MACROPROCESSOS PARA MAPEAMENTO DE ATIVOS DE

INFORMAÇÃO

1
Sumário
INTRODUÇÃO....................................................................................................................... 2
MAPEAMENTO DE ATIVOS DE INFORMAÇÕES ................................................................ 4
MACROSSISTEMA DA CIBER PROTEÇÃO ....................................................................... 10
SISTEMA DE INFORMAÇÃO .............................................................................................. 12
SEGURANÇA CIBERNÉTICA ............................................................................................. 17
REFERÊNCIAS ................................................................................................................... 20

1
 INTRODUÇÃO

Como ocorre em outros países, é papel do Estado proteger suas

Infraestruturas Críticas e, consequentemente, o espaço cibernético e a infraestrutura
crítica de informação que as suportam, a fim de criar condições para o
desenvolvimento sustentável do país.
Dessa forma, o presente artigo visa discutir sobre a necessidade de o Estado
Brasileiro estar estruturado para fazer frente às ameaças externas e internas que
possam colocar em risco o bem-estar do povo, afetando uma ou mais Expressões
do Poder, assim como as ações de proteção e recuperação dos ativos críticos, que
devem estar organizadas de forma sistêmica, pois não se sabe quando elas poderão
acontecer.
Portanto, para que o Estado possa ter uma consciência situacional das
ocorrências desses ataques e ter a possibilidade de uma pronta-resposta, propõe-
se, como uma das primeiras linhas de ação, que cada área considerada como
infraestrutura crítica tenha um Centro de Tratamento de Incidente de Redes de
Computador, concentrando nele o acompanhamento de todos os incidentes de redes
das organizações afetas a essa área específica, replicadas pelas Equipes de
Tratamento de Incidentes de Redes localizadas nesses órgãos, e que estes Centros
estejam integrados a um grande Centro de Gerenciamento de Crises do Estado, que
pode estar localizado no Gabinete de Segurança Institucional da Presidência da
República, que já exerce esse papel para a Administração Pública Federal com o
Centro de Tratamento de Incidentes de Rede.
Por fim, propõe-se a criação de um Sistema de Segurança e Defesa
Cibernético Brasileiro, para integrar, de modo colaborativo, todos os entes
vinculados com a proteção das Infraestruturas Críticas Nacionais, incluindo-se os
Órgãos de inteligência do Estado.
Com o advento da Era da Informação, também conhecida como Era Digital, e
sua sucedânea, a Era do Conhecimento, a informação foi alçada à categoria de ativo
estratégico para organizações e Estados-Nação, conferindo àqueles que a detém e
dela se utilizam, efetiva e oportunamente, uma inquestionável vantagem no ambiente
competitivo e nos contenciosos internacionais.
A Internet, proporcionando conectividade em tempo real e abrangência
mundial, trouxe consigo crescimento sem precedentes no volume de informações

2
disponíveis aos modernos decisores, mas, por outro lado, sua grande
vulnerabilidade, aliada à existência de novos atores de funestas intenções no cenário
internacional, fez crescer a preocupação com a proteção da informação que por ela
trafega. Segundo Mandarino (2010), Infraestruturas Críticas (IC) são “as instalações,
serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão
sério impacto social, econômico, político, internacional ou à segurança do Estado e
da sociedade”.
A definição mais usual de IC é aquela que, uma vez prejudicada por
fenômenos de causas naturais, como terremotos ou inundações ou por ações
intencionais de sabotagem ou terrorismo, traz grandes reflexos negativos para toda
uma nação e sua sociedade. São exemplos clássicos de IC: as redes telefônicas; os
sistemas de captação e distribuição de água; e as fontes geradoras e as redes de
distribuição de energia.
Com um mundo hiperconectado, a vulnerabilidade das IC tornou-se um dos
maiores desafios da atualidade, confirmado em análise apresentada pelo Boston
Consulting Group. Desse modo, as evidências de riscos tecnológicos tratados no
ambiente cibernético e direcionados às IC que se utilizam de Sistemas de Controle
Industrial na monitorização de seus processos, ressaltam-se na medida em que tais
sistemas vêm sofrendo significativa transformação, passando de sistemas de
tecnologias proprietárias e isoladas para o emprego de arquiteturas abertas, estas
interligadas, sobremaneira, com sistemas corporativos e com a rede mundial de
computadores.
Seguindo essa linha de raciocínio, qualquer impacto, seja ele positivo ou
negativo, nas Infraestruturas Críticas Nacional (ICN), irá afetar o Poder Nacional, que
se traduz na capacidade que tem o conjunto de homens e dos meios que constituem
a Nação, atuando em conformidade com a vontade nacional, para alcançar e manter
os objetivos nacionais, manifestado nas cinco expressões: a política, a econômica,
a psicossocial, a militar e a científico-tecnológica. Dessa forma, é imperioso ao
Estado se organizar para fazer frente a qualquer ação, seja ela natural ou intencional,
que venha a colocar em risco uma IC.
Por isso, este artigo propõe algumas alternativas estratégicas, visando
contribuir para melhorar a estruturação, a sistematização e a integração das ICN com
os órgãos estratégicos do governo e as Forças Armadas.

3
 MAPEAMENTO DE ATIVOS DE INFORMAÇÕES

A gestão de ativos em TI é uma prática necessária e fundamental dentro de

qualquer tipo de empresa.
Embora seja um conceito relativamente simples, na prática pode ser bem mais
complexa de se realizar, principalmente considerando a grande quantidade de ativos
que uma companhia pode ter à disposição.
Muitas pessoas tendem a acreditar que esse procedimento é apenas uma
maneira de tornar o ambiente de trabalho mais organizado ou uma forma de fazer o
levantamento patrimonial da empresa. Mas não é só isso!
Se você quer saber quais os outros motivos para cuidar da gestão de ativos
de TI na sua empresa, além de ser capaz de responder à pergunta que fizemos no
início do texto, continue lendo e descubra tudo o que você precisa saber sobre esse
assunto!
O que é a gestão de ativos?
Você sabe, antes de mais nada, o que são os ativos de uma empresa?
Os ativos representam todos os itens que compõem uma organização, onde
as informações são criadas, processadas, armazenadas e compartilhadas.
A gestão de ativos é essencial porque através dela o gestor pode priorizar
investimentos e concentrar esforços nos ativos mais importantes, que realmente são
responsáveis pelos processos da organização ou, colocando de uma forma mais
popular, os que “carregam a empresa nas costas”.
A gestão de ativos no setor de TI, por outro lado, implica outros aspectos.
Sua atuação está mais voltada a cuidar dos componentes tecnológicos –
sejam eles físicos ou virtuais – evitando assim o desperdício de recursos com
investimentos que não são eficazes.
Mas que componentes tecnológicos são esses?
São todos aqueles que fazem parte do ambiente da Tecnologia da
Informação, por exemplo:
Hardware (roteadores, servidores, firewalls);
Software (sistemas operacionais, carga de processamento, backup);
Dispositivos de armazenamento móvel, como pen drive e hd externo;
Componentes do computador, como placa-mãe, memória ram, processador,

4
HD;
Componentes periféricos, como mouse, teclado, monitores;
Impressoras conectadas à rede;
Consumo e insumos (energia elétrica, manutenção, segurança física).
Ou seja, a gestão de ativos é uma atividade que agrega valor para a inovação
do negócio e que atua como uma estratégia que visa fortalecer a empresa.
E ela faz isso ao auxiliar na consolidação dos sistemas, assim como na
agilidade e economia com softwares e hardwares.
Este mecanismo permite ainda economizar tempo e dinheiro das
empresas, potencializando sua capacidade e, assim, gerando mais retorno.
Não fazer uso e não procurar se informar sobre a infraestrutura dos ativos de
TI pode causar gastos que poderiam ser evitados ou reduzidos de forma significativa.

Importância e benefícios da gestão de ativos

Ter um ambiente corporativo bem controlado contribui, sem dúvida, para a
eficiência dos sistemas internos, tornando-os mais ágeis, seguros e econômicos.
Isso tem uma relação direta com a inovação, tão importante para elevar os
níveis de competitividade de qualquer empresa no mundo atual.
É através da gestão de ativos de Tecnologia da Informação que o gestor
poderá de fato observar quando um investimento é necessário ou não, se
determinada tecnologia deve ser substituída ou se a empresa necessita de um novo
recurso.
Os principais benefícios que podem ser notados através da adoção da gestão
de ativos estão relacionados à redução de custos e ao aumento da produtividade.
Podemos citar como alguns desses principais benefícios:
Implementação simples de novas tecnologias;
Controle de custos;
Realocação ou eliminação de licenças de software não utilizadas;
Limitação da sobrecarga de sistemas;
Redução de riscos;
Atualização constante dos sistemas e hardwares;
Mais eficiência na rotina de trabalho;
Aumento da segurança.
Vamos ver, a seguir, mais detalhes sobre alguns desses benefícios.

5
 Controle de custos
A gestão de ativos permite que o gestor decida se novos investimentos são
realmente necessários.
Manter acessíveis e organizados os dados referentes à sua infraestrutura é o
que permitirá avaliar se, de fato, está na hora de abrir a carteira.
Há ainda nesse cenário um recurso que pode passar despercebido, mas que
pesa na conta final: recursos utilizados abaixo de sua real capacidade.
Esses são aqueles ativos que estão sobrando em uma área da empresa e
poderiam ser alocados para outra equipe, por exemplo. Ou simplesmente
descartados também, como acontece com os casos de licenças
de software excedentes.
Aumento da segurança
Estamos cientes de que a tecnologia apresenta diversos riscos, como roubo
de dados e exposição de informações de clientes, por exemplo.
Nesse contexto, precisamos destacar que a gestão de ativos de TI também é
muito eficiente para proteger a rede corporativa contra ameaças externas.
A comunicação de dados ocorre pela rede, que precisa ser trabalhada de
forma a evitar vulnerabilidades.
Buscar organizar o controle minucioso de todas as máquinas facilita a
detecção de brechas na segurança de caráter cibernético na empresa.
Programas de segurança desatualizados ou a instalação de agentes
maliciosos são dois tipos de riscos muito comuns e que facilmente passam
despercebidos.
Aplicando a gestão de ativos você evitará esses riscos e ainda terá a garantia
de que a política de segurança interna seja respeitada, protegendo a integridade da
empresa.
Mais eficiência na rotina de trabalho
A eficiência na rotina de trabalho é um dos principais motivos para a busca
por evoluir e encontrar novas formas de produzir através da tecnologia ser tão
constante.
Porém, ao longo do processo, se tudo não for feito corretamente o com
responsabilidade, esse principal objetivo pode acabar sendo muito prejudicado.
Os sistemas de computadores, por exemplo, se não forem alocados em todo
um plano de manutenção de infraestrutura, podem acabar atrasando o rendimento.

6
 Mas o que fazer para que isso não aconteça?
É preciso que todos os sistemas computacionais tenham um
acompanhamento periódico e um excelente apoio técnico para que funcionem em
seu melhor potencial.
Problemas técnicos são constantes na rotina de trabalho e, além de
atrapalharem o desempenho do serviço, provocam estresse nos colaboradores.
Através do planejamento correto dessa manutenção, os técnicos ficam menos
sobrecarregados com funções de última hora e, consequentemente, o fluxo de
trabalho como um todo se torna mais produtivo e a empresa sai lucrando.
Como realizar uma gestão de ativos em TI
Há uma variedade de premissas que um gestor pode seguir para melhorar a
sua gestão de ativos de Tecnologia da Informação e ficar mais perto de conquistar o
máximo de produtividade e eficiência neste setor.
Agora que você já entendeu melhor o que de fato é a gestão de ativos, vamos
citar algumas dessas práticas que você pode adotar para inserir esse conceito na
realidade da sua organização.
1) Mapeamento dos ativos
O primeiro passo dessa jornada de gestão de ativos é fazer o mapeamento
desses dados.
Isso consiste na organização dos componentes e fatores associados às suas
respectivas utilizações.
Para realizar um mapeamento que de fato seja efetivo, em geral dividem-se
todos os ativos em três categorias básicas, que podem ser subdivididas depois.
Essas categorias primárias são: equipamentos, sistemas e usuários.
Algumas subcategorias podem ser criadas dentro de cada uma delas, a
depender do nível de controle que o gestor pretende exercer sobre todo o ambiente
de TI e a quantidade de ativos que ele possui.
Esse é um aspecto que fica realmente por conta do que o gestor considerar
melhor.
O importante é ter em mente que o cuidado de mapear todos os ativos é o
que possibilita que você obtenha os detalhes relacionados aos serviços de
tecnologia.
Isso é o que possibilitará que você avalie melhor os impactos causados pela
área de TI na empresa.

7
 Com todos os componentes relacionados, você poderá visualizar quais as
consequências de uma falha ou erro com muito mais clareza.
2) Elaboração do inventário
Após feito o mapeamento, é hora de elaborar o inventário.
A elaboração de um inventário dos ativos é importante para que o gestor tenha
à sua disposição uma relação clara e simples dos ativos que tem.
Isso permite que ele possa tomar decisões de uma forma mais segura.
Quando falamos deste inventário, estamos dizendo que ele deve incluir
desde softwares, sistemas até hardwares e recursos humanos, que podem ser
analisados futuramente.
O principal objetivo com essa ação é sempre manter toda a estrutura de TI o
mais atualizada e alinhada o possível com a estratégia da empresa.
O inventário para gestão de ativos pode ser elaborado com base nos sistemas
operacionais empregados na rotina da empresa.
É através disso que se torna possível definir qual a melhor técnica para avaliar
esses ativos.
É possível também optar por uma análise baseada em agentes, vista como
uma das mais efetivas para obter o maior número de informações relacionadas aos
ativos.
Essa análise considera questões como tipo, fabricante, status, localização,
custo, dados de licenças, entre outros aspectos.
3) Acompanhamento dos ciclos de vida
É importante saber que todos os ativos de software e hardware integram um
ciclo que passa por diversas fases.
Essas fases são as responsáveis por auxiliar no controle do ciclo de vida dos
ativos, resultando em uma utilização mais eficiente deles ao saber as informações
de aproveitamento de cada um.
Essas mudanças devem ser acompanhadas de anotações como motivo, data,
hora, usuário que realizou a modificação, entre outras informações específicas e
detalhadas.
Esse cuidado permite mais controle sobre seus ativos e a tomada de decisão,
que se torna mais segura no que diz respeito a compra, reparo ou atualização de
algum ativo, evitando que ele chegue mais rápido ao fim de sua vida útil, por
exemplo.

8
 4) Automatização de alertas
A gestão de ativos em TI é formada por diversas etapas.
Durante essas etapas, vários profissionais passam pelo processo, até que
enfim chegue ao usuário final.
Isso torna bastante complicado evitar falhas durante o processo.
Essas falhas podem afetar a usabilidade desses ativos e, nesse sentido, é
preciso buscar formas de diminuir a ocorrência desses erros.
Assim, uma opção bastante eficaz é automatização de alertas, que podem
notificar os responsáveis do processo caso haja algum problema.
Dessa forma, a solução acontece de forma mais rápida e evita danos maiores
à estrutura dos ativos.
É por esse motivo que é essencial que os responsáveis sejam sempre
comunicados sobre as alterações na infraestrutura de TI por meio de alertas
automáticos.
5) Investimento em capacitação dos profissionais
Investir na qualificação e no treinamento dos profissionais que estão
envolvidos na gestão de ativos é uma necessidade. Esta é, inclusive, uma das
formas mais eficazes de ter sucesso.
Afinal de contas, uma equipe de TI eficiente sabe se posicionar dentro da
empresa e sabe também o contexto de TI para as operações, as tendências
tecnológicas que podem ser úteis, bem como as especificidades da rotina de toda a
corporação.
Um bom gestor tem consciência de que os colaboradores são uma importante
ferramenta para o sucesso dos negócios, e por isso busca sempre motivá-los e torná-
los mais engajados, fazendo com que sejam profissionais mais capacitados a cada
dia.
6) Parceria com bons fornecedores
O contato com bons fornecedores é fundamental para que os ativos tenham
mais qualidade em relação à construção, função e performance.
Itens como mapeamento, automação e métricas de produtividade estão
relacionados a uma boa infraestrutura e a um suporte eficiente.
No que diz respeito à Tecnologia da Informação, o fornecedor precisa ser
sinônimo de um parceiro e aliado mais do que importante para que seja possível
formar a base da sua gestão de ativos.

9
 7) Integração das informações
Sabemos que tornar as informações mais úteis e acessíveis é uma forma de
poupar tempo e trabalho da equipe. Então por que não fazer isso?
Reunir todos os dados e as informações de diferentes fontes e organizar tudo
em um único local pode facilitar a vida dos gestores.
Isso porque a interação entre esses dados é o que permite que os funcionários
possam avaliar melhor as respostas de cada ativo para cada solicitação.
Tudo fica disponível com mais clareza.
Colocando em outras palavras, é algo como achar a causa de um problema
por meio de uma característica/um efeito encontrado previamente.
Mas para que isso consiga de fato acontecer de forma eficiente, é preciso
realizar uma análise completa dos ativos, e por isso é tão importante a integração
entre informações.

MACROSSISTEMA DA CIBER PROTEÇÃO

Nesta seção, conclui-se a fase 1 do SIAP-Ciber Proteção com a

sistematização das análises/diagnóstico realizados.
A concepção do Macrossistema de Ciber Proteção (MSCP) tem por pretensão
agrupar, de forma simplificada e esquemática, os mais representativos ambientes e
atores nacionais relacionados com o entendimento de 'Ciber Proteção' estabelecido
nesta pesquisa.
Dentre as mais relevantes características do MSCP destacam-se:
a) elevada complexidade por envolver e impactar a totalidade da sociedade
brasileira;
b) necessidade de sustentabilidade político-estratégica;
c) busca incansável na autorrenovação (entropia negativa) por meio da
flexibilização de processos e procedimentos;
d) foco permanente na ampliação da interoperabilidade, cooperação
interagências nacionais e estrangeiras. Interessante destacar-se, que o MSCP
apresenta algumas características típicas de um sistema biológico, tais como:
(i) grande número de participantes,
(ii) fraca interconexão,

10
 (iii) elevada dependência uns dos outros e
(iv) reação multifacetada a perturbações internas e externas. A fim de atender
às necessidades conjunturais, o Macrossistema de Ciber Proteção foi organizado em
cinco conjuntos ou sistemas dinâmicos.
Para cada sistema, buscou-se, sempre que possível, caracterizar aspectos
basilares e evolutivos:
a) órgão central, catalizadores ou coordenadores em âmbito nacional;
b) nível de maturidade e escopo atual;
c) principais peculiaridades estruturais e normativas;
d) necessidades de ligação e interação com outros sistemas;
e) processos relevantes em curso ou necessários para implementação
satisfatória do sistema;
f) pontos fortes e oportunidades de melhoria. Na sequência, foram
estruturados mapas mentais, que pretendem oferecer uma fotografia dos mesmos,
apresentados na próxima seção.
A meta principal do Sistema de Gerenciamento de Incidentes de Segurança
(SGIR) é coordenar a gestão de incidentes de segurança da informação em redes
de computadores de interesse nacional
O SGIR, basicamente, é composto por equipes de tratamento e resposta a
incidentes (ETIR), que operam em proveito de um ambiente, comunidade ou
instituição pré-definidos, provendo segurança por meio da prevenção, detecção e
resposta de incidentes.
De forma genérica, a gestão de incidentes compõe-se das seguintes fases:
a) Planejamento e preparação pré-incidente;
b) Detecção e relatório inicial;
c) Formulação de uma estratégia de resposta;
d) Investigação do incidente, envolvendo coleta de dados e análise forense;
e) Resolução do incidente, incluindo restauração dos sistemas envolvidos e
implementação de contramedidas;
f) Produção de relatórios, inserindo as lições aprendidas.
Como fator embrionário do SGIR, destaca-se a criação do Comitê Gestor da
Internet no Brasil (CGI.br), que estabeleceu, em 1997, o Centro de Estudos,
Resposta e Tratamento de Incidentes de Segurança. O CERT.br possui a missão de
promover estudos e recomendações de procedimentos, normas e padrões técnicos

11
e operacionais para a segurança das redes e serviços de Internet, assim como para
a sua crescente e adequada utilização pela sociedade.
O CERT.br atua no tratamento e resposta a incidentes de segurança em
computadores envolvendo redes conectadas à Internet no Brasil, sendo inclusive
reconhecido na comunidade internacional, como ponto de contato brasileiro no trato
de incidentes dessa natureza. Na mesma época, foi criado, pela Rede Nacional de
Ensino e Pesquisa (RNP), o Centro de Atendimento a Incidentes de Segurança
(CAIS), que passou a atuar na detecção, resolução e prevenção de incidentes de
segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar
práticas de segurança em redes de computadores.
No âmbito da Administração Pública Federal, a gestão de incidentes é
regulada por normas complementares da IN 01/GSIPR, que determinam, aos órgãos
e entidades da APF, a implementação de equipe de tratamento e resposta a
incidentes em redes computacionais (ETIR). Especificamente, a NC 05 Disciplina a
criação das ETIR, enquanto a NC 08 estabelece as Diretrizes para Gerenciamento
de Incidentes .
Pela ocorrência generalizada de incidentes de segurança nas redes de
computadores, tanto das organizações públicas como das empresas privadas, o
SGIR tende a relacionar-se com os demais sistemas de Ciber Proteção, de modo
coletar as tentativas, exitosas ou não, e o grau de sofisticação dos ataques, de modo
a fornecer a situação, real e tempestiva, da segurança cibernética no país (também
conhecida como 'consciência situacional').

SISTEMA DE INFORMAÇÃO

Infere-se que o SSIC teve início a partir da publicação do Decreto n. 3505, de

13 de junho de 2000, que instituiu a política de segurança da informação (PSI) nos
órgãos e entidades da APF. Na sequência, destaca-se que, em 2008, a IN 01/GSIPR
estruturou a gestão da SIC nos órgãos e entidades da Administração Pública
Federal, direta e indireta.
Observa-se que o SSIC detém um viés fortemente político e regulador,
inicialmente restrito à APF, embora, tecnicamente e na prática, esteja estendido aos
demais poderes e níveis governamentais A Estratégia de Segurança da Informação
e Comunicações e de Segurança Cibernética (2015-2018), em fase de revisão pelo

12
DSIC, constitui-se em documento norteador do SSIC, pois visa atingir o
aprimoramento da área no Governo e a mitigação dos riscos aos quais se encontram
expostas as organizações e a sociedade.
Dentre seus dez objetivos estratégicos, destacam-se seis que se relacionam
umbilicalmente com a Ciber Proteção:
a) promover mecanismos de conscientização da sociedade sobre
SIC/SegCiber;
b) elevar o nível de maturidade de SIC/SegCiber na APF;
c) garantir continuamente a pesquisa, o desenvolvimento e a inovação;
d) instituir modelo de governança sistêmica, com coordenação executiva,
acompanhamento e avaliação de um órgão central;
e) valorizar e ampliar ações que fortaleçam a segurança das infraestruturas
críticas da informação;
f) ampliar e fortalecer ações colaborativas com a academia [grifo nosso],
setores público, privado e terceiro setor, no país e no exterior (BRASIL, 2015, p. 42).
Infere-se que a efetividade do Modelo para a Ciber Proteção Nacional
sustentase, em muito, nas capacidades e competências cibernéticas nacionais,
oriundas da interação entre o governo, as instituições de ensino e a iniciativa privada.
O primeiro pilar intervencionista do MCPN trata-se do denominado - Centro
de Inovação e Competências Cibernéticas (CICC). O CICC, de forma holística,
nacional e aglutinadora visa atender às expectativas da Sociedade em face das
oportunidades e dos desafios do ciberespaço e das plataformas digitais.
Neste sentido, Passarelli (2014) apresenta a sociedade preocupada com o
acesso às tecnologias digitais de duas formas: a primeira busca uma inclusão digital
como modo de democratização; a segunda, de cunho mais educacional, preocupa-
se com a apropriação e produção do conhecimento desses novos atores em rede
(também inseridos, de forma particular, os especialistas dos sistemas inerentes à
Ciber Proteção).
A necessidade de comunicar, de colocar no papel meus entendimentos,
obtidos a partir das vivências operacionais no ambiente do ciberespaço, sobre as
bases, atividades e vicissitudes da proteção da informação no meio digital,
possibilitou excelente teste sobre a indispensável coerência e a minha compreensão
dos mesmos.
Considera-se, pois, esta pesquisa qualitativa, particularmente, pelos

13
seguintes motivos:
a) foi um processo de entendimento de um problema técnico-social - a
Segurança (digital) da sociedade brasileira;
b) buscou construir um quadro holístico da proteção cibernética no ambiente
complexo da APF;
c) mesclou diversas abordagens metodológicas, nomeadamente: Teoria
Fundamentada, Investigação Empírica/’positivista’, Investigação-ação, Método
Quadripolar e SIAP;
c) trabalhou, em especial, com materiais elaborados a partir da observação e
de entrevistas, buscando a união tempestiva entre a coleta e a análise de dados;
d) foram valorizadas, em âmbito nacional e internacional, as experiências e
interações (do autor e de especialistas), bem como os documentos em seus
contextos originais;
e) conceitos foram desenvolvidos e refinados no processo da pesquisa (P.ex.:
Ciber Proteção).
No desenvolvimento da pesquisa, a revisão da literatura mostrou-se
fundamental na construção do conceito de Ciber Proteção, core deste estudo.
As atividades e inquéritos internacionais foram imprescindíveis à consolidação
e à ampliação dos requisitos necessários à estruturação e à orquestração do modelo
em tela. O estudo empírico, baseado em entrevistas com especialistas de destaque
no cenário cibernético brasileiro, proporcionou maior aderência ao contexto singular
e dinâmico da APF, bem como possibilitou a validação da proposta de um Modelo
(nacional) para a proteção da informação no meio digital. 260 Por seu aspecto
inovador, que carece de interação dinâmica e crescente entre diversas Ciências, a
presente proposta de modelo de proteção da informação no ciberespaço encontrou
terreno favorável de desenvolvimento na jovialidade e interdisciplinaridade da CI.
Assim, avultou de importância e urgência desenvolver o fenômeno proteção
da informação no ciberespaço, alicerçado nas contribuições teóricas e
metodológicas, bem como nos saberes e atividades da Ciência da Informação,
dentro da realidade nacional e orientada pelos anseios e objetivos de um Estado-
Nação soberano como o Brasil.
A primeira hipótese desta pesquisa, que trata do impacto político nas
atividades de proteção cibernética, foi ratificada ao longo do relatório pela análise
das entrevistas realizadas no âmbito da APF, pelo exame evolutivo dos tempos e

14
movimentos das estruturas nacionais envolvidas com a proteção do ciberespaço,
bem como por meio do mapeamento e da avaliação dos diversos atores que
compõem o Macrossistema de Ciber Proteção. Em relação à apresentação
inadequada do arcabouço regulatório, relacionada à segurança e à defesa dos
ambientes digitais, objeto da segunda hipótese, duas constatações confirmam sua
pertinência:
(i) a necessidade urgente de atualização ou adequação de documentos
basilares para a Ciber Proteção, tais como: o Decreto n. 3505/2000, a IN 01/GSI com
suas normas complementares decorrentes, a Política Cibernética de Defesa, dentre
outros, e
ii) a diversidade na infralegislação (portarias, normas ministeriais, estratégias
etc.), por vezes desconectadas entre si, excedendo as respectivas áreas de
competência, bem como apresentando realidades e objetivos conflitantes com as
Diretrizes superiores.
O problema fulcral desta pesquisa: "quais seriam as maneiras mais efetivas
de reduzir as vulnerabilidades e mitigar as ameaças aos recursos informacionais em
ambiente digital e globalmente interconectado?", por certo, inicia sua lenização, a
partir da primeira rodada de implementação do Modelo, por intermédio da
consolidação da versão inicial da Política Nacional de Ciber Proteção.
De fato, chega-se à convicção de que a PNCP é vetor precursor da
operacionalização do Modelo para a Ciber Proteção nacional proposto. Dessa forma,
pode-se ratificar, parcialmente, a Tese desta pesquisa, pois a sua validação só
poderia ser aferida no início do segundo ciclo da PNCP. Sem embargo à validação
da Tese, e no escopo das variáveis levantadas, elencam-se alguns dos principais
óbices, desafios e limitações desta pesquisa, a saber:
a) ingerência política, por parte da Presidência da República,
substancialmente prejudicial e descolada das tendências mundiais, nas estruturas
encarregadas da segurança da informação governamental. Como exemplo, pode-se
citar, entre outros: a saída da RENASIC da Presidência da República/GSI em 2011
para o Exército Brasileiro, reduzindo a autonomia, a visibilidade e a influência da
Rede que deveria estar sempre em expansão, promovendo e caminhando, pari
passu, com as atividades e iniciativas institucionais;
b) extinção, em 2015, da Secretaria de Assuntos Estratégicos da Presidência
da República (SAE) fomentadora da END, de eventos governamentais sobre o setor

15
cibernético, tais como: a Reunião Técnica sobre Segurança e Defesa Cibernéticas
em 2010, o XIII Encontro Nacional de Estudos Estratégicos em 2013 e o Grupo de
Trabalho Interministerial (GTI) sobre segurança e defesa do espaço cibernético
nacional em 2014;
c) retirada do status de ministério, em 2015, do Gabinete de Segurança
Institucional (incluindo a perda de cargos e integrantes), o que se refletiu,
negativamente, no ambiente cibernético nacional e internacional, acarretando
declínio das atividades de SIC na APF e de monitoramento de IC, além de
modificações substanciais danosas (enfraquecimento/prostração/extinção) em
diversas estruturas envolvidas no MSCP;
d) instabilidade política governamental, experimentada no país, no período de
produção da Tese (2015 a 2018);
e) alterações no arcabouço jurídico normativo, relacionado ao ciberespaço de
interesse nacional, no último trimestre da Tese (P.ex.: PNSIC e PNSI);
f) incorporação de novas tendências, tecnologias e ameaças aos sistemas de
informação estruturantes, alterando especialidades e procedimentos de proteção
cibernética (P.ex.: Plano Nacional de IoT e ataques de ransomware).
Em relação ao arcabouço científico investigado, o entendimento
contextualizado da Ciber Proteção traz aspectos relevantes ao estudo da gestão da
Informação e do Conhecimento, tendo em vista que podem ser considerados
aspectos individuais, institucionais e da sociedade durante sua construção. A Ciber
Proteção pode ser o vetor que amálgama as diferentes estruturas e redes de
informação, por meio da coordenação de atividades de segurança e de defesa no
espaço cibernético de interesse nacional.
De forma não exaustiva, pode-se afirmar que a proteção do ciberespaço se
apresenta complexa politicamente, heterogênea na sua operacionalização,
envolvendo diversos segmentos governamentais, acadêmicos, empresariais e da
sociedade em geral.
Nesse sentido, argumenta-se, também, que a proteção da informação no
ciberespaço tem impactos relevantes na sustentação da nação, na construção da
cidadania e no desenvolvimento econômico, ratificando-se, assim, o entendimento
de que a Ciber Proteção não é questão apenas da organização (pública/privada) ou
de ações estabelecidas durante um governo, com seus fisiologismos e limitado poder
político temporal.

16
 É, sem dúvida, assunto de Estado, pois sustenta a sobrevivência da
sociedade civil e política, merecendo, pois, considerar a Ciber Proteção, também,
como vetor de projeção do poder nacional por meio do setor cibernético. Em
consequência, acredita-se que, por meio de abordagens envolvendo experiências
concretas, suposições filosóficas e procedimentos distintos, o estudo em questão
aproximouse do pragmatismo, na busca de uma ampla governança digital (viés
proteção) para o Estado brasileiro.

SEGURANÇA CIBERNÉTICA

No nível político, as atividades relacionadas à Segurança da Informação e à

Segurança Cibernética são tratadas pelos seguintes órgãos:
a. Conselho de Defesa Nacional (CDN): trata-se de um órgão de estado de
consulta do Presidente da República nos assuntos relacionados à soberania
nacional e à defesa do Estado democrático de direito. Tem sua secretaria-executiva
exercida pelo ministro-chefe do Gabinete de Segurança Institucional da Presidência
da República.
As competências do CDN estão previstas no artigo 91 da Constituição Federal
de 1988 e a regulamentação de sua organização e de seu funcionamento está
contida na Lei nº 8.153, de 11 de abril de 1991;
b. Câmara de Relações Exteriores e Defesa Nacional (Creden): é um órgão
de governo para assessoramento do Presidente da República nos assuntos
pertinentes às relações exteriores e à defesa nacional. Sua presidência cabe ao
ministro-chefe do GSI-PR e, entre suas atribuições, encontra-se a segurança da
informação, atividade essa que se insere no escopo do Setor Cibernético.
Suas competências, organização e normas de funcionamento estão contidas
no Decreto nº 4.801, de 6 de agosto de 2003;
c. Casa Civil da Presidência da República5 : entre suas atribuições, merece
destaque, por sua relação com o Setor Cibernético, aquela relacionada com a
execução das políticas de certificados e normas técnicas e operacionais aprovadas
pelo Comitê da Infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil).
Esta atribuição é da competência do Instituto Nacional de Tecnologia da
Informação (ITI), uma autarquia federal vinculada à Casa Civil da Presidência da

17
República, que tem o objetivo de manter a ICP-Brasil, que é a Autoridade
Certificadora Raiz na cadeia de certificação;
d. Gabinete de Segurança Institucional da Presidência da República (GSI-
PR)6 : é o órgão da Presidência da República responsável pela coordenação, no
âmbito da Administração Pública Federal (APF), de alguns assuntos estratégicos
que afetam a segurança da sociedade e do Estado, como: Segurança das ICN, SIC
e Segurança Cibernética.
Para que possa cumprir a atribuição de coordenar as atividades de Segurança
da Informação, o GSI-PR conta, em sua estrutura organizacional, com três órgãos
subordinados, a saber:
a. Departamento de Segurança da Informação e Comunicações (DSIC): tem
a atribuição de operacionalizar as atividades de Segurança da Informação e
Comunicações (SIC) na APF, nos seguintes aspectos: regulamentar a SIC para toda
a APF; capacitar os servidores federais, bem como os terceirizados, sobre SIC;
realizar acordos internacionais de troca de informações sigilosas; representar o País
junto à Organização dos Estados Americanos (OEA) para assuntos de terrorismo
cibernético; e manter o Centro de Tratamento e Resposta a Incidentes de Redes da
APF (CTIR-GOV).
b. Agência Brasileira de Inteligência (ABIN): é o órgão central do Sistema
Brasileiro de Inteligência (SISBIN), que tem como objetivo estratégico desenvolver
atividades de inteligência voltadas para a defesa do estado democrático de direito,
da sociedade, da eficácia do poder público e da soberania nacional.
Dentre as suas atribuições, a que envolve especificamente o Setor
Cibernético, destaca-se a de avaliar as ameaças internas e externas à ordem
constitucional, entre elas a cibernética.
c. Centro de Pesquisa e Desenvolvimento de Segurança das Comunicações
(CEPESC): tem como atribuição buscar promover a pesquisa científica e tecnológica
aplicada a projetos de segurança da comunicações.
Outro dispositivo importante que trata do assunto em pauta é o Decreto nº
3.505, de 13 de junho de 2000, que aprova a Política de Segurança da Informação
para aplicação nos órgãos da Administração Pública Federal e confere à Secretaria-
Executiva do CDN, assessorada pelo Comitê Gestor de Segurança da Informação,
criado por esse mesmo Decreto, e apoiada pela ABIN, por intermédio de seu Centro
de Pesquisa e Desenvolvimento para a Segurança das Comunicações, diversas

18
atribuições para implementação de medidas relativas ao tema em lide. Analisando
esses dispositivos legais e o Decreto nº 9.031, de 12 de abril de 2017, que aprova a
Estrutura Regimental do GSI-PR, verifica-se que o GSI-PR centraliza a coordenação
da grande maioria das medidas relativas à Segurança Cibernética e suas áreas afins,
de Segurança da Informação e das Comunicações e Segurança das Infraestruturas
Críticas.
Além do já citado Comitê de Segurança da Informação, o GSI-PR coordena
outros organismos importantes, como Grupos de Trabalho e Grupos Técnicos
relacionados à Segurança das Infraestruturas Críticas, Segurança das
Infraestruturas Críticas da Informação, Segurança Cibernética e Criptografia. No
tocante às ICN, a END seleciona seis áreas prioritárias, a saber: energia,
telecomunicações, transportes, água, finanças e informação, sendo que, esta última,
permeia todas as anteriores, pois as IC dependem cada vez mais de redes de
informação para a sua gerência e controle.

19
 REFERÊNCIAS

ALVES, Priscila Pires; MANCEBO Deise. Tecnologias e subjetividade na

contemporaneidade. Estudos de Psicologia, v. 11, n. 1, p. 45-52, 2006. Disponível
em: Acesso em: 24 out. 2017.

BAUMAN, Zygmunt. Vida líquida. Rio de Janeiro: Zahar, 2005.

______.Vida em fragmentos. Rio de Janeiro: Zahar, 2011.

BRASIL. Lei nº 8.069, de 13 de julho de 1990. Estatuto da Criança e do Adolescente.

Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências.
Disponível em: . Acesso em: 24 out. 2017.

______. Conselho Nacional de Justiça. Resolução nº 225, de 31 de maio de 2016.

Dispõe sobre a Política Nacional de Justiça Restaurativa no âmbito do Poder
Judiciário e dá outras providências. Disponível em: . Acesso em: 24 out. 2017.

FERREIRA NETO, João Leite. Processos de subjetivação e novos arranjos urbanos.

Revista do Departamento de Psicologia – UFF, v. 16, n. 1, p. 111- 120, 2004.
Disponível em: . Acesso em: 24 out. 2017.

LANDINI, Tatiana Savoia. Envolvimento e distanciamento na produção brasileira de

conhecimento sobre pornografia infantil na Internet. São Paulo em Perspectiva,
São Paulo, v. 21, n. 2, p. 80-88, jul./dez. 2007. Disponível em: . Acesso em: 24 out.
2017.

MELO, Eduardo Rezende. Justiça restaurativa e seus desafios histórico-culturais.

Um ensaio crítico sobre os fundamentos ético-filosóficos da justiça restaurativa
em contraposição à justiça retributiva. In: BRASIL. Ministério da Justiça – PNUD.
Justiça restaurativa. Brasília, 2005.

20