Gestão de Riscos e Ameaças

Prévia do material em texto

GESTÃO DE RISCOS E AMEAÇAS 
 
 
1 
SUMÁRIO 
 
NOSSA HISTÓRIA ................................................................................................................ 2 
1. GESTÃO DE RISCOS DE SEGURANÇA ................................................................ 3 
2. CONCEITOS BÁSICOS........................................................................................... 4 
3. ATIVIDADE DE INTELIGÊNCIA .............................................................................. 9 
3.1 Inteligência Cibernética ......................................................................................... 11 
4. CIBERINTELIGÊNCIA DE RISCOS DE SEGURANÇA DA INFORMAÇÃO........... 14 
5. A SEGURANÇA/DEFESAE AS INFRAESTRUTURAS .......................................... 19 
CONCLUSÃO ...................................................................................................................... 22 
REFERÊNCIAS ................................................................................................................... 24 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 
 
 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empresários, em 
atender à crescente demanda de alunos para cursos de Graduação e Pós-Graduação. Com 
isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível 
superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação no 
desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de 
promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem 
patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras 
normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e 
eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. 
Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de 
cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do 
serviço oferecido. 
 
3 
1. GESTÃO DE RISCOS DE SEGURANÇA 
 
Num atual cenário permeado por constantes mudanças, em que a ação de 
diversos agentes desestabilizantes é sentida cada vez mais de maneira contundente, 
muitos destes intencionalmente engajados a causar severos prejuízos à continuidade 
dos negócios organizacionais, emerge de maneira disruptiva a alternativa de atuação 
da Inteligência Cibernética no apoio direto à identificação de ameaças e 
vulnerabilidades, bem como no pontual suporte para a definição e implementação de 
medidas destinadas a mitigar os eventuais riscos, como por exemplo, àqueles 
advindos da ação de específicas e perniciosas ameaças cibernéticas. 
Por conseguinte, este artigo objetiva investigar e asseverar o decisivo papel 
que a Inteligência Cibernética pode assumir para a manutenção da segurança dos 
ativos informacionaise de Tecnologia da Informação e Comunicação (TIC) das 
organizações, em específico, no suporte direto ao processo de Gestão de Riscos de 
Segurança da Informação (GRSI). 
Para isso, o estudo foi segregado em três partes interdependentes, quais 
sejam: Conceitos Básicos; Ciberinteligência em apoio à Gestão de Riscos de 
Segurança da Informação; e Conclusão. 
A primeira parte consiste basicamente na exposição de importantes conceitos 
introdutórios acerca dos ativos informacionais e de seus recursos acessórios, 
Segurança da Informação, Gestão de Riscos, Atividade de Inteligência e 
Ciberinteligência. 
Já na segunda parte, são apresentados e analisados fatos e considerações 
diretamente correlacionados à crescente utilização da Inteligência Cibernética como 
meio hábil de obtenção de dados e informações, e ainda, de que maneira sua preciosa 
expertise pode contribuir para o processo de Gestão de Riscos de Segurança da 
Informação. 
Ao final, são apresentadas conclusões advindas após a análise dos fatos e 
correlações relativas à utilização da Ciberinteligência como importante e agregadora 
alternativa assessória ao processo de tomada de decisão organizacional, em 
particular, ao processo de GRSI. 
 
 
 
 
4 
2. CONCEITOS BÁSICOS 
 
A seguir, serão apresentados e conceituados alguns temas inafastáveis para 
um correto entendimento e identificação de fatores que possam vir a confirmar o 
decisivo papel a ser assumido pela Ciberinteligência em suporte estrito ao processo 
de Gestão de Riscos de Segurança de Informação. 
Partindo-se do pressuposto de que o objeto principal de preocupação da GRSI 
deve ser a adequada viabilização e manutenção da proteção dos ativos informacionais 
e seus respectivos recursos de Tecnologia da Informação e Comunicação (TIC), estes 
indispensáveis para a continuidade normal dos processos organizacionais, sendo 
assim definidos por GSIPR (2013) como: “os meios de armazenamento, transmissão 
e processamento, os sistemas de informação, bem como os locais onde se encontram 
esses meios e as pessoas que a eles têm acesso”, torna-se necessário a adoção de 
procedimentos e soluções especializadas para se assegurar a devida guarda destes 
ativos informacionais e recursos de TIC, o que pode vir a ser viabilizado de forma 
confiável ainda que não totalmente pela Segurança da Informação. 
Simião (2009) define Segurança da Informação, com base no Decreto nº 
3505/20001 que institui a Política de Segurança da Informação nos órgãos e entidades 
da Administração Pública Federal, como sendo: 
Proteção dos sistemas de informação contra a negação de serviço a usuários 
autorizados, assim como contra a intrusão, e a modificação desautorizada de 
dados ou informações, armazenados, em processamento ou em trânsito, 
abrangendo, inclusive, a segurança dos recursos humanos, da 
documentação e do material, das áreas e instalações das comunicações e 
computacional, assim como as destinadas a prevenir, detectar, deter e 
documentar eventuais ameaças a seu desenvolvimento. 
 
Em complemento, o referido autor salienta que por mais que o Decreto nº 
3505/2000 abarque conceitualmente os outros elementos da Segurança da 
Informação, como segurança das áreas e instalações, segurança dos recursos 
humanos, segurança da documentação e do material, é importante deixar claro que: 
 
o objeto da segurança[da informação] é a proteção dos sistemas de 
informação, entendido como sendo o mesmo que sistemas de informática ou 
 
1 Disponível em: . Acesso em 25 jan. 2014. 
 
5 
tecnologia da informação. Justifica-se tal entendimento devido à utilização 
das expressões, tais como: negação de serviço; intrusão; modificação 
desautorizada de dados e informações armazenadas, em processamento ou 
em trânsito. Estas expressões são típicas da linguagem utilizada em 
tecnologia da informação (SIMIÃO, 2009, p. 44). 
 
Sobre os riscos que podem vir a influir negativamente contra os ativos 
informacionais e seus recursos de TIC, Lento (2014, p. 70) com base na definição de 
Stoneburner, Goguen e Feringa (2002) discorre que: “risco é a função que relaciona a 
probabilidade de uma determinada ameaça explorar uma vulnerabilidade em potencial 
e o impacto resultante desse evento adverso sobre a organização”. 
Os mesmos Stoneburner, Goguen e Feringa (2002 apud LENTO, 2014, p. 72) 
afirmam que Gestão de Riscos pode ser entendida como: “o processo de identificação 
dos riscos, avaliação de risco e tomada de medidas (tratamento do risco) para reduzir 
o risco a um nível aceitável”. 
Neste sentido, e alinhado à perspectiva supramencionada, Oliveira Junior 
(2007, p. 26) argumenta que a Gestão de Risco “deve ser um processo contínuo, 
aplicado à estratégia daorganização e à implementação dessa estratégia. 
Deve analisar todos os riscos inerentes às atividades passadas, presentes e, 
em especial, futuras de uma organização”. 
A Gestão de Riscos – conforme descrita por Lento (2014, p. 114) – também 
deverá “analisar os possíveis eventos de ameaça à segurança da informação e as 
suas consequências, antes de definir qualquer decisão quanto a reduzir os riscos a 
um nível aceitável”. Destarte, Gestão de Riscos de Segurança da Informação pode 
ser entendida como: 
 
[...] um processo no qual as organizações analisam os riscos inerentes às 
suas atividades, com o objetivo de atingir um equilíbrio apropriado entre o 
reconhecimento de oportunidades e ganhos, e a redução de perdas. É um 
elemento central na gestão da estratégia de qualquer organização. [e que] 
esse processo deve executar um conjunto de tarefas que têm como objetivo 
identificar as necessidades de segurança de umaorganização, 
proporcionando suporte à criação de um Sistema de Gestão de Informação 
(SGSI), preparação de um plano de continuidade de negócios ou de um plano 
de resposta a incidentes (LENTO, 2014, p.115). 
 
 
6 
Porém, devido a GRSI ser um processo “interativo, contínuo e por se utilizar de 
um método lógico e sistemático” para estabelecer suas etapas e atingir seus objetivos 
concernentes, há a necessidade veemente de padronização de todo o processo 
(LENTO 2014). 
Assim, uma das alternativas que pode vir a ser adotada para atender à 
requerida padronização do processo de GRSI, é a exposta e detalhada 
minuciosamente na norma NBR ISO 27005 Gestão de Riscos de Segurança da 
Informação, uma vez que esta documentação se destina especificamente a fornecer 
as diretrizes necessárias para “uma implementação satisfatória da segurança da 
informação tendo como base a gestão de riscos” (ABNT, 2008). 
Abaixo, na Figura 1, pode-se observar as diversas etapas do Processo de 
Gestão de Riscos de Segurança da Informação, baseadas na norma NBR ISO 27005 
Gestão de Riscos de Segurança da Informação. 
 
 
Figura 1 – Visão geral do Processo de Gestão de Riscosde Segurança da Informação – 
NBR ISO 27005. 
 
7 
 
 Fonte: ABNT (2008). 
 
Ao se observar com atenção a figura extraída NBR ISO 27005 – Gestão de 
Riscos de Segurança da Informação, depreende-se rapidamente que o processo de 
GRSI é composto por sete etapas interdependentes, quais sejam: definição do 
contexto, análise de riscos, avaliação de riscos, tratamento do risco, aceitação dos 
riscos, comunicação do risco de segurança da informação e, monitoramento e análise 
crítica dos riscos de segurança da informação. Estas etapas podem ser sucintamente 
detalhadas, com o apoio conceitual de Lento (2014), GSIPR (2013) e de ABNT (2008), 
da seguinte maneira: 
1 – Definição do contexto: Tal qual exposto por Lento (2014, p.117): “esta 
etapa visa a estabelecer o contexto da gestão de risco da segurança da informação 
consiste em definir os parâmetros básicos sob os quais os riscos sobre a informação 
 
8 
devem ser geridos. Isto é, consiste em definir os critérios básicos (critérios de 
avaliação de riscos, critérios de impacto e critérios de aceitação do risco) a serem 
adotados pela gestão de riscos de segurança da informação. 
 Esse contexto define, portanto, o escopo (finalidade – plano de continuidade, 
SGSI etc.) da gestão de riscos e os seus limites. Esses últimos, por sua vez, são 
determinados pelos objetivos estratégicos, políticos e processos de negócio da 
organização.”. 
2 – Análise de riscos: Segundo ABNT (2008, p. 12), esta etapa “identifica as 
ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica 
os controles existentes e seus efeitos no risco identificado, [bem como] determina as 
conseqüências possíveis.”. 
3 – Avaliação de riscos: esta etapa tem como finalidade principal estimar os 
níveis de riscos associados aos ativos de informação e aos recursos de Tecnologia 
da Informação e Comunicação, avaliando e priorizando-os de acordo com os critérios 
de avaliação de riscos estabelecidos na definição do contexto (ABNT, 2008). 
4 – Tratamento do risco: Lento (2014, p. 139) afirma que “a fase de tratamento 
de riscos começa com uma lista de riscos, ordenados entre si por prioridade de 
tratamento, de acordo com os critérios de avaliação de riscos, e tem como saída o 
plano de tratamento do risco e dos riscos residuais decorrentes desse tratamento.”. 
E ainda de acordo com GSIPR (2013), esta fase visa a “determinar as formas 
de tratamento dos riscos, considerando as opções de reduzir, evitar, transferir ou reter 
o risco, observando: a eficácia das ações de Segurança da Informação e 
Comunicações – SIC já existentes; as restrições organizacionais, técnicas e 
estruturais; os requisitos legais; e a análise custo/benefício.”. 
5 – Aceitação do risco: etapa em que se deverá, conforme discorrido em 
GSIPR (2013, p. 06), “verificar os resultados do processo executado, considerando o 
plano de tratamento, aceitando-os ou submetendo-os à nova avaliação”. Não 
somente, mas também “o processo está sujeito à decisão dos gestores da 
organização, relativa à aceitação desse processo, quando se tem como produto uma 
lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os 
critérios normais para aceitação do risco (LENTO, 2014, p. 142)”. 
6 – Comunicação do risco de segurança da informação: Conforme exposto 
em ABNT (2008, p. 25), “a comunicação do risco é uma atividade que objetiva alcançar 
um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da 
 
9 
troca e/ou partilha das informações sobre o risco entre os tomadores de decisão e as 
outras partes interessadas. A informação inclui, entre outros possíveis fatores, a 
existência, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade 
dos riscos.” 
7 - Monitoramento e análise crítica dos riscos de segurança da 
informação: nesta etapa convém atentar que os riscos e seus fatores (isto é, valores 
dos ativos, impactos, ameaças, vulnerabilidades, probabilidade de ocorrência) sejam 
monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente 
possível, eventuais mudanças no contexto da organização e de se manter uma visão 
geral dos riscos (ABNT, 2008). 
É Importante ainda lembrar que as mencionadas etapas do Processo de Gestão 
de Riscos de Segurança da Informação não são estanques e devem sempre interagir 
entre si de maneira harmônica e complementar, tendo como finalidade principal a 
geração de subsídios confiáveis e oportunos para suportar os mais distintos processos 
de tomada de decisão organizacional (LENTO, 2014). 
 
 
 
3. ATIVIDADE DE INTELIGÊNCIA 
 
Medeiros (2011, p.03) conceitua Atividade de Inteligência como sendo “a 
atividade especializada, permanentemente exercida, com o objetivo de produzir 
conhecimentos de interesse da instituição/organização e a sua salvaguarda contra 
ações adversas”. 
Já Silva Junior (2011) afirma, baseado no Glossário de Inteligência Competitiva 
da Associação Brasileira de Inteligência Competitiva – ABRAIC, que Inteligência 
consiste no 
Processo que tem como objetivo produzir Inteligência para a tomada de 
decisão ou desenvolver atividades que objetivam negar a um ator a 
possibilidade de levantar dados/informações por meio de coleta/busca sobre 
o modo de agir de outro ator. Constitui-se de processo informacional proativo 
e sistemático que visa identificar os atores e as forças que regem as 
atividades da organização, reduzir o risco e conduzir o tomador de 
decisão a melhor posicionar-se em seu ambiente, bem como proteger o 
conhecimento sensível gerado. Caracteriza-se pela coleta/busca de 
dados/informações que os outros não estão vendo – quer porque estão 
 
10 
ocultos e/ou desconexos, quer porque estão camuflados ou mesmo 
destorcidos – e sua posterior análisee identificação de impacto para a 
organização (SILVA JUNIOR, 2011, p. 25, grifo nosso). 
 
Dessarte, José Manuel Ugarte (2002 apud GONÇALVES, 2011, p. 07) sobre a 
importância da utilização dos mais variados recursos, métodos e técnicas de 
Inteligência nas diversas esferas da sociedade assinala que: 
 
la información es conocimiento, la información es organzación, [...] la 
informarción es actividad [e que inteligência] es el conocimiento que nuestros 
hombres, civiles y militares, que ocupan cargos elevados, deben poseer para 
salvaguardar el bienestar nacional. 
 
No que tange à natureza de sua finalidade, a Atividade de Inteligência pode ser 
dividida em categorias, tais como: Inteligência de Estado, Business Intelligence, 
Inteligência Estratégica, Inteligência Militar e de Defesa, Inteligência de Segurança 
Pública, Inteligência Competitiva, Inteligência policial, Inteligência fiscal, dentre outras; 
e ainda de acordo com Medeiros (2011): “tudo é uma adaptação da atividade de 
Inteligência ‘clássica [de Estado]’ à atividade de Inteligência específica”. 
 Porquanto, ainda que o espectro de atuação da Atividade de Inteligência se 
configure bastante amplo e multifacetado, para a sua melhor eficácia, a Atividade deve 
sempre atender a propósitos restritos e altamente especializados a fim de se reduzir 
eventuais equívocos a respeito de assuntos ou questões específicas e de alta 
relevância para o processo decisório organizacional. 
 Sobre isto, Silva Junior (2011, p. 22) ainda argumenta que “as informações 
coletadas, que se transformaram em conhecimento [após o devido Ciclo de Produção 
de Conhecimento – CPC], geralmente possuem três propósitos distintos, ainda que 
complementares: o uso preventivo, defensivo ou ofensivo”. 
Assim sendo, também cabe discorrer que no tocante às fontes de obtenção de 
dados para a produção do conhecimento de Inteligência, tal qual classificação 
proposta por Bruneau (2000 apud GONÇALVES, 2011), emergem como principais: a 
HUMINT (Human intelligence), SIGINT (Signals Intelligence), OSINT (Open-source 
Intelligence), MASINT (Measurement and Signature Intelligence) e IMINT (Imagery 
Intelligence). 
Torna-se oportuno expor que Nogueira (2012, p. 29) – de maneira inovadora – 
 
11 
esboça a possibilidade de se considerar também a via cibernética como uma distinta 
fonte de obtenção de dados para a atividade de inteligência, podendo vir a ser 
denominada, ainda que de maneira incipiente, como “CYBERINT”. 
 
3.1 Inteligência Cibernética 
 
Ciberinteligência ou Inteligência Cibernética pode ser inicialmente entendida 
como: 
[...] um processo que leva em conta o ciberespaço, objetivando a obtenção, a 
análise e a capacidade de produção de conhecimentos baseados nas 
ameaças virtuais e com caráter prospectivo, suficientes para permitir 
formulações, decisões e ações de defesa e resposta imediatas visando à 
segurança virtual de uma empresa, organização e/ou Estado (WENDT, 2011, 
p. 23). 
 
Wendt (2010) ainda entende como sendo parte integrante do escopo de 
responsabilidade da Inteligência Cibernética as seguintes ações e procedimentos: 
1 – Os ataques às redes, públicas ou privadas, e às páginas web; 
2 – Análise das vulnerabilidades existentes sobre as redes, sistemas e serviços 
existentes, enfocando o entrelaçamento à teia regional, nacional e/ou mundial de 
computadores; 
3 – Constante análise e acompanhamento dos códigos maliciosos distribuídos na web, 
observando padrões, métodos e formas de disseminação; 
4 – Enfoque na engenharia social virtual e os efeitos danosos, principalmente nas 
fraudes eletrônicas; 
5 – Mais especificamente, monitorar as distribuições de phishing scam, tanto por web 
sites quanto por e-mail e as demais formas de disseminação, com atenção especial 
para as redes sociais; 
6 – Observação e catalogamento dos casos de espionagem digital, com abordagem 
dos casos relatados e verificação dos serviços da espécie oferecidos via web; 
7 – Intenso monitoramento a respeito de adwares, worms, rootkits, spywares e vírus, 
com observância do comportamento, finalidade e forma de difusão; 
8 – Detectar e monitorar os dados sobre fraudes eletrônicas e o correspondente valor 
financeiro decorrente das ações dos criminosos virtuais; 
9 – Monitoramento da origem externa e interna dos ataques e distribuição dos códigos 
 
12 
maliciosos; 
10 – Verificação e catalogamento das ações e mecanismos de hardware e software 
de detecção de ameaças e de respostas imediatas às ameaças virtuais, e etc. 
Em reforço a esta perspectiva delineada, Nogueira (2012, p, 35) reitera: “sem 
Inteligência Cibernética não haverá como atuar com precisão e oportunidade”, e vai 
além ao afirmar que: 
Saber, conhecer e avaliar os movimentos do oponente cibernético, 
antes de suas ações, será imprescindível. Haverá sempre intervalo muito 
pequeno para agir e menos tempo ainda para decidir. Por isso, a atuação da 
Inteligência surge como fator de grande importância para promover 
conhecimentos que conduzam a decisões acertadas e a resultados eficazes. 
[...] A partir desta percepção, justifica-se estudar como levantar, obter e 
tratar informações sobre ações dos adversários no ambiente 
cibernético. A pesquisa das formas de emprego da Inteligência no domínio 
virtual levará a aperfeiçoamentos que adéquem suas operações para 
obtenção de informações de valor e relevância para ações cibernéticas. 
Esses conhecimentos poderão promover desequilíbrio se forem 
apropriadamente manipulados (NOGUEIRA, 2012, p. 24, grifo nosso). 
 
Oliveira (2011, p.114) ainda complementa da seguinte forma: 
 
Ela é essencial na busca de informações, empregando todas as fontes 
disponíveis, para identificar e prevenir ameaças cibernéticas e proporcionar 
respostas adequadas, com oportunidade. Além disso, os profissionais que 
atuam no Setor Cibernético devem desenvolver atitude arraigada de 
contrainteligência, a fim de proteger o conhecimento e as informações 
inerentes às suas atividades. 
 
Sobre os efeitos positivos que podem advir da efetiva aplicação da 
ciberinteligência como meio específico de suporte ao processo decisório – não só para 
predição, mas também para análise pós-prevenção –, INSA (2011, p.03) salienta que: 
Em última análise, a eficaz inteligência cibernética começará a permitir a 
previsão, alarme estratégico sobre as atividades de ameaças cibernéticas, 
mitigação dos riscos associados a estas ameaças, melhorando assim, a 
nossa capacidade de avaliar os efeitos da ciberintrusão, e de otimizar a 
segurança cibernética com custos eficientes e processos mais eficazes, 
baseados em decisões bem informadas (tradução livre). 
 
 
13 
Assim, para viabilizar um “ecossistema” equilibrado para a efetiva atuação da 
ciberinteligência tal qual supramencionado, torna-se necessário adotar, dentre outras 
ações, as seguintes diretrizes procedimentais: 
1- Definir adequadamente o escopo de atuação (intra e extra organização) da 
ciberinteligência, com a devida aprovação formal e apoio de todos os colaboradores, 
principalmente por parte da alta diretoria; 
2- Prever detalhadamente os específicos procedimentos, métodos e técnicas 
requeridos para sua plena atuação, bem como nomear os responsáveis por cada 
processo e/ou tarefa acessória; 
3- Definir claramente os objetivos esperados com sua atuação, assim como os 
recursos, custos e períodos necessários para a sua consecução; e 
4- Manter sempre atualizados os recursos humanos diretamente envolvidos 
na atividade, por meio de participação regular em treinamentos, capacitações, fóruns 
especializados, e outros expedientes que venham a propiciar o devido 
acompanhamento evolutivo das ameaças cibernéticas e de suas contramedidas. 
Por sua vez, agora em específico sobre o aparato tecnológico atualmente a 
disposição da Inteligência Cibernética, torna-se oportuno citar que grande parte do 
monitoramento e análise de cenários(sobremaneira, o cibernético) já vem sendo 
francamente realizados por uma miríade de ferramentas automatizadas baseadas em 
específicos métodos e técnicas, como a de mineração de dados2 e de análise e 
filtragem de web semântica em posts, tuítes, em redes sociais, blogs , calibrados de 
acordo com o grau de abrangência pretendido e palavras-chave de interesse3. 
INFO (2011) assevera que estas técnicas há anos são utilizadas por 
anunciantes – principalmente, por meio de cookies4 e que em um futuro próximo 
evoluirão e constituirão métricas altamente especializadas para a predição e 
 
2 Mineração de dados é um processo altamente cooperativo entre homens e máquinas, que visa a exploração de 
grandes banco de dados, com o objetivo de extrair conhecimentos através do reconhecimento de padrões e 
relacionamento de variáveis, conhecimentos esses que possam ser obtidos por técnicas comprovadamente 
confiáveis e validados pela sua expressividade estatística (CÔRTES; PORCARO; LIFSSHITZ , 2002). 
3 Para o aprofundamento desta temática, faz-se mister observar o presente em: . Acesso 
em 24 mar. 2014. 
4 “Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e 
que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre 
você, como carrinho de compras, lista de produtos e preferências de navegação. Um cookie pode ser temporário 
(de sessão), quando é apagado no momento em que o navegador Web ou programa leitor de e-mail é fechado, ou 
permanente (persistente), quando fica gravado no computador até expirar ou ser apagado.” Disponível em: 
. Acesso em 24 mar. 2014. 
 
14 
acompanhamento de tendências em várias esferas do conhecimento humano, dentre 
elas, àquelas voltadas para redução de incertezas ligadas à gestão de riscos 
organizacionais. 
Em relação a estas ferramentas automatizadas de coleta e monitoramento 
cibernético, Silva Junior (2011, p. 81) destaca que: 
 
O princípio da coleta de dados, executada por ferramentas eletrônicas de 
monitoramento, identifica palavras, termos ou expressões. Os objetivos 
destas ferramentas são: mensurar, qualificar, quantificar, traçar perfis de 
usuários, identificando possibilidades de ações dentro dos ambientes 
[organizacionais] e prever crises e danos a marcas contratantes. 
 
Muitas dessas ferramentas funcionam por meio de métodos e técnicas 
intrinsecamente correlacionadas ao processo de Descoberta do Conhecimento em 
Banco de Dados (DCBD). 
Sobre isto, Oliveira Junior (2011, p. 37) leciona que: 
O maior objetivo do DCBD não é o de simplesmente encontrar padrões e 
relações em meio à imensa quantidade de informação disponível em base de 
dados, e, sim, a extração de conhecimento inteligível e imediatamente 
utilizável para o apoio às decisões. [E que] a DCBD integra conceitos de 
estatística, SI inteligentes, aprendizado de máquina [redes neurais artificiais, 
algoritmos genéticos, etc.], reconhecimento de padrões, teoria das decisões, 
engenharia de dados e administração de dados. 
 
 
 
 
4. CIBERINTELIGÊNCIA DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 
 
Na atual conjuntura mundial, cada vez mais globalizada e impessoal, predizer 
cenários e estimar tempestivamente a ocorrência de explorações de vulnerabilidades 
por específicas ameaças tornaram-se diferenciais de grande valia para as 
organizações que desejam permanecer operativas e protegidas neste cenário de 
intenções nem sempre tão claras. 
No que se refere ao Ciberespaço não é diferente. Sistemas de informações 
heterogêneos, conexões estabelecidas por meio de estruturas e recursos distribuídos 
 
15 
caoticamente fazem do espaço cibernético um ambiente dominado pela aleatoriedade, 
complexidade e anonimato. 
É neste lócus permeado por estas relações, em sua maioria, estabelecidas de 
forma assimétrica, que a detecção de padrões de relacionamento em conjuntos 
imensos de dados e informações por meio de ferramentas computacionais e técnicas 
especializadas passa a ser uma das principais alternativas utilizadas pelas 
organizações que desejam não só entender melhor como funciona o seu negócio 
identificando vulnerabilidades e oportunidades, mas também se antever aos eventuais 
impactos negativos de ataques produzidos por uma miríade de ameaças oriundas do 
espaço cibernético. 
Neste sentido, Fonseca et al (2013) a respeito da crescente expansão do 
desenvolvimento e comercialização de ferramentas de busca, monitoramento e 
análise de dados/informações, capitaneada por grandes corporações de Tecnologia 
da Informação e Comunicações (TIC), argumenta a título de exemplo que: 
A Cyveillance, uma subsidiária da empresa americana QinetiQ, especializa-
se em monitoramento 24 horas da internet e, segundo ela mesma define em 
sua brochura, análises de inteligência sofisticadas para “identificar e 
eliminar ameaças a informações, infraestruturas e indivíduos, 
permitindo aos nossos clientes preservar a sua reputação, receita e a 
confiança dos clientes”. A empresa afirma servir a maioria das empresas 
mais ricas do mundo “e mais de 30 milhões de consumidores através de sua 
parceria com provedores que incluem AOL e Microsoft”. A brochura da 
empresa, vazada pelo WikiLeaks5, mostra bem o uso dessa tecnologia: uma 
foto traz manifestantes portando bandeiras num protesto. O texto explica: 
“Protestos, boicotes e ameaças contra seus empregados, oficinas e 
escritórios causam caos na sua organização”. Por meio de monitoramento 24 
horas por dia, sete dias por semana, a empresa afirma que resolver ameaças 
requer incorporar inteligência à segurança. A Cyveillance garante que tem 
pessoas, processos e tecnologias para prover inteligência sobre as 
atividades relacionadas a uma empresa, “permitindo que você aja antes 
que um evento ocorra”. Também garante monitoramento contra 
vazamentos de informações por whistleblowers6 da empresa. 
E ainda que: 
Em 2011, a HP anunciou a compra da Autonomy, uma empresa inglesa líder 
 
5 Fundado em 2006, WikiLeaks é uma organização que se dedica a publicar documentos secretos revelando a má 
conduta de governos, empresas e organizações (ASSANGE, 2013). 
6 Denunciante, informante (tradução livre). 
 
16 
no campo de “desenvolvimento de softwares que ajudam organizações do 
mundo inteiro a entenderem o significado por trás da informação”. Como?Um 
time de analistas varre conteúdos de emails, documentos, fotos, redes 
sociais e outros tipos de mídia, atrás de informações relevantes, de 
acordo com a demanda do cliente. Segundo o site, organizações como 
KPMG, Philips, Oracle e T-Mobile já utilizaram os serviços da Autonomy [...] 
 
Todavia, não são apenas empresas privadas que fazem uso recorrente das 
referidas tecnologias de extração, monitoração e análise de dados em suporte aos 
seus processos. Conforme também exposto por Fonseca et al (2013): 
Segundo levantamento do jornal The Washington Post, o “black budget”, o 
orçamento destinado aos serviços de inteligência do governo dos Estados 
Unidos, soma US$ 52,6 bilhões ao ano – mais de 68% disso vai para a CIA, 
a NSA e o NRO (Escritório Nacional de Reconhecimento, órgão responsável 
por desenvolver, construir e operar satélites de reconhecimento). O valor 
reservado para as áreas de inteligência e vigilância dobrou em relação a 
2001. A maior parcela de gastos é com coleta, exploração e análise de dados. 
Apenas a CIA tem um gasto previsto de US$ 11,5 bilhões para coleta de 
dados em 2013. As empresas contratadas são mantidas em segredo. [...] 
Organizações como a Interpol, FBI e OTAN utilizam os softwares da 
subsidiária da IBM para rastrear grandes quantidades de dados 
provenientes da internet, chamadas telefônicas e dados bancários e 
“coletar, integrar, analisar, visualizare distribuir informações” a fim de 
interceptar indícios de atividade criminosa. [...] O produto? Softwares de 
rastreamento e processamento de dados para fins diversos, que vão do 
combate à corrupção e investigação de fraudes à interceptação de crimes que 
coloquem em risco a segurança nacional. 
 
Porém, ainda que tais meios automatizados de busca/coleta, análise e 
produção de conhecimento inevitavelmente possam vir a serem utilizados com outros 
fins que não o de suporte estrito à tomada de decisão organizacional, claramente, já 
não se é mais viável prescindir dos mais variados produtos advindos destas citadas 
ferramentas computacionais; visto que para além de satisfazerem a uma demanda 
crescente por informações técnicas, oportunas e precisas, o acesso ao produto 
diferenciado da Ciberinteligência vem se consolidando cada vez mais como uma 
questão estratégica para sobrevivência e fortalecimento das organizações modernas. 
Sobre esta perene necessidade de se estar sempre atento aos riscos e 
ameaças inerentes ao ciberespaço, Dr. Paulo Pagliusi, renomado especialista na área 
 
17 
de cibersegurança, adverte que: “Não há espaço para amadores no mundo 
cibernético. Não improvisem. 
O que está em jogo não é a área de TI, mas, sim, o negócio como um todo. 
Muitas empresas quebraram ao errar na estratégia.” (LOBO; COSTA, 2014). 
Porquanto, é clarividente a importância que a atuação da ciberinteligência pode 
impelir para o “negócio como um todo”, seja como relevante meio para a predição de 
cenários e de potenciais riscos, seja como parte do ferramental analítico pós-
ocorrência de quaisquer incidentes de segurança. 
Em reforço a esta perene percepção, mas agora em específico à situação das 
infraestruturas críticas brasileiras, Franco (2012) salienta que devido ao 
“gerenciamento operacional de grande parte das Infraestruturas Críticas Nacionais 
(ICN)” já ser realizado remotamente através da via cibernética, a importância da 
Ciberinteligência se acentua tanto na possibilidade de busca e coleta de dados de 
interesse, quanto na identificação das eventuais vulnerabilidades existentes nas redes 
computacionais das ICN. 
O referido autor argumenta que: 
Para a Atividade de Inteligência, a produção de conhecimento para a proteção 
dos sistemas que controlam a funcionalidade das ICN é fundamental para que 
o agente decisor possa intervir com oportunidade, minimizando ou 
neutralizando os possíveis danos causados por ações mal intencionadas. A 
correta aplicação dos preceitos de segurança orgânica também contribuirá 
para que os riscos sejam mitigados. Para tanto, é fundamental ter seus 
recursos humanos preparados para o ambiente cibernético, inclusive os da 
área de inteligência, alocando-os em uma estrutura organizacional eficiente e 
prática. Esta estrutura deve possuir a capacidade de, permanentemente, 
acompanhar a evolução das formas de ataques e cooptação de pessoas a 
fim de impedir intrusões maliciosas nos sistemas informatizados das ICN 
(FRANCO, 2012, p. 08). 
 
Logo, é plausível também depreender que a Inteligência Cibernética possa se 
posicionar de maneira consistente como disciplina altamente eficaz, não somente para 
atender às demandas genéricas dos tomadores de decisão organizacionais, mas 
sobremaneira, em suporte especializado ao processo de Gestão de Riscos de 
Segurança da Informação. 
Sua atuação pode ser delinear de maneira determinante na devida identificação 
e definição das adequadas medidas para mitigar e/ou extinguir os riscos cibernéticos 
 
18 
que influem (ou que possam vir a influir) sobre os ativos informacionais e 
comunicacionais, seja ainda na fase de planejamento da GRSImais especificamente, 
nas etapas de definição do contexto, análise e avaliação de riscos ou, no perene 
monitoramento do cenário ao qual a organização encontra-se inserida 
Na etapa de Definição do Contexto, a participação da Inteligência Cibernética 
pode se mostrar determinante na obtenção e disponibilização de dados e informações 
que venham a subsidiar de maneira realista e oportuna o mapeamento do cenário em 
que a organização está inserida, como também no cálculo da ocorrência dos riscos, 
este sendo entendido como a conjunção da probabilidade de ocorrência da ameaça e 
do impacto do ativo em relação ao negócio da empresa, caso o incidente venha a ser 
consumado (LENTO, 2014, p. 118). 
Ainda em consonância com a perspectiva defendida por Lento (2014), só que 
neste momento em relação às etapas de Análise e Avaliação de Riscos, o 
conhecimento advindo de tal especialidade de inteligência pode também se mostrar 
decisivo na precisa identificação dos riscos por meio do reconhecimento e correlação 
dos ativos, ameaças, vulnerabilidades e controles até então existentes, bem como na 
posterior estimação e priorização (hierarquização) dos riscos, com a criteriosa análise 
de impacto, determinação do risco e de sua magnitude para a continuidade dos 
negócios organizacionais. 
Já na etapa de Monitoramento e Análise Crítica dos Riscos de Segurança da 
Informação, convém atentar para o papel estratégico que a inteligência cibernética 
pode assumir no perene acompanhamento dos riscos e seus fatores, monitorando-os 
e analisando-os, a fim de se identificar tempestivamente eventuais mudanças no 
contexto ambiental da organização e na evolução de peremptórias ameaças ao seu 
negócio. 
Desta forma, após a devida identificação dos ativos, ameaças, vulnerabilidades, 
e posterior realização de análises e correlações por meio de ferramentas cibernéticas 
voltadas, dentre outras finalidades: à varredura de redes e sistemas, testes de 
penetração (PENTEST), mineração de dados e de conteúdos web de interesse, 
certamente a partir do produto obtido de tais soluções prospectivas será possível 
prosseguir de maneira consistente através das outras etapas subsequentes da GRSI; 
para que assim, ao final do processo, os respectivos tomadores de decisão possam 
se valer da mais completa e oportuna alternativa existente para a manutenção da 
integridade e disponibilidade de seus ativos e processos organizacionais, assim como 
 
19 
para gestão sensata de sua imagem não só no ciberespaço, mas também fora dele. 
 
5. A SEGURANÇA/DEFESAE AS INFRAESTRUTURAS 
 
As ICN constituem preocupação permanente dos órgãos de Estado e de 
governo envolvidos na segurança e na defesa nacionais, uma vez que, conforme 
expressa seu próprio conceito, sua destruição, ou mesmo a interrupção de seu 
funcionamento, ainda que temporariamente, provoca sério impacto social, econômico, 
político, internacional ou na segurança do Estado e da sociedade. Foram eleitas seis 
áreas prioritárias a serem protegidas, quais sejam: energia, telecomunicações, 
transportes, água, finanças e informação, enfatizando essa última por caracterizar as 
ICI. 
A dependência crescente de sistemas de informação controlados por redes de 
computadores e com aplicativos expostos à internet, onde o risco de exploração de 
eventuais vulnerabilidades por ameaças cibernéticas é uma realidade, torna a 
proteção das ICI que controlam a operação das ICN o foco da ações de Segurança e 
de Defesa Cibernéticas. 
Tais ICI, no entanto, são administradas, operadas e mantidas por órgãos civis, 
não havendo, no arcabouço legal vigente no país, nenhum dispositivo que autorize 
qualquer forma de atuação coercitiva em relação a elas, o que, é importante frisar, é 
totalmente coerente com o Estado de direito em uma sociedade democrática. 
Assim sendo, o grande desafio para a estratégia governamental relativa à 
Segurança e à Defesa Cibernéticas consiste na realização de uma campanha de 
sensibilização e conscientização, em nível nacional, envolvendo todos os setores da 
sociedade e todos os níveis educacionais, que viabilize a formação de uma cultura 
nacional de atuação colaborativa para com o MD/FA e demais órgãos governamentais 
envolvidos no tema. 
Tal campanhadeve, necessariamente, comportar a interação constante entre 
o MD/FA, o GSI-PR e as ICN inseridas nos setores público e privado. Nesse contexto, 
avulta de importância o papel do GSI-PR como grande coordenador e articulador, 
realizando a interface entre o MD/FA e a sociedade civil. 
 No tocante ao setor 18 empresarial, é importante, inclusive, incutir a idéia de 
uma relação custo-benefício altamente positiva decorrente da atuação colaborativa. 
Observa-se, também, uma tendência mundial crescente em destacar e priorizar a 
 
20 
proteção das ICN de um modo geral, e, em particular, das ICI a elas inerentes, no 
contexto da Segurança e Defesa Nacional, mediante campanhas de conscientização 
e atuação colaborativa entre órgãos governamentais e a sociedade em geral. 
Nas últimas décadas, o conhecimento na área cibernética tem crescido 
exponencialmente e a uma velocidade sem precedentes na história da humanidade. 
O espaço cibernético é um ambiente ainda desconhecido, mal definido, sem 
fronteiras nem leis, constituindo uma verdadeira terra de ninguém, com grande 
potencial para se tornar palco de mais uma disputa de poder no cenário internacional. 
Seu domínio constitui-se em grande desafio para a humanidade no presente século, 
podendose, até mesmo, compará-lo ao domínio dos mares no período das grandes 
navegações. 
Como era o mar para os navegadores portugueses e espanhóis, o espaço 
cibernético é, para o mundo contemporâneo, um grande desconhecido e, para sua 
conquista, não existem referências nem modelos. De modo semelhante ao ocorrido 
com o colonialismo luso-espanhol das grandes navegações e o neocolonialismo afro-
asiático do final do século XIX, vislumbra-se o prenúncio de uma verdadeira corrida 
rumo ao espaço cibernético, que pode constituir o moderno colonialismo do século 
XXI. 
A grande diferença dessa nova forma de colonialismo para as anteriores, no 
entanto, é que, nela, a disputa não fica restrita às grandes potências do momento, 
face ao caráter de assimetria do contencioso cibernético que pode beneficiar atores 
menos aquinhoados de poder. 
O paralelo com as armas nucleares é inevitável, pois já se pensa em um 
Tratado de NãoProliferação de Armas de Informação, à semelhança do Tratado de 
Não Proliferação de Armas Nucleares. 
Fazendo-se uma analogia com o princípio do “uti possidetis”, que legitimou as 
conquistas decorrentes das grandes navegações, o país que tiver fincado sua 
bandeira no espaço cibernético, certamente, estará em grande vantagem nas 
discussões com vistas ao estabelecimento de um marco legal que discipline a atuação 
no espaço cibernético. 19 Nesse contexto, o Brasil, pelo menos, aparentemente, 
encontra-se em boa situação, pois alguns dos protagonistas das discussões já em 
curso, particularmente a Rússia, têm elogiado o alegado potencial brasileiro para 
atuação no espaço cibernético. 
Os Estados Unidos da América também têm buscado o diálogo e apresentando 
 
21 
propostas de cooperação e parceria. Faz-se mister ressaltar, no entanto, que os 
países mais desenvolvidos, por se sentirem mais vulneráveis, têm buscado ampliar 
seu leque de parcerias internacionais, pois sabem que sua defesa depende do 
estabelecimento de laços de cooperação com os demais países. 
Assim sendo, pode-se afirmar, sem sombra de dúvida, que as medidas 
recentemente adotadas pelo Brasil, seja em nível de Governo (END), seja no âmbito 
do MD (Consolidação do Setor Cibernético), são muito pertinentes e oportunas, não 
apenas no contexto da afirmação da capacidade brasileira perante o mundo, mas 
também para preparar o país para defender seus interesses no espaço cibernético e 
proteger suas infraestruturas críticas nacionais contra ataques cibernéticos. Em 
síntese, pode-se afirmar que estamos no caminho certo e que, em termos de 
conhecimento e talentos, não ficamos a dever a nenhum dos países melhor situados 
econômica e tecnologicamente. 
Caso sejamos competentes na adoção das medidas que se fazem necessárias 
para fincarmos nossa bandeira no espaço cibernético e se conseguirmos motivar, 
conscientizar e mobilizar a população brasileira para a importância do tema e para a 
relação custo-benefício altamente positiva da cooperação nos esforços de Segurança 
e Defesa Cibernética, não correremos o risco de ficarmos alijados do seleto clube de 
países detentores de capacidade de atuar com desenvoltura e liberdade de ação 
nesse novo ambiente de atividade humana. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
22 
CONCLUSÃO 
 
Ao final deste artigo, com base na correlação e análise dos fatos e constatações 
apresentadas, é possível concluir que o papel da Inteligência Cibernética cada vez 
mais avulta em importância como decisiva alternativa, não só para a obtenção de 
dados e informações em atendimento às demandas dos órgãos de inteligência de 
Estado, mas sobremaneira, para a identificação de oportunidades, ameaças, 
vulnerabilidades e riscos existentes em prol das mais variadas organizações, sejam 
elas de controle privado ou governamental. 
Muito disso deve-se à intensificação da pesquisa, desenvolvimento e 
consequente aumento da qualidade e versatilidade dos produtos entregues pelas mais 
variadas ferramentas cibernéticas destinadas, sumariamente, à coleta de dados e 
conteúdos de interesse, análise detalhada de grandes repositórios de dados, 
varredura de redes/sistemas e à predição de cenários com base no monitoramento 
constante do comportamento das variáveis determinantes para a continuidade dos 
negócios e tratamento dos incidentes de segurança organizacionais. 
No que tange em particular ao processo de GRSI, foi possível também 
depreender o relevante papel que a ciberinteligência pode assumir na tarefa de 
fornecer informação técnica, confiável e oportuna, ao atuar em suporte direto às 
etapas de Definição de Contexto, Análise, Avaliação de Riscos, Monitoramento e 
Análise Crítica dos Riscos de Segurança da Informação, em proveito do aumento do 
grau de adaptabilidade e resiliência das organizações, e de maneira transversal, para 
a redução da chance de ocorrência de contraproducentes incidentes de segurança 
que possam vir a atentar contra a continuidade de seus processos críticos. 
Contudo, para que a Inteligência Cibernética venha a se consolidar ainda mais 
em importância e em efetividade, principalmente em apoio ao processo de Gestão de 
Riscos de Segurança da Informação, entende-se como impostergável a devida 
definição e padronização de normas e procedimentos específicos que regulem de 
maneira exequível o seu escopo de atuação neste complexo e assimétrico âmbito 
dialético, assim como também se faz presente, a necessária intensificação de ações 
para o fomento e estabelecimento de grupos de trabalho e de intercâmbios entre 
equipes multidisciplinares compostas por representantes de corporações de TIC, 
universidades, ONGs e outros órgãos de Estado, para que assim, sejam 
desenvolvidas inovadoras e eficazes soluções tecnológicas para a segurança e 
 
23 
proteção dos mais variados interesses organizacionais, sejam eles cibernéticos ou 
não. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
24 
REFERÊNCIAS 
 
ABNT, AB de NT. NBR ISO/IEC 27005–Tecnologia da Informação – Técnicas de 
Segurança – Gestão de Riscos de Segurança da Informação. Rio de Janeiro: 
ABNT, 2008. 
 
ASSANGE, Julian et al. Cypherpunks: liberdade e o futuro da internet. São Paulo: 
Boitempo, 2013. 
 
BRUNEAU, Thomas. Intelligence and democratization: the chalenge of control in 
new democracies: ocasional paper #5. Monterey/California:The Center for Civil-Military 
Relations – Naval Postgraduate School, March, 2000. 
 
CEPIK, Marco A. C. Espionagem e Democracia. Rio de Janeiro: Editora FGV, 2003. 
 
CÔRTES, Sérgio da Costa; PORCARO, Rosa Maria; LIFSCHITZ, Sérgio. Mineração 
de Dados – Funcionalidades, Técnicas e abordagens. PUC-RIO,2002. Disponível 
em: . Acesso em 27 
jan. 2014. 
 
FONSECA, Bruno et al. Wikileaks: quem lucra com a espionagem digital. 2013. 
Disponível em: . Acesso em: 27 jan. 2014. 
 
FRANCO, Luis Henrique Santos. A atividade de inteligência na segurança cibernética 
às infraestruturas críticas nacionais do setor de energia elétrica. Revista A Lucerna: 
Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 07-22, dez 2012. 
 
GONÇALVES, Joanisval Brito. Atividade de Inteligência e legislação correlata. 2. 
ed. Niterói: Impetus, 2011. 
 
GSIPR. Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, de 25 de 
fevereiro de 2013. Diretrizes para o processo de Gestão de Riscos de Segurança da 
Informação e Comunicações - GRSIC nos órgãos e entidades da Administração 
Pública Federal. Disponível em: 
. Acesso em: 25 jan. 2014. 
 
INFO. Revista INFO EXAME: para uma nova realidade, São Paulo: Abril, ago. 2011. 
 
INSA. Cyber Intelligence: Setting the landscape for an emerging discipline.White 
Paper, september, 2011. Intelligence and National Security Alliance, Arlington, VA. 
Disponível em: . 
Acesso em: 20 jul. 2014. 
 
LENTO, Luiz Otávio Botelho. Gestão de risco de segurança da informação: livro 
digital. 2. Ed., Palhoça: UnisulVirtual, 2014.