Fundamentos de Segurança Da Informação Na Transformação Digital

Fundamentos de
Segurança da Informação
na Transformação Digital
Gestão da Informação e do Conhecimento;

Governo e Transformação Digital; Inovação.
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s
Bruno Parente (conteudista, 2023).
Enap, 2023
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Sumário
Módulo 1: Contextualizando Segurança da Informação na Transformação
Digital......................................................................................................................... 8
Unidade 1: A Transformação Digital e seus Impactos na Administração
Pública........................................................................................................................ 8
1.1 O que é Transformação Digital? ............................................................................... 8
1.2 A Transformação Digital na Administração Pública ............................................. 11
1.2.1 Direito Administrativo e Princípio da Legalidade como Base da
Transformação Digital do Governo ........................................................................ 12
1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital? .................. 13
Referências ...................................................................................................................... 20
Unidade 2: A Relação entre Inovação e os Riscos .............................................. 23

2.1 O que é Inovação? .................................................................................................... 23
2.2 O que São os Riscos? ................................................................................................ 24
2.3 A Importância da Segurança da Informação na Transformação Digital das
Organizações ................................................................................................................... 27
Referências ...................................................................................................................... 29
Módulo 2: A Privacidade e Segurança na Transformação Digital .................... 30

Unidade 1: Privacidade e Segurança da Informação: O que São e por que se
Preocupar? .............................................................................................................. 30
1.1 O que é Segurança da Informação? ....................................................................... 30
1.2 O que é Privacidade? ................................................................................................ 31
1.3 A Importância da Segurança da Informação e da Privacidade ........................... 32
1.4 Vocabulário Digital da Segurança da Informação ................................................ 32
1.5 Identificando os Riscos da Segurança da Informação ......................................... 40
Referências ...................................................................................................................... 41
Unidade 2: Principais Conceitos de Privacidade e Segurança........................... 42

2.1 Privacidade desde a Concepção (by Design) Versus Privacidade por Padrão (by
Default) ............................................................................................................................. 42
2.2 Segurança desde a Concepção (by Design) Versus Segurança por Padrão (by
Default).............................................................................................................................. 43
2.3 A Segurança e Código Aberto Versus Código Fechado......................................... 44
2.4 O Conflito Privacidade Versus Publicidade........................................................... 45
Referências ...................................................................................................................... 46
Módulo 3: Prevenindo Riscos Sistêmicos............................................................. 47

Unidade 1: Identificação e Gestão das Partes Interessadas com Design
Thinking.................................................................................................................... 47
1.1 O que é o Design Thinking?........................................................................................ 47
1.2 Ferramentas de Design Thinking.............................................................................. 51
1.3 Compreendendo as Partes Interessadas no Processo de Segurança da
Informação....................................................................................................................... 53
1.3.1 Como Identificar as Partes Interessadas com o Design Thinking ..................... 55
1.4 Como Estabelecer Estratégias de Gestão das Partes Interessadas.................... 56
Referências ...................................................................................................................... 58
Unidade 2: Riscos e Limitações nas Formas de Contratação............................. 59

2.1 As Diferentes Formas de Contratação de Desenvolvimento de Soluções
Tecnológicas..................................................................................................................... 59
2.1.1 Software de Prateleira..................................................................................... 59
2.1.2 Solução Caseira............................................................................................... 60
2.1.3 Fábrica de Software........................................................................................ 60
2.1.4 Encomenda Tecnológica................................................................................ 61
2.1.5 Contrato Público para Soluções Inovadoras............................................... 62
Referências ...................................................................................................................... 64
Unidade 3: Pontos de Atenção no Desenvolvimento de Soluções Digitais...... 65

3.1 As Diferenças no Desenvolvimento de Soluções no Método Tradicional e Ágil .... 65
3.2 Roadmap de Desenvolvimento de Soluções Digitais............................................ 69
3.2.1 Análise e Planejamento.................................................................................. 69
3.2.2 Design............................................................................................................... 71
3.2.3 Desenvolvimento............................................................................................ 71
3.2.4 Qualidade e Teste........................................................................................... 72
3.2.5 Entregas Intermediárias................................................................................. 72
3.2.6 Documentação................................................................................................ 72
3.2.7 Manutenção..................................................................................................... 73
3.2.8 Reporting........................................................................................................... 73
Referências ...................................................................................................................... 74
Unidade 4: Como Ocorrem os Ataques e Como se Defender Deles?................. 75

4.1 Alguns Tipos de Ataques Cibernéticos .................................................................. 75
4.1.1 O que é Phishing?............................................................................................ 76
4.1.2 Conhecendo os Malwares............................................................................... 77
4.1.3 Os Tipos de Ataques de Engenharia Social.................................................. 78
4.1.4 Como Reconhecer Ataques de Negação de Serviço (Denial-of-Service).... 79
4.2 Alguns Modos de Prevenção a Ataques Cibernéticos ......................................... 80
4.2.1 O Uso da Criptografia na Prevenção de Ataques Cibernéticos................. 80
4.2.2 Segurança em Nuvem..................................................................................... 83
4.2.3 A Colaboração da Comunidade Open Web Application Security Project
(OWASP)...................................................................................................................... 84
4.2.4 Os Cuidados com a Segurança em Plataformas Móveis (Mobile Platforms)..... 85
4.3 Boas Práticas na Segurança da Informação ......................................................... 86
4.3.1 Definição de Papéis e Responsabilidades..................................................... 86
Referências ...................................................................................................................... 88
Módulo 4: Tratamento de Incidentes................................................................... 89

Unidade 1: O Que Fazer Quando um Incidente Ocorre?.................................... 89
1.1 O Que é um Incidente?............................................................................................. 89
1.2 A Importância da Comunicação de Incidentes .................................................... 90
1.3 O Fluxo dos Processos e dos Procedimentos de Gestão de Incidentes ........... 90
1.4 A Necessidade do Plano Básico para Continuidade do Negócio ....................... 91
1.5 O Plano de Recuperação de Desastre.................................................................... 92
Referências ...................................................................................................................... 93
Unidade 2: Investigação de Incidentes................................................................. 94

2.1 A Investigação de Crimes Cibernéticos ................................................................. 94
2.2 Como Ocorre o Processamento das Ações Judiciais ........................................... 95
2.3 A Perícia em Computação Forense........................................................................ 96
Referências ...................................................................................................................... 98
Módulo 5: Panorama da Segurança Digital no Futuro da Administração

Pública...................................................................................................................... 99
Unidade 1: As Governanças de Gestão Pública na Segurança da Informação.... 99
Referências .................................................................................................................... 101
Unidade 2: Profissionalismo e Ética.................................................................... 102

2.1 Um Problema de Todos: Sensibilização e Mudança Cultural........................... 102
2.1.1 Importância da Normatização interna ....................................................... 103
2.2 A Importância da Ética Profissional ..................................................................... 104
2.3 Necessidade de Atualização Constante .............................................................. 104
2.4 Certificações na Área de Segurança da Informação ......................................... 105
Referências .................................................................................................................... 108
Módulo 6: Segurança da Informação na Prática: Casos Reais na Administração

Pública.................................................................................................................... 109
Unidade 1: Casos Práticos de Aplicação da Segurança da Informação na
Administração Pública......................................................................................... 109
1.1 Casos Práticos – Administração Pública............................................................... 109
Referências .................................................................................................................... 114
Enap Fundação Escola Nacional de Administração Pública

6
Apresentação e Boas-vindas
Seja bem-vindo(a) ao curso Fundamentos de Segurança da Informação na

Transformação Digital!
Antes de iniciar sua jornada de estudos, assista a videoaula a seguir, na qual qual
você irá visualizar a relevância da Gestão do Conhecimento nos dias de hoje.
Videoaula: Apresentação do Curso
O curso Fundamentos de Segurança da Informação na Transformação Digital está

dividido em seis módulos. Veja a seguir o que você irá encontrar em cada um deles:
• Módulo 1: trata da transformação digital contextualizando com a segurança

da informação.
• Módulo 2: adentra nas questões de privacidade e segurança da

transformação digital.
• Módulo 3: lida com a prevenção do risco sistêmica, mostrando algumas

ferramentas de ataque e como se defender delas.
• Módulo 4: apresenta o tratamento de incidentes de informação.
• Módulo 5: mostra um panorama da segurança digital no futuro da

Administração Pública.
• Módulo 6: visa apresentar alguns casos reais que ocorreram na


7
Módulo
1 Contextualizando Segurança da
Informação na Transformação Digital
Neste módulo você terá contato com os conceitos da segurança da informação
na transformação digital. O governo brasileiro está passando por uma profunda
transformação digital e seus esforços nesse setor têm sido reconhecidos
internacionalmente, mas é importante que todos estejam atentos à questão de
segurança, pois essa responsabilidade é transversal em toda Administração. Vamos lá?!
Unidade 1: A Transformação Digital e seus Impactos na

Administração Pública
Objetivo de aprendizagem
Ao fim desta unidade você será capaz de reconhecer conceitos relacionados à

transformação digital na Administração Pública e os principais normativos envolvidos.
Aqui será introduzido o conceito de transformação digital e como ele impacta a

1.1 O que é Transformação Digital?
Antigamente utilizava-se muito a expressão “automação” buscando refletir o apoio

computacional para o desenvolvimento de tarefas repetitivas. Mas o que se quer
dizer hoje com transformação digital? É a simples programação de tarefas repetitivas?
Não, transformação digital é muito

mais do que uma sequência de código
de programação. Ela envolve toda uma
mudança cultural em que o foco da atuação
é na necessidade dos usuários e na entrega
de bens e serviços que melhor os atendam.
Transformação Digital.
Fonte: Freepik (2023).

8
O aumento da capacidade computacional, de armazenamento de dados e da
velocidade de conexão de internet são os propulsores da transformação digital. Os
clientes e cidadãos estão cada vez mais conectados em redes e demandando por
soluções que atendam suas necessidades. No entanto, não basta apenas entregar o
bem ou serviço, a experiência do usuário tem sido um fator cada vez mais importante
para a população.
Na transformação digital, a tecnologia tem um papel central e não é apenas mais

um mero processo de suporte, pois a integração das novas tecnologias com as
necessidades dos usuários é uma das principais entregas.
A pandemia de Covid-19 mostrou uma necessidade urgente de repensar as atividades

rapidamente por questões de saúde pública, mas a transformação digital começou
antes e vai continuar fazendo parte da vida das pessoas por muito tempo.
Segurança da Informação.
A transformação digital sempre vem acompanhada da preocupação com a segurança

da informação em uma organização, pois essa visa proteger a informação quanto
à sua destruição, vazamento e modificação, seja ela acidental ou não. Sendo assim,
parceira com as necessidades do negócio em si, ela busca trazer benefícios, como:
melhorar a disponibilidade dos serviços de negócio ou de infraestrutura e/ou reduzir
os prejuízos e interrupções deles.
Mas a gestão pública atual é complexa e envolve a coordenação da Tecnologia de

Informação (TI) com as áreas finalísticas e áreas meio para providenciar as regras de
negócio, os treinamentos necessários, equipamentos e softwares. Essa discussão
faz parte da gestão de riscos, responsável por tentar prever riscos da operação e
estabelecer barreiras para evitá-los ou maneiras de mitigar os efeitos prejudiciais. Isso
é importante para que a alta gestão, servidores e usuários pensem sistematicamente

9
no funcionamento da organização e protejam seus ativos, materiais, de pessoal e
de informação, favorecendo a discussão e a disseminação do conhecimento entre
pares, setores e esferas de governo.
Lafuente et al. (2021) mostra que a transformação digital brasileira tem um problema
federativo devido à discrepância de orçamento e recursos técnicos e humanos. A
falta de estratégia e avaliação do planejamento são apontadas como as principais
causas dos problemas nos estados. A transformação digital pode aumentar a
competitividade, aumentando a inclusão social e a confiança no governo, mas a
questão é como ser mais ágil nesse processo (ROSETH et al., 2018).
As principais causas apontadas das transformações lentas são a criatividade limitada

do setor público ao definir seus serviços (WIMMER, 2008, p. 40) e a dificuldade
em promover mudanças no setor público, devido a estruturas mais complexas
(SIMS, 2010). Por isso, ao se ensinar segurança digital, é preciso ter como
base metodológica ferramentas de desenvolvimento ágil e design thinking
de modo a criar um sistema harmônico com as demais esferas de governança (de
gestão pública, de TI, de riscos, entre outros) que estão se modernizando ao focar
a pactuação pública na experiência do usuário. É importante apresentar isso em
unidades baseadas em conceitos amplamente conhecidos como o plan-do-check-act
(PDCA), fazendo comparações com temas do dia a dia do gestor, citando exemplo
das pastas da Defesa, Transportes, Educação, Saúde, entre outros, mas também com
passagens rápidas por alguns setores privados, como construção, setor bancário e
de operações petrolíferas.
Portanto, é importante que todos os elos da cadeia busquem as melhores práticas,

pois mesmo que governos criem as melhores leis e políticas e as empresas
desenvolvam os melhores programas, se os usuários não desenvolverem uma
cultura de segurança da informação e não tiverem uma comunicação clara com
todos os elos dos sistemas de gestão públicos, a sociedade corre risco de sofrer
ataques digitais.
Para que a mudança cultural ocorra, o primeiro passo é a percepção do problema. Por
isso, uma metodologia de exposição de conteúdos relacionando os problemas digitais
com experiências pessoais e profissionais do aprendiz adulto é a melhor estratégia para
melhorar a consciência de segurança, visando maior efetividade da ação pública.
Se você quiser saber mais sobre o tema, o curso Transformação

Digital no Serviço Público, disponível na plataforma EV.G, é bem
interessante e aprofunda os conceitos expostos nesse conteúdo
(veja aqui).

10
1.2 A Transformação Digital na Administração Pública
Bresser Pereira, em seus trabalhos para a reforma do aparelho do estado (BRASIL,

1995), já ressaltava a necessidade de a Administração Pública ser menos burocrática
e patrimonialista para focar na entrega de resultados.
Há 15 ou 20 anos atrás, se discutia qual o melhor modelo de implementar uma

política pública:
• O modelo top-down, que previa uma administração centralizada que

tomava decisões de maneira hierárquica e repassava as tarefas para os
funcionários públicos executarem.
• O modelo bottom-up, que, por sua vez, já reconhecia a capacidade própria

da população propor melhorias nas políticas públicas com o apoio da
burocracia no nível de rua, ou seja, aqueles servidores da burocracia que
trabalham em funções operacionais e são responsáveis pelo atendimento
direto à população.
Com a digitalização da sociedade, essa discussão se tornou menor, pois hoje se pode
ter muitas informações advindas diretamente do cidadão-usuário bem como se tem
dados internacionais e pesquisas revisados por pares que auxiliam a administração
pública a tomar decisões baseada em evidências.
Se hoje se têm as ferramentas, por que não aplicar a todas as atividades públicas
uma transformação digital?
E existem quatro pontos de atenção que obriga a todos ter cautela.
Acesso
O Brasil é um país de grande extensão territorial e de muitas desigual-
dades. Nem todo serviço público pode ser 100% digitalizado sem ter
a certeza de que toda população terá infraestrutura física, computa-
cional e de rede para acessar esses serviços. Por isso políticas pú-
blicas de expansão da disponibilidade de energia elétrica, internet,
equipamentos computacionais, letramento digital, entre outros, são
partes complementares da política de transformação digital.
Segurança da informação
A administração pública regular, fomenta e atua em diversos
setores da sociedade. Com isso, ela controla e acessa muitos da-
dos pessoais, sensíveis e estratégicos. Portanto, a transformação

11
digital do serviço público tem que ser cuidadosamente pensada
para garantir a segurança dessas informações.
Cultura organizacional
Enquanto na administração privada o corpo dirigente tende a ser
mais fixo e a base mais rotativa, na administração pública há um
corpo de servidores estáveis e a alta administração muda perio-
dicamente em face de resultados eleitorais. Então mudanças cul-
turais são muito mais lentas na administração pública e exigem
mais planejamento, recursos, treinamentos e conscientização.
Legalidade
No direito administrativo que regula as atividades dos servidores
públicos, é clara a distinção entre o princípio da legalidade apli-
cado à sociedade e o princípio da legalidade aplicado aos serv-
idores. No primeiro caso, ao particular é permitido fazer tudo
que a lei não proíbe. No entanto, no segundo caso, os servidores
podem fazer apenas o que a lei demanda, tendo pouco espaço
para discricionariedade de suas decisões, que devem sempre es-
tar motivadas, razoáveis e proporcionais.
1.2.1 Direito Administrativo e Princípio da Legalidade como Base da

Transformação Digital do Governo
O Direito Administrativo tem a função primordial de dar previsibilidade na atuação

pública e com isso segurança jurídica para que a sociedade se desenvolva.
Desse modo, esse ramo do Direito é estruturado num sistema de pesos e contrapesos
em que há princípios e normas que devem ser seguidas pelo administrador,
mas também há estruturas de fiscalização que buscam garantir a supremacia da
finalidade pública em todos os atos.
A obediência ao marco legal específico do setor é imprescindível, por isso a

transformação digital não pode ocorrer apenas no setor de Tecnologia da Informação
(TI), nem tampouco surgir das áreas finalistas sem um relacionamento com outros
setores internos e externos, pois com a velocidade e escalabilidade de soluções
digitais, os problemas de comunicação e coordenação tendem a se intensificar.

12
Todo planejamento de alguma transformação digital deve passar
necessariamente por análise do arcabouço legal da política
pública em transformação.
1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital?
Embora toda política pública tenha a sua base normativa e legal, é possível encontrar
algumas normas que são um denominador comum na transformação digital: Lei de
Acesso à Informação (LAI), Lei Geral de Proteção de Dados (LGPD), Estratégia de
Governo Digital (EGD) e normas de segurança da informação.
1.2.2.1 A Lei de Acesso à Informação
O acesso amplo à informação de dados públicos foi uma grande mudança

de paradigma estabelecida pela Lei nº 12.527, de 18 de novembro de 2011,
denominada de Lei de Acesso à Informação, ou simplesmente LAI. Reflexo do
princípio da publicidade, essa lei visa garantir ao cidadão o acesso facilitado a
seus próprios dados sob controle da Administração Pública e dados públicos.
Nesse novo contexto, a menos que tenha sido declarado sigilo (dados pessoais,
reservado, secreto ou ultrassecreto), todos os dados são públicos.
O principal a ser ressaltado aqui é a capacidade de adaptação da burocracia

brasileira. Não há dúvidas de que a implementação da LAI foi alvo de polêmicas,
questionamentos judiciais e resistências declaradas ou não, mas hoje ela está
atuante e dentro da carga de trabalho de muitos servidores.
Os benefícios públicos dessa lei são inegáveis tanto na questão de accountability

social como no aumento da velocidade de prestação de contas para a sociedade.
Jornalistas e órgãos de defesa de direitos têm utilizado muito desse serviço para ter
dados para fiscalizar o serviço público.

13
Um exemplo claro do potencial de agregação focada na necessidade
dos usuários da transformação digital é o serviço fala.br (veja
aqui), que mostra que a partir das necessidades da LAI, ouvidoria
e canal para denúncias e sugestões, os serviços podem ser
complementares e prestados a partir de uma única plataforma.
1.2.2.2 A Lei Geral de Proteção de Dados
A Lei nº 13.709, de 14 de agosto de 2018, é chamada de Lei Geral de Proteção

de Dados Pessoais ou, de maneira mais sintética, a LGPD. Ela define conceitos,
estabelece procedimentos mínimos e alinha a legislação nacional com práticas
internacionais e é muito importante quando grande parte do mercado
internacional tem se baseado no aproveitamento do grande volume de dados
pessoais, de acessos, de perfil de consumo, entre outros, produzidos pelo acesso
à internet em geral e em particular a redes sociais.
A LGPD deixa clara a titularidade de dados pessoais, estabelecendo regras de

consentimento para o uso desses dados e determinando a empresas e governo
nomear um encarregado para ser um ponto focal sob a fiscalização da Autoridade
Nacional de Proteção de Dados (ANPD).
Muito tem sido discutido sobre uma aparente incompatibilidade

entre a LGPD e a LAI. No entanto, o sistema jurídico tem que
ser interpretado como um todo coeso. Nesse sentido, ambas as
legislações se complementam e a proteção de dados pessoais
garantida pela LGPD vem explicitar e dar um tratamento mais
detalhado ao que a LAI já protegia.
Segurança da Informação e a proteção de dados pessoais são assuntos muito

conexos. É importante se aprofundar na estrutura da LGPD, pois os procedimentos
de segurança da informação são bem parecidos e compatíveis.

14
Estrutura da LGPD.
Elaboração: CEPED/UFSC (2023).
Se você quiser saber mais sobre o tema, o curso Proteção de

Dados Pessoais no Setor Público é bem interessante e aprofunda
os conceitos nesse conteúdo (disponível aqui).
1.2.2.3 A Estratégia de Governo Digital (EGD)
A Estratégia de Governo Digital (EGD) visa a transformação do governo por meio

do uso de tecnologias digitais, com a promoção da efetividade das políticas e da
qualidade dos serviços públicos e com o objetivo final de reconquistar a confiança
dos brasileiros.
A EGD está organizada em princípios e objetivos:

Princípios
Governo centrado no cidadão
Governo integrado
Governo inteligente
Governo confiável
Governo transparente
Governo eficiente

15
Objetivos
Objetivo 1 - Oferta de serviços públicos digitais
Objetivo 2 - Avaliação de satisfação nos serviços digitais
Objetivo 3 - Canais e serviços digitais simples e intuitivos
Objetivo 4 - Acesso digital único aos serviços públicos
Objetivo 5 - Plataformas e ferramentas compartilhadas
Objetivo 6 - Serviços públicos integrados
Objetivo 7 - Políticas públicas baseadas em dados e evidências
Objetivo 8 - Serviços públicos do futuro e tecnologias emergentes
Objetivo 9 - Serviços preditivos e personalizados ao cidadão
Objetivo 10 - Implementação da Lei Geral de Proteção de Dados

no âmbito do Governo Federal
Objetivo 11 - Garantia da segurança das plataformas de governo

digital e de missão crítica
Objetivo 12 - Identidade digital ao cidadão
Objetivo 13 - Reformulação dos canais de transparência e dados

abertos
Objetivo 14 - Participação do cidadão na elaboração de políticas

públicas
Objetivo 15 - Governo como plataforma para novos negócios
Objetivo 16 - Otimização das infraestruturas de tecnologia da

informação
Objetivo 17 - O digital como fonte de recursos para políticas

públicas essenciais
Objetivo 18 - Equipes de governo com competências digitais
Acompanhe a execução da Estratégia de Governo Digital (disponível aqui).

16
1.2.2.4 Normas sobre Segurança da Informação
À primeira vista segurança da informação parece um assunto eminentemente ligado a

TI, mas é importante citar que segurança da informação envolve questões como acesso
ao prédio, segurança contra incêndio, cadastro de servidores e colaboradores. Por isso,
é importante que representantes do setor de administração e de recursos humanos
estejam envolvidos na transformação digital pois eles conhecem muitas normas de
segurança que precisam ser respeitadas em uma política de segurança da informação.
Nesse sentido, além de conhecer a imple-

mentação da LAI e da LGPD no seu órgão
ou entidade, é importante conhecer quais
ações da estratégia de governo digital es-
tão sendo implementadas. Com esse ma-
terial reunido juntamente às normas ge-
rais de segurança, é possível planejar os
próximos passos da transformação digital
com a segurança de que as normas apli-
cáveis são conhecidas e respeitadas.
Proteção da Segurança por Legislação.
A título de exemplo, segue a Portaria nº 218, 19 de maio de 2020,

que institui a política de segurança da informação do Ministério
da Economia. Seguindo o modelo de política, estabelece princípios
e diretrizes gerais a serem seguidas.
É importante frisar que a estrutura do sistema de gestão de

segurança proposta contém, além do gestor de segurança, equipes
de tratamento e resposta a incidentes em redes computacionais,
mostrando que a preocupação com segurança de todos, mais
os treinamentos especializados e funções técnicas específicas,
são importantes para garantir a segurança e continuidade das
operações (veja aqui).
A segurança da informação é responsabilidade de todos,

então todos os órgãos da administração pública já possuem a
preocupação com a segurança da informação. Caso o seu órgão

17
ou entidade não tenha procedimentos, regulamentos e normas
de segurança da informação publicados formalmente sobre o
assunto, é importante trazer essa discussão à tona, visando dar
publicidade às ações e políticas permitindo que todos os servidores
colaborem com as políticas de segurança da informação.
Como a maioria dos órgãos, autarquias e fundações da Administração Pública

Federal são integrantes do Sistema de Administração dos Recursos de Tecnologia
da Informação (SISP) do Poder Executivo Federal (estatais podem solicitar adesão
seguindo a Instrução Normativa SGD/ME nº 128, de 28 de dezembro de 2020), uma
leitura detalhada da Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019
é imprescindível, pois o processo de contratação de soluções de Tecnologia da
Informação e Comunicação apresenta muitas peculiaridades que diferem de uma
contratação comum, seja pelos altos valores envolvidos, seja pela complexidade
técnica envolvida na temática. Disponível aqui.
Lista de algumas Normas que podem ajudar você a compreender o

tema e se aprofundar nas questões técnicas que serão discutidas
nesse conteúdo.
Normas e regulamentos federais

Instrução Normativa GSI/PR nº 1 (disponível aqui).
Decreto nº 7.724 (disponível aqui).
ABNT
ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de

segurança - Sistemas de gestão de segurança da informação;
ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas

de segurança - Código de prática para a gestão da segurança da
informação;

18
ABNT NBR ISO/IEC 27005 - Tecnologia da informação - Técnicas de
segurança - Gestão de riscos de segurança da informação;
ABNT NBR ISO/IEC 27.005:2011, Gestão de Riscos de Segurança da

Informação;
ABNT NBR ISO/IEC 31.000:2018, Gestão de riscos – Princípios e

diretrizes;
ABNT NBR ISO/IEC 27.003:2011, Tecnologia da informação —

Técnicas de segurança — Sistemas de gestão da segurança da
informação — Orientações;
ABNT NBR ISO 22301:2020 – Sistema de gestão de continuidade

de negócios — Requisitos;
ABNT NBR ISO 22313:2020 – Sistemas de gestão de continuidade

de negócios — Orientações para o uso da ABNT NBR ISO 22301;
ABNT NBR ISO/IEC 27014:2013, Tecnologia da Informação —

Técnicas de Segurança — Governança de segurança da informação;
ABNT NBR ISO/IEC 27701:2020, Técnicas de segurança — Extensão

da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão
da privacidade da informação — Requisitos e diretrizes;
ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação —

Técnicas de segurança — Estrutura de Privacidade;
ABNT NBR 16167:2013, Segurança da Informação — Diretrizes

para classificação, rotulação e tratamento da informação.
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!

19
Referências
BRASIL. Decreto nº 7.724, de 16 de maio de 2012. Regulamenta a Lei nº 12.527,

de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no
inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216
da Constituição. Brasília, DF: Presidência da República, 2012. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm.
BRASIL. Decreto nº 7.845, de 14 de novembro de 2012. Regulamenta procedimentos

para credenciamento de segurança e tratamento de informação classificada em
qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.
Brasília, DF: Presidência da República, 2012. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm.
BRASIL. Decreto nº 9.637, de 26 de dezembro de 2018. Institui a Política Nacional de

Segurança da Informação, dispõe sobre a governança da segurança da informação,
e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto
no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre
a dispensa de licitação nos casos que possam comprometer a segurança nacional.
Brasília, DF: Presidência da República, 2018. Disponível em: https://www.in.gov.br/
materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-
decreto-n-9-637-de-26-de-dezembro-de-2018-56969938.
BRASIL. Decreto nº 9.832, de 12 de junho de 2019. Altera o Decreto nº 9.637, de

26 de dezembro de 2018, e o Decreto nº 7.845, de 14 de novembro de 2012, para
dispor sobre o Comitê Gestor da Segurança da Informação. Brasília, DF: Presidência
da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-
2022/2019/decreto/D9832.htm.
BRASIL. Decreto nº 10.332, de 28 de abril de 2020. Institui a Estratégia de Governo

Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades
da administração pública federal direta, autárquica e fundacional e dá outras
providências. Brasília, DF: Presidência da República, 2020. Disponível em: https://
www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358.
BRASIL. Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019. Brasília, DF:

Ministério da Economia, 2019. Disponível em: https://www.gov.br/governodigital/pt-
br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019. Acesso
em: 12 jan. 2023.

20
BRASIL. Instrução Normativa SGD/ME nº 128, de 28 de dezembro de 2020. Brasília,
DF: Ministério da Economia, 2020. Disponível em: https://www.in.gov.br/en/web/
dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221.
Acesso em: 12 jan. 2023.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações

previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art.
216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990;
revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de
janeiro de 1991; e dá outras providências. Brasília, DF: Presidência da República,
2011. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/
l12527.htm. Acesso em: 12 jan. 2023.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados

Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 12
jan. 2023.
BRASIL. Plano Diretor da reforma do Aparelho do Estado. Brasília, DF:

Presidência da República, 1995. Disponível em: http://www.biblioteca.presidencia.
gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-
estado-1995.pdf. Acesso em: 12 jan. 2023.
BRASIL. Portaria nº 218, de 19 de maio de 2020. Institui a Política de Segurança da

Informação do Ministério da Economia. Brasília, DF: Ministério da Economia, 2020.
Disponível em: https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio-
de-2020-257605466. Acesso em: 12 jan. 2023.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em:

https://www.freepik.com/. Acesso em: 12 jan. 2023.
LAFUENTE, Mariano; LEITE, Rafael; PORRÚA, Miguel; VALENTI, Pablo. Transformação

digital dos governos brasileiros: Tendências na transformação digital em
governos estaduais e no Distrito Federal do Brasil. Washington: BID, 2021.
Disponível em: https://publications.iadb.org/pt/transformacao-digital-dos-
governos-brasileiros-tendencias-na-transformacao-digital-em-governos. Acesso
em: 12 jan. 2023.
ROGERS, D. L. Transformação Digital: repensando o seu negócio para a era digital.

São Paulo: Autêntica Business, 2017.

21
ROSETH, Benjamin; REYES, Angela; FARIAS, Pedro; PORRÚA, Miguel; VILLALBA,
Harold; ACEVEDO, Sebastián; PEÑA, Norma; ESTEVEZ, Elsa; LINARES Lejarraga,
Sebastián; FILLOTTRANI, Pablo. El fin del trámite eterno: Ciudadanos, burocracia
y gobierno digital. Washington: BID. 2018. Disponível em: https://publications.iadb.
org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-
burocracia-y-gobierno-digital.pdf. Acesso em: 12 jan. 2023.
SIMS, R. R. Change (Transformation) in Public Sector Organisations. Charlotte:

IAP. 2010.
WIMMER, M. A. Knowledge Management in Electronic Government. Berlim:

Springer Publications. 2008.

22
Unidade 2: A Relação entre Inovação e os Riscos
Ao fim desta unidade você será capaz de reconhecer o que são os conceitos de inovação
e riscos e como eles se relacionam.
2.1 O que é Inovação?
Apesar de ser uma palavra de origem antiga, como se pode ver na expressão latina
inovare, que significa renovar ou mudar, inovação é um conceito que vai muito além
de criatividade ou diferenciação do produto. Ela envolve uma percepção de valor
pelo usuário.
Academicamente existem vários conceitos,
ora aproximando-se da evolução biológica
(DEVEZAS, 2005), ora ligando-se a ideias mais
abstratas como se referir a processos inven-
tivos pelo qual coisas novas, ideias e práticas
são criadas: significando tanto a coisa, ideia
ou prática em si ou descrevendo o processo
pelo qual uma inovação existente se torna
parte de um estado cognitivo do adotante e
entra para seu repertório comportamental
(ZALTMAN; DUNCAN; HOLBEK, 1973).
Inovação. A inovação usualmente é classificada como

Fonte: Freepik (2023). incremental ou disruptiva:
Inovação incremental
Otimização ou melhora de produtos e serviços existentes.
Ampliação ou melhor aproveitamento de mercados e
consumidores. Agregação de valor.
Inovação disruptiva
Quebra de paradigmas. Criação de novos mercados e
consumidores. Criação de valor.

23
Muitas vezes a aplicabilidade desse termo da administração pública parece um pouco
confusa, pela falta de um processo de agregação de valor comercial característico da
iniciativa privada, que possui uma mensuração mais simples através do lucro. No entanto,
é importante ressaltar que muitos autores entendem inovação como uma grande
estratégia de desenvolvimento nacional. Por meio da inovação é possível aumentar a
produtividade nacional mantendo-se os níveis de recursos e mão-de-obra utilizados.
Mas como medir isso? Inovação hoje em dia está chamando

atenção de profissionais da iniciativa privada, governos e
pesquisadores. Por isso há uma diversidade de definições e
metodologias de medição. Para tentar centralizar a discussão,
a Organização para Cooperação Econômica e Desenvolvimento
(OCDE) estabeleceu o Manual de Oslo (disponível aqui), que se
encontra na sua quarta edição e vale uma leitura detalhada.
Um autor importante para fixar e popularizar conceitos de inovação é Eric Ries que
iniciou o movimento de startup enxuta. No livro base desse conceito (RIES, 2011),
o autor conta sua história no desenvolvimento de um produto, mostrando passo a
passo quais foram as suas lições aprendidas. O autor mostra a aplicação do conceito
de errar pequeno e rápido de maneira que sua empresa possa continuar operando
e criando valor a partir do aprendizado.
Focando muito na abordagem experimental, o autor ensina a tocar o desenvolvimento

inicial do chamado MVP — produto mínimo viável —, em que as funcionalidades
básicas e essenciais da solução são apresentados no começo ao potencial usuário
de modo a coletar feedback já no início da concepção.
Outro conceito interessante que aparece nesse livro é o conceito de pivotar, em que se
verifica, a partir da interação com os usuários, que outros interesses ou necessidades
podem ser oferecidos pelo empresário que não estavam no seu foco inicial. O exemplo
clássico é a Netflix, que começou como um serviço de entrega de DVD, mas percebeu
a oportunidade de oferecer à sua base de clientes o mesmo conteúdo via streaming
para num segundo momento começar a produzir conteúdo próprio.
2.2 O que São os Riscos?
Riscos são variações no resultado planejado ou esperado. Não necessariamente

riscos são eventos adversos, ou seja, negativos e ruins para a empresa, como a

24
destruição do estoque. Em algumas situações, por exemplo, a demanda pode ser
muito maior do que o esperado pela empresa, que pode não ter condições de
atender à demanda, mas já está trabalhando com grandes lucros.
Assim, para o bem ou para o mal, riscos devem ser mapeados

para que a administração tente evitá-los ou ao menos mitigar
(diminuir) seus efeitos negativos ou estar preparada para
aproveitar os efeitos positivos com estratégias de atuação
definidas antes dos riscos se materializarem. Mas para se
trabalhar com riscos muitas vezes tão abstratos é preciso de um
framework ou metodologia.
Metodologias para gestão de riscos
Na área de engenharia, há várias metodologias para se lidar com riscos, como modelo
de queijo suíço, Failure Mode and Effect Analysis (FMEA), The Systemic Theoretical
Process Analysis (STPA) model, entre outros. A seguir, veja dois exemplos comuns de
frameworks amplamente utilizados.
Matriz de Risco
Matriz de Risco.

25
O modelo básico da matriz de risco com um eixo indicando a probabilidade do
evento e outro representando a gravidade/impacto do evento é um excelente ponto
de partida para as discussões que você verá nesse conteúdo. Importante ressaltar
que tanto a probabilidade quanto a gravidade/impacto pode ser estimada com base
empírica ou qualitativa, pois nem sempre se tem dados reais para o cálculo numérico.
Método Bow-tie
Método Bow-tie.
Uma outra figura bem didática que facilita o entendimento em como lidar com o
risco é a análise bow-tie (gravata borboleta) que mostra explicitamente que se deve
tomar todas as atitudes para evitar que o risco ocorra, e caso ocorra deve-se ter
barreiras para mitigar os danos causados.
Quando se mapeiam os riscos e eles são colocados em uma matriz, é preciso dar
prioridade para o tratamento dos pontos em vermelho. Assim, pode-se agir do lado
esquerdo da gravata e tentar diminuir a probabilidade de ocorrência da causa (não
dirigir alcoolizado ou usar a mesma senha de trabalho para fins pessoais) ou pode-
se trabalhar do lado direito e mitigar os efeitos danosos (usar o cinto de segurança
ou fazer backup semanal).

26
Embora todos concordem sobre a importância do planejamento para a realização
das atividades públicas e privadas, não é possível prever todos os cenários e como
responder às constantes mudanças que ocorrem naturalmente nos projetos. Então
riscos são inerentes à atividade humana, e grande parte do desenvolvimento da
sociedade aconteceu quando se parou de tratar riscos como vontade dos deuses
e passou a tratá-los como uma possibilidade matemática, que pode ser medida,
tratada e mitigada. E o mais importante é que o apetite ao risco, ou seja, o quanto
a administração quer se arriscar precisa ser definido como diretriz e comunicado a
toda administração.
Para você se aprofundar mais a respeito da temática, com

uma opção de leitura bastante fluida que combina lazer com
importantes insights sobre riscos, leia o livro Desafio aos Deuses:
A Fascinante História do Risco, de Bernstein (2019).
2.3 A Importância da Segurança da Informação na Transformação

Digital das Organizações
A transformação digital é muito mais do que simplesmente a digitalização de bens

e serviços, é uma mudança de mentalidade. Tratar as questões de segurança como
um fardo ou uma obrigação burocrática é um erro que precisa ser superado, já
que pensar em segurança é também pensar nas consequências da transformação
digital. Assim, novamente você terá a oportunidade de centralizar a importância do
usuário em sua análise.
Proteção de dados.

27
Quando um trabalhador da construção civil está em cima do andaime e coloca o
cinto e os óculos de proteção, não está apenas cumprindo uma obrigação de utilizar
os equipamentos de proteção individual, está protegendo a sua vida que é um ativo
que não tem preço.
A sociedade e seus cidadãos estão sendo protegidos quando estão cuidando da

segurança da informação, garantindo a proteção de dados pessoais, garantindo a
disponibilidade do sistema ou criando soluções resilientes para atender o público
mesmo no caso de desastres naturais ou ataques mal-intencionados.
Os problemas acontecerão (os sistemas serão atacados ou falta de energia irá ocorrer
ou algum dos vários cenários previstos numa análise de risco irão se concretizar) em
algum momento. Criar sistemas e organizações antifrágeis é garantir a eficiência
do gasto público, pois riscos administrados são mais baratos que riscos que nunca
foram analisados. E inovação, como já dito, é sobre como criar valor, sem ignorar os
erros, mas aprendendo com eles.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!

28
Referências
BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. Rio de

Janeiro: Editora Campus, 2019.
DEVEZAS, Tessaleno C. Evolutionary theory of technological change: State-of-the-art

and new approaches. Technological Forecasting and Social Change, v. 72, n. 9, p.
1137–1152, 2005.

RIES, Eric. The Lean Startup. New York: Crown Business, 2011.
ZALTMAN, G.; DUNCAN, R.; HOLBEK, J. Innovations and organizations. New York:
John Wiley, 1973.

29
Módulo
2 A Privacidade e Segurança
na Transformação Digital
A privacidade está intimamente relacionada à segurança na transformação digital.
Em outras palavras, as metodologias e processos para garantir a privacidade na
transformação digital são muito semelhantes e complementares às atividades a
serem desenvolvidas para se garantir o melhor nível de segurança das informações
na transformação digital.
Unidade 1: Privacidade e Segurança da Informação: O que São

e por que se Preocupar?
Ao fim desta unidade, você será capaz de classificar os conceitos de Privacidade de

Segurança da Informação e seus objetivos.
Nesta unidade serão apresentados conceitos de privacidade e segurança, úteis para

uniformizar linguagem e permitir aos servidores discutir o assunto com especialistas da área.
1.1 O que é Segurança da Informação?
Segurança da informação significa a proteção da

informação, evitando o uso ou acesso não autorizado
e garantindo a disponibilidade, integridade e
confidencialidade. Embora muito dessa discussão
se centre em sistemas de computador, a segurança
da informação envolve processos e documentos
físicos também.
Ambiente Globalizado.

30
Num ambiente globalizado, milhares de pessoas têm acesso à internet, e muitas
delas se escondem atrás de pseudônimos, seja para navegar na internet de forma
anônima, seja para cometer crimes, como o golpe popularmente conhecido como
catfishing. De forma geral, esse golpe consiste em indivíduos que desenvolvem perfis
falsos na internet utilizando fotos de terceiros para atrair possíveis vítimas em redes
sociais e aplicam golpes, fraudes e, em alguns casos, cometem até mesmo crimes
contra a vida, incluindo agressões físicas e assassinato.
Recentemente, esse tipo de prática voltou a se tornar assunto nas mídias com
o lançamento do documentário O Golpista do Tinder, da Netflix, que investiga os
crimes cometidos por Shimon Hayut, que se passou por um magnata do ramo dos
diamantes para conquistar mulheres pela internet. Tudo isso para aplicar golpes
que chegavam às centenas de milhares de dólares.
Num grau menos hollywoodiano, e mais presente no dia a dia: quem nunca
identificou uma tentativa de golpe em sua caixa de e-mail, desde quando a internet
ainda engatinhava nos anos 90? Ou, atualmente, no Whatsapp com mensagens
automáticas e links bancários de semelhança genuína com as páginas e links originais?
Essa informatização do crime reflete-se diretamente no número de vítimas desses
golpes. Em pesquisa feita pela Panorama Mobile Time, cerca de 43% dos usuários já
foram vítimas de algum tipo de golpe no aplicativo (veja aqui).
1.2 O que é Privacidade?
A privacidade é um direito fundamental “de ser deixado em paz” previsto no Art. 12 da

Declaração dos Direitos Humanos, essencial à autonomia e à proteção da dignidade
humana, servindo como base sobre a qual muitos outros direitos humanos são
construídos.
Privacidade.

31
Através dela é possível criar barreiras e gerenciar limites para proteção de
interferências injustificadas, o que permite às pessoas negociarem quem elas
são e como querem interagir com o mundo ao redor delas. A privacidade ajuda a
estabelecer limites para designar quem tem acesso aos corpos, lugares e coisas,
bem como às comunicações e às informações.
Na sociedade moderna, a deliberação em torno da privacidade é um debate que

ganha novos rumos a cada dia. Com o avanço da tecnologia, novas discussões sobre
o limite da privacidade são colocadas em pauta. Com o crescimento das capacidades
para proteger a privacidade maior do que nunca, também existe uma vigilância sem
precedentes de tudo aquilo que se consome.
Muitas atividades deixam um rastro de dados. Isso inclui telefonemas, transações

bancárias, uso de GPS em carros que rastreiam as posições, celulares (com ou sem
GPS), entre outras que compõem uma lista que é atualizada com frequência. Quase
todas as atividades on-line deixam um rastro de dados que os provedores de serviços
coletarão, como mensagens instantâneas, sites de navegação ou de reprodução de
vídeos.
Esses dados pessoais são coletados, armazenados e podem ser compartilhados,

contribuindo para criar um perfil de publicidade digital que é baseado nos sites
que você visita ou nas pesquisas que fez. É comum pesquisar sobre um produto
que esteja precisando, como um refrigerador, e sequencialmente ser bombardeado
com propagandas de refrigeradores em todas as mídias sociais de que se faz uso.
1.3 A Importância da Segurança da Informação e da Privacidade
Para você se aprofundar na temática, assista ao vídeo a seguir, sobre a importância da

Segurança da Informação e da Privacidade.
Videoaula: A Importância da Segurança da Informação e da Privacidade
1.4 Vocabulário Digital da Segurança da Informação
Sendo baseado numa estrutura técnica de TI, a segurança da informação tem muitos
termos que têm um significado próprio e podem confundir quem está acostumado
com outras áreas do conhecimento.
Que tal agora conhecer alguns desses termos? Aqui, você irá se familiarizar com os
significados dos termos, uma vez que a ideia de vulnerabilidade para psicólogos é

32
diferente da usada em um contexto de segurança da informação e para militares em
uma zona desmilitarizada, por exemplo.
ATAQUE
“Ação que constitui uma tentativa deliberada e não autorizada
de acessar ou manipular informações ou tornar um sistema
inacessível, não íntegro, ou indisponível.” (BRASIL, 2021).
AUTENTICAÇÃO
“Processo que busca verificar a identidade digital de uma entidade
de um sistema quando ela requisita acesso a esse sistema. O
processo é realizado por meio de regras preestabelecidas,
geralmente pela comparação das credenciais apresentadas pela
entidade com outras já pré-definidas no sistema, reconhecendo
como verdadeiras ou legítimas as partes envolvidas em um
processo.” (BRASIL, 2021).
CERTIFICADO
“Documento assinado de forma criptografada, destinado a
assegurar para outros a identidade do terminal que utiliza o
certificado. Um certificado é considerado confiável quando for
assinado por outro certificado confiável, como uma autoridade
de certificação, ou se ele próprio é um certificado confiável,
pertencente a uma cadeia de confiança reconhecida.” (BRASIL,
2021).
CÓDIGO
“Linguagem de programação utilizada para que os seres humanos
possam enviar comandos para processamento computacional.”
(BRASIL, 2021).
CONSENTIMENTO
“Manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma
finalidade determinada.” (BRASIL, 2021).

33
CREDENCIAMENTO
“Processo pelo qual o usuário recebe credenciais de segurança que
concederão o acesso, incluindo a identificação, a autenticação, o
cadastramento de código de identificação e a definição de perfil
de acesso, em função de autorização prévia e da necessidade de
conhecer.” (BRASIL, 2021).
CUSTÓDIA
“Consiste na responsabilidade de guardar um ativo para terceiros.
A custódia não permite automaticamente o acesso ao ativo e
nem o direito de conceder acesso a outros.” (BRASIL, 2021).
DESASTRE
“Evento, ação ou omissão, repentino e não planejado, que tenha
permitido acesso não autorizado, interrupção ou mudança
nas operações (inclusive pela tomada de controle), destruição,
dano, deleção ou mudança da informação protegida, remoção
ou limitação de uso da informação protegida ou, ainda, a
apropriação, disseminação e publicação indevida de informação
protegida de algum ativo de informação crítico ou de alguma
atividade crítica, gerando sérios impactos em sua capacidade de
entregar serviços essenciais ou críticos por um período de tempo
superior ao tempo objetivo de recuperação.” (BRASIL, 2021).
DISPONIBILIDADE
“Propriedade pela qual se assegura que a informação esteja
acessível e utilizável, sob demanda, por uma pessoa física
ou determinado sistema, órgão ou entidade devidamente
autorizados.” (BRASIL, 2021).
DOCUMENTO
“Unidade de registro de informações, qualquer que seja o
suporte ou o formato.” (BRASIL, 2021).
ENCARREGADO
“Pessoa indicada pelo controlador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).” (BRASIL,
2021).

34
GUERRA CIBERNÉTICA
“Atos de guerra, utilizando predominantemente elementos de
tecnologia da informação em escala suficiente, por um período
específico de tempo e em alta velocidade, em apoio às operações
militares, por meio de ações tomadas exclusivamente no espaço
cibernético, com a finalidade de abalar ou de incapacitar as
atividades de uma nação inimiga, especialmente pelo ataque aos
sistemas de comunicação, visando obter vantagem operacional
militar significativa. Tais ações são consideradas uma ameaça à
Segurança Nacional do Estado.” (BRASIL, 2021).
HONEYPOT
“Recurso computacional de segurança dedicado a ser sondado,
atacado ou comprometido. Existem dois tipos de honeypots: os de
baixa interatividade e os de alta interatividade. Em um honeypot
de baixa interatividade são instaladas ferramentas para emular
sistemas operacionais e serviços com os quais os atacantes irão
interagir; desta forma, o sistema operacional real desse tipo
de honeypot deve ser instalado e configurado de modo seguro,
para minimizar o risco de comprometimento. Nos honeypots
de alta interatividade, os atacantes interagem com sistemas
operacionais, aplicações e serviços reais.” (BRASIL, 2021).
INCIDENTE
“Interrupção não planejada ou redução da qualidade de um
serviço. Ou seja, ocorrência, ação ou omissão que tenha permitido,
ou possa vir a permitir, acesso não autorizado, interrupção ou
mudança nas operações (inclusive pela tomada de controle),
destruição, dano, deleção ou mudança da informação protegida,
remoção ou limitação de uso da informação protegida ou ainda a
apropriação, disseminação e publicação indevida de informação
protegida de algum ativo de informação crítico ou de alguma
atividade crítica por um período de tempo inferior ao tempo
objetivo de recuperação.” (BRASIL, 2021).
INFRAESTRUTURA CRÍTICA
“Instalações, serviços, bens e sistemas, virtuais ou físicos, que,
se forem incapacitados, destruídos ou tiverem desempenho
extremamente degradado, provocarão sério impacto social,
econômico, político, internacional ou à segurança.” (BRASIL,
2021).

35
INVASÃO
“Incidente de segurança no qual o ataque foi bem-sucedido,
resultando no acesso, na manipulação ou na destruição
de informações em um computador ou em um sistema da
organização.” (BRASIL, 2021).
JAILBREAK
“Processo que modifica o sistema operacional original de um
dispositivo, permitindo que ele execute aplicativos não-autorizados
pelo fabricante. Um aparelho com um software do tipo jailbreak
é capaz de instalar aplicativos anteriormente indisponíveis nos
sites oficiais do fabricante, por meio de instaladores não-oficiais,
assim como aplicações adquiridas de forma ilegal. O uso de
técnicas jailbreak não é recomendado pelos fabricantes, já que
permitem a execução de aplicativos não certificados, que podem
inclusive conter malware embutidos.” (BRASIL, 2021).
MÁQUINA VIRTUAL (VM)

“As máquinas virtuais são computadores de software com a
mesma funcionalidade que os computadores físicos. Assim
como os computadores físicos, elas executam aplicativos e
um sistema operacional. No entanto, as máquinas virtuais são
arquivos de computador, executados em um computador físico,
e se comportam como um computador físico. Geralmente, são
criadas para tarefas específicas, cujas execuções são arriscadas
em um ambiente host, como, por exemplo, o acesso a dados
infectados por vírus e a testes de sistemas operacionais. Como a
máquina virtual é separada por sandbox do restante do sistema,
o software dentro dela não pode adulterar o computador host.
As máquinas virtuais também podem ser usadas para outras
finalidades, como a virtualização de servidores.” (BRASIL, 2021).
METADADOS
“Representam ‘dados sobre dados’, fornecendo os recursos
necessários para entender os dados no decorrer do tempo, ou
seja, são dados estruturados que fornecem uma descrição concisa
a respeito dos dados armazenados e que permitem encontrar,
gerenciar, compreender ou preservar informações a respeito
dos dados ao longo do tempo. Possuem um papel importante
na gestão de dados, pois, a partir deles, as informações são

36
processadas, atualizadas e consultadas. As informações de
como os dados foram criados ou derivados, do ambiente em que
residem ou residiram, das alterações realizadas, dentre outras,
são obtidas de metadados.” (BRASIL, 2021).
MÍDIA
“Mecanismos em que dados podem ser armazenados. Além
da forma e da tecnologia utilizada para a comunicação, inclui
discos ópticos, magnéticos, compact disk (CD), fitas, papel, entre
outros. Um recurso multimídia combina sons, imagens e vídeos.”
(BRASIL, 2021).
NUVEM HÍBRIDA
“Infraestrutura de nuvem composta por duas ou mais
infraestruturas distintas (privadas, comunitárias ou públicas),
que permanecem com suas próprias características, mas
agrupadas por tecnologia padrão que permite interoperabilidade
e portabilidade de dados, serviços e aplicações.” (BRASIL, 2021).
NUVEM PRIVADA (OU INTERNA)

“Infraestrutura de nuvem dedicada para uso exclusivo do órgão
e de suas unidades vinculadas, ou de entidade composta por
múltiplos usuários, e sua propriedade e seu gerenciamento
podem ser da própria organização, de terceiros ou de ambos.”
(BRASIL, 2021).
NUVEM PÚBLICA (OU EXTERNA)

“Infraestrutura de nuvem dedicada para uso aberto de qualquer
organização, e sua propriedade e seu gerenciamento podem ser
de organizações públicas, privadas ou de ambas.” (BRASIL, 2021).
PRESTADOR DE SERVIÇO
“Pessoa envolvida com o desenvolvimento de atividades, de
caráter temporário ou eventual, exclusivamente para o interesse
do serviço, que poderão receber credencial especial de acesso.”
(BRASIL, 2021).

37
PROTOCOLO
“Conjunto de parâmetros que definem a forma como a
transferência de informação deve ser efetuada.” (BRASIL, 2021).
REDE PRIVADA VIRTUAL (VPN)

“Refere-se à construção de uma rede privada, utilizando redes
públicas (por exemplo, a Internet) como infraestrutura. Esses
sistemas utilizam criptografia e outros mecanismos de segurança
para garantir que somente usuários autorizados possam ter
acesso à rede privada e que nenhum dado será interceptado
enquanto estiver passando pela rede pública.” (BRASIL, 2021).
REQUISITOS DE SEGURANÇA DE SOFTWARE

“Conjunto de necessidades de segurança que um software deve
atender. Essas necessidades são determinadas pela política
de segurança da informação da organização, compreendendo
aspectos funcionais e não funcionais. Os aspectos funcionais
descrevem comportamentos que viabilizam a criação ou a
manutenção da segurança e, geralmente, podem ser testados
diretamente. São exemplos de requisitos funcionais o controle
de acesso, baseado em papéis de usuários (administradores,
usuários comuns, entre outros) e a autenticação com o uso
de credenciais (usuário e senha, certificados digitais, entre
outros). Os aspectos não funcionais descrevem procedimentos
necessários para que o software permaneça executando suas
funções adequadamente, mesmo quando sob uso indevido. São
exemplos de requisitos não funcionais a validação das entradas
de dados e o registro de logs de auditoria com informações
suficientes para análise forense.” (BRASIL, 2021).
RESILIÊNCIA
“Capacidade de uma organização ou de uma infraestrutura
de resistir aos efeitos de um incidente, ataque ou desastre, e
retornar à normalidade das operações.” (BRASIL, 2021).
SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO

“Provimento de serviços de desenvolvimento, de implantação, de
manutenção, de armazenamento e de recuperação de dados e de
operação de sistemas de informação, projeto de infraestrutura

38
de redes de comunicação de dados, modelagem de processos
e assessoramento técnico necessários à gestão da informação.”
(BRASIL, 2021).
SISTEMA DE INFORMAÇÃO
“Conjunto de elementos materiais ou intelectuais, colocados
à disposição dos usuários, em forma de serviços ou bens, que
possibilitam a agregação dos recursos de tecnologia, informação
e comunicações de forma integrada.” (BRASIL, 2021).
VÍRUS
“Seção oculta e autorreplicante de um software de computador,
geralmente utilizando lógica maliciosa, que se propaga pela
infecção (inserindo uma cópia sua e tornando-se parte) de outro
programa. Não é auto executável, ou seja, necessita que o seu
programa hospedeiro seja executado para se tornar ativo.”
(BRASIL, 2021).
VULNERABILIDADE
“Condição que, quando explorada por um criminoso cibernético,
pode resultar em uma violação de segurança cibernética dos
sistemas computacionais ou redes de computadores, e consiste
na interseção de três fatores: suscetibilidade ou falha do sistema,
acesso possível à falha e capacidade de explorar essa falha.”
(BRASIL, 2021).
ZONA DESMILITARIZADA (DMZ)

“Também conhecida como rede de perímetro, trata-se de
uma sub-rede (física ou lógica) que se situa entre uma rede
privada confiável e uma rede não confiável, e onde recursos
computacionais são hospedados para serem acessados a partir
da rede não confiável (em geral, a Internet), evitando o acesso
à rede interna da organização. A DMZ garante o isolamento
entre a rede confiável e não confiável por uma série de regras de
conectividade mantidas em um firewall.” (BRASIL, 2021).

39
Para você conhecer mais, é recomendado o acesso ao glossário
de segurança da informação do GSI(veja aqui).
Para você obter um conhecimento mais amplo e didático sobre

o uso da internet, é recomendado o acesso ao material do site
internet segura (disponível aqui).
1.5 Identificando os Riscos da Segurança da Informação
Os riscos são de várias fontes, mas podem ser classificados em riscos técnicos e
riscos relacionados às pessoas. Veja cada um deles a seguir.
Riscos técnicos Riscos relacionados a pessoas
Incluem-se atualizações de segurança,

Somente a sensibilização e
novas metodologias de autenticação, novos
o estabelecimento de políticas podem
algoritmos de criptografia, entre outros, que
melhorar o grau de segurança da informação,
ajudam a melhorar o grau de segurança
pois, como se tem visto, a participação do
(lembrando que o objetivo da segurança
usuário é parte imprescindível
da informação é que o sistema seja cada
na transformação digital e no
vez mais seguro de modo que seja inviável,
uso de soluções digitais pela
impraticável ou tremendamente demorado a
administração pública.
quebra de segurança).
A identificação de riscos é um serviço de brainstorming. Quanto mais pessoas

representando todos os níveis de organização estiverem envolvidas melhor o
mapeamento dos riscos. Naturalmente, o histórico da organização e fontes públicas
de melhores práticas podem ajudar a identificar muitos riscos, no entanto, as
peculiaridades do negócio ou da ação pública de cada órgão ou entidade exige que
esse mapeamento de risco seja feito de maneira customizada com a participação
dos colaboradores e usuários do serviço em análise.
Até a próxima!

40
Referências
BRASIL. Glossário de Segurança da Informação. Brasília, DF: Gabinete de Segurança

Institucional, 2021. Disponível em: https://www.gov.br/gsi/pt-br/composicao/SSIC/
dsic/glossario-de-seguranca-da-informacao-1. Acesso em: 12 jan. 2023.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. São Paulo:

Thomson Reuters, 2020

HINTZBERGEN, Jule. et al. Fundamentos da segurança da informação: com base

na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018
NIC.br. Internet Segura. Disponível em: https://internetsegura.br/. Acesso em: 17

out. 2022
O GOLPISTA do Tinder. Direção de Felicity Morris. Produção de Bernadette Higgins.

[S. l.]: Raw Tv, 2022. (114 min.), color.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos,

1948. Disponível em: https://www.unicef.org/brazil/declaracao-universal-dos-
direitos-humanos. Acesso em: 12 jan. 2023.

41
Unidade 2: Principais Conceitos de Privacidade e Segurança
Ao fim desta unidade, você será capaz de classificar conceitos relativos à Segurança da
Informação.
Nesta unidade, você irá conhecer alguns conceitos ligados à privacidade e segurança.
Privacidade e segurança são conceitos complementares e devem ser tratados juntos,
mas a publicidade não é oposta a nenhum dos dois conceitos.
2.1 Privacidade desde a Concepção (by Design) Versus Privacidade por

Padrão (by Default)
Veja a diferença entre os conceitos de Privacidade by design e Privacidade by default
Privacidade desde a concepção (by design)

A privacidade desde a concepção (by design) é um conceito
interessante pois representa uma revolução no estabelecimento
dos requisitos de um software. Do mesmo modo que a necessidade
de testes de adequação do software durante o desenvolvimento
é um importante processo, na privacidade desde a concepção, a
questão de dados pessoais é tratada com sua devida importância
no começo de um projeto de um novo software.
Usualmente, programadores copiam e reaproveitam formulários

para cadastro de dados, então era normal a solicitação ao usuário
final de vários dados pessoais que constavam no cadastro modelo.
Com uso da privacidade desde a concepção, pode-se verificar
que muitos desses campos de cadastro eram dados pessoais,
mas que não havia uma importância que justificasse essa coleta.
Nesse sentido, hoje em dia, prefere-se pedir o mínimo de dados
possíveis de modo a impossibilitar o vazamento de dados que
nunca foram necessários.

42
Privacidade por padrão (by default)
A privacidade por padrão (by default) é um conceito que significa
que o mais alto nível de privacidade deve ser oferecido como pa-
drão, como seleção normativa. Assim, cabe ao usuário determi-
nar se deseja ter um padrão de privacidade menor e ativamente
fazer essa escolha (clicar) na opção de configuração do software
ou página da web.
Além disso, esse conceito também envolve a manutenção das

informações pelo tempo mínimo necessário para que elas sejam
utilizadas de acordo com a política de privacidade. Ou seja, após
a coleta e o uso dos dados, eles devem ser desprezados, elimi-
nados, excluídos dos bancos de dados, de modo que não fiquem
mais disponíveis para a empresa.
2.2 Segurança desde a Concepção (by Design) Versus Segurança por

Padrão (by Default)
A segurança desde a concepção (by design) cresceu juntamente com o aumento das
vulnerabilidades e consequente vazamento de dados com prejuízos às empresas.
O modelo tradicional em que o desenvolvedor codificava o site e depois passava o
código-fonte para a equipe de segurança analisar mostrou-se ineficiente. Idealmente,
as questões de segurança, assim como de privacidade, têm de ser discutidas desde
o começo da concepção do projeto, elas são requisitos importantes para a garantia
da qualidade do projeto.
Quando se estabelece a segurança desde a concepção, é possível ter alguns ganhos

de segurança ao:
• minimizar a superfície de ataque (restringir funções que o usuário

tem acesso, trabalhando com o princípio do menor privilégio);
• trabalhar com confiança zero (nenhum dispositivo ou sistema por

padrão é confiável);
• segregar funções (agrupando os acessos para dar apenas os privilégios

necessários para cada tipo de função).

43
2.3 A Segurança e Código Aberto Versus Código Fechado
O código aberto representa uma abertura para que toda comunidade de

programadores visualizem o código e apresentem sugestões e alertas para erros.
O código fechado fica disponível somente para a empresa, então terceiros não
tem como acessar o código. Então, em tese, não saberiam das falhas de segurança.
Mas isso é apenas parcialmente verdade, pois ainda é possível utilizar engenharia
reversa, e a partir do arquivo “executável” se reconstruir o código original.
Para tentar evitar a engenharia reversa existem algumas técnicas como “Code
Obfuscation” que troca o valor das variáveis e das funções, cria variáveis e loops não
necessários para tornar difícil o uso de engenharia reversa. Mas isso também traz
desvantagens, pois aplicações maliciosas podem se esconder de antivírus.
“Obfuscation” faz o código mais seguro, mas não é a solução mais

segura. Principalmente quando se discute soluções para governo,
a finalidade sem fins lucrativos, a necessidade de transparência
e “accountability” dos recursos públicos utilizados conduz à
indicação de código aberto. Ao menos que haja uma justificativa
plausível para se trabalhar com código fechado, como legislação
específica, segredos militares ou nucleares, a regra geral é utilizar
dados e códigos abertos.
Para exemplos de “obsfucation”, indicações de softwares para as

linguagens de Python (muito utilizada para Inteligência Artificial
e Big Data) ou JavaScript (muito utilizada para aplicações web), é
recomendado a leitura do blog Dev.to (disponível aqui).
Quanto ao código aberto, também é importante que o código

seja limpo. Ou seja, que seja bem escrito e compreensível para
facilitar a manutenção. O livro base desse assunto é a obra de
Martin, intitulado Código limpo: habilidades práticas do Agile
Software (2009).

44
2.4 O Conflito Privacidade Versus Publicidade
À primeira vista, a privacidade dá ideia de um conceito secreto privativo, fora do

domínio público, algo pessoal, ou seja, que diz respeito apenas à pessoa, e não à
sociedade como um todo. Mas privacidade não é um conceito tão simples, pois a
administração pública, e agora as empresas, devido à LGPD, têm que deixar explícita,
em documentos públicos, a divisão do que é privado e do que é de domínio público
ou da empresa.
Toda discussão sobre obrigatoriedade de vacina ou uso de

máscara também se aplica à segurança da informação, pois um
computador pessoal pode ser "sequestrado" por hackers e ser
utilizado para o ataque de negação de serviço, por exemplo.
Então a segurança de um bem pessoal ou de uma informação pessoal tem limite

quando a sociedade pode vir a ser prejudicada. Por conta disso, a proteção e a
prioridade dadas a um bem pessoal ou a uma informação pessoal são limitadas pela
possibilidade de que essa privacidade venha a prejudicar a sociedade. Por outro lado,
a publicidade não pode ser irrestrita, pois, como foi visto em alguns momentos, é
possível lidar com informações confidenciais e sigilosas que têm uma justificativa
estratégica e geopolítica que justifica o sigilo e, portanto, a limitação da publicidade.
Para conhecer a importância da publicidade, veja a videoaula a seguir:
Videoaula: A Importância da Publicidade
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos.

45
Referências
MARTIN, Robert C. Código limpo: Habilidades práticas do Agile Software. Rio de

Janeiro: Alta Books, 2009

46
Módulo
3 Prevenindo Riscos Sistêmicos
A prevenção de riscos é um problema sistêmico, então quanto mais se conhece

quem são as partes interessadas, quais são os riscos e como é o desenvolvimento
de uma solução tecnológica, mais bem preparado você estará para oferecer um
serviço público resiliente.
Unidade 1: Identificação e Gestão das Partes Interessadas

com Design Thinking
Ao fim desta unidade, você será capaz de reconhecer usos de ferramentas de design
thinking para identificar grupos de interesses e estabelecer estratégias de gestão.
1.1 O que é o Design Thinking?
Design Thinking é uma forma de pensar que foi primeiramente idealizada na área de
design e atualmente, devido ao seu grande potencial criativo e inovador, é aplicada
em diversos campos de empreendimentos e nos mais variados setores, desde o
desenvolvimento de produtos e serviços até os processos e estratégias a serem adotadas.
Essa ferramenta une a sensibilidade do design, métodos para atender as necessidades

das pessoas, com o que é tecnologicamente possível e viável, de acordo com cada
situação. Dessa forma, permite que as pessoas encontrem soluções e ferramentas
criativas na resolução de problemas.
Segundo Charles Burnett, o design thinking “É um processo de pensamento crítico

e criativo que permite organizar informações e ideias, tomar decisões, aprimorar
situação e adquirir conhecimento” (SIQUEIRA, 2022). Pode-se entender que é uma
forma de combinar o mindset, a um plano de ação mais efetivo e direcionado, baseado
nas reais dificuldades encontradas.

47
O uso do design thinking na inovação social
Um dos maiores exemplos de aplicação do design thinking para a inovação social foi
o do professor universitário Jerry Sternin, que conseguiu reduzir visivelmente a má
nutrição no Vietnã. Ele e sua esposa foram responsáveis pela criação de um modelo
que diminuísse a desnutrição de crianças de 10.000 vilas vietnamitas. Uma nova
ação era necessária, porque as doações da Organização das Nações Unidas (ONU)
não estavam sendo efetivas.
A equipe dos Sternins decidiu pensar de forma diferenciada, considerando as

soluções criativas dos próprios habitantes locais. Observando as comunidades da
província de Than Hoa, os pesquisadores perceberam que havia famílias pobres
cujos filhos não estavam desnutridos. Com esses grupos, Sternins e companhia
aprenderam que havia uma gama de alimentos dispensados por boa parte das
famílias, que eram utilizados por essas comunidades específicas. Além disso, tais
famílias faziam diversas refeições pequenas por dia, em lugar de fazer duas grandes
refeições diárias.
Em vez de oferecer mais doações de alimentos, Sternin e sua equipe ofereceram

aulas de culinária para as famílias mais necessitadas. Isso para que eles fossem
capazes de incluir o mesmo tipo de alimento utilizado nas outras comunidades, tais
como pequenos camarões, caranguejos e lesmas na sua dieta. Ao fim do programa,
80% das crianças matriculadas no programa estavam adequadamente alimentadas.
Após esses ótimos resultados, o programa foi prototipado e reproduzido em outras
14 aldeias no país.
Para você conhecer mais sobre o caso, leia o artigo completo de

Tim Brown & Jocelyn Wyatt (disponível aqui).

48
Design thinking aplicado à transformação digital
Seguindo na leitura de exemplos práticos do uso de design thinking, que tal visualizar
agora um caso aplicado à transformação digital? Veja aqui como o design thinking
transformou o Airbnb.
A oportunidade
Em 2008, Brian chesky e Joe Gebbia viram uma oportunidade de
negócios ao encontrar um grupo de pessoas que participavam
de uma conferência de design em São Francisco, Califórnia, e não
encontravam um lugar para se hospedar.
A solução encontrada foi simples: hospedar esse grupo em casa, com

colchões infláveis e um café da manhã básico, baseado em cereais
industrializados. Apesar das condições simples, a experiência foi
considerada satisfatória e, após alguns testes, Brian, Joe e o novo
sócio Nathan Blecharczyk, rascunharam a ideia e colocaram o site no
ar, dando início ao AirBed&Breakfast.
À beira da falência e a procura do problema

Em 2009, menos de um ano depois, a empresa já demonstrava
problemas e chegou à beira da falência, faturando a mísera quantia
de 200 euros por semana. Os sócios, na tentativa de salvar o
empreendimento, começaram a buscar quais eram os possíveis
problemas e tentar solucioná-los. Durante uma vasta pesquisa, foi
possível identificar que um dos problemas era o padrão de fotos
ruins dos estabelecimentos. Nem sempre as fotos eram claras,
ou então mostravam ângulos que não favoreciam o ambiente, ou
simplesmente não condiziam em nada com o local contratado, de
modo que os clientes não fechavam o serviço.
A pesquisa
Os sócios então, decidiram alugar uma câmera e viajaram até Nova
York para uma das casas alugadas na cidade, buscando compreender
as expectativas e a experiência do cliente que estava usufruindo do
serviço no momento. Eles usaram a empatia para entender com
profundidade qual tipo de imagem tornaria o negócio mais atrativo.
Cada novo funcionário, durante a sua primeira semana na empresa
faziam uma viagem usando o AirBed&Breakfast e então documentava
e compartilhava ideias com seu novo departamento. Foi dessa forma

49
que eles identificaram que o ícone de estrela não tinha muito peso
como símbolo e o nome da empresa também era difícil de ser lembrado.
A solução
A partir dessa coleta de dados, eles decidiram quais os tipos de fotos
seriam mais atrativos, de acordo com os ambientes encontrados,
mudaram o nome da empresa para algo que fosse mais simples e
mais fácil de ser lembrado, agora chamando de Airbnb e trocaram os
ícones na lista de desejos de estrela para coração. A simples mudança
de ícone já demonstrou uma melhora expressiva, o que representou
um aumento de 30% no engajamento das pessoas, tornando a
experiência mais pessoal.
Para ver o artigo original, clique aqui.
Criar e resolver os problemas para os usuários não parou por aí. Quando se
criou empatia com os desejos do usuário, também se criou empatia com suas
experiências. Portanto, é importante criar um produto ou serviço que dê às pessoas
a experiência que desejam. Os utilizadores devem se lembrar e querer interagir com
ele várias vezes e dessa forma retroalimentar a plataforma com experiências reais,
de pessoas reais. O Airbnb lançou suas próprias experiências, onde os anfitriões
podem realizar eventos e atividades para seus hóspedes. A ideia tomou uma forma
mais ampla e tornou-se algo além de apenas algum lugar em que você passa uma
ou duas semanas. O Airbnb buscou construir uma experiência e uma comunidade
para seus usuários. Aqui é onde o slogan da empresa, “You Belong”, é extremamente
poderoso. Ele constrói confiança entre si e os usuários e uma das maneiras pelas
quais faz isso é através da construção da comunidade — dizendo às pessoas que
este é um lugar seguro para interagir, conectar, pertencer e experimentar.
O design thinking torna a resolução de problemas mais real. Isto

é, torna a experiência menos impessoal. Você está resolvendo
problemas e dores dos usuários, enxergando, vivenciando e
ouvindo suas experiências. Não há melhor maneira de fazer
isso do que ter uma compreensão profunda dos usuários e suas
dificuldades e desejos. O design thinking ajuda a se afastar da
mentalidade completamente quantitativa de analisar dados
sobre pessoas.

50
O Airbnb passou de 200 euros por semana para revolucionar o mercado de turismo,
com mais de um milhão e 500 mil anúncios. A plataforma atualmente se encontra
em mais de 192 países e 81 mil cidades. Em 2020 a empresa teve seu valor estimado
em 101.6 bilhões de dólares.
As falhas e vitórias do Airbnb ilustram dezenas de lições que o uso do design

thinking pode agregar ao ser empregado com sucesso. Com inovação, persistência
e escalabilidade, a iniciativa fez avanços extraordinários para se tornar a empresa
de sucesso que é hoje. Nas palavras de um dos criadores, Brian Chesky: “repetição
não cria memórias. Novas experiências, sim. Pense na imaginação como uma pedra
gigante da qual se esculpem novas ideias”.
1.2 Ferramentas de Design Thinking
O processo básico de design thinking é composto de 5 etapas para encontrar ideias

significativas que solucionam problemas reais para um grupo particular de pessoas. O
processo é ministrado nas melhores escolas de design e negócios em todo o mundo.
Isso trouxe muitas empresas e muitos clientes felizes e ajudou empresários de todo o
mundo a resolver problemas com soluções inovadoras.
O processo do Design Thinking
A seguir, você verá cinco passos envolvidos no processo de design thinking (SPROUTS,
2017).
Passo 1: Empatia
O objetivo do primeiro passo é realizar entrevistas que lhe deem uma ideia
sobre o que as pessoas realmente se importam, e que é preciso empatizar
com sua situação. Por exemplo, se você quiser ajudar pessoas idosas,
pode achar que eles quer em manter a capacidade de caminhar. Nas suas
conversas, eles podem compartilhar com vocês maneiras diferentes de
fazerem isso. Mais tarde, na entrevista, você vai querer cavar um pouco
mais fundo, procurar histórias pessoais ou situações em que as coisas se
tornaram difíceis. Idealmente, você refaz o processo com muitas pessoas
com o mesmo problema.

51
Passo 2: Definir o problema
Olhando para as entrevistas, agora você pode entender as necessidades

reais que as pessoas estão tentando cumprir com certas atividades. Uma
maneira de fazer isso é sublinhar os verbos ou atividades que as pessoas
mencionaram ao falar sobre seus problemas: como passear, conhecer
velhos amigos para o chá ou simplesmente fazer compras na loja da
esquina. Você pode perceber que não é tanto sobre sair, mas mais sobre ficar
em contato. Após sua análise, formule uma declaração de problema: "Alguns
idosos têm medo de estarem sozinhos. A vontade de permanecer conectado".
Passo 3: Idear
Agora, concentre-se apenas na declaração do problema e encontre ideias

que solucionem o problema. O objetivo é não ter uma ideia perfeita, mas
sim apresentar muitas ideias. Seja qual for, esboce suas melhores ideias
e mostre-as às pessoas que você está tentando ajudar, então você recebe
seus comentários.
Passo 4: Protótipo
Agora, tome um momento para refletir sobre o que você aprendeu de

suas conversas sobre as diferentes ideias. Pergunte a si mesmo: como sua
ideia se encaixa no contexto da vida real das pessoas. Sua solução pode
ser uma combinação de uma nova ideia e o que já está sendo usado. Em
seguida, conecte os pontos, esboce sua solução final e crie um protótipo
real que seja bom o bastante para ser testado.
Passo 5: Teste
Agora, teste seu protótipo com usuários reais. Não defenda sua ideia no caso
de as pessoas não gostarem disso, o objetivo é aprender o que funciona e
o que não funciona, então qualquer comentário é excelente. Em seguida,
volte para ideação ou prototipagem e aplique sua aprendizagem. Repita o
processo até ter um protótipo que funcione e resolva o problema real.

52
Na videoaula a seguir, você conhecerá ferramentas de design thinking e verá como
preencher um canvas.
Videoaula: Ferramentas de Design Thinking
1.3 Compreendendo as Partes Interessadas no Processo de Segurança

da Informação
Chamada de stakeholders pelo PMBOK (PMI, 2021), material base que reúne as
melhores práticas de gerenciamento de projetos, o termo é definido como indivíduo,
grupo ou organização que pode afetar, ser afetado por ou perceber a si mesmo como
afetado por uma decisão, atividade ou resultado de um projeto.
Como já foi mostrado, tanto o design thinking quanto a transformação digital têm foco
no atendimento das necessidades do usuário, portanto a primeira e mais importante
parte interessada é o usuário.
Mas, em se tratando de transformação digital no serviço público,

é importante sempre incluir a Secretaria de Governo Digital do
Ministério da Economia que tem a competência regimental para
definição de políticas e diretrizes, por orientar normativamente
e supervisionar as atividades de governança e de gestão dos
recursos de tecnologia da informação e comunicação do sistema.
Outra parte importante é a Secretaria Especial de Modernização
do Estado.
Agora, falando de segurança da informação e da proteção de dados, muitos pessoais,

outros sensíveis ou que afetam infraestruturas críticas, é sempre importante estar
alinhado com as recomendações da Autoridade Nacional de Proteção de Dados
(ANPD) e do Gabinete de Segurança Institucional (GSI).
O sistema de controle da administração pública também produz muitas

determinações e recomendações ao gestor público, logo também são uma parte
interessada a ser monitorada, então as posições do Tribunal de Contas e do Controle
Interno também devem ser objetos de análise.

53
Por fim, uma parte interessada que tem de estar presente em todo projeto de
transformação digital é o time vermelho (red team). E esse time é o responsável por
tentar hackear o sistema a ser desenvolvido, buscando vulnerabilidades, erros de
concepção, atalhos para furar fila de prioridades, entre outros.
Uma estratégia de classificação das partes interessadas é dividi-las em grupos:
Intragovernamental
Representa o poder executivo contando com seus ministérios,
autarquias, fundações e agências reguladoras ou não.
Setor público
Representa os demais poderes, portanto inclui Congresso, mas
também o Ministério Público, órgãos de controle e associações ou
consórcio de representantes do setor público, como por exemplo o
Comitê Gestor da Internet (CGI.br).
Sociedade civil iniciativa privada

Representa associações e pessoas físicas envolvidas nas políticas
cuja transformação digital afeta como a Sociedade Brasileira de
Computação, pode envolver sindicatos e a imprensa.
Internacional
Representa pessoas jurídicas do direito internacional como a
Organização das Nações Unidas o Banco Mundial. Dependendo da
abrangência geográfica, geopolítica ou finalidade da transformação
digital esse grupo pode não ser necessário.
Informais
Representa grupos de partes interessadas que não são formalmente
constituídos, no entanto podem possuir importante papel na política
ou interesse na transformação digital, como exemplo pode-se citar
youtubers ou podcasters da área de tecnologia (como já dito sobre
a importância do time vermelho, é importante incluí-los nessa
categoria).

54
Formais
Representa um grupo facultativo que contém grupos de trabalho,
comissões e outros arranjos internos que podem ser em grande
número e complexos, chegando à necessidade de agrupá-los como
grupos formais ao invés de listá-los em algum dos grupos acima.
A Câmara Brasileira da Indústria 4.0 é um bom exemplo de grupo
formal que demanda uma análise cautelosa.
1.3.1 Como Identificar as Partes Interessadas com o Design Thinking
Você já ouviu falar no Mapa de Empatia? Esse canvas é uma ferramenta interessante,
porque ajuda muito a ter insights a respeito das partes interessadas. Por meio da
empatia, a equipe do projeto tenta entender como funciona a cabeça das partes
interessadas.
Mapa de empatia.
Fonte: Dave Gray (2017). Elaboração: CEPED/UFSC (2023)

55
Da análise dos resultados do canvas, novas ideias, funcionalidades e restrições podem
surgir e com isso o projeto de transformação digital melhora e se torna mais seguro.
É importante ressaltar, como é típico do processo dinâmico do design thinking, que
nesse momento pode haver o reconhecimento de novas partes interessadas que
não haviam sido listadas na fase anterior.
Embora o exercício seja interessante de ser conduzido para todas as partes

interessadas, o gestor tem de conduzir uma priorização considerando o recurso de
tempo e disponibilidade da equipe. Mas, em todo caso, o mínimo a ser analisado
para garantir a eficiência e segurança da solução são o usuário e o time vermelho.
1.4 Como Estabelecer Estratégias de Gestão das Partes Interessadas
Estabelecer uma estratégia para gestão de partes interessadas sempre é um

processo complexo. Afinal, são pessoas. Não está mais se falando de um código-
fonte ou algoritmo que sempre irá responder da mesma forma para o mesmo
estímulo ou entrada de dados.
No entanto, é possível se trabalhar com alguns padrões de respostas e

comportamentos. Para tanto, se utiliza uma matriz de interesse e poder. No eixo
X, há o interesse do mais baixo para o mais alto e, no eixo Y, o poder do mais baixo
para o mais alto, conforme a figura abaixo.
Matriz de interesse e poder.


56
Assim se formam quatro quadrantes e quatro estratégias de gerenciamento. Quando
a influência/poder é alto e o interesse também, é importante o gerenciamento com
mais atenção. Se o poder é alto, mas o interesse é pequeno ainda busca-se mantê-los
satisfeitos. Caso contrário, se o poder é baixo, mas o interesse é alto, basta apenas
mantê-los informados sobre o andamento do projeto. O último caso, representa a
necessidade de monitorar os atores quando o poder e interesse são baixos.
E em políticas desenvolvidas para o ambiente VUCA (Volatilidade,

Incerteza, Complexidade e Ambiguidade), a diversidade e
complexidade dos atores envolvidos obriga a todos realizar uma
estratégia de gerenciamento de partes interessadas muito mais
complexa. Saiba mais sobre quais são os aspectos importantes
de listar para cada um dos atores nesses casos.
Você poderá ver a planilha modelo no link disponível aqui.
conteúdo e se aprofunde nos temas propostos. Até a próxima!

57
Referências
BROWN, Tim; WYATT, Jocelyn. Design Thinking para a Inovação Social. [S.l], 2022.
Disponível em: https://ssir.com.br/design-thinking/design-thinking-para-a-inovacao-
social. Acesso em: 12 jan. 2023.

GRAY, Dave. Empathy Map. Game Storming. [S. l.], 2017. Disponível em: https://
gamestorming.com/empathy-mapping/. Acesso em: 12 jan. 2023.
O PROCESSO DO DESIGN THINKING. [S. l.: s. n.], 2017. 1 vídeo (4 minutos). Publicado
pelo canal SPROUTS. Disponível em: https://www.youtube.com/watch?v=_r0VX-aU_
T8. Acesso em: 12 jan. 2023.
PROJECT MANAGEMENT INSITUTE (Pennsylvania). PMBOK Guide: a guide to the

project management body of knowledge. 7. ed. Pennsylvania: PMI, 2021.
SIQUEIRA, Nara. Design Thinking para além do mundo empresarial. Agência

Universitária de Notícias USP. São Paulo, 2017. Disponível em: https://aun.
webhostusp.sti.usp.br/index.php/2017/04/12/design-thinking-para-alem-do-
mundo-empresarial/. Acesso em: 12 jan. 2023.

58
Unidade 2: Riscos e Limitações nas Formas de Contratação
Ao final desta unidade, você será capaz de determinar quais são os riscos envolvidos
e limitações em diferentes formas de contratos, licitações e parcerias para
desenvolvimento de soluções tecnológicas.
2.1 As Diferentes Formas de Contratação de Desenvolvimento de

Soluções Tecnológicas
Como já foi ressaltado, a administração pública vive sob regras diferentes da

iniciativa privada. Então, ela possui regramentos próprios para contratação de bens
e serviços. A definição da solução mais vantajosa envolve complexidades técnicas
e escolha de procedimentos administrativos que envolvem uma atuação conjunta
dos setores de tecnologia da informação e das áreas finalísticas.
Cada forma de contratação apresenta suas próprias

características, bem como as vantagens e desvantagens que
serão apresentadas a seguir.
2.1.1 Software de Prateleira
Algumas soluções digitais já estão bem desenvolvidas e consolidados pelo mercado,

não fazendo sentido a administração pública despender recursos para recriar o
software. Nesses casos, via licitação, usualmente um pregão, é possível adquirir
esse software de uso comum, como editores de texto e gerenciadores de e-mail.
Ao comprar esses "pacotes fechados" a administração pública

terceiriza grande parte da gestão de riscos de segurança da
informação, pois ela não tem acesso ao código-fonte e muitas
das ameaças têm que ser tratadas diretamente pela e com a
empresa fornecedora.

59
2.1.2 Solução Caseira
Alguns setores possuem servidores com estrutura física e tecnológica bem avançada
e com competência técnica para o desenvolvimento de soluções internamente. A
vantagem desse modelo é que tanto o código-fonte quanto o histórico da resolução
do problema fica no setor, então qualquer necessidade de ajuste futuro é facilitada
pelo conhecimento armazenado na própria organização.
O desenvolvimento de um software pelo setor não

necessariamente implica o uso de código aberto e software
livre, pois essas são questões à parte que são discutidas pela
equipe e envolvem uma solução de compromisso. Por um
lado, com softwares livres e de código aberto, a equipe tem
mais flexibilidade. Ela também perde na falta de um suporte
profissional e permanente, como existe em muito softwares
pagos. Custos de treinamento, expectativa da empresa continuar
existindo, prazo da empresa para prestar o suporte, existência
de módulo ou função para migração de dados em formato não
proprietário, entre outros, são fatores que afetam a decisão do
gestor de TI sobre qual caminho tomar.
2.1.3 Fábrica de Software
No caso da administração, órgão ou entidade, não possuir estrutura própria para

desenvolver internamente uma solução de software, ela tem como alternativa
contratar uma fábrica de software. A partir de demandas, especificação e regras de
negócio apresentadas pelos servidores da casa, a fábrica de software trabalha na
programação para atender a necessidade do órgão ou entidade.
Como toda terceirização, há riscos envolvidos de não

cumprimento do contrato, perda de histórico com mudança
de contrato e necessidade de fiscalização do cumprimento de
obrigações trabalhistas por parte do fiscal do contrato.

60
2.1.4 Encomenda Tecnológica
No esforço de estimular o desenvolvimento científico e tecnológico, aliando a

pesquisa científica e a inovação junto à iniciativa produtiva, o Governo Federal editou
a Lei nº 13.243, de 11 de janeiro de 2016 (disponível aqui) e o Decreto nº 9.283, de 7
de fevereiro de 2018 (disponível aqui), que tratam da encomenda tecnológica.
Focado no incentivo a Instituições Científicas, Tecnológicas e de Inovação (ICTs), tanto

pública quando privadas, mas permitindo também empresas que se dediquem à
pesquisa em seus objetivos institucionais.
O modelo permite diferentes formas de remuneração:
• preço fixo;
• preço fixo mais remuneração variável de incentivo;
• reembolso de custos sem remuneração adicional;
• reembolso de custos mais remuneração variável de incentivo; ou
• reembolso de custos mais remuneração fixa de incentivo.
Uma desvantagem desse modelo é que a possibilidade de fornecimento deveria estar

prevista no contrato inicial, quando, devido ao risco tecnológico, nem contratado nem
administração pública tinham certeza da funcionalidade da solução proposta.
Na prática a dificuldade da gestão de riscos e a necessidade de negociação de

muitos termos contratuais sem uma clareza da solução dificultaram que o modelo
fosse mais utilizado por órgãos e entidades com menos capacidade institucional.
Mas o registro da experiência do Tribunal de Contas da União é bem interessante
e mostra uma aplicação de design thinking.
Registro de Experiência.
Fonte: Tribunal de Contas
da União (2021, p. 9).

61
O material que o Tribunal de Contas produziu sobre a encomenda
tecnológica é bem útil para os interessados em aplicar os modelos
nas suas demandas por transformação digital (veja aqui).
Dada a diferença de cultura de gestão de riscos entre uma

unidade de pesquisa em uma empresa que deve seguir as normas
técnicas, é importante prever cláusulas contratuais a respeito da
segurança da informação para soluções propostas.
2.1.5 Contrato Público para Soluções Inovadoras
A Lei Complementar nº 182, de 1º de junho de 2021, visa atender uma demanda da

sociedade para facilitar a criação e o crescimento de startups no Brasil (disponível
aqui). A definição de startups e a regulamentação da criação de sandbox regulatório
são algumas das novidades trazidas por essa lei complementar. Entretanto, a
principal inovação no que diz respeito à transformação digital é a criação de uma
nova modalidade licitatória: o contrato público para soluções inovadoras.
Agora, cabe à administração pública apresentar a demanda que necessita de uma

solução inovadora e chamar empresas para apresentar propostas. Nessa primeira
fase, a administração pública pode escolher mais de uma solução a ser testada,
sem obrigação de um contrato de fornecimento. Com isso, o inovador pode
utilizar recursos públicos para desenvolver sua solução, compartilhando riscos
com a administração pública sem ter que empregar capital de giro próprio ou
emprestado do sistema financeiro. Caso a solução se mostre vantajosa, é possível
que a administração pública contrate o inovador para entregar o bem ou serviço, via
contrato de fornecimento.

62
Apesar de trazer as mais recentes evoluções no que se refere
a contratações públicas, esse modelo ainda tem sido pouco
utilizado, o que pode trazer um pouco de insegurança jurídica
para o administrador público. Contudo, o Tribunal de Contas da
União, para clarificar os conceitos e facilitar a utilização dessa
nova forma de contratação, tem explorado o tema e elaborou
um documento onde é possível saber mais sobre o assunto
(disponível aqui).
conteúdo e se aprofunde nos temas propostos. Até a próxima!

63
Referências
BRASIL. Decreto nº 9.283, de 7 de fevereiro de 2018. Regulamenta a Lei nº 10.973,

de 2 de dezembro de 2004, a Lei nº 13.243, de 11 de janeiro de 2016, o art. 24, § 3º,
e o art. 32, § 7º, da Lei nº 8.666, de 21 de junho de 1993, o art. 1º da Lei nº 8.010,
de 29 de março de 1990, e o art. 2º, caput, inciso I, alínea "g", da Lei nº 8.032, de
12 de abril de 1990, e altera o Decreto nº 6.759, de 5 de fevereiro de 2009, para
estabelecer medidas de incentivo à inovação e à pesquisa científica e tecnológica no
ambiente produtivo, com vistas à capacitação tecnológica, ao alcance da autonomia
tecnológica e ao desenvolvimento do sistema produtivo nacional e regional. Brasília,
DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/
ccivil_03/_ato2015-2018/2018/decreto/d9283.htm. Acesso em: 12 jan. 2023.
BRASIL. Lei nº 13.243, de 11 de janeiro de 2016. Dispõe sobre estímulos ao

desenvolvimento científico, à pesquisa, à capacitação científica e tecnológica e à
inovação e altera a Lei nº 10.973, de 2 de dezembro de 2004, a Lei nº 6.815, de 19
de agosto de 1980, a Lei nº 8.666, de 21 de junho de 1993, a Lei nº 12.462, de 4 de
agosto de 2011, a Lei nº 8.745, de 9 de dezembro de 1993, a Lei nº 8.958, de 20
de dezembro de 1994, a Lei nº 8.010, de 29 de março de 1990, a Lei nº 8.032, de
12 de abril de 1990, e a Lei nº 12.772, de 28 de dezembro de 2012, nos termos da
Emenda Constitucional nº 85, de 26 de fevereiro de 2015. Brasília, DF: Presidência
da República, 2016. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2016/Lei/L13243.htm. Acesso em: 12 jan. 2023.
BRASIL. Lei Complementar nº 182, de 1º de junho de 2021. Institui o marco legal

das startups e do empreendedorismo inovador; e altera a Lei nº 6.404, de 15 de
dezembro de 1976, e a Lei Complementar nº 123, de 14 de dezembro de 2006.
Brasília, DF: Presidência da República, 2021. Disponível em: https://www.planalto.
gov.br/ccivil_03/leis/lcp/Lcp182.htm. Acesso em: 12 jan. 2023.
FASSIO, Rafael Carvalho de, et al. Guia de Alternativas Jurídicas e de boas práticas
para contratações de inovação no Brasil. Washington: BID. Disponível em:
https://publications.iadb.org/publications/portuguese/document/Contratacoes-de-
inovacao-guia-de-alternativas-juridicas-e-de-boas-praticas-para-contratacoes-de-
inovacao-no-Brasil.pdf. Acesso em: 12 jan. 2023.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Encomenda Tecnológica (ETEC). Brasília:

TCU, 2021. Disponível em: https://portal.tcu.gov.br/encomenda-tecnologica-etec.
htm. Acesso em: 12 jan. 2023.
SILVA, Francisco Eronildo da; PINTO, Aurílio Guimarães; RIBEIRO, Dallas dos Santos.
Contratação Fiscalização e gestão de serviços de TI no âmbito da Administração
Pública Federal. 1ed. Porto Alegre: PLUS/Simplíssimo, 2019

64
Unidade 3: Pontos de Atenção no Desenvolvimento de
Soluções Digitais
Ao fim desta unidade, você será capaz de determinar pontos de atenção em diferentes
fases de um processo de desenvolvimento de solução digital.
3.1 As Diferenças no Desenvolvimento de Soluções no Método

Tradicional e Ágil
O processo de desenvolvimento de soluções tradicional envolvia um planejamento

amplo e completo de todas as fases do projeto. A ideia envolvida aqui era chamada
de cascata, em que após cada fase completa haveria o transbordamento para a fase
seguinte. Na primeira fase, os requisitos e o escopo eram encontrados para dar início
à segunda fase de análise do problema que, após finalizada, gerava a terceira fase de
desenho conceitual da solução apresentada para, no momento seguinte, iniciar a fase
de codificação, que é seguida pela fase de testes, terminando pela operação do novo
software, conforme figura abaixo.
Modelo Waterfall.
Esse modelo funciona muito bem quando o escopo é bem definido, quando a
necessidade é clara, os recursos necessários em cada fase podem ser planejados e
estarão disponíveis. O problema é que, muitas vezes, não se tem a clareza do valor
do produto que se quer entregar.

65
Esse empecilho de inadequação dos modelos para os problemas que foi preciso
enfrentar levou uma série de autores a repensar o modo como se estavam
enfrentando esses desafios. Este modo alternativo de pensar ficou conhecido como
movimento ágil, cujo manifesto é bem conciso e digno de leitura detalhada.
Manifesto para Desenvolvimento Ágil de Software
Estamos descobrindo maneiras melhores de desenvolver software, fazendo-o

nós mesmos e ajudando outros a fazerem o mesmo. Através deste trabalho,
passamos a valorizar:
• Indivíduos e interações mais que processos e ferramentas;
• Software em funcionamento mais que documentação

abrangente;
• Colaboração com o cliente mais que negociação de contratos;
• Responder a mudanças mais que seguir um plano.
O Manifesto original traduzido pode ser lido na página Agile

Manifesto (clique aqui).
Metodologia Scrum
O Scrum foi criado por Ken Schwaber e Jeff Sutherland e tem muitas ferramentas
interessantes que podem ser úteis em vários setores da vida das pessoas, e
não apenas no desenvolvimento de soluções digitais. Veja a seguir as principais
definições utilizadas no Scrum:

66
Sprint
Ciclos de inspeção e adaptação com foco na mentalidade de
aprendizado e teste. As tarefas são divididas para serem realizadas
em uma a duas semanas.
Artefatos
Backlog do produto (lista de desejos para o produto), backlog da sprint
(divisão das tarefas a serem realizadas na sprint atual) e incremento do
produto (entregas intermediárias agrupadas para atender o cliente).
Eventos
Divisão das tarefas de gestão em equipe em momentos isolados e
controlados: planejamento da sprint, reunião diária, revisão da sprint
e retrospectiva da sprint.
Equipe
Composta por um dono do produto (que representa o usuário),
Scrum master (guardião da metodologia), especialistas das áreas
(programadores e analistas que conhecem bem as regras de negócio).
Time-box
Estabelecimento de janelas de tempo máxima para os eventos Scrum.
Na videoaula a seguir, você irá conhecer mais de perto como é um framework Scrum.
Videoaula: Framework Scrum
Se interessou pelo método Scrum? O curso Scrum no Contexto do

Serviço Público, ofertado pela Enap, é uma ótima dica!

67
Mais uma vez você verá na figura a seguir a importância de se manter um backlog
de desejos bem-organizado.
Framework Scrum.
Fonte: Scrum.org (2000). Elaboração: CEPED/UFSC (2023)
Quer ver uma boa maneira de lidar com o backlog? Use um mapa Kanban (to do –
doin - done). Veja a figura abaixo que ilustra:
Kanban de acompanhamento de projeto.


68
Para você conhecer mais detalhes, o guia definitivo, elaborado
pelos criadores do método, apresenta detalhes das regras do
jogo do Scrum (disponível aqui).
Não existe um método correto e outro errado. Ambos os métodos

foram desenvolvidos para resolver problemas específicos. Em
linhas gerais, é o fato de o escopo estar definido ou não que leva
o time de projeto a decidir por uma outra abordagem.
O método tradicional consome mais recursos no planejamento

e leva mais tempo para apresentar resultados tangíveis, mas
o método ágil não tem como apresentar no início do projeto o
total de tempo e recursos que o projeto irá demandar, gerando
um incomodo que pode levar o administrador a não autorizar o
projeto.
3.2 Roadmap de Desenvolvimento de Soluções Digitais

Independente da metodologia escolhida, alguns processos e documentos ainda
precisam ser gerados de modo a embasar a ação pública, bem como criar um histórico
para facilitar a manutenção da solução no futuro.
3.2.1 Análise e Planejamento
Nenhuma ação ou atividade pública pode começar sem estar devidamente motivada,
ou seja, deve haver um processo administrativo listando as razões que levaram o
administrador público a autorizar o dispêndio de recursos públicos com a projeto
em questão. No direito administrativo, explicita-se que o administrador deva atestar
no processo que a ação tomada é a mais conveniente e o momento é oportuno.
O porquê de o projeto estar sendo desenvolvido, qual finalidade se almeja

alcançar, quem são os responsáveis pela execução do projeto, quais recursos serão
despendidos e como será a forma de contratação devem constar no planejamento.

69
Uma peculiaridade de projetos de TI é que o Plano Diretor
de Tecnologia da Informação e Comunicação deve prever a
contratação, além de outras obrigações listadas na Instrução
Normativa SGD/ME nº 1, de 4 de abril de 2019.
Além das notas técnicas que compõem o projeto apresentado nos formatos
padronizados por cada órgão ou entidade, é importante constar um documento
mais sintético e visual para gerar engajamento na equipe.
Veja a comparação entre um documento de visão de um projeto Scrum e Termo de

Abertura de Projeto - Project Charter PMBOK (2021).
Comparação Documento Visão do Projeto e Termo de Abertura de Projeto.


70
3.2.2 Design
Durante esta fase, os bancos de dados que serão construídos ou acessados/

estudados e suas relações devem ser apresentadas graficamente. Além disso, o
fluxo de informações no software também é estudado e representado. O algoritmo,
o modelo de solução, nesse momento pode ser apresentado graficamente de modo
que toda equipe possa construir propostas de melhorias.
É importante pensar na experiência, qual será a interface que o usuário irá se

relacionar e quais são seus passos (cliques) dentro do software. Nesse contexto, um
mockup apresentando o layout da solução é um importante ponto de partida para a
equipe de desenvolvimento e apresenta uma importante possibilidade de interação
inicial com o usuário ou dono do produto de uma equipe Scrum para alinhamento
de expectativas e coleta de impressões e necessidade de requerimentos adicionais.
Embora o SEI! Não tenha sido projetado para ser um repositório

para o desenvolvimento de softwares, ele é ótimo para manter
o histórico administrativo. Portanto, é importante subir no
processo base as imagens e os arquivos gerados também durante
a fase do design.
3.2.3 Desenvolvimento
Nesta fase, o processo de codificação começa. É aqui que os requisitos e as

funcionalidades desejadas para o software serão desenvolvidos pela equipe de
programação.
Um importante ponto de atenção à segurança da informação

nessa fase de desenvolvimento é a criação de personas para
representação dos usuários e de dados simulados para evitar o
vazamento de dados pessoais sensíveis, pois muito dessa fase
acontece em computadores dos próprios programadores.

71
3.2.4 Qualidade e Teste
Por muitos chamado de ambiente de homologação, nesta fase o software é testado

para verificar se está funcionando como desejado.
Muitas das propostas de testes de vulnerabilidade ou tentativa

de invasão realizadas pela equipe vermelha podem ser feitas aqui
e a falha pode ser corrigida pelos desenvolvedores antes mesmo
da disponibilização do software no ambiente de produção.
3.2.5 Entregas Intermediárias
Seja utilizando estratégias de desenvolvimento ágil ou do planejamento de adicional,

entregas intermediárias devem ocorrer. Elas são importantes para interação com os
usuários, bem como para manutenção do apoio do patrocinador do projeto.
Eventuais necessidades de remanejamento de recursos, inclusão

de funcionalidades ou ampliação de escopos podem surgir nesta
fase. Então é importante que a equipe esteja atenta à necessidade
de registrar esses eventos e atualizações nos documentos
correspondentes das fases anteriores.
3.2.6 Documentação
Elaboração de manual para os usuários, para equipe de manutenção, para os

operadores da política pública, entre outros. Neste momento, é importante registrar
em formato de texto, com muitas fotos, as funcionalidades do sistema, de modo que
a equipe de desenvolvimento registre todo o necessário para que as equipes técnicas
deem continuidade às operações sem depender dos desenvolvedores iniciais, que
podem ser desligados do projeto sem prejuízo à continuidade das operações.

72
3.2.7 Manutenção
Por mais robusto que tenha sido o planejamento e mesmo a gestão de riscos
no desenvolvimento do software, é impossível que seu software não precise de
manutenção, pois a todo momento a comunidade de programadores e empresas
do setor oferecem novas bibliotecas e atualizações, muitas de segurança.
Se as fases anteriores, de documentação, de design e de

planejamento, foram bem documentadas e registradas no
sistema de informação perene, o processo de manutenção é
facilitado, pois a equipe que cuida da atividade vigente tem todas
as informações para tomar decisões e trabalhar na atualização e
manutenção dos softwares em operação.
3.2.8 Reporting
Registro do andamento do projeto, das dificuldades encontradas, das lições

aprendidas, dos eventos de manutenção e dos dados da utilização pelo usuário. Aqui
é o momento de consolidar a experiência com o desenvolvimento do projeto, de
maneira a melhorar a capacidade de aprendizagem organizacional. É o instrumento
base que vai servir para análise do impacto da política pública, pois neste documento
pode se ter uma visão de como o software está sendo utilizado.
Até a próxima!

73
Referências
BRASIL. Medida Provisória nº 2.200-2, de 24 de agosto de 2001. Brasília, DF:

Presidência da República, 2001. Disponível em: https://www.planalto.gov.br/
ccivil_03/mpv/antigas_2001/2200-2.htm. Acesso em: 12 jan. 2023.
BRASIL. Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019. Brasília, DF:

Ministério da Economia, 2019. Disponível em: https://www.gov.br/governodigital/pt-
br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019. Acesso
em: 12 jan. 2023.
PROJECT MANAGEMENT INSITUTE (Pennsylvania). PMBOK Guide: a guide to the

project management body of knowledge. 7. ed. Pennsylvania: PMI, 2021.
SUTHERLAND, Jeff. SCRUM: a arte de fazer o dobro do trabalho na metade do tempo.

Rio de Janeiro: Sextante, 2019.
SUTHERLAND, Jeff; SCHWABER, Ken. Scrum.org. 2000. Disponível em: https://www.

scrum.org/. Acesso em: 12 jan. 2023.

74
Unidade 4: Como Ocorrem os Ataques e Como se Defender
Deles?
Ao fim desta unidade, você será capaz de esclarecer sobre os mecanismos de ataques
cibernéticos e sua defesa e sobre os principais modos prevenção a ataques.
4.1 Alguns Tipos de Ataques Cibernéticos
Como já foi abordado que os ataques cibernéticos evoluem continuamente e, embora

existam repositórios, exemplos, blogs e produções acadêmicas mostrando como
esses ataques ocorrem e como se defender, essa é uma tarefa continua que exige
atualização contínua.
Um dos primeiros ataques cibernéticos impulsionado pela capacidade de

processamento é o ataque de força bruta. Nesse tipo de ataque o computador
testa várias senhas até descobrir a senha do usuário. É por isso que muitos
sites exigem uma série de regras, fixando um tamanho mínimo, com o uso de
letras maiúsculas e minúsculas, números e caracteres especiais.
Se você quiser colocar a mão na massa e brincar de hackear um

site usando força bruta é recomendado o site “tryhackme.com”
com um sistema bem intuitivo e didático (disponível aqui).
A força bruta ainda funciona em muitos sistemas, mas a complexidade dos

algoritmos tem feito com que o tempo necessário para quebrar o código seja de
milhões de anos. Porém, com a computação quântica, novas soluções terão que ser
implementadas.

75
Agora, um exemplo que está em desuso é a injeção de código.
Antigamente os formulários não se protegiam para permitir
apenas a entrada de texto e, com isso, códigos mal-intencionados
eram introduzidos para pular a verificação de senha (adicionando-
se caracteres que indicavam que a próxima linha era apenas um
comentário do programador) ou introduzindo num campo de
busca algum código SQL (para leitura, alteração ou exclusão de
todo o banco de dados).
Você quer conhecer alguns outros tipos de ataques? Continue a leitura!
4.1.1 O que é Phishing?
Phishing é um crime cibernético no qual um ou mais alvos são contatados por

e-mail, telefone ou mensagem de texto por alguém que se passa por uma instituição
legítima para atrair indivíduos para fornecer dados confidenciais, como informações
pessoalmente identificáveis, detalhes bancários, de cartão de crédito e senhas.
Atualmente, essa técnica se vale de redes sociais e outros meios de comunicação

eletrônica além dos e-mails, como mensagens enviadas diretamente por redes
sociais ou aplicativos de mensagens de texto, como o WhatsApp. É comum que os
criminosos se utilizem das próprias redes sociais para coletar informações sobre o
histórico pessoal, de trabalho, lazer e outros possíveis interesses da vítima. Redes
como o Instagram, LinkedIn, Facebook e Twitter podem auxiliar na criação de um
nicho específico que irá atrair a atenção da vítima.
Phishing.

76
Este tipo de prática é popular entre os cibercriminosos, pois é bem mais fácil enganar
alguém para clicar em um link malicioso em um e-mail de phishing aparentemente
legítimo do que quebrar as defesas de um computador. O phishing coopta a vítima
a participar do esquema, a partir do momento que o usuário clica no link, deixando
suas informações vulneráveis.
As informações são então usadas para acessar contas importantes e podem resultar
em roubo de identidade e perda financeira.
4.1.2 Conhecendo os Malwares
Malware, ou "software malicioso", é um termo amplo que se refere a todos os tipos

de programas projetados para executar ações prejudiciais ou indesejáveis em um
sistema. Esses incluem vírus de computador, worms, trojans, ransomware, spyware e
muitas outras pragas digitais.
O malware busca invadir, danificar ou desativar computadores,

sistemas de computador, redes, tablets e dispositivos móveis,
muitas vezes tomando controle parcial sobre as operações de um
dispositivo. Semelhante a uma gripe humana, ele interfere no
funcionamento normal dos dispositivos e pode causar diversos
tipos de problemas no “sistema imunológico” do infectado.
Normalmente, os cibercriminosos usam essas ferramentas maliciosas para acessar

dados confidenciais, extorquir ou simplesmente causar o máximo de danos possível
ao sistema afetado. Na maioria das vezes, o malware está sendo espalhado pela
internet. Os invasores usam e-mails de spam com anexos de arquivos infectados ou
sites manipulados para distribuir malware.
Embora o malware não possa danificar o hardware físico de sistemas ou equipamentos

de rede, ele pode roubar, criptografar ou excluir seus dados, alterar ou sequestrar
funções principais do computador e espionar a atividade do computador sem o seu
conhecimento ou permissão.
O malware afeta tanto usuários privados quanto profissionais de todos os setores

e tamanhos da empresa, assim como instituições sem fins lucrativos, órgãos e
entidades públicos.

77
4.1.3 Os Tipos de Ataques de Engenharia Social
Para conhecer esses tipos de ataques, veja a história a seguir:
Comparação a ataques de engenharia social.

Uma senhora idosa que vivia sozinha ouviu a campainha e foi atender. Era uma
vizinha da mesma rua, trazendo uma pessoa que a estava procurando e parece
que tinha alguma oferta de emprego de cuidadora que essa pessoa procurava. A
pessoa pediu para tomar um café e elas ficaram conversando. Após muita conversa,
em que a senhora falou dos filhos que a mulher disse que conhecia, a mulher
pediu para testar uma roupa nova que havia acabado de comprar. A senhora
prontamente lhe ofereceu o banheiro para que testasse a nova roupa e continuou
esperando na cozinha. A mulher voltou e perguntou se a roupa havia ficado boa,
mas recebeu uma ligação e logo chamou um mototáxi que estava passando na rua
com pressa e foi embora. Somente depois a senhora idosa percebeu que tinham
levado seu dinheiro, os cartões da aposentadoria e a sensação de senhora que
vivia em um bairro seguro.
Essa história pode ser utilizada como paralelo a um ataque de engenharia social.
Agora que você já sabe que é uma história de furto, consegue reler o parágrafo
anterior e perceber como se deu o golpe?
Sabendo que, se procurasse diretamente a senhora, a porta não seria aberta, a

mulher então atacou uma vizinha que tinha “credencial” para entrar em contato

78
com a vítima. A vizinha estava na melhor das intenções, pois a mulher alegou que
estava procurando emprego para ajudar uma idosa que vivia sozinha. Uma vez
dentro do sistema, não havia compartimentalização, ou seja, uma vez que a pessoa
entrou em casa, ela teve acesso a todos os cômodos e não apenas ao cômodo com
a funcionalidade que ela solicitou.
Com uma pesquisa rápida na internet, hoje é possível saber nome dos familiares,
onde moram, gostos e interesses. E isso pode ser usado para uma aproximação,
convivência e criação de “coincidências” nas histórias para gerar confiança e, com
isso, descobrir senhas.
As senhas podem ser passadas diretamente para poupar

autoridades de tarefas, como assinaturas repetitivas, ou pode
ser para acessar um outro serviço de filmes online, onde a pessoa
usa a mesma senha do trabalho. Noutro extremo, a senha pode
nunca ser passada, mas a pessoa fica de olho no teclado e tenta
adivinhar as teclas clicadas ou mesmo pega um papel com a
senha colado no monitor ou rasgado no lixo.
4.1.4 Como Reconhecer Ataques de Negação de Serviço (Denial-of-Service)
Um ataque de Negação de Serviço (DoS) é um ataque destinado a desligar uma

máquina ou rede, tornando-a inacessível aos seus usuários. Os ataques de DoS
realizam isso inundando o alvo com o tráfego ou enviando-o informações que
desencadeiam um acidente. Em ambos os casos o ataque do DoS priva os usuários
legítimos (ou seja, funcionários, membros ou titulares de contas) do serviço ou
recurso que eles esperavam.
As vítimas de ataques do DoS geralmente têm como alvo servidores

web de organizações de alto perfil, como empresas bancárias,
comerciais e de mídia, ou organizações governamentais e
comerciais. Embora os ataques do DoS não resultem normalmente
no roubo ou perda de informações significativas ou outros ativos,
eles podem custar à vítima uma grande quantidade de tempo e
dinheiro para lidar.

79
Esse tipo de ataque atrai muita a atenção da equipe de TI e muitas vezes é utilizado
como nuvem de fumaça para que outros tipos de ataques ocorram no sistema.
As violações de dados podem atingir uma empresa específica ou uma série de

empresas ao mesmo tempo. Uma empresa com protocolos de alta segurança em
vigor pode ser atacada por um membro de sua cadeia de suprimentos que tem
medidas de segurança inadequadas. Quando várias empresas foram selecionadas
para um ataque, os criminosos podem usar uma abordagem DoS.
4.2 Alguns Modos de Prevenção a Ataques Cibernéticos
Quando se fala nos ataques, com toda sua complexidade e genialidade dos
cibercriminosos, as pessoas costumam se sentir indefesas, mas existem muitas
estratégias de defesa que devem ser conhecidas e aplicadas para garantir a proteção
delas e das instituições.
4.2.1 O Uso da Criptografia na Prevenção de Ataques Cibernéticos
A criptografia é baseada na necessidade de se ter confidencialidade, integridade

(garantia de que o conteúdo aparente é o conteúdo real da mensagem) e
disponibilidade da informação.
Como o objetivo da criptografia é ser uma mensagem passada de

um remetente para um destinatário, é importante garantir que o
remetente aparente seja o remetente real (autenticidade) e que
o destinatário aparente é o destinatário real (sigilo). Por fim, a
criptografia é a base da assinatura digital e, com isso, é possível
que o documento tenha força probatória, conforme a Medida
Provisória nº 2.200-2 que institui a ICP-Brasil, órgão que garante a
validade jurídica de aplicações que utilizem certificados digitais
e transações e documentos em forma eletrônica.
A criptografia e a história da segurança da informação mostram como os métodos

são criados, brechas são descobertas e novos métodos evoluem, num ciclo sem fim.

80
A cifra de César, criada pelo Júlio Cesar
Este algoritmo consiste em substituir cada uma das letras do

alfabeto por aquela localizada um número de “x” posições na sua
frente, sendo “x” a chave criptográfica.
Por exemplo, quando x for 4 tem-se:
Texto inicial: a b c d e f g h i j k l m n o p q r s t u v w x y z
Texto cifrado: e f g h i j k l m n o p q r s t u v w x y z a b c d
Assim, a expressão “cuide de suas senhas” ficaria cifrada

como “gyeza za oqwo oajdwo” e a chave para criptografar e
descriptografar seria 4 (chave simétrica).
Como a linguagem utilizada na mensagem original é reconhecida

e existem poucas chaves possíveis (25 chaves), esse algoritmo é
extremamente suscetível ao ataque de força bruta.
Para tentar endereçar esses problemas, foi criada a criptografia assimétrica, que
consiste em uma chave pública e privada do destinatário. Com a chave pública é
possível apenas criptografar a mensagem que pode ser enviada pelo canal inseguro.
Para que o destinatário leia a mensagem, ele deve descriptografar a mensagem
usando sua chave privada.
Criptografia Assimétrica.
Fonte: Seffrin (2019). Elaboração: CEPED/UFSC (2023).

81
O processo de assinatura digital utiliza da chave pública e privada de forma inversa.
Portanto, o emissor usa uma chave privada para encriptar a mensagem e a chave
pública é utilizada pelo destinatário para descriptografar a mensagem.
Assinatura Digital.
Fonte: Seffrin (2019). Elaboração: CEPED/UFSC (2023).
Função hash
Um último conceito que vale conhecer numa abordagem introdutória de criptografia

é a função hash, que transforma a frase de entrada em um bloco com um número
fixo de caracteres. Assim, a frase de entrada é processada no algoritmo que possui
algumas especificidades: uma pequena mudança no input produz uma grande
mudança nos caracteres contidos na saída e é extremamente difícil, a partir da
saída, descobrir qual foi a frase original, mas a transformação da frase original para
a frase cifrada tem que ser fácil e com uso de poucos recursos computacionais.
Essa função tem muitos usos, mas é importante citar que os

sites e sistemas com senha não deveriam armazenar a senha
do usuário, mas sim o resultado da função hash, pois, caso haja
algum vazamento, não é possível descobrir a senha dos usuários
(que costumam ignorar boas práticas e repetir senha em vários
sites e sistemas diferentes).

82
A criptografia conhecida deve mudar quando a computação quântica começar a
funcionar numa escala comercial para além do que ocorre hoje, em que é usada
apenas em laboratórios de testes.
4.2.2 Segurança em Nuvem
Alternativa para servidores físicos com manutenção, segurança física, contratos de

energia e aluguel é contratar o serviço de nuvem em que um contrato já prevê regras
de uso e formas de pagamento, mas garante também uma série de funcionalidades
de segurança e monitoramento já embutidos.
Segurança na nuvem.
Fonte: Freepik (2023)
A segurança na nuvem é uma coleção de procedimentos e tecnologias projetadas para

lidar com ameaças externas e internas à segurança dos negócios. As organizações
precisam de segurança na nuvem à medida que se movem em direção à sua
estratégia de transformação digital e incorporam ferramentas e serviços baseados
em nuvem como parte de sua infraestrutura.
Essas medidas garantem a autenticação do usuário e do dispositivo, controle de

acesso a dados e recursos e proteção à privacidade de dados. Eles também apoiam
a conformidade de dados regulatórios. A segurança na nuvem é empregada para
proteger os dados de uma empresa contra ataques de negação distribuída de serviço
(DDoS), malware, hackers e acesso ou uso de usuários não autorizados.

83
Os termos “transformação digital” e “migração em nuvem” têm
sido usados regularmente em ambientes corporativos nos últimos
anos. Embora ambas as frases possam significar coisas diferentes
para diferentes organizações, cada uma é impulsionada por um
denominador comum: a necessidade de mudança.
À medida que as empresas abraçam esses conceitos e caminham para otimizar

sua abordagem operacional, novos desafios surgem ao equilibrar os níveis de
produtividade e segurança. Embora tecnologias mais modernas ajudem as
organizações a avançar em recursos fora dos limites da infraestrutura local, a
transição, principalmente para ambientes baseados em nuvem, pode ter várias
implicações se não for feita com segurança.
Atingir o equilíbrio certo requer uma compreensão de como as empresas

modernas podem se beneficiar do uso de tecnologias de nuvem interconectadas
enquanto implantam as melhores práticas de segurança na nuvem, substituindo
gradativamente os servidores e centros de processamento de dados locais.
4.2.3 A Colaboração da Comunidade Open Web Application Security Project

(OWASP)
Particularmente no ambiente de desenvolvimento de software e de segurança

da informação, a colaboração da comunidade tem sido um grande fator para a
melhoria da segurança. Por meio de blogs, podcasts, vídeos e compartilhamento
de códigos, a comunidade tem apoiado o contínuo desenvolvimento da segurança
da informação, detectando novas vulnerabilidades e divulgando a informação para
facilitar a prevenção de todos.
Derivado dessa filosofia, é importante citar a fundação sem fins lucrativos Open Web
Application Security Project® (OWASP), que possui muitos materiais interessantes e
que valem a pena ser conferidos para quem quiser se aprofundar no tema.
A evolução dos top 10 riscos de segurança em aplicações web mostra como o

WhatsApp vem atualizando nomenclaturas, categorias e escopos para se manter
atualizado com as ameaças existentes e as necessidades da comunidade.

84
Evolução dos Riscos de Segurança em Aplicações Web.
Fonte: OWASP (2021). Elaboração: CEPED/UFSC (2023).
4.2.4 Os Cuidados com a Segurança em Plataformas Móveis (Mobile

Platforms)
Quando se fala em plataformas mobile, o desenho do banco de dados e algoritmos

base também são os mesmos utilizados na plataforma web convencional, que é o
que se chama de backend.
A diferença nas plataformas móveis fica por conta da programação para visualização
do usuário que é o que se chama de frontend. Assim, ter um site seguro seguindo
as melhores práticas não implica necessariamente que a versão mobile, app, tem
o mesmo nível de segurança. Afinal, muitos dos roubos de informações e senhas
podem ocorrer por códigos maliciosos no frontend.
Em linhas gerais, quando se publica um aplicativo na Play

Store ou na App Store, as empresas fazem uma verificação de
segurança para garantir um relativo conforto ao usuário. Mas
as atualizações nem sempre passam pelo mesmo crivo, então
é normal ver essas empresas excluindo aplicativos que foram
denunciados por vulnerabilidades ou falha de segurança graves.

85
Assim, é importante ter um antivírus funcionando também no celular e nunca
instalar um aplicativo baixado diretamente da internet, pois sem o árduo trabalho de
engenharia reversa é difícil garantir que o aplicativo irá cumprir apenas as funções
esperadas.
4.3 Boas Práticas na Segurança da Informação
Qualquer tipo de ataque, seja por phishing ou tipos de malware não funcionariam sem
o ingrediente mais importante: você. Ou seja, uma versão crédula de você, que está
disposta a abrir um anexo de e-mail que você não reconhece, ou clicar e instalar algo
de uma fonte não confiável.
Até mesmo quando se instala algo de uma fonte confiável, é preciso atenção à
solicitação de permissão, pois é comum que muitos softwares venham com extensões
que o usuário não deseja. Estas extensões, por vezes, são apresentadas como um
componente necessário, o que em muitos casos não é.
Além disso, conforme já informado, é importante:
• Evitar o uso de senhas simples ou repetidas, não compartilhar senhas;
• Baixar programas e apps fora das plataformas originais;
• Utilizar antivírus e firewalls;
• Estar sempre se atualizando sobre os riscos e como se prevenir de

ataques cibernéticos.
4.3.1 Definição de Papéis e Responsabilidades
É sempre bom repetir, a segurança da informação é responsabilidade de todos:

usuários, técnicos, gestores e alta administração. Todavia, o conhecimento popular
de que um cachorro com dois donos morre de fome também deve ser lembrado.
Quando se está pensando em diretrizes e políticas para a segurança da informação
é importante a atribuição de responsabilidades e a separação de papéis.

86
Também derivado do princípio de confiança zero, a atribuição
de papéis é importante para que as autorizações de acesso ao
sistema sejam exatamente o mínimo necessário que a pessoa
possa executar o seu papel. Com isso, evita-se a criação de
sistemas simples com dois perfis de usuário que apenas utilizam
o sistema no modo leitura e de administradores que podem tudo,
inclusive incluir, alterar ou apagar informações, banco de dados
ou todo sistema.
Assim, uma boa prática é que sistemas críticos e funções muito importantes, como
apagar o sistema ou excluir um banco de dados completo, não devem estar sob
responsabilidade de uma única pessoa (com única senha).
Assista a videoaula a seguir, na qual você irá aprender um pouco mais sobre definição
de papéis e responsabilidades.
Videoaula: Papeis e Responsabilidades na Segurança da Informação
Os tipos de ataques são vários e estão em constante criação e

atualização. Por isso, quem quiser se aprofundar e se manter
atualizado sempre vai encontrar novidades. Uma base de
conhecimento de técnicas reais utilizadas para o desenvolvimento
de soluções para defesa é a MITRE ATT&CK (disponível aqui).

87
Referências
BRASIL. Decreto-Lei 2.848, de 07 de dezembro de 1940. Código Penal. Brasília,

ccivil_03/decreto-lei/del2848.htm. Acesso em: 13 jan. 2023.
BRASIL. Decreto-Lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal.

Brasília, DF: Presidência da República, 1941. Disponível em: https://www.planalto.
gov.br/ccivil_03/decreto-lei/del3689.htm. Acesso em: 13 jan. 2023.
BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília,

ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 13 jan. 2023.
BRASIL. Lei nº 12.737 de 30 de novembro de 2012, Dispõe sobre a tipificação

criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de
1940 - Código Penal; e dá outras providências. Brasília, DF: Presidência da República,
2012. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/
l12737.htm. Acesso em: 13 jan. 2023.

MITRE. Att&ck. [S. d.]. Disponível em: https://attack.mitre.org/. Acesso em: 13 jan.
2023.
OPEN Web Application Security Project (OWASP). OWASP. [S.d.]. Disponível em:
https://owasp.org/. Acesso em: 13 jan. 2023.
PIETRO, Manuel J. Historia de la criptografía, Cifras, códigos y secretos desde la

antigua Grecia a la Guerra Fría. Madri: La esfera de los libros, 2020
SEFFRIN, Henrique. Descomplicando o Bitcoin: Criptografia. Medium, [s. l.], 2019.

Disponível em: https://medium.com/fs-dev/descomplicando-o-bitcoin-criptografia-
f457f4c2f37a. Acesso em: 13 jan. 2023.
WENDT, Emerson; JORGE, Higor Vinicius Nogueira. Crimes cibernéticos: ameaças e

procedimentos de investigação. 2. ed. Rio de Janeiro: Brasport, 2013.

88
Módulo
4 Tratamento de Incidentes
Muito se falou em prevenção, mas neste módulo será abordado o que fazer quando
o acidente já ocorreu. O começo do tratamento de um incidente deve começar muito
antes dele existir. Neste módulo será discutido o que fazer quando um incidente
ocorre e como é feita a investigação.
Unidade 1: O Que Fazer Quando um Incidente Ocorre?
Ao fim desta unidade você será capaz de esclarecer sobre o fluxo dos processos e
procedimentos de gestão de incidentes.
1.1 O Que é um Incidente?
Para iniciar o estudo neste tema, veja as diferenças entre os termos incidente e
acidente:
Incidente
Pode ser definido como uma ocorrência, condição ou situação
decorrente do curso do trabalho que resultou ou pode ter resultado
em algum tipo de dano.
Acidente
Também é muito utilizado e pode ser definido como um evento não
planejado que interrompe a conclusão de uma atividade, que pode
incluir lesões ou danos materiais.

89
Porém, existe uma distinção simples entre acidente e incidente. Incidente refere-se
a um evento inesperado que não causou ferimentos ou danos, mas tinha o potencial
de causá-los. A ocorrência fica no campo do “e se” e a sua mera observação já
consegue demonstrar o tipo de danos que surgiriam caso ele tivesse ocorrido de
fato. Na vida cotidiana, as pessoas se deparam com dezenas de situações como
essa, em que “quase” acontece um acidente. Medidas precisam ser tomadas e a
atenção deve se voltar a pequenos detalhes para auxiliar a manter esses incidentes
sem maiores danos.
Um incidente pode vir a ser um acidente, caso medidas

não sejam tomadas. Desse modo, a grande diferença entre
acidente e incidente é o dano. No incidente, o fato inesperado
e potencialmente perigoso acontece, mas em razão de alguma
circunstância favorável naquele momento, ele não causa danos.
Já no acidente o dano acontece, o que gera perdas.
1.2 A Importância da Comunicação de Incidentes
Na videoaula a seguir, você verá a importância da comunicação de incidentes.
Videoaula: Importância da Comunicação de Incidentes
1.3 O Fluxo dos Processos e dos Procedimentos de Gestão de Incidentes
Quando um incidente ocorre, o primeiro procedimento é a comunicação para todas as

partes interessadas: servidores e usuários. Mesmo que a extensão do incidente ainda
não esteja clara, é importante que as informações disponíveis sejam repassadas.
A questão de quais processos devem ser priorizados e quais processos podem ser
paralisados tem de estar previamente definida em documentos públicos gerados
após uma longa discussão de planejamento, conforme você verá a seguir.

90
1.4 A Necessidade do Plano Básico para Continuidade do Negócio
E o que fazer quando, apesar de todas as medidas, houve um

incidente e o sistema saiu do ar?
É isso que o plano básico para a continuidade de negócios

responde, esse documento representa um planejamento prévio
de que ações tomar para garantir que as principais operações da
empresa continuem podendo utilizar outras ferramentas, novos
processos e até mesmo operar em outro local físico ou virtual.
“Principais” é um termo chave aqui. Uma análise de risco anterior deve mostrar
quais são os processos mais críticos da organização, de maneira que eles devem
receber prioridade no restabelecimento das funções.
No momento de pânico e altas incertezas, ter um plano básico é importante para

que a equipe técnica tenha clareza de que passos deve tomar e não gaste tempo
discutindo o que é prioridade quando tudo está fora do ar.
O plano é um instrumento de gerenciamento de crises e, para tanto, a forma

de acionamento, as responsabilidades, as ações a serem tomadas, os serviços
críticos, ordem de recuperação das atividades e quais incidentes podem ocorrer
com consequências previstas são importantes de estarem escritas, formalmente
aprovadas e disponíveis para as equipes.
Para saber mais detalhes e adentrar na gestão da continuidade

dos negócios, é recomendável um estudo aprofundado da ISO
22301 (disponível aqui).

91
1.5 O Plano de Recuperação de Desastre
Também focado na recuperação das operações primárias, buscando a volta

das operações e reduzindo o tempo fora de operação, o Plano de Recuperação
de Desastres opera na recuperação enquanto o desastre acontece e foca no
reestabelecimento das operações normais do negócio.
Existem algumas métricas para definir se o Plano de Recuperação de Desastre está

adequado:
• Objetivo de Tempo de Recuperação (RTO – Recovery Time Objective):

Período necessário para executar a restauração do sistema, sem
comprometer a execução das operações e negócios;
• Objetivo do Ponto de Recuperação (RPO – Recovery Point Objective):

Período máximo para perda de dados tolerado em um desastre,
visando a recuperação dos dados por backup.
Saiba mais sobre o tema através do Centro de Estudos, Resposta

e Tratamento de Incidentes de Segurança (CERT.br) no Brasil, que
é mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, e
atende a qualquer rede brasileira conectada à Internet.
Existe vasto material no CERT.br, como estatísticas e cursos

(disponíveis aqui).
Até a próxima!

92
Referências
DANTA, Lígia. Tratamento e resposta a incidentes. São Paulo: SENAC, 2021.


93
Unidade 2: Investigação de Incidentes
Ao fim desta unidade, você será capaz de reconhecer o processo de investigação de

incidentes de crimes cibernéticos, como o processamento das ações judiciais e o trabalho
de perícia em computação forense.
Nesta unidade será analisado como o direito penal trata os crimes cibernéticos,
mostrando a importância de se manter a cadeia de custódia e auxiliar a perícia na
investigação dos crimes cibernéticos.
2.1 A Investigação de Crimes Cibernéticos
Legislação para crimes cibernéticos.

Muitos dos crimes cibernéticos são crimes comuns cometidos na internet, dos
quais se pode citar a calúnia (atribuir autoria de um fato criminoso - art. 138 do
Código Penal), difamação (atribuir fato ofensivo à reputação ou honra – art. 139 do
Código Penal), injúria (ofender a dignidade – art. 140), ameaça (ameaçar alguém
de causar-lhe mal injusto e grave – art. 147) ou falsa identidade (mentir sobre sua
identidade para obter vantagem indevida ou para causar dano a alguém - art. 307).
Nesses casos, os sistemas informáticos são apenas um meio e, por isso, a doutrina
os classifica como crimes informáticos impróprios.

94
Mas com a evolução da tecnologia e dos criminosos, crimes começaram a se
intensificar nos meios digitais e para combater isso foi criada lei específica para
tipificação de delitos informáticos, a Lei nº 12.737 de 30 de novembro de 2012,
conhecida com o Lei Carolina Dieckmann, prevendo crimes com invasão de
computadores, roubo de senhas, violação de dados do usuário e divulgação de
informações privadas. Nesses tem-se os exemplos de crimes informáticos próprios,
em que o próprio sistema de informática é o alvo da ação, e não apenas um meio.
No direito penal, a estrutura do crime é estabelecida em três pilares:
1. Tipicidade (fato deve estar previsto em lei, proibido o uso de

analogias ou extrapolações);
2. Ilicitude (ausência de excludente de ilicitude: estado de necessidade;

legítima defesa; estrito cumprimento do dever legal; e exercício
regular de direito);
3. Culpabilidade (imputabilidade; potencial consciência da ilicitude; e

exigibilidade de conduta diversa).
Como foi visto, a legislação tem se atualizado para prever os casos de crimes
cibernéticos, mas ainda cabe ao operador do direito provar que o ilícito previsto
ocorreu, quem foi o autor, determinar local do crime, entre outros.
Por isso o processamento de ações judiciais penais no caso de crimes cibernéticos

tem algumas peculiaridades que serão detalhados nos próximos tópicos.
2.2 Como Ocorre o Processamento das Ações Judiciais
O Código Civil, Lei nº 10.406, de 10 de janeiro de 2002, no Art. 212, inciso VI

afirma que o fato jurídico pode ser provado mediante perícia. No código
processual penal, Decreto-Lei nº 3.689, de 3 de outubro de 1941, os detalhes do
procedimento para perícia aparecem do art. 158 até o Art. 250. Não sendo o juiz
obrigado a entender a fundo todos os campos dos saberes técnico e científico,
ele pode se valer de peritos, que são profissionais especializados.

95
Um conceito muito importante é o de cadeia de custódia: o
conjunto de todos os procedimentos utilizados para manter e
documentar a história cronológica do vestígio coletado em locais
ou em vítimas de crimes.
No caso dos crimes digitais, os dispositivos de armazenamento

físico precisam ser tecnicamente coletados com os equipamentos
corretos para evitar que as provas sejam destruídas, dado que
muitas tem um caráter muito volátil.
Por isso, em incidentes, é importante que as máquinas não

sejam desligadas, para permitir que os peritos copiem os dados
e status do sistema sem alterações que poderiam ocorrem numa
reinicialização, por exemplo (dados voláteis como da memória
RAM são excluídos permanentemente).
2.3 A Perícia em Computação Forense
A perícia em computação forense exige conhecimentos específicos, como: de

sistemas de informática, softwares e hardwares; direito digital e legislação aplicada;
redes de comunicação e internet; dispositivos de armazenamento de dados e gestão
de segurança da informação; técnicas de ataques e invasão de equipamentos
e de investigação dos vestígios deixados; metodologia científica para coleta e
processamento de informações; e uso de linguagem simples.
Perícia em computação.

96
O mundo digital tem algumas peculiaridades para garantir a cadeia de custódia. Para
tanto, o perito deve ter o conhecimento e os equipamentos certos para garantir que
a prova produzida possa ser aproveitada em um processo judicial.
Na videoaula a seguir, você poderá se aprofundar a respeito de perícia

computacional. processamento de informações; e uso de linguagem simples.
Videoaula: Perícia em Incidentes
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos.

97
Referências
(ISC)². (ISC)² Cybersecurity Workforce Study. [S. l.]: (ISC)², 2021.

WENDT, Emerson; JORGE, Higor Vinicius Nogueira. Crimes cibernéticos: ameaças e

procedimentos de investigação. 2. ed. Rio de Janeiro: Brasport, 2013.

98
Módulo
5 Panorama da Segurança Digital no

Futuro da Administração Pública
Este módulo busca mostrar como a segurança digital se relaciona com a governança
pública e como os servidores podem contribuir para o futuro da transformação digital.
Unidade 1: As Governanças de Gestão Pública na Segurança

da Informação
Ao fim desta unidade, você será capaz de diferenciar estruturas de governança de gestão
pública, de TI, de riscos e de privacidade, relacionando-as com a Segurança da Informação.
Para iniciar seus estudos no tema, assista a videoaula a seguir, na qual você irá
aprender a respeito das diferentes esferas de governança.
Videoaula: As Governanças de Gestão Pública na Segurança da Informação
Assim, é importante ressaltar, mais uma vez, que a segurança da informação é um

problema que afeta toda organização e todos os servidores públicos. Seja discutindo
dados abertos, serviços de tecnologia da informação e comunicação, riscos
corporativos, metas institucionais ou mesmo adequação à Lei Geral de Privacidade,
uso de dados sensíveis ou confidenciais, a segurança da informação é transversal a
todos esses assuntos e por todos esses assuntos ela tem que passar.

99
Segurança da Informação de todos e para todos.
Fonte: Freepik (2023)
Até a próxima!

100
Referências
BRASIL. Manual de gestão de riscos do TCU / Tribunal de Contas da União.

Brasília, DF: TCU, Secretaria de Planejamento, Governança e Gestão (Seplan), 2020.
Disponível em: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-
de-riscos/manual-de-gestao-de-riscos/. Acesso em: 13 jan. 2023.
BRASIL. Referencial básico de governança aplicável a órgãos e entidades

da administração pública. Brasília, DF: TCU, Secretaria de Planejamento,
Governança e Gestão (Seplan), 2014. Disponível em: https://portal.tcu.gov.br/data/
files/84/34/1A/4D/43B0F410E827A0F42A2818A8/2663788.PDF. Acesso em: 13 jan.
2023.

ISACA. Control Objectives for Information and related Technology. COBIT: Na ISACA
Framework. ISACA, Schaumburg, 2023. Disponível em: https://www.isaca.org/
resources/cobit. Acesso em: 13 jan. 2023.

101
Unidade 2: Profissionalismo e Ética
Ao fim desta unidade, você será capaz de listar certificações na área e conhecimentos
acerca da ética e profissionalismo e da atualização constante no trabalho com a
Segurança da Informação.
2.1 Um Problema de Todos: Sensibilização e Mudança Cultural
As pessoas estão acostumadas a pensar em segurança no mundo físico, quando se

fecha com chave a porta da casa, se o celular está no bolso ou se o dinheiro está
bem guardado. Mas elas ainda estão aprendendo a viver e a se relacionar no mundo
virtual cibernético.
Segurança no acesso de dados.

Assuntos de segurança da informação, criptografia, gestão de acessos, entre

outros, sempre são deixados para os "especialistas", acreditando que, seguindo as
recomendações e as restrições dos sistemas, estarão seguros.

102
Cabe ressaltar que nem todos os riscos são resolvidos apenas por questões técnicas.
É preciso que todos da organização estejam atentos à vulnerabilidade e ao risco de
vazamento de dados pessoais sensíveis.
A melhor maneira de conduzir o assunto é por meio de cursos

como este, mas existem outras estratégias, como simulação de
incidentes envolvendo toda organização, estabelecimento de
eventos anuais para discussão conjunta dos temas, premiação de
boas práticas, reconhecimento de servidores que contribuíram
para a segurança, demonstrando a sua colaboração e tornando o
reconhecimento deles público para motivar os demais, criação de
campanhas de marketing socioeducativas semanais ou mensais
e, por fim, como última medida, e nunca como primeira e única, a
criação de um sistema de penalização para infrações das práticas
de segurança estabelecidas.
2.1.1 Importância da Normatização Interna
Todo órgão ou entidade tem suas peculiaridades, então não existe um framework,
modelo ou metodologia que seja simplesmente aplicado sem adaptações.
Uma norma interna construída com apoio dos servidores, com a

participação dos usuários e com contribuição da equipe técnica
é uma norma estável que exigirá menos revisões e que será
facilmente recebida e aplicada.
A normatização interna deve ocorrer depois que as regras de negócio específicas

do setor são discutidas, os riscos são analisados, as estratégias de segurança da
informação são planejadas, os planos de recuperação de desastre e de continuidade
do negócio são elaborados, as responsabilidades e papéis são atribuídos e o texto
da política de segurança é discutido e consolidado.

103
2.2 A Importância da Ética Profissional
Ética é um conceito amplo que pode abranger várias definições de diferentes

pontos de vista. Segundo o dicionário, ética é uma parte da filosofia responsável
pela investigação dos princípios que motivam, distorcem, disciplinam ou orientam
o comportamento humano, refletindo especialmente a respeito da essência das
normas, valores, prescrições e exortações presentes em qualquer realidade social.
A ciberética:
• É um ramo do comportamento da tecnologia da computação que

define as melhores práticas que devem ser adotadas por um usuário
quando ele usa o sistema de computador.
• Em termos simples, a ciberética refere-se à ética básica e etiqueta que

devem ser seguidas ao usar um sistema de computador. Ética, em geral,
refere-se à propagação de bom comportamento. Da mesma forma,
a ética cibernética se refere a propagar um bom comportamento
online, que não seja rude, severo ou desrespeitoso.
• Rege regras que os indivíduos devem ser educados e responsáveis

quando usam a internet. A cibernética visa proteger o comportamento
moral, financeiro e social dos indivíduos.
• Engaja os usuários a usar a internet com segurança e usar a tecnologia

de forma responsável e sensata.
• Sintetiza o comportamento que deve ser adotado ao usar a tecnologia

cibernética combinado com o aprendizado sobre ataques e defesas.
2.3 Necessidade de Atualização Constante
Hoje, as pessoas vivem em uma sociedade baseada na informação, então é esperado

que a maioria dos campos do saber exija atualização constante, pois, com a internet
e a globalização, a produção de conhecimento tem sido muito acelerada.

104
Enquanto em alguns campos, como o direito, se tem mudanças
normativas muito lentas ou até mesmo mudanças nos
entendimentos da jurisprudência ou da doutrina que podem
demorar anos para estabilizar ou na engenharia civil, em que as
fórmulas de cálculo estrutural são as mesmas há séculos, quando
se fala da área de tecnologia de informação, a transformação
rápida e a obsolescência do conhecimento são mais visíveis.
Novas linguagens, sistemas operacionais e ferramentas têm se
desenvolvido e exigido treinamento constate.
Por isso, muitos certificados da área vêm com validade concomitantemente

ou alternativamente a exigência de horas ou pontos mínimos de treinamentos
periodicamente.
Na videoaula a seguir, você irá aprender os benefícios da atualização constante.
Videoaula: Necessidade de Atualização Constante
Você se interessou pela solução Deep Exploit que viu na videoaula?

Veja na íntegra o código-fonte a respeito do aprendizado de
máquina e segurança (disponível aqui).
Cabe ressaltar que, a respeito da segurança da informação, a linguagem da

programação é uma atividade que se aproveita de sua bagagem anterior. Quanto
mais se aprende, mais você será capaz de perceber nuances e aprender mais rápido
sobre tópicos cada vez mais avançados e complexos.
2.4 Certificações na Área de Segurança da Informação
Existe uma grande gama de certificações algumas mais iniciais e outras mais
avançadas, o que atende a um nicho específico de profissional que trabalha com
tecnologias proprietárias, como Microsoft, Amazon ou Cisco. Na figura seguinte
você poderá ver uma lista de certificações.

105
Certificações mais comuns.
Fonte: (ISC)² Cybersecurity Workforce Study (2021).
Assim, aqui se tem dois casos: o do profissional que tem uma demanda específica
por conhecer alguma tecnologia proprietária como Amazon, Cisco ou Microsoft,
pois seu local de trabalho ou posição almejada trabalha com a tecnologia específica
e que, portanto, é recomendado buscar a certificação apropriada; ou, por outro
lado, um profissional que deseja se aprofundar no tema e que, portanto, quer uma
formação mais generalista.

106
Nesse caso, a trilha recomendada é a seguinte:
Certificação CompTIA Security+

Para quem está começando a jornada e gostaria de uma certificação
bem aceita pelo mercado e muito solicitada em níveis de entrada
da profissão de analista de segurança, eu recomendo a certificação
CompTIA Security+, pois seu conteúdo é bem completo e o material de
apoio para estudos é muito bem-produzido.
EC-Council Certified Ethical Hacker

Após os dois anos trabalhando na área e com uma bagagem de
experiência de vida, de vulnerabilidade, tratamento de incidentes, é
recomendável buscar a certificação de nível "intermediário". Nesse
contexto, recomenda-se a certificação EC-Council Certified Ethical Hacker.
Que bom que você chegou até aqui! Agora é a hora de você testar seus
conhecimentos. Para isso, acesse o exercício avaliativo disponível no ambiente
virtual. Bons estudos!

107
Referências
(ISC)². (ISC)² Cybersecurity Workforce Study. [S. l.]: (ISC)², 2021.

KOLB, Anton. et al. Ciber ética: Responsabilidade em um mundo interligado pela

rede digital. São Paulo: Loyola, 2001.

108
Módulo
6 Segurança da Informação
na Prática: Casos Reais na
Administração Pública
No último módulo você verá uma abordagem com alguns atores importantes da
segurança da informação e conhecerá alguns casos reais.
Unidade 1: Casos Práticos de Aplicação da Segurança da

Informação na Administração Pública
Ao fim desta unidade, você será capaz de determinar, a partir de casos práticos, o
funcionamento da Segurança da Informação em órgãos do serviço público.
1.1 Casos Práticos – Administração Pública
A administração pública conta com diversas esferas de proteção a ataques

cibernéticos como: o gabinete de segurança institucional, que se preocupa com
a manutenção das atividades das infraestruturas críticas, como comunicação,
transporte e energia; o Ministério da Justiça, com os especialistas da Polícia Federal;
e com o exército e sua preparação constante para uma guerra cibernética, chamada
guerra do futuro, em que o foco não é a destruição das infraestruturas, mas a
sua paralisação para permitir que uma confusão institucional se instale e permita
ao exército inimigo avançar. Além disso, as estruturas de controle, como tribunal
de contas e órgãos de auditoria interna, estão constantemente monitorando os
controles e a efetividade dos gastos em segurança da informação.
Um ator importante é a Rede Nacional de Pesquisa (RNP). Tendo a figura jurídica de

uma organização social, ou seja, uma entidade sem fins lucrativos que possui um
contrato de gestão com o Ministério da Ciência, Tecnologia e Inovações, é responsável
por conectar institutos de ciência, tecnologia e inovação, como universidades

109
federais e outros centros de pesquisa, à internet de altas velocidades favorecendo
assim a pesquisa e a transmissão do conhecimento gerado nas universidades.
O ponto aqui digno de menção é que a RNP exerce o monitoramento contínuo da

internet, buscando mapear em tempo real qual é o destinatário e a origem dos
ataques e assim contribuindo para a qualidade da internet brasileira nos centros de
pesquisa, seja pelo monitoramento em si, seja pela abertura de editais para estudos
conceituais ou provas de conceito na área de medição de redes, seja pela Escola
Superior de Redes, que oferece cursos de segurança e tenta diminuir a falta de mão
de obra qualificada no setor.
Mas isso não impede que a administração pública e o seu corpo de servidores sofram
tentativas de ataques constantes. Esses ataques vão desde ataques de negação de
serviço até sequestros de bancos de dados públicos.
Um caso que se pode citar aqui é o do DataSUS, que ainda está

sob investigação, mas mostra a importância de ter um backup
bem-feito e atualizado, redundância na coleta de informações e
um plano de continuidade de negócios bem estabelecido com o
passo-a-passo para que os serviços críticos sejam rapidamente
restaurados.
O que aconteceu com o DataSUS mostrou que mesmo que os

dados não tenham sido perdidos, a falta de disponibilidade do
serviço trouxe prejuízos à população.
Podcast: Caso Prático de Segurança da Informação: CGI.br
Não importa se está utilizando a infraestrutura interna do órgão, serviços da Serpro

ou serviços numa nuvem terceirizada, problemas acontecem e devem ser tratados.
Algumas vezes o problema é de hardware, como ocorreu recentemente no CNPq,

e nem sempre a substituição dos equipamentos pode ser feita de maneira rápida e
econômica, por isso é sempre bom ter redundância nesses equipamentos. Algumas
vezes, o volume de informações, dados e procedimentos que precisam de suporte
ficam tão grandes que é preciso aumentar a capacidade da infraestrutura e, com isso,
serviços podem ser paralisados e se pode ter informações perdidas na transição,
como ocorreu em muitos sites governamentais durante a transição para o formato
padronizado do Gov.br.

110
Por isso, uma atuação coordenada dos diversos órgãos e atores interessados na
segurança cibernética é uma das melhores maneiras de proteger administração
pública desse tipo de ataque. Assim exercícios como o Guardião Cibernético 3.0,
coordenado pelo Comando de Defesa Cibernética, são muito importantes para
prepara os servidores e a estrutura para lidar com incidentes de segurança da
informação. Esse exercício é feito em parceria com empresas privadas e é um
exemplo claro de que segurança da informação é preocupação de todos.
Guardião da Segurança.

111
Quando se pode ver as pequenas atitudes, que estão no dia a dia da administração
pública, mas trazem riscos de segurança, é preciso se manifestar. Quem nunca viu a
senha do computador colada no teclado? E quem nunca ouviu dizer de um chefe que
compartilhava a senha com a secretária para facilitar a assinatura de documentos?
Quem nunca recebeu nos e-mails corporativos um pedido de atualização da senha
em um site suspeito, ou em muitos casos bem parecido com o site real de login?
Desse modo, cabe a todos conscientizar os colegas e familiares a cuidar melhor da
segurança da informação.
Como se pode ver, os servidores públicos nem sempre são alvos de ataques
cibernéticos buscando unicamente valor financeiro imediato, pois nos bancos de
dados e sistemas públicos circulam muitas informações privilegiadas, que podem ser
utilizados para afetar mercados buscando lucros injustos, para fugir da fiscalização
ou do controle policial no caso de atividades ilícitas, ou mesmo para uso político de
informações sensíveis que podem estar inclusive no celular de autoridades.
Informações de dados das pessoas.


112
Conforme já dito, a pandemia obrigou as pessoas a mudarem, rapidamente,
a maneira de relacionamento com tecnologia e, na pressa para atingir uma
transformação digital necessária para continuidade ao atendimento público, um
sistema operacional único com medidas de segurança e firewall controlados pela TI,
foi abandonado para computadores domésticos, muitas vezes sem antivírus, logados
na senha de administrador, utilizado para jogar, acessar sites não confiáveis e até
mesmo baixar softwares sem a devida cautela. Com isso, ataques de ransonware e
roubo de senhas corporativas foram muito facilitadas nesse momento de adaptação
que sem dúvida trouxe vantagens para o serviço e para o servidor, mas sob prejuízo
da manutenção dos níveis de segurança da informação.

113
Referências

NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR. Segurança digital:

uma análise da gestão de riscos em empresas brasileiras. 1. ed. São Paulo: Comitê
Gestor da Internet no Brasil, 2020. Disponível em: https://cetic.br/media/docs/
publicacoes/7/20210514123130/estudos-setoriais-seguranca-digital.pdf. Acesso em: 13
jan. 2023.

114

Fundamentos de Segurança Da Informação Na Transformação Digital

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Fundamentos de Segurança Da Informação Na Transformação Digital

Enviado por

Direitos autorais:

Formatos disponíveis

Fundamentos de

Gestão da Informação e do Conhecimento;

Diretoria de Desenvolvimento Profissional

Unidade 2: A Relação entre Inovação e os Riscos .............................................. 23

Módulo 2: A Privacidade e Segurança na Transformação Digital .................... 30

Unidade 2: Principais Conceitos de Privacidade e Segurança........................... 42

Módulo 3: Prevenindo Riscos Sistêmicos............................................................. 47

Unidade 2: Riscos e Limitações nas Formas de Contratação............................. 59

Unidade 3: Pontos de Atenção no Desenvolvimento de Soluções Digitais...... 65

Unidade 4: Como Ocorrem os Ataques e Como se Defender Deles?................. 75

Módulo 4: Tratamento de Incidentes................................................................... 89

Unidade 2: Investigação de Incidentes................................................................. 94

Módulo 5: Panorama da Segurança Digital no Futuro da Administração

Unidade 2: Profissionalismo e Ética.................................................................... 102

Módulo 6: Segurança da Informação na Prática: Casos Reais na Administração

Enap Fundação Escola Nacional de Administração Pública

Seja bem-vindo(a) ao curso Fundamentos de Segurança da Informação na

Videoaula: Apresentação do Curso

O curso Fundamentos de Segurança da Informação na Transformação Digital está

• Módulo 1: trata da transformação digital contextualizando com a segurança

• Módulo 2: adentra nas questões de privacidade e segurança da

• Módulo 3: lida com a prevenção do risco sistêmica, mostrando algumas

• Módulo 4: apresenta o tratamento de incidentes de informação.

• Módulo 5: mostra um panorama da segurança digital no futuro da

• Módulo 6: visa apresentar alguns casos reais que ocorreram na

Enap Fundação Escola Nacional de Administração Pública

Unidade 1: A Transformação Digital e seus Impactos na

Ao fim desta unidade você será capaz de reconhecer conceitos relacionados à

Aqui será introduzido o conceito de transformação digital e como ele impacta a

1.1 O que é Transformação Digital?

Antigamente utilizava-se muito a expressão “automação” buscando refletir o apoio

Não, transformação digital é muito

Enap Fundação Escola Nacional de Administração Pública

Na transformação digital, a tecnologia tem um papel central e não é apenas mais

A pandemia de Covid-19 mostrou uma necessidade urgente de repensar as atividades

A transformação digital sempre vem acompanhada da preocupação com a segurança

Mas a gestão pública atual é complexa e envolve a coordenação da Tecnologia de

Enap Fundação Escola Nacional de Administração Pública

As principais causas apontadas das transformações lentas são a criatividade limitada

Portanto, é importante que todos os elos da cadeia busquem as melhores práticas,

Se você quiser saber mais sobre o tema, o curso Transformação

Enap Fundação Escola Nacional de Administração Pública

Bresser Pereira, em seus trabalhos para a reforma do aparelho do estado (BRASIL,

Há 15 ou 20 anos atrás, se discutia qual o melhor modelo de implementar uma

• O modelo top-down, que previa uma administração centralizada que

• O modelo bottom-up, que, por sua vez, já reconhecia a capacidade própria

E existem quatro pontos de atenção que obriga a todos ter cautela.

Enap Fundação Escola Nacional de Administração Pública

1.2.1 Direito Administrativo e Princípio da Legalidade como Base da

O Direito Administrativo tem a função primordial de dar previsibilidade na atuação

A obediência ao marco legal específico do setor é imprescindível, por isso a

Enap Fundação Escola Nacional de Administração Pública

1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital?

1.2.2.1 A Lei de Acesso à Informação

O acesso amplo à informação de dados públicos foi uma grande mudança

O principal a ser ressaltado aqui é a capacidade de adaptação da burocracia

Os benefícios públicos dessa lei são inegáveis tanto na questão de accountability

Enap Fundação Escola Nacional de Administração Pública

1.2.2.2 A Lei Geral de Proteção de Dados

A Lei nº 13.709, de 14 de agosto de 2018, é chamada de Lei Geral de Proteção

A LGPD deixa clara a titularidade de dados pessoais, estabelecendo regras de

Muito tem sido discutido sobre uma aparente incompatibilidade

Segurança da Informação e a proteção de dados pessoais são assuntos muito