresa possa possuir deles. Além desse acesso, o
cliente pode pedir uma cópia desses dados e que seja feita a deleção dos dados.
O GDPR estimula as seguintes ações por parte das empresas:
 Identificar os sistemas que possam ter dados de clientes e fazer uma verificação se estes
existem (Somente o usuário dono da conta pode efetuar o pedido);
 Enviar um arquivo contendo todas as informações existentes do cliente nos sistemas
 Informar ao cliente as normas do GDPR, que principalmente são as do artigo 15 e 17
(direito a acessar e direito a ser esquecido);
 Confirmar com o cliente se este quer prosseguir com o fechamento/deleção da conta,
para se ter o consentimento registrado;
 Excluir a conta e todo e qualquer registro dos usuários nos sistemas, exceto informações
financeiras referentes a pagamentos realizados, visto que estas são necessárias para fins
legais.
O projeto que deu origem à LGPD foi chamado pelos parlamentares brasileiros de “marco
legal de proteção, uso e tratamento” de informações 2. A lei determina que o uso dos dados
exija consentimento do titular, que deve ter acesso às informações mantidas por uma
empresa. O tratamento das informações também será permitido se estiver dentro das
hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.

5 SEGURANÇA EM PROCESSAMENTO DE TRANSAÇÕES DE BANCO DE DADOS

Há décadas e, até recentemente, a principal referência que todos os bancos de dados
(BD) buscavam alcançar era o paradigma ACID (Atomicidade, Consistência, Isolamento,
Durabilidade) - sem o requisito ACID em vigor dentro de um determinado sistema, a
confiabilidade era suspeita 3. Em 1983, Andreas Reuter e Theo Härder publicaram o artigo
“Princípios de Recuperação de Banco de Dados Orientado a Transações” e cunharam
oficialmente o termo ACID, que, cerca de duas décadas depois, passou a significar (Haerder &
Reuter, 1983):

1<https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_pt>
2 https://g1.globo.com/politica/noticia/2018/08/14/temer-sanciona-lei-de-protecao-de-dados-pessoais.ghtml
3 http://www.dataversity.net/acid-vs-base-the-shifting-ph-of-database-transaction-processing/

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
5
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

Atomicidade: A tarefa (ou todas as tarefas) dentro de uma transação é executada, ou

nenhuma delas é. Este é o princípio de tudo ou nada. Se um elemento de uma transação
falhar, toda a transação falhará.
Consistência: A transação deve atender a todos os protocolos ou regras definidas pelo
sistema em todos os momentos. A transação não viola esses protocolos e o banco de dados
deve permanecer em um estado consistente no início e no final de uma transação; nunca há
transações incompletas.
Isolamento: Nenhuma transação tem acesso a qualquer outra transação que esteja em
um estado intermediário ou inacabado. Assim, cada transação é independente em si mesma.
Isso é necessário para o desempenho e a consistência das transações em um banco de dados.
Durabilidade: Quando a transação estiver concluída, ela persistirá como concluída e não
poderá ser desfeita; ele sobreviverá a falhas do sistema, perda de energia e outros tipos de
avarias do sistema.
Atualmente dados não estruturados, Big Data, estruturas de dados não relacionais,
sistemas de computação distribuídos e consistência eventual estão se tornando cada vez mais
comuns, fazendo surgir novos paradigmas em relação à segurança. No ano 2000 Eric Brewer
apresentou seu trabalho sobre Princípios da Computação Distribuída e o Teorema CAP surgiu.
O princípio central do teorema afirma que há três requisitos essenciais do sistema necessários
para o projeto bem-sucedido, o desenvolvimento e a implantação de aplicativos em sistemas
de computação distribuída: Consistency (consistência), Availability (disponibilidade) e Partition
Tolerance (tolerância ao particionamento)- ou CAP:
Consistência - refere-se ao fato de um sistema operar totalmente ou não. Todos os nós
dentro de um cluster vêem todos os dados que deveriam? Esta é a mesma ideia apresentada
no ACID.
Disponibilidade - O serviço ou sistema fornecido está disponível quando solicitado?
Cada solicitação recebe uma resposta fora de falha ou sucesso?
Tolerância à Partição - representa o fato de que um determinado sistema continua a
operar mesmo sob circunstâncias de perda de dados ou falha do sistema. Uma falha de nó
único não deve causar o colapso do sistema inteiro.

A principal razão para apresentar o teorema é mostrar que, na maioria dos casos, um
sistema distribuído pode garantir apenas dois dos recursos, não todos os três. Ignorar essa
decisão pode ter resultados catastróficos, que incluem a possibilidade de todos os três
elementos desmoronarem simultaneamente. As restrições do teorema CAP sobre a
confiabilidade de banco de dados foram monumentais para novos sistemas não relacionais
distribuídos em larga escala. Esses sistemas geralmente precisam de disponibilidade e

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
6
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

tolerância à partição, de modo que a consistência sofre e o ACID entra em colapso. Sistemas
vastos como o BigTable do Google, o Dynamo da Amazon e o Cassandra do Facebook lidam
com uma perda de consistência e ainda mantêm a confiabilidade do sistema porque aplicam o
princípio BASE (basicamente disponível, estado suave, consistência eventual):
Basicamente disponível: Esta restrição afirma que o sistema garante a
disponibilidade dos dados no que diz respeito ao Teorema da CAP; haverá uma resposta a
qualquer pedido. Mas, essa resposta ainda pode ser "falha" para obter os dados solicitados
ou os dados podem estar em um estado inconsistente ou em mudança, da mesma forma
que esperar que um cheque seja liberado em sua conta bancária.
Estado suave: o estado do sistema pode mudar com o tempo, por isso, mesmo
durante períodos sem entrada, pode haver alterações devido à "consistência eventual",
pelo que o estado do sistema é sempre "suave".
Consistência eventual: o sistema acabará se tornando consistente quando deixar de
receber entrada. Os dados serão propagados para todos os lugares, mais cedo ou mais
tarde, mas o sistema continuará recebendo entrada e não estará verificando a consistência
de todas as transações antes de passar para a próxima.

Apesar de que do ponto de vista de Segurança da Informação seria ideal ter-se

consistência durante todo o tempo isso não é computacionalmente viável para algumas
aplicações. Verificar a consistência de cada transação, em cada momento de cada mudança
adiciona custos gigantescos a sistemas que tem trilhões de transações ocorrendo. A
Consistência eventual deu às organizações como o Yahoo!, Google, Twitter e Amazon, a
capacidade de interagir com clientes em todo o mundo, continuamente, com a disponibilidade
e tolerância às partições necessárias, mantendo seus custos baixos, seus sistemas atualizados e
seus clientes satisfeitos.
6 CONSIDERAÇÕES FINAIS
A segurança da informação é um tema amplo que pode ser abordado de diversas
perspectivas. A SI é importante tanto do ponto de vista da gestão organizacional, da
privacidade dos dados dos cidadãos como do ponto de vista da segurança do Estado, a
cibersegurança. A SI também envolve aspectos essencialmente técnicos como a obtenção da
confiabilidade de sistemas de informação através das boas práticas de programação e
construção de banco de dados. Este artigo buscou apresentar de forma sucinta a SI nas
organizações, na legislação de privacidade dos dados dos cidadãos, no âmbito do Estado e no
processamento de transações de banco de dados.

REFERÊNCIAS

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
7
 Escola de Planejamento, Governança e Gestão
Curso de Governança de TIC para o Governo Digital

de Souza, E. A. A., & de Almeida, N. N. (2018). A questão da segurança e defesa do espaço cibernético
brasileiro, e o esforço político administrativo do estado. CAPA-REVISTA DA EGN, 22(2), 381-410.
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for information security management. Journal of
Information Security, 4(02), 92.
Garcia, P. S. D., Macadar, M. A., & Luciano, E. M. (2018). The influence of organizational injustice in the
motivation for the practice of cybercrimes. JISTEM-Journal of Information Systems and Technology
Management, 15.
Haerder, T., & Reuter, A. (1983). Principles of transaction-oriented database recovery. ACM Computing
Surveys (CSUR), 15(4), 287-317.
HIPAA:2002. Health Insurance Portability and Accountability Act. US mandatory regulatory
requirements for Health Insurance sector.
Hong, K. S., Chi, Y. P., Chao, L. R., & Tang, J. H. (2003). An integrated system theory of information
security management. Information Management & Computer Security, 11(5), 243-248.
Ismail, W., Alwi, N. H. M., Ismail, R., Bahari, M., & Zakaria, O. (2018). Readiness of Information Security
Management Systems (ISMS) Policy on Hospital Staff Using e-Patuh System. Journal of
Telecommunication, Electronic and Computer Engineering (JTEC), 10(1-11), 47-52.
Nunes, P. (2012). A definição de uma Estratégia Nacional de Cibersegurança. Nação e Defesa-Revista
Quadrimestral n, º, 133, 113-127.
PCI DSS:2016. Payment Card Industry Data Security Standard. International Information Security
standard.
PricewaterhouseCoopers. 2015. Information Security Breaches survey conducted by PwC in association
with InfoSecurity Europe [online], [cited 1 December 2016]. Disponível em Internet: http://www.
pwc.co.uk/assets/pdf/2015-isbs-technical-report-blue-03.pdf.
Sarbane-Oxley act of 2002. US mandatory regulatory requirements.
Wangen, G., Hellesen, N., Torres, H., & Brækken, E. (2017). An Empirical Study of Root-Cause Analysis in
Information Security Management. In SECURWARE 2017-The Eleventh International Conference on
Emerging Security Information, Systems and Technologies. International Academy, Research and
Industry Association (IARIA).

Sobre o Autor

Azriel Majdenbaum é Doutorando em Administração pelo Programa de Pós-

Graduação em Administração da PUCRS e Mestre em Administração pelo Programa
de Pós-Graduação em Administração da UFRGS. Professor Adjunto da Escola
Politécnica responsável pela disciplina de Segurança da Informação. Bacharel em
Informática pela PUCRS. Profissional certificado em gestão de projetos pelo PMI
com 20+ de experiência na indústria de TI.

Módulo 6 – Segurança da Informação

Curso de Governança de TIC para o Governo Digital
8