A Análise Do Risco Legal de Segurança Da Informação PDF

Un B
UNIVERSIDADE DE BRASLIA
INSTITUTO DE CINCIAS EXATAS
DEPARTAMENTO DE CINCIA DA COMPUTAO
ESPECIALIZAO EM GESTO DA SEGURANA DA INFORMAO E
COMUNICAES CEGSIC 2009/2011
ALEXIS BRAGA SOTTO MAIOR
A ANLISE DO RISCO LEGAL DE SEGURANA DA INFORMAO

EM UMA INSTITUIO PBLICA FEDERAL
Braslia, SETEMBRO/2011
Instituto de Cincias Exatas
Departamento de Cincia da Computao
Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes
A Anlise do Risco Legal de Segurana da Informao em uma

Instituio Pblica Federal
Braslia
2011

Braslia
2011

Monografia apresentada ao Departamento

de Cincia da Computao da
Universidade de Braslia como requisito
parcial para a obteno do ttulo de
Especialista em Cincia da Computao:
Gesto da Segurana da Informao e
Comunicaes.
Orientador: Prof. Carlos Csar Soares de Paiva

Universidade de Braslia
Instituto de Cincias Exatas
Departamento de Cincia da Computao
Braslia
Setembro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formao de Especialistas para a Elaborao da Metodologia Brasileira
de Gesto da Segurana da Informao e Comunicaes - CEGSIC
2009/2011.
2011 Alexis Braga Sotto Maior. Qualquer parte desta publicao pode
ser reproduzida, desde que citada a fonte.
Sotto Maior, Alexis Braga.

Instituio Pblica Federal / Alexis Braga Sotto Maior. Braslia: O
autor, 2011. 75 p.; Ilustrado; 25 cm.
Monografia (especializao) Universidade de Braslia. Instituto de
Cincias Exatas. Departamento de Cincia da Computao, 2011.
Inclui Bibliografia.
1. Anlise de Risco. 2. Segurana da Informao e Comunicaes.
3. Risco Legal de Segurana da Informao. I. Ttulo.
CDU 004.056
Dedicatria
minha famlia e Go, capaz de iluminar qualquer caminho obscuro que

porventura abrolhe em minha vida.
Agradecimentos
Agradecimentos, inicialmente, ao Prof. Carlos Csar Soares de Paiva, que me

orientou com extrema eficincia, apontando a direo e facilitando o alcance dos
objetivos deste trabalho.
Agradecimentos tambm ao Prof. Dr. Jorge Henrique Cabral Fernandes, por
acreditar e tornar possvel este magnfico projeto em prol da Segurana da
Informao e Comunicaes no Estado brasileiro.
Por fim, agradecimentos aos colegas de trabalho, que, sempre solcitos e
dedicados, participaram ativamente no resultado alcanado.
Lista de Figuras
Figura 1 Processos e Limites Legais ...................................................................... 23

Figura 2 Processo de Gesto de Riscos de Segurana da Informao da ABNT
27005:2008. ............................................................................................................. 27
Lista de Tabelas
Tabela 1: Pagamento de Precatrios e RPVs Nacional. ....................................... 16

Tabela 2 - Cenrio de incidente e consequncias legais. ......................................... 31
Tabela 3 - Estimativa do risco ................................................................................... 31
Tabela 4 - Exemplo de Questionrio ......................................................................... 35
Tabela 5 - Exemplo de consolidao dos Questionrios. .......................................... 35
Tabela 6 - Matriz de Risco: Impacto x Probabilidade de Incidente. ........................... 37
Tabela 7 Relao de crimes tipificados no Cdigo Penal que podem ser aplicados
Segurana da Informao e Comunicaes ........................................................... 45
Tabela 8 Identificao dos Ativos Crticos .............................................................. 47
Tabela 9 Cenrio de Incidentes .............................................................................. 48
Tabela 10 Resultado do questionrio sobre implementao dos controles
sugeridos pela norma 27002:2005. ........................................................................... 50
Tabela 11 Estimativa do Risco Legal ..................................................................... 51
Tabela 12 Sumrio do Risco Legal Estimado na Instituio ................................... 56
Sumrio
Ata de Defesa de Monografia ....................................... Erro! Indicador no definido.
Dedicatria .................................................................................................................. 3
Agradecimentos .......................................................................................................... 5
Lista de Figuras ........................................................................................................... 6
Lista de Tabelas .......................................................................................................... 7
Sumrio ....................................................................................................................... 8
Resumo ..................................................................................................................... 11
Abstract ..................................................................................................................... 12
1 Delimitao do Problema ....................................................................................... 13
1.1 Introduo ........................................................................................................ 13
1.2 Formulao da situao problema (Questes de pesquisa) ............................ 14
1.3 Objetivos e escopo .......................................................................................... 14
1.3.1 Objetivo Geral ........................................................................................... 14
1.3.2 Objetivos Especficos ................................................................................ 15
1.3.3 Escopo ...................................................................................................... 15
1.4 Justificativa ...................................................................................................... 15
1.5 Hipteses ......................................................................................................... 17
2 Reviso de Literatura e Fundamentos.................................................................... 19
2.1 Organizaes, Tecnologia da Informao e Segurana da Informao .......... 19
2.2 Limites legais e Gesto de Riscos ................................................................... 22
2.3 A anlise/avaliao de riscos de segurana da informao segundo ABNT

27005:2008 ............................................................................................................ 26
2.4 A anlise/avaliao de riscos legais de segurana da informao .................. 30
3 Metodologia ............................................................................................................ 32
3.1 Classificao da pesquisa e coleta de evidncias ........................................... 32
3.2 Mtodos de anlise das evidncias ................................................................. 36
4 Resultados ............................................................................................................. 38
4.1 A Instituio: Histria, misso e processos crticos. ........................................ 38
4.2 A Coordenao Geral de Tecnologia da Informao: Contexto ....................... 39
4.3 Limites legais aos processos da Coordenao Geral de Tecnologia da

instituio ............................................................................................................... 40
4.3.1 Os limites Constitucionais, na LRF e na Lei 4.320/64 ............................... 40
4.3.2 A Poltica de Segurana do Ministrio XPTO............................................ 42
4.3.3 A Lei n 8.112/90 ...................................................................................... 44
4.3.4 Cdigo Penal Brasileiro (Decreto-Lei no 2.848/40) .................................. 44
4.3.5 Outras normas aplicveis.......................................................................... 46
4.4 Identificao do Risco Legal de Segurana da Informao na CGTEC........... 47
4.5 Estimativa do Risco Legal de Segurana da Informao na CGTEC .............. 51
5 Discusso ............................................................................................................... 53
6 Concluses............................................................................................................. 57
6.1 Trabalhos Futuros ............................................................................................ 58
Referncias e Fontes Consultadas ........................................................................... 59
Glossrio ................................................................................................................... 64
A ............................................................................................................................ 64
C ............................................................................................................................ 64
I .............................................................................................................................. 64
P ............................................................................................................................ 64
R ............................................................................................................................ 65
V ............................................................................................................................ 65
Apndice A Questionrio sobre a implementao dos controles da norma ABNT
NBR 27002:2005 ....................................................................................................... 66
Resumo
As organizaes pblicas federais esto sujeitas as mais diversas ameaas

segurana da informao, cujas consequncias vo muito alm de perdas
operacionais. As atividades exercidas por estas instituies, cada vez mais
suportadas pela rea de Tecnologia da Informao e Comunicaes (TIC), so
limitadas por lei, cuja violao implica em risco de sanes, com impacto imagem
e, em muitas vezes, ao seu objetivo institucional.
Com o objetivo de compreender os fatores que influenciam o risco legal de
segurana da informao foi realizada a presente pesquisa, atravs de um estudo
de caso em um rgo da Administrao Pblica Federal. Para isso, a anlise de
risco apoiou-se nas normas ABNT NBR ISO/IEC 27002:2005 e 27005:2008 e
buscou identificar ameaas, vulnerabilidades e conseqncias, estimando suas
probabilidades de ocorrncia e respectivo impacto na instituio. Este processo
evidenciou graves riscos. Ficou claro que a incipincia da rea de Tecnologia da
Informao e Comunicaes da instituio justifica o cenrio encontrado, j que
incapaz de implementar controles efetivos que reduzam os riscos de incidentes
violarem normas estabelecidas. Outros aspectos, como ausncia de uma efetiva
cultura de segurana da informao, ausncia de processos de responsabilizao e
deficincia na governana da rea de TIC so fatores que influenciam o risco e
aumentam a incerteza do sucesso da misso institucional.
Abstract
The federal government organizations are subject to a variety of information

security threats, whose consequences go far beyond operating losses. The activities
performed by these institutions, increasingly supported by the area of Information
and CommunicationTechnology (ICT), are limited by law, the violation of which
carries a risk of sanctions, which impacts its public image, and often to its institutional
objective.
In order to understand the factors that influence the legal risk of information
security, this research was conducted through a case study in an organization of the
Federal Public Administration. For this, the risk analysis has relied on the standards
ISO / IEC 27002:2005 and 27005:2008 and sought to identify threats, vulnerabilities
and consequences, estimating their probability of occurrence and their impact on the
organization. This process revealed severe risks. It was clear that the incipience of
ICT's area in the organization justifies the present scenario, since it is unable to
implement effective controls that reduce the risk of incidents violate established
norms. Other aspects, such as lack of an effective culture of information security, lack
of accountability processes and deficiency in governance of IT area are factors that
influence the risk and increase the uncertainty of success of the institutional mission.
13
1 Delimitao do Problema
Este captulo apresenta a delimitao do problema de pesquisa e composto

por cinco sees: (i) Introduo, (ii) Formulao do Problema, (iii) Declarao de
Objetivos e Escopo; (iv) Justificativas do Estudo; e (v) Hipteses a Investigar.
1.1 Introduo
As instituies pblicas federais, assim como qualquer outra instituio, esto
sujeitas a leis, decretos, portarias e diversos outros tipos de normas que impe
limites sua atuao. Entretanto, intencionalmente ou no, os processos operantes
em tais organizaes podem ultrapassar os limites legais estabelecidos, acarretando
em sanes (ALEXANDRINO, 2008).
Estas sanes, quando aplicadas, podem acarretar prejuzos aos cofres do
Estado e danos imagem da instituio, podendo resultar em desvios reais ou
potenciais em relao aos objetivos da organizao. H, portanto, um risco
associado a perdas decorrentes de sanes em razo de descumprimento de
dispositivos legais e a indenizaes por danos a terceiros decorrentes das atividades
desenvolvidas pela instituio (BRASIL, 2006).
Na medida em que os processos de negcio so automatizados e suportados
pela rea de Tecnologia da Informao e Comunicaes (TIC), aes devem ser
tomadas para reduzir a probabilidade, as consequncias negativas, ou ambas,
associadas ao risco legal (ABNT, 2008). No incomum que a investigao de um
incidente de segurana computacional possa levar a aes ou processos legais
(GONDIM, 2010). Neste aspecto, a importncia de uma anlise e avaliao do risco
de segurana da informao revelada no momento em que quantifica ou descreve
o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a
sua gravidade percebida ou com outros critrios estabelecidos (ABNT, 2008).
A necessidade de se verificar os aspectos que influenciam o risco legal de
segurana da informao nas organizaes pblicas federais decorre de vrios
14
aspectos. Primeiramente, pelas consequncias financeiras decorrentes de

pagamento de indenizaes, em caso de danos a terceiros, j que o Estado tem
responsabilidade civil objetiva por ao ou omisso de seus funcionrios, de acordo
com o art. 36, pargrafo 6 da nossa Constituio Federal (BRASIL, 1988), j
observadas por Costa (2008). Em segundo lugar, ao impacto, junto sociedade,
beneficiria dos servios pblicos, imagem da instituio, da qual se espera
respeitar os princpios da legalidade, impessoalidade, moralidade, publicidade e
eficincia (ALEXANDRINO, 2008) (BRASIL, 1988). Em terceiro, devido a
possibilidade de incidentes de segurana de tecnologia da informao
comprometerem a conformidade legal dos processos de negcio em diversas
organizaes pblicas. Em quarto, e no terminativo, para prover uma resilincia
organizacional, melhorar a sade e segurana da instituio, estabelecer a
governana corporativa, minimizar perdas e aumentar a previsibilidade do sucesso
dos objetivos institucionais (ISO/DIS, 2008) (FERNANDES, 2010b).
Devido necessidade de preservar a imagem da instituio pesquisada e
evitar que informaes referentes a vulnerabilidades de segurana e ativos crticos
da organizao possam ser objeto de uso nocivo aos objetivos institucionais, optou-
se por realizar o mascaramento de dados que revelem a identidade da organizao
pblica Federal em questo. Doravante, tal organizao ser referenciada como a
instituio.
1.2 Formulao da situao problema (Questes de pesquisa)

A pergunta central da pesquisa, na qual se buscar a resposta : de que
forma os ativos de informao influenciam o risco legal de segurana da informao,
na instituio?
1.3 Objetivos e escopo
1.3.1 Objetivo Geral

O objetivo geral da pesquisa ser analisar os fatores que influenciam o risco
legal de segurana da informao na instituio.
15
1.3.2 Objetivos Especficos

Os objetivos especficos da pesquisa so os seguintes:
1. Analisar de que forma o contexto organizacional da rea de Tecnologia da
Informao influencia no risco legal de segurana da informao na
instituio.
2. Mapear as vulnerabilidades nos ativos primrios, de suporte e infra
estrutura que influenciam o risco legal de segurana da informao na
instituio.
3. Relacionar normas que definem limites s atividades de tecnologia da
informao e suas possveis sanes.
4. Analisar as consequncias instituio decorrentes de sanes legais.
5. Levantar os controles de segurana existentes na rea de Tecnologia da
Informao da instituio.
6. Definir, de forma qualitativa, o nvel de risco legal de segurana da
informao na instituio.
1.3.3 Escopo
O escopo da pesquisa ser a Coordenao Geral de Tecnologia da
Informao da instituio. Abrange as atividades, operaes, projetos e
interoperabilidade com agentes externos e outras coordenaes dentro da
Secretaria.
1.4 Justificativa
O cenrio atual de grandes ameaas. A cada dia, os processos de negcio
so automatizados e se sustentam na tecnologia para dar respostas cada vez mais
precisas e geis. Esta expanso da dependncia da TIC, na mesma proporo,
eleva o grau das consequncias em caso de incidentes que perturbem estes
processos. A gesto do risco tem, como principal objetivo, tornar um sistema,
informatizado ou no, mais seguro (FERNANDES, 2010b). O mapeamento das
ameaas e vulnerabilidades sobre os ativos crticos da instituio fundamental
para a definio dos controles necessrios a mitigar tais riscos. Este o cerne da
anlise de risco.
Entretanto, as organizaes pblicas, como a instituio pesquisada, no
esto sujeitas apenas s consequncias diretas decorrentes das falhas
16
operacionais, como indisponibilidades, quebra de sigilo ou invaso de sistemas. As

organizaes esto sujeitas a normas e regulamentos que devem ser cumpridos,
sob risco de sanes que podem resultar em pagamento de indenizaes e abalar a
reputao da instituio. O caso da responsabilidade civil objetiva do Estado, por
exemplo, em que h o dever de se indenizar o particular por dano causado por um
agente pblico, havendo meramente o nexo de causalidade entre o fato e o prejuzo,
representa uma onerosa conseqncia para o Estado (COSTA, 2008) (WIRTI,
2010). Este, por sua vez, deve reduzir este risco, seja de forma a prevenir tais aes
judiciais ou sendo capaz acionar regressivamente o agente pblico, em caso de dolo
ou culpa, para que este repare a fazenda pblica (WIRTI, 2010), se houver controles
que forneam provas ou indcios desta autoria. O mesmo se aplica aos incidentes
que ensejam aes penais e/ou administrativas.
Nos ltimos anos, o valor pago em precatrios e requisies de pequeno valor
(RPVs) cresceu de forma acelerada. A Tabela 1 apresenta dados apurados pelos
Tribunais Regionais Federais e do Sistema Integrado de Administrao Financeira
do Governo Federal SIAFI e demonstra a evoluo do problema. Os precatrios
so formalizaes de requisies de pagamento de determinada quantia, superior a
40 salrios mnimos por beneficirio, devida pela Fazenda Pblica Estadual em face
de uma condenao judicial. J as RPVs so sentenas judiciais de pequeno valor,
de at 40 salrios mnimos, que tem prazo especial de pagamento, de 60 dias
(BRASIL, 2011).
Descri Precatrios e RPVs

o Despesa Realizada Valor (R$)
2004 2005 2006 2007 2008 2009
Qtd
Beneficiri 582.213 684.068 571.520 910.322 956.282 1.145.598
os
Qtde
402.553 502.244 383.390 641.393 709.288 871.643
Processos
Valor (R$) 4.670.314.786 6.230.410.465 7.136.302.481 8.129.477.241 8.902.649.095 12.180.190.968
Tabela 1: Pagamento de Precatrios e RPVs Nacional. Fonte: (BRASIL, 2010b)

claro que estes valores no representam o montante referente
indenizaes pagas somente decorrentes de violao de legislaes por processos
de TIC em organizaes pblicas federais, mas evidenciam o problema e o impacto
potencial nas contas pblicas. Apenas para o ano de 2011, de acordo com dados do
Sistema Integrado de Planejamento e Oramento (SIOP), est prevista no
17
Oramento Federal despesa de R$ 330.735.016,00 com indenizaes e restituies,

devidas por rgos e entidades a qualquer ttulo (BRASIL, 2010d).
A instituio, rgo pblico federal responsvel por processos oramentrios
crticos da Unio (BRASIL, 2010d), foco da presente pesquisa, deve observar certas
disposies constitucionais e infraconstitucionais especficas em sua atividade
organizacional, alm dos limites comuns impostos pelas legislaes civis, penais e
administrativas. A Constituio Federal do Brasil, por exemplo, em seu art. 35, 2,
inciso III, do Ato das Disposies Constitucionais Transitrias, define que o projeto
de lei oramentria da Unio ser encaminhado at quatro meses antes do
encerramento do exerccio financeiro e devolvido para sano at o encerramento
da sesso legislativa. Este limite constitucional imposto pelo legislador, se no
observado, propicia abertura de processo contra o chefe do Poder Executivo, por
crime de responsabilidade (BRASIL, 1950). O processo de elaborao oramentria,
por sua vez, suportado por sistemas informatizados, mantidos pela instituio, cuja
informao deve atender a este e outros requisitos legais.
neste cenrio que se justifica a presente pesquisa, de forma a evidenciar a
necessidade de se analisar o risco legal nas instituies pblicas federais com a
finalidade de implementar controles que garantam previsibilidade no resultado dos
processos de trabalho, voltando ateno s consequncias judiciais que incidentes
de segurana da informao e comunicaes produzem sobre a imagem dos rgos
e nos recursos financeiros do Estado.
.
1.5 Hipteses
Processos crticos da instituio so suportados pela Tecnologia da
Informao, e necessitam de garantias de segurana da informao,
principalmente nos aspectos de disponibilidade e integridade.
Os principais ativos de TIC que suportam os processos crticos esto
sujeitos a diversas vulnerabilidades, que no so reduzidos pelos
controles existentes.
Existe a necessidade de implementar e efetivar controles de segurana
da informao adicionais em conformidade com a ABNT 27002:2005.
18
Algumas consequncias associadas explorao de vulnerabilidades

dos ativos so de elevado impacto, o que evidencia um elevado risco
para a instituio.
A imaturidade da Coordenao Geral de Tecnologia da Informao da
instituio, decorrente da recente reconstruo, o fator que mais
influencia no risco legal.
19
2 Reviso de Literatura e Fundamentos
2.1 Organizaes, Tecnologia da Informao e Segurana da

Informao
As organizaes, vistas como sistemas compostos por vrios agentes

humanos e computacionais (FERNANDES, 2010c), se relacionam com o ambiente e
com outras organizaes. Em seus processos de trabalho, includas as relaes
inter-organizacionais, as organizaes buscam a previsibilidade, objetivando o
sucesso. Gibson, Ivancevich e Donnelly (1981) entendem organizaes:
As organizaes diferenciam-se de outros ajuntamentos de pessoas por

sua conduta voltada para metas. Isto , as organizaes perseguem metas
e objetivos que podem ser mais bem alcanados pela ao harmoniosa
das pessoas. Possuem trs caractersticas importantes: conduta, estrutura
e processos. (GIBSON, IVANEVICH e DONNELLY, 1981)
Da mesma forma, Fernandes (2010c) observa o seguinte:
Nenhuma organizao consegue viver em isolamento. Vrios eventos

ocorrem no entorno de qualquer organizao, tanto em seu ambiente
externo quanto no interno, e no possvel adquirir-se o controle pleno
sobre todos esses eventos. (FERNANDES, 2010c)
As mudanas de paradigmas da sociedade industrial para a sociedade da

informao, na qual o valor dos produtos se baseia no conhecimento neles embutido
e em intensos e tempestivos fluxos de informao para tomada de decises
(BORGES, 1995), tornaram as organizaes dependentes de tecnologias da
informao:
A dinmica internacional, antes embasada em tecnologias intensivas em
capital, energia e produo de massa, caracteriza-se por uma mudana de
20
paradigma, em que a nfase est nas tecnologias intensivas em

informao, flexveis e computadorizadas. (BORGES, 1995)
Nas organizaes, os processos de negcio esto sendo automatizados,

deixando a cargo da TIC o suporte aos seus objetivos. Os executivos esto
continuamente procurando informaes condensadas e disponveis que os auxiliem
a tomar decises difceis relacionadas a valor, risco e controles, de forma rpida e
correta (ITGI, 2007).
De acordo com Lealdine (2007):
A Tecnologia da Informao abriu novas oportunidades para as empresas.
Hoje ela est mais alinhada com o planejamento estratgico e um
importante fator competitivo, devido ao seu bom uso, muitas empresas
conseguiram se destacar e atingir um grande nvel de aproveitamento de
seus recursos, alm de tornarem-se competitivas e mais flexveis diante de
mudanas do mercado, isto graas aos diversos sistemas de informao
disponveis atualmente que ao longo das dcadas foram se aperfeioando,
com isso as empresas podem coordenar em conjunto com clientes e
fornecedores as suas atividades auxiliando a alta gerncia e focando em
trs pontos-chave: qualidade, custo e rapidez. (LEALDINE, 2007)
Essa dependncia da tecnologia, na mesma medida, tende a exigir garantias

de segurana das informaes, para que se tenha mais certeza sobre os resultados
esperados do negcio. Mas porque garantir a segurana da informao to
importante? A norma ABNT 27002 (2005) aponta o seguinte:
A informao e os processos de apoio, sistemas e redes so importantes
ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da
informao podem ser atividades essenciais para assegurar a
competitividade, o fluxo de caixa, a lucratividade, o atendimento aos
requisitos legais e a imagem da organizao junto ao mercado.
[..] A segurana da informao importante para os negcios, tanto do setor
pblico como do setor privado, e para proteger as infra-estruturas crticas. Em
ambos os setores, a funo da segurana da informao viabilizar os
negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-
business), e evitar ou reduzir os riscos relevantes. A interconexo de redes
pblicas e privadas e o compartilhamento de recursos de informao
aumentam a dificuldade de se controlar o acesso. A tendncia da
computao distribuda reduz a eficcia da implementao de um controle de
acesso centralizado. (ABNT, 2005)
Diversos so os modelos que tratam os requisitos de segurana da

informao. Segundo o modelo do COBIT 4.1, um guia para governana de TIC
mundialmente adotado, para atender aos objetivos de negcios, as informaes
precisam se adequar a certos critrios de controles, denominados necessidades de
informao da empresa. O COBIT descreve sete critrios (ITGI, 2007):
21
A Efetividade lida com a informao relevante e pertinente para o processo

de negcio bem como a mesma sendo entregue em tempo, de maneira
correta, consistente e utilizvel.
A Eficincia relaciona-se com a entrega da informao atravs do melhor
(mais produtivo e econmico) uso dos recursos.
A Confidencialidade est relacionada com a proteo de informaes
confidenciais para evitar a divulgao indevida.
A Integridade relaciona-se com a fidedignidade e totalidade da informao
bem como sua validade de acordo os valores de negcios e expectativas.
A Disponibilidade relaciona-se com a disponibilidade da informao quando
exigida pelo processo de negcio hoje e no futuro. Tambm est ligada
salvaguarda dos recursos necessrios e capacidades associadas.
Conformidade lida com a aderncia a leis, regulamentos e obrigaes
contratuais aos quais os processos de negcios esto sujeitos, isto , critrios
de negcios impostos externamente e polticas internas.
Confiabilidade relaciona-se com a entrega da informao apropriada para os
executivos para administrar a entidade e exercer suas responsabilidades
fiducirias e de governana.
A norma ABNT ISO/IEC 27002:2005, que apresenta um cdigo de prtica
para a gesto de segurana da informao, define que a segurana da informao
a preservao da confidencialidade, da integridade e da disponibilidade da
informao; adicionalmente, outras propriedades, tais como autenticidade,
responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas
(ABNT, 2005).
Da mesma forma, a Instruo Normativa n1, de 13 de junho de 2008, do
Gabinete de Segurana Institucional da Presidncia da Repblica define que
segurana da informao e comunicaes so aes que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informaes (BRASIL, 2008b).
Resumindo, de uma forma geral, a segurana da informao objetiva proteger
a informao de vrios tipos de ameaas para garantir a continuidade do negcio,
minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as
oportunidades de negcio (ABNT, 2005).
22
2.2 Limites legais e Gesto de Riscos
As organizaes buscam a reduo das incertezas, de forma a diminuir as

chances de fracasso nos objetivos institucionais (FERNANDES, 2010b).
Infelizmente, ativos de informao, ou conjunto de ativos, esto potencialmente
sujeitos explorao de uma ou mais vulnerabilidades por parte de uma ou mais
ameaas, com impacto negativo no negcio da organizao (BRASIL, 2009).
Todas as organizaes executam seus processos atravs de fluxos de
informao estabelecidos entre suas partes estruturais e relacionam-se com o
ambiente externo no exerccio de suas funes (FERNANDES, 2010c). No entanto,
a execuo destes processos deve respeitar limites estabelecidos por regras
jurdicas definidas, impostas no somente s organizaes, mas a toda coletividade.
Nas organizaes pblicas, os limites de atuao do Estado so definidos em
lei. Di Pietro (2007) leciona que, segundo o princpio da legalidade, a Administrao
Pblica s pode fazer o que a lei permite.
Entretanto, as organizaes, intencionalmente ou no, incorrem no risco de
ultrapassar estes limites legais estabelecidos, acarretando em sanes. Hans
Kelsen (2004 apud Del Monte, 2010) entende que a norma jurdica um imperativo
sancionador, isto , estabelece um dever-ser e uma sano no caso de seu
descumprimento.
Os ativos organizacionais (processos e atividades do negcio, informao e
ativos de suporte e infraestrurura, como hardware, software e recursos humanos)
(ABNT, 2008) se relacionam atravs de processos que produzem efeitos jurdicos. A
Figura 1 ilustra o relacionamento entre a organizao, seus ativos e o ambiente,
atravs de processos.
23
Figura 1 Processos e Limites Legais

Neste modelo, a interao entre os ativos organizacionais deve respeitar os
limites legais impostos por normas. Entretanto, caso os efeitos destes processos
excedam estes limites (violao), seja por ao planejada ou no (desvios), h o
risco da instituio e/ou o agente pblico que causou o desvio ser punido nas
esferas administrativa, civil e penal. Esta interao entre os ativos pode ser um
funcionrio enviando um email, a execuo de uma atividade por uma empresa
terceirizada ou mesmo a comunicao entre dois processos organizacionais. Este
modelo indica que a reduo dos desvios nos efeitos dos processos entre os ativos
organizacionais reduz o risco de sanes legais, j que poder haver reduo no
nmero de violaes ou no grau do desvio
Nas organizaes pblicas, a imposio de limites efetivados pela existncia
de leis e a ameaa de sanes se torna um fator ainda mais crtico, j que seus
processos resultam em polticas pblicas e servios pblicos para a sociedade.
Alexandrino (2010) entende que a Administrao Pblica, no desempenho de suas
mltiplas atividades, est sujeita a erros; nessas hipteses, ela mesma pode (e
deve) tomar a iniciativa de repar-los, a fim de restaurar a situao de regularidade e
zelar pelo interesse pblico.
24
Entretanto, as sanes legais impostas atuao organizacional representam

uma interferncia na previsibilidade de seu sucesso. Este risco, associado s penas
decorrentes de violao de normas, pode ser denominado risco legal. A resoluo n
3.380 do Banco Central do Brasil (2006) trata explicitamente este tipo de risco:
Art. 2 Para os efeitos desta resoluo, define-se como risco operacional a

possibilidade de ocorrncia de perdas resultantes de falha, deficincia ou
inadequao de processos internos, pessoas e sistemas, ou de eventos
externos.
1 A definio de que trata o caput inclui o risco legal associado
inadequao ou deficincia em contratos firmados pela instituio, bem
como a sanes em razo de descumprimento de dispositivos legais e a
indenizaes por danos a terceiros decorrentes das atividades
A situao em que a atuao estatal causa dano a terceiros tratada pela
Teoria do Risco Administrativo. O artigo 37, pargrafo 6 da Constituio Federal,
define a responsabilidade objetiva do Estado por danos causados pelos seus
agentes:
6 - As pessoas jurdicas de direito pblico e as de direito privado
prestadoras de servios pblicos respondero pelos danos que seus
agentes, nessa qualidade, causarem a terceiros, assegurado o direito de
regresso contra o responsvel nos casos de dolo ou culpa. (BRASIL, 1988)
Sendo assim, de acordo com Alexandrino (2010), pela Teoria do Risco

Administrativo, surge a obrigao econmica de reparar o dano sofrido injustamente
pelo particular, independentemente da existncia de falta do servio e muito menos
de culpa do agente pblico. Basta que exista o dano, sem que para ele tenha
concorrido o particular. Resumidamente, existindo o fato do servio e o nexo de
causalidade entro o fato e o dano ocorrido, presume-se a culpa da Administrao.
Ainda de acordo com o referido autor, a responsabilidade civil do Estado no se
confunde com as responsabilidades administrativa e penal que, em regra, so
independentes entre si, podendo as sanes correspondentes serem aplicadas
separada ou cumulativamente.
Desta forma, a imposio de limites legais aos processos das organizaes
implica em riscos de sanes pelo seu descumprimento, acarretando impactos ao
negcio, como perda de credibilidade, dano imagem e perdas financeiras
decorrentes de pagamento de indenizaes.
Neste aspecto, a gesto de risco se torna necessria para aperfeioar o
resultado organizacional. Segundo Fernandes (2010b):
25
A gesto de riscos tem o efeito de tornar um sistema mais seguro. Um

sistema seguro um sistema que possui um grau de garantia de que
continuar a funcionar adequadamente conforme suas caractersticas
estabelecidas, mesmo na presena de eventos negativos decorrentes da
interao com agentes maliciosos ou na ocorrncia de eventos decorrentes
de acidentes ou desastres de origem natural ou ambiental. Para uma
organizao, segurana significa continuar a cumprir seus objetivos de
negcio, mesmo em face do sinistro (FERNANDES, 2010b).
Gerir riscos gerenciar os fatores que afetam as metas estabelecidas. De

acordo com a norma ISO 31001:2008 (2008), que trata da gesto de riscos:
Todas as atividades de uma organizao envolvem riscos. O

gerenciamento do risco subsidia a tomada de deciso, levando em conta a
incerteza e seu efeito sobre a consecuo dos objetivos e avaliao da
necessidade de tomada de ao. (ISO/DIS, 2008)
Entretanto, o processo de gesto de riscos possui um amplo espectro e pode

ser dividida em vrias atividades. De acordo com a ISO 31001:2008 a gesto do
risco pode ser aplicada em toda a organizao, em suas diversas reas e nveis, a
qualquer momento, bem como s funes e atividades especficas (ISO/DIS, 2008).
No mbito da segurana da informao, as etapas do processo de gesto de riscos
definidos pela norma 27005:2008 so: Definio do Contexto, Anlise/Avaliao de
Riscos, Tratamento do risco, Aceitao do Risco, Comunicao do Risco,
Monitoramento e anlise crtica do risco.
Segundo o processo de gesto de riscos da norma 27005:2008, a
anlise/avaliao de riscos quantifica ou descreve o risco qualitativamente e
capacita os gestores a priorizar os riscos de acordo com sua gravidade percebida ou
com outros critrios estabelecidos (ABNT, 2008). Por meio da anlise/avaliao de
riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e
realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto
potencial ao negcio (ABNT, 2005). A etapa de anlise/avaliao de riscos segundo
a norma 27005:2008 ser abordada no tpico seguinte.
Para atingir os requisitos de segurana estabelecidos para a informao e
reduzir as incertezas causadas pela imposio de normas e limites aos processos
da instituio necessria adoo de controles. A norma 27002:2005 trata a
necessidade de controles de segurana da informao da seguinte forma:
26
A segurana da informao obtida a partir da implementao de um

conjunto de controles adequados, incluindo polticas, processos,
procedimentos, estruturas organizacionais e funes de software e
hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados,
analisados criticamente e melhorados, onde necessrio, para garantir que
os objetivos do negcio e de segurana da organizao sejam atendidos.
Convm que isto seja feito em conjunto com outros processos de gesto do
negcio. (ABNT, 2005)
Segundo Fernandes (2010b):
Os controles aumentam a previsibilidade do funcionamento da organizao

e, dessa forma, so vistos como estabilizadores dos processos e sistemas
nas organizaes. [...] Controles em funcionamento que tenham por
objetivo neutralizar eventos potencialmente negativos que venham a
ocorrer numa organizao so chamados de controles de segurana.
(FERNANDES, 2010b)
A norma ABNT 27002:2005 apresenta uma seleo de controles de

segurana para a gesto de segurana da informao em uma organizao, dividida
em 11 sees. Na relao com a gesto de riscos, a norma apresenta o seguinte
entendimento:
Uma vez que os requisitos de segurana da informao e os riscos tenham
sido identificados e as decises para o tratamento dos riscos tenham sido
tomadas, convm que controles apropriados sejam selecionados e
implementados para assegurar que os riscos sejam reduzidos a um nvel
aceitvel. (ABNT, 2005)
2.3 A anlise/avaliao de riscos de segurana da informao

segundo ABNT 27005:2008
O objetivo da norma ABNT 27005:2008 fornecer diretrizes para o processo

de gesto de riscos de segurana da informao de uma organizao, alinhado a
norma ABNT NBR ISO/IEC 27001. Ela apresenta contedo idntico ISO/IEC
27005:2008, elaborada pelo Technical Committee Information technology. Da
mesma forma, a 27005:2008 est alinhada norma ABNT NBR ISO 31000:2009,
que apresenta os princpios, estrutura e processo geral de gesto de riscos, sendo
mais ampla e que a primeira.
A norma est organizada nas atividades de gesto de riscos de segurana da
informao, seguindo o modelo do processo de gesto de riscos apresentado pela
Figura 2.
27
Figura 2 Processo de Gesto de Riscos de Segurana da Informao da ABNT

27005:2008. Fonte: (ABNT, 2008)
De acordo com o modelo, o processo de gesto de riscos de segurana da
informao apresenta um carter iterativo na execuo de anlise/avaliao de
riscos:
O enfoque iterativo permite minimizar o tempo e o esforo despendidos na
identificao de controles e, ainda assim, assegura que riscos de alto impacto
ou de alta probabilidade possam ser adequadamente avaliados. (ABNT,
2008)
Este modelo apresenta similaridades com o processo de gesto de riscos da

norma 31000:2009, sendo que nesta ltima, a atividade de identificao dos riscos
externa anlise de riscos.
28
Durante a etapa de definio do contexto, so definidos os critrios bsicos

necessrios para a gesto de riscos de segurana da informao, a definio do
escopo e dos limites e o estabelecimento de uma organizao apropriada para
operar a gesto de riscos de segurana da informao (ABNT, 2008). Segundo
Fernandes (2010b), a etapa:
Recebe como entrada todas as informaes sobre a organizao relevantes

para a definio do contexto, e produz como sada: (i) a especificao dos
critrios bsicos para GR; (ii) a especificao do escopo e limites cujos riscos
sero geridos e (iii) uma organizao preparada para operar a gesto de
riscos. (FERNANDES, 2010b)
Realizada a etapa de definio do contexto, os produtos desta fase se tornam

insumos para a etapa seguinte, de anlise/avaliao de riscos. Nesta etapa, os
riscos so identificados, quantificados ou descritos qualitativamente, priorizados em
funo dos critrios de avaliao de riscos e dos objetivos relevantes da
organizao (ABNT, 2008).
A fase de anlise/avaliao de riscos na norma 27005:2008 subdividida em
duas atividades: Anlise de Riscos (compreendendo a identificao dos riscos e
estimativas de riscos) e a Avaliao dos Riscos:
A anlise/avaliao de riscos determina o valor dos ativos de informao,
identifica as ameaas e vulnerabilidades aplicveis existentes (ou que
poderiam existir), identifica os controles existentes e seus efeitos no risco
identificado, determina as consequncias possveis e, finalmente, prioriza os
riscos derivados e ordena-os de acordo com os critrios de avaliao de
riscos estabelecidos na definio do contexto. (ABNT, 2008)
De uma forma resumida, as tarefas realizadas em cada atividade da

anlise/avaliao de riscos, segundo a norma 27005:2008, so assim descritas:
Anlise de riscos:
o Identificao de Riscos: Determinar eventos que possam causar
uma perda potencial e deixar claro como, onde e por que a
perda pode acontecer. Pode ser subdividida em:
Identificao dos ativos: Determinar os ativos com riscos
a serem gerenciados, levando-se em considerao o
nvel de detalhe definido na fase de definio do contexto.
Definir uma lista dos negcios relacionados aos ativos e
suas relevncias. O Anexo B da norma exemplifica a
29
identificao dos ativos e fornece informaes

importantes sobre sua valorao.
Identificao das ameaas: Determinar, genericamente e
por classe, preferencialmente, as ameaas (e suas
fontes) que tem o potencial de comprometer ativos da
organizao. O anexo C da norma apresenta informaes
sobre tipos ameaas.
Identificao dos controles existentes: Identificar a
existncia e a efetividade dos controles de segurana da
informao na organizao, assim como sua
implementao, considerando tambm os controles
planejados. A norma ABNT 27002:2005 auxilia esta etapa
ao apresentar uma lista de controles recomendveis para
a segurana da informao e comunicaes.
Identificao das vulnerabilidades: Identificar as
vulnerabilidades associadas aos ativos, s ameaas e
aos controles, assim como aquelas que no se referem a
nenhuma ameaa identificada. O Anexo D da norma
apresenta exemplos de vulnerabilidades e mtodos para
avaliao de vulnerabilidades.
Identificao das consequncias: Listar os cenrios de
incidentes (ameaas explorando uma certa
vulnerabilidade ou um conjunto delas em um incidente de
segurana da informao) com suas consequncias
associadas aos ativos e processos do negcio. A norma
recomenda que as consequncias sejam identificadas em
funo da imagem, reputao e valor de mercado, alm
de outros fatores, como oportunidade perdida, sade e
segurana, tempo perdido, etc.
o Estimativa de Riscos: De acordo com o critrio de avaliao de
riscos definido, a estimativa pode ser qualitativa ou quantitativa.
subdividida em:
30
Avaliao das Conseqncias: Avaliar o impacto sobre os

negcios da organizao, que pode ser causado por
incidentes relacionados segurana da informao e
atribuir valor qualitativo ou quantitativo. A valorao pode
ser atribuda atravs de uma anlise de impacto no
negcio. Determinar uma lista de consequncias
avaliadas referentes a um cenrio de incidente,
relacionadas aos ativos e critrios de impacto.
Avaliao da probabilidade de incidentes: Avaliar a
probabilidade de cada cenrio de incidente e do impacto
correspondente, atravs de mtodos qualitativos ou
quantitativos.
Estimativa do Nvel do Risco: Designar valores
qualitativos ou quantitativos para a probabilidade e
consequncias de um risco.
Avaliao de Riscos: Priorizar e ordenar os riscos, de acordo com os
critrios de avaliao de riscos, associados aos cenrios de incidentes
que os provocam.
2.4 A anlise/avaliao de riscos legais de segurana da

informao
As atividades de anlise e avaliao de riscos de segurana da informao

apresentadas pela norma ABNT 27005:2008 no so restritivas, podendo ser
adotadas com o escopo voltado ao risco legal.
Ao utilizar o modelo seguindo tal foco, o processo realizado com base nas
consequncias legais e impactos instituio provenientes de vulnerabilidades em
seus ativos primrios e de suporte, no tratadas por controles efetivos, ao serem
exploradas por uma ou mais ameaas.
Como exemplo deste modelo, um usurio malicioso, ao utilizar indevidamente
credenciais de outro para acesso a um sistema de informao, pode gerar o cenrio
de incidentes representado na Tabela 2, que ser objeto de estimativa de risco e
avaliao de risco:
31
Tabela 2 - Cenrio de incidente e consequncias legais.
Id Ativo Ameaa Vulnerabilidade Consequncias
Controle ineficaz
de identificao e
autorizao de
Ato fraudulento: crimes de
usurios (ex:
CI Aplicao de Forjamento de direitos: Usurio falso. Responsabilizao
senhas de fcil
1.1 negcio malicioso objetiva por danos
deduo,
causados a terceiros
ausncia de
biometria ou
tokens)
Este cenrio deve ser avaliado quanto s consequncias e nvel de impacto

ao negcio, e estimado (qualitativamente) quanto probabilidade do incidente e o
nvel do risco.
Tabela 3 - Estimativa do risco
Avaliao Estimativa
Probabilidade
Ativo Ameaa Vulnerabilidade Consequncias Impactos do do nvel
do Incidente
Impacto do risco
Controle ineficaz
de identificao Imagem
Ato fraudulento:
e autorizao de comprometida
Forjamento crimes de falso.
Aplicao usurios (ex: de sistema
de direitos: Responsabilizao
de senhas de fcil seguro. Alto Mdio Alto
Usurio por danos
negcio deduo, Prejuzo aos
malicioso causados a
ausncia de cofres da
terceiros
biometria ou instituio.
tokens)
32
3 Metodologia
3.1 Classificao da pesquisa e coleta de evidncias
A presente pesquisa foi caracterizada por um estudo de caso com

caractersticas essencialmente descritivas e exploratrias.
Segundo Cresswell (2007 apud FERNANDES, 2010), o estudo de caso uma
estratgia de pesquisa baseada na explorao, em profundidade, de um programa,
fato, atividade, processo, pessoa ou grupo. Tal metodologia tem aderncia aos
objetivos propostos, j que se pretende explorar os fatores que influenciam o risco
legal de segurana da informao na instituio, atravs da avaliao dos dados
observados e coletados na organizao.
O carter descritivo da pesquisa evidenciado na medida em que se almeja
apresentar as condies que influenciam o nvel de risco legal de segurana da
informao na instituio. J o carter exploratrio, se deve a inteno de
compreender os fatores de risco de segurana e a forma com que a organizao lida
com o assunto.
A coleta de dados foi realizada na Coordenao Geral de Tecnologia da
Informao da instituio, entre os meses de maio de 2010 a junho de 2011.
As fontes de evidncia empregadas na pesquisa, tomando-se como
referncia Fernandes (2010a), foram: observao participante, documentos,
registros em arquivos de computador e entrevistas. O que motivou a escolha pela
observao participante foi o fato do pesquisador integrar a equipe de infraestrutura
de tecnologia da informao da Coordenao em questo. Em algumas situaes,
de forma a evitar o vis decorrente desta tcnica, conforme observado por Camilo
33
(2003), optou-se por substituir dados coletados atravs de observao participante

por entrevistas.
A coleta de dados foi estruturada da seguinte forma, buscando alinhar s
atividades descritas na fase de Anlise de Riscos da norma ABNT 27005:2008:
Observao participante - buscaram-se dados referentes ao contexto
organizacional no qual se realizava a pesquisa. Informaes no
documentadas, referentes aos processos de trabalho de conhecimento
do pesquisador tambm foram utilizadas. Todo o dia a dia da
instituio forneceu informaes importantes para avaliar o contexto.
Documentos foram levantados diversos normativos que podem
determinar os limites legais a que a instituio est sujeita, assim como
as conseqncias (sanes) estabelecidas. Foram avaliados: o Cdigo
Penal Brasileiro, o Cdigo Civil, a Lei 8112/90, Lei de
Responsabilidade Fiscal, decretos que estruturam a instituio, a
Poltica de Segurana da Informao do Ministrio XPTO, a qual a
instituio est subordinada, e outros.
Registros em arquivos informaes importantes para identificar as
vulnerabilidades foram logs de sistemas de deteco de intruso e logs
de acesso emitidos por equipamentos do tipo firewall e relatrios de
vulnerabilidade de sistemas informatizados.
Entrevistas - foram utilizados dois mtodos, conforme Fernandes
(2010a): de forma espontnea e como um levantamento formal,
atravs de questionrios:
o Espontneas: Foram realizadas 3 entrevistas de forma
espontnea, sem o acompanhamento de um roteiro, com vistas
a obter informaes sobre o tema Segurana da Informao e
Comunicaes na instituio. Foram entrevistados o
Coordenador Geral de Tecnologia da Informao, o
Coordenador de Infraestrutura de Tecnologia da Informao e
um analista especialista em segurana da informao e
comunicaes, todos integrantes a estrutura da CGTEC.
o Questionrio: O objetivo foi o levantamento do status de
implementao dos controles de segurana na instituio. Para
34
isso foi elaborado um questionrio contendo os principais

controles recomendados pela norma ABNT 27002:2005, no qual
o entrevistado escolheu, de forma qualitativa, para cada um, seu
grau de eficcia e implantao. Foi feita a opo do mtodo
qualitativo para o questionrio por ele apresentar uma melhor
semntica para o entrevistado. Espera-se que entendimento do
entrevistado sobre o significado de status de implementao
entre inexistente a implementado e efetivo seja mais claro que
uma escala numrica (ex. 0 a 10).
O questionrio foi aplicado em vrias etapas, seguindo o fluxo de disciplinas
do CEGSIC 2010-2011, entre julho de 2010 a maro de 2011, e teve como alvo
analistas da instituio. Participaram da atividade entre 2 e 6 analistas, variando de
acordo com a data de aplicao. Todos que receberam o questionrio, responderam
dentro do prazo estipulado.
A parte do questionrio que trata de segurana fsica e ambiental foi baseada
no questionrio proposto por Fortes, Casati e Rodrigues (2010) enquanto a que trata
de Poltica de Segurana da Informao foi baseada no teste proposto por Marcos
Smola (2002).
O questionrio apresentava a estrutura da Tabela 4:
35
Tabela 4 - Exemplo de Questionrio
Implementado
Implementado Parcialmente
Controle da ABNT 27002:2005 mas no Inexistente
e Efetivo Implementado
efetivo
Notificao de fragilidades e eventos de segurana da informao

Os eventos de segurana
da informao so relatados
1 atravs de canais
apropriados da direo, o
mais rpido possvel.
Os funcionrios,
terceirizados e fornecedores
so instrudos a registrar e
2 notificar qualquer
observao ou suspeita de
fragilidade em sistemas e
servios
As respostas dos entrevistados foram consolidadas de forma a compor

apenas um status do controle na instituio. Para isso, cada resposta, em
determinado status, foi somada, e atribudo o atributo de maior valor. Por exemplo,
se o questionrio foi aplicado a cinco analistas, a Tabela 5 representa a
consolidao, ao somar todas as respostas.
Tabela 5 - Exemplo de consolidao dos Questionrios.
Implementado
Implementado Parcialmente
Controle da ABNT 27002:2005 mas no Inexistente
e Efetivo Implementado
efetivo

Os eventos de segurana
da informao so relatados
1 atravs de canais 0 2 3 0
apropriados da direo, o
mais rpido possvel.
Os funcionrios,
terceirizados e fornecedores
so instrudos a registrar e
2 notificar qualquer 1 0 2 2
observao ou suspeita de
fragilidade em sistemas e
servios
36
Para respostas em que houve empate na consolidao, optou-se por

considerar o status mais pessimista. Desta forma, neste exemplo, considerou-se o
controle n 1 Parcialmente Implementado e o controle n 2 Inexistente.
A parte do questionrio que trata de segurana fsica e ambiental apresentou
apenas sim e no como respostas possveis, e, portanto, foram adotadas as
respostas Implementado e Efetivo ou Inexistente, respectivamente.
3.2 Mtodos de anlise das evidncias
Para compreender os fatores que influenciam o risco legal de segurana da

informao na instituio, adotou-se o processo de Anlise de Riscos de Segurana
da Informao proposto pela norma ABNT 27005:2005.
Aps a definio do contexto, os ativos levantados, as ameaas observadas e
as vulnerabilidades identificadas foram correlacionadas em cenrios de incidentes,
assim como as consequncias possveis, conforme a Tabela 2, apresentada no item
2.4. Para cada cenrio de incidente, os controles de segurana e seus respectivos
status de implementao, provenientes dos questionrios, foram descritos.
Conforme o item 8.2.2 da norma ABNT 27005:2008, a estimativa dos riscos
pode ser feita de modo qualitativo como forma de descrever a magnitude das
consequncias potenciais. O intuito de realizar uma estimativa dos riscos para a
anlise dos fatores de risco apenas para evidenciar a dimenso do risco legal de
segurana da informao na instituio e no condio necessria para o sucesso
da pesquisa. Desta forma, o mtodo qualitativo para estimar os riscos parece ser o
mais indicado. De acordo com a referida norma, a estimativa qualitativa pode ser
utilizada: como uma verificao inicial a fim de identificar riscos que exigiro uma
anlise mais detalhada; quando este tipo de anlise for suficiente para a tomada de
decises (ABNT, 2008).
De acordo com a 27005:2008, para estimar o risco, deve-se levar em
considerao a avaliao do impacto aos negcios do cenrio de incidentes e a
estimativa da probabilidade de sua ocorrncia, conforme a Tabela 3 do item 2.4. O
anexo E da norma apresenta uma abordagem qualitativa que ser utilizada na
estimativa do risco desta pesquisa, conforme a Tabela 6, a seguir:
37
Tabela 6 - Matriz de Risco: Impacto x Probabilidade de Incidente.
Probabilidade do Muito baixa

Baixa Mdia Alta Muito alta
cenrio de (Muito
(Improvvel) (Possvel) (Provvel) (Frequente)
incidente improvvel)
Muito baixo 0 1 2 3 4
Baixo 1 2 3 4 5
Impacto ao
Mdio 2 3 4 5 6
negocio
Alto 3 4 5 6 7
Muito alto 4 5 6 7 8
A escala acima pode ser aproximada, mais genericamente, para:

Baixo Risco: 0 a 2;
Mdio Risco; 3 a 5;
Alto Risco: 6 a 8.
Portanto, uma situao de uma ameaa ter alta probabilidade de explorar

uma vulnerabilidade em um ativo da instituio e suas consequncias legais
provocarem baixo impacto ao negcio, ser considerada de mdio risco.
38
4 Resultados
4.1 A Instituio: Histria, misso e processos crticos.
A instituio pesquisada, rgo integrante da estrutura do Ministrio XPTO,

exerce um papel crtico no processo de elaborao dos projetos de lei oramentria
e de diretrizes oramentrias, na realizao das alteraes oramentrias e no
acompanhamento das despesas pblicas.
Ao longo destes anos, diversos dispositivos legais regulamentaram as
funes subsidirias da instituio, mas o processo principal da organizao
permaneceu o mesmo: coordenar a elaborao do projeto lei oramentria federal.
Entretanto, a instituio no o nico ator no Sistema Z Federal. Diversas instncias
da Administrao Pblica Federal interagem e se articulam dentro do Sistema com o
objetivo de propor a melhor alocao de recurso dentro das demandas por aes
governamentais. Os processos de informao e comunicao fluem dentro deste
intrnseco sistema para realizar sua misso.
A Constituio Federal do Brasil descreve competncias para o Poder
Executivo, que so capitaneadas pela instituio pesquisada:
Art.165. Leis de iniciativa do Poder Executivo estabelecero:
I - o plano plurianual;
II - as diretrizes oramentrias;
III - os oramentos anuais. (BRASIL, 1988)
De acordo com entrevista realizada com o Coordenador Geral de Tecnologia

da Informao da instituio, podem-se definir como processos crticos os seguintes,
alinhados ao que descreve o Decreto D e a Constituio Federal:
Consolidar as informaes qualitativas e quantitativas para elaborao
da proposta oramentria anual;
Avaliar o cenrio macroeconmico e identificar os parmetros definidos
para estimativa de receita, com vistas a limitar a despesa;
39
Acompanhar o processo de alteraes da lei oramentria aprovada.
4.2 A Coordenao Geral de Tecnologia da Informao: Contexto

A rea de tecnologia da instituio foi bem estruturada no passado, chegando
a possuir mais de 100 funcionrios e, de acordo com o Coordenador de
Infraestrutura de Tecnologia da Informao, aderente s melhores prticas vigentes
no mercado, sempre com tecnologia atualizada. Foi, segundo ele, durante muito
tempo, referncia em TIC para a Administrao Pblica Federal. Em 2003, todo
desenvolvimento, infraestrutura, administrao e manuteno de sistemas foi
migrado para uma empresa pblica terceirizada, a Empresa S, cabendo instituio
pesquisada apenas a gesto do contrato. Esta estrutura ficou vigente at 2008,
quando se deu incio ao projeto de um novo sistema informatizado para captao da
proposta oramentria, com objetivo de substituir o antigo Sistema O. Desde ento,
a Coordenao Geral de Tecnologia da Informao (CGTEC), ligada Secretaria
Adjunta de Gesto Estratgica, que por sua vez ligada ao gabinete da instituio,
busca reestruturar a rea, com investimentos em pessoal e infraestrutura.
Atualmente, a CGTEC conta com cinco reas: Coordenao de Sistemas,
Coordenao de Infraestrutura, Coordenao de Desenvolvimento e Inovao,
Coordenao de Suporte e Operaes e Coordenao de Gesto da Informao e
Documentao. Ao todo, a Coordenao possui 85 funcionrios, entre terceirizados
e servidores de carreira. Quinze destes integraram a equipe em abril de 2011, aps
concurso pblico, o que desafogou diversos projetos que estavam sem andamento
devido falta de pessoal.
Apesar de possuir uma Coordenao especfica de TIC, com infraestrutura e
pessoal de carreira prprio, a CGTEC dependente de diretrizes e aes emanadas
por um departamento de TIC de outro rgo do mesmo Ministrio XPTO. A diretriz
tecnolgica, gesto contratual, aquisies de TIC por vezes determinada por este
departamento.
Da mesma forma, a instituio pesquisada ainda no publicou o seu Plano
Diretor de Tecnologia da Informao (PDTI), alinhado aos objetivos estratgicos
definidos pelo Plano Estratgico da instituio.
40
4.3 Limites legais aos processos da Coordenao Geral de

Tecnologia da instituio
4.3.1 Os limites Constitucionais, na LRF e na Lei 4.320/64

Os incisos II e III, do pargrafo 2 do artigo 35 do Ato das Disposies
Constitucionais Transitrias (ADCT) da Constituio Federal brasileira definem:
2 - At a entrada em vigor da lei complementar a que se refere o art. 165,
9, I e II, sero obedecidas as seguintes normas:
II - o projeto de lei de diretrizes oramentrias ser encaminhado at oito
meses e meio antes do encerramento do exerccio financeiro e devolvido para
sano at o encerramento do primeiro perodo da sesso legislativa;
III - o projeto de lei oramentria da Unio ser encaminhado at quatro
meses antes do encerramento do exerccio financeiro e devolvido para
sano at o encerramento da sesso legislativa. (BRASIL, 1988)
Este limite temporal estabelecido na carta magna, caso no obedecido, pode

ter consequncias ao Presidente da Repblica. O artigo 85 da Constituio Federal
do Brasil define que so crimes de responsabilidade os atos do Presidente da
Repblica que atentem contra a Constituio Federal e, especialmente, contra a lei
oramentria (BRASIL, 1988). Da mesma forma, O art. 10 da Lei n1.079 define ser
crime de responsabilidade contra a lei oramentria (BRASIL, 1950):
No apresentar ao Congresso Nacional a proposta do oramento da
Repblica dentro dos primeiros dois meses de cada sesso legislativa;
Exceder ou transportar, sem autorizao legal, as verbas do
oramento;
Realizar o estorno de verbas;
Infringir, patentemente, e de qualquer modo, dispositivo da lei
oramentria;
Deixar de ordenar a reduo do montante da dvida consolidada, nos
prazos estabelecidos em lei, quando o montante ultrapassar o valor
resultante da aplicao do limite mximo fixado pelo Senado Federal;
Ordenar ou autorizar a abertura de crdito em desacordo com os
limites estabelecidos pelo Senado Federal, sem fundamento na lei
oramentria ou na de crdito adicional ou com inobservncia de
prescrio legal;
41
Deixar de promover ou de ordenar na forma da lei, o cancelamento, a

amortizao ou a constituio de reserva para anular os efeitos de
operao de crdito realizada com inobservncia de limite, condio ou
montante estabelecido em lei;
Deixar de promover ou de ordenar a liquidao integral de operao de
crdito por antecipao de receita oramentria, inclusive os
respectivos juros e demais encargos, at o encerramento do exerccio
financeiro;
Ordenar ou autorizar, em desacordo com a lei, a realizao de
operao de crdito com qualquer um dos demais entes da Federao,
inclusive suas entidades da administrao indireta, ainda que na forma
de novao, refinanciamento ou postergao de dvida contrada
anteriormente;
Captar recursos a ttulo de antecipao de receita de tributo ou
contribuio cujo fato gerador ainda no tenha ocorrido;
Ordenar ou autorizar a destinao de recursos provenientes da
emisso de ttulos para finalidade diversa da prevista na lei que a
autorizou;
Realizar ou receber transferncia voluntria em desacordo com limite
ou condio estabelecida em lei.
A Lei de Responsabilidade Fiscal (LRF) tambm estabelece regras que
interessam s atividades da instituio e sua CGTEC, que mantm sistemas
informatizados responsveis pela captao da proposta oramentria e alteraes
oramentrias da Unio. O principal objetivo da LRF consiste em estabelecer
normas de finanas pblicas voltadas para a responsabilidade da gesto fiscal
atravs de:
Aes planejadas e transparentes;
Preveno de riscos e correo de desvios que afetam o equilbrio das
contas pblicas e;
Garantia de equilbrio nas contas, via cumprimento de metas de
resultados entre receitas e despesas, com limites e condies para a
renncia de receita e a gerao de despesas com pessoal,
42
seguridade, dvida, operaes de crdito, concesso de garantia e

inscrio em restos a pagar. (NASCIMENTO e DEBUS, 2001)
Em resumo, o foco da Lei de Responsabilidade Fiscal est na preveno de
dficits fiscais. Desta forma, autoridades governamentais e agentes pblicos passam
a ser responsabilizados criminalmente pela m gesto dos recursos pblicos e pelos
atos que impliquem danos ao errio. (FEIJ, 2002)
O art. 73 da LRF define que as infraes dos dispositivos desta Lei
Complementar sero punidas segundo o Decreto-Lei no 2.848, de 7 de dezembro de
1940 (Cdigo Penal); a Lei no 1.079, de 10 de abril de 1950; o Decreto-Lei no 201,
de 27 de fevereiro de 1967; a Lei no 8.429, de 2 de junho de 1992; e demais normas
da legislao pertinente. (BRASIL, 2000a)
A Lei n 4.320, de 17 de maro de 1964, institui normas gerais de direito
financeiro para elaborao e controle dos oramentos e balanos da Unio, dos
Estados, dos Municpios e do Distrito Federal (BRASIL, 1964). Desta forma, todo o
processo de elaborao dos Oramentos, em todas as esferas, dever observar o
disposto neste normativo.
A Lei n 4.320/64 estabelece, alm dos princpios oramentrios, a
classificao da receita e da despesa, alm de regras para a elaborao, contedo e
forma da proposta oramentria. A Lei tambm trata dos Crditos Adicionais e
normatiza a execuo do Oramento e seus controles internos e externos.
Diversas outras normas de mbito federal, como o cdigo penal e civil, quanto
de abrangncia ministerial, como a Poltica de Segurana da Informao (POSIC) do
Ministrio XPTO, apresentam limites s atividades desenvolvidas na instituio
pesquisada e merecem destaque.
4.3.2 A Poltica de Segurana do Ministrio XPTO

Atualmente, a POSIC est em fase de elaborao de suas normas
complementares (Anexos). O documento foi editado recentemente e estabelece
apenas as diretrizes gerais da Poltica de Segurana da Informao, no mbito do
Ministrio XPTO, incluindo a instituio pesquisada. Os anexos, que visam tratar
assuntos mais especficos, como uso de email, tratamento da informao, controles
43
de acesso, etc, ainda no foram aprovadas e, portanto, no possuem aplicabilidade.

Alguns itens importantes:
Os recursos computacionais do Ministrio XPTO no podem ser utilizados
para:
o Constranger, assediar ou ameaar qualquer pessoa;
o Tentar, permitir ou causar alterao ou destruio de ambientes
operacionais, dados ou equipamentos de processamento ou
comunicaes;
o Benefcios financeiros direto, prprios ou de terceiros;
o Introduzir cdigos maliciosos nos sistemas de informtica;
o Divulgar ou comercializar produtos, itens ou servios;
o Tentar interferir ou interferir sem autorizao em um sistema, programa
ou servio, sobrecarreg-lo, ou, ainda, desativ-lo, inclusive aderir ou
cooperar com ataques de negao de servios internos ou externos;
o Obter acesso no autorizado, ou acessar indevidamente dados,
sistemas ou redes, incluindo qualquer tentativa de investigar, examinar
ou testar vulnerabilidades nos sistemas de informtica, exceto quando
realizado pela secretaria responsvel da Tecnologia com o objetivo de
realizar a gesto de recursos e tratamento de incidentes;
o Monitorar ou interceptar o trfego de informaes nos sistemas de
Tecnologia da Informao, exceto quando realizados pela secretaria
responsvel da Tecnologia com o objetivo de realizar a gesto de
recursos e tratamento de incidentes;
o Violar medida de segurana ou de autenticao;
o Fornecer informaes a terceiros, sobre usurios ou servios
disponibilizados nos sistemas de Tecnologia da Informao, exceto
mediante autorizao de autoridade competente;
o Armazenamento ou uso de jogos em computador; e entretenimento no
horrio de trabalho.
A POSIC tambm define que o descumprimento ou violao de um ou mais
itens deste documento poder resultar na aplicao de sanes administrativas,
penais ou civis.
44
A importncia da POSIC vai muito alm de estabelecer regras para o uso de

recursos de TIC. Ela objetiva fornecer diretrizes, critrios e suporte administrativo
suficientes implementao da segurana da informao e comunicaes (BRASIL,
2009a). Este objetivo tambm alcana a garantia da legalidade nas atividades
inerentes a rea de Tecnologia, atravs do gerenciamento do risco legal e na
preveno de aes que possam violar regras estabelecidas (GOULART, 2007).
4.3.3 A Lei n 8.112/90

A Lei n 8.112/90 dispe sobre o regime jurdico dos servidores pblicos civis
da Unio, das autarquias e das fundaes pblicas federais. Alguns artigos
abrangem as punies em caso de violao da Segurana da Informao e
Comunicaes:
Art. 117. Ao servidor proibido:
II - retirar, sem prvia anuncia da autoridade competente, qualquer
documento ou objeto da repartio;
XVI - utilizar pessoal ou recursos materiais da repartio em servios ou
atividades particulares;
Art. 132. A (pena de) demisso ser aplicada nos seguintes casos:
IX - revelao de segredo do qual se apropriou em razo do cargo (BRASIL,
1990b)
4.3.4 Cdigo Penal Brasileiro (Decreto-Lei no 2.848/40)

Parte da doutrina acredita que a grande maioria dos crimes imprprios
(aqueles cometidos atravs de um sistema informatizado) est coberta pelo cdigo
penal. Outros crimes no tipificados so alvo de discusses no legislativo, como o
PLS 89/03, que dispe sobre os crimes cometidos na rea de informtica, e suas
penalidades, dispondo que o acesso de terceiros, no autorizados pelos respectivos
interessados, a informaes privadas mantidas em redes de computadores,
depender de prvia autorizao judicial (PINHEIRO, 2003).
A Tabela 7 apresenta uma breve coleo de dispositivos do Cdigo Penal que
os funcionrios e usurios de sistemas informatizados da instituio devem observar
no mbito da segurana da informao e comunicaes:
45
Tabela 7 Relao de crimes tipificados no Cdigo Penal que podem ser aplicados
Segurana da Informao e Comunicaes
Crime no Cdigo Penal Artigo Definio
Ameaa Art. 147 Ameaar algum, por palavra, escrito ou gesto, ou qualquer outro
meio simblico, de causar-lhe mal injusto e grave (e pargrafos);
Apologia de crime Art. 287 Fazer, publicamente, apologia de fato criminoso ou de autor de
crime (e pargrafos);
Ato obsceno Art. 233 Praticar ato obsceno em lugar pblico, ou aberto ou exposto ao
pblico (e pargrafos);
Calnia Art. 138 Caluniar algum, imputando-lhe falsamente fato definido como crime
(e pargrafos);
Dano Art. 163 Destruir, inutilizar ou deteriorar coisa alheia (e pargrafos);
Difamao Art. 139 Difamar algum, imputando-lhe fato ofensivo sua reputao (e
pargrafos);
Divulgao de Segredo Art. 153 Divulgar algum, sem justa causa, contedo de documento
particular ou de correspondncia confidencial, de que destinatrio
ou detentor, e cuja divulgao possa produzir dano a outrem (e
pargrafos);
Escrito ou objeto obsceno Art. 234 Fazer, importar, exportar, adquirir ou ter sob sua guarda, para fim de
comrcio, de distribuio ou de exposio pblica, escrito, desenho,
pintura, estampa ou qualquer objeto obsceno (e pargrafos);
Estelionato Art. 171 Obter, para si ou para outrem, vantagem ilcita, em prejuzo alheio,
induzindo ou mantendo algum em erro, mediante artifcio, ardil, ou
qualquer outro meio fraudulento (e pargrafos);
Extravio, sonegao ou Art. 314 Extraviar livro oficial ou qualquer documento, de que tem a guarda
inutilizao de livro ou em razo do cargo, soneg-lo ou inutiliz-lo, total ou parcialmente (e
documento pargrafos);
Falsa identidade Art. 307 Atribuir-se ou atribuir a terceiro falsa identidade para obter
vantagem, em proveito prprio ou alheio, ou para causar dano a
outrem (e pargrafos);
Falsidade Ideolgica Art. 299 Omitir, em documento pblico ou particular, declarao que dele
devia constar, ou nele inserir ou fazer inserir declarao falsa ou
diversa da que devia ser escrita, com o fim de prejudicar direito, criar
obrigao ou alterar a verdade sobre fato juridicamente relevante
Falsificao de Documento Art. 298 Falsificar, no todo ou em parte, documento particular ou alterar
Particular documento particular verdadeiro (e pargrafos);
Falsificao de Documento Art. 297 Falsificar, no todo ou em parte, documento pblico, ou alterar
Pblico documento pblico verdadeiro (e pargrafos);
Incitao ao crime Art. 286 Incitar, publicamente, a prtica de crime (e pargrafos);
Injria Art. 140 Injuriar algum, ofendendo-lhe a dignidade ou o decoro (e
pargrafos);
Insero de dados falsos Art. Inserir ou facilitar, o funcionrio autorizado, a insero de dados
em sistema de informaes 313-A falsos, alterar ou excluir indevidamente dados corretos nos sistemas
informatizados ou bancos de dados da Administrao Pblica com o
fim de obter vantagem indevida para si ou para outrem ou para
causar dano (e pargrafos);
Interrupo ou perturbao Art. 266 Interromper ou perturbar servio telegrfico, radiotelegrfico ou
de servio telegrfico ou telefnico, impedir ou dificultar-lhe o restabelecimento (e pargrafos);
telefnico
Modificao ou alterao Art. Modificar ou alterar, o funcionrio, sistema de informaes ou
no autorizada de sistema 313-B programa de informtica sem autorizao ou solicitao de
de informaes autoridade competente (e pargrafos);
Ultraje a culto e Art. 208 Escarnecer de algum publicamente, por motivo de crena ou
impedimento ou funo religiosa; impedir ou perturbar cerimnia ou prtica de culto
perturbao de ato a ele religioso; vilipendiar publicamente ato ou objeto de culto religioso (e
relativo pargrafos);
Violao de Direito Autoral Art. 184 Violar direitos de autor e os que lhe so conexos (e pargrafos);
46
Violao de Segredo Art. 154 Revelar algum, sem justa causa, segredo, de que tem cincia em
profissional razo de funo, ministrio, ofcio ou profisso, e cuja revelao
possa produzir dano a outrem (e pargrafos);
Violao de sigilo Art. 325 Revelar fato de que tem cincia em razo do cargo e que deva
funcional permanecer em segredo, ou facilitar-lhe a revelao (e pargrafos);
Violao do sigilo de Art. 326 Devassar o sigilo de proposta de concorrncia pblica, ou
proposta de concorrncia proporcionar a terceiro o ensejo de devass-lo.
Cabe ressaltar que projetos de lei para tipificar ilcitos penais cometidos em
sistemas informatizados encontram-se em discusso no Congresso Nacional, como
o PL 84/99 do Senador Azevedo (ROHR, 2011).
4.3.5 Outras normas aplicveis

De acordo com o Estatuto da Criana e do Adolescente (Lei 8.069/90)
constitui crime:
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia,
vdeo ou outra forma de registro que contenha cena de sexo explcito ou
pornogrfica envolvendo criana ou adolescente (BRASIL, 1990a)
A Lei n 9.609/98, que dispe sobre a proteo da propriedade intelectual de

programa de computador, sua comercializao no Pas, e d outras providncias,
define como crime em seu texto:
Art. 12. Violar direitos de autor de programa de computador. (BRASIL, 1998)
Alm da lei 8666/93, que institui normas para licitaes e contratos da

Administrao Pblica Federal (APF), a Instruo Normativa n4 (IN04) tambm
apresenta normas que regulamentam as contrataes de servios de TIC em toda a
APF, como, por exemplo, a proibio de contratar mais de uma soluo de TIC em
um nico contrato (conhecido como contrato guarda-chuva) e a gesto de
processos de TIC. O seu principal objetivo aumentar a efetividade das aquisies
de TIC em toda a APF e reduzir as vulnerabilidades existentes nos processos de
compra existentes at ento. Alm de definir proibies e vedaes, a IN04
estabelece trs fases para o processo: Planejamento da Contratao, seleo do
fornecedor e gerenciamento do contrato. Os processos de contratao e sua
adequao IN04 podero ser objeto de controle interno da Controladoria-Geral da
Unio. (BRASIL, 2008a)
47
4.4 Identificao do Risco Legal de Segurana da Informao na

CGTEC
De acordo com a norma ABNT NBR 27005:2008, a primeira etapa da
identificao de riscos a identificao dos ativos. Dentro do escopo do risco legal,
os ativos primrios e de suporte na CGTEC foram listados, tendo em vista o valor
para a instituio observado por analistas entrevistados.
A Tabela 8 apresenta os ativos crticos identificados:
Tabela 8 Identificao dos Ativos Crticos
Ativo Descrio Tipo Valor

Sistema Informatizado
Crtico n1 Aplicao de negcio Suporte Muito Alto
Acesso internet Rede Suporte Baixo
Documentos Informao Primrio Alto
Servidores Hardware Suporte Mdio
Sistema Operacional das
Estaes de Trabalho e Softwares Suporte Muito Baixo
Softwares se Prateleira
Sistema Operacional
dos Servidores e
Softwares de servio, Softwares Suporte Alto
manuteno e
administrao
Usurios Recursos Humanos Suporte Alto
Equipe de
Desenvolvimento e Recursos Humanos Suporte Muito Alto
Produo
Processos de
intercmbio de
arquivos digitais com Processos de negcio Primrio Muito Alto
a Secretaria do
Tesouro Nacional
Aquisies de TIC Processos de negcio Primrio Mdio
O prximo passo definido norma 27005:2008 a identificao das ameaas,

controles, vulnerabilidades e consequncias associadas aos ativos crticos. Tendo
em vista o modelo apresentado no item 2.4, A anlise/avaliao de riscos legais de
segurana da informao, e os anexos da referida norma, o cenrio de incidentes
foi definido, de forma a organizar as informaes coletadas. Tal cenrio,
48
apresentado na Tabela 9, evidentemente, no exaustivo, mas apresenta o

resultado de possveis incidentes levantados pelos funcionrios entrevistados.
Tabela 9 Cenrio de Incidentes
Id Ativo Ameaa Vulnerabilidade Consequncia

Ausncia de trilha de
CI Sistema Entrada de dados falsificados ou
Aes no autorizadas (Ex: auditoria; Ausncia de
Informatizado corrompidos; Indisponibilidade
1.1 Crtico n1
Comprometimento de dados) monitoramento do
de dados oramentrios
processamento
CI Sistema Dano a sistemas de informao;
Comprometimento de funes Falhas conhecidas em
Informatizado ato fraudulento; Divulgao
1.2 (Ex: Forjamento de Direitos) software
Crtico n1 indevida de dados oramentrios
CI Sistema
Comprometimento de funes Ausncia de trilha de Modificao ou alterao no
Informatizado
1.3 Crtico n1
(Ex: Abuso de Direitos) auditoria autorizada de dados do sistema
Indisponibilidade do sistema,
Deficincia no controle de
CI Sistema informao oramentria e
Falhas Tcnicas (Ex: Defeito de qualidade de software e no
Informatizado financeira incorreta, divulgao
1.4 Software) processo de homologao
Crtico n1 indevida de informaes
de verses do sistema
oramentrias
Espionagem; Roubo de
CI Comprometimento da
Acesso informao, violao e/ou
informao (Ex: divulgao de Ausncia de termo de sigilo
2.1 internet e email divulgao de segredo
informaes sigilosas)
profissional e sigilo funcional
Procedimentos
inadequados de
recrutamento; Falta ou
disposies insuficientes
Acesso (sobre segurana da Dano a sistemas de informao;
informao (Ex: dano a site de
2.2 internet e email informao) nos contratos Alterao de sistemas
terceiro)
com os trabalhadores;
Deficincia no Processo
Administrativo Disciplinar
para estes casos
Ausncia de termo de
CI responsabilidade; falta de
Acesso Comprometimento de funes Estelionato eletrnico; Falsa
processo disciplinar definido
2.3 internet e email (Ex: falsa identidade) identidade
em caso de incidente de
segurana da informao
Ausncia de prova de envio
Comprometimento de funes ou recebimento de
CI Acesso (Ex: Uso imprprio de meio de mensagens; Poltica no Ameaa; Estelionato eletrnico;
2.4 internet e email comunicao, Repdio de definida para log de ato obsceno; incitao ao crime
aes) mensagens instantneas;
Fraca Cultura de Segurana
Ausncia de termo de
responsabilidade; falta de
CI Aes no autorizadas (Ex: em caso de incidente de
Acesso
Crimes contra a honra e segurana da informao; Investigao policial
2.5 internet e email
pedofilia) Ausncia de monitoramento
do uso da rede (filtro de
contedo); Ausncia de
cadeia de custdia
Indisponibilidade do acesso
CI Acesso Falhas Tcnicas (Ex: Defeito de Ausncia de link internet internet e do Sistema
2.6 internet e email equipamento) redundante Informatizado Crtico n1 para
usurios externos
Ausncia de prova de envio
ou recebimento de
mensagens; Ausncia de
CI poltica de email; falta de
Acesso Comprometimento de funes Abuso no envio de mensagens
2.7 internet e email (Ex: abuso de direitos - spam) no solicitadas ou autorizadas
em caso de incidente de
segurana da informao;
Ausncia de termo de
responsabilidade
Ausncia de poltica da Espionagem; Roubo de
mesa limpa e de bloqueio informao, violao e/ou
Documentos informao (Ex: furto de
3.1 documentos)
automtico de tela; Pessoal divulgao de segredo; Extravio,
externo e de limpeza no sonegao ou inutilizao de
49
supervisionado; Sistema de livro ou documento

Circuito Fechado de TV
(CFTV) sem funo de
gravao.
Inutilizao e falsificao de
CI documento pblico, alterao
Aes no autorizadas (Ex: Ausncia de monitoramento
Documentos indevida de dados
3.2 comprometimento de dados) de reas seguras
oramentrios, dano ao
documento
Pessoal externo e de
limpeza no
supervisionado; Deficincia
CI Comprometimento da Espionagem; Roubo de
nas polticas de uso de
Documentos informao (Ex: divulgao de informao, violao e/ou
3.3 informaes em mdias mveis)
mdias mveis; Sistema de
divulgao de segredo
Circuito Fechado de TV
(CFTV) sem funo de
gravao.
Instalaes fsicas
inadequadas sem protees
adequadas; Deficincia no
Dano a sistemas de informao;
CI processo de Backup;
Indisponibilidade dos sistemas
Servidores Dano Fsico e Eventos Naturais Inexistncia de backup
3.3 externo ou site backup.
que suportam o processo
oramentrio
Inexistncia de plano de
continuidade dos negcios
e recuperao de desastres
Sistema de no-break e
gerador indisponvel para o Dano a sistemas de informao;
CI Paralisao dos servios
sistema de ar condicionado. Indisponibilidade dos sistemas
Servidores essenciais (Ex: Queda de
3.4 Energia)
Inexistncia de plano de que suportam o processo
continuidade dos negcios oramentrio
e recuperao de desastres
Ausncia de redundncia
em alguns sistemas;
Servio de garantia parcial;
Deficincia no processo de
CI Indisponibilidade dos sistemas
Falhas tcnicas (Ex: falha de Backup; Inexistncia de
Servidores que suportam o processo
3.5 equipamento) backup externo ou site
oramentrio
backup. Inexistncia de
plano de continuidade dos
negcios e recuperao de
desastres.
Sistema
Operacional das
CI Aes no autorizadas (Ex:
Estaes de Download e uso Violao de direitos de autor de
cpia ilegal de software. Uso de
4.1 Trabalho e descontrolado de software programa de computador
software falsificado ou copiado)
Softwares de
Prateleira
Sistema
Operacional das Deficincia na poltica de
CI Aes no autorizadas (Ex:
Estaes de antivrus. Perfil de Dano a sistemas e informaes
disseminao de cdigo
4.2 Trabalho e
malicioso)
administrador para usurios de terceiros.
Softwares de comuns.
Prateleira
Sistema
Operacional dos
CI Servidores e Indisponibilidade dos sistemas
Falhas tcnicas (Defeito de Ausncia de redundncia
Softwares de que suportam o processo
5.1 software) em alguns sistemas
servio, oramentrio
manuteno e
administrao
Sistema
Operacional dos Configurao de
CI Servidores e parmetros incorreta;
Processamento incorreto das
Softwares de Erro durante o uso Deficincia no plano de
5.2 servio, treinamento dos
informaes
manuteno e administradores de sistema.
administrao
Ausncia de termo de
CI Comprometimento da responsabilidade; falta de
Usurios informao (Ex: atividades processo disciplinar definido Investigao policial
6.1 maliciosas) em caso de incidente de
segurana da informao
50
Uso imprprio de sistemas;

Insero no intencional de
CI dados inconsistentes;
Comprometimento de Funes Ausncia de treinamento e
Usurios Indisponibilidade de
6.2 (Ex: erro durante o uso) mau uso
determinados sistemas (Ex:
Consulta a banco de dados mal
formada)
Ausncia de termo de
responsabilidade; falta de
processo disciplinar definido Dano a sistemas de informao;
CI em caso de incidente de Divulgao indevida de dados
Aes no autorizadas (Ex:
Usurios segurana da informao; oramentrios; Insero ou
6.3 Insero de cdigo malicioso)
Ausncia de monitoramento alterao indevida de dados em
do uso da rede (filtro de sistemas
contedo); Ausncia de
cadeia de custdia
Ausncia de cultura de
segurana; Ausncia de
CI Comprometimento de Funes termo de responsabilidade;
Ato fraudulento, falsidade
Usurios (Ex: forjamento de direitos - falta de processo disciplinar
6.4 emprstimo de senhas) definido em caso de
ideolgica
incidente de segurana da
informao
CI Equipe de Incluso acidental de cdigo Procedimentos de testes de Processamento incorreto das
Desenvolvimento com comportamento software insuficientes ou informaes. Invaso do
7.1 e Produo inesperado. inexistentes sistema.
CI Equipe de Comprometimento da Ausncia de trilha de
Desenvolvimento Informao (Divulgao de auditoria. Procedimentos de Divulgao de dados sigilosos.
7.2 e Produo dados sigilosos) recrutamento inadequados.
Processos de
intercmbio de Inconsistncia dos dados da
CI Monitoramento deficiente.
arquivos digitais Erro na comunicao ou no execuo financeira. Interrupo
Processo de administrao
8.1 com a Secretaria processamento
mal definido
do processo de alteraes
do Tesouro oramentrias
Nacional
Pessoal no treinado
Contratao irregular.
CI Aquisies nos processos de
Demandas urgentes Deficincia na execuo,
9.1 de TIC contratao de
entrega e garantia
servios de TIC
A etapa de identificao dos controles existentes foi subsidiada pelo

questionrio aplicado a analistas da CGTEC. A Tabela 10 apresenta o resultado
obtido para o status de implementao destes controles de segurana, enquanto o
Anexo A apresenta o detalhamento dos controles investigados e respostas.
Tabela 10 Resultado do questionrio sobre implementao dos controles

sugeridos pela norma 27002:2005.
Nmero de Status de Implementao
Controles Implementado Implementado Parcialmente Inexistente
Avaliados e Efetivo mas no Implementado
efetivo
135 21 1 44 69
51
4.5 Estimativa do Risco Legal de Segurana da Informao na

CGTEC
A etapa seguinte, de estimativa de riscos, tambm originou-se de entrevistas

e avaliaes qualitativas pelos entrevistados. A estimativa dos impactos, com base
nas consequncias, tambm teve como critrio a violao de normas e o dano
imagem decorrente destes desvios. A estimativa da probabilidade dos incidentes
levou em considerao o histrico registrado em sistemas de monitoramento, da
vivncia dos entrevistados e da deficincia de controles de segurana.
Com base na metodologia apresentada, o nvel do risco legal pode ser
estimado, tendo como base o cenrio de incidentes, conforme a Tabela 11.
Tabela 11 Estimativa do Risco Legal

Id Impactos Avaliao Probabilidade Estimativa
do do Incidente do nvel
Impacto do risco
CI Violao s Leis Oramentrias e LDO; Atraso no Muito Alto Alta Alto
1.1 Processo Oramentrio
CI Violao s Leis Oramentrias e LDO; Invaso de Alto Mdia Mdio
1.2 Sistema; Dano imagem do Sistema e da
Organizao
CI Violao s Leis Oramentrias e LDO; Muito Alto Alta Alto
1.3
CI Violao s Leis Oramentrias e LDO; Atraso no Alto Alta Alto
1.4 Processo Oramentrio; Dano imagem do Sistema e
da Instituio
CI Ao Criminal/Civil/Administrativa; Responsabilizao Alto Alta Alto
2.1 Civil da Instituio; Dano imagem da Instituio
CI Ao Criminal/Civil/Administrativa; Responsabilizao Mdio Baixa Mdio
2.2 Civil da Instituio; Dano imagem da Instituio
CI Ao Criminal/Civil/Administrativa; Instaurao de Baixo Mdia Mdio
2.3 inqurito policial; Dano imagem da Instituio
CI Ao Criminal/Civil/Administrativa; Instaurao de Baixo Muito Alta Mdio
CI Ao Criminal/Civil/Administrativa; Instaurao de Alto Muito Alta Alto
CI Atraso no Processo Oramentrio Alto Alta Alto
2.6
CI Dano imagem da Instituio Muito Baixo Mdia Baixo
2.7
CI Instaurao de inqurito policial; Ao Alto Alta Alto
3.1 Criminal/Civil/Administrativa; Dano imagem da
Instituio
CI Violao s Leis Oramentrias e LDO; Muito Alto Alta Alto
3.2 Responsabilizao Civil da Instituio; Dano
imagem da Instituio
CI Instaurao de inqurito policial; Ao Alto Muito Alta Alto
Instituio
52
CI Atraso no Processo Oramentrio Muito Alto Baixa Mdio

3.3
CI Atraso no Processo Oramentrio Alto Muito Baixa Mdio
3.4
CI Atraso no Processo Oramentrio Mdio Baixa Mdio
3.5
CI Instaurao de inqurito policial; Ao Baixo Alta Mdio
Instituio
CI Responsabilizao Civil da Instituio Mdio Alta Mdio
4.2
CI Atraso no Processo Oramentrio Alto Mdia Mdio
5.1
CI Atraso no Processo Oramentrio; Dano imagem do Alto Alta Alto
5.2 Sistema e da Instituio
CI Instaurao de inqurito policial; Ao Alto Mdia Mdio
Instituio
CI Atraso no Processo Oramentrio; Violao s Leis Alto Alta Alto
6.2 Oramentrias e LDO
CI Instaurao de inqurito policial; Ao Mdio Muito Baixa Baixo
6.3 Criminal/Civil/Administrativa; Violao s Leis
Oramentrias e LDO; Dano imagem da Instituio
CI Instaurao de inqurito policial; Ao Baixo Muito Alta Mdio
6.4 Criminal/Civil/Administrativa/Civil/Administrativa
CI Violao s Leis Oramentrias e LDO; Dano Alto Alta Alto
7.1 imagem do Sistema e da Instituio
CI Ganho Poltico; Instaurao de inqurito policial; Ao Muito Alto Baixa Mdio
7.2 Criminal/Civil/Administrativa/Civil/Administrativa
CI Atraso no Processo Oramentrio Muito Alto Muito Alta Alto
8.1
CI Inefetividade da aquisio; Desperdcio de recurso Alto Mdia Mdio
9.1 pblico; Violao de normas e leis de contratao
Assim como o cenrio de incidentes, a estimativa do risco no exaustiva. Os

impactos levantados so apenas uma amostra dos possveis danos aos objetivos da
instituio. Por vezes, um impacto (ou consequncia) levantado pode gerar outros
impactos ou consequncias de maior ou menor nvel.
53
5 Discusso
A coleta de informaes referentes aos objetivos e macro processos da

instituio evidenciou a importncia para os objetivos do Estado brasileiro. Na
mesma medida, estes processos crticos para o Sistema Z Federal esto se
tornando dependentes da Tecnologia da Informao. A CGTEC, responsvel por
desenhar, administrar, manter e gerenciar os servios de TIC que suportam estes
processos est, entretanto, em fase de reconstruo, buscando reestruturar as
atividades da rea e buscar estabilidade e previsibilidade no resultado do trabalho.
Ficou claro, primeiramente, que a incipincia da Coordenao, justificada pelo
curto perodo de existncia, no condiz com o grau de criticidade dos processos que
suporta. A ausncia de um PDTI e uma POSIC da instituio enfraquece as aes
de planejamento e controle sobre os ativos de TIC. De outra forma, a CGTEC no
se encontra estruturada com capacidade e governana suficiente para atender s
demandas e responsabilidades a ela atribudas.
A existncia de diversos normativos que regulam a ao da instituio e sua
CGTEC, includos seus ativos e funcionrios, tambm aponta para o crescimento do
risco legal. Conforme o modelo apresentado na Figura 1, a ameaa de sanes
decorrentes de violaes legais aumenta na medida em que se limita juridicamente
os efeitos dos processos. Isto no significa que mais normas reduzem ou cobem os
efeitos benficos dos processos organizacionais, mas que impem limites ao
exerccio descontrolado e indesejado. O nmero de regulamentos levantados, no
exaustivos, deixou evidente que os processos da CGTEC necessitam de controles
para que se tenha governabilidade de seus efeitos. Por vezes, um incidente de
segurana em um ativo da CGTEC pode causar distrbios em processos de toda a
54
instituio, que por sua vez pode resultar em desrespeito a alguma norma a ela
imposta.
Algumas das normas levantadas se aplicam diretamente aos macro
processos da instituio. Os limites temporais para envio da proposta oramentria
anual e da Lei de Diretrizes Oramentrias requerem dos sistemas informatizados
sob responsabilidade da CGTEC garantias de disponibilidade. O cenrio de
incidentes apontou para diversas situaes em que a conseqncia a
indisponibilidade de dados oramentrios, com impacto direto no atraso ou no
envio destes produtos, podendo resultar nas sanes previstas em lei. Como visto,
todo o processo oramentrio regido por lei (como a Lei 4.320/64 e a LRF) e
impe restries quanto forma e aos valores constantes no Oramento. Este
requisito requer garantia de integridade dos processos de TIC que suportam estas
atividades do negcio.
O processo de anlise de riscos definido pela norma ABNT 27005:2008
aplicado ao risco legal buscou, no estudo de caso, identificar os cenrios de
incidentes cujas consequncias podem ser a violao de normas, responsabilizao
da instituio e dano imagem, com impacto negativo aos seus objetivos. Esta
atividade implica em identificar e valorar ativos, ameaas, vulnerabilidades,
consequncias e controles de segurana existentes.
Os ativos identificados na CGTEC esto muito alm de hardware e software.
Os entrevistados apontaram Sistemas Informatizados, processos organizacionais e
pessoas como ativos de grande valor para a instituio. Entretanto, a identificao
das vulnerabilidades e ameaas mostrou situaes de fragilidade na segurana
destes ativos. O trabalho de levantamento do cenrio de incidentes no tentou ser
exaustivo, j que o detalhamento de todas as ameaas possveis explorando todas
as vulnerabilidades existentes fugia ao escopo da pesquisa.
Trs ativos foram identificados como de valor muito alto para a CGTEC. O
primeiro, Sistema Informatizado Crtico n1, suporta grande parte dos processos
crticos da instituio e deve atender aos requisitos de integridade, confidencialidade
e disponibilidade de suas informaes, com vistas a atender os requisitos legais
impostos ao processo oramentrio. Outro ativo, os funcionrios desenvolvedores
de software e analistas de produo, responsvel por compreender os requisitos
de negcio da instituio, automatiz-los, mant-los e garantir sua previsibilidade.
55
Por fim, o processo de negcio definido como Processos de intercmbio de

arquivos digitais com a Secretaria do Tesouro Nacional foi valorado devido a sua
importncia nos macros processos da instituio, como na realizao de crditos
adicionais e no acompanhamento da execuo financeira.
Os controles de segurana da informao, por sua vez, buscam a reduo de
riscos de segurana, conforme a norma 27002:2005 (ABNT, 2005). Entretanto, a
situao dos controles de segurana na CGTEC mostrou que existe uma grande
lacuna entre o que a referida norma recomenda e o encontrado. Ainda que a 27002
no imponha a adoo de todos os seus controles, ela refora a necessidade da
seleo ser baseada nos riscos identificados. Cerca de 51% dos controles
analisados foram considerados inexistentes, enquanto cerca de 32% no estavam
completamente implementados. Apenas 15% dos controles sugeridos estavam
ativos e eficazes.
A norma 27002 (2005) afirma que os controles considerados essenciais para
uma organizao, sob o ponto de vista legal, incluem:
Proteo de dados e privacidade de informaes pessoais;
Proteo de registros organizacionais;
Direitos de propriedade intelectual.
Destes, nenhum foi identificado como totalmente implementado, muito menos
produzindo os efeitos desejados.
Os dados referentes aos controles na CGTEC justificam o cenrio de
vulnerabilidade encontrado nos ativos e explicam os elevados nveis de risco
identificados na pesquisa. Ou seja, a inexistncia e ineficcia de controles de
segurana considerados bsicos para uma instituio que depende de Tecnologia
da Informao no reduzem as vulnerabilidades existentes e aumentam as chances
de desvios.
Por fim, o processo de estimativa de riscos apontada pela norma 27005
descreveu uma situao de risco legal elevado. Apenas dois dos vinte e nove
Cenrios de Incidentes (CIs) avaliados apresentam baixo risco para a instituio. Por
outro lado, cerca de 45% dos CIs representam elevado risco. Nos Cenrios de
Incidentes que continham os ativos de maior valor para a instituio (Sistema
Informatizado Crtico n1, Equipe de Desenvolvimento e Produo, Processos de
intercmbio de arquivos digitais com a Secretaria do Tesouro Nacional) mais de 70%
56
representavam alto risco, sendo um deles de probabilidade e impactos muito alto. A

Tabela 12 sumariza o risco legal verificado na instituio.
Tabela 12 Sumrio do Risco Legal Estimado na Instituio
Cenrio de Risco Legal Risco Legal Risco Legal
Incidentes Baixo Mdio Alto
Analisados
TOTAL 29 2 14 13
Total referente
apenas aos ativos
de valor "Muito 7 0 2 5
Alto" para a
Instituio
57
6 Concluses
A anlise de risco, assim como outras atividades que objetivam a Governana

da TIC, deve ser de responsabilidade da Alta Administrao (BRASIL, 2010c). Desta
forma, para garantir que a TIC agregue o mximo de valor ao negcio da instituio
com riscos aceitveis, necessrio o apoio irrestrito da Direo, no apenas de
maneira formal, mas compreendendo a importncia da rea de TIC e agindo
ativamente em sua Governana.
O aspecto da Governana foi um dos fatores observados para justificar os
riscos legais encontrados. O alinhamento entre os objetivos da rea de TIC e os
objetivos de negcio, materializado em um PDTI, crucial para alcanar a
previsibilidade pretendida na misso institucional. Da mesma forma, a definio de
estratgias e tticas por um departamento alheio estrutura da instituio e que no
compreende os requisitos de negcio da organizao favorece a probabilidade da
ocorrncia de desvios e, consequentemente, no aumento de riscos.
A deficincia de uma cultura organizacional de segurana da informao
tambm justifica o panorama encontrado. Diversos cenrios de incidentes poderiam
ter sua probabilidade reduzida caso os usurios fossem educados a ter um
comportamento seguro na instituio. A ausncia de responsabilizao atravs de
processo administrativo disciplinar tambm favorece a criao de um sentimento de
impunidade e propicia o uso indevido de recursos computacionais.
De outra forma, o fator que ficou mais evidente para o nvel de risco
encontrado foi a deficincia na implementao de controles de segurana. A
instituio pesquisada possui um arcabouo jurdico to vasto quanto qualquer outra
instituio pblica e no deve ser este o argumento que fomente a aceitao do
risco. Cabe a ela se auto regular, com vistas a reduzir suas vulnerabilidades. Apesar
da escolha de controles de segurana ser um processo especfico para cada
instituio, a efetividade dos controles encontrados est muito aqum dos requisitos
da informao que requer a rea de negcio. A existncia de uma Poltica de
58
Segurana da Informao um passo importante na definio e implementao de

controles e mitigao do risco, mas existe a necessidade de se editar normas
complementares que tratem de assuntos especficos e que estejam de acordo com
as necessidades e especificidades da instituio (como Plano de Continuidade de
Negcios).
Apesar da pesquisa se limitar CGTEC, o que valido sob a tica da norma
27005:2008, a anlise de riscos no foi baseada em critrios de gesto de riscos
debatidos e definidos pela instituio. A execuo de apenas uma iterao no
processo de anlise de riscos, ao contrrio do que recomenda a referida norma,
tambm reduziu a maturidade dos resultados. Entretanto, para o estudo de caso, a
metodologia de pesquisa apresentou resultados satisfatrios.
Por fim, o que se pode verificar com a pesquisa, foi que as organizaes
devem incorporar os processos de anlise e avaliao de riscos em prol de sua
governana. A viso desta atividade no pode focar apenas nas consequncias
operacionais, mas tambm nas consequncias legais e impactos imagem das
instituies, tendo sempre, como principal objetivo, a defesa do interesse pblico.
6.1 Trabalhos Futuros

O processo de gesto de riscos de segurana da informao proposta pela
norma ABNT 27005:2008 aceita a estimativa qualitativa do risco como um bom
ponto de partida para uma organizao. Entretanto, esta abordagem possui
desvantagens, como a dependncia escolha subjetiva da escala (ABNT, 2008). A
abordagem quantitativa do risco poderia melhorar a exatido dos dados
relacionados s conseqncias legais e probabilidade de ocorrncia dos
incidentes de segurana da informao, aumentando a qualidade do processo de
anlise de riscos.
Em um trabalho futuro, o processo de anlise do risco legal pode ser aplicado
a toda instituio e no restrita apenas a uma Coordenao. Isto evidenciaria os
riscos legais aliados estratgia de gesto de riscos da organizao e poderia ser
comparado aos critrios de tratamento e aceitao de riscos.
Um modelo de anlise do risco legal de segurana da informao tambm
pode ser proposto, alinhado s normas ABNT 27002:2005, ABNT 27005:2008 e
ABNT 31000:2009, integrando os conceitos de risco legal, segurana da informao
e tecnologia da informao e comunicaes.
59
Referncias e Fontes Consultadas
ABNT. ABNT NBR ISO/IEC 27002: 2005 - Tecnologia da informao Tcnicas de

segurana Cdigo de prtica para a gesto da segurana da informao. Rio
de Janeiro: ABNT, 2005. ISBN ICS 35.040.
_____. ABNT NBR ISO/IEC 27005: 2008 - Tecnologia da Informao - Tcnicas de
Segurana - Gesto de Riscos de Segurana da Informao. Rio de Janeiro:
ABNT, 2008.
_____. ABNT NBR ISO 31000: 2009 - Gesto de riscos - Princpios e diretrizes. Rio
de Janeiro: ABNT, 2009.
ALEXANDRINO, M. Direito Administrativo Descomplicado. Rio de Janeiro: Impetos,
2008.
BORGES, M. E. N. A informao como recurso gerencial das organizaes na.
Cincia da Informao - Vol 24, nmero 2, 1995 - Artigos, 1995. Disponivel em:
<http://revista.ibict.br/index.php/ciinf/article/viewFile/551/500.>. Acesso em: 10
jun. 2011.
BRASIL. Lei N 1.079. Presidncia da Repblica, Braslia, 1950. Disponivel em:
<http://www.planalto.gov.br/ccivil_03/Leis/L1079consol.htm>. Acesso em: 14
abril 2011.
______. Lei n 4.320, de 17 de maro de 1964. Presidncia da Repblica, 1964.
Disponivel em: <http://www.planalto.gov.br/ccivil_03/leis/L4320.htm>. Acesso
em: 08 julho 2011.
______. Constituio da Repblica Federativa do Brasil atualizada em dezembro de
2010. [S.l.]: [s.n.], 1988.
______. Lei n 8.069, de 13 de julho de 1990. Presidncia da Repblica, 1990a.
Disponivel em: <http://www.planalto.gov.br/ccivil_03/Leis/L8069.htm>. Acesso
em: 19 setembro 2010.
______. Lei n 8.112, de 11 de Dezembro de 1990. Presidncia da Repblica,
1990b. Disponivel em:
60
<http://www.planalto.gov.br/ccivil_03/Leis/L8112cons.htm>. Acesso em: 02

Setembro 2010.
______. Lei n 9.609, de 19 de Fevereiro de 1998. Presidncia da Repblica, 1998.
Disponivel em: <http://www.planalto.gov.br/ccivil/Leis/L9609.htm>. Acesso em:
12 Fevereiro 2011.
______. Lei Complementar n 101, de 4 de maio de 2000. Presidncia da Repblica,
2000a. Disponivel em:
<http://www.planalto.gov.br/ccivil_03/Leis/LCP/Lcp101.htm>. Acesso em: 2011
maro 14.
______. Resoluo 3.380. Banco Central do Brasil, Braslia, 2006. Disponivel em:
<https://www3.bcb.gov.br/normativo/detalharNormativo.do?method=detalharNor
mativo&N=106196825>. Acesso em: 12 outubro 2010.
______. Acrdo 2471/2008 - Plenrio. Tribunal de Contas da Unio. Braslia.
2008a.
______. Instruo Normativa n 1. Departamento de Segurana da Informao e
Comunicaes, 13 junho 2008b. Disponivel em:
<http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf>. Acesso em: 12
setembro 2010.
______. Norma Complementar n 3 da Instruo Normativa n 1 do Departamento
de Segurana da Informao e Comunicaes da Presidncia da Repblica.
Departamento de Segurana da Informao e Comunicaes. 2009a.
Disponivel em: <http:// http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf>.
Acesso em: 15 junho 2011.
______. Norma Complementar n 4 da Instruo Normativa n 1 do Departamento
de Segurana da Informao e Comunicaes da Presidncia da Repblica.
Departamento de Segurana da Informao e Comunicaes. 2009b.
Disponivel em: <http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>.
Acesso em: 10 junho 2011.
______. Decreto N 7.063. Ministrio do Planejamento, Oramento e Gesto, 2010a.
Disponivel em:
<https://conlegis.planejamento.gov.br/conlegis/Downloads/file?DECRETO%207
.063%20-%202010.pdf>. Acesso em: 02 agosto 2010.
61
______. Despesa Realizada com Precatrios e RPVs. Portal da Justia Federal,

2010b. Disponivel em:
<http://daleth.cjf.jus.br/atlas/Internet/Rpvs%20e%20precatorios.htm>. Acesso
em: 3 maio 2011.
______. Levantamento de governana de TI 2010. Braslia: Tribunal de Contas da
Unio, 2010c.
______. Manual tcnico de oramento MTO. Verso 2011. Braslia: Ministrio do
Planejamento, Oramento e Gesto; Secretaria de Oramento Federal, 2010d.
ISBN 336.121.3(81).
______. SEFAZ RS - Precatrios. Secretaria da Fazenda do Rio Grande do Sul,
2011. Disponivel em:
<http://www.sefaz.rs.gov.br/Site/MontaDuvidas.aspx?al=l_prec>. Acesso em: 21
maio 2011.
CAMILO, J. P. Exame Nacional de Sociologia. exame, 25 junho 2003. Disponivel
em:
<http://www.exames.org/index.php?option=com_docman&task=doc_download&
gid=1298&Itemid=45>. Acesso em: 11 junho 2011.
COSTA, G. C. Gesto de Crises no mbito da Administraao Pblica Federal e sua
Relao com a Responsabilidade Civil Objetiva em Demandas Judiciais
Decorrentes. Braslia: Departamento de Cincia da Computao, Instituto de
Cincias Exatas, Universidade de Braslia, 2008.
CRESSWELL, J. W. Mtodos de Pesquisa. Projeto de Pesquisa, Metodos
Qualitativo, Quantitativo e Misto. [S.l.]: Artmed, 2007.
DEL MONTE, T. Os princpios e as regras jurdicas. Contedo Jurdico, 24 agosto
2010. Disponivel em:
<http://www.conteudojuridico.com.br/?artigos&ver=2.28490>. Acesso em: 12
maio 2011.
DI PIETRO, M. S. Z. Direito Administrativo. 20 Ed. So Paulo: Atlas, 2007.
FEIJ, P. H. Administrao Financeira e Oramentria. Braslia: Associao
Brasileira de Oramento Pblico, 2002.
FERNANDES, J. H. C. Metodologia de Pesquisas de Estudo de Caso no Programa
de Formao de Especialistas para o Desenvolvimento da Estratgia e
Metodologia Brasileira de Gesto de Segurana da Informao e comunicaes
62
PFEMBGSIC (Nota Tcnica). Brasilia: Campus Universitrio Darcy Ribeiro.

Instituto Central de Cincias, 2010a.
___________, J. H. C. Introduo Gesto de Riscos de Segurana da Informao.
Braslia: CEGSIC 2010/2011. Universidade de Braslia, 2010b.
___________, J. H. C. Sistemas, Informao & Comunicao. CEGSIC 2010/2011.
Braslia: UnB, 2010c.
FORTES, A. M. D. S.; CASATI, D. P.; RODRIGUES, L. S. check list de Segurana
Fsica e Ambiental segundo a norma 27002:2005. CEGSIC, 2010. Disponivel
em: <https://selecao.cegsic.unb.br/moodle/file.php/29/iso17799.checklist.pt-
BR.pdf>. Acesso em: 01 agosto 2010.
GIBSON, J. L.; IVANEVICH, J. M.; DONNELLY, J. H. Organizaes: comportamento,
estrutura, processos. So Paulo: Atlas, 1981.
GONDIM, J. J. C. Tratamento de incidentes de Segurana. Braslia: CEGSIC
2010/2011. UnB, 2010.
GOULART, G. D. A Poltica de Segurana como instrumento de preveno do Risco
Legal. Direito da Tecnologia da Informao. 2007. Disponvel em:
<http://direitodatecnologia.blogspot.com/2007/11/poltica-de-segurana-como-
instrumento-de.html>. Acesso em: 01 de julho de 2010.
HAZAN, C. Definio de uma Metodologia para Elaborao de PDTI. SERPRO,
2009. Disponivel em: <http://www.serpro.gov.br/wcge/artigos/Artigo-
Definicao%20de%20uma%20Metodologia%20para%20Elaboracao%20de%20P
DTI%20baseada%20no%20Framework%20de%20Zachman.pdf>. Acesso em:
08 agosto 2011.
ISO/DIS. 31000: 2008 - Risk Management - Principles and guidelines on
implementation. Geneva: ISO, 2008.
ITGI. Cobit 4.1. Rolling Meadows: ITGI, 2007.
LEALDINE, R. D. C. TECNOLOGIAS DA INFORMAO: Por que a TI importante
para as Empresas? webartigos, 13 junho 2007. Disponivel em:
<http://www.webartigos.com/articles/1832/1/Tecnologias-Da-Informacao-Nas-
Empresas/pagina1.html>. Acesso em: 26 julho 2010.
LOUREIRO, L. G. Curso Completo de Direito Civil. 3. ed. ed. Rio de Janeiro:
Forense, 2010.
63
NASCIMENTO, E. R.; DEBUS, I. Lei Complementar n 101/2000 - Entendendo a Lei

de Responsabilidade Fiscal. 2 Edio. ed. Braslia: Tesouro Nacional, 2001.
PINHEIRO, G. C. Responsabilidade Civil por Ilcitos na Internet. Direito em Debate,
2003. Disponivel em: <http://direitoemdebate.net/index.php/direito-civil/110-
responsabilidade-civil-por-ato-de-terceiro-e-do-transportador>. Acesso em: 22
Agosto 2010.
ROHR, A. Sem lei especfica, Brasil discute cibercrimes h 20 anos, diz advogado.
G1.com, 2011. Disponivel em:
<http://g1.globo.com/tecnologia/noticia/2011/06/sem-lei-especifica-brasil-
discute-cibercrimes-ha-20-anos-diz-advogado.html>. Acesso em: 2011 junho
29.
SMOLA, M. Teste: Sua empresa est em conformidade com a ISO17799?
IDGNow, 2002. Disponivel em:
<http://www.semola.com.br/disco/Coluna_IDGNow_44.pdf>. Acesso em: 17
julho 2010.
WIRTI, J. Teoria do risco administrativo e teoria do risco integral. Divergncias
Doutrinrias. Jus Navigandi, Teresina, 17 junho 2010. ISSN 2542. Disponivel
em: <http://jus.uol.com.br/revista/texto/15049>. Acesso em: 13 maro 2011.
64
Glossrio
A
Ameaa. Segundo a norma ABNT ISO/IEC 27002:2005, ameaa a causa potencial
de um incidente indesejado, que pode resultar em dano para um sistema ou
organizao.
Ativo. Segundo a norma ABNT ISO/IEC 27002:2005, ativo qualquer coisa que
tenha valor para a organizao. A norma ABNT ISO/IEC 27005:2008 distingui dois
tipos de ativos: Primrios (Processos e atividades de negcio; Informao) e
Secundrios (Hardware; Software; Rede; Recursos Humanos; Instalaes Fsicas;
Estrutura da organizao).
C
Controle. Segundo a norma ABNT ISO/IEC 27002:2005, controle a forma de
gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas
organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou
legal.
Cenrio de Incidentes. De acordo com a norma ABNT ISO/IEC 27002:2005, um
cenrio de incidentes a descrio de uma ameaa explorando uma certa
vulnerabilidade ou um conjunto delas em um incidente de segurana da informao.
I
Impacto. De acordo com a norma ABNT ISO/IEC 27005:2008, uma mudana
adversa no nvel obtido dos objetivos de negcio.
P
Plano Diretor de Tecnologia da Informao (PDTI). De acordo com Hazan (2009),
um PDTI visa orientar uma organizao no uso correto de seus recursos de
tecnologia da informao, levando-a focalizar nos processos de melhoria contnua
de governana.
65
R
Responsabilidade Civil. a obrigao que pode recair sobre uma pessoa de reparar
o prejuzo causado a outrem por conduta prpria ou de pessoas, animais ou coisas
que dele dependam (LOUREIRO, 2010).
Responsabilidade Civil Objetiva. a obrigao de indenizar, ainda que o causador
do dano no aja com culpa ou dolo, bastando a conduta voluntria, o dano e o nexo
causal entre um e outro (LOUREIRO, 2010).
Riscos de Segurana da Informao. De acordo com a norma ABNT ISO/IEC
27005:2008, a possibilidade de uma determinada ameaa explorar
vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando a
organizao.
Risco Legal. o risco associado a sanes em razo de descumprimento de
dispositivos legais e a indenizaes por danos a terceiros decorrentes das atividades
V
Vulnerabilidade. Segundo a norma ABNT ISO/IEC 27002:2005, a fragilidade de um
ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
66
Apndice A Questionrio sobre a

implementao dos controles da norma
ABNT NBR 27002:2005
O seguinte questionrio foi aplicado analistas da CGTEC, dividido em

etapas, entre os meses de julho de 2010 a maro de 2011. O documento foi
baseados nos controles da norma 27002:2005 e possua quatro opes de resposta.
Implementa
Implementa Parcialmente
do mas no Inexistente
do e Efetivo Implementado
efetivo
Procedimentos e responsabilidades operacionais
Os procedimentos de operao so
documentados, mantidos atualizados e
1 0 0 3 2
disponveis a todos os usurios que deles
necessitam
As modificaes nos recursos de
2 processamento da informao e sistemas 0 1 1 3
so controladas (gesto de mudanas)
As funes so segregadas para reduzir as
oportunidades de modificao ou uso
3 0 1 2 2
indevido no autorizado ou no intencional
dos ativos da instituio
Separao dos recursos de
4 1 2 1 0
desenvolvimento, teste e de produo
Gerenciamento de servios terceirizados
Os controles de segurana, as definies
de servio e os nveis de entrega includos
5 no acordo de entrega de servios 0 0 3 2
terceirizados so implementados,
executados e mantidos pelo terceiro.
Os servios terceirizados so regularmente
6 monitorados, auditados e analisados 0 0 1 4
criticamente.
As mudanas para servios terceirizados
7 so gerenciados e analisados levando-se 0 1 2 2
em conta a criticidade dos sistemas
Planejamento e aceitao dos sistemas
8 A utilizao dos recursos monitorada e 0 0 5 0
67
projees realizadas para necessidade de

capacidade futura (Gesto da Capacidade)
Critrios estabelecidos de aceitao para
9 novos sistemas, atualizaes e novas 0 1 0 4
verses
Proteo contra cdigos maliciosos e cdigos mveis
Controles de deteco, preveno e
10 0 0 5 0
recuperao contra cdigos maliciosos
Processos de conscientizao dos usurios
11 0 0 0 4
sobre cdigos maliciosos e mveis.
Configurao que garanta que o cdigo
mvel autorizado opere de acordo com
12 0 0 0 5
uma poltica de segurana da informao
claramente definida
Cpias de Segurana
Poltica de gerao de cpias de segurana
13 4 0 1 0
definida
Cpias de segurana das informaes e
14 dos softwares sejam efetuadas e testadas 0 0 1 4
de acordo com a poltica
Gerenciamento da segurana em redes
Gerncia e controles adequados das redes
15 1 0 4 0
contra ameaas
As caractersticas de segurana, nveis de
servio e requisitos de gerenciamento dos
16 servios de rede so identificados e 0 0 2 3
includos em qualquer acordo de servios
de rede
Manuseio de mdias
Implementao de procedimentos para o
17 0 0 1 4
gerenciamento de mdias removveis
As mdias so descartadas de forma
18 segura e protegida quando no forem mais 0 0 0 5
necessrias
Procedimentos estabelecidos para o
19 tratamento e o armazenamento de 0 0 2 3
informaes
A documentao dos sistemas protegida
20 0 0 3 2
contra acessos no autorizados
Troca de informaes
Polticas, procedimentos e controles so
21 estabelecidos e formalizados para proteger 0 0 3 2
a troca de informaes
Acordos so estabelecidos para a troca de
22 informaes e softwares entre a instituio 0 1 0 4
e entidades externas.
As mdias contendo informaes so
protegidas contra acesso no autorizado,
23 uso imprprio ou alterao indevida durante 0 0 1 4
o transporte externo aos limites fsicos da
instituio
As informaes que trafegam em
24 mensagens eletrnicas so 0 1 1 3
adequadamente protegidas
Polticas e procedimentos so
25 desenvolvidos e implementados para 0 1 3 0
proteger as informaes associadas com a
68
interconexo de sistemas de informaes

do negcio
Servios de comrcio eletrnico
As informaes envolvidas em comrcio
eletrnico transitando sobre redes pblicas
26 0 0 0 5
so protegidas de atividades fraudulentas
e/ou no autorizadas
As informaes envolvidas em transaes
27 on-line so protegidas contra transmisses 0 0 2 3
incompletas ou inseguras
A integridade das informaes
disponibilizadas em sistemas publicamente
28 0 0 5 0
acessveis est protegida contra
modificaes no autorizadas.
Monitoramento
Logs de auditoria contendo atividades dos
usurios, excees e outros eventos de
29 segurana da informao so produzidos e 0 1 2 2
mantidos por um perodo de tempo
acordado
Procedimentos so estabelecidos para o
30 monitoramento do uso dos recursos de 2 0 2 1
processamento da informao
Os resultados das atividades de
31 monitoramento so analisados 1 0 3 1
criticamente, de forma regular
Os logs so protegidos contra falsificao e
32 1 1 1 2
acesso no autorizado.
As atividades dos administradores e
33 0 2 1 2
operadores do sistema so registradas
As falhas ocorridas so registradas e
34 0 0 3 2
analisadas
Os relgios de todos os sistemas de
processamento da informao relevantes
35 3 0 2 0
so sincronizados de acordo com uma hora
oficial
Segurana Fsica
Existem barreiras fsicas, como recursos
de segurana, foram implementadas para
proteger o servio de processamento da
informao? Alguns exemplos de tais
36 4 0 0 2
recursos de segurana so o controle por
carto do porto de entrada, muros,
presena de um funcionrio na recepo,
etc.
Existem controles de entrada para permitir
37 somente a entrada do pessoal autorizado 3 0 0 3
dentro de vrias reas da instituio?
As salas que possuem o servio de
processamento de informao ou contm
38 5 0 0 1
armrios fechados ou cofres so
trancadas?
O servio de processamento de
39 informao protegido contra desastres 2 0 0 4
naturais ou causados pelo homem?
As propriedades vizinhas representam
40 2 0 0 4
pouca ou nenhuma ameaa?
69
Existe algum controle de segurana para

41 prestadores de servio ou funcionrios 2 0 0 4
trabalhando em rea de segurana?
As reas de expedio e carga e de
processamento de informao so isoladas
42 2 0 0 4
uma da outra, para evitar acesso no
autorizado?
Alguma avaliao de risco foi realizada
43 1 0 0 5
para determinar a segurana de tais reas?
Os equipamentos da infraestrutura de
tecnologia da informao foram instalados
44 5 0 0 1
em local apropriado para minimizar acesso
no autorizado rea de trabalho?
Os itens que requerem proteo especial
45 foram isolados para reduzir o nvel geral de 3 0 0 3
proteo exigida?
Controles foram adotados para minimizar o
risco de ameaas potenciais, como roubo,
fogo, exploso, fumaa, gua, poeira,
46 6 0 0 0
vibrao, efeitos qumicos, interferncia no
fornecimento eltrico, radiao
eletromagntica, inundao?
Existe uma poltica especial para
alimentao, bebida e fumo nas
47 3 0 0 3
proximidades das instalaes de
processamento da informao?
Aspectos ambientais so monitorados para
evitar condies que possam afetar de
48 maneira adversa a operao das 3 0 0 3
instalaes de processamento da
informao?
O equipamento protegido contra falhas
de energia e outras anomalias na
alimentao eltrica, utilizando
49 6 0 0 0
fornecimento de energia permanente como
alimentao mltipla, no-break, gerador de
reserva, etc.
O cabeamento eltrico e de
telecomunicaes que transmitem dados
50 6 0 0 0
ou suporta os servios de informao
protegido contra interceptao ou dano?
Existe algum controle de segurana
51 adicional para informaes sensveis ou 2 0 0 4
crticas?
Os equipamentos tm manuteno de
52 acordo com intervalos e especificaes do 4 0 0 2
fabricante?
A manuteno realizada apenas pelo
53 6 0 0 0
pessoal autorizado?
So mantidos registros com todas as
54 falhas suspeitas ou ocorridas e de toda a 1 0 0 5
manuteno corretiva e preventiva?
Os controles apropriados so utilizados
55 quando do envio de equipamentos para 3 0 0 3
manuteno fora da instalao fsica?
Todos os requisitos impostos pelas
56 2 0 0 2
aplices de seguro so atendidos?
70
Quando h a necessidade de um
equipamento ser utilizado fora das
57 2 0 0 4
instalaes da instituio exigida
autorizao pela direo?
Os dispositivos de armazenamento
contendo informaes sensveis so
58 2 0 0 4
fisicamente destrudos ou sobrescritos de
maneira segura?
O servio de bloqueio automtico de tela
de computador est ativo? Isso ir travar o
59 2 0 0 4
computador sempre que for deixado ocioso
por um determinado tempo
Os empregados so avisados para deixar
60 qualquer material confidencial de forma 2 0 0 4
segura e trancada?
proibido retirar equipamentos,
61 informaes ou software sem adequada 2 0 0 4
autorizao?
Inspees regulares so realizadas para
62 detectar remoo de propriedade no 5 0 0 1
autorizada?
As pessoas esto cientes que estas
63 inspees regulares esto sendo 3 0 0 3
realizadas?
Requisitos de segurana de sistemas de informao
Para novos sistemas (ou melhoria destes),
64 na fase de requisitos, so especificados os 0 1 5 1
requisitos para controles de segurana.
Processamento correto nas aplicaes
Os dados de entrada das aplicaes so
65 2 1 3 1
validados.
So incorporadas, nas aplicaes,
checagens de validao com o objetivo de
66 detectar qualquer corrupo de 0 0 5 2
informaes, por erros ou por aes
deliberadas
Os requisitos para garantir a autenticidade
e integridade das mensagens so
67 0 0 4 3
identificados e os controles apropriados so
implementados.
Os dados de sada das aplicaes so
68 1 1 4 1
validados.
Controles criptogrficos
Uma poltica para uso de controles
69 criptogrficos foi desenvolvida e 0 0 1 6
implementada
Um processo de gerenciamento de chaves
70 implementado para apoiar o uso de 0 0 0 7
tcnicas criptogrficas.
Segurana dos arquivos do sistema
So implementados procedimentos para
71 controlar a instalao de software em 1 3 3 0
sistemas operacionais
Os dados de teste so selecionados com
72 0 0 2 5
cuidado, protegidos e controlados
73 O acesso ao cdigo fonte restrito. 0 2 3 2
71
Segurana em processos de desenvolvimento e de suporte

A implementao de mudanas em
sistemas controlada utilizando
74 procedimentos formais (autorizao, 0 0 4 3
aprovao, documentao, controle de
verso, testes, horrios apropriados, etc.).
Aplicaes crticas so analisadas e
testadas quando sistemas operacionais so
75 mudados, para garantir que no haver 0 1 5 1
nenhum impacto adverso na operao da
organizao ou na segurana.
As modificaes em pacotes de software
76 no so incentivadas e so limitadas s 1 5 1
mudanas necessrias.
Preveno a vazamento de informaes
77 0 1 5 1
pelo sistema.
A instituio supervisiona e monitora o
78 0 0 4 3
desenvolvimento terceirizado de software.
Gesto de vulnerabilidades tcnicas
As informaes sobre vulnerabilidades
tcnicas dos sistemas de informao so
79 0 0 2 5
obtidas em tempo hbil, assim como suas
correes.
Os eventos de segurana da informao
so relatados atravs de canais
80 0 0 0 2
apropriados da direo, o mais rpido
possvel.
Os funcionrios, terceirizados e
fornecedores so instrudos a registrar e
81 0 0 0 2
notificar qualquer observao ou suspeita
de fragilidade em sistemas e servios
Gesto de incidentes de segurana da informao e melhorias
So estabelecidas as responsabilidades e
procedimentos para assegurar respostas
82 0 0 2 0
rpidas, efetivas e ordenadas a incidentes
de segurana da informao
A quantidade, os tipos e os custos dos
incidentes de segurana da informao so
83 quantificados e monitorados, de forma a 0 0 2 0
propiciar uma melhoria contnua do
processo.
As evidncias so coletadas, armazenadas
e apresentadas em conformidade com as
84 0 0 0 2
normas de armazenamento de evidncias
(Cadeia de Custdia)
Poltica de Segurana da Informao
Existe alguma Poltica de segurana da
85 5 0 0 1
informao?
H algum responsvel pela gesto da
86 4 0 1 1
poltica de segurana?
Existe uma estrutura de gerenciamento
87 para implantar e controlar a segurana da 3 0 0 3
informao na INSTITUIO?
Existe algum frum de segurana
88 formado pelo corpo diretor com finalidade 2 0 2 2
de gerir mudanas estratgicas?
72
Existe uma definio clara das

89 atribuies de responsabilidade 1 0 1 4
associadas segurana da informao?
H contato e apoio de partes externas
90 3 0 2 1
em caso de incidentes?
H anlise de riscos no acesso de
prestadores de servio aos recursos de
91 0 0 1 5
processamento da informao da
instituio?
H controle de acesso especfico para os
92 2 0 0 4
prestadores de servio?
Os Requisitos de segurana so tratados
93 1 0 3 2
nos contratos de terceirizao?
Existe inventrio dos ativos fsicos,
94 4 0 1 1
tecnolgicos e humanos?
Existem critrios de classificao da
95 1 0 0 4
informao?
Os papis e responsabilidades pela
96 segurana da informao so definidos e 2 0 1 3
documentados?
Existem acordos de confidencialidade,
97 0 0 3 3
termos e condies de trabalho?
Existem processos para conscientizao
e treinamento de funcionrios, terceiros e
98 1 0 0 5
fornecedores em segurana da
informao?
H processo disciplinar formal para os
99 funcionrios que tenham cometido uma 1 0 1 4
violao da poltica de segurana
H estrutura para notificar e responder
100 2 0 3 1
aos incidentes e falhas de segurana?
Existem processos para retirada de
direitos de acesso de todos os
funcionrios, fornecedores e terceiros s
101 0 0 2 4
informaes e aos recursos de
processamento da informao aps o
encerramento de suas atividades?
Existem controles de acesso fsico aos
102 3 0 3 0
ambientes?
Existem recursos para segurana e
103 0 0 5 1
manuteno dos equipamentos?
Existe estrutura para fornecimento
104 6 0 0 0
adequado de energia?
Os equipamentos que suportam o
105 processamento de dados da instituio 1 0 5 0
sofrem manuteno?
Os procedimentos e responsabilidades
106 0 0 4 2
operacionais so documentados?
Existe gesto de mudanas nos recursos
107 de processamento da informao e 0 0 1 5
sistemas?
Existe segregao de funes e
108 ambientes (desenvolvimento, teste e 1 0 5 0
produo)?
Existe gesto da capacidade, visando
109 necessidades futuras e garantia de 1 0 3 2
desempenho dos sistemas?
Os processos de aceitao de novos
110 0 0 4 2
sistemas, atualizaes e verses esto
73
estabelecidos?
Existem procedimentos para cpias de
111 5 0 0 1
segurana?
Existem controles e segurana dos
112 3 0 3 0
servios de Rede?
H mecanismos de segurana e
113 0 0 2 4
tratamento de mdias?
Existe proteo da documentao de
114 0 0 5 1
sistemas?
H mecanismos de segurana do correio
115 4 0 1 0
eletrnico?
Os requisitos do negcio so levados em
116 considerao para definio de controle 3 0 2 1
de acesso?
Existe gerenciamento de acessos do
117 3 0 2 1
usurio?
Existem controles de previnam acesso
118 2 0 3 1
no autorizado aos servios de rede?
Existem controle de acesso ao sistema
119 3 0 3 0
operacional?
Existem controles de acesso s
120 5 0 1 0
aplicaes?
Existe monitorao do uso e acesso ao
121 1 0 4 1
sistema?
Existem controles de segurana para
122 0 0 0 6
computao mvel e trabalho remoto?
Os requisitos de segurana sejam
123 identificados na fase de definio de 0 0 3 3
requisitos?
124 Existe poltica de uso de criptografia? 0 0 0 6
Existem procedimentos de segurana nos
125 0 0 2 4
processo de desenvolvimento e suporte?
As fragilidades e eventos de segurana
126 da informao associados com sistemas 1 0 4 1
de informao so comunicados?
Existem processos de gesto da
127 0 0 1 5
continuidade do negcio?
As conformidades tcnicas e legais so
levadas em considerao no projeto,
128 1 0 4 1
operao, uso e gesto de sistemas de
informao?
Existem recursos e critrios para
129 0 0 2 4
auditoria de sistemas?
Conformidade com Requisitos Legais
Todos os requisitos estatutrios
(exemplo: leis, resolues, portaria, etc.),
regulamentares e contratuais relevantes
130 1 0 5 0
para a instituio so definidos,
documentados e mantidos atualizados
para cada sistema de informao
Procedimentos como poltica de
conformidade, aquisio de software de
fontes seguras, conscientizao dos
usurios e verificao e remoo de
131 0 0 3 3
software pirata so implementados para
garantir a conformidade legal no uso de
material aos quais pode haver direitos de
propriedade intelectual
74
Os registros importantes da instituio

so protegidos contra perda, destruio e
132 1 0 5 0
falsificao, de acordo com os requisitos
legais
A privacidade e a proteo de dados so
133 assegurados, de acordo com uma poltica 0 0 2 4
de privacidade definida e comunicada
Os usurios so dissuadidos de usar os
recursos de processamento da
informao para propsito no
134 1 1 2 2
autorizados, como atravs de
autorizaes por escrito ou advertncias
no acesso.
O uso de criptografia est em
conformidade com todas as leis, acordos
e regulamentos com existncia de
135 controles para, por exemplo, restringir a 0 1 2 3
importao/exportao de hardware e
software que executa funes
criptogrficas.

A Análise Do Risco Legal de Segurança Da Informação PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

A Análise Do Risco Legal de Segurança Da Informação PDF

Uploaded by

Copyright:

Available Formats

Un B

ALEXIS BRAGA SOTTO MAIOR

A ANLISE DO RISCO LEGAL DE SEGURANA DA INFORMAO

ALEXIS BRAGA SOTTO MAIOR

A Anlise do Risco Legal de Segurana da Informao em uma

A Anlise do Risco Legal de Segurana da Informao em uma

A Anlise do Risco Legal de Segurana da Informao em uma

Monografia apresentada ao Departamento

Orientador: Prof. Carlos Csar Soares de Paiva

Sotto Maior, Alexis Braga.

minha famlia e Go, capaz de iluminar qualquer caminho obscuro que

Agradecimentos, inicialmente, ao Prof. Carlos Csar Soares de Paiva, que me

Figura 1 Processos e Limites Legais ...................................................................... 23

Tabela 1: Pagamento de Precatrios e RPVs Nacional. ....................................... 16

Ata de Defesa de Monografia ....................................... Erro! Indicador no definido.

Lista de Figuras ........................................................................................................... 6

Lista de Tabelas .......................................................................................................... 7

1 Delimitao do Problema ....................................................................................... 13

1.1 Introduo ........................................................................................................ 13

1.2 Formulao da situao problema (Questes de pesquisa) ............................ 14

1.3 Objetivos e escopo .......................................................................................... 14

1.3.1 Objetivo Geral ........................................................................................... 14

1.3.2 Objetivos Especficos ................................................................................ 15

1.3.3 Escopo ...................................................................................................... 15

1.4 Justificativa ...................................................................................................... 15

1.5 Hipteses ......................................................................................................... 17

2 Reviso de Literatura e Fundamentos.................................................................... 19

2.1 Organizaes, Tecnologia da Informao e Segurana da Informao .......... 19

2.2 Limites legais e Gesto de Riscos ................................................................... 22

2.3 A anlise/avaliao de riscos de segurana da informao segundo ABNT

3.1 Classificao da pesquisa e coleta de evidncias ........................................... 32

3.2 Mtodos de anlise das evidncias ................................................................. 36

4.1 A Instituio: Histria, misso e processos crticos. ........................................ 38

4.2 A Coordenao Geral de Tecnologia da Informao: Contexto ....................... 39

4.3 Limites legais aos processos da Coordenao Geral de Tecnologia da

4.3.1 Os limites Constitucionais, na LRF e na Lei 4.320/64 ............................... 40

4.3.2 A Poltica de Segurana do Ministrio XPTO............................................ 42

4.3.3 A Lei n 8.112/90 ...................................................................................... 44

4.3.4 Cdigo Penal Brasileiro (Decreto-Lei no 2.848/40) .................................. 44

4.3.5 Outras normas aplicveis.......................................................................... 46

4.4 Identificao do Risco Legal de Segurana da Informao na CGTEC........... 47

4.5 Estimativa do Risco Legal de Segurana da Informao na CGTEC .............. 51

6.1 Trabalhos Futuros ............................................................................................ 58

Referncias e Fontes Consultadas ........................................................................... 59

As organizaes pblicas federais esto sujeitas as mais diversas ameaas

The federal government organizations are subject to a variety of information

Este captulo apresenta a delimitao do problema de pesquisa e composto

aspectos. Primeiramente, pelas consequncias financeiras decorrentes de

1.2 Formulao da situao problema (Questes de pesquisa)

1.3 Objetivos e escopo

1.3.1 Objetivo Geral

1.3.2 Objetivos Especficos

operacionais, como indisponibilidades, quebra de sigilo ou invaso de sistemas. As

Descri Precatrios e RPVs

Tabela 1: Pagamento de Precatrios e RPVs Nacional. Fonte: (BRASIL, 2010b)

Oramento Federal despesa de R$ 330.735.016,00 com indenizaes e restituies,

Algumas consequncias associadas explorao de vulnerabilidades

2 Reviso de Literatura e Fundamentos

2.1 Organizaes, Tecnologia da Informao e Segurana da

As organizaes, vistas como sistemas compostos por vrios agentes

As organizaes diferenciam-se de outros ajuntamentos de pessoas por

Da mesma forma, Fernandes (2010c) observa o seguinte:

Nenhuma organizao consegue viver em isolamento. Vrios eventos