Segurança da Informação - uma abordagem social
Contents
1. Regra C 2Se v lida ent o Vlo tamb m o C 2 3 Permiss o e obriga o O alfabeto fornecido anteriormente extendido com a inclus o de dois novos operadores modais P permiss o e O obriga o GLASGOW MACEWEN PANANGADEN 1992 Al m disso o conjunto de f rmulas da linguagem tamb m extendido como se segue Vi se W ent o OK d PKd O Ki d e PhK d tamb m e W Os operadores de nticos P e O s o duais no sentido modal pode se escrever um em termos do outro como P lt 04 Por conveni ncia pode se ainda escrever a f rmulas OK e PK como O e P respectivamente 209 A inclus o destes operadores permite a defini o em termos l gicos das seguintes propri edades da seguran a da informa o 1 Propriedade do sigilo se s K ent o s P se um individuo sabe uma f rmula en t o ele deve ter a permiss o para sab la inversamente um indiv duo n o deve conhecer f rmulas para as quais n o a permiss o de conhecer 2 Propriedade da integridade se s O ent o s E VSK se um indiv duo obrigado a conhecer uma f rmula ent o eventualmente ele a conhecer 3 Propriedade da acessibilidade para um sujeito i estado s e f rmula quaisquer se s E PQ ent o s IOK se um indiv duo tem a permiss o de conhecer uma f rmula ent o ele pode vir a conhec la 4 Propriedade da obriga o para um sujeito i estado s e f rmula qu2. 2 00052 0 ae p 65 4 6 Aplica es da seguran a da informa o 004 p 66 4 6 1 Comercio eletr nico pr rg sp anew NOS a a we a ed p 66 4 6 2 Informa o biom dica 0 0002 ee eee p 67 4 6 3 Vota o eletr nica Gy ce ee pres Ree EE Ew EOE ee Se RS p 68 4 6 4 Governo eletr nico se ao Sota ko see aE wad ae Re aa we Be aed ad p 68 4 6 5 Direitos autorais a ate Ae Ae ot et IS As A tk a ant p 70 4 7 A gest o da seguran a da informa o 20200200 p 70 4 8 O custo da seguran a da informa o 2 0002 eae p 71 Fontes de pol ticas de seguran a da informa o p 73 Dilly WOMCENOS Sy tes pets Saleen lente pla pts gist a et LE pints amp ola as p 73 6 5 2 A necessidade de m tricas ya e YD cd D MAD OD YD HOOD HOD BS p 78 5 3 Seguran a centrada no usuario 2 ee p 79 5 4 Forma o e conformidade ooa a p 80 dd An lisederiscos wa nbs mirra etre a E RM Ee CRM ERS ERS p 81 5 6 Plano de recupera o de desastres qa mara das Eta BAT E ae p 82 5 7 Plano de continuidade de neg cios o oo aoa ee p 83 5 8 Organismos leis e padr es relacionados s pol ticas de seguran a da informa o p 84 S000 Estados Unidos nat aces asd GO sees STS aoe Oe ata an BAR ag seek p 84 3 9 2 Remo Umdo otto th gd he thes eles eels She antes MA att p 90 5 8 3 Uni o BUPOpela ss lt n 5 6 aes don GR Betis he Bei de a p 90 JA SOMOS ray tag o
3. M DULO SECURITY SOLUTIONS 9 Pesquisa Nacional de Se guran a da Informa o Rio de Janeiro 2003 Dispon vel em lt http www modulo com br pdf nona pesquisa modulo pdf gt Acesso em 18 dez 2003 162 MORAHAN MARTIN J SCHUMACHER P Incidence and correlates of pathological internet use among college students Computers in Human Behavior v 16 n 1 p 13 29 Jan 2000 MOTTA J R C G da Andlise de mercado tend ncias de investimento em se guran a da informa o no Brasil em 2004 Rio de Janeiro 2004 Dispon vel em lt http www viaforum com br admin arg SumarioFExecutivo Security Week pdf gt Acesso em 9 abr 2004 MOULTON R COLES R S Applying information security governance Computers amp Security v 22 n 7 p 580 584 Oct 2003 MUIR A OPPENHEIM C National Information Policy developments worldwide I electronic government Journal of Information Science v 28 n 3 p 173 186 June 2002 MUIR A OPPENHEIM C National Information Policy developments worldwide II universal access addressing the digital divide Journal of Information Science v 28 n 4 p 263 273 Aug 2002 MUIR A OPPENHEIM C National Information Policy developments worldwide HI e commerce Journal of Information Science v 28 n 5 p 357 373 Oct 2002 MUIR A OPPENHEIM C National Information Policy developments worldwide IV copyright Freedom of Information and data protection Journ
4. axiologia o elemento de valora o a informa o necess ria aos sistemas aquela que os usu rios buscam ao realizarem seu acesso aos sistemas e que por eles provida analisada com o prop sito de descrever implementar e garantir a seguran a da informa o de modo tal a preservar a privacidade e os requisitos exigidos pela organiza o vide Se o 4 4 A Figura 10 ilustra a estratifica o sugerida para a formula o das pol ticas de seguran a da informa o Unidade administrativa da pol tica Produto da intera o negociada entre os agentes Observa o de comportamentos como norteadores das pol ticas Indissociabilidade entre usu rio e informa o Multidisciplinaridade inserida no contexto social Figura 10 Um modelo para pol ticas de seguran a da informa o conveniente salientar em que medida o modelo proposto atende aos objetivos deste tra balho especificamente quanto caracteriza o da seguran a da informa o como atinente ao dom nio das ci ncias sociais Neste sentido antes de tudo deve se lembrar que os sistemas de informa o t m sua g nese nas necessidades apresentadas pelos usu rios quanto s diferentes etapas do ciclo da informa o as quais por sua vez levam forma o das intera es entre os mesmos usu rios e destes com os sistemas Em outras palavras os sistemas de informa o 135 devem atender a etapas muito bem definidas do ethos social com
5. e de meu irmdo Joaquim Luiz AGRADECIMENTOS Agrade o aos amigos e mestres que me ajudaram a trilhar o caminho at aqui Resumo O uso cada vez mais disseminado de sistemas informatizados integrados por meio de redes um fato determinante da Sociedade da Informa o Este universo de conte dos e continentes digitais est sujeito a v rias amea as que comprometem seriamente a seguran a do complexo usu rio sistema informa o A tecnologia da informa o capaz de apresentar parte da solu o a este problema mas n o capaz de resolv lo integralmente As pol ticas de seguran a da informa o devem contemplar o adequado equil brio dos aspectos humanos e t cnicos da segu ran a da informa o em contraposi o aos modelos de pol ticas atuais extremamente voltados s quest es tecnol gicas Este trabalho teve por finalidade a an lise dos pressupostos necess rios para o tratamento da seguran a da informa o por meio da formula o de pol ticas de seguran a da informa o baseando se em uma estrat gia de an lise fenomenol gica Tal abordagem visa a dar s pol ticas formuladas uma abordagem social de car ter humanista centrada nos pontos de vista do usu rio e que se contraponha aos modelos tecnicistas atuais Para tanto procedeu se a uma aprofundada coleta de artigos e trabalhos nas reas tanto da seguran a da informa o quanto da formula o e implementa o de pol ticas de car ter p
6. es competitivas ou seja submetidas competi o expressa em termos de demanda por parte dos usu rios Em bora em muitos casos a a o do governo se fa a essencial em v rios outros casos ela se mostra uma vez observada a sua atua o ao longo do tempo danosa e contraproducente como ilustra muito bem o exemplo da reserva de mercado adotada no Brasil durante o regime militar para os softwares e componentes de inform tica ROSENBERG 1982 Neste exato momento um outro exemplo vivido novamente pelos brasileiros a escolha do padr o de televis o digital quando j se apresenta a prefer ncia do poder p blico sem que se fa am discuss es adequadas dentro da sociedade e quando o pr prio modelo escolhido n o atinge consenso dentro do grupo de ministros de estado envolvidos com a escolha Por outro lado no contexto externo s rias cr ticas s o feitas ainda ao modelo de regulamenta o adotado quanto aos direitos autorais e direitos de c pia de conte dos dispostos em m dias digitais j discutidos na Se o 5 8 onde as empresas produtoras dos conte dos ditam a regulamenta o que adotada ELKIN KOREN 2001 O modelo misto de privatiza o em seguida regulamenta o com arbitragem por parte de uma ag ncia independente adotado no Brasil para o setor de telecomunica es entre ou tros visto como bem sucedido funcionando como um paliativo para a presen a excessiva do estado KAPLAN CUCITI 1998 equilibran
7. 20 nov 2004 LEE J LEE Y A holistic model of computer abuse within organizations Information Management amp Computer Security v 10 n 2 p 57 63 2002 LEGRIS P INGHAM J COLLERETTE P Why do people use information technology a critical review of the technology acceptance model Information amp Management v 40 n 3 p 191 204 Jan 2003 LEIWO J HEIKKURI S An analysis of ethics as foundation of information security in distributed systems In Proceedings of the 31 Hawaii International Conference on System Sciences Oakland California IEEE Society 1998 v 6 p 213 222 LEONARDO Z Interpretation and the problem of domination Paul Ricoeur s hermeneutics Studies in Philosophy and Education v 22 n 5 p 329 350 Sep 2003 LESK M The seven ages of information retrieval 1995 Disponivel em lt http lesk com mlesk ages ages html gt LEVINE P Information technology and the social construction of information privacy comment Journal of Accounting and Public Policy v 22 n 3 p 281 285 May June 2003 LEWIS M W KELEMEN M L Multiparadigm inquiry Exploring organizational pluralism and paradox Human Relations v 55 n 2 p 251 275 Feb 2002 159 LIAW H T A secure electronic voting protocol for general elections Computers amp Security v 23 n 2 p 107 119 Mar 2004 LIEN M C PROCTOR R W Multiple spatial correspondence effects on dual task performance Jour
8. CMM s o as preferidas pelas equipes de desenvolvimento ASHR AFI 2003 Especificamente no que diz respeito seguran a da informa o o uso de modelos l gicos mais usual na formaliza o e valida o de protocolos notadamente aqueles voltados verifica o e autentica o de usu rios processos e sistemas ABADI BLANCHET 2005 ACCORSI BASIN VIGAN 2003 RAMANUJAM SURESH 2003 LOWE 1998 Nestes casos in teresse especial devotado ao fluxo da informa o Para este fim modalidades da l gica t m sido particularmente desenvolvidas como as l gicas de altern ncia temporal ALUR HEN ZINGER KUPFERMAN 1997 van der Hoek WOOLDRIDGE 2003 KREMER RASKIN 2001 Al m dos formalismos l gicos para a seguran a outras modalidades tamb m foram apre sentadas com o mesmo fim parametrizar os requisitos do fluxo da informa o com vistas seguran a computacional MCLEAN 1988 1990a 1990b utilizar se formalismos gr ficos 200 como redes de Petri utilizadas em modelos de segrega o de pap is ELSAS VRIES RIET 1998 e an lise de incidentes STEPHENSON 2004 prover o desenvolvimento de linguagens para a modelagem de restri es de acesso DAMIANOU et al 2001 e implementar se cama das de software como mediadoras do acesso a bases de dados DAWSON QIAN SAMARATI 2000 Al m destas abordagens tamb m a teoria da elei o ou da escolha social j foi pro posta como estrat gia para sele
9. al m de estabelecer diretrizes para o fun cionamento do Sistema Nacional de Arquivos SINAR que tem por finalidade implementar a pol tica nacional de arquivos p blicos e privados visando gest o preserva o e ao acesso aos documentos de arquivo BRASIL 2002b Art 10 Decreto n 4 376 de 13 de setembro de 2 002 e Lei n 9 883 de 7 de dezembro de 1999 O Decreto disp e sobre a organiza o e o funcionamento do Sistema Brasileiro de Inteli g ncia SBIN institu do pela Lei n 9 883 BRASIL 1999 de 7 de dezembro de 1999 Eis o que disp e seu Artigo 1 BRASIL 2002c Art 1 81 O Sistema Brasileiro de Intelig ncia tem por objetivo integrar as a es de planejamento e execu o da atividade de intelig ncia do Pa s com a finalidade de fornecer subs dios ao Presidente da Rep blica nos assuntos de interesse nacional 2 O Sistema Brasileiro de Intelig ncia respons vel pelo processo de obten o e an lise de dados e informa es e pela produ o e difus o de conhecimentos ne cess rios ao processo decis rio do Poder Executivo em especial no tocante segu ran a da sociedade e do Estado bem como pela salvaguarda de assuntos sigilosos de interesse nacional Decreto n 4 553 de 27 de dezembro de 2 002 Disp e sobre a salvaguarda de dados informa es documentos e materiais sigilosos de interesse da seguran a da sociedade e do Estado no mbito da Administra o P bl
10. era da internet 4 ed Rio de Janeiro Campus 1999 SHARPE A RUSSELL C Private rights and public policy Computer Law amp Security Report v 19 n 5 p 411 415 Sept 2003 SHIREY R RFC 2828 Internet Security Glossary 2000 Dispon vel em lt http www ietf org rfc rfc2828 txt gt Acesso em 2 maio 2003 SHULER J A Citizen centered government Information policy possibilities for the 108 congress Journal of Academic Librarianship v 29 n 2 p 107 110 Feb 2003 SHULOCK N The paradox of policy analysis If it is not used why do we produce so much of it Journal of Policy Analysis and Management v 18 n 2 p 226 244 1999 SIPONEN M T Five dimensions of information security awareness ACM Computers and Society v 31 n 2 p 24 29 June 2001 SIPONEN M T Analysis of moderm IS security development approaches towards the next generation of social and adaptable iss developments Information and Organization v 15 n 4 p 339 375 Oct 2005 SKOULARIDOU V SPINELLIS D Security architectures for network clients Information Management amp Computer Security v 11 n 2 p 84 91 2003 SKRAPEC C A Phenomenology and serial murder asking different questions Homicide Studies v 5 n 1 p 46 63 2001 SLEEMAN B Recent literature on government information Journal of Government Information v 30 n 1 p 20 41 2004 SMITH G W NEWTON R B A taxonomy of organisational se
11. lt http issoc is lse ac uk IDM DualityOfRisk pdf gt Acesso em 18 maio 2005 146 CIBORRA C U Crisis and foundations an inquiry into the nature and limits of models and methods in the information systems discipline Journal of Strategic Information Systems v 7 n 1 p 5 16 Mar 1998 CLARK D How copyright became controversial In Proceedings of the 12 annual conference on Computers freedom and privacy San Francisco California ACM 2002 p 1 10 Dispon vel em lt http doi acm org 10 1145 543482 543499 gt Acesso em 2 ago 2004 CLARK D D WILSON D R A comparison of commercial and military com puter security policies In Proceedings of the 1987 IEEE Symposium on Secu rity and Privacy Oakland California IEEE 1987 p 184 194 Dispon vel em lt http www cs rice edu dwallach courses comp527 f2004 ClarkWilson87 pdf gt Acesso em 22 fev 2005 COHEN J E DRM and privacy Communications of the ACM v 46 n 4 p 47 49 Apr 2003 COLEMAN J Assessing information security risk in healthcare organizations of different scale International Congress Series v 1268 p 125 130 June 2004 COLLMANN J et al Beyond good practice why HIPAA only addresses part of the data security problem International Congress Series v 1268 p 113 118 June 2004 COMPUTER BASED PATIENT RECORD INSTITUTE CPRI Toolkit Mana ging information security in health care Schaumburg IL 2003 Dispon vel em lt
12. o do instrumento de percep o positiva da seguran a da informa op 187 A 6 1 As propriedades do sistema psicol gico p 187 A 6 2 Defini es do construto praise E E we EERE ES ES p 187 Ap ndice B Instrumento de captura da percep o da seguran a da informa o p 191 Ap ndice C L gica e Seguran a da informa o p 195 C 1 A formaliza o da seguran a em sistemas de informa o p 195 C 1 1 Classifica o das l gicas modais 04 p 198 C 2 L gicas modais e a formaliza o de pol ticas de seguran a p 199 C 2 1 Uma l gica do conhecimento cs pack av Mit aoe had p 200 C 2 2 Conhecimento e tempo su pr srs pum wl PY ola aol 2S ole ga p 202 C 2 3 Permiss o e obriga o paia st dae SSR BR ORS E p 204 ndice Remissivo p 206 10 Lista de Tabelas Epistemologias aplicadas ci ncia da informagao p 28 Contrastes entre os paradigmas de pesquisa fenomenol gico e normativo p 34 N mero de eventos m s por amea a 0000 ee eae p 48 Custo relativo da seguran a no desenvolvimento de software p 53 Incidentes de seguran a mais comuns no Brasil p 57 Principais amea as seguran a da informa o no Brasil p 58 Ranking de pa ses por acesso internet 04 p 85 Comunidades e Redes pol ticas us eee he A A p 113 Teoria da personalidade x aus sas Rae a
13. poss vel ter se uma percep o e uma observa o puras do mundo Sob esta concep o similar do realismo cr tico toda observa o dependente de uma teoria e de um contexto estando continuamente sujeita a reformula es As influ ncias trazidas por esta vis o de mundo estendem se de Wittgenstein a Popper MINGERS 2004b 2004a com conseqii ncias fundamentais e permanentemente incidentes sobre o modo de produ o cient fica ocidental 3 4 Hermen utica Te ricos da fenomenologia como Ricoeur 1975 e Gadamer 1998 propuseram um re laxamento cr tico dos severos requisitos apresentados por Husserl para a epoch indicando que imposs vel interpretar qualquer a o social sem que se reporte a algum conhecimento e experi ncia pr vios Para os mesmos autores a linguagem em todas as suas modalidades o modo fundamental de ser no mundo WHITE 1990 Este substrato lingiifstico representa tanto o meio ou o instrumento pelo qual a comunica o se d quanto mais ainda a abertura espa o temporal compreendida como o ser no mundo CAPURRO 1982 exatamente neste contexto que se apresenta a hermen utica comumente e simplificadamente conhecida como a ci ncia da interpreta o de textos mas que vem sendo continuamente rediscutida e atua lizada RISSER 1997 VILLELA PETIT 2003 WILLIS 2003 e que cada vez mais utili zada em diferentes dom nios GEANELLOS 2000 WIKLUND LINDHOLM LINDSTROM 2002 LE
14. se a no o de estruturas de Kripke WALLISER 1992 GLASGOW MACEWEN PANAN GADEN 1992 considerando se que os indiv duos percebem diversos mundos poss veis For malmente um modelo uma estrutura 4 S T K1 Kn de Kripke onde 1 S o conjunto dos mundos poss veis 2 a rela o K para o sujeito i uma rela o de equival ncia ou seja reflexiva sim trica e transitiva Diz se que dois mundos s o indistingu veis para o sujeito i se eles pertencem mesma classe de equival ncia em k 3 uma f rmula definida como sendo verdadeira ou falsa mas n o simultaneamente ambos tertium non datur princ pio do terceiro exclu do em um mundo poss vel Escreve se s para indicar que a f rmula verdadeira no mundo s Se for o caso pode se escrever 4 5 para indicar que verdadeira no mundo s sob o modelo 4 4 para cada mundo s S e para cada f rmula primitiva D 7 atribui um valor de verdade af em s ou seja 2 s E verdadeiro falso 206 As condi es mediante as quais uma f rmula assume o valor de verdade verdadeiro s o as seguintes sendo e y f rmulas l para todas as E L s sse se e somente se 2 s Q verdadeiro 2sEOAWssesEgesEY 3 5 7 sse n o s E 4 s Ki sse para todo s tal que s s E K s F Uma f rmula dita valida em M denotado por M p se ela verdadeira em todos os mundos s
15. sumido pelos processos de comunica o organizacional frente aos demais processos presentes no ambiente analisado A Ci ncia da Informa o por sua vez ao ressaltar seu pr prio car ter transdisciplinar e o seu relacionamento com a comunica o a informa o um fen meno e a comunica o o processo de transfer ncia ou compartilhamento deste fen meno SARACE VIC 1999 analisa os aspectos da comunica o organizacional ora pela ptica da teoria geral dos sistemas BATES 1999 CHURCHMAN 1972 ora pela ptica dos processos cognitivos 110 envolvidos na gera o e na externaliza o desta comunica o LIMA 2003 Do ponto de vista da Psicologia v rias abordagens aos processos da comunica o t m sido apresentadas em particular da comunica o em ambientes organizacionais sempre afastando se do reducionismo materialista que caracterizou tais abordagens no decorrer do s culo passado especialmente em sua primeira metade PASQUALI 2003 Cumpre observar que as classifi ca es apresentadas pela Psicologia quanto aos aspectos comportamentais do indiv duo em especial quanto queles manifestos em sua vida em sociedade e no mbito organizacional evo luiram da mera an lise da intensidade dos processos neurais tais como a excita o e a inibi o na teoria de Pavlov para conceitos mais elaborados baseados na resposta a est mulos vindos do meio buscando identificar a estrutura da personalidade presente n
16. 1 Fev 2004 Tamb m muito relevante discuss o acerca dos fundamentos epistemol gicos da ci ncia da informa o e da intera o entre filosofia e informa o o n mero especial de um outro pe riddico Library Trends LIS and philosophy v 52 n 3 2004 a incid ncia de artigos e particularmente de n meros especiais de peri dicos de primeira linha acerca destes temas mostra a sua efervesc ncia Deste ltimo peri dico dois artigos merecem considera o espe cial para a discuss o tratada neste cap tulo No primeiro deles Cornelius 2004 questiona os argumentos de Floridi 2002a tanto acerca de que a ci ncia da informa o seja filosofia da informa o aplicada quanto o conceito de filosofia da informa o apresentado por Floridi que Cornelius considera inocente acerca do car ter social cumprido pela ci ncia da informa o e dissociada dos aspectos pr ticos da rea No segundo artigo Floridi 2004a reafirma suas asser es alegando que os aspectos pr ticos da ci ncia da informa o n o prescindem de uma 32 embasada fundamenta o te rica ao mesmo tempo em que a avalia o dos conceitos acerca da informa o em moldes filos ficos n o exclui a aplica o de m todos e metodologias em es tudos informacionais Particularmente Floridi considera tediosa a discuss o sobre o que a informa o por n o haver uma maneira simples de resolv la preferindo considerar a quest o o
17. 1997 oferece diversas reco menda es para os respons veis pela gest o da seguran a da informa o cujas linhas mestras devem ser delineadas em um documento da pol tica de seguran a da informa o que dever conter pelo menos as seguintes orienta es ABNT 2002 defini o de seguran a da informa o resumo das metas a serem atingidas e escopo a abranger e declara o do comprometimento da alta dire o e breve explana o das pol ticas princ pios padr es e requisitos de conformidade tais como as relativas legisla o e educa o dos usu rios e defini o das responsabilidades gerais e espec ficas da gest o da seguran a incluindo o registro de incidentes e e refer ncias documenta o de apoio pol tica Ainda segundo a norma NBR 17799 a disposi o das pol ticas deve ser distribu da nas seguintes reas ABNT 2002 1 seguran a organizacional 2 classifica o e controle dos ativos da informa o 3 seguran a dos recursos humanos 4 seguran a f sica e do ambiente 5 gerenciamento das opera es de processamento da informa o e de comunica es 6 controle de acesso informa o 7 desenvolvimento e manuten o de sistemas de informa o 8 gest o da continuidade do neg cio e 9 conformidade legal Torna se patente a interdisciplinaridade exigida na formula o apresenta o implementa o e acompanhamento das pol ticas 105 No Brasi
18. 1999 158 KREMER S RASKIN J F A game based verification of non repudiation and fair exchange protocols Lecture Notes in Computer Science v 2154 p 551 767 Aug 2001 KREMER S RASKIN J F Game analysis of abuse free contract signing In Proceedings of the 15th IEEE Computer Security Foundations Workshop Oakland California IEEE 2002 p 206 220 KRUTZ R L VINES R D The CISSP Prep Guide Gold edition New York John Wiley amp Sons 2002 KWAK Y H LAPLACE K S Examining risk tolerance in project driven organization Technovation v 25 n 6 p 691 695 June 2005 KWOK S et al SDMI based rights management systems Decision Support Systems v 38 n 1 p 33 46 Oct 2004 LAMARCHE F Games semantics for full propositional logic In Proceedings of the 10th Annual Symposium on Logic in Computer Science Oakland California IEEE 1995 p 467 476 LAMBRINOUDAKIS C et al Security requirements for e government services a methodological approach for developing a common PKI based security policy Computer Communications v 26 n 16 p 1873 1883 Oct 2003 LEE A S Thinking about social theory and philosophy for information systems In MINGERS J WILLCOCKS L Eds Social theory and philosophy for informa tion systems Chichester UK John Willey amp Sons 2004 p 1 26 Dispon vel em lt http media wiley com product_data excerpt 7 1 047085 1 1 0470851171 1 pdf gt Acesso em
19. 2003b a governan a global DIXON DOGAN 2003a e as pr ticas de gest o e administra o DIXON DOGAN 2003c Do ponto de vista pr tico assiste se atualmente ado o de diferentes modelos para a confec o de pol ticas de informa o com exemplos de extremos merecedores de destaque o caso coreano onde o aparato do estado determina as diretrizes a serem seguidas por vezes revelia do mercado FACKLER 2006 e o caso norte americano onde conforme j se disse os modelos de pol ticas s o fortemente influenciados pelas corpora es ELKIN KOREN 2001 Al m da quest o fundamental acerca das pol ticas serem determinadas pelo estado ou pelo mercado face a uma regula o competitiva ou uma mescla contando com a participa o de am 132 bos como tem sido a t nica no caso da Uni o Europ ia DAI 2003 a an lise da depend ncia do caminho se interp e uma vez mais deve se fazer uso das institui es dispon veis como faci litadoras da coordena o e da comunica o essenciais ao processo das pol ticas em uma a o evolucion ria ou deve se promover a quebra dos padr es vigentes implementando se novos procedimentos e buscando se a forma o ou a aflu ncia de novas redes em uma abordagem revolucion ria Tamb m para esta quest o existe uma solu o intermedi ria o que no caso brasileiro pode ser visto neste exato momento no tocante discuss o acerca do padr o de televis o digital a ser
20. Communications of the ACM v 46 n 4 p 41 45 Apr 2003 SANDERS P Phenomenology a new way of viewing organizational research The Academy of Management Review v 7 n 3 p 353 360 July 1982 SANDHU R S et al Role based access control models Computer v 29 n 2 p 38 47 Feb 1996 SANS Email use policy Bethesda Maryland 2002 Disponivel em lt http www sans org resources policies Email_Policy pdf gt Acesso em 12 mai 2003 SANS The Twenty Most Critical Internet Security Vulnerabilities Bethesda Maryland 2004 Disponivel em lt http files sans org top20 pdf gt Acesso em 10 dez 2004 SARACEVIC T Interdisciplinary nature of information science Ci ncia da Informa o v 24 n 1 p 36 40 1995 Dispon vel em lt http www ibict br cionline 240195 24019505 pdf gt Acesso em 19 ago 2003 SARACEVIC T Information science Journal of the American Society for Information Science v 50 n 12 p 1051 1063 Oct 1999 SASSE M A BROSTOFF S WEIRICH D Transforming the weakest link a human computer interaction approach to usable and effective security BT Technology Journal v 19 n 3 p 122 131 July 2001 SCHABRACQ M J COOPER C L Toward a phenomenological framework for the study of work and organizational stress Human Relations v 51 n 5 p 625 648 May 1998 SCHEIN E Organizational culture and leadership 2 ed San Francisco Jossey Bass 1992 168 S
21. Estas tarefas por sua vez s o desenvolvidas em tr s diferentes fases e elabora o de perfis de amea as baseados em ativos onde os membros da organiza o apresentam sua perspectiva sobre quais ativos s o importantes sob a aspecto da seguran a e que o est sendo feito para preserv los e identifica o da infraestrutura de vulnerabilidades onde o time de analistas de seguran a identifica sistemas de informa o essenciais e os componentes relacionados a cada ativo que s o ent o analisados do ponto de vista das vulnerabilidades relacionadas e e desenvolvimento de planos e estrat gias de seguran a onde se decide o que deve ser feito a respeito dos ativos cr ticos Cria se uma estrat gia de prote o para a organiza o e planos voltados aos riscos dos ativos considerados priorit rios 85 Entre os planos elaborados na terceira fase est o o plano de recupera o de desastres e o plano de continuidade de neg cios que s o componentes de virtualmente todas as metodologias de an lise de riscos 5 6 Plano de recupera o de desastres O plano de recupera o de desastres o documento usado para apoiar uma organiza o na recupera o de suas atividades de neg cio em caso de sua interrup o Alguns dos tipos de desastres previstos s o HAWKINS YEN CHOU 2000b MIORA 2002b 1 desastres naturais como terremotos tempestades inc ndios mal funcionamento de software mal funcionamento
22. HIPAA Health Insurance Portability and Accountability Act p 88 UE Uni o Burop ia suga pata ado ANSA SD OP SR OS OES p 90 CPB C digo Penal Brasileiro ss ses ends pe dE PE E REE ee BOS p 94 ICP Brasil Infra Estrutura de Chaves P blicas Brasileira p 96 CONARQ Conselho Nacional de Arquivos 0000 p 96 SINAR Sistema Nacional de Arquivos 0200 ee eee p 96 SBIN Sistema Brasileiro de Intelig ncia cccccccccclcc p 96 ITSEC Information Technology for Security Evaluation Criteria p 97 ITGI Information Technology Governance Institute p 98 COBIT Control Objectives for Information and related Technology p 98 CC Common Criteria Deh ote ated ge tah sue eae oe ee p 99 CMM Capability Maturity Model 0 2 0 2 000 p 195 16 1 Introdu o O uso cada vez mais amplo e disseminado de sistemas informatizados para a realiza o das mais diversas atividades com a integra o destes sistemas e de suas bases de dados por meio de redes um fato determinante da Sociedade da Informa o Contudo este universo de conte dos e continentes digitais est sujeito a v rias formas de amea as f sicas ou virtuais que comprometem seriamente a seguran a das pessoas e das informa es a elas atinentes bem como das transa es que envolvem o complexo usu rio sistema informa o A tecnologia da informa o c
23. THORNTON WHITE 1999 at os siste mas de informa o sendo vista na obra de diversos autores Particularmente suas discuss es sobre a linguagem e a comunica o levaram formula o de conceitos fundamentais tais como MINGERS 2001b e a cogni o e o pensamento n o s o fun es mentais isoladas fazem isto sim parte das atividades do dia a dia tornando se essenciais ao ser no mundo e o conhecimento n o consiste de representa es de entidades objetivas independentes for madas nas mentes dos indiv duos ao inv s disso cada indiv duo realiza distin es pelo uso da linguagem no curso de suas intera es com outros indiv duos numa estrutura o e reestrutura o cont nuas do mundo e a comunica o trocada em tais intera es baseia se na tradi o e nas experi ncias pregres sas num complexo hist rico dos agrupamentos estruturais formulados pelos indiv duos e a linguagem a mais importante dimens o das a es do homem mas ela deve ser vista como uma a o social por meio da qual o homem coordena suas atividades mais que meramente como um ve culo representativo e denotacional A influ ncia de Heidegger ainda maior ao se tratar sobre os estudos hermen uticos do comportamento conforme se ver mais adiante na se o 3 4 3 2 3 Merleau Ponty Maurice Merleau Ponty 1908 1961 tem como uma de suas principais obras Fenomeno logia da Percep o MERLEAU PONTY 1971 em
24. TIROLE 2001 com aten o especial voltada s estruturas de monitoramento e controle externo e interno respons veis pela execu o deste con trato SCHMIDT SPINDLER 2002 H diversos estudos dedicados aos diferentes tipos de governan a encontrados tais como o de Weimer e Pape 1999 que analisa os estilos carac terizados como anglo sax o germ nico latino e japon s ou o de Ryan 2005 que analisa a tica nos neg cios e a gest o corporativa nos tr s pa ses da Am rica do Norte ou o de Alves e Mendes 2004 realizado em Portugal reconhecida a necessidade de maiores fundamentos te ricos para analisar se adequada mente as ferramentas e modalidades de gest o corporativa citando se como exemplo o trabalho de Turnbul 2002 que sugere a aplica o da TBA Transaction Byte Analysis uma t cnica baseada na teoria da informa o de Shannon vista na Se o 2 2 2 para a metrifica o do fluxo da informa o entre os diferentes atores no processo de governan a corporativa O trabalho de Ayogu 2001 p 309 acerca da governan a corporativa na frica introduz uma observa o fundamental Do ponto de vista pr tico o problema da governan a corporativa est relaci onado ao delineamento de institui es que orientam o corpo de gerentes em suas a es de modo tal a levar em considera o o bem estar dos stakeholders investidores empregados comunidades fornecedores e clientes Deste modo a governan
25. WILSON T D Philosophical foundations and research relevance issues for information research Journal of Information Science v 29 n 6 p 445 452 Dec 2003 WILSON T P Conceptions of interaction and forms of sociological explanation American Sociological Review v 35 n 4 p 697 710 Aug 1970 WOOD C C An unnapreciated reason why information security policies fail Computer Fraud amp Security v 2000 n 10 p 13 14 Oct 2000 WOOD C C Don t let the role of information security policies in the Arthur Andersen Enron case go without mention to your Chief Executive Officer Computer Fraud amp Security v 2002 n 5 p 11 13 May 2002 WOOD C C Information Security Policies Made Easy Version 9 Boston Baseline Software Press 2002 175 WOOD C C Why information security is now multi disciplinary multi departmental and multi organizational in nature Computer Fraud amp Security v 2004 n 1 p 16 17 Jan 2004 WOOD C C PARKER D B Why ROI and similar financial tools are not advisable for evaluating the merits of security projects Computer Fraud amp Security v 2004 n 5 p 8 10 May 2004 XENITELLIS S D Identifying security vulnerabilities through input flow tracing and analysis Information Management amp Computer Security v 11 n 4 p 195 199 2003 YANG J QIU W A measure of risk and a decision making model based on expected utility and entropy European Journal
26. dos digitais Diversas propostas t m surgido com o objetivo de aumentar a efici ncia e acelerar o processamento dos algoritmos criptogr ficos KO et al 2005 DMCA Aprovada pelo Congresso dos Estados Unidos em outubro de 1998 a lei Digital Millen nium Copyright Act DMCA voltada prote o do trabalho intelectual GIBBS 2000 trouxe grande impacto sobre as atividades de muitos usu rios da internet Ela diz em sua se o 1201 que Nenhuma pessoa poder ludibriar uma medida tecnol gica que controle efetivamente o acesso a um trabalho protegido por esta lei CLARK 2002 Deste modo previne se a quebra de algoritmos de criptografia recurso muito utilizado por marginais mas tamb m muito co mum na comunidade de usu rios da rede mundial Como exemplo j foram enquadrados sob a DMCA usu rios do algoritmo conhecido como DeCSS decrypt Content Scrambling System que permitiu a leitura de DVDs em sistemas abertos como o Linux dos tr s autores do algoritmo original postado anonimamente em uma lista na internet dois permanecem no anonimato e o jovem programador Shawn Fanning criador do Napster programa muito utilizado para a dis tribui o gratuita de arquivos musicais pela rede mas que hoje encontra se subordinado a uma alian a entre as gravadoras provendo servi os pagos 90 SDMI A Secure Digital Music Initiative SDMI foi proposta em apoio DRM para o distribui o de m sicas pela internet KWOK et
27. e ao combate exclus o digital OCDE 2001c bem como um mapa do uso de TI nos pa ses membros da entidade e no mundo OCDE 2002c Destaque especial merece um relat rio descritivo sobre a utiliza o do conhecimento para o desenvolvimento no Brasil OCDE 2001d ressaltando a influente posi o competitiva do pa s no continente e delineando uma s rie de sugest es para o incremento da economia nacional O organismo produziu para seus pa ses membros um guia de recomenda es voltadas orienta o dos participantes em transa es de dados com vistas cria o de uma cultura de seguran a em sistemas e redes de informa o Estas recomenda es baseiam se em nove prin c pios OCDE 1996 1 aten o os participantes devem estar alerta quanto necessidade de seguran a em siste mas e redes de informa o e quanto ao que eles participantes podem fazer para aumen tar a seguran a 95 2 responsabilidade todos os participantes s o respons veis pela seguran a dos sistemas e redes de informa es 3 participa o os participantes devem agir de uma maneira oportuna e cooperativa de modo a prevenir detectar e responder a incidentes de seguran a 4 tica os participantes devem respeitar os interesses leg timos de outros participantes 5 democracia a seguran a dos sistemas e redes de informa o devem ser compat veis com os valores essenciais de uma sociedade democr tica 6 an lis
28. m ocorrer varia o na escala de prefer n cias indicando metade dos itens em termos favor veis e metade em termos desfavor veis para evitar erros de resposta estereotipada 8 Crit rio da modalidade evita se a formula o de itens com linguagem extremada sem o 39 66 uso de express es como o melhor o pior e cong neres 9 Crit rio da tipicidade as frases s o formuladas com express es condizentes com o atri buto 10 Crit rio da credibilidade os itens n o devem ser formulados de modo a parecerem rid culos despropositados ou infantis 11 Crit rio da amplitude o conjunto de itens procura cobrir toda a magnitude do construto pesquisado procurando identificar e discriminar entre os sujeitos que possuem diferentes tra os de comportamento com rela o ao construto 12 Crit rio do equil brio procura se elaborar itens f ceis m dios e dif ceis cobrindo de modo proporcional todos os segmentos do cont nuo Quanto quantidade de itens prop e se a elabora o de um n mero igual a 20 seguindo a regra do bom senso expressa por Pasquali 1999 p 51 o que resulta em um item para cada uma das atividades listadas anteriormente O instrumento constru do est no Ap ndice B 195 AP NDICE B Instrumento de captura da percep o da seguran a da informa o Caro a leitor a O question rio seguinte componente de uma pesquisa feita em uma tese de doutorado voltad
29. n 9 p 697 720 Sept 2003 KAHNEMAN D TVERSKY A The psychology of preferences Scientific American v 246 n 1 p 136 142 Jan 1982 157 KAPLAN M CUCITI P Telecommunications in Brazil Restructuring and privatization Journal of Project Finance v 4 n 1 p 7 27 Spring 1998 KARABACAK B SOGUKPINAR I ISRAM information security risk analysis method Computers amp Security v 24 n 2 p 147 159 Mar 2005 KARLSSON I CHRISTIANSON S A The phenomenology of traumatic experiences in police work Policing An International Journal of Police Strategies amp Management v 26 n 3 p 419 438 Sept 2003 KAROLY P Mechanisms of self regulation a systems view Annual Review of Psychology v 44 p 23 52 1993 KAY A A critique of the use of path dependency in policy studies Public Administration v 83 n 3 p 553 571 Aug 2005 KEAST R et al Network structures Working differently and changing expectations Public Administration Review v 64 n 3 p 363 371 May June 2004 KIM J Phenomenology of digital being Human Studies v 24 n 1 2 p 87 111 Mar 2001 KING G Best security practices an overview In Proccedings of the 23rd National Informa tion Systems Security Conference NIST National Institute of Standards and Technology 2000 Disponivel em lt http csrc nist gov nissc 2000 proceedings papers 022 pdf gt Acesso em 18 jul 2003 KLEIN H K Seeking the new a
30. ncia de acur cia observada na obten o destes dados e a complexidade envolvida na gest o da seguran a dos ativos de informa o levam apresenta o de um sem n mero de propostas de modelos para o seu tratamento Estes modelos variam desde a identifica o in loco de ativos amea as e vulnerabilidades FARN LIN FUNG 2004 passando pela mensura o do risco com o uso de m todos quantitativos baseados em surveys direcionados a organiza es KARABACAK SOGUKPINAR 2005 indo at a defini o de metodologias completas de mensura o e tratamento de riscos ALBERTS DOROFEE 2002 sua an lise sob um enfoque transdisciplinar HORLICK JONES SIME 2004 e a proposta de regulamenta o da an lise e tratamento de riscos informa o em setores espec ficos como a informa o m dica AL BERTS DOROFEE 2004 Todas estas iniciativas contudo esbarram em um problema essencial seria a percep o do risco a mesma entre os especialistas em seguran a entre os gestores da informa o e entre os usu rios da informa o em tais contextos informacionais Stewart 2004 alerta para esta quest o enquanto Jasanoff 1998 suscita um problema correlato seria o risco percebido de fato compat vel com o risco real Al m disso o pr prio uso da tecnologia de controle de riscos imp e o surgimento de novos riscos antes ausentes alimentando um ciclo aparentemente infind vel CIBORRA 2004 A resposta a estas perguntas pass
31. o adequada do ponto de vista do usu rio dos principais conceitos envolvidos onto logia enquanto o problema da efici ncia foi enquadrado sob a tica da formula o de pol ticas atualmente a principal alternativa estrat gica para o tratamento dos problemas da seguran a da informa o vista sob a gide do interacionismo simb lico 27 3 Fundamentos epistemol gicos fenomenologia e hermen utica OMO CI NCIA multidisciplinar a ci ncia da informa o permeia diversas reas sendo por elas influenciada e ainda carecendo de s lidos fundamentos episte mol gicos A an lise dos problemas relacionados ao ciclo da informa o feita de modo multifacetado e fragmentado com o uso de diversos m todos e meto dologias que muitas vezes falham ao se reportar sua base epistemol gica e que ilustram uma depend ncia intr nseca mesmo que involunt ria quanto s prefer ncias pessoais ou coletivas dos autores prefer ncias estas que nem sempre s o claramente expostas A fim de elucidar o campo epistemol gico com o qual lida a ci ncia da informa o e para justificar a escolha feita na confec o deste trabalho apresentam se a seguir algumas das abordagens apontadas na literatura 3 1 Abordagens epistemol gicas ci ncia da informa o Uma edi o especial do Journal of Documentation v 61 n 1 2005 intitulada LIS and the philosophy of science traz diversos artigos acerca das diferentes abordagens pelas q
32. o de comportamentos coletivos entre usu rios de sistemas de informa o em redes ponto a ponto SERJANTOV ANDERSON 2004 necess rio acrescentar que estes modelos n o t m por objetivo eliminar totalmente even tuais vulnerabilidades nos protocolos ou nos sistemas que os utilizam mas sim visam a minor las uma vez que detectar todos os fluxos e pontos de acesso ou processamento inseguros em um sistema e somente estes um problema indecid vel DENNING 1982 apud MCLEAN 1988 ou seja n o existe um algoritmo de complexidade temporal finita capaz de dizer se um determinado sistema computacional que fa a uso de tais protocolos est totalmente isento de vulnerabilidades Em outras palavras do ponto de vista da seguran a todo sistema intrinsica mente vulner vel De maneira geral tem ocorrido uma integra o entre a formaliza o do desenvolvimento de software e a formaliza o da seguran a com base em seus requisitos particularmente os aspectos de confidencialidade integridade e disponibilidade al m da autentica o de usu rios HAMMONDS et al 1995 e a verifica o de componentes n o mut veis do sistema BOSSI et al 2004 De modo coerente os m todos existentes para a implementa o de projetos de segu ran a da informa o no desenvolvimento de sistemas acompanham pari passu as ferramentas de desenvolvimento de sistemas BASKERVILLE 1993 mesmo as mais modernas SIPONEN 2005 o que n o impede a
33. os seguintes objetivos GUAN et al 2003 e identificar o valor e analisar eventuais fraquezas dos ativos de informa o e permitir que a ger ncia tome decis es fundamentadas sobre a gest o do risco eventual mente justificando despesas alocadas a este fim e e incrementar a informa o organizacional sobre os sistemas de tecnologia da informa o a fim de melhorar sua seguran a A avalia o de riscos compreende nove passos a saber GUAN et al 2003 1 caracteriza o do sistema 2 identifica o de amea as 3 identifica o de vulnerabilidades 4 an lise dos controles utilizados 5 determina o da probabilidade dos eventos listados nos passos anteriores 6 an lise de impacto 7 determina o dos riscos 8 recomenda o de controles a utilizar e 9 documenta o dos resultados Guan et al 2003 ressaltam ainda que caso haja registros hist ricos consistentes e dados estat sticos plaus veis pode se utilizar uma das seguintes f rmulas para a determina o do valor do risco custo das perdas R WxXxV 4 1 C W 3 R Mod 4 2 onde R o valor do risco W a probabilidade ou verossimilhan a da ocorr ncia de ataques C o custo total do ativo e V a vulnerabilidade a que est sujeito o ativo Na aus ncia de dados 53 hist ricos usual que se estime os valores de W e V com base em dados externos tais como seguradoras ou organiza es de mesmo porte ou segmento A aus
34. tica de seguran a fosse endere ada ao p blico reconhecendo o como participante essencial em sua implementa o Na Europa modelos completos de plataformas para o provimento de servi os eletr nicos por meio do governo t m sido apresentados sendo o mais completo o denominado SAGA Standards and Architectures for e Government Applications SAGA 2004 onde a seguran a assume papel preponderante sendo sugeridas diversas ferramentas Entretanto sendo uma pla taforma tecnol gica o papel do usu rio e o modelo de neg cios bem como a pol tica governa mental adotada n o s o contemplados 72 4 6 5 Direitos autorais A troca maci a de informa es por meio de redes onde uma vez mais a internet assume papel de amplo destaque levou a situa es onde obras de arte tais como m sicas e filmes trafe gam livremente em muitos casos revelia de seus autores ou dos detentores de direitos autorais sobre tais pe as Embora a legisla o varie grandemente entre os pa ses a China por exem plo somente reconheceu o estatuto da propriedade privada no ano de 2004 dois direitos tidos como morais s o via de regra reconhecidos a autoria ou paternidade que garante ao autor ser reconhecido como tal e a integridade que previne modifica es em detrimento honra ou reputa o do autor Ambos s o seriamente amea ados no contexto da internet FERN NDEZ MOLINA PEIS 2001 Some se a isto a quest o da autoria de t
35. tica que leva em muitos casos ado o obrigat ria de mecanismos de identidade eletr nica como a certifica o digital procura de modalidades Pode se comparar esta situa o s bita falta de um insumo comum na linha de produ o de um determinado bem como a aus ncia de carv o numa usina sider rgica 48 seguras de autentica o de usu rios A este respeito a charge ilustrada pela Figura 5 par ticularmente esclarecedora Cumpre observar ainda que um usu rio pode se surpreender ao realizar uma pesquisa em um dos v rios s tios de busca na web sejam os de pesquisa textual como o Google 2 o Altavista 2 ou o Yahoo sejam os de pesquisa contextualizada como o Kartoo gt ou o Mooter usando como argumento de pesquisa o seu pr prio nome ou os nomes de pessoas conhecidas On the Internet nobody knows you re a dog Figura 5 Desindividualiza o na web Fonte Steiner 1993 Como exemplo de an lise de amea as seguran a da informa o em ambientes computa cionais cite se o estudo realizado em 2002 por Whitman 2003 o qual procurou responder a tr s quest es primordiais 1 quais s o as amea as seguran a da informa o 2 quais s o as mais danosas ao ambiente organizacional 3 qual a freqii ncia com que eventos baseados nelas s o observados www google com www altavista com www yahoo com www kartoo com www mooter com nun FF WN 49 Em resposta prim
36. verdade e falsidade e os conectivos l gicos nega o A conjun o V disjun o e implica o 3 0s operadores modais K conhecimento para todos os indiv duos e 4 0s operadores temporais YLI sempre VS eventualmente e 4 as vezes O conjunto de f rmulas bem formadas da linguagem o menor conjunto W tal que 2em Glasgow MacEwen e Panangaden 1992 eventually 3em Glasgow MacEwen e Panangaden 1992 sometimes 208 1 toda letra proposicional em X assim como T e L est o em W 2 se de y EW ent o Ay o V Y d We 4 tamb m E W e 3 se W ent o K para todos os indiv duos i v VOA e IS4 tamb m E W A sem ntica desta l gica temporal do conhecimento a seguinte 1 s E VU sse para todos s s R s E 6 2 s VO sse para todo r se r i s ent o existe s e um inteiro n o negativo j tal que s rli jles E 6 3 8 IO sse para algum s 5 E R s E 6 Aos axiomas e regras da l gica do conhecimento acrescentam se ainda os seguintes axio mas lembrando que 196 v 1 Axioma T1 6 gt VO6 2 Axioma T2 VO gt y gt VOp gt VOy 3 Axioma T3 Vdo VUVU9 As regras de infer ncia para a l gica temporal do conhecimento incluem a regra C 1 modus ponens e a seguinte regra de generaliza o
37. 16 n 1 p 37 49 Jan 2002 FLORIDI L What is the philosophy of information Metaphilosophy v 33 n 1 2 p 123 145 Jan 2002 FLORIDI L Two approaches to the philosophy of information Minds and Machines v 13 n 4 p 459 469 Nov 2003 FLORIDI L What is the philosophy of information In The Blackwell Guide to the Philosophy of Computing and Information Oxford Blackwell 2003 Disponivel em lt http www wolfson ox ac uk floridi blackwell chapters introduction pdf gt Acesso em 23 jun 2005 FLORIDI L LIS as applied philosophy of information a reappraisal Library Trends v 52 n 3 p 658 665 Winter 2004 FLORIDI L Open problems on the philosophy of information Metaphilosophy v 35 n 4 p 554 582 July 2004 FOLEY S N Building chinese walls in standard unix Computers amp Security v 16 n 6 p 551 563 1997 FOLTZ C B CRONAN T P JONES T W Have you met your organization s computer usage policy Industrial Management amp Data Systems v 105 n 2 p 137 146 2005 FONTANA G GERRARD B A post keynesian theory of decision making under uncertainty Journal of Economic Psychology v 25 n 5 p 619 637 Oct 2004 FORD W Standardizing information technology security StandardView ACM v 2 n 2 p 64 71 1994 Dispon vel em lt http doi acm org 10 1145 202949 202951 gt Acesso em 2 ago 2004 FRAGATA J A fenomenologia de Husserl como fundamento da
38. 2 p 229 239 Mar Apr 1993 WHITE J D Phenomenology and organization development Public Administration Quarterly v 14 n 1 p 76 85 Spring 1990 WHITMAN M E Enemy at the gate threats to information security Communications of the ACM v 46 n 8 p 91 95 Aug 2003 WIKGREN M Critical realism as a philosophy and social theory in information science Journal of Documentation v 61 n 1 p 11 22 2005 WIKLUND L LINDHOLM L LINDSTROM U A Hermeneutics and narration a way to deal with qualitative data Nursing Inquiry v 9 n 2 p 114 125 June 2002 WILLIAMS P Information security governance Information security technical report v 6 n 3 p 60 70 Nov 2001 WILLIS C E The phenomenology of pornography a comment on Catharine MacKinnon s Only Words Law and Phylosophy v 16 n 2 p 177 199 Jan 2003 WILSON C A Policy regimes and policy change Journal of Public Policy v 20 n 3 p 247 274 Dec 2000 WILSON P Technical challenges faced when companies merge Network Security v 2004 n 5 p 5 7 May 2004 WILSON T Exploring models of information behaviour the uncertainty project Information Processing and Management v 35 n 6 p 839 849 Nov 1999 WILSON T D Alfred Schutz phenomenology and research metho dology for information behaviour research 2002 Disponivel em lt http informationr net tdw publ papers schutz02 html gt Acesso em 24 maio 2005
39. Al m disso fatores situacionais e ambientais como a localiza o a temperatura e a ilumina o tamb m influenciam na aten o que se dedica ao objeto Esquematicamente a Figura 12 representa os fatores que influenciam a percep o Deste modo o contexto caracterizado pelas dimens es espa o temporal e pragm tica ou seja pelo arcabou o de acontecimentos que se observam durante o fen meno que percebido O passo seguinte percep o a tomada de decis es por parte dos indiv duos No tocante seguran a da informa o estas s o quest es extremamente pertinentes antes que se incorra nos gastos da ado o de pol ticas de seguran a conv m avaliar se os usu rios estariam propensos a segui las At que ponto as pessoas est o dispostas a trocar a comodidade com a qual usual mente utilizam os seus sistemas de informa o pelo desconforto causado pela implementa o de medidas de seguran a Qual o grau de aceita o em trocar o comportamento corriqueiro por obedi ncia ou subservi ncia a normas e padr es e mesmo sujeitar se a invas o de priva cidade vide as iniciativas que se seguiram ao 11 de setembro em contextos organizacionais e pol tico sociais A mera alega o do aumento da seguran a suficiente para obter a aceita o dos usu rios e cidad os ou deve se acrescentar demonstra es concretas de progressos tang veis a fim de assegurar se a coopera o Qual o n vel exigido de comprome
40. BRASIL Lei n 9 610 de 19 de fevereiro de 1 998 Bras lia 1998 Dispon vel em lt https www planalto gov br ccivil 03 Leis L9610 htm gt Acesso em 10 jan 2005 BRASIL Lei n 9 883 de 7 de dezembro de 1999 Bras lia 1999 Dispon vel em lt https www planalto gov br ccivil 03 Leis L9883 htm gt Acesso em 10 jan 2005 BRASIL Decreto n 3 505 de 13 de junho de 2 000 Bras lia 2000 Dispon vel em lt https www planalto gov br ccivil 03 decreto D3505 htm gt Acesso em 10 jan 2005 144 BRASIL Decreto n 3 587 de 5 de setembro de 2 000 Brasilia 2000 Disponivel em lt https www planalto gov br ccivil_03 decreto D3587 htm gt Acesso em 10 jan 2005 BRASIL Lei n 9 983 de 14 de julho de 2 000 Brasilia 2000 Disponivel em lt https www planalto gov br ccivil_03 Leis L9983 htm gt Acesso em 10 jan 2005 BRASIL Decreto n 3 872 de 18 de julho de 2 001 Brasilia 2001 Disponivel em lt https www planalto gov br ccivil_03 decreto 2001 D3872 htm gt Acesso em 10 jan 2005 BRASIL Decreto n 3 996 de 31 de outubro de 2 001 Brasilia 2001 Disponivel em lt https www planalto gov br ccivil_03 decreto 2001 D3996 htm gt Acesso em 10 jan 2005 BRASIL Medida Provis ria n 2 200 de 24 de agosto de 2 001 Bras lia 2001 Dispon vel em lt https www planalto gov br ccivil_03 MPV 2200 2 htm gt Acesso em 10 jan 2005 BRASIL C digo Civil Lei n 10 406 de 10 de janeiro de 2
41. Digito senhas para consulta a sistemas e correio eletr nico em computadores bastando que estejam minha disposi o Sempre L Frequentemente E s vezes L Raramente E Nunca L 18 Verifico as condi es de temperatura e umidade s quais est o expostos computadores e perif ricos Sempre E Freq entemente L s vezes E Raramente LI Nunca L 19 Procuro conhecer as normas da institui o a respeito do uso de computadores e sistemas computacionais Sempre El Freq entemente E s vezes L Raramente L Nunca L 20 Eu me atualizo sobre a exist ncia de v rus cavalos de tr ia programas que se instalam em computadores e aparentam atividades distintas daquelas danosas que realmente realizam e outras formas de programas e c digos maliciosos Sempre L Freq entemente E s vezes El Raramente LI Nunca Por gentileza forne a agora alguns dados para aumentar ainda mais a utilidade deste ques tion rio Estes dados n o ser o utilizados para a identifica o de qualquer respondente 198 21 Voc Homem _____ Mulher 22 Sua idade anos 23 Voc trabalha nesta institui o _____Ha menos de um ano Um ano ou mais mas menos que cinco anos _____Cinco anos ou mais mas menos que dez anos _____ Ha dez anos ou mais 24 Seu grau de instru o N vel fundamental incompleto N vel fundamental completo N vel m dio incompleto N vel m dio completo N vel superior incomplet
42. Eds Understanding Contemporary Society theories of the present New York Sage Publications 2000 BRUZINA R Phenomenology and cognitive science moving beyond the paradigms Husserl Studies v 20 n 1 p 43 88 Jan 2004 BUDD J M Phenomenology and information studies Journal of Documentation v 61 n 1 p 44 59 2005 145 BURKITT I Psychology in the field of being Merleau Ponty Ontology and social constructionism Theory amp Psychology v 13 n 3 p 319 338 Jan 2003 BUSENBERG G J Learning in organizations and public policy Journal of Public Policy v 21 n 2 p 173 189 May 2001 CAIRNS D Phenomenology and present day psychology Phenomenology and the Cognitive Sciences v 1 n 1 p 69 77 2002 CAMPBELL K et al The economic cost of publicly announced information security breaches empirical evidence from the stock market Journal of Computer Security v 11 n 3 p 431 448 2003 CAPURRO R Heidegger y la experiencia del lenguaje 1982 Disponivel em lt http www capurro de boss htm gt Acesso em 24 maio 2005 CAPURRO R Hermeneutics and the phenomenon of information 2000 Disponivel em lt http www capurro de ny86 htm gt Acesso em 24 maio 2005 CARLSSON L Policy networks as collective action Policy Studies Journal v 28 n 3 p 502 520 Aug 2000 CARR R TYNAN M DAVIS R Quality and security they work together IEEE Aerospace and Electronic Systems Magazi
43. F GRAY J W The epistemic representation of information flow security in probabilistic systems In Proceedings of the 8 IEEE Computer Security Foundations Workshop Oakland California IEEE 1995 p 152 166 TAKAHASHI T Sociedade da Informa o no Brasil Livro verde Bras lia Minist rio da Ci ncia e Tecnologia 2000 TALJA S TUOMINEN K SAVOLAINEN R Isms in information science constructivism collectivism and constructionism Journal of Documentation v 61 n 1 p 79 101 2005 TAMURA H Behavioral models for complex decision analysis European Journal of Operational Research v 166 n 3 p 655 665 Nov 2005 171 TANAKA H MATSUURA K SUDOH O Vulnerability and information security investment An empirical analysis of e local government in Japan Journal of Accounting and Public Policy v 24 n 1 p 37 59 Jan Feb 2005 TASSEY G Policy issues for R amp D investment in a knowledge based economy Journal of Technology Transfer v 29 n 2 p 29 38 Apr 2004 TAYLOR C To follow a rule In CALHOUN C LIPUMA E POSTONE M Eds Bourdieu Critical perspectives Chicago Chicago University 1993 p 150 165 TELEFONICA Sociedade da Informa o no Brasil Presente e perspectivas S o Paulo Grupo Telef nica 2002 Dispon vel em lt http www telefonica es sociedaddelainformacion brasil2002 gt Acesso em 17 fev 2004 THIAGARAJAN V Information Security Managemen
44. ISO IEC International Organization for Standardization International Electrotechni cal COMMISSION ssri ais ue Bias ee SUS op ea es eae es Bes a E p 61 ABNT Associa o Brasileira de Normas T cnicas p 61 NBR Norma Brasileira de Refer ncia 02 0000 p 61 NASA National Aeronautics and Space Administration 0 04 p 64 ORRBAC Object Oriented Role based Access Control 0044 p 65 ONGs Organiza es N o Governamentais 2 020000004 p 68 BID Banco Interamericano de Desenvolvimento p 75 OCDE Organiza o para a Coopera o e Desenvolvimento Econ mico p 76 REC Request for Comment se aca Qu RE DRA GRU OO PAD AA q p 81 GAO General Accounting Office 0 0 00 00 000 p 84 NIST National Institute of Standards and Technology p 85 DoD Department of Defense ss sos pus ease ets oe Ban ke ean ey ed p 85 CERT Computer Emergency Response Team 0 p 85 SANS SysAdmin Audit Network Security Institute p 85 DEM Digital Rights Management sou ar ace ao acs Go a ee ee we ee a p 86 TCPA Trusted Computing Platform Alliance p 86 DMCA Digital Millennium Copyright Act 2 0200 p 87 SDMI Secure Digital Music Initiative 000 p 87 CPRM Content Protection for Recordable Media p 87
45. ITSEC foi um dos primeiros padr es propostos para a interoperabilidade de sistemas computacionais com requisitos de se guran a principalmente criptografia de chaves sim tricas Seu desenvolvimento ocorreu como resultado de um esfor o conjunto dos governos da Fran a Alemanha Reino Unido e Holanda Em meados da d cada de 1980 foi apresentado como um padr o proposto para a aquisi o e o desenvolvimento de sistemas governamentais e comerciais FORD 1994 Nos ltimos tempos tem sido substitu do por outros padr es como COBIT e Common Criteria 5 9 2 COBIT Em 1998 foi criado o Information Technology Governance Institute ITGI organismo baseado nos Estados Unidos com o objetivo de realizar pesquisas e estudos sobre o tema da governan a prote o e seguran a de TI Um dos principais produtos destes estudos o guia conhecido como Control Objectives for Information and related Technology COBIT total 101 mente compat vel com a norma ISO IEC 17799 e cujo p blico alvo s o os gestores de organiza es auditores e respons veis pela seguran a da informa o IT GOVERNANCE INSTITUTE 2005 Os componentes do COBTT s o os seguintes TT GOVERNANCE INSTITUTE 2004a e sum rio executivo o qual detalha os conceitos fundamentais do guia IT GOVERNANCE INSTITUTE 2000b e framework que a base e suporte para os demais componentes organizando o modelo de processos em quatro grandes dom nios IT GOVERNANCE INST
46. NIST e National Secu rity Agency NSA O projeto foi padronizado sob o c digo ISO IEC 15408 Seu objetivo ser usado como base para avalia o de propriedades de seguran a de produtos e sistemas de TI permitindo a compara o entre os resultados de avalia es independentes de seguran a por meio de um conjunto de requisitos padronizados a ser atingidos O processo de avalia o estabelece n veis de confiabilidade de que as fun es avaliadas atingem os requisitos estabelecidos ajudando os usu rios a determinar se tais sistemas ou produtos possuem os n veis desejados de seguran a e se os riscos advindos de seu uso s o toler veis Seu p blico alvo s o os desenvolvedores avaliadores e usu rios de sistemas e produtos de TI que requerem seguran a O padr o est dividido em tr s partes NIAP 2003a e introdu o e modelo geral onde s o definidos os conceitos e princ pios seguidos pelo modelo al m de uma nomenclatura e uma diagrama o baseada na orienta o a objetos espec ficas para a formula o de objetivos de seguran a para selecionar e definir seus requisitos e para especifica es alto n vel de produtos e sistemas e requisitos funcionais de seguran a estabelecendo um conjunto de elementos funcionais para a padroniza o dos requisitos divididos em classes como gest o de seguran a pri vacidade e comunica o fam lias como fun es e mensagens e componentes como as bibliotecas de def
47. PARSONS 2001 p 189 Uma vis o da diferencia o entre comunidades e redes mostrada na Tabela 8 Crit rio Comunidades Redes Intera o entre os participantes Integra o ao processo de im plementa o das pol ticas Abrang ncia dos temas de interesse Participa o do estado Alta Alta Baixa Estado dependente de grupos para a implementa o das pol ticas Os grupos de interesse t m recursos im portantes para trocar Baixa Baixa Alta reas menos importantes para o estado de alta con trov rsia pol tica ou reas nas quais os interesses ainda n o foram institucionalizados Tabela 8 Comunidades e Redes pol ticas Adaptada de Parsons 2001 pg 190 e Blom Hansen 1997 p 671 Um outro conceito relacionado s redes e s comunidades o das coalis es de advocacia onde o processo de estabelecimento da agenda pol tica dominado pelas opini es de uma elite orientada por suas cren as e prefer ncias e exercendo amplamente seu poder de veto enquanto o impacto da opini o p blica no m ximo modesto Em cada subsistema pol tico h uma multitude de coalis es competindo pela influ ncia sobre o processo decis rio SABATIER 1991 p 148 e s quais se op e a estrutura institucional ou organizacional dos rg os p blicos ou entidades privadas de representa o que procuram equilibrar este jogo Exemplo recente e bastante pr ximo desta atua o diz respe
48. S Denota se isto por Uma f rmula dita satisfat vel em 4 se o n o valida em 4 Por sua vez os axiomas definidos na l gica sobre o conhecimento s o os seguintes GLAS GOW MACEWEN PANANGADEN 1992 1 Axioma K1 K y Axioma do conhecimento um indiv duo n o pode conhecer nada que seja falso eis a distin o entre conhecimento e cren a 2 Axioma K2 Ki y Kd K w Axioma do fecho por conseqii ncia um indi v duo conhece todas as coisas que podem ser deduzidas a partir de seus conhecimentos Esta dedu o feita por modus ponens de 6 e E 6 y deduz se y 3 Axioma K3 Kid K K Axioma da introspec o positiva um indiv duo conhece o seu pr prio conhecimento 4 Axioma K4 Ki d Ki K 0 Axioma da introspec o negativa um indiv duo co nhece o seu pr prio desconhecimento A teoria inclui todas as regras de prova da l gica proposicional EPSTEIN 1990 1994 al m de introduzir se a regra do conhecimento de f rmulas v lidas Regra C 1Se v lida ent o KiQ Ou seja se a f rmula v lida verdadeira em todos os mundos poss veis ent o algum indiv duo a conhece 207 C 2 2 Conhecimento e tempo Glasgow MacEwen e Panangaden 1992 apresentam uma l gica temporal para o conheci mento baseada em Ben Ari Manna e Pnueli 1981 na qual o modelo consiste em uma rvore cujos ramos denotam as alternativas temporais a partir d
49. Sarbanes Oxley a huge boon to information security in the US Computers amp Security v 23 n 5 p 353 354 July 2004 SELDEN L On Grounded Theory With some malice Journal of Documentation v 61 n 1 p 114 129 2005 SELKER T Fixing the vote Scientific American v 291 n 4 p 60 67 Oct 2004 SEMOLA M Gest o da seguran a da informa o uma vis o executiva Rio de Janeiro Campus 2003 SERJANTOV A ANDERSON R On dealing with adversaries fairly In 34 Annual Workshop on Economics of Information Security University of Minnesota 2004 Disponivel em lt http www dtc umn edu weis2004 serjantov pdf gt Acesso em 30 jul 2004 SHANNON C E A matemathical theory of communication The Bell System Technical Journal v 27 n 1 p 379 423 623 656 July Oct 1948 Dispon vel em lt http cm bell labs com cm ms what shannonday shannon1948 pdf gt Acesso em 21 maio 2004 SHANNON C E WEAVER W Teoria matem tica da comunica o S o Paulo Difel 1975 SHAO M H HWANG J J WU S A transactional cycle approach to evidence management for dispute resolution Information amp Management v 42 n 4 p 607 618 May 2005 169 SHAPIRO B BAKER C R Information technology and the social construction of information privacy Journal of Accounting and Public Policy v 20 n 4 5 p 295 322 Winter 2001 SHAPIRO C A economia da informa o Como os princ pios econ micos se aplicam
50. Seria a rea menos estudada do Governo Eletr nico Inclui o suporte digital para entre outras atividades a elabora o de pol ticas p blicas a tomada de deci s es o workgroup entre os v rios gestores p blicos de diferentes escal es e o tratamento das decis es p blicas e oriundas de vota es ou referendos Este t pico voltar a ser discutido no Cap tulo 7 A macro estrat gia do governo eletr nico no Brasil foi tra ada no documento A Pol tica de Governo Eletr nico no Brasil PINTO 2001 que pautava o andamento destas iniciativas no governo federal com modifica es introduzidas pela administra o eleita no ano de 2002 Tal estrat gia era componente do programa Sociedade da Informa o no Brasil TAKAHASHI 2000 Associava se a isto a iniciativa de fomento a organiza es voltadas Ci ncia e Tecnolo gia conforme o documento conhecido como Livro Branco MCT 2002 Modelos complementares t m sido apresentados tais como o de Pacheco e Kem 2003 que apresenta uma arquitetura para a implementa o de servi os governamentais na internet Nos Estados Unidos a compreens o de que somente o governo n o capaz de proporcionar seguran a ao espa o virtual ou ciberespa o cyberspace mesmo com a ado o de pesados investimentos tais como a cria o de uma rede nacional de criptografia de chaves p blicas LAMBRINOUDAKIS et al 2003 semelhante aquela em ado o no Brasil fez com que a pol
51. Uma destas abordagens o reducionismo biol gico baseado na pressuposi o de que para cada aspecto sensorial do observador h um correspondente evento fisiol gico De acordo com esta abordagem a ta 181 refa principal do pesquisador da percep o isolar estes mecanismos fisiol gicos subjacentes A busca por unidades neurais espec ficas cuja atividade corresponda a experi ncias sensoriais espec ficas comum a tais teorias Outra abordagem a chamada percep o direta envolve um conjunto de teorias que t m por base a premissa de que toda a informa o necess ria para a forma o da percep o consciente est dispon vel nos est mulos que alcan am os receptores do indiv duo ou em rela es entre estes est mulos que s o preditoras do que est l no ambiente COREN WARD 1989 Outra abordagem influenciada pelo desenvolvimento de sistemas de intelig ncia artificial e pela percep o direta apresenta se na forma de programas de computador que tentam simular a interpreta o dos est mulos recebidos do ambiente com o uso de v rios est gios de an lise Por este motivo esta abordagem ficou conhecida como computacional COREN WARD 1989 Uma abordagem mais antiga mas ainda ativa assume que a percep o do mundo muito mais rica e mais acurada que o que se poderia esperar tendo por base apenas os est mulos vindos do ambiente Assim a estes est mulos seriam adicionadas experi ncias pr via
52. a pol ticas futuras RIST 2000 p 1001 A g nese das redes pol ticas encontra se na participa o dos indiv duos em movimentos sociais e na inser o do espa o pol tico no mbito vital das redes sociais PASSY GIUGNI 2000 2001 EULAU ROTHENBERG 1986 Para Borzel 1998 p 265 de modo qualitativo 117 as redes pol ticas permitem a an lise de formas de intera o n o hier rquica entre os atores p blicos e privados na constru o das pol ticas Outro aspecto a salientar o de que com a abstra o das redes cada membro uma unidade independente o que impossibilita o uso do poder de modo unilateral uma vez que o poder informal baseado nas rela es interpessoais pode ser mais importante que o poder formal KEAST et al 2004 p 365 De modo bastante significativo tamb m nos contextos tecnol gico e econ mico a met fora das redes tem sido cada vez mais utilizada para descrever as rela es humanas como se v por exemplo em Castells 2003 A dinamicidade da met fora ganha mais nfase ao se constatar que a configura o da rede pode variar conforme o tema e a pol tica sob observa o Associadas s redes est o as comu nidades visto que enquanto o universo pol tico compreende todos os agentes que t m algum interesse em comum a comunidade pol tica uma rede menor e mais consensual que se foca liza em um aspecto setorial ou mesmo sub setorial da pol tica As comunidades interagem em uma rede
53. adotado no pa s Enquanto j se aventava a possibilidade da escolha do padr o japon s pelo governo teve in cio no Congresso Nacional a tramita o de um projeto de lei acerca do SBTVD Sistema Brasileiro de Televis o Digital de orienta o aberta ao mercado das operadoras de telecomunica es favor veis ao padr o europeu PINHEIRO 2006 Cumpre observar que at este momento ainda n o se procedeu a uma discuss o aprofundada e abrangente acerca dos conte dos e dos modelos de neg cios subjacentes televis o digital no Brasil Por outro lado no que diz respeito s pol ticas para a seguran a da informa o marcante a presen a do aparato estatal a an lise realizada junto legisla o dispon vel no pa s localizada na Se o 5 8 5 mostra que grande parte das leis e demais dispositivos legais e administrativos dispon veis contempla apenas o aparato estatal salvo nos aspectos penais e judiciais estando ausentes normas com a chancela p blica que tratem diretamente das organiza es privadas estas t m seguido como j se observou a padroniza o adotada em outros pa ses mormente nos Estados Unidos da Am rica A aus ncia de documenta o acerca da efetividade das normas adotadas dificulta sobremaneira a an lise da adequa o dos instrumentos utilizados A leitura atenta dos padr es e leis dispon veis mostra ser essencial a ado o de uma estrat gia conjunta entre o estado e o mercado onde o primeiro supre
54. al 2004 por meio de marcas d gua digitais tamb m baseadas em criptografia de chaves p blicas Sua implementa o est em andamento com a ades o de gravadoras como Sony Universal e Warner CPRM O padr o Content Protection for Recordable Media CPRM foi proposta em 2001 pelos fabricantes IBM Intel Matsushita Electric e Toshiba em ades o SDMI NETWORK SE CURITY 2001 para ser usado em dispositivos port teis como leitores de discos no formato ZIP e leitores de MP3 A principal novidade da proposta foi a implementa o de algoritmos de seguran a em hardware GENGLER 2001 USA Patriot Act Como conseqii ncia dos atentados terroristas ocorridos em territ rio norte americano no dia 11 de setembro de 2001 diversas leis e regulamentos foram aprovados ou modificados com vistas a refor ar a seguran a do pa s contra atos de tal natureza Uma das leis mais controversas a terem sido aprovadas foi a denominada Uniting and Strengthening America by Providing Ap propriate Tools Required to Intercept and Obstruct Terrorism Act USA Patriot Act de 2002 que permite entre outras disposi es que autoridades governamentais monitorem conversa es telef nicas e por correio eletr nico de cidad os americanos ou de cidad os estrangeiros no pa s N o tardaram a surgir alega es de que estes novos poderes estariam sendo objeto de abuso por exemplo sendo utilizados para espionar atividades de advers rios pol ticas em camp
55. auditoria e contabilidade ISACF 2001 IT GOVERNANCE INSTITUTE 2004b e exigidos pelos rg os de fiscaliza o particularmente pela Securities and Exchange Commission SEC respons vel pelo controle do mercado acion rio no pa s numa a o assemelhada Comiss o de Valores Mobili rios CVM no Brasil A lei se aplica a organiza es que negociam a es em bolsas de valores inclusive empresas com sede em outros pa ses 5 8 2 Reino Unido O Parlamento brit nico aprovou em 1998 o Data Protection Act lei que exige que as insti tui es voltadas para neg cios de quaisquer naturezas que detenham e usem dados pessoais o fa am de modo seguro UK DTI 2004c O padr o recomendado para a implementa o de pr ticas de seguran a da informa o o previsto pelo documento BS7799 norma 7799 do British Standards Institute padronizada sob a norma ISO IEC 17799 e adotada no Brasil sob a norma NBR 17799 da ABNT Cumpre observar que o Data Protection Act n o se restringe a dados digitais mas tamb m armazenados em outras m dias O UK Department of Trade and Industry Minist rio do Reino Unido para Com rcio e Ind stria criou e tornou dispon vel na internet uma s rie de publica es a respeito da lei al m de elucidar conceitos b sicos sobre a seguran a da informa o tais como v rus e acesso n o autorizado UK DTI 2004d e sobre as implica es legais do uso de computadores e siste mas computacionais em ambien
56. blico e organizacional fazendo se uso de uma an lise hermen utica destes conte dos Neste sentido realizou se ainda uma tipifica o das diferentes abordagens epistemol gicas propostas Ci ncia da Informa o Os resultados obtidos sugeriram um modelo para a formula o de pol ticas de seguran a da informa o baseadas em moldes afeitos ao dom nio das ci ncias sociais e constru das com nfase na observa o dos sistemas de informa o e no contexto em que se inserem Palavras chave Seguran a da informa o pol ticas de seguran a da informa o fenomenologia hermen utica intera o social Abstract The ever increasing use of network integrated information systems is an Information So ciety s landmark This universe of digital contents and media is prone to some threats that seriously compromise the security of the user system information relationship Information te chnology can sugest part of this problem s solution but cannot solve it integrally The informa tion security policies must observe the balance between the human and technology issues about information security in contrast with current policy models extremely devoted to technological questions This work had for purpose the analysis of the required backgrounds for the treatment of the information security by means of information security policies proposal based on a strategy of phenomenologic analysis This approach aims to give to the poli
57. bojo uma s rie de desigualdades sociais pol ticas e comportamentais Al m disso o processo de consolida o da UE passa por uma s rie de passos voltados uniformiza o de procedimen tos que originalmente eram bastante distintos embora voltados mesma finalidade por serem desenvolvidos e aplicados em pa ses de culturas e hist ricos bastante diferentes cite se como exemplo a iniciativa do Global Monitoring for Environment and Security GMES que tem por objetivo a monitora o e gest o da seguran a ambiental e civil HARRIS BROWNING 2003 No contexto da tecnologia da informa o uma das mais prementes preocupa es a integra o de bases de dados Com o volume de informa es dispon vel em cada pa s pode se imaginar a magnitude da tarefa a ser desenvolvida A fim de orientar esta transi o diversos estudos fo ram realizados gerando a iniciativa batizada como eEurope EUROPEAN COMMISSION 2002 que teve como um de seus passos mais vis veis a cria o do site oficial da UE na in ternet com o mesmo conte do dispon vel em cada uma das l nguas dos pa ses membros UE 2003 No tocante seguran a da informa o a UE adotou um plano baseado em oito grandes programas a saber EUROPEAN COMMISSION 2001 e a formula o de pol ticas p blicas e o aumento da sensibiliza o da popula o quanto ao tema tanto no aspecto individual EUROPEAN COMMISSION 2003a quanto no coletivo e no organizacional
58. constru o da realidade relacionada ao mundo s o sensivelmente influenciados por conven es sociais e pelas intera es vividas pelo sujeito com indiv duos e grupos significantes a mudan a da unidade de estudo do n vel individual para o n vel social organizacional e de comunidades de in teresse nomeada pelos autores como coletivismo ainda o artigo trata do construcionismo Volosinov Bakhtin Wittgenstein Foucault e Gar finkel com sua nfase no discurso como o meio pelo qual o indiv duo e o mundo s o articulados O pr prio artigo apresenta cr ticas a cada uma destas abordagens concluindo que s o abordagens complementa res A utiliza o deste complexo de epistemologias em um nico estudo apresenta se como extremamente complexa demandando o dom nio e a inter rela o de uma variedade de ismos como sugere o pr prio t tulo do artigo Apresenta a hermen utica Ricoeur como conex o entre o moderno e o p s moderno na ci ncia da informa o Aponta para o aumento no n mero de trabalhos que utilizam esta abordagem e salienta que uma ampla gama de problemas tratados na ci ncia da informa o s o de natureza interpretativa A an lise hermen utica objeto da se o 3 4 continua na pr xima p gina 30 Refer ncia Comentario Seld n 2005 Realiza uma an lise cr tica da Grounded Theory Glaser e Strauss baseada amplamente em m todos empiricos e com profundas raizes no inte
59. cujo pref cio ele define a fenomenologia como sendo um movimento bidirecional ao mesmo tempo um desapegar se do mundo e um retornar a ele Merleau Ponty se preocupa principalmente com a natureza da reflex o filos fica 36 HEINAMAA 1999 Para ele nem o mundo determina a percep o nem a percep o consti tui o mundo A cogni o est inserida no corpo e no sistema nervoso do homem dele sendo uma parte intr nseca al m disso percep o e a o est o mutuamente ligadas uma vez que percep es envolvem a es motoras e a es geram novas percep es MINGERS 2001b Tamb m fundamental em Merleau Ponty o conceito de Embodiment a forma real e as capacidades inatas do corpo humano DREYFUS 1996 retomado por autores como Varela Thompson e Rosch 1993 em sua teoria da cogni o atuante enactive cognition cujos dois principais aspectos s o MINGERS 2001b e a percep o consiste de a es guiadas de forma perceptiva ou seja a percep o de fatos anteriores influencia a percep o de fatos subsegiientes e e novas estruturas cognitivas emergem dos padr es senso motores que permitem a o ser guiada pela percep o Deste modo a atividade do organismo condiciona o que pode ser percebido num ambiente e estas percep es por sua vez condicionam a es futuras Deve se acrescentar ainda que Merleau Ponty integrou a an lise fenomenol gica psicologia e neurologia antes que
60. de hardware falta de energia virus computacionais ameacas humanas como vandalismo ou sabotagem e falhas humanas como desligamento inadequado de sistemas derramamento de liquido em computadores etc Entre as vantagens da formaliza o de plano de recupera o de desastres est o HAWKINS YEN CHOU 2000b eliminar poss vel confus o e erro reduzir interrup es s opera es da organiza o prover alternativas durante eventos desastrosos reduzir a depend ncia a determinados indiv duos proteger os dados da organiza o garantir a seguran a do pessoal e Compare se esta lista com a disposta na Tabela 3 86 e apoiar uma restaura o ordenada das atividades Naturalmente a efetiva o de um plano de recupera o de desastres envolve custos tais como a forma o de uma equipe capacitada ou a contra o de uma organiza o especializada e a prepara o de mecanismos de redund ncia ou sobressalentes 5 7 Plano de continuidade de neg cios O objetivo do plano de continuidade de neg cios proteger as opera es da organiza o e n o somente seus sistemas computacionais afinal sem o pessoal procedimentos em funcio namento e conectividade n o faz sentido restaurar os sistemas MIORA 2002a Em termos de perdas monet rias um estudo emp rico indicou que um sistema cr tico que fique inoperante por seis dias sem uma c pia backup adequada pode gerar uma perda cumu lativa d
61. depende do contexto e do objetivo do contexto cultural que apresentado CASTELLS 2003 p 487 Neste contexto considera se cultura como o complexo que inclui cren as ha bilidades artes moral costumes e aptid es f sicas ou intelectuais adquiridas pela conviv ncia em sociedade maneira de McGarry 1999 p 62 Do ponto de vista estrat gico ou governamental a Sociedade da Informa o comporta tr s 125 tend ncias inter relacionadas a saber MIRANDA 2003 p 60 1 Integra o vertical estimulada pela desregula o e competi o num mercado mundial crescente e onde inserem se tend ncias como o software livre e a cess o coletiva de direitos autorais 2 Globaliza o do mercado da produ o intelectual com produtos de car ter crescente mente internacional 3 Privatiza o caracterizada pela predomin ncia de interesses privados por vezes em de trimento do interesse p blico controlando as empresas e em particular as organiza es da rea de comunica es e de informa o Tendo em vista este cen rio devem se implementar mecanismos que assegurem a devida inser o dos cidad os no contexto desta Sociedade Nos pa ses em desenvolvimento tais como a ndia ASHRAF 2004 e o Brasil FGV 2003 dentre outros este um desafio que se mostra ainda mais vultoso luz de grandes defici ncias e problemas que historicamente se avolumaram rumo situa o hoje vivenciada que se c
62. dos demais subsistemas por caracter sticas econ micas pol ticas e jur dicas e que por sua vez internamente determinado por diferentes campos e subcampos de produ o cultural e art stica Em termos organizacionais diversas acep es s o dadas ao termo cultura via de regra associadas ao comportamento entendido como a manifesta o da cultura e v rios intrumentos t m sido desenvolvidos para a aferi o da cultura organizacional no que diz respeito a diversos temas FERREIRA et al 2002 No presente trabalho pretende se construir um instrumento capaz de avaliar as pr ticas da organiza o voltadas seguran a da informa o e que esteja apto a responder as seguintes quest es at que ponto as normas e pr ticas adotadas no ambiente organizacional podem de fato orientar os usu rios e serem absorvidas por eles como c digos de conduta Em outras palavras quanto o comportamento organizacional capaz de efetivamente influenciar o comportamento individual E ainda em que grau se d a rela o inversa ou seja o comportamento adotado pelos usu rios capaz de ditar o comportamento organizacional Artefatos e cria es Valores normas e conhecimentos coletivos Figura 13 Cultura organizacional na vis o de Schein apud VON SOLMS VON SOLMS 2004 Para Schein apud VON SOLMS VON SOLMS 2004 conforme a Figura 13 a cultura organizacional se ap ia sobre pressupostos e cren as b sicas que influenciam os me
63. ele atenda a todos os requisitos da pol tica de seguran a dito um estado seguro Diz se que uma pol tica consistente se partindo se de um estado seguro e seguindo se estritamente as regras ditadas pela pol tica n o poss vel atingir se um estado inseguro No que diz respeito s pol ticas de seguran a da informa o existe ainda um requisito a mais a ser cumprido prover o equil brio entre funcionalidade e seguran a motivo pelo qual torna se essencial uma an lise da situa o operacional da organiza o em foco Esta an lise que no contexto da seguran a da informa o conhecida como an lise de vulnerabilidades deve se restringir como de h bito a uma busca por eventuais brechas de seguran a nos sis temas de informa o sobre os quais se aplica Antes deve se conhecer a fundo os fluxos de informa o aplicados formais e informais a fim de mapear se de modo consistente e din mico a realidade em termos da informa o e dos atores que com ela interagem Deve se reconhecer ainda que as regras ou mecanismos necess rios podem n o ser de f cil implementa o se eles perturbam o ambiente organizacional e isto mesmo que em grau reduzido geralmente ocorre E comum encontrar se discrep ncias entre a situa o real e a situa o prevista no ambiente organizacional e as pol ticas de seguran a devem estar prepa 79 radas para lidar com esta situa o De fato a adaptabilidade um dos requ
64. est o contempladas ainda outras reas do conhecimento eminentemente a fenomenologia e a hermen utica que s o as bases epistemol gicas para a abordagem do problema e a ci ncia pol tica para o estudo das pol ticas p blicas vistas quanto sua origem tipologia e aplica o Com o uso de conhecimentos advindos destas reas realiza se a an lise da g nese das pol ticas dos pressupostos que envolvem esta g nese e do impacto gerado junto aos usu rios pela implementa o das pol ticas de seguran a da informa o nos ambientes organizacionais 18 Os objetivos pretendidos com este trabalho e a metodologia empregada sao descritos no Capitulo 2 A fundamenta o epistemol gica para o trabalho realizado com o uso de uma abordagem baseada nos conceitos da fenomenologia e da hermen utica a fim de proporcionar uma abor dagem da seguran a da informa o sob um enfoque humanista mostrada no Cap tulo 3 A contextualiza o dos conceitos espec ficos da seguran a da informa o vista no Cap tulo 4 As fontes de pol ticas p blicas e organizacionais especificamente voltadas seguran a da informa o s o analisadas detalhadamente no Cap tulo 5 O arcabou o das ci ncias sociais confluentes para o tratamento da seguran a da informa o mostrado no Cap tulo 6 Os conceitos de pol ticas e de redes a g nese das pol ticas e a sua conformidade ao contexto social do qual adv m e o modelo
65. estudo mas sim conectados virtualmente ao mundo Exemplos de pol ticas ou de estudos sobre pol ticas encampando as preocupa es com as tecnologias de informa o e de comunica o surgem em todo o globo MUIR OPPENHEIM 2002a 2002b 2002c 2002d citando se especificamente os casos da Uni o Europ ia DAI 2003 que se v s voltas com o problema da desigualdade entre os seus pa ses membros e com a acomoda o de diferentes culturas e l nguas tais como It lia GARIBALDO 2002 Fran a BARON BRUILLARD 2003 ROCHET 2004 e Espanha CORNELLA 1998 al m da ndia ASHRAF 2004 que apresenta diferen as gritantes entre os diferentes estratos da po pula o tamb m no que diz respeito ao acesso aos recursos da informa o e como n o poderia deixar de ser dos Estados Unidos onde manifestam se acentuadas desigualdades tecnol gicas e culturais entre os diferentes estados da federa o GIL GARC A 2004 No Brasil j foram propostas pol ticas para a iniciativa do governo eletr nico PINTO 2001 e percebe se a necessidade de iniciativas para formula o de pol ticas governamentais e organizacionais voltadas informa o JOIA 2004 MARCONDES JARDIM 2003 TE LEF NICA 2002 A a o governamental ou se propunha ser at a administra o anterior pautada por iniciativas como o Livro Verde TAKAHASHI 2000 originalmente destinado inclus o digital e forma o de uma infra estrutura nacional
66. frase pode ser traduzida conforme a seguinte senten a da l gica modal VIVA Arg f A Publico f A Papel A Usuario SLer A f C 1 Os termos e s mbolos dispostos na Equa o C 1 est o explicitados na Tabela 10 Termo ou s mbolo Significado Vx q x quantificador universal l se para todo x g x in dica que q aplica se a todas as ocorr ncias de x ab conjun o l se a e b satisfeito verdadeiro quando a e b s o ambos satisfeitos p gt q conseqii ncia l gica l se p implica q indica que uma vez satisfeito p satisfaz se q Arq x predicado l gico que satisfeito se x um arquivo Publico x predicado l gico que satisfeito se x p blico Papel x y predicado l gico que satisfeito se x desempenha o papel y Gg operador modal de possibilidade l se poss vel q Ler x y predicado l gico que satisfeito se o argumento x l o argumento y Tabela 10 Termos e s mbolos presentes na Equa o C 1 204 C 2 L gicas modais e a formaliza o de pol ticas de segu ran a A motiva o da escolha neste trabalho de um modelo formal baseado na l gica para a especifica o de pol ticas de seguran a deve se nfase que se pretende imprimir verifica o de tais pol ticas por meio de provas formais Este processo se inicia pela representa o das pol ticas numa linguagem formal livre das ambigiiidades das linguagen
67. incorre na eventualidade de algum inci dente Arce 2003a lembra que diversos tipos de ataques em redes produzem resultados sobre a informa o no n vel sem ntico ou seja atuam sobre o significado da informa o modificando o A mudan a de rotas de acesso em redes e a falsifica o de endere os de servidores com putacionais s o exemplos destes ataques Contudo as ferramentas de detec o e preven o atuam no n vel sint tico elas tratam cadeias de caracteres em busca de padr es ou sequ ncias n o esperadas como o caso de um software anti v rus ou de uma ferramenta de preven o de intrus es Esta diferencia o produz um descompasso evidente entre ca a atacante e ca ador profissional da seguran a eles simplesmente atuam em n veis epistemol gicos dis tintos requerendo abordagens diferenciadas das atualmente utilizadas para a solu o efetiva do problema Uma das frases mais citadas no contexto da seguran a da informa o que uma corrente t o resistente quanto seu elo mais fraco comum a asser o de que o elo mais fraco da corrente da seguran a da informa o seja o usu rio uma vez que os recursos computacionais j estariam protegidos por consider vel acervo tecnol gico Arce 2003b sugere que os sistemas operacionais das esta es de trabalho e seus usu rios seriam os mais vulner veis a ataques internos e externos contudo como j se viu o complexo que a segur
68. mercadol gicas para a escolha e ado o de recursos tecnol gicos em organiza es enquanto Legris Ingham e Collerette 2003 apresentam um modelo de aceita o de TI com bases em crit rios subjetivos Outro aspecto de grande impacto sobre o uso de sistemas de informa o e conseqiiente mente sobre a ado o de pr ticas de de utiliza o destes sistemas como as pol ticas de segu 190 ran a da informa o a resist ncia a mudan as Vann 2004 apresenta um estudo sobre tal resist ncia a mudan as em projetos de TI na rea governamental advogando a ado o de uma linguagem gram tica capaz de dimimuir o impacto da apresenta o dos projetos Ashforth e Kreiner 2002 apontam sugest es para a normaliza o de emo es no ambiente organizacio nal ou seja para a ado o mais r pida de pr ticas ritual sticas advindas de normas recentemente introduzidas quanto mais rapidamente a pr tica se torna um ritual mais facilmente a norma obedecida evitando assim o individualismo e os comportamentos aversivos s pr ticas prescri tas como adequadas comportamentos estes que s o o objeto do estudo de Preece Nonnecke e Andrews 2004 em comunidades digitais Qualquer que seja o modelo adotado para a ado o das normas e mais especificamente das pol ticas de seguran a da informa o a sua ado o sempre estar sujeita ao crivo dos indiv duos dos quais se espera o seu cumprimento A regula o col
69. momentos distintos ambos na fase de es pecifica o do sistema qualquer que seja a metodologia utilizada seja ela a an lise estruturada a orienta o a objetos ou outras propostas como a modelagem de a o nos sistemas de Gold kuhl e Agerfalk 1998 Estes momentos s o o levantamento dos requisitos de desenvolvimento do software e a an lise do fluxo da informa o ao qual este software ser submetido 4 5 1 Os requisitos do desenvolvimento de software Pfleeger 1997 aponta para a necessidade de avaliar se os fundamentos da seguran a nos requisitos de software a fim de garantir que as funcionalidades do sistema ser o atendidas e somente elas O autor aponta uma lacuna em alguns padr es de qualidade de software que como a ISO 9126 n o incluem o aspecto da seguran a e prop e que se implemente de modo continuado o aprendizado das t cnicas de seguran a entre os desenvolvedores que devem ainda pensar como o atacante e sempre consultar um especialista em seguran a Carr Tynan e Davis 1991 preconizam a seguran a da informa o como parte da pr tica de garantir a seguran a do software e cita o exemplo da National Aeronautics and Space 66 Administration NASA no inicio da d cada de 1990 que necessitando de software de qualidade para os seus projetos criou e utilizou padr es de desenvolvimento que se tornaram modelos na ind stria Wang e Wang 2003 tamb m apontam para a necessidade de qualid
70. o formaliza o e aplica o de pol ticas da seguran a da informa o que contemplem tais par metros Como fundamentos para tal empreitada al m dos subs dios pr prios da teoria da informa o e da seguran a da informa o ser o tamb m utilizados conceitos oriundos de disciplinas origin rias de diferentes reas do conhecimento em busca de indicadores para a correta abor dagem dos problemas acima descritos al m de ter se em vista a categoriza o que lhes dada pelas pol ticas de seguran a da informa o Busca se deste modo produzir um todo homo geneamente organizado a partir da correta identifica o das partes componentes cada uma das quais contribuindo com elementos de seu dom nio para a solu o procurada respeita se a per cep o de que uma vez identificados os fatores componentes da problematicidade da seguran a da informa o necess rio reportar se s suas reas de origem e de excel ncia para sua devida caracteriza o e mensura o al m da defini o adequada de um roteiro para a solu o do pro blema Al m da abrang ncia das pol ticas o car ter interdisciplinar da ci ncia da informa o j muito bem delineado por Saracevic 1995 e por Bates 1999 dentre outros aponta para algu mas das disciplinas que interagem intrinsecamente com esta rea Al m da ci ncia da compu ta o cujos pressupostos e aplica es n o s o tratados em detalhes neste trabalho neste estudo
71. p 23 37 Jan 2005 REGAN P M Old issues new context Privacy information collection and homeland security Government Information Quarterly v 21 n 4 p 481 497 2004 RELYEA H C Homeland security and information Government Information Quarterly v 19 n 3 p 213 233 2002 RHODEN E People and processes the key elements to information security Computer Fraud amp Security v 6 n 1 p 14 15 June 2002 RICOEUR P Phenomenology and hermeneutics No s v 9 n 1 p 85 102 Apr 1975 RICOEUR P Hermeneutics and the human sciences Cambridge Cambridge University Press 1982 RICOEUR P Interpreta o e ideologias 4a ed Rio de Janeiro Francisco Alves 1990 Organiza o tradu o e apresenta o de Hilton Japiassu RICOEUR P O si mesmo como um outro S o Paulo Papirus 1991 RISSER J Hermeneutics between Gadamer and Heidegger Philosophy Today v 41 p 134 141 1997 RIST R C Influencing the policy process with qualitative research In DENZIN N K LINCOLN Y S Eds Handbook of qualitative research 2 ed Thousand Oaks California Sage 2000 p 1001 1017 ROBBINS S P Comportamento Organizacional 9a ed S o Paulo Prentice Hall 2002 ROCHET C Rethinking the management of information in the strategic monitoring of public policies by agencies Industrial Management amp Data Systems v 104 n 3 p 201 208 2004 ROSE R A global diffusion model of e governa
72. para a dissemina o de infor ma es e conte dos digitais e pelo Livro Branco MCT 2002 destinado normatiza o das a es nacionais quanto ci ncia tecnologia e inova o e que experimentou o mesmo pro cesso de ado o e ostracismo que o Livro Verde elementos que t m estreita associa o com as pol ticas de desenvolvimento e competitividade industriais em mercados nacionais e globais HALL ANDRIANI 2002 124 7 4 Pol ticas de informa o Diversas abordagens t m sido propostas para a formula o de pol ticas de informa o desde a conceitua o e a proposta de redefini o dos termos envolvidos BROWNE 1997a 1997b BRAMAN 1989 dadas as peculiaridades da informa o tais como o fato de ser um bem de experi ncia necess rio experiment la ou seja conhec la para saber como ela e a elevada facilidade de sua reprodu o altos custos de produ o mas custos de reprodu o baixos por vezes nfimos SHAPIRO 1999 p 36 Com efeito a Sociedade da Informa o antevista por Masuda 1982 e discutida em pro fundidade por autores como Castells 2003 Hardt e Negri 2001 e Browning Halcli e Webster 2000 dentre muitos outros requer alguns pr requisitos para a sua efetiva o O pr prio Ma suda j estabelecia em sua obra que qualquer que fosse a combina o obtida na implementa o desta sociedade a participa o do cidad o essencial MASUDA 1982 p 104 m
73. por ele sendo influenciado Assim sendo apresenta se a seguinte defini o Defini o 3 1 O usu rio de um sistema de informa o o indiv duo diante do qual se concre tiza o fen meno do conhecimento provido por aquele sistema 42 Com base nestes requisitos e adotando se a postura descrita neste capitulo passa se ao estudo propriamente dito do contexto da seguran a da informa o 43 4 O contexto da seguran a da informa o 4 1 Conceitos b sicos FIM de melhor compreender se a inser o da seguran a da informa o sob os di ferentes aspectos em que se apresenta tendo em vista evitar se o reducionismo tecnol gico sob o qual geralmente apresentada fundamental que ela seja vis lumbrada luz de alguns dos conceitos da disciplina da qual tribut ria a Ci ncia da Informa o Ambas focalizam a informa o do ponto de vista de seus aspectos estruturais reconhecendo que conceitos como significado valor e relev ncia quaisquer que sejam seus entendimentos s o dependentes do contexto organizacional em que se insere o objeto de seu estudo ou aplica o qual seja a informa o em si mesma Deste modo a intera o en tre a seguran a e o contexto organizacional intera o esta que se manifesta sob as nuances da cultura organizacional e do comportamento individual perante o ambiente informacional deve ser igualmente foco de interesse da seguran a como se ver em detalhes adian
74. que ela se torne aparente ou agressiva Um outro aspecto lembrado por este autor qualquer programa n o importa qu o in cuo seja pode carregar falhas de seguran a Embora a intera o entre as equipes de seguran a e desenvolvimento seja essencial os profissionais da seguran a n o t m controle sobre o processo de desenvolvimento logo administram se riscos A fim de garantir se o adequado acompanhamento dos requisitos de seguran a deve se quantificar o valor da informa o protegida as amea as aquela informa o e o n vel desejado de garantias Com respeito s vulnerabilidades presentes no c digo dos sistemas atuais alerta que quase 50 delas s o devidas a buffer overflow ou seja acesso a endere os inv lidos devido a instru es internas ao c digo dos programas decorrentes de pr ticas inadequadas de programa o 67 4 5 2 O fluxo da informa o Xenitellis 2003 parte de um pressuposto bastante simples como um sistema de software pode ser considerado um conjunto composto por c digo e dados uma vez que ele n o possua partes de seu c digo especificamente voltadas a ataques como um cavalo de tr ia a nica maneira de ele ser atacado por meio de suas intera es com o ambiente O autor apresenta um modelo sucinto para a varredura tracing do fluxo de entrada em sistemas de software por meio do controle de instru es de entrada e atribui es controladas pelo compilador ou por um monitor de refer nc
75. que influencia e potencializa a sua disponibilidade 7 o alto custo de determinadas fontes de informa o torna o seu acesso restrito ou mesmo impratic vel nestes casos mesmo a presen a dos recursos tecnol gicos n o capaz de potencializar a disponibilidade de tais fontes que devem ser ent o objeto de controles e gerenciamento ou seja pol ticas particulares 8 a publica o da informa o por meios eletr nicos gera impacto na gera o distribui o e disponibilidade da informa o relacionada o que por sua vez influencia os mercados e o p blico consumidor veja se o exemplo do aumento acentuado da publica o eletr nica de artigos e peri dicos cient ficos 128 Conforme j foi dito as pol ticas nacionais de informa o sofrem influ ncias dos contextos interno e externo para a sua efetiva o Dentre as influ ncias nacionais podem se citar as seguintes ARNOLD 2004 com adapta es 1 a abordagem e a variedade de termos e conceitos utilizados na pol tica deve atender realidade e cultura nacionais 2 as pol ticas s o desenvolvidas de acordo com o valor que o governo e as entidades asso ciadas atribuem informa o 3 diferentes governos possuem diferentes motivos para desenvolver pol ticas de informa o dentre os quais salientam se orientar o setor de informa es do pa s proporcionar ou assegurar coopera es internas e externas assegurar a disponibilidade e o aces
76. receptores por sua vez ter o sua percep o do mundo modificada pelo conhecimento rec m adquirido percep o esta que dar origem a novas a es num ciclo cont nuo e renovado de ge ra o e formaliza o do conhecimento A efetividade destas intera es ser tanto maior quanto mais intensa forem a produ o e a busca pelo conhecimento no contexto analisado ou seja quanto mais ativo for o comportamento informacional dos indiv duos considerados Desta forma n o causa estranheza que os comportamentos informacionais sejam outra rea de proximidade entre a Fenomenologia e a Ci ncia da Informa o o que j fora apontado por dentre outros Wilson 1999 e Ng 2002 com especial destaque para a sociologia fenome nol gica de Schutz a qual encontra grande resson ncia junto ao interacionismo simb lico de Blumer e que influenciadora do sense making de Dervin WILSON 2002 Segundo a vis o fenomenol gica o que se advoga aqui n o o uso das fontes de informa o como mera redu o de incertezas mas sim a devida caracteriza o de problemas como sendo uma ruptura da concep o do mundo experimentada pelo observador quando a percep o ou as atividades por ela encadeadas falham por exemplo quanto uma atividade de capacita o n o surte o efeito desejado para citar se um exemplo do mundo organizacional surge um problema do ponto de vista fenomenol gico MINGERS 2001b Em outras palavras ocorre uma di
77. reconhecimento de cores sons aromas texturas e sabores sempre permearam os estudos sobre este tema Como o homem capaz de perceber o ambiente sua volta e qual o grau de 180 exatid o do que ele percebe No tocante as ci ncias cumpre lembrar que a parte o aparato tecnol gico de que se disp e atualmente a percep o do cientista que constitui o objeto de todos os campos de estudo o seu olho que se posiciona na lente do microsc pio ou que ob serva as imagens de sat lite e mesmo que se use um computador para analisar estas imagens o resultado desta an lise submetido ao escrut nio em geral ao olhar do pesquisador Deste modo o conhecimento do mundo dependente dos sentidos e eis o motivo fundamental para o seu estudo Deve se diferenciar os sentidos existentes na esfera f sica do seu processamento por meio do intelecto contido no dom nio da esfera ps quica vide a Tabela 9 A facilidade com que se usam os sentidos mascara o fato de que a percep o uma ati vidade cerebral extremamente complexa COREN WARD 1989 Os processos perceptivos recuperam dados armazenados na mente requerendo classifica es e compara es sutis al m de uma ampla gama de decis es antes que a consci ncia se d conta de que h algo l Como um exemplo cite se o fato de que n o s o os olhos que v em h milhares de pessoas que pos suem olhos perfeitamente funcionais sem que haja impress es sensoriais da
78. sidera relevantes nesta pesquisa em dire o elabora o de uma mini teoria que espera se venha a ser corroborada pelos dados emp ricos PASQUALI 1999 p 44 192 A 6 2 Defini es do construto Defini o constitutiva O construto percep o positiva a respeito da seguran a da informa o para os efeitos a que se prop e este trabalho definido como a capacidade de realizar tarefas que estejam voltadas para a implementa o da seguran a da informa o de modo aut nomo e sem ou com poucas resist ncias Defini o operacional Por pleon stico que possa parecer a defini o operacional do construto percep o positiva a respeito da seguran a da informa o realizar tarefas que estejam voltadas para a imple menta o da seguran a da informa o de modo aut nomo e sem ou com poucas resist ncias As atividades aqui indicadas como categorias comportamentais obtidas da literatura de seguran a da informa o ABNT 2002 WOOD 2002b BOSWORTH KABAY 2002 e que s o identificadas pelo autor com semelhante comportamento devendo originar a seguir os itens do instrumento e sendo j descritas em tais termos s o as seguintes 1 realizar c pia peri dica backup dos dados sob a sua guarda 2 substituir periodicamente as senhas de acesso aos sistemas de informa o de que faz uso 3 utilizar senhas seguras com varia o de caracteres a fim de evitar ou pelo menos dificul
79. tais como as Request for Comment RFC como a RFC 2196 Site Security Handbook FRASER 1997 e a RFC 2828 Internet Security Glossary SHIREY 2000 Torna se patente que o desenvolvimento de pol ticas de seguran a um tema rduo e in termin vel preciso ter em conta que a aus ncia de falhas de seguran a n o significa que a seguran a esteja sendo devidamente implementada pode ser uma quest o de tempo at que vulnerabilidades sejam exploradas Na verdade a tarefa do profissional de seguran a par ticularmente ingl ria enquanto ele deve se ocupar de todas as poss veis vulnerabilidades ao atacante basta encontrar e explorar com sucesso apenas uma delas A pr pria implementa o de medidas de seguran a introduz novos riscos como por exemplo a utiliza o de senhas de acesso as quais devem ser adequadamente administradas Mesmo existindo padr es a formula o e a implementa o de pol ticas de seguran a da informa o ainda s o feitas de modo praticamente ad hoc a cada necessidade corresponde uma pol tica LINDUP 1995 Um problema particularmente grave decorre da necessidade de integrar se pol ticas distintas como garantir que as pol ticas componentes estejam adequa damente contempladas na pol tica resultante KOKOLAKIS KIOUNTOUZIS 2000 Esta situa o termina por levar proposi o de diversos modelos de classifica o das pol ticas os quais mostram se muitas vezes inadequados SMITH NE
80. tar sua descoberta 4 realizar periodicamente a atualiza o dos sistemas de prote o contra v rus em seu equi pamento 5 configurar os sistemas de prote o contra v rus para realizar varredura autom tica 6 verificar a origem de arquivos anexados em e mails mensagens de correio eletr nico antes de abri los 7 encerrar adequadamente a conex o a sistemas de informa o 8 bloquear o acesso ao computador por meio de senha ou deslig lo antes de se ausentar por per odos prolongados 9 verificar a voltagem do computador antes de lig lo rede el trica 193 10 utilizar filtros de linha ou no breaks para a conex o rede el trica 11 guardar documentos sigilosos em local seguro 12 n o ingerir l quidos ou alimentos pr ximo a computadores ou equipamentos eletr nicos sens veis sujeira ou umidade 13 n o permitir o compartilhamento de arquivos ou conjuntos de arquivos pastas e diret rios exceto sob estrito controle 14 n o instalar software de origem desconhecida ou incerta 15 realizar a limpeza peri dica do reposit rio de arquivos removidos lixeira 16 n o digitar senhas ou outras informa es sigilosos em equipamentos n o confi veis 17 n o expor equipamentos eletr nicos a condi es de temperatura e umidade inadequadas fora das especifica es do fabricante 18 instalar software de controle de acesso firewall no computador de uso pessoal no ambi ente de trabalho
81. trica primeiro verifico a voltagem de ambos equipamento e rede Sempre L Freq entemente L s vezes L Raramente El Nunca L 9 Utilizo filtros de linha ou no breaks para a liga o de computadores e perif ricos rede el trica Sempre L Freq entemente L s vezes E Raramente L Nunca L 10 Ao me ausentar de meu local de trabalho encerro a sess o aberta no computador fa o logoff bloqueio a sess o com uso de senha ou o desligo Sempre L Freq entemente L s vezes L Raramente L Nunca L 11 Guardo documentos de car ter sigiloso em local seguro Sempre L Freq entemente LI s vezes E Raramente L Nunca E 12 Consumo alimentos l quidos ou s lidos ao trabalhar diante de computadores ou perif ri cos Sempre LJ Freqiientemente El s vezes L Raramente E Nunca LJ 13 Nos computadores em que possuo tais direitos permito o compartilhamento de arquivos ou conjuntos de arquivos pastas e diret rios Sempre E Frequentemente LJ As vezes LI Raramente LJ Nunca LJ 14 Nos computadores em que possuo tais direitos instalo programas baixados da internet Sempre L Freq entemente E s vezes L Raramente a Nunca L 15 Leio relat rios e not cias relacionados aos eventos da seguran a da informa o Sempre L Freq entemente pa s vezes L Raramente L Nunca L 197 16 Fa o a limpeza do reposit rio de arquivos removidos lixeira de meu computador Sempre E Freq entemente E s vezes L Raramente LJ Nunca E 17
82. vem como uma base de dados para investiga es pos teriores Generaliza es s o feitas com base na an lise dos da dos relativos a classes similares ou tend ncias uni versais que s o expressas de um modo normativo causa conseqii ncia situa o a o correla o Tabela 2 Contrastes entre os paradigmas de pesquisa fenomenol gico e normativo adaptada de Sanders 1982 p 358 3 2 2 Heidegger Martin Heidegger 1889 1976 para quem um fen meno o que se mostra em si mesmo HEIDEGGER 1985 p 58 extendeu ainda mais os limites da Fenomenologia Enquanto Hus serl entende a cogni o como pensamento puro Heidegger a v como uma a o engajada ao intuir que o homem como ente auto consciente tem seu modo de ser caracterizado exatamente 35 por sua forma de experimentar o mundo HEIDEGGER 1998 MINGERS 2001b CROWELL 2002 Em sua maior obra Ser e Tempo Heidegger delineia 0 que ele chama Dasein traduzido como pr sen a HEIDEGGER 2002 ou ser no mundo GEORGE 2000 deixando clara sua preocupa o com o ser humano como coletividade e n o mais como indiv duo sua preocupa o assim n o se restringe ao ser humano mas abarca o Ser consciente e inserido no mundo Para Heidegger 1943 a ess ncia da verdade consiste na liberdade de ser completo ser e deixar ser A influ ncia do pensamento de Heidegger estende se desde a medicina e a enfermagem DRAUCKER 1999 SADALA ADORNO 2002
83. vez mais empresas buscam a ader ncia a padr es internacionais ou nacionais de seguran a mesmo que advindos de f runs externos No espectro governamental h algumas imposi es Cabe men o especial disposi o da Constitui o brasileira que estabelece que A administra o p blica direta e indireta de qualquer dos Poderes da Uni o dos Estados do Distrito Federal e dos Munic pios obedecer aos princ pios de legalidade impessoalidade moralidade publicidade e efici ncia BRA SIL 2004 Art 37 Embora estes princ pios sejam comumente vistos como aplic veis somente aos procedi mentos e aos tr mites ligados s atividades da administra o como a gest o de pessoal e de finan as n o h nada que impe a a sua aplica o seguran a da informa o Ao contr rio como os procedimentos e tr mites da administra o t m cada vez mais apoio sobre os sistemas de informa o a aplica o dos princ pios dispostos pela Carta Magna a estes sistemas vem ao 131 encontro da inten o do constituinte garante se que os sistemas de informa o sejam aderen tes aos princ pios legais vigentes de ampla utiliza o atentem para os preceitos da moral e da tica d em vaz o aos anseios democr ticos por acesso informa o e atendam eficientemente aos objetivos e requisitos para os quais foram criados Esta discuss o orientou a formula o da seguinte defini o Defini o 7 3 Uma pol tica
84. whe SER alee SP ac bo geek oh ag A a e ge p 32 3 2 2 Herded ter Co as oa st She A Ue ate Sea Re ee he eae ne hg ae eee p 34 3 2 3 Merleau Ponty maia tas ca eee SY Be OER BR Eee EE p 35 3 3 Ci ncia da Informa o e Fenomenologia 00 p 36 34 Hermeneutic assa St ga SIA di E SE Ae ae E AD E E a Pnet ag p 37 4 O contexto da seguran a da informa o p 42 4 1 Conceitos b sicos ss ams sas A NS ARAL AR AR ARA A p 42 4 1 1 A Informa o e seu ciclo de vida vn sv vim ae HESS oS p 43 4 1 2 Ativos da informa o gordo pombos nbr ee dob oe aes p 45 413 AMEA AS 4 ea ge aM AG AS ADA OES EE EAE Os p 46 4 1 4 Vulnerabilidades ss aire RS EAN Re EA ERM COS p 49 Ads Incidentes ee an oR oo aaa p 49 41 6 AtaGues dos aos o Me Se ARE A DD a p 49 Ble RISCOS ene a a a a Bre EE EAE ES EEE ES RS p 50 4 2 O conceito vigente de Seguran a da Informa o p 52 4 2 1 A necessidade de um novo conceito de seguran a da informa o p 54 4 3 Incidentes de seguran a da informa o 004 p 54 4 3 1 Incidentes de seguran a da informa o no contexto global p 55 4 3 2 Incidentes de seguran a da informa o no Brasil p 57 4 4 A abrang ncia da seguran a da informa o aoaaa a p 60 4 5 A implementa o da seguran a dainformag o p 63 4 5 1 Os requisitos do desenvolvimento de software p 64 4 5 2 O fluxo da informa o
85. 002 Bras lia 2002 Dispon vel em lt https www planalto gov br ccivil_03 Leis 2002 L10406 htm gt Acesso em 10 jan 2005 BRASIL Decreto n 4 073 de 3 de janeiro de 2 002 Bras lia 2002 Dispon vel em lt https www planalto gov br ccivil 03 decreto 2002 D4073 htm gt Acesso em 10 jan 2005 BRASIL Decreto n 4 376 de 13 de setembro de 2 002 Bras lia 2002 Dispon vel em lt https www planalto gov br ccivil 03 decreto 2002 D4376a htm gt Acesso em 10 jan 2005 BRASIL Decreto n 4 553 de 27 de dezembro de 2 002 Bras lia 2002 Dispon vel em lt https www planalto gov br ccivil_03 decreto 2002 D4553Compilado htm gt Acesso em 10 jan 2005 BRASIL Constitui o 1988 Constitui o da Rep blica Federativa do Brasil Bras lia 2004 Dispon vel em lt https www planalto gov br ccivil 03 Constituicao htm gt Acesso em 10 jan 2005 BREWER D F C NASH M J The chinese wall security policy In EEE Symposium on Researh in Security and Privacy IEEE 1989 Dispon vel em lt http www cs purdue edu homes cs590s chinese wall pdf gt Acesso em 19 fev 2005 BROWNE M The field of information policy 1 Fundamental concepts Journal of Information Science v 23 n 4 p 261 275 Aug 1997 BROWNE M The field of information policy 2 Redefining the boundaries and methodologies Journal of Information Science v 23 n 5 p 339 351 Oct 1997 BROWNING G HALCLI A WEBSTER F
86. 005 e nos ambientes organizacionais por Kwak e LaPlace 2005 A 6 A constru o do instrumento de percep o positiva da seguran a da informa o Uma vez definido o sistema que ser objeto de estudo do instrumento passa se qualifica o do atributo ou dos atributos de interesse a fim de delimitar se os aspectos espec ficos para os quais se deseja construir o instrumento de medida PASQUALI 1999 A 6 1 As propriedades do sistema psicol gico A propriedade da percep o que se deseja analisar com o instrumento constru do neste tra balho a percep o positiva a respeito da seguran a da informa o Ou seja deseja se saber qual o grau de ader ncia dos respondentes do instrumento que ser o usu rios de sistemas de informa o em institui es p blicas e privadas servidores ou empregados de tais institui es a pr ticas voltadas para a seguran a da informa o Noutras palavras deseja se aferir o grau com que o indiv duo percebe compreende o tema da seguran a da informa o como uma caracter stica essencial ao seu trabalho Infelizmente n o existe uma teoria constru da e consolidada sobre esta propriedade es pecificamente Sobre a percep o como se viu existem as mais diversas teorias Contudo a respeito da propriedade espec fica que a percep o da seguran a da informa o n o existem construtos te ricos elaborados Assim sendo passa se enumera o dos construtos que se con
87. 03 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT ICT Policy developments Paris 2004 285 328 p Disponivel em lt http www oecd org gt Acesso em 17 fev 2004 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT OECD Official Site Paris 2005 Disponivel em lt www ocde org gt Acesso em 2 jan 2005 ORMEROD P Complexity and the limits to knowledge Futures v 37 n 7 p 721 728 Sept 2005 ORTALO R Using deontic logic for security policy specification Toulouse Oct 1996 Dis ponivel em lt http dbserver laas fr pls LAAS publis rech_doc langage FR amp clef 15965 gt Acesso em 2 maio 2003 OSTROM E Institutional rational choice an assessment of the institutional analysis and development frameworks In SABATIER P Ed Theories of the policy process Boulder Colorado Westview Press 1999 p 35 71 PACHECO R KERN V Arquitetura conceitual e resultados da integra o de sistemas de informa o e gest o da ci ncia e tecnologia DatagramaZero Revista de Ci ncia da Informa o v 4 n 2 2003 Dispon vel em lt http www dgzero org abr03 Art 03 htm gt Acesso em 5 junho 2003 PARIKH R RAMANUJAM R A knowledge based semantics of messages Journal of Logic Language and Information v 12 n 4 p 453 467 Sept 2003 PARIKH R VAANANEN J Finite information logic Annals of Pure and Applied Logic v 134 n 1 p 83 93 June 2005 PARSONS W Public Policy an in
88. 11 A necessidade de um novo enfoque para as pol ticas de seguran a da informa o Muitas s o as ocasi es em que as pol ticas de seguran a da informa o falham Em v rias destas as pol ticas foram formuladas adequadamente mas sua implementa o se baseou em documentos e refer ncias passivos espera de que os usu rios viessem consult los Em outros casos a implementa o j estava errada desde seus fundamentos como a formula o WOOD 2000 Esta realidade baseia se em um pressuposto ainda mais complexo a necessidade de uma nova defini o de seguran a da informa o A defini o apresentada por Anderson 2003 qual seja de que a seguran a da informa o um sentimento bem informado de garantia de que os riscos e controles da informa o est o balanceados ainda est incompleta deve se cotizar a formula o dos riscos com a real percep o dos usu rios contemplar os objetivos da organiza o estabelecer estrat gias adequadas para a formula o aplica o e verifica o das pol ticas e para a sua atualiza o quando necess rio como requisitos m nimos para sua efetiva ado o Tendo em vista estas necessidades apresentam se a seguir os fundamentos propostos para a ado o de pol ticas que contemplem a complexidade das intera es entre os agentes sociais envolvidos na sistematiza o da seguran a da informa o 109 6 A proposta da seguran a da informa o como um domini
89. 19 Jer relat rios e noticias relacionados aos eventos da seguran a da informa o 20 manter se atualizado sobre a exist ncia de v rus cavalos de tr ia por es de c digo que se instalam em computadores e aparentam atividades distintas daquelas danosas que realmente realizam e outras formas de programas e c digos maliciosos Constru o dos itens Os itens constantes do instrumento procuram adequar se aos crit rios definidos por PAS QUALI 1999 a saber 1 Crit rio comportamental os itens expressam comportamentos e n o abstra es 2 Crit rio de desejabilidade ou prefer ncia os itens cobrem atitudes medidas como com portamentos desej veis 3 Crit rio da simplicidade cada item expressa uma nica id ia 4 Crit rio da clareza pretende se que os itens sejam intelig veis para todos os estratos de respondentes usu rios de sistemas de informa es servidores de institui es p blicas e ou privadas 194 5 Crit rio da relev ncia a frase contida nos item consistente com o atributo que se deseja medir percep o positiva a respeito da seguran a da informa o 6 Crit rio da precis o os itens possuem posi es definidas no cont nuo do atributo sendo distintos dos demais itens esta asser o deve ser verificada com a coleta dos dados em p ricos 7 Crit rio da variedade deve ocorrer varia o da linguagem de um item para outro evi tando a monotonia do respondente e deve tamb
90. 4 1 7 Riscos Diversas abordagens t m sido apresentadas para o tratamento de riscos ou para averiguar de que maneira a preven o de riscos pode influenciar a gest o da seguran a da informa o De qualquer modo consensual que o risco deve ser adequadamente medido e avaliado possibili tando a cria o de medidas preventivas voltadas sua diminui o O risco pode ser definido como as perdas incluindo perdas em vidas humanas que podem ocorrer mediante a ado o de determinado curso de a o Pode se medir o risco em termos da utilidade monet ria envolvida ou pela vari ncia da distribui o de probabilidade de eventuais perdas e ganhos associados a alguma alternativa em particular senso comum que o risco jamais pode ser integralmente eliminado GUAN et al 2003 Ao se engajar em atividades de avalia o e preven o de riscos as organiza es t m em vista este senso comum A norma BS7799 formulada pelo British Standards Institute e que inspirou a norma ISO IEC 17799 cuja primeira parte 7 foi implementada no Brasil por meio da norma NBR 17799 des creve os controles de seguran a requeridos no ambiente organizacional e preconiza que os siste mas de gest o de seguran a da informa o devem se focam na gest o de riscos a fim de atingir 7A segunda parte diz respeito implementa o de modelos de sistemas de gest o de seguran a da informa o e foi recentemente publicada sob o n mero 27001 2005 52
91. 66 Funcion rios insatisfeitos 53 Divulga o de senhas 51 Acessos indevidos 49 Vazamento de informa es 47 Fraudes erros e acidentes 41 Hackers 39 Falhas na seguran a f sica 37 Uso indevido de notebooks 31 Fraudes em e mail 29 Tabela 6 Principais amea as seguran a da informa o no Brasil em 2003 Fonte M dulo 2003 Ainda no Brasil o mais citado centro sem fins lucrativos de fomento seguran a da in forma o no mbito da internet o Network Information Center Security Office NBSO mantido pelo Comit Gestor da Internet no Brasil rg o governamental com representantes da sociedade Um demonstrativo da quantidade de incidentes relatados a este centro no per odo de 1999 a 2006 mostrado na Figura 7 Total de Incidentes Reportados ao CERT br por Ano 8400 77933 75722 72000 2 8 48000 Total de Incidentes 8 o 8 24000 12000 1999 2000 2001 2002 2003 2004 2005 2006 Ano 1999 a junho de 2006 Figura 7 Incidentes reportados ao NBSO de 1999 a 2006 Fonte NBSO 2006 Os incidentes reportados no ano de 2005 distribu dos por tipo est o ilustrados na Figura Outro tipo de ataque que tem se disseminado cada vez mais o denominado phishing no qual se envia uma mensagem a um grupo de usu rios contendo algum tipo de atrativo como uma suposta aprova o de cr dito ou uma alegada promo o de determinada institui o comercial ou financeira dentro da qu
92. 998 ou quando n o monet rias que causam danos por vezes irrepar veis imagem da organiza o indo desde o vandalismo de pixar a p gina da empresa na internet site defacement at a retirada do ar de um ou mais servidores DoS ou DDos em uma rela o muitas vezes potencializada por uma m dia em geral desinformada e vida por eventos de impacto SCHULTZ 2003 4 3 2 Incidentes de seguran a da informa o no Brasil A empresa de consultoria IDC apresentou no in cio de 2004 seu relat rio Tend ncias de investimento em seguran a da informa o no Brasil para aquele ano MOTTA 2004 Foram pesquisadas 286 empresas de diversos segmentos incluindo o Governo tendo sido apontada uma tend ncia no aumento de gastos em rela o ao ano anterior Observa se pela Tabela 5 59 que a infec o por v rus em servidores computacionais foi o incidente de maior ocorr ncia no per odo analisado ou seja entre fevereiro de 2003 e mar o de 2004 Ocorr ncia Percentual V rus no servidor 59 Downtime indisponibilidade de servidor superior a 4 horas 36 Uso n o autorizado de algum sistema 24 Modifica o n o autorizada de dados ou configura o 18 Acesso n o autorizado a informa es da empresa 15 Vandalismo no conte do web 9 Tabela 5 Incidentes de seguran a mais comuns no Brasil em 2003 Fonte Motta 2004 Em outubro de 2003 a M dulo Security Solutions S A a principal empresa de seguran a t
93. CERT e principal refer ncia nacional quanto ao tema seguran a da informa o na internet o NBSO o Grupo de Resposta a Incidentes para a Internet brasileira 96 mantido pelo Comit Gestor da Internet no Brasil respons vel por receber analisar e responder a incidentes de seguran a em computadores envolvendo redes conectadas Internet brasileira NBSO 2006 Assim como o CERT em mbito global o NBSO disponibiliza estat sticas cursos textos e ferramentas relativos seguran a da informa o em mbito nacional Constitui o Federal de 1988 Sendo a primeira Carta Magna outorgada em seguida ao t rmino do per odo do governo militar 1964 1985 a Constitui o de 1988 introduziu diversos dispositivos voltados ga rantia de direitos individuais e coletivos al m de afian ar outros j existentes mas ainda n o formalizados como o sigilo da correspond ncia e das comunica es telegr ficas de dados e das comunica es telef nicas salvo a sua quebra por ordem judicial BRASIL 2004 Art 5 XII Regulamentou se ainda a figura do habeas corpus BRASIL 2004 Art 5 LXVIII e institui se a do habeas data BRASIL 2004 Art 5 LXXID destinadas respectivamente manuten o da integridade f sica e ao conhecimento do conte do de informa es a respeito do impetrante sob a guarda do Poder P blico A aplica o deste ltimo dispositivo por m frequentemente dificultada como visto no exemplo d
94. CHELL R R Information security science pseudoscience and flying pigs In 17 Computer Security Applications Conference S 1 ACSAC 2001 p 205 216 SCHLIENGER T TEUFEL S Analyzing information security culture increased trust by an appropriate information security culture In Proceedings of the 14 International Workshop on Database and Expert Systems Applications Oakland California IEEE Society 2003 v 6 p 405 409 SCHMIDT D J On the significance of nature for the question of ethics Research in Phenomenology v 31 p 62 77 2001 SCHMIDT R H SPINDLER G Path dependence corporate governance and complementa rity International Finance v 5 n 2 p 311 333 Nov 2002 SCHMITTER P C Reflex es sobre o conceito de pol tica In Curso de Introdu o Ci ncia Pol tica Unidade I Bras lia UnB 1982 p 29 35 SCHNEIDER F B Enforceable security policies ACM Transactions on Information and Systems Security v 3 n 1 p 30 50 Feb 2000 SCHNEIER B Applied Cryptography New York John Wiley amp Sons 1996 SCHNEIER B Secrets and Lies digital security in a networked world New York John Wiley amp Sons 2000 SCHULTZ E E A framework for understanding and predicting insider attacks Computers amp Security v 21 n 6 p 526 531 Oct 2002 SCHULTZ E E Information security and the media Computers amp Security v 22 n 8 p 652 653 Dec 2003 SCHULTZ E E
95. Constru o valida o e aplica o de instrumentos de aferi o da percep o Por meio da formula o de instrumentos question rios e ou entrevistas objetiva se cap tar a percep o dos usu rios em todos os n veis organizacionais perante o tema seguran a da informa o A constru o de instrumentos adequados segue a estrutura e o formalismo de itens de medida psicol gicos que se encontram adequadamente testados e validados O mo tivo para a constru o e aplica o destes instrumentos o distanciamento observado entre as expectativas que norteiam a implementa o das pol ticas e a real prepara o dos usu rios para o comportamento voltado seguran a o qual por muitas vezes contr rio s pr ticas usuais como exemplo cite se a exig ncia de realiza o peri dica de c pia de seguran a backup dos dados institucionais de posse do usu rio Desta forma almeja se reduzir a lacuna entre o comportamento usualmente apresentado e o comportamento almejado 179 A 2 Teoria psicol gica Segundo Pasquali 2003 os instrumentos sensoriais ou habilidades que se manifestam pelo comportamento humano distinguem se nas categorias dispostas na Tabela 9 SER Conhecer Sentir Agir Fisico Sentidos Sistema neuro end crino Instinto tato alerta olfato sobreviv ncia vis o reprodu o audi o explora o paladar prote o Ps quico Intelecto Senso de valor Vontade mem ria est
96. ECD 2001 GREENER I Agency social theory and social policy Critical Social Policy v 22 n 4 p 688 705 Nov 2002 153 GREENER I Theorising path dependency How does history come to matter in organisations Management Decision v 40 n 6 p 614 619 2002 GREENER I The potential of path dependence in political studies Politics v 25 n 1 p 62 72 Feb 2005 GUAN B C et al Evaluation of information security related risks of an organization the application of the multi criteria decision making method In JEEE 37th Annual International Carnahan Conference on Security Technology Oakland California IEEE Society 2003 p 168 175 GUEL M D A short primer for developing security policies Bethesda Maryland 2001 Disponivel em lt http www sans org resources policies Policy_Primer pdf gt Acesso em 25 abr 2002 GUPTA M et al Matching information security vulnerabilities to organizational security profiles a genetic algorithm approach Decision Support Systems 2004 No prelo GUZMAN I R KAARST BROWN M L Organizational survival and alignment insights into conflicting perspectives on the role of the IT professional In Proceedings of the 2004 conference on Computer personnel research Tucson Arizona ACM 2004 p 30 34 Disponivel em lt http doi acm org 10 1145 982372 982379 gt Acesso em 2 ago 2004 HAGUETE T M F A intera o simb lica In Metodologias qualitativas na sociolo
97. EURO PEAN COMMISSION 2003b e um sistema europeu de alerta e informa es sobre seguran a 94 e o incremento do suporte tecnol gico e o apoio padroniza o e certifica o orientadas ao mercado e a forma o de um arcabou o legal abrangente no qual uma das primeiras iniciativas foi a aprova o pelo Parlamento Europeu da Diretiva 95 46 que trata da prote o de indi v duos quanto ao processamento e tr fego de dados pessoais EUROPEAN COMMIS SION 1995a EUROPEAN COMMISSION 1995b e a aplica o da seguran a pelas institui es governamentais e financeiras e a coopera o e parceria com pa ses de fora da UE 5 8 4 OCDE A OCDE conta com a participa o de 30 pa ses membros entre os quais o Brasil n o se inclui dentre os de economia mais desenvolvida no globo e tem sua atua o voltada para temas sociais econ micos educacionais e de desenvolvimento ci ncia e inova o Sediado em Paris o organismo produz instrumentos decis es e recomenda es onde se requer a con cord ncia multilateral entre pa ses na esfera globalizada OCDE 2005 Diversos relat rios est o dispon veis no site da entidade e ser o abordados ao longo deste trabalho mas de an tem o salientem se aqueles voltados a ressaltar o papel da sociedade civil na formula o de pol ticas p blicas OCDE 2002a MCINTOSH 2003 GRAMBERGER 2001 s pol ticas acerca das tecnologias de informa o e comunica o OCDE 2004
98. Era da Informa o As caracter sticas da informa o que s o atualmente mais salientadas s o as seguintes Valor valoriza se n o somente o que se sabe mas tamb m e em muitos casos at mais O que n o se sabe Transa es entre indiv duos empresas e governos s o cada vez mais baseadas na troca de informa es que substituem os ativos tang veis e o papel moeda O grau de conhecimento a respeito dos bens de troca e da situa o dos prov veis parceiros ou concorrentes por sua vez assume papel cada vez mais preponderante Diversos mo delos para a valora o da informa o t m sido apresentados tais como o de Dickhaut et al 2003 e o de Henessy e Babcock 1998 Em comum apresentam a preocupa o com a distribui o da informa o entre os participantes quer em situa es de parceria como consorciados quer em situa es de rivalidade como concorrentes Temporalidade ou volatilidade t o importante quando o que se sabe quando se sabe 45 O exemplo das informa es noticiosas apenas um dentre a gama que se pode citar o gt 4 66 2 2 ies fold que hoje um furo amanh tornar se uma not cia velha Quando a este crit rio varia se da situa o em que a informa o deve estar dispon vel no instante exato em que dela se necessite caso de permiss o de acesso concedida situa o em que ela n o deve estar dispon vel em tempo algum caso de permiss o de acess
99. ITUTE 2000c planejamento e organiza o aquisi o e implementa o entrega e suporte e monitora o e avalia o e objetivos de controle provendo mais de 300 enunciados que definem o que precisa ser gerenciado em cada processo de TI a fim de atingir os objetivos da organiza o inclusive quanto gest o de riscos IT GOVERNANCE INSTITUTE 2000a e pr ticas de controle indicando quais controles e pr ticas s o necess rios a fim de atingir os objetivos estabelecidos e linhas mestras de gest o com ferramentas para dar suporte aos gestores de TI IT GO VERNANCE INSTITUTE 2000e e e linhas mestras de auditoria delineando 34 objetivos da auditoria de TI com atividades e um guia para a sua realiza o Al m destes componentes prov se ainda um guia r pido COBIT QuickStart para a ado o gradual e orientada dos elementos do COBIT IT GOVERNANCE INSTITUTE 2000d 5 9 3 Common Criteria O projeto Common Criteria CC patrocinado por sete organiza es de seis pa ses dis tintos a saber NIAP 2003a e Canad Communications Security Establishment 102 e Fran a Service Central de la S curit des Syst mes d Information e Alemanha Bundesamt fiir Sicherheit in der Informationstechnik e Holanda Netherlands National Communications Security Agency e Reino Unido Communications Electronics Security Group e e Estados Unidos National Institute of Standards and Technology
100. Joao Luiz Pereira Marciano Seguran a da Informa o uma abordagem social Bras lia 2006 Joao Luiz Pereira Marciano Seguran a da Informa o uma abordagem social Tese apresentada ao Departamento de Ci ncia da Informa o e Documenta o da Universi dade de Bras lia como requisito para a obten o do t tulo de doutor em Ci ncia da Informa o Orientador Mamede Lima Marques CID FACE UNB Bras lia 2006 FOLHA DE APROVACAO T tulo Seguran a da Informa o uma abordagem social Autor Jo o Luiz Pereira Marciano rea de concentra o Transfer ncia da Informa o Linha de pesquisa Arquitetura da Informa o Tese submetida Comiss o Examinadora designada pelo Colegiado do Programa de P s Gradua o em Ci ncia da Informa o do Departamento de Ci ncia da Informa o e Documen ta o da Universidade de Bras lia como requisito parcial para obten o do t tulo de Doutor em Ci ncia da Informa o Tese aprovada em 14 07 2006 Aprovado por Prof Dr Mamede Lima Marques Presidente Orientador UnB PPGCInf Prof Dr Marisa Brascher Bas lio Medeiros Membro interno UnB PPGCInf Prof Dr Paulo Carlos Du Pin Calmon Membro externo IPOL UnB Prof Dr Paulo Henrique Portela de Carvalho Membro interno CID FACE UnB Prof Dr Gentil Jos de Lucena Filho Membro externo UCB Prof Dr Tarc sio Zandonade Suplente UnB PPGCInf A memoria de meu pai Joaquim
101. Managenent Book of Knowledge Belo Horizonte PMIMG 2000 Disponivel em lt www pmimg org br pdf pmimg pdf gt Acesso em 15 fev 2002 PYLYSHYN Z Is vision continuous with cognition The case for cognitive impenetrability of visual perception Behavioral and brain sciences v 22 n 3 p 341 365 June 1999 QUINN A C Keeping the citizenry informed early congressional printing and 21 century information policy Government Information Quarterly v 20 n 3 p 281 293 July 2003 RADFORD G P RADFORD M L Structuralism post structuralism and the library de Saussure and Foucault Journal of Documentation v 61 n 1 p 60 78 2005 166 RAGGAD B G Corporate vital defense strategy a framework for information assurance In Proccedings of the 23rd National Information Systems Security Con ference NIST National Institute of Standards and Technology 2000 Disponivel em lt http csrc nist gov nissc 2000 proceedings papers 029 pdf gt Acesso em 9 jul 2003 RAJAN R G ZINGALES L The tyranny of inequality Journal of Public Economics v 76 n 3 p 521 558 June 2000 RAMANUJAM R SURESH S P Information based reasoning about security protocols Electronic Notes on Theorical Computer Sciences v 55 n 1 p 1 16 Jan 2003 RATNER R K HERBST K C When good decisions have bad outcomes The impact of affect on switching behavior Organizational Behavior and Human Decision Processes v 96 n 1
102. Morahan Martin e Schumacher 2000 mos tra o uso patol gico da internet entre estudantes universit rios uma das principais fontes de ataques a outras institui es Fala se tamb m em tica no mundo digital ao confrontar se a atua o dos usu rios e gru pos que propugnam a livre utiliza o de recursos como obras cient ficas e art sticas s grandes corpora es principalmente de m dia que procuram sob a alega o de preservar seus investi mentos alternativas tecnol gicas e legais vide a se o 5 8 que impe am ou diminuam a a o daqueles que em alguns casos apregoam a desobedi ncia civil digital LITMAN 2003 Naturalmente cada lado afirma ser anti tica a atua o do oponente enquanto outros como Introna 2002 afirmam ainda ser imposs vel uma conviv ncia racional baseada nos crit rios e c digos estabelecidos na era da informa o requerendo uma nova ordem baseada na media o face a face e n o em par metros comerciais ou tecnol gicos dos conflitos Embse Desai e Desai 2004 em seu estudo sobre a aplica o de cren as c digos e pol ticas no ambiente organizacional apontam que para se concretizar a ado o de valores ticos necess ria a conjuga o de uma abordagem abrangente que contemple considera es estrat gicas como performance lucratividade e requisitos de qualidade com vistas ao equil brio entre as normas propostas e a pr tica adotada principalmente
103. N o reconhecer que a governan a da seguran a da informa o uma disciplina multimen sional n o existindo solu es prontas e acabadas capazes de atender de modo autom tico s mesmas demandas em diferentes contextos 4 N o reconhecer que um plano de seguran a da informa o deve se basear em riscos iden tificados 5 N o reconhecer ou subestimar o papel das pr ticas e padr es internacionais de gest o de seguran a da informa o 6 N o reconhecer que uma pol tica corporativa de seguran a da informa o absolutamente essencial 107 7 N o reconhecer que a adequa o seguran a da informa o e a sua monitora o s o absolutamente essenciais 8 N o reconhecer que uma estrutura organizacional pr pria para a governan a da seguran a absolutamente essencial 9 N o reconhecer a import ncia essencial da consci ncia quanto seguran a da informa o junto aos usu rios e 10 N o dar aos gestores da seguran a da informa o poder infraestrutura ferramentas e mecanismos de suporte necess rios ao desempenho de suas responsabilidades Trata se de uma lista ad hoc obtida da experi ncia pessoal dos autores mas que se reporta a alguns dos aspectos j citados a necessidade do comprometimento da alta ger ncia da participa o dos usu rios e da exist ncia de ferramentas adequadas de gest o Por sua vez Vermeulen e von Solms 2002 apresentam a proposta de uma
104. NSTITUTE COBIT Executive Summary 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT Framework 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT Implementation Tool Set 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 156 IT GOVERNANCE INSTITUTE COBIT Management Guidelines 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT security baselines Chicago 2004 Disponivel em lt http www isaca org gt Acesso em 17 jan 2005 IT GOVERNANCE INSTITUTE IT control objectives for Sarbanes Oxley Rolling Meadows Illinois 2004 Dispon vel em lt http www isaca org ContentManagement ContentDisplay cfm ContentID 13923 gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE IT governance global status report Rolling Meadows Illinois 2004 Dispon vel em lt http www itgi org gt Acesso em 1 fev 2006 IT GOVERNANCE INSTITUTE COBIT Chicago 2005 Dispon vel em lt http www isaca org gt Acesso em 17 jan 2005 JAEGER P T BERTOT J C MCCLURE C R The impact of the USA Patriot Act on collection and analysis of personal information under the Foreign Intelligence Surveillance Act Government Information Quarterly v 20 n 3 p 295 314 July 2003 JAMES J Free software and the d
105. ONARDO 2003 BEEBE 2004 incluindo a ci ncia da informa o CAPURRO 2000 HANSSON 2005 A hermen utica contrasta se frontalmente com outras epistemolo gias como o pragmatismo e o realismo BAERT 2003 Uma das principais cr ticas ao paradigma normativo a sua incapacidade de considerar eventos e elementos em processos ditos whiteheadeanos gt OU seja fen menos que n o se suce dem simplesmente mas que se modificam de modo fundamental ao longo do tempo e de suas sucessivas intera es Deste modo o paradigma normativo proporciona uma predi o e uma explana o acuradas apenas para situa es de intera o particularmente rotineiras DEETZ 1973 O paradigma interpretativo baseado na fenomenologia na hermen utica e na filosofia Tratando por exemplo como em Kim 2001 de uma fenomenologia do ser digital 3De Alfred North Whitehead 1861 1947 matem tico logicista e fil sofo brit nico que em companhia de Bertrand Russel publicou os tr s volumes de Principia Mathematica obra fundamental na l gica e metaf sica do s culo XX 39 da linguagem por outro lado busca substituir o senso comum por uma vis o mais essencial que possa tornar p blicos interpreta es e significados que passem despercebidos no dia a dia DEETZ 1973 HEIDEGGER 1985 p 188ss Para tanto tr s conceitos s o fundamentais ao pesquisador DEETZ 1973 implica o considera se o comportamento humano e seus produtos
106. RON G L BRUILLARD E Information and communication technology models of evaluation in France Evaluation and Program Planning v 26 n 2 p 177 184 Apr 2003 BASKERVILLE R Information systems security design methods implications for informations systems development ACM Computing Surveys v 25 n 4 Nov 1993 BASS F T Security policy target contents and links In Proceedings of the 21 National In formation Systems Security Conference NIST National Institute of Standards and Technology 1998 Disponivel em lt http csrc nist gov nissc 1998 proceedings paperG4 pdf gt Acesso em 2 jun 2003 BATES M J The invisible substrate of information science Journal of the American Society for Information Science v 50 n 12 1999 Disponivel em lt http www gseis ucla edu faculty bates substrate html gt Acesso em 8 ago 2003 BAUMER D L EARP J B POINDEXTER J Internet privacy law a comparison between the United States and the European Union Computers amp Security v 23 n 5 p 400 412 July 2004 BEEBE J Can there be a science of the symbolic Journal of Analytical Psychology v 49 n 2 p 177 191 May June 2004 BELLETTINI C BERTINO E FERRARI E Role based access control models Information Security Technical Report v 6 n 2 p 21 29 June 2001 BEN ARI M MANNA Z PNUELI A The temporal logic of branching time In gih Annual ACM Symposium on Principles on Programming Langu
107. SS XPath XSL FO XSLT XSL CSS NETS XMLOTD CML HDME GML WHL ECHL IML cx DSML MathML MewsML ebXML p35 SDMEEMMS MIDI NIFF CORC ISwe MEL gt mL ISRC Biblio oac homes MusicXML NISO Si V ISHN 150C smoL van O Dittusion Archives Texte URI URL URN URC PURL ISBN ISSN SICI DOL Biblioth ques 2004 M troh ta version 1 2 pr sent par James M Turner V ronique Moal at Julie Desnoyere Figura 4 Etapas do ciclo de vida e algumas unidades de informa o Fonte Turner e Moal 2003 A fim de que se possa situar adequadamente o escopo da seguran a da informa o alguns conceitos devem sem introduzidos 4 1 2 Ativos da informa o usual a vis o de que a informa o constitui per se um ativo no sentido de ser um bem a ser valorizado e preservado S MOLA 2003 pp 1 2 Contudo na vis o deste trabalho a concep o de ativo da informa o ou ativo informacional como tamb m comum chamar se compreende o conjunto dos indiv duos compostos tecnol gicos e processos envolvidos em alguma das etapas do ciclo de vida da informa o Embora seja uma rela o bvia deve se en fatizar que a relev ncia desta participa o determinante para a estabelecimento dos aspectos da seguran a envolvidos comum dar se especial aten o a ativos espec ficos como os mais caros ou os menos comuns mas quanto mais intensa for a participa o do ativo no ciclo de vida tanto mai
108. TRADE AND INDUSTRY Information Secu rity Bs7799 and the data protection act Londres 2004 Dispon vel em lt http www dti gov uk bestpractice assets security dpa pdf gt Acesso em 29 jul 2004 UK DEPARTMENT OF TRADE AND INDUSTRY Information Security Hard facts Londres 2004 Dispon vel em lt http www dti gov uk bestpractice assets hardfacts pdf gt Acesso em 29 jul 2004 UNI O EUROP IA Site oficial Bruxelas 2003 Dispon vel em lt www eu int gt Acesso em 9 maio 2003 UNITED NATIONS EDUCATIONAL SCIENTIFIC AND CULTURAL ORGANIZATION Country profiles of e governance Paris 2002 US CENSUS BUREAU OF THE DEPARTMENT OF COMMERCE Quarterly retail e commerce sales 4th quarter 2005 Washington DC 2006 Dispon vel em lt http www census gov mrts www data html 05Q4 html gt Acesso em 9 maio 2006 VAN DER HAAR H VON SOLMS R A model for deriving information security control attribute profiles Computers amp Security v 22 n 3 p 233 244 Apr 2003 van der Hoek W WOOLDRIDGE M Model checking cooperation knowledge and time a case study Research in Economics v 57 n 3 p 235 265 Sept 2003 VANDENBERGHE F The nature of culture Towards a realist phenomenology of material animal and human nature Journal for the Theory of Social Behaviour v 33 n 4 p 461 475 Dec 2003 173 VANN J L Resistance to change and the language of public organizations a look at clashing gramma
109. WTON 2000 Na pr tica de modo geral contudo as pol ticas tomam como passo inicial a realiza o de uma an lise de riscos no ambiente organizacional 84 5 5 An lise de riscos A respeito da an lise de riscos que se concentra em ativos amea as e vulnerabilidades Gerber von Solms e Overbeek 2001 uma vez mais enfatizam a formaliza o dos requisitos de seguran a da informa o a partir dos requisitos do neg cio Zhang e Yang 2002 por sua vez salientam o fluxo da informa o como determinante de sua seguran a enquanto Tsoumas e Tryfonas 2004 refor am a import ncia da automa o da gest o da seguran a da informa o a fim de dar vaz o complexidade e variabilidade dos elementos da seguran a Diversas metodologias t m sido apresentadas para a realiza o de an lise de riscos em sua grande maioria propriet rias e de custo elevado de realiza o Uma particularmente in teressante a denominada OCTAVE Operationally Critical Threat Asset and Vulnerability Evaluation ALBERTS DOROFEE 2002 desenvolvida pelo CERT no mbito da Carnegie Mellon University e cuja documenta o de livre acesso A metodologia OCTAVE prev uma a o coordenada para realizar basicamente duas tare fas e identificar os ativos relacionados informa o que s o importantes para a organiza o e e priorizar a as atividades de an lise de riscos nos ativos que forem considerados os mais cr ticos
110. a o o SANS Institute publicou e tornou dispon veis na internet diversos modelos templates de pequenas normas de seguran a voltadas a finalidades como correio eletr nico uso de computadores controle de acesso e muitas outras Al m disso sua lista das 20 principais vulnerabilidades dos sistemas Windows e Unix bastante conceituada SANS 2004 Al m destes textos o SANS Institute publicou ainda um modelo para a elabora o de pol ticas de seguran a de n vel organizacional GUEL 2001 al m de uma lista de verifica o checklist para a valida o da conformidade ao padr o ISO IEC 17799 THIAGARAJAN 2003 que ser o melhor analisados mais adiante DRM Uma das principais iniciativas das grandes corpora es voltadas distribui o de conte dos digitais voltada seguran a da informa o a proposta Digital Rights Management DRM H muita controv rsia sobre o modelo desde que foi apresentado em meados da d cada de 1990 Cohen 2003 cita as restri es privacidade como a lei pro be em certos casos a c pia de CDs e filmes em DVDs 2 muitos cidad os sentem se atingidos em seus direitos uma vez tendo adquirido uma c pia leg tima da m dia Mas isto n o o mais controverso o modelo prev que os detentores dos direitos autorais recebam informa es sobre o caminho percorrido por suas obras desde a fabrica o at a resid ncia dos usu rios Alguns fabricantes de software e de hardware princ
111. a o transmiss o transforma o e utiliza o Todas estas etapas est o sujeitas a eventos afeitos seguran a sendo que estes eventos podem ocorrer em momentos precoces ou tardios de cada uma das etapas o que faz com que a seguran a da informa o tenha de se preocupar com todo o ciclo de vida sem desprezar nenhuma das etapas identificadas O fato de que cada vez mais os recursos de tratamento da informa o ou seja os recursos que manipulam a informa o durante o seu ciclo de vida sejam apresentados sobre uma base tecnol gica induz a que se d elevada nfase aos aspectos tecnol gicos da seguran a De fato esta nfase n o recente SALTZER SCHROEDER 1975 Entretanto n o deve ser a tecno logia a nica nuance contemplada nem mesmo a principal A elevada presen a tecnol gica pode ser ilustrada pela Figura 4 obtida do projeto Metromet da Universidade de Montreal TURNER MOAL 2003 que mostra algumas das etapas do ciclo de vida e a utiliza o da 46 tecnologia em unidades de informa o Nesta acep o todos as etapas do ciclo representadas est o fortemente calcadas em protocolos e ferramentas tecnol gicas L gende Cr ation Images fixes yr Blbitoth ques Organisation Images en Diffusion mouvement purn Pr servation Son Organismes Texte eme Biblioth ques Archives semL Mus es MINE SAML ENTE Pr servation soar XMTP JA
112. a seguran a da informa o N o necess rio se identificar Responda s quest es assinalando a op o correspondente ao comportamento que voc adota diante de cada uma das situa es apresentadas Muito obrigado por sua aten o 1 Realizo c pia de seguran a backup dos dados da institui o em que trabalho quese encontram sob a minha guarda Sempre L Freq entemente E s vezes L Raramente E Nunca L 2 Ao atualizar as senhas de acesso utilizo senhas distintas das anteriores Sempre L Freq entemente a AS vezes L Raramente E Nunca L 3 Utilizo senhas fracas compostas por nomes ou iniciais de pessoas conhecidas datas de eventos pessoais seq ncias de letras ou n meros evidentes Sempre L Freq entemente L As vezes L Raramente L Nunca E 4 Leio as ofertas de neg cios e oportunidades que me s o enviadas por correio eletr nico sem a minha solicita o Sempre L Frequentemente L s vezes L Raramente E Nunca L 196 5 Ao tratar de assuntos pessoais utilizo conta de correio eletr nico distinta da organizacio nal Sempre L Freq entemente L s vezes L Raramente L Nunca L 6 Executo arquivos anexados recebidos por correio eletr nico Sempre E Freq entemente L s vezes L Raramente E Nunca L 7 Ap s utilizar sistemas de informa o eu encerro a sess o fa o logoff Sempre L Freq entemente L s vezes L Raramente ba Nunca L 8 Ao ligar um novo computador ou outro equipamento rede el
113. a os dados coletados por Whitman 2003 apontaram os resultados lis tados na Tabela 3 4 1 4 Vulnerabilidades Uma vulnerabilidade representa um ponto potencial de falha ou seja um elemento relaci onado informa o que pass vel de ser explorado por alguma amea a pode ser um servidor ou sistema computacional uma instala o f sica ou ainda um usu rio ou um gestor de in forma es consideradas sens veis Dada a incerteza associada aos ativos e s vulnerabilidades 50 N mero de eventos por m s Nenhum At 50 De5lal00 Maisde 100 Sem Resposta 1 Eventos por software 16 7 62 5 9 4 11 5 2 Erros ou falhas t cnicas de software 30 2 64 6 5 2 3 Falhas ou erros humanos 24 0 66 3 2 1 5 2 12 5 4 Espionagem ou invas o hacking 68 8 23 9 3 1 4 2 5 Sabotagem ou vandalismo 64 6 34 4 1 0 6 Erros ou falhas t cnicas de hardware 34 4 62 5 3 1 7 Furto 54 2 45 8 8 For as da natureza 62 5 36 5 1 0 9 Comprometimento propriedade intelectual 61 5 28 1 2 1 1 0 7 3 10 Varia o de QoS 46 9 52 1 1 0 11 Obsolesc ncia t cnica 60 4 37 5 1 0 1 0 12 Extors o 90 6 9 3 Tabela 3 N mero mensal de eventos por amea a em percentual de respondentes adaptada de Whitman 2003 a eles relacionadas a constru o de modelos probabil sticos tem sido utilizada para o mapea mento dos diferentes elementos da informa o na constru o dos conjuntos de vulnerabilidades associadas a cada ativo As diferentes sol
114. a todos os comportamentos observados expressam o mesmo mundo implicativo apropria o de g nero diferentes tipos de comportamento devem ser adequada mente interpretados de diferentes formas coer ncia as implica es expressas s o intelig veis e plaus veis e o ponto de vista do indiv duo n o deve ser literalmente considerado nem deve ser usado como crit rio para avaliar a interpreta o o comportamento objetivo expressa mais ade quadamente o mundo de possibilidades implicadas e a intui o quando vista como conhecimento essencial metodologicamente embasado deve ser diferenciada da introspec o inferencial e do subjetivismo impressionista e n o se exige que o pesquisador se envolva diretamente no mundo sob escrut nio mas que a interpreta o entendimento explica o seja expressa na linguagem do mundo do comportamento observado a fim de se adequar e expressar de modo aut ntico a estrutura de possibilidades implicativas No que diz respeito seguran a da informa o s o usuais as interpreta es segundo as quais um sistema de informa es composto pelo complexo de tecnologia hardware e soft ware enquanto outras d o um pequeno passo adiante ao abarcar a presen a do usu rio Con tudo conforme j se disse o usu rio n o um indiv duo isolado ele vive em determinado contexto organizacional no interesse deste trabalho e com ele interage ao mesmo tempo influenciando o e
115. a as defini es apresentadas por Shannon 1948 e Shannon e Wea ver 1975 tais como a de informa o como medida da entropia ou quantidade de energia de um sistema sejam voltadas muito mais a aplica es destinadas mensura o do volume in formacional envolvido em uma troca de mensagens que compreens o em si dos fen menos pelos quais a informa o gerada ou transferida s o apresentados ali tr s questionamentos de fundamental import ncia para a compreens o destes fen menos e com que exatid o pode se transmitir s mbolos de comunica o o chamado problema t cnico da teoria da informa o e com que precis o os s mbolos transmitem o significado desejado problema sem ntico 26 e com que efici ncia o significado recebido afeta o comportamento do receptor problema da efici ncia O esquema cl ssico elaborado por Shannon 1948 com uma atualiza o devida ao con texto tecnol gico atual ilustrado pela Figura 2 FED MENSACEM Ge SINAL MENSAGEM RMA O TRANSMISSOR RECEPTOR gt DESTINO Figura 2 Esquema do sistema emissor canal receptor Adaptado de Shannon 1948 O chamado problema t cnico como salienta sua pr pria denomina o est afeito s reas de tecnologia Resta assim a uma abordagem social da informa o deliberar acerca dos dois problemas subsequentes Neste trabalho o problema sem ntico foi abordado sob a tica de uma identifica
116. a corporativa assume o papel de delinear as fronteiras da a o do 121 corpo gestor frente aos demais atores representando um conjunto de instituigdes mormente um corpo de pol ticas e de regras capaz de coordenar esta a o Particularmente no que diz respeito seguran a da informa o privilegiam se os aspectos de responsabilidade e transpa r ncia conforme se v por exemplo em Williams 2001 ISACF 2001 ou em Posthumus e von Solms 2004 o Cap tulo 5 apresenta uma colet nea de estudos e proposi es acerca da governan a da seguran a da informa o Tanto no aspecto governamental quanto no mercado a informa o apresenta uma outra caracter stica essencial a chamada exterioridade de rede ou efeito de rede o valor monet rio ou n o de ligar se a uma rede depende do n mero de outras pessoas j conectadas a ela SHA PIRO 1999 p 205 asser o associada chamada Lei de Metcalfe segundo a qual o valor da rede proporcional ao quadrado do n mero de seus participantes SHAPIRO 1999 p 216 Ou seja quanto mais extensas forem as conex es criadas ou permitidas pela rede maior ser o interesse de outros atores em participar dela o que por um lado impulsiona as redes de grande extens o a se tornarem ainda mais abrangentes mas por outro lado tem um efeito nefasto so bre as redes pequenas elas t m uma probabilidade muito pequena de florescerem raz o pela qual a introdu o de novos con
117. a l gica de seguran a Security Logic SL pode ser ent o utilizada para especificar quando interagem os componentes tempo conhecimento obriga o e permiss o De fato duas propriedades fundamentais da seguran a s o expressas usando se SL 1 um indiv duo conhece apenas fatos para os quais tem a permiss o de conhecer e 2 se um indiv duo obrigado a saber algo eventualmente ele o saber Neste cap tulo por indiv duo ou sujeito designa se o usu rio de sistemas de informa o seja ele humano um processo ou um outro sistema 205 Com respeito confidencialidade pode se resumir as duas asser es acima como a seguinte senten a BIEBER CUPPENS 1992 Se B sabe que q ent o B tem a permiss o para saber que Q Em termos da l gica proposicional tem se a f rmula Kp Rg onde os operadores modais Kg e Rg designam respectivamente tem o conhecimento e tem a permiss o para conhecer j definidos e adotados nas l gicas modais em trabalhos anteriores GLASGOW MACEWEN PANANGADEN 1992 BIEBER CUPPENS 1992 A linguagem para o tratamento do conhecimento consiste em um conjunto de indiv duos U enumerados de 1 a n um conjunto de proposi es primitivas XL e do operador modal K Uma proposi o da forma K significa que o indiv duo i sabe que a proposi o verdadeira A fim de estabeler se inequivocamente a sem ntica dos modelos a serem constru dos usar
118. a pela compreens o de que diferentes indiv duos t m di ferentes percep es a respeito de um mesmo assunto uma asser o t o evidente quanto negli genciada no contexto da seguran a da informa o A seguran a da informa o carece assim de meios que d em suporte coleta e avalia o corretas da percep o dos usu rios quanto aos elementos ativos amea as vulnerabilidades incidentes e riscos da seguran a relativos aos sistemas com os quais interagem 4 2 O conceito vigente de Seguran a da Informa o A literatura especializada pr diga na apresenta o de conceitos do que a seguran a da informa o faz e de quais s o os dom nios de sua atua o mas n o do que ela de fato Ou seja abundam as an lises funcionais mas s o escassas as an lises descritivas da seguran a da informa o Pemble 2004 sugere que a seguran a da informa o deve ser definida em termos das 54 atribui es do profissional que respons vel por ela O artigo descreve tr s esferas de atua o de tais profissionais em torno das quais a seguran a deveria ser parametrizada e compreendida e a esfera operacional voltada ao impacto que os incidentes podem gerar capacidade da organiza o de sustentar os processos do neg cio e a esfera da reputa o voltada ao impacto que os incidentes t m sobre o valor da marca ou sobre o valor acion rio e e a esfera financeira voltada aos custos em que se
119. a pela defini o de propriedades dos conjuntos O e Uma inst ncia de uma pol tica de seguran a uma interpreta o uma atribui o de valores verdadeiro e falso de um modelo para a l gica SL Uma inst ncia dita correta com respeito a uma pol tica se ela um modelo para SL e satisfaz as propriedades da pol tica Ainda se dois sistemas que isoladamente obedecem a uma mesma pol tica s o interligados e o sistema resultante ainda obedece pol tica diz se que esta pol tica compon vel composable De outro modo se dois sistemas que independentemente obedecem a pol ticas distintas s o interligados e se a pol tica resultante cont m as duas pol ticas originais estas s o distas compat veis compatible 211 Indice Remissivo Ameagas 46 An lise de riscos 83 Ataques 50 Ativos da Informa o 45 BS7799 50 102 Buffer overflow 65 Ciberespa o 70 Common Criteria 100 Computer Misuse Act 91 Content Protection for Recordable Media CPRM 89 Control Objectives for Information and re lated Technology COBTT 99 Data Protection Act 91 Denial of Service DoS 55 Digital Millennium Copyright Act DMCA 88 Digital Rights Management DRM 87 Distributed Denial of Service DDoS 55 Fenomenologia 32 Governanga corporativa 119 Hacking 48 Health Insurance Portability and Accounta bility Act HIPAA 90 Hermen utica 38 Incidentes 49 Informa o 43 Informatio
120. a recente pol mica sobre a abertura dos arquivos relativos ao per odo do governo militar Um dos princ pios essenciais da Constitui o brasileira o de que ningu m ser obrigado a fazer ou deixar de fazer alguma coisa sen o em virtude de lei BRASIL 2004 Art 5 Tendo em vista esta m xima a formula o de pol ticas e de quaisquer outras a es coercitivas dever se ater estritamente aos textos legais As disposi es a respeito da implementa o de tais garantias s o remetidas legisla o infraconstitucional com efeito a express o privacidade n o aparece nenhuma vez no texto constitucional enquanto o termo seguran a grafado duas vezes ambas no Art 144 desti nado descri o do aparato da seguran a p blica C digo Penal Decreto Lei n 2 840 de 7 de dezembro de 1 940 O Decreto Lei n 2 840 de 7 de dezembro de 1 940 institui o C digo Penal Brasileiro CPB BRASIL 1940 S o muitas as discuss es sobre a falta de atualiza o do CPB sendo que alguns projetos de lei que visam a modific lo chegam a tramitar por mais de uma d cada no Congresso Nacional No tocante seguran a da informa o uma das modifica es introduzidas foi a Lei n 9 983 que ser discutida mais adiante Quanto s demais disposi es o CPB considerado 97 por muitos juristas como anacr nico e inadequado mas as diversas situa es em que se requer sua aplica o t m sido i
121. a resposta apresentada Esta evolu o por sua vez veio preencher uma lacuna da teoria da Administra o quanto aos processos mais adequados para sele o e a coloca o de pessoal e para o tratamento tico de empregados em situa es de demiss o entre outras necessidades GILLILAND SCHEPERS 2003 Um resultado evidente desta parceria a pr tica adotada por muitas organiza es de submeter a testes psicot cnicos os candidatos a postos de trabalho ou a promo es funcionais muitas vezes derivando para um psiquismo exacerbado PASQUALI 2003 em detrimento de outras an lises por exemplo s cio econ micas que deveriam ser acrescidas ao conjunto de avalia es utilizadas Deve se ressaltar ainda que cada um destes estudos atende a n veis espec ficos do ambi ente organizacional quando se quer observar o indiv duo e sua intera es com o meio est se no campo da Psicologia quando se pretende observar o comportamento de grupos diante de situa es e suas a es coletivas recorre se Sociologia por fim o estudo cultural partindo de sua g nese e evolu o o campo da Antropologia BATES 1999 Eis o motivo de propor se uma an lise da seguran a da informa o organizacional pela vis o da teoria das ci ncias soci ais a informa o gerada armazenada tratada e transmitida com o fim de ser comunicada e a comunica o inerentemente um processo grupal seja tal processo interno ou externo s fronteira
122. ade de software e se guran a Para estes autores abordagens adequadas seguran a s o feitas por meio de padr es e pol ticas com o uso de bibliotecas e ferramentas de desenvolvimento e por meio da gest o administrativa do ciclo de desenvolvimento de sistemas e ferramentas f sicas de manuten o Tryfonas Kiountouzis e Poulymenakou 2001 salientam do mesmo modo que a segu ran a da informa o deve ser inserida nas etapas de desenvolvimento de software Os autores apontam a necessidade de um mercado global de seguran a da informa o e advogam que os n veis de pr ticas de seguran a devem ser os mesmos n veis do planejamento organizacional estrat gico t tico e operacional lembrando ainda sobre a dificuldade de uso de pol ticas para a efetiva seguran a da informa o Ant n Earp e Carter 2003 alertam que as pol ticas s o independentes dos sistemas de vendo estes dois conjuntos ser harmoniosamente associados Os autores salientam algumas abordagens aos requisitos de seguran a e apresentam frameworks para a an lise de riscos tais como Lichtenstein para gest o hol stica do risco e PFIRES Policy Framework for Interpreting Risk in eCommerce Security Arbaugh 2002 alerta para o fato de que elementos como o custo e a performance impedem a adequada integra o dos fundamentos da seguran a aos requisitos do software Ressalta a necessidade de em respeito facilidade de uso implementar se prote o sem
123. ade e n o a mudan a De qualquer modo ela deve ser entendida mais como uma categoria emp rica do que uma teoria de fato uma vez que carece de maiores fundamentos por n o prover 119 os meios ou condi es necess rios ao correto entendimento dos fen menos que aponta KAY 2005 Mas isto n o invalida o fato de que os sistemas pol ticos compreendendo as redes e as comunidades s o de baixa preditibilidade ao menos no curto prazo possuindo propriedades emergentes de acordo com as variadas possibilidades hist ricas identificadas em seu nascedouro e que s o determinadas ao longo de sua exist ncia ORMEROD 2005 Mediante o acima exposto observando se as intera es necess rias para a formula o das pol ticas tanto no n vel estatal quanto no n vel organizacional apresenta se o conceito ado tado neste trabalho sintetizado na defini o apresentada a seguir derivada de Schmitter 1982 p 34 Defini o 7 1 Uma pol tica uma linha de conduta coletiva resultante da intera o entre atores dentro de um quadro de coopera o integra o reciprocamente reconhecido Nestes termos um fen meno eminentemente social e como tal deve ser compreendido Amplamente s o as pol ticas de car ter p blico as mais estudadas tanto por sua relev ncia quanto por seu n mero e formas de dissemina o Contudo extremamente importante ressal tar a relev ncia da regula o implementada pelo mercado na forma de regula
124. adotados no ambiente organizacional a fim de orient los e utiliz los como subs dios s pr ticas da seguran a buscando complementarmente a inser o de tais pr ticas no conjunto dos valores organizacionais Lee e Lee 2002 por sua vez observando que o volume de abusos cometidos com o uso de computadores n o diminui ao longo do tempo vide a se o 4 3 mesmo com a ado o de pr ticas e pol ticas sugerem a ado o de um modelo abrangendo as teorias da criminologia social com vistas diminui o de tais abusos Por fim von Solms e von Solms 2004 alertam para a necessidade de educa o dos usu rios 189 voltada s pol ticas como forma de apoiar sua implementa o e utiliza o e para forma o da cultura organizacional voltada seguran a Por sinal a educa o dos usu rios j tem sido enfatizada em outras an lises como por exemplo no tocante ao uso de senhas de acesso a sistemas SASSE BROSTOFF WEIRICH 2001 STANTON et al 2005 e outras formas de abuso dos recursos tecnol gicos STRAUB 1990 THOMSON 2001 A4 1 O elo mais fraco J foi salientada a afirma o vide Cap tulo 4 comum no mbito dos profissionais de se guran a da informa o de que os usu rios representam o elo mais fraco da corrente formada pela tr ade tecnologia pessoas e processos Por m esta afirma o francamente discut vel No contexto do levantamento de requisitos para a implementa o d
125. aduzida pelas a es executadas em atendimento ou n o s 113 regras vigentes Conseqiientemente a avalia o do entendimento de tais regras reside na obser va o das pr ticas adotadas o que atribui um papel extremamente importante compreens o do locus de conv vio o que se observa por exemplo em Heidegger GEORGE 2000 HEIDEG GER 2002 1993 e no pr prio Wittgenstein TAYLOR 1993 e que se reflete no conceito de habitus o n vel de entendimento e o modo de agir social de Bourdieu EVERETT 2002 MYLES 2004 THROOP MURPHY 2001 GREENER 2002a O grau com que determi nada regra aplicada reflete a sua incorpora o embodiment pelos indiv duos pertencentes ao contexto social do qual ela emana Outra indaga o repousa sobre a forma de representa o de tais regras por mais que a in terpreta o seja moldada por experi ncias pessoais esta representa o deve se dar de tal modo que possa ser percept vel de maneira o mais uniforme poss vel por todos os que devem segui la evitando ambigiiidades ling sticas e reduzindo os mal entendidos inevit veis segundo Witt genstein Regras n o s o auto aplic veis nem auto formul veis elas devem ser univocamente formuladas mesmo que de modo t cito e adequadamente aplicadas o que exige por vezes uma elevada carga de julgamentos e percep es tanto de seus formuladores quanto daqueles que se espera que as sigam al m de uma pr tica coerententement
126. ages New York ACM 1981 p 164 176 BIEBER P CUPPENS F A logical view of secure dependencies Journal of Computer Security v 1 n 1 1992 Disponivel em lt http www rennes enst bretagne fr fcuppens articles jcs92 ps gt Acesso em 6 maio 2004 BLATCHFORD C Information security business and internet part 1 Network Security v 2000 n 1 p 8 12 Feb 2000 BLATCHFORD C Information security business and internet part 2 Network Security v 2000 n 2 p 10 14 Mar 2000 BLOM HANSEN J A new institutional perspective on policy networks Public Administration v 75 n 4 p 669 693 Jan 1997 143 BLOM HANSEN J Policy making in central local government relations balancing local autonomy macroeconomic control and sectoral policy goals Journal of Public Policy v 19 n 3 p 237 264 Sept 1999 BOBBIO N MATTEUCCI N PASQUINO G Dicion rio de Politica 4a ed Bras lia UnB 1998 BOEHM DAVIS D A Revisiting information systems as an interdisciplinary science Computers in Human Behavior v 20 n 2 p 341 344 Mar 2004 BOLLOJU N KHALIFA M TURBAN E Integrating knowledge management into enterprise environments for the next generation decision support Decision Support Systems v 33 n 2 p 163 176 June 2002 BORKO H Information science what is it American Documentation v 19 n 1 p 3 5 Jan 1968 Disponivel em lt http www ec njit edu robertso info
127. ais abrangente o voc bulo escapou esfera do Estado passando al ada organizacional pol tica de marketing ou pol tica de vendas ou mesmo individual fulano tem por pol tica fazer isto ou aquilo Enquanto nesta ltima constru o o termo assume acep o similar a comportamento ou prefer ncia na primeira depreende se por pol tica um conjunto de regras que se deve seguir com vistas ao objetivo estabelecido No que diz respeito aplica o do termo no campo das a es de Estado as chamadas pol ticas p blicas a abordagem mais usual n o definir o que o termo significa e sim trat lo no contexto em que se discute a abrang ncia da pol tica isto da iniciativa ora sendo analisada Embora o termo seja comumente empregado no singular reconhece se que na realidade haver sempre a necessidade de muitas pol ticas para cobrir a complexidade de cada rea BROWNE 1997 Outro conceito relacionado ao de pol ticas o de institui es entendidas como sendo o conjunto de procedimentos normas rotinas e conven es formais ou informais que norteiam as a es coletivas NORTH 1991 OSTROM 1999 p 36 37 Historicamente as pol ticas s o consideradas como pertencentes ao n vel decis rio coletivo das institui es o qual interme di rio entre os n veis constitucional e operacional ou individual KAY 2005 p 555 As pol ticas p blicas as mais difundidas e
128. ais de pensamento e a o a fim de identificar suas ra zes comuns Deste modo para Husserl o conhecimento n o reside no observador nem tampouco no objeto observado mas na concep o ou imagem do objeto formulada pelo observador Hus serl define a verdade como sendo a concord ncia perfeita entre o significado formulado pelo observador e o que dado o objeto contextualizando o conhecimento como mais um dos fen menos de estudo vistos por meio da epoch STEGMULLER 1977 p 58 91 Com esta formula o Husserl influenciou grandemente a moderna teoria da consci ncia com profundo impacto em ci ncias como a sociologia PAUL 2001 DAVIS 1997 MYLES 2004 a psicologia tanto cl nica CAIRNS 2002 SKRAPEC 2001 BURKITT 2003 como organizacional SCHABRACQ COOPER 1998 KARLSSON CHRISTIANSON 2003 e a administra o WHITE 1990 Al m disso at o final de sua vida procurou manter uma postura cr tica mas equilibrada acerca da ci ncia e da sua aplica o e desenvolvimento HUSSERL 1970 De modo sucinto segundo Sanders 1982 a pesquisa fenomenol gica baseia se em quatro grandes quest es 1 como o fen meno ou experi ncia sob investiga o pode ser descrito 2 quais s o os invariantes ou comunalidades ou seja os elementos comuns ou temas emer gentes em tais descri es 3 quais as poss veis reflex es acerca destes temas 4 quais s o as ess ncias presentes nestes temas e reflex es 34 C
129. aisquer se s VLIK ent o s O se um indiv duo tem o conhecimento permanente de uma f rmula ent o ele obrigado a conhec la Os axiomas da linguagem extendida incluem os axiomas do conhecimento K1 a K4 e da l gica temporal T1 a T3 mostrados anteriormente al m da inclus o dos seguintes axiomas para as rela es entre permiss o e obrigatoriedade 1 Axioma SL1 P para todas as tautologias proposionais Q 2 Axioma SL2 P 6 3 Axioma SL3 Pid A Pi gt PO AY 4 Axioma SLA Pd P V y 5 Axioma SL5 O P Pelos axiomas acima tem se que a um indiv duo permitido conhecer todas as tautologias proposicionais SL1 Ainda que toda f rmula permitida deve ser verdadeira SL2 que a permiss o se aplica por conjun o e por disjun o SL3 e SL4 e que qualquer f rmula cujo conhecimento obrigat rio deve ser tamb m permitida Glasgow MacEwen e Panangaden 1992 apresentam ainda o teorema pelo qual os axio mas SLI a SL5 s o completos sound com respeito sem ntica apresentada e definem dois conjuntos a saber O o conjunto das f rmulas que se verdadeiras o indiv duo i obrigado a 210 conhecer e o conjunto das f rmulas que se verdadeiras o indiv duo i tem a permiss o para conhecer As f rmulas nestes dois conjuntos podem ser das modalidades de ntica epist mica e temporal Deste modo para os autores uma pol tica de seguran a dad
130. al 2004 O impacto que estas pr ticas e normas trar o ao relacionamento entre usu rios e organiza es ou profissionais de sa de ainda incerto 70 4 6 3 Vota o eletr nica O Brasil tem se destacado como a maior democracia do mundo a utilizar vota o majorita riamente eletr nica Contudo esta pr tica n o est livre de problemas como a falta de conhe cimento p blico dos programas software que executam nas urnas eletr nicas e a aus ncia de mecanismos de recontagem de votos para citar se apenas o exemplo nacional De modo geral os problemas que afligem a vota o eletr nica s o muito semelhantes aos do com rcio eletr nico e aos do tratamento de informa es biom dicas a identifica o segura do participante neste caso do eleitor Deve se ainda garantir que cada eleitor vote somente uma vez ao mesmo tempo em que se garante o seu anonimato Estes e outros problemas foram apontados por autores como Liaw 2004 e Selker 2004 e sua solu o atravessa o espectro da tecnologia a qual n o os esgota os eleitores devem se sentir confiantes quanto ao m todo adotado cuja verificabilidade deve ser demonstrada 4 6 4 Governo eletr nico A no o de governo eletr nico carece de maior aprofundamento te rico no campo da Ci ncia da Informa o Quanto sua abrang ncia Lenk e Traunmiiller apud MARCONDES JARDIM 2003 visualizam quatro perspectivas 1 A perspectiva do cidad o onde visa se of
131. al of Information Science v 28 n 6 p 467 481 Dec 2002 MUNRO A SUGDEN R On the theory of reference dependent preferences Journal of Economic Behavior amp Organization v 50 n 4 p 407 428 Apr 2003 MYLES J F From doxa to experience issues in Bourdieu s adoption of husserlian phenomenology Theory Culture amp Society v 21 n 2 p 99 107 Apr 2004 NAGRA J THOMBORSON C COLLBERG C A functional taxonomy for software watermarking In Proceedings of the 25 Australasian conference on Computer science Melbourne Victoria Australia Australian Computer Society 2002 p 177 186 NATIONAL INFORMATION ASSURANCE PARTNERSHIP Common Cri teria for Information Technology Security Evaluation ISO 15408 v 2 2 Part 1 introduction and general model Washington 2003 Dispon vel em lt http www commoncriteriaportal org public files ccpartlv2 2 pdf gt Acesso em 9 jul 2004 NATIONAL INFORMATION ASSURANCE PARTNERSHIP Common Cri teria for Information Technology Security Evaluation ISO 15408 v 2 2 Part 2 security functional requirements Washington 2003 Dispon vel em lt http www commoncriteriaportal org public files ccpart2v2 2 pdf gt Acesso em 11 jul 2004 NATIONAL INFORMATION ASSURANCE PARTNERSHIP Common Cri teria for Information Technology Security Evaluation ISO 15408 v 2 2 Part 3 security assurance requirements Washington 2003 Dispon vel em lt http www comm
132. al se insere um endere o para uma determinada p gina id ntica da institui o original na qual se alega requerer se um cadastramento O usu rio incauto fornece ent o seus dados como a senha de acesso aos servi os banc rios que ent o capturada na base 61 Incidentes Reportados Tipos de Ataque x su rio Final 0 Invas o 1 Servidor Web 12 Worm 25 raude 402 Figura 8 Tipos de incidentes reportados ao NBSO em 2005 Fonte NBSO 2006 de dados do atacante De posse desta senha para todos os prop sitos o atacante pode ent o se fazer passar pelo usu rio at que este verifique a ocorr ncia e avise a institui o correspondente Uma outra forma de ataque bastante disseminada voltada s redes sem fio wireless networks Nestas redes a conex o com servidores de acesso feita por meio de ondas de r dio facilitando assim a locomo o e portabilidade dos pontos de acesso Contudo uma vez que o ter um bem comum deve se tomar cuidados especiais quanto aos par metros de con figura o da rede a fim de n o se permitir que usu rios sem a devida autoriza o obtenham acesso aos recursos compartilhados Em determinados pa ses as instala es onde estas redes permitiam tais acessos eram sinalizadas com marcas de giz em uma atividade denominada war chalking para que hackers soubessem onde o acesso estaria dispon vel Regras espec ficas de seguran a t m sido desenvolvidas vol
133. ament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data part 2 Bruxelas 1995 Disponivel em lt http europa eu int comm internal_market privacy docs 95 46 ce gt Acesso em 2 dez 2003 EUROPEAN COMMISSION Network and Information Security proposal for a european policy approach Bruxelas 2001 Disponivel em lt http europa eu int eur lex en com cnc 2001 com2001_0298en01 pdf gt Acesso em 30 jul 2004 EUROPEAN COMMISSION Towards a knowledge based Europe the Eu ropean Union and the information society Bruxelas 2002 Disponivel em lt http europa eu int information_society newsroom documents gt Acesso em 2 dez 2002 EUROPEAN COMMISSION Executive summary on Data protection Citizens Bruxelas 2003 Disponivel em lt http europa eu int comm public_opinion archives ebs gt Acesso em 2 dez 2003 EUROPEAN COMMISSION Executive summary on Data protection Companies Bruxelas 2003 Disponivel em lt http europa eu int comm public_opinion flash gt Acesso em 2 dez 2003 EVERETT J Organizational research and the praxeology of Pierre Bourdieu Organizational Research Methods v 5 n 1 p 56 80 Jan 2002 FACKLER M In Korea bureaucrats lead the technology charge The New York Times 16 mar 2006 Disponivel em lt http www nytimes com 2006 03 16 business worldbusiness 16seoul html gt Acesso
134. ampo do conhecimento e delineado o enfoque a ser aplicado para a sua verificabilidade procede se determina o das metodologias que ser o utilizadas para a constru o do modelo Uma metodologia corresponde a um conjunto coeso e coerente de m todos ou seja t cnicas know how que dever o orientar a observa o dos fen menos de interesse e conduzir a an lise dos dados colhidos acerca de tais observa es Ao longo deste tra balho ser proposta n o apenas uma mas um conjunto de variadas metodologias constituindo o que se compreende por multimetodologia em cada etapa do processo construtivo do modelo empregar se uma metodologia para a sua consecu o Este processo de constru o de um modelo de conhecimento pode ser representado pela 24 Figura 1 Ali ilustra se o fato de que cada um dos n veis superiores pode ser analisado ou implementado sob a tica de um ou v rios dos componentes do n vel imediatamente inferior Figura 1 Hierarquia para a constru o de modelos conceituais do conhecimento No presente trabalho a epistemologia escolhida para a constru o do modelo proposto a fenomenologia por ser uma dentre as correntes filos ficas que se encarregam de analisar o significado das intera es sociais e das a es individuais Mais particularmente a escolha recaiu sobre esta escola por sua vis o sui generis do processo de forma o do conhecimento e da valida o de sua veracidade Por
135. an a abrange requer aten o a todos os n veis de usu rios e sistemas Outro aspecto que se tem mostrado extremamente relevante o custo da seguran a da in forma o Geer Jr Hoo e Jaquith 2003 mostram o custo relativo para a corre o de falhas de seguran a em softwares em cada est gio do processo de desenvolvimento conforme ilustra a Tabela 4 Como se v quanto mais tardiamente as falhas s o detectadas e corrigidas tanto maior o custo em que se incorre Ainda Venter e Eloff 2003 sugerem uma taxonomia para as tecnologias de seguran a da informa o dividindo as em reativas e proativas baseando se no cl ssico modelo de redes em 55 Est gio Custo relativo Projeto 1 0 Implementa o 6 5 Testes 15 0 Manuten o 100 0 Tabela 4 Custo relativo da seguran a no desenvolvimento de software Fonte Geer Jr Hoo e Jaquith 2003 sete camadas da Open Systems Interconnection OSI Todas as defini es e proposi es acima baseiam se ou derivam de conceitos da seguran a da informa o sendo vista como um dom nio tecnol gico onde ferramentas e recursos tecnol gicos s o aplicados em busca de solu es de problemas gerados muitas vezes com o concurso daquela mesma tecnologia Evidencia se a necessidade de uma compreens o mais abrangente destes problemas 4 2 1 A necessidade de um novo conceito de seguran a da informa o A aus ncia de um conceito exato do que seja a seguran a da
136. anhas regionais MADSEN 2002 A administra o Bush sinaliza que pode inserir modifica es na lei tornando a menos propensa a situa es semelhantes Outra cr tica que a lei tem recebido diz respeito retirada de informa es p blicas de sites governamentais que a lei argumenta servirem como fontes de informa es para eventuais terroristas Para diversos educadores pes quisadores e defensores da liberdade de express o e opini o isto representa uma s ria amea a dissemina o de tais informa es incluindo documentos hist ricos e j pertencentes ao do m nio p blico QUINN 2003 Em sua implementa o o Patriot Act introduziu modifica es em diversas leis e regula mentos indo desde a privacidade em comunica es at a regulamenta o das telecomunica es passando pelo direito de sigilo em atividades relacionadas educa o e ao cr dito JAEGER 91 BERTOT MCCLURE 2003 REGAN 2004 As conseqii ncias desta modifica o no com portamento da sociedade e sua efetiva contribui o contra a es criminais ainda est o por ser devidamente observadas HIPAA A lei Health Insurance Portability and Accountability Act HIPAA aprovada em 1996 pelo Congresso dos Estados Unidos voltada prote o e auditoria de dados do setor de sa de e previd ncia naquele pa s trouxe dois movimentos principais baseados em premissas f sicas t cnicas e administrativas uma reforma no setor de seguros de sa d
137. antamento acerca do problema da seguran a da informa o e de como ele tratado nos ambientes organizacionais e no ambiente governamental O resul tado deste levantamento relatado nos Cap tulos 4 e 5 fazer uso dos princ pios da fenomenologia e da hermen utica para a descri o de tal pro blema Os fundamentos de ambas as teorias est o no Cap tulo 3 a descri o do problema tratado concentra se principalmente nos Cap tulos 4 e 5 caracterizar e tipificar as pol ticas de seguran a da informa o apontando as suas origens e os passos para a sua formula o e implementa o esta caracteriza o encontra se no Cap tulo 5 apontar estrat gias alternativas para a elabora o de tais pol ticas visando a uma abor dagem que se contraponha usual tecnicista complementando a com aspectos baseados na experi ncia do usu rio frente aos sistemas de informa o esta discuss o apresentada nos Cap tulos 6 e 7 apontar complementos e acr scimos abordagem escolhida para o problema o que feito no Cap tulo 8 20 2 2 Metodologia A fim de alcan ar o objetivo pretendido foram usados os componentes fundamentais da pesquisa fenomenol gica conforme indicados por Sanders 1982 Deve se ressaltar que uma das propostas inicialmente cogitadas foi a da aplica o de ins trumentos question rios e entrevistas junto aos usu rios e gestores de sistemas de informa o com o objetivo de aferir a perc
138. ante seguran a da informa o Muitas destas normas e procedimentos s o gerados tendo em vista o contexto cultural e econ mico daquele pa s sendo criados por rg os governamentais como o General Accounting Office GAO GAO 1998 com o objetivo de embasar ou atender sua legisla o Em outras situa es organismos de alcance global prop em e discutem modelos de normas e procedimentos a serem aplicados a todo o contexto da internet Neste mbito destacam se dentre v rias organiza es o NIST o CERT e o SANS Pa s Usu rios da internet Popula o Ado o da internet Parcela dos milh es est 2006 milh es usuarios no mundo Estados Unidos da Am rica 203 8 299 0 68 1 20 0 China 111 8 1 307 0 8 5 10 9 Jap o 86 3 128 4 67 2 8 5 ndia 50 6 1 112 2 4 5 5 0 Alemanha 48 7 82 5 59 0 4 8 Reino Unido 37 8 60 1 62 9 357 Cor ia do Sul 33 9 50 6 67 0 3 3 It lia 28 9 59 1 48 8 2 8 Fran a 26 2 61 0 43 0 2 6 Brasil 25 9 184 3 14 1 2 5 Tabela 7 Ranking de paises por acesso a internet Fonte e Commerce Org 2006 NIST O National Institute of Standards and Technology NIST uma organiza o voltada normatiza o e padroniza o de instrumentos e pr ticas no mbito do governo e organiza es p blicas nos Estados Unidos O rg o realiza periodicamente confer ncias voltadas seguran a da informa o cujos resultados s o publicados e disponibilizados ao p blico Como exemplo cite se
139. apaz de apresentar parte da solu o a este problema n o sendo contudo capaz de resolv lo integralmente e at mesmo contribuindo em alguns casos para agrav lo Nos ambientes organizacionais a pr tica voltada preserva o da seguran a orientada pelas as sim chamadas pol ticas de seguran a da informa o que devem abranger de forma adequada as mais variadas reas do contexto organizacional perpassando os recursos computacionais e de infra estrutura e log stica al m dos recursos humanos Diante deste panorama e dada a ex trema relev ncia dos aspectos humanos no contexto da seguran a da informa o este trabalho prop e a integra o de disciplinas oriundas do mbito das ci ncias sociais para a constru o de um arcabou o destinado elabora o implementa o e acompanhamento de pol ticas de segu ran a abrangentes que contemplem com o adequado equil brio os aspectos humanos e t cnicos da seguran a da informa o em contraposi o aos modelos atuais notadamente voltados s quest es tecnol gicas O prop sito de advogar para o campo das ci ncias sociais v rios dos temas relativos segu ran a da informa o adv m da observa o de que as pr ticas usuais desta disciplina privilegiam sobretudo os seus aspectos t cnicos e tecnol gicos tais como a implementa o de ferramen tas automatizadas para o monitoramento de diversas atividades dos usu rios dos sistemas de informa o sem no enta
140. apitulo 7 Henessy e Babcock 1998 salientam o valor da informa o como elemento modificador da incerteza rumo variabilidade conhecida Campbell et al 2003 estudaram a rea o do mercado ao an ncio de falhas de seguran a mostrando que as conseqii ncias de tais eventos podem se traduzir sobre o valor acion rio da organiza o principalmente quando a falha ocorrida relaciona se revela o de informa es confidenciais Por fim Rajan e Zingales 2000 alertam para a tirania da desigualdade em negocia es onde os participantes possuem grandes diferen as de poder de negocia o 75 5 Fontes de pol ticas de seguran a da informa o 5 1 Conceitos O sentido cl ssico o voc bulo pol tica tem sua origem no conceito de governar a cidade p lis de onde deriva politik s ou o Estado abarcando assim o que urbano e p blico e mesmo o que soci vel e social estendendo se posteri ormente para express es como ci ncia ou doutrina do Estado e ci ncia ou filosofia pol tica BOBBIO MATTEUCCI PASQUINO 1998 p 954 Presentemente de modo coloquial a palavra assume por um lado um uso vago e generalizado e por outro um uso mais espec fico no qual assume tr s sentidos distintos a saber CHAUI 1999 pp 368 369 e o significado de governo compreendido como dire o e administra o do poder p blico constitu do sob a forma de Estado Neste sentido a pol tica correspo
141. apresentados sob nova roupagem e outros ainda redefi nidos ou introduzidos Em cada um destes casos ser feita uma indica o ao leitor para que ele possa elaborar compara es com outros trabalhos Ser o evitadas tanto quanto poss vel re miss es tecnologia empregada no intuito de ser abrangente o modelo deve ser independente da plataforma de implementa o C 1 1 Classifica o das l gicas modais Entre as l gicas modais destacam se particularmente as seguintes el gicas modais nticas s o capazes de tratar senten as do tipo E necess rio poss vel imposs vel que p onde p representa um predicado l gico um fato ou uma regra do mundo real 203 el gicas modais temporais s o capazes de tratar senten as do tipo E ser sempre em dado momento verdade que p el gicas modais de nticas capazes de tratar senten as como obrigat rio permitido proibido que p el gicas modais epist micas s o capazes de tratar senten as como x sabe que p onde x representa um ator humano ou automatizado do sistema em considera o el gicas modais dox sticas s o capazes de tratar senten as do tipo x acredita pensa considera que p Eis o exemplo de uma senten a comum numa pol tica de seguran a da informa o extra do de Cholvy e Cuppens 1997 Qualquer agente no papel de Usu rio tem permiss o para ler qualquer arquivo p blico Esta
142. arefa de equacionar os direitos privados com as pol ticas p blicas est sendo legalizada em par metros considerados aceit veis SHARPE RUSSELL 2003 A an lise comparada da legisla o apli cada na Europa e nos Estados Unidos aponta para uma maior flexibilidade no Velho Mundo tanto quanto s pr ticas adotadas como quanto discuss o das pol ticas junto aos parlamentos e popula o BAUMER EARP POINDEXTER 2004 STRAUSS ROGERSON 2002 No Brasil as leis vigentes salvo pelo C digo Civil e algumas iniciativas isoladas s o muito anteri ores ao evento da informatiza o maci a e da populariza o da internet deixando a cargo dos magistrados tomar se as decis es cab veis caso atinja se este n vel A Organiza o para a Coopera o e Desenvolvimento Econ mico OCDE tem em seu site diversos documentos que abordam a necessidade de regulamenta o adequada para a seguran a da informa o em seus aspectos gerais OCDE 2002b 1996 al m de outros espec ficos para transa es voltadas ao com rcio eletr nico OCDE 2001a e privacidade OCDE 2001b Como um sistema de informa es compreende tanto um sistema de processamento de dados quanto uma organiza o com os seres humanos que o utilizam quaisquer pol ticas voltadas informa o devem se ocupar de ambos os componentes tendo ainda em vista os objetivos organizacionais aos quais o sistema de informa es deve suportar Um estado do sistema tal que
143. as falhas deste ltimo com sua presen a e poder de coer o enquanto este ltimo alia sua maior agilidade e sua capacidade de investimentos e de produ o s iniciativas do poder p blico A nfase aos aspectos tecnol gicos relativos seguran a da informa o j decantada neste trabalho aliena da discuss o acerca das normas e padr es um requisito fundamental a toda esta discuss o a quest o da privacidade De fato em muitos casos em prol da seguran a corporativa ou nacional os usu rios ou cidad os t m se visto s voltas com o abandono da privacidade individual Um modelo de pol ticas sociais para a seguran a da informa o deve ser capaz de equacionar estas vari veis as quais sabe se n o t m sua conviv ncia facilitada gerando um quase paradoxo como prover a seguran a por meio de pol ticas p blicas respeitando a privacidade individual SHARPE RUSSELL 2003 Os trabalhos de Shapiro e Baker 2001 Levine 2003 Baker e Shapiro 2003 advogam que se fa a uso de uma coalis o de esfor os 133 envolvendo a es dos poderes judici rio e legislativo junto iniciativa privada de modo tal a garantir o correto funcionamento das institui es envolvidas Uma vez mais o Brasil tem exemplos recentes a mostrar em ambas as dire es em um mesmo caso enquanto o sigilo das informa es pessoais garantido constitucionalmente BRASIL 2004 Art 5 XII sendo que sua quebra somente pode ocorrer em casos
144. aspectos comportamentais relacionados efetiva o das pol ticas j t m sua import ncia ressaltada MARCINCOWSKI STANTON 2003 Com efeito o fato de ter se uma disposi o escrita e formalizada n o significa que ela ser seguida s o necess rias medidas que acompa nhem a implementa o das pol ticas ap s sua implementa o mesmo em ambientes onde os usu rios apresentem elevado grau de instru o como em universidades conforme o estudo realizado por Foltz Cronan e Jones 2005 Deve se salientar ainda que a adequa o aos padr es principalmente os internacionais necess ria mas essencial o alinhamento aos processos e ao contexto da organiza o HONE ELOFF 2002a bem como a preocupa o com a clareza dos termos empregados e a proximi dade com as situa es vivenciadas no ambiente organizacional HONE ELOFF 2002b Por sua vez o car ter multidisciplinar das pol ticas de seguran a da informa o n o decorre puramente da abrang ncia buscada pelo modelo adotado Boehm Davis 2004 entre outros ressaltam a multidisciplinariedade advinda dos sistemas de informa o incluindo se a os seus usu rios e projetistas Estes sistemas s o em ltima inst ncia a origem da necessidade por requisitos de seguran a que devem ser atendidos por meio das pol ticas 106 Outro aspecto fundamental na formula o das pol ticas a capta o e adequa o cul tura organizacional passando por um p
145. beral ou estatizante etc WILSON 2000 CHRISTENSEN PALLESEN 2001 Assim as consequ ncias sociais da aplica o destas pol ticas mormente as governamentais ou p blicas atinge um amplo espectro motivo pelo qual sua formula o e aplica o s o objetos de a es de planejamento estrat gico especificamente voltadas a garantir o seu sucesso o que nem sempre se consegue parte as quest es relacionadas finalidade das pol ticas por exemplo na formula o de leis e estatutos jur dicos onde a pr tica consiste em um savoir faire por vezes sem conex o com a an lise empregada em sua formula o o ciclo elabora o a o avalia o interven o a t nica na formula o e aplica o de pol ticas p blicas e por extens o organizacionais SHU LOCK 1999 GERSBACH 2000 BUSENBERG 2001 A fim de lidar com os volumes de informa o requeridos utilizam se obviamente recursos tecnol gicos o que ocasiona a gera o de um paradoxo faz se uso extensivo de um recurso cuja utiliza o se est normatizando Esta situa o se torna ainda mais patente quando se requer a aplica o de a es envolvendo diferentes pa ses como o arbitramento de quest es jur dicas como patentes e jurisdi es o site de uma organiza o norte americana que est instalado em um servidor computacional locali zado na Alemanha e atende a clientes no Jap o est sujeito legisla o de qual pa s Da mesma forma com as novas p
146. c Journal of Analytic Philosophy v 4 1996 Disponivel em lt http www focusing org apm_papers dreyfus2 html gt Acesso em 19 abr 2004 DREYFUS H L Why we do not have to worry about speaking the language of the computer Information Technology amp People v 11 n 4 p 281 289 1998 DUNN P The importance of consistency in establishing cognitive based trust a laboratory experiment Teaching Business Ethics v 4 n 3 p 285 306 Aug 2000 E COMMERCE ORG Dados estat sticos sobre a internet e com rcio eletr nico S o Paulo 2006 Dispon vel em lt http www e commerce org br STATS htm gt Acesso em 9 maio 2006 ELKIN KOREN N The privatization of information policy Ethics and Information Technology v 2 n 4 p 201 209 Dec 2001 ELOFF J ELOFF M Information security management a new paradigm In Proceedings of the 2003 Annual Research Conference of the South African Institute of Computer Scientists and Information Technologists on Enablement through Technology Pretoria South African Institute for Computer Scientists and Information Technologists 2003 p 130 136 ELOFF M M VON SOLMS S H Information security management a hierarchical framework for various approaches Computers amp Security v 19 n 3 p 243 256 2000 ELSAS P I VRIES P M O de RIET R P van de Computing conspiracies In Proceedings of the 9 International Workshop on Database and Expert Systems Applications V
147. cada DAE A A E RA p 175 Termos e s mbolos presentes em uma express o l gica de exemplo p 199 10 11 12 13 Lista de Figuras Hierarquia para a constru o de modelos conceituais do conhecimento p 24 Esquema do sistema emissor canal receptor 04 p 26 Rede de atua o observada no paradigma interpretativo p 39 Ciclo de vida e unidades de informa o 204 p 45 Desindividualiza o na web am mm am ada a ES EA EES p 47 Percentual do or amento de TI gasto em seguran a da informa o p 56 Incidentes reportados ao NBSO de 1999 a 2006 0 p 59 Tipos de incidentes reportados ao NBSO em 2005 0 p 59 Vulnerabilidades e incidentes observados no mundo p 63 Um modelo para pol ticas de seguran a da informa o p 130 Exemplo de objeto amb guo percep o Litogravura de Escher p 179 Fatores que influenciam a percep o 2 00 000 eee p 180 Cultura organizacional sus aise giz Hele So Ris ele Sel e SAS p 183 Lista de Siglas TI Tecnologia da Informa o a us pn E DRE YR ES BOR CA RS p 49 IETF Internet Engineering Task Force olona ee p 49 OSI Open Systems Interconnection 2 A p 53 CSI Computer Security Institute os a awe we Ae ee PA ea A a we a p 55 FBI Federal Bureau of Investigations 2 oe p 55 NBSO Network Information Center Security Office 6 0 es p 59
148. cas de informa o 7 4 1 Fontes das pol ticas de informa o 74 2 Finalidades das pol ticas de informa o Princ pios para as pol ticas de seguran a da informa o A proposta de um modelo para a constru o de pol ticas de seguran a da informa o ee oe OE ES 8 Conclus es 8 1 8 2 8 3 8 4 Uma revis o dos passos propostos Contribui es deste estudo para o estado daarte 0 4 Sugest es para estudos futuros Coment rios finais Refer ncias Bibliogr ficas Gloss rio Ap ndice A Psicologia e seguran a da informa o A l Introdu o ss sagas rua as vs A 2 Teoria psicol gica A 2 1 Ateoriadapercepg4o A 2 2 Fatores que influenciam a percep o 110 112 112 115 117 119 121 124 125 126 132 132 133 133 135 136 172 174 174 175 175 177 A 3 Aspectos ticos da seguran a da informa o 24 p 180 A 4 Cultura e comprometimento organizacionais voltados seguran a da infor A O chip aire DR ee HA E E DRA PRO DESIRE DS p 182 A 4 1 O elo mais fraco apud por quado Gu Gado eo EE Soo Se p 185 A 4 2 Comportamento aceitac o e uso da tecnologia p 185 A 5 Processos psicol gicos associados tomada de decis o p 186 A 6 A constru
149. ce IETF organiza o independente dedicada an lise e preven o de eventos de seguran a e gest o da rede define incidente como sendo um evento que envolve uma viola o de seguran a SHIREY 2000 Uma defini o mais voltada autoria e ao tipo do evento dada por Howard e Meunier 2002 um ataque ou um grupo de ataques que pode ser diferenciado de outros ataques pela distin o dos atacantes ataques 51 objetivos sites e ocasi o 4 1 6 Ataques Por sua vez um ataque corresponde concretiza o de uma amea a n o necessariamente bem sucedida do ponto de vista do atacante mediante uma a o deliberada e por vezes meti culosamente planejada Uma vez que a gera o de ataques originada por pessoas ainda que com o uso de recur sos computacionais ou de outra natureza a sua preven o torna se extremamente complexa por meios automatizados De fato Schell 2001 afirma que n o h ci ncia capaz de eliminar defi nitivamente os incidentes de seguran a da informa o restando a op o da constante vigil ncia e verifica o Deve se observar ainda que os ataques podem ser de origem externa ou interna orga niza o Schultz 2002 aponta que os ataques de origem interna que ao contr rio do que se apregoa n o necessariamente s o em maior n mero que os externos possuem motiva es e padr es diversos daqueles exigindo assim an lise e contramedidas diferenciadas
150. ceitos como a ado o de procedimentos voltados seguran a da informa o requer uma cuidadosa estrat gia de apresenta o e de ado o Esta an lise leva a uma constata o determinante para a g nese das iniciativas organizacio nais a governan a corporativa e a gest o dos recursos informacionais como um todo n o podem ser independentes da governan a p blica e das pol ticas p blicas que a determinam mais um dos motivos por que estas pol ticas devem assumir a merecida relev ncia 7 3 Pol ticas p blicas A principal preocupa o das pol ticas p blicas consiste em como definir e desenvolver quest es e problemas de modo tal a que eles sejam inseridos na agenda p blica e pol tica PAR SONS 2001 p xv Esta orienta o compreende um processo multimetodol gico multidis ciplinar com clara nfase nos problemas tratados e voltado a mapear o contexto do processo pol tico as op es de a o existentes e os resultados delas advindos na vis o de Lasswell PARSONS 2001 p xvi Historicamente o conceito e a aplica o das pol ticas p blicas evoluiu da vis o plat nica segunda a qual as pol ticas deveriam prover os meios para que as esferas p blica e privada pu dessem ser balanceadas passando pela concep o p s New Deal de que o papel do estado deve ria se restringir gest o da res publica Posteriormente o conceito sofreu influ ncia dos ideais 122 liberais de que o mercado voltaria a di
151. cial por uma transa o realizada de modo online entre duas organiza es de pa ses distintos qual a legisla o a ser aplicada Ou ainda numa organiza o que possua filiais em pa ses distintos como uniformizar uma pol tica de neg cios via rede Deve se observar que as modalidades usadas para garantir a identidade do cliente e do fornecedor n o s o totalmente seguras com a exist ncia de fraudes sendo reportadas continuamente Em outras palavras o modelo de cons tru o e implementa o de com rcio eletr nico est sendo posto prova durante sua pr pria elabora o Nestes casos o aprendizado pela pr tica BLATCHFORD 2000b pode n o ser a melhor maneira de abordar o problema com o disp ndio de recursos que se pode mostrar proibitivo seja por raz es tecnol gicas seja por raz es econ micas veja se o grande n mero de fal ncias de empresas online ap s o boom do mercado acion rio no ano 2000 Nota se uma crescente preocupa o por parte dos sites de com rcio eletr nico no sentido de tornar p bli cas suas pol ticas de seguran a da informa o visando dar aos seus usu rios uma ilustra o de quais s o as pr ticas ali adotadas MCROBB ROBERSON 2004 Diante desta realidade os gestores se v em num dilema conectar se internet aumenta o risco a que est o submetidos os dados de sua organiza o enquanto n o integrar se rede pode significar perdas significativas de mercado e oportunidades de neg c
152. cies a social boarding of humanist perspectives focused in the users s points of view and in opposition to the current technologic models For such the author proceeded to the analysis of a wide collection from articles and works in the fields of information security and public and corporate policies applying a hermeneutic analysis on these materials Also a characterization of the various epistemology approaches to the Information Science was released The found results suggested a model for the design of information security policies based on social sciences requisites and builded with emphasis on the overviewing of information systems and in the context in which they exist Keywords Information security information security policies policy networks phenomeno logy hermeneutics social interaction Sumario Lista de Tabelas Lista de Figuras Lista de Siglas 1 Introdu o p 16 2 Objetivo e metodologia p 19 21 Objetivo da pesquisa eee ee SNR YER ss E E E NE E ES p 19 2 2 Metodologi a eee Bee Re ele le Sele E le a RE SEA p 20 2 2 1 Caracteriza o da pesquisa vx qse mo WS Sp WR OS HX p 21 2 2 2 Uma nova abordagem para o problema da seguran a da informa o p 21 3 Fundamentos epistemol gicos fenomenologia e hermen utica p 27 3 1 Abordagens epistemol gicas ci ncia da informa o p 27 3 2 As bases da teoriafenomenologica 000 2000 4 p 32 321 VAWUSSEUG atas VESPA DE wt
153. ciona a um ou mais servidores computacionais um volume de solicita es muito superior sua capacidade de atendi mento terminando por incapacit lo este ataque pode ser originado de uma nica fonte ou de v rios outros computadores controlados pelo atacante na modalidade conhecida como nega o de servi o distribu da ou DDoS Distributed Denial of Service 3 o percentual de organiza es que informa aos agentes da lei a ocorr ncia de intrus es por computador tem diminu do devido preocupa o com publicidade negativa 4 a maioria das organiza es enxerga o treinamento voltado a pr ticas de seguran a da in forma o como importante mas respondentes de todos os setores informaram n o acre ditar que sua organiza o invista o suficiente nesta rea O percentual do or amento de TI gasto em seguran a pelas institui es pesquisadas no per odo de coleta dos dados ilustrado pela Figura 6 Observe se a alta concentra o em fatias 57 de percentual igual ou inferior a 5 Percentual do or amento de TI gasto com seguran a Mais de 10 De 8 a 10 De 6 a 7 De 3 a 5 De 1 a 2 Menos de 1 Porcentagem do or amento de TI Desconhecido 0 5 10 15 20 25 30 Porcentagem de respondentes Figura 6 Percentual do or amento de tecnologia da informa o gasto em seguran a 2003 2004 Fonte Gordon et al 2004 Conforme j se salientou a lista de incidentes envolvendo compu
154. como a express o de modos de ser no mundo A a o humana ent o expressa se ou implica em um modo de exist ncia particular ou seja o conjunto de possibilidades de uso encontradas em um mundo humano as escolhas implicativas somente se tornam expl citas quando consi deradas na rela o entre o comportamento espec fico e o modo de exist ncia em que se apresentam interpreta o representa o elo entre o comportamento expresso e o modo de exist ncia entre a a o e suas escolhas ou entre um comportamento e suas implica es uma leitura do mundo implicado a partir do ato concreto A fim de visualizar a interpreta o de um comportamento n o se deve olhar para o objeto que o gera mas sim para as implica es possibilidades de uso que ele expressa linguagem a interpreta o assim como no paradigma normativo pressup e uma linguagem a priori j intersubjetivamente cheia de significados segundo Dreyfus 1998 a lingua gem tem o papel de chamar a aten o para algum aspecto do mundo j compartilhado a diferen a consiste em que enquanto o paradigma normativo considera a linguagem como sendo uma categoria residual que simplesmente acrescentada ao comportamento uma vez disposto em uma classe definida categoriza o a abordagem interpretativa su gere que a natureza as possibilidades implicadas de um fen meno comportamental seja id ntica ao comportamento conforme sua nomea o o fen meno o se
155. curity poli cies In Proccedings of the 23 National Information Systems Security Confe rence NIST National Institute of Standards and Technology 2000 Dispon vel em lt http csrc nist gov nissc 2000 proceedings papers 052 pdf gt Acesso em 4 jul 2003 SMITH K B Typologies taxonomies and the benefits of policy classification Policy Studies Journal v 30 n 3 p 379 395 Aug 2002 SMITH R E Experimenting with security policy In 2 DARPA Information Survivability Conference amp Exposition Washington DARPA 2001 v 1 p 116 122 SOBEL A E K ALVES FOSS J A trace based model of the chinese wall security policy In Proceedings of the 22 National Information Systems Security Confe rence NIST National Institute of Standards and Technology 1999 Dispon vel em lt http csrc nist gov nissc 1999 proceeding papers p9 pdf gt Acesso em 19 fev 2005 SPILLER P T TOMMASI M The institutional foundations of public policy a transactions approach with application to Argentina Journal of Law Economics amp Organization v 19 n 2 p 281 306 Oct 2003 170 SPURLING P Promoting security awareness and commitment Information Management amp Computer Security v 3 n 2 p 20 26 1995 STANTON J M et al Examining the linkage between organizational commitment and information security In JEEE International Conference on Systems Man and Cybernetics Oakland California IEEE Society 2003
156. de con siderar eventuais press es sociais exercidas pelas escolhas dos demais sobre a decis o de determinado indiv duo ou o altru smo ali envolvido Por estas raz es a teoria dos jogos foi considerada para a modelagem dos processos din micos que se desenvolvem quando da ado o de pol ticas de seguran a da informa o chegando a ser escrito um texto es pec fico para este fim mas por considera es de tempo e escopo como esta ado o est necessariamente concentrada na implementa o das pol ticas e n o se chegou a um cro nograma aceit vel para a implementa o de alguma pol tica em alguma organiza o tal desenvolvimento foi deixado para um estudo posterior 139 8 4 Comentarios finais Uma constata o patente ao longo deste trabalho a de que a solu o proposta a um pro blema pode passar a ser um novo problema espera de uma an lise acurada eventualmente ainda maior que o problema original Em outras palavras o uso de solu es pr formatadas para a formula o ou a ado o de pol ticas pode ser mais danosa que a aus ncia de pol ticas uma vez que se incorre em investimentos muitas vezes vultosos e cujo retorno n o tem por vezes uma garantia assegurada Outro aspecto que merece especial aten o a urgente necessidade de uma discuss o apro fundada dos preceitos subjacentes s pol ticas de seguran a da informa o adotadas no Brasil em sua maioria do lado estatal s o voltadas ao p
157. de dos usu rios este tema se torna particularmente sens vel JENSEN POTTS 2004 Van der Haar e Von Solms 2003 observam que as propriedades de uma organiza o devem determinar as metas e n veis da seguran a Os autores listam poss veis atributos para o controle da seguran a tais como os perfis dos usu rios em seus diferentes n veis Os elementos b sicos do modelo proposto s o e as propriedades da organiza o tais como a natureza do neg cio prop sito ambiente cultura etc e os n veis e metas da seguran a da informa o tais como confidencialidade e preditibili dade 83 e os atributos de controle como regras auditoria e planos de recupera o de desastres que ir o acompanhar todos os controles da organiza o Pretende se com este modelo proceder se diferencia o entre estrat gias objetivos e po l ticas a fim de que cada um destes elementos seja devidamente tratado em seu n vel adequado estabelecendo se as metas da seguran a tais como diminuir perdas e riscos salvaguardar inte gridade dos dados etc Os autores lembram ainda que a an lise de risco um crit rio subjetivo e como tal deve ser tratada Outras fontes de conformidade para as pol ticas al m da legisla o e dos princ pios orga niza es s o os padr es propostos por organismos nacionais ou internacionais FUMY 2004 como os que ser o discutidos mais adiante neste cap tulo e outros modelos de pr ticas
158. de seguran a da informa o um conjunto de regras normas e procedimentos que regulam como deve ser gerenciada e protegida a informa o sens vel assim classificada pela organiza o ou pelo estado al m dos recursos e usu rios que com ela interagem Todo o ciclo de vida da informa o deve ser objeto da pol tica 7 6 A proposta de um modelo para a constru o de pol ticas de seguran a da informa o Epist mica e ontologicamente existem diferentes abordagens an lise das pol ticas en quanto objetos de estudo pertencentes ao dom nio das ci ncias sociais corrente a acep o de que virtualmente imposs vel classific las objetivamente sendo as mesmas pol ticas clas sificadas diferentemente por pesquisadores distintos pol ticas s o conceitos e n o qualidades empiricamente mensur veis SMITH 2002 Uma das abordagens propostas a de Dixon e Do gan 2004 apresenta o campo ontol gico como sendo dividido entre o estruturalismo com as a es sociais causadas pelas estruturas sociais e o conceito de ag ncia pelo qual as a es sociais t m sua g nese nas a es individuais No campo epistemol gico os autores dividem a an lise entre os campos do naturalismo segundo o qual a realidade social objetiva e material e a hermen utica pela qual a realidade social subjetiva e ideacional Esta taxonomia tem sido aplicada por seus autores a diversos contextos como a governan a corporativa DIXON DOGAN
159. do as diferen as tempo de rea o recursos dispon veis poder de coer o toler ncia a riscos entre o mercado e o poder p blico NUTT 2005 CHRISTENSEN PALLESEN 2001 120 Particularmente no que diz respeito seguran a da informa o existe um complicador como conciliar a necessidade da privacidade e dos direitos individuais com o interesse p blico o que gera conflitos de diversas magnitudes como a supervis o de mensagens de correio ele tr nico por parte da organiza o por exemplo SHARPE RUSSELL 2003 7 2 A governan a e as redes corporativas Embora seja um lugar comum diferenciar se as organiza es governamentais das privadas e n o governamentais com base na aferi o de lucros deve se salientar que a vis o e o trata mento dos conceitos relacionados informa o n o apresentam diferen as marcantes O que difere o uso destes conceitos com vistas aos objetivos estabelecidos No mundo corporativo comum a introdu o do conceito da governan a corporativa para sumarizar os estamentos aos quais a organiza o deve se sujeitar Enquanto pelo lado do governo o termo governan a aplica se ao processo pelo qual a sociedade gere a si mesma UNESCO 2002 no lado corporativo a governan a comumente vista como um contrato entre os shareholders representados pelos acionistas e os agentes stockholders representados por um quadro de ger ncia ou pela figura individual do CEO chief executive officer
160. do pelo Decreto n 3 996 sendo que a ICP Gov teve ainda seu nome mudado para ICP Brasil Decreto n 3 872 de 18 de julho de 2 001 Disp e sobre o Comit Gestor da Infra Estrutura de Chaves P blicas Brasileira CGICP Brasil BRASIL 2001a Cria se o Comit respons vel pela gest o de pol ticas da ICP Brasil Medida Provis ria n 2 200 de 24 de agosto de 2 001 Esta medida institui a Infra Estrutura de Chaves P blicas Brasileira ICP Brasil BRA SIL 2001c transforma o Instituto Nacional de Tecnologia da Informa o em uma autarquia federal subordinada ao Minist rio da Ci ncia e Tecnologia e d lhe a atribui o de Autoridade Certificadora Raiz da ICP Brasil Decreto n 3 996 de 31 de outubro de 2 001 Disp e sobre a presta o de servi os de certifica o digital mo mbito da Administra o P blica Federal BRASIL 2001b estabelecendo que tais servi os dever o estar subordinados ICP Brasil 99 Decreto n 4 073 de 3 de janeiro de 2 002 e Lei n 8 159 de 8 de janeiro de 1991 O Decreto regulamenta a Lei n 8 159 a qual disp e sobre a pol tica nacional de arquivos p blicos e privados BRASIL 2002b BRASIL 1991 dando ao Conselho Nacional de Ar quivos CONARQ a atribui o de definir a pol tica nacional de arquivos p blicos e privados bem como exercer orienta o normativa visando gest o documental e prote o especial aos documentos de arquivo BRASIL 2002b Art 1
161. do suporte instrumental por outro indica claramente a necessidade de uma melhor fundamenta o desta ci ncia sobre alicerces mais est veis Ao lado deste debate epistemol gico ocorre um outro pelo vi s filos fico ontol gico onde os fil sofos e os te ricos dos fundamentos da ci ncia da informa o visam a identificar e caracterizar claramente as pr prias bases filos ficas desta ci ncia Neste sentido Floridi 2002b 2003b tenta delimitar o campo dos estudos filos ficos acerca da informa o iniciando por contextualiz los historicamente caracterizando os como um novo campo e sugerindo que sejam abarcados pela express o filosofia da informa o definida por aquele autor nos seguintes termos 31 Filosofia da informa o o campo filos fico que se dedica a a investiga o cr tica da natureza conceitual e dos princ pios b sicos da informa o incluindo sua din mica utiliza o e ci ncias e b elabora o e aplica o de metodolo gias te ricas e computacionais da informa o a problemas filos ficos FLO RIDI 2002b p 137 A din mica da informa o apontada na primeira parte da defini o acima diz respeito constitui o e modelagem de ambientes de informa o ao ciclo da informa o e computa o tanto algor tmica quanto processual privilegiando a informa o sobre a computa o uma vez que esta n o subsiste sem a pressuposi o daquela A segunda parte da defini o
162. e de modo tal que condi es de sa de pr existentes n o se tornem impeditivas ao seguro quando da mudan a de emprego e uma simplifica o administrativa visando redu o de custos pela ado o de procedimentos padronizados de transmiss es eletr nicas de dados dos pacientes MERCURI 2004 Buscava se assegurar o sigilo das informa es m dicas garantindo assim a privacidade dos dados coletados armazenados e trafegados HELVEY et al 2004 al m de enfatizar se a rea liza o de a es voltadas salvaguarda das informa es como a formula o de um plano de continuidade de neg cios Caso as prescri es da lei n o sejam cumpridas as multas previstas originalmente excedem a faixa de US 200 000 e as penas de pris o podem atingir at 10 anos A fim de se adequar lei as organiza es t m procedido implementa o de mecanismos e salvaguardas com vistas manuten o da seguran a das informa es que tratam A primeira data limite estabelecida para a adequa o das organiza es lei foi o dia 21 de abril de 2004 sendo que este prazo foi extendido por mais 12 meses para pequenas organiza es e novamente extendido por outros 12 meses para organiza es de maior porte Contrariamente ao desejado em muitos casos em vez de se implementar a seguran a de modo adequado introduziram se novas vulnerabilidades seja pelo planejamento ruim das necessidades de seguran a seja por implementa es mal feitas se
163. e Refer ncia NBR 17799 ABNT 2002 ou a descri o de recomenda es de institutos de tecnologia e de padr es BASS 1998 partem de pressupostos representados por melhores pr ticas WOOD 2002b ou seja adota se um conjunto de procedimentos ad hoc definidos de forma emp rica e exclu sivamente voltados a aspectos t cnicos deslocados do contexto humano e profissional em que se inserem Cumpre observar que os sistemas de informa o mormente aqueles digitais em ampla voga no contexto da Sociedade da Informa o encontram se naturalmente envoltos por com pleto em ambientes do mundo real estando sujeitos a v rias formas de a es afeitas sua seguran a tais como nega es de servi o fraudes roubos tentativas de invas o corrup o e outras atividades hostis SCHNEIER 2000 WOOD 20024 BOSWORTH KABAY 2002 Em resposta a estas hostilidades a seguran a da informa o em seu sentido mais abran gente envolve requisitos voltados garantia de origem uso e tr nsito da informa o buscando certificar todas as etapas do seu ciclo de vida Estes requisitos podem ser resumidos na forma do tr s primeiros itens a seguir ABNT 2002 aos quais algumas abordagens agregam ainda os dois ltimos KRUTZ VINES 2002 KRAUSE TIPTON 1999 Confidencialidade garantia de que a informa o acess vel somente por pessoas autorizadas a realizarem tal acesso JONSSON 1998 Integridade garantia de n
164. e Seguran a da Informa o Rio de Janeiro Brasport 2003 MASUDA Y A sociedade da informa o Rio de Janeiro Rio 1982 MATUS C Fundamentos da planifica o situacional In Planejamento e Programa o em Sa de S o Paulo Cortez 1992 p 105 149 MAXWELL T A The public need to know emergencies government organizations and public information policies Government Information Quarterly v 20 n 3 p 197 220 July 2003 MAY C Dynamic corporate culture lies at the heart of effective security strategy Computer Fraud amp Security v 2003 n 5 p 10 13 May 2003 MCGARRY K O contexto din mico da informa o Bras lia Briquet de Lemos 1999 MCINTOSH A Using Information and Communication Technologies to Enhance Citizen Engagement in the Policy Process Paris OECD 2003 MCLEAN J The algebra of security In 1988 IEEE Computer Society Symposium on Research on Security and Privacy Oakland California IEEE 1988 p 2 7 MCLEAN J Security models and information flow In 1990 IEEE Computer Society Symposium on Research on Security and Privacy Oakland California IEEE 1990 p 180 187 MCLEAN J The specification and modeling of computer security Computer v 23 n 1 p 9 16 Jan 1990 MCLEAN J Reasoning about security models In 1997 IEEE Computer Society Symposium on Research on Security and Privacy Oakland California IEEE 1997 p 123 131 Dispon vel em lt http www cs purd
165. e alinhada com a sua formu la o No conv vio social moderno mais especificamente na sociedade da informa o a padro niza o de regras de conduta voltadas ao conv vio frente s fontes e acervos informacionais se traduz por meio da formula o aplica o e acompanhamento de pol ticas da informa o se jam elas governamentais ou organizacionais expressas em linguagem natural o que as sujeita a interpreta es d bias A fim de contornar esta dificuldade existem propostas de representar se as pol ticas de seguran a da informa o com base em formalismos capazes de expressar os conceitos da linguagem natural e de averiguar a consist ncia dos modelos ali representa dos como a l gica Esta abordagem foi inicialmente um dos t picos deste trabalho mas que foi deixada para um estudo posterior devido complexidade envolvida na consolida o das l gicas que chegaram a ser constru das e pelo surgimento da quest o relativa aos aspectos s cio comportamentais do estudo 6 4 Uma nova defini o de seguran a da informa o Para o objetivo deste trabalho antes necess ria uma nova defini o do que venha a ser um sistema de informa es S o usuais as defini es segundo as quais um sistema de informa es composto pelo complexo de tecnologia hardware e software enquanto outras d o um pequeno 114 passo adiante ao abarcar a presen a do usu rio Contudo conforme j se disse o usu rio n o
166. e at 200 dos ganhos di rios gerados pelo sistema Ap s 12 dias a perda acumulada pode atingir at 800 dos ganhos di rios Uma an lise dos ativos indica o grau de criticidade de cada um destes o que associado ao n mero de dias durante os quais a organiza o pode prosseguir sem o ativo considerado gera a chamada matriz de an lise de impacto nos neg cios Esta matriz ent o utilizada como ndice para apontar os ativos cr ticos e o tempo m ximo suport vel de indisponibilidade orientando prioridades e investimentos Alguns dos padr es relacionados seguran a da informa o refor am veementemente a confec o de um plano de continuidade de neg cios e de um plano de recupera o de desastres 5 8 Organismos leis e padr es relacionados s pol ticas de seguran a da informa o Conforme j foi dito as pol ticas de seguran a da informa o para serem eficazes devem ser aderentes legisla o e s regulamenta es vigentes sobre o contexto organizacional Leis e normas nacionais ou mesmo internacionais al m de padr es reconhecidos contribuem para esta pr tica Alguns exemplos de legisla o ser o discutidos a seguir 87 5 8 1 Estados Unidos Os Estados Unidos como p lo gerador de inova es tecnol gicas e como um dos pa s de mais alta taxa percentual de uso computacional por habitante conforme ilustra a Tabela 7 ditam muitas das normas utilizadas pela comunidade internacional no toc
167. e de riscos os participantes devem realizar an lises de risco nos sistemas e redes de informa o sob sua guarda 7 delineamento e implementa o da seguran a os participantes devem incorporar a segu ran a como um elemento essencial dos sistemas e redes de informa o 8 gest o da seguran a os participantes devem adotar uma abordagem abrangente da gest o da seguran a 9 reavaliza o os participantes devem rever e reavaliar a seguran a dos sistemas e redes de informa o e realizar as modifica es apropriadas s pol ticas pr ticas medidas e procedimentos de seguran a 5 8 5 Brasil No Brasil somente a partir do final da d cada de 1990 tem se dado import ncia espec fica a eventos da seguran a da informa o no tocante aos aspectos legais e jur dicos que os envolvem At ent o os incidentes eram enquadrados sob a ptica do contexto em que se inseriam por exemplo fraude ou falsifica o conforme o caso e a vis o do jurista respons vel Nos ltimos anos leis t m sido propostas para tratar especificamente de temas relacionados seguran a da informa o em formato digital como o com rcio eletr nico mas tais projetos ainda se encontram em tramita o no Congresso Nacional A legisla o brasileira como se ver a seguir bastante abrangente por m em muitos casos carece de atualiza es essenciais sua formaliza o e implementa o NBSO Equivalente brasileiro do
168. e sistemas de informa o por exemplo h ocorr ncias de falhas de implementa o decorrentes do subdimensiona mento das rela es de poder existentes entre os diversos usu rios DHILLON 2004 Por outro lado o papel essencial representado pelos gestores da seguran a torna os t o ou mais vulne r veis que os usu rios ditos comuns fazendo com que sua escolha e treinamento se tornem a es essenciais e impactantes sobre todo o processo de seguran a RHODEN 2002 GUZ MAN KAARST BROWN 2004 Por sua vez todos os equipamentos utilizados no fluxo das informa es consideradas sens veis devem necessariamente ser objeto de aten o especial e n o somente as esta es utilizadas pelos usu rios finais ARCE 2003b A 4 2 Comportamento aceitac o e uso da tecnologia Por tr s da utiliza o dos recursos tecnol gicos no mbito dos sistemas de informa o em ambientes organizacionas est o os processos de decis o que levaram escolha e ado o de tais recursos Estas escolhas que aparentemente s o feitas de modo racional e objetivo podem ser realizadas na verdade com base em intui es e rituais que fogem completamente al ada da tomada racional de decis es TINGLING PARENT 2004 o que ir certamente gerar consequ ncias sobre todo o ciclo de vida de tais sistemas Konana e Balasubramanian 2005 por exemplo prop em um modelo com bases s cio econ mico pol ticas e n o apenas econ micas ou
169. e um mundo inicial s Ao percorrimento dos ramos est o associados os tr s operadores temporais a saber VL sempre VS eventu almente e 3O s vezes que correspondem aos quantificadores definidos de tal modo que dados um mundo s um ramo definido como uma segii ncia de mundos e uma f rmula q tem se 1 s Vlo sse verdadeira em todos os mundos ao longo de todos os ramos iniciados em s 2 5 VS sse verdadeira em algum mundo ao longo de todos os ramos iniciados em s 3 s 4O sse verdadeira em algum mundo ao longo de algum ramo iniciado em s Al m disso dado um conjunto S de mundos poss veis os elementos deste conjunto s o chamados estados indicando as configura es poss veis do sistema Tem se um conjunto 2 finito ou infinito de sequ ncias de membros de S chamados execu es Se r um membro de Z escreve se ri para indicar o i simo membro da seqii ncia r Define se ent o uma rela o bin ria R entre os estados poss veis de S a partir do conjunto de execu es para dois estados quaisquer s e s de S o par s s R se e somente se existe uma execu o r tal que dados os inteiros i e j rli ser i j s ou seja pode se atingir s a partir de s em um tempo finito De modo mais formal o alfabeto desta linguagem consiste de 1 um conjunto enumer vel X de letras proposicionais primitivas Q W 2 0s s mbolos l gicos T
170. ealism in library and information science Library Trends v 52 n 3 p 488 506 Winter 2004 HJ RLAND B Comments on the articles and proposals for further work Journal of Documentation v 61 n 1 p 156 163 2005 HJ RLAND B Empiricism rationalism and positivism in library and information science Journal of Documentation v 61 n 1 p 130 155 2005 HJ RLAND B Library and information science and the philosophy of science Journal of Documentation v 61 n 1 p 5 10 2005 HONE K ELOFF J Information security policy what do international information security standards say Computers amp Security v 21 n 5 p 402 409 Oct 2002 HONE K ELOFF J What makes an effective information security policy Network Security v 2002 n 6 p 14 16 June 2002 155 HORLICK JONES T SIME J Living on the border knowledge risk and transdisciplinarity Futures v 36 n 4 p 441 456 May 2004 HOWARD J D MEUNIER P Using a common language for computer security incident information In BOSWORTH S KABAY M E Eds Computer Security Handbook 4th ed New York John Wiley amp Sons 2002 p 3 1 3 22 HUDSON J E galitarianism The information society and New Labour s repositioning of welfare Critical Social Policy v 23 n 2 p 268 290 May 2003 HUGHES G E CRESSWEL M J A companion to modal logic London Methuen and Co 1984 HUGHES G E CRESSWEL M J A new intr
171. ecnol gica da informa o no Brasil apresentou os resultados de sua Nona Pesquisa Nacional de Seguran a da Informa o Foram coletados 682 question rios entre os meses de mar o e agosto de 2003 junto a profissionais de seguran a de diversos segmentos incluindo o Governo Dentre os resultados pode se salientar os seguintes M DULO 2003 1 42 das empresas tiveram incidentes de seguran a da informa o nos seis meses anteri ores pesquisa 2 35 das empresas reconheceram perdas financeiras devido a tais incidentes 3 o percentual de empresas que informa ter sofrido ataques subiu de 43 em 2002 para 77 em 2003 4 32 dos respondentes apontaram hackers como respons veis pelos incidentes reportados 5 para 78 dos respondentes os riscos e os ataques aumentariam em 2004 6 48 n o possu am plano de a o formalizado para o caso de invas es e ataques 7 60 indicam a internet como o principal ponto de invas o de seus sistemas 8 a falta de consci ncia dos executivos apontada por 23 dos respondentes como o prin cipal obst culo para a implementa o de seguran a enquanto 18 alegaram ser a difi culdade em justificar o retorno do investimento 16 o custo de implementa o e apenas 6 apontaram a falta de or amento Quando perguntados sobre a principal amea a seguran a da informa o nas empresas as respostas obtidas foram aquelas indicadas na Tabela 6 60 Ocorr ncia Percentual Virus
172. egar uma an lise multidis ciplinar aos problemas tratados uma vez revelada a complexidade destes A caracter stica da complexidade por sinal amplamente apresentada pelas pol ticas e particularmente pelas pol ticas de seguran a da informa o dado seu car ter normativo e eminentemente multidisciplinar como se tem demonstrado ao longo deste trabalho Naturalmente o modelo proposto n o tem por objetivo esgotar o problema mas apenas resumir as considera es que j foram dispostas Seguindo se a proposi o apresentada em Mingers 2003 s o apresentados os pressupos tos que orientam a elabora o deste modelo sob o ponto de vista da ontologia da epistemologia e da axiologia aquilo a que se atribui valor ou que considera correto ontologia reconhece se a problem tica da seguran a da informa o qual seja a exist ncia de um problema multidisciplinar e complexo cuja complexidade se ilustra tanto pelo vulto da utiliza o das informa es no mbito das organiza es quanto pela explos o dos incidentes e vulnerabilidades a que est o sujeitas e que permeiam todo o seu ambiente epistemologia enxerga se a informa o e seus usu rios sob o ponto de vista da fenome 134 nologia ou seja como elementos igualmente constituintes dos sistemas de informa o Nem a informa o o sem a presen a do usu rio nem este pode se manifestar frente ao sistema sem o concurso da informa o qual tem acesso
173. eira pergunta foram listadas doze categorias de amea as potenciais obtidas a partir de trabalhos anteriores e da entrevista com tr s security officers Estas doze ca tegorias s o as seguintes j dispostas em ordem decrescente de severidade percebida conforme respostas obtidas pelo survey online realizado com organiza es de diferentes portes e reas de atua o o autor n o cita o n mero de institui es envolvidas na pesquisa 1 eventos deliberados cometidos com o uso de software v rus vermes macros nega es de servi o 2 erros ou falhas t cnicas de software falhas de codifica o bugs 3 falhas ou erros humanos acidentes enganos dos empregados 4 atos deliberados de espionagem ou invas o hacking 5 atos deliberados de sabotagem ou vandalismo destrui o de sistemas ou informa o 6 erros ou falhas t cnicas de hardware falhas de equipamentos 7 atos deliberados de furto de equipamentos ou de informa o 8 for as da natureza terremotos enchentes rel mpagos inc ndios n o intencionais 9 comprometimento propriedade intelectual pirataria infra o a direitos autorais 10 varia o da qualidade de servi o Quality of Service QoS por provedores como energia el trica e servi os de redes remotas de telecomunica o 11 obsolesc ncia t cnica e 12 atos deliberados de extors o de informa o chantagem ou revela o indevida de infor ma o Quanto freqii nci
174. eitos de produ o e dissemina o r pidas da informa o Na turalmente a qualidade da informa o produzida e disseminada n o acompanha de modo pari passu o volume informacional tornado dispon vel pelas diferentes origens Do mesmo modo a informa o n o igualmente produzida de maneira uniforme por todos os pa ses organiza es e grupos sociais Como em qualquer outra atividade existem loci de produ o e consumo acentuados de determinados conte dos gerando uma elite e uma periferia informacionais cuja dist ncia tende a se agravar caso n o sejam tomadas medidas capazes de aproximar os usu rios da periferia dos meios e recursos de que necessitam para a produ o e o interc mbio de informa es Neste contexto as pol ticas p blicas da informa o mormente em pa ses em de senvolvimento assumem papel preponderante quanto inclus o dos cidad os como usu rios e provedores habilitados das novas m dias a informa o assume um car ter de recurso nacional de alt ssimo valor Embora o papel da informa o no desenvolvimento s cio econ mico de uma sociedade ainda n o esteja perfeitamente claro e mesmo n o sendo perfeitamente conhecidos quais os mecanismos essenciais forma o de uma sociedade da informa o uma vez que em diferen tes contextos nacionais aplicam se modalidades e graus diferentes de atua o p blica algumas caracter sticas s o observadas como pontos em comum em diferentes pa ses p
175. elo globo AR NOLD 2004 com adapta es 1 a informa o publicada e distribu da como um produto econ mico sendo colocada disposi o da sociedade em diferentes formatos e por diferentes canais 2 a informa o desempenha papel essencial como um recurso de car ter nacional e se administrada corretamente pode impulsionar de modo substancial o desenvolvimento de uma na o Para tanto ela deve estar acess vel e dispon vel a todos os segmentos industrial educacional de lazer e entretenimento econ mico e pol tico 3 o valor da informa o ou do conhecimento que se pode obter ou produzir por meio dela n o predit vel e em decorr ncia disso pode se modificar ao longo do tempo aumen tando ou diminuindo conforme a sua utiliza o a gest o a prote o e a valora o da informa o n o podem ser feitos como outros bens de produ o ou de consumo 4 os governos e rg os p blicos devem desenvolver e aplicar pol ticas voltadas pesquisa e ao desenvolvimento das tecnologias da informa o 5 o acesso e a disponibilidade da informa o tendem a estar associados ao desenvolvimento s cio econ mico os cidad os de pa ses onde a sociedade da informa o se apresenta de 127 modo acentuado possuem acesso a maiores volumes de informa o de melhor qualidade devido em parte melhor infra estrutura e a sistemas de telecomunica es mais desen volvidos por outro lado este ac
176. em 20 mar 2006 FARN K J LIN S K FUNG A R W A study on information security management system evaluation assets threat and vulnerability Computer Standards amp Interfaces v 26 n 6 p 501 513 Oct 2004 FELDMAN J MIYAMOTO J LOFTUS E F Are actions regretted more than inactions Organizational Behavior and Human Decision Processes v 78 n 3 p 232 255 June 1999 FERNANDEZ MOLINA J C PEIS E The moral rights for authors in the age of digital information Journal of the American Society for Information Science and Technology v 52 n 2 p 109 117 Jan 2001 FERREIRA M C et al Desenvolvimento de um instrumento brasileiro para avalia o da cultura organizacional Estudos de Psicologia v 7 n 2 p 271 280 jul dez 2002 150 FERREIRA R da S A sociedade da informa o no Brasil um ensaio sobre os desafios do Estado Ci ncia da Informa o v 32 n 1 p 36 41 jan abr 2003 FLORES F et al Computer systems and the design of organizational interaction ACM Transactions on Office Information Systems v 6 n 2 p 153 172 1988 Dispon vel em lt http doi acm org 10 1145 45941 45943 gt Acesso em 7 abr 2004 FLORIDI L Information ethics on the philosophical foundation of computer ethics Ethics and Information Technology v 1 n 1 p 37 56 1999 FLORIDI L On defining library and information science as applied philosophy of information Social Epistemology v
177. emas se multiplicam de forma avassaladora Para cada uma das formas de utiliza o da rede dentre as quais algumas das principais ser o mostradas a seguir existem amea as e vulnerabilidades correspondentes 68 4 6 1 Com rcio eletr nico O volume global de neg cios por meio da internet tem crescido acentuadamente nos ltimos anos Nos Estados Unidos o com rcio de bens no varejo realizado por meio da rede subiu da ordem de US 6 bilh es no ano 2000 para US 23 bilh es ao final de 2005 representando 2 4 do total de vendas gerais no varejo naquele pa s US CENSUS 2006 No Brasil segundo a Pesquisa Anual de Com rcio realizado pelo IBGE no ano de 2003 foram movimentados R 1 85 bilh o naquele ano em transa es feitas por empresas varejistas por meio da internet IBGE 2003 Estima se que no ano de 2006 este volume atinja o montante de R 3 9 bilh es As cifras envolvidas levantam diversas quest es acerca dos requisitos de seguran a utilizados em tais transa es Blatchford 2000a estima que o cadastro com informa es acuradas de um nico cliente potencial pode valer at US 1500 00 para um vendedor inescrupuloso S o frequentes as ofertas de venda de listas de cadastros de endere os eletr nicos por meio da pr pria rede A conforma o das organiza es ao com rcio eletr nico ainda est sendo comprovada medida em que implementada e quest es jur dicas surgem a todo instante p ex em caso de disputa comer
178. ento da rela o entre a abordagem fenomeno l gica e a Ci ncia da Informa o em busca de fundamentos epistemol gicos que permitam a esta ltima tratar com seus objetos de estudo em bases filosoficamente fundamentadas Uma outra contribui o diz respeito varredura do campo das pol ticas da seguran a da informa o do ponto de vista do contexto social os estudos acerca destas pol ticas tratam nas com base em aspectos tecnol gicos A abordagem adotada neste trabalho procurando partir desde a nomenclatura e os conceitos envolvidos na forma o de pol ticas de car ter geral tenta elucidar este campo com vistas a uma correta formula o destes dispositivos 8 3 Sugest es para estudos futuros V rias outras disciplinas foram estudadas e diversas estrat gias foram elaboradas ao longo da confec o deste trabalho mas por problemas de ordem cronol gica ou administrativa n o foram levados a termo Eis alguns destes estudos e estrat gias 138 1 autiliza o de instrumentos via de regra question rios ou entrevistas para a capta o de percep es dos usu rios de sistemas de informa o quanto sua seguran a estes instru mentos t m o intuito de reduzir a avers o normalmente causada pela implementa o das pol ticas de seguran a da informa o e de contemplar quest es pertinentes compreens o das rela es sociais no mbito organizacional propondo se a an lise do comportamento dos usu rios fren
179. ep o destes junto ao tema da seguran a da informa o Com este objetivo foi constru do um instrumento para a captura desta percep o apresentado no Ap ndice B Contudo uma vez procuradas diversas organiza es tr s p blicas e duas priva das para a aplica o do instrumento n o se obteve resposta afirmativa de nenhuma delas As respostas alegadas quando as houve foram no sentido de que o tema ainda n o fora debatido internamente organiza o devendo aguardar se o momento adequado para uma a o da natureza proposta ou de que a organiza o passava por um processo interno de avalia o de requisitos relacionados seguran a da informa o e que o pesquisador entrasse em contato posteriormente Outra abordagem inicialmente proposta para este trabalho foi a formaliza o das pol ticas de seguran a da informa o por meio de mecanismos da l gica visando elimina o de am bigiiidades e mesmo ao tratamento computacional das pol ticas nos ambientes organizacionais Uma proposta de formaliza o foi desenvolvida com o uso de l gicas modais e mostrada no Ap ndice C Por m algumas quest es de cunho anterior exist ncia das pol ticas tornaram se prementes e a elas deu se destaque como se ver nas p ginas seguintes Uma vez que se j realizava uma profunda an lise documental de artigos e trabalhos nas reas tanto da seguran a da informa o quanto da formula o e implementa o de pol
180. epoch Todos os pre conceitos pessoais cren as e afirma es sobre rela es causais ou suposi es s o suspensas ou coloca das entre par nteses Quest es s o formuladas e as respostas s o analisadas Inicia se com uma hip tese de rela o causal A hip tese verificada pela manipula o de uma ou mais va ri veis independentes a fim de estudar se o seu efeito sobre um comportamento espec fico vari vel depen dente 4 Metodologia de pesquisa D se nfase descri o do mundo pelo ponto de vista das pessoas que o vivem e o experienciam To dos os conceitos e teorias emergem dos dados da consci ncia exigindo uma abordagem cognitiva que n o pode ser replicada com exatid o Amplas generaliza es abstratas ou teorias s o apli cadas de uma forma l gico dedutiva por meio das hi p teses das defini es operacionais para formar um delineamento que pode ser replicado 5 Objetivo e infer ncias da pesquisa Chegar a ess ncias universais puras A l gica da in fer ncia a compara o direta resultando em novos insights ou reclassifica es Interpreta o estat stica dos dados a fim de formu lar categorias ou normas A l gica da infer ncia a classifica o e a serializa o dos resultados levando a compara es num ricas 6 Generaliza o dos resultados As generaliza es dizem respeito apenas aos indiv duos espec ficos sob investiga o As conclus es ser
181. eries v 1268 p 141 146 June 2004 ALCOFF L M Ed Epistemology the big questions Malden Massachusetts Blackwell 1998 ALFARO L de GODEFROID P JAGADEESAN R Three valued abstractions of games uncertainty but with precision In Proceedings of 19 IEEE Symposium on Logic in Computer Science Turku Finland IEEE 2004 p 170 179 ALJAREH S ROSSITER N A task based security model to facilitate collaboration in trusted multi agency networks In Proceedings of the 2002 ACM Symposium on Applied Computing Madri ACM 2002 p 744 749 ALUR R HENZINGER T A KUPFERMAN O Alternating time temporal logic In Proceedings of the 38 Annual Symposium on Foundations of Computer Science Oakland California IEEE 1997 p 1 9 ALVES C MENDES V Corporate governance policy and company performance the Portuguese case Corporate governance v 12 n 3 p 290 301 July 2004 ANDERSON J M Why we need a new definition of information security Computers amp Security v 22 n 4 p 308 313 May 2003 ANDERSON R Why cryptosystems fail In Proceedings of the 1 ACM Conference on Computer and Communications Security Fairfax Virginia United States ACM 1993 p 215 227 Dispon vel em lt http doi acm org 10 1145 168588 168615 gt Acesso em 2 ago 2004 141 ANDERSON R Why information security is hard an economic perspective Cambridge 2001 Dispon vel em lt http www cl cam ac uk ftp use
182. erta de servi os de utilidade p blica ao con tribuinte 2 A perspectiva de processos onde procura se repensar os processos produtivos existentes no Governo em suas v rias esferas como por exemplo os processos de licita o para compras o chamado e procurement 3 A perspectiva da coopera o onde se visa integra o entre rg os governamentais e destes com outras organiza es privadas e Organiza es N o Governamentais ONGs de modo a agilizar o processo decis rio e a atua o destes rg os e 4 A perspectiva da gest o do conhecimento onde se visa a permitir ao Governo em suas v rias esferas criar gerenciar e tornar dispon veis em reposit rios adequados tanto o conhecimento gerado quanto o acumulado por seus v rios rg os Quanto finalidade Perri apud MARCONDES JARDIM 2003 considera que atividades de Governo Eletr nico s o as seguintes 71 Fornecimento de servi os eletr nicos rea que concentra a maior parte dos esfor os recur sos e aten o pol tica voltados ao Governo Eletr nico Caracteriza o fornecimento de servi os de utilidade p blica para o contribuinte assim como o relacionamento Governo Empresas usando as tecnologias da informa o e comunica o que propiciam tais servi os Democracia eletr nica e democracy refere se aos sistemas de vota o eletr nica e experi ncias piloto de consultas online aos cidad os Governan a eletr nica
183. esentam uma destas abordagens onde uma conceitualiza o bastante pragm tica da tica de grupos por um lado hackers e pelo outro os profissionais da seguran a da informa o utilizada para a caracteriza o de seus comportamentos e para a obten o de uma lingua franca na comunidade computacional fundando se um novo contrato social voltado s atividades digitais Os pr prios autores do trabalho reconhecem as imensas dificuldades de tal empreitada Outro aspecto a ser salientado diz respeito ao uso tico ou seja racional e moralmente aceit vel da tecnologia da informa o e por extens o da pr pria informa o de que se disp e ao qual se realiza algum acesso A este respeito o estudo realizado por Phukan e Dhillon 2000 junto a 58 pequenas e m dias empresas nos Estados Unidos mostra que quest es como pirataria e uso ilegal de softwares permeiam o mundo corporativo mesmo em organiza es de porte no qual teoricamente o custo de legalizar se os produtos utilizados seria menor apenas 186 27 6 dos respondentes alegaram possuir c pias licenciadas dos softwares em uso em suas empresas Por sua vez Trompeter e Eloff 2001 apresentam um framework para a implemen ta o de controles s cio ticos na seguran a da informa o baseados no respeito aos preceitos legais enquanto Vroom e von Solms 2004 apontam para as dificuldades inerentes auditoria das pr ticas adotadas pelos usu rios O estudo de
184. essivo com o uso de abstra es como pap is a serem desempenhados agrupando se v rios elementos sob um mesmo papel por exemplo cliente ou fornecedor permite se a ado o de conjuntos de normas relativas a cada grupo Estas abstra es e normas s o progressivamente refinadas at que se alcance um objetivo pratic vel e satisfat rio permitindo se que se chegue a conclus es tais como por exemplo a de aplicar a apenas um grupo determinada restri o ou direito que originalmente se acreditava universal Alguns termos s o extremamente corriqueiros no mbito da seguran a da informa o no que diz respeito normatiza o e padroniza o das a es voltadas seguran a sendo por vezes mal interpretados e utilizados fora de seu devido contexto A fim de uniformizar a discuss o no mbito deste trabalho cumpre realizar alguns esclarecimentos 80 1 comum a distin o dos componentes das pol ticas de seguran a da informa o de acordo com o n vel organizacional em que se aplicam dando assim origem s chamadas diretri zes n vel estrat gico normas n vel t tico e procedimentos n vel operacional para a ado o e consolida o da seguran a Contudo esta classifica o deve se muito mais a uma necessidade de diferencia o para termos pr ticos do que a uma real qualifica o das fontes formais ou informais das regras voltadas seguran a 2 quanto ao car ter de sua aplica o as pol tica
185. esso gera a demanda por melhores meios e canais 0 que realimenta o ciclo de acesso e disponibilidade de informa o Devido s discrep ncias entre as diferentes realidades nacionais cada pa s se lan a de modo pr prio na formula o de uma pol tica nacional da informa o contemplando os aspectos na cionais e internacionais relevantes ao seu contexto em particular Este desenvolvimento de pol ticas tem sua origem associada e voltada aos seguintes fatores adaptados de Arnold 2004 1 existe um movimento irrefut vel de mbito global em dire o ao incremento da eco nomia voltada informa o em detrimento da produ o industrial e de outros tipos de Servi os 2 a informa o tem se valorizado e se disseminado cada vez mais como uma commodity ela pode ser e produzida e distribu da em bases comerciais 3 o desenvolvimento dos mercados da informa o e de suas tecnologias e as aplica es decorrentes v m movendo a economia mundial em dire o a uma era p s industrial a chamada era da informa o caracterizada pela informa o como for a motriz da eco nomia 4 cada vez mais a informa o percebida como um bem de valor econ mico por suas aplica es na cadeia produtiva de variados bens e produtos 5 a informa o essencial para o planejamento macro econ mico 6 as tecnologias da informa o v m sendo cada vez mais utilizadas para distribuir a infor ma o num ciclo
186. estudadas s o vistas como o resultado de tran sa es realizadas entre os atores pol ticos rg os do governo agentes p blicos cidad os orga niza es p blicas e privadas entidades classistas etc transa es estas que s o condicionadas pelas regras do jogo pol tico e pelas a es das institui es pol ticas as quais por sua vez de pendem de caracter sticas b sicas de natureza constitucional e hist rica SPILLER TOMMASI 2003 A diferencia o entre estas bases hist rico institucionais influi diretamente sobre as po l ticas adotadas podendo se ir do sucesso na ado o de determinada pol tica em um contexto ao fracasso da ado o desta mesma pol tica em um contexto distinto Caracter sticas como a temporalidade alguns pa ses mant m as bases sobre as quais se lastreiam as suas pol ticas criando assim um ambiente est vel enquanto outros apresentam alta volatilidade de a es ou de administra o adaptabilidade alguns pa ses s o capazes de adaptar rapidamente suas po l ticas em resposta a varia es externas ou internas enquanto outros reagem demoradamente mantendo pol ticas inadequadas por longos per odos efetividade enquanto alguns pa ses t m 77 grande agilidade em implementar as politicas aprovadas pelo poder publico outros levam um tempo consider vel em faz lo ou o fazem de modo inadequado e abrang ncia em alguns pa ses as pol ticas s o voltadas ao interesse p blico enquan
187. etiva dependente da auto regula o KAROLY 1993 e por outro lado alimenta se dela para a sua exist ncia Assim sendo o comportamento coletivo dependente e ao mesmo determinante do comportamento indivivual motivo pelo qual este trabalho prop e a an lise acurada da din mica do indiv duo no contexto organizacional no tocante seguran a da informa o fechando o ciclo entre a intera o social vide Cap tulo 6 e a implementa o efetiva de pol ticas de seguran a da informa o A 5 Processos psicol gicos associados tomada de decis o A economia comportamental behavioural economics que levou posteriormente teoria da escolha HEAP et al 1992 amplamente fundamentada sobre a a psicologia e as ci ncias cognitivas associa se teoria dos jogos cl ssica para analisar a tomada de decis o no que cu nhou uma express o peculiar a psicologia da prefer ncia Alguns resultados contrariam o senso comum sobre os conceitos objetivos e subjetivos sobre a tomada de decis es por exem plo a amea a de perda tem impacto maior sobre uma decis o do que a possibilidade de um ganho equivalente Dois tipos de comportamento s o identificados o de avers o ao risco risk aversion caracterizado se um retorno garantido preferido em rela o a um jogo cuja expec tativa de retorno equivalente ou maior e o de busca do risco risk seeking caracterizado se o retorno garantido rejeitado em favor de um jogo co
188. etivo apresentar uma proposta de tipologia para as po l ticas de seguran a da informa o Antes por m s o apresentados alguns con ceitos como a pr pria acep o do termo pol tica conforme entendida neste tra balho bem como uma diferencia o entre pol ticas p blicas e a es coordenados pelo mercado no tocante informa o 7 1 As redes de pol ticas p blicas As redes pol ticas s o uma das abordagens mais utilizadas para descrever a sistem tica de atua o dos agentes pol ticos abarcando os aspectos informais e relacionais do ciclo de vida das pol ticas Na verdade as redes s o vistas muito mais como uma met fora da complexidade das mudan as sociais e tecnol gicas do que realmente como um modelo descritivo desta comple xidade Uma desvantagem desta met fora que ela se apresenta altamente diversa em seu uso e mesmo em sua interpreta o sendo apontada uma necessidade de aprofundamento quanto aos conceitos apresentados ATKINSON COLEMAN 1992 Contudo isto n o invalida o fato de que as redes se prestam a ilustrar a elevada dinamicidade do contexto pol tico sendo focalizadas por exemplo como uma a o coletiva em contraposi o a uma vis o normativa baseada nos manuais dos processos envolvidos neste contexto CARLSSON 2000 o que se associa constata o de que n o existe um corpo de m todos ou uma metodologia abrangente para o estudo do impacto de pol ticas existentes como suporte
189. filosofia Braga Cruz Braga 1959 FRASER B RFC 2196 Site Security Handbook 1997 Dispon vel em lt http www ietf org rfc rfc2196 txt gt Acesso em 14 maio 2003 FULFORD H DOHERTY N F The application on information security policies in large UK based organizations an exploratory investigation Information Management amp Computer Security v 11 n 3 p 106 114 2003 151 FUMY W IT security standardisation Network Security v 2004 n 12 p 6 11 Dec 2004 FUNDA O GET LIO VARGAS Mapa da Exclus o Digital Rio de Janeiro Centro de Pol ticas Sociais Funda o Get lio Vargas 2003 FURNELL S M CHILIARCHAKI P DOWLAND P S Security analysers administrator assistants or hacker helpers Information Management amp Computer Security v 9 n 2 p 93 101 2001 GADAMER H G The hermeneutic circle the elevation of the historicity of understanding to the status of a hermeneutic principle In ALCOFF L M Ed Epistemology the big questions Malden Massachusetts Blackwell 1998 p 232 247 GALLAGHER S VARELA F Redrawing the map and resetting the time Phenomenology and the cognitive sciences In CROWELL S EMBREE L JULIAN S J Eds The reach of reflection Delray Beach Florida Center for Advanced Research in Phenomenology 2001 Dispon vel em lt http www2 canisius edu gallagher G amp VO1 pdf gt Acesso em 18 dez 2002 GARG A CURTIS J HALPER H Quantify
190. forma o como a criptografia que utilizada como preven o ou solu o para falhas em seguran a na ampla maioria dos casos s o notadamente t cnicas e tendem a s lo em grau cada vez maior haja vista o fato de as iniciativas apresentadas se basearem em atualiza es e sofistica es da tecnologia WOOD 2000 SCHNEIER 2000 Estas implementa es in corporam elementos que se n o forem devidamente analisados podem resultar em impactos negativos que se contrap em e at mesmo anulam os benef cios alcan ados seja por n o se in corporarem adequadamente aos sistemas de informa o sobre os quais s o implementados seja 8A esta exig ncia a seguran a apresenta um adendo o sistema realiza as atividades para as quais foi conce bido e somente estas TAKAHASHI op cit p 99 63 por trazerem consigo outras falhas inesperadas por vezes maiores que as falhas que se tentava corrigir SCHNEIER 2000 Esta abordagem da seguran a da informa o termina por gerar uma s rie de barreiras que impedem a utiliza o adequada e amig vel dos sistemas por parte de seus usu rios Os mecanismos de an lise e de formaliza o de pol ticas de seguran a atualmente em voga tais como a norma International Organization for Standardization International Electrotech nical Commission ISO IEC 17799 cuja ado o no Brasil se deu por meio da norma da Associa o Brasileira de Normas T cnicas ABNT Norma Brasileira d
191. forme a seguinte disposi o ISACF 2001 1 Desenvolvimento de pol ticas com os objetivos da seguran a como fundamentos em torno dos quais elas s o desenvolvidas 2 Pap is e autoridades assegurando que cada responsabilidade seja claramente entendida por todos 3 Delineamento desenvolvendo um modelo que consista em padr es medidas pr ticas e procedimentos 4 Implementa o em um tempo h bil e com capacidade de manuten o 5 Monitoramento com o estabelecimento de medidas capazes de detectar e garantir cor re es s falhas de seguran a com a pronta identifica o e atua o sobre falhas reais e suspeitas com plena ader ncia pol tica aos padr es e s pr ticas aceit veis 130 6 Vigil ncia treinamento e educa o relativos prote o opera o e pr tica das medidas voltadas seguran a Conv m lembrar os princ pios que a OCDE apresenta para o desenvolvimento de uma cul tura de seguran a da informa o OCDE 2002b j mostrados na Se o 5 8 4 e apenas resu midos aqui 1 Vigil ncia 2 Responsabilidade 3 Participa o 4 tica 5 Democracia 6 Avalia o de risco 7 Delineamento e implementa o da seguran a 8 Gest o da seguran a 9 Reavalia o Observa se que o cumprimento de tais princ pios uma atividade discricion ria ou seja cabe aos gestores decidir se aderem ou n o s recomenda es apresentadas Pragmaticamente cada
192. gem baseiam se em uma mesma chave Engenharia social T cnica do uso de subterf gios usados como persuas o e voltados a obter acesso a infor ma es privilegiadas por meio de pessoas direta ou indiretamente relacionadas ao possui dor dos meios leg timos de acesso Firewall Elemento de software destinado a filtrar o acesso a uma rede privativa isolando a da rede p blica Framework Conjunto de m todos e t cnicas destinados a representar verificar e validar determinado modelo 177 Hacking Acesso n o autorizado a bases de dados ou a redes de telecomunica es acompanhado ou n o da coleta de conte do armazenado ou trafegado Rede ponto a ponto Rede cujos n s elementos t m prioridades semelhantes de acesso e de uso de recursos Distinguem se das redes hier rquicas pela aus ncia de um servidor dedicado ou outros n s preponderantes Security officer Pessoa respons vel pela seguran a da informa o em ambientes organizacionais 178 AP NDICE A Psicologia e seguran a da informa o A 1 Introdu o Os seguintes conceitos abordados por este dom nio do conhecimento s o de particular inte resse para a seguran a da informa o e Tipologia da personalidade ePercep o do conceito de seguran a e as a es determinadas por esta percep o e An lise do comportamento e Aspectos individuais dos atores humanos e sua caracteriza o frente ao grupo organiza o e e
193. gia 4 ed Petr polis Vozes 1995 p 25 50 HALL R ANDRIANI P Managing knowledge for innovation Long Range Planning v 35 n 1 p 29 48 Feb 2002 HAMMONDS G L et al Command center security proving software correct In Proceedings of the 10 annual conference on Systems Integrity Software Safety and Proccess Security Oakland California IEEE 1995 p 163 173 HANSSON J Hermeneutics as a bridge between the modern and the postmodern in library and information science Journal of Documentation v 61 n 1 p 102 113 2005 HARDT M NEGRI A Imp rio S o Paulo Record 2001 HARRIS R BROWNING R Global monitoring for environment and security data policy considerations Space Policy v 19 n 4 p 265 276 Nov 2003 HAWKINS S M YEN D C CHOU D C Awareness and challenges of internet security Information Management amp Computer Security v 8 n 3 p 131 143 2000 HAWKINS S M YEN D C CHOU D C Disaster recovery planning a strategy for data security Information Management amp Computer Security v 8 n 5 p 222 229 2000 HEAP S H et al The theory of choice a critical guide Oxford Blackwell 1992 HECLO H H Policy analysis British Journal of Political Science v 2 n 1 p 83 108 Jan 1972 154 HEIDEGGER M On the essence of truth 1943 Disponivel em lt http foucault info links related heidegger heidegger essenceOfTruth eng html gt Acesso e
194. http www himss org content files CPRIToolkit version4 pdf full toolkit pdf gt Acesso em 17 fev 2004 COMPUTER EMERGENCY RESPONSE TEAM CERT Coordination Cen ter Statistics Pittsburgh Carnegie Mellon University Jan 2004 Dispon vel em lt http www cert org stats cert stats html gt Acesso em 5 abr 2004 COMPUTER EMERGENCY RESPONSE TEAM Site oficial Pittsburgh 2004 Dispon vel em lt www cert org gt Acesso em 9 maio 2003 COREN S WARD L W Sensation and Perception Forth Worth Harcourt Brace Jovanovich College Publishers 1989 CORNELIUS I Information and its philosophy Library Trends v 52 n 3 p 377 386 Winter 2004 CORNELLA A Information policies in Spain Government Information Quarterly v 15 n 2 p 197 220 1998 COSTA I T M Informa o trabalho e tempo livre pol ticas de informa o para o s culo XXI Ci ncia da Informa o v 28 n 2 p 17 19 Maio Ago 1999 CROTEAU A M BERGERON F An information technology trilogy business strategy technological deployment and organizational performance Journal of Strategic Information Systems v 10 n 2 p 77 99 June 2001 147 CROWELL S G Does the Husserl Heidegger feud rest on a mistake An essay on psychological and transcendental phenomenology Husserl Studies v 18 n 2 p 123 140 Jan 2002 CUPPENS F SAUREL C Specifying a security policy In Proceedings of 9 IEEE Workshop on Computer Security Foundat
195. ias de endere amento em mem ria Zhang e Yang 2002 apresentam um modelo orientado a objetos para o controle de fluxo de entrada baseado em controles de acesso pap is e privil gios dos usu rios envolvidos no fluxo considerado Chou 2004b introduz um modelo de controle de fluxo baseado em controle de acesso de terminado por pap is diferentes atribui es assumidas pelos componentes do sistema voltado para sistemas orientados a objetos Object Oriented Role based Access Control ORRBAC O mesmo autor apresentou ainda um modelo de controle de fluxo de informa es entre sistemas baseado em agentes CHOU 2005 Outra modalidade de inser o de seguran a em informa es pode ser exemplificada pela marca d gua digital NAGRA THOMBORSON COLLBERG 2002 um processo an logo ao utilizado em documentos impressos com a aposi o de caracter sticas espec ficas de identi fica o sobre o documento digital 4 6 Aplica es da seguran a da informa o As formas de aplica o da seguran a da informa o est o geralmente ligadas s amea as ou vulnerabilidades identificadas ou que se deseja prevenir ou remediar Contudo mesmo o reconhecimento destas amea as e vulnerabilidades n o trivial ainda que ap s a ocorr ncia de um ataque que as explore Korzyk Sr 1998 sugere que em 1998 menos de 1 dos ataques era devidamente identificada e relatada no caso da internet Com a ampla utiliza o desta rede os probl
196. ica Federal BRASIL 2002d Este decreto foi objeto de acalorada discuss o no ano de 2005 a respeito do mecanismo de prorroga o por tempo indefinido do car ter de ultra secreto de documentos Lei n 9 610 de 19 de fevereiro de 1 998 Esta a Lei do direito autoral estabelecendo e caracterizando elementos e figuras como os diferentes tipos de obras Caracteriza ainda os direitos morais e patrimoniais do autor BRASIL 100 1998 Lei n 9 983 de 14 de julho de 2 000 Esta lei altera o C digo Penal dispondo sobre a preven o de que funcion rios com acesso autorizado em alguns casos e em outros n o insiram ou alterem dados em bancos da Adminis tra o P blica BRASIL 2000c Percebe se a preocupa o do legislador com a manuten o da integridade dos dados citados 5 9 Padr es de apoio formula o de Pol ticas de Seguran a da Informa o A diversidade de sistemas produtos e aplica es da informa o bem como a gama de vul nerabilidades amea as e incidentes exigem a formula o de padr es da seguran a as organi za es deve ter uma l ngua comum para a formula o dos requisitos de seguran a que devem ser implementados em seus sistemas VON SOLMS 1999 S o muitos os padr es propostos para a formula o de pol ticas de seguran a da informa o Alguns dos mais difundidos s o discutidos em seguida 5 9 1 ITSEC O Information Technology for Security Evaluation Criteria
197. iena IEEE 1998 p 256 266 EMBSE T J von der DESAI M S DESAI S How well are corporate ethics codes and policies applied in the trenches Key factors and conditions Information Management amp Computer Security v 12 n 2 p 146 153 2004 EPSTEIN R L The semantic foundations of logic Propositional logic London Kluwer Academic Publishers 1990 EPSTEIN R L The semantic foundations of logic Predicate logic Oxford Oxford University Press 1994 ERNST amp YOUNG LLP Global Information Security Survey 2003 Washington 2003 Disponivel em lt http www ey com global download nsf International TSRS_ Global Information Security Survey 2003 pdf gt Acesso em 27 jul 2004 ESCHER M C Escher woodcarving Psychology 351 Psychology of Perception 2002 Dispon vel em lt http www owlnet rice edu psyc35 1 Images Escher jpg gt Acesso em 2 dez 2003 149 EULAU H ROTHENBERG L Life space and social networks as political contexts Political Behavior v 8 n 2 p 130 157 June 1986 EUROPEAN COMMISSION Directive 95 46 EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data part 1 Bruxelas 1995 Disponivel em lt http europa eu int comm internal_market privacy docs 95 46 ce gt Acesso em 2 dez 2003 EUROPEAN COMMISSION Directive 95 46 EC of the European Parli
198. igital divide opportunities and constraints for developing countries Journal of Information Science v 29 n 1 p 25 33 Feb 2003 JANICAUD D Toward a minimalist phenomenology Research in Phenomenology v 30 n 1 p 89 106 Sept 2000 JASANOFF S The political science of risk perception Reliability Engineering and System Safety v 59 n 1 p 91 99 1998 JENSEN C POTTS C Privacy policies as decision making tools an evaluation of online privacy notices In Proceedings of the 2004 conference on Human factors in computing systems Vienna Austria ACM 2004 p 471 478 Disponivel em lt http doi acm org 10 1145 985692 985752 gt Acesso em 2 ago 2004 JOIA L A Developing government to government enterprizes in Brasil a heuristic model drawn from multiple case studies International Journal of Information Management v 24 n 2 Apr 2004 JONSSON E An integrated framework for security and dependability In Proceedings of the 1998 workshop on New security paradigms Charlottesville Virginia United States ACM 1998 p 22 29 Dispon vel em lt http doi acm org 10 1145 310889 310903 gt Acesso em 2 ago 2004 KAGAL L FININ T PENG Y A framework for distributed trust management 2001 Dispon vel em lt http csce uark edu hexmoor AAO1 cameraready Kagal ps gt Acesso em 2 mar 2004 KAHNEMAN D A perspective on judgment and choice Mapping bounded rationality American Psychologist v 58
199. inalidades para as quais foi concebido 8 PRESSMAN 1995 de outro assiste se a um n mero cada vez maior de ocorr ncias de falhas de seguran a relativas a sistemas de in forma o que n o contemplaram adequadamente os conceitos da seguran a em sua formula o SCHNEIER 2000 A dissemina o de meios maci os de acesso informa o com a integra o organizacional por meio da inform tica FLORES et al 1988 e posteriormente com a prolifera o da internet e de redes corporativas ao mesmo tempo em que introduz formas de f cil e r pida utiliza o dos recursos computacionais exp e ainda mais a fragilidade e os riscos a que est o sujeitos os usu rios Os sistemas e os dados armazenados e tratados por tais sistemas Para citar se um caso restrito ao Brasil a iniciativa que visava inclus o digital e que era preconizada pelo Poder P blico por meio do Programa Sociedade da Informa o TAKAHASHI 2000 aponta o foco da seguran a como essencial ao provimento de servi os de governo O mesmo racioc nio pode ser aplicado a outras finalidades de sistemas de informa o tais como o com rcio eletr nico e o acesso a p ginas de institui es financeiras por meio da internet Em todos estes casos a preocupa o com a seguran a permeia os sistemas desenvolvidos sendo item obrigat rio para a sua implementa o Entretanto as formas correntes de implementa o de mecanismos de seguran a em siste mas de in
200. informa o j foi abordada entre outros por Anderson 2003 O autor cita v rios textos que sugerem uma defini o para o termo mas que na verdade apresentam as atribui es ou resultados esperados pela aplica o da seguran a da informa o Ele apresenta seu pr prio conceito Um sentimento bem fundamentado da garantia de que os controles e riscos da informa o est o bem equilibrados discorrendo em seguida sobre cada uma das partes componentes da defini o qual voltar se em breve Hitchings 1995 apresentava j h mais de uma d cada a necessidade de um conceito de seguran a da informa o no qual o aspecto do agente humano tivesse a devida relev ncia tanto como agente como paciente de eventos de seguran a ataques mais especificamente Mesmo no aspecto tecnol gico sugest es como a de Stergiou Leeson e Green 2004 de um alternativa ao modelo da OSI ou como a de Aljareh e Rossiter 2002 de um modelo de seguran a colaborativo t m sido apresentadas em contraposi o ao modelo vigente 4 3 Incidentes de seguran a da informa o A literatura principalmente a n o especializada rica em relatos de incidentes de segu ran a da informa o Na verdade para o p blico leigo este o aspecto mais saliente da segu ran a ela muito mais conhecida por suas falhas e imperfei es que pelos sucessos que possa 56 vir a colher Furnell Chiliarchaki e Dowland 2001 apresentam u
201. ing the financial impact of IT security breaches Information Management amp Computer Security v 11 n 2 p 74 83 2003 GARIBALDO F Information and communication technologies organisations and skills Convergence and persistence AJ amp Society v 16 n 4 p 305 331 Nov 2002 GAUNT N Installing an appropriate information security policy International Journal of Medical Informatics v 49 n 1 p 131 134 Mar 1998 GEANELLOS R Exploring Ricoeur s hermeneutic theory of interpretation as a method of analysing research texts Nursing Inquiry v 7 n 2 p 112 119 June 2000 GEER JR D HOO K S JAQUITH A Information security why the future belongs to the quants IEEE Security amp Privacy v 1 n 4 p 24 32 July Aug 2003 GENERAL ACCOUNTING OFFICE Information Security Management learning from leading organizations Washington General Accounting Office 1998 Dispon vel em lt http www gao gov special pubs ai9868 pdf gt Acesso em 05 abr 2004 GENGLER B Content protection for recordable media Computer Fraud amp Security v 2001 n 2 p 5 6 Feb 2001 GEORGE V The experience of being as goal of human existence the Heideggerian approach Washington The Council for research in Values and Philosophy 2000 Cultural heritage and contemporary change IIIB South Asia v 2 GERBER M VON SOLMS R OVERBEEK P Formalizing information security requirements Information Management a
202. ini es NIAP 2003b e e requisitos da garantia de seguran a estabelecendo um conjunto de elementos para a pa droniza o da garantia da seguran a tamb m divididos em fam lias classes e compo nentes divididos ao longo do ciclo de desenvolvimento dos produtos ou sistemas Um exemplo de classe a gest o de documenta o do produto ou sistema com as fam lias guia do administrador e guia do usu rio contendo componentes tais como um que determine que que o guia do administrador deve ser consistente com toda a documenta o suprida para avalia o NIAP 2003c 103 Embora seja largamente utilizado inclusive por organiza es como a NASA e o DoD o modelo objeto de diversas cr ticas tais como as indicadas por Schell 2001 segundo quem a ISO IEC 15408 n o responde pergunta fundamental o sistema seguro Segundo aquele autor prop e se a cria o de aplica es ditas seguras sobre uma base sem qualquer sem qual quer pol tica claramente definida uma vez que o modelo se preocupa exclusivamente em for malizar e avaliar os requisitos de seguran a do produtos e sistemas nele baseados mas sem observar em profundidade o ambiente em que se inserem principalmente no que diz respeito aos recursos humanos 5 9 4 SANS Institute Conforme j se disse anteriormente o SANS Institute uma das organiza es mais respei tadas no tocante seguran a da informa o Seu guia para a elab
203. interno e externo os brasileiros se lembram dos epis dios relativos ao cadastramento de informa es de viajantes origin rios de outros pa ses como o Brasil com destino aos Estados Unidos o que gerou longas filas e uma iniciativa correspondente por parte das autoridades brasileiras Esta um dos aspectos que se repetem com mais fregii ncia no que diz respeito seguran a da informa o o estabelecimento ou o enrijecimento de medidas de seguran a depois que al gum fato relevante tenha ocorrido No n vel governamental comum supor se que a seguran a da informa o seja tratada adequadamente pelos rg os de intelig ncia e contra intelig ncia destinados a este fim inclusive com reflexos sobre a vida privada mas nem sempre este o caso DESOUZA VANAPALLI 2005 TANAKA MATSUURA SUDOH 2005 Todos go vernos organiza es e sociedade t m ainda um longo caminho a percorrer Outra quest o de suma import ncia que se interp e nesta discuss o diz respeito s liber dades individuais Estariam tais liberdades como a do pr prio acesso informa o sendo desrespeitadas em troca da busca pela seguran a em comum SLEEMAN 2004 No ambi ente organizacional uma discuss o acalorada diz respeito licitude do fato de a organiza o 78 vistoriar mensagens e arquivos digitais dos empregados em busca de contetidos considerados inadequados Em locais como o Reino Unido esta atividade que envolve a complexa t
204. io Esta realidade n o se restringe ao mundo corporativo privado mas atinge tamb m as organiza es p blicas e governamentais As solu es tecnol gicas comumente adotadas apresentam limita es HAW KINS YEN CHOU 2000a que se n o forem devidamente contempladas podem levar a uma 69 situa o ainda mais inc moda a falsa sensa o de seguran a baseada em elementos falhos A necessidade de tratar as vulnerabilidades leva ado o de novos aparatos tecnol gicos tais como a apura o e manuten o de evid ncias em neg cios eletr nicos SHAO HWANG WU 2005 os quais por sua vez requerem estudos detalhados a fim de n o incorrerem nas mesmas falhas dos sistemas aos quais oferecem suporte J se tornou evidente que a mera apli ca o de recursos da tecnologia n o capaz de atender a esta demanda A uma criteriosa an lise de riscos devem se somar a compreens o do ambiente de neg cios e a efetiva participa o dos interessados gestores clientes usu rios para se chegar a uma identifica o mais acurada dos requisitos da seguran a que deixou de ser mero acess rio para assumir papel central no con texto da informa o ZUCCATO 2004 4 6 2 Informa o biom dica Contemple se a seguinte situa o o usu rio coleta por meio de uma seringa uma amostra de seu pr prio sangue ou de sua saliva Insere a amostra num scanner biol gico acoplado a seu computador que envia por meio da internet os resultado
205. ions Kenmare Kerry Ireland Kluwer Academic Publishers 1996 p 123 134 Dispon vel em lt http www rennes enst bretagne fr fcuppens articles csfw96 ps gt Acesso em 21 maio 2004 DAI X A new mode of governance Transnationalisation of european regions and cities in the information age Telematics and Informatics v 20 n 3 p 193 213 Aug 2003 DAMIANOU N et al The Ponder policy specification language In Proceedings of the 2001 Workshop on Policies for Distributed Systems and Networks Bristol Springer Verlag 2001 p 19 39 DAVIDOFF L L Introdu o Psicologia Rio de Janeiro McGraw Hill 1983 DAVIES J MABIN V BALDERSTONE S The theory of constraints a methodology apart a comparison with selected OR MS methodologies Omega v 33 n 6 p 506 524 Dec 2005 DAVIES W Understanding strategy Strategy amp Leadership v 28 n 5 p 25 30 Oct 2000 DAVIS M S Georg Simmel and Erving Goffman legitimators of the sociological investigation of human experience Qualitative Sociology v 20 n 3 p 369 388 Oct 1997 DAWSON S QIAN S SAMARATI P Providing security and interoperation of heterogeneous systems Distributed and Parallel Databases v 8 n 1 p 119 145 Jan 2000 DEETZ S An understanding of science and a hermeneutic science of understanding The Journal of Communication v 23 n 2 p 139 159 June 1973 DESOUZA K C VANAPALLI G K Securing knowledge in organ
206. ipalmente os agrupados sob a Trusted Computing Platform Alliance TCPA como HP IBM Intel e Microsoft prev em a implementa o de DRM em seus produtos ANDERSON 2003 Em geral permitida apenas um c pia como seguran a no caso de m dias voltadas distribui o de softwares No caso de CDs e DVDs de entretenimento a c pia vedada 89 Os provedores de conte do como gravadoras e produtoras cinematogr ficas e de TV ale gam que as suas perdas com a pirataria justificam a implementa o de mecanismos como DRM LIU SAFAVI NAINI SHEPPARD 2003 por tratar se de um sistema baseado em licen as digitais criptografadas integradas a um sistema de com rcio eletr nico Estuda se a aplica o de DRM tamb m em outras reas como a medicina a fim de prover seguran a aos dados do paciente A resist ncia implementa o de tal modelo vem tamb m da comunidade cient fica com cr ticas n o somente quest o da privacidade mas tamb m restri o propaga o de docu mentos digitais com a alega o de que sua ado o poderia por exemplo impedir a dissemina o e o progresso da ci ncia SAMUELSON 2003 Tamb m na Europa o tema suscita v rias discuss es pois a Uni o Europ ia cogita imple mentar o modelo ARKENBOUT DIJK WIJCK 2004 N o bastassem estas considera es h diversas cr ticas quanto performance obtida pelos softwares de criptografia que tornam mais lento o acesso aos conte
207. isitos essenciais das pol ticas de seguran a da informa o visto que os requisitos do sistema est o sujeitos a modifica es Al m disso altamente recomend vel que as pol ticas sejam capazes de absor ver e tratar especifica es existentes mesmo que informais mas que sejam preponderantes no ambiente organizacional Os elementos principais de uma pol tica de seguran a da informa o s o os seguintes OR TALO 1996 e elementos b sicos os quais descrevem os diferentes indiv duos objetos direitos de acesso e atributos presentes na organiza o ou no sistema e que definem o vocabul rio segundo o qual a pol tica constru da e os objetivos da seguran a ou seja as propriedades desejadas do sistemas com respeito seguran a definida em termos dos atributos desta confidencialidade integridade e dis ponibilidade e um esquema de autoriza o na forma de um conjunto de regras descrevendo os mecanis mos do sistema relevantes seguran a com a descri o das eventuais modifica es no estado da seguran a A estrutura organizacional leva naturalmente a uma descri o estruturada de seus compo nentes Os elementos b sicos da pol tica de seguran a podem ser ent o descritos como hi erarquias relacionando as v rias unidades organizacionais de modo tal que os objetivos da seguran a contemplem esta hierarquiza o De modo pr tico recomenda se a constru o das pol ticas de modo progr
208. ito ao processo de vota o da chamada MP do Bem sancionada sob a Lei n 11 196 2005 onde conflitos entre comunidades e coalis es ficaram 118 patentes inclusive internamente a esfera governamental Associe se a isto o fato de que as pol ticas assim como as institui es t m uma grande tend ncia in rcia Uma vez que os fundamentos para as pol ticas s o estabelecidos exige se um grande esfor o para a sua modifica o e aqueles mesmos fundamentos ir o constituir se em restri es para atividades futuras GREENER 2005 p 62 Uma outra faceta desta acomo da o gera impactos diretos sobre as escolhas tecnol gicas onde por exemplo a atualiza o de determinados padr es que com o tempo se mostram obsoletos encontra enormes obst culos Um exemplo cl ssico o do dos teclados no padr o QWERTY mesmo tendo sido mostrado por estudos realizados na d cada de 1940 que o custo da substitui o pelo padr o Dvorak muito mais eficiente seria coberto em apenas dez dias GREENER 2002b p 614 Uma das teorias voltadas a explicar esta tend ncia a chamada depend ncia do caminho path dependency a qual se relaciona pelo lado tecnol gico para citar se dois exemplos de grande relev ncia atual com a grande resist ncia enfrentada na ado o de padr es abertos de software JAMES 2003 e com a lentid o na atualiza o de vers es do sistema operacional Microsoft Windows LOHR MARKOFF 2006 Naturalmente is
209. izations lessons from the defense and intelligence sectors International Journal of Information Management v 25 n 1 p 85 98 Feb 2005 DHILLON G Dimensions of power and IS implementation Information amp Management v 41 n 5 p 635 644 May 2004 DIAS C Seguran a e auditoria da tecnologia da informa o Rio de Janeiro Axcel 2000 DICKHAUT J et al Information management and valuation an experimental investigation Games and Economic Behavior v 44 n 1 p 26 53 July 2003 DIXON J DOGAN R Analyzing global governance failure A philosophical framework Journal of Comparative Policy Analysis v 5 n 2 3 p 209 226 June 2003 DIXON J DOGAN R Corporate decision making contending perspectives and their governance implications Corporate Governance v 3 n 1 p 39 57 2003 Dispon vel em lt http dx doi org 10 1108 14720700310459854 gt Acesso em 20 mar 2006 DIXON J DOGAN R A philosophical analysis of management improving praxis Journal of Management Development v 22 n 6 p 458 482 2003 148 DIXON J DOGAN R The conduct of policy analysis Philosophical points of reference Review of Policy Research v 21 n 4 p 559 579 July 2004 DRAUCKER C B The critique of heideggerian hermeneutical nursing research Journal of Advanced Nursing v 30 n 2 p 360 373 Aug 1999 DREYFUS H L The current relevance of Merleau Ponty s phenomenology of embodiment Electroni
210. ja por uma combina o de ambos os eventos associados ainda a um entendimento inadequado da legisla o por parte de muitos pacientes e profissionais e infra estrutura inadequada de muitas institui es de sa de COLLMANN et al 2004 AL BERTS DOROFEE 2004 Apesar de todas as dificuldades a lei continua em vigor por ser considerada um passo essencial rumo padroniza o de procedimentos de transmiss o de dados biom dicos e prote o da privacidade no ciberespa o Sarbanes Oxley Aprovada pelo Congresso dos Estados Unidos em 2002 na esteira de esc ndalos financei ros como os das gigantes Enron energia e Worldcom telecomunica es a lei Sarbanes Oxley 92 estabelece v rias exig ncias para empresas de capital aberto que comerciam suas a es em bol sas de valores Uma das principais exig ncias de que estas empresas estabelecem e mante nham uma estrutura de controle interno e procedimentos de relat rios financeiros adequados SCHULTZ 2004 A seguran a da informa o d apoio a esta estrutura e a estes procedimentos ao prover a confidencialidade e a integridade dos dados Muitos gestores de seguran a da informa o agora v em uma justificativa legal aos seus or amentos poss vel determinar se que usu rio realizou que tipos de acesso a quais conjuntos de dados gerando assim uma trilha de auditoria essen cial ao cumprimento da lei e dos procedimentos realizados pelos profissionais de
211. jeto ou alvo que est sendo observado tamb m podem afetar a per cep o Pessoas expansivas por exemplo costumam chamar mais a aten o do que as pessoas quietas Como os alvos n o s o observados isoladamente e deslocados de todo o contexto a sua rela o com o cen rio influencia a percep o indicando a tend ncia de se agrupar coisas pr ximas ou parecidas O que se percebe ir depender ent o de como se separa o objeto de seu cen rio geral Exemplos cl ssicos e bastante claros disto s o as imagens desenhadas pelo artista Maurits Cor nelius Escher ESCHER 2002 como a reproduzida na Figura 11 Objetos pr ximos uns dos outros tendem a ser percebidos em conjunto seja esta proximi dade f sica ou temporal Isto ocorre com pessoas objetos inanimados ou eventos quanto maior a semelhan a maior a probabilidade de serem percebidos como um grupo 183 Figura 11 Escher Litogravura Fonte Escher 2002 O contexto O contexto ou situa o dentro do qual se percebe o objeto igualmente importante uma vez que os elementos que fazem parte do ambiente influenciam a percep o Pode se n o se reparar numa determinada jovem de biqu ni numa praia num final de semana Contudo se ela usar os mesmos trajes numa cerim nia religiosa com certeza chamar muito mais a aten o dos presentes Mantidos o observador e o alvo a mudan a do contexto operou uma modifica o radical na percep o
212. l as iniciativas no sentido de certificar se organiza es quanto a padr es de se guran a ainda s o incipientes mas o Departamento de Com rcio e Ind stria do Reino Unido pretendia tornar a BS7799 uma exig ncia legal no ano de 2005 MAY 2003 e ao redor do globo a certifica o de empresas no padr o ISO IEC 17799 movimenta quantias consider veis Percebe se ao mesmo tempo que a gest o da seguran a da informa o um tema relativo governan a corporativa POSTHUMUS VON SOLMS 2004 WILLIAMS 2001 S o mui tos os casos de documentos tornados dispon veis por organiza es de seguran a da informa o orientando sobre a adequa o a este padr o como os j citados produzidos pelo SANS Institute Um exemplo da implementa o de padr es de seguran a em um hospital na China narrado por Tong et al 2003 Os autores argumentam que para a implementa o do sistema de gest o de seguran a foi necess rio reprojetar sistemas modificar os fluxos de trabalho retreinar o pessoal e implementar controles de comunica o engenharia social e documenta o 5 10 Aplica o das Pol ticas de Seguran a da Informa o A formula o e aplica o de Pol ticas de Seguran a da Informa o tem atingido um amplo escopo de organiza es como universidades WALTON 2002 FOLTZ CRONAN JONES 2005 e institui es de sa de GAUNT 1998 tendo sido ainda objeto de estudos de rg os governamentais SMITH 2001 Os
213. laramente a fenomenologia se debru a sobre quest es filos ficas envolvidas na gera o do conhecimento e em sua aplica o al m de apresentar se como uma epistemologia ampla mente afeita a an lises de fen menos sociais e humanos Neste particular a pr pria sociologia tem adotado a abordagem fenomenol gica em contrapartida abordagem cl ssico cient fica ou normativa no dizer de Wilson 1970 a qual se baseia na formula o e verifica o de hip teses A Tabela 2 apresenta as distin es apontadas por Sanders 1982 entre os paradigmas feno menol gico e normativo Paradigma fenomenol gico Paradigma normativo 1 Apreens o do mundo O pesquisador enxerga o mundo como indeterminado e problem tico Os fen menos sob investiga o s o vistos mais diretamente como resultantes de percep es intui o e significados pessoais O pesquisador v o mundo como aproximadamente determinado ou n o problem tico Escolhas pessoais ainda s o necess rias para decidir quais caracter sti cas devem ser estudadas e como devem ser avaliadas 2 Fen menos investigados Considera se a experi ncia vivida pelos indiv duos Considera tanto as caracter sticas observadas como as qualidades espec ficas percebidas como formas pes soais de significado Considera as caracter sticas que s o facilmente enu mer veis e empiricamente verific veis 3 Formula o do problema Inicia se com uma atitude de
214. lingii sticas como um modelo epistemol gico para estudos de necessidade busca e uso da informa o apontando alguns trabalhos realizados por diversos autores Hjgrland 2004 salienta que esta pers pectiva se contrasta ao individualismo epistemol gico mas ressalta a necessidade de melhor fundamenta o filos fica para este arcabou o Hansson 2005 vide abaixo questiona ainda o valor cient fico da pos tura neo pragm tica Examina a aplica o de m todos baseados na fenomenologia a estu dos informacionais citando conceitos e formula es de Husserl Hei degger e Merleau Ponty entre outros Salienta a hermen utica como interpreta o aplicada citando o pensamento de Ricoeur Estes autores e conceitos ser o discutidos nas pr ximas se es continua na pr xima p gina 29 Refer ncia Comentario Radford e Rad Apresenta as ra zes do estruturalismo e do p s estruturalismo com ford 2005 base em de Saussure e Foucault Sugere que o foco de aten o de tais Talja Tuominen e Savolainen 2005 Hansson 2005 epistemologias ou seja os princ pios de organiza o de um sistema de linguagem por meio da identifica o de padr es existentes nas estrutu ras ling sticas sejam utilizados para base do planejamento e organiza o de acervos document rios Descreve as premissas b sicas do construtivismo social Piaget Kelly e Vygotsky com o conceito de que os processos mentais de
215. lt http www oecd org gt Acesso em 6 maio 2003 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT Electronic Commerce Paris 2001 Dispon vel em lt http www oecd org gt Acesso em 17 fev 2004 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT Report on the OECD forum session on the privacy enhandling technologies PETs Paris 2001 Dispon vel em lt http www oecd org gt Acesso em 6 maio 2003 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVE LOPMENT Understading the digital divide Paris 2001 Dispon vel em lt http www oecd org dataoecd 38 57 1888451 pdf gt Acesso em 17 fev 2004 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT Using knowledge for development the brazilian experience Paris 2001 Dispon vel em lt http www oecd org gt Acesso em 6 maio 2003 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT Civil Society and the OECD Paris 2002 Dispon vel em lt http www oecd org gt Acesso em 17 fev 2004 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT Guidelines for the security of Information Systems and Networks towards a culture of security Paris 2002 Dispon vel em lt http www oecd org dataoecd 16 22 15582260 pdf gt Acesso em 20 nov 2002 164 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOP MENT OECD Information Technology Outlook Paris 2002 Disponivel em lt http www oecd org pdf M00030000 M00030907 pdf gt Acesso em 6 maio 20
216. m 26 maio 2005 HEIDEGGER M Being and Time Oxford Basil Blackwell 1985 HEIDEGGER M Ser e Tempo 3 ed Petr polis Vozes 1993 V 2 HEIDEGGER M The basic problems of the phenomenology Bloomington Indiana University 1998 HEIDEGGER M Ser e Tempo 12 ed Petr polis Vozes 2002 V 1 HEINAMAA S Merleau Ponty s modification of phenomenology cognition passion and philosophy Synthese v 118 n 1 p 49 69 Jan 1999 HELVEY T et al Data security in life sciences research Drug Discovery Today BIOSILICO v 2 n 3 p 97 103 May 2004 HENESSY D A BABCOCK B A Information flexibility and value added Information Economics and Policy v 10 n 4 p 431 449 Dec 1998 HENNING R R Security service level agreements quantifiable security for the enterprise In Proceedings of the 1999 workshop on new security paradigms Ontario ACM 2000 p 54 60 HITCHENS A A call for inter governmental organizations policies on public access to information Government Information Quarterly v 14 n 2 p 143 154 1997 HITCHINGS J Deficiencies of the traditional approach to information security and the requirements for a new methodology Computers amp Security v 14 n 5 p 377 383 May 1995 HJ RLAND B Library and information science practice theory and philosophical basis Information Processing and Management v 36 n 3 p 501 531 May 2000 HJ RLAND B Arguments for philosophical r
217. m expectativa de retorno equivalente ou menor Os estudos psicol gicos indicam que a prefer ncia entre ganhos de avers o ao risco e que a prefer ncia entre perdas de busca do risco De qualquer modo fundamental no processo de decis o o efeito de enquadramento framing effect ou seja o contexto no qual se d a tomada de decis o e modo pelo qual este contexto percebido pelos indiv duos KAHNE MAN TVERSKY 1982 VRANAS 2000 Em um texto posterior Kahneman 2003 avan a 191 ainda sobre os aspectos de intui o e julgamento posteriores percep o Outro aspecto rele vante abordado no estudo de Feldman Miyamoto e Loftus 1999 seria o fato de n o agir diante de determinada situa o mais pesaroso que agir e n o obter o retorno desejado Muitos fatores pesam sobre a resposta a esta quest o O motivo dela ser abordada no contexto da segu ran a da informa o devida expectativa frente ao comportamento dos usu rios eles ir o ou n o adotar as condutas ditadas pelas pol ticas de seguran a da informa o Em cada caso afir mativo ou negativo qual o grau de satisfa o ou insatisfa o obtido A este respeito tamb m o estudo de Idson Liberman e Higgins 2002 trata da diferencia o entre perdas e ganhos diante de decis es envolvendo riscos tema aprofundado por autores como Munro e Sugden 2003 Kleiter et al 1997 Fontana e Gerrard 2004 Yang e Qiu 2005 Tamura 2005 e Ratner e Herbst 2
218. m problema particularmente sensi vel para os profissionais de seguran a da informa o o uso de ferramentas de seguran a para perpetrar ataques Com a dissemina o de solu es de c digo aberto muitas ferramentas ori ginalmente desenvolvidas para a detec o de vulnerabilidades em redes por exemplo s o dis tribu das gratuitamente em praticamente todo o mundo Este argumento por sinal tem sido utilizado por opositores ao modelo de software de c digo aberto mas com conseqii ncias pre sumivelmente limitadas 4 3 1 Incidentes de seguran a da informa o no contexto global Uma dos mais completos levantamentos voltados seguran a da informa o nos E U A a pesquisa anual realizada em conjunto pelo Computer Security Institute CSI e pelo Federal Bureau of Investigations FBI A edi o de 2004 a nona realizada e cujos resultados foram divulgados em julho daquele ano foi feita junto a 494 profissionais de seguran a da informa o que atuam em corpora es e ag ncias governamentais institui es financeiras e m dicas e universidades Alguns dos resultados apontados foram os seguintes GORDON et al 2004 1 o uso n o autorizado de sistemas computacionais est em decl nio ao menos no que diz respeito s perdas financeiras ocasionadas por este tipo de ataque 2 o tipo de ataque que se tornou o mais dispendioso passou a ser a nega o de servi o ou Dos Denial of Service por meio do qual o atacante dire
219. mais vulnerabilidades s quais procura se combater com maior aporte tecnol gico Este enfoque resultante de uma vis o canhestra da situa o que considera t o somente os aspectos tecnol gicos ali relacionados Correntemente para contemplar este problema a partir de uma abordagem abrangente procede se ado o de estrat gias organizacionais de seguran a as quais s o implementadas com base em pol ticas de seguran a institucionais 4 5 A implementa o da seguran a da informa o A garantia de que os requisitos da seguran a da informa o ser o implementados de modo adequado est intrinsecamente associada plataforma na qual se constr i o sistema computa cional em vista seja esta plataforma constru da em software seja em hardware Uma vez que a implementa o dos requisitos em hardware atende a princ pios da engenharia da constru o dos componentes do sistema estando voltada aos requisitos da engenharia deste ela n o ser abordada neste trabalho Contudo cumpre observar que deve ocorrer a perfeita adequa o entre todos os componentes do sistema a fim de garantir a seguran a de todo o conjunto uma vez que a seguran a baseada em hardware tem tamb m os seus percal os que n o s o poucos e muito menos simples como pode se ver por exemplo em Kocher et al 2004 Resta assim tratar sobre os componentes implementados em software os quais por sua vez devem ter sua seguran a implementada em dois
220. mbros dos grupos seus pensamentos e sentimentos sendo assim expressa na forma de valores norma e conhecimento coletivos os quais por meio das normas e regras expressas ou mesmo impl citas afetam o comportamento dos indiv duos e resultam em a es cria es e artefatos Deste modo a modifica o desejada no comportamento deve ser proposta por meio das regras e normas a serem seguidas Diversos estudos tais como o de Spurling 1995 apontam para a necessidade de incrementar 188 se a consci ncia quanto seguran a da informa o nos limites da organiza o Diversas abor dagens t m sido propostas sendo que algumas destas s o discutidas a seguir A seguran a da informa o comportamental aborda as a es humanas que influenciam os aspectos de confidencialidade disponibilidade e integridade dos sistemas de informa o STANTON et al 2003 Os autores realizaram junto a organiza es nos Estados Unidos dois estudos baseado no comprometimento organizacional uma vari vel atitudinal bastante utilizada em estudos em ambientes organizacionais e que est associada ao grau em que o indiv duo aceita e realiza as pr ticas prescritas no referido ambiente Um dos resultados obtidos que o comprometimento organizacional est positivamente relacionado ado o de pr ticas voltadas seguran a sem contudo esclarecer os motivos para tal associa o Outro resultado contr rio ao senso comum indica que usu ri
221. menologia e da hermen utica para a descri o de tal pro blema o autor procurou realizar uma an lise imparcial dos textos e documentos obtidos isentando se de pr julgamentos que poderiam conspurcar esta an lise caracterizar e tipificar as pol ticas de seguran a da informa o apontando as suas origens e os passos para a sua formula o e implementa o foi feita uma coleta das principais fontes de fundamenta o das pol ticas de seguran a da informa o no globo com nfase nos padr es internacionais apontar estrat gias alternativas para a elabora o de tais pol ticas visando a uma abor dagem que se contraponha usual tecnicista complementando a com aspectos baseados na experi ncia do usu rio frente aos sistemas de informa o a busca por esta abordagem alternativa consistiu na elabora o de um arcabou o baseado em disciplinas das ci ncias sociais a fim de garantir uma abordagem efetivamente voltada ao usu rio culminando com um modelo baseado em requisitos ontol gicos e epistemol gicos para esta realiza o apontar complementos e acr scimos abordagem escolhida para o problema Estes com plementos est o dispostos na se o 8 3 mais adiante 137 8 2 Contribui es deste estudo para o estado da arte Observando se que a tecnologia da informa o adotada cada vez mais como uma tecno logia de representa o do mundo real ou virtual gerando vis es pr prias da realidade objeti
222. mente ci ncia da informa o Eis a a diferen a essencial entre as ci ncias sociais e as ci ncias naturais enquanto nestas o conhecimento apresentado sob a forma da verificabilidade repetitiva de fen menos obser v veis no processo delineado pelo modelo galilaico cartesiano naquelas o conhecimento se Segundo Popper uma teoria caracterizada por quatro propriedades consist ncia l gica interna testabilidade emp rica robustez a falhas emp ricas deve ser capaz de suportar os falsos positivos e os falsos negativos e ser t o explicativa ou preditiva quanto qualquer outra teoria com a qual rivalize LEE 2004 23 estabelece sob a forma de interpreta es e asser es acerca de fatos e objetos concretos ou abstratos em um processo cujas origens remontam ao ciclo plato socr tico e que estabelece a fundamental import ncia para a epistemologia da interpreta o adotada pelo observador A an lise destas interpreta es o papel da hermen utica que tendo surgido voltada para a an lise de textos sagrados ampliou sua abrang ncia para todas as reas do conhecimento A pergunta essencial qual a hermen utica se prop e a responder dado o conjunto de pressupostos aos quais todos os indiv duos est o sujeitos pressupostos estes oriundos da vis o de mundo par ticular a cada um como se pode garantir que determinado conhecimento correto ou seja que ele verific vel independentemente d
223. metodologia para a automa o da gest o da seguran a da informa o baseada em um framework em desen volvimento pelos autores semelhante ao ciclo de vida de sistemas de software e que privilegia os passos necess rios obten o do apoio da alta ger ncia e da auditoria Skoularidou e Spinellis 2003 apresentam diferentes arquiteturas baseados em monito res controle autom tico feito por software ou hardware de acesso a recursos por usu rios firewalls e m quinas virtuais para a seguran a de esta es e aplica es clientes de redes Schneider 2000 apresenta uma proposta para a constru o de mecanismos de refor o seguran a baseados em aut matos Fulford e Doherty 2003 realizaram uma pesquisa junto a organiza es baseadas no Reino Unido e suas conclus es apontam a necessidade de uma mais claro entendimento sobre a for mula o das pol ticas sua aplica o e avalia o assim como da rela o entre aplica o das pol ticas e a efetiva gest o da seguran a da informa o Em todos estes textos observa se uma tend ncia ado o de aspectos t cnicos da seguran a enquanto n o se d nfase ao real prop sito da seguran a da informa o atingir aos prop sitos da organiza o Em suma comum apresentar se a gest o da seguran a como se ela estivesse dissociada do contexto organizacional em que se insere com todas as suas particularidades em especial as comportamentais 108 5
224. mp Computer Security v 9 n 1 p 32 37 2001 GERSBACH H Size and distributional uncertainty public information and the information paradox Social Choice and Welfare v 17 n 2 p 241 246 Mar 2000 GIBBS J L The Digital Millennium Copyright Act Ubiquity v 1 n 26 p 1 4 2000 Disponivel em lt http doi acm org 10 1145 348790 348792 gt Acesso em 2 ago 2004 152 GIL GARCIA J R Information technology policies and standards a comparative review of the states Journal of Government Information v 30 n 5 6 p 548 60 Sept 2004 GILLILAND S W SCHEPERS D W Why we do the things we do a discussion and analysis of determinants of just treatment in layoff implementation decisions Human Resource Management Review v 13 n 1 p 59 83 Sept 2003 GLASGOW J MACEWEN G PANANGADEN P A logic for reasoning about security ACM Transactions on Computer Systems v 10 n 3 p 226 264 1992 GODFREY SMITH P Environmental complexity and the evolution of cognition In STERNBERG R KAUFMAN J Eds The evolution of intelligence Stanford California Lawrence Erlbaum Associates 2001 GOERGIOU I The ontological constitution of bounding judging in the phenomenological epistemology of Von Bertalanffy s General System Theory Systemic Practice and Action Research v 13 n 3 p 391 424 June 2000 GOLDKUHL G AGERFALK P J Action within information systems outline of a requirements enginee
225. n o homem visto n o como sendo ou fazendo alguma coisa mas sim fingindo ser ou fingindo fazer alguma coisa HAGUETE 1995 Considera se que a an lise dos temas acima propostos extremamente pertinente ao m bito da seguran a da informa o uma vez que neste mbito comum deparar se com o se guinte problema implementam se regras frequentemente chamadas pol ticas que se mostram inadequadas ao ambiente organizacional sendo recha adas pelos usu rios como inadequadas impratic veis ou extremamente invasivas como se v no Cap tulo 5 6 3 A formaliza o de regras de conduta Associam se an lise realizada acima as id ias tecidas por Wittgenstein em suas Conside ra es filos ficas Ali ao falar sobre os requisitos necess rios ao entendimento de determinado contexto social aqui entendido como a somat ria dos indiv duos e institui es resultando nas conforma es observ veis tal como seguir determinadas regras de conv vio ele afirma que este est gio implica o conhecimento das situa es subjacentes a este contexto ou pelo menos a aten o a elas No entanto para Wittgenstein o indiv duo n o pode estar ciente de todos as exig ncias e desdobramentos do cumprimento destas regras abrindo sempre a possibilidade de interpreta es err neas e amb guas TAYLOR 1993 Nestes termos o pr prio atendimento a regras uma pr tica social moldada pelos concei tos inerentes a cada indiv duo e tr
226. n Technology for Security Evalu ation Criteria ITSEC 99 Internet Engineering Task Force IETF 49 ISO 15408 100 ISO 27001 102 ISO IEC 17799 62 102 L gica 198 L gicas modais 201 NBR 17799 50 102 NBSO 58 94 Phishing 59 Plano de continuidade de neg cios 85 Plano de recupera o de desastres 84 Pol tica 118 Pol ticas de informa o 123 de seguran a da informa o 74 130 p blicas 120 Redes pol ticas 115 Redes sem fio 60 Riscos 50 Sarbanes Oxley 90 Secure Digital Music Initiative SDMI 89 Security officers 47 Spam 60 USA Patriot Act 89 Vulnerabilidades 48 Warchalk 60
227. nal of Experimental Psychology Human Perception and Performance v 26 n 4 p 1260 1280 Aug 2000 LIMA G A B Interfaces entre a ci ncia da informa o e a ci ncia cog nitiva Ci ncia da Informa o v 32 n 1 jan abr 2003 Dispon vel em lt http www ibict br cionline 320103 3210308 pdf gt Acesso em 16 ago 2003 LINDUP K R A new model for information security policies Computers amp Security v 14 n 8 p 691 695 Dec 1995 LISMONT L MONGIN P Belief closure a semantics of common knowledge for modal propositional logic Mathematical Social Sciences v 30 n 2 p 127 153 Oct 1995 LITMAN J Ethical disobedience Ethics and Information Technology v 5 n 4 p 217 223 2003 LIU Q SAFAVI NAINI R SHEPPARD N P Digital rights management for content distribution In Proceedings of the Australasian information security workshop conference on ACSW frontiers 2003 Adelaide Australia Australian Computer Society 2003 p 49 58 LOCH K D CONGER S OZ E Ownership privacy and monitoring in the workplace a debate on technology and ethics Journal of Business Ethics v 17 n 6 p 653 663 Apr 1998 LOHR S MARKOFF J Windows is so slow but why The New York Times 27 mar 2006 Disponivel em lt http www nytimes com 2006 03 27 technology 27soft html gt Acesso em 28 mar 2006 LOPEZ J OPPLIGER R PERNUL G Authentication and authorization infrastructures AAIs a c
228. nce Journal of Public Policy v 25 n 1 p 5 27 May 2005 ROSENBERG V Information policies of developing countries the case of Brazil Journal of the American Society for Information Science v 33 n 4 p 203 207 July 1982 167 RUBINSTEIN J S MEYER D E EVANS J E Executive control of cognitive processes in task switching Journal of Experimental Psychology Human Perception and Performance v 27 n 4 p 7163 797 Aug 2001 RYAN L V Corporate governance and business ethics in North America the state of the art Business amp Society v 44 n 1 p 40 73 Mar 2005 SABATIER P A Toward better teories of the policy process PS Political Science and Politics v 24 n 2 p 147 156 June 1991 SADALA M L A ADORNO R de C F Phenomenology as a method to investigate the experience lived a perspective from Husserl and Merleau Ponty s thought Journal of Advanced Nursing v 37 n 3 p 282 293 Feb 2002 SAGA Standards and Architectures for e Government Applications v 2 Munique 2004 Dispon vel em lt http www kbst bund de Anlage304417 Saga 2 O en final pdf gt Acesso em 8 abr 2004 SALTZER J H SCHROEDER M D The protection of information in computer systems Proceedings of the IEEE v 63 n 9 p 1278 1308 Sept 1975 Dispon vel em lt http www acsac org secshelf papers protection information pdf gt Acesso em 30 jul 2004 SAMUELSON P DRM and or vs the law
229. nclusive com a inclus o de disciplinas curriculares nos mbitos adequados via de regra os ensinamentos adquiridos limitam se esfera t cnica Naturalmente estas dimens es s o ambiciosas e de imensa amplitude No presente tra balho prop e se a sua conjun o com vistas ao uso consciente dos recursos providos pela tecnologia no mbito organizacional partindo se do elemento mais importante do complexo da seguran a da informa o o usu rio 5 3 Seguran a centrada no usu rio Embora o usu rio seja frequentemente citado como o centro da aten o no tocante a siste mas de informa o a pr tica tem se mostrada diferente Exemplos de sistemas desenvolvidos com pouca usabilidade ou mesmo revelia de seus usu rios n o s o incomuns PRESSMAN 1995 Sistemas ditos seguros particularmente s o conhecidos por sua pouca amigabilidade Zurko e Simon 1996 apresentam tr s categorias de aplica o da seguran a centrada no usu e a aplica o de testes e t cnicas de usabilidade a sistemas seguros e o desenvolvimento de modelos e mecanismos de seguran a para sistemas amig veis user friendly e 82 e a considera o das necessidades do usu rio como uma meta de projeto primordial no desenvolvimento de sistemas seguros As pol ticas de seguran a da informa o devem enfocar estes pressupostos de modo tal a garantir a adequa o dos sistemas desenvolvidos ou adquiridos s necessidades do u
230. nd the critical in critical realism d ja vu Information and organization v 14 n 2 p 123 144 Apr 2004 KLEITER G D et al Do subjects understand base rates Organizational Behavior and Human decision processes v 12 n 1 p 25 61 Oct 1997 KO I S et al Distribution of digital contents based on public key considering execution speed and security Information Sciences v 174 n 3 4 p 237 250 Aug 2005 KOCHER P et al Security as a new dimension in embedded system design In Proceedings of the 41 annual conference on Design automation ACM 2004 p 753 760 Dispon vel em lt http doi acm org 10 1145 996566 996771 gt Acesso em 2 ago 2004 KOKOLAKIS S A KIOUNTOUZIS E A Achieving interoperability in a multiple security policies environment Computers amp Security v 19 n 3 p 267 281 May 2000 KONANA P BALASUBRAMANIAN S The social economic psychological model of technology adoption and usage an application to online investing Decision Support Systems v 39 n 3 p 505 524 May 2005 KORZYK SR A A forecasting model for internet security attacks In Pro ceedings of the 21st National Information Systems Security Conference NIST National Institute of Standards and Technology 1998 Disponivel em lt http csrc nist gov nissc 1998 proceedings paperDS5 pdf gt Acesso em 9 jun 2003 KRAUSE M TIPTON H F Information Security Management Handbook New York CRC Press Auerbach
231. nde a o dos gover nantes aos quais conferida a autoridade necess ria para dirigir a coletividade organizada como Estado e o significado de atividade exercida por especialistas sejam administradores ou pol ticos pertencentes a alguma agremia o ou partido que disputam o direito de governar exer cendo cargos e postos no Estado e por fim o significado derivado do anterior de pr tica duvidosa realizada s escuras permeada por interesses particulares e por vezes contr rios aos interesses gerais da so ciedade buscando atingir fins il citos ou ileg timos Nesta acep o comum o uso da palavra politicagem para se referir a tais pr ticas Nitidamente no contexto pretendido por este trabalho nenhum destes sentidos do uso es pec fico do termo ser de grande ajuda Resta o significado atribu do pelo seu uso vago e abran gente derivado do fato de que a amplia o das a es do Estado levou tamb m a uma amplia o 76 do campo das atividades pol ticas e sociais que passaram a compreender quest es adminis trativas decis es econ micas e servi os sociais Neste sentido s o usuais express es como pol tica econ mica ou pol tica externa para designar o conjunto das atividades associadas aos seus respectivos antecedentes legais e administrativos voltadas a atingir fins espec ficos na esfera indicada econ mica ou diplom tica nos exemplos citados Em uma extens o ainda m
232. nde a informa o est na mente ou no mundo Em sua concep o a informa o encontra se na interface entre o homem o ambiente como um limiar entre estes dois espa os uma vis o de resto claramente fenomenol gica O debate acerca dos fundamentos da informa o est longe de terminar Na verdade mal parece ter se iniciado Para os fins deste trabalho visando ado o de uma abordagem huma nista e social para os problemas da seguran a da informa o e tendo em vista os argumentos apresentados pelos autores acima citados e os pr prios estudos e propostas j realizados como a sugest o feita por Wilson 2003 de empregar se a fenomenologia como arcabou o de inte gra o dos estudos da informa o adotou se uma postura fenomenol gica cujos conceitos e m todos ser o apresentados a seguir 3 2 As bases da teoria fenomenol gica 3 2 1 Husserl A fenomenologia representa uma dentre as diversas correntes filos ficas que se sedimen taram no decorrer do s culo XX especialmente em sua primeira metade Naquele per odo as principais inguiri es conjeturas e publica es sobre o tema s o devidas a Husserl e aos dois maiores expoentes existencialistas da Fenomenologia Heidegger e Merleau Ponty Edmund Husserl 1859 1938 preocupa se com a perfeita caracteriza o do estado da mente consciente identificado por ele como o elemento principal do ser numa clara alus o m xima cartesiana Penso logo exis
233. ne v 6 n 9 p 15 19 Sept 1991 CASTELLS M A sociedade em rede 7 ed S o Paulo Paz e Terra 2003 CAVALLI E et al Information security concepts and practices the case of a provincial multi specialty hospital International Journal of Medical Informatics v 73 n 3 p 297 303 Mar 2004 CHAUI M Convite Filosofia 12 ed S o Paulo tica 1999 CHOLVY L CUPPENS F Analyzing consistency of security policies In 18 IEEE Computer Society Symposium on Research in Security and Privacy IEEE Computer Society 1997 Dispon vel em lt citeseer ist psu edu article laurence97analyzing html gt Acesso em 10 abr 2004 CHOU S C Dynamic adaptation to object state change in an information flow control model Information and Software Technology v 46 n 11 p 729 737 Sept 2004 CHOU S C Providing flexible access control to an information flow control model The Journal of Systems and Software v 73 n 3 p 425 439 Nov Dec 2004 CHOU S C An agent based inter application information flow control model The Journal of Systems and Software v 75 n 1 2 p 179 187 Feb 2005 CHRISTENSEN J G PALLESEN T The political benefits of corporatization and privatization Journal of Public Policy v 21 n 3 p 283 309 June 2001 CHURCHMAN C W Introdu o teoria dos sistemas Rio de Janeiro Vozes 1972 CIBORRA C Digital technologies and the duality of risk London 2004 Disponivel em
234. nflu ncia decis ria sobre onde investir em seguran a da informa o Por m o mesmo survey aponta as seguintes conclus es E amp Y 2003 1 mais de 34 das organiza es se reconhecem incapazes de determinar se seus sistemas de informa o est o sob ataque 2 mais de 33 das organiza es reconhecem ter capacidade inadequada para responder a incidentes de seguran a da informa o 3 56 das organiza es alegam ter em um or amento insuficiente o principal obst culo a uma postura eficiente no tocante seguran a da informa o 4 apenas 35 das organiza es alegam possuir programas permanentes de educa o e alerta quanto seguran a da informa o O panorama se mostra ainda mais cr tico quando se observa que algumas das solu es tec nol gicas mais utilizadas no mbito da seguran a como os sistemas criptogr ficos apresentam em alguns casos falhas graves de implementa o ANDERSON 1993 SCHNEIER 2000 comprometendo assim todo o investimento e o esfor o dispendido em sua instala o Ao se falar sobre incidentes de seguran a da informa o n o se poderia deixar de citar a internet Utilizada como o principal canal de comunica es no mundo corporativo a rede mundial encontra se vulner vel a uma ampla gama de ataques n o s voltados a organiza es mas tamb m a usu rios individuais No ambiente organizacional muitos destes ataques s o de consegii ncias vultosas KORZYK SR 1
235. nlineoriginals com showitem asp itemID 287 amp article D 12 gt Acesso em 4 maio 2005 PFLEEGER C P The fundamentals of information security IEEE Software v 14 n 1 p 15 16 60 Jan Feb 1997 PHUKAN S DHILLON G Ethics and information technology use a survey of US based SMEs Information Management amp Computer Security v 8 n 5 p 239 243 2000 PIERCEY R Ricoeur s account of tradition and the Gadamer Habermas debate Human Studies v 27 n 3 p 259 280 Sept 2004 PIETARINEN A V What do epistemic logic and cognitive science have to do with each other Cognitive systems research v 4 n 3 p 169 190 Sept 2003 PINHEIRO W Projeto de Lei n 6 525 de 2006 Brasilia 2006 PINTO S L A Politica de Governo Eletr nico no Brasil Bras lia 2001 Dispon vel em lt http www governoeletronico gov br gt Acesso em 19 maio 2003 POSTHUMUS S VON SOLMS R A framework for the governance of information security Computers amp Security v 23 n 8 p 638 646 Dec 2004 POTTER B Wireless security policies Network Security v 2003 n 10 p 10 12 2003 PREECE J NONNECKE B ANDREWS D The top five reasons for lurking improving community experiences for everyone Computers in Human Behavior v 20 n 2 p 201 223 Mar 2004 PRESSMAN R S Software Engineering A practitioner s approach 2nd ed New York McGraw Hill 1995 PROJECT MANAGEMENT INSTITUTE PMBOK Project
236. no n vel operacional No ambiente organizacional fundamental o estabelecimento de confian a entre o usu rio e a organiza o caso se pretenda que aquele siga aos preceitos propostos por esta ltima DUNN 2000 A tica organizacional deve ser clara concisa e livre de ambigiiidades para que possa ser absorvida pelo indiv duo como um c digo de conduta que ele siga com um sentimento fundamental sua situa o como aliado o prazer de agir de modo moral e reconhecidamente aceit vel A 4 Cultura e comprometimento organizacionais voltados seguran a da informa o Cultura como afirma Williams apud VANDENBERGHE 2003 uma das duas ou tr s palavras mais complicadas da l ngua Vandenberghe 2003 segue apontando tr s significados distintos para o termo um filos fico um antropol gico e um ltimo associado ao senso comum 187 No sentido mais amplo cultura op e se a natureza e assim representa tudo o que criado pelo homem e transmitido ou reproduzido por meio do conv vio social sem o homem n o haveria cultura mas sem cultura o homem tamb m n o subsistiria O sentido seguinte avan a do singular para o plural culturas s o express es simb licas de uma coletividade e s o o que diferenciam esta coletividade das demais por exemplo as culturas eg pcia inca babil nica ou europ ia Por fim cultura pode representar dentro de cada uma daquelas culturas um subsistema social que difere
237. ntar os motivos para sua desconstru o e as considera es que levaram sua reconstru o e apresenta o sob a nova tica No contexto das ci ncias sejam elas sociais ou naturais os conceitos essenciais formula o de um modelo s o apresentados na forma de construtos ou seja elementos essenciais que 22 d o identidade ao modelo dentre os quais devem ser ressaltados aqueles que o levam a diferir dos demais modelos existentes Contudo preciso diferenciar os construtos utilizados no mo delo e que s o apresentados pela pr pria exist ncia do tema em tratamento tais como no caso da formula o de pol ticas de seguran a da informa o os construtos sistema de informa o seguran a da informa o informa o pol tica de seguran a e usu rios aqui chama dos para efeitos de simplifica o de construtos de primeiro n vel dos construtos utilizados para a apresenta o do modelo em si tais como a metodologia e os m todos utilizados na constru o e descri o do modelo aqui chamados de construtos de segundo n vel Uma vez que se apresenta um novo modelo para o tratamento do problema da seguran a por meio das pol ticas de seguran a da informa o cuja descri o dependente da abordagem considerada retarda se por ora a apresenta o dos construtos de primeiro n vel sendo agora apresentados os construtos de segundo n vel A delimita o do campo de conhecime
238. nte este ltimo a origem de uma s rie de problemas Deste modo h que se implementar solu es 74 por meio de regulamenta o ou de aspectos culturais e n o meramente por meios tecnol gicos O mesmo texto aborda ainda tr s caracter sticas dos mercados de tecnologias da informa o a saber e o valor de um produto para um usu rio depende de quantos outros usu rios adotarem o mesmo produto e atecnologia tem freqiientemente custos fixos altos e custos marginais baixos a primeira c pia de um software ou de um chip pode custar milh es mas as demais podem ter custos quase desprez veis deste modo os bens s o comercializados com base no valor e n o no custo e os custos associados mudan a de tecnologia s o elevados mesmo que para plataformas consideradas livres ou gratuitas Estas tr s caracter sticas levam ao aparecimento de grandes monop lios de tecnologia no modelo da Microsoft que por sinal adota uma interessante forma de distribui o de produtos realiza se a entrega imediatamente assim que o produto anunciado mas o produto s ser de boa qualidade por volta da terceira vers o Por tudo isto o perfeito estabelecimento da diferen a entre custo pre o e valor funda mental para a determina o de pol ticas objetivas de investimentos em recursos tecnol gicos e tamb m em seguran a da informa o Estes t picos voltar o a ser abordados de modo mais aprofundado no C
239. nterpretadas de modo tal a acomodar o contexto tecnol gico e s cio econ mico atual C digo Civil Lei n 10 406 de 10 de janeiro de 2 002 O novo C digo Civil Brasileiro BRASIL 2002a ainda passa por per odo de adequa o o Poder Executivo extendeu at janeiro de 2 006 o prazo para que pequenas e m dias organiza es comerciais se adaptem aos preceitos do C digo Em seu texto n o h refer ncias expl citas preserva o da seguran a da informa o Decreto n 3 505 de 13 de junho de 2 000 Este decreto estipula a Pol tica de Seguran a da Informa o da Administra o Federal cujos pressupostos s o os seguintes BRASIL 2000a Art 1 1 assegurar a garantia ao direito individual e coletivo das pessoas inviolabi lidade da sua intimidade e ao sigilo da correspond ncia e das comunica es nos termos previstos na Constitui o 2 prote o de assuntos que mere am tratamento especial 3 capacita o dos segmentos das tecnologias sens veis 4 uso soberano de mecanismos de seguran a da informa o com o dom nio de tecnologias sens veis e duais 5 cria o desenvolvimento e manuten o de mentalidade de seguran a da in forma o 6 capacita o cient fico tecnol gica do Pa s para uso da criptografia na segu ran a e defesa do Estado e 7 conscientiza o dos rg os e das entidades da Administra o P blica Fede ral sobre a import ncia das informa es proce
240. nto levar em conta os motivos que levam estes usu rios a agir desta ou daquela maneira Ainda s o comuns as implementa es de aplicativos e camadas de soft ware destinadas ao aumento da seguran a como o uso de criptografia mas que terminam por diminuir acentuadamente a amigabilidade dos sistemas sem contudo produzir os resultados esperados Naturalmente n o se pretende a elimina o de tais ferramentas e aplicativos mas 17 sim a adequa o de seu uso aos requisitos dos sistemas portanto aos requisitos dos usu rios aos quais devem atender Uma vez que usualmente o planejamento das atividades e controles relacionados segu ran a da informa o no ambiente organizacional a sua inser o no dia a dia da organiza o e as pr ticas associadas s o tratados no conjunto das assim chamadas pol ticas de seguran a da informa o estas pol ticas se tornam fundamentais para qualquer enfoque que se pretenda aplicar ao problema Deste modo s o as pol ticas em seus aspectos p blicos e organizacionais o foco escolhido para o desenvolvimento de uma nova abordagem da seguran a da informa o neste trabalho conforme se ver nos cap tulos seguintes Este trabalho prop e que a seguran a seja medida por par metros intr nsecos sua pr pria g nese no contexto organizacional par metros estes que s o extra dos do ambiente organizaci onal e a eles devem ser adequados Para tanto prop e se a nfase na formula
241. nto abordado por um modelo o qual pode vir a posteriori a se configurar em uma teoria e que desde sempre suscet vel falibilidade e a refinamentos determinada primeiramente pela ontologia ou seja pelo estudo da exist ncia e das propriedades do ser enquanto ser do objeto considerado A cada ontologia por sua vez pode se aplicar diversas formas de representa o e an lise do conhecimento ali conside rado caracterizando se diferentes vis es de um mesmo objeto de estudo Esta an lise cabe epistemologia por vezes identificada como o estudo dos resultados das ci ncias com aplica es final sticas em campos diversos mas que aqui entendida como um questionamento de origem eminentemente filos fica acerca da pr pria natureza do conhecimento e por extens o das ci ncias e que versa sobre as justificativas da verificabilidade do conhecimento adquirido ou acumulado Em outras palavras a epistemologia encarrega se de avaliar os crit rios de ve rificabilidade das asser es trazidas luz pela ontologia em uso no processo conhecido como verifica o epist mica Desta forma diferentes epistemologias podem ser aplicadas a uma mesma ontologia sendo que v rias epistemologias t m sido desenvolvidas e aplicadas em dife rentes contextos hist ricos e s cio econ micos tais como o racionalismo e o existencialismo A se o 3 1 apresenta diversas abordagens epistemol gicas que t m sido aplicadas especifica
242. o N vel superior completo Especializa o Mestrado ou doutorado Sinta se vontade para fazer quaisquer sugest es e apresentar eventuais coment rios ao question rio ou aos temas que ele aborda 199 AP NDICE C L gica e Seguran a da informa o C 1 A formaliza o da seguran a em sistemas de informa o A utiliza o de modelos l gicos formais est intrinsecamente ligada aos sistemas de infor ma o assim como o conhecimento pode ser representado por meio de mecanismos l gicos a pr pria configura o dos computadores baseados na m quina de Turing diretamente mapeada por sistemas l gicos portas bem como os passos para a programa o destes computadores algoritmos Al m disso a Intelig ncia Artificial integrando a ci ncia da computa o e as ci ncias cognitivas faz uso de formalismos l gicos para o desenvolvimento de sistemas especi alistas e outros modelos de mimetiza o do racioc nio como agentes inteligentes Uma das principais utiliza es dos sistemas formais baseados na l gica no que diz respeito aos sistemas de informa o apresenta se no desenvolvimento de softwares com o uso de me canismos voltados ao levantamento e valida o de requisitos Esta utiliza o por m n o amplamente disseminada uma vez que ferramentas e metodologias estruturadas ou orientadas a objetos como os padr es propostos pela ISO eo Capability Maturity Model
243. o multidisciplinar das ci ncias sociais 6 1 Intera o social e comportamento S POL TICAS de seguran a da informa o s o via de regra apresentadas como c digos de conduta aos quais os usu rios dos sistemas computacionais devem se adequar integralmente Entretanto n o se v uma discuss o adequada sobre o grau de receptividade a estas pol ticas nem se apresentam de modo met dico quest es sobre o impacto usualmente consider vel por elas causado sobre o ambiente e sobre o comportamento daqueles que as devem seguir O presente trabalho prop e que an tes de apresentar se um elemento de perturba o de uma ordem vigente mesmo que ca tica analisem se os indiv duos e as intera es ali existentes O campo da intera o social o qual envolve as rela es intra e interorganizacionais e por tanto abarca a g nese dos sistemas de informa o ali existentes visto pelas diferentes ci ncias sob v rios enfoques A Administra o BOLLOJU KHALIFA TURBAN 2002 e a Economia HENESSY BABCOCK 1998 por exemplo devido pr pria natureza particular dos seus ob jetos de estudo debru am se sobre este tema com especial aten o Desta forma as estrat gias de tomada de decis o BOLLOJU KHALIFA TURBAN 2002 e de implementa o de sis temas de informa o CROTEAU BERGERON 2001 voltadas gera o ou manuten o de diferenciais e vantagens competitivos ressaltam continuamente o papel preponderante as
244. o item recurso como sendo componente de um sistema computacional podendo ser recurso f sico software hardware ou informa o DIAS 2000 p 55 Perceba se que n o se fala sobre o recurso humano a esta altura o leitor deste trabalho j se deve ter percebido como este componente tem import ncia fundamental sobre todos os eventos afeitos seguran a da informa o Esta vertente acredita assim que o homem pode ocasionar algum dano ao sistema mas n o se reconhece que ele pode ser tam b m uma v tima de algum ato deliberado ou n o capaz de ocasionar a ele ou organiza o uma perda informacional sens vel Acrescente se a isto o fato de que embora muitos gestores aleguem reconhecer a seguran a da informa o como importante nem sempre lhe dada a sua real relev ncia e tem se um quadro n o muito animador sobre o tema Com o advento das redes de longo alcance principalmente a internet tem se uma carac ter stica complicadora para este cen rio a capacidade de anonimato ou mesmo de desindi vidualiza o aus ncia de caracter sticas que permitam a identifica o de autoria das a es executadas em rede Um usu rio pode em tese se fazer passar por virtualmente qualquer ou tra pessoa n o importando de que etnia g nero ou grupo social desde que esteja disposto a tanto e tenha acesso aos recursos computacionais requeridos para esta tarefa os quais s o em geral ex guos Tal situa o a tal ponto cr
245. o qual o indiv duo manipula o seu mundo e constr i sua a o HAGUETE 1995 seja esta a o individual ou coletiva Contrariamente vis o ent o vigente de que a sociedade humana 112 existe sob a forma de uma ordem estabelecida por meio da ader ncia a um conjunto de regras normas e valores Blumer sustenta que o processo social de vida em grupo que cria e mant m as regras tratando de descartar aquelas que n o lhe s o interessantes Blumer complementa que as institui es em particular funcionam porque as pessoas em momentos diferentes atuam em resposta a uma situa o na qual s o chamadas a agir e n o porque as organiza es funcionem automaticamente em atendimento a uma din mica interna ou a um determinado sistema de regras e requerimentos HAGUETE 1995 Baseando se na obra de Mead Erving Gorffman em seu trabalho mais conhecido The Presentation of Self in Everyday Life de 1959 apresenta a import ncia que t m as apar ncias sobre o comportamento dos indiv duos e grupos levando os a agir com o intento de transmitir certas impress es aos que os rodeiam ao mesmo tempo em que tentam controlar seu pr prio comportamento a partir das rea es que lhes s o transmitidas pelos demais atores a fim de projetar uma imagem distinta da realidade A conceitua o de Gorffman envolve termos como palco desempenho audi ncia papel pe a e ato dentre outros do vocabul rio c nico Em termos sucintos para Gorffma
246. o texto de Bass 1998 o qual apresenta um modelo de pol tica de seguran a abrangendo aspectos gerenciais de opera o e de implementa o Por sua vez King 2000 um texto que discorre sobre algumas das chamadas melhores pr ticas da seguran a da informa o ou seja estrat gias heur sticas baseadas em casos reais n o necessariamente corroboradas pela teoria Por fim Raggad 2000 prop e uma estrat gia de defesa corporativa semelhante aos moldes adotados pelo Department of Defense DoD CERT O Computer Emergency Response Team CERT CERT 2004b uma organiza o sem fins lucrativos sediada na Universidade Carnegie Mellon na Pennsylvania cujos relat rios es 88 tatisticos anuais constituem uma refer ncia global para o acompanhamento de vulnerabilidades amea as e incidentes no mbito da internet Al m disso o CERT realiza estudos e desenvolve instrumentos e metodologias como a OCTAVE citada acima voltados ao incremento da segu ran a da informa o que s o aplicados em larga escala al m de disponibilizar corre es para falhas encontradas em diferentes softwares SANS Institute O SysAdmin Audit Network Security Institute SANS Institute uma organiza o de pesquisa e educa o estabelecida em 1989 contando atualmente com mais de 165 000 profissi onais de seguran a entre seus afiliados Al m de uma grande gama de cursos e textos t cnicos versando sobre a seguran a da inform
247. o uso do m todo de an lise fenomenol gica visando a ressaltar propriedades potenciais dos fen menos observados as quais usualmente n o s o analisadas sob um ponto de vista ade quado a pesquisa se caracteriza como eminentemente qualitativa com aspectos explorat rios uso de diversas disciplinas para a busca de um modelo de formula o de pol ticas de segu ran a da informa o visando ao tratamento adequado dos problemas afeitos seguran a da informa o 2 2 2 Uma nova abordagem para o problema da seguran a da informa o A proposta de uma abordagem para as pol ticas de seguran a da informa o centrada nos pontos de vista do usu rio deve necessariamente evitar os conceitos de origem majoritaria mente positivista que ora dominam este campo e que lhe d o o car ter essencialmente tecno l gico que o caracteriza ao deixarem em segundo plano o elemento social como se pode ver em WOOD 2002b BOSWORTH KABAY 2002 e SCHNEIER 2000 Assim a ado o de um modelo interpretativo deve se caracterizar pela desconstru o de boa parte se n o de todos dos conceitos atualmente em voga na rea da seguran a da informa o e sua posterior reapresenta o como componentes de um modelo orientado vis o do homem no contexto in formacional em que se insere Naturalmente antes de ser apresentado um conceito sob o ponto de vista do novo modelo deve se prover seu entendimento sob o ethos vigente bem como deve se aprese
248. o vedada Observe se que a temporalidade est em muitos casos instrinsecamente relacionada ao valor e ao usu rio em quest o Abrang ncia mede o n mero de usu rios sejam eles humanos ou sistemas automatizados com o qual a informa o se relaciona bem como o n vel hier rquico em que se encon tram Em muitos casos quanto maior o valor da informa o tratada menor sua abrang n cia mas h pelo menos um caso em que isto n o se verifica a chamada lei de Metcalfe segundo a qual o valor de um sistema de comunica o proporcional ao quadrado do n mero de seus usu rios ANDERSON 2001 observe se que a informa o parte integrante do sistema de comunica o como na internet para citar se o exemplo mais evidente Extensibilidade mede o grau com que a informa o capaz de originar mais informa o de valor e relev ncia compar veis ou superiores informa o original Apenas para citar se um exemplo este um dos pilares da comunidade de software aberto mas deve se ressaltar que isto n o implica a gratuidade da informa o assim disseminada A gest o do conhecimento com seu enfoque voltado forma o e preserva o do capital intelectual outra rea afeita a este conceito O texto cl ssico de Borko 1968 ao situar o escopo da Ci ncia da Informa o aponta para as principais etapas do ciclo de vida da informa o origem coleta organiza o armazenagem recupera o interpret
249. o viola o da informa o e dos m todos de seu processamento Disponibilidade garantia de que os usu rios devidamente autorizados obtenham acesso informa o e aos recursos computacionais correspondentes sempre que necess rio Autenticidade garantia de que a informa o de fato origin ria da proced ncia alegada 10 comum confundir se integridade com corretude mas um exemplo banal ilustra a distin o entre ambas imagine se uma mensagem cujo conte do original seja 2 2 5 caso ao ser transmitida tal mensagem chegue ao seu destino com esta mesma disposi o ela mostra se ntegra por m n o correta Isto salienta tamb m a distin o entre estrutura e significado ao qual conforme j se disse a seguran a n o est afeita Note se que estes dois conceitos pertencem a dom nios distintos de representa o sint tico e sem ntico 64 Irretratabilidade ou n o rep dio garantia de que n o se pode negar a autoria da informa o ou o tr fego por ela percorrido Deste modo a seguran a se faz presente nas arquiteturas e modelos da informa o neles inserindo se em todos os n veis Entretanto observa se um n mero crescente de ocorr ncias de incidentes relativos seguran a da informa o Fraudes digitais furtos de senhas cavalos de tr ia c digos de programas aparentemente inofensivos mas que guardam instru es danosas ao usu rio ao software ou ao equipamento v rus e outra
250. oduction to modal logic London Routledge 1996 HUSSERL E The crisis of european sciences and transcendental phenomenology an introduction to phenomenological philosophy Evanston Illinois Northwestern University Press 1970 HUSSERL E Investiga es l gicas Sexta investiga o elementos de uma elucida o fenomenol gica do conhecimento S o Paulo Nova Cultural 1996 IDSON L C LIBERMAN N HIGGINS E T Distinguishing gains from nonlosses and losses from nongains A regulatory focus perspective on hedonic intensity Journal of Experimental Social Psychology v 36 n 3 p 252 274 May 2002 INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION Information security governance guidance for boards of directors and executive management Rolling Meadows Illinois 2001 INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTAT STICA Pes quisa anual do com rcio 2003 Rio de Janeiro 2003 Dispon vel em lt http www ibge gov br home estatistica economia comercioeservico pac 2003 default shtm gt Acesso em 9 maio 2006 INTRONA L D The im possibility of ethics in the information age Information and Organization v 12 n 2 p 71 84 Apr 2002 ISHIDA T ISBISTER K Eds Digital cities technologies experiences and future perspectives Berlim Springer 2000 IT GOVERNANCE INSTITUTE COBIT Control Objectives 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE I
251. of Operational Research v 164 n 3 p 792 799 Aug 2005 ZHANG C N YANG C Information flow analysis on role based access control model Information Management amp Computer Security v 10 n 5 p 225 236 2002 ZHANG P LI N An assessment of human computer interaction research in management information systems topics and methods Computers in Human Behavior v 20 n 2 p 125 147 Mar 2004 ZUCCATO A Holistic security requirement engineering for electronic commerce Computers amp Security v 23 n 1 p 63 76 Feb 2004 ZURKO M E SIMON R T User centered security In Proceedings of the 1996 workshop on new security paradigms Lake Arrowhead California ACM 1996 v 1 n 1 p 27 33 176 Gloss rio Autoridade Certificadora Organismo respons vel pela autentica o dos participantes de uma rede de assinatura digital por chave p blica Criptografia Processo de cifragem embaralhamento dos dados de modo tal a permitir que apenas os conhecedores da chave associada sejam capazes de reverter o processo e ter acesso ao conte do em texto pleno Criptografia de chaves p blicas Processo de criptografia no qual a cifragem e a decifragem baseiam se em um par de chaves uma delas a chave privada de posse exclusiva do autor ao passo que a outra a chave p blica disseminada aos participantes da rede Criptografia de chaves sim tricas Processo de criptografia no qual a cifragem e a decifra
252. omparative survey Computers amp Security v 23 n 7 p 578 590 Oct 2004 LOWE G Towards a completeness result for model checking of security protocols In Proceedings of the 11th Computer Security Foundations Workshop IEEE Computer Society 1998 Dispon vel em lt http citeseer ist psu edu 460533 html gt Acesso em 22 abr 2004 LUBCKE P A semantic interpretation of Husserl s epoch a debate on technology and ethics Synthese v 118 n 1 p 1 12 Jan 1999 MADSEN W USA Patriot Act II more snooping powers Network Security v 2002 n 11 p 2 2002 MARCINCOWSKI S J STANTON J M Motivational aspects of information security policies In EEE International Conference on Systems Man and Cybernetics Oakland California IEEE Society 2003 v 3 p 2527 2532 MARCONDES C H JARDIM J M Pol ticas de informa o governamental a constru o do governo eletr nico na Administra o Federal do Brasil DatagramaZero Revista de Ci ncia da Informa o v 4 n 2 Abr 2003 Dispon vel em lt http www dgzero org abr03 Art_04 htm gt Acesso em 5 junho 2003 160 MARCOULATOS I Merleau Ponty and Bourdieu on Embodied Significance Journal for the Theory of Social Behaviour v 31 n 1 Mar 2001 MARCOULATOS I John Searle and Pierre Bourdieu Divergent perspectives on intentionality and social ontology Human Studies v 26 n 1 p 67 96 Mar 2003 MARTINS J C C Gest o de Projetos d
253. oncriteriaportal org public files ccpart3v2 2 pdf gt Acesso em 11 jul 2004 163 NBSO Site oficial do Network Information Center Security Office Rio de Janeiro 2006 Disponivel em lt http www nbso nic br gt Acesso em 25 jul 2006 NETWORK SECURITY CPRM to protect movies and music Network Security v 2001 n 2 p 3 Feb 2001 NEUMANN P G Risks to the public in computers and related systems SIG SOFT Software Engineering Notes v 29 n 3 p 7 14 2004 Dispon vel em lt http doi acm org 10 1145 986710 986716 gt Acesso em 2 ago 2004 NG K B Toward a theoretical framework for understanding the relationship between situated action and planned action models of behavior in information retrieval contexts contributions from phenomenology Information Processing and Management v 38 n 5 p 613 626 Sept 2002 NIEUWENBURG P The agony of choice Isaiah Berlin and the phenomenology of conflict Administration amp Society v 35 n 6 p 683 700 Jan 2004 NORTH D C Institutions The Journal of Economic Perspectives v 5 n 1 p 97 112 Winter 1991 NUTT P C Comparing public and private sector decision making practices Journal of Public Administration Research and Theory Advance Access p 1 30 Mar 2005 ORGANISATION FOR ECONOMIC CO OPERATION AND DEVELOPMENT Issues related to security of information systems and protection of personal data and privacy Paris 1996 Dispon vel em
254. ontrap e inclus o digital fato sabido que a informa o tem papel essencial na elabora o implementa o e avali a o de pol ticas p blicas FERREIRA 2003 quaisquer que sejam estas o que dizer ent o quanto estas pol ticas t m por objetivo justamente a informa o A coleta armazenamento dissemina o tratamento e descarte da informa o de modo adequado real ando a como um bem de valor impredit vel por sua fluidez e depend ncia intr nseca do contexto em que se in sere fundamental para os pa ses e organiza es que desejam se introduzir ou se diferenciar no contexto informacional vigente Neste sentido a formula o de pol ticas voltadas pesquisa e ao desenvolvimento de tecnologias baseadas no uso dos acervos e tecnologias de informa o existentes assume elevado destaque como se v em Tassey 2004 De todo este apanhado obt m se a seguinte defini o Defini o 7 2 Uma pol tica de informa o uma pol tica voltada caracteriza o ao deline amento e defini o de a es voltadas utiliza o da informa o como ativo transformador da sociedade nas esferas governamentais organizacionais e privadas 7 4 1 Fontes das pol ticas de informa o A busca bastante acentuada ap s a Segunda Guerra Mundial por maiores e melhores fon tes e formas de acesso informa o tem se acelerado nos ltimos anos O advento da internet 126 potencializou ainda mais os conc
255. or a prioridade com a qual aquele ativo deve ser considerado no tocante seguran a da informa o de cujo ciclo participa Percebe se ent o que mesmo os ativos considerados des prez veis por serem de baixo custo ou abundantes por exemplo podem gerar impacto decisivo 47 sobre a seguran a da informa o qual est o relacionados Deste modo pessoas sistemas equipamentos e os pr prios fluxos seguidos pelos conte dos informacionais devem ser devida mente considerados por ocasi o da planifica o da seguran a da informa o Perceba se que uma vez que a informa o seja qualificada como sens vel realiza se uma abstra o quanto a conceitos como o seu conte do volume ou mesmo formato exceto para fins de implementa o de mecanismos f sicos de preserva o que diferem entre m dias digitais e impressas por exemplo adotando se os mesmos procedimentos para diferentes conte dos e acervos Estando dispersos nos ambientes organizacionais os ativos da informa o est o sujeitos a diversos eventos e potencialidades nocivos sua seguran a divididos em tr s categorias amea as vulnerabilidades e incidentes os quais comp em e caracterizam os riscos 4 1 3 Amea as 2 Uma das defini es apresentadas para amea a evento ou atitude indesej vel roubo in c ndio v rus etc que potencialmente remove desabilita danifica ou destr i um recurso DIAS 2000 p 55 A mesma autora apresenta
256. ora o de pol ticas simples e objetivo tendo sido escrito numa linguagem acess vel e coloquial GUEL 2001 Al m disso sua lista de verifica o de ader ncia ao modelo da ISO IEC 17799 tamb m bastante utilizado O guia apresenta quest es b sicas de auditoria tais como esta obtida da se o de ader ncia a requisitos legais THIAGARAJAN 2003 Se controles espec ficos e responsabilidades individuais para atingir esta ader ncia foram definidos e documentados Al m disso diversos exemplos de normas de seguran a est o dispon veis no site do SANS Eis o exemplo de um trecho obtido da norma sugerida para a utiliza o de correio eletr nico SANS 2002 Os empregados da lt Nome da Organiza o gt n o devem ter quaisquer expectativas de privacidade sobre nada que eles armazenem recebam ou enviem por meio do sistema de correio eletr nico da organiza o 5 9 5 BS7799 ISO IEC 17799 e ISO IEC 27001 2005 J foi visto que a norma brit nica BS7799 denominada Code of Practice for Informa tion Security Management foi ampliada e padronizada pela ISO sob o c digo ISO IEC 17799 tendo sido adotada pela ABNT em 2001 sob o c digo NBR 17799 A aplica o de seus con troles apresentada na norma ISO 27001 publicada em outubro de 2005 A BS7799 que se baseia em outros padr es anteriormente existentes como Guidelines to the Management of 104 Information Technology Security GMITS ISO IEC TR 13335 2
257. ora adiante se que a fenomenologia como seu nome indica enxerga o conhecimento sob a tica dos fen menos ou seja acontecimentos que se processam no mundo e que s o analisados por um observador inicialmente imbu do de uma atitude natural isto passiva em rela o a tais fen menos No momento em que se dedica a consider los de forma mais de tida especificamente sob o ponto de vista filos fico ou seja quando leva em considera o a g nese estrutura e finalidade de tais fen menos o indiv duo adota uma nova postura a cha mada atitude filos fica a qual se caracteriza segundo a fenomenologia pela observa o das coisas mesmas ou seja em sua ess ncia Neste processo o observador apreende do objeto de observa o as caracter sticas conformadoras de sua ess ncia formando em sua mente uma imagem do objeto analisado O sentido do que se percebe depende de como isto subjetiva mente experienciado princ pios e fatos s o mediados pela experi ncia tanto pregressa quanto atual do observador Na atitude filos fica segundo Janicaud 2000 os nicos pr julgamentos dos quais o indiv duo deve se abster s o aqueles dox sticos ou seja relacionados a eventuais 25 obriga es deveres e proibi es quanto a tradi o ou s teorias ou propostas que acaso deseje defender Para verifica o do conhecimento apreendido o crit rio de veracidade aplicado pela feno menologia a coer ncia entre a imagem f
258. ora apresentado prop e que a seguran a seja medida por par metros intr nsecos sua pr pria formula o extra dos do ambiente organizacional e de seus objetivos e a eles adequados Para tanto prop e se a nfase na formula o formaliza o e aplica o de pol ticas da seguran a da informa o nos moldes descritos a seguir Siponen 2001 sugere que a consci ncia quanto seguran a da informa o pode ser enten dida sob cinco diferentes dimens es e organizacional todos os n veis da organiza o cada qual a seu modo e grau devem ter 81 conhecimento da import ncia do tema da seguran a da informa o p blica geral os profissionais de tecnologia da informa o devem ter conhecimentos espec ficos sobre a seguran a da informa o mas tamb m os usu rios gerais devem ter conhecimentos compat veis com sua rela o ao tema s cio pol tica a natureza s cio pol tica da tecnologia da informa o deve ser devida mente tratada por aqueles indiv duos que atuam nesta esfera tais como pol ticos advo gados e juristas tico computacional a utiliza o tica dos recursos providos pela tecnologia da informa o deve ser objeto da preocupa o de todos os afeitos ao tema pesquisadores professo res usu rios em geral e educacional deve ser preocupa o constante da sociedade a adequada educa o de seus membros quanto correta e tica utiliza o dos recursos computacionais i
259. ormation technology and public policy a socio human profile of Indian digital revolution The International Information amp Library Review v 36 n 4 p 309 318 Dec 2004 ASHRAFI N The impact of software process improvement on quality in theory and practice Information amp Management v 40 n 7 p 677 690 Aug 2003 ASSOCIA O BRASILEIRA DE NORMAS T CNICAS NBR ISO IEC 17799 Tecnologia da informa o c digo de pr tica para a gest o da seguran a da informa o Rio de Janeiro 2002 ATKINSON M M COLEMAN W D Policy networks policy communities and the problems of governance Governance v 5 n 2 p 154 180 Apr 1992 AYOGU M D Corporate governance in Africa the record and policies for good corporate governance African Development Review v 13 n 2 p 308 330 Dec 2001 BAERT P Pragmatism realism and hermeneutics Foundations of science v 8 n 1 p 89 106 Mar 2003 142 BAILLOT P DANOS V EHRHARD T Believe it or not AJM s games model is a model of classical linear logic In Proceedings of the 12 Annual IEEE Symposium on Logic in Computer Science Oakland California IEEE 1997 p 68 75 BAKER C R SHAPIRO B Information technology and the social construction of information privacy reply Journal of Accounting and Public Policy v 22 n 3 p 287 290 May June 2003 BARBER P J LEGGE D Percep o e Informa o Rio de Janeiro Zahar Editores 1976 BA
260. ormulada e o objeto Est se deste modo diante de uma tr ade de dom nios do conhecimento e a ontologia ou ci ncia pr pria ao campo de conhecimento que se ocupa da an lise do objeto ao descrever suas propriedades e elementos essenciais e a psicologia que se ocupa da an lise do sujeito frente a seu ambiente e do processo de formula o do seu racioc nio e e a l gica que se ocupa da verifica o da adequa o entre o objeto e a imagem constru da no processo de apreens o do conhecimento Desta forma uma vez que se prop e uma abordagem do problema da seguran a da informa o sob o ponto de vista dos usu rios precisa se de uma teoria social na qual devem se basear as considera es de car ter sociol gico ou grupal sobre as quais se fundamenta a an lise realizada A teoria social adotada neste trabalho a do interacionismo simb lico discutida no Cap tulo 6 Quanto a uma teoria psicol gica na qual devem se basear as considera es de car ter individual concernentes intera o do indiv duo com a informa o e com a sua seguran a foram feitos ensaios mostrados no Ap ndice A devendo se salientar ainda que por ocasi o da qualifica o do doutorado a banca examinadora optou por recomendar que fosse dada nfase aos aspectos epistemol gicos do trabalho deixando a aplica o do instrumento e as demais quest es afeitas abordagem da Psicologia para estudos posteriores Por seu turno embor
261. os aqui devido acalentada discuss o sobre a racionalidade de uma tica voltada ao uso de recursos informacionais e de modo mais limitado voltada ao uso de recursos computacionais em uma era onde conceitos como privacidade e individuali dade assumem novas fei es como se salienta por exemplo em Floridi 1999 Paradoxal mente louvam se no mundo digital a es de car ter coletivo voltadas disponibiliza o em esfera comunit ria de recursos e fontes de informa o enquanto de outro lado a sociedade preserva como valores e virtudes a autonomia pessoal e a individualidade THOMAS 2002 Discute se a expans o da chamada autonomia moral WALDRON 2002 onde o indiv duo se coloca frente ao grupo ao qual pertence n o mais perseguindo fins meramente individu ais mas voltados ao bem da coletividade e como sugere Schmidt 2001 em harmonia com a natureza e apresentam se novos conceitos de privacidade VOLKMAN 2003 e plura lismo moral NIEUWENBURG 2004 destinados a acomodar os valores cl ssicos realidade p s moderna e patente desindividualiza o j comentada no Cap tulo 4 Especificamente no que diz respeito seguran a da informa o t m sido realizados estudos voltadas apresenta o de regras de conduta como preceitos ticos constituindo requisito para a formula o de normas e controles para a implementa o da seguran a em sistemas Leiwo e Heikkuri 1998 por exemplo apr
262. os com alto grau de comprometimento organizacional t m menor ndice de aceita o de pol ticas de uso aceit vel pol ticas que descrevem o uso consi deradas adequado de recursos computacionais disponibilizados pela organiza o Os autores apenas lan am conjeturas sobre a raz o de tal comportamento entre elas a de que indiv duos com alto grau de identifica o com a organiza o se sintam em tal grau de liberdade que termi nem por repudiar as normas que pretendam ditar seus passos De todo modo fica claro que a compreens o do comportamento dos usu rios frente s pr ticas de seguran a um elemento es sencial s abordagens puramente tecnol gicas Em outro estudo posterior Stanton et al 2005 apontam a forma o de padr es de comportamento por eles intituladas taxonomias relacio nadas a diferentes pr ticas relacionadas ao uso e constru o de senhas de acesso a sistemas e refor am a necessidade de treinamento e capacita o como medidas destinadas a diminuir a incid ncia de pr ticas contr rias aos preceitos de seguran a Schlienger e Teufel 2003 apresentam um estado sobre a cultura da seguran a da informa o introduzida como participante da cultura organizacional a qual expressa pelos valores normas e conhecimento da organiza o A cultura da seguran a agrega a an lise das pol ticas de seguran a e a obten o junto aos usu rios e aos gestores da informa o e da seguran a dos valores reais
263. os pressupostos individuais Deve se salientar que a pr pria quest o distancia se diametralmente do modo positivista de ci ncia o qual pressu p e que o cientista ponha de lado a sua subjetividade principalmente o positivismo indutivo voltado a generaliza es a partir de exemplos obtidos de amostras nem sempre representativas mas que se mostra alheio ao problema apontado por Hume LEE 2004 qual seja o da pr pria inexequibilidade de generaliza es por meio do processo indutivo Um dos grandes te ricos da hermen utica Hans Georg Gadamer apresentou uma solu o assaz instigante para esta quest o a fim de se garantir a veracidade de uma interpreta o deve se primeiro assumir se a exist ncia dos pressupostos existentes e em seguida proceder se a uma avalia o destes pressupostos luz da epistemologia considerada GADAMER 1998 ALCOFF 1998 Dois dos pressupostos que Gadamer apresenta como onipresentes a todas as interpreta es s o a autoridade e a tradi o Como se ver tanto uma como a outra quanto se guran a da informa o e especificamente quanto s pol ticas ser o questionadas continuamente ao longo deste trabalho Antecipe se ainda que os trabalhos de Martin Heiddeger HEIDEG GER 1985 e de Paul Ricoeur PETIT 2003 VILLELA PETIT 2003 s o utilizados como pano de fundo para a execu o de uma hermen utica dos temas atinentes seguran a da infor ma o Uma vez estabelecido o c
264. ossibilidades de ativismo social pol tico e econ mico um usu rio dina marqu s que utilize um site baseado na Inglaterra para realizar um ataque computacional a uma empresa canadense dever ser enquadrado sob qual legisla o 123 Uma das quest es tratadas neste escopo o de uma governan a global voltada a temas rela cionados s tecnologia da informa o e de comunica o com o incremento das rela es entre governo e cidad os especialmente no acesso s informa es providas por rg os de governo sem perder de vista as necessidades locais ROSE 2005 HUDSON 2003 HITCHENS 1997 BLOM HANSEN 1999 S o gritantes as disparidades observadas entre os pa ses no tocante ao uso destas tecnologias e grupos hegem nicos j se caracterizam em diferentes nichos com elevada dinamicidade apenas para citar se um exemplo a l ngua inglesa j deixa de ser a mais utilizada na internet e temas como a inclus o digital a melhora e a dissemina o de servi os p blicos e a universaliza o daquelas tecnologias com seu uso adequado pelo maior n mero de pessoas assumem papel cada vez mais preponderante determinando os tra os de uma nova geopol tica a qual deve ser necessariamente contemplada quando da defini o de estrat gias destinadas aos cidad os n o somente os atingidos pela cidadania digital e aos usu rios de sistemas de informa o que n o mais se encontram isolados em seus lares e salas de trabalho ou de
265. otivada pela expans o do efeito multiplicador da produ o da informa o pela tomada de decis es aut nomas em grupo e por evitar se a tend ncia a uma sociedade administrativamente centrali zada Tal sociedade est associada a uma economia em que a informa o est no centro de suas necessidades econ micas e na qual ambas economia e sociedade crescem e se desenvolvem em fun o da produ o e do uso de valores informacionais e onde a import ncia da informa o como produto econ mico excede a de bens energia e servi os modificando a pr pria estrutura da urbe e dos relacionamentos e servi os oferecidos no conv vio urbano como se pode ver por exemplo em Ishida e Isbister 2000 e em Castells 2003 Embora seja comum supor se que a Sociedade da Informa o uma sucessora radical da economia industrial substituindo a e com ela n o convivendo COSTA 1999 tal fato n o ocorre imperativamente elas podem coexistir Com efeito estes dois est gios econ micos est o presentes ao mesmo tempo numa economia composta por todo o planeta HARDT NEGRI 2001 p 310 Al m disso durante o processo de produ o voltado informa o quando rea lizado coletivamente constr i se uma nova realidade rumo a uma cidadania global Esta nova cidadania cultua simultaneamente o eterno e o ef mero num processo que alcan a a sequ ncia passada e futura das express es culturais dos indiv duos que a comp em ao mesmo tempo em que
266. owards a pluralist methodology Information Systems Research v 12 n 3 p 240 259 Sept 2001 MINGERS J Embodying informations systems the contribution of phenomenology Information and organization v 11 n 2 p 103 128 Aug 2001 MINGERS J A classification of the philosophical assumptions of management science methods Journal of the Operational Research Society v 54 n 6 p 559 570 June 2003 MINGERS J Critical realism and information systems brief responses to Monod and Klein Information and organization v 14 n 2 p 145 153 Apr 2004 MINGERS J Real izing information systems critical realism as an underpinning philosophy for information systems Information and organization v 14 n 2 p 87 103 Apr 2004 MINGERS J BROCKLESBY J Multimethodology towards a framework for mixing methodologies International Journal of Management Sciences v 25 n 5 p 489 509 Oct 1997 MINIST RIO DA CI NCIA E TECNOLOGIA Livro Branco Ci ncia tecnologia e inova o Bras lia Minist rio da Ci ncia e Tecnologia 2002 MIORA M Business continuity planning In BOSWORTH S KABAY M Eds Computer Security Handbook 4th ed New York John Wiley amp Sons 2002 MIORA M Disaster recovery In BOSWORTH S KABAY M Eds Computer Security Handbook 4th ed New York John Wiley amp Sons 2002 MIRANDA A Ci ncia da Informa o teoria de uma rea em expans o Bras lia Thesaurus 2003
267. por sua vez indica que a filosofia da informa o agrega os requisitos de uma metodologia voltada a dar suporte aos estudos da Filosofia no que tange aos temas da informa o Em ambos os sentidos a filosofia da informa o lida com tr s tipos de dom nios t picos fatos dados problemas fen menos observa es m todos t cnicas abordagens e teorias hip teses explana es visando a analisar diversos problemas Floridi 2004b aponta dezoito deles nos campos da an lise sem ntica e na pr pria natureza da informa o o que ela e como se forma por exemplo Duas abordagens filosofia da informa o s o apontadas em Floridi 2003a uma anal tica voltada aos problemas conceituais e lacuna de conceitos decorrentes da avalanche informacional experimentada nos ltimos tempos e outra metaf sica dedicada inser o e reinterpreta o do Eu perante o mundo em transforma o constru do virtualmente a partir de conceitos outrora eminentemente f sicos Outros conceitos relacionadas filosofia da informa o alguns aderentes vis o de Floridi outros complementares como a aplica o dos conceitos de Shannon teoria da informa o e Wiener cibern tica em uma abordagem mais pragm tica aos problemas filos ficos da mente e da forma o de significados ADAMS 2003 est o dis pon veis dentre outras fontes em dois n meros especiais do peri dico Minds and Machines v 13 n 4 Nov 2003 e v 14n
268. potencial enfocando a din mica da intera o dos usu rios com o sistema e entre si Mesmo textos de an lise cr tica de modelos de seguran a MCLEAN 1997 ou de verifica o dos padr es de seguran a e confiabilidade apontam na dire o de maiores requisitos tecnol gicos como a to ler ncia a falhas MEADOWS MCLEAN 1998 como solu o para o caos da seguran a que se tem apresentado Z E conveniente salientar um dos principais motivos por que os modelos de formaliza o acima descritos s o insuficientes para modelar a seguran a da informa o de modo abrangente estes modelos se restringem ao dom nio dos processos e componentes n o humanos do sistema e ao tratar os usu rios estes s o apontados como componentes estanques sem vontade pr pria ou com um comportamento sempre uniforme e determin stico na verdade em muitos casos a seguran a reportada como sendo computacional computer security Deste modo poss vel possuir se um sistema de elevada ader ncia aos padr es de seguran a estipulados por tais mo 202 delos mas que se v burlado pelo comportamento incongruente mas por vezes at previsivel de agentes humanos ou de outra natureza os quais nao foram adequadamente contemplados na elabora o do modelo Contrariamente este trabalho preconiza a formaliza o de pol ticas de seguran a da infor ma o como um mecanismo de padroniza o de pr ticas voltadas n o somente aos momentos de de
269. previstos em lei e sob autoriza o judicial BRASIL 1996 o caso recente envolvendo a quebra do sigilo banc rio de um caseiro e o ent o ministro da Fazenda emblem tico no sentido de que muito ainda h para ser feito quanto efetiva garantia das institui es legalmente dispostas Contudo isto n o invalida o fato de que a preserva o da privacidade legalmente fundamentada e judicialmente respeitada deve se sobrepor aos ditames da tecnologia e dos humores pol ticos ou mercadol gicos A constru o da adequada atitude pol tica qual seja a de respeito aos preceitos democr ticos e legais deve embasar a formula o das pol ticas acerca da privacidade individual sobre a qual se alicer a a seguran a da informa o nos ambientes corporativos e p blicos Com este prop sito segue se uma sugest o de um modelo para a elabora o de pol ticas de seguran a da informa o baseado nas discuss es elencadas ao longo deste trabalho Este modelo segue a chamada multimetodologia conforme apresentada em Mingers e Brocklesby 1997 a qual sugerida entre outros fins para a elabora o e an lise de modelos de siste mas de informa o MINGERS 2001a DAVIES MABIN BALDERSTONE 2005 LEWIS KELEMEN 2002 sendo associada a outros modelos multimetodol gicos como a de siste mas flex veis de Checkland TORLAK 2001 e Teoria Geral dos Sistemas de von Bertalanffy GOERGIOU 2000 A multimetodologia se caracteriza por empr
270. princ pios fundamentais dentre os quais a estrita ader ncia legisla o a promo o do interc mbio de informa es e mesmo a gest o da informa o em ag ncias e rg os governamentais CORNELLA 1998 Deve se evitar ainda a confus o comum entre educa o tecnol gica e educa o para a informa o o fato de possuir se recursos tecnol gicos de uso disseminado n o significa que o acesso e o uso da informa o se dar o de modo adequado preciso associar se outras pol ticas de cunho social e educacional s iniciativas voltadas informa o Al m do car ter s cio econ mico as pol ticas podem ter ainda aspecto de orienta o quanto dissemina o de informa es de car ter p blico por exemplo quando da ocorr ncia de emer g ncias ou calamidades nacionais MAXWELL 2003 QUINN 2003 Outro aspecto relevante destas pol ticas se manifesta quando da formula o de programas de governo centrados nos ci dad os SHULER 2003 como para a formula o de estrat gias G2C government to citizen 7 5 Princ pios para as pol ticas de seguran a da informa o A correta gest o da seguran a da informa o atingida com o compromisso de todos os usu rios quanto aplica o das normas e procedimentos estabelecidos visando padroniza o das a es de planejamento implementa o e avalia o das atividades voltadas seguran a WILLIAMS 2001 Estas diferentes atividades podem ser agrupadas con
271. produ o de softwares com vulnerabilidades decorrentes de falhas flagrantes de desenvolvimento Metodologicamente os modelos desenvolvidos neste mbito t m se dividido entre as for mas de controle de acesso relativas aos sistemas desenvolvidos divididas em tr s grandes cate gorias DAC discretionary access control onde o acesso dos usu rios aos recursos contro lado conforme m tricas voltadas ao neg cio MAC mandatory access control onde o acesso codificado no pr prio sistema ou RBAC rule based access control onde o acesso dina micante atribu do conforme o papel desempenhado pelo usu rio junto ao sistema LOPEZ OPPLIGER PERNUL 2004 CHOU 2004a BELLETTINI BERTINO FERRARI 2001 SANDHU et al 1996 KAGAL FININ PENG 2001 AHN HONG SHINC 2002 Mais recentemente com a dissemina o de sistemas de ampla abrang ncia principalmente a inter net procedeu se montagem de infra estruturas de autentica o e autoriza o de usu rios com 201 o uso de recursos de assintaura e autentica o baseados em criptografia assim trica como o sis temas NET da Microsoft LOPEZ OPPLIGER PERNUL 2004 Outra abordagem a assim chamada muralha chinesa BREWER NASH 1989 SOBEL ALVES FOSS 1999 FOLEY 1997 MEADOWS 1990 onde diferentes perfis de acesso determinam os limites dentro dos quais se permite ou se limita o acesso informa o Como se observa a grande maioria dos modelos de segu
272. proposto para a formula o de pol ticas de seguran a da informa o de car ter humanista s o discutidos no Cap tulo 7 Por fim a revis o dos passos seguidos luz da discuss o e da metodologia apresentadas o resumo das contribui es resultantes do trabalho realizado e algumas sugest es para estudos futuros est o no Cap tulo 8 Cumpre ainda ressaltar um outro aspecto deste trabalho os resultados obtidos est o dis postos de forma esparsa ao longo da apresenta o do texto uma vez que a pr pria abordagem escolhida apontou como melhor caminho a apresenta o de novos conceitos e an lises passo a passo com a confec o do texto Deste modo cada contribui o proposta pelo autor apresen tada em seu devido contexto ao lado da concep o vigente e que se pretende discutir 2 2 1 19 Objetivo e metodologia Objetivo da pesquisa STE trabalho teve por finalidade a an lise dos pressupostos necess rios para o tra tamento da seguran a da informa o por meio da formula o de pol ticas de seguran a da informa o baseando se em uma estrat gia de an lise fenomenol gica Tal abordagem visa a dar s pol ticas formuladas uma abordagem social de car ter humanista centrada nos pontos de vista do usu rio e que se contraponha aos modelos tecnicistas atuais Com vistas a tal finalidade este trabalho se prop s a seguir os seguintes passos 1 2 3 4 5 realizar um amplo lev
273. r prio aparato do estado salvo no tocante aos aspectos penais e judiciais Do lado corporativo carece se de uma discuss o adequada da reali dade nacional frente ao fen meno da Sociedade da Informa o e dos modelos que a sociedade brasileira pretende adotar frente a esta realidade Por fim cabe o coment rio de que n o se conhece qualquer solu o meramente tecnol gica para problemas sociais Sendo um conceito eminentemente social a seguran a da informa o necessita de uma vis o igualmente embasada em conceitos sociais para sua correta cobertura 140 Refer ncias Bibliogr ficas ABADI M BLANCHET B Analyzing security protocols with secrecy types and logic programs Journal of the Association for Computing Machinery v 52 n 1 p 102 146 Jan 2005 ACCORSI R BASIN D VIGANO L Towards an awareness based semantics for security protocol analysis Electronic Notes on Theorical Computer Sciences v 55 n 1 p 1 20 Jan 2003 ADAMS F The informational turn in philosophy Minds and Machines v 13 n 4 p 471 501 Nov 2003 AHN G J HONG S P SHINC M E Reconstructing a formal security model Information and Software Technology v 44 n 11 p 649 657 Aug 2002 ALBERTS C J DOROFEE A J Managing Information Security Risks the OCTAVE approach Boston Addison Wesley 2002 ALBERTS C J DOROFEE A J Security incident response rethinking risk management International Congress S
274. rabalhos em ambientes eletr nicos ou colaborativos al m do uso de recursos corporativos para uso particular tais como correio eletr nico e com putadores LOCH CONGER OZ 1998 Existe um imenso flanco em aberto quando se trata destas quest es que devem ser adequadamente tratadas a fim de implementar se a seguran a da informa o de modo efetivo 4 7 A gest o da seguran a da informa o Ainda usual a vis o de que a gest o da seguran a da informa o pode ser vista como um projeto como outros por exemplo comerciais no ambiente corporativo MARTINS 2003 Contudo pelo que j foi dito at aqui pode se ver que a seguran a da informa o requer aten o especial uma vez que ela permeia todo o complexo da informa o no ambiente tratado e negligenci la pode at mesmo inviabilizar a execu o das atividades fim da organiza o Surgem ent o conceitos como a governan a da seguran a da informa o conjunto de pr ticas e de responsabilidades exercidas pela ger ncia com o objetivo de prover dire o estrat gica garantindo que os objetivos sejam atingidos atestando que os riscos sejam adequadamente gerenciados e verificando que os recursos da organiza o sejam usados de modo respons vel MOULTON COLES 2003 Este conceito ser melhor explorado no Cap tulo 77 Eloff e von Solms 2000 apresentam um modelo de gest o baseado em tecnologia e pro cessos enquanto Eloff e Eloff 2003 por
275. racionismo simb lico e no positivismo estat stico apresentando a como uma poss vel ferramenta para a formula o de teorias no campo da ci ncia da informa o A coleta de dados em campo requisito fundamental para a sua aplica o Hjgrland 2005b Apresenta um breve hist rico do empiricismo Locke Berkeley Hume Stuart Mill do racionalismo Descartes Spinoza e Leibniz do posi tivismo Comte e do positivismo l gico Frege Quine Wittgenstein citando trabalhos influenciados por tais epistemologias e problemas que podem ser abordados por elas como a consist ncia na indexa o de do cumentos e a pesquisa de relev ncia na recupera o de informa es Hjgrland 2005a Sumariza os artigos anteriores e cita o ecleticismo com o uso em um mesmo estudo de abordagens diferentes e talvez conflitantes ressal vando a suscetibilidade a cr ticas quanto fundamenta o e aplicabi lidade de tal abordagem Percebe se uma grande variedade de poss veis epistemologias n o por coincid ncia em grande parte derivadas da filosofia da linguagem sendo algumas conflitantes que podem ser utilizadas em estudos da ci ncia da informa o Se por um lado isto corrobora em termos basilares a interdisciplinaridade atribu da a esta ci ncia uma vez que lhe d maleabilidade na escolha das ferramentas e recursos a serem utilizados capacitando a a imiscuir se entre diver sos dom nios fornecendo lhes e deles obten
276. ran a discutidos neste mbito limita se por um lado aos aspectos do desenvolvimento de software e por outro ao fluxo da informa o envolvido na din mica dos sistemas com o desenvolvimento de protocolos e ferramentas de prop sito geral mas que na verdade abordam exclusivamente os aspectos da tecnologia envolvida na concep o projeto e desenvolvimento de softwares num momento pr existencial ou seja anterior exist ncia dos sistemas ou no acesso aos recursos dispon veis num momento p s existencial ou seja j com os sistemas desenvolvidos e em funcionamento e quando o custo de atualiza es e modifica es se mostra excessivamente oneroso Este panorama complica se ainda mais quando se percebe que o objetivo das pol ticas pode ser distinto variando conforme a miss o ou vis o organizacionais ou de acordo com o nicho de neg cios No mbito militar por exemplo historicamente a principal meta das pol ticas desen volvidas tem sido a confidencialidade ao passo que nas organiza es comerciais d se nfase integridade da informa o mas um requisito n o exclui o outro Compara es como a realizada por Clark e Wilson 1987 ilustram a complexidade advinda da necessidade de contemplar se estes requisitos no bojo de uma mesma organiza o Muito pouco se tem desenvolvido sobre a formaliza o da seguran a dos sistemas com putacionais enquanto reposit rios de informa o e como fontes de conhecimento
277. ring method In Proceedings of 4 International Workshop on Requirements Engineering Foundation for software quality Pisa University of Pisa 1998 Disponivel em lt http www ida liu se gorgo erp GGPAk REFSQ98 pdf gt Acesso em 12 abr 2004 GOODMAN J HECKERMAN D ROUNDTHWAITE R Stopping spam Scientific American v 292 n 4 p 24 31 Apr 2005 GORDON L A LOEB M P The economics of information security investment ACM Transactions on Information and Systems Security v 5 n 4 p 438 457 Nov 2002 GORDON L A LOEB M P Return on information security investments myths vs realities Strategic finance v 84 n 5 p 26 31 Nov 2002 GORDON L A LOEB M P LUCYSHYN W Sharing information on computer systems security an economic analysis Journal of Accounting and Public Policy v 22 n 6 p 461 485 Nov Dec 2003 GORDON L A et al 2004 CSI FBI Computer crime and security survey Washington 2004 Dispon vel em lt http www gocsi com forms fbi pdf jhtml gt Acesso em 9 jun 2004 GORDON L A LOEB M P SOHAIL T A framework for using insurance for cyber risk management Communications of the ACM v 46 n 3 p 81 85 Mar 2003 GORDON L A RICHARDSON R The new economics of information security Information Week n 982 p 53 56 Mar 2004 GRAMBERGER M Citizens as partners OECD handbook on information consultation and public participation in policy making Paris O
278. rocesso de educa o dos usu rios s pol ticas adotadas conforme ressaltado por entre outros von Solms e von Solms 2004 Um outro aspecto da multidisciplinariedade exigida pelas pol ticas diz respeito aos perfis necess rios aos indiv duos ou organiza es que as formular o implementar o e acompanha r o deve se ter uma forma o abrangente a fim de cobrir adequadamente todos os aspectos requeridos al m de se manter o foco nos requisitos exigidos pela ger ncia WOOD 2004 5 10 1 A automa o da gest o da seguran a da informa o No Cap tulo 4 falou se da necessidade de gerir se adequadamente os temas relacionados seguran a da informa o Vistas a abrang ncia e a complexidade das pol ticas que almejam nortear as a es organizacionais voltadas a esta seguran a advoga se a necessidade imperiosa do uso de ferramentas de gest o adequadas para o suporte gest o dos elementos tecnol gicos humanos e materiais envolvidos bem como gest o dos pr prios sistemas de seguran a e das pol ticas que regem o seu uso A este respeito von Solms e von Solms 2004 apontam uma rela o que denominaram os 10 pecados capitais da gest o de seguran a da informa o a saber 1 N o reconhecer que a seguran a da informa o uma responsabilidade da alta gest o organizacional 2 N o reconhecer que a seguran a da informa o um assunto de neg cios e n o apenas tecnol gico 3
279. roporcionar a estes meios a garantia de atingirem adequadamente os seus objetivos A fim de elucidar este paralelo que se deseja criar e para caracterizar se adequadamente a seguran a da informa o tal como se procura entend la em suas diversas nuances cabe introduzir se alguns dos elementos b sicos concernentes ao tema apresentando sua abrang ncia e complexidade 4 1 1 A Informa o e seu ciclo de vida O conceito de informa o tem sido discutido e apresentado sob diferentes facetas por dife rentes autores a depender do contexto em que se realiza a explana o Desnecess rio dizer que cada faceta complementar s demais Apenas para citar se alguns exemplos Shannon 1948 apresenta a como um elemento mensur vel e dependente do mbito de seu emissor e receptor ao passo que Henessy e Babcock 1998 por sua vez situam a informa o como indicadora de variabilidade controlada De um modo geral aceita se que aliado ao fen meno da informa o situa se o da comunica o quer de modo impl cito como em Braga 1995 quer de modo ex pl cito como em Saracevic 1999 sendo que neste ltimo autor os aspectos de transfer ncia e compartilhamento s o salientados Anteriormente reconhecida por seu papel como redutora de incertezas a informa o cada vez mais vista como um recurso transformador do indiv duo e da sociedade cabendo lhe papel essencial no contexto s cio econ mico vigente n o por acaso denominado de
280. rough a theoretically and practically improved version of total systems intervention TSI Systemic Practice and Action Research v 14 n 3 p 297 337 June 2001 TROMPETER C M ELOFF J H P A framework for the implementation of socio ethical controls in information security Computers amp Security v 20 n 5 p 384 391 July 2001 172 TRYFONAS T KIOUNTOUZIS E POULYMENAKOU A Embedding security practices in contemporary information systems development approaches Information Management amp Computer Security v 9 n 4 p 183 197 2001 TSOUMAS V TRYFONAS T From risk analysis to effective security management towards an automated approach Information Management amp Computer Security v 12 n 1 p 91 101 2004 TURNBUL S The science of corporate governance Corporate Governance v 10 n 4 p 261 277 Oct 2002 TURNER J M MOAL V Metrom ta Montr al 2003 Disponivel em lt http mapageweb umontreal ca turner meta francais metrometa html gt Acesso em 9 fev 2004 UK DEPARTMENT OF TRADE AND INDUSTRY Data Security Technology and the law Londres 2004 Disponivel em lt http www dti gov uk bestpractice assets security elaw pdf gt Acesso em 29 jul 2004 UK DEPARTMENT OF TRADE AND INDUSTRY Data Se curity Legislation factsheet Londres 2004 Disponivel em lt http www dti gov uk bestpractice assets security legislation pdf gt Acesso em 29 jul 2004 UK DEPARTMENT OF
281. rs in large scale information technology projects Public Organization Review v 4 n 1 p 47 73 Mar 2004 VARELA F J THOMPSON E ROSCH E The embodied mind cognitive science and human experience Cambridge Massachusetts MIT Press 1993 VENTER H S ELOFF J H P A taxonomy for information security technologies Computers amp Security v 22 n 4 p 299 307 May 2003 VENTER H S ELOFF J H P Vulnerability forecasting a conceptual model Computers amp Security v 23 n 6 p 489 497 Sept 2004 VERMEULEN C VON SOLMS R The information security management toolbox taking the pain out of security management Information Management amp Computer Security v 10 n 3 p 119 125 2002 VILLELA PETIT M Narrative identity and ipseity by Paul Ricoeur from Ricoeur s Time and Narrative to Oneself as an Other Online originals 2003 Disponivel em lt http www onlineoriginals com showitem asp itemID 286 gt Acesso em 4 maio 2005 VOLKMAN R Privacy as life liberty property Ethics and Information Technology v 5 n 4 p 199 210 2003 VON SOLMS B VON SOLMS R The 10 deadly sins of information security management Computers amp Security v 23 n 5 p 371 376 July 2004 VON SOLMS R Information security management why standards are important Information Management amp Computer Security v 7 n 1 p 50 57 1999 VON SOLMS R VON SOLMS B From policies to cult
282. rs rjal4 econ pdf gt Acesso em 2 abr 2004 ANDERSON R Cryptography and competition policy issues with trusted com puting In Proceedings of the 22 Annual Symposium on Principles of Distri buted Computing Boston Massachusetts ACM 2003 p 3 10 Dispon vel em lt http doi acm org 10 1145 872035 872036 gt Acesso em 2 ago 2004 ANTON A I EARP J B CARTER R A Precluding incongruous behavior by aligning software requirements with security and privacy policies Information and Software Technology v 45 n 14 p 967 977 Nov 2003 ARBAUGH W Security technical social and legal challenges Computer v 35 n 2 p 109 111 Feb 2002 ARCE I The rise of the gadgets IEEE Security amp Privacy v 1 n 5 p 78 81 Sept Oct 2003 ARCE I The weakest link revisited JEEE Security amp Privacy v 1 n 2 p 72 76 Mar Apr 2003 ARKENBOUT E DIJK F van WIJCK P van Copyright in the information society scenario s and strategies European Journal of Law and Economics v 17 n 2 p 237 249 Mar 2004 ARNOLD A M Developing a national information policy considerations for developing countries The International Information amp Library Review v 36 n 3 p 199 207 Sept 2004 ASHFORTH B E KREINER G E Normalizing emotion in organizations making the extraordinary seem ordinary Human Resource Management Review v 12 n 2 p 215 235 summer 2002 ASHRAF T Inf
283. rvador no objeto ou alvo da percep o ou no contexto ou situa o em que a percep o ocorre O observador Quando se observa um alvo e se tenta interpretar o que se est percebendo esta inter preta o fortemente influenciada pelas caracter sticas pessoais do observador Necessidades insatisfeitas ou motiva es estimulam os indiv duos e podem exercer uma forte influ ncia sobre a sua percep o Do mesmo modo interesses e experi ncias passadas tamb m direcionam o enfoque do indiv duo podendo ainda em contrapartida anular o interesse por algum objeto ROBBINS 2002 Por outro lado objetos ou eventos que nunca foram antes experimentados s o mais percept veis que aqueles j conhecidos e por fim as expectativas podem tamb m distorcer a percep o fazendo com que se veja aquilo que se espera ver isto faz por exemplo com que algu m que espera que todos os pol ticos sejam corruptos mesmo que n o sejam os veja daquela forma Estes conceitos individuais interiores e mesmo anteriores ao momento em que a percep o se d pr conceitos na verdadeira acep o deste termo causam impacto direto sobre a cogni o moldando a e trazendo diferen as sens veis sobre a vis o de mundo dos diferen tes indiv duos mesmo que estes se postem diante de um mesmo fato e s o uma das fontes de discuss o das teorias do conhecimento conforme se v no Cap tulo 3 O objeto As caracter sticas do ob
284. s expectativas e assim por diante Por envolver uma gama de fatores al m dos puramente ambientais esta abordagem conhecida comopercep o inteligente tamb m chamada de teoria construtiva da percep o uma vez que a impress o final poderia envolver um n mero de diferentes fatores para construir a percep o resultante Em alguns meios inclusive acad micos discute se ainda a percep o extra sensorial mas esta ainda n o encontra amplo respaldo no meio cient fico DAVIDOFF 1983 Segundo Coren e Ward 1989 cada uma das abordagens descritas acima parece ser v lida para algumas partes do problema mas irrelevante para outras De todo modo o r tulo apli cado menos importante que o produto final em si qual seja a compreens o dos processos de percep o A 2 2 Fatores que influenciam a percep o Como j se viu pode se definir a percep o como o processo pelo qual os indiv duos orga nizam e interpretam suas impress es sensoriais com a finalidade de prover sentido ao ambiente que os rodeia Viu se tamb m que esta percep o pode ser substancialmente distinta da reali dade objetiva Assim o comportamento do indiv duo baseia se em sua percep o da realidade e n o na realidade em si o mundo como percebido o mundo importante para o comporta mento ROBBINS 2002 p 46 182 Uma s rie de fatores atuam para moldar e s vezes distorcer a percep o Tais fatores podem estar no obse
285. s da an lise cl nica m dica que atende aquele usu rio Em quest o de minutos o m dico respons vel obt m os dados da an lise e prescreve a medica o e a dosagem correspondentes enviando a prescri o tamb m por meio da rede ao usu rio que em momento algum saiu de sua resid ncia Esta cena que alguns anos atr s poderia compor parte de um filme de fic o cient fica j vivida em alguns pa ses Uma vez mais a rede trouxe comodidade e conforto aos seus usu rios Contudo outros acr scimos nem t o desej veis tamb m vieram preciso garantir que a amostra pertence de fato ao usu rio esperado por exemplo no caso de mol stias incapacitantes deve se garantir que os dados transmitidos n o sejam captados por terceiros por exemplo no caso de mol stias socialmente discriminadas assim como no caso do usu rio ou paciente deve se garantir a identidade e qualifica o do m dico etc Observa se que algumas destas quest es n o foram necessariamente introduzidas pelo uso da tecnologia j existindo no modelo convencional da transa o Contudo elas podem ser potencialmente amplificadas pela ado o das novas t cnicas Tendo em vista esta realidade organiza es de sa de e de pesquisa em ci ncias da vida v m adotando pr ticas voltadas seguran a da informa o ali tratada COLEMAN 2004 CAVALLI et al 2004 CPRI 2003 Al m disso aspectos legais tamb m j est o sendo normatizados HELVEY et
286. s da organiza o 6 2 Intera o simb lica e dramaturgia social As origens da intera o simb lica remetem s obras de soci logos como Cooley Thomas e Mead do final do s culo XIX e in cio do s culo XX Este enfoque envolve a concep o da sociedade como um processo de intera o vendo se o indiv duo e a sociedade como enti dades intimamente inter relacionadas Al m disso d se especial aten o aos aspectos com 111 portamentais do ser humano enquanto formador e mantenedor do grupo e da identidade sociais HAGUETE 1995 Ao referir se sua pr pria obra em especial ao trabalho Mind Self and So ciety publicada originalmente em 1934 como pertencente ao campo do behaviorismo social em contraposi o ao behaviorismo psicol gico ent o dominante Mead salientava a import ncia do ato social n o s em termos de sua componente observ vel mas tamb m da atividade n o revelada ntima do ato De acordo com ele toda atividade grupal se baseia no comportamento cooperativo diferenciando se o comportamento humano pela inten o percebida nos atos dos demais atores e pela resposta baseada nesta percep o Tais inten es s o transmitidas por meio de gestos que se tornam simb licos portanto pass veis de serem interpretados e que le vam o homem a desenvolver a habilidade de responder aos seus pr prios gestos O que permite o compartilhamento de experi ncias e de condutas a capacidade de diferentes sere
287. s formas de amea as t m se multiplicado vertiginosamente conforme ilustra a Figura 9 Incidentes e vulnerabilidades em S I 160000 140000 120000 100000 80000 60000 40000 20000 oo o PL E oh O So 1D 1S OD SO Sh PEP ESE EEE EEE SS SY AS Figura 9 Vulnerabilidades e incidentes de seguran a da informa o em sites no mundo repor tados no per odo de 1988 a 2003 Fonte CERT 2004a Na imagem apresentada pela Figura 9 mostra se o aumento do n mero de vulnerabilida des ou seja potenciais falhas de mecanismos computacionais implementados em software ou em hardware as quais uma vez exploradas ou em virtude de fatores n o tecnol gicos como humanos d o ensejo ocorr ncia dos incidentes Estes por sua vez apresentam se em n mero e crescimento muito superiores s vulnerabilidades mesmo porque a reiterada explora o de uma mesma vulnerabilidade pode ocasionar m ltiplos incidentes Observe se ainda que um mesmo incidente que atinja diversas instala es como a infec o por um mesmo v rus em cen tenas de milhares de computadores por exemplo contabilizado como um nico caso para a confec o do gr fico A evolu o destes incidentes atesta o fato de que a tecnologia por si s da forma como vem sendo empregada n o capaz de solucionar semelhantes problemas levando ocorr ncia de um c rculo vicioso a aplica o da tecnologia aumenta o volume de amea as 65 introduz se
288. s humanos responderem da mesma forma ao mesmo gesto desenvolvendo assim comportamentos grupais HAGUETE 1995 As id ias de Mead foram revistas por v rios pensadores em especial Blumer que em sua obra Symbolic Interactionism Perspective and Method de 1969 salienta aquelas que s o em seu entendimento as tr s premissas b sicas do interacionismo simb lico 1 O ser humano age com rela o s coisas todos os objetos f sicos outros seres humanos institui es id ias valores com base no sentidos que elas t m para ele 2 O sentido destas coisas adv m da intera o que o indiv duo estabelece com seu grupo social 3 Estes sentidos s o manipulados e modificados por meio de um processo interpretativo usado pelo indiv duo ao tratar as coisas com as quais se depara Deste modo o interacionismo simb lico atribui fundamental import ncia ao sentido que as coisas t m para o comportamento do indiv duo al m de vislumbrar este sentido como resul tante do processo de intera o entre indiv duos e n o como algo inato constituinte da mente ou da psique Deve se observar a aproxima o desta vis o com os estudos fenomenol gicos de Husserl e Merleau Ponty dentre outros HUSSERL 1996 e com as novas abordagens da feno menologia aplicada ci ncia da informa o MINGERS 2001b conforme vistas no Cap tulo 3 Essencial para o interacionismo simb lico tamb m o processo de auto intera o por meio d
289. s naturais e que permita a integra o de todos os elementos envolvidos com os conceitos da seguran a por meio da valida o do modelo constru do Proceder se assim formula o e valida o das pol ticas por meio dos mecanismos da l gica e sua transposi o para a linguagem natural a fim de que sejam lidas interpretadas compreendidas e executadas pelos atores humanos Por seu turno a escolha do formalismo das l gicas modais adv m da sua capacidade de tratar modalidades do conhecimento HUGHES CRESSWEL 1984 1996 presentes em si tua es do dia a dia capacidade esta ausente das l gicas de primeira ordem convencionais EPSTEIN 1990 1994 A utiliza o de l gicas modais se extende desde os modelos de formaliza o de protocolos e fluxos da informa o j citados passando pela representa o epist mica de fluxo da informa o em sistemas probabil sticos SYVERSON GRAY 1995 a an lise da inter rela o entre as l gicas epist micas e a ci ncia cognitiva PIETARINEN 2003 e a busca por uma sem ntica do conhecimento comum LISMONT MONGIN 1995 C 2 1 Uma l gica do conhecimento Um dos principais trabalhos a utilizar se de l gicas modais para a formaliza o da segu ran a foi o de Glasgow MacEwen e Panangaden 1992 onde foram estabelecidas as mo dalidades de permiss o para pol ticas de confidencialidade e de obriga o para l gicas de integridade A teoria resultante denominad
290. s podem ser divididas em mandat rias e discricion rias SCHELL 2001 A abrang ncia de ambas as modalidades a mesma variando o grau em que aplicado e cobrado o seu acompanhamento 3 por fim quanto sua formula o as pol ticas tamb m s o categorizadas segundo dois tipos CUPPENS SAUREL 1996 em uma pol tica restritiva as informa es disposi o dos usu rios s o exclusivamente aquelas cujo acesso lhes expressamente permitido Uma pol tica permissiva aquela em que s o franqueadas aos usu rios todas as informa es cujo acesso n o seja expressamente vedado Naturalmente a modalidade e a forma de implementa o das pol ticas varia conforme o tipo nicho mercadol gico de neg cio e a natureza da organiza o 5 2 A necessidade de m tricas A necessidade de mensurar se adequadamente os riscos a que est o sujeitas as informa es em uma organiza o n o esgota a gama de medidas afeitas seguran a Uma vez que se implemente medidas preventivas ou proativas necess rio averiguar se a sua adequa o ao problema em vista Uma pergunta que se apresenta se a seguran a da informa o seria ou n o adequada s mesmas pr ticas adotadas na mensura o da qualidade que s o usadas em outros servi os de tecnologia da informa o comumente denominadas sob a express o concord ncia com o n vel de servi o service level agreement HENNING 2000 Quanto a este tema o trabalho ag
291. sci whatis html gt Acesso em 26 ago 2003 BORZEL T Organizing Babylon on the different conceptions of policy networks Public Administration v 76 n 2 p 252 273 Jan 1998 BOSSI A et al Verifying persistent security properties Computer Languages Systems amp Structures v 30 n 3 4 p 231 258 Oct Dec 2004 BOSWORTH S KABAY M E Eds Computer Security Handbook 4th ed New York John Wiley amp Sons 2002 BRADLEY S Ed Governing the European Union New York Sage Publications 2001 BRAGA G M Informa o ci ncia da informa o breves reflex es em tr s tempos Ci ncia da Informa o v 24 n 1 p 84 88 Jan Abr 1995 BRAMAN S Defining information an approach for policymakers Tele communications Policy v 13 n 3 p 233 242 Sept 1989 Dispon vel em lt http www uwm edu braman bramanpdfs defining pdf gt Acesso em 16 nov 2005 BRASIL C digo Penal Decreto lei n 2 840 de 7 de dezembro de 1 940 Bras lia 1940 Dispon vel em lt https www planalto gov br ccivil_03 decreto lei Del2848compilado htm gt Acesso em 10 jan 2005 BRASIL Lei n 8 159 de 8 de janeiro de 1 991 Bras lia 1991 Dispon vel em lt https www planalto gov br ccivil 03 Leis L8159 htm gt Acesso em 10 jan 2005 BRASIL Lei n 9 296 de 24 de julho de 1 996 Bras lia 1996 Dispon vel em lt https www planalto gov br ccivil 03 Leis L9296 htm gt Acesso em 10 jan 2005
292. senvolvimento ou de manuten o de sistemas mas tamb m ao comportamento esperado de usu rios de todos os n veis e perfis frente a tais sistemas Alguns trabalhos que apresentam modelos para a formaliza o da seguran a em sistemas de informa o envolvem a conjun o dos formalismos da l gica com a teoria dos jogos bus cando modelar as intera es envolvidas na tomada de decis es pelos usu rios destes sistemas ALFARO GODEFROID JAGADEESAN 2004 LAMARCHE 1995 BAILLOT DANOS EHRHARD 1997 Tamb m na especifica o e na formaliza o de protocolos a teoria dos jogos tem sido usada KREMER RASKIN 2002 assim como na an lise da intera o entre grupos PARIKH RAMANUJAM 2003 e na montagem de modelos concernentes ao conheci mento do usu rio sobre a informa o contida no sistema PARIKH VAANANEN 2005 Em todos estes casos a a o do usu rio se d sob par metros bem delimitados considerando se sua plena anu ncia quanto ao fluxo da informa o e quanto aos processos envolvidos na execu o do sistema Contudo n o se encontrou um modelo que agregue os formalismos da l gica a estrutura anal tica da teoria dos jogos e a verifica o do comportamento dos usu rios para a formaliza o de pol ticas de seguran a da informa o como se prop e neste trabalho A fim de elucidar os formalismos a serem usados alguns dos termos usuais no meio da seguran a da informa o ser o mantidos enquanto outros ser o
293. so informa o e atender aos graus distintos de desenvolvimento os quais apresentam ne cessidades distintas de acesso e uso da informa o al m do fato de a realidade macro econ mica do pa s ditar a velocidade e a modalidade da implementa o de infra estrutura e de fontes de informa o 4 a pol tica nacional pode ser nica ou composta por v rias pol ticas que se destinam a diferentes aspectos da economia da informa o Dentre as influ ncias externas podem se citar as seguintes adaptadas de Arnold 2004 1 a globaliza o e a competitividade requerem cada vez mais e melhores fontes e tecnolo gias de informa o 2 a informa o tem import ncia cada vez maior como commodity negoci vel em mercados globais 3 a propriedade e os direitos autorais sobre a informa o e seus recursos tornam se cada vez mais objeto de disputas legais 4 a tecnologia e a infra estrutura da informa o apresentam crescimento mundial 5 a m dia como geradora e provedora de informa o tem papel crescente sobre as socie dades 6 o acesso informa o reconhecido como um direito inerente ao ser humano 7 existe uma tend ncia mundial em dire o ao desenvolvimento de pol ticas nacionais de informa o 129 7 4 2 Finalidades das pol ticas de informa o Al m do campo de cobertura discutido acima deve se ter em mente quando da formula o de uma pol tica de informa o que ela deve atender a alguns
294. sparidade entre o objeto em observa o e a sua imagem formulada pelo indiv duo Com vistas a sanar se tal disparidade os sistemas de informa o em vez de tentar impor um modelo est tico e limitante o que uma pr tica usual devem ser ent o projetados e cons tru dos de modo aberto e flex vel respeitando as particularidades de cada dom nio e provendo o compartilhamento de significados e de experi ncias enfim de conhecimento Deste modo humanizam se os sistemas al m de expandir se as fronteiras da organiza o uma vez que por meio da comunica o realiza se a troca de comportamentos a es e percep es do mundo entre os indiv duos entre estes e as organiza es e por fim entre as organiza es vistas como sistemas MER ALI 2002 Um outro aspecto a salientar o de que al m de importante ferramenta de an lise de com portamentos torna se vis vel que a Fenomenologia pode cumprir o papel de suporte epistemo l gico auxiliando a Ci ncia da Informa o a situar se perante outros dom nios e a compreender melhor seus pr prios objetos de estudo bem como os m todos CIBORRA 1998 e as teorias que lhe d o embasamento BATES 1999 as disciplinas relacionadas HJORLAND 2000 e 38 as interfaces adequadas entre usu rios e sistemas ZHANG LI 2004 2 Mas talvez a mais importante contribui o da Fenomenologia Ci ncia da Informa o bem como a todas as outras ci ncias seja a id ia de que n o
295. ssadas e sobre o risco da sua vulnerabilidade Percebe se a inten o de conciliar o princ pio constitucional da inviolabilidade com a atri bui o governamental da classifica o e gest o de informa es sens veis Aborda se ainda o tema da capacita o dos rg os governamentais para o uso de recursos de seguran a crip togr fica O decreto cria ainda o Comit Gestor da Seguran a da Informa o formado por 98 representantes de doze minist rios sendo posteriormente incluido um representante da Se cretaria de Comunica o de Governo e Gest o Estrat gica com a atribui o de assessorar a Secretaria Executiva do Conselho de Defesa Nacional no tocante aos assuntos regulamentados pelo decreto Decreto n 3 587 de 5 de setembro de 2 000 Este decreto estabelece as normas b sicas para a Infra Estrutura de Chaves P blicas do Poder Executivo Federal ICP Gov BRASIL 2000b a o governamental destinada a imple mentar as bases para um amplo sistema de criptografia de chaves p blicas no pa s Uma vez implementada este sistema permitiria a utiliza o documentos digitais em substitui o aos seus equivalentes impressos com a respectiva validade jur dica Este decreto encontrou diversas restri es sua implementa o por vezes de ordem tec nol gica por vezes or ament ria por vezes jur dica principalmente por sua complementa o dada pela Medida Provis ria n 2 200 e foi posteriormente revoga
296. su rio 5 4 Forma o e conformidade A fim de serem adequadamente desenvolvidas e aplicadas as pol ticas de seguran a da informa o n o somente devem ser vistas como o elemento de formaliza o das a es organi zacionais quanto seguran a mas tamb m devem obedecer estritamente os ditames da legisla o e normatiza o vigentes Payne 2004 aponta algumas das vantagens da regulamenta o o aumento da seguran a o impacto econ mico positivo e o aumento da aten o ao tema O mesmo autor aponta por m algumas de suas desvantagens o custo a discord ncia quanto aos limites da seguran a a aus ncia de m tricas e a extrapola o de fronteiras geogr ficas e sociais principalmente no caso da internet Como caso de sucesso da aplica o da regulamenta o quanto seguran a o autor aponta o exemplo do chamado bug do ano 2000 Y2K em cujo caso o alerta e a ado o de medidas pela administra o p blica e pelas organiza es reduziram grandemente o impacto esperado pela chegada do ano 2000 sobre sistemas computacionais O autor lembra ainda um interessante aspecto quanto seguran a da informa o quando ela funciona adequadamente n o notada Legisla o em excesso por m pode ser prejudicial Arbaugh 2002 por exemplo observa que a exist ncia de leis muito amplas e vagas criou uma nuvem de incerteza quanto pesquisa e a engenharia da seguran a da informa o Com respeito privacida
297. sua vez apresentam um modelo de sistema de gest o de seguran a da informa o calcado em processos e padr es entronizados no ambiente organi zacional tendo em seu cerne a preocupa o com as quest es de car ter cultural tico social e legal que s o aquelas mais diretamente afeitas aos usu rios 73 4 8 O custo da seguran a da informa o Naturalmente a seguran a da informa o tem um custo Contudo sua aus ncia tem um custo ainda maior seja econ mico seja social na figura de uma imagem negativa perante o p blico Garg Curtis e Halper 2003 alertam para os impactos econ micos da seguran a da infor ma o propondo uma metodologia baseada em eventos tipos de incidentes para a sua an lise com reflexos sobre o valor acion rio da organiza o em quest o Pemble 2003 relembra a necessidade do balanceamento do or amento voltado seguran a com os ativos que se pretende tratar deve haver proporcionalidade entre investimentos e ativos Mercuri 2003 aponta a necessidade do uso de ferramentas de quantifica o de custos mesmo para as alternativas ditas como livres ou gratuitas A autora alerta ainda para a influ ncia de fatores culturais sobre a an lise de riscos Gordon e Loeb 2002b e Wood e Parker 2004 lembram que os investimentos em segu ran a da informa o n o podem ser tratados como outros tipos de investimentos Por exemplo a t cnica de retorno do investimento Return on Inves
298. t BS 7799 2 2002 Audit Check List Bethesda Maryland 2003 Disponivel em lt http www sans org score checklists ISO_17799_checklist pdf gt Acesso em 3 ago 2004 THOMAS L Autonomy behavior amp moral goodness 2002 Disponivel em lt http cogprints ecs soton ac uk archive 00003015 01 Autonomy pdf gt Acesso em 25 jun 2004 THOMSON M Making information security awareness and training more effective 2001 Dispon vel em lt citeseer ist psu edu 458025 html gt Acesso em 6 mar 2005 THORNTON J WHITE A A heideggerian investigation into the lived experience of humour by nurses in an intensive care unit Intensive and Critical Care Nursing v 15 n 5 p 266 278 Oct 1999 THROOP C J MURPHY K M Bourdieu and phenomenology a critical assessment Anthropological theory v 2 n 2 p 185 207 June 2001 TINGLING P PARENT M An exploration of enterprise technology selection and evaluation Journal of Strategic Information Systems v 13 n 4 p 329 354 Dec 2004 TIROLE J Corporate governance Econometrica v 69 n 1 p 1 35 Jan 2001 TONG C K S et al Implementation of IS017799 and BS7799 in picture archiving and communication system local experience in implementation of BS7799 standard International Congress Series v 1256 p 311 318 2003 TORLAK G N Reflections on multimethodology Maximizing flexibility responsiveness and sustainability in multimethodology interventions th
299. tadas a este tipo de redes POTTER 2003 Nos ltimos tempos cada vez mais os usu rios da internet se v em s voltas com imensos volumes de correspond ncia eletr nica n o solicitada o denominado spam Segundo Good man Heckerman e Roundthwaite 2005 cerca de um ter o dos usu rios da rede t m quatro de cada conjunto de cinco mensagens que lhes s o enviadas originadas como spam Embora n o seja considerado exatamente um ataque as mensagens n o solicitadas requerem recursos com putacionais e demandam tempo para o seu descarte al m de estarem diretamente associadas ao phishing Diversas t cnicas de preven o a este tipo de envio v m sendo desenvolvidas com resultados distintos mas presentemente para o usu rio final ainda resta a angustiante tarefa de fazer uma an lise de suas mensagens praticamente uma a uma 62 4 4 A abrang ncia da seguran a da informa o Embora a necessidade pela seguran a da informa o e os requisitos que almejam satisfaz la estejam muito bem definidos e sejam amplamente conhecidos conforme pode se ver em Schneier 1996 2000 Krause e Tipton 1999 e Alberts e Dorofee 2002 dentre outros o est gio atual da seguran a da informa o assiste a um panorama no m nimo pessimista de um lado a engenharia de software prop e se a desenvolver sistemas cuja aplicabilidade medida quase que exclusivamente em termos pr ticos atendendo se a pressupostos do tipo o sistema atende s f
300. tadores n o se resume a ataques deliberados Falhas em sistemas computacionais seja em componentes de software seja em componentes de hardware t m provocado desde blackouts de grandes propor es a falhas em rob s utilizados nos programas de explora o espacial NEUMANN 2004 Com efeito no tocante ao software tem se observado um aumento significativo no n mero de falhas por aplica o GEER JR HOO JAQUITH 2003 Este fato tamb m aponta para a necessidade da formula o adequada dos requisitos da seguran a de informa o no projeto de software n o fossem suficientes os valores relativos listados na Tabela 4 Outro aspecto de vital import ncia num contexto econ mico global e em ebuli o diz res peito ao tratamento da informa o quando ocorre a fus o ou incorpora o de uma institui o por outra WILSON 2004 Os usu rios dos sistemas devem ser afetados de modo a gerar im pacto m nimo enquanto as informa es e transa es assumem conformidade compat vel com a nova realidade econ mica Ainda no mundo corporativo o relat rio da consultoria Ernst amp Young realizado junto a mais de 1 600 organiza es de 66 pa ses e apresentado em 2003 indica os seguintes resultados auspiciosos E amp Y 2003 1 90 das organiza es respondentes indicam que a seguran a da informa o de alta import ncia que atinjam seus objetivos 58 2 78 das organiza es indicam a redu o do risco como a maior i
301. tar os caminhos da sociedade por meio dos princ pios de gest o equilibrados por conceitos monet rios e de propriedade at chegar aos tempos atuais onde se v em muitos casos uma franca incapacidade dos poderes p blicos no provimento de servi os essenciais e em outros a presen a do estado sendo provida por meio de mecanis mos digitais caracter sticos da Sociedade da Informa o n o raro ambas as situa es ocorrem em um mesmo pa s Neste contexto as pol ticas p blicas representam as meta escolhas ou seja as escolhas realizadas em qualquer que seja a esfera da interven o da autoridade p blica HECLO 1972 O uso crescente e disseminado de recursos tecnol gicos n o somente os voltados infor ma o em si mas tamb m em outras reas como a biologia com novas reas como a prote mica e a engenharia gen tica e a ci ncia dos materiais com a nanotecnologia e a supercondu tividade imp e a ado o de estrat gias capazes de determinar os rumos a serem adotados em tais campos do conhecimento tanto por parte de rg os e ag ncias governamentais quanto por organiza es privadas e mistas Estas estrat gias t m seu delineamento explicitado por meio das pol ticas as quais devem ser claras de modo a serem compreendidas e seguidas e flex veis de modo a permitir altera es requeridas por necessidades de qualquer ordem pertinente social pol tica ou econ mica inclusive com a mudan a de modelos tais li
302. te seguran a da informa o Idealmente esta an lise se daria pela aplica o de instrumentos em momentos pr vio e posterior ado o de tais pol ticas A psicologia em suas vertentes social e comportamental apresenta v rias modalidades para a constru o e consecu o de tais instrumentos vide Ap ndices A e B 2 a an lise das rela es de poder intra organiza es a fim de mensurar o poder da organi za o quanto implementa o de pol ticas de seguran a da informa o 3 a formaliza o das pol ticas por meio de mecanismos da l gica modal ao longo deste es tudo foram desenvolvidos tr s modelos de l gicas modais para o tratamento de cl usulas acerca da seguran a da informa o implementando os conceitos modais de obrigatorie dade conhecimento e temporalidade vide Ap ndice C 4 a cria o de modelos baseados na teoria dos jogos para a an lise das estrat gias de for mula o e aplica o de pol ticas A teoria dos jogos uma das disciplinas utilizadas para analisar os processos de tomada de decis o Ela leva em considera o a modalidade de coopera o ou de antagonismo entre os participantes da a o modelada a qual carac terizada como um jogo al m de dedicar especial aten o informa o de posse de cada um dos participantes sobre o jogo em andamento por exemplo se cada participante tem ou n o conhecimento sobre as a es tomadas pelos demais participantes al m
303. te De antem o cumpre salientar se a seguinte evid ncia o grau de valor e de relev ncia conferido segu ran a da informa o pela organiza o deve estar diretamente relacionado ao grau dos mesmos conceitos quanto aplicados informa o Outro conceito extremamente valioso Ci ncia e seguran a da informa o o da inter disciplinaridade O car ter interdisciplinar no tocante Ci ncia da Informa o direta ou indiretamente abordado por v rios estudiosos do tema e permeia um sem n mero de discus s es e relatos hist ricos tais como as asser es e considera es apresentadas por Saracevic 1995 1999 e Lesk 1995 Contudo quer se enfatizar aqui o que j fora enunciado por Bates 1999 ao apontar a Ci ncia da Informa o como elemento central s atividades de represen ta o e organiza o da informa o Em seu texto a autora aponta que o dom nio da Ci ncia da Informa o o universo da informa o registrada selecionada e armazenada para acesso posterior salientando ainda que a representa o da informa o difere do seu conhecimento 44 no presente trabalho ressalta se que na mesma extens o em que n o se pode imaginar o co nhecimento sem a representa o da informa o a seguran a difere dos meios de coleta arma zenamento e dissemina o mas n o pode prescindir deles para sua subsist ncia Mais ainda num arco sim trico exatamente a seguran a que visa p
304. tes organizacionais tais como licen as de uso de software e a obrigatoriedade da prote o de dados UK DTI 2004a Outra lei aprovada no Reino Unido o Computer Misuse Act UK DTI 2004b de 1990 que previne o acesso e a modifica o n o autorizados de materiais digitais dispon veis em com putador E importante observar que mesmo com a exist ncia da legisla o a ado o de pol ticas de 93 seguran a em organiza es no Reino Unido ainda n o uma pr tica usual e mesmo as organiza es que as adotam t m dificuldades em seguir os padr es propostos FULFORD DOHERTY 2003 Ainda a este respeito May 2003 afirma que em um estudo emp rico realizado com orga niza es no Reino Unido 88 dentre 150 organiza es pesquisadas afirmaram que adotariam padr es de seguran a da informa o mas somente 8 o faziam a maior dificuldade citada para a implementa o da BS7799 a aceita o da alta ger ncia Indiv duos ouvidos na pesquisa ci taram ainda que o fato de a seguran a ficar a cargo do pessoal de tecnologia da informa o gera uma abordagem bottom up ou seja iniciada nos processos de baixo nivel ou operacionais da organiza o e deles ascendendo at os processos estrat gicos e onerosa 5 8 3 Uni o Europ ia A consolida o da Uni o Europ ia UE e a unifica o das moedas por meio do Euro cria ram a virtual segunda pot ncia econ mica do mundo BRADLEY 2001 mas trouxeram em seu
305. ticas de car ter p blico e organizacional foram estes os dados utilizados para a pesquisa Deve se ressaltar que a fundamenta o de tal abordagem se baseia grandemente na obra de Ricoeur particularmente RICOEUR 1982 onde aquele delineia sua descri o de texto como a o e mais especificamente como uma a o escrita e como um modo leg timo de realiza o do discurso RICOEUR 1982 pp 13 15 pp 215ss Estas acep es ser o mais aprofundadas no Cap tulo 3 Antecipadamente indicam se os passos propostos para uma pesquisa de car ter fenomeno l gico conforme Sanders 1982 e as op es adotadas neste trabalho a determinar os limites do que e de quem ser investigado escolheu se o problema da seguran a da informa o nos ambientes organizacional e governamental e a solu o co 21 mumente proposta a ele qual seja a formula o e aplica o de regras de conduta comu mente chamadas de pol ticas de seguran a da informa o neste contexto os indiv duos envolvidos no estudo s o os usu rios dos sistemas de informa o sujeitos aos problemas de seguran a da informa o analisados b coletar os dados para an lise realizou se uma ampla coleta e an lise de relat rios e publica es acerca do tema caracterizando se um estudo bibliogr fico c realizar a an lise hermen utica dos dados coletados esta an lise foi feita ao longo de todo o estudo 2 2 1 Caracteriza o da pesquisa Pel
306. tico aten o percep o tico escolha imagina o grande significado da vida intui o m gico 7 racioc nio Tabela 9 Teoria da personalidade adaptada de Pasquali 2003 p 56 57 Este modelo prop e que a personalidade seja composta por duas esferas a f sica e a ps quica Pasquali 2003 sugere ainda a exist ncia da esfera espiritual mas n o a aborda Em ambas as esferas manifestam se construtos do comportamento divididos em tr s grandes ca tegorias o conhecer o sentir e o agir Na interse o entre a esfera ps quica e a categoria do conhecer encontra se entre outros construtos a percep o objeto do interesse da seguran a da informa o Desta forma um instrumento dever medir este aspecto Cumpre observar que o instru mento n o visa a estabelecer diferencia es entre a seguran a da informa o percebida e a seguran a da informa o real como usual em instrumentos para a aferi o do risco como o mostrado por exemplo em Jasanoff 1998 Pretende se medir especificamente a percep o dos usu rios do que seja a seguran a da informa o na acep o por eles vivenciada A 2 1 A teoria da percep o A teoria da percep o tem estado ligada historicamente aos sentidos RUBINSTEIN MEYER EVANS 2001 principalmente vis o DAVIDOFF 1983 embora haja quest es em aberto quanto associa o entre vis o e cogni o PYLYSHYN 1999 Perguntas ligadas ao
307. timento da 184 Figura 12 Fatores que influenciam a percep o adaptada de Robbins 2002 organiza o em rela o as pol ticas de seguran a Estas quest es bem como os mecanismos psicol gicos pelos quais um indiv duo estabelece suas escolhas e os conceitos ticos envolvidos na seguran a da informa o ser o descritos nas se es seguintes A 3 Aspectos ticos da seguran a da informa o As primeiras discuss es sobre a tica s o atribu das a S crates que indagava aos cidad os atenienses o que eles consideravam ser em sua ess ncia atributos como coragem justi a e piedade Ao obter a resposta usualmente s o virtudes indagava novamente e o que a virtude 7 e assim sucessivamente at coloc los em confronto com o que consideravam ser verdades arraigadas questionando assim os usos e costumes de seus concidad os 185 E justamente a palavra costume que se diz em grego ethos de onde vem o termo tica e em latim mores de onde vem moral Por m existe ainda o termo ethos que significa car ter ndole natural temperamento Neste segundo sentido refere se ao senso moral e consci ncia tica individuais Arist teles por sua vez acrescentou consci ncia moral o aspecto da deli bera o e da decis o ou escolha Deste modo a vontade guiada pela raz o torna se elemento fundamental da vida tica CHAUI 1999 p 340 341 Estes conceitos s o apresentad
308. tir de palavras po liss micas e identificar esta inten o de univocidade na recep o das mensagens RICOEUR 1982 p 44 Mais adiante Ricoeur salienta ainda que a fenomenologia permanece como a insuper vel pressuposi o da hermen utica ao mesmo tempo que a fenomenologia n o pode se constituir sem uma pressuposi o hermen utica RICOEUR 1982 p 101 Deste modo fenomenologia e hermen utica est o intrinsecamente associadas Quest es acerca da corretude plausibilidade ou verifica o do entendimento embutido no paradigma interpretativo segundo Deetz 1973 p 152 s o irrelevantes uma vez que a postura hist rica do pesquisador uma constituinte da natureza e das implica es do comportamento observado o comportamento como descrito n o pode ser visto sem a interpreta o que lhe foi dada A fim de garantir lhe objetividade e validade alguns crit rios metodol gicos devem ser observados DEETZ 1973 p 153ss 41 e por princ pio o comportamento humano ou os seus produtos devem ser vistos como a es simb licas cuja natureza composta pelas possibilidades implicadas e inseridas em um mundo sugerido por tais possibilidades e os fen menos humanos devem ser compreendidos na linguagem do mundo experiencial do qual fazem parte e alguns crit rios devem ser alcan ados tais como legitimidade a interpreta o atribu da uma possibilidade na linguagem da comu nidade correspond nci
309. tment ROT utilizada para investimentos de car ter geral n o se aplica seguran a pois ela n o necessariamente se associa a bens tang veis ou de retorno mensur vel por medidas convencionais Gordon e Loeb 2002a apresentam ainda um modelo para a mensura o do investimento timo para se proteger ativos de infor ma o lembrando que o investimento n o necessariamente proporcional vulnerabilidade Lembram tamb m que as organiza es em geral podem investir para reduzir as vulnerabilida des mas n o as amea as Gordon Loeb e Sohail 2003 e Gordon Loeb e Lucyshyn 2003 assim como Gordon e Richardson 2004 alertam para os custos inerentes s pr ticas de compartilhamento de infor ma o essenciais em mercados competitivos e em organiza es globalizadas Anderson 2001 aborda diversas quest es essenciais aos custos da seguran a da informa o dentre os quais a op o de terceirizar se a an lise de seguran a deixando a a cargo de especialistas op o adotada por grande parte das organiza es H que se observar que por melhor que seja o dom nio da contratada acerca do tema da seguran a dificilmente ela ter am plo conhecimento sobre o tema do neg cio da organiza o contratante O autor lembra ainda o que a Economia chama de a trag dia dos bens comuns quando um n mero elevado de usu rios faz uso de determinado recurso um a mais n o faz diferen a Contudo pode ser justame
310. to HUSSERL 1996 Com este objetivo Husserl prop e rejeitar se a aparente realidade do mundo o conjunto das entidades f sicas e percept veis colocando o entre par nteses Einklammerung m todo por ele denominado epoch fenomenol gica LUBCKE 1999 uma vez que o mundo e todas as suas entidades est o sempre presentes quer sejam ou n o experienciadas pelo observador ele o mundo n o deve interferir no processo de formula o do racioc nio o qual por sua vez determina a realiza o da consci ncia O que resta ap s este processo de distanciamento o self que experimenta o mundo estando a ele conectado pelo que Husserl chama de Ego Transcendental o qual fornece raz o e significado ao mundo e que existe independentemente da exist ncia deste MINGERS 2001b 33 Para Husserl o processo de indu o fenomenol gica compreende as seguintes etapas HUS SERL 1996 FRAGATA 1959 SANDERS 1982 1 a an lise intencional da rela o entre o objeto como percebido noema e a sua apre ens o subjetiva noesis Husserl cunhou o termo intencional para representar a rela o entre o objeto e sua apar ncia junto consci ncia que o percebe ou seja seu significado 2 a epoch conforme descrita anteriormente 3 a redu o eid tica eidos ess ncia o processo pelo qual se abstraem ess ncias a partir da consci ncia e ou da experi ncia indo al m dos padr es e estruturas convencion
311. to em outros privilegia se grupos ou interesses espec ficos impactam enormemente sobre o sucesso das pol ticas em um mesmo continente como a Am rica Latina conforme ressalta um recente relat rio do Banco Intera mericano de Desenvolvimento BID visto em Stein et al 2005 O relat rio salienta ainda a import ncia do processo de constru o das pol ticas por meio do qual elas s o discutidas aprovadas e implementadas sobre a qualidade das pol ticas constru das Assim sendo s o fundamentais as intera es entre os atores pol ticos as quais t m lugar na rede pol tica que uma estrutura altamente din mica condicionada pelos pap is desempe nhados pelos diferentes atores e pelos interesses por eles representados Soma se a este panorama a constata o de que os eventos ocorridos no dia 11 de setembro de 2001 deram origem reformula o de muitas normas e procedimentos voltados seguran a de modo geral e seguran a da informa o em car ter particular n o s nos Estados Unidos onde naturalmente este movimento muito mais acentuado mas tamb m em diversas outras partes do globo Nos Estados Unidos poucos dias ap s aquela data criou se o Office of Homeland Security Secretaria de Seguran a Interna com status de minist rio RELYEA 2002 Com poderes bastante abrangentes e sem que se realizasse a discuss o pr via junto popula o este rg o passou a baixar diversas normas de car ter
312. to n o quer dizer que o futuro das pol ticas esteja determinado j em seu nascimento Pelo contr rio Do lado institucional diversos organismos tais como OCDE FMI Uni o Europ ia e Banco Mundial prop em a padroniza o e a uniformiza o de procedimentos para a formaliza o e a ado o de pol ticas p blicas mas j se sabe a vasta depend ncia des tas em rela o s institui es representadas pelas redes e comunidades e ao mesmo tempo ao encadeamento hist rico percorrido sendo muitos os exemplos que ilustram o insucesso da ado o de modelos bem sucedidos em outros contextos como a reforma previdenci ria no Brasil MELO 2004 Outra quest o que se imp e diz respeito s rela es de causalidade na formula o das po l ticas seriam elas o resultado da intera o entre os diferentes atores pol ticos no ambiente em que se encontram ou seria a pr pria a o das pol ticas o que molda estas intera es Em ou tras palavras quais seriam as rela es mais preponderantes associadas natureza das pol ticas Embora uma rela o de causa efeito n o seja universalmente clara existindo exemplos apon tando em ambas as dire es a aus ncia de uma resposta objetiva n o se constitui naturalmente em um obst culo formula o e aplica o das pol ticas PASSY GIUGNI 2001 SPILLER TOMMASI 2003 DAVIES 2000 Os cr ticos da depend ncia do caminho apontem que ela se restringe a explicar a estabili d
313. troduction to the theory and practice of policy analysis Cheltenham UK Edward Elgar 2001 PASQUALI L Org Instrumentos psicol gicos manual pr tico de elabora o Bras lia LabPAMM IBAPP 1999 PASQUALI L Os tipos humanos A teoria da personalidade Petr polis Vozes 2003 PASSY F GIUGNI M Life spheres networks and sustained participation in social movements A phenomenological approach to political commitment Sociological Forum v 15 n 1 p 117 144 Mar 2000 PASSY F GIUGNI M Social networks and individual perceptions Explaining differential participation in social movements Sociological Forum v 16 n 1 p 123 153 Mar 2001 PAUL A T Organizing Husserl on the phenomenological foundations of Luhmann s systems theory Journal of Classical Sociology v 1 n 3 p 371 394 Dec 2001 PAYNE J E Regulation and information security can Y2K lessons help us IEEE Security amp Privacy v 2 n 2 p 58 61 Mar Apr 2004 165 PEMBLE M Balancing the security budget Computer fraud amp security v 2003 n 10 p 8 11 Oct 2003 PEMBLE M What do we mean by information security Computer fraud amp security v 2004 n 5 p 17 19 May 2004 PETIT J L Between positivism and phenomenology An exploration of the being of human being across transcendental phenomenology analytic phi losophy and the cognitive sciences Online originals 2003 Disponivel em lt http www o
314. u es tecnol gicas utilizadas na redu o de vulnerabi lidades sofrem de uma falha extremamente severa est o em geral orientadas a vulnerabilidades espec ficas e sua utiliza o potencialmente pode introduzir novas vulnerabilidades Diversas solu es t m sido tentadas como a aplica o de algoritmos gen ticos para a cria o de perfis de seguran a voltados a situa es gen ricas GUPTA et al 2004 mas um longo caminho ainda est por ser percorrido Tamb m o progn stico de vulnerabilidades ou seja a tentativa de iden tificar reas ou servidores computacionais em uma rede que podem se mostrar vulner veis em um momento futuro com o uso de recursos como l gica nebulosa VENTER ELOFF 2004 carece de maiores desenvolvimentos H que se observar que estas e outras propostas dependentes de recursos tecnol gicos como s o podem se ver por si mesmas sujeitas a vulnerabilidades realimentando o ciclo de procura por solu es efetivas ao problema De fato o relat rio IT Governance Institute 2004c indica que grande parte dos gestores enxergam a import ncia da Tecnologia da Informa o TI para atingir a estrat gia da organiza o mas 41 dos respondentes a este survey v em como problema uma vis o inacurada da performance da tecnologia da informa o ou seja n o t m um panorama claro do andamento do setor de informa o em suas pr prias organiza es 4 1 5 Incidentes O Internet Engineering Task For
315. u nome e ob servar um comportamento nomeado observar seu mundo humano e as possibilidades implicadas A hermen utica busca desde modo identificar um comportamento que expressa um mundo percebido e o entendimento do mundo que interpreta e explica o comportamento DEETZ 1973 p 150 em uma co determina o que baseia o assim chamado c rculo hermen utico um movimento de ir e vir entre id ias pr concebidas pr conceitos que s o trazidas ao debate e os insights da advindos PIERCEY 2004 Uma vis o esquem tica desta rede de atua o est ilustrada na Figura 3 Nota se que a a o hermen utica se d com base na observa o de comportamentos ma nifestos escritos ou salientes o que Ricoeur chama de a o como texto RICOEUR 1991 40 Implicagao Interpreta o Linguagem Figura 3 Rede de atua o observada no paradigma interpretativo p 82 Ainda acerca desse mesmo tema para Ricoeur 1990 p 33 o papel da hermen utica consiste na compreens o destes textos mas compreender um texto n o descobrir um sentido inerte que nele estaria contido mas revelar a possibilidade de ser indicada pelo texto O mesmo autor conceitua ainda a hermen utica como sendo a teoria das opera es de entendimento em sua rela o com a interpreta o de textos RICOEUR 1982 p 43 e segue afirmando que o objetivo da interpreta o produzir um discurso relativamente un voco a par
316. uais a ci ncia da informa o pode ser tratada sob o ponto de vista epistemol gico Estes artigos est o citados na Tabela 1 juntamente com uma an lise sucinta sobre cada um deles LIS Library and Information Science 28 Tabela 1 Epistemologias aplicadas ci ncia da informa o Refer ncia Coment rio Hj rland 2005c Introduz a edi o com a seguinte senten a na comunidade de ci n cia da informa o o interesse pela filosofia da ci ncia tem sido muito limitado com exce es a esta tend ncia geral Wikgren 2005 Prop e o realismo cr tico baseado em Bhaskar como uma abordagem Sundin e Johan nisson 2005 Budd 2005 filos fica e como teoria social para a ci ncia da informa o ressalta a diferencia o entre ontologia e epistemologia Mingers 2004b e Min gers 2004a tamb m apresentam o realismo cr tico como alternativa a abordagens positivas e interpretativas citando especificamente neste ltimo caso a metodologia SSM Soft Systems Methodology Contudo h severas cr ticas quanto fundamenta o ontol gica e epistemol gica do realismo cr tico e a seu tratamento considerado eminentemente cau sal ao paradigma interpretativo KLEIN 2004 Aponta o neo pragmatismo baseado em Rorty associado a uma pers pectiva sociocultural baseada no pedagogia de Vygotsky com o foco anal tico sobre as a es pessoais manifestas e suportadas por ferramen tas f sico
317. ue edu homes ninghui readings AccessControl mcLean_87 pdf gt Acesso em 19 fev 2005 MCROBB S ROBERSON S Are they really listening An investigation into published online privacy policies at the beginning of the third millenium nformation Technology amp People v 17 n 4 p 442 461 2004 MEADOWS C Extending the Brewer Nash model to a multilevel context In JEEE Proceedings on Research on security and privacy Oakland California IEEE 1990 p 95 102 MEADOWS C MCLEAN J Security and dependability then and now In Proceedings on Computer Security Dependability and Assurance From Needs to Solutions Oakland California IEEE 1998 p 166 170 161 MELO M A Institutional choice and the diffusion of policy paradigms Brazil and the second wave of pension reform International Political Science Review v 25 n 3 p 320 341 July 2004 MERALI Y The role of boundaries in knowledge processes European Journal of Information Systems v 11 n 1 p 47 60 Mar 2002 MERCURI R T Analyzing security costs Communications of the ACM v 46 n 6 p 15 18 June 2003 MERCURI R T The HIPAA potamus in health care data security Com munications of the ACM v 47 n 7 p 25 28 2004 Dispon vel em lt http doi acm org 10 1145 1005817 1005840 gt Acesso em 2 ago 2004 MERLEAU PONTY M Fenomenologia da Percep o Rio de Janeiro Freitas Bastos 1971 MINGERS J Combining IS research methods T
318. um indiv duo isolado ele vive em determinado contexto organizacional no interesse deste trabalho e com ele interage ao mesmo tempo influenciando o e sendo por ele influenciado Tendo em vista estas discuss es e a necessidade de uma nova abordagem de pol ticas de seguran a da informa o de car ter eminentemente social apresenta se a seguinte defini o Defini o 6 1 Um sistema de informa es composto pela somat ria do sistema social no qual ele se apresenta ou seja dos usu rios e suas intera es entre sie com o pr prio sistema e do complexo tecnol gico sobre o qual estas intera es se sustentam Assim sendo devem ser contemplados tanto o conjunto de elementos software hardware redes oriundos da TI e que d o suporte realiza o dos sistemas quanto os indiv duos que inte ragem com tais sistemas e entre si mesmos ao longo das etapas do ciclo de vida das informa es ali contempladas Torna se patente a necessidade n o apenas da revis o do conceito da seguran a da infor ma o mas de sua abrang ncia e aplica o As modalidades de pol ticas vigentes visam muito mais prote o ao fen meno da informa o ou ao seu reposit rio que ao sujeito que o pre sencia Este trabalho considera que enquanto n o for estabelecido o equil brio adequado entre estes dois participantes privilegiados usu rio e informa o uma vez que do ponto de vista da defini o de sistema apresentada acima
319. um n o pode subsistir sem o outro haver distor es de foco e consegiientemente de planejamento e de implementa o A seguinte defini o procura resumir tais considera es Defini o 6 2 Seguran a da informa o um fen meno social no qual os usu rios a inclu dos os gestores dos sistemas de informa o t m razo vel conhecimento acerca do uso destes sistemas incluindo os nus decorrentes expressos por meio de regras bem como sobre os pa p is que devem desempenhar no exerc cio deste uso Esta defini o engloba conceitos advindos de toda a discuss o realizada at o momento neste trabalho a import ncia das intera es sociais entre os usu rios de um mesmo sistema a forma o do conhecimento pr prio acerca dos sistemas da informa o ou seja do conhe cimento advindo das informa es obtidas do sistema e relativo a elas e do seu uso em todas as etapas do ciclo de vida da informa o e a exist ncia das regras de conduta relativas aos sistemas Procura se dar seguran a da informa o um enfoque mais voltado prote o 115 privacidade dos usu rios diferentemente do aspecto de prote o de ativos computacionais que hoje comumente vista Realiza se em seguida uma an lise do campo das pol ticas do ponto de vista das ci ncias sociais 116 7 Pol ticas sob a tica das ci ncias sociais g nese novos conceitos conformidade e aplica es STE CAP TULO tem por obj
320. uma defini o formal das ci ncias cognitivas fosse apresentada como abarcando estas duas ci n cias GALLAGHER VARELA 2001 numa associa o que se v cada vez mais aprofundada BRUZINA 2004 GODFREY SMITH 2001 al m de serem vistas grandes afinidades en tre os suas obras e as de outros autores sociais como Searle e Bourdieu MARCOULATOS 2001 2003 3 3 Ci ncia da Informa o e Fenomenologia A interconex o entre a Fenomenologia e a Ci ncia da Informa o mostra se ainda mais evidente quando se observa que a primeira conceitua a linguagem como origem e express o do conhecimento ao passo que a ltima situa o documento sua principal fonte de estudo como ve culo do conhecimento codificado e formalizado por meio da linguagem Desta forma por meio da linguagem ambas se contextualizam uma quanto g nese do conhecimento e a outra quanto sua formaliza o Observa se tamb m que a percep o de si mesmo auto consci ncia e do mundo nitida mente um fen meno informacional ao mesmo tempo influenciando e sendo influenciado pelo contexto em que se insere o indiv duo Esta concep o do conhecimento voltado a o j fora 37 apontada no contexto da Ci ncia da Informa o por Wersig 1993 entre outros Ao forma lizar seu pensamento o indiv duo externaliza suas percep es e associa a elas uma conota o pragm tica voltada a influenciar os comportamentos dos receptores daquela comunica o Os
321. unicar se uma atividade so cial e os sistemas de informa o est o voltados a prop sitos eminentemente comunicacionais interna ou externamente aos ambientes organizacionais Por sua vez o perfeito entendimento das especificidades advindas destas intera es tais como o surgimento de amea as e vulnerabilidades deve estar intrinsecamente associado for mula o dos sistemas de informa o uma vez que amea as e vulnerabilidades s o como se demonstrou intr nsecas pr pria constru o de sistemas informacionais e n o somente os de senvolvidos com base computacional A observa o de comportamentos tanto os inatos como os gerados pelo uso dos sistemas bem como das necessidades dos usu rios assume assim ex trema relev ncia para o complexo da seguran a da informa o somam se oportunidades n o vislumbradas em outros contextos a uma gama elevad ssima de formas de acesso e disponibili za o de acervos informacionais Iniciando se pelo reconhecimento do problema em seu contexto adequado qual seja deri vado da constru o social das intera es que exigem a troca de informa es e por conseguinte d o origem aos sistemas de informa o passa se pela devida aprecia o do papel do usu rio e da informa o no complexo da seguran a ao mesmo tempo em que a informa o caracte riza o usu rio indicando sua intera o com o sistema o usu rio cria transforma e utiliza a informa o O contexto hermen
322. ure Computers amp Security v 23 n 4 p 275 279 June 2004 VRANAS P B M Gigerenzer s normative critique of Kahneman and Tversky Cognition v 76 n 3 p 179 193 Sept 2000 VROOM C VON SOLMS R Towards information security behavioural compliance Computers amp Security v 23 n 3 p 191 198 May 2004 WALDRON J Moral autonomy and personal autonomy Filadelfia 2002 Disponivel em lt http philosophy la psu edu jchristman autonomy Waldron pdf gt Acesso em 10 jun 2004 WALLISER B Epistemic logic and game theory In BICCHIERI C CHIARA M L D Eds Knowledge belief and strategic interaction New York Cambridge University Press 1992 p 197 226 WALTON J P Developing an enterprise information security policy In Proceedings of the 30th annual ACM SIGUCCS conference on User services Providence Rhode Island USA ACM 2002 p 153 156 Dispon vel em lt http doi acm org 10 1145 588646 588678 gt Acesso em 2 ago 2004 WANG H WANG C Taxonomy of security considerations and software quality addressing security threats and risks through software quality design factors Communications of the ACM v 46 n 6 p 75 78 June 2003 174 WEIMER J PAPE J C A taxonomy of systems of corporate governance Corporate Governance V 7 n 2 p 152 166 Apr 1999 WERSIG G Information science the study of postmodern knowledge usage Information Processing amp Management v 29 n
323. utico explora esta intera o ao interpretar as suas facetas sali entes pela an lise dos documentos que a determinam Deste modo as pol ticas s o um produto da intera o entre os usu rios e seus pares contemplando as redes e as for as presentes no momento de sua formula o e atentas s modifica es a apresentadas O ltimo n vel re presentado pelos programas unidades administrativas das pol ticas ou seja o modo pelo qual elas s o implementadas e acompanhadas Diversas modalidades de formula o e acompanha mento de programas est o dispon veis tais como o planejamento estrat gico PMI 2000 ou o planejamento estrat gico situacional MATUS 1992 mas sua discuss o foge ao escopo deste trabalho 8 8 1 136 Conclusoes Uma revisao dos passos propostos Conforme apresentados na Se o 2 1 este trabalho se prop s a executar os seguintes passos orientados pelas etapas metodol gicas descritas na Se o 2 2 1 2 3 4 5 realizar um amplo levantamento acerca do problema da seguran a da informa o e de como ele tratado nos ambientes organizacionais e no ambiente governamental Neste sentido foram lidos mais de 1 400 textos entre livros artigos modelos de pol ticas rela t rios e conte dos de sites dispon veis na internet Considera se que a varredura realizada abrangente e aprofundada o suficiente para embasar o trabalho apresentado fazer uso dos princ pios da feno
324. v 3 p 2501 2506 STANTON J M et al Analysis of end user security behaviors Computers amp Security v 24 n 2 p 124 133 Mar 2005 STEGMULLER W A filosofia contempor nea introdu o cr tica S o Paulo EdUSP 1977 STEIN E et al The Politics of policies Economic and so cial progress in Latin America Washington 2005 Dispon vel em lt http www iadb org res ipes 2006 index cfm language english gt Acesso em 15 jan 2006 STEINER P Dogs on the web The New Yorker v 69 n 20 p 61 July 1993 Charge STEPHENSON P Using formal modeling to untangle security incidents Computer Fraud amp Security v 2004 n 7 p 17 20 July 2004 STERGIOU T LEESON M GREEN R An alternative architectural framework to the OSI security model Computers amp Security v 23 n 2 p 137 153 Mar 2004 STEWART A On risk perception and direction Computers amp Security v 23 n 5 p 362 370 July 2004 STRAUB D Computer Abuse Questionnaire 1990 Disponivel em lt http www ucalgary ca newsted q5200 htm gt Acesso em 31 ago 2004 STRAUSS J ROGERSON K S Policies for online privacy in the United States and the European Union Telematics and Informatics v 19 n 2 p 173 192 May 2002 SUNDIN O JOHANNISSON J Pragmatism neo pragmatism and sociocultural theory communicative participation as a perspective in LIS Journal of Documentation v 61 n 1 p 23 43 2005 SYVERSON P
325. va chega se observa o de que a tecnologia aponta novos caminhos antes n o concebidos Assim sendo o pr prio uso da tecnologia por seus usu rios constitui se em um campo aberto a diversos questionamentos e considera es No presente trabalho por quest es de escopo e praticidade delimitou se o campo de utiliza o das tecnologias da informa o aos ambientes organizacio nais nas esferas p blica e privada circunscritos aos sistemas de informa o formais ou seja de utiliza o reconhecida na organiza o e utilizados com vistas aos fins organizacionais Este corte longe de restringir o campo de pesquisa permitiu o delineamento de uma ampla compara o com outros estudos Diversos trabalhos foram analisados ao longo da confec o deste agora apresentado No que diz respeito s pol ticas de seguran a da informa o a imensa maioria privilegia os seus aspectos tecnol gicos Alguns citam a import ncia da observa o ao usu rio mas poucos tratam em profundidade a sua problematiza o em moldes tais como a utiliza o de um modelo para a apresenta o das intera es entre os usu rios e deste com os sistemas conforme sugerida por este trabalho Desconhece se ainda a exist ncia de outros trabalhos que apresentam a seguran a da informa o como um dom nio multidisciplinar das ci ncias sociais apresentando sugest es de posturas epistemol gicas para a sua abordagem Outra contribui o diz respeito ao delineam
326. vis o e que n o podem ver por terem les es nas por es do c rebro que recebem e interpretam as mensagens vindas do aparelho visual A teoria indica que n o h uma linha clara entre a percep o e muitas outras atividades comportamentais LIEN PROCTOR 2000 RUBINSTEIN MEYER EVANS 2001 A per cep o por si s n o capaz de prover um conhecimento direto do mundo que o produto final de uma s rie de processos Pode se definir o estudo da percep o como o estudo da experi ncia consciente dos objetos e das rela es entre estes objetos COREN WARD 1989 Num sentido mais amplo ao estudo da percep o interessa como se forma uma representa o consciente do ambiente externo e qual a acur cia desta representa o Outro conceito um pouco mais recente no campo da psicologia da percep o o de proces samento da informa o BARBER LEGGE 1976 Esta abordagem enfatiza como a informa o a respeito do mundo externo processada a fim de produzir a percep o consciente e guiar as a es do indiv duo Tipicamente este conceito inclui a fase sensorial ou de registro a fase interpretativa ou de percep o e uma fase cognitiva ou de mem ria integrando assim estes tr s conceitos Novamente a linha divis ria entre estes temas se mostra t nue Do mesmo modo que se apresentam diversos aspectos da percep o igualmente se apre sentam diferentes abordagens te ricas dos problemas a ela relativos
327. y Oe ate la e fate a eee o Le a we O we cg aes p 91 Doi BRASIL an atos Swe do n o Hoey ES BSA ES BH Gone OS p 93 5 9 Padr es de apoio formula o de Pol ticas de Seguran a da Informa o p 97 391 SBE e gry et EA E YT Re UMAR DSR VSD DE ek md p 97 3 9 2 COBDE eo rent conse Welt eae do ora a doa as dao a ee eae p 98 5 9 3 Common Criteria ss 2424044404044 66 ARS GEESE eS p 99 59 4 SANS Institute ss ame ams EE a eae Re A Re Ee p 100 5 9 5 BS7799 ISO IEC 17799 e ISO IEC 27001 2005 p 101 5 10 Aplica o das Pol ticas de Seguran a da Informa o p 102 5 10 1 A automa o da gest o da seguran a da informa o p 103 5 11 A necessidade de um novo enfoque para as pol ticas de seguran a da informa op 105 A proposta da seguran a da informa o como um dom nio multidisciplinar das ci ncias sociais p 106 6 1 Intera o social e comportamento 2 2 00 0000 p 106 6 2 Intera o simb lica e dramaturgia social 2 000 p 107 6 3 A formaliza o de regras de conduta 2000 p 109 6 4 Uma nova defini o de seguran a da informa o 7 Pol ticas sob a tica das ci ncias sociais g nese novos conceitos conformi dade e aplica es 7 1 7 2 7 3 7 4 7 5 7 6 As redes de pol ticas publicas A governan a e as redes corporativas Pol ticas p blicas 0 Pol ti
Download Pdf Manuals
Related Search