Escolar Documentos
Profissional Documentos
Cultura Documentos
Fundamentos de Segurança Da Informação Na Transformação Digital
Fundamentos de Segurança Da Informação Na Transformação Digital
Segurança da Informação
na Transformação Digital
Conteudista/s
Bruno Parente (conteudista, 2023).
Enap, 2023
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Sumário
Módulo 1: Contextualizando Segurança da Informação na Transformação
Digital......................................................................................................................... 8
Unidade 1: A Transformação Digital e seus Impactos na Administração
Pública........................................................................................................................ 8
1.1 O que é Transformação Digital? ............................................................................... 8
1.2 A Transformação Digital na Administração Pública ............................................. 11
1.2.1 Direito Administrativo e Princípio da Legalidade como Base da
Transformação Digital do Governo ........................................................................ 12
1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital? .................. 13
Referências ...................................................................................................................... 20
Antes de iniciar sua jornada de estudos, assista a videoaula a seguir, na qual qual
você irá visualizar a relevância da Gestão do Conhecimento nos dias de hoje.
1 Contextualizando Segurança da
Informação na Transformação Digital
Neste módulo você terá contato com os conceitos da segurança da informação
na transformação digital. O governo brasileiro está passando por uma profunda
transformação digital e seus esforços nesse setor têm sido reconhecidos
internacionalmente, mas é importante que todos estejam atentos à questão de
segurança, pois essa responsabilidade é transversal em toda Administração. Vamos lá?!
Transformação Digital.
Fonte: Freepik (2023).
Segurança da Informação.
Fonte: Freepik (2023).
Lafuente et al. (2021) mostra que a transformação digital brasileira tem um problema
federativo devido à discrepância de orçamento e recursos técnicos e humanos. A
falta de estratégia e avaliação do planejamento são apontadas como as principais
causas dos problemas nos estados. A transformação digital pode aumentar a
competitividade, aumentando a inclusão social e a confiança no governo, mas a
questão é como ser mais ágil nesse processo (ROSETH et al., 2018).
Para que a mudança cultural ocorra, o primeiro passo é a percepção do problema. Por
isso, uma metodologia de exposição de conteúdos relacionando os problemas digitais
com experiências pessoais e profissionais do aprendiz adulto é a melhor estratégia para
melhorar a consciência de segurança, visando maior efetividade da ação pública.
Com a digitalização da sociedade, essa discussão se tornou menor, pois hoje se pode
ter muitas informações advindas diretamente do cidadão-usuário bem como se tem
dados internacionais e pesquisas revisados por pares que auxiliam a administração
pública a tomar decisões baseada em evidências.
Se hoje se têm as ferramentas, por que não aplicar a todas as atividades públicas
uma transformação digital?
Acesso
O Brasil é um país de grande extensão territorial e de muitas desigual-
dades. Nem todo serviço público pode ser 100% digitalizado sem ter
a certeza de que toda população terá infraestrutura física, computa-
cional e de rede para acessar esses serviços. Por isso políticas pú-
blicas de expansão da disponibilidade de energia elétrica, internet,
equipamentos computacionais, letramento digital, entre outros, são
partes complementares da política de transformação digital.
Segurança da informação
A administração pública regular, fomenta e atua em diversos
setores da sociedade. Com isso, ela controla e acessa muitos da-
dos pessoais, sensíveis e estratégicos. Portanto, a transformação
Cultura organizacional
Enquanto na administração privada o corpo dirigente tende a ser
mais fixo e a base mais rotativa, na administração pública há um
corpo de servidores estáveis e a alta administração muda perio-
dicamente em face de resultados eleitorais. Então mudanças cul-
turais são muito mais lentas na administração pública e exigem
mais planejamento, recursos, treinamentos e conscientização.
Legalidade
No direito administrativo que regula as atividades dos servidores
públicos, é clara a distinção entre o princípio da legalidade apli-
cado à sociedade e o princípio da legalidade aplicado aos serv-
idores. No primeiro caso, ao particular é permitido fazer tudo
que a lei não proíbe. No entanto, no segundo caso, os servidores
podem fazer apenas o que a lei demanda, tendo pouco espaço
para discricionariedade de suas decisões, que devem sempre es-
tar motivadas, razoáveis e proporcionais.
Desse modo, esse ramo do Direito é estruturado num sistema de pesos e contrapesos
em que há princípios e normas que devem ser seguidas pelo administrador,
mas também há estruturas de fiscalização que buscam garantir a supremacia da
finalidade pública em todos os atos.
Embora toda política pública tenha a sua base normativa e legal, é possível encontrar
algumas normas que são um denominador comum na transformação digital: Lei de
Acesso à Informação (LAI), Lei Geral de Proteção de Dados (LGPD), Estratégia de
Governo Digital (EGD) e normas de segurança da informação.
ABNT
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
Objetivo de aprendizagem
Ao fim desta unidade você será capaz de reconhecer o que são os conceitos de inovação
e riscos e como eles se relacionam.
Apesar de ser uma palavra de origem antiga, como se pode ver na expressão latina
inovare, que significa renovar ou mudar, inovação é um conceito que vai muito além
de criatividade ou diferenciação do produto. Ela envolve uma percepção de valor
pelo usuário.
Academicamente existem vários conceitos,
ora aproximando-se da evolução biológica
(DEVEZAS, 2005), ora ligando-se a ideias mais
abstratas como se referir a processos inven-
tivos pelo qual coisas novas, ideias e práticas
são criadas: significando tanto a coisa, ideia
ou prática em si ou descrevendo o processo
pelo qual uma inovação existente se torna
parte de um estado cognitivo do adotante e
entra para seu repertório comportamental
(ZALTMAN; DUNCAN; HOLBEK, 1973).
Inovação incremental
Otimização ou melhora de produtos e serviços existentes.
Ampliação ou melhor aproveitamento de mercados e
consumidores. Agregação de valor.
Inovação disruptiva
Quebra de paradigmas. Criação de novos mercados e
consumidores. Criação de valor.
Um autor importante para fixar e popularizar conceitos de inovação é Eric Ries que
iniciou o movimento de startup enxuta. No livro base desse conceito (RIES, 2011),
o autor conta sua história no desenvolvimento de um produto, mostrando passo a
passo quais foram as suas lições aprendidas. O autor mostra a aplicação do conceito
de errar pequeno e rápido de maneira que sua empresa possa continuar operando
e criando valor a partir do aprendizado.
Outro conceito interessante que aparece nesse livro é o conceito de pivotar, em que se
verifica, a partir da interação com os usuários, que outros interesses ou necessidades
podem ser oferecidos pelo empresário que não estavam no seu foco inicial. O exemplo
clássico é a Netflix, que começou como um serviço de entrega de DVD, mas percebeu
a oportunidade de oferecer à sua base de clientes o mesmo conteúdo via streaming
para num segundo momento começar a produzir conteúdo próprio.
Na área de engenharia, há várias metodologias para se lidar com riscos, como modelo
de queijo suíço, Failure Mode and Effect Analysis (FMEA), The Systemic Theoretical
Process Analysis (STPA) model, entre outros. A seguir, veja dois exemplos comuns de
frameworks amplamente utilizados.
Matriz de Risco
Matriz de Risco.
Elaboração: CEPED/UFSC (2023).
Método Bow-tie
Método Bow-tie.
Elaboração: CEPED/UFSC (2023).
Uma outra figura bem didática que facilita o entendimento em como lidar com o
risco é a análise bow-tie (gravata borboleta) que mostra explicitamente que se deve
tomar todas as atitudes para evitar que o risco ocorra, e caso ocorra deve-se ter
barreiras para mitigar os danos causados.
Quando se mapeiam os riscos e eles são colocados em uma matriz, é preciso dar
prioridade para o tratamento dos pontos em vermelho. Assim, pode-se agir do lado
esquerdo da gravata e tentar diminuir a probabilidade de ocorrência da causa (não
dirigir alcoolizado ou usar a mesma senha de trabalho para fins pessoais) ou pode-
se trabalhar do lado direito e mitigar os efeitos danosos (usar o cinto de segurança
ou fazer backup semanal).
Proteção de dados.
Fonte: Freepik (2023).
Os problemas acontecerão (os sistemas serão atacados ou falta de energia irá ocorrer
ou algum dos vários cenários previstos numa análise de risco irão se concretizar) em
algum momento. Criar sistemas e organizações antifrágeis é garantir a eficiência
do gasto público, pois riscos administrados são mais baratos que riscos que nunca
foram analisados. E inovação, como já dito, é sobre como criar valor, sem ignorar os
erros, mas aprendendo com eles.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
RIES, Eric. The Lean Startup. New York: Crown Business, 2011.
ZALTMAN, G.; DUNCAN, R.; HOLBEK, J. Innovations and organizations. New York:
John Wiley, 1973.
2 A Privacidade e Segurança
na Transformação Digital
A privacidade está intimamente relacionada à segurança na transformação digital.
Em outras palavras, as metodologias e processos para garantir a privacidade na
transformação digital são muito semelhantes e complementares às atividades a
serem desenvolvidas para se garantir o melhor nível de segurança das informações
na transformação digital.
Ambiente Globalizado.
Fonte: Freepik (2023).
Recentemente, esse tipo de prática voltou a se tornar assunto nas mídias com
o lançamento do documentário O Golpista do Tinder, da Netflix, que investiga os
crimes cometidos por Shimon Hayut, que se passou por um magnata do ramo dos
diamantes para conquistar mulheres pela internet. Tudo isso para aplicar golpes
que chegavam às centenas de milhares de dólares.
Num grau menos hollywoodiano, e mais presente no dia a dia: quem nunca
identificou uma tentativa de golpe em sua caixa de e-mail, desde quando a internet
ainda engatinhava nos anos 90? Ou, atualmente, no Whatsapp com mensagens
automáticas e links bancários de semelhança genuína com as páginas e links originais?
Essa informatização do crime reflete-se diretamente no número de vítimas desses
golpes. Em pesquisa feita pela Panorama Mobile Time, cerca de 43% dos usuários já
foram vítimas de algum tipo de golpe no aplicativo (veja aqui).
Privacidade.
Fonte: Freepik (2023).
Sendo baseado numa estrutura técnica de TI, a segurança da informação tem muitos
termos que têm um significado próprio e podem confundir quem está acostumado
com outras áreas do conhecimento.
Que tal agora conhecer alguns desses termos? Aqui, você irá se familiarizar com os
significados dos termos, uma vez que a ideia de vulnerabilidade para psicólogos é
ATAQUE
“Ação que constitui uma tentativa deliberada e não autorizada
de acessar ou manipular informações ou tornar um sistema
inacessível, não íntegro, ou indisponível.” (BRASIL, 2021).
AUTENTICAÇÃO
“Processo que busca verificar a identidade digital de uma entidade
de um sistema quando ela requisita acesso a esse sistema. O
processo é realizado por meio de regras preestabelecidas,
geralmente pela comparação das credenciais apresentadas pela
entidade com outras já pré-definidas no sistema, reconhecendo
como verdadeiras ou legítimas as partes envolvidas em um
processo.” (BRASIL, 2021).
CERTIFICADO
“Documento assinado de forma criptografada, destinado a
assegurar para outros a identidade do terminal que utiliza o
certificado. Um certificado é considerado confiável quando for
assinado por outro certificado confiável, como uma autoridade
de certificação, ou se ele próprio é um certificado confiável,
pertencente a uma cadeia de confiança reconhecida.” (BRASIL,
2021).
CÓDIGO
“Linguagem de programação utilizada para que os seres humanos
possam enviar comandos para processamento computacional.”
(BRASIL, 2021).
CONSENTIMENTO
“Manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma
finalidade determinada.” (BRASIL, 2021).
CUSTÓDIA
“Consiste na responsabilidade de guardar um ativo para terceiros.
A custódia não permite automaticamente o acesso ao ativo e
nem o direito de conceder acesso a outros.” (BRASIL, 2021).
DESASTRE
“Evento, ação ou omissão, repentino e não planejado, que tenha
permitido acesso não autorizado, interrupção ou mudança
nas operações (inclusive pela tomada de controle), destruição,
dano, deleção ou mudança da informação protegida, remoção
ou limitação de uso da informação protegida ou, ainda, a
apropriação, disseminação e publicação indevida de informação
protegida de algum ativo de informação crítico ou de alguma
atividade crítica, gerando sérios impactos em sua capacidade de
entregar serviços essenciais ou críticos por um período de tempo
superior ao tempo objetivo de recuperação.” (BRASIL, 2021).
DISPONIBILIDADE
“Propriedade pela qual se assegura que a informação esteja
acessível e utilizável, sob demanda, por uma pessoa física
ou determinado sistema, órgão ou entidade devidamente
autorizados.” (BRASIL, 2021).
DOCUMENTO
“Unidade de registro de informações, qualquer que seja o
suporte ou o formato.” (BRASIL, 2021).
ENCARREGADO
“Pessoa indicada pelo controlador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).” (BRASIL,
2021).
HONEYPOT
“Recurso computacional de segurança dedicado a ser sondado,
atacado ou comprometido. Existem dois tipos de honeypots: os de
baixa interatividade e os de alta interatividade. Em um honeypot
de baixa interatividade são instaladas ferramentas para emular
sistemas operacionais e serviços com os quais os atacantes irão
interagir; desta forma, o sistema operacional real desse tipo
de honeypot deve ser instalado e configurado de modo seguro,
para minimizar o risco de comprometimento. Nos honeypots
de alta interatividade, os atacantes interagem com sistemas
operacionais, aplicações e serviços reais.” (BRASIL, 2021).
INCIDENTE
“Interrupção não planejada ou redução da qualidade de um
serviço. Ou seja, ocorrência, ação ou omissão que tenha permitido,
ou possa vir a permitir, acesso não autorizado, interrupção ou
mudança nas operações (inclusive pela tomada de controle),
destruição, dano, deleção ou mudança da informação protegida,
remoção ou limitação de uso da informação protegida ou ainda a
apropriação, disseminação e publicação indevida de informação
protegida de algum ativo de informação crítico ou de alguma
atividade crítica por um período de tempo inferior ao tempo
objetivo de recuperação.” (BRASIL, 2021).
INFRAESTRUTURA CRÍTICA
“Instalações, serviços, bens e sistemas, virtuais ou físicos, que,
se forem incapacitados, destruídos ou tiverem desempenho
extremamente degradado, provocarão sério impacto social,
econômico, político, internacional ou à segurança.” (BRASIL,
2021).
JAILBREAK
“Processo que modifica o sistema operacional original de um
dispositivo, permitindo que ele execute aplicativos não-autorizados
pelo fabricante. Um aparelho com um software do tipo jailbreak
é capaz de instalar aplicativos anteriormente indisponíveis nos
sites oficiais do fabricante, por meio de instaladores não-oficiais,
assim como aplicações adquiridas de forma ilegal. O uso de
técnicas jailbreak não é recomendado pelos fabricantes, já que
permitem a execução de aplicativos não certificados, que podem
inclusive conter malware embutidos.” (BRASIL, 2021).
METADADOS
“Representam ‘dados sobre dados’, fornecendo os recursos
necessários para entender os dados no decorrer do tempo, ou
seja, são dados estruturados que fornecem uma descrição concisa
a respeito dos dados armazenados e que permitem encontrar,
gerenciar, compreender ou preservar informações a respeito
dos dados ao longo do tempo. Possuem um papel importante
na gestão de dados, pois, a partir deles, as informações são
MÍDIA
“Mecanismos em que dados podem ser armazenados. Além
da forma e da tecnologia utilizada para a comunicação, inclui
discos ópticos, magnéticos, compact disk (CD), fitas, papel, entre
outros. Um recurso multimídia combina sons, imagens e vídeos.”
(BRASIL, 2021).
NUVEM HÍBRIDA
“Infraestrutura de nuvem composta por duas ou mais
infraestruturas distintas (privadas, comunitárias ou públicas),
que permanecem com suas próprias características, mas
agrupadas por tecnologia padrão que permite interoperabilidade
e portabilidade de dados, serviços e aplicações.” (BRASIL, 2021).
PRESTADOR DE SERVIÇO
“Pessoa envolvida com o desenvolvimento de atividades, de
caráter temporário ou eventual, exclusivamente para o interesse
do serviço, que poderão receber credencial especial de acesso.”
(BRASIL, 2021).
RESILIÊNCIA
“Capacidade de uma organização ou de uma infraestrutura
de resistir aos efeitos de um incidente, ataque ou desastre, e
retornar à normalidade das operações.” (BRASIL, 2021).
SISTEMA DE INFORMAÇÃO
“Conjunto de elementos materiais ou intelectuais, colocados
à disposição dos usuários, em forma de serviços ou bens, que
possibilitam a agregação dos recursos de tecnologia, informação
e comunicações de forma integrada.” (BRASIL, 2021).
VÍRUS
“Seção oculta e autorreplicante de um software de computador,
geralmente utilizando lógica maliciosa, que se propaga pela
infecção (inserindo uma cópia sua e tornando-se parte) de outro
programa. Não é auto executável, ou seja, necessita que o seu
programa hospedeiro seja executado para se tornar ativo.”
(BRASIL, 2021).
VULNERABILIDADE
“Condição que, quando explorada por um criminoso cibernético,
pode resultar em uma violação de segurança cibernética dos
sistemas computacionais ou redes de computadores, e consiste
na interseção de três fatores: suscetibilidade ou falha do sistema,
acesso possível à falha e capacidade de explorar essa falha.”
(BRASIL, 2021).
Os riscos são de várias fontes, mas podem ser classificados em riscos técnicos e
riscos relacionados às pessoas. Veja cada um deles a seguir.
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de classificar conceitos relativos à Segurança da
Informação.
Nesta unidade, você irá conhecer alguns conceitos ligados à privacidade e segurança.
Privacidade e segurança são conceitos complementares e devem ser tratados juntos,
mas a publicidade não é oposta a nenhum dos dois conceitos.
A segurança desde a concepção (by design) cresceu juntamente com o aumento das
vulnerabilidades e consequente vazamento de dados com prejuízos às empresas.
O modelo tradicional em que o desenvolvedor codificava o site e depois passava o
código-fonte para a equipe de segurança analisar mostrou-se ineficiente. Idealmente,
as questões de segurança, assim como de privacidade, têm de ser discutidas desde
o começo da concepção do projeto, elas são requisitos importantes para a garantia
da qualidade do projeto.
O código fechado fica disponível somente para a empresa, então terceiros não
tem como acessar o código. Então, em tese, não saberiam das falhas de segurança.
Mas isso é apenas parcialmente verdade, pois ainda é possível utilizar engenharia
reversa, e a partir do arquivo “executável” se reconstruir o código original.
Para tentar evitar a engenharia reversa existem algumas técnicas como “Code
Obfuscation” que troca o valor das variáveis e das funções, cria variáveis e loops não
necessários para tornar difícil o uso de engenharia reversa. Mas isso também traz
desvantagens, pois aplicações maliciosas podem se esconder de antivírus.
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de reconhecer usos de ferramentas de design
thinking para identificar grupos de interesses e estabelecer estratégias de gestão.
Design Thinking é uma forma de pensar que foi primeiramente idealizada na área de
design e atualmente, devido ao seu grande potencial criativo e inovador, é aplicada
em diversos campos de empreendimentos e nos mais variados setores, desde o
desenvolvimento de produtos e serviços até os processos e estratégias a serem adotadas.
Um dos maiores exemplos de aplicação do design thinking para a inovação social foi
o do professor universitário Jerry Sternin, que conseguiu reduzir visivelmente a má
nutrição no Vietnã. Ele e sua esposa foram responsáveis pela criação de um modelo
que diminuísse a desnutrição de crianças de 10.000 vilas vietnamitas. Uma nova
ação era necessária, porque as doações da Organização das Nações Unidas (ONU)
não estavam sendo efetivas.
Seguindo na leitura de exemplos práticos do uso de design thinking, que tal visualizar
agora um caso aplicado à transformação digital? Veja aqui como o design thinking
transformou o Airbnb.
A oportunidade
Em 2008, Brian chesky e Joe Gebbia viram uma oportunidade de
negócios ao encontrar um grupo de pessoas que participavam
de uma conferência de design em São Francisco, Califórnia, e não
encontravam um lugar para se hospedar.
A pesquisa
Os sócios então, decidiram alugar uma câmera e viajaram até Nova
York para uma das casas alugadas na cidade, buscando compreender
as expectativas e a experiência do cliente que estava usufruindo do
serviço no momento. Eles usaram a empatia para entender com
profundidade qual tipo de imagem tornaria o negócio mais atrativo.
Cada novo funcionário, durante a sua primeira semana na empresa
faziam uma viagem usando o AirBed&Breakfast e então documentava
e compartilhava ideias com seu novo departamento. Foi dessa forma
A solução
A partir dessa coleta de dados, eles decidiram quais os tipos de fotos
seriam mais atrativos, de acordo com os ambientes encontrados,
mudaram o nome da empresa para algo que fosse mais simples e
mais fácil de ser lembrado, agora chamando de Airbnb e trocaram os
ícones na lista de desejos de estrela para coração. A simples mudança
de ícone já demonstrou uma melhora expressiva, o que representou
um aumento de 30% no engajamento das pessoas, tornando a
experiência mais pessoal.
Criar e resolver os problemas para os usuários não parou por aí. Quando se
criou empatia com os desejos do usuário, também se criou empatia com suas
experiências. Portanto, é importante criar um produto ou serviço que dê às pessoas
a experiência que desejam. Os utilizadores devem se lembrar e querer interagir com
ele várias vezes e dessa forma retroalimentar a plataforma com experiências reais,
de pessoas reais. O Airbnb lançou suas próprias experiências, onde os anfitriões
podem realizar eventos e atividades para seus hóspedes. A ideia tomou uma forma
mais ampla e tornou-se algo além de apenas algum lugar em que você passa uma
ou duas semanas. O Airbnb buscou construir uma experiência e uma comunidade
para seus usuários. Aqui é onde o slogan da empresa, “You Belong”, é extremamente
poderoso. Ele constrói confiança entre si e os usuários e uma das maneiras pelas
quais faz isso é através da construção da comunidade — dizendo às pessoas que
este é um lugar seguro para interagir, conectar, pertencer e experimentar.
A seguir, você verá cinco passos envolvidos no processo de design thinking (SPROUTS,
2017).
Passo 1: Empatia
O objetivo do primeiro passo é realizar entrevistas que lhe deem uma ideia
sobre o que as pessoas realmente se importam, e que é preciso empatizar
com sua situação. Por exemplo, se você quiser ajudar pessoas idosas,
pode achar que eles quer em manter a capacidade de caminhar. Nas suas
conversas, eles podem compartilhar com vocês maneiras diferentes de
fazerem isso. Mais tarde, na entrevista, você vai querer cavar um pouco
mais fundo, procurar histórias pessoais ou situações em que as coisas se
tornaram difíceis. Idealmente, você refaz o processo com muitas pessoas
com o mesmo problema.
Passo 3: Idear
Passo 4: Protótipo
Passo 5: Teste
Agora, teste seu protótipo com usuários reais. Não defenda sua ideia no caso
de as pessoas não gostarem disso, o objetivo é aprender o que funciona e
o que não funciona, então qualquer comentário é excelente. Em seguida,
volte para ideação ou prototipagem e aplique sua aprendizagem. Repita o
processo até ter um protótipo que funcione e resolva o problema real.
Chamada de stakeholders pelo PMBOK (PMI, 2021), material base que reúne as
melhores práticas de gerenciamento de projetos, o termo é definido como indivíduo,
grupo ou organização que pode afetar, ser afetado por ou perceber a si mesmo como
afetado por uma decisão, atividade ou resultado de um projeto.
Como já foi mostrado, tanto o design thinking quanto a transformação digital têm foco
no atendimento das necessidades do usuário, portanto a primeira e mais importante
parte interessada é o usuário.
Intragovernamental
Representa o poder executivo contando com seus ministérios,
autarquias, fundações e agências reguladoras ou não.
Setor público
Representa os demais poderes, portanto inclui Congresso, mas
também o Ministério Público, órgãos de controle e associações ou
consórcio de representantes do setor público, como por exemplo o
Comitê Gestor da Internet (CGI.br).
Internacional
Representa pessoas jurídicas do direito internacional como a
Organização das Nações Unidas o Banco Mundial. Dependendo da
abrangência geográfica, geopolítica ou finalidade da transformação
digital esse grupo pode não ser necessário.
Informais
Representa grupos de partes interessadas que não são formalmente
constituídos, no entanto podem possuir importante papel na política
ou interesse na transformação digital, como exemplo pode-se citar
youtubers ou podcasters da área de tecnologia (como já dito sobre
a importância do time vermelho, é importante incluí-los nessa
categoria).
Você já ouviu falar no Mapa de Empatia? Esse canvas é uma ferramenta interessante,
porque ajuda muito a ter insights a respeito das partes interessadas. Por meio da
empatia, a equipe do projeto tenta entender como funciona a cabeça das partes
interessadas.
Mapa de empatia.
Fonte: Dave Gray (2017). Elaboração: CEPED/UFSC (2023)
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
BROWN, Tim; WYATT, Jocelyn. Design Thinking para a Inovação Social. [S.l], 2022.
Disponível em: https://ssir.com.br/design-thinking/design-thinking-para-a-inovacao-
social. Acesso em: 12 jan. 2023.
GRAY, Dave. Empathy Map. Game Storming. [S. l.], 2017. Disponível em: https://
gamestorming.com/empathy-mapping/. Acesso em: 12 jan. 2023.
O PROCESSO DO DESIGN THINKING. [S. l.: s. n.], 2017. 1 vídeo (4 minutos). Publicado
pelo canal SPROUTS. Disponível em: https://www.youtube.com/watch?v=_r0VX-aU_
T8. Acesso em: 12 jan. 2023.
Objetivo de aprendizagem
Ao final desta unidade, você será capaz de determinar quais são os riscos envolvidos
e limitações em diferentes formas de contratos, licitações e parcerias para
desenvolvimento de soluções tecnológicas.
Alguns setores possuem servidores com estrutura física e tecnológica bem avançada
e com competência técnica para o desenvolvimento de soluções internamente. A
vantagem desse modelo é que tanto o código-fonte quanto o histórico da resolução
do problema fica no setor, então qualquer necessidade de ajuste futuro é facilitada
pelo conhecimento armazenado na própria organização.
• preço fixo;
Registro de Experiência.
Fonte: Tribunal de Contas
da União (2021, p. 9).
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
FASSIO, Rafael Carvalho de, et al. Guia de Alternativas Jurídicas e de boas práticas
para contratações de inovação no Brasil. Washington: BID. Disponível em:
https://publications.iadb.org/publications/portuguese/document/Contratacoes-de-
inovacao-guia-de-alternativas-juridicas-e-de-boas-praticas-para-contratacoes-de-
inovacao-no-Brasil.pdf. Acesso em: 12 jan. 2023.
SILVA, Francisco Eronildo da; PINTO, Aurílio Guimarães; RIBEIRO, Dallas dos Santos.
Contratação Fiscalização e gestão de serviços de TI no âmbito da Administração
Pública Federal. 1ed. Porto Alegre: PLUS/Simplíssimo, 2019
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de determinar pontos de atenção em diferentes
fases de um processo de desenvolvimento de solução digital.
Modelo Waterfall.
Elaboração: CEPED/UFSC (2023).
Esse modelo funciona muito bem quando o escopo é bem definido, quando a
necessidade é clara, os recursos necessários em cada fase podem ser planejados e
estarão disponíveis. O problema é que, muitas vezes, não se tem a clareza do valor
do produto que se quer entregar.
Metodologia Scrum
O Scrum foi criado por Ken Schwaber e Jeff Sutherland e tem muitas ferramentas
interessantes que podem ser úteis em vários setores da vida das pessoas, e
não apenas no desenvolvimento de soluções digitais. Veja a seguir as principais
definições utilizadas no Scrum:
Artefatos
Backlog do produto (lista de desejos para o produto), backlog da sprint
(divisão das tarefas a serem realizadas na sprint atual) e incremento do
produto (entregas intermediárias agrupadas para atender o cliente).
Eventos
Divisão das tarefas de gestão em equipe em momentos isolados e
controlados: planejamento da sprint, reunião diária, revisão da sprint
e retrospectiva da sprint.
Equipe
Composta por um dono do produto (que representa o usuário),
Scrum master (guardião da metodologia), especialistas das áreas
(programadores e analistas que conhecem bem as regras de negócio).
Time-box
Estabelecimento de janelas de tempo máxima para os eventos Scrum.
Na videoaula a seguir, você irá conhecer mais de perto como é um framework Scrum.
Framework Scrum.
Fonte: Scrum.org (2000). Elaboração: CEPED/UFSC (2023)
Quer ver uma boa maneira de lidar com o backlog? Use um mapa Kanban (to do –
doin - done). Veja a figura abaixo que ilustra:
Nenhuma ação ou atividade pública pode começar sem estar devidamente motivada,
ou seja, deve haver um processo administrativo listando as razões que levaram o
administrador público a autorizar o dispêndio de recursos públicos com a projeto
em questão. No direito administrativo, explicita-se que o administrador deva atestar
no processo que a ação tomada é a mais conveniente e o momento é oportuno.
Além das notas técnicas que compõem o projeto apresentado nos formatos
padronizados por cada órgão ou entidade, é importante constar um documento
mais sintético e visual para gerar engajamento na equipe.
3.2.3 Desenvolvimento
3.2.6 Documentação
Por mais robusto que tenha sido o planejamento e mesmo a gestão de riscos
no desenvolvimento do software, é impossível que seu software não precise de
manutenção, pois a todo momento a comunidade de programadores e empresas
do setor oferecem novas bibliotecas e atualizações, muitas de segurança.
3.2.8 Reporting
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de esclarecer sobre os mecanismos de ataques
cibernéticos e sua defesa e sobre os principais modos prevenção a ataques.
Phishing.
Fonte: Freepik (2023).
As informações são então usadas para acessar contas importantes e podem resultar
em roubo de identidade e perda financeira.
Uma senhora idosa que vivia sozinha ouviu a campainha e foi atender. Era uma
vizinha da mesma rua, trazendo uma pessoa que a estava procurando e parece
que tinha alguma oferta de emprego de cuidadora que essa pessoa procurava. A
pessoa pediu para tomar um café e elas ficaram conversando. Após muita conversa,
em que a senhora falou dos filhos que a mulher disse que conhecia, a mulher
pediu para testar uma roupa nova que havia acabado de comprar. A senhora
prontamente lhe ofereceu o banheiro para que testasse a nova roupa e continuou
esperando na cozinha. A mulher voltou e perguntou se a roupa havia ficado boa,
mas recebeu uma ligação e logo chamou um mototáxi que estava passando na rua
com pressa e foi embora. Somente depois a senhora idosa percebeu que tinham
levado seu dinheiro, os cartões da aposentadoria e a sensação de senhora que
vivia em um bairro seguro.
Essa história pode ser utilizada como paralelo a um ataque de engenharia social.
Agora que você já sabe que é uma história de furto, consegue reler o parágrafo
anterior e perceber como se deu o golpe?
Com uma pesquisa rápida na internet, hoje é possível saber nome dos familiares,
onde moram, gostos e interesses. E isso pode ser usado para uma aproximação,
convivência e criação de “coincidências” nas histórias para gerar confiança e, com
isso, descobrir senhas.
Quando se fala nos ataques, com toda sua complexidade e genialidade dos
cibercriminosos, as pessoas costumam se sentir indefesas, mas existem muitas
estratégias de defesa que devem ser conhecidas e aplicadas para garantir a proteção
delas e das instituições.
Texto inicial: a b c d e f g h i j k l m n o p q r s t u v w x y z
Texto cifrado: e f g h i j k l m n o p q r s t u v w x y z a b c d
Para tentar endereçar esses problemas, foi criada a criptografia assimétrica, que
consiste em uma chave pública e privada do destinatário. Com a chave pública é
possível apenas criptografar a mensagem que pode ser enviada pelo canal inseguro.
Para que o destinatário leia a mensagem, ele deve descriptografar a mensagem
usando sua chave privada.
Criptografia Assimétrica.
Fonte: Seffrin (2019). Elaboração: CEPED/UFSC (2023).
Assinatura Digital.
Fonte: Seffrin (2019). Elaboração: CEPED/UFSC (2023).
Função hash
Segurança na nuvem.
Fonte: Freepik (2023)
Derivado dessa filosofia, é importante citar a fundação sem fins lucrativos Open Web
Application Security Project® (OWASP), que possui muitos materiais interessantes e
que valem a pena ser conferidos para quem quiser se aprofundar no tema.
A diferença nas plataformas móveis fica por conta da programação para visualização
do usuário que é o que se chama de frontend. Assim, ter um site seguro seguindo
as melhores práticas não implica necessariamente que a versão mobile, app, tem
o mesmo nível de segurança. Afinal, muitos dos roubos de informações e senhas
podem ocorrer por códigos maliciosos no frontend.
Qualquer tipo de ataque, seja por phishing ou tipos de malware não funcionariam sem
o ingrediente mais importante: você. Ou seja, uma versão crédula de você, que está
disposta a abrir um anexo de e-mail que você não reconhece, ou clicar e instalar algo
de uma fonte não confiável.
Até mesmo quando se instala algo de uma fonte confiável, é preciso atenção à
solicitação de permissão, pois é comum que muitos softwares venham com extensões
que o usuário não deseja. Estas extensões, por vezes, são apresentadas como um
componente necessário, o que em muitos casos não é.
Assim, uma boa prática é que sistemas críticos e funções muito importantes, como
apagar o sistema ou excluir um banco de dados completo, não devem estar sob
responsabilidade de uma única pessoa (com única senha).
Assista a videoaula a seguir, na qual você irá aprender um pouco mais sobre definição
de papéis e responsabilidades.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
MITRE. Att&ck. [S. d.]. Disponível em: https://attack.mitre.org/. Acesso em: 13 jan.
2023.
OPEN Web Application Security Project (OWASP). OWASP. [S.d.]. Disponível em:
https://owasp.org/. Acesso em: 13 jan. 2023.
4 Tratamento de Incidentes
Muito se falou em prevenção, mas neste módulo será abordado o que fazer quando
o acidente já ocorreu. O começo do tratamento de um incidente deve começar muito
antes dele existir. Neste módulo será discutido o que fazer quando um incidente
ocorre e como é feita a investigação.
Objetivo de aprendizagem
Ao fim desta unidade você será capaz de esclarecer sobre o fluxo dos processos e
procedimentos de gestão de incidentes.
Para iniciar o estudo neste tema, veja as diferenças entre os termos incidente e
acidente:
Incidente
Pode ser definido como uma ocorrência, condição ou situação
decorrente do curso do trabalho que resultou ou pode ter resultado
em algum tipo de dano.
Acidente
Também é muito utilizado e pode ser definido como um evento não
planejado que interrompe a conclusão de uma atividade, que pode
incluir lesões ou danos materiais.
A questão de quais processos devem ser priorizados e quais processos podem ser
paralisados tem de estar previamente definida em documentos públicos gerados
após uma longa discussão de planejamento, conforme você verá a seguir.
“Principais” é um termo chave aqui. Uma análise de risco anterior deve mostrar
quais são os processos mais críticos da organização, de maneira que eles devem
receber prioridade no restabelecimento das funções.
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
Objetivo de aprendizagem
Nesta unidade será analisado como o direito penal trata os crimes cibernéticos,
mostrando a importância de se manter a cadeia de custódia e auxiliar a perícia na
investigação dos crimes cibernéticos.
Muitos dos crimes cibernéticos são crimes comuns cometidos na internet, dos
quais se pode citar a calúnia (atribuir autoria de um fato criminoso - art. 138 do
Código Penal), difamação (atribuir fato ofensivo à reputação ou honra – art. 139 do
Código Penal), injúria (ofender a dignidade – art. 140), ameaça (ameaçar alguém
de causar-lhe mal injusto e grave – art. 147) ou falsa identidade (mentir sobre sua
identidade para obter vantagem indevida ou para causar dano a alguém - art. 307).
Nesses casos, os sistemas informáticos são apenas um meio e, por isso, a doutrina
os classifica como crimes informáticos impróprios.
Como foi visto, a legislação tem se atualizado para prever os casos de crimes
cibernéticos, mas ainda cabe ao operador do direito provar que o ilícito previsto
ocorreu, quem foi o autor, determinar local do crime, entre outros.
Perícia em computação.
Fonte: Freepik (2023).
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de diferenciar estruturas de governança de gestão
pública, de TI, de riscos e de privacidade, relacionando-as com a Segurança da Informação.
Para iniciar seus estudos no tema, assista a videoaula a seguir, na qual você irá
aprender a respeito das diferentes esferas de governança.
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
ISACA. Control Objectives for Information and related Technology. COBIT: Na ISACA
Framework. ISACA, Schaumburg, 2023. Disponível em: https://www.isaca.org/
resources/cobit. Acesso em: 13 jan. 2023.
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de listar certificações na área e conhecimentos
acerca da ética e profissionalismo e da atualização constante no trabalho com a
Segurança da Informação.
Todo órgão ou entidade tem suas peculiaridades, então não existe um framework,
modelo ou metodologia que seja simplesmente aplicado sem adaptações.
A ciberética:
Existe uma grande gama de certificações algumas mais iniciais e outras mais
avançadas, o que atende a um nicho específico de profissional que trabalha com
tecnologias proprietárias, como Microsoft, Amazon ou Cisco. Na figura seguinte
você poderá ver uma lista de certificações.
Assim, aqui se tem dois casos: o do profissional que tem uma demanda específica
por conhecer alguma tecnologia proprietária como Amazon, Cisco ou Microsoft,
pois seu local de trabalho ou posição almejada trabalha com a tecnologia específica
e que, portanto, é recomendado buscar a certificação apropriada; ou, por outro
lado, um profissional que deseja se aprofundar no tema e que, portanto, quer uma
formação mais generalista.
Que bom que você chegou até aqui! Agora é a hora de você testar seus
conhecimentos. Para isso, acesse o exercício avaliativo disponível no ambiente
virtual. Bons estudos!
6 Segurança da Informação
na Prática: Casos Reais na
Administração Pública
No último módulo você verá uma abordagem com alguns atores importantes da
segurança da informação e conhecerá alguns casos reais.
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de determinar, a partir de casos práticos, o
funcionamento da Segurança da Informação em órgãos do serviço público.
Mas isso não impede que a administração pública e o seu corpo de servidores sofram
tentativas de ataques constantes. Esses ataques vão desde ataques de negação de
serviço até sequestros de bancos de dados públicos.
Guardião da Segurança.
Fonte: Freepik (2023).
Como se pode ver, os servidores públicos nem sempre são alvos de ataques
cibernéticos buscando unicamente valor financeiro imediato, pois nos bancos de
dados e sistemas públicos circulam muitas informações privilegiadas, que podem ser
utilizados para afetar mercados buscando lucros injustos, para fugir da fiscalização
ou do controle policial no caso de atividades ilícitas, ou mesmo para uso político de
informações sensíveis que podem estar inclusive no celular de autoridades.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!