SlideShare uma empresa Scribd logo

A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI)

Transferir como DOC, PDF
Luiz Henrique F. Cardoso
Luiz Henrique F. Cardoso

1) O documento discute o papel decisivo da inteligência cibernética no apoio ao processo de gestão de riscos de segurança da informação nas organizações. 2) A gestão de riscos de segurança da informação envolve identificar riscos, avaliá-los e tomar medidas para reduzi-los a um nível aceitável, protegendo ativos de informação e recursos de tecnologia. 3) A inteligência cibernética pode contribuir para este processo ao fornecer dados e informações importantes para identificar ameaças, vulnerabilidades e medidas para

Dados e análise
1 de 17
1 A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI) ∗ Luiz Henrique Filadelfo Cardoso “Não há espaço para amadores no mundo cibernético. Não improvisem. O que está em jogo não é a área de TI, mas, sim, o negócio como um todo. Muitas empresas quebraram ao errar na estratégia.” Paulo Pagliusi, PhD. Resumo: Em um mundo cada vez mais complexo e mutável, predizer cenários e estimar a ocorrência de explorações de vulnerabilidades por específicas ameaças tornaram-se diferenciais de grande valia para as organizações que desejam permanecer protegidas e operacionais, principalmente a partir do espaço cibernético. Assim, neste estudo, por meio da exposição de conceitos-chave que possibilitem a identificação e o entendimento dos benefícios intrínsecos da sinergia entre a Gestão de Riscos de Segurança da Informação (GRSI) e Inteligência Cibernética, como também pela apresentação, análise e correlação de fatos e percepções sobre a crescente utilização da Inteligência Cibernética como meio relevante de obtenção de dados e informações para a tomada de decisão e melhoria da consciência da situação organizacional, objetiva-se asseverar o papel decisivo que a “Cyberint” pode assumir em apoio direto e especializado ao processo de GRSI. Palavras-chave: Inteligência Cibernética. Gestão de Riscos. Segurança da Informação. 1 INTRODUÇÃO Num atual cenário permeado por constantes mudanças, em que a ação de diversos agentes desestabilizantes é sentida cada vez mais de maneira contundente, muitos destes intencionalmente engajados a causar severos prejuízos à continuidade dos negócios organizacionais, emerge de maneira disruptiva a alternativa de atuação da Inteligência Cibernética no apoio direto à identificação de ameaças e vulnerabilidades, bem como no pontual suporte para a definição e implementação de medidas destinadas a mitigar os eventuais riscos, como por exemplo, àqueles advindos da ação de específicas e perniciosas ameaças cibernéticas. Por conseguinte, este artigo objetiva investigar e asseverar o decisivo papel que a Inteligência Cibernética pode assumir para a manutenção da segurança dos ativos informacionais e de Tecnologia da Informação e Comunicação (TIC) das organizações, em  Artigo apresentado como trabalho de conclusão de curso de pós-graduação em Gestão de Segurança da Informação da Universidade do Sul de Santa Catarina, como requisito parcial para obtenção do título de Especialista. 2014. Orientador: Prof. Luiz Otávio Botelho Lento, Msc.
2 específico, no suporte direto ao processo de Gestão de Riscos de Segurança da Informação (GRSI). Para isso, o estudo foi segregado em três partes interdependentes, quais sejam: Conceitos Básicos; Ciberinteligência em apoio à Gestão de Riscos de Segurança da Informação; e Conclusão. A primeira parte consiste basicamente na exposição de importantes conceitos introdutórios acerca dos ativos informacionais e de seus recursos acessórios, Segurança da Informação, Gestão de Riscos, Atividade de Inteligência e Ciberinteligência. Já na segunda parte, são apresentados e analisados fatos e considerações diretamente correlacionados à crescente utilização da Inteligência Cibernética como meio hábil de obtenção de dados e informações, e ainda, de que maneira sua preciosa expertise pode contribuir para o processo de Gestão de Riscos de Segurança da Informação. Ao final, são apresentadas conclusões advindas após a análise dos fatos e correlações relativas à utilização da Ciberinteligência como importante e agregadora alternativa assessória ao processo de tomada de decisão organizacional, em particular, ao processo de GRSI. 2 CONCEITOS BÁSICOS A seguir, serão apresentados e conceituados alguns temas inafastáveis para um correto entendimento e identificação de fatores que possam vir a confirmar o decisivo papel a ser assumido pela Ciberinteligência em suporte estrito ao processo de Gestão de Riscos de Segurança de Informação. 2.1 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI) Partindo-se do pressuposto de que o objeto principal de preocupação da GRSI deve ser a adequada viabilização e manutenção da proteção dos ativos informacionais e seus respectivos recursos de Tecnologia da Informação e Comunicação (TIC), estes indispensáveis para a continuidade normal dos processos organizacionais, sendo assim definidos por GSIPR (2013) como: “os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso”, torna-se necessário a adoção de procedimentos e soluções especializadas para se assegurar a devida guarda destes ativos informacionais e recursos de TIC, o que pode vir a ser viabilizado de forma confiável – ainda que não totalmente – pela Segurança da Informação.
3 Simião (2009) define Segurança da Informação, com base no Decreto nº 3505/20001 que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, como sendo: Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. Em complemento, o referido autor salienta que por mais que o Decreto nº 3505/2000 abarque conceitualmente os outros elementos da Segurança da Informação, como segurança das áreas e instalações, segurança dos recursos humanos, segurança da documentação e do material, é importante deixar claro que: o objeto da segurança[da informação] é a proteção dos sistemas de informação, entendido como sendo o mesmo que sistemas de informática ou tecnologia da informação. Justifica-se tal entendimento devido à utilização das expressões, tais como: negação de serviço; intrusão; modificação desautorizada de dados e informações armazenadas, em processamento ou em trânsito. Estas expressões são típicas da linguagem utilizada em tecnologia da informação (SIMIÃO, 2009, p. 44). Sobre os riscos que podem vir a influir negativamente contra os ativos informacionais e seus recursos de TIC, Lento (2014, p. 70) – com base na definição de Stoneburner, Goguen e Feringa (2002) – discorre que: “risco é a função que relaciona a probabilidade de uma determinada ameaça explorar uma vulnerabilidade em potencial e o impacto resultante desse evento adverso sobre a organização”. Os mesmos Stoneburner, Goguen e Feringa (2002 apud LENTO, 2014, p. 72) afirmam que Gestão de Riscos pode ser entendida como: “o processo de identificação dos riscos, avaliação de risco e tomada de medidas (tratamento do risco) para reduzir o risco a um nível aceitável”. Neste sentido, e alinhado à perspectiva supramencionada, Oliveira Junior (2007, p. 26) argumenta que a Gestão de Risco “deve ser um processo contínuo, aplicado à estratégia da organização e à implementação dessa estratégia. Deve analisar todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização”. A Gestão de Riscos – conforme descrita por Lento (2014, p. 114) – também deverá “analisar os possíveis eventos de ameaça à segurança da informação e as suas consequências, antes de definir qualquer decisão quanto a reduzir os riscos a um nível aceitável”. Destarte, Gestão de Riscos de Segurança da Informação pode ser entendida como: [...] um processo no qual as organizações analisam os riscos inerentes às suas atividades, com o objetivo de atingir um equilíbrio apropriado entre o reconhecimento de oportunidades e ganhos, e a redução de perdas. É um elemento central na gestão da estratégia de qualquer organização. [e que] esse processo deve executar um conjunto de tarefas que têm como objetivo identificar as necessidades de segurança de uma organização, proporcionando suporte à criação de um Sistema 1 Disponível em: < http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm>. Acesso em 25 jan. 2014.
4 de Gestão de Informação (SGSI), preparação de um plano de continuidade de negócios ou de um plano de resposta a incidentes (LENTO, 2014, p.115). Porém, devido a GRSI ser um processo “interativo, contínuo e por se utilizar de um método lógico e sistemático” para estabelecer suas etapas e atingir seus objetivos concernentes, há a necessidade veemente de padronização de todo o processo (LENTO 2014). Assim, uma das alternativas que pode vir a ser adotada para atender à requerida padronização do processo de GRSI, é a exposta e detalhada minuciosamente na norma NBR ISO 27005 – Gestão de Riscos de Segurança da Informação, uma vez que esta documentação se destina especificamente a fornecer as diretrizes necessárias para “uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos” (ABNT, 2008). Abaixo, na Figura 1, pode-se observar as diversas etapas do Processo de Gestão de Riscos de Segurança da Informação, baseadas na norma NBR ISO 27005 – Gestão de Riscos de Segurança da Informação. Figura 1 – Visão geral do Processo de Gestão de Riscos de Segurança da Informação – NBR ISO 27005. Fonte: ABNT (2008). Ao se observar com atenção a figura extraída NBR ISO 27005 – Gestão de Riscos de Segurança da Informação, depreende-se rapidamente que o processo de GRSI é composto por sete etapas interdependentes, quais sejam: definição do contexto, análise de riscos, avaliação de riscos, tratamento do risco, aceitação dos riscos, comunicação do risco de segurança da informação e, monitoramento e análise crítica dos riscos de segurança da
5 informação. Estas etapas podem ser sucintamente detalhadas, com o apoio conceitual de Lento (2014), GSIPR (2013) e de ABNT (2008), da seguinte maneira: 1 – Definição do contexto: Tal qual exposto por Lento (2014, p.117): “esta etapa visa a estabelecer o contexto da gestão de risco da segurança da informação consiste em definir os parâmetros básicos sob os quais os riscos sobre a informação devem ser geridos. Isto é, consiste em definir os critérios básicos (critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco) a serem adotados pela gestão de riscos de segurança da informação. Esse contexto define, portanto, o escopo (finalidade – plano de continuidade, SGSI etc.) da gestão de riscos e os seus limites. Esses últimos, por sua vez, são determinados pelos objetivos estratégicos, políticos e processos de negócio da organização.”. 2 – Análise de riscos: Segundo ABNT (2008, p. 12), esta etapa “identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, [bem como] determina as conseqüências possíveis.”. 3 – Avaliação de riscos: esta etapa tem como finalidade principal estimar os níveis de riscos associados aos ativos de informação e aos recursos de Tecnologia da Informação e Comunicação, avaliando e priorizando-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto (ABNT, 2008). 4 – Tratamento do risco: Lento (2014, p. 139) afirma que “a fase de tratamento de riscos começa com uma lista de riscos, ordenados entre si por prioridade de tratamento, de acordo com os critérios de avaliação de riscos, e tem como saída o plano de tratamento do risco e dos riscos residuais decorrentes desse tratamento.”. E ainda de acordo com GSIPR (2013), esta fase visa a “determinar as formas de tratamento dos riscos, considerando as opções de reduzir, evitar, transferir ou reter o risco, observando: a eficácia das ações de Segurança da Informação e Comunicações – SIC já existentes; as restrições organizacionais, técnicas e estruturais; os requisitos legais; e a análise custo/benefício.”. 5 – Aceitação do risco: etapa em que se deverá, conforme discorrido em GSIPR (2013, p. 06), “verificar os resultados do processo executado, considerando o plano de tratamento, aceitando-os ou submetendo-os à nova avaliação”. Não somente, mas também “o processo está sujeito à decisão dos gestores da organização, relativa à aceitação desse processo, quando se tem como produto uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os critérios normais para aceitação do risco (LENTO, 2014, p. 142)”. 6 – Comunicação do risco de segurança da informação: Conforme exposto em ABNT (2008, p. 25), “a comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou
6 partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas. A informação inclui, entre outros possíveis fatores, a existência, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos.” 7 - Monitoramento e análise crítica dos riscos de segurança da informação: nesta etapa convém atentar que os riscos e seus fatores (isto é, valores dos ativos, impactos, ameaças, vulnerabilidades, probabilidade de ocorrência) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de se manter uma visão geral dos riscos (ABNT, 2008). É Importante ainda lembrar que as mencionadas etapas do Processo de Gestão de Riscos de Segurança da Informação não são estanques e devem sempre interagir entre si de maneira harmônica e complementar, tendo como finalidade principal a geração de subsídios confiáveis e oportunos para suportar os mais distintos processos de tomada de decisão organizacional (LENTO, 2014). 2.2 ATIVIDADE DE INTELIGÊNCIA Medeiros (2011, p.03) conceitua Atividade de Inteligência como sendo “a atividade especializada, permanentemente exercida, com o objetivo de produzir conhecimentos de interesse da instituição/organização e a sua salvaguarda contra ações adversas”. Já Silva Junior (2011) afirma, baseado no Glossário de Inteligência Competitiva da Associação Brasileira de Inteligência Competitiva – ABRAIC, que Inteligência consiste no Processo que tem como objetivo produzir Inteligência para a tomada de decisão ou desenvolver atividades que objetivam negar a um ator a possibilidade de levantar dados/informações por meio de coleta/busca sobre o modo de agir de outro ator. Constitui-se de processo informacional proativo e sistemático que visa identificar os atores e as forças que regem as atividades da organização, reduzir o risco e conduzir o tomador de decisão a melhor posicionar-se em seu ambiente, bem como proteger o conhecimento sensível gerado. Caracteriza-se pela coleta/busca de dados/informações que os outros não estão vendo – quer porque estão ocultos e/ou desconexos, quer porque estão camuflados ou mesmo destorcidos – e sua posterior análise e identificação de impacto para a organização (SILVA JUNIOR, 2011, p. 25, grifo nosso). Dessarte, José Manuel Ugarte (2002 apud GONÇALVES, 2011, p. 07) sobre a importância da utilização dos mais variados recursos, métodos e técnicas de Inteligência nas diversas esferas da sociedade assinala que: la información es conocimiento, la información es organzación, [...] la informarción es actividad [e que inteligência] es el conocimiento que nuestros hombres, civiles y militares, que ocupan cargos elevados, deben poseer para salvaguardar el bienestar nacional. No que tange à natureza de sua finalidade, a Atividade de Inteligência pode ser dividida em categorias, tais como: Inteligência de Estado, Business Intelligence, Inteligência
7 Estratégica, Inteligência Militar e de Defesa, Inteligência de Segurança Pública, Inteligência Competitiva, Inteligência policial, Inteligência fiscal, dentre outras; e ainda de acordo com Medeiros (2011): “tudo é uma adaptação da atividade de Inteligência ‘clássica [de Estado]’ à atividade de Inteligência específica”. Porquanto, ainda que o espectro de atuação da Atividade de Inteligência se configure bastante amplo e multifacetado, para a sua melhor eficácia, a Atividade deve sempre atender a propósitos restritos e altamente especializados a fim de se reduzir eventuais equívocos a respeito de assuntos ou questões específicas e de alta relevância para o processo decisório organizacional. Sobre isto, Silva Junior (2011, p. 22) ainda argumenta que “as informações coletadas, que se transformaram em conhecimento [após o devido Ciclo de Produção de Conhecimento – CPC2 ], geralmente possuem três propósitos distintos, ainda que complementares: o uso preventivo, defensivo ou ofensivo”. Assim sendo, também cabe discorrer que no tocante às fontes de obtenção de dados para a produção do conhecimento de Inteligência, tal qual classificação proposta por Bruneau (2000 apud GONÇALVES, 2011), emergem como principais: a HUMINT (Human intelligence), SIGINT (Signals Intelligence), OSINT (Open-source Intelligence), MASINT (Measurement and Signature Intelligence) e IMINT (Imagery Intelligence). Torna-se oportuno expor que Nogueira (2012, p. 29) – de maneira inovadora – esboça a possibilidade de se considerar também a via cibernética como uma distinta fonte de obtenção de dados para a atividade de inteligência, podendo vir a ser denominada, ainda que de maneira incipiente, como “CYBERINT”. 2.2.1 Inteligência Cibernética Ciberinteligência ou Inteligência Cibernética pode ser inicialmente entendida como: [...] um processo que leva em conta o ciberespaço, objetivando a obtenção, a análise e a capacidade de produção de conhecimentos baseados nas ameaças virtuais e com caráter prospectivo, suficientes para permitir formulações, decisões e ações de defesa e resposta imediatas visando à segurança virtual de uma empresa, organização e/ou Estado (WENDT, 2011, p. 23). Wendt (2010) ainda entende como sendo parte integrante do escopo de responsabilidade da Inteligência Cibernética as seguintes ações e procedimentos: 1 – Os ataques às redes, públicas ou privadas, e às páginas web; 2 “CPC também é conhecido como “processo de inteligência” e refere-se ao processo em que dados e informações são compilados, analisados e transformados em conhecimento de inteligência, e ao final, disponibilizados aos usuários/clientes, ou seja, aos tomadores de decisão” (GONÇALVES, 2011, p.74).
8 2 – Análise das vulnerabilidades existentes sobre as redes, sistemas e serviços existentes, enfocando o entrelaçamento à teia regional, nacional e/ou mundial de computadores; 3 – Constante análise e acompanhamento dos códigos maliciosos distribuídos na web, observando padrões, métodos e formas de disseminação; 4 – Enfoque na engenharia social virtual e os efeitos danosos, principalmente nas fraudes eletrônicas; 5 – Mais especificamente, monitorar as distribuições de phishing scam, tanto por web sites quanto por e-mail e as demais formas de disseminação, com atenção especial para as redes sociais; 6 – Observação e catalogamento dos casos de espionagem digital, com abordagem dos casos relatados e verificação dos serviços da espécie oferecidos via web; 7 – Intenso monitoramento a respeito de adwares, worms, rootkits, spywares e vírus, com observância do comportamento, finalidade e forma de difusão; 8 – Detectar e monitorar os dados sobre fraudes eletrônicas e o correspondente valor financeiro decorrente das ações dos criminosos virtuais; 9 – Monitoramento da origem externa e interna dos ataques e distribuição dos códigos maliciosos; 10 – Verificação e catalogamento das ações e mecanismos de hardware e software de detecção de ameaças e de respostas imediatas às ameaças virtuais, e etc. Em reforço a esta perspectiva delineada, Nogueira (2012, p, 35) reitera: “sem Inteligência Cibernética não haverá como atuar com precisão e oportunidade”, e vai além ao afirmar que: Saber, conhecer e avaliar os movimentos do oponente cibernético, antes de suas ações, será imprescindível. Haverá sempre intervalo muito pequeno para agir e menos tempo ainda para decidir. Por isso, a atuação da Inteligência surge como fator de grande importância para promover conhecimentos que conduzam a decisões acertadas e a resultados eficazes. [...] A partir desta percepção, justifica-se estudar como levantar, obter e tratar informações sobre ações dos adversários no ambiente cibernético. A pesquisa das formas de emprego da Inteligência no domínio virtual levará a aperfeiçoamentos que adéquem suas operações para obtenção de informações de valor e relevância para ações cibernéticas. Esses conhecimentos poderão promover desequilíbrio se forem apropriadamente manipulados (NOGUEIRA, 2012, p. 24, grifo nosso). Oliveira (2011, p.114) ainda complementa da seguinte forma: Ela é essencial na busca de informações, empregando todas as fontes disponíveis, para identificar e prevenir ameaças cibernéticas e proporcionar respostas adequadas, com oportunidade. Além disso, os profissionais que atuam no Setor Cibernético devem desenvolver atitude arraigada de contrainteligência, a fim de proteger o conhecimento e as informações inerentes às suas atividades.
9 Sobre os efeitos positivos que podem advir da efetiva aplicação da ciberinteligência como meio específico de suporte ao processo decisório – não só para predição, mas também para análise pós-prevenção –, INSA (2011, p.03) salienta que: Em última análise, a eficaz inteligência cibernética começará a permitir a previsão, alarme estratégico sobre as atividades de ameaças cibernéticas, mitigação dos riscos associados a estas ameaças, melhorando assim, a nossa capacidade de avaliar os efeitos da ciberintrusão, e de otimizar a segurança cibernética com custos eficientes e processos mais eficazes, baseados em decisões bem informadas (tradução livre). Assim, para viabilizar um “ecossistema” equilibrado para a efetiva atuação da ciberinteligência tal qual supramencionado, torna-se necessário adotar, dentre outras ações, as seguintes diretrizes procedimentais: 1- Definir adequadamente o escopo de atuação (intra e extra organização) da ciberinteligência, com a devida aprovação formal e apoio de todos os colaboradores, principalmente por parte da alta diretoria; 2- Prever detalhadamente os específicos procedimentos, métodos e técnicas requeridos para sua plena atuação, bem como nomear os responsáveis por cada processo e/ou tarefa acessória; 3- Definir claramente os objetivos esperados com sua atuação, assim como os recursos, custos e períodos necessários para a sua consecução; e 4- Manter sempre atualizados os recursos humanos diretamente envolvidos na atividade, por meio de participação regular em treinamentos, capacitações, fóruns especializados, e outros expedientes que venham a propiciar o devido acompanhamento evolutivo das ameaças cibernéticas e de suas contramedidas. Por sua vez, agora em específico sobre o aparato tecnológico atualmente a disposição da Inteligência Cibernética, torna-se oportuno citar que grande parte do monitoramento e análise de cenários (sobremaneira, o cibernético) já vem sendo francamente realizados por uma miríade de ferramentas automatizadas baseadas em específicos métodos e técnicas, como a de mineração de dados3 e de análise e filtragem de web semântica – em posts, tuítes, em redes sociais, blogs –, calibrados de acordo com o grau de abrangência pretendido e palavras-chave de interesse4 . INFO (2011) assevera que estas técnicas há anos são utilizadas por anunciantes – principalmente, por meio de cookies5 – e que em um futuro próximo evoluirão e constituirão 3 Mineração de dados é um processo altamente cooperativo entre homens e máquinas, que visa a exploração de grandes banco de dados, com o objetivo de extrair conhecimentos através do reconhecimento de padrões e relacionamento de variáveis, conhecimentos esses que possam ser obtidos por técnicas comprovadamente confiáveis e validados pela sua expressividade estatística (CÔRTES; PORCARO; LIFSSHITZ , 2002). 4 Para o aprofundamento desta temática, faz-se mister observar o presente em: <http://www.labic.net/>. Acesso em 24 mar. 2014. 5 “Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre você, como carrinho de compras, lista de produtos e preferências de navegação. Um cookie pode ser temporário (de sessão), quando é apagado no momento em que o navegador Web ou programa leitor de e-mail é fechado, ou
10 métricas altamente especializadas para a predição e acompanhamento de tendências em várias esferas do conhecimento humano, dentre elas, àquelas voltadas para redução de incertezas ligadas à gestão de riscos organizacionais. Em relação a estas ferramentas automatizadas de coleta e monitoramento cibernético, Silva Junior (2011, p. 81) destaca que: O princípio da coleta de dados, executada por ferramentas eletrônicas de monitoramento, identifica palavras, termos ou expressões. Os objetivos destas ferramentas são: mensurar, qualificar, quantificar, traçar perfis de usuários, identificando possibilidades de ações dentro dos ambientes [organizacionais] e prever crises e danos a marcas contratantes. Muitas dessas ferramentas funcionam por meio de métodos e técnicas intrinsecamente correlacionadas ao processo de Descoberta do Conhecimento em Banco de Dados (DCBD). Sobre isto, Oliveira Junior (2011, p. 37) leciona que: O maior objetivo do DCBD não é o de simplesmente encontrar padrões e relações em meio à imensa quantidade de informação disponível em base de dados, e, sim, a extração de conhecimento inteligível e imediatamente utilizável para o apoio às decisões. [E que] a DCBD integra conceitos de estatística, SI inteligentes, aprendizado de máquina [redes neurais artificiais, algoritmos genéticos, etc.], reconhecimento de padrões, teoria das decisões, engenharia de dados e administração de dados. 3 CIBERINTELIGÊNCIA EM APOIO À GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO. Na atual conjuntura mundial, cada vez mais globalizada e impessoal, predizer cenários e estimar tempestivamente a ocorrência de explorações de vulnerabilidades por específicas ameaças tornaram-se diferenciais de grande valia para as organizações que desejam permanecer operativas e protegidas neste cenário de intenções nem sempre tão claras. No que se refere ao Ciberespaço não é diferente. Sistemas de informações heterogêneos, conexões estabelecidas por meio de estruturas e recursos distribuídos caoticamente fazem do espaço cibernético um ambiente dominado pela aleatoriedade, complexidade e anonimato. É neste lócus permeado por estas relações, em sua maioria, estabelecidas de forma assimétrica, que a detecção de padrões de relacionamento em conjuntos imensos de dados e informações por meio de ferramentas computacionais e técnicas especializadas passa a ser uma das principais alternativas utilizadas pelas organizações que desejam não só entender melhor como funciona o seu negócio – identificando vulnerabilidades e oportunidades –, mas permanente (persistente), quando fica gravado no computador até expirar ou ser apagado.” Disponível em: <http://cartilha.cert.br/>. Acesso em 24 mar. 2014.
11 também se antever aos eventuais impactos negativos de ataques produzidos por uma miríade de ameaças oriundas do espaço cibernético. Neste sentido, Fonseca et al (2013) a respeito da crescente expansão do desenvolvimento e comercialização de ferramentas de busca, monitoramento e análise de dados/informações, capitaneada por grandes corporações de Tecnologia da Informação e Comunicações (TIC), argumenta a título de exemplo que: A Cyveillance, uma subsidiária da empresa americana QinetiQ, especializa-se em monitoramento 24 horas da internet e, segundo ela mesma define em sua brochura, análises de inteligência sofisticadas para “identificar e eliminar ameaças a informações, infraestruturas e indivíduos, permitindo aos nossos clientes preservar a sua reputação, receita e a confiança dos clientes”. A empresa afirma servir a maioria das empresas mais ricas do mundo “e mais de 30 milhões de consumidores através de sua parceria com provedores que incluem AOL e Microsoft”. A brochura da empresa, vazada pelo WikiLeaks6 , mostra bem o uso dessa tecnologia: uma foto traz manifestantes portando bandeiras num protesto. O texto explica: “Protestos, boicotes e ameaças contra seus empregados, oficinas e escritórios causam caos na sua organização”. Por meio de monitoramento 24 horas por dia, sete dias por semana, a empresa afirma que resolver ameaças requer incorporar inteligência à segurança. A Cyveillance garante que tem pessoas, processos e tecnologias para prover inteligência sobre as atividades relacionadas a uma empresa, “permitindo que você aja antes que um evento ocorra”. Também garante monitoramento contra vazamentos de informações por whistleblowers7 da empresa (grifo nosso). E ainda que: Em 2011, a HP anunciou a compra da Autonomy, uma empresa inglesa líder no campo de “desenvolvimento de softwares que ajudam organizações do mundo inteiro a entenderem o significado por trás da informação”. Como? Um time de analistas varre conteúdos de emails, documentos, fotos, redes sociais e outros tipos de mídia, atrás de informações relevantes, de acordo com a demanda do cliente. Segundo o site, organizações como KPMG, Philips, Oracle e T-Mobile já utilizaram os serviços da Autonomy [...] (grifo nosso). Todavia, não são apenas empresas privadas que fazem uso recorrente das referidas tecnologias de extração, monitoração e análise de dados em suporte aos seus processos. Conforme também exposto por Fonseca et al (2013): Segundo levantamento do jornal The Washington Post, o “black budget”, o orçamento destinado aos serviços de inteligência do governo dos Estados Unidos, soma US$ 52,6 bilhões ao ano – mais de 68% disso vai para a CIA, a NSA e o NRO (Escritório Nacional de Reconhecimento, órgão responsável por desenvolver, construir e operar satélites de reconhecimento). O valor reservado para as áreas de inteligência e vigilância dobrou em relação a 2001. A maior parcela de gastos é com coleta, exploração e análise de dados. Apenas a CIA tem um gasto previsto de US$ 11,5 bilhões para coleta de dados em 2013. As empresas contratadas são mantidas em segredo. [...] Organizações como a Interpol, FBI e OTAN utilizam os softwares da subsidiária da IBM para rastrear grandes quantidades de dados provenientes da internet, chamadas telefônicas e dados bancários e “coletar, integrar, analisar, visualizar e distribuir informações” a fim de interceptar indícios de atividade criminosa. [...] O produto? Softwares de rastreamento e processamento de dados para fins diversos, que vão do combate à corrupção e investigação de fraudes à interceptação de crimes que coloquem em risco a segurança nacional (grifo nosso). 6 Fundado em 2006, WikiLeaks é uma organização que se dedica a publicar documentos secretos revelando a má conduta de governos, empresas e organizações (ASSANGE, 2013). 7 Denunciante, informante (tradução livre).
12 Porém, ainda que tais meios automatizados de busca/coleta, análise e produção de conhecimento inevitavelmente possam vir a serem utilizados com outros fins que não o de suporte estrito à tomada de decisão organizacional, claramente, já não se é mais viável prescindir dos mais variados produtos advindos destas citadas ferramentas computacionais; visto que para além de satisfazerem a uma demanda crescente por informações técnicas, oportunas e precisas, o acesso ao produto diferenciado da Ciberinteligência vem se consolidando cada vez mais como uma questão estratégica para sobrevivência e fortalecimento das organizações modernas. Sobre esta perene necessidade de se estar sempre atento aos riscos e ameaças inerentes ao ciberespaço, Dr. Paulo Pagliusi, renomado especialista na área de cibersegurança, adverte que: “Não há espaço para amadores no mundo cibernético. Não improvisem. O que está em jogo não é a área de TI, mas, sim, o negócio como um todo. Muitas empresas quebraram ao errar na estratégia.” (LOBO; COSTA, 2014). Porquanto, é clarividente a importância que a atuação da ciberinteligência pode impelir para o “negócio como um todo”, seja como relevante meio para a predição de cenários e de potenciais riscos, seja como parte do ferramental analítico pós-ocorrência de quaisquer incidentes de segurança. Em reforço a esta perene percepção, mas agora em específico à situação das infraestruturas críticas brasileiras, Franco (2012) salienta que devido ao “gerenciamento operacional de grande parte das Infraestruturas Críticas Nacionais (ICN)” já ser realizado remotamente através da via cibernética, a importância da Ciberinteligência se acentua tanto na possibilidade de busca e coleta de dados de interesse, quanto na identificação das eventuais vulnerabilidades existentes nas redes computacionais das ICN. O referido autor argumenta que: Para a Atividade de Inteligência, a produção de conhecimento para a proteção dos sistemas que controlam a funcionalidade das ICN é fundamental para que o agente decisor possa intervir com oportunidade, minimizando ou neutralizando os possíveis danos causados por ações mal intencionadas. A correta aplicação dos preceitos de segurança orgânica também contribuirá para que os riscos sejam mitigados. Para tanto, é fundamental ter seus recursos humanos preparados para o ambiente cibernético, inclusive os da área de inteligência, alocando-os em uma estrutura organizacional eficiente e prática. Esta estrutura deve possuir a capacidade de, permanentemente, acompanhar a evolução das formas de ataques e cooptação de pessoas a fim de impedir intrusões maliciosas nos sistemas informatizados das ICN (FRANCO, 2012, p. 08). Logo, é plausível também depreender que a Inteligência Cibernética possa se posicionar de maneira consistente como disciplina altamente eficaz, não somente para atender às demandas genéricas dos tomadores de decisão organizacionais, mas sobremaneira, em suporte especializado ao processo de Gestão de Riscos de Segurança da Informação.
13 Sua atuação pode ser delinear de maneira determinante na devida identificação e definição das adequadas medidas para mitigar e/ou extinguir os riscos cibernéticos que influem (ou que possam vir a influir) sobre os ativos informacionais e comunicacionais, seja ainda na fase de planejamento da GRSI – mais especificamente, nas etapas de definição do contexto, análise e avaliação de riscos – ou, no perene monitoramento do cenário ao qual a organização encontra-se inserida Na etapa de Definição do Contexto, a participação da Inteligência Cibernética pode se mostrar determinante na obtenção e disponibilização de dados e informações que venham a subsidiar de maneira realista e oportuna o mapeamento do cenário em que a organização está inserida, como também no cálculo da ocorrência dos riscos, este sendo entendido como a conjunção da probabilidade de ocorrência da ameaça e do impacto do ativo em relação ao negócio da empresa, caso o incidente venha a ser consumado (LENTO, 2014, p. 118). Ainda em consonância com a perspectiva defendida por Lento (2014), só que neste momento em relação às etapas de Análise e Avaliação de Riscos, o conhecimento advindo de tal especialidade de inteligência pode também se mostrar decisivo na precisa identificação dos riscos – por meio do reconhecimento e correlação dos ativos, ameaças, vulnerabilidades e controles até então existentes –, bem como na posterior estimação e priorização (hierarquização) dos riscos, com a criteriosa análise de impacto, determinação do risco e de sua magnitude para a continuidade dos negócios organizacionais. Já na etapa de Monitoramento e Análise Crítica dos Riscos de Segurança da Informação, convém atentar para o papel estratégico que a inteligência cibernética pode assumir no perene acompanhamento dos riscos e seus fatores, monitorando-os e analisando- os, a fim de se identificar tempestivamente eventuais mudanças no contexto ambiental da organização e na evolução de peremptórias ameaças ao seu negócio. Desta forma, após a devida identificação dos ativos, ameaças, vulnerabilidades, e posterior realização de análises e correlações por meio de ferramentas cibernéticas voltadas, dentre outras finalidades: à varredura de redes e sistemas, testes de penetração (PENTEST), mineração de dados e de conteúdos web de interesse, certamente – a partir do produto obtido de tais soluções prospectivas – será possível prosseguir de maneira consistente através das outras etapas subsequentes da GRSI; para que assim, ao final do processo, os respectivos tomadores de decisão possam se valer da mais completa e oportuna alternativa existente para a manutenção da integridade e disponibilidade de seus ativos e processos organizacionais, assim como para gestão sensata de sua imagem não só no ciberespaço, mas também fora dele. 4 CONCLUSÃO
14 Ao final deste artigo, com base na correlação e análise dos fatos e constatações apresentadas, é possível concluir que o papel da Inteligência Cibernética cada vez mais avulta em importância como decisiva alternativa, não só para a obtenção de dados e informações em atendimento às demandas dos órgãos de inteligência de Estado, mas sobremaneira, para a identificação de oportunidades, ameaças, vulnerabilidades e riscos existentes em prol das mais variadas organizações, sejam elas de controle privado ou governamental. Muito disso deve-se à intensificação da pesquisa, desenvolvimento e consequente aumento da qualidade e versatilidade dos produtos entregues pelas mais variadas ferramentas cibernéticas destinadas, sumariamente, à coleta de dados e conteúdos de interesse, análise detalhada de grandes repositórios de dados, varredura de redes/sistemas e à predição de cenários com base no monitoramento constante do comportamento das variáveis determinantes para a continuidade dos negócios e tratamento dos incidentes de segurança organizacionais. No que tange em particular ao processo de GRSI, foi possível também depreender o relevante papel que a ciberinteligência pode assumir na tarefa de fornecer informação técnica, confiável e oportuna, ao atuar em suporte direto às etapas de Definição de Contexto, Análise, Avaliação de Riscos, Monitoramento e Análise Crítica dos Riscos de Segurança da Informação, em proveito do aumento do grau de adaptabilidade e resiliência das organizações, e de maneira transversal, para a redução da chance de ocorrência de contraproducentes incidentes de segurança que possam vir a atentar contra a continuidade de seus processos críticos. Contudo, para que a Inteligência Cibernética venha a se consolidar ainda mais em importância e em efetividade, principalmente em apoio ao processo de Gestão de Riscos de Segurança da Informação, entende-se como impostergável a devida definição e padronização de normas e procedimentos específicos que regulem de maneira exequível o seu escopo de atuação neste complexo e assimétrico âmbito dialético, assim como também se faz presente, a necessária intensificação de ações para o fomento e estabelecimento de grupos de trabalho e de intercâmbios entre equipes multidisciplinares compostas por representantes de corporações de TIC, universidades, ONGs e outros órgãos de Estado, para que assim, sejam desenvolvidas inovadoras e eficazes soluções tecnológicas para a segurança e proteção dos mais variados interesses organizacionais, sejam eles cibernéticos ou não. CYBER INTELLIGENCE LIKE DECISIVE FACTOR IN RISK MANAGEMENT OF INFORMATION SECURITY AND COMMUNICATIONS
15 Abstract: In increasingly complex and changing world, predict scenarios and estimate the occurrence of vulnerability exploits by specific threats have become differentials of great value for organizations who wish to remain protected and operative, especially in Cyberspace. Therefore, in this study, through the exposure of key concepts that enable the identification and understanding of the intrinsic benefits of the synergy between the Risk Management of Information Security (RMIS) and Cyber Intelligence, as well as the presentation, analysis and correlation of facts and perceptions about the increasing use of Cyber Intelligence as a means of obtaining relevant data and information to decision making and improvement of situation awareness organizational, with objective to assert the decisive role that "Cyberint" can take in direct and specific support of RMIS process. Keywords: Cyber Intelligence. Risk Management. Information Security. REFERÊNCIAS ABNT, AB de NT. NBR ISO/IEC 27005–Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2008. ASSANGE, Julian et al. Cypherpunks: liberdade e o futuro da internet. São Paulo: Boitempo, 2013. BRUNEAU, Thomas. Intelligence and democratization: the chalenge of control in new democracies: ocasional paper #5. Monterey/California: The Center for Civil-Military Relations – Naval Postgraduate School, March, 2000. CEPIK, Marco A. C. Espionagem e Democracia. Rio de Janeiro: Editora FGV, 2003. CÔRTES, Sérgio da Costa; PORCARO, Rosa Maria; LIFSCHITZ, Sérgio. Mineração de Dados – Funcionalidades, Técnicas e abordagens. PUC-RIO, 2002. Disponível em: < ftp://ftp.inf.puc-rio.br/pub/docs/techreports/02_10_cortes.pdf>. Acesso em 27 jan. 2014. FONSECA, Bruno et al. Wikileaks: quem lucra com a espionagem digital. 2013. Disponível em: < http://www.apublica.org/2013/09/wikileaks-quem-lucra-espionagem-digital/>. Acesso em: 27 jan. 2014. FRANCO, Luis Henrique Santos. A atividade de inteligência na segurança cibernética às infraestruturas críticas nacionais do setor de energia elétrica. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 07-22, dez 2012. GONÇALVES, Joanisval Brito. Atividade de Inteligência e legislação correlata. 2. ed. Niterói: Impetus, 2011. GSIPR. Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, de 25 de fevereiro de 2013. Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal. Disponível em: < http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>. Acesso em: 25 jan. 2014. INFO. Revista INFO EXAME: para uma nova realidade, São Paulo: Abril, ago. 2011.
16 INSA. Cyber Intelligence: Setting the landscape for an emerging discipline. White Paper, september, 2011. Intelligence and National Security Alliance, Arlington, VA. Disponível em: <http://www.insaonline.org/i/d/a/Resources/Cyber_Intelligence.aspx>. Acesso em: 20 jul. 2014. LENTO, Luiz Otávio Botelho. Gestão de risco de segurança da informação: livro digital. 2. Ed., Palhoça: UnisulVirtual, 2014. LOBO, Ana Paula; COSTA, Pedro. Cibersegurança: ‘não há espaço para amadores, não improvisem.’.Covergência Digital, 2014. Disponível em: < http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm? infoid=36771&sid=127&utm_source=twitterfeed&utm_medium=twitter&fb_action_ids=449 579458510950&fb_action_types=og.likes&fb_ref=.U3bEXzimktC.like>. Acesso em 21 maio 2014. MACHADO, Jussara de Oliveira. Inteligência e Ciberespaço: desafios do século XXI. In: CEPIK, Marco (Org.). Inteligência Governamental: contextos nacionais e desafios contemporâneos. Niterói: Impetus, 2011. p. 271-317. MEDEIROS, Francisco José Fonseca de. A Atividade de Inteligência no mundo atual. 2011. Disponível em: <http://www.administradores.com.br/_resources/files/_modules/academics/academics_3552_ 201011141848586457.pdf>. Acesso em: 23 jan. 2014. NOGUEIRA, Alexandre Fernandes Lobo. A Inteligência militar na defesa cibernética: um estudo sobre as possibilidades de apoio da inteligência aos planejamentos das ações de defesa cibernética. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 23-36, dez 2012. OLIVEIRA JUNIOR, Waldomiro. Estudo comparativo entre modelos lineares e redes neurais artificiais como tecnologias geradoras de previsões de valores financeiros. 2007. 145f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2007. SILVA JUNIOR, Osvaldo Spindola da. Inteligência em fontes abertas: um estudo sobre o emprego de mídias sociais na identificação de irregularidades no serviço publico federal. 2011. 114f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2011. SIMIÃO, Reinaldo Silva. Segurança da Informação e comunicações: conceito aplicável em organizações governamentais. 2009. 81f. Monografia (Especialização em Gestão da Segurança da Informação e Comunicações) – Departamento de Ciência da Computação da Universidade de Brasília, Brasília, 2009. STONEBURNER, Gary; GOGUEN, Alice; FERINGA, Alexis. NIST SP 800-30 Risk management guide for information technology systems. Ed.: NIST, 2002. UGARTE, Jóse Manuel. Control Público de la actividad de Inteligencia:Europa y América Latina, uma vision comparativa. (Trabalho apresentado no Congresso Internacional “Post- Globalización: Redefinición de la Seguridad y Defensa Regional el Cono Sur”), Buenos Aires, 2002.
17 WENDT, Emerson. Inteligência Cibernética – Introdução ao assunto. 2010. Disponível em: < http://www.inteligenciapolicial.com.br/2010/03/inteligencia-cibernetica-introducao- ao.html>. Acesso em 25 jan. 2014. _______. Ciberguerra, inteligência cibernética e segurança virtual: alguns aspectos. Revista Brasileira de Inteligência: ABIN, Brasília, n. 6, p. 15-26, abr. 2011.

Recomendados

Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
52566307 apostila-gestao-de-seguranca-da-informacao
52566307 apostila-gestao-de-seguranca-da-informacao52566307 apostila-gestao-de-seguranca-da-informacao
52566307 apostila-gestao-de-seguranca-da-informacaoFernanda Santiago
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
Estratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPEstratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPSAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Web 3.0 & IoT (English)
Web 3.0 & IoT (English)Web 3.0 & IoT (English)
Web 3.0 & IoT (English)Peter Waher
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 

Recomendados

Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
52566307 apostila-gestao-de-seguranca-da-informacao
52566307 apostila-gestao-de-seguranca-da-informacao52566307 apostila-gestao-de-seguranca-da-informacao
52566307 apostila-gestao-de-seguranca-da-informacaoFernanda Santiago
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
Estratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPEstratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPSAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Web 3.0 & IoT (English)
Web 3.0 & IoT (English)Web 3.0 & IoT (English)
Web 3.0 & IoT (English)Peter Waher
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Monografia Heraldo
Monografia HeraldoMonografia Heraldo
Monografia HeraldoHeraldo Júnio Ferreira
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Boas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfBoas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfGILBERTOSANTANALEAL
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Gestãorisco
GestãoriscoGestãorisco
GestãoriscoCelia Mascarenhas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
LGPD - Gestão de Riscos
LGPD - Gestão de RiscosLGPD - Gestão de Riscos
LGPD - Gestão de RiscosAssociação Paulista dos Técnicos de Seguro
 

Mais conteúdo relacionado

Semelhante a A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI)

Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 

Semelhante a A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI) (20)

Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação Fícticia
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Monografia Heraldo
Monografia HeraldoMonografia Heraldo
Monografia Heraldo
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Boas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfBoas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdf
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Palestra
PalestraPalestra
Palestra
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
LGPD - Gestão de Riscos
LGPD - Gestão de RiscosLGPD - Gestão de Riscos
LGPD - Gestão de Riscos
 

A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI)

  • 1. 1 A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI) ∗ Luiz Henrique Filadelfo Cardoso “Não há espaço para amadores no mundo cibernético. Não improvisem. O que está em jogo não é a área de TI, mas, sim, o negócio como um todo. Muitas empresas quebraram ao errar na estratégia.” Paulo Pagliusi, PhD. Resumo: Em um mundo cada vez mais complexo e mutável, predizer cenários e estimar a ocorrência de explorações de vulnerabilidades por específicas ameaças tornaram-se diferenciais de grande valia para as organizações que desejam permanecer protegidas e operacionais, principalmente a partir do espaço cibernético. Assim, neste estudo, por meio da exposição de conceitos-chave que possibilitem a identificação e o entendimento dos benefícios intrínsecos da sinergia entre a Gestão de Riscos de Segurança da Informação (GRSI) e Inteligência Cibernética, como também pela apresentação, análise e correlação de fatos e percepções sobre a crescente utilização da Inteligência Cibernética como meio relevante de obtenção de dados e informações para a tomada de decisão e melhoria da consciência da situação organizacional, objetiva-se asseverar o papel decisivo que a “Cyberint” pode assumir em apoio direto e especializado ao processo de GRSI. Palavras-chave: Inteligência Cibernética. Gestão de Riscos. Segurança da Informação. 1 INTRODUÇÃO Num atual cenário permeado por constantes mudanças, em que a ação de diversos agentes desestabilizantes é sentida cada vez mais de maneira contundente, muitos destes intencionalmente engajados a causar severos prejuízos à continuidade dos negócios organizacionais, emerge de maneira disruptiva a alternativa de atuação da Inteligência Cibernética no apoio direto à identificação de ameaças e vulnerabilidades, bem como no pontual suporte para a definição e implementação de medidas destinadas a mitigar os eventuais riscos, como por exemplo, àqueles advindos da ação de específicas e perniciosas ameaças cibernéticas. Por conseguinte, este artigo objetiva investigar e asseverar o decisivo papel que a Inteligência Cibernética pode assumir para a manutenção da segurança dos ativos informacionais e de Tecnologia da Informação e Comunicação (TIC) das organizações, em  Artigo apresentado como trabalho de conclusão de curso de pós-graduação em Gestão de Segurança da Informação da Universidade do Sul de Santa Catarina, como requisito parcial para obtenção do título de Especialista. 2014. Orientador: Prof. Luiz Otávio Botelho Lento, Msc.
  • 2. 2 específico, no suporte direto ao processo de Gestão de Riscos de Segurança da Informação (GRSI). Para isso, o estudo foi segregado em três partes interdependentes, quais sejam: Conceitos Básicos; Ciberinteligência em apoio à Gestão de Riscos de Segurança da Informação; e Conclusão. A primeira parte consiste basicamente na exposição de importantes conceitos introdutórios acerca dos ativos informacionais e de seus recursos acessórios, Segurança da Informação, Gestão de Riscos, Atividade de Inteligência e Ciberinteligência. Já na segunda parte, são apresentados e analisados fatos e considerações diretamente correlacionados à crescente utilização da Inteligência Cibernética como meio hábil de obtenção de dados e informações, e ainda, de que maneira sua preciosa expertise pode contribuir para o processo de Gestão de Riscos de Segurança da Informação. Ao final, são apresentadas conclusões advindas após a análise dos fatos e correlações relativas à utilização da Ciberinteligência como importante e agregadora alternativa assessória ao processo de tomada de decisão organizacional, em particular, ao processo de GRSI. 2 CONCEITOS BÁSICOS A seguir, serão apresentados e conceituados alguns temas inafastáveis para um correto entendimento e identificação de fatores que possam vir a confirmar o decisivo papel a ser assumido pela Ciberinteligência em suporte estrito ao processo de Gestão de Riscos de Segurança de Informação. 2.1 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI) Partindo-se do pressuposto de que o objeto principal de preocupação da GRSI deve ser a adequada viabilização e manutenção da proteção dos ativos informacionais e seus respectivos recursos de Tecnologia da Informação e Comunicação (TIC), estes indispensáveis para a continuidade normal dos processos organizacionais, sendo assim definidos por GSIPR (2013) como: “os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso”, torna-se necessário a adoção de procedimentos e soluções especializadas para se assegurar a devida guarda destes ativos informacionais e recursos de TIC, o que pode vir a ser viabilizado de forma confiável – ainda que não totalmente – pela Segurança da Informação.
  • 3. 3 Simião (2009) define Segurança da Informação, com base no Decreto nº 3505/20001 que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, como sendo: Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. Em complemento, o referido autor salienta que por mais que o Decreto nº 3505/2000 abarque conceitualmente os outros elementos da Segurança da Informação, como segurança das áreas e instalações, segurança dos recursos humanos, segurança da documentação e do material, é importante deixar claro que: o objeto da segurança[da informação] é a proteção dos sistemas de informação, entendido como sendo o mesmo que sistemas de informática ou tecnologia da informação. Justifica-se tal entendimento devido à utilização das expressões, tais como: negação de serviço; intrusão; modificação desautorizada de dados e informações armazenadas, em processamento ou em trânsito. Estas expressões são típicas da linguagem utilizada em tecnologia da informação (SIMIÃO, 2009, p. 44). Sobre os riscos que podem vir a influir negativamente contra os ativos informacionais e seus recursos de TIC, Lento (2014, p. 70) – com base na definição de Stoneburner, Goguen e Feringa (2002) – discorre que: “risco é a função que relaciona a probabilidade de uma determinada ameaça explorar uma vulnerabilidade em potencial e o impacto resultante desse evento adverso sobre a organização”. Os mesmos Stoneburner, Goguen e Feringa (2002 apud LENTO, 2014, p. 72) afirmam que Gestão de Riscos pode ser entendida como: “o processo de identificação dos riscos, avaliação de risco e tomada de medidas (tratamento do risco) para reduzir o risco a um nível aceitável”. Neste sentido, e alinhado à perspectiva supramencionada, Oliveira Junior (2007, p. 26) argumenta que a Gestão de Risco “deve ser um processo contínuo, aplicado à estratégia da organização e à implementação dessa estratégia. Deve analisar todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização”. A Gestão de Riscos – conforme descrita por Lento (2014, p. 114) – também deverá “analisar os possíveis eventos de ameaça à segurança da informação e as suas consequências, antes de definir qualquer decisão quanto a reduzir os riscos a um nível aceitável”. Destarte, Gestão de Riscos de Segurança da Informação pode ser entendida como: [...] um processo no qual as organizações analisam os riscos inerentes às suas atividades, com o objetivo de atingir um equilíbrio apropriado entre o reconhecimento de oportunidades e ganhos, e a redução de perdas. É um elemento central na gestão da estratégia de qualquer organização. [e que] esse processo deve executar um conjunto de tarefas que têm como objetivo identificar as necessidades de segurança de uma organização, proporcionando suporte à criação de um Sistema 1 Disponível em: < http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm>. Acesso em 25 jan. 2014.
  • 4. 4 de Gestão de Informação (SGSI), preparação de um plano de continuidade de negócios ou de um plano de resposta a incidentes (LENTO, 2014, p.115). Porém, devido a GRSI ser um processo “interativo, contínuo e por se utilizar de um método lógico e sistemático” para estabelecer suas etapas e atingir seus objetivos concernentes, há a necessidade veemente de padronização de todo o processo (LENTO 2014). Assim, uma das alternativas que pode vir a ser adotada para atender à requerida padronização do processo de GRSI, é a exposta e detalhada minuciosamente na norma NBR ISO 27005 – Gestão de Riscos de Segurança da Informação, uma vez que esta documentação se destina especificamente a fornecer as diretrizes necessárias para “uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos” (ABNT, 2008). Abaixo, na Figura 1, pode-se observar as diversas etapas do Processo de Gestão de Riscos de Segurança da Informação, baseadas na norma NBR ISO 27005 – Gestão de Riscos de Segurança da Informação. Figura 1 – Visão geral do Processo de Gestão de Riscos de Segurança da Informação – NBR ISO 27005. Fonte: ABNT (2008). Ao se observar com atenção a figura extraída NBR ISO 27005 – Gestão de Riscos de Segurança da Informação, depreende-se rapidamente que o processo de GRSI é composto por sete etapas interdependentes, quais sejam: definição do contexto, análise de riscos, avaliação de riscos, tratamento do risco, aceitação dos riscos, comunicação do risco de segurança da informação e, monitoramento e análise crítica dos riscos de segurança da
  • 5. 5 informação. Estas etapas podem ser sucintamente detalhadas, com o apoio conceitual de Lento (2014), GSIPR (2013) e de ABNT (2008), da seguinte maneira: 1 – Definição do contexto: Tal qual exposto por Lento (2014, p.117): “esta etapa visa a estabelecer o contexto da gestão de risco da segurança da informação consiste em definir os parâmetros básicos sob os quais os riscos sobre a informação devem ser geridos. Isto é, consiste em definir os critérios básicos (critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco) a serem adotados pela gestão de riscos de segurança da informação. Esse contexto define, portanto, o escopo (finalidade – plano de continuidade, SGSI etc.) da gestão de riscos e os seus limites. Esses últimos, por sua vez, são determinados pelos objetivos estratégicos, políticos e processos de negócio da organização.”. 2 – Análise de riscos: Segundo ABNT (2008, p. 12), esta etapa “identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, [bem como] determina as conseqüências possíveis.”. 3 – Avaliação de riscos: esta etapa tem como finalidade principal estimar os níveis de riscos associados aos ativos de informação e aos recursos de Tecnologia da Informação e Comunicação, avaliando e priorizando-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto (ABNT, 2008). 4 – Tratamento do risco: Lento (2014, p. 139) afirma que “a fase de tratamento de riscos começa com uma lista de riscos, ordenados entre si por prioridade de tratamento, de acordo com os critérios de avaliação de riscos, e tem como saída o plano de tratamento do risco e dos riscos residuais decorrentes desse tratamento.”. E ainda de acordo com GSIPR (2013), esta fase visa a “determinar as formas de tratamento dos riscos, considerando as opções de reduzir, evitar, transferir ou reter o risco, observando: a eficácia das ações de Segurança da Informação e Comunicações – SIC já existentes; as restrições organizacionais, técnicas e estruturais; os requisitos legais; e a análise custo/benefício.”. 5 – Aceitação do risco: etapa em que se deverá, conforme discorrido em GSIPR (2013, p. 06), “verificar os resultados do processo executado, considerando o plano de tratamento, aceitando-os ou submetendo-os à nova avaliação”. Não somente, mas também “o processo está sujeito à decisão dos gestores da organização, relativa à aceitação desse processo, quando se tem como produto uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os critérios normais para aceitação do risco (LENTO, 2014, p. 142)”. 6 – Comunicação do risco de segurança da informação: Conforme exposto em ABNT (2008, p. 25), “a comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou
  • 6. 6 partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas. A informação inclui, entre outros possíveis fatores, a existência, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos.” 7 - Monitoramento e análise crítica dos riscos de segurança da informação: nesta etapa convém atentar que os riscos e seus fatores (isto é, valores dos ativos, impactos, ameaças, vulnerabilidades, probabilidade de ocorrência) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de se manter uma visão geral dos riscos (ABNT, 2008). É Importante ainda lembrar que as mencionadas etapas do Processo de Gestão de Riscos de Segurança da Informação não são estanques e devem sempre interagir entre si de maneira harmônica e complementar, tendo como finalidade principal a geração de subsídios confiáveis e oportunos para suportar os mais distintos processos de tomada de decisão organizacional (LENTO, 2014). 2.2 ATIVIDADE DE INTELIGÊNCIA Medeiros (2011, p.03) conceitua Atividade de Inteligência como sendo “a atividade especializada, permanentemente exercida, com o objetivo de produzir conhecimentos de interesse da instituição/organização e a sua salvaguarda contra ações adversas”. Já Silva Junior (2011) afirma, baseado no Glossário de Inteligência Competitiva da Associação Brasileira de Inteligência Competitiva – ABRAIC, que Inteligência consiste no Processo que tem como objetivo produzir Inteligência para a tomada de decisão ou desenvolver atividades que objetivam negar a um ator a possibilidade de levantar dados/informações por meio de coleta/busca sobre o modo de agir de outro ator. Constitui-se de processo informacional proativo e sistemático que visa identificar os atores e as forças que regem as atividades da organização, reduzir o risco e conduzir o tomador de decisão a melhor posicionar-se em seu ambiente, bem como proteger o conhecimento sensível gerado. Caracteriza-se pela coleta/busca de dados/informações que os outros não estão vendo – quer porque estão ocultos e/ou desconexos, quer porque estão camuflados ou mesmo destorcidos – e sua posterior análise e identificação de impacto para a organização (SILVA JUNIOR, 2011, p. 25, grifo nosso). Dessarte, José Manuel Ugarte (2002 apud GONÇALVES, 2011, p. 07) sobre a importância da utilização dos mais variados recursos, métodos e técnicas de Inteligência nas diversas esferas da sociedade assinala que: la información es conocimiento, la información es organzación, [...] la informarción es actividad [e que inteligência] es el conocimiento que nuestros hombres, civiles y militares, que ocupan cargos elevados, deben poseer para salvaguardar el bienestar nacional. No que tange à natureza de sua finalidade, a Atividade de Inteligência pode ser dividida em categorias, tais como: Inteligência de Estado, Business Intelligence, Inteligência
  • 7. 7 Estratégica, Inteligência Militar e de Defesa, Inteligência de Segurança Pública, Inteligência Competitiva, Inteligência policial, Inteligência fiscal, dentre outras; e ainda de acordo com Medeiros (2011): “tudo é uma adaptação da atividade de Inteligência ‘clássica [de Estado]’ à atividade de Inteligência específica”. Porquanto, ainda que o espectro de atuação da Atividade de Inteligência se configure bastante amplo e multifacetado, para a sua melhor eficácia, a Atividade deve sempre atender a propósitos restritos e altamente especializados a fim de se reduzir eventuais equívocos a respeito de assuntos ou questões específicas e de alta relevância para o processo decisório organizacional. Sobre isto, Silva Junior (2011, p. 22) ainda argumenta que “as informações coletadas, que se transformaram em conhecimento [após o devido Ciclo de Produção de Conhecimento – CPC2 ], geralmente possuem três propósitos distintos, ainda que complementares: o uso preventivo, defensivo ou ofensivo”. Assim sendo, também cabe discorrer que no tocante às fontes de obtenção de dados para a produção do conhecimento de Inteligência, tal qual classificação proposta por Bruneau (2000 apud GONÇALVES, 2011), emergem como principais: a HUMINT (Human intelligence), SIGINT (Signals Intelligence), OSINT (Open-source Intelligence), MASINT (Measurement and Signature Intelligence) e IMINT (Imagery Intelligence). Torna-se oportuno expor que Nogueira (2012, p. 29) – de maneira inovadora – esboça a possibilidade de se considerar também a via cibernética como uma distinta fonte de obtenção de dados para a atividade de inteligência, podendo vir a ser denominada, ainda que de maneira incipiente, como “CYBERINT”. 2.2.1 Inteligência Cibernética Ciberinteligência ou Inteligência Cibernética pode ser inicialmente entendida como: [...] um processo que leva em conta o ciberespaço, objetivando a obtenção, a análise e a capacidade de produção de conhecimentos baseados nas ameaças virtuais e com caráter prospectivo, suficientes para permitir formulações, decisões e ações de defesa e resposta imediatas visando à segurança virtual de uma empresa, organização e/ou Estado (WENDT, 2011, p. 23). Wendt (2010) ainda entende como sendo parte integrante do escopo de responsabilidade da Inteligência Cibernética as seguintes ações e procedimentos: 1 – Os ataques às redes, públicas ou privadas, e às páginas web; 2 “CPC também é conhecido como “processo de inteligência” e refere-se ao processo em que dados e informações são compilados, analisados e transformados em conhecimento de inteligência, e ao final, disponibilizados aos usuários/clientes, ou seja, aos tomadores de decisão” (GONÇALVES, 2011, p.74).
  • 8. 8 2 – Análise das vulnerabilidades existentes sobre as redes, sistemas e serviços existentes, enfocando o entrelaçamento à teia regional, nacional e/ou mundial de computadores; 3 – Constante análise e acompanhamento dos códigos maliciosos distribuídos na web, observando padrões, métodos e formas de disseminação; 4 – Enfoque na engenharia social virtual e os efeitos danosos, principalmente nas fraudes eletrônicas; 5 – Mais especificamente, monitorar as distribuições de phishing scam, tanto por web sites quanto por e-mail e as demais formas de disseminação, com atenção especial para as redes sociais; 6 – Observação e catalogamento dos casos de espionagem digital, com abordagem dos casos relatados e verificação dos serviços da espécie oferecidos via web; 7 – Intenso monitoramento a respeito de adwares, worms, rootkits, spywares e vírus, com observância do comportamento, finalidade e forma de difusão; 8 – Detectar e monitorar os dados sobre fraudes eletrônicas e o correspondente valor financeiro decorrente das ações dos criminosos virtuais; 9 – Monitoramento da origem externa e interna dos ataques e distribuição dos códigos maliciosos; 10 – Verificação e catalogamento das ações e mecanismos de hardware e software de detecção de ameaças e de respostas imediatas às ameaças virtuais, e etc. Em reforço a esta perspectiva delineada, Nogueira (2012, p, 35) reitera: “sem Inteligência Cibernética não haverá como atuar com precisão e oportunidade”, e vai além ao afirmar que: Saber, conhecer e avaliar os movimentos do oponente cibernético, antes de suas ações, será imprescindível. Haverá sempre intervalo muito pequeno para agir e menos tempo ainda para decidir. Por isso, a atuação da Inteligência surge como fator de grande importância para promover conhecimentos que conduzam a decisões acertadas e a resultados eficazes. [...] A partir desta percepção, justifica-se estudar como levantar, obter e tratar informações sobre ações dos adversários no ambiente cibernético. A pesquisa das formas de emprego da Inteligência no domínio virtual levará a aperfeiçoamentos que adéquem suas operações para obtenção de informações de valor e relevância para ações cibernéticas. Esses conhecimentos poderão promover desequilíbrio se forem apropriadamente manipulados (NOGUEIRA, 2012, p. 24, grifo nosso). Oliveira (2011, p.114) ainda complementa da seguinte forma: Ela é essencial na busca de informações, empregando todas as fontes disponíveis, para identificar e prevenir ameaças cibernéticas e proporcionar respostas adequadas, com oportunidade. Além disso, os profissionais que atuam no Setor Cibernético devem desenvolver atitude arraigada de contrainteligência, a fim de proteger o conhecimento e as informações inerentes às suas atividades.
  • 9. 9 Sobre os efeitos positivos que podem advir da efetiva aplicação da ciberinteligência como meio específico de suporte ao processo decisório – não só para predição, mas também para análise pós-prevenção –, INSA (2011, p.03) salienta que: Em última análise, a eficaz inteligência cibernética começará a permitir a previsão, alarme estratégico sobre as atividades de ameaças cibernéticas, mitigação dos riscos associados a estas ameaças, melhorando assim, a nossa capacidade de avaliar os efeitos da ciberintrusão, e de otimizar a segurança cibernética com custos eficientes e processos mais eficazes, baseados em decisões bem informadas (tradução livre). Assim, para viabilizar um “ecossistema” equilibrado para a efetiva atuação da ciberinteligência tal qual supramencionado, torna-se necessário adotar, dentre outras ações, as seguintes diretrizes procedimentais: 1- Definir adequadamente o escopo de atuação (intra e extra organização) da ciberinteligência, com a devida aprovação formal e apoio de todos os colaboradores, principalmente por parte da alta diretoria; 2- Prever detalhadamente os específicos procedimentos, métodos e técnicas requeridos para sua plena atuação, bem como nomear os responsáveis por cada processo e/ou tarefa acessória; 3- Definir claramente os objetivos esperados com sua atuação, assim como os recursos, custos e períodos necessários para a sua consecução; e 4- Manter sempre atualizados os recursos humanos diretamente envolvidos na atividade, por meio de participação regular em treinamentos, capacitações, fóruns especializados, e outros expedientes que venham a propiciar o devido acompanhamento evolutivo das ameaças cibernéticas e de suas contramedidas. Por sua vez, agora em específico sobre o aparato tecnológico atualmente a disposição da Inteligência Cibernética, torna-se oportuno citar que grande parte do monitoramento e análise de cenários (sobremaneira, o cibernético) já vem sendo francamente realizados por uma miríade de ferramentas automatizadas baseadas em específicos métodos e técnicas, como a de mineração de dados3 e de análise e filtragem de web semântica – em posts, tuítes, em redes sociais, blogs –, calibrados de acordo com o grau de abrangência pretendido e palavras-chave de interesse4 . INFO (2011) assevera que estas técnicas há anos são utilizadas por anunciantes – principalmente, por meio de cookies5 – e que em um futuro próximo evoluirão e constituirão 3 Mineração de dados é um processo altamente cooperativo entre homens e máquinas, que visa a exploração de grandes banco de dados, com o objetivo de extrair conhecimentos através do reconhecimento de padrões e relacionamento de variáveis, conhecimentos esses que possam ser obtidos por técnicas comprovadamente confiáveis e validados pela sua expressividade estatística (CÔRTES; PORCARO; LIFSSHITZ , 2002). 4 Para o aprofundamento desta temática, faz-se mister observar o presente em: <http://www.labic.net/>. Acesso em 24 mar. 2014. 5 “Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre você, como carrinho de compras, lista de produtos e preferências de navegação. Um cookie pode ser temporário (de sessão), quando é apagado no momento em que o navegador Web ou programa leitor de e-mail é fechado, ou
  • 10. 10 métricas altamente especializadas para a predição e acompanhamento de tendências em várias esferas do conhecimento humano, dentre elas, àquelas voltadas para redução de incertezas ligadas à gestão de riscos organizacionais. Em relação a estas ferramentas automatizadas de coleta e monitoramento cibernético, Silva Junior (2011, p. 81) destaca que: O princípio da coleta de dados, executada por ferramentas eletrônicas de monitoramento, identifica palavras, termos ou expressões. Os objetivos destas ferramentas são: mensurar, qualificar, quantificar, traçar perfis de usuários, identificando possibilidades de ações dentro dos ambientes [organizacionais] e prever crises e danos a marcas contratantes. Muitas dessas ferramentas funcionam por meio de métodos e técnicas intrinsecamente correlacionadas ao processo de Descoberta do Conhecimento em Banco de Dados (DCBD). Sobre isto, Oliveira Junior (2011, p. 37) leciona que: O maior objetivo do DCBD não é o de simplesmente encontrar padrões e relações em meio à imensa quantidade de informação disponível em base de dados, e, sim, a extração de conhecimento inteligível e imediatamente utilizável para o apoio às decisões. [E que] a DCBD integra conceitos de estatística, SI inteligentes, aprendizado de máquina [redes neurais artificiais, algoritmos genéticos, etc.], reconhecimento de padrões, teoria das decisões, engenharia de dados e administração de dados. 3 CIBERINTELIGÊNCIA EM APOIO À GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO. Na atual conjuntura mundial, cada vez mais globalizada e impessoal, predizer cenários e estimar tempestivamente a ocorrência de explorações de vulnerabilidades por específicas ameaças tornaram-se diferenciais de grande valia para as organizações que desejam permanecer operativas e protegidas neste cenário de intenções nem sempre tão claras. No que se refere ao Ciberespaço não é diferente. Sistemas de informações heterogêneos, conexões estabelecidas por meio de estruturas e recursos distribuídos caoticamente fazem do espaço cibernético um ambiente dominado pela aleatoriedade, complexidade e anonimato. É neste lócus permeado por estas relações, em sua maioria, estabelecidas de forma assimétrica, que a detecção de padrões de relacionamento em conjuntos imensos de dados e informações por meio de ferramentas computacionais e técnicas especializadas passa a ser uma das principais alternativas utilizadas pelas organizações que desejam não só entender melhor como funciona o seu negócio – identificando vulnerabilidades e oportunidades –, mas permanente (persistente), quando fica gravado no computador até expirar ou ser apagado.” Disponível em: <http://cartilha.cert.br/>. Acesso em 24 mar. 2014.
  • 11. 11 também se antever aos eventuais impactos negativos de ataques produzidos por uma miríade de ameaças oriundas do espaço cibernético. Neste sentido, Fonseca et al (2013) a respeito da crescente expansão do desenvolvimento e comercialização de ferramentas de busca, monitoramento e análise de dados/informações, capitaneada por grandes corporações de Tecnologia da Informação e Comunicações (TIC), argumenta a título de exemplo que: A Cyveillance, uma subsidiária da empresa americana QinetiQ, especializa-se em monitoramento 24 horas da internet e, segundo ela mesma define em sua brochura, análises de inteligência sofisticadas para “identificar e eliminar ameaças a informações, infraestruturas e indivíduos, permitindo aos nossos clientes preservar a sua reputação, receita e a confiança dos clientes”. A empresa afirma servir a maioria das empresas mais ricas do mundo “e mais de 30 milhões de consumidores através de sua parceria com provedores que incluem AOL e Microsoft”. A brochura da empresa, vazada pelo WikiLeaks6 , mostra bem o uso dessa tecnologia: uma foto traz manifestantes portando bandeiras num protesto. O texto explica: “Protestos, boicotes e ameaças contra seus empregados, oficinas e escritórios causam caos na sua organização”. Por meio de monitoramento 24 horas por dia, sete dias por semana, a empresa afirma que resolver ameaças requer incorporar inteligência à segurança. A Cyveillance garante que tem pessoas, processos e tecnologias para prover inteligência sobre as atividades relacionadas a uma empresa, “permitindo que você aja antes que um evento ocorra”. Também garante monitoramento contra vazamentos de informações por whistleblowers7 da empresa (grifo nosso). E ainda que: Em 2011, a HP anunciou a compra da Autonomy, uma empresa inglesa líder no campo de “desenvolvimento de softwares que ajudam organizações do mundo inteiro a entenderem o significado por trás da informação”. Como? Um time de analistas varre conteúdos de emails, documentos, fotos, redes sociais e outros tipos de mídia, atrás de informações relevantes, de acordo com a demanda do cliente. Segundo o site, organizações como KPMG, Philips, Oracle e T-Mobile já utilizaram os serviços da Autonomy [...] (grifo nosso). Todavia, não são apenas empresas privadas que fazem uso recorrente das referidas tecnologias de extração, monitoração e análise de dados em suporte aos seus processos. Conforme também exposto por Fonseca et al (2013): Segundo levantamento do jornal The Washington Post, o “black budget”, o orçamento destinado aos serviços de inteligência do governo dos Estados Unidos, soma US$ 52,6 bilhões ao ano – mais de 68% disso vai para a CIA, a NSA e o NRO (Escritório Nacional de Reconhecimento, órgão responsável por desenvolver, construir e operar satélites de reconhecimento). O valor reservado para as áreas de inteligência e vigilância dobrou em relação a 2001. A maior parcela de gastos é com coleta, exploração e análise de dados. Apenas a CIA tem um gasto previsto de US$ 11,5 bilhões para coleta de dados em 2013. As empresas contratadas são mantidas em segredo. [...] Organizações como a Interpol, FBI e OTAN utilizam os softwares da subsidiária da IBM para rastrear grandes quantidades de dados provenientes da internet, chamadas telefônicas e dados bancários e “coletar, integrar, analisar, visualizar e distribuir informações” a fim de interceptar indícios de atividade criminosa. [...] O produto? Softwares de rastreamento e processamento de dados para fins diversos, que vão do combate à corrupção e investigação de fraudes à interceptação de crimes que coloquem em risco a segurança nacional (grifo nosso). 6 Fundado em 2006, WikiLeaks é uma organização que se dedica a publicar documentos secretos revelando a má conduta de governos, empresas e organizações (ASSANGE, 2013). 7 Denunciante, informante (tradução livre).
  • 12. 12 Porém, ainda que tais meios automatizados de busca/coleta, análise e produção de conhecimento inevitavelmente possam vir a serem utilizados com outros fins que não o de suporte estrito à tomada de decisão organizacional, claramente, já não se é mais viável prescindir dos mais variados produtos advindos destas citadas ferramentas computacionais; visto que para além de satisfazerem a uma demanda crescente por informações técnicas, oportunas e precisas, o acesso ao produto diferenciado da Ciberinteligência vem se consolidando cada vez mais como uma questão estratégica para sobrevivência e fortalecimento das organizações modernas. Sobre esta perene necessidade de se estar sempre atento aos riscos e ameaças inerentes ao ciberespaço, Dr. Paulo Pagliusi, renomado especialista na área de cibersegurança, adverte que: “Não há espaço para amadores no mundo cibernético. Não improvisem. O que está em jogo não é a área de TI, mas, sim, o negócio como um todo. Muitas empresas quebraram ao errar na estratégia.” (LOBO; COSTA, 2014). Porquanto, é clarividente a importância que a atuação da ciberinteligência pode impelir para o “negócio como um todo”, seja como relevante meio para a predição de cenários e de potenciais riscos, seja como parte do ferramental analítico pós-ocorrência de quaisquer incidentes de segurança. Em reforço a esta perene percepção, mas agora em específico à situação das infraestruturas críticas brasileiras, Franco (2012) salienta que devido ao “gerenciamento operacional de grande parte das Infraestruturas Críticas Nacionais (ICN)” já ser realizado remotamente através da via cibernética, a importância da Ciberinteligência se acentua tanto na possibilidade de busca e coleta de dados de interesse, quanto na identificação das eventuais vulnerabilidades existentes nas redes computacionais das ICN. O referido autor argumenta que: Para a Atividade de Inteligência, a produção de conhecimento para a proteção dos sistemas que controlam a funcionalidade das ICN é fundamental para que o agente decisor possa intervir com oportunidade, minimizando ou neutralizando os possíveis danos causados por ações mal intencionadas. A correta aplicação dos preceitos de segurança orgânica também contribuirá para que os riscos sejam mitigados. Para tanto, é fundamental ter seus recursos humanos preparados para o ambiente cibernético, inclusive os da área de inteligência, alocando-os em uma estrutura organizacional eficiente e prática. Esta estrutura deve possuir a capacidade de, permanentemente, acompanhar a evolução das formas de ataques e cooptação de pessoas a fim de impedir intrusões maliciosas nos sistemas informatizados das ICN (FRANCO, 2012, p. 08). Logo, é plausível também depreender que a Inteligência Cibernética possa se posicionar de maneira consistente como disciplina altamente eficaz, não somente para atender às demandas genéricas dos tomadores de decisão organizacionais, mas sobremaneira, em suporte especializado ao processo de Gestão de Riscos de Segurança da Informação.
  • 13. 13 Sua atuação pode ser delinear de maneira determinante na devida identificação e definição das adequadas medidas para mitigar e/ou extinguir os riscos cibernéticos que influem (ou que possam vir a influir) sobre os ativos informacionais e comunicacionais, seja ainda na fase de planejamento da GRSI – mais especificamente, nas etapas de definição do contexto, análise e avaliação de riscos – ou, no perene monitoramento do cenário ao qual a organização encontra-se inserida Na etapa de Definição do Contexto, a participação da Inteligência Cibernética pode se mostrar determinante na obtenção e disponibilização de dados e informações que venham a subsidiar de maneira realista e oportuna o mapeamento do cenário em que a organização está inserida, como também no cálculo da ocorrência dos riscos, este sendo entendido como a conjunção da probabilidade de ocorrência da ameaça e do impacto do ativo em relação ao negócio da empresa, caso o incidente venha a ser consumado (LENTO, 2014, p. 118). Ainda em consonância com a perspectiva defendida por Lento (2014), só que neste momento em relação às etapas de Análise e Avaliação de Riscos, o conhecimento advindo de tal especialidade de inteligência pode também se mostrar decisivo na precisa identificação dos riscos – por meio do reconhecimento e correlação dos ativos, ameaças, vulnerabilidades e controles até então existentes –, bem como na posterior estimação e priorização (hierarquização) dos riscos, com a criteriosa análise de impacto, determinação do risco e de sua magnitude para a continuidade dos negócios organizacionais. Já na etapa de Monitoramento e Análise Crítica dos Riscos de Segurança da Informação, convém atentar para o papel estratégico que a inteligência cibernética pode assumir no perene acompanhamento dos riscos e seus fatores, monitorando-os e analisando- os, a fim de se identificar tempestivamente eventuais mudanças no contexto ambiental da organização e na evolução de peremptórias ameaças ao seu negócio. Desta forma, após a devida identificação dos ativos, ameaças, vulnerabilidades, e posterior realização de análises e correlações por meio de ferramentas cibernéticas voltadas, dentre outras finalidades: à varredura de redes e sistemas, testes de penetração (PENTEST), mineração de dados e de conteúdos web de interesse, certamente – a partir do produto obtido de tais soluções prospectivas – será possível prosseguir de maneira consistente através das outras etapas subsequentes da GRSI; para que assim, ao final do processo, os respectivos tomadores de decisão possam se valer da mais completa e oportuna alternativa existente para a manutenção da integridade e disponibilidade de seus ativos e processos organizacionais, assim como para gestão sensata de sua imagem não só no ciberespaço, mas também fora dele. 4 CONCLUSÃO
  • 14. 14 Ao final deste artigo, com base na correlação e análise dos fatos e constatações apresentadas, é possível concluir que o papel da Inteligência Cibernética cada vez mais avulta em importância como decisiva alternativa, não só para a obtenção de dados e informações em atendimento às demandas dos órgãos de inteligência de Estado, mas sobremaneira, para a identificação de oportunidades, ameaças, vulnerabilidades e riscos existentes em prol das mais variadas organizações, sejam elas de controle privado ou governamental. Muito disso deve-se à intensificação da pesquisa, desenvolvimento e consequente aumento da qualidade e versatilidade dos produtos entregues pelas mais variadas ferramentas cibernéticas destinadas, sumariamente, à coleta de dados e conteúdos de interesse, análise detalhada de grandes repositórios de dados, varredura de redes/sistemas e à predição de cenários com base no monitoramento constante do comportamento das variáveis determinantes para a continuidade dos negócios e tratamento dos incidentes de segurança organizacionais. No que tange em particular ao processo de GRSI, foi possível também depreender o relevante papel que a ciberinteligência pode assumir na tarefa de fornecer informação técnica, confiável e oportuna, ao atuar em suporte direto às etapas de Definição de Contexto, Análise, Avaliação de Riscos, Monitoramento e Análise Crítica dos Riscos de Segurança da Informação, em proveito do aumento do grau de adaptabilidade e resiliência das organizações, e de maneira transversal, para a redução da chance de ocorrência de contraproducentes incidentes de segurança que possam vir a atentar contra a continuidade de seus processos críticos. Contudo, para que a Inteligência Cibernética venha a se consolidar ainda mais em importância e em efetividade, principalmente em apoio ao processo de Gestão de Riscos de Segurança da Informação, entende-se como impostergável a devida definição e padronização de normas e procedimentos específicos que regulem de maneira exequível o seu escopo de atuação neste complexo e assimétrico âmbito dialético, assim como também se faz presente, a necessária intensificação de ações para o fomento e estabelecimento de grupos de trabalho e de intercâmbios entre equipes multidisciplinares compostas por representantes de corporações de TIC, universidades, ONGs e outros órgãos de Estado, para que assim, sejam desenvolvidas inovadoras e eficazes soluções tecnológicas para a segurança e proteção dos mais variados interesses organizacionais, sejam eles cibernéticos ou não. CYBER INTELLIGENCE LIKE DECISIVE FACTOR IN RISK MANAGEMENT OF INFORMATION SECURITY AND COMMUNICATIONS
  • 15. 15 Abstract: In increasingly complex and changing world, predict scenarios and estimate the occurrence of vulnerability exploits by specific threats have become differentials of great value for organizations who wish to remain protected and operative, especially in Cyberspace. Therefore, in this study, through the exposure of key concepts that enable the identification and understanding of the intrinsic benefits of the synergy between the Risk Management of Information Security (RMIS) and Cyber Intelligence, as well as the presentation, analysis and correlation of facts and perceptions about the increasing use of Cyber Intelligence as a means of obtaining relevant data and information to decision making and improvement of situation awareness organizational, with objective to assert the decisive role that "Cyberint" can take in direct and specific support of RMIS process. Keywords: Cyber Intelligence. Risk Management. Information Security. REFERÊNCIAS ABNT, AB de NT. NBR ISO/IEC 27005–Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2008. ASSANGE, Julian et al. Cypherpunks: liberdade e o futuro da internet. São Paulo: Boitempo, 2013. BRUNEAU, Thomas. Intelligence and democratization: the chalenge of control in new democracies: ocasional paper #5. Monterey/California: The Center for Civil-Military Relations – Naval Postgraduate School, March, 2000. CEPIK, Marco A. C. Espionagem e Democracia. Rio de Janeiro: Editora FGV, 2003. CÔRTES, Sérgio da Costa; PORCARO, Rosa Maria; LIFSCHITZ, Sérgio. Mineração de Dados – Funcionalidades, Técnicas e abordagens. PUC-RIO, 2002. Disponível em: < ftp://ftp.inf.puc-rio.br/pub/docs/techreports/02_10_cortes.pdf>. Acesso em 27 jan. 2014. FONSECA, Bruno et al. Wikileaks: quem lucra com a espionagem digital. 2013. Disponível em: < http://www.apublica.org/2013/09/wikileaks-quem-lucra-espionagem-digital/>. Acesso em: 27 jan. 2014. FRANCO, Luis Henrique Santos. A atividade de inteligência na segurança cibernética às infraestruturas críticas nacionais do setor de energia elétrica. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 07-22, dez 2012. GONÇALVES, Joanisval Brito. Atividade de Inteligência e legislação correlata. 2. ed. Niterói: Impetus, 2011. GSIPR. Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, de 25 de fevereiro de 2013. Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal. Disponível em: < http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>. Acesso em: 25 jan. 2014. INFO. Revista INFO EXAME: para uma nova realidade, São Paulo: Abril, ago. 2011.
  • 16. 16 INSA. Cyber Intelligence: Setting the landscape for an emerging discipline. White Paper, september, 2011. Intelligence and National Security Alliance, Arlington, VA. Disponível em: <http://www.insaonline.org/i/d/a/Resources/Cyber_Intelligence.aspx>. Acesso em: 20 jul. 2014. LENTO, Luiz Otávio Botelho. Gestão de risco de segurança da informação: livro digital. 2. Ed., Palhoça: UnisulVirtual, 2014. LOBO, Ana Paula; COSTA, Pedro. Cibersegurança: ‘não há espaço para amadores, não improvisem.’.Covergência Digital, 2014. Disponível em: < http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm? infoid=36771&sid=127&utm_source=twitterfeed&utm_medium=twitter&fb_action_ids=449 579458510950&fb_action_types=og.likes&fb_ref=.U3bEXzimktC.like>. Acesso em 21 maio 2014. MACHADO, Jussara de Oliveira. Inteligência e Ciberespaço: desafios do século XXI. In: CEPIK, Marco (Org.). Inteligência Governamental: contextos nacionais e desafios contemporâneos. Niterói: Impetus, 2011. p. 271-317. MEDEIROS, Francisco José Fonseca de. A Atividade de Inteligência no mundo atual. 2011. Disponível em: <http://www.administradores.com.br/_resources/files/_modules/academics/academics_3552_ 201011141848586457.pdf>. Acesso em: 23 jan. 2014. NOGUEIRA, Alexandre Fernandes Lobo. A Inteligência militar na defesa cibernética: um estudo sobre as possibilidades de apoio da inteligência aos planejamentos das ações de defesa cibernética. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 23-36, dez 2012. OLIVEIRA JUNIOR, Waldomiro. Estudo comparativo entre modelos lineares e redes neurais artificiais como tecnologias geradoras de previsões de valores financeiros. 2007. 145f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2007. SILVA JUNIOR, Osvaldo Spindola da. Inteligência em fontes abertas: um estudo sobre o emprego de mídias sociais na identificação de irregularidades no serviço publico federal. 2011. 114f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2011. SIMIÃO, Reinaldo Silva. Segurança da Informação e comunicações: conceito aplicável em organizações governamentais. 2009. 81f. Monografia (Especialização em Gestão da Segurança da Informação e Comunicações) – Departamento de Ciência da Computação da Universidade de Brasília, Brasília, 2009. STONEBURNER, Gary; GOGUEN, Alice; FERINGA, Alexis. NIST SP 800-30 Risk management guide for information technology systems. Ed.: NIST, 2002. UGARTE, Jóse Manuel. Control Público de la actividad de Inteligencia:Europa y América Latina, uma vision comparativa. (Trabalho apresentado no Congresso Internacional “Post- Globalización: Redefinición de la Seguridad y Defensa Regional el Cono Sur”), Buenos Aires, 2002.
  • 17. 17 WENDT, Emerson. Inteligência Cibernética – Introdução ao assunto. 2010. Disponível em: < http://www.inteligenciapolicial.com.br/2010/03/inteligencia-cibernetica-introducao- ao.html>. Acesso em 25 jan. 2014. _______. Ciberguerra, inteligência cibernética e segurança virtual: alguns aspectos. Revista Brasileira de Inteligência: ABIN, Brasília, n. 6, p. 15-26, abr. 2011.