1. SUMÁRIO
2. DESENVOLVIMENTO
NOME – Gestão da Segurança da Informação
ORIGEM
PROBLEMA
DADOS DISPONÍVEIS
a. Histórico
1) A Secretaria de Tecnologia da Informação (STI) realizou em 2001 um diagnóstico da situação do Exército, causando impacto sobre a segurança da informação (SI), particularmente no CDS e CIGE (ANEXO A).Em suma, é premente o crescimento da estrutura de segurança da informação na Secretaria, a fim de que a aplicação não esteja apoiada apenas em um pilar, ou seja, a criptologia. É importante que esse Órgão técnico-normativo esteja em sintonia com a realidade atual das grandes organizações que fazem uso da segurança da informação, sob pena de incorrer no risco de ter parte de seu cabedal informacional exposto a violações de segurança. (Gen Albuquerque, Secretário de TI-2001).
2) Em 2003 (ANEXO B) dois relatórios do 2º Subchefe do EME notificaram ao MD o seguinte:
Como conclusão, julga-se, salvo melhor juízo, como imprescindível a adoção de medidas para a viabilização de trabalhos conjuntos entre as Forças, que levem à conjunção de esforços, à redução de dependência externa e a uma maior interoperabilidade entre os sistemas de informação de interesse da Defesa.
3) Em 2004 (ANEXO C) a Secretaria de Ciência e Tecnologia (SCT) sugeria a estruturação de uma “força” que fizesse frente à Guerra Cibernética em virtude das vulnerabilidades dos sistemas de informação.
4) Agências de governo como o Instituto Brasileiro de Governança Corporativa (IBGC), apesar de criado em 1995, encontrava resistência na alta administração das corporações, apesar da globalização, desregulamentação e privatização em curso (ANEXO D).
Apesar do aprofundamento dos debates sobre governança e da crescente pressão para a adoção das boas práticas de governança corporativa, o Brasil ainda se caracteriza pela alta concentração do controle acionário, pela baixa efetividade dos conselhos de administração e pela alta sobreposição entre propriedade e gestão.
6) O Comitê Executivo da Câmara de Relações Exteriores e Defesa Nacional (CREDEN) iria debater em 2005 o tema de SI, o que permitiu assessoramento do DCT ao EME (ANEXO F), mas teve a apresentação ao Cmt Exército cancelada.
7) A atuação da SLTI (Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento) na área de segurança da informação contempla a elaboração de diretrizes, normas e a supervisão técnica no âmbito da Administração Federal, além da participação ativa em todas as atividades relacionadas com segurança da informação em curso no Governo (ANEXO G).
8) Ainda em 2005 o TCU verificou a falta de segurança da informação, dentre outros problemas, nas rotinas do Sistema Nacional de Integração de Informações em Justiça e Segurança Pública - Infoseg/SENASP, emitiu relatório de auditoria (ANEXO H).
O TCU constatou graves impropriedades no sistema, sobretudo no que concerne à sua gestão, tais como: insuficiência de regulamentação, inconsistências entre as bases de dados criminais das unidades da Federação e o Índice Nacional (IN), que, além de desacreditar a confiabilidade do sistema, podem provocar consequências sérias como a prisão indevida de um cidadão ou a não prisão de um criminoso.
9) Em 2007 o TCU realizou pesquisa, por meio da Secretaria de Fiscalização de Tecnologia da Informação (SEFTI), impondo ao Exército a obrigatoriedade de informar por questionário eletrônico a existência e a legislação normativa da Força relativa à TI (ANEXO I).
12) O Exército fez-se representar no I Seminário de Seguridad Industrial Brasi-Espanha em Março de 2007, onde se pôde observar que a proteção do conhecimento é paradigma para civis e militares daquela nação amiga (ANEXO L).
13) O TCU busca manter-se atualizado nos assuntos de TI, tendo realizado em dezembro de 2007 um “Fórum de 30 anos de TI” (ANEXO M).
14) O Departamento de Ciência e Tecnologia (DCT) rompeu a inércia com relação a Guerra da Informação, tendo realizado o 1º Seminário de Guerra Cibernética em setembro de 2007 (ANEXO N).
15) A Administração Pública Federal ao desenvolver seu programa de Governo Eletrônico visando os desafios do administrador público na melhoria dos serviços e do atendimento à população considerou que:
a) o uso das Tecnologias da Informação e a infraestrutura de comunicações são hoje fatores essenciais para reformar processos internos das instituições públicas e aprimorar o seu relacionamento com a sociedade;
b) a otimização dos recursos, universalidade de serviços, transparência de ações e melhoria da gestão pública sedimenta o conceito e a abrangência do processo que significa e-Government;
c) tradicionalmente, as oportunidades criadas pelos programas de e-Gov são pautadas em definições de infraestrutura tecnológica e, vias de regra, promovem mais os negócios do setor de Tecnologia da Informação e Comunicações – TIC, do que a definição de soluções, que efetivamente enderecem sólidas questões sociais, ou a própria racionalização da máquina pública;
d) os desembolsos realizados são imensos, porém, boa parte da população continua excluída de qualquer benefício operacional de todos estes projetos, programas e ações governamentais de inclusão digital; e
e) o fator de sucesso de qualquer projeto, seja político ou tecnológico, é o de integrar, racionalizar recursos e beneficiar pessoas.(itálico nosso).
Fig. 1 – Incidentes de Redes Reportados Fonte: cert.br/stats/incidentes/
As tentativas de fraude na internet brasileira cresceram 96% no segundo trimestre de 2008, de acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br). Segundo o Cert.br, o índice foi impactado por um aumento nas notificações de casos de violação de direitos autorais por meio da distribuição de arquivos protegidos em redes P2P (processo de sigilo do conteúdo que usa chaves públicas para conversação ponto a ponto; criptografia, Wiki).
Dentre as tentativas de fraude, o Cert.br registrou um aumento de 37% nas notificações de cavalos-de-tróia em relação ao primeiro trimestre. As tentativas de phishing por meio de sites falsos de internet banking mantiveram-se estáveis em relação ao trimestre anterior, porém, apresentaram crescimento de 85% em relação ao segundo trimestre de 2007.
Já os ataques a servidores web aumentaram 26% em relação aos três primeiros meses do ano, e 216% em comparação ao mesmo período de 2007. As notificações sobre máquinas comprometidas subiram 293% em relação ao trimestre passado e 535% em relação ao mesmo período de 2007. A grande maioria dos casos notificados envolveu a desfiguração de sites (defacements), segundo o Cert.br. Foi registrado ainda um aumento nas notificações de varreduras de 35% em relação ao trimestre anterior e de 16% em relação ao mesmo período de 2007.
As estatísticas são medidas com base em dados relatados espontaneamente por administradores de rede e usuários. Ao todo, o Cert.br atingiu a marca de 44.461 relatórios de incidentes no último trimestre. (Gestão Operacional da Segurança da Informação. Gilberto Netto, Marcos Allemand e Pedro Freire).
- Os cabos submarinos interligam países e continentes em todo o mundo e permitem que as pessoas se comuniquem por telefone e internet, assistam televisão ou que as empresas transmitam dados.
- Atualmente, a maior parte desses cabos são dotados de fibras ópticas, que recebem uma proteção bastante reforçada para trabalhar sob o mar. E, para reduzir o risco de acidentes, os cabos são identificados em cartas náuticas e ficam localizados em áreas de proteção. Nessas regiões, atividades que podem danificar o sistema, como a pesca, são proibidas.
- Segundo o International Cable Protection Committee (algo como Comitê Internacional para Proteção de Cabos), atualmente os cabos submarinos carregam 95% das informações de voz e dados transmitidas internacionalmente, enquanto os satélites carregam 5% (ANEXO O).
O ministério de Telecomunicações do Egito pediu nesta quinta-feira (31) que os internautas do país parem de fazer downloads de filmes e arquivos MP3, como forma de dar prioridade ao uso da rede para negócios. O pedido ocorre após um rompimento de cabos submarinos deixar parte do Oriente Médio, da Índia e do Egito sem internet.Dois cabos submarinos localizados no mar Mediterrâneo se romperam, deixando milhares de pessoas com dificuldades de acesso à internet nessas regiões. O problema afetou 70% do serviço de internet no Egito e 60% na Índia. Também foram registrados problemas nos Emirados Árabes Unidos, na Arábia Saudita e no Kuait. (Folha Online de 31 Jan 08). http://www1.folha.uol.com.br/folha/informatica/ult124u368630.shtml
a) Compreender a importância estratégica da governança e do alinhamento com os objetivos da organização; (ANEXO P)
b) Conhecer as diferentes metodologias e ferramentas que podem ser implementadas na área de TI;
c) Entender os indicadores de desempenho, as métricas e os riscos;
d) Entender como garantir a continuidade dos negócios pelo gerenciamento de serviços de TI, de projetos e de processos de software; e
e) Desvendar as competências conversacionais embutidas na natureza dos processos de gestão dos relacionamentos nas organizações. (grifo/itálico nosso). (ANEXO Q). As empresas e organizações de modo geral, são redes dinâmicas de conversações. Executivos, professores e coordenadores... que não se comunicam com efetividade põem em risco os resultados de sua atuação.(Fernando Flores -1997, em LUCENA e MORALES, 2004)
b. Desafios para todos envolvidos com TI
1) Aproveitar a capacidade da TI de impulsionar e transformar as práticas de negócios;
2) Garantir o retorno dos investimentos em TI, por meio do equilíbrio entre o valor da informação e os custos de TI;
3) Gerenciar os riscos gerados pela dependência de elementos fora do controle direto da Força;
4) Gerenciar o impacto da TI sobre a continuidade de negócios, causado pela dependência da informação; e
5) Evitar as falhas de TI, que cada vez mais prejudicam o valor e a reputação das instituições. (IT Governance Institute, 2003.) -palestra Governança de TI do TCU-Gledson Pompeu Corrêa da Costa.
c. Responsabilidades dos gerentes
1) Integrar estratégias, políticas e metas da Instituição aos processos de TI;
2) Prover estruturas organizacionais que suportem a implementação da estratégia de TI (comitês envolvendo TI e áreas de negócio);
3)Definir responsabilidades pelo gerenciamento de riscos;
4) Desenvolver competências gerenciais em TI;
5) Coletar métricas de processo e de resultados da TI;
6) Focar as competências essenciais do negócio que devem ser suportadas pela TI;
7) Focar os processos que aumentam o valor agregado ao negócio: - gerenciamento de portfólio, mudanças, incidentes e problemas;
8) Focar a otimização dos custos de TI; e
9) Desenvolver estratégias claras para contratação em TI. (IT Governance Institute, 2003.)
d. Responsabilidade dos chefes
1) Assegurar o alinhamento entre a estratégia de TI e a estratégia de negócios;
2) Direcionar a execução da estratégia de TI: - decisões sobre priorização de investimentos e alocação de recursos;
3) Assegurar o cumprimento da estratégia de TI: - diretrizes claras, indicadores e metas objetivos; e
4) Promover cultura de colaboração entre as áreas de negócios e a área de TI.
(IT Governance Institute, 2003.)
e. O aumento do peso de importância da TI dentro da Força trouxe vários desafios, dentre os quais:
1) Alinhamento dos serviços de TI com as necessidades atuais e futuras do Exército: os encarregados da TI precisam entender do negócio, das operações militares, para a TI impulsionar o plano estratégico da Força Terrestre. As decisões de investimentos de TI devem levar em conta os objetivos da instituição, a longo prazo. Os esforços nos investimentos em tecnologia devem ser orientados a trazer resultados para o aumento do nível de operacionalidade da Força Terrestre (eficiência operacional) e, da Força Componente, quando participar das Operações Combinadas.
2) Ambientes de TI cada vez mais complexos: o número de tecnologias agregadas aos produtos e de fornecedores que as produzem aumentou, fazendo com que a ação do gestor de TI se tornasse ainda mais complexa. Em muitas instituições a área de TI passou por terceirizações, preocupando-se em gerir contratos, entender as demandas das Armas, Quadro e Serviços e particularidades dos combatentes das diversas especialidades, e passou, também, a estreitar o relacionamento com os fornecedores da logística militar. As Hipóteses de Emprego abrangem extensas áreas do território nacional distantes, muitas vezes, dos centros de poder e do Comando de Operações Terrestres (COTER), do Comando Combinado, e da Força Terrestre Componente aumentando a dificuldade para a área de TI prover adequado suporte ao TOT e à ZI.
3) Dependência da TI para condução das Operações: a dependência tão grande sobre os serviços de TI fez com que o comando da FTer desse maior atenção ao C², ao ponto de, caso os serviços de TI parassem, todas as operações de combate durante o adestramento, também seriam suspensas. Os serviços de TI devem buscar arranjos, fórmulas para manter sua disponibilidade máxima com o melhor custo, trazendo a menor interrupção possível do comando e controle, nas contingências.
4) Redução de custos e riscos: devido a grande dependência da TI para a defesa da Pátria e também os altos investimentos feitos nos projetos, o EME tem buscado minimizar os custos através de uma melhor gestão (Sistema de Excelência do EB), tratando também os riscos relacionados a novas mudanças. Além disso, a cada ano que passa os orçamentos estão cada vez mais apertados sendo preciso buscar formas para reduzir custos e aumentar os benefícios dos investimentos realizados.
5) Justificativa para “retorno” sobre os investimentos em TI: os investimentos em TI devem catapultar o desempenho de cada Sistema Operacional, através de melhorias nos processos operacionais/administrativos, e agregar valor para o C² do COTER, proporcionando a superioridade em informações para a tomada da decisão mais precisa e oportuna.
6) Conformidade com leis e regulamentos: considerando que o Brasil é signatário de atos internacionais multilaterais relacionados à segurança e à defesa, e que esses atos trazem restrições ao uso de tecnologias sensíveis, aí inclusa a TI, há necessidade de uma adequação dos diversos sistemas e processos importados, para atender aos requisitos impostos nestes acordos, sem abrir mão do conhecimento dos algoritmos de segurança e outros segredos industriais ou de estado, neles incorporados.
7) Manter a segurança sobre as Informações: a necessidade de se disponibilizar informação em diversos Centros de C² no país fez com que os sistemas e bancos de dados fossem expostos a vulnerabilidade de ataques de hacker e vírus. A segurança é um ponto de grande relevância para os gestores de TI do Sistema de Comando e Controle da Força Terrestre (SC²FTer), pois as informações representam a manutenção de vidas no Teatro de Operações, e o COTER, para efeito de dissuasão, não pode correr o risco de ter seus planos operacionais revelados.
a) Há dificuldade do pessoal militar em conseguir assimilar novas metodologias de gestão e processos de diagnósticos, quando estes são simplesmente importados do meio acadêmico ou empresarial, verifica-se que há necessidade de adaptá-los à cultura militar, que possui modelos mentais e linguajar próprios, para que tais metodologias sejam bem-aceitas e obtenham sucesso semelhante aos dos modelos que as consagraram.
b) Pode-se modificar a regulamentação de TI da Força, padronizando seu uso em todos sistemas de primeira ordem, por meio do Projeto Sistema Integrado de Gestão (SIG), sob a responsabilidade do EME, de forma a explicitar o papel da TI, desde o mais alto nível, obtendo da Assessoria Especial do Gab Cmt, inicialmente, as direções solicitadas no Quadro 1.
c) A partir destas informações, pode-se atualizar a Diretriz Estratégica de Ciência e Tecnologia (de 2002) considerando a possibilidade de se criar uma “ação estratégica de curto prazo” no Plano Estratégico do EME, explicitando a governança de TI, e que se atualize o Plano Básico de Ciência e Tecnologia (2007-2010), devendo haver coerência destes para a Diretriz Estratégica de Comando e Controle, que vai englobar os assuntos de TI, Comunicações e Guerra Eletrônica a fim de assegurar eficiente gestão da Informação no âmbito da Instituição.
f. Recomendou o Cmt EB
5. APRECIAÇÃO
“Aquela desculpa de 'recursos não contabilizados' parece estar fazendo escola também no exterior. Uma análise mais detalhada das guerras americanas entre 2001 e 2007 indicou que as despesas ultrapassaram todos os números revelados pelas autoridades, chegando a US$ 1,5 trilhão quando se computam os gastos com as operações militares e vários dispêndios ocultos, como o tratamento dos soldados feridos, as indenizações de vários tipos, os juros sobre créditos solicitados para apoiar as guerras e outros.” (ANTÔNIO ERMÍRIO DE MORAES - O lamentável custo das guerras, Folha de São Paulo-13 Jan 08).
O EME, órgão representante do Exército junto ao MPOG para essa finalidade, vem envidando esforços a fim de atender às solicitações do referido Ministério e já implantou os dados cadastrais das OM do EB no SIORG.
a. Considerando que, atualmente, as decisões sobre os investimentos em TI são tratadas pelas empresas nas reuniões de planejamento estratégico do conselho administrativo, o que corresponderia no Exército, às reuniões do Conselho Superior de Economia e Finanças - CONSEF nas quais se submete ao Cmt EB as propostas do Sistema de Planejamento Administrativo do Exército - SIPAEx, constantes dos Livros do Plano Diretor do Exército - PDE, e que não é mais possível deixar a TI ser responsabilidade, isoladamente, do Departamento de Ciência e Tecnologia (DCT) e suas OMDS;
Sugere-se que a TI deixe de ser assunto de técnicos e passe a ser incorporada na estratégia da Força, para cooperar eficazmente na busca e manutenção de seus objetivos.
b. Considerando que o anterior Programa de Excelência Gerencial (PEG) capacitou grande número de oficiais e graduados, cujos resultados estão sendo amadurecidos paulatinamente, e que o Sistema de Excelência (SE-EB), no prosseguimento e com novo enfoque de quatro projetos (SEG, SMD-BSC, PGP e SIG), vem substituindo o PEG no processo de modernização da gestão do Exército;
Sugere-se inserir os conceitos de “governança de TI” no EME, aproveitando a janela de oportunidade que se apresenta com a atualização do sistema de planejamento do EB (SIPLEX) e a implementação do SE-EB, para consolidar um modelo cuja base se encontra apoiada na gestão de TI (exercida pelo DCT) e cujos pilares são os processos mapeados pelo Projeto Gestão por Processos (PGP), os projetos gerenciados pelo Escritório de Projetos do EME, os diversos serviços (prestados pelos ODG/ODS/OADI e suas OM subordinadas), o SIPAEX/SIGA para acompanhamento das contratações, o SGE/BSC auxiliando o planejamento do SIPLEX, a qualidade como exigência da Gespública (Programa de Qualidade do Ministério do Planejamento, Orçamento e Gestão) em todos os níveis e a segurança da informação, como uma PRIORIDADE vital para a elevação da eficiência operacional da Força Terrestre e para enfrentamento às ameaças cibernéticas.
c. Considerando que a Marinha do Brasil reformulou a governança de TI com a criação do COTIM – Conselho de Tecnologia da Informação na Marinha, assessorado pelo COTEC – Comitê Técnico; que a Força Aérea criou o Sistema de TI do COMAER; e que há um Grupo de Trabalho (sobre TI) no EME que propõe a criação de um Conselho Superior de Tecnologia da Informação e de Comunicações (CONSTIC) para participar da assessoria ao Alto Comando do Exército, a semelhança do CONSEF, e no mesmo nível. E, considerando que a literatura especializada enumera os seguintes componentes da governança (Palestra Governança de TI do TCU-Gledson Pompeu Corrêa da Costa):
Estrutura: Quem toma as decisões? Quais estruturas organizacionais estão envolvidas, quem participa e quais são suas responsabilidades?Processos: Como as decisões de investimento são tomadas? Quais são os processos para proposta, aprovação e priorização dos investimentos em TI?Comunicação: Como as decisões são comunicadas? Como os resultados das investimentos em TI são monitorados, medidos e comunicados? (Forrester Research, 2005).
Sugere-se que a Governança de TI seja atribuída a esse Órgão, o CONSTIC, de forma a permanecer a Gestão de TI ao encargo do DCT (e suas OMDS), como tem sido desde a criação daquele Departamento, propiciando assessoria adequada para mobiliarem-se os componentes da governança supramencionados.
d. Considerando a inexistência de marco legal para operacionalizar a Governança de TI na Força e considerando a estrutura organizacional do Exército como sendo federativa (segundo a proposta no SIPLEx), mas com a tendência para uma estrutura baseada em projetos, no SE-EB, extraiu-se de Forrester Research, 2005, no intuito de identificarem-se os desafios a enfrentar:
1) características da estrutura federativa :
Organização híbrida, com parte das responsabilidades por TI centralizadas e parte alocada às áreas de negócio;
Combina otimização de custos compartilhados com flexibilidade no atendimento de necessidades pontuais;
Infraestrutura básica e aplicações corporativas tipicamente centralizadas, com possível repasse de custos;
Independência das áreas de negócio para o desenvolvimento de soluções locais, com equipes próprias;
Demanda esforços significativos para manter aderência das soluções locais aos padrões da arquitetura corporativa;
Desafio: encontrar o ponto de equilíbrio entre padronização (ganhos de escala) e independência (flexibilidade).
2) características da estrutura baseada em projetos :
Variante recente da estrutura centralizada, baseada no modelo de operação das empresas de consultoria;
Equipes de desenvolvimento reestruturadas como centros de competências, cuja função é prover recursos para os projetos;
Função dos gerentes de TI é otimizar o uso dos recursos e garantir que as necessidades dos projetos sejam atendidas;
Sucesso do modelo depende fortemente de mecanismos de governança adequados para seleção e gestão de projetos;
Desafio: estabelecimento de critérios e processos eficazes para avaliação e priorização de projetos.
Sugere-se criar o CONSTIC por meio de Portaria do Comandante e determinar ao EME sugerir Regulamento para este Conselho, contendo atribuições explícitas dos Órgãos componentes, de forma a aproveitar os modernos mecanismos de gestão. Uma vez que a priorização dos projetos já deve constar do Livro de Prioridades do PDE, o CONSTIC vai proporcionar ao comando o assessoramento mais adequado para este opinar sobre o ponto de equilíbrio entre a padronização e a independência dos aplicativos de TI, tanto da atividade-fim, quanto da infraestrutura tecnológica. Isso se constituirá no marco legal da governança de TI do EB.
e. Considerando... Sugere-se...
[...] omitidos para não ser cansativo os parágrafos e. até aj.
ak. Considerando a participação do EME no Campus Party-SP/2008 concluí que:
A difusão do emprego de softwares como o Flickr pode dificultar a ocultação de tropas no TO e passar pela Internet, on line e em tempo real, a localização exata dos PC e das posições de tiro, de blindados, de snipers, etc. O Flickr recebe quatro mil arquivos de fotos por minuto, de todo mundo, com a posição georreferenciadas, tornando-se o meio de inteligência de imagens mais perigoso e difícil de limitar em um Teatro de Operações. O CIE deve averiguar esta assertiva e o DCT estudar contramedidas tecnológicas que sejam eficazes, e impreterivelmente legais. Veja-se o quadro abaixo:
“O Flickr é certamente o melhor aplicativo online de compartilhamento e gerenciamento de fotos do mundo. É uma maneira de levar suas fotos às pessoas que importam para você. E como as contas básicas são gratuitas, não há por que não explorar ainda mais...Faça o upload a partir da sua área de trabalho, envie por e-mail ou use seu telefone com câmera. Use coleções, álbuns e tags (palavra-chave -relevante, ou termo associado com uma informação) para organizar suas fotos. Use grupos e controles de privacidade para compartilhar suas fotos. Compartilhe onde suas fotos foram tiradas e veja as fotos tiradas perto de você. Cartões atraentes, livros de fotos, impressões enquadradas, retirada no destino, DVDs, etc. Obtenha updates de família e amigos.” Site: http://www.flickr.com/tour/
O emprego dos simuladores reconfiguráveis para aviação civil pode manter o treinamento dos pilotos que passarem à reserva, mas também pode treinar terroristas com um nível de detalhamento jamais imaginado, possibilitando elevado grau de sucesso em ataques semelhantes aos de 11 Set 2001. Há redes de aficionados que participam de brincadeiras on line simulando o tráfego e as conversas com as torres, usando a fraseologia, as rotas de voo e rampas de pouso idênticas às reais, pois são fruto da gravação de tráfego real que alimenta os cenários dos jogos (IVAO). Há que se cadastrar os pilotos brevetados “virtualmente” e manter-se atualizado um banco de dados destes elementos, para uso da Diretoria do Serviço Militar - DSM e órgãos de Segurança Pública (além do CIE, sfc).
A propulsão híbrida de foguetes usados nos experimentos da astronomia permitiu visualizar-se o aumento no alcance do Sistema ASTROS, caso se empregue o combustível parafina associado ao gás hilariante, e ainda, a possibilidade de transformar o foguete em míssil guiado por comparação do terreno, graças ao aumento expressivo da velocidade de processamento dos chips e da capacidade de memória dos microprocessadores. O DCT deve ser estimulado pela 4ª SCh EME a estabelecer contato com o fornecedor de MEM (AVIBRÁS) para propor atualização do Sistema ASTROS.
Os Telecentros e o Software-Livre: Srª RDLopes, professora doutora da Poli-USP, mostrou os resultados bastante positivos das primeiras experiências de laptops de baixo custo em cinco escolas brasileiras. Para ela, o grande desafio agora é o desenvolvimento de softwares educativos para essas plataformas. Este conhecimento pode proporcionar grande economia de recursos de informática nas redes internas das OM, aumentar a segurança orgânica por meio da gestão eletrônica de documentos (GED) e aumentar a inclusão digital dos recrutas.
Deve-se considerar, também, o Plano de migração de SW livre do DCT, onde se sugere estudar as recomendações para implementação (no EME) das ferramentas de escritório BR Office, do Sistema de Protocolo Eletrônico de Documentos (SPED), substituindo o Lotus Notes, inicialmente, em uma Seção-piloto por Subchefia, e progressivamente, até atingir todas Secretarias do Gabinete, e ainda, de implantar o sistema operacional LINUX nos servidores.
Os Hospitais Militares e o Software-Livre: o InVesalius é um software público e livre que busca revolucionar os procedimentos cirúrgicos em hospitais brasileiros. A Srª TPMartins trabalha no desenvolvimento deste software no Centro de Pesquisas Renato Archer (CenPRA), desde 2004, e falou das vantagens que o programa dá ao cirurgião, permitindo-lhe criar modelos virtuais tridimensionais de estruturas anatômicas, que dão uma visão mais clara da situação clínica do paciente.
A Simulação e a Robótica vêm fornecendo instrumentos para melhoria dos simuladores ora existentes no CIAvEx e CIBld, conforme se verificou no Campus Party CP-2008, cumprindo o previsto na Diretriz Estratégica de Ciência e Tecnologia, aprovada pela Port n° 741, de 13 Dez 02:
“Executar e incentivar a P&D de sistemas de simulação, de modo a possibilitar o adestramento e a qualificação de pessoal com economia de recursos, evitando desgaste dos MEM.”
A Segurança da Informação será obtida por meio de novos firewalls (é uma ferramenta de configuração para implementar um barreiras, através de entradas em um conjunto de arquivos de configuração) e honeypots [um sistema utilizado para atrair um intruso (mal intencionado, é claro) para um ambiente (como um site, p.ex.) onde há informações falsas] de domínio público, considerando a necessidade de serem modernizadas as medidas referentes à segurança das comunicações, nas quais espera-se que o MD padronize as linguagens e protocolos de troca de informações, sob orientação de elementos da ABIN, deixando a critério da FTer a adequação dos sistemas legados.
Considerando a necessidade explicitada na Política Militar Terrestre - PMT de conscientizar a sociedade da importância da defesa da Pátria e da manutenção da eficácia da Força Terrestre, sugere-se aproveitar eventos do tipo Campus Party para fazer ações de Comunicação Social bem estruturadas e com a oportuna descentralização dos recursos.
Sugere-se, ainda ao DCT, se julgado conveniente e oportuno, tomar as seguintes providências:
- estudar contramedidas para fazer frente ao Flickr e a ameaça que ele representa ao sigilo das operações militares;
- apoiar o EME na execução do Plano de Migração de SW-Livre (3ª Ed.);
- realizar contato com CenPRA, por meio da Sra VCG, diretora de relações externas, para compartilhar o software hospitalar para apoio à DSau;
- realizar a adequação aos sistemas legados, caso o MD padronize as linguagens e protocolos de troca de informações para as Forças;
- formalizar o apoio ao COTER na unificação da interface do SACI com C2 Cmb;
- apoiar os Centros de Instrução que desenvolverem com recursos materiais e de pessoal próprios projetos de simulação, realizando a documentação dos mesmos e sugerindo o uso de produtos já desenvolvidos pelo CDS/CTEx, como forma de padronizar e divulgar a criação científica na FTer;
- reconhecer o papel desempenhado pelo Cel R/1 Gil, identificado fora da Força como o gerente de software-livre do Exército;
- participar do Portal de software público brasileiro, a fim de manter o Exército atualizado;
- estreitar relações com o Sr MVFMazoni, diretor-presidente do SERPRO, que teceu, em público, efusivos elogios ao Exército pelo desenvolvimento do “Direto” (software livre) no CMS e pelo apoio do 1º CTA à seccional daquele órgão no RS;
- apoiar o DLog com estudo de viabilidade técnica de propulsão híbrida de foguetes para, com aval do EME (4ª SCh), despertar o interesse da AVIBRÁS na modernização do MEM; e
- aproveitar eventos do tipo Campus Party para empreender ações de Comunicação Social, mostrando suas próprias inovações tecnológicas, a fim de conscientizar a sociedade da importância da defesa da Pátria e da manutenção da eficácia da Força Terrestre.
al. Considerando o fato de os auditores do TCU poderem usar o método CobiT® nas auditorias, mesmo sem a instituição adotá-lo previamente, sugere certa possibilidade de o EB incorrer em erros similares aos apontados no Infoseg (ANEXO H), constituindo-se em vulnerabilidade que poderia comprometer a confiança e a boa imagem da Força junto ao público externo.
am. O Exército tem contribuído sobremaneira para a afirmação do Estado na Amazônia. Considerando, no entanto, que o ritmo de suas ações estratégicas têm sido limitado pela liberação dos recursos orçamentários, cuja insuficiência provoca constantes reajustes nos cronogramas, sugere-se que os projetos relativos à implantação de Pelotões Especiais de Fronteira e da 2ª Brigada de Infantaria de Selva possam contar com recursos suficientes do Programa Calha Norte.
an. Para proteger o sistema Exército Brasileiro de ameaças e ações adversas, a contra inteligência opera, principalmente, na área de pessoal, instalações, material e documentação. Considerando que as medidas de segurança orgânica são estabelecidas nos planos de segurança orgânica das diversas organizações militares, com o escopo de impedir o aliciamento de militares por organizações criminosas, o roubo de armamento e munição, o extravio de documentação sigilosa e o vazamento de informações, sugere-se aprimorar continuamente a aplicação das medidas de segurança orgânica nas organizações militares da Instituição.
ao. Considerando a dificuldade de antecipar-se à veiculação de matérias lesivas ao Exército Brasileiro por parte da mídia, sugere-se agir prontamente junto a ela para anular ou reduzir os efeitos da matéria veiculada (controle de danos).
ap. Considerando que a estrutura militar no teatro de operações tem sido experimentada em exercícios combinados realizados por iniciativa do Ministério da Defesa, onde o planejamento do emprego da Força Terrestre deve ser visualizado com emprego de meios das outras duas Forças, sugere-se pensar na interoperabilidade dos sistemas de C², o que exige perfeito enquadramento da Força Terrestre nos parâmetros governamentais de segurança da informação (e-Ping).
Sugere-se que o COTER realize o gerenciamento das chaves criptográficas da FTer Componente, segundo a estrita orientação do MD, e sugere-se que o DCT repasse para a Força as especificações do e-Ping.
aq. Considerando que o Sistema de Material do Exército (SIMATEx), ferramenta que irá melhorar o gerenciamento de estoques e de patrimônio no Exército, encontra dificuldades para ser implantado em sua totalidade, sugere-se mudar para o enfoque gerencial (para a tomada de decisões), uma vez que o enfoque contábil e patrimonial atual é apontado como uma das causas dessas dificuldades.
ar. A segurança pública encontra-se presente na agenda da sociedade brasileira e o TCU, de maneira semelhante ao que realizou na Infoseg da SENASP, pode ver oportunidade de investigar profundamente, na forma de auditoria, a adequação do emprego dos recursos em Tecnologia da Informação, particularmente, do sistema de inteligência do Exército, sobre o qual estaria aplicando os modelos e padrões explorados no presente documento, exigindo dos comandantes de todos os níveis uma ação tempestiva e, se possível, proativa, no sentido de refutar falsos indicadores e demonstrar efetividade de resultados na administração do bem público, o que será facilitado ao se adotarem as melhores práticas de TI, desde a fase do planejamento estratégico da Força, na nova concepção do SIPLEX.
“Soluções para manter um processo de renovação e modernização dinâmico e perene, equacionando o problema de atender às consideráveis necessidades existentes com os recursos disponibilizados, exigirão criatividade, perspicácia na identificação de oportunidades e correta definição de prioridades. Assim, deveremos continuar a ser o Exército de Caxias: conservador nas tradições, ousado nas ideias e criterioso na aplicação dos recursos.” (Dtz Cmt 08 Jun 2007).
Há que se enfatizar, portanto, o benefício social de cada uma das ações estratégicas do “Exército do Futuro”, exaltando aquelas em que prevalecem a MÃO AMIGA, no intuito de conscientizar a sociedade da importância da defesa da Pátria e da manutenção da eficácia da Força Terrestre, de forma compatível com o peso específico da Nação Brasileira e com a dignidade / honradez de sua expressão militar.
as. Considerando que a Secretaria de Acompanhamento e Estudos Institucionais-SAEI/GSI admite que em 2008 o sucesso das instituições da APF estará no bom gerenciamento dos recursos governamentais:
“Ao que tudo indica, em 2008, continuarão a ser observados numerosos conflitos bélicos e a prosperidade econômica não deve alcançar muitos bolsões de miséria. Como resultado, o ano de 2008 deverá continuar testemunhando as mais diversas experiências de 'adaptar' as regras democráticas às realidades locais e de tentar 'ressuscitar' antigas formas de gerenciamento da economia.”
Sugere-se, finalmente, difundir ao público interno as informações de gerenciamento do Exército, os recursos e as necessidades, de forma clara, transparente e objetiva, comparando este desempenho aos padrões de excelência internacionalmente reconhecidos, mostrando que as decisões são baseadas na experiência acumulada pelos muitos anos de existência da Instituição, cujo principal negócio é a DEFESA DA PÁTRIA, e no emprego eficiente das ferramentas de gestão disponibilizadas pela Assessoria Especial do Gab Cmt e pelo EME, permitindo comprovar-se o alinhamento da governança de TI aos objetivos da Força (SIPLEx), das orientações do Ministério da Defesa (END) e da Nação brasileira (CF 88).
Em suma, o homem é o elo mais fraco da corrente da segurança, daí a importância de criar-se uma mentalidade de segurança da informação, promover aculturação dos recursos humanos, quer pela criação de fóruns específicos de assuntos a isso correlacionados, quer pela difusão de spots em veículos de comunicação internos (Fique Atento do CIE, p.ex.) e outras iniciativas na área psicossocial e de liderança.
O Exército faz gestão e gerenciamento, porém há vulnerabilidades, principalmente por falta de Governança de TI, uma vez que cada ODS toma o rumo que lhe parece mais adequado na utilização dos recursos de TI disponibilizados.
Os comandantes de todos os níveis devem esclarecer seus subordinados para comprometerem-se com os resultados do labor diário, buscando-se padrões de excelência e atenção aos detalhes, o que vai respaldar suas decisões.
A TI é problema de todos, mas há que se envolver a Alta Administração da Força nas decisões que vêm impactado o emprego dos recursos e a segurança obtida com eles. Disso dependerá a preservação da imagem da Força e a elevação da Eficiência Operacional.
7. PROPOSTA –
Nenhuma organização encontra-se isenta do uso intensivo das modernas tecnologias da informação. Essa é a linguagem com a qual o Exército estabelecerá contato com o ambiente externo, a fim de suprir, até mesmo, as suas próprias e mais básicas necessidades de sobrevivência.
A fim de alcançar a excelência gerencial, deve-se aliar as tecnologias da informação com as técnicas da modernização administrativa, justificando a adoção das melhores práticas de governança e gestão. Acredita-se que assim se fará o acompanhamento das ações do Programa Nacional de Gestão Pública e Desburocratização (GESPÚBLICA).
A "política" admitida no novo SIPLEX é a Política Militar Terrestre-PMT, levando a inferir-se pela extinção da Política da Informação do Exército, e a criação de uma Diretriz Estratégica da Informação, como estruturadora do Sistema de Informação do Exército.
A sequência de planejamento deve considerar o encadeamento: diretrizes estratégicas – as ações estratégicas de curto prazo – os planos estratégicos – os planos básicos, daí importa aprovarem-se no EME as seguintes Diretrizes: Estratégica da Informação, Estratégica de C² e Estratégica de Informações Operacionais que considerem a Governança de TI e as melhores práticas que sustentam essa governança, como novos paradigmas da Administração Pública Federal. Isso vai impactar também a Diretriz Estratégica de Informações Organizacionais.
A governança vai surtir o efeito desejado na segurança da informação e na gestão de TI se houver adesão do Alto-Comando às melhores práticas mencionadas, o que se caracterizará pela criação do Conselho Superior de Tecnologia da Informação e Comunicações (CONSTIC).
“O Exército de Caxias não se deixará surpreender.”
Brasília, 25 de Julho de 2008.
ALAIRTO ALMEIDA CALLAI – Cel
Glossário
GLOSSÁRIO POR ASSUNTO
1) A Informação como arma ou como alvo
“A informação é arma quando é utilizada para reduzir a vontade e a capacidade de combater do inimigo, seja por intermédio do uso de computadores e redes de comunicação, ou para se obter o controle sobre sistemas transporte ou de energia, p.ex., a fim de causar danos à economia do país agressor ou à sua logística militar.A informação é alvo quando é contra ela que ataques, convencionais ou informacionais, são dirigidos. A interrupção do funcionamento de um sistema de comunicações ou a alteração e/ou destruição de dados em bases de dados críticas, são exemplos.” (Memória 010-A/4-2004-SCT)
2) A Tecnologia da Informação (TI):
“Conjunto formado por pessoal técnico especializado, processos, serviços e recursos financeiros e tecnológicos, incluindo equipamentos (computadores, roteadores, switches etc) e programas que são utilizados na geração, no armazenamento, na veiculação, no processamento, na reprodução e no uso da informação pelas Forças Armadas.” (Glossário de termos e expressões em uso para o Exército)
3) A Segurança da Informação (SI):
“um conjunto de medidas, normas e procedimentos destinados a garantir a integridade, a disponibilidade, a confidencialidade, a autenticidade, a irretratabilidade e a atualidade da informação em todo o seu ciclo de vida.”(artigo 6º das IG 20-19).
4) Arquitetura de um Sistema de Segurança da Informação
“um conjunto composto pelos elementos fundamentais de um sistema de segurança, concebido para proteger informações e definido com base em criteriosa análise de riscos de uma organização. Dentre tais elementos, destacam-se: a documentação normativa; os serviços e mecanismos de segurança; as infraestruturas de gerência, auditoria e validação; as medidas de contingência e um programa de conscientização.”(artigo 7º das IG 20-19).
5) Sistema de Gestão da Segurança da Informação (SGSI)
“a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. Sistema de Gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.” (Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP; César Augusto Asciutti - Agência USP de Inovação, São Paulo-SP.)
6) Governança de TI
“Conjunto de estruturas organizacionais e processos que envolvem a alta direção, gerentes de TI e gerentes de negócio na tomada de decisões sobre o uso de TI, na coordenação das ações decorrentes de tais decisões e no monitoramento de seus resultados, com o objetivo de promover o alinhamento entre estratégias e operações das áreas de TI e de negócios.” (DSIC, Nov 2007).
7) Gestão de TI
8) C² - Comando e Controle
“conjunto de instalações, equipamentos, comunicações, doutrina, procedimentos e pessoal essenciais para o comandante planejar, dirigir e controlar as ações de sua organização para que se atinja uma determinada finalidade. Nesta concepção, envolve, basicamente, três componentes: a autoridade legitimamente investida; a sistemática de um processo decisório; e a estrutura necessária, incluída a tecnologia da informação, para a autoridade acompanhar o desenvolvimento das operações.” (C 100-5)
9) Sistemas de tecnologia da informação para comando e controle
“Recursos de tecnologia da informação, constitutivos do sistema de comando e controle, que proporcionam ferramentas por meio das quais as informações são coletadas, monitoradas, armazenadas, processadas, fundidas, disseminadas, apresentadas e protegidas.” (Glossário de termos e expressões em uso para o Exército)
10) Guerra Cibernética
11) CobiT®-Control Objectives for Information and related Technology é uma importante ferramenta no processo de governança de uma empresa no que se relaciona a Tecnologia de Informação e visa à orientação e capacitação em habilidades de apoio aos gestores e aos profissionais, no controle e gerenciamento dos processos de TI de forma lógica e estruturada. Inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento.
12) ITIL-Information Technology Infrastructure Library (organização de melhores práticas para gerenciamento de serviços de TI) é um dos modelos de gestão para serviços de TI mais adotados pelas organizações. O ITIL é um modelo não- proprietário e público que define as melhores práticas para o gerenciamento dos serviços de TI. Cada módulo de gestão do ITIL define uma biblioteca de práticas para melhorar a eficiência de TI, reduzindo os riscos e aumentando a qualidade dos serviços e o gerenciamento de sua infraestrutura. O ITIL foi desenvolvido pela agência central de computação e telecomunicações do Reino Unido (CCTA) a partir do início dos anos 80.
13) CMMI-Capability Maturity Model Integrattion (organização de melhoria dos processos que estuda o grau de maturidade deles na instituição) é um processo desenvolvido pela SEI (Software Engineering Institute, Pittsburg, Estados Unidos) para ajudar as organizações de software a melhorar seus processos de desenvolvimento. O processo é dividido em cinco níveis sequenciais bem definidos: inicial, repetível, definido, gerenciável e otimizado. Esses cinco níveis provêm uma escala crescente para mensurar a maturidade das organizações de software. Esses níveis ajudam as organizações a definir prioridades nos esforços de melhoria dos processos.
15) ISO 9000-International Organization for Standardization (Norma mãe de todos os processos de qualidade).
16) BS 15.000-Britsh Standardization é o primeiro padrão mundial voltado especificamente ao Gerenciamento de Serviços em TI. Tal padrão descreve processos de gerenciamento integrados, propiciando entrega efetiva de serviços para as áreas de negócio e seus clientes.
17) ISO/ IEC15.504-International Electrotechnical Commission - trata-se de um modelo de gestão de conhecimento tecnológico. Modela a gestão estratégica dos processos de uma organização, por meio da avaliação e melhoria contínua em processos.
18) ISO 17.799/05 (código de práticas de gestão de segurança da informação) normas de boas práticas de gestão: continuidade do negócio, minimização dos riscos, maximização do retorno sobre investimentos e levantamento de novas oportunidades de negócio. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores; o objetivo explícito da norma é estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Passou a designar-se ISO 27.002/08.
20) ISO 27.001/05 é uma norma internacional que possibilita às organizações a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) ou (ISMS - Information Security Management System), através do estabelecimento de uma política de segurança, controles e gerenciamento de riscos. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.
21) PMBOK (Project Management Body of Knowledge), publicação que busca garantir a qualidade no desempenho do profissional PMP-Project Management Professional, sendo reconhecida mundialmente como uma das mais altas qualificações de um profissional de gerenciamento de projetos. A entidade PMI- Project Management Institute é a organização que promove a ampliação do conhecimento sobre o assunto e faz a certificação dos profissionais em gerenciamento de projetos.
22) PRINCE 2, método para gerenciamento de projetos bastante reconhecido no Reino Unido, desenvolvido pela Central Computer and Telecommunications Agency (CCTA), em 1989, também possuindo um programa de certificações e atribuindo grande importância ao papel do gerente de projetos nas organizações. O PRINCE e o PMBOK se complementam, têm semelhanças (p.ex., gerenciamento por processos) e diferenças [p.ex., o PRINCE-(http://www.prince2.org.uk/home/home.asp) não trata projetos por área de conhecimento como o PMBOK]. [Wideman, 2002 (por Paula Geralda Barbosa Coelho Torreão, dissertação de mestrado)].
23) eSCM-SP/CL-eSourcing Capability Model for Client Organizations, Prestação de Serviços Habilitados por Tecnologia de Informação; SP-referencial de avaliação de capacitação de prestação de serviços, suportados por TI, incluindo as relações intra-organizacionais; CL-voltado para o comprador de serviços, com foco na capacidade de gestão de rede de provedores de serviços. Tradução de necessidades em requisitos com níveis de qualidade acordados; estabelecimento de contratos bem definidos com as partes interessadas.
24) BSC-Balanced Escore Card, ferramenta de gestão estratégica criada no começo dos anos 1990 nos Estados Unidos, visando transformar os planos elaborados em ações efetivas; modelo de gestão que auxilia as organizações a traduzir a estratégia em objetivos organizacionais, que direcionam o comportamento e o desempenho. O BSC se compromete a apresentar e implementar soluções orientadas à estratégia do cliente, sendo corresponsável pelos processos de mudança. Realiza o gerenciamento dos projetos em conjunto com o cliente, permitindo que as ações e os recursos alocados viabilizem os objetivos estratégicos da organização.
25) Six Sigma é um conjunto de práticas originalmente desenvolvidas pela Motorola para melhorar sistematicamente os processos ao eliminar defeitos. Diferente de outras formas de gerenciamento de processos produtivos, ou administrativos, o Six Sigma tem como prioridade a obtenção de resultados, de forma planejada e clara, da qualidade e, principalmente, financeiros. Três são as definições para Six Sigma, segundo os níveis que lhes correspondem: literal - é uma métrica; conceitual - uma metodologia; e na prática - um sistema de gerenciamento (Motorola University).
GLOSSÁRIO ALFABÉTICO
1) Aceitação do risco – decisão de aceitar um risco (ABNT ISO/IEC Guia 73:2005.).
2) Adware (Advertising Software) - Software especificamente projetado para apresentar propagandas. Pode ser considerado um tipo de spyware, caso monitore os hábitos do usuário, por exemplo, durante a navegação na Internet para direcionar as propagandas que serão apresentadas.
3) Ameaça - é um evento em potencial que terá um consequência indesejada caso se torne um ataque. Ocorre quando o invasor tira proveito de uma vulnerabilidade de um recurso.
4) Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco.
5) Análise/Avaliação de riscos – processo completo de análise e avaliação de risco.
6) Artefato - De forma geral, artefato é qualquer informação deixada por um invasor em um sistema comprometido. Exemplos: programas executáveis, scripts, registros de evento do sistema e outros.
7) Ataque -Ação que constitui uma tentativa deliberada e não autorizada para acessar/manipular informações, para tornar-se um sistema não confiável ou indisponível, violando, assim, a política de segurança. Um ataque bem-sucedido que resulte no acesso ou manipulação de informações, de forma não autorizada, é chamado de invasão.
8) Ataque de Negação de Serviço - Ataque que consiste em impedir o acesso autorizado a recursos de um sistema, seja através de uma grande sobrecarga no processamento de dados de um sistema computacional, da saturação de um ponto de acesso através de um grande tráfego de dados para uma rede, ou da indisponibilidade de um ou mais serviços desse sistema.
9) Ataque de Syn flood - é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma sequência de requisições SYN para um sistema-alvo.
10) Atividade Maliciosa - Qualquer atividade que infrinja a política de segurança de uma instituição ou que atente contra a segurança de um sistema computacional.
11) Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
12) Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
13) Backdoor - programa instalado em um computador comprometido que ativa novo serviço a fim de permitir acessos por intermédio desse serviço.
14) Bot - Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que o programa seja controlado remotamente.
15) Botnets - Redes formadas por diversos computadores infectados com bots. Podem ser usadas em atividades de negação de serviço, esquemas de fraude, envio de spam, etc.
16) Business Intelligence-BI, Inteligência de Negócios ou empresarial, conjunto de ferramentas de TI que visa permitir aos usuários da informação maior flexibilidade para sua formatação e de seus relatórios.
17) Cavalo de Tróia - É um programa que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
18) Ciência da Informação -
“... ciência da informação é aquela disciplina que investiga as propriedades e o comportamento da informação, as forças que governam o fluxo da informação e os meios de processamento para acesso e uso otimizados. Ela é um componente de ciência aplicada, que desenvolve serviços e produtos”.
“Em essência, a pesquisa na ciência da informação investiga as propriedades e comportamento da informação, a utilização e a transmissão da informação, bem como o processamento da informação para armazenagem e recuperação ótimas”. (BORKO9).
19) Código Malicioso (Malware) - Programa, ou parte de um programa de computador, projetado especificamente para atentar contra a segurança de um sistema computacional, normalmente por meio de exploração de alguma vulnerabilidade. Também conhecido por artefato malicioso.
20) Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004]
21) Confidencialidade - É o requisito para que a informação não seja disponibilizada ou revelada para partes não autorizadas.
22) Consórcio Brasileiro de Honeypots – coordena a participação e o desenvolvimento de métodos e técnicas para a detecção de atividades de invasão de redes computacionais, disseminação de vírus e outras atividades maliciosas. O Consórcio Brasileiro de Honeypots foi formado no início de 2004 visando a reunir organizações governamentais e da iniciativa privada interessadas em monitorar atividades maliciosas, internas ou externas, em suas redes de produção, usando, para isso, sensores que implementam a tecnologia de honeypots de baixa interatividade. (Centro de Pesquisas Renato Archer- CENPRA).
23) COSO - Committee of Sponsoring Organizations of the Treadway Commission é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos. Em português: Comitê das Organizações patrocinadas. (Wiki).
24) Criptologia -
“Criptologia é o estudo de constante refinamento das armas numa guerra de informações, travada no campo dos canais públicos, entre as pessoas que por algum motivo usam a cifração das comunicações e outras que tentam quebrar essas cifras”.
A intenção de quem tenta quebrar cifras, ou realizar “criptoanálise” é apoderar-se da informação que está sendo veiculada. Outras possibilidades são substituir mensagens verdadeiras por falsas, corromper mensagens genuínas, ou fazer-se passar por outrem. (J.A. Gordon -1996).
25) DDoS (Distributed Denial of Service) - Ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.
26) Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.
27) Desfiguração de Sítio - Ataque que consiste em desfigurar, ou seja, substituir ou alterar o conteúdo de uma ou mais páginas Web em um sítio. A desfiguração normalmente é consequência da exploração bem-sucedida de uma vulnerabilidade no servidor Web que hospeda as páginas.
28) Detecção de Intrusão – Consiste no monitoramento e análise de eventos em sistemas computacionais, com o propósito de detectar e prover alertas sobre tentativas de acesso não autorizado a recursos desses sistemas. Ex.: IDS e IPS.
29) Disponibilidade - É o requisito para que os recursos de um sistema estejam disponíveis para acesso, por entidades autorizadas, sempre que venham a ser solicitados, ou – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004]
30) Engenharia social -Método de ataque onde uma pessoa faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
31) ERP (Enterprise Resource Planning), ou SIGE - Sistemas Integrados de Gestão Empresarial, no Brasil, são sistemas de informações que integram todos os dados e processos de uma organização em um único sistema (Laudon, Padoveze).
32) Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004]
33) Exploits - Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um software de computador.
34) Firewall - Um sistema, constituído pela combinação de software e hardware, que intermediam o acesso a uma rede, permitindo ou proibindo certos tipos de acesso, de acordo com uma política de segurança pré-estabelecida.
35) Framework (ou arcabouço) é uma estrutura de suporte definida, em que um outro projeto de software pode ser organizado e desenvolvido. Visa facilitar o desenvolvimento de software, habilitando designers e programadores a despenderem mais esforço e tempo determinando as especificações do software, do que com detalhes.
36) Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (n.a.: a gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos).
37) Hacker / Cracker - designa programadores maliciosos e ciberpiratas que agem com o intuito de violar sistemas cibernéticos de forma ilegal ou sem seguir preceitos morais. Cracker - é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética.
38) Incidente de Segurança - Um incidente de segurança é caracterizado por qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas computacionais ou de redes de computadores, tais como: tentativas de obter acesso não autorizado a sistemas ou dados, ataques de negação de serviço, uso ou acesso não autorizado a um sistema e desrespeito à política de segurança ou à política de uso aceitável de uma instituição.
39) Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004]
40) Integridade - É o requisito para que a informação não seja modificada ou destruída de maneira não autorizada ou acidental, ou – propriedade de salvaguarda da exatidão e "completeza" de ativos. [ISO/IEC 13335-1:2004]
41) Inteligência Militar - Atividade de Inteligência de natureza técnico-militar, especializada e permanente que visa a produzir conhecimentos de interesse do comandante de qualquer nível hierárquico e proteger os conhecimentos sensíveis, as instalações e pessoal, contra as ações de serviços de inteligência do oponente ou do inimigo. (Glossário FA).
42) Keylogger - Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.
43) Knowledge Management (KM), Gestão do Conhecimento, é o gerenciamento inteligente, ordenado, sistematizado e eficaz de tudo aquilo que a empresa sabe e que agregue valor ao negócio. Sistema usado para capturar, analisar, interpretar, organizar, mapear e difundir a informação, para que ela seja útil e esteja disponível como conhecimento. A Gestão da Informação está para o conhecimento explícito (facilmente codificável), enquanto que, a Gestão do Conhecimento está para o conhecimento tácito (dificilmente codificável). Ou seja, enquanto a Gestão da Informação pode ser objetivada por meio de manuais ou bases de dados, a Gestão do Conhecimento ainda é vista como uma "filosofia" pelas empresas. Anos de pesquisas sobre empresas japonesas, entretanto, nos convencem de que a criação do conhecimento é a principal fonte de sua competitividade internacional" (Edmeire Cristina Pereira, em 03/07/2004).
44) Ontologia - em Ciência da Computação e Ciência da Informação, uma ontologia é um modelo de dados que representa um conjunto de conceitos dentro de um domínio e os relacionamentos entre estes. Uma ontologia é empregada para realizar inferência sobre os objetos do domínio, sendo utilizadas em inteligência artificial, web semântica, engenharia de software e arquitetura da informação, como uma forma de representação de conhecimento sobre o mundo ou alguma parte deste. Significa fazer com que os conteúdos sejam classificados e organizados de forma a responder às perguntas do cliente da informação, criando condições para que o mesmo possa, também, incluir os seus próprios metadados, colaborando e interagindo com o ambiente.
45) Phishing -Também conhecido como phishing scam, é uma mensagem não solicitada que se faz passar por uma comunicação de uma instituição conhecida, como um banco, empresa ou sítio popular, e que procura induzir usuários ao fornecimento de dados pessoais e financeiros. Inicialmente, este tipo de mensagem induzia o usuário ao acesso a páginas fraudulentas na Internet. Atualmente, se presta a instalação de códigos maliciosos e envio de dados pessoais e financeiros.
46) Política de Segurança - Atribui direitos e responsabilidades aos indivíduos que lidam com os recursos computacionais de uma instituição e com as informações neles armazenadas. Define as atribuições de cada indivíduo em relação à segurança dos recursos com os quais trabalha. Qualquer evento que resulte no descumprimento da política de segurança poderá ser considerado um incidente de segurança.
47) Recursos da Infraestrutura de TI - Os recursos da infraestrutura de TI incluem equipamentos, utilitários, aplicativos, sistemas operacionais, mídias de armazenamento, contas em servidores, contas de correio eletrônico, navegação na Internet e intranet, serviço de transferências de dados, terminal virtual, comunicação interativa e sistemas de gestão.
48) Registro de Evento (Log) – Conjunto de informações armazenadas e que estão relacionadas aos eventos ocorridos em um determinado contexto, como serviços Web, autenticação de usuários, etc
49) Risco residual – risco remanescente após o tratamento de riscos.
50) Rootkit - Conjunto de programas que têm como finalidade esconder e assegurar a presença de um invasor em um computador comprometido. Esse programa não é utilizado apenas para o acesso a contas privilegiadas (root ou Administrador), mas para acessar todos os recursos do computador.
51) Scan - Técnica normalmente implementada por um tipo de programa projetado para efetuar varreduras em redes de computadores.
52) Script Kiddies - (garoto dos scripts,) é o nome atribuído aos grupos de crackers inexperientes (geralmente das camadas etárias mais novas) que desenvolvem atividades relacionadas com segurança da informação utilizando-se do trabalho intelectual dos verdadeiros especialistas técnicos, não possuindo conhecimento de programação, e não estando interessado em tecnologia, e sim em ganhar fama ou projeção pessoal.
53) Segurança da Informação - é a proteção da informação obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
54) Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005]
55) SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação (Sistema de Gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.).
56) Sistema de TI - Sistema de Tecnologia da Informação (TI) é o conjunto de elementos materiais e intelectuais, colocados à disposição dos usuários, em forma de serviços ou bens, que possibilitam a integração dos recursos de informática e telecomunicações.
57) Sniffers - é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
58) Spam - Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem também é referenciada como UCE (Unsolicited Commercial E-mail).
59) Spoofing - é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
60) Spyware - Programa que monitora e coleta as atividades de um sistema e as envia a terceiros.
61) Tratamento do risco – processo de seleção e implementação de medidas para modificar um risco.
62) Vírus - Programa malicioso que, após instalar-se em um sistema, realiza cópias de seu código em outros arquivos. O vírus depende da execução do programa ou arquivo hospedeiro para que possa ativar-se e dar continuidade ao processo de infecção.
63) Vulnerabilidade - Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação de segurança.
64) Worm - Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute suas cópias em outros programas ou arquivos e não necessita ser explicitamente executado para propagar-se. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
65) Traduções de Licenças Livres – FGV; KCP Advogados – v. 1.0; 21/09/05 – copiam- se os principais termos jurídicos ambíguos existentes nas licenças apresentadas para tradução, bem como, a terminologia adotada em português, na maior parte dos casos, para tais termos: [...]
Cláudio Haddad, no prefácio à edição brasileira de Freakonomics, relata que:
“… o comportamento econômico e social na vida real é extremamente complexo. Entendê-lo e analisá-lo com profundidade requer trabalho e tempo, fora do alcance ou da vontade da maioria das pessoas. Logo estas tendem a aderir a uma visão do tema em questão que seja simples de entender, conveniente, confortável e que esteja de acordo com seus credos e valores, ainda que muitas vezes incorreta.”
xxx
(Boletim interno do EME nr 227, de 27 Nov 2008.)
