Segurança Da Informação em Bibliotecas Universitárias: A Atuação Do Bibliotecário No Planejamento e Na Implantação de Novas Políticas Institucionais

ARTIGO
RDBCI: Revista Digital Biblioteconomia e Cincia da Informao 10.20396/rdbci.v0i0.8646416

RDBCI : Digital Journal of Library and Information Science
SEGURANA DA INFORMAO EM BIBLIOTECAS

UNIVERSITRIAS: A ATUAO DO BIBLIOTECRIO NO
PLANEJAMENTO E NA IMPLANTAO DE NOVAS
POLTICAS INSTITUCIONAIS
INFORMATION SECURITY IN ACADEMIC LIBRARIES:
THE ROLE OF THE LIBRARIAN IN PLANNING AND INTRODUCING NEW
INSTITUTIONAL POLICIES
SEGURIDAD DE LA INFORMACIN EN BIBLIOTECAS DE UNIVERSIDAD: LA

INTERPRETACIN DEL BIBLIOTECARIO EN LA PROYECCIN Y EN LA INTRODUCCIN
DE NUEVA POLTICA INSTITUCIONAL
Juliana Soares Lima, Ana Rafaela Sales de Arajo, Francisco Edvander Pires Santos,
Luiz Gonzaga Mota Barbosa, Izabel Lima dos Santos
Universidade Federal do Cear
Correspondncia
Juliana Soares Lima
Universidade Federal do Cear
Fortaleza, CE.
E-mail: juliana.lima@ufc.br
ORCID: http://orcid.org/0000-
0001-9399-673X
Submetido em: 31-08-2016

Aceito em: 17-01-2017
Publicado: 20-03-2017
JITA: LH. Computer and network security.
RDBCI: Rev. Digit. Bibliotecon. Cienc. Inf. Campinas, SP v.15 n.2 p.389-419 maio/ago. 2017
[389]
RESUMO: Apresenta uma discusso sobre a atuao do bibliotecrio como um profissional importante no
planejamento, na elaborao e na implantao de uma Poltica de Segurana da Informao em Bibliotecas
Universitrias, trabalhando em conjunto com os profissionais da rea de Tecnologia da Informao. Discorre
acerca das principais pragas virtuais existentes que tendem a infectar os computadores das bibliotecas. Ratifica,
tendo como base a legislao vigente e documentos normativos, a importncia do bibliotecrio estar inserido nas
principais tomadas de deciso referentes segurana da informao, tais como o planejamento de uma Poltica de
Segurana da Informao consistente e que supra as necessidades das Bibliotecas Universitrias como instituies
propensas a ataques virtuais. Expe, com base nos resultados alcanados por meio de pesquisa-ao, os principais
tpicos e diretrizes que devem constar numa Poltica de Segurana da Informao, tendo em vista os problemas
encontrados nos computadores das bibliotecas e a anlise de contedo de relatrios elaborados a partir do
preenchimento de formulrios nas visitas. Conclui que Poltica de Segurana da Informao deve ser validada
pela gesto e pelos setores competentes dos departamentos e/ou divises aos quais as Bibliotecas Universitrias
estejam hierarquicamente subordinadas.
PALAVRAS-CHAVE: Segurana da informao. Biblioteca universitria. Polticas de segurana.
ABSTRACT: This study presents a short discussion about the role of the librarian as a mediator at planning,
developing and implementing an Information Security Policy in Academic Libraries, by working together with
professionals in the field of Information Technology. It also discusses the main virtual threats and some risks that
are prone to infect computers in libraries. Based on the current legislation and on some normative documents
about information security, it is confirmed the importance of the librarian take part in the main decision-making
related to information security, such as planning a consistent Information Security Policy which be able to see the
specific needs of Academic Libraries as institutions prone to cyberattacks. The main topics and guidelines to carry
out an Information Security Policy are presented based on the results that were obtained through an action
research, by visiting libraries to fill in application forms and to compose reports whose content was analyzed.
Finally, the study concludes that Information Security Policy must be validated by managers of sectors or
departments which the Academic Library is hierarchically subordinate to.
KEYWORDS: Information security. Academic libraries. Security policies.
RESUMEN: Presenta una discusin sobre la actuacin del bibliotecario como un profesional importante para la
planificacin, desarollo y la implatacin de una Poltica de Seguridad de la Informacin en Bibliotecas de
Universidades, que trabajan en conjunto con profesionales en el campo de la Tecnologa de la Informacin. Habla
sobre las principales amenazas virtuales existentes que proponem infectar los ordenadores en las bibliotecas.
Teniendo por base la legislacin corriente y los documentos normativos, la importancia del bibliotecario s
introducida en las principales tomas de decisiones relacionada con la seguridad de informacin, como la
planificacin de una Poltica de Seguridad de la Informacin consistente y que suple las necesidades de las
Bibliotecas de Universidades como instituciones propensas a los ataques virtuales. Con base en los resultados
alcanzados a travs de invertigacin-accin, expone los principales temas y reglas que deben mostrarse en una
Poltica de Seguridad de la Informacin, visando los problemas encontrados en los ordenadores de las bibliotecas
y anlisis de los contenidos de informes elaborados, seguidos de formularios llenados en invitaciones. Concluye
que la Poltica de Seguridad de la Informacin debe ser validada por la direccin y los sectores relevantes de los
departamentos y divisiones los cuales las Bibliotecas de Universidades son jerrquicamente subordinadas.
PALABRAS LLAVE: Seguridad de la informacin. Bibliotecas acadmicas. Polticas de seguridad.
[390]
1 INTRODUO
Satisfazer as necessidades informacionais de cada usurio, individualmente,

importante tanto na forma tradicional de atendimento (presencialmente) quanto na forma que
vem sendo exigida (virtualmente) no cotidiano das Bibliotecas Universitrias (BUs). Para
tanto, controlar e reduzir incidentes tecnolgicos e de segurana, dentre outros fatores, torna-
se extremamente importante com a finalidade de assegurar a operao da rede em nveis
aceitveis de desempenho, alm de manter os seus equipamentos de informtica com softwares
e aplicativos especializados, para facilitar a comunicao e otimizar o fluxo da informao e
do conhecimento, permitindo, assim, o aumento da eficincia e das condies de excelncia
das informaes armazenadas no sistema utilizado pelas bibliotecas, seja no campo da
pesquisa, do ensino, da extenso, da prestao de servios ou da gesto institucional.
A fim de destacar o cenrio supracitado, concorda-se que:
A chave para a compreenso dos problemas que existem na segurana dos

computadores o reconhecimento de que os problemas no so novos. So problemas
antigos, desde o incio da segurana informtica (e, de fato, decorrentes de problemas
paralelos no mundo no-computacional). Mas o locus mudou conforme o campo da
computao mudou. Antes de meados dos anos 80, os computadores mainframe e de
nvel mdio dominavam o mercado, e os problemas e solues de segurana do
computador eram expressos em termos de segurana de arquivos ou processos em um
nico sistema. Com a ascenso da rede e da Internet, a arena mudou. Estaes de
trabalho e servidores, e a infraestrutura de rede que os conecta, agora dominam o
mercado. No entanto, se as estaes de trabalho e os servidores, e a infraestrutura de
rede de suporte so vistos como um sistema nico, os modelos, teorias e declaraes
de problemas desenvolvidos para sistemas antes de meados dos anos 1980 se aplicam
igualmente a sistemas atuais. (BISHOP, c2003, Prefcio, p. XXXIII, traduo nossa).
Nesse contexto, pretende-se levar adiante uma discusso acerca da segurana da

informao nos ambientes das BUs, visando a insero do bibliotecrio como mais um
profissional atuante nas principais tomadas de deciso no que se refere a propor sugestes,
melhorias, solues de problemas e/ou diretrizes que norteiem o acesso aos computadores das
BUs, bem como na criao de uma poltica de segurana da informao voltada para esses
ambientes. Aliado a isso, o bibliotecrio possui, ainda, outro desafio relacionado questo da
segurana da informao, que o de prover e garantir acesso livre Internet. No entanto, de
que maneira chegar a um consenso, ou a um meio-termo, em uma questo que causa polmica
e divide opinies entre os prprios profissionais da rea? Com relao a essa questo, e com
base em constataes feitas no ambiente de trabalho que possibilitou este estudo, os
profissionais da rea de Tecnologia da Informao (TI) lidam bem melhor com o problema,
tendo em vista que o tema faz parte de seu meti, e, dentro disso, h propostas de imposio de
medidas de controle de acesso para a melhor adequao do uso dos recursos disponveis e dos
computadores.
Trazendo essa discusso para a rea biblioteconmica, a International Federation of

Library Associations and Institutions (IFLA) e a United Nation Educational, Scientific and
[391]
Cultural Organization (UNESCO) elaboraram, em 2006, as Diretrizes para o Manifesto sobre

a Internet, um documento que tem como ponto de partida o Manifesto da IFLA sobre a Internet,
publicado em 2002, o qual j vem dando ampla e til orientao desde ento. Contudo,
preciso considerar o fato de que, desde aquela poca, o cenrio da Internet, dos usurios e da
segurana da informao tem mudado consideravelmente. Alis, at mesmo as Diretrizes que
foram elaboradas em 2006, que vm sendo traduzidas para outros idiomas e endossadas pela
IFLA, apresentam algumas recomendaes que permanecem as mesmas desde aquele perodo.
Portanto, o tema mostra-se extremamente oportuno para discusso num perodo de mudanas
na Internet e de seus usurios, assim como os diversos marcos regulatrios que vm surgindo
e gerando novos embates.
Como exemplo, tem-se a Lei 12.965, de 23 de abril de 2014, conhecida como Marco
Civil da Internet (MCI). Essa lei, de iniciativa do Poder Executivo Federal, tem por objetivo
estabelecer os [...] princpios, garantias, direitos e deveres para o uso da Internet no Brasil.
(BRASIL, 2014). O Marco Civil da Internet tem o desafio de contribuir para a construo de
[...] uma internet que seja vivel, acessvel e justa para todos. (NAZARENO, 2014, p. 27), e
justamente por isso pretende estabelecer os direitos e as responsabilidades que todos os sujeitos
(usurios, provedores de contedo, provedores de conexo, detentores de direitos autorais e
governo) relacionados Internet no pas possuem. O MCI deixa clara a necessidade de serem
estabelecidos parmetros para o acesso seguro do contedo disponvel na Web, e esses
parmetros no devem apenas existir no plano nacional, mas tambm no mbito institucional
local, por meio da realizao de aes que estimulem a segurana da informao.
O Comit Gestor da Internet no Brasil (CGI.br) ([2016]) mantm dentro de seu website
uma seo exclusiva para as discusses sobre o MCI, a qual enfatiza que a segurana,
estabilidade e resilincia da Internet devem ser objetivos fundamentais de todas as partes
interessadas na governana da Internet; portanto, a Internet deve ser um ambiente estvel,
resistente, seguro e confivel. Alm disso, esclarece que a eficcia na abordagem dos riscos e
ameaas segurana e estabilidade da Internet depende de uma forte cooperao entre os
diferentes intervenientes.
Nesse sentido, o desenvolvimento deste estudo se fez necessrio objetivando no apenas

traar diretrizes para uso e manuteno dos computadores e para acesso rede Wi-Fi das
bibliotecas onde uma pesquisa-ao foi realizada, mas tambm com a finalidade de contribuir
com a proposta de implantao de uma Poltica de Segurana da Informao (PSI) para o
Sistema de Bibliotecas da Universidade Federal do Cear (UFC), atendendo, assim, s Normas
Internacionais de Segurana da Informao em Bibliotecas (ISO 27001 e ISO 17799), alm de
contemplar um dos objetivos previstos no Plano de Desenvolvimento Institucional (PDI) da
referida instituio (UNIVERSIDADE FEDERAL DO CEAR, 2012). importante ressaltar
que a segurana da informao vai muito alm da simples manuteno e do diagnstico de
problemas em computadores, embora isso seja um dos aspectos que envolvem a rea e a
[392]
consequente discusso sobre o assunto, afinal, grande parte das informaes geradas nesses
ambientes advm dos computadores, conforme ser visto a seguir.
2 PRINCIPAIS CONCEITOS E A IMPORTNCIA DA SEGURANA DA

INFORMAO NAS INSTITUIES
Visando a proposta de insero do bibliotecrio como profissional atuante no

planejamento, na elaborao e/ou na implantao de polticas institucionais centradas na
segurana da informao, fez-se necessrio recorrer teoria, a alguns dos documentos
normativos existentes e legislao vigente acerca da importncia da segurana da informao
nas instituies, e tambm sobre as principais pragas virtuais s quais todos os computadores
esto suscetveis. Aliado a isso, sero abordados os princpios e a definio de PSI.
No contexto da segurana da informao, a informao um ativo essencial do ponto de

vista de negcio de uma organizao e, consequentemente, deve ser devidamente protegida
(ABNT NBR ISO/IEC 27002, 2013). Nesse sentido, Mandarino Jnior (2010) conceitua
informao como um bem incorpreo, intangvel e voltil, e seus ativos tornam-se os principais
focos de ateno quanto segurana da informao. So exemplos de ativos de informao: os
meios de armazenamento, transmisso e processamento da informao; os equipamentos
necessrios; os sistemas utilizados; os locais onde se encontram esses meios e os recursos
humanos que a eles tm acesso (MANDARINO JNIOR, 2010).
A informao pode ser considerada o bem de maior valor para empresas privadas e para
rgos pblicos, assim como o recurso patrimonial mais crtico, pois quando adulterada,
indisponvel ou acessada por pessoas de m-f sem a devida autorizao, ou por concorrentes,
a imagem da instituio pode ser significativamente comprometida, assim como o andamento
dos prprios processos institucionais, ou seja, a continuidade de uma organizao pode ser
comprometida se no for dada a devida ateno segurana de suas informaes (BRASIL,
[2014]). Considera-se, ento, que:
Na sociedade da informao, ao mesmo tempo em que as informaes so

consideradas o principal patrimnio de uma organizao, esto tambm sob constante
risco, como nunca estiveram antes. Com isso, a segurana da informao tornou-se
um ponto crucial para a sobrevivncia das instituies. (BRASIL, 2007, p. 2).
Por seu valor expressivo, a informao representa grande poder para quem a possui.
Ademais, est integrada com os processos, pessoas e tecnologias. Para reforar a importncia
da informao como um ativo de grande valia e recurso estratgico para as empresas privadas
e instituies pblicas, sob a viso da vantagem competitiva, a figura 1 ilustra bem essa
realidade:
[393]
Objetivos
PROCESSOS PESSOAS
Metas
Desafios
TECNOLOGIAS
FIGURA 1. Papel estratgico da informao
Fonte: Elaborado pelos autores, baseado em Rezende e Abreu (2003).
A partir da compreenso desses nveis de gesto e de responsabilidades, e para que se

possa levar essa discusso adiante, preciso conceituar o termo segurana da informao.
De acordo com o Artigo 2, inciso II, do Decreto n 3.505, de 13 de junho de 2000, a segurana
da informao definida como:
[...] proteo dos sistemas de informao contra a negao de servio a usurios

autorizados, assim como contra a intruso, e a modificao desautorizada de dados
ou informaes, armazenados, em processamento ou em trnsito, abrangendo,
inclusive, a segurana dos recursos humanos, da documentao e do material, das
reas e instalaes das comunicaes e computacional, assim como as destinadas a
prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento.
(BRASIL, 2000, online).
E justamente nesse cenrio que a segurana da informao se faz mais do que

necessria nas instituies, tendo em vista no apenas a garantia do acesso seguro e da
disponibilidade das informaes, mas tambm o cumprimento da legislao estabelecida pelo
Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR), por intermdio do
Departamento de Segurana da Informao e Comunicaes (DSIC). H tambm o Comit
Gestor de Segurana da Informao (CGSI), que auxilia o referido GSIPR. O CGSI composto
por representantes de rgos da Administrao Pblica Federal (BRASIL, 2016): Ministrio
da Justia e Cidadania; Ministrio da Defesa; Ministrio das Relaes Exteriores; Ministrio
da Fazenda; Ministrio do Trabalho; Ministrio da Sade; Ministrio da Indstria, Comrcio
Exterior e Servios; Ministrio do Planejamento, Desenvolvimento e Gesto; Ministrio da
Cincia, Tecnologia, Inovaes e Comunicaes; Casa Civil da Presidncia da Repblica;
Ministrio de Minas e Energia; Ministrio da Transparncia, Fiscalizao e Controladoria-
Geral da Unio; Advocacia-Geral da Unio; e Secretaria de Governo da Presidncia da
[394]
Repblica, sendo que os trabalhos so coordenados pelo GSIPR, na condio de Secretaria-

Executiva do Conselho de Defesa Nacional (CDN).
A existncia de cada um desses rgos norteia e valida as aes com vistas segurana
da informao nas instituies, dentre elas as BUs. Contudo, de nada adianta pensar numa PSI
que contemple o ambiente das BUs se no se conhecer, ainda que superficialmente, os
principais conceitos de segurana da informao e sua importncia, por que se deve preocupar-
se, quais so os tipos de pragas virtuais e ameaas internas e externas a que as BUs esto
suscetveis.
2.1 Princpios e Poltica de Segurana da Informao
Um dos conceitos mais completos sobre segurana da informao apresentado por

Bishop (c2003, p. 15, grifo e traduo nossa):
[...] segurana [da informao e] dos computadores no apenas uma cincia, mas
tambm uma arte. uma arte porque nenhum sistema pode ser considerado seguro
sem um exame de como ele deve ser usado. A definio de computador seguro
exige uma declarao de requisitos e uma expresso desses requisitos sob a
forma de aes autorizadas e usurios autorizados. (Um computador ocupado em
uma universidade pode ser considerado seguro para os fins do trabalho realizado
na universidade. Quando movido para uma instalao militar, esse mesmo sistema
no pode fornecer controle suficiente para ser considerado seguro para fins do
trabalho feito nessa instalao). Como as pessoas, assim como outros computadores,
interagem com o sistema de computador? Quo clara e restritiva a interface criada
por um designer em segurana pode tornar o sistema inutilizvel ao tentar impedir o
uso no autorizado ou impedir o acesso aos dados ou recursos no sistema? Assim
como um artista pinta sua viso do mundo sobre a tela, o designer de recursos de
segurana articula sua viso do mundo da interao homem/mquina na poltica de
segurana e nos mecanismos do sistema. Dois designers podem usar desenhos
inteiramente diferentes para conseguir a mesma criao, assim como dois artistas
podem usar temas diferentes para alcanar o mesmo conceito.
Portanto, com base no exposto, pode-se considerar e resumir em linhas gerais que, para
a criao de qualquer PSI, obrigatria a apresentao de critrios e/ou diretrizes do que se
pode ou no fazer nos computadores e por meio da rede utilizada, alm de definir quem pode
usar e de que forma deve utilizar esses equipamentos e recursos.
Conforme Concerino (2005, p. 155), a segurana da informao possui trs pilares

bsicos. Apresentando-os em linhas gerais, so eles:
a) Confidencialidade: refere-se ao sigilo de informaes. Busca assegurar que a informao

ser acessvel somente s pessoas devidamente autorizadas. Quando alguma informao vista
ou copiada por algum que no possui autorizao para faz-lo, este aspecto da segurana no
est sendo observado;
b) Integridade: refere-se impossibilidade de alterao de informaes na rede. Visa
salvaguardar os dados e as informaes, garantindo, assim, a veracidade e autenticidade da
[395]
informao, bem como os seus mtodos de processamento. A perda da integridade se d

quando, inexistindo a devida segurana, ocorre a modificao de um tpico importante, que
pode ser alterado pelos mais surpreendentes motivos, at mesmo intencionalmente;
c) Disponibilidade: busca assegurar que dados, informaes e sistemas estaro devidamente
disponveis sempre que solicitados. A ausncia de disponibilidade ocorre quando a informao
deletada ou se torna inacessvel ao usurio autorizado a consult-la.
Na literatura da rea, h mais princpios relacionados segurana da informao, porm,

para fins deste estudo, foram considerados apenas os trs supracitados.
A classificao das informaes nas organizaes deve ser realizada a fim de assegurar
que a informao receba um nvel adequado de proteo, de acordo com a sua importncia.
Cada instituio deve rotular e tratar a informao de acordo com o seu prprio esquema de
classificao (ABNT NBR ISO/IEC 27001, 2013).
A partir dessa classificao, tm-se os documentos sigilosos, compostos por dados ou

informaes cujo conhecimento irrestrito ou divulgao pode acarretar qualquer risco
segurana da sociedade e do Estado, bem como aqueles necessrios ao resguardo da
inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas. Esse tipo de
informao e/ou documento deve receber medidas especiais de segurana (BRASIL, 2011).
Por outro lado, a informao ostensiva caracterizada por ser facilmente percebida e
compreendida, dispensando qualquer esforo na sua assimilao. Nesse sentido, o Decreto n
5.903, de 20 de setembro de 2006, dispe e regulamenta, com base nas Leis n 10.962 e n
8.078, as prticas infracionais que afrontam o direito bsico do consumidor de obter informao
adequada e clara sobre produtos e servios (BRASIL, 2006).
A cartilha de segurana da informao, elaborada pelo Superior Tribunal de Justia

(STJ), esclarece que:
Um rgo que leva a Segurana da Informao a srio mantm os riscos e ameaas sob
controle e no coloca em jogo a sua imagem organizacional. Com isso, toda a
instituio ganha e mantm seu objetivo maior: prestar um servio de qualidade para
o cidado brasileiro. (BRASIL, [2014], p. 16).
Complementando a recomendao da cartilha, luz de Bishop (c2005), o autor esclarece

que:
[...] a Internet fornece apenas mecanismos de segurana mais rudimentares, que no

so adequados para proteger as informaes enviadas por essa rede. No entanto, atos
como a gravao de senhas e outras informaes confidenciais violam uma poltica
de segurana implcita da maioria dos sites (especificamente, as senhas so
propriedade confidencial de um usurio e no podem ser gravadas por ningum). As
polticas podem ser apresentadas matematicamente, como uma lista de no
permitidos (no seguros). Para nossos propsitos, assumiremos que qualquer poltica
[396]
fornece uma descrio axiomtica de estados seguros e estados no seguros.

(BISHOP, c2005, p. 7, traduo nossa).
Assim, possvel corroborar com Joo (2012, p. 58) quando afirma que:
[...] segurana tem a ver com impedir acesso no autorizado, alterao, roubo ou danos
fsicos a sistemas de informao. J os controles garantem a segurana dos ativos da
organizao, a preciso e a confiabilidade de seus registros contbeis e a adeso
operacional aos padres administrativos.
Esse objetivo pode ser alcanado das seguintes maneiras: separar o ativo da ameaa
fsica e/ou logicamente; destruir a ameaa ou mover/destruir o ativo. A destruio da ameaa
torna-se invivel, pois, alm de envolver um processo complexo, pode envolver aes ilegais.
Destruir o ativo ameaado completamente indesejado do ponto de vista do dono do ativo, e
mov-lo pode ser um processo muito custoso ou at mesmo impraticvel. Portanto, resta
separar, fsica/logicamente, o ativo da ameaa.
Para realizar essa separao, necessrio que o rgo, instituio ou organizao adote
uma PSI e implemente os mecanismos e procedimentos necessrios para que esta poltica seja
cumprida. Como definio de PSI, destaca-se:
Poltica de segurana de informaes um conjunto de princpios que norteiam a

gesto de segurana de informaes e que deve ser observado pelo corpo tcnico e
gerencial e pelos usurios internos e externos. As diretrizes estabelecidas nesta
poltica determinam as linhas mestras que devem ser seguidas pela organizao para
que sejam assegurados seus recursos computacionais e suas informaes. (BRASIL.
TRIBUNAL DE CONTAS DA UNIO, 2012, p. 10).
Para Bishop (c2005, p. 7, traduo nossa), importante explicar a diferena entre PSI e
os mecanismos de segurana:
Definio 1-1. Uma poltica de segurana uma declarao do que e do que no

permitido. Definio 1-2. Um mecanismo de segurana um mtodo, uma ferramenta
ou um procedimento para fazer se cumprir uma poltica de segurana. Mecanismos
podem no ser tcnicos, como exigir prova de identidade antes de alterar uma senha,
na verdade, as polticas exigem frequentemente alguns mecanismos processuais que
a tecnologia no pode impor.
Sobre os mecanismos de segurana da informao, destacam-se os controles fsicos, os

quais so considerados como barreiras que limitam o acesso direto informao ou
infraestrutura, garantindo a existncia da informao que a suporta. Para apoiar esses
mecanismos de segurana (controles fsicos: portas, blindagem, guarda etc.), h tambm os
controles lgicos, que so barreiras que impedem ou limitam o acesso a informaes que
geralmente esto em ambiente controlado e eletrnico. Um dos mecanismos que apoia o
controle lgico a criptografia. Esta, por sua vez, permite codificar e transformar a informao
de forma a torn-la ininteligvel a terceiros, e, para tal, determinados algoritmos e chaves
[397]
secretas so utilizadas para produzir uma sequncia de dados criptografados a partir de dados
no criptografados. Como mecanismos lgicos, pode-se citar tambm: a assinatura digital; as
funes de Hashing ou de checagem; os mecanismos de controle de acesso (senhas, palavras-
chave, biometria, firewalls, entre outros); e os mecanismos de certificao e de integridade e o
Honeypot, programa cuja funo detectar e impedir a ao de um cracker, hacker e spammer,
ou de qualquer outro agente externo. Existem, ainda, diversas ferramentas e sistemas voltados
para a segurana, como os antivrus, firewalls, filtros AntiSpam, dentre outros.
A cartilha de segurana para Internet do Comit Gestor da Internet no Brasil (CGI.br)

(2012, p. 47-48) considera como requisitos bsicos de segurana:
Identificao: permitir que uma entidade se identifique, ou seja, diga quem ela ;
Autenticao: verificar se a entidade realmente quem ela diz ser;
Autorizao: determinar as aes que a entidade pode executar;
Integridade: proteger a informao contra alterao no autorizada;
Confidencialidade ou sigilo: proteger uma informao contra acesso no autorizado;
No repdio: evitar que uma entidade possa negar que foi ela quem executou uma ao;
Disponibilidade: garantir que um recurso esteja disponvel sempre que necessrio.
A segurana da informao no somente TI, pois envolve legislao, normas tcnicas,

negcio e tecnologia, e todos esses fatores devem ser levados em considerao na elaborao
de uma PSI. Diante disso, Vieira (2014) elaborou uma compilao da legislao especfica
relacionada segurana da informao (atualizada at 14 de agosto de 2014), na qual
contempla: Dispositivos Legais de Carter Federal; Legislao Especfica de Carter Federal;
Legislao Especfica de Carter Estadual/Distrital; Legislao Especfica de Carter
Municipal; Normas Tcnicas; Projetos de Leis (VIEIRA, 2014).
A gesto da segurana da informao e a sua implantao nas organizaes devem ser

realizadas tambm em conformidade com as normas da ABNT, mais especificamente da
famlia 27000, e entre outras relacionadas. Alm disso, importante se ter uma noo acerca
do tema e dos assuntos relacionados, tais como: erros inerentes utilizao e manipulao de
dados (exemplo: um e-mail encaminhado para o destinatrio errado); ataques rede, roubo de
dados, falsificaes etc.; aes da natureza (terremotos, tempestades, inundaes, dentre outras
intempries) que possam comprometer as estruturas fsicas, inclusive as que salvaguardam
dados de backup; prejuzos financeiros, processos judiciais, multas ou penalidades contratuais;
danos imagem; e sobre as principais pragas e ameaas virtuais que deixam os recursos
informticos vulnerveis a ataques, roubo e manipulao de dados.
2.2 Pragas Virtuais
Conforme o apresentado na seo anterior, a segurana da informao tambm uma

cincia. Sua teoria baseada em construes matemticas, anlises e provas. Seus sistemas so
[398]
construdos de acordo com as prticas aceitas de engenharia. Usa raciocnio indutivo e dedutivo
para examinar a segurana dos sistemas de axiomas-chave e descobrir princpios subjacentes.
Esses princpios cientficos podem, ento, serem aplicados a situaes no tradicionais e a
novas teorias, polticas e mecanismos (BISHOP, c2003, p. 15). Dentro desse universo, uma das
ocorrncias mais comuns a proliferao de pragas virtuais que podem comprometer
inexoravelmente a segurana das informaes e dos computadores.
Em nvel deste estudo, os vrus, malwares e worms sero considerados como sendo as
principais pragas ou ameaas virtuais a que os computadores esto constantemente suscetveis.
Conforme Joo (2012), o termo genrico para programas de software mal-intencionado
conhecido como malware. Relacionando vrus e malwares, Joo (2012, p. 60) descreve que
[...] eles podem ser de vrios tipos, incluindo vrus de computador, worms e cavalos
de Tria. Um vrus de computador um programa que se anexa a outros para ser
executado normalmente, sem que o usurio perceba. A maioria dos vrus de
computador transporta uma carga, que pode no causar grandes danos (apenas
mostrando uma mensagem ou imagem, por exemplo), ou ser altamente destrutiva,
arruinando programas, dados e at mesmo reformatando o disco rgido, entre outras
coisas [...]
Certamente, tomando como base a prxis profissional ou o uso pessoal dos

computadores, so muitos os alertas sobre o fato do quanto perigoso fazer download de
arquivos de fontes desconhecidas e/ou duvidosas, e isso se deve ao fato de os vrus serem
comumente transmitidos de um computador para o outro, seja por envio de um e-mail com
anexo ou cpia de um arquivo infectado, seja por outras diferentes aes.
Conceituando worms (vermes, em ingls), Joo (2012, p. 62) afirma que
[...] consistem em programas de computador independentes, que se copiam de um

computador para o outro por meio de uma rede. E a diferena dos vrus para os worms
que estes [...] podem funcionar sozinhos, sem se anexar a outros arquivos, e tambm
no dependem do comportamento humano para se espalhar [...]
Por essa razo, os worms so disseminados bem mais rapidamente do que os vrus e
agem destruindo programas, arquivos, dados etc., interferindo at no funcionamento das redes
de computadores. Costuma-se afirmar que uma das caractersticas que demonstram que um
computador possui worms exatamente a lentido e o travamento da mquina, pois uma de
suas aes justamente interromper e prejudicar o funcionamento dos computadores.
Para prevenir esses e outros tipos de problemas relacionados rede, Herzog (2010)
esclarece que a segurana consiste em separar o ativo das ameaas, ou seja, a segurana de
informaes visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das
informaes processadas pela organizao. (BRASIL. TRIBUNAL DE CONTAS DA
UNIO, 2012, p. 9).
[399]
Diante de todo esse aporte terico, tambm documentado em forma de Decretos, Leis e
de documentos institucionais, ser apresentada, a seguir, a discusso acerca da atuao do
bibliotecrio como um dos profissionais atuantes (trabalhando em conjunto com os
profissionais de TI) no planejamento, na elaborao e na implantao de uma PSI voltada para
os ambientes das BUs.
2.3 Atuao do Bibliotecrio diante da Segurana da Informao
Acerca das competncias e da atuao profissional do bibliotecrio no contexto da

segurana da informao, Sobral (2012, online, grifo nosso) esclarece que:
De acordo com a Classificao Brasileira de Ocupaes CBO o Bibliotecrio

pertence famlia dos profissionais da informao. Suas principais atribuies so:
disponibilizar a informao em qualquer suporte; gerenciar unidades como
bibliotecas, centros de informao e correlatos, alm de redes e sistemas de
informao; tratar tecnicamente e desenvolver recursos informacionais; disseminar
informao com objetivo de facilitar o acesso e gerao do conhecimento;
desenvolver estudos e pesquisas; realizar difuso cultural e desenvolver aes
educativas. Para cumprir um trabalho de tamanha responsabilidade, necessrio,
antes de tudo, garantir a segurana da informao gerenciada, que no se trata
apenas do conceito usual que temos de segurana, que garantir apenas que algo
no seja perdido ou que caia nas mos erradas. A segurana da informao
tambm garantir que a informao esteja disponvel quando necessria, e que
se possa garantir a sua integridade.
Nesse sentido, independente da natureza e do pblico a que uma determinada biblioteca

se destine, se a sua gesto no se sensibilizar com a questo da segurana da informao, a
biblioteca estar sujeita a graves problemas, como, por exemplo, a m utilizao dos
computadores destinados pesquisa, inclusive gerando riscos de roubo, vazamento e/ou perda
de dados. No entanto, tambm preciso levar em considerao a conduta dos usurios, pois
muitos deles no tomam o devido cuidado ao utilizar computadores de acesso pblico,
especialmente quando acessam e-mails e os esquecem abertos, ou ao acessarem o sistema
online de emprstimo para verificar suas posies na fila de espera da reserva, tambm
esquecem de encerrar a sesso, dentre muitos outros exemplos que poderiam ser citados.
Afinal, implicitamente, os usurios esperam e confiam que a biblioteca a responsvel por
manter seguros os seus dados e os equipamentos disponveis em bom estado, embora no
tenham tido qualquer informao ou sensibilizao para a causa, demonstrando que o
bibliotecrio est diante de mais um desafio: educar esses usurios e prepar-los para novas
prticas e condutas simples com relao segurana de seus dados e dos outros. Diante dessas
ameaas e situaes, nota-se o quanto as bibliotecas devem estar preparadas para lidar com
esses problemas.
Cabe aqui introduzir uma discusso relevante, na qual no haver aprofundamento por
no ser o objetivo principal deste artigo: quais so as possibilidades de utilizao dos
computadores de uma biblioteca? Para pesquisa? Para elaborao de trabalhos acadmicos?
Para acessar diversos contedos na Internet? Para acessar as redes sociais? Todas essas
[400]
perguntas, e muitas outras que no foram feitas, so importantes para saber a que perigos a rede
da biblioteca est exposta e, assim, poder traar (em parceria com a equipe de segurana da
informao e/ou informtica da instituio) qual ser a melhor estratgia operacional de
enfrentamento dos riscos para lidar com essas circunstncias, sem limitar as possibilidades,
liberdades e direitos dos usurios, e, ao mesmo tempo, preservar e resguardar seus dados. Alm
disso, um bom plano de ao tambm se faz necessrio, visando proteo da rede contra
ataques e vulnerabilidades, e ainda salvaguardar e preservar os computadores e equipamentos
da biblioteca, afinal, como se ver adiante, diversos computadores das bibliotecas podem estar
desprotegidos, tornando-se alvos de ataques, espionagens e instalao de softwares piratas que
geram a proliferao de vrus e malwares, sequestro de dados, acesso indevido a toda a rede,
dentre outros males.
Concernente segurana da informao, os gestores das instituies precisam estar

cientes de que no basta apenas traar um esboo de uma poltica, pois, preciso que esse
documento contenha diretrizes consistentes. Esse fato refora ainda mais a viso de que as BUs
tm a necessidade de que se estabelea o quanto antes sua poltica, tendo em vista que existem
leis, decretos e determinaes federais que validam a existncia de uma PSI nas instituies.
Como exemplo, tem-se o Decreto n 3505, de 13 de junho de 2000 (BRASIL, 2000), que institui
a PSI nos rgos e nas entidades da Administrao Pblica Federal. Obviamente, a
implementao e aplicao de uma PSI devem ser estabelecidas para a instituio como um
todo, independente de que seja na esfera pblica ou privada, incluindo as bibliotecas. Contudo,
essa poltica deve ser pensada, planejada e elaborada em parceria com o setor responsvel pelo
suporte em TI, alm de ser bem estruturada, para atender ao objetivo a que ela se prope.
Acerca da consistncia de uma PSI, concorda-se que:
As polticas de segurana devem ter implementao realista, e definir claramente as

reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes
e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de
segurana fornecem um enquadramento para a implementao de mecanismos de
segurana, definem procedimentos de segurana adequados, processos de auditoria
segurana e estabelecem uma base para procedimentos legais na sequncia de
ataques. (WEB ANEXO TECHNOLOGY, 2011, online).
Alm disso, defende-se a ideia de que, assim como o bibliotecrio deve exercer o seu
papel no planejamento da elaborao desse documento, preciso que haja uma diviso de
responsabilidades dentre os setores da instituio, contemplando a biblioteca nas diretrizes e
nas aes estabelecidas em comum acordo. Nesse sentido,
recomendvel que na estrutura da organizao exista uma rea responsvel pela

segurana de informaes, a qual deve iniciar o processo de elaborao da poltica de
segurana de informaes, bem como coordenar sua implantao, aprov-la e revis-
la, alm de designar funes de segurana. Vale salientar, entretanto, que pessoas de
reas crticas da organizao devem participar do processo de elaborao da PSI,
como a alta administrao e os diversos gerentes e proprietrios dos sistemas
informatizados. Alm disso, recomendvel que a PSI seja aprovada pelo mais alto
[401]
dirigente da organizao. (BRASIL. TRIBUNAL DE CONTAS DA UNIO, 2012,

p. 10).
No mbito das BUs, o planejamento de uma PSI envolve algumas restries de acesso.
Esse fato pode gerar alguma estranheza no usurio, porm, acredita-se que o bibliotecrio pode
e deve adotar uma atitude que vise sensibilizar o usurio acerca da importncia da segurana
da informao. Adotando essa postura, preciso estar preparado para se deparar com situaes
de insatisfao por parte de alguns dos usurios e com o embate de ideias que causem uma
discusso saudvel dentre a classe bibliotecria e os usurios, no que concerne s medidas
propostas na PSI, alm de se ter em mos mais um indicador a ser avaliado nas bibliotecas,
com a finalidade de atingir a rapidez, preciso e segurana nos servios oferecidos por meio do
uso dos computadores.
Com relao s restries de acesso, estas devem ser contempladas na PSI, e necessrio
salientar que:
O fato de um usurio ter sido identificado e autenticado no quer dizer que ele
poder acessar qualquer informao ou aplicativo sem qualquer restrio. Deve-
se implementar um controle especfico, restringindo o acesso dos usurios apenas s
aplicaes, arquivos e utilitrios imprescindveis para desempenhar suas funes na
organizao. Esse controle pode ser feito por menus, funes ou arquivos. (BRASIL,
2007, p. 18, grifo nosso).
Como se pode notar, estabelecer uma PSI tambm est diretamente ligado a aes que
podem ser consideradas contraditrias ou polmicas para os usurios; porm, todas essas ms
impresses se desfazem com a educao constante dos usurios, com a ampla divulgao da
PSI dentro da instituio e com a consolidao de uma PSI pautada nos princpios da segurana
da informao, sendo preferencialmente gerida por uma instncia maior do que a das BUs,
sempre apoiada pela equipe de TI e pela autoridade mxima do rgo. No entanto, quaisquer
que sejam as tomadas de deciso, elas precisam estar documentadas e padronizadas com o
objetivo de que todos (sem exceo) cumpram as diretrizes estabelecidas na PSI. Partindo desse
princpio, Guelman (2006, p. 1) corrobora que De nada adianta investir em tecnologia e
proteo fsica se no temos a colaborao e o comprometimento das pessoas.
O bibliotecrio deve enfrentar, ainda, outro desafio relacionado questo da segurana

da informao, que o de prover e garantir acesso Internet, conforme o trecho que se segue,
retirado das Diretrizes para o Manifesto sobre a Internet (2006) da IFLA/UNESCO:
[A declarao enfatiza] uma sociedade centrada nas pessoas, inclusiva e orientada ao

desenvolvimento, onde todos possam acessar e compartilhar conhecimentos em uma
atmosfera de acesso irrestrito informao e liberdade de expresso [...] [Esboa]
polticas e procedimentos de servios que salvaguardam a liberdade de acesso
informao para todos os usurios de bibliotecas e asseguram que o acesso Internet
livre, equitativo e livre de restries desnecessrias. (INTERNATIONAL
FEDERATION OF LIBRARY ASSOCIATIONS AND INSTITUTIONS; UNITED
NATION EDUCATIONAL, SCIENTIFIC AND CULTURAL ORGANIZATION,
2006, p. 10).
[402]
Contudo, importante ressaltar que o prprio documento tem como ponto de partida o
Manifesto da IFLA sobre a Internet que j vem dando ampla e til orientao desde 2002, e,
nos ltimos anos, o cenrio da Internet, dos usurios e da segurana da informao tem mudado
consideravelmente. Outro documento de destaque so as Diretrizes elaboradas em 2006, que,
desde ento, vm sendo traduzidas para outros idiomas e endossadas pela IFLA, ou seja,
algumas recomendaes permanecem as mesmas desde aquela poca. O mesmo conjunto de
Diretrizes alerta para o fato de que:
A tecnologia muda; as concepes do que so assuntos importantes mudam; e

nenhum conjunto de diretrizes pode ser visto como vlido por muito tempo. Se
esse documento diz menos do que se poderia esperar sobre um assunto que ocupava
lugar importante na preocupao de todo o mundo h cinco anos atrs, porque isso,
provavelmente, tem que ser assim. Se no h uma clara orientao (como deveria ser
desejvel) sobre algo que pode vir a ser o centro das preocupaes daqui a doze
meses, porque os redatores no possuem o poder da clarividncia.
(INTERNATIONAL FEDERATION OF LIBRARY ASSOCIATIONS AND
INSTITUTIONS; UNITED NATION EDUCATIONAL, SCIENTIFIC AND
CULTURAL ORGANIZATION, 2006, p. 4, grifo nosso).
As Diretrizes da IFLA/UNESCO (2006, p. 15) tambm afirmam: Ainda que a filtragem

seja um dos assuntos com maior probabilidade de causar polmicas nas bibliotecas, outras
desvantagens da Internet tm que ser consideradas. As referidas Diretrizes reconhecem ainda
que possvel criar uma Poltica de Uso Aceitvel, do ingls Acceptable Use Policy (AUP), a
qual:
[...] torna os usurios da Internet na biblioteca conscientes do que o uso aceitvel

ou no aceitvel dos computadores da biblioteca, e de quais sanes existem se os
bibliotecrios violarem a poltica. Mesmo sendo provvel que as AUPs difiram de
uma biblioteca para outra, provvel que algumas partes sejam comuns a todos - por
exemplo, aquelas que tratam do uso ilegal de equipamentos (por exemplo, usando o
computador da biblioteca para acessar outros computadores sem permisso). Uma
AUP deve informar os usurios sobre suas responsabilidades, o que inclui tanto
exigncias legais com aquelas definidas pela biblioteca. A poltica deve fornecer
biblioteca proteo legal por responsabilidade, tornando claro para os
usurios que a biblioteca no responsvel por suas aes em linha relativas ao
e-comrcio e possvel fraude por terceiros que resultem em prejuzos para eles.
Por exemplo, uma AUP tornaria claro que todas as transaes em linha so por conta
e risco do usurio e no so responsabilidades da biblioteca. O propsito geral de
uma AUP estabelecer um contrato entre a biblioteca e o usurio - a poltica
deve definir os limites do servio, estabelecendo que servios esto disponveis e
o que a levou a no disponibilizar certos servios. (INTERNATIONAL
FEDERATION OF LIBRARY ASSOCIATIONS AND INSTITUTIONS; UNITED
NATION EDUCATIONAL, SCIENTIFIC AND CULTURAL ORGANIZATION,
2006, p. 42, grifo nosso).
Portanto, as BUs precisam e devem elaborar documentos que visem ao estabelecimento

de normas gerais de utilizao dos equipamentos e recursos computacionais destinados
pesquisa, ao ensino, extenso e s atividades administrativas das Instituies de Ensino
Superior, a fim de que as ameaas sejam evitadas e/ou amenizadas. Ao criar polticas
[403]
institucionais, tais como diretrizes, normas e regras, estas devem complementar a PSI da
instituio, e no substituir as polticas existentes, nem mesmo outros documentos que se
apliquem utilizao dos equipamentos e dos recursos informticos.
3 MATERIAIS E MTODOS
O estudo realizado utiliza-se da pesquisa-ao como metodologia norteadora para a

realizao dos trabalhos. De acordo com Elliot (1997, p. 17), a pesquisa-ao um processo
que se modifica continuamente em espirais de reflexo e ao, onde cada espiral inclui:
Aclarar e diagnosticar uma situao prtica ou um problema prtico que se quer melhorar ou
resolver;
Formular estratgias de ao;
Desenvolver essas estratgias e avaliar sua eficincia;
Ampliar a compreenso da nova situao;
Proceder aos mesmos passos para a nova situao prtica.
A figura 2 explicita sucintamente esse ciclo:
FIGURA 2. Espirais da pesquisa-ao.
Fonte: Elaborado pelos autores, baseado em Elliot (1997, p. 17).
Inicialmente, uma comisso composta por seis bibliotecrios se reuniu para delinear os
passos e as aes a serem seguidas para a realizao de visitas in loco, realizadas em todo o
Sistema de Bibliotecas da UFC, sendo 19 bibliotecas no total. Assim, foi estabelecida uma
parceria entre a comisso formada, a direo do Sistema de Bibliotecas e a Secretaria de
[404]
Tecnologia da Informao (STI) da Universidade, o que resultou na elaborao de um

cronograma de visitas s bibliotecas da capital e uma do interior (somando-se 14 bibliotecas).
Alm das visitas realizadas em cada biblioteca, observaes e intervenes feitas no

servio de referncia de cada unidade foram consideradas e registradas em formulrio durante
a visitao, tendo em vista que o local onde se recebem os usurios, auxiliando-os em suas
pesquisas, e, inclusive, o espao onde foram registrados os problemas percebidos com relao
utilizao dos computadores. Com relao ao formulrio como instrumento de coleta de
dados, destinado para o registro da situao e diagnstico dos computadores de pesquisa nas
bibliotecas, Vergara (2000, p. 55) o considera como sendo um meio-termo entre entrevista e
questionrio. Para Appolinrio (2004, p. 100), o formulrio Instrumento de pesquisa,
similar a um questionrio, porm, a ser preenchido pelo prprio pesquisador (e no pelo sujeito
de pesquisa). O pr-teste do formulrio elaborado foi realizado nas bibliotecas que atendem
s reas de Cincias Humanas, Lingustica, Letras e Artes, alis, estas eram as unidades onde
se apresentaram os casos mais graves encontrados.
Outra caracterstica desta pesquisa a sua natureza aplicada, descritiva e de cunho

qualitativo. De acordo com Barros e Lehfeld (2000, p. 78), a pesquisa aplicada tem como
motivao a necessidade de produzir conhecimento para aplicao de seus resultados, com o
objetivo de contribuir para fins prticos, visando soluo mais ou menos imediata do
problema encontrado na realidade. Complementando essa afirmao, Appolinrio (2004, p.
152) salienta que pesquisas aplicadas tm o objetivo de resolver problemas ou necessidades
concretas e imediatas.
Para complementar os procedimentos metodolgicos, recorreu-se pesquisa
bibliogrfica, com a finalidade de compor o referencial terico. Alm disso, com o
preenchimento do formulrio, surgiu a demanda de uma anlise documental e de contedo aps
as visitas, pois ficou constatado que so tcnicas que se complementam em relao ao objeto
de estudo proposto.
Aps o perodo de visitas, com base nos dados obtidos, a comisso de bibliotecrios
traou como meta a elaborao de relatrios, com a finalidade de documentar a realidade
encontrada nas bibliotecas. A partir desses relatrios, foram sugeridas medidas a serem
adotadas em cada unidade, visando soluo dos problemas encontrados a fim de nortear
futuras tomadas de deciso.
Nesse sentido, foi imprescindvel recorrer anlise de contedo, que pode ser
conceituada como sendo um conjunto de operaes intelectuais que tem por objetivo descrever
e representar o contedo dos documentos de uma forma distinta da original, visando a garantia
da recuperao da informao nele contida e possibilitar seu intercmbio, difuso e uso
(IGLESIAS; GMEZ, 2004). Portanto, tal tcnica considerada como o tratamento do
contedo, de forma a apresent-lo de maneira diferente da proveniente fonte examinada,
facilitando sua consulta e referenciao, ou seja, tem por objetivo dar forma conveniente e
[405]
representar de outro modo essa informao, por intermdio de procedimentos de transformao

(BARDIN, 1997).
Passou-se, ento, anlise do contedo dos relatrios elaborados com base na coleta de
dados realizada em cada visita s bibliotecas. O contedo desses relatrios apresenta dados
referentes aos campos do formulrio, tais como: nmero de patrimnio do computador, sistema
operacional da mquina, antivrus utilizado, editores de texto instalados, player de vdeos e
msicas, histrico de acesso nos browsers, programas instalados, responsvel pela manuteno
dos computadores na unidade de informao, frequncia de solicitao de manuteno, acesso
Internet Wi-Fi e informaes complementares.
Por fim, ressalta-se que as diretrizes para uso e manuteno dos computadores
destinados aos usurios do Sistema de Bibliotecas da UFC, assim como as diretrizes para o
acesso Internet sem fio (rede Wi-Fi) nas dependncias das bibliotecas, foram construdas
como resultado do trabalho, tendo em vista a necessidade de padronizao no que se refere
configurao dos computadores disponibilizados para a comunidade acadmica. Aliado a isso,
houve a necessidade de a direo contribuir para a difuso da segurana da informao no
Sistema de Bibliotecas, indo diretamente ao encontro da proposta da Poltica de Segurana da
Informao e Comunicao (POSIC) elaborada pela prpria STI da instituio
(UNIVERSIDADE FEDERAL DO CEAR, 2013). Todas as diretrizes e documentos foram
traados aps as etapas supracitadas e possibilitaram o desenvolvimento deste estudo, cujos
resultados sero apresentados a seguir, mais especificamente o diagnstico e os problemas
evidenciados nas visitas s bibliotecas e, com base nas diretrizes elaboradas, os principais
tpicos que devem constar na estrutura de uma PSI.
4 RESULTADOS
Os resultados desta pesquisa sero descritos com base nos problemas encontrados
durante as visitas nas bibliotecas, cujo relatrio possibilitou a elaborao de diretrizes
norteadoras quanto ao uso e manuteno dos computadores destinados aos usurios, bem
como a sugesto de padronizao do acesso rede Wi-Fi nas dependncias das bibliotecas.
Alm disso, a descrio da estrutura de uma PSI tambm ser abordada como parte dos
resultados alcanados.
4.1 Diagnstico e Problemas Evidenciados a partir das Visitas s Bibliotecas
As bibliotecas visitadas esto inseridas em uma comunidade diversa de usurios, que

variam de acordo com as grandes reas do conhecimento e com os cursos de graduao e de
ps-graduao da Universidade. Contudo, mesmo dentro dessa diversidade, alguns pontos em
comum foram identificados. Dessa forma, os problemas evidenciados sero apresentados com
base nesses pontos em comum, com o objetivo de evitar repeties desnecessrias e resguardar
os nomes das bibliotecas em questo.
[406]
Primeiramente, foi contabilizada a quantidade de computadores disponveis para os

usurios em cada biblioteca, e se esses computadores eram destinados exclusivamente
consulta do acervo ou tambm para outras finalidades, como a produo de trabalhos
acadmicos e o acesso a mdias sociais, por exemplo. Constatou-se que, na maioria das
bibliotecas, havia computadores especficos para ambos os casos: acesso exclusivo ao catlogo
online, e aos demais servios do Sistema de Bibliotecas, e acesso a sites fora do domnio da
Universidade. Mesmo diante dessa realidade, foram encontrados problemas graves de infeco
nas mquinas, o que tornou necessrio um relato minucioso sobre cada situao.
Outra questo documentada foi acerca da manuteno dos computadores, mais

especificamente quem a realiza (se profissional da biblioteca ou da STI), com que frequncia
e com base em quais problemas detectados. Foi constatado que muitas das bibliotecas
recorriam a um dos funcionrios terceirizados que faziam parte da equipe, com o intuito de
prestar suporte de menor grau de complexidade quanto aos problemas das mquinas, apesar de
muitos desses funcionrios no possurem formao especfica na rea de informtica, atuando,
assim, em situaes mais rotineiras. Em casos mais complexos, que requeriam conhecimentos
mais avanados, a maioria das bibliotecas acionava os servios especializados da STI.
Na realidade encontrada nas bibliotecas, a maioria dos computadores utilizava sistema

operacional Windows 7, programas instalados, editores de texto e visualizadores de vdeo,
porm, alguns com udio desabilitado, apesar dos visualizadores de vdeo estarem ativados.
Em muitos dos computadores, as atualizaes do Windows estavam pendentes. Um aspecto
preocupante evidenciado foi o fato de muitas mquinas no possurem nenhum programa
antivrus instalado ou atualizado. Isso demonstra, claramente, como os computadores estavam
completamente vulnerveis a ataques de vrus, malwares e hackers. Essa situao tambm
ilustra um excesso de confiana por parte dos universitrios, que acreditam estar protegidos ao
utilizar os computadores da biblioteca ou navegar apenas por domnios seguros, mas, na
verdade, nem sempre esto cientes dos riscos existentes no uso da Internet.
Outro aspecto crtico foi o fato de nem todos os computadores possurem software
dedicado ao controle de permisso de acesso a sites e execuo de aplicativos. Essa ausncia
se refletiu em um histrico de acesso preocupante. Se, por um lado, havia acessos a buscadores
Web, MSN Brasil, e-mails, Facebook, Biblioteca Digital de Teses e Dissertaes (BDTD),
Repositrio Institucional (RI), catlogo online e a outros domnios de sites da Universidade;
por outro lado tambm existiam significativos acessos a sites de download de programas
desconhecidos e de origem duvidosa, alm de visitas a domnios de sites infectados j relatados
nas principais empresas de segurana na Internet e de antivrus. O acesso a sites no
recomendados acabou por facilitar que ferramentas nocivas que interferem nas configuraes
se instalassem nos computadores.
Esse cenrio evidencia que a adoo de medidas voltadas para a segurana dos
computadores era incipiente at o momento da realizao das visitas, o que acabou por originar
[407]
uma srie de transtornos e situaes potencialmente perigosas no que se referem segurana

da informao, tais como: computadores de trabalho serem vistos e a rede ser mapeada por um
determinado usurio a partir de uma das mquinas de pesquisa, possibilidade de roubo de senha
ou de acesso a contas pessoais dos usurios, login e dados de cartes de crdito e de compras
online salvos nos computadores, dentre outras ocorrncias encontradas.
Situaes semelhantes foram evidenciadas em todas as bibliotecas. Essa frequncia na

ocorrncia de determinados problemas indica tanto aspectos devem ser abordados
prioritariamente no tocante implementao de uma PSI, quanto a necessidade premente dos
bibliotecrios dedicarem maior ateno a tais questes, seja na elaborao de diretrizes e
polticas institucionais, seja na educao e sensibilizao dos usurios.
O quadro 1 apresenta, sucintamente, os problemas em comum que foram evidenciados

nas visitas s bibliotecas:
QUADRO 1. Resultados dos problemas encontrados nas visitas s bibliotecas.i
Cincias Exatas e da Terra e Cincias Biolgicas (07 bibliotecas); Cincias Sociais

REAS DO
Aplicadas (04 bibliotecas); Cincias Humanas e Lingustica, Letras e Artes (02
CONHECIMENTO
bibliotecas); Cincias da Sade (01 biblioteca).
SISTEMA
Linux (Ubuntu e Kubuntu), Windows XP, Windows 7 e Windows 8.
OPERACIONAL
05 bibliotecas utilizam; 08 bibliotecas utilizam parcialmente (no est instalado em

ANTIVRUS
todas as mquinas ou a licena expirou); 01 biblioteca no utiliza.
Computadores com configuraes obsoletas; atualizaes do sistema operacional

pendentes e diversas vulnerabilidades; infeces encontradas (vrus, vrus
multiplataforma [ataca todos os tipos de sistema operacional], malwares, spywares,
Cavalos-de-Troia, backdoors, keyloggers; grande quantidade de hijackers, adwares,
PROBLEMAS spams; Programas Potencialmente Indesejveis (PUP); aplicaes enganosas e worms;
ENCONTRADOS computadores lotados de arquivos salvos pelos usurios; sinal de Internet Wi-Fi
irrestrito, com divulgao de senha nica para qualquer usurio e sem o devido
controle na maioria das bibliotecas; a responsabilidade pela manuteno da rede Wi-
Fi compartilhada com outros setores em algumas bibliotecas pertencentes a esta
categoria.
Apenas 03 bibliotecas das 14 visitadas apresentavam software de controle de acesso e

PRTICAS E
parental em seus computadores; contudo, as ferramentas demonstraram-se ineficazes
CONTROLES
diante dos problemas encontrados; Somente 02 bibliotecas utilizavam o acesso rede
ENCONTRADOS
W-Fi por acesso identificado pelo portal ou aplicativo WUFCNet.
Bancos (Internet Banking); blogs diversos; catlogo online; Sistema de Bibliotecas da

SITES Universidade; e-mails; redes sociais diversas; sistema de informao acadmica da
ACESSADOS Universidade; notcias e fofocas diversas; jornais diversos; compra coletiva;
concursos; videoaulas; sites de compartilhamento de vdeos com extenso histrico de
busca e acesso a novelas mexicanas; sites de compartilhamento de arquivos; jogos
[408]
diversos; sites de operadoras de telefonia (servio de envio de mensagens); bases de

dados diversas; bibliotecas digitais; letras de msicas; sites de download de sries e
filmes; lojas de compras online diversas; sites de revistas em quadrinhos japoneses
(mangs); extenso histrico de busca sobre notcias de sexo; ferramentas de
compartilhamento de slides diversos; dicionrios online; Wikis.
Bancos (Internet Banking); editores de texto; extenses diversas para navegadores;

gerenciadores de downloads; jogos diversos; leitores de PDF; players de udio e vdeo;
PROGRAMAS
plugins de jogos 3D; programa de sincronizao de anotaes; programas de
INSTALADOS
mensagens/chat; programas otimizadores de sistema operacional; softwares de
gravao de CD/DVD; softwares de videochamadas; softwares de design e clculos.
SOLICITAO
Sim (anualmente): 01 biblioteca; Sim (sem frequncia estabelecida, depende da
DE
necessidade): 13 bibliotecas; No: 0 (zero) bibliotecas.
MANUTENO
Funcionrio da rea de TI: 08 bibliotecas; Funcionrio terceirizado: 05 bibliotecas;

Bibliotecrio: 04 bibliotecas; Funcionrio tcnico-administrativo sem vnculo com a
STI: 03 bibliotecas; Funcionrio tcnico-administrativo da biblioteca: 02 bibliotecas.
QUEM EXECUTA
Observao: Nessa opo, algumas bibliotecas se encaixavam em mais de uma
condio; portanto, em alguns casos, mais de um item foi assinalado no formulrio.
Fonte: Elaborado pelos autores.
Conforme o panorama geral apresentado no quadro acima, traado a partir da anlise e

diagnstico dos computadores, possvel perceber a necessidade de alinhamento das aes e
padronizao do servio ofertado pelas bibliotecas (computadores de pesquisa e de acesso
livre). A partir dos resultados encontrados, foi elaborado um relatrio para cada biblioteca,
constando todo o diagnstico, inclusive as sugestes de solues a serem aplicadas,
especialmente para as bibliotecas com os casos mais graves. Esses relatrios foram enviados
para a direo do Sistema de Bibliotecas e, em seguida, encaminhados para cada um dos cargos
de direo, com o respectivo relatrio individual por biblioteca.
Ainda durante as visitas, foi levantada a questo do acesso rede Wi-Fi em cada
biblioteca. Das 14 bibliotecas visitadas, 12 mantinham acesso aberto de duas formas distintas:
sem nenhuma restrio a usurios internos e externos ou por meio de senha prpria,
divulgando-a em cartazes e no balco de atendimento. Em outras situaes encontradas, uma
das bibliotecas dispunha de rede sem fio, porm, a secretaria do curso era a responsvel pelo
controle do acesso e distribuio da senha apenas para usurios ligados ao curso atendido, ou
seja, nem mesmo a biblioteca sabia ou possua autonomia para isso. Somando-se a esse fato,
uma outra biblioteca s tinha acesso Internet via cabo, pois ainda no dispunha de
infraestrutura necessria para oferecer o servio de Internet sem fio, e tambm vivenciava
situao semelhante da biblioteca citada anteriormente (a secretaria do curso disponibilizava
as senhas de acesso). Outro caso verificado nas visitas foi o fato de uma das bibliotecas no
[409]
possuir sinal Wi-Fi prprio, assim, compartilhava do acesso disponibilizado pelo Centro
Acadmico do curso atendido.
Contudo, duas bibliotecas da rea de Cincias Exatas ofereciam o acesso Wi-Fi por meio
do portal, e tambm aplicativo, denominado WUFCNet, desenvolvido pela Diviso de Redes
de Computadores (DRC) da STI da Universidade, no qual o login do usurio feito com o
nmero de seu CPF e com a senha do Sistema Integrado de Gesto de Atividades Acadmicas
(SIGAA). Alm dessas duas bibliotecas, havia outros setores da instituio que tinham acesso
Wi-Fi por meio desse portal, embora ainda em fase de testes. Diante dessa realidade, a soluo
solicitada STI foi a adequao de todas as bibliotecas para a devida utilizao do aplicativo
WUFCNet, por se apresentar uma forma de acesso mais seguro em termos de identificao do
usurio, sendo, portanto, a escolhida, institucionalmente, como a forma padro a constar nas
diretrizes para o acesso rede Wi-Fi nas dependncias das bibliotecas, conforme se ver
adiante.
4.2 Estrutura das Diretrizes e da Poltica de Segurana da Informao
Partindo dos problemas evidenciados, delinearam-se estratgias e diretrizes para o uso e

a manuteno dos computadores e para o acesso rede Wi-Fi nas dependncias das bibliotecas
(UNIVERSIDADE FEDERAL DO CEAR. BIBLIOTECA UNIVERSITRIA, 2015a,
2015b). No escopo do documento, foram especificados os objetivos, os procedimentos a serem
adotados nas bibliotecas, a configurao dos computadores de pesquisa e de acesso livre e a
responsabilidade pelo suporte tcnico s mquinas.
Assim, os procedimentos definidos foram:
a) Acionar a STI sempre que houver a necessidade de instalao, manuteno e/ou reparo nos
computadores destinados pesquisa e ao acesso livre dos usurios, estendendo-se tambm s
mquinas de trabalho das bibliotecas, uma vez que h uma equipe especializada unicamente
em atender a essas demandas na Universidade;
b) Adequar o sistema operacional dos computadores (Windows ou Linux) necessidade da
biblioteca;
c) Reservar uma quantidade especfica de computadores exclusivamente para pesquisa ao
catlogo online, acesso aos recursos e servios disponveis no site da biblioteca e no domnio
da Universidade;
d) Disponibilizar pelo menos um computador com softwares e/ou recursos especficos para
possibilitar o acesso de pessoas com deficincia.
No que se refere configurao dos computadores utilizados exclusivamente para

pesquisa, as recomendaes previstas nas diretrizes foram as seguintes:
[410]
a) Instalar o sistema operacional Linux nas mquinas de pesquisa, dependendo da configurao

de fbrica do computador;
b) Manter instalados e atualizados o sistema operacional, os antivrus e os navegadores de
Internet;
c) Criar conta e senha de administrador e de convidado em cada uma das mquinas (a senha de
administrador ficando sob a responsabilidade de bibliotecrios);
d) Bloquear a instalao de softwares piratas e/ou no autorizados, e tambm as pginas
externas ao domnio da Universidade, com exceo daquelas caracterizadas como sendo de
pesquisa acadmica;
e) Instalar o DosVox (programa para deficientes visuais), leitores de tela NVDA (para
Windows) ou Orca (para Linux), alm de outros recursos de acessibilidade em ambos os
sistemas operacionais;
f) Providenciar adesivos especiais para teclados, a fim de torn-los acessveis para os usurios
com baixa viso e/ou com outros problemas oculares parciais.
Para fins de composio das diretrizes, foram considerados computadores de acesso livre
aqueles cujo acesso a domnios externos Universidade (tais como: contas de e-mail, mdias
sociais, buscadores Web, dentre outros) ou ao site da biblioteca est liberado. Diante disso, foi
enfatizado, devido exigncia por parte da gesto de algumas das bibliotecas, que a
disponibilizao de computadores para esta finalidade no seria obrigatria, e mesmo aquelas
que os possuam podero suspender a oferta desse servio a qualquer momento. Dessa forma,
condicionou-se a configurao dessas mquinas s seguintes recomendaes:
a) A quantidade de computadores reservados ao acesso livre dos usurios, bem como o seu
tempo de permanncia nos computadores, ficar a cargo da direo de cada biblioteca (houve
casos em que foram realizados testes com softwares destinados a regular o tempo de
permanncia, ou que mesmo se designou um funcionrio para este fim ou se configurou o
prprio sistema operacional a desativar a conta de convidado aps o tempo previamente
estabelecido pela biblioteca);
b) Dependendo da configurao de fbrica do computador, poder haver mquinas com sistema
operacional Linux ou Windows;
c) Manter instalados e atualizados o sistema operacional, os antivrus e os navegadores de
Internet;
d) permitido o acesso a sites que no pertenam ao domnio da Universidade, desde que
respeitadas as condies de segurana da informao adotadas pelo Sistema de Bibliotecas e
pela instituio, tendo em vista as orientaes apresentadas na POSIC (UNIVERSIDADE
FEDERAL DO CEAR, 2013).
Com relao ao acesso rede Wi-Fi nas bibliotecas, ressalta-se que a STI da
Universidade dispunha de um portal e aplicativo j padronizado, mediante login e senha, em
alguns setores da instituio, e tambm em duas das 14 bibliotecas visitadas. Aps a aplicao
da pesquisa e consequente anlise dos relatrios, constatou-se que essa seria a forma mais
[411]
segura de se padronizar o acesso Internet sem fio, apesar de haver algumas resistncias e
contestaes, por parte de usurios e de bibliotecrios. A restrio do acesso rede Wi-Fi foi
necessria tendo em vista a prpria qualidade do sinal, alm das ameaas iminentes que
permanece exposta. Assim, ficaram estabelecidas as seguintes diretrizes:
a) O acesso rede Wi-Fi no Sistema de Bibliotecas padronizado por meio do portal e

aplicativo desenvolvido pela STI da instituio;
b) Os usurios com vnculo institucional tm acesso ao Wi-Fi por meio do nmero de seu CPF
e sua senha do SIGAA;
c) Os usurios que no tenham vnculo com a instituio, ou seja, pblico externo, visitantes,
ensino distncia, projetos de extenso da Universidade ou funcionrios terceirizados, devero
recorrer ao cadastro temporrio como convidado no prprio portal ou aplicativo da STI (o
cadastro de convidados est condicionado ao preenchimento de informaes sobre o usurio a
ser cadastrado e poder ser feito por qualquer usurio com vnculo institucional, o qual se
responsabilizar pelo acesso de terceiros que estejam vinculados a seu CPF);
d) Os servios oferecidos pelo portal desenvolvido pela STI, de acordo com a sua poltica de
uso, esto subordinados s regras estabelecidas pelos respectivos provedores e pela
Universidade.
Com o objetivo de alinhar essas diretrizes com a POSIC (UNIVERSIDADE FEDERAL

DO CEAR, 2013), a comisso de bibliotecrios que fez parte deste trabalho traou como meta
a continuao da composio da PSI, j estruturada pela Universidade desde 2011, mas com
considerveis atualizaes a serem feitas. Em parceria com a STI, a atuao dos bibliotecrios
ser de fundamental importncia para contemplar as BUs, com a finalidade de estender as boas
prticas documentadas nas diretrizes e tambm contribuir com o setor de TI, para reforar que
algumas das recomendaes supracitadas constem formalmente na PSI da instituio, sendo
discutidas, aperfeioadas e consolidadas em sua estrutura.
Nesse sentido, a POSIC composta por: referncias normativas; campo de aplicao;

introduo; escopo; conceitos e definies; princpios; diretrizes gerais, que contemplam o
tratamento dos ativos, o controle de acesso, a auditoria e conformidade e a gesto de
continuidade e de riscos; competncias e responsabilidades, atribudas autoridade mxima,
ao comit gestor de segurana da informao e comunicao, ao dirigente do Departamento de
Segurana da Informao e Comunicao (DSIC), bem como ao prprio departamento, e aos
membros da instituio, dentre eles, as BUs. Alm disso, as penalidades, sanes, perodo de
atualizao e o histrico de alteraes na poltica tambm esto dispostos na POSIC,
documento norteador no desenvolvido da PSI para o Sistema de Bibliotecas.
O ideal que esse modelo de PSI, voltado para as necessidades das BUs, seja elaborado
por uma equipe de profissionais da rea de TI, em parceria com os bibliotecrios e demais
profissionais que puderem contribuir com a sua viso de funcionamento dos setores, para que,
assim, auxiliem na construo de uma PSI bem delineada e com base em suas necessidades
[412]
organizacionais, alm de ser definida pelo mais alto nvel da organizao e aprovada por cada
direo.
A PSI, em sua forma mais geral, deve levar em considerao os requisitos da estratgia
de negcio, regulamentaes e legislao, alm do ambiente de riscos e ameaas segurana
da informao, realizando o diagnstico da situao atual e elaborando um prognstico. Alm
disso, deve conter as definies de segurana da informao, quais so os seus objetivos e os
princpios bsicos para orientar todas as atividades relacionadas segurana da informao. A
PSI ainda deve conter a categorizao de seu pblico, a atribuio de responsabilidades gerais
e especficas, de forma que vise ao gerenciamento da segurana da informao, e os processos
de tratamento dos desvios e excees, que devem estar previstos em um plano de contingncia.
preciso que a elaborao do documento seja numa linguagem acessvel, clara, simples
e direta, sem entrar em detalhes tcnicos, a fim de que todos os usurios e colaboradores
internos e pblico externo possam compreend-la. Inclusive, a PSI pode ser apoiada por
polticas especficas do tema (nesse caso, as BUs), detalhadas de tal maneira a considerar as
necessidades especficas dos usurios, assim como o interesse da organizao. Alguns
exemplos disso j foram citados nas diretrizes apresentadas anteriormente, mas preciso
salientar que aes como o controle de acesso, a segurana fsica do ambiente, a poltica de
backup e de senhas, de identificao pessoal, dentre outras, podem e devem ser aplicadas.
importante ressaltar, ainda, que a PSI deve ser amplamente divulgada e comunicada a
todos os usurios, diretores, prestadores de servio, bolsistas, estagirios, colaboradores,
funcionrios, pblico externo, entre outros, de forma que essa informao esteja acessvel e
visvel para todos. Ademais, deve figurar em programas de educao de usurios e educao
corporativa, com a finalidade de sensibilizar a todos e chamar a ateno para a questo da
importncia da segurana da informao.
Com relao s sanes e penalidades, estas no podem estar de fora de uma PSI, afinal,
a criao de diretrizes, normas e regras exige isso, pois nem sempre as pessoas envolvidas
colaboram ou as seguem, e, nessas situaes, devem ser aplicadas sempre que as polticas
preestabelecidas forem desrespeitadas.
Contudo, no basta apenas elaborar e estabelecer uma PSI, pois o documento pode e
deve passar por revises e modificaes sistemticas e peridicas, ou sempre que houver
necessidade, visando avaliao de oportunidades, preveno de riscos, mudanas
organizacionais no ambiente de trabalho, condies legais, o surgimento de novas tecnologias,
dentre outros fatores. Tudo isso com o intuito de se fazer uma anlise crtica e avaliar essas
polticas, e isso deve ficar a cargo do gestor mximo e/ou do comit gestor da PSI. Em suma,
faz-se necessrio saber adequar a PSI realidade da instituio, o que garante o sucesso de sua
implantao, principalmente quando o bibliotecrio traz para si mais esta responsabilidade.
[413]
5 CONSIDERAES PARCIAIS
Sabendo-se que papel do bibliotecrio gerenciar os recursos informacionais

disponveis na biblioteca, bem como solucionar os problemas de sua unidade de informao,
esse profissional deve estar atento s novas demandas e preparado para lidar com a gesto de
riscos em segurana da informao, indo alm da preocupao com a manuteno de
computadores. De fato, tambm papel da biblioteca monitorar o bom funcionamento de seus
equipamentos e, se houver a necessidade, repassar as demandas para o setor competente, mas
apenas isso no se constitui como segurana da informao, embora seja parte integrante de
uma srie de aes e boas prticas.
Concluindo, parcialmente, a discusso sobre o tema, sabido que a construo de uma

PSI j se constitui num grande desafio. Desafio ainda maior elaborar uma PSI prpria para
as bibliotecas, ou at mesmo incluir o universo das BUs na PSI da instituio. Os gestores das
BUs devem ter em mente que essas polticas, via de regra, so consolidadas num documento
geral, que a prpria PSI em nvel institucional. Apesar de, muitas vezes, ser focada na rea
de TI, o ideal que a PSI contemple todos os aspectos de segurana da informao de maneira
organizacional, at mesmo para aqueles que no esto diretamente envolvidos com recursos
computacionais.
Diante do exposto, no atual cenrio que se configura, as BUs devem ter como uma de
suas prioridades a implantao e/ou a incluso de diretrizes documentadas numa PSI, com a
finalidade de atender s Normas Internacionais de Segurana da Informao, e que, ao mesmo
tempo, comtemplem as particularidades e necessidades de um ambiente de pesquisa acadmica,
respeitando, evidentemente, os direitos e a liberdade dos usurios, assim como deve respeitar
a realidade de cada biblioteca, alm de ir ao encontro do PDI da Instituio de Ensino Superior
qual pertence. Aliado a isso, de suma importncia padronizar e criar normas de utilizao
dos computadores destinados pesquisa e aos catlogos automatizados, sem prejuzos ou
restries extremas desnecessrias que comprometam o desempenho da comunidade
acadmica qual a biblioteca atende.
Evidentemente, a discusso sobre essa temtica poder e dever ser mais explorada na
rea de Biblioteconomia e Cincia da Informao, principalmente pelo fato de que alguns
profissionais j trabalham com isso ou possuem afinidade com o tema. Alm disso, h aqueles
profissionais que defendem que no haver qualquer tipo de restrio aplicada aos seus
usurios e sua equipe de trabalho; por conseguinte, pouco ou nenhum controle de segurana
da informao. Ainda assim, espera-se ter contribudo sobremaneira para o debate a fim de que
novas ideias, discusses e solues floresam nesse campo.
[414]
REFERNCIAS
APPOLINRIO, Fabio. Dicionrio de metodologia cientfica: um guia para a produo do

conhecimento cientfico. So Paulo: Atlas, 2004.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT). Coleo ABNT. Rio de

Janeiro, 2014. Disponvel em: <http://www.abntcolecao.com.br/ufc/grid.aspx> . Acesso em:
22 nov. 2014.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT). NBR ISO/IEC 27001:

tecnologia da informao: tcnicas de segurana: sistemas de gesto da segurana da
informao: requisitos. Rio de Janeiro, 2013a.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT). NBR ISO/IEC 27002:

tecnologia da informao: tcnicas de segurana: cdigo de prtica para a gesto da
segurana da informao. Rio de Janeiro, 2013b.
BARCELO, Marta; HERZOG, P. OSSTMM 3.0: open-source security testing methodology

manual. Nebraska: Institute for Security and Open Methodologies, 2010. Disponvel em:
<http://scadahacker.com/library/Documents/Assessment_Guidance/OSSTMM-3.0.pdf>.
Acesso em: 10 fev. 2014.
BARDIN, Lawrence. Anlise de contedo. Lisboa: Edies 70, 1997. 176 p.
BARROS, Aidil Jesus Paes de; LEHFELD, Neide Aparecida de S. Fundamentos de

metodologia: um guia para a iniciao cientfica. 2. ed. So Paulo: Makron Books, 2000.
BISHOP, Matt. Computer security: art and science. Boston: Addison-Wesley, c2003. 968 p.
Disponvel em: <http://pt.scribd.com/doc/252378968/Computer-Security-Arts-and-Science-
by-Matt-Bishop>. Acesso em: 24 dez. 2016. Erratas e materiais adicionais disponveis em:
<http://nob.cs.ucdavis.edu/book/book-aands/>.
BISHOP, Matt. Introduction to computer security. Boston: Addison-Wesley, c2005. 747 p.

Disponvel em: <http://www.uoitc.edu.iq/images/documents/informatics-
institute/exam_materials/Introduction%20to%20Computer%20Security%20pdf%20DONE.p
df>. Acesso em: 24 dez. 2016.
BRASIL. Decreto n 3.505, de 13 de junho de 2000. Institui a Poltica de Segurana da

Informao nos rgos e entidades da Administrao Pblica Federal. Braslia, DF:
Presidncia da Repblica. Casa Civil, 14 jun. 2000. p. 2. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 20 dez. 2016.
BRASIL. Decreto n 5.903, de 20 de setembro de 2006. Regulamenta a Lei n 10.962, de 11

de outubro de 2004, e a Lei no 8.078, de 11 de setembro de 1990. Dirio Oficial [da]
Repblica Federativa do Brasil, Braslia, DF, 21 set. 2006. p. 4.
BRASIL. Lei n 12.527, de 18 de novembro de 2011. Regula o acesso a informaes previsto

no inciso XXXIII do art. 5o, no inciso II do 3o do art. 37 e no 2o do art. 216 da
[415]
Constituio Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no

11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e d
outras providncias. Dirio Oficial [da] Repblica Federativa do Brasil, Braslia, DF, 18
nov. 2011. Edio Extra, p. 1.
BRASIL. Lei n 12.965, de 23 de abril de 2014. Estabelece princpios, garantias, direitos e

deveres para o uso da Internet no Brasil. Dirio Oficial [da] Repblica Federativa do
Brasil, Braslia, DF, 24 abr. 2014. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 28
dez. 2016.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento de

Segurana da Informao e Comunicaes. GSI realiza 5 Reunio Ordinria do
CGSI/2016. Braslia, 2016. Disponvel em:
<http://dsic.planalto.gov.br/noticias/521-gsi-realiza-5-reuniao-ordinaria-do-cgsi-2016>.
Acesso em: 22 dez. 2016.
BRASIL. Superior Tribunal de Justia. Secretaria de Controle Interno. Coordenadoria de

Auditoria de Tecnologia da Informao. Cartilha de Segurana da Informao. Braslia,
[2014]. Disponvel em: <http://www.stj.jus.br/portal_stj/arquivos/cartilha.pdf>. Acesso em:
10 fev. 2014.
BRASIL. Tribunal de Contas da Unio. Boas prticas em segurana da informao. 2. ed.

Braslia, 2007. 70 p. Disponvel em:
<http://portal2.tcu.gov.br/portal/pls/portal/docs/2059162.PDF>. Acesso em: 10 fev. 2014.
BRASIL. Tribunal de Contas da Unio. Cartilha de segurana da informao. 4. ed.

Braslia, 2012. 103 p. Disponvel em:
<http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em: 10 fev. 2014.
COMIT GESTOR DA INTERNET NO BRASIL (CGI.br). Cartilha de segurana para

internet. 2. ed. So Paulo: CGI.br, 2012. Disponvel em: <http://cartilha.cert.br/livro/cartilha
-seguranca-internet.pdf>. Acesso em: 29 dez. 2016.
COMIT GESTOR DA INTERNET NO BRASIL (CGI.br). Neutralidade da rede no

marco civil da Internet. [2016]. Disponvel em:
<http://marcocivil.cgi.br/contribution/neutralidade-da-rede-no-marco-civil-da-internet/139>.
Acesso em: 29 dez. 2016.
CONCERINO, Arthur Jos. Internet e segurana so compatveis? In: LUCCA, Newton de;
SIMO FILHO, Adalberto (Coord.). Direito & internet: aspectos jurdicos relevantes. 2. ed.
So Paulo: Quartier Latin, 2005. cap. 4.
ELLIOT, John. La investigacin-accin en educacin. Traduo de Pablo Manzano. 3. ed.

Madrid: Morata, 1997. Disponvel em: <http://goo.gl/vGU2wz>. Acesso em: 25 ago. 2016.
GONZAGA, Luiz. Noes bsicas de segurana da informao. Fortaleza, 2014. 126

slides.
[416]
GUELMAN, Luiz. Conscientizao de usurios: como envolver seu pblico com a

segurana da informao. In: MDULO SOLUTIONS FOR GRC. 08 ago. 2006. Disponvel
em: <http://www.modulo.com.br/comunidade/entrevistas/616-conscientizacao-de-usuarios-
como-envolver-seu-publico-com-a-seguranca-da-informacao>. Acesso em: 15 dez. 2014.
IGLESIAS, Mara Elinor Dulzaides; GMEZ, Ana Mara Molina. Anlisis documental y de
informacin: dos componentes de un mismo proceso. ACIMED, Ciudad de La Habana, v.
12, n. 2, p. 1-5, mar./abr. 2004. Disponvel em: <http://scielo.sld.cu/scielo.php?script
=sci_arttext&pid=S1024-94352004000200011&lng=es&nrm=iso>. Acesso em: 26 ago.
2016.
INTERNATIONAL FEDERATION OF LIBRARY ASSOCIATIONS AND

INSTITUTIONS (IFLA). UNITED NATION EDUCATION, SCIENTIFIC AND
CULTURAL ORGANIZATION (UNESCO). Diretrizes para o manifesto IFLA/UNESCO
sobre a internet. [Endossado pelo Conselho Diretor da IFLA em agosto de 2014 e atualizado
(traduo em lngua portuguesa) em novembro de 2014]. [Edinburgh], 2006. Disponvel em:
<http://www.ifla.org/files/assets/faife/publications/policy-documents/internet-manifesto-
guidelines-pt.pdf>. Acesso em: 26 nov. 2014.
JOO, Belmiro. Segurana em sistemas de informao. In: ______. Sistemas de

informao. So Paulo: Pearson, 2012. p. 58-70.
MANDARINO JNIOR, Raphael. Segurana e defesa do espao ciberntico brasileiro.

Recife: Cubzac, 2010.
NAZARENO, Claudio. Entendendo as polmicas e as mudanas trazidas pelo Marco Civil da

Internet. In: CMARA DOS DEPUTADOS. Centro de Documentao e Informao. Marco
Civil da internet. Braslia, DF: Edies Cmara, 2014. p. 9-27.
NUNAN, David. Research methods in language learning. Cambridge: Cambridge

University Press, 1997.
OLIVEIRA, Maria Marly de. Como fazer pesquisa qualitativa. Petrpolis: Vozes, 2007.
SOBRAL, Fbio. Segurana da Informao: como garantir a confiabilidade e a integridade?

Biblioo: cultura informacional, 5 mar. 2012. Disponvel em: <http://biblioo.info/seguranca-
da-informacao>. Acesso em: 10 fev. 2014.
REZENDE, Denis Alcides; ABREU, Aline Frana de. Tecnologia da informao aplicada
a sistemas de informao empresariais: o papel estratgico da informao e dos sistemas
de informao nas empresas. 3. ed. rev. e ampl. So Paulo: Atlas, 2003.
UNIVERSIDADE FEDERAL DO CEAR (UFC). Plano de Desenvolvimento

Institucional (PDI): 2013-2017. Fortaleza, 2012. p. 128, item 3. Disponvel em:
<http://www.ufc.br/images/_files/a_universidade/plano_desenvolvimento_institucional/pdi_u
fc_2013-2017.pdf>. Acesso em: 22 abr. 2016.
[417]
UNIVERSIDADE FEDERAL DO CEAR (UFC). Poltica de Segurana da Informao e

Comunicao POSIC. Fortaleza, 2013. Disponvel em: <http://www.sti.ufc.br/wp-
content/uploads/2016/08/politica-seguranca-informacao-ufc.pdf>. Acesso em: 22 abr. 2016.
UNIVERSIDADE FEDERAL DO CEAR (UFC). Biblioteca Universitria (Comisso de

Servios). Diretrizes para uso e manuteno dos computadores destinados aos usurios
do Sistema de Bibliotecas da Universidade Federal do Cear. Fortaleza, 2015a.
Disponvel em:
<http://www.biblioteca.ufc.br/images/arquivos/normativos/diretriz_uso_computadores_usuar
ios.pdf>. Acesso em: 20 abr. 2016.
UNIVERSIDADE FEDERAL DO CEAR(UFC). Biblioteca Universitria (Comisso de

Servios). Diretrizes para o acesso Internet sem fio (rede Wi-Fi) nas dependncias do
Sistema de Bibliotecas da Universidade Federal do Cear. Fortaleza, 2015b. Disponvel
em: <http://www.biblioteca.ufc.br/images/arquivos/normativos/diretriz_acesso_wifi.pdf>.
Acesso em: 20 abr. 2016.
VERGARA, Sylvia Constant. Projetos e relatrios de pesquisa em administrao. So

Paulo: Atlas, 2000.
VIEIRA, Tatiana Malta. Compilao de Legislao especfica relacionada segurana da

informao (atualizada at 14 de agosto de 2014). Revisor Josemar Andrade Fraga.
Braslia, DF: Departamento de Segurana da Informao e Comunicaes do Gabinete de
Segurana Institucional da Presidncia da Repblica (DSIC/GSI/PR), 2014. Disponvel em:
<http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm>. Acesso em: 20 dez. 2016.
WEB ANEXO TECHNOLOGY. Segurana da informao. Criado em 20 jul. 2011.

Disponvel em: <http://www.anexotechnology.com.br/projetos_seginfo.html>. Acesso em:
10 dez. 2014.
AGRADECIMENTOS
Os autores agradecem aos bibliotecrios: Ana Elizabeth Albuquerque Maia; Ericson

Bezerra Viana; Jos Jairo Viana de Sousa; Kalline Yasmin Soares Feitosa; Mara Roxanne de
Souza Santos e Vanessa Pimenta Rodrigues Simes. Agradecem ao Professor Edson Alencar
e Professora Elzenir Coelho pela reviso e traduo do artigo. Agradecem tambm s
diretoras das 14 bibliotecas da UFC, que gentilmente contriburam nas respostas ao formulrio
de pesquisa.
i
Conforme o panorama geral apresentado de forma concisa no quadro 1, foram inseridas as reas do conhecimento
contempladas pelo Sistema de Bibliotecas da UFC. A diviso por rea foi a mais prxima possvel aos cursos
presentes nos campi a que as bibliotecas atendem; por isso, poder haver mais de uma rea do conhecimento
especificada para cada grupo de bibliotecas. Para maior detalhamento das condies encontradas em cada
biblioteca, h um quadro mais completo que pode ser consultado nos documentos suplementares deste artigo.
[418]
[419]

Segurança Da Informação em Bibliotecas Universitárias: A Atuação Do Bibliotecário No Planejamento e Na Implantação de Novas Políticas Institucionais

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Segurança Da Informação em Bibliotecas Universitárias: A Atuação Do Bibliotecário No Planejamento e Na Implantação de Novas Políticas Institucionais

Uploaded by

Copyright:

Available Formats

ARTIGO

RDBCI: Revista Digital Biblioteconomia e Cincia da Informao 10.20396/rdbci.v0i0.8646416

SEGURANA DA INFORMAO EM BIBLIOTECAS

SEGURIDAD DE LA INFORMACIN EN BIBLIOTECAS DE UNIVERSIDAD: LA

Submetido em: 31-08-2016

JITA: LH. Computer and network security.

PALAVRAS-CHAVE: Segurana da informao. Biblioteca universitria. Polticas de segurana.

KEYWORDS: Information security. Academic libraries. Security policies.

PALABRAS LLAVE: Seguridad de la informacin. Bibliotecas acadmicas. Polticas de seguridad.

Satisfazer as necessidades informacionais de cada usurio, individualmente,

A fim de destacar o cenrio supracitado, concorda-se que:

A chave para a compreenso dos problemas que existem na segurana dos

Nesse contexto, pretende-se levar adiante uma discusso acerca da segurana da

Trazendo essa discusso para a rea biblioteconmica, a International Federation of

Cultural Organization (UNESCO) elaboraram, em 2006, as Diretrizes para o Manifesto sobre

Nesse sentido, o desenvolvimento deste estudo se fez necessrio objetivando no apenas

2 PRINCIPAIS CONCEITOS E A IMPORTNCIA DA SEGURANA DA

Visando a proposta de insero do bibliotecrio como profissional atuante no

No contexto da segurana da informao, a informao um ativo essencial do ponto de

Na sociedade da informao, ao mesmo tempo em que as informaes so

FIGURA 1. Papel estratgico da informao

Fonte: Elaborado pelos autores, baseado em Rezende e Abreu (2003).

A partir da compreenso desses nveis de gesto e de responsabilidades, e para que se

[...] proteo dos sistemas de informao contra a negao de servio a usurios

E justamente nesse cenrio que a segurana da informao se faz mais do que

Repblica, sendo que os trabalhos so coordenados pelo GSIPR, na condio de Secretaria-

2.1 Princpios e Poltica de Segurana da Informao

Um dos conceitos mais completos sobre segurana da informao apresentado por

Conforme Concerino (2005, p. 155), a segurana da informao possui trs pilares

a) Confidencialidade: refere-se ao sigilo de informaes. Busca assegurar que a informao

informao, bem como os seus mtodos de processamento. A perda da integridade se d

Na literatura da rea, h mais princpios relacionados segurana da informao, porm,

A partir dessa classificao, tm-se os documentos sigilosos, compostos por dados ou

A cartilha de segurana da informao, elaborada pelo Superior Tribunal de Justia

Complementando a recomendao da cartilha, luz de Bishop (c2005), o autor esclarece

[...] a Internet fornece apenas mecanismos de segurana mais rudimentares, que no

fornece uma descrio axiomtica de estados seguros e estados no seguros.

Poltica de segurana de informaes um conjunto de princpios que norteiam a

Definio 1-1. Uma poltica de segurana uma declarao do que e do que no

Sobre os mecanismos de segurana da informao, destacam-se os controles fsicos, os

A cartilha de segurana para Internet do Comit Gestor da Internet no Brasil (CGI.br)

A segurana da informao no somente TI, pois envolve legislao, normas tcnicas,

A gesto da segurana da informao e a sua implantao nas organizaes devem ser

2.2 Pragas Virtuais

Conforme o apresentado na seo anterior, a segurana da informao tambm uma

Certamente, tomando como base a prxis profissional ou o uso pessoal dos

Conceituando worms (vermes, em ingls), Joo (2012, p. 62) afirma que

[...] consistem em programas de computador independentes, que se copiam de um

2.3 Atuao do Bibliotecrio diante da Segurana da Informao

Acerca das competncias e da atuao profissional do bibliotecrio no contexto da

De acordo com a Classificao Brasileira de Ocupaes CBO o Bibliotecrio

Nesse sentido, independente da natureza e do pblico a que uma determinada biblioteca

Concernente segurana da informao, os gestores das instituies precisam estar

As polticas de segurana devem ter implementao realista, e definir claramente as

recomendvel que na estrutura da organizao exista uma rea responsvel pela

dirigente da organizao. (BRASIL. TRIBUNAL DE CONTAS DA UNIO, 2012,

O bibliotecrio deve enfrentar, ainda, outro desafio relacionado questo da segurana

[A declarao enfatiza] uma sociedade centrada nas pessoas, inclusiva e orientada ao

A tecnologia muda; as concepes do que so assuntos importantes mudam; e

As Diretrizes da IFLA/UNESCO (2006, p. 15) tambm afirmam: Ainda que a filtragem

[...] torna os usurios da Internet na biblioteca conscientes do que o uso aceitvel

Portanto, as BUs precisam e devem elaborar documentos que visem ao estabelecimento

O estudo realizado utiliza-se da pesquisa-ao como metodologia norteadora para a