O Espaço Cibernético

José Carlos L. Martins

e Cibersegurança
Caraterizar as Organizações
na Era da Informação e da
Sociedade em Rede

© Esta informação está sujeita a direitos de autor e

propriedade intelectual, não devendo ser utilizada para outros
fins que não aqueles para os quais foi facultada. Não deve ser
reproduzida ou divulgada a terceiros, sem o prévio
consentimento escrito do autor.

jose.carloslm@gmail.com

OBJETIVOS

- Caraterizar sumariamente as organizações na Era da Informação e

da Sociedade em Rede.

- Caraterizar o papel da Segurança da Informação, dos SI e da

Ciberdefesa para a obtenção da superioridade de informação no
ambiente competitivo ou conflitual das organizações.

- Analisar os conceitos de Competitive Intelligence I Guerra da

Informação, na “construção” dos Métodos de Ataque à Informação,
aos Sistemas de Informação e às Infraestruturas Criticas.

© José Carlos L. Martins

1
 Diagnóstico

1. Indique as propriedades fundamentais de Segurança da

Informação (e da Cibersegurança)?

2. Porque é que a Cibersegurança e a Segurança da Informação é

fundamental para as Organizações?

3. Identifique dois subsistemas do ambiente geral de uma

Organização que podem afetar directamente a segurança da sua
informação? Justifique.

4. Indique os principais componentes de um Sistema de

Informação cujas vulnerabilidades podem ser exploradas por
um adversário?

© José Carlos L. Martins

1 2 3

Como obter a Competitive Intelligence e

Ambiente Externo e Interno
Superioridade de Informação? Guerra de Informação.
das Organizações.

4 5 6

Principais Como Abordar a

Vetores de Ataque? Relatórios e Casos de Estudo. Segurança da Informação?

7 8

Como integrar estas temáticas? Considerações Finais.

- Visão de Sistema - © José Carlos L. Martins

2
 1

Ambiente Externo e Interno

das Organizações

© José Carlos L. Martins

© José Carlos L. Martins

3
 Sociedade em Rede

As redes são formas muito antigas da atividade humana, mas

atualmente essas redes ganharam uma nova vida, impulsionadas pela
Internet, ao converterem-se em redes de informação, (Castells, 2004).
© José Carlos L. Martins

A Empresa na Era da Informação

e do Conhecimento

Transformação do Negócio e da Gestão

através das Tecnologias de Informação.

q Globalização.
q Sujeita a uma evolução contínua das tecnologias.
q Competitividade dos mercados e interdependência.
q Mudança , incerteza e complexidade.
q Importância crescente do conhecimento.
q Novas ameaças à segurança da informação.

© José Carlos L. Martins

4
 Visão Sistémica
e Contingencial da Organização
AMBIENTE GERAL

AMBIENTE DA TAREFA

SOCIAL ORGANIZAÇÃO
(SI)
LEGAL

CLIENTES

ECOLÓGICO Fonte : Adaptado de Varajão (1998, p.19)

© José Carlos L. Martins

SISTEMAS DE INFORMAÇÃO
Os Sistemas de Informação procuram satisfazer as
necessidades de informação dos processos de negócio da
organização, através de um conjunto de componentes inter-
relacionados, que reúnem ou procuram, processam,
armazenam e distribuem informação destinada a suportar o
processo de tomada de decisão e o controlo de uma
organização.
(Laudon e Laudon, 2006)

….segundo a doutrina militar americana: “a infra-estrutura

completa, organização, pessoal e componentes que recolhem,
processam, armazenam, transmitem, mostram, disseminam e
actuam na informação”. (FM 100-6, 1996, p.glossary_8)

© José Carlos L. Martins

5
 Componentes
de um Sistema de Informação
(Classes de Ativos & Vulnerabilidades)

Hardware Software

Pessoas

Bases de Dados Rede Procedimentos

Fonte: Adaptado de Turban et al. (2003, p.19)

Design – Implementação – Configuração - Administração

© José Carlos L. Martins

CIBERESPAÇO
Department of Defense - Standard US Military:
“Um domínio global dentro do ambiente de informação
consistindo em redes inter-dependentes de infra-estruturas
de tecnologia de informação, incluindo a internet, redes de
telecomunicações, sistemas de computadores, integrando
processadores e controladores.” (JP 1-02, 2010, p. 118)

Cyber Security Strategy of the United Kingdom:

“Ciberespaço engloba todas a formas de rede, atividades
digitais; este inclui o conteúdo e as acções conduzidas
através das redes digitais.” (Cyber Security & Cyber Security Operations Centre,
2009, p. 7)

Défense et Sécurité Nationale - Le Livre Blanc:

Novo campo de ação, dentro do qual já se desenrolam
operações militares, constituído por uma série de redes,
diferentes do espaço físico, sem fronteiras, evolutivo,
anónimo. (Le Livre Blanc, 2008)

© José Carlos L. Martins

6
 2

Como obter a

Superioridade de Informação?

© José Carlos L. Martins

Dados, Informação e Conhecimento

A informação é o significado
construído a partir dos dados ou
seja são dados em contexto, com
relevância e propósito. Resultado
da interpretação ou
processamento de dados.

Fonte: Laudon e Laudon (2006)

Factos discretos e Informação que as pessoas usam para dar

objectivos relativos a significado aos acontecimentos, objectos e
acontecimentos, fáceis de situações, construindo modelos mentais que
estruturar, capturar e permitem planear a sua acção e implementar
transferir, que não têm um essa acção de acordo com objectivos e interesses
significado especifico. pessoais ou colectivos (Santos e Ramos, 2006,p. 8).

© José Carlos L. Martins

7
Gestão da Informação
(Ciclo de Vida da Informação)

Gestão
da
Informação

Acesso
Fonte: adaptado de Gouveia (CXO, 2007, p. 168)

© José Carlos L. Martins

Competitive Intelligence &

Guerra de Informação

© José Carlos L. Martins

8
Competitive Intelligence

Obter a Vantagem de Informação sobre os

Concorrentes / Competidores de forma Ética e Legal.

1. Identificar as necessidades de informação.

2. Recolher dados e informação.

3. Analisar os dados e a informação recolhida em

função das necessidades.

4. Utilizar o resultado da análise, na tomada de

decisão, de natureza operacional, táctica ou
estratégica.
Fonte: Taborda e Ferreira (2003)

© José Carlos L. Martins

Ciberterrorismo & Cibercriminalidade

© José Carlos L. Martins

9
Guerra de Informação

“Ações desenvolvidas para obter a superioridade de

informação afetando a informação do adversário, os
processos baseados em informação, os Sistemas de
Informação e as redes baseadas em computadores de
um adversário enquanto se defende a nossa própria
informação, os processos baseados em informação, os
Sistemas de Informação e as redes baseadas em
computadores.” (FM 100-06, 1996, p. 224)

© José Carlos L. Martins

Infra-Estruturas Críticas

Infra-estrutura crítica, aquela cuja ruptura pode produzir efeitos de âmbito

nacional, ou regional, de tal forma que afecte o regular funcionamento dos serviços
da sociedade civil e das instituições nacionais, criando um problema de segurança
nacional. Neste contexto, é considerada a infra-estrutura crítica toda a infra-estrutura
que obedeça ao critério anterior, E que seja controlada através de um Sistema de
Informação, para a regulação automática ou semi-automática do seu funcionameno.
(General Jesus Bispo, Seminário de GI / Academia Militar, 2003

“Critical infrastructure include those physical resources, services, and information

technology facilities, networks and infrastructure assets which, if disrupted or
destroyed, would have a serious impact on the health, safety, security or economic
well-being of Citizens or the effective functioning of governments.” (Commission of the
European Communities, 2005, p. 20)

“All critical infrastructures (transportation, finance, electric power, water, etc.) are
increasingly dependent on the evolving information infrastructure—the public
telephone network, the Internet, and terrestrial and satellite wireless
networks—for a variety of information management, communications, and control
functions.” (Personick & Patterson, 2003, p. 1)
© José Carlos L. Martins

10
CIBERGUERRA
ü Consideram-se fundamentalmente como Operações
de Ciberguerra as CNO.

§ Estas enquadram-se dentro da C2W.

§ C2W enquadra-se dentro das Operações de

Informação.

“USCYBERCOM plans, coordinates, integrates,

synchronizes and conducts activities to: direct the
operations and defense of specified Department of
Defense information networks and; prepare to, and
when directed, conduct full spectrum military
cyberspace operations in order to enable actions
in all domains, ensure US/Allied freedom of action
in cyberspace and deny the same to our
adversaries.” Fonte: http://www.stratcom.mil/factsheets/cc/ (consultado em 13 de
Novembro de 2010)

© José Carlos L. Martins

CIBERGUERRA ... Realidade?

ESTÓNIA

GEÓRGIA

Fonte: http://temi.repubblica.it/UserFiles/Image/limes/Carte/8qs2- Fonte:

guerra-georgia-500.jpg http://revistaepoca.globo.com/Revista/E
poca/foto/0,,33002967,00.jpg

© José Carlos L. Martins

11
O que diferencia a Ciberguerra dos
ataques convencionais aos SI?

ü EFEITO DE ESCALA

ü ALVOS (INFRA-ESTRUTURAS CRITICAS)

ü TIPO E ORGANIZAÇÃO DO ATACANTE

ü DINÂMICA E EVOLUÇÃO DAS ARMAS

Fonte: Palestra do Prof. Henrique dos Santos, AM, 23OUT10

© José Carlos L. Martins

O que não diferencia a Ciberguerra dos

ataques convencionais à Informação e aos SI
nas Organizações?

üA INFORMAÇÃO COMO ALVO

ü OS PRINCIPAIS VETORES DE ATAQUE

ü A MAIORIA DOS MÉTODOS DE ATAQUE

ü VULNERABILIDADES DOS COMPONENTES DE SI

ü A IMPORTÂNCIA DO ELEMENTO HUMANO

© José Carlos L. Martins

12
 4

Quais os Principais

Vetores de Ataque?

© José Carlos L. Martins

Níveis de Atuação
do Adversário
NIVEL DE ATUAÇÃO ALVO

Nível Humano

Nível da
Infraestrutura
Tecnológica

Nível Físico

Fonte: Martins (2008), adaptado do Modelo Operacional das Operações de Informação segundo Waltz (1998, p.149)
© José Carlos L. Martins

13
Caraterização dos Níveis de Atuação

ü Nível Humano (decisão e comportamento):

“human mind” perceção, crenças e
raciocínio (e.g., PSYOPS).

ü Nível Tecnológico: “soft attacks”;

infraestrutura de informação que recolhe,
processa, transmite e armazena a
informação (e.g., computer network attacks).

ü Nível Físico: “hard attacks”; destruição de

instalações e equipamentos. Meio indireto
ou direto de influenciar a informação (e.g., ataque
eletrónico, roubo, sabotagem).

© José Carlos L. Martins

Relatórios &

Casos de Estudo

© José Carlos L. Martins

14
 © José Carlos L. Martins

Como Abordar a

Segurança da Informação?

© José Carlos L. Martins

15
 Gestão de
Segurança da Informação

Consiste na protecção da informação

armazenada, processada ou transmitida
contra a perda de confidencialidade,
integridade e disponibilidade, através
da implementação de um variado
conjunto de controlos técnicos,
administrativos e físicos.
© José Carlos L. Martins

Nível de Abordagem - Organização

Bottom-Up

HUMANO ▪ Competências
& ▪ Ética Profissional
TECNOLOGIA ▪ Instruções de Trabalho
▪ Ciência dos Computadores
▪ …..

ORGANIZAÇÃO Sistema
(Tecnologia - Processos - Pessoas)

▪ Estratégia
▪ Arte da Guerra
ESTADO ▪ Cooperação Público-Privado
▪ Legislação e Regulamentação
▪ …..
Top-Down

© José Carlos L. Martins x

16
 © José Carlos L. Martins

“Many organizations incorrectly assume that

information security is a technical issue. It is
not. Information security is a management
issue that require technical solutions.” (CISSP, 2008,

p. 36)

© José Carlos L. Martins

17
 7

Como integrar estas temáticas?

<Visão de Sistema>

© José Carlos L. Martins

Sistema SVÇ
A
SVÇ
B

SVÇ
D

SVC
C SVC
E

“System is a concept that is useful to study active

objects, especially when they are complex. A system is the
result of viewing the active world from a certain point of view.
Any thing (and specially an active thing) can be viewed as
being a system. A system (in general or in abstract) can be
defined as an active (does something), stable (has a
structure ...) and evolutionary (.. . that changes over
time) thing or object that operates in an environment (it
interacts with other things) with some purpose (from the
point of the view of the modeller, there is a reason for the
system to do what it does)” (Le Moigne, 1977)
© José Carlos L. Martins

18
 Prática /
Discussão

Caso fosse nomeado responsável pela

Segurança da Informação e

Cibersegurança da sua Organização,

quais seriam as suas principais

preocupações?

© José Carlos L. Martins

Considerações Finais

© José Carlos L. Martins

19
Ideias Chave

ü A importância dos conceitos e a

relevância das referências documentais
que os suportam.

© José Carlos L. Martins

Ideias Chave (II)

ü Identificar e Classificar os ativos

críticos da Organização (e.g., info, HW,
SW).

ü Categorias de Classificação de
Segurança.

© José Carlos L. Martins

20
Ideias Chave (III)

ü Garantir as propriedades essenciais da

segurança da informação, i.e., a
confidencialidade, a integridade e a
disponibilidade, nos ativos críticos.

© José Carlos L. Martins

Diagnóstico

1. Indique as propriedades fundamentais de Segurança da

Informação (e da Cibersegurança)?

2. Porque é que a Cibersegurança e a Segurança da Informação é

fundamental para as Organizações?

3. Identifique dois subsistemas do ambiente geral de uma

Organização que podem afetar directamente a segurança da sua
informação? Justifique.

4. Indique os principais componentes de um Sistema de

Informação cujas vulnerabilidades podem ser exploradas por
um adversário?

© José Carlos L. Martins

21
Os Pecados Mortais
da Gestão de Segurança da Informação

Não perceber que a segurança da informação

Ø É uma responsabilidade da gestão de topo.

Ø Questão de negócio e não apenas uma questão técnica.
Ø É baseada numa identificação e avaliação do risco.
Ø Deve ter foco nas melhores práticas internacionais.
Ø Deve ser suportada numa politica de segurança.
Ø Deve ter monitorização permanente.
Ø É uma disciplina multidimensional e difícil.
Ø Necessita de uma estrutura de gestão / organização.
Ø Sensibilização permanente dos utilizadores.

Fonte: adaptado de Solms e Solms (2004)

© José Carlos L. Martins

“ É MUITO MELHOR SABER UM POUCO SOBRE

TUDO DO QUE SOBRE UMA SÓ COISA. ”
Blaise Pascal

© José Carlos L. Martins

22