2 Guia SICI

1
PRESIDNCIA DA REPBLICA
Gabinete de Segurana Institucional
Secretaria Executiva
Departamento de Segurana da Informao e Comunicaes

GUIA DE REFERNCIA PARA A
SEGURANA DAS INFRAESTRUTURAS
CRTICAS DA INFORMAO
Verso 01 Nov./2010

Claudia Canongia, Admilson Gonalves Jnior e Raphael
Mandarino Junior (Organizadores)

Braslia - DF
2010

2

3
Presidente da Repblica
Luis Incio Lula da Silva

Vice-Presidente da Repblica
Jos Alencar Gomes da Silva

Ministro Chefe do Gabinete de Segurana Institucional
Jorge Armando Felix

Secretrio Executivo
Antonio Srgio Geromel

Diretor do Departamento de Segurana da Informao e
Comunicaes
Raphael Mandarino Junior

4
Copyright 2010 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total,
por qualquer meio, se citada a fonte.
Disponvel em formato eletrnico: http://dsic.planalto.gov.br

Organizadores
Claudia Canongia, Admilson Gonalves Jnior e Raphael Mandarino Junior

Colaboradores
Subgrupos 1, 2 e 3 do Grupo de Trabalho de Segurana das Infraestruturas Crticas da
Informao GT SICI
Subgrupo 1: Mapeamento de Ativos de Informao das Infraestruturas Crticas da Informao

Admilson Gonalves Jnior, Ministrio do Planejamento, Oramento e Gesto
Alexandre Costa Guindani, Caixa Econmica Federal
Alexandre Mariano Feitosa, Ministrio da Defesa
Jos Ney de Oliveira Lima, Ministrio do Planejamento, Oramento e Gesto
Murilo Srgio de Farias Flix, Petrobras
Nbia Moreira dos Santos, Ministrio do Planejamento, Oramento e Gesto
Pedro Andr Freire, Servio Federal de Processamento de Dados
Ricardo Brigatto Salvatore, Ministrio da Defesa
Sandro Herman Pereira Rehem, Ministrio do Planejamento, Oramento e Gesto
Suzana de Queiroz Ramos Teixeira, Ministrio da Cincia e Tecnologia

Subgrupo 2: Requisitos mnimos necessrios Segurana das Infraestruturas Crticas da
Informao: aumentar a segurana, resilincia e capacitao

Amilcar Faria, Banco Central
Andr Moreira, Banco do Brasil
Danilo Dias, Banco Central
Eduardo Gomes de Barros, Comando do Exrcito
Humberto Campedelli, Empresa de Tecnologia e Informaes da Previdncia Social
Marcelo Paiva Fontenele, Comando do Exrcito
Marcos Allemand Lopes, Servio Federal de Processamento de Dados

Subgrupo 3: Mtodo para Identificao de Ameaas e Gerao de Alertas de Segurana das
Infraestruturas Crticas da Informao

Alexandre Hosang, Agncia Brasileira de Inteligncia
tila Bandeira, Banco do Brasil
Bernadette S. C. Castilho, Petrobras
Joo Matos Pinheiro Filho, Agncia Brasileira de Inteligncia
Paulo Gonalves Garcia, Ministrio das Relaes Exteriores

Projeto grfico, edio e impresso
Agncia Brasileira de Inteligncia/GSIPR

Apoio de reviso tcnica
Marlene Isidro (DSIC/GSIPR)

5

Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)

Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica.

Gabinete de Segurana Institucional (GSI/PR)
Secretaria Executiva (SE)
Departamento de Segurana da Informao e Comunicaes (DSIC)
Praa dos Trs Poderes
Anexo III do Palcio do Planalto. Trreo, Ala A Sala 107
70150-900 - Braslia, DF
Fax: +55 (61) 3411-1217
Site: http://dsic.planalto.gov.br
B823g

Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento de Segurana da
Informao e Comunicaes.

Guia de referncia para a segurana das infraestruturas crticas da informao / Gabinete de
Segurana Institucional, Departamento de Segurana da Informao e Comunicaes; organizao
Claudia Canongia, Admilson Gonalves Jnior e Raphael Mandarino Junior. Braslia: GSIPR/SE/DSIC,
2010.
151 p.
Verso 01

1. Segurana das Infraestruturas crticas da informao Brasil. 2. Segurana da informao e
comunicaes - Brasil. 3. Segurana ciberntica - Brasil. I. Ttulo. II. Canongia, Claudia. III. Gonalves
Jnior, Admilson. IV. Mandarino Junior, Raphael.

CDD 658.4038
CDU 004.056.57 (035)

6

7
APRESENTAO
com imensa satisfao que apresento este Guia de
Referncia, o qual rene mtodos e instrumentos, visando
garantir a Segurana das Infraestruturas Crticas da
Informao, com relevantes aspectos destacados dada a
complexidade do tema nos dias atuais.
Dentre as motivaes do Gabinete de Segurana
Institucional, rgo essencial da Presidncia da Repblica,
para esta obra, tem-se a prpria prerrogativa do Gabinete de
coordenar a atividade de Segurana de Infraestruturas
Crticas - definida como as instalaes, servios e bens que,
se forem interrompidos ou destrudos, provocaro srio
impacto social, econmico, poltico, internacional ou
segurana nacional. Assim, motivado por esta misso e
considerando a necessidade de assegurar, dentro do espao
ciberntico, aes de segurana da informao e
comunicaes como fundamentais para garantir
disponibilidade, integridade, confidencialidade e autenticidade
da informao, no mbito da Administrao Pblica Federal,
direta e indireta; a possibilidade real de uso dos meios
computacionais para aes ofensivas por meio da penetrao
nas redes de computadores de setores estratgicos para a
nao; e o ataque ciberntico como sendo uma das maiores
ameaas mundiais na atualidade; foi institudo, em agosto de
2009, um Grupo de Trabalho para estudo e anlise de
matrias relacionadas Segurana das Infraestruturas
Crticas da Informao - o subconjunto de ativos de
informao que afetam diretamente a consecuo e a
continuidade da misso do Estado e a segurana da
sociedade - no mbito do Comit Gestor de Segurana da
Informao (CGSI).

8
Este Guia de Referncia, alm de assistir a misso do
GSIPR, rene estudos tcnicos sobre a Segurana das
Infraestruturas Crticas da Informao desenvolvidos por
especialistas de diferentes rgos da Administrao Pblica
Federal, direta e indireta. Tal diversidade enriqueceu e
propiciou diversas e significativas opinies sobre o tema, as
quais, indubitavelmente, fomentaro discusses e propostas
de melhorias sobre o assunto. Dentre os pontos fortes,
destaco as recomendaes para identificar as
interdependncias entre os Ativos de Informao meios de
armazenamento, transmisso e processamento, os sistemas
de informao, bem como os locais onde se encontram esses
meios e as pessoas que a eles tm acesso.
Recomendo, portanto, a leitura deste Guia, cuja
publicao considero significativo incremento no arcabouo
de documentos que objetivam garantir a Segurana Nacional,
e convido-os a contribuir com propostas e sugestes para a
evoluo do mesmo, visando estabelecer melhores prticas
de Segurana das Infraestruturas Crticas da Informao.
Boa leitura!

J orge Armando Felix
Ministro Chefe do Gabinete de Segurana Institucional da
Presidncia da Repblica

9
LISTA DE SIGLAS E ABREVIATURAS
ABNT Associao Brasileira de Normas Tcnicas
APF Administrao Pblica Federal
BS British Standard
CAIS Centro de Atendimento a Incidentes de
Segurana
CERT.br Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil
CETIR Gov Centro de Tratamento de Incidentes de
Segurana em Redes de Computadores da
Administrao Pblica Federal
CGSI Comit Gestor de Segurana da Informao
CREDEN Cmara de Relaes Exteriores e Defesa
Nacional
DDoS Distributed Denial of Service
D.O.U. Dirio Oficial da Unio
DSIC Departamento de Segurana da Informao e
Comunicaes
EGTI Estratgia Geral de Tecnologia da Informao
FISMA Federal Information Security Management Act
GIAC Global Information Assurance Certification
GRSIC Gesto de Riscos de Segurana da Informao
e Comunicaes
GSIPR Gabinete de Segurana Institucional da
Presidncia da Repblica
GTSIC Grupo Tcnico de Segurana de Infraestruturas
Crticas
GTSICI Grupo de Trabalho de Segurana de
Infraestruturas Criticas da Informao
IC Infraestruturas Crticas
ICI Infraestruturas Crticas de Informao
ISO International Organization for Standardization
NIST National Institute of Standards and Technology

10
MPOG Ministrio do Planejamento, Oramento e
Gesto
OWASP Open Web Application Security Project
PDTI Plano Diretor de Tecnologia da Informao
RNP Rede Nacional de Ensino e Pesquisa
SICI Segurana das Infraestruturas Crticas da
Informao
SISBIN Sistema Brasileiro de Inteligncia
SISP Sistema de Administrao dos Recursos de
Informao e Informtica

11
LISTA DE FIGURAS
Figura 0.1 Ciclo da Gesto de Riscos de Segurana da
Informao e Comunicaes (GSIPR, 2009a),
33
Figura 0.2 Processo de Gesto da Segurana da
Informao, 34
Figura 1.1 Macroprocessos do Mapeamento de Ativos de
Informao, 38
Figura 3.1 Processo de Gesto da Segurana da
Informao e Comunicaes, 85
Figura 4.1 Redes de Colaborao e Comunicao, 107
Figura 4.2 Mdulo de Identificao de Ameaas e
Gerao de Alertas, 108

12

13
LISTA DE TABELAS
Tabela 2.1 Descrio das Probabilidades, 79
Tabela 2.2 Descrio dos Impactos, 80
Tabela 2.3 Probabilidade x Impacto, 80
Tabela 2.4 Descrio dos Nveis de Risco, 81
Tabela 3.1 Tabela de Verificao de Requisitos Mnimos
necessrios Segurana das Infraestruturas
Crticas da Informao, adaptado de YOO (2007),
90
Tabela 3.2 Tabela de Nvel de Maturidade de Segurana da
Infraestrutura Crtica da Informao (YOO,2007), 95
Tabela 3.3 Tabela de Relacionamento de Itens de Controle X
Questionrio de Mapeamento de Ativos de
Informao, 95
Tabela 4.1 Tabela de Etapas do Mtodo de Identificao de
Ameaas e Gerao de Alertas, 104

14

15
SUMRIO
APRESENTAO, 7
LISTA DE SIGLAS E ABREVIATURAS, 9
LISTA DE FIGURAS, 11
LISTA DE TABELAS, 13
PREFCIO, 19
INTRODUO, 27
CAPTULO 1. MACROPROCESSOS PARA
MAPEAMENTO DE ATIVOS DE
INFORMAO, 37

1.1. Identificao e Classificao de Ativos de
Informao, 40
1.1.1. Metodologia, 41
1.1.2. Fronteiras dos Ativos de Informao, 46
1.1.3. Contineres dos Ativos de Informao, 47
1.1.4. Propriedade e Custdia dos Ativos
de Informao, 48

CAPTULO 2. INSTRUMENTOS PARA MAPEAMENTO E
ACOMPANHAMENTO DE ATIVOS DE
INFORMAO, 51

2.1. Questionrio para Mapeamento de Ativos de
Informao, 51
2.2. Identificao de Potenciais Ameaas e
Vulnerabilidades, 72
2.2.1. Identificao de potenciais ameaas, 72
2.2.2. Identificao de vulnerabilidades, 77
2.3. Avaliao de Riscos dos Ativos de Informao, 79

16
CAPTULO 3. REQUISITOS MNIMOS NECESSRIOS
CRTICAS DA INFORMAO:
SEGURANA, RESILINCIA E
CAPACITAO, 83

3.1. Estratgias para Segurana das Infraestruturas
Crticas da Informao, 84
3.1.1. Segurana da Informao, 84
3.1.2. Capacitao (Cultura), 88
3.2. Requisitos mnimos necessrios para a
Segurana das Infraestruturas Crticas da
Informao, 90

CAPTULO 4. MTODO DE IDENTIFICAO DE
AMEAAS E GERAO DE ALERTAS DE
CRTICAS DA INFORMAO, 101

4.1. Mtodo de Identificao de Ameaas e Gerao
de Alertas, 102
4.1.1. Sensores e Sinais, 102
4.1.2. Princpios, 103
4.1.3. Etapas do mtodo, 104
4.1.4. Modelos do mtodo, 105
4.1.5. Redes de Colaborao e Comunicao, 106
4.2. Aplicao do Mtodo, 107
CONSIDERAES FINAIS, 111
GLOSSRIO, 113
REFERNCIAS, 119
ANEXO A.1 FORMULRIOS DE APOIO PARA
REGISTRO E GESTO DOS ATIVOS DE
INFORMAO, 125
ANEXO A.2 EXEMPLOS DE AMEAAS COMUNS, 129

17
ANEXO A.3 EXEMPLOS DE VULNERABILIDADES, 133
ANEXO A.4 PERFIS DE AMEAAS, 139
ANEXO B.1 PROPOSTA DO GT SICI: ESTRUTURA
GENRICA PARA SEGURANA DAS
INFRAESTRUTURAS CRTICAS DA
INFORMAO, 141
ANEXO B.2 VISUALIZAO DAS CAMADAS DE
SEGURANA, 151

18

19
PREFCIO
Observamos tendncia mundial crescente em destacar
e priorizar a elaborao de diretrizes, planos e aes voltados
a assegurar e promover a segurana das infraestruturas
crticas da informao, em especial pela transversalidade e
particularidade do tema.
Entre as justificativas relativas segurana das
infraestruturas crticas da informao, salientamos, a
crescente convergncia tecnolgica, a elevada interconexo
de redes e sistemas, e sua interdependncia.
No sentido de introduzir tal reflexo no pas, o Grupo
de Trabalho de Segurana das Infraestruturas Crticas da
Informao (GT SICI) foi institudo no mbito do Comit
Gestor de Segurana da Informao (CGSI) com as seguintes
atribuies, conforme Portaria N
o
. 34 CDN/SE de
05/08/2009
1
:
I - levantar e avaliar as potenciais vulnerabilidades e
riscos que possam afetar a Segurana das Infraestruturas
Crticas da Informao, o que requer a identificao e
monitoramento das interdependncias;
II - propor, articular e acompanhar medidas
necessrias Segurana das Infraestruturas Crticas da
Informao;
III - estudar, propor e acompanhar a implementao de
um sistema de informaes que conter dados atualizados
das Infraestruturas Crticas da Informao, para apoio a
decises; e,
IV - pesquisar e propor um mtodo de identificao de
alertas e ameaas da Segurana de Infraestruturas Crticas
da Informao.

1
D.O.U. No. 149 de 06/08/2009.

20
O GT SICI conta com especialistas, designados como
titulares e suplentes, de 13 rgos, a saber: GSIPR/DSIC;
Casa Civil/PR; Ministrio da Defesa; Ministrio das Relaes
Exteriores; Ministrio da Sade; Ministrio do Planejamento,
Oramento e Gesto; Ministrio da Cincia e Tecnologia;
Banco Central do Brasil; Banco do Brasil; Caixa Econmica
Federal; SERPRO, PETROBRS, e DATAPREV
2
.
O plano de trabalho para o ano de 2010 foi
desenvolvido visando oferecer mtodos, instrumentos, bem
como glossrio de conceitos bsicos utilizados na Segurana
das Infraestruturas Crticas da Informao comunidade de
Segurana da Informao e Comunicaes (SIC) e das
Infraestruturas Crticas (IEC).
O GT SICI foi, ento, subdividido para estudar e
desenvolver os seguintes tpicos:
1 - Mapeamento de Ativos de Informao das
Infraestruturas Crticas da Informao;
2 - Requisitos mnimos necessrios Segurana das
Infraestruturas Crticas da Informao: visando aumentar a
segurana, resilincia e capacitao; e,
3 - Mtodo de Identificao de Ameaas e Gerao de
Alertas de Segurana das Infraestruturas Crticas da
Informao.
Os trs subgrupos contaram com participao efetiva
de membros titulares, suplentes, bem como de convidados do
citado GT SICI, e os estudos foram desenvolvidos de maro a
setembro de 2010, por meio de reunies presenciais e
virtuais.
Os estudos desenvolvidos expressam significativa e
substantiva colaborao tcnica, calcadas em mltiplas
vises da Administrao Pblica Federal, direta e indireta, e
abrem espao para observaes e sugestes de melhorias
adicionais e contnuas, caracterizando-se como importante

2
Portaria No. 59 publicada no D.O.U No. 215 de 11/11/2009.

21
subsdio para a elaborao do Plano de Segurana das
Infraestruturas Crticas da Informao do Pas.
Como ponto de partida, os seguintes conceitos
balizaram os estudos e trabalhos iniciais do GT SICI:
Infraestruturas Crticas da Informao, como o subconjunto
de ativos de informao que afetam diretamente a
consecuo e a continuidade da misso do Estado e a
segurana da sociedade; e, complementarmente, Ativos de
Informao como os meios de armazenamento, transmisso
e processamento, os sistemas de informao, bem como os
locais onde se encontram esses meios e as pessoas que a
eles tm acesso.
Ao trmino dos trabalhos, os Subgrupos apresentaram
suas propostas Coordenao do GT, exercida pelo
Gabinete de Segurana Institucional da Presidncia da
Repblica (GSIPR), por intermdio de seu Departamento de
Segurana da Informao e Comunicaes (DSIC), a qual,
diante da excelncia das propostas apresentadas, levou
considerao do Comit Gestor de Segurana da Informao
(CGSI) a proposio de publicao de um livro que
consolidasse os trabalhos, o que permitiu a gerao do Guia
de Referncia para a Segurana das Infraestruturas Crticas
da Informao, como subsdio tcnico de extrema
importncia aos gestores de segurana da informao e
comunicaes bem como aos gestores de infraestruturas
crticas.
So destacados, a seguir, os tpicos principais tratados
no livro:
Introduo: apresenta, alm da
caracterizao e contextualizao do tema
segurana das infraestruturas crticas da
informao, sistemtica para avaliao de riscos
com proposta mais detalhada de gerenciamento
de riscos e continuidade de negcios;

22
Captulo 1: apresenta os
Macroprocessos de Mapeamento de Ativos
de Informao, no intuito de delinear caminhos
para determinar se um ambiente ou no
seguro no que se refere informao e
comunicaes, considerando-se a DICA
(critrios de Disponibilidade, Integridade,
Confidencialidade e Autenticidade). Somam-se
questes relativas crescente incidncia de
ataques cibernticos, o que torna ainda maior a
necessidade de rastrear interdependncias
internas/externas, a fim de que sejam
identificados os impactos decorrentes da
interrupo dos servios oriundos de
infraestruturas crticas da informao, e que
sejam implementadas aes adequadas
manuteno da continuidade dos servios. Uma
das principais medidas iniciais refere-se ao
alcance do entendimento inequvoco dos ativos
de informao, e tambm da identificao de
seus respectivos contineres;
Captulo 2: propicia Instrumentos
para o Mapeamento e o Acompanhamento de
Ativos de Informao, contempla tanto um
questionrio, com 50 questes fechadas, quanto
um conjunto de formulrios que objetivam
facilitar a identificao, registro, e gesto dos
ativos de informao. Alm de disponibilizar
anexos que oferecem Lista de ameaas
comuns, segundo Norma ABNT (2008a), Lista
de vulnerabilidades, tambm baseada na Norma
ABNT (2008a), e, Tabelas de caracterizao dos
perfis das ameaas;
Captulo 3: apresenta modelo e
instrumentos de apoio a gesto e

23
acompanhamento de Requisitos mnimos
necessrios Segurana das Infraestruturas
Crticas da Informao: aumentar a
segurana, resilincia e capacitao , por
meio da categorizao dos controles e
respectivos itens de controles de segurana da
informao e comunicaes, de forma a atender
aos requisitos mnimos de segurana das
infraestruturas crticas da informao, e,
tambm, visando permitir a identificao e o
acompanhamento do nvel de maturidade da
segurana das infraestruturas crticas da
informao nas organizaes. O modelo e
instrumentos tomaram como base a legislao
brasileira vigente sobre o tema, bem como
referencial normativo internacional, tais como
NIST, ISO, FISMA, GIAC, OWASP, e a
experincia do Centro de Controle da Coria do
Sul, o qual aplica como metodologia de trabalho
para este tema, categorias de controle e nveis
de maturidade. Alm disso, este Captulo
demonstra o alinhamento e a respectiva
correspondncia dos itens de controles
propostos com a identificao dos ativos de
informao, conforme o questionrio
apresentado no Captulo 2. Soma-se que para a
construo de viso sistemtica e de evoluo
continuada foram estabelecidas camadas em
cinco nveis de maturidade, sendo estes
transpostos em ciclos at que o rgo /
instituio atinja o nvel mais elevado de
maturidade, propondo-se o nvel 2 como nvel
mnimo de maturidade inicial em Segurana das
Infraestruturas Crticas da Informao. H um
reforo adicional do trabalho ao utilizar os

24
conceitos de proteo resilincia segurana;
passando-se pelos conceitos de resilincia
operacional, condio prvia para se atingir a
resilincia organizacional;
Captulo 4: indica Mtodo para
Identificao de Ameaas e Gerao de
Alertas de Segurana das Infraestruturas
Crticas da Informao, busca nortear as
aes a partir dos princpios da seletividade e da
oportunidade, para a gerao de alertas, por
meio de processo que compreende aes de
coleta anlise divulgao, a serem
realizadas pelos responsveis (gestores das
Infraestruturas Crticas da Informao ICI). As
aes contribuiro para a formao de uma rede
de colaborao e comunicao, que poder ser
coordenada de forma centralizada,
descentralizada, ou hbrida, e cuja finalidade
principal a troca de sinais (ameaas ainda no
validadas, mas que precisam ser comunicadas).
Essa sinalizao deve ser controlada por um
setor especfico para que sejam tomadas as
medidas adequadas de resposta aos alertas. Ao
final deste Captulo, descreve-se o Mdulo de
Monitoramento de Ameaas e Gerao de
Alertas de Segurana das Infraestruturas
Crticas da informao, que foi desenvolvido
baseado no mapeamento dos ativos de
informao e respectivos itens de controle,
promovendo, assim, o alinhamento e a sinergia
com os 3 Captulos deste livro, no sentido de
fomentar a viso ora proposta do Guia de
Referncia para a Segurana das Infraestruturas
Crticas da Informao.

25
A Coordenao do GT SICI muito tem a agradecer aos
titulares, suplentes e colaboradores convidados do GT, dado
o empenho, a dedicao, e a colaborao de excelncia
tcnica de todos, o que permitiu organizar e lanar este Guia.
Achamos que vale dizer tambm que durante as
reunies ordinrias do GT SICI, bem como por meio
eletrnico, a Coordenao do GT colaborou intensa e
sistematicamente com os rumos e objetivos que os estudos
deveriam seguir, sem contudo, interferir diretamente na
proposio tcnica dos especialistas colaboradores,
estimulando a construo de novos conhecimentos no tema.
Finalmente, sabemos que este o primeiro passo, e
que muito h ainda por construir. Por isso, queremos convid-
lo a contribuir com os avanos deste Guia, registrando seu
relato de experincia de segurana das infraestruturas crticas
da informao, no Portal do DSIC
3
. Sua participao
certamente ampliar nosso conhecimento e permitir inovar
os modelos, instrumentos, e conceitos deste Guia.

Raphael Mandarino Junior
Coordenador do GT SICI
Diretor do DSIC/GSIPR

Claudia Canongia, Dra.
Representante suplente do GSIPR no
GT SICI
Assessora Tcnica do DSIC/GSIPR

3
https://dsic.planalto.gov.br/fale-com-o-dsic

26

27
INTRODUO
As Infraestruturas Crticas (IC) - instalaes, servios,
bens e sistemas exercem significativa influncia na vida de
qualquer pessoa e na operao de setores importantes para o
desenvolvimento e manuteno do pas, como o caso do
setor industrial. Elas so importantes pelas facilidades e
utilidades que fornecem sociedade e, principalmente, por
subsidiarem, na forma de recurso ou servio, outras
Infraestruturas Crticas, mais complexas ou no. Ao passar
dos anos, a interdependncias verticais das Infraestruturas
Crticas, caracterizadas por um baixo acoplamento entre elas,
deu lugar s interdependncias horizontais altamente
acopladas, com muitos pontos de interao em suas
dimenses (BAGHERY, 2007).
Na prtica, com a ausncia da operao apropriada de
uma IC, a funo de outras poderiam ser interrompidas,
provocando srio impacto social, econmico, poltico,
internacional ou segurana do Estado e da sociedade
(CDN/SE, 2009).
As reas prioritrias das Infraestruturas Crticas, sem
prejuzo de outras que porventura vierem a ser definidas, so
expressas nos incisos de I a V do art. 3 da Portaria N 02 do
Repblica, de 8 de fevereiro de 2008. So elas,
respectivamente conforme mencionadas na Portaria: Energia,
Transporte, gua, Telecomunicaes e Finanas. A mesma
Portaria instituiu os Grupos Tcnicos de Segurana das
Infraestruturas Crticas (GTSIC), com a finalidade de que
aqueles proponham a implementao de medidas e aes
relacionadas com a segurana destas.
Os servios prestados por essas reas so de vital
importncia para os cidados, para as organizaes e para o

28
Estado, cuja proteo permanente visa garantir a
continuidade da prestao dos servios mesmo em situaes
de crise.
As Infraestruturas Crticas da Informao (ICI) so
assim definidas como o subconjunto de Ativos de Informao
- meios de armazenamento, transmisso e processamento,
sistemas de informao, bem como os locais onde se
encontram esses meios e as pessoas que a eles tm acesso -
que afetam diretamente a consecuo e a continuidade da
misso do Estado e a segurana da sociedade (CDN/SE,
2009).
As Infraestruturas Crticas de Informao possuem a
peculiar caracterstica de poderem fazer parte, com relaes
de interdependncias horizontais, de vrias Infraestruturas
Crticas, ou seja, a informao gerada por determinada rea
prioritria das Infraestruturas Crticas pode ser insumo para
outra, evidenciando, desta forma, o alto grau de acoplamento
e interdependncia existente entre elas.
Tal fato eleva a necessidade da identificao dos ativos
de informao essenciais, bem como o tratamento dos riscos
a que estes ativos esto expostos, pois o impacto causado
pela perda ou indisponibilidade destes ativos pode
comprometer toda a cadeia de Infraestruturas Crticas
existentes.
Os Ativos de Informao, como qualquer outro
relevante para o negcio, tem valor para a organizao e
necessita ser adequadamente protegido. Alm disso, as
dependncias dos sistemas e servios, as tendncias e
evolues tecnolgicas da computao distribuda, as
interconexes de redes pblicas e privadas e o
compartilhamento de recursos expem as organizaes s
diversas ameaas, entre elas: fraudes eletrnicas,
espionagem, sabotagem, vandalismo, fogo, inundao,
blackouts, cdigos maliciosos, hackers, ataques de DDoS,
entre outras (ABNT, 2005).

29
Segundo a ABNT (2005), Segurana da Informao
4

(SI), como parte integrante do processo global de Gesto de
Segurana, tem como objetivo proteger a informao contra
ameaas no intuito de garantir a continuidade, minimizar os
danos e maximizar os investimentos e oportunidades do
negcio. A segurana da informao obtida com a utilizao
de controles: polticas, prticas, procedimento, estruturas
organizacionais e infraestruturas de hardware e software.
caracterizada pela preservao da disponibilidade,
integridade, confidencialidade e autenticidade da informao,
e visa preservar a competitividade, o faturamento, a
lucratividade, o atendimento aos requisitos legais e a imagem
da organizao. Mais recentemente, a Instruo Normativa
N 1 GSIPR (2008b) define a Segurana da Informao e
Comunicaes como aes que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade
e a autenticidade das informaes.
Adicionalmente, conta-se com a Instruo Normativa
N 4 SLTI/MPOG (2008) que dispe sobre o processo de
contratao de servios de tecnologia da informao pela
Administrao Pblica Federal direta, autrquica e
fundacional. Soma-se que a Estratgia Geral de Tecnologia
da Informao (EGTI) para a APF, revisada anualmente,
subsidia a elaborao dos Planos Diretores de Tecnologia da
Informao (PDTI) dos rgos e entidades integrantes do
Sistema de Administrao dos Recursos de Informao e
Informtica (SISP)
5
.

4
No Pas, o Decreto N 3.505, de 13 de junho de 2000, e o Decreto N 4.553,
de 27 de dezembro de 2002, dispem respectivamente, no mbito da
Administrao Pblica Federal, direta e indireta: pela instituio da Poltica de
Segurana da Informao nos rgos e entidades; e sobre a salvaguarda de
dados, informaes, documentos e materiais classificados de interesse da
segurana da sociedade e do Estado.
5
O Ministrio do Planejamento, Oramento e Gesto o rgo central do
SISP e, nesta condio, interage com o Gabinete de Segurana Institucional
da Presidncia da Repblica (GSIPR) para a divulgao e implementao da
Poltica de Segurana da Informao e Comunicaes nos rgos e entidades
da Administrao Pblica Federal, direta e indireta.

30
Para que uma organizao identifique seus requisitos
de segurana, ela deve basear-se em trs pilares. O primeiro
o conjunto dos princpios, objetivos e necessidades para o
processamento da informao que uma organizao tem que
desenvolver para apoiar suas operaes. O segundo a
legislao vigente, os estatutos, as regulamentaes e as
clusulas contratuais que a organizao, seus parceiros,
contratados e prestadores de servio tm que atender. E o
terceiro, oriunda das duas anteriores, so os requisitos de
segurana derivados da avaliao de riscos, processo
responsvel por identificar as ameaas aos ativos, as
vulnerabilidades com suas respectivas probabilidades de
ocorrncia e os impactos ao negcio.
Organizaes de todos os tipos e tamanhos enfrentam
influncias e fatores internos e externos que tornam incerto se
e quando sero atingidos os objetivos. O efeito dessa
incerteza sobre os objetivos da organizao o que
chamamos de risco (ABNT, 2009a).
Ainda conforme a Norma, todas as atividades de uma
organizao envolvem risco. As organizaes que gerenciam
o risco buscam identificar, analisar, avaliar e tratar os riscos
identificados, a fim de atender aos critrios e requisitos
necessrios a continuidade de suas operaes.
A Gesto de Riscos (GR) quando implementada e
mantida possibilita a uma organizao ou a uma IC:
a) Aumentar a probabilidade de atingir seus
objetivos;
b) Encorajar a gesto pr-ativa;
c) Identificar e tratar os riscos atravs de toda a
organizao;
d) Melhorar a governana;

31
e) Melhorar os controles;
f) Melhorar a eficcia e eficincia operacional;
g) Minimizar perdas;
h) Aumentar a resilincia da organizao.
Desta forma o processo de Gesto de Riscos produzir
subsdios para suportar o Sistema de Gesto de Segurana
da Informao e Comunicaes e a Gesto de Continuidade
dos Negcios.
Definir o escopo de aplicao da Gesto de Riscos de
Segurana da Informao e Comunicaes GRSIC ,
portanto, necessrio a fim de delimitar seu mbito de atuao.
Esse escopo pode abranger o rgo ou entidade como um
todo, um segmento, um processo, um sistema, um recurso ou
um ativo de informao, segundo leciona a Norma
Complementar N 04/IN01/DSIC/GSIPR (2009a).
No caso da Infraestrutura Crtica da Informao, o
escopo de aplicao dos conceitos e mtodos de GRSIC o
subconjunto de Ativos de Informao - meios de
armazenamento, transmisso e processamento, sistemas de
informao, bem como os locais onde se encontram esses
meios e as pessoas que a eles tm acesso que afetam
diretamente a consecuo e a continuidade da misso do
Estado e a segurana da sociedade (CDN/SE, 2009).
Existe certa complexidade no estabelecimento de
parmetros que sirvam de subsdio para a afirmao de que
um ambiente de informao seguro. importante a
identificao das consequncias relacionadas s
vulnerabilidades do tratamento da informao, da
compreenso dos diversos ambientes de contexto e da
adoo de um modelo de segurana que possa minimizar tais
consequncias (CT-STI, 2000).

32
Considerando esses aspectos, as ameaas
segurana da informao se concentram em dois pontos: as
vulnerabilidades existentes nos ambientes onde a informao
processada, armazenada ou transmitida e as ameaas
externas e internas segurana da informao nestes
ambientes (CT-STI, 2000).
Independentemente destas definies entende-se que
a GRSIC, aplicada a ICI, deve abranger, no mnimo, as
seguintes ameaas potenciais:
a) Terremotos
b) Furaes
c) Tornados
d) Inundao
e) Falta de Energia
f) Problemas no
Transporte Pblico
g) Greves
h) Pandemias
i) Escndalos
j) Vazamento de Informaes
k) Incndios
l) Contaminao Qumica
m) Distrbios Sociais
n) Bombas
o) Terrorismo
p) Falhas de Hardware
q) Falhas de Software
r) Vrus e worms
s) Morte de Pessoa Chave
Importante destacar que por melhor que seja o
processo de GRSIC implementado em uma ICI ele tem
carter apenas preventivo, no evitando que os riscos se
concretizem, apenas possibilitando a reduo das
probabilidades de ocorrncia.
Segundo a Norma Complementar N
04/IN01/DSIC/GSIPR (2009a), o processo Gesto de Riscos
de Segurana da Informao e Comunicaes GRSIC tem
como objetivo manter os riscos, a que os ativos de informao
esto expostos, em nveis aceitveis.
Esse processo de gesto composto pelas etapas de
definies preliminares, anlise/avaliao dos riscos, plano de
tratamento dos riscos, aceitao dos riscos, implementao
do plano de tratamento dos riscos, monitorao e anlise

33
crtica, comunicao do risco, alinhado ao modelo
denominado PDCA (Plan-Do-Check-Act), definido na Norma
Complementar N 02/IN01/DSIC/GSIPR (2008c), de modo a
fomentar a sua melhoria contnua.
As etapas que compem o ciclo de Gesto de Riscos
de Segurana da Informao e Comunicaes (GRSIC) so
apresentadas na figura abaixo:

Figura 0.1 - Ciclo da Gesto de Riscos de Segurana da Informao e
Comunicaes (GSIPR, 2009a)

34
Alm do exposto, para que uma Infraestrutura Crtica
(IC) esteja protegida de forma adequada necessrio que se
implemente um processo de gesto abrangente que
identifique as ameaas potenciais e os possveis impactos
aos seus ativos, processos ou pessoas, caso estas ameaas
se concretizem.
Este processo de gesto fornecer uma estrutura para
o desenvolvimento de resilincia da IC, conferindo a
capacidade de responder efetivamente a um evento ou
interrupo e salvaguardar os interesses do Estado e a
segurana da sociedade, por meio da recuperao da IC
afetada.
Com base nessa definio podemos dizer que a
Gesto de Continuidade de Negcio (GCN) busca preparar a
Infraestrutura Crtica para responder a eventos que possam
provocar uma interrupo significativa em suas atividades
essenciais, o que colocaria em risco sua sobrevivncia.

Figura 0.2 - Processo de Gesto da Segurana da Informao
O conceito e a metodologia da GCN, consolidada pelas
normas BS 25999, NBR 15999 e pela Norma Complementar
N 06/IN01/DSIC/GSIPR (2009c), so indicadas para a

35
proteo das Infraestrutura Crtica priorizadas pela Portaria N
02 do Gabinete de Segurana Institucional da Presidncia da
Repblica, de 8 de fevereiro de 2008.
De forma resumida podemos dizer que a
implementao da GCN possibilitar:
a) Entender os requisitos e as necessidades da IC;
b) Desenvolver e implementar estratgias de
continuidade adequadas aos requisitos da IC;
c) Capacitar a Infraestrutura Crtica para responder
adequadamente a incidentes, emergncias e crises
de qualquer natureza;
d) Desenvolver planos;
e) Testar e manter atualizados esses planos;
f) Educar todos os servidores/empregados envolvidos
na recuperao da IC.
A necessidade de assegurar dentro do espao fsico ou
ciberntico aes de segurana da informao como
fundamentais para garantir disponibilidade, integridade,
confidencialidade e autenticidade da informao e
comunicaes no mbito da Administrao Pblica Federal,
direta e indireta; a possibilidade real de uso dos meios
computacionais para aes ofensivas atravs da penetrao
nas redes de computadores de alvos estratgicos; e o ataque
ciberntico como sendo uma das maiores ameaas mundiais
na atualidade (CDN/SE, 2009), motivam a confeco deste
Guia, cujo objetivo auxiliar tanto os gestores de Segurana
da Informao quanto os de Infraestruturas Crticas a
identificar e a mapear os ativos de informao, considerando
suas interdependncias internas e externas organizao -
e potenciais vulnerabilidades e riscos que possam afetar a
segurana de Infraestruturas Crticas da Informao.

36

37
CAPTULO 1. MACROPROCESSOS
PARA MAPEAMENTO
DE ATIVOS DE
INFORMAO
O Mapeamento de Ativos de Informao um
processo iterativo e evolutivo, composto por trs atividades:
(1) identificao e classificao de ativos de informao,
(2) identificao de potenciais ameaas e
vulnerabilidades e (3) avaliao de riscos.
O produto de cada atividade servir de insumo para as
atividades subsequentes, e o resultado final do processo
dever proporcionar Alta Administrao condies para
priorizar quais ativos de informaes devero receber aes
de controle, visando o tratamento de riscos para a reduo
dos impactos ao negcio. Alm disso, o produto final do
processo ir subsidiar as atividades de identificao e
classificao de ativos de informao e identificao de
potenciais ameaas e vulnerabilidades quando um novo
ciclo do processo for executado.
Recomenda-se como boa prtica a reviso de todo o
processo periodicamente, e pontualmente quando um novo
ativo de informao agregado ao inventrio. Tambm so
considerados como boas prticas: testar periodicamente os
controles de riscos implantados; e registrar eventos de
incidentes de segurana em uma base de conhecimento, a
qual deve constar, pelo menos, a identificao do ativo de
informao, o incidente, a soluo de contorno, a causa raiz e
a soluo definitiva.

38
A seguir apresentada a sequncia de atividades do
processo e os possveis produtos de cada uma:

Figura 1.1 - Macroprocessos do Mapeamento de Ativos de Informao
Convm que a conduo das atividades do processo
seja realizada sob o vis de cinco perspectivas, as quais
visam fornecer uma viso macro a respeito dos impactos que

39
a ausncia da operao apropriada desses ativos poder
causar s Infraestruturas Crticas da Informao. As
perspectivas propostas so: Social, sob os aspectos de
Sade, Abastecimento e Meio Ambiente; Econmica; Poltica;
Internacional; e, Segurana do Estado e da Sociedade.
Abaixo, segue maior detalhamento a respeito de cada
perspectiva e como o processo dever ser direcionado:

1) Social:
a) Sade: relacionada sade da sociedade. Quo
importante o ativo de informao para manter a
sade e o bem-estar da populao atendida por
ele? Caso a segurana desse ativo seja
comprometida, as pessoas podero sofrer danos
fsicos ou mentais?
b) Abastecimento: relacionada ao abastecimento de
bens e servios prprios para a sociedade, como
gua, energia, transporte, telecomunicaes,
entre outros. Caso o ativo de informao tenha
algum requisito de segurana comprometido,
podero ocorrer problemas de abastecimento?
c) Meio Ambiente: relacionada ao ambiente em que
o ativo de informao se insere. Caso um ou mais
requisitos de segurana no sejam atendidos,
haver danos ao meio ambiente?
2) Econmica: relacionadas estabilidade econmica e
financeira do Pas e de seus Estados e Municpios.
Caso o ativo de informao tenha sua segurana
prejudicada, a economia local sofrer algum impacto?
3) Poltica: relacionada ao cenrio poltico da localidade
onde o ativo se encontra. Haver problemas polticos
caso a segurana do ativo de informao seja
comprometida?
4) Internacional: relacionada s relaes internacionais
do Pas e interdependncia do ativo de informao

40
com ativos de outros pases. O comprometimento da
segurana do ativo pode impactar na soberania
nacional, resultar em problemas para outros pases
ou no relacionamento do Brasil com o ambiente
internacional?
5) Segurana do Estado e da Sociedade: relacionada
garantia do nvel de segurana ideal para o Estado
e para a sociedade. Caso a segurana do ativo seja
comprometida, haver impacto para a segurana do
Estado e da sociedade?
1.1. Identificao e Classificao de Ativos
de Informao
O crescente incremento da complexidade tcnica e
ambiental dos negcios representa grandes obstculos e
desafios para aqueles necessitam proteger seus ativos de
informao. Esses ativos, por sua vez, sofrem constantes
processamentos e combinaes, gerando outros recursos
cada vez mais complexos e inter-relacionados. tnue a
linha entre posse e custdia dos recursos de informao, pois
a informao flui livremente por toda a organizao e
frequentemente ultrapassa suas fronteiras chegando a outros
atores, como: colaboradores, clientes, fornecedores e
concorrentes. O processo de Identificao e Classificao de
Ativos de Informao auxilia a organizao a conhecer,
valorizar, proteger e manter seus recursos em conformidade
com os requisitos legais e do negcio.
O processo de Identificao e Classificao de Ativos
de Informao tem como objetivos prover organizao: um
entendimento comum, consistente e inequvoco das fronteiras
dos ativos; a identificao clara de seu(s) proprietrio(s); um
conjunto completo de informaes sobre os requisitos de

41
segurana de cada recurso; uma descrio de onde o bem
est contido, processado e transportado; e a identificao
do valor que o ativo representa para o negcio. Por fim, o
processo cria condies para que os stakeholders possam
desenvolver e aplicar planos de gerenciamento de riscos
sobre tais ativos, em conformidade com os requisitos legais e
organizacionais (STEVENS, 2005).
1.1.1. Metodologia
O processo de Identificao e Classificao de Ativos
de Informao composto por seis atividades: (1) coletar
informaes gerais; (2) definir as informaes dos ativos;
(3) identificar o(s) responsvel(is); (4) identificar os
contineres dos ativos; (5) definir os requisitos de
segurana; e (6) estabelecer o valor do ativo de
informao. Cada atividade do processo coleta informaes
adicionais sobre os recursos, as quais podem ser refinadas
conforme novas percepes identificadas nas atividades
seguintes. Quando isto acontece, o processo dever ser
reiniciado com cada ativo de informao para garantir
acuracidade e consistncia entre as atividades (STEVENS,
2005).
Atividade 1 - Coletar Informaes Gerais
O objetivo desta atividade definir como ser a
estratgia da coleta das informaes, quem sero os
responsveis e qual a previso de concluso dos trabalhos.
natural que os recursos da informao evoluam com
o tempo, desta maneira, os perfis gerados pelo mapeamento
dos ativos da informao precisam ser constantemente
atualizados ou at mesmo recriados. Alm disto, pode ser
necessrio investigar ou saber a histria de um ativo
(STEVENS, 2005).

42
Segundo o autor, especificar o quando e por quem foi
gerado o mapeamento do ativo garante melhor processo de
continuidade e conhecimento sobre este recurso. Como no
caso da Alta Direo poder solicitar uma avaliao nas
mudanas significativas de posse, de custdia ou no valor do
recurso dentro da organizao.
Atividade 2 Definir as informaes dos ativos
A finalidade desta etapa caracterizar o escopo da
atividade de mapeamento, ou seja, antes de se executar
qualquer tarefa, a organizao deve compreender e
concordar quais ativos sero considerados e qual o nvel de
profundidade das informaes coletadas.
O nvel de detalhe das informaes dos ativos, definido
pela organizao a partir da necessidade do negcio, deve
ser suficiente para determinar o contedo do recurso, suas
fronteiras, o(s) responsvel(is), o valor e os requisitos de
segurana. Nestes casos, utilizar o bom senso e ser
consistente na definio dos ativos ajuda a reduzir a
complexidade na coleta das informaes.
A definio do recurso da informao deve esforar-se
para satisfazer exigncias mnimas de: consistncia (no
muda durante curtos perodos de tempo); clareza (no
ambgua ou vaga, sujeitando a dupla interpretao);
entendimento universal (est acima de linguagens e
tecnologias); aceitao ( aceitvel conforme requisitos do
negcio); materialidade ( clara a respeito de como o recurso
fisicamente instanciado - papel, mdia magntica, etc.)
(STEVENS, 2005).
importante, quando possvel, envolver o proprietrio
do recurso e outras partes interessadas no processo da
definio. Isso assegurar a exatido e a consistncia da
definio e da aceitao da atividade. Em alguns casos o
proprietrio no poder ser determinado at que o recurso

43
seja totalmente definido. Nestes casos, a definio do recurso
da informao deve ser revista com o proprietrio aps este
for identificado na atividade 3.
Atividade 3 Identificar o(s) responsvel(is)
A atividade 3 uma das mais importantes da
metodologia, pois nela que o(s) responsvel(is) ser(o)
definido(s). O proprietrio ir acompanhar e validar o restante
do processo de Identificao e Classificao de Ativos de
Informao.
Identificar a posse de um ativo da informao tem
influncia direta na eficcia da segurana e na gesto de
riscos dos recursos da informao. Grande parte das
organizaes se isenta de realizar um inventrio exato e
completo de seus recursos. A falha na identificao dos
proprietrios do recurso uma das razes preliminares pelas
quais a gerncia da segurana da informao
frequentemente ineficaz.
O proprietrio de um ativo da informao deve ser uma
parte interessada da organizao, legalmente institudo,
responsvel por (STEVENS, 2005):
Descrever o recurso da informao, conforme
atividade 2;
Definir as exigncias de segurana do recurso
da informao, conforme atividade 5;
Comunicar as exigncias de segurana do
recurso da informao a todos os curadores e
usurios;
Assegurar-se de que as exigncias da
segurana estejam cumpridas atravs de
monitoramento;
Projetar uma estratgia apropriada de proteo
do ativo da informao;

44
Determinar os riscos que possam afetar os
ativos de informao;
Desenvolver as estratgias de tratamento de
riscos.
A definio da posse de um ativo da informao deve
ter foco no papel ou na posio do proprietrio dentro da
organizao e no em uma pessoa especfica. Segundo o
autor, trocam-se as pessoas, mas as posies permanecem.
Atividade 4 Identificar os contineres dos
recursos
A finalidade desta etapa capturar uma lista de todos
os recipientes em que um ativo da informao armazenado,
transportado ou processado e quem so os responsveis por
manter estes recipientes. Alm disso, define os limites do
ambiente que deve ser examinado para o risco e igualmente
descreve os relacionamentos que devem ser compreendidos
para exigncias de segurana. Pode ser executada
paralelamente atividade 3, porque no h nenhuma
dependncia entre as duas atividades.
Num processo de avaliao de riscos, a identificao
dos contineres essencial para identificar os riscos
associados informao. Os ativos de informao so
protegidos a partir dos controles implementados nos seus
respectivos contineres, ou seja, o nvel de proteo
fornecido pelos controles relaciona-se diretamente com a
efetividade ao atendimento dos requisitos de segurana do
ativo de informao. O ativo de informao herda os riscos
aos quais seus contineres esto sujeitos. De maneira geral,
os contineres podem ser subdivididos em quatro categorias
(STEVENS, 2005):
Sistemas e aplicaes;
Hardwares;
Pessoas;

45
Outros.
O autor prope algumas questes bsicas que podem
ser teis para identificar contineres:
Qual sistema de informao ou aplicao usa ou
processa determinada informao?
Em quais plataformas os ativos de informao
podem ser encontrados?
Que pessoas tm acesso informao? Essas
pessoas podem ser agrupadas?
Algum processo automtico depende do recurso
da informao?
Que tipos de mdias so utilizados para
armazenar a informao?
A informao frequentemente impressa, quem
pode imprimi-la e onde as cpias impressas so
armazenadas?
Cliente e parceiros tm acesso informao?
H cpias de segurana externas contratadas
por terceiros?
H locais onde a informao possa ser
armazenada fisicamente (papel, mdias magnticas,
etc.)?
Atividade 5 Definir os requisitos de segurana
Nesta atividade, os requisitos de segurana da
informao devem ser definidos por meio de critrios que
atendam a disponibilidade, integridade, confidencialidade e
autenticidade dessa informao. Se um proprietrio de um
ativo da informao no for capaz de apropriadamente definir
os requisitos de segurana desse ativo, no poder existir e
garantir que o curador possa efetivamente proteg-lo.
Podem ser fontes primrias de requisitos de
segurana: acordos, contratos, leis, relacionamento com

46
outros ativos de informao, expectativas das partes
interessadas e exigncias do negcio.
Atividade 6 Estabelecer o valor do ativo da
informao
Antes que os riscos de um ativo da informao possam
ser devidamente avaliados, um valor, tangvel ou no, deve
ser determinado ao ativo.
O proprietrio do ativo da informao e as partes
interessadas devem determinar o valor do ativo para o
negcio. O valor do ativo deve refletir o quo ele importante
para a organizao alcance seus objetivos, em outras
palavras, quo impactante ser sua indisponibilidade.
Normalmente o valor do ativo da informao no est nele
mesmo, mas no processo de negcio que ele suporta
(STEVENS, 2005).
O valor do ativo ser til para a alta administrao
decidir a respeito, atravs de uma anlise de custo e
benefcio, dos controles que devem ser utilizados para mant-
lo.
1.1.2. Fronteiras dos Ativos de Informao
A informao pode ser entendida como a comunicao
da inteligncia ou do conhecimento do negcio. Os dados
elementos utilizados como insumos para clculos, discusses
e raciocnios so componentes essenciais da informao. A
transformao dos dados em informao ocorre da
necessidade da organizao em mesclar tais dados num
certo contexto, o qual agrega valor.
O contnuo ciclo que move os dados atravs do
processo de criar novas informaes resulta no desafio de
determinar os limites dos recursos de informao. Utilizando o
vis da Segurana da Informao e Comunicaes, a

47
determinao de novos requisitos de segurana pode
despertar os seguintes questionamentos, segundo STEVENS
(2005):
O novo ativo de informao substancialmente
diferente daqueles os quais lhe deram origem? Em
outras palavras, realmente novo?
Quem o proprietrio do novo recurso? o
mesmo dos recursos originrios ou no?
Quais so os requisitos de segurana do novo
recurso de informao? A simples combinao dos
requisitos de segurana dos ativos originrios
suficiente para manter o novo ativo ou necessrio
definir um novo conjunto? Os novos ativos
requerem tratamento mais detalhado ou mais
simplificado do que os ativos anteriores?
Com a definio clara dos limites de um ativo de
informao, a organizao pode determinar requisitos de
unicidade, posse e segurana. Alm de estabelecer, com
melhor exatido, o valor desse ativo.
1.1.3. Contineres dos Ativos de Informao
O continer o local onde vive o recurso de
informao. Geralmente o continer descreve o tipo da
tecnologia - hardware, software, um sistema de informao -
ou at mesmo pessoas, papis ou mdias magnticas. Em
outras palavras, o continer qualquer tipo de recurso
onde a informao est armazenada, transportada ou
processada (STEVENS, 2005).
H trs pontos importantes a respeito da segurana e
do conceito de contineres:
A proteo e a segurana do ativo de
informao depende do nvel de controle
implementado no continer;
O grau de proteo e segurana do ativo
depende da eficcia dos controles implementados
no continer e o quanto tais controles so alinhados
com os requisitos exigidos pelo ativo;

48
O ativo de informao herda quaisquer riscos os
quais est sujeito seu continer. Desta forma,
quando se avalia riscos para um recurso de
informao, as vulnerabilidades de seu continer
devem ser consideradas.
1.1.4. Propriedade e Custdia dos Ativos de
Informao
Proprietrios
Os proprietrios dos ativos de informao so os
responsveis primrios pela viabilidade e sobrevivncia dos
ativos. J o curador refere-se a qualquer indivduo que tem
responsabilidade de proteger um recurso de informao,
como ele armazenado, transportado e processado
(STEVENS, 2005).
So os proprietrios dos recursos os responsveis por
definir os requisitos de segurana e comunicar os curadores a
respeito desses requisitos. Aos proprietrios incumbe-se
tambm determinar, periodicamente, a eficcia da
metodologia de controle sobre as exigncias de segurana.
Conforme STEVENS (2005), alm de definir e
comunicar os requisitos de segurana, os proprietrios dos
recursos de informao so responsveis por:
Definir o escopo do ativo de informao.
Normalmente, a definio dos limites no fornece
resultados claros, devido subjetividade que
determinados recursos podem apresentar. Cabe ao
proprietrio desenvolver uma definio do recurso
que pode consistentemente ser aplicado por
curadores e tambm por usurios;
Estabelecer um valor (monetrio ou no) do
ativo. O valor do ativo de informao subsdio

49
para determinar a importncia e a criticidade do
recurso para a organizao e para direcionar uma
estratgia apropriada de mitigao de riscos, com
controles que justificam uma aceitvel relao entre
custos e benefcios.
Um proprietrio pode delegar a responsabilidade de
definir as exigncias de segurana, mas no pode abrir mo
da responsabilidade sobre a proteo do recurso. Uma vez
identificados os proprietrios, a organizao pode comear a
exigir deles o cumprimento de suas obrigaes em relao
manuteno dos ativos de informao.
Curadores
Os curadores dos ativos de informao controlam ou
so responsveis pelos contineres. O termo curador implica
num relacionamento prximo entre ele o recurso de
informao. Desta forma, ele aceita a responsabilidade de
garantir a proteo do recurso, sendo confundido muitas
vezes com o proprietrio (STEVENS, 2005).
Tipicamente, custdia considerada em termos de
administrador ou gerente de segurana da informao e
comunicaes, cuja responsabilidade de guardar os ativos de
informao compe o rol de tarefas para manter os processos
de negcio da organizao, e inclui necessariamente um
esforo colaborativo com os gestores de TI.
H trs pontos importantes a respeito da relao entre
curadores e ativos de informao, levantados por STEVENS
(2005):
De posse dos ativos de informao, ou de seus
respectivos contineres, os curadores so
responsveis por aplicar os nveis os controles de
segurana estabelecidos pelos proprietrios em
conformidade com as exigncias de segurana;

50
Os curadores so responsveis por informar e
orientar os proprietrios dos recursos a respeito da
efetividade dos controles aplicados e sobre a
disponibilidade de outras opes de controles;
Ao curador submetido o desafio de encontrar
exigncias de segurana entre dois ou mais ativos
que compartilham o mesmo recurso tecnolgico.
Em alguns casos, o proprietrio do ativo de informao
tambm o proprietrio dos recursos tecnolgicos onde a
informao mantida. Assim, ele responsvel tanto por
estabelecer quanto por aplicar os controles nos continer,
conforme os requisitos de segurana.

51
CAPTULO 2. INSTRUMENTOS PARA
MAPEAMENTO E
ACOMPANHAMENTO
DE ATIVOS DE
INFORMAO
Neste Captulo, apresentado Questionrio de
Mapeamento de Ativos de Informao que visa um
entendimento comum e inequvoco a respeito do(s)
responsvel(is), do(s) continer(es), dos requisitos de
segurana e do valor do ativo de informao. Alm de
subsdios para identificao de potenciais ameaas e
vulnerabilidades e para a avaliao de riscos como
instrumentos de acompanhamento.
2.1. Questionrio para Mapeamento de
Ativos de Informao
1. A que setor pertence o ativo de informao?
a) Energia;
b) Comunicaes;
c) gua;
d) Finanas;
e) Transportes.
f) Outro. Especificar __________________________.

52
2. H quanto tempo o ativo de informao est em
operao?
a) Menos de 02 anos;
b) Mais de 02 e menos de 05 anos;
c) Mais de 05 e menos de 10 anos;
d) Mais de 10 anos.
3. O ativo de informao suporta processos que se
identificam com:
a) Produo Industrial;
b) Fornecimento de servios essenciais para a
populao;
c) Servios de comrcio;
d) Ampla rede de alcance nacional;
e) Rede de servios de topologia local.
4. Quais reas do negcio da organizao se
relacionam diretamente com o ativo de informao?
a) Sistemas de informao corporativos;
b) Todo o ciclo da informao;
c) Processos de operao;
d) Processos de gesto e suporte aos negcios;
e) Redes de comunicao;
f) Gesto de suprimentos (equipamentos e
componentes) e rede de fornecedores.

53
5. Os processos de produo de bens e servios
que dependem diretamente do ativo de informao
concentram-se em:
a) Uma ampla rede de servios para a sociedade;
b) Servios e atividades relacionadas com a
segurana pblica;
c) Servios e atividades relacionadas com o setor
financeiro;
d) Atividades relacionadas com a produo;
e) Atividades relacionadas com transportes;
f) Atividades relacionadas com o setor de energia;
g) Atividades relacionadas com o setor de
gua/abastecimento.
6. Qual o nvel de classificao do ativo de
informao?
a) Altamente estratgico para o ramo de negcio em
que faz parte;
b) Altamente estratgico para a economia;
c) Altamente estratgico para a ordem social;
d) Altamente estratgico para o Pas;
e) Altamente estratgico para as relaes
internacionais;
f) Altamente estratgico no apoio pesquisa;
g) Altamente estratgico para a defesa nacional.

54
7. Considerando o tempo de existncia do ativo de
informao, possvel classific-lo como um alvo:
a) Com frequentes ataques;
b) Com ataques dentro de limites calculados;
c) Com perdas consideradas baixas;
d) Com perdas significativas;
e) Com estatsticas de perdas que justificam
mudanas de estratgias de ao.
8. O ativo de informao est localizado em rea
(se necessrio, escolha mais de uma alternativa):
a) Sujeita a frequentes desastres naturais;
b) Sujeita a frequentes perturbaes e/ou
manifestaes;
c) Com grande densidade demogrfica;
d) Adequada ao nvel de aceitao de risco.
9. O ativo de informao est sob uma plataforma
tecnolgica com caracterstica:
a) Arquitetura proprietria;
b) Arquitetura aberta;
c) Arquitetura mista (proprietria e aberta);
d) No se aplica.

55
10. O ativo de informao possui:
a) Dependncia de fornecedor exclusivo do mercado
externo;
b) Dependncia de fornecedor exclusivo do mercado
interno;
c) Relativa facilidade de substituio;
d) No h dependncia de fornecedor.
11. Qual a relao entre o ativo de informao e a
Infraestrutura Crtica a qual ele est ligado?
a) O ativo de informao pertence a uma Infraestrutura
Crtica composta por uma rede de processos
concorrentes;
b) O ativo de informao pertence a uma Infraestrutura
Crtica composta por uma rede de processos
independentes;
c) O ativo de informao incorpora uma matriz de
atividades essenciais operao da Infraestrutura
Crtica;
d) O ativo de informao se relaciona com mltiplas
Infraestruturas Crticas.
12. O ativo de informao pertence a uma
Infraestrutura Crtica com transaes:
a) Dentro de um mesmo Estado/Municpio;
b) Entre Estados/Municpios distintos;
c) Entre o Brasil e outro(s) pas(es).

56
13. O ativo de informao est hospedado em uma
infraestrutura tecnolgica:
a) 100% nacional;
b) 100% internacional;
c) Parte nacional e parte internacional.
14. Quanto governana do ativo de informao:
a) Prpria;
b) Compartilhada com mltiplos parceiros nacionais;
c) Compartilhada com parceiros nacionais e
internacionais;
d) Dependente de um nico proprietrio nacional;
e) Dependente de um nico proprietrio internacional.
15. Como o ativo de informao est
estruturado/composto?
a) O ativo de informao est 100% informatizado;
b) O ativo de informao est parcialmente
informatizado;
c) O ativo de informao consiste em dados e
informaes fsicas (em papel ou outra forma de
armazenamento).
16. O ativo de informao conta com suporte
tcnico:
a) Prprio;
b) Terceirizado;
c) Misto;
d) Suporte tcnico inexistente ou inadequado.

57
17. Qual o grau de conectividade do ativo de
informao com as redes de informao?
a) Est conectado diretamente Internet;
b) Est conectado rede interna da organizao;
c) Est conectado a uma rede restrita, dentro da
organizao;
d) Est conectado a uma rede de terceiros;
e) No est conectado a nenhuma rede;
f) No se aplica.
18. O ativo de informao est sujeito a riscos cujo
fato gerador :
a) Fator humano intencional;
b) Fator humano no intencional;
c) Eventos naturais;
d) Falhas tcnicas.
19. Qual a estimativa de retorno normalidade caso
ocorram incidentes que comprometam o ativo de
informao?
a) At 02 horas;
b) At 10 horas;
c) At 24 horas;
d) At 72 horas;
e) Mais de 72 horas.

58
20. Se houve incidentes que comprometeram o
ativo de informao nos ltimos trs (03) anos, qual
foi o tempo mdio para retorno normalidade por
meio da realizao dos procedimentos de
contingncia?
a) Menos de 02 horas;
b) Mais de 02 e menos de 10 horas;
c) Mais de 10 e menos de 24 horas;
d) Mais de 24 e menos de 72 horas;
e) Mais de 72 horas;
f) No foi possvel restaurar.
21. Caso exista histrico, que incidentes j
comprometeram o ativo de informao no passado?
a) Ataques bem sucedidos;
b) Desastres naturais;
c) Incndios;
d) Roubos e furtos;
e) Falta de suprimentos e componentes no mercado;
f) Incidentes de toda e qualquer natureza.
22. Se houver histrico de incidentes do ativo de
informao, quais os pontos que originaram a
maioria dos incidentes?
a) Ataques intencionais provenientes do ambiente
interno da organizao;
b) Ataques intencionais provenientes do ambiente
externo;

59
c) Ataques no intencionais provenientes do ambiente
interno da organizao;
d) Ataques no intencionais provenientes do ambiente
externo;
e) Fenmenos naturais;
f) No foi possvel identificar.
23. Entraves legais que o ativo de informao est
sujeito:
a) Permanentes e muitos;
b) Permanentes e poucos;
c) No existentes, porm h indcios de existirem a
curto ou mdio prazo;
d) No existentes.
24. Principais entraves a serem superados quanto
gesto do ativo de informao (caso necessrio,
marque mais de uma opo):
a) A dimenso e a complexidade das infraestruturas
envolvidas;
b) A interdependncia entre processos;
c) A interdependncia entre setores e atividades
econmicas;
d) Existncia de mltiplas normas e padres tcnicos;
e) Conflito entre segurana e privacidade;
f) Questes comerciais;
g) Questes organizacionais;
h) Questes legais;
i) Questes geogrficas/climticas;

60
j) Questes relacionadas ao tempo para a
recuperao em situaes de emergncia;
k) Recuperao dos servios/atividades em situaes
de um ataque bem sucedido/concretizado;
l) Capacitao de RH;
m) Ampliao da segurana das redes;
n) Necessidade de cooperao tcnica e cientfica por
meio de parcerias;
o) Diviso clara de responsabilidades entre vrios
agentes/atores intervenientes;
p) Cobertura ampla e total do esforo de
monitoramento dos riscos/ameaas associados.
25. Quais os entraves para implementar um plano
de contingncia e recuperao do ativo de
informao?
a) Oramentrio;
b) Financeiro;
c) De ordem tcnica e administrativa;
d) De ordem poltica;
e) Capacitao e treinamento de pessoal;
f) Legais, devido multiplicidade de normas
relacionadas a Meio Ambiente, Sade e Segurana
Pblica.
26. Quais elementos esto sendo utilizados para
garantir a segurana do ativo de informao?
a) Identificao de vulnerabilidades;
b) Anlise de riscos;

61
c) Equipe tcnica capacitada para possveis
desastres/incidentes;
d) Suporte tcnico adequado;
e) Base tecnolgica com altos nveis de segurana;
f) Plano de contingncia.
27. Em situao de incidente/desastre com o ativo
de informao, os danos comprometem quais
setores?
a) Comrcio;
b) Indstria;
c) Servios;
d) Agronegcio.
28. Em situao de incidente/desastre com o ativo
de informao, qual seria a extenso do dano?
a) Municipal;
b) Estadual;
c) Regional;
d) Nacional;
e) Internacional.
29. Um ataque bem sucedido ao ativo de
informao poder se propagar em que escala?
a) Outros setores da organizao;
b) Outras Infraestruturas Crticas;

62
c) Sociedade;
d) O ataque no gera propagao.
30. Nvel de impacto esperado em caso de
comprometimento do ativo de informao:
a) Apropriao indevida de funes de suporte do
ativo de informao extrnsecas Infraestrutura
Crtica;
b) Paralisao dos processos produtivos de qualquer
natureza em toda a organizao da Infraestrutura
Crtica;
c) Paralisao/interrupo de outros setores;
d) Paralisao da rede de servios;
e) Perturbaes sociais;
f) Perturbaes nos servios populao;
g) No h impacto significativo.
31. So realizadas inovaes tecnolgicas no ativo
de informao?
a) Sim, programadas previamente;
b) Sim, de maneira permanente;
c) No.
32. Quanto regulamentao, em que situao o
ativo de informao se encontra?
a) Em conformidade padro nico nacional;
b) Em conformidade padro internacionalmente
aceito;

63
c) Em conformidade parcial, devido multiplicidade de
padres;
d) Em processo de anlise de conformidade;
e) No est conforme.
33. A auditoria e fiscalizao do ativo de informao
so realizadas por:
a) rgo regulador;
b) Organizaes privadas;
c) rgo regulador e organizaes privadas;
d) No h auditoria e fiscalizao.
34. O ativo de informao est
subordinado/pertence :
a) Ao Nvel Decisrio (Alta Administrao);
b) Ao Nvel Estratgico;
c) Ao Nvel Ttico;
d) Ao Nvel Operacional;
e) Colegiados e Comits.
35. Equipe de respostas a incidentes de redes de
computadores:
a) Prpria;
b) Terceirizada;
c) No possui, mas tem parcerias (CETIR Gov,
CERT.br, CAIS/RNP);
d) No possui e no tem parcerias.

64
36. Quanto capacidade de recuperao do ativo
de informao e das operaes:
a) Recuperao total;
b) Recuperao parcial com perdas insignificantes;
c) Recuperao parcial com perdas significativas;
d) Irrecupervel.
37. Qual a situao do sistema de comunicao de
alertas relacionados ao ativo de informao?
a) Eficiente;
b) Pouco eficiente;
c) Com interessados/parceiros/clientes/fornecedores;
d) No existe sistema de comunicao de alertas.
38. Qual a situao da estrutura tcnica,
administrativa e financeira prevista para a preveno
de desastres/incidentes?
a) Bem estruturada;
b) Compatvel com as necessidades;
c) Em planejamento;
d) Depende de parcerias e acordos de cooperao;
e) Envolve mltiplos agentes;
f) Precria.
39. A estratgia de segurana relativa ao ativo de
informao compartilhada com outros agentes?
a) No. Somente o usurio/proprietrio responsvel
pela estratgia de segurana;

65
b) Sim. A estratgia compartilhada com agentes
privados;
c) Sim. A estratgia compartilhada com outros
governos;
d) Sim. A estratgia compartilhada com empresas
especializadas;
e) Sim. A estratgia compartilhada com rgos
internacionais.
40. Qual a situao da poltica de segurana da
informao e comunicaes da organizao?
a) Est implantada, com responsabilidades bem
definidas e existe comprometimento da alta
administrao;
b) Est implantada, com responsabilidades bem
definidas, mas sem comprometimento da alta
administrao;
c) Est implantada, existe comprometimento da alta
administrao, mas as responsabilidades ainda no
foram bem definidas;
d) Est implantada, mas ainda no h
comprometimento da alta administrao, nem
responsabilidades devidamente definidas;
e) No est implantada, mas est em processo de
elaborao;
f) No est implantada, e ainda no est sendo
elaborada.

66
41. Qual o nvel de interdependncia do ativo de
informao desta Infraestrutura Crtica com outras
Infraestruturas Crticas?
a) Inexistente;
b) Baixo;
c) Mdio;
d) Alto;
e) Extremamente dependente.
42. A interdependncia do ativo de informao est
baseada na(s) infraestrutura(s) de:
a) Sistemas de Informao;
b) Instituies;
c) Ambientes de Operao;
d) Consolidao de produtos/servios;
e) Alta segmentao de atividades;
f) Alto nvel de conexo de sistemas de informao
compreendendo conexes com outros ativos de
informao de empresas/provedores pblicos e
privados;
g) Sistemas de Informao com distintas arquiteturas,
independentes de formatos proprietrios;
h) Sistemas informatizados com arquiteturas
distribudas no componente de acesso, proveniente
de diferentes fontes e diferentes meios.

67
43. Quanto s interdependncias existentes ou
relaes de dependncia entre Infraestruturas
Crticas:
a) Um incidente na Infraestrutura Crtica pode
ocasionar efeitos/impactos em outros setores da
prpria Infraestrutura Crtica?
b) Um incidente na Infraestrutura Crtica pode gerar
efeitos de propagao em srie afetando outras
Infraestruturas Crticas que possuem/apresentam
uma ou mais relao de dependncia?
c) Podem provocar uma ruptura na rede/cadeias (de
produtores, transformadores, fabricantes,
distribuidores, etc.) de suprimentos que asseguram
o provimento de produtos ou prestao de servios
essenciais manuteno das atividades da
Infraestrutura Crtica?
44. Qual a natureza da dependncia entre as
conexes de sistemas de informao e ativos de
informao com outras Infraestruturas Crticas e
seus respectivos ativos de informao, ou ainda,
com uma Infraestrutura Crtica provedora de
informao?
a) Relao Fsica: ocorre quando uma Infraestrutura
Crtica est dependente de outra no fornecimento e
na distribuio de insumos/matrias, expressos em
bens e servios;
b) Relao de controle de informao: ocorre quando
uma Infraestrutura Crtica apresenta dependncia
de informao proveniente de outras Infraestruturas
Crticas, como insumo necessrio para o seu pleno
funcionamento;
c) Relao geogrfica: ocorre quando duas ou mais

68
Infraestruturas Crticas partilham espao territorial
com o mximo de proximidade. A proximidade
sugere que caso uma Infraestrutura Crtica seja
afetada por determinado evento que produza risco
ou colapso no seu funcionamento, as demais
Infraestruturas Crticas, indexadas no permetro,
podem tambm ser afetadas;
d) Relao de Propriedade/de Interao: ocorre
quando existe uma dependncia de gesto, que se
caracteriza pela noo de propriedade,
complementaridade entre produtos e servios, de
administrao e finanas, de tal ordem que os
danos que ocorrem em uma Infraestrutura Crtica
pode significativamente prejudicar as atividades de
outra Infraestrutura Crtica, indexada.
45. Havendo dependncia, podemos afirmar que a
Infraestrutura Crtica:
a) Apresenta alto grau de integrao de tarefas e
atividades com outros ativos de informao, com
diferentes provedores e proprietrios
independentes;
b) Apresenta interaes entre ativos de informao
com sistemas de informao cada vez mais
interligados e interdependentes;
c) Em situaes de emergncia, ou crise, aumenta o
grau de risco;
d) Nos impactos produzidos pelos seus riscos, podem
ultrapassar limites nacionais, ou seja, so
transfronteiras;
e) Afeta, limita a capacidade quanto a autonomia
tcnica, operacional e administrativa de respostas
em situao de emergncia.

69
46. Os impactos no ativo de informao so
limitados geograficamente dimenso:
a) Local;
b) Estado;
c) Regio;
d) Outros pases.
47. A Infraestrutura Crtica apresenta/possui uma
estrutura de processos de produo de tarefas e
atividades diretamente dependentes da informao,
de seu ciclo e cadeia de interaes. Neste caso a
Infraestrutura Crtica, pode ser identificada como:
a) A Infraestrutura Crtica uma organizao de
natureza exclusiva de produo, distribuio e
gesto da informao;
b) A Infraestrutura Crtica depende diretamente de
ativos de informao prprios;
c) A Infraestrutura Crtica depende de ativos de
informao de terceiros nacionais;
d) A Infraestrutura Crtica depende de ativos de
informao estrangeiros.
48. Indique o percentual de capacitao da fora de
trabalho do rgo em segurana da informao e
comunicaes, seja proprietrio e/ou curador do
ativo de informao:
a) 1% a 25%;
b) 26% a 50%;
c) 51% a 75%;
d) 76% a 100%;
e) Inexistente.

70
49. Qual a situao da poltica de segurana fsica
da organizao?
a) Est implantada, com responsabilidades bem
definidas e existe comprometimento da alta
administrao;
b) Est implantada, com responsabilidades bem
definidas, mas sem comprometimento da alta
administrao;
c) Est implantada, existe comprometimento da alta
administrao, mas as responsabilidades ainda no
foram bem definidas;
d) Est implantada, mas ainda no h
comprometimento da alta administrao, nem
responsabilidades devidamente definidas;
e) No est implantada, mas est em processo de
elaborao;
f) No est implantada, e ainda no est sendo
elaborada.
50. Qual a situao dos processos e atividades para
assegurar a disponibilidade, integridade,
confidencialidade e autenticidade da informao
presente no ativo de informao?
50.1. Disponibilidade:
a) Eficiente e eficaz;
b) Eficiente e pouco eficaz;
c) Pouco eficiente e eficaz;
d) Pouco eficiente e pouco eficaz;
e) Inexistente.

71
50.2. Integridade:
e) Inexistente.
50.3. Confidencialidade:
e) Inexistente.
50.4. Autenticidade:
e) Inexistente.
Como complemento ao questionrio, apresentado no
Anexo A.1 um conjunto de formulrios que visam estruturar as
informaes coletadas e as constataes estabelecidas
durante as atividades apresentadas no Captulo 1.
Cada ativo de informao dever possuir seu conjunto
especfico de informaes composto pelo questionrio
respondido e pelos formulrios preenchidos.

72
2.2. Identificao de Potenciais Ameaas e
Vulnerabilidades
A potencial explorao de uma ou mais
vulnerabilidades de um ativo de informao ou de um
conjunto de tais ativos, por parte de uma ou mais ameaas,
com impacto negativo no negcio da organizao, configura
os riscos de segurana da informao e comunicaes.
A identificao das potenciais ameaas e
vulnerabilidades compreende a fase de anlise dos riscos e
do estabelecimento de uma avaliao e priorizao dos
mesmos, estando esta inserida no processo Gesto de
Riscos de Segurana da Informao e Comunicaes
(GRSIC) que tem como objetivo a manuteno dos riscos
dentro de nveis aceitveis. (DSIC, 2009)
2.2.1. Identificao de potenciais ameaas
As ameaas, considerando a caracterizao de sua
fonte, so classificadas como:
Da natureza;
No intencionais (falhas), e;
Humanas (intencionais).
Um atributo de ameaa uma caracterstica discreta
ou propriedade distintiva de uma ameaa. As caractersticas
combinadas de uma ameaa humana descrevem a
determinao e a habilidade da ameaa perseguir o seu
objetivo. Tal determinao e habilidade so definidas por
mltiplos atributos separados. Nas ameaas da natureza, so
definidas pela sua intensidade e persistncia, j nas no
intencionais, so consideradas as falhas humanas e de
equipamentos. A inteno deste delineamento de atributos
que cada um define uma caracterstica distinta de uma ameaa
e no h nenhuma dependncia inerente entre dois atributos.

73
Aps a identificao dos atributos, estes devem ser
confrontados com a ameaa analisada, at a caracterizao,
o mais aproximado possvel, do nvel da ameaa.
Ameaas da natureza
Consideram-se ameaas da natureza, aquelas cujo
acontecimento independe da ao direta do homem.
Inundaes, deslizamentos de terra, terremotos, furaces,
tempestades, transbordamento de rios, tsunamis, entre
outros, so fenmenos naturais severos, fortemente
influenciados pelas caractersticas da regio em que ocorrem.
Quando essas ocorrncias se do em locais onde vivem
seres humanos, resultando em danos (materiais e humanos)
e prejuzos (scio-econmicos), so considerados desastres
naturais.
Quatro atributos so considerados na sua avaliao:
magnitude, previso, frequncia e durao.
Magnitude: refere-se fora do fenmeno da
natureza e sua capacidade de provocar danos e
prejuzos. classificada conforme abaixo:
o Alta: O evento possui fora capaz de
destruir dezenas de edificaes e
provocar a perda de dezenas de vidas
humanas e danos ambientais
significativos;
o Mdia: O evento possui fora capaz de
destruir algumas edificaes e provocar a
perda de algumas vidas humanas e
algum dano ambiental;
o Baixa: O evento no possui fora capaz
de destruir edificaes, tampouco
provocar a perda de vidas humanas e
danos ambientais significativos.

74
Previso: refere-se sazonalidade do
fenmeno, bem como capacidade dos rgos
oficiais em preverem o seu acontecimento.
classificada conforme abaixo:
o Alta: O fenmeno regular e/ou os
rgos oficiais conseguem prev-lo com
antecedncia suficiente para permitir a
tomada de aes preventivas ou
mitigatrias;
o Baixa: O fenmeno irregular e/ou os
rgos oficiais no conseguem prev-lo
com antecedncia suficiente para permitir
a tomada de aes preventivas ou
mitigatrias.
Frequncia: refere-se ao nmero de vezes em
que o evento acontece em determinado perodo.
classificada conforme abaixo:
o Frequente: o fenmeno ocorre um
grande nmero de vezes no perodo;
o Raro: o fenmeno ocorre poucas vezes
no perodo.
Durao: refere-se ao tempo em que a ameaa
persiste, causando danos e/ou prejuzos, materiais e
humanos. classificada conforme abaixo:
o Longa: tempo suficiente para provocar
desabrigados em reas consideradas
seguras e prejuzos materiais de grande
monta;
o Rpida: tempo insuficiente para provocar
desabrigados ou prejuzos materiais de
grande monta.

75
Ameaas no intencionais
Consideram-se Ameaas No Intencionais, aquelas
provocadas por falhas humanas ou de equipamentos, cujo
acontecimento independe de dolo. Dividem-se as ameaas
no intencionais em duas categorias:
Humanas: podem ser provocadas por
negligncia, imprudncia ou impercia;
Tecnolgicas: podem ser provocadas por falhas
em sistemas, equipamentos ou software.
Ameaas humanas
Distinguem-se duas famlias de atributos de ameaas
humanas:
Do recurso: so atributos que descrevem a
habilidade da fonte de ameaa em atingir o seu
objetivo;
Do compromisso: so atributos que descrevem
a determinao da fonte de ameaa.
Dentro da famlia de atributos do recurso, os mesmos
abrangem as caractersticas de uma fonte de ameaa que
quantificam as pessoas, conhecimento e acesso disponveis a
uma ameaa, para perseguir o seu objetivo. As caractersticas
do recurso so indicativas da potencialidade de uma ameaa,
porque recursos maiores podem permitir que uma ameaa
atinja um objetivo mais facilmente e com maior rapidez.
Neste Guia, dado seu objetivo, tratar-se- com maiores
detalhes da famlia de atributos do compromisso. Nestes
atributos so observadas as premissas da intensidade, da
furtividade, e do tempo, e os mesmos abrangem as
caractersticas de uma ameaa que quantificam a sua
determinao para perseguir um objetivo. As caractersticas
do compromisso so indicativas da potencialidade de uma

76
ameaa, porque exemplificam a sua persistncia e condies
existentes para realizar o seu objetivo:
Intensidade: descreve a diligncia, ou a
determinao persistente, da ameaa, na
perseguio do seu objetivo; uma medida de quo
distante uma ameaa est disposta ir e do que
ameaa est disposta a arriscar, para realizar o seu
objetivo. H trs nveis da intensidade:
o Elevada: a ameaa altamente
determinada a perseguir o seu objetivo e
est disposta a aceitar qualquer uma e
todas as consequncias resultantes
dessa perseguio;
o Mdia: a ameaa moderada est
determinada a perseguir o seu objetivo, e
est disposta a aceitar algumas
consequncias negativas resultantes
dessa perseguio;
o Baixa: A ameaa est determinada a
perseguir o seu objetivo, mas no est
disposta a aceitar consequncias
negativas.
Furtividade: descreve a habilidade da ameaa
em manter um nvel necessrio de dissimulao de
suas atividades durante toda a perseguio do seu
objetivo. Quanto maior o nvel de furtividade, menor
ser a capacidade de percepo da ameaa, tal que
dificulta a busca de informaes e a adoo de
medidas preventivas para opor-se ou impedir ataques
pela fonte de ameaa. H trs nveis de furtividade:
o Elevado: A ameaa altamente capaz de
manter o nvel necessrio de
dissimulao, durante a perseguio do
seu objetivo;

77
o Mdio: A ameaa moderadamente
capaz de manter o nvel necessrio de
dissimulao na perseguio do seu
objetivo, mas no pode obscurecer
completamente os detalhes sobre a sua
organizao ou operaes internas;
o Baixo: A ameaa no capaz de manter
um nvel necessrio de dissimulao
durante a perseguio do seu objetivo e
no consegue obscurecer detalhes sobre
a sua organizao ou operaes internas.
Tempo: quantifica o perodo de tempo que uma
fonte de ameaa capaz de se dedicar ao
planejamento, ao desenvolvimento, e organizao
de mtodos, desdobrando-se para alcanar um
objetivo. Quanto mais tempo uma ameaa puder
dispor para preparar e cometer um ataque, maior o
potencial que a ameaa tem para impactos
indesejados.
2.2.2. Identificao de vulnerabilidades
Com relao identificao de vulnerabilidades, faz-se
necessria a anlise e avaliao dos controles que foram ou
sero implementados, a fim de minimizar a probabilidade de
uma ameaa explorar vulnerabilidade existente.
Considera-se que uma vulnerabilidade no provvel
de ser explorada ou que possua baixa probabilidade de
explorao, se houver um baixo nvel de interesse ou
potencialidade da fonte de ameaa ou, ainda, se houver
controles eficazes de proteo que possam eliminar ou
reduzir significativamente o impacto de um dano.
Os sistemas de proteo abrangem o uso de controles
tcnicos e no tcnicos:
Controles tcnicos: so as salvaguardas que
so incorporadas no sistema de proteo fsica, no

78
hardware ou no software dos computadores e
sistemas de tecnologia da informao (por exemplo,
mecanismos de controle de acesso, mecanismos de
identificao e autenticao, mtodos de encriptao
e softwares de deteco de intruso);
Controles no tcnicos: so processos
gerenciais e operacionais, tais como: polticas de
segurana da informao e comunicaes;
procedimentos operacionais; e segurana de
pessoas, fsica e ambiental.
Os controles tcnicos e no tcnicos podem ser ainda
classificados como:
Preventivos: inibem tentativas de violao da
poltica de segurana e incluem dispositivos como:
controle de acesso reforado, encriptao e
autenticao;
De deteco: advertem sobre violaes ou
tentativas de violaes da poltica da segurana e
incluem dispositivos como: trilhas de auditoria,
mtodos de deteco de intruso e pontos de
controle.
A implementao de tais controles, durante o processo
de mitigao do risco, o resultado direto da identificao das
deficincias em controles atuais ou planejados durante o
processo da avaliao de risco.
Dever ser aplicada a Tabela de Verificao de
Requisitos Mnimos necessrios Segurana das
Infraestruturas Crticas da Informao, apresentada no
Captulo 3 deste Guia, a fim de se avaliar os requisitos de
segurana e os controles, j implementados ou previstos,
para Proteo Fsica, Proteo de Sistemas, Gesto de
Pessoas e Gesto de Processos de forma eficiente e
sistemtica.
Devem ser listados os controles implementados, para
se contrapor a cada ameaa elencada, assim como as
recomendaes necessrias ao aperfeioamento do sistema,
reduzindo-se assim as suas vulnerabilidades.
Como apoio a este processo, os Anexos A.2, A.3 e A.4
apresentam, respectivamente: Exemplos de Ameaas
Comuns, Exemplos de Vulnerabilidades e Perfis de Ameaas.

79
2.3. Avaliao de Riscos dos Ativos de
Informao
Nesta fase, aps serem identificados os riscos
considerando as ameaas e as vulnerabilidades associadas
aos ativos de informao, sero estimados os nveis de
exposio aos riscos de modo que os mesmos sejam
avaliados e priorizados.
A avaliao dos riscos determinar se as exposies
identificadas so aceitveis ou se requerem tratamento,
priorizando-os de acordo com os critrios estabelecidos pelo
rgo ou entidade. Esta avaliao fornecer a entidade uma
lista de riscos ordenados por prioridade (de acordo com os
critrios de avaliao de riscos) e associados aos cenrios de
incidentes que os provocam.
A avaliao ser realizada utilizando-se uma matriz de
risco na qual sero relacionados os parmetros probabilidade
e impacto, ou seja, a chance da materializao do risco
versus o impacto decorrente desta materializao sobre os
ativos da informao.
Como forma de facilitar a avaliao de risco sugerida
a seguinte definio para probabilidade, impacto e nveis de
risco:
Tabela 2.1 Descrio das Probabilidades
Probabilidade Descrio
Muito improvvel 1 a 10% de chance de acontecer
Improvvel 11 a 30% de chance de acontecer
Possvel 31 a 70% de chance de acontecer
Provvel 71 a 90% de chance de acontecer
Freqente 91 a 100% de chance de acontecer

80
Tabela 2.2 Descrio dos Impactos
Impacto Descrio*
Muito Baixo
No existe impacto financeiro ou impacto
significativo sobre a estratgia ou atividades
operacionais.
Baixo
O impacto financeiro sobre a organizao no
deve ultrapassar os R$ 500.000,00
(quinhentos mil reais). Impacto baixo sobre a
estratgia ou atividades operacionais.
Mdio
O impacto financeiro sobre a organizao
maior que R$ 500.000,00 (quinhentos mil
reais) e menor que R$ 7.000.000,00 (sete
milhes de reais).
Impacto sobre a estratgia ou atividades
operacionais da organizao.
Alto
O impacto financeiro sobre a organizao deve
ultrapassar os R$ 7.000.000,00 (sete milhes
de reais) e se limitar a 15.000.000,00 (quinze
milhes de reais).
Impacto significativo sobre a estratgia ou
atividades operacionais da organizao.
Muito Alto
O impacto financeiro sobre a organizao deve
ultrapassar os 15.000.000,00 (quinze milhes
de reais). Evento catastrfico com grande
impacto sobre a estratgia ou atividades
operacionais da organizao.
*Os valores apresentados so apenas uma sugesto, devendo ser adequados a realizada de
cada entidade.

Tabela 2.3 Probabilidade x Impacto
Probabilidade
Impacto
Muito
improvvel Improvvel Possvel Provvel Frequente
Muito alto
Alto
Mdio
Baixo
Muito baixo

81
Tabela 2.4 Descrio dos Nveis de Risco
Nvel de Risco Descrio
Muito Alto
O risco nesta faixa intolervel.
Algumas aes devem ser imediatas. Deve-se
monitorar, continuamente, e observar se a
situao do risco muda ao longo do tempo ou se
permanece. O monitoramento deve ser contnuo.
Alto
O risco nesta faixa intolervel.
A situao de muita preocupao e, portanto,
algumas aes devem ser tomadas rapidamente.
Deve-se monitorar frequentemente para verificar
se a situao muda com as aes
implementadas.
Mdio
O risco nesta faixa tolervel, porm existe uma
situao de ateno. Algumas aes podem ser
necessrias no mdio ou longo prazo.
Deve-se monitorar frequentemente, para verificar
se a situao do risco muda ao longo do tempo,
bem como se aps a implementao das aes o
risco diminui.
Baixo
O risco nesta faixa tolervel.
Nenhuma ao de imediato precisa ser tomada,
porm deve-se monitorar, periodicamente, para
verificar se a situao do risco muda com o
passar do tempo.
Muito baixo
O risco nesta faixa tolervel.

Finalizando este Captulo, refora-se a importncia da
sistematizao das atividades e processos descritos, em
especial com ciclos pr-definidos de melhoria contnua,
incorporando ao mximo os formulrios e instrumentos aqui
anexados.

82

83
CAPTULO 3. REQUISITOS MNIMOS
NECESSRIOS
SEGURANA DAS
INFRAESTRUTURAS
CRTICAS DA
INFORMAO:
SEGURANA,
RESILINCIA E
CAPACITAO
O objetivo deste Captulo o de identificar os requisitos
mnimos necessrios Segurana das Infraestruturas Crticas
da Informao, assim definidas como j citado anteriormente:
o subconjunto de Ativos de Informao - meios de
armazenamento, transmisso e processamento, sistemas de
informao, bem como os locais onde se encontram esses
meios e as pessoas que a eles tm acesso - que afetam
diretamente a consecuo e a continuidade da misso do
Estado e a segurana da sociedade (CDN/SE, 2009).
As Infraestruturas Crticas de Informao possuem a
caracterstica de poderem fazer parte de vrias Infraestruturas
Crticas com relaes de interdependncias horizontais. Em
outras palavras, a informao gerada por determinada rea
prioritria de Infraestruturas Crticas pode ser insumo para
outra, evidenciando alto grau de acoplamento e
interdependncia existente entre elas. Tal grau de
acoplamento eleva a necessidade da identificao dos ativos
de informao, bem como o tratamento dos riscos a eles
associados, pois o impacto causado pela perda ou

84
indisponibilidade destes ativos pode comprometer toda a
cadeia de Infraestruturas Crticas.
3.1. Estratgias para Segurana das
Infraestruturas Crticas da Informao
Devido criticidade das operaes e os impactos para
a sociedade e governo, as organizaes que compem os
setores da Infraestrutura Crtica de um pas no devem
conviver com crises, nem tampouco esperar por acidentes,
para ento tratar as questes de segurana. Toda
organizao deve se preparar para o impensvel, adotando
estratgias efetivas para evitar, minimizar, resistir e se
recuperar dos efeitos das oriundas das ameaas.
So trs os fatores considerados na formulao de
estratgias para atender os requisitos mnimos necessrios
Segurana das Infraestruturas Crticas da Informao:
segurana, resilincia e capacitao.
3.1.1. Segurana da Informao
A segurana da informao e comunicaes descreve
atividades que se relacionam com a proteo da informao e
dos ativos da infraestrutura de informao contra riscos de
perda, mau uso, divulgao indevida ou dano. , portanto, a
adoo de controles fsicos, tecnolgicos e humanos
personalizados, que viabilizam a reduo dos riscos a nveis
aceitveis, em conformidade aos requisitos de segurana
exigidos pelo negcio, conforme apresentado no Captulo 2
deste Guia.
A gesto da segurana da informao e comunicaes
prev para a Segurana de Infraestruturas Criticas da

85
Informao controles polticas, princpios e processos como
resultados da gesto de riscos que devem ser utilizados
para garantir a minimizao dos riscos. Seu foco est no nvel
operacional da segurana.

Figura 3.1 - Processo de Gesto da Segurana da Informao e
Comunicaes
Tendo em vista que as organizaes no conseguem
prever todos os desafios a serem enfrentados, importante
que sejam flexveis e capazes de se adaptarem s mudanas
no seu contexto operacional ou ambiental, de forma que
possam sobreviver e principalmente evoluir. Existe a
necessidade de criao e fortalecimento de uma cultura de
resilincia entre os proprietrios e operadores dos setores
das Infraestruturas Crticas, com o objetivo de assegurarem
que os servios essenciais possam ser restaurados
rapidamente aps um desastre.
Segundo o Programa de Proteo da Infraestrutura
Crtica da Austrlia, existe uma preocupao no sentido de
desenvolver a prxima gerao de pensamento em relao
proteo das Infraestruturas Crticas, porquanto alguns
estudos e pesquisas esto sendo conduzidos principalmente
nos EUA, Frana, Nova Zelndia e na prpria Austrlia. Estes
Comit Executivo de Segurana da Informao e Comunicaes
Planejar Analisar Monitorar Implementar
Sistema de Gesto de Segurana da Informao e Comunicaes
Planejar Planejar Planejar Planejar
Analisar
Monitorar
Implementar
Analisar
Monitorar
Implementar
Analisar
Monitorar
Implementar
Analisar
Monitorar
Implementar
Nvel
Estratgico
Nvel Ttico
Nvel
Operacional
Percepo de
mudanas no
negcio
Percepo de
mudanas
nos
indicadores
dos sistemas
de gesto
Percepo de
mudanas
fsicas,
tecnolgicas
e humanas
Re-alimentao do processo de segurana

86
pases j constataram que a aes atualmente adotadas para
proteo das Infraestruturas Crticas no so suficientes e j
buscam orientaes para uma abordagem de resilincia. O
fator primordial para este direcionamento no est associado
apenas questo das ameaas, mas tambm a forte
interdependncia entre os setores das Infraestruturas Crticas,
que exige uma ao coordenada, integrada e efetiva.
Considerar a resilincia sob uma perspectiva sistmica
apresenta-se com uma opo adequada para enfrentar este
desafio: a proteo das Infraestruturas Crticas. A resilincia
possibilita s organizaes trabalharem, de forma
independente e interdependente, para garantir a continuidade
dos seus objetivos de negcio durante a interrupo de
eventos, tais como: desastres naturais, acidentes industriais e
atos terroristas, e para melhorar as parcerias com os servios
de gesto de emergncia que visam assistir as comunidades.
Como abordagem inicial, a proposta tratar a
resilincia com o foco operacional considerando os
segmentos de gesto da segurana da informao e
comunicaes, que inclui: gesto de riscos, gesto de
operao de tecnologia da informao e comunicaes e
gesto de continuidade de negcios. Como evoluo, o foco
deve ser ampliado para a toda a organizao, com a meta de
criar uma organizao resiliente.
Resilincia Operacional
De acordo com o CERT
6
, engenharia de resilincia o
processo no qual uma organizao projeta, desenvolve,
implementa e gerencia a proteo e a sustentabilidade de
seus servios crticos, relacionados com os processos de
negcio e associados aos ativos de informao. Define ainda

6
http://www.cert.org

87
resilincia operacional como sendo a propriedade associada
com as atividades que a organizao executa visando manter
servios, processo de negcios e ativos viveis e produtivos
mesmo sob condies de risco.
Resilincia Organizacional
As organizaes, como sistemas abertos, devem
apresentar a capacidade de resilincia para enfrentar e
superar perturbaes externas provocadas pela sociedade
sem que desaparea seu potencial de auto-organizao. A
resilincia nos negcios ganha nova urgncia nos dias de
hoje, influenciada por fatores como: aumento da velocidade
da mudana no ambiente de negcios, pelas presses da
concorrncia globalizada, um desastre natural, uma mudana
econmica hostil, estratgias competitivas dos concorrentes,
espionagem ciberntica ou um ataque terrorista.
O Gartner Institute
7
diz que uma organizao resiliente
exige que haja um compromisso contnuo em relao ao
acesso s informaes, sistemas de conhecimento,
mecanismos de comunicao, locais de trabalho e
infraestruturas, de forma que possa rapidamente retornar
operao aps um choque ou desastre.
Ser resiliente possibilita s organizaes uma
vantagem competitiva. Aps um acidente, a organizao
resiliente tem maiores possibilidades de retornar situao
anterior ou nova situao de equilbrio de forma mais
rpida, aproveitar o incidente como oportunidade para
melhorar a sua eficcia, reduzir os custos com multas por no
atendimento aos acordos de nveis de servio, reduzir a
exposio a perdas no previstas nos seguros, melhorar a
sua reputao e aumentar a moral da equipe.

7
http://www.gartner.com

88
O projeto ResOrgs
8
(University of Canterbury New
Zealand) estabeleceu uma metodologia para o
estabelecimento de uma organizao resiliente composta de
5 etapas, destacadas a seguir: criao de conscientizao
nas questes de resilincia; seleo de componentes
organizacionais essenciais; auto avaliao das
vulnerabilidades; identificao e priorizao das
vulnerabilidades principais; e aes visando aumentar
capacidade adaptativa.
3.1.2. Capacitao (Cultura)
Nas organizaes que compem as reas prioritrias
das Infraestruturas Crticas, as aes voltadas para a cultura
de segurana da informao e comunicaes devem estar
alinhadas e integradas com as demais aes associadas
tecnologia e processos de segurana.
Os empregados devem entender porque a segurana
importante para a sua organizao e para o seu dia-a-dia.
Devem saber de que forma as falhas de segurana podem
afetar a organizao, bem como contra o que se proteger e
como se proteger.
Visando a criao e o fortalecimento da cultura de
segurana da informao e comunicaes, as organizaes
devem estabelecer aes direcionadas em trs nveis:
sensibilizao/conscientizao, treinamento e educao.
As aes cujos objetivos so a criao e o
fortalecimento da cultura de segurana devem ser gradativas,
constantes e peridicas. Estas aes precisam ser
planejadas e monitoradas visando avaliar a qualidade, a
efetividade e a proposio de melhorias.

8
http://www.resorgs.org.nz/

89
Sensibilizao e Conscientizao
As aes de sensibilizao e conscientizao visam
atingir os empregados de uma forma ampla. Buscam mudar
o comportamento, reforar boas prticas e focalizar a ateno
na segurana, facilitando a implantao da Poltica de
Segurana da Informao e Comunicaes.
A sensibilizao realizada, informalmente, nas
atividades cotidianas. J a conscientizao realizada com
maior formalidade, como por exemplo, por meio de palestras
e seminrios.
Treinamento
As aes de treinamento visam capacitar empregados
que realizam funes especficas de segurana de acordo
com a rea de atuao. Geralmente, estes treinamentos so
externos, realizado por fornecedores das solues. Alm
disso, h a capacitao por meio de participao em
seminrios e congressos, cujos grupos de trabalho
possibilitam exercitar a prtica e estabelecer redes de
relacionamentos tcnicos.
Educao
As aes de educao visam formar especialistas,
capazes de definir estratgias de segurana, servindo de
apoio ao Gestor de Segurana da Informao e
Comunicaes da organizao, ou at mesmo atuando como
Gestor de Segurana setorial, dependendo da estrutura de
segurana definida. As certificaes em segurana devem
servir como forma de manter gestores de segurana
atualizados.

90
3.2. Requisitos mnimos necessrios para a
Segurana das Infraestruturas Crticas
da Informao
O cerne do presente Captulo apresentar os
requisitos para que as organizaes aumentem sua
segurana, resilincia e capacitao (cultura). Para isto, os
controles aplicveis aos ativos de informao so
apresentados em categorias, e cada categoria subdividida
em itens de controle. Ainda, para cada item de controle,
identificado o quantitativo de detalhes necessrios para que
os mesmos sejam atendidos.
Tal classificao foi adaptada de artigo de YOO (2007)
e est ilustrada na tabela de Verificao de Requisitos
Mnimos necessrios Segurana das Infraestruturas Crticas
da Informao, apresentada a seguir:
Tabela 3.1 Tabela de Verificao de Requisitos Mnimos
necessrios Segurana das Infraestruturas Crticas da Informao,
adaptado de YOO (2007).
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Poltica de
Proteo da
Informao

Organizao da proteo da
informao

Plano de proteo da informao
Classificao e desclassificao
Conformidade e entraves legais
Gesto do Risco
Classificao de ativos
Alocao de recursos
Reviso de requisitos de segurana
Taxao do risco

91

Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Gesto do Risco
Tratamento do risco
Diagnstico de vulnerabilidades
Gesto de
Configurao
Controle de mudanas na
configurao

Revalidao de configurao de
segurana

Manuteno
Automatizao do processo
Manuteno remota
Confiabilidade (incluem contratos de
nveis de servio)

Proteo de
Mdia
Identificao da mdia de sada
Controle de acesso mdia
Mtodo de transporte de mdia
Controle da mdia
Armazenamento
Destruio / descarte de mdias e
gravaes

Cultura
Treinamento
Conscientizao
Gesto de crise
(emergncia,
continuidade e
recuperao de
desastres)
Existncia dos planos (confeco,
manuteno e testes)

Treinamento
Simulao e avaliao dos planos
Redundncia de servio
Backup e recuperao

92
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Proteo Fsica
e Ambiental
Controle de acesso fsico
Monitoramento de acesso fsico
Proteo de instalaes e linhas de
energia / comunicao

Servios de emergncia (energia,
luzes sinalizadoras, gua,
comunicaes,...)

Controle de ambiente externo
Segurana do
Pessoal
Inspeo de antecedentes
Gesto do pessoal
Gesto de recursos humanos internos
Segurana de terceiros
Resposta a
incidentes
Treinamento simulado para incidentes
Monitoramento de incidentes
Relatrio de incidentes de segurana
Melhoria no processo de resposta a
incidentes

Auditoria e
Rastreamento
de Responsabi-
lidades
Definio de tpicos de auditoria
Gesto de informaes auditadas
Monitoramento, anlise e relatrio de
auditoria

Estabelecimento de periodicidade de
auditorias

Penalidades administrativa, civil e
penal

93
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Controle de
Acesso ao
Sistema e
Proteo das
Comunicaes
Controle de contas
Controle de senha
Controle de configurao
Controle de acesso
Funo de controle de falhas no
acesso

Funo destacada para precaues
no uso do sistema

Funo de relatrio de informao de
login anterior

Funo de controle da sesso
Isolamento do sistema e do software
aplicativo

Controle de recursos compartilhados
do sistema

Controle de
Acesso ao
Sistema e
Proteo das
Comunicaes
Proteo contra defeitos no software e
cdigos maliciosos

Ferramentas e tecnologias para
deteco de invaso e interrupo de
servio

Proteo contra indisponibilidade do
servio

Roteamento de comunicao segura
Criao e controle de chave
criptogrfica

Comunicao VOIP

94
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Aplicao
Segurana nas etapas do ciclo de
vida dos sistemas

Requisitos de segurana dos sistemas
Processamento correto nas
aplicaes

Controles criptogrficos
Segurana dos arquivos do sistema
Segurana em processos de
desenvolvimento e de suporte

Gesto de vulnerabilidades tcnicas

Para cada item de controle dever ser atribudo um
grau de implementao que ir variar de 0 a 5, da seguinte
forma: 0 a 1 = no implementado; 2 a 3 = em implementao;
4 = implementado; e 5 = otimizado. No caso de o item de
controle no ser aplicvel (NA), ele no computa para
obteno da mdia.
Aps avaliar a organizao quanto mdia do grau de
implementao de cada um dos requisitos mnimos, pode-se
determinar o percentual do somatrio do nmero de detalhes
itens de controle atingidos. O resultado corresponder ao
nvel de maturidade da organizao considerada, no que diz
respeito segurana. O nvel 1 corresponde a 20% de
maturidade, o nvel 2 a 40% e assim por diante. A descrio
de tais nveis encontra-se na tabela a seguir:

95
Tabela 3.2 Tabela de Nvel de Maturidade de Segurana da
Infraestrutura Crtica da Informao (YOO,2007).
Nvel Descrio
1
Controles de segurana no so adotados ou so
executados sem um plano especfico.
2
Planos de execuo para os controles de segurana esto
documentados e estabelecidos.
3
Controles de segurana so executados de acordo com
planos documentados.
4
Controles de segurana so executados de forma
consistente para um determinado perodo e os resultados
so medidos.
5
Resultados dos controles de segurana so analisados e
so adotados ajustes necessrios.

apresentado, na Tabela 3.3 que segue, o
relacionamento entre os Itens de Controle, da Tabela 3.1,
com o Questionrio de Mapeamento de Ativos de Informao,
do Captulo 2, visando auxiliar a identificao dos nveis de
maturidade a partir da ferramenta apresentada naquele
Capitulo.
Tabela 3.3 Tabela de Relacionamento de Itens de Controle X
Questionrio de Mapeamento de Ativos de Informao
Itens de Controle
Questionrio de Mapeamento
de Ativos de Informao
(nmero da questo)
Organizao da proteo da
informao
#2, #10, #11, #12, #14, #25, #34,
#26 e #40
Plano de proteo da informao #39, #26 e #40
Classificao e desclassificao #26 e #40
Conformidade e entraves legais #32, #26 e #40
Classificao de ativos #1, #3 e #9

96
Itens de Controle
(nmero da questo)
Alocao de recursos #4, #5, #8 e #13
Reviso de requisitos de segurana #6, #7 e #8
Taxao do risco #6, #7 e #8
Tratamento do risco #6, #40, #42, #43 e #50
Diagnstico de vulnerabilidades #7, #18 e #24
Controle de mudanas na
configurao
#31 e #25
Revalidao de configurao de
segurana
#25
Automatizao do processo #16
Manuteno remota #16
Confiabilidade (SLA) #16
Identificao da mdia de sada #15
Controle de acesso mdia #15
Mtodo de transporte de mdia #15
Controle da mdia #15
Armazenamento #15
Destruio / descarte de mdias e
gravaes
#15
Treinamento #40 e #48
Conscientizao #40 e #48
Existncia dos planos (confeco,
manuteno e testes)
#36
Treinamento #36
Simulao e avaliao dos planos #36
Redundncia de servio #36
Backup e recuperao #19, #20 e #36
Controle de acesso fsico #49

97
Itens de Controle
(nmero da questo)
Monitoramento de acesso fsico #49
Proteo de instalaes e linhas de
energia / comunicao
#49
Servios de emergncia (energia,
luzes sinalizadoras, gua,
comunicaes,...)
#49
Controle de ambiente externo #49
Inspeo de antecedentes #40, #48 e #49
Gesto do pessoal #40, #48 e #49
Gesto de recursos humanos
internos
#40, #48 e #49
Segurana de terceiros #40, #48 e #49
Treinamento simulado para
incidentes
#21, #22, #35, #38 e 40
Monitoramento de incidentes #21, #22, #27, #28, #29, #35 e #38
Relatrio de incidentes de segurana #21, #22, #35 e #38
Melhoria no processo de resposta a
incidentes
#21, #22, #35 e #38
Definio de tpicos de auditoria #33
Gesto de informaes auditadas #33
Monitoramento, anlise e relatrio de
auditoria
#33
Estabelecimento de periodicidade de
auditorias
#33
Penalidades administrativa, civil e
penal
#33 e #41
Controle de contas #17 e #40
Controle de senha #17 e #40
Controle de configurao #17 e #40
Controle de acesso #17 e #40

98
Itens de Controle
(nmero da questo)
Funo de controle de falhas no acesso #17, #37 e #40
Funo destacada para precaues
no uso do sistema
#17 e #40
Funo de relatrio de informao de
login anterior
#17 e #40
Funo de controle da sesso #17 e #40
Isolamento do sistema e do software
aplicativo
#17 e #40
Controle de recursos compartilhados
do sistema
#17, #40 e # 50
Proteo contra defeitos no software
e cdigos maliciosos
#17, #40 e # 50
Ferramentas e tecnologias para detec-
o de invaso e interrupo de servio
#17, #40 e # 50
Proteo contra indisponibilidade do
servio
#17, #40 e # 50
Roteamento de comunicao segura #17, #40 e # 50
Criao e controle de chave
criptogrfica
#17, #40 e # 50
Comunicao VOIP #17, #40 e # 50
Segurana nas etapas do ciclo de
vida dos sistemas
#40 e # 50
Requisitos de segurana dos
sistemas
#6, #40 e # 50
Processamento correto nas
aplicaes
#40 e # 50
Controles criptogrficos #6, #40 e # 50
Segurana dos arquivos do sistema #6, #40 e # 50
Segurana em processos de
desenvolvimento e de suporte
#6, #40 e # 50
Gesto de vulnerabilidades tcnicas #6, #14, #16, #17, #18, #40 e #50

99
O nvel mnimo de maturidade de Segurana das
Infraestruturas Crticas da Informao que as organizaes
devem se encontrar o nvel 2. Este nvel no a situao
ideal, desta forma as organizaes devem melhorar seus
processos de gesto tendo como objetivo atingir o nvel mais
elevado de maturidade.
O Captulo apontou diretrizes gerais para incrementar a
cultura, a segurana e, num maior prazo, a resilincia das
Infraestruturas Crticas da Informao.
No que diz respeito a requisitos mnimos, foi
apresentada uma srie de categorias e itens de controle de
forma a parametrizar a situao das Infraestruturas Crticas
da Informao em termos de seu nvel de maturidade de
segurana, considerando a identificao, o mapeamento e a
gesto de ativos de informao de forma sistemtica e nos
nveis estratgicos, tticos e operacionais.

100

101
CAPTULO 4. MTODO DE
IDENTIFICAO DE
AMEAAS E GERAO
DE ALERTAS DE
SEGURANA DAS
INFRAESTRUTURAS
CRTICAS DA
INFORMAO
Este Captulo prope mtodo para identificar ameaas
e para gerar alertas de Segurana das Infraestruturas Crticas
da Informao, no qual se definem sensores e sinais, e se
estabelecem os princpios bsicos que nortearo todo
mtodo. So apresentadas as etapas que constituem o
mtodo e os modelos de articulao que podero ser
empregados, elegendo-se o modelo hbrido como mais
indicado. Em seguida, estabelecida a necessidade de uma
rede de colaborao e comunicaes, propondo-se sua
topologia. Por fim, so expostos como ser a atuao do
mtodo nas diversas Infraestruturas Crticas e aspectos que
podem ser considerado como trabalhos futuros e melhorias
contnuas.

102
4.1. Mtodo de Identificao de Ameaas e
Gerao de Alertas
Com base no mapeamento de ativos de informao
das Infraestruturas Crticas da Informao, apresentado nos
Captulos 1 e 2, e nos requisitos mnimos necessrios
Segurana das Infraestruturas Crticas da Informao,
proposto no Captulo 3, o mtodo trata os sinais recebidos
com o objetivo de transform-los em alertas, levando em
considerao as interdependncias entre as Infraestruturas
Crticas, e obedecendo aos princpios de seletividade e
oportunidade.
4.1.1. Sensores e Sinais
Inicialmente, para se desenvolver o mtodo para
identificao de ameaas e gerao de alertas, h de se
considerar a coleta de indcios de ameaas. O ideal que tal
coleta seja realizada diretamente nas Infraestruturas Crticas
com base nos seus prprios controles de ativos da
informao. Dessa forma, os gestores desses ativos sero
responsveis pela primeira consolidao e co-relacionamento
da informao obtida.
A coleta de indcios de ameaas apresenta dois
conceitos essenciais: sensor e sinal. O sensor o elemento
ou meio responsvel pela coleta de informaes relacionadas
s ameaas, que pode pertencer tanto ao rgo gestor de
ativos de informao quanto ao rgo colaborador. Sinal a
informao consolidada e inserida por um sensor na rede de
identificao de ameaas e gerao de alertas.
Os sinais podem variar desde informaes espordicas
ou momentneas at relatrios de situao que devem ser

103
remetidos em intervalos peridicos e com prazos definidos. A
implantao dos controles, que dever ser supervisionada
pela coordenao setorial do rgo, ir definir o tipo de sinal
que ser gerado por um sensor.
4.1.2. Princpios
Os princpios gerais que devem ser seguidos pelo
processo de identificao de ameaas e gerao de alertas
para a Segurana das Infraestruturas Crticas da Informao
so a seletividade e a oportunidade.
A seletividade definida como a faculdade de
diferenciar o desejvel do indesejvel ou esprio. Este
princpio ser empregado neste mtodo para:
Definir os cenrios que devem ser
acompanhados, levando em considerao a lista
de ameaas estabelecidas;
Estabelecer os responsveis pelo
acompanhamento de cada tipo de ameaa;
Estabelecer um fluxo de comunicao dos sinais
e de validao de ameaas; e
Discriminar a quem devem ser direcionados os
alertas, levando em considerao a necessidade
de conhecer.
A oportunidade refere-se, simultaneamente,
tempestividade e convenincia de uma ao, determinando
que tal ao seja tomada de imediato e com a extenso
correta. Este princpio ser essencial para apoiar a concepo
dos processos de forma a agilizar a comunicao das
ameaas para as pessoas-chaves, garantindo que as
informaes inseridas no sistema alcancem os atores no
tempo hbil de uma reao preventiva, e no simplesmente
corretiva.

104
4.1.3. Etapas do mtodo
O mtodo para identificar ameaas e gerar alertas de
Segurana das Infraestruturas Crticas da Informao, tendo
sempre como fundamento os princpios da seletividade e da
oportunidade, conduzido em paralelo com a Gesto de
Riscos, servindo de suporte para este, no intuito de gerar a
Poltica de Segurana das Infraestruturas Crticas da
Informao. Este mtodo divide-se didaticamente em quatro
etapas: coleta, anlise, divulgao e realimentao.
Tabela 4.1 Tabela de Etapas do Mtodo de Identificao de
Ameaas e Gerao de Alertas
Etapa Objetivos
Coleta
Monitorar os indcios de ameaas associadas s
Infraestruturas Crticas da Informao identificadas,
com grau de risco predefinido, gerando sinais
quando os controles indicarem um padro de fuga
da normalidade;
Acompanhar incidentes (ameaas em
andamento) que afetem as Infraestruturas Crticas
da Informao identificadas.
Anlise
Analisar as informaes coletadas, verificando
sua autenticidade;
Fazer uma triagem em termos de
prioridade/impacto.
Divulgao
Elaborar alertas com base no resultado das
anlises;
Divulgar os alertas, de forma segmentada, aos
que necessitam conhecer, com vistas a minimizar
os riscos.
Realimentao
Validar e aperfeioar as tcnicas de mapeamento
de ativos, controle e gesto de riscos, com base
nos resultados do tratamento de alertas.

105
4.1.4. Modelos do mtodo
So identificados trs possveis modelos para o
mtodo:
Centralizado: o rgo articulador centraliza as
ameaas e emite os alertas. Esse modelo mais
vulnervel em virtude da possibilidade de se perder
a oportunidade para eventual ao devido demora
e demanda de conhecimento, processamento e
estrutura. Um rgo central capaz de gerir o
conhecimento de cada setor se apresenta como
uma soluo economicamente invivel e pouco
realista, dado o vulto das Infraestruturas Crticas e a
grande redundncia de papis que se insere no
sistema;
Descentralizado: cada setor prioritrio de
Infraestrutura Crtica analisa suas ameaas e emite
seus alertas. Os diversos setores realizam o
monitoramento e geram alertas para a rede sem
qualquer anlise centralizada de informaes. Este
modelo criaria um cenrio onde a anlise das
interdependncias no levaria em considerao o
conhecimento estratgico de instncias superiores,
o que limitaria o processo de gerao de alertas;
Hbrido: os diversos setores adotam aes
dentro de cada Infraestrutura Crtica e tambm
possuem capacidade de gerar alertas para outros
setores. O rgo articulador recebe todos os
alertas, bem como aqueles sinais previamente
definidos como importantes para anlise estratgica
e possvel gerao de novos alertas.

106
O modelo mais adequado, ora proposto, o hbrido,
pois engloba as caractersticas dos dois primeiros modelos
com a vantagem de reduzir as suas limitaes. Porm,
importante destacar que a seletividade da gerao de alertas,
especialmente no nvel inter-setorial, depende da
compreenso e do mapeamento das interdependncias entre
as diversas Infraestruturas Crticas.
4.1.5. Redes de Colaborao e Comunicao
A rede de colaborao e comunicao deve ser
coordenada no mbito nacional por um rgo articulador
responsvel por concentrar a evoluo das ameaas e os
respectivos histricos de alertas. Sugere-se que esta tarefa
seja realizada pelo Gabinete de Segurana Institucional da
Presidncia da Repblica (GSIPR), dada sua competncia
9
.
Tal rede dever ser composta tambm pelos gestores dos
ativos de informao identificados e colaboradores que
tenham capacidade de inserir sinais na rede.
Um segundo nvel de coordenao, localizado no plano
setorial, tambm dever estar presente com o intuito de
diminuir a necessidade de processamento do rgo
articulador. A adoo de uma topologia de rede distribuda em
lugar de uma centralizadora tambm diminui a vulnerabilidade
e aumenta o grau de oportunidade do sistema.
A troca de informaes nessa rede deve ser acordada
via algum instrumento formal (convnio, acordo, etc.) entre os
diversos atores, ou de forma coordenada. Os representantes
de todas as instituies que tiverem acesso a rede devem

9
Lei n
o
10.683, de 28 de maio de 2003.

107
estar credenciados para tal. A Figura 4.1, a seguir, apresenta
viso sobre tal rede.

Figura 4.1 - Redes de Colaborao e Comunicao
Essa rede constituir um sistema informatizado com
segurana compatvel com o grau de sigilo das informaes
que esto nela armazenadas, com acesso segmentado s
informaes, conforme a necessidade de conhecer. Alm
disso, o sistema precisa incorporar ferramentas de anlise
que facilitem o tratamento de um grande volume de
informaes. Para atender tal demanda, pode ser adotado
tanto um sistema comercial quanto um sistema desenvolvido
por instituio sob gesto do rgo articulado.
4.2. Aplicao do Mtodo
O subsistema de Infraestrutura Crtica da Informao
aborda aspectos relacionados aos ativos da informao das

108
Infraestruturas Crticas de forma transversal, levando em
considerao suas interdependncias.
O mtodo de identificao de ameaas e gerao de
alertas - apresentado na Figura 4.2 a seguir, denominado
Mdulo de Identificao de Ameaas e Gerao de Alertas -
compreende uma metodologia que tem como base os ativos
de informao e seus respectivos controles, levando em
considerao o estudo das interdependncias relacionadas
entre os setores.

Legenda:
Processos relacionados aos Captulos 1 e 2
Processos relacionados ao Captulo 3
Figura 4.2 - Mdulo de Identificao de Ameaas e Gerao de Alertas
Cada setor representa um segmento de Infraestrutura
Crtica que pode compreender subsetores. Como exemplo,
pode representar o segmento Transportes que compreende
os subsetores: Areo, Terrestre, Aquavirio, etc. Cada
subsetor composto por organizaes privadas ou pblicas
que seriam as responsveis pelos ativos de informao para

109
os quais sero definidos controles a fim de atender requisitos
mnimos de segurana da informao e comunicaes. Os
setores e os subsetores podem apresentar nveis distintos de
maturidade de segurana que precisam ser levados em
considerao para a efetividade e a confiabilidade dos alertas
gerados.
Na coordenao setorial, as informaes geradas pelos
controles sero coletadas, consolidadas, correlacionadas e
analisadas. Devem ser estabelecidos parmetros de
normalidade e as fronteiras para cada nvel de alerta dentro
do setor. Para cada nvel de alerta, devem ser definidos
planos de aes especficos.
O alerta deve ser divulgado para os setores
interdependentes, bem como para a articulao do sistema de
Infraestruturas Crticas da Informao. A rede de articulao
do sistema de Infraestruturas Crticas da Informao tambm
pode gerar alertas, tendo como base as informaes
consolidadas dos setores e informaes obtidas no mbito
externo.
Com base na etapa de realimentao, os setores
devem implementar ajustes em seus controles, com a
finalidade de minimizar riscos em funo do resultado da
anlise das informaes coletadas.
Outros possveis mdulos visualizados para o
subsistema de Infraestruturas Crticas da Informao seriam o
Mdulo de Gesto de Risco, Mdulo de Controles Tpicos
(associados aos ativos de informao) e Mdulo de Inventrio
(com o objetivo de mapear interdependncias).
A proposta, portanto, de um mtodo para identificar
ameaas e gerar alertas de Segurana das Infraestruturas
Crticas da Informao, apresenta como principais pontos:
Dois conceitos essenciais para o trabalho:
sensor e sinal;
Dois princpios: seletividade e oportunidade;

110
Quatro etapas: coleta, anlise, divulgao e
realimentao;
Trs modelos: centralizado, descentralizado e
hbrido, sendo este o mais indicado;
Uma Rede de Colaborao e Comunicao para
o trfego dos sinais;
Um quadro com o propsito de facilitar o
entendimento e a execuo de aes para a
identificao de ameaas e gerao de alertas.
Partindo-se deste mtodo, poderiam ser aprimorados,
em termos de viso de futuro, os seguintes aspectos:
A terminologia para identificar os elementos que
fluiro pela Rede de Colaborao e Comunicao,
tornando-a mais adequada e no ambgua;
A elaborao de uma interface grfica que
mostre geograficamente as Infraestruturas Crticas
da Informao monitoradas;
A proposta de um piloto com instituies
gestoras de Infraestruturas Crticas que j tenham
processos implantados de monitoramento de
ameaas.

111
CONSIDERAES FINAIS
A proposio do Guia de Referncia para a Segurana
das Infraestruturas Crticas da Informao a de ponderar a
respeito da importncia de se despender esforos visando
garantir a Segurana das Infraestruturas Crticas da
Informao, dada sua criticidade para manuteno e a
continuidade dos servios essenciais prestados sociedade e
ao Estado.
Nos dias atuais, considerando as relaes de
interdependncias que incrementam os ndices de potenciais
ameaas que podem assolar os ativos de informao - que
compem, ou relacionam-se com, as Infraestruturas Crticas
da Informao -, deixa evidente o compromisso de se
trabalhar um processo contnuo e evolutivo para o
aprimoramento e refinamento do conhecimento sobre tais
ativos. O efetivo conhecimento do ativo de informao
fundamental para saber do que, como e quanto pode ser
investido para proteg-lo.
A proposta principal deste Guia, depreendida do seu
contedo, a de propor melhores prticas para Segurana
das Infraestruturas Crticas da Informao e a promover uma
cultura robusta sobre o tema.
Esta primeira verso do Guia apresenta os primeiros
passos para sedimentar tal cultura, o que deixa patente a
necessidade de ao continuada de melhorias nos mtodos e
instrumentos ento apresentados.
notrio, portanto, que muitas aes so necessrias
para criar condies preeminentes da Segurana das
Infraestruturas Crticas de Informao, principalmente, no que
diz respeito ao entendimento das diretrizes para a proteo
da sociedade e do Estado.

112

113
GLOSSRIO
Alerta: um sinal analisado e validado por um sensor na rede
de identificao de ameaas e gerao de alertas.
Ameaa: causa potencial de um incidente indesejado, que
pode resultar em dano para um sistema ou organizao
(ABNT, 2005).
Artefato malicioso: qualquer programa de computador, ou
parte de um programa, construdo com a inteno de
provocar danos, obter informaes no autorizadas ou
interromper o funcionamento de sistemas e/ou redes de
computadores (GSIPR, 2009b).
Articulador: o rgo responsvel por concentrar a evoluo
das ameaas e os respectivos histricos de alertas.
Ativo: qualquer coisa que tenha valor para a organizao
(ABNT, 2005).
Ativo de Informao: meios de armazenamento, transmisso
e processamento, os sistemas de informao, bem como os
locais onde se encontram esses meios e as pessoas que a
eles tm acesso (GSIPR, 2009d).
Autenticidade: propriedade de que a informao foi
produzida, expedida, modificada ou destruda por uma
determinada pessoa fsica, ou por um determinado sistema,
rgo ou entidade (GSIPR, 2008b).
Colaborador: o rgo que tem capacidade de inserir sinais
na rede de identificao de ameaas e gerao de alertas.

114
Confidencialidade: propriedade de que a informao no
esteja disponvel ou revelada a pessoa fsica, sistema, rgo
ou entidade no autorizado e credenciado (GSIPR, 2008b).
Contineres dos Ativos de Informao: o continer o
local onde vive o ativo de informao. qualquer tipo de
recurso onde a informao est armazenada, transportada
ou processada (STEVENS, 2005).
Continuidade de Negcios: capacidade estratgica e ttica
de um rgo ou entidade de se planejar e responder a
incidentes e interrupes de negcios, minimizando seus
impactos e recuperando perdas de ativos da informao das
atividades crticas, de forma a manter suas operaes em um
nvel aceitvel, previamente definido (GSIPR, 2009c).
Coordenao setorial: o segundo nvel de coordenao,
localizado no plano setorial (vide Setor), com o intuito de
diminuir a necessidade de processamento do rgo
articulador e facilitar a aplicao do princpio da seletividade e
oportunidade.
Disponibilidade: propriedade de que a informao esteja
acessvel e utilizvel sob demanda por uma pessoa fsica ou
determinado sistema, rgo ou entidade (GSIPR, 2008b).
Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais ETIR: grupo de pessoas com a
responsabilidade de receber, analisar e responder s
notificaes e atividades relacionadas a incidentes de
segurana em redes de computadores (GSIPR, 2009b).
Fonte de Risco: elemento que, individualmente ou
combinado, tem o potencial intrnseco para dar origem ao
risco (ABNT, 2009a).

115
Gesto de riscos de segurana da informao e
comunicaes: conjunto de processos que permite identificar
e implementar as medidas de proteo necessrias para
minimizar ou eliminar os riscos a que esto sujeitos os seus
ativos de informao, e equilibr-los com os custos
operacionais e financeiros envolvidos (GSIPR, 2009a).
Grau de sigilo: gradao atribuda a dado, conhecimentos,
reas ou instalaes, considerados classificados, em
decorrncia de sua natureza ou contedo (adaptao do
Glossrio MD35-G-101, 2007).
Indcios: vestgio, indicao de algo que pode se tornar uma
ameaa.
Impacto: mudana adversa no nvel obtido dos objetivos do
negcio (ABNT, 2008a).
Infraestruturas Crticas: instalaes, servios, bens e
sistemas que, se forem interrompidos ou destrudos,
provocaro srio impacto social, econmico, poltico,
internacional ou segurana do Estado e da sociedade
(GSIPR, 2009d).
Infraestruturas Crticas da Informao: subconjunto de
ativos de informao que afetam diretamente a consecuo e
a continuidade da misso do Estado e a segurana da
sociedade (CDN/SE, 2009).
Interdependncia: relao de dependncia ou interferncia
de uma infraestrutura crtica em outra, ou de uma rea
prioritria de Infraestruturas Crticas em outra (Poltica
Nacional de Segurana de Infraestruturas Crticas, 2010
aprovada na CREDEN, e ainda no sancionada pelo
Presidente da Repblica).

116
Necessidade de conhecer: condio indispensvel, inerente
ao exerccio funcional, para que uma pessoa possuidora de
credencial de segurana tenha acesso a dado e informao
classificada, compatvel com seu credenciamento. Desta
forma a necessidade de conhecer caracteriza-se como fator
restritivo de acesso, independente do grau hierrquico ou
funo que a pessoa exera (adaptao do Glossrio MD35-
G-101, 2007).
Oportunidade: princpio que se refere, simultaneamente,
tempestividade e convenincia de uma ao, determinando
que esta seja tomada de imediato e com a extenso correta.
Resilincia: poder de recuperao ou capacidade de uma
organizao resistir aos efeitos de um desastre. (NC 06
DSIC/GSIPR, 2009) Capacidade de resistir a fatores adversos
e de recuperar-se rapidamente. (Poltica Nacional de
Segurana de Infraestruturas Crticas, 2010 aprovada na
CREDEN, e ainda no sancionada pelo Presidente da
Repblica).
Risco: efeito da incerteza nos objetivos (ABNT, 2009b).
Riscos de segurana da informao: possibilidade de uma
determinada ameaa explorar vulnerabilidades de um ativo ou
de um conjunto de ativos, desta maneira, prejudicando a
organizao (ABNT, 2008b).
Riscos de segurana da informao e comunicaes:
potencial associado explorao de uma ou mais
vulnerabilidades de um ativo de informao ou de um
conjunto de tais ativos, por parte de uma ou mais ameaas,
com impacto negativo no negcio da organizao. (GSIPR,
2009a).
Segurana Ciberntica: arte de assegurar a existncia e a
continuidade da Sociedade da Informao de uma Nao,

117
garantindo e protegendo, no Espao Ciberntico, seus ativos
de informao e suas infra-estruturas crticas (GSIPR, 2009d).
Segurana da Informao: proteo dos sistemas de
informao contra a negao de servio a usurios
autorizados, assim como contra a intruso, e a modificao
desautorizada de dados ou informaes, armazenados, em
processamento ou em trnsito, abrangendo, inclusive, a
segurana dos recursos humanos, da documentao e do
material, das reas e instalaes das comunicaes e
computacional, assim como as destinadas a prevenir,
detectar, deter e documentar eventuais ameaas a seu
desenvolvimento (PRESIDNCIA, 2000).
Segurana da Informao e Comunicaes: aes que
objetivam viabilizar e assegurar a disponibilidade, a
integridade, a confidencialidade e a autenticidade das
informaes (GSIPR, 2008b).
Sensor: o sensor o elemento ou meio responsvel pela
coleta de informaes relacionadas s ameaas.
Setor: representa um segmento de Infraestrutura Crtica que
pode compreender subsetores. Como exemplo pode
representar o segmento transportes que compreende os
subsetores: Areo, Terrestre, Aquavirio, etc.
Sinal: chamado de sinal a informao baseada em um
indcio ou ameaa aps ser parametrizada, consolidada e
inserida por um sensor na rede de identificao de ameaas e
gerao de alertas.
Subsetor: um nvel de especializao de um segmento de
Infraestrutura Crtica, constitudo por organizaes privadas
ou pblicas responsveis pelos ativos de informao para os
quais sero definidos controles a fim de atender requisitos
mnimos de segurana.

118
Vulnerabilidade: propriedade intrnseca de algo resultando
em suscetibilidade a uma fonte de risco que pode levar a um
evento com uma conseqncia (ABNT, 2009a). Conjunto de
fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou
organizao, os quais podem ser evitados por uma ao
interna de segurana da informao (GSIPR, 2009a).

119
REFERNCIAS BIBLIOGRFICAS
ABNT. ABNT NBR ISO/IEC 27001:2006: Tecnologia da
Informao: Tcnicas de Segurana da Informao: Sistemas
de Gesto de Segurana da Informao: Requisitos. Rio de
Janeiro, 2006.
Informao: Cdigo de Prtica para a Gesto da Segurana
da Informao. Rio de Janeiro, 2005.
Informao: Tcnicas de Segurana: Gesto de Riscos de
Segurana da Informao. Rio de Janeiro, 2008a.
ABNT. ABNT NBR 15999-1:2007: Gesto de Continuidade de
Negcios - Parte 1: Cdigo de prtica. Rio de Janeiro, 2007
ABNT. ABNT NBR 15999-2:2008: Gesto de Continuidade de
Negcios - Parte 2: Requisitos. Rio de Janeiro, 2008b.
ABNT. ABNT NBR ISO 31000:2009: Gesto de riscos -
Princpios e diretrizes. Rio de Janeiro, 2009a.
ABNT. ABNT ISO GUIA 73:2009: Gesto de riscos -
Vocabulrio. Rio de Janeiro, 2009b.
BAGHERY, E. et al. The State of the Art in Critical
Infraestructure Protection: a Framework for Convergence.
Faculty of Computer Science, University of New Brunswick,
Fredericton, N.B. Canada, 2007. Disponvel em
<http://glass.cs.unb.ca/~ebrahim/papers/CIPFramework.pdf>.
Acesso em: junho, 2010.

120
BRUNSDON, D.; DANTAS, A. et al. Building Organisational
Resilience: A Summary of Key Research Findings.
Resilient Organisations Programme. <www.resorgs.org.nz>.
Nova Zelndia, agosto de 2006.
CDN/SE. Portaria N 34, de 5 de agosto de 2009. Conselho
de Defesa Nacional, Secretaria Executiva. Institui Grupo de
Trabalho de Segurana das Infraestruturas Crticas da
Informao, no mbito do Comit Gestor de Segurana da
Informao - CGSI. Braslia, 2009.
CT-STI. Ministrio do Planejamento, Oramento e Gesto,
Secretaria de Logstica e Tecnologia da Informao,
Cmara Tcnica de Segurana da Tecnologia da
Informao. Braslia, 2000. Disponvel em
<http://www.redegoverno.gov.br/eventos/arquivos/Mod_Seg_I
nf.pdf>. Acesso em: junho, 2010.
EVERTON, G.L. et al., Framework para Deteco e
Filtragem de Alertas de Intruso utilizando Redes
Bayesianas. Disponvel em:
<http://sbseg2008.inf.ufrgs.br/proceedings/data/pdf/st01_03_w
ticg.pdf>. Acesso em: setembro, 2010.
GSIPR. Portaria N 2, de 8 de fevereiro de 2008. Gabinete
de Segurana Institucional da Presidncia da Repblica.
Institui Grupos Tcnicos de Segurana de Infraestruturas
Crticas (GTSIC) e d outras providncias. Braslia, 2008a.
GSIPR. Instruo Normativa N 1, de 13 de junho de 2008.
Repblica. Disciplina a Gesto de Segurana da Informao e
Comunicaes na Administrao Pblica Federal, direta e
indireta, e d outras providncias. Braslia, 2008b.

121
GSIPR. Norma Complementar N 02/IN01/DSIC/GSIPR, de
13 de outubro de 2008. Departamento de Segurana da
Informao e Comunicaes, Gabinete de Segurana
Institucional da Presidncia da Repblica. Metodologia de
Gesto de Segurana da Informao e Comunicaes.
Braslia, 2008c.
14 de agosto de 2009. Departamento de Segurana da
Institucional da Presidncia da Repblica. Gesto de Riscos
de Segurana da Informao e Comunicaes. Braslia,
2009a.
14 de agosto de 2009. Departamento de Segurana da
Institucional da Presidncia da Repblica. Criao de
Equipes de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR. Braslia, 2009b.
11 de novembro de 2009. Departamento de Segurana da
Institucional da Presidncia da Repblica. Gesto de
Continuidade de Negcios em Segurana da Informao e
Comunicaes. Braslia, 2009c.
GSIPR. Portaria N 45, de 8 de setembro de 2009. Gabinete
de Segurana Institucional da Presidncia da Repblica.
Institui, no mbito da Cmara de Relaes Exteriores e
Defesa Nacional (CREDEN), o Grupo Tcnico de Segurana
Ciberntica e d outras providncias. Braslia, 2009d.
LEACH, John. Improving User Security Behaviour,
Computer & Security Vol 22, No 8. 2003.

122
LOPES, Marcos Allemand. Conceitos da Engenharia de
Resilincia Aplicados Proteo da Infraestrutura de
Informaes Crticas. Braslia, 2010.
MIN, Hyeung-Sik J.; BEYELER, Walter; BROWN, Theresa et
al. Toward modeling and simulation of critical national
infrastructure interdependencies. Albulquerque, 2005.
Disponvel em
<http://www.sandia.gov/nisac/docs/IIE_HSpaper_published.pd
f>. Acesso em: junho, 2010.
WILSON, Mark et al. NIST Special Publication 800-50:
Building an Information Technology Security Awareness
and Training Program. Computer Security Division,
Information Technology Laboratory, National Institute of
Standards and Technology. Gaithersburg, 2003. Disponvel
em <http://csrc.nist.gov/publications/nistpubs/800-50/NIST-
SP800-50.pdf>. Acesso em: agosto, 2010.
PRESIDNCIA. Lei N 9.883, de 7 de dezembro de 1999.
Presidncia da Repblica, Casa Civil, Subchefia para
Assuntos Jurdicos. Institui o Sistema Brasileiro de
Inteligncia, cria a Agncia Brasileira de Inteligncia - ABIN, e
d outras providncias. Braslia, 1999.
PRESIDNCIA. Decreto N 3.505, de 13 de junho de 2000.
Assuntos Jurdicos. Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica
Federal. Braslia, 2000
PRESIDNCIA. Decreto N 4.553, de 27 de dezembro de
2002. Presidncia da Repblica, Casa Civil, Subchefia para
Assuntos Jurdicos. Dispe sobre a salvaguarda de dados,
informaes, documentos e materiais sigilosos de interesse
da segurana da sociedade e do Estado, no mbito da
Administrao Pblica Federal, e d outras providncias.
Braslia, 2002.

123
PRESIDNCIA. Lei no 10.683, de 28 de maio de 2003.
Assuntos Jurdicos. Dispe sobre a organizao da
Presidncia da Repblica e dos Ministrios, e d outras
providncias. Braslia, 2003.
SEVILLE, Erica (Dr.). Resilience: Great Concept...But What
Does it Mean for Organisations?.Resilient Organisations,
University of Canterbury. Julho de 2009.
SLTI/MPOG. Instruo Normativa N 4, de 19 de maio de
2008. Secretaria de Logstica e Tecnologia da Informao,
Ministrio do Planejamento, Oramento e Gesto. Dispe
sobre o processo de contratao de servios de Tecnologia da
Informao pela Administrao Pblica Federal direta,
autrquica e fundacional. Braslia, 2008.
STEVENS, J. F.. Information Asset Profiling: CMU
Carnegie Mellon University, June 2005. 61 p. (CMU/SEI-2005-
TN-021). Disponvel em:
<www.cert.org/archive/pdf/05tn021.pdf>. Acesso em: julho,
2010.
SUTER, Manuel. A Generic National Framework for Critical
Information Infrastructure (CIIP). Center for Security
Studies, ETH. Zurique, 2007.
YOO, Dong-Young; SHIN, Jong-Whoi; LEE, Gang Shin; LEE,
Jae-Il. Improve of Evaluation Method for Information
Security Levels of CIIP. World Academy of Science,
Engineering and Technology. 2007.

124

125
ANEXO A.1 FORMULRIOS DE
APOIO PARA
REGISTRO E GESTO
DOS ATIVOS DE
INFORMAO
Para auxiliar a execuo do processo de Identificao
e Classificao de Ativos de Informao e para ser utilizado
conjunto com o Questionrio de Mapeamento de Ativos de
Informao, so apresentados formulrios
10
que visam
estruturar as informaes coletadas e as constataes
estabelecidas durante as atividades. Cada ativo de informao
identificado dever ter seu conjunto de formulrios preenchido.
Informaes Gerais do Ativo de Informao
Data Verso Identificao nica

Responsveis Preechimento (nome, cargo/funo, setor, telefone/ramal, e-mail corporativo)

Nome Ativo
Impacto no negcio
(Alto, Mdio, Baixo)

Descrio detalhada (descreva o objetivo do ativo, o que faz, como faz, requisitos utilizados,
como foi desenvolvido, qual tecnologia, detalhes tcnicos ...)

Proprietrio(s) do ativo (nome, cargo/funo, setor, telefone/ramal, e-mail corporativo)

10
Adaptados de STEVENS (2005).

126
Contineres do Ativo de Informao
(1) Aplicaes e Sistemas
Aplicativos de usurios

Sistemas Operacionais

Sistemas Corporativos

Outros softwares

(2) Hardwares
Servidores

Storages

Estaes de usurios

Outros hardwares

(3) Pessoas
Especialistas ou unidades
de negcio

Fornecedores

Clientes

Outras pessoas

(4) Outros contineres
Locais fsicos

Papel

Mdias magnticas

Outros

127

Requisitos de Segurana do Ativo de Informao
Requisitos de Confidencialidade

Requisitos de Integridade

Requisitos de Disponibilidade

Relacionamentos do Ativo de Informao
Id. Ativo Relacionamento Interno (Entrada ou
Sada)
Descrio (breve
descrio do tipo do
relacionamento, ex:
cadastros, lanamentos,
relatrios, banco de dados,
memorandos, atas,
solicitaes, etc.)

Entidades Relacionamento Externo (Entrada ou
Sada)
Descrio (breve
descrio do tipo do
relacionamento, ex:
manuteno, atualizao,
desenvolvimento, uso, etc)

128

Valor do Ativo de Informao
Valor
Financeiro
Justificativa

129
ANEXO A.2 EXEMPLOS DE
AMEAAS COMUNS
A tabela abaixo contm exemplos de ameaas tpicas
que pode ser utilizada no processo de avaliao de ameaas.
Ameaas podem ser: (I) intencionais, que indica as aes
intencionais direcionadas contra os ativos da informao; (A)
acidentais, que indica as aes de origem humana que
podem comprometer acidentalmente e os ativos da
organizao; ou de origem (N) natural ou ambiental, que
indica incidentes que no so provocados pela ao dos
seres humanos (ABNT, 2008a):
Exemplos de ameaas comuns
Tipo Ameaa Origem
Dano Fsico
Fogo A, I, N
gua A, I, N
Poluio A, I, N
Acidente grave A, I, N
Destruio de equipamento ou mdia A, I, N
Poeira, corroso ou congelamento A, I, N
Eventos naturais
Fenmeno climtico N
Fenmeno ssmico N
Fenmeno vulcnico N
Fenmeno meteorolgico N
Inundao N
Paralisao de
servios
essenciais
Falha do condicionador de ar A, I
Interrupo no suprimento de
energia
A, I, N
Falha do equipamento de
telecomunicaes
A, I
Distrbio causado
por radiao
Radiao eletromagntica A, I, N
Radiao trmica A, I, N
Pulsos eletromagnticos A, I, N
Comprometimento
da informao
Interceptao de sinais I
Espionagem distncia I

130
Comprometimento
da informao
Escuta no autorizada I
Furto de mdia ou documentos I
Furto de equipamentos I
Recuperao de mdia reciclada ou
descartada
I
Divulgao indevida A, I
Dados de fones no confiveis A, I
Alterao do hardware I
Alterao do software A, I
Determinao da localizao I
Falhas tcnicas
Falha de equipamento A
Defeito de equipamento A
Saturao do sistema de informao A, I
Defeito de software A
Violao das condies de uso do
sistema de informao que
possibilitam sua manuteno
A, I
Aes no
autorizadas
Uso no autorizado de equipamento I
Cpia ilegal de software I
Uso de cpias de software
falsificadas ou ilegais
A, I
Comprometimento dos dados I
Processamento ilegal dos dados I
Comprometimento
de funes
Erro durante o uso A
Forjamento de direitos A, I
Abuso de diretos I
Repdio de aes I
Indisponibilidade de recursos
humanos
A, I, N
Fonte: ABNT, 2008a, p. 39-40.

131
Abaixo, seguem fontes de ameaas representadas por
seres humanos, respectivas motivaes e suas possveis
conseqncias:
Exemplos de ameaas causadas por seres humanos
Fontes de
ameaa
Motivao Possveis Consequncias
Hacher,
cracker
Desafio
Egocentrismo
Protesto
Rebeldia
Status
Dinheiro
Hacking;
Engenharia social;
Negao de servio;
Pichao de sites;
Invaso de sistemas,
infiltraes;
Acesso no autorizado.
Criminosos
digitais
Destruio de
informaes
Acesso a dados
sigilosos
Divulgao ilegal de
informaes
Ganho monetrio
Alteraes no
autorizadas de dados
Atos virtuais fraudulentos
(interceptao de dados,
ataque homem-no-meio, IP
spoofing, etc.);
Intruso de sistemas.
Suborno por informao;
Ataques a sistemas
(negao de servio);
Terroristas
Chantagem
Destruio
Vingana
Explorao
Ganho poltico
Cobertura da mdia
Ataques com bombas;
Guerra de informao;
Ataques a sistemas
(negao de servio
distribudo);
Invaso e dominao de
sistemas;
Alterao de sistemas.
Espies
Vantagem competitiva
Espionagem
econmica
Garantir vantagem de um
posicionamento defensivo;
Garantir uma vantagem
poltica;
Explorao econmica;
Furto de informaes;
Violao da privacidade das
pessoas;

132
Espies
Engenharia social;
Invaso de sistemas;
Invaso de privacidade;
Acessos no autorizados
em sistemas (acesso a
informao restrita, de
propriedade exclusiva, e/ou
relativa tecnologia).
Pessoas: mal
treinadas,
insatisfeitas,
mal-
intencionadas,
negligentes,
imprudentes,
desonestas,
demitidas.
Curiosidade
Egocentrismo
Informaes para
servio de Inteligncia
Ganhos financeiros
Vingana
Aes no intencionais
ou omisses (erro na
entrada de dados, erro
na programao).
Agresso a funcionrio;
Chantagem;
Busca de informao
sensvel;
Abuso dos recursos
computacionais;
Fraudes;
Furto de ativos;
Suborno de informao;
Incluso de dados falsos;
Corrupo de dados;
Interceptao de informao;
Desvio de informao;
Uso de programas ou
cdigos maliciosos;
Sabotagens;
Invaso de sistemas;
Acessos no autorizados a
sistemas.
Fonte: ABNT, 2008a, p. 40-41.

133
ANEXO A.3 EXEMPLOS DE
VULNERABILIDADES
A tabela abaixo fornece exemplos de vulnerabilidades e
possveis ameaas em diversas reas de segurana e pode
servir de auxlio durante o processo de identificao de
potenciais ameaas e vulnerabilidades, explicado no Captulo 2.
Exemplos vulnerabilidades
Tipos
Exemplos de
vulnerabilidades
Exemplos de ameaas
Hardware
Manuteno insuficiente
ou instalao defeituosa
de mdia de
armazenamento
Violao das condies de
uso do sistema de
informao que possibilitam
sua manuteno
Falta de uma rotina de
substituio peridica
Destruio de equipamento
ou mdia
Sensibilidade umidade,
poeira ou sujeira
Poeira, corroso,
congelamento.
Sensibilidade radiao
eletromagntica
Radiao eletromagntica
Inexistncia de um
controle de mudanas de
configurao
Erro durante o uso
Sensibilidade a variaes
de voltagem
Interrupo do suprimento de
energia
Sensibilidade a variaes
de temperatura
Fenmeno meteorolgico
Armazenamento no
protegido
Furto de mdia ou
documentos
Descuidado durante o
descarte
Furto de mdia ou
documentos
Utilizao de cpias no
controladas
Furto de mdias ou
documentos

Software

Inexistncia de
procedimentos de teste
de softwares.
Abuso de direitos

134

Software

Falhas conhecidas no
software
Abuso de diretos
No execuo do logout
ao se deixar uma estao
de trabalho
Abuso de direitos
Descarte ou reutilizao
de mdia de
armazenamento sem a
execuo dos
procedimentos
apropriados de remoo
dos dados
Abuso de direitos
Inexistncia de uma trilha
de auditoria
Abuso de direitos
Atribuio errnea de
direitos de acesso
Abuso de diretos
Software amplamente
distribudo
Comprometimento dos
dados
Utilizar programas
aplicativos com um
conjunto errado de dados
Comprometimento dos
dados
Interface de usurio
complexa
Erro durante uso
Inexistncia de
documentao
Erro durante uso
Parmetros Incorretos Erro durante uso
Datas incorretas Erro durante uso
Rede
Inexistncia de
mecanismos de
autenticao e
identificao
Forjamento de direitos
Tabelas de senhas
desprotegidas
Forjamento de diretos
Gerenciamento mal feito
de senhas
Forjamento de direitos
Servios desnecessrios
habilitados
Processamento ilegal de
dados
Software novo ou imaturo Defeito de software
Especificaes confusas
o incompletas para os
desenvolvedores
Defeito de software

135
Rede
Inexistncia de um
controle eficaz de
mudana
Defeito de software
Download e uso no
controlado de software
Alterao do software
Inexistncia de cpias de
segurana
Alterao do software
Inexistncia de
mecanismos de proteo
fsica no prdio, portas e
janelas
Furto de mdia ou
documentos
Inexistncia de relatrios
de gerenciamento
Uso no autorizado de
equipamento
Inexistncia de evidncias
que comprovem o envio
ou recebimento de
mensagens
Repdio de aes
Linhas de Comunicao
desprotegidas
Escuta no autorizada
Trfego sensvel
desprotegido
Escuta no autorizada
Junes de cabeamento
mal feitas
Falha do equipamento de
telecomunicao
Ponto nico de falha Falha do equipamento de
telecomunicao
No identificao e no
autenticao do emissor
ou receptor
Forjamento de diretos
Arquitetura insegura da
rede
Espionagem distncia
Transferncias de senhas
em claro
Espionagem a distncia
Gerenciamento de rede
inadequado, quanto
configurao de
roteamentos
Saturao do sistema de
informao
Conexes de redes
pblicas desprotegidas
equipamento
Recursos
humanos
Ausncia de recursos
humanos
humanos

136
Recursos
humanos
Procedimentos de
recrutamento
inadequados
humanos
Treinamento insuficiente
em segurana
Erro durante o uso
Uso incorreto de software
e hardware
Erro durante o uso
Falta de conscientizao
em segurana
Erro durante o uso
Inexistncia de
mecanismos de
monitoramento
Processamento ilegal dos
dados
Trabalho no
supervisionado de
pessoal de limpeza ou de
terceirizados
Furto de mdia ou
documentos
Inexistncia de polticas
pra o uso correto de
meios de
telecomunicao e de
troca de mensagens
recurso
Local ou
instalaes
Uso inadequado de
mecanismos de controle
de acesso fsico a locais
sensveis
Destruio de equipamento
ou mdia
Localizao em rea
suscetvel a inundaes
Inundao
Fornecimento de energia
instvel
Interrupo de suprimento de
energia
Inexistncia de
mecanismos de proteo
fsica no prdio portas e
janelas
Furto de equipamentos
Organizao
Inexistncia de um
procedimento formal para
o registro de remoo de
usurios
Abuso de direitos
Inexistncia de processo
formal para a anlise
crtica dos direitos de
acesso
Abuso de direitos

137
Organizao
Provises de segurana
insuficientes o
inexistentes em contratos
com clientes e/ou
terceiros
Abuso de direitos
Inexistncia de
procedimentos de
monitoramento das
instalaes de
processamento de
informaes
Abuso de direitos
Inexistncia de auditorias
peridicas
Abuso de direitos
Inexistncia de
procedimentos para a
identificao e
anlise/avaliao de
riscos
Abuso de direitos
Inexistncia de relatos de
falha nos arquivos de
auditoria das atividades
de administradores e
operaes
Abuso de direitos
Resposta inadequada do
servio de manuteno
uso do sistema de
informao
Acordo de nvel de
servio (SLA) inexistncia
ou ineficaz
uso do sistema de
informao
Controle de mudanas
inexistente ou ineficaz
uso do sistema de
informao
Procedimento e controle
de sistemas de
gerenciamento de
segurana inexistentes
Comprometimento dos
dados
Atribuio inadequada
das responsabilidades
pela segurana da
informao
Repdio de aes
Plano de continuidade de
servios inexistente
Falha nos servios

138
Organizao
Poltica de uso de e-mail
inexistente
Erro durante o uso
Ausncia de registros de
auditoria (logs)
Erro durante o uso
Processo disciplinar no
caso de incidentes de
segurana inexistente
Furto de equipamentos ou
dados
Poltica de uso de
recursos de informtica
inexistente
dados
Inexistncia de controle
de ativos fora da
organizao
dados
Inexistncia de
procedimentos de direitos
de propriedade intelectual
Uso de cpias de aplicativos
falsificadas ou ilegais.
Fonte: ABNT, 2008a, p. 42-45.

139
ANEXO A.4 PERFIS DE AMEAAS

140

141
ANEXO B.1 PROPOSTA DO GT
SICI: ESTRUTURA
GENRICA PARA
SEGURANA DAS
INFRAESTRUTURAS
CRTICAS DA
INFORMAO
A metodologia apresentada neste Anexo e que
adotada para implementar a estratgia apresentada no
Captulo 3, baseou-se no artigo Generic National Framework
for CIIP de SUTER (2007), o qual apresenta uma proposta
de estrutura genrica para a Segurana das Infraestruturas
Crticas da Informao.
1. Os Quatro Pilares da Segurana da
Informao e Comunicaes
1.1. Preveno e alerta antecipado
Preveno e alerta antecipado so fatores
indispensveis Segurana da Informao e Comunicaes.
Deve-se buscar a preveno por intermdio:
Do desenvolvimento de uma cultura de
Segurana da Informao e Comunicaes em
todos os nveis; e

142
Da aplicao das demais estratgias explicadas
no Captulo 3, deste Guia, em todos os setores de
interesse.
Todavia, dada a complexidade e interdependncia das
Infraestruturas Crticas da Informao, invivel esperar que
os incidentes possam ser prevenidos de forma conjunta. O
que se pode assegurar que:
As Infraestruturas Crticas da Informao
estejam menos vulnerveis a crises;
As interrupes de servio(s) sejam curtas no
tempo e limitadas no espao; e
O(s) servio(s) seja(m) prontamente restabele-
cido(s) aps eventuais interrupes.
1.2. Deteco
Face rpida evoluo de novas tecnologias, as
vulnerabilidades descobertas devem ser reportadas numa
rede de tal forma que os alertas cheguem instantaneamente
aos responsveis pelo tratamento. No nvel governamental, o
Centro de Tratamento de Incidentes de Segurana em Redes
de Computadores da Administrao Pblica Federal CTIR
Gov (GSIPR, 2008b), subordinado ao Departamento de
Segurana de Informao e Comunicaes - DSIC do
Repblica, tem como finalidade precpua o atendimento aos
incidentes em redes de computadores pertencentes
Administrao Pblica Federal, direta e indireta. Alm disso,
no Captulo 4 deste Guia proposto mtodo de identificao
de ameaas e gerao de alertas, bem como rede de
colaborao para intercmbio de informaes sobre a SICI.

143
1.3. Reao
A reao composta pela identificao e correo das
causas de problemas. Ressalta-se que as atividades de uma
unidade que coordena a Segurana das Infraestruturas
Crticas da Informao complementam, mas no substituem
os esforos de cada Infraestrutura Crtica identificada. A
referida unidade prov aconselhamento e direcionamento em
como lidar com incidentes ao invs de oferecer solues
completas. O arcabouo legal tambm pode auxiliar a coibir e
apurar responsabilidades, j que muitos ataques tm origem
alm das fronteiras fsicas nacionais. A anlise de incidentes
tambm faz parte da reao, e as lies aprendidas devem
ser amplamente divulgadas para realimentar o processo de
reviso de normas.
1.4. Gesto de crise
fundamental que o rgo responsvel pela
Segurana das Infraestruturas Crticas seja encarregado pela
estrutura da gesto de crise no mbito nacional e, numa
situao adversa, tenha condies de prover aconselhamento
diretamente ao Presidente da Repblica. O GSIPR coordena,
pelo Gabinete de Crise, cada demanda presidencial.
Os gestores de Segurana das Infraestruturas Crticas
da Informao tendem a estar preocupados com a estrutura
interna de seu rgo em detrimento das interdependncias
com estruturas de outros rgos. Desta forma, o rgo
responsvel pela Segurana das Infraestruturas Crticas da
Informao, no nvel nacional, deve ter as interdependncias
mapeadas, bem como deve implementar oficinas e exerccios
para aprimoramento do plano de gesto de crise, e para que
cada Gestor de Segurana das Infraestruturas Crticas tenha
a conscincia do papel de sua organizao em termos de
interdependncias.

144
2. Parcerias essenciais
O rgo responsvel pela Segurana das
Infraestruturas Crticas da Informao, no mbito nacional,
deve contar com diversas competncias especializadas,
podendo estar dedicada exclusivamente ou sendo
selecionados pelas diversas Infraestruturas Crticas em
funo de suas qualificaes.
Para atender as tarefas relativas aos quatro pilares da
Segurana da Informao e Comunicaes, h que se
estabelecerem diversas competncias organizacionais,
tcnicas e analticas. A unidade de Segurana das
Infraestruturas Crticas da Informao possui trs parceiros
essenciais:
Agncia governamental, provendo liderana e
superviso estratgica;
Centro de anlise articulado com o Sistema
Brasileiro de Inteligncia - SISBIN
11
;
Centro(s) tcnico(s) com experincia no trato do
assunto (CTIR Gov, CERT.br, CAIS/RNP).
2.1. Liderana e Superviso Estratgica
As lideranas devem fazer parte da Alta Administrao,
embora os demais integrantes do rgo de Segurana das
Infraestruturas Crticas da Informao possam ser oriundos
de diversas agncias governamentais.
No presente momento, o Gabinete de Segurana
Institucional da Presidncia da Repblica GSIPR, por sua
competncia estabelecida na Lei no 10.683, de 28 de maio de
2003, dispe do arcabouo legal e tcnico para a liderana e

11
Lei N 9.883, de 7 de dezembro de 1999 e Decreto N 4.376, de 13 de
setembro de 2002.

145
superviso estratgica de SICI no mbito nacional.
importante, tambm, que tal liderana tenha o
reconhecimento e a confiana do setor privado.
2.2. Capacidade Analtica
Pode ser atribuda a unidades de inteligncia
especficas das prprias Infraestruturas Crticas que
trabalham em parceria com o rgo no nvel nacional. As
fontes devem disponibilizar seus dados por meio de uma rede
segura. importante que o integrador das fontes trabalhe na
rea de inteligncia para fazer a interface entre a unidade de
Segurana das Infraestruturas Crticas da Informao e a
inteligncia. Esta funo ir compor a Sala de Situao.
2.3. Competncias Tcnicas
O CTIR Gov dever estar em condies de atender s
demandas tcnicas do rgo de Segurana das
Infraestruturas Crticas da Informao do governo, e em plena
sintonia com o CERT.br, o CAIS/RNP, e demais equipes de
tratamento de incidentes em redes de computadores.
3. Requisitos organizacionais de uma
Unidade de Segurana das
Infraestruturas Crticas da Informao:
Estrutura hierrquica enxuta: permite comuni-
cao direta entre os integrantes.
Responsabilidades bem definidas;

146
Ter experincia em Segurana das
Infraestruturas Crticas da Informao, bons
contatos com decisores e com os que elaboram
polticas e comunicao;
Ter conhecimento legal e poltico aprofundado,
bem como articulao com servios de inteligncia;
Possuir habilidades tcnicas e de comunicao.
4. Redes e ligaes da Unidade de
Segurana das Infraestruturas Crticas
da Informao
4.1. Parcerias da chefia da unidade
Agncias governamentais envolvidas com
Segurana das Infraestruturas Crticas da
Informao;
rgos fora da Administrao Pblica Federal
(APF);
Unidades estrangeiras de Segurana das
Infraestruturas Crticas da Informao.
4.2. Parcerias da Sala de Situao com foco em
SICI
Casa Civil da Presidncia da Repblica;
Gabinete de Segurana Institucional da
Presidncia da Repblica;
Agncia Brasileira de Inteligncia - ABIN, do
Gabinete de Segurana Institucional da Presidncia
da Repblica;

147
Ministrio da Justia, por meio do Departamento
da Polcia Federal;
Ministrio da Defesa;
Ministrio das Relaes Exteriores;
Ministrio da Fazenda;
Ministrio do Trabalho e Emprego;
Ministrio da Sade;
Ministrio da Previdncia Social;
Ministrio da Cincia e Tecnologia;
Ministrio do Meio Ambiente;
Ministrio da Integrao Nacional;
Ministrio do Planejamento, Oramento e Gesto;
INTERPOL, e outros transnacionais do gnero.
4.3. Parcerias do CTIR Gov
CERT.br;
CAIS/RNP;
Demais CTIRs.
5. Clientes e Produtos
Os alvos da unidade de Segurana das Infraestruturas
Crticas da Informao podem ser classificados numa base de
clientes fechada (que inclui os operadores de Infraestruturas
Crticas nacionais) e numa aberta (que envolvem todas as
pessoas jurdicas de direito privado e computadores
caseiros).

148
5.1. Base de Clientes Fechada
Pela prpria criticidade das atividades, as
Infraestruturas Crticas da Informao usualmente j possuem
seus prprios especialistas para tratar de Segurana das
Infraestruturas Crticas. Por isso, s vantajoso o trato com a
unidade de Segurana das Infraestruturas Crticas da
Informao se esta fornecer informaes relevantes para
aquela Infraestrutura Crtica da Informao. Da decorre da
busca da confiana mtua.
H que se dimensionar tal base cuidadosamente para
estabelecer relacionamentos pessoais (limitando o nmero de
representantes ou contatos de cada Infraestrutura Crtica da
Informao), no superdimensionando a base. interessante
ainda separar as Infraestruturas Crticas da Informao por
setores (energia, gua, telecomunicaes e outros).
Deve-se prover os seguintes servios para os
integrantes base de clientes:
Assistncia em caso de incidentes;
Distribuio de informaes exclusivas; e
Oficinas, encontros e exerccios.
O benefcio da partilha de informaes mtuo,
particularmente em termos de experincia e conhecimento.
Entretanto, cabe a cada integrante a deciso de partilhar
determinadas informaes consideradas crticas.
5.2. Base de Clientes Aberta
As atividades da unidade de Segurana das
Infraestruturas Crticas da Informao tambm devem
contemplar o pblico em geral, embora num menor grau de
dedicao, posto que est bem alm dos seus recursos. Tais
atividades consistem nos seguintes servios:
Conscientizao;

149
Alertas e diretrizes; e
Assistncia em caso de incidentes.
O problema em lidar com tal base a heterogeneidade
dos integrantes da base e a grande expectativa que pode ser
gerada por parte do pblico-alvo, o que pode colocar em risco
a imagem da unidade de Segurana das Infraestruturas
Crticas da Informao. Desta forma, h que se definir com
clareza o campo de responsabilidades da unidade de
Segurana das Infraestruturas Crticas da Informao perante
o pblico.
5.3. Comparativo entre os dois modelos
Com base no que foi explanado, pode-se resumir na
tabela, abaixo, as principais diferenas entre os dois modelos:

Base de
Clientes
Fechada Aberta
Membros
Operadores selecionados das
Infraestruturas Crticas da
Informao
Pessoas jurdicas e cidados
Nmero
2 a 4 representantes de cada
membro
Indeterminado
Nvel de
confiana
Forte Fraco
Construo
da confiana
Contatos pessoais, reunies e
trabalho interativo
Mdia, Internet e exposies
(com a ajuda dos parceiros)

150

151
ANEXO B.2 VISUALIZAO DAS
CAMADAS DE
SEGURANA
A conjugao da metodologia com os requisitos
mnimos propostos no Captulo 3 conduz ao quadro
representado na Figura abaixo.

Figura: Metodologia e requisitos (LOPES, 2010)

2 Guia SICI

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

2 Guia SICI

Caricato da

Copyright:

Formati disponibili

1

Potrebbero piacerti anche