Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações CESAR LUIZ OLIVEIRA VIEGAS Influências da Ética Militar na Segurança da Informação e Comunicações Possibilidades Brasília 2011 Cesar Luiz Oliveira Viegas Influências da Ética Militar na Segurança da Informação e Comunicações Possibilidades Brasília 2011 Cesar Luiz Oliveira Viegas Influências da Ética Militar na Segurança da Informação e Comunicações Possibilidades Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. ME Tiago Conde Teixeira Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Novembro de 2011 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/2011. © 2011 Cesar Luiz Oliveira Viegas. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. Viegas, Cesar Luiz Oliveira Influências da Ética Militar na segurança da informação e comunicações: Possibilidades / Cesar Luiz Oliveira Viegas. – Brasília: O autor, 2011. 63 p.; Ilustrado; 25 cm. Monografia (especialização) – Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, 2011. Inclui Bibliografia. 1. Segurança da Informação e Comunicações. 2. Tecnologia da Informação. 3. Ética. I. Título. CDU 004.056 Agradecimentos Deixo registrados meus agradecimentos a minha esposa, ao meu filho e a minha filha, por entenderem os afastamentos vários ocorridos durante o interregno da pesquisa, marcado por viagens e pela clausura promovida em virtude da necessidade de realização de leituras e cons ultas a documentos os mais variados. Agradeço aos meus amigos, que souberam compreender meus distanciamentos, ocasionados pela imperiosa necessidade de concentração e de pesquisar, a fim de alcançar os objetivos propostos. Agradeço, também, à instituição Exército Brasileiro pela compreensão demonstrada por seus integrantes, que contribuíram para a consecução dos objetivos da pesquisa, a qual ficou configurada pela camaradagem e solicitude demonstradas por ocasião da participação dos questionários executados e pelo franco acesso às repartições concedido. Agradeço ao corpo docente da Universidade de Brasília com os quais tive a oportunidade de travar contato e de quem pude ter a oportunidade de absorver um pouco do conhecimento disponibilizado por seu trabalho diuturno em prol do desenvolvimento científico. Em especial ao Prof. ME Tiago Conde Teixeira, orientador deste projeto de pesquisa, por sua camaradagem, profissionalismo, dedicação e sábias e pontuais observações, e ao Dr. Jorge Henrique Cabral Fernandes, pela gentileza em compartilhar seu conhecimento conosco e franqueá -lo cortesmente, cuja camaradagem o distinguiu dentre os demais preceptores. E, finalmente, não em menor grau, ao contrário, principalmente ao Criador, por sua bondade em permitir que eu tivesse a oportunidade de desenvolver este trabalho e alcançar termo satisfatório. Definir o que é um agir ético, moral, correto ou virtuoso é se inscrever numa disputa social pela definição legítima da boa conduta. Espaço Ética Lista de Tabelas Tabela 1 – Quadro Resumo da Pesquisa Realizada ...................................................... 41 Lista de Abreviaturas ABNT – Associação Brasileira de Normas Técnicas APF – Administração Pública Federal CF – Constituição Federal CREDEN – Câmara de Relações Exteriores e Defesa Nacional DCT – Departamento de Ciência e Tecnologia/Exército Brasileiro EB – Exército Brasileiro EME – Estado-Maior do Exército GU – Grande Unidade ICP-EB – Infraestrutura de Chaves Públicas do Exército Brasileiro IG – Instruções Gerais ISO/IEC – International Organization for Standardization/ MPOG – Ministério do Planejamento, Orçamento e Gestão NBR – Norma Brasileira de Regulamentação OM – Organização Militar POSIC – Política de Segurança da Informação e Comunicações SI – Segurança da Informação SIC – Segurança da Informação e Comunicações STI – Sistema de Tecnologia da Informação TI – Tecnologia da Informação Sumário Ata de Defesa de Monografia ................................................................................................3 Agradecimentos .......................................................................................................................1 Lista de Tabelas .......................................................................................................................6 Lista de Abreviaturas ...............................................................................................................7 Sumário .....................................................................................................................................8 Resumo .....................................................................................................................................8 Abstract......................................................................................................................................9 1 Delimitação do Problema ................................................................................................. 13 1.1 Introdução .................................................................................................................... 10 1.2 Formulação da situação problema (Questões de pesquisa)............................... 12 1.3 Objetivos e escopo..................................................................................................... 12 1.3.1 Objetivo Geral .................................................................................................. 12 1.3.2 Objetivos Específicos ..................................................................................... 12 1.3.3 Escopo .............................................................................................................. 12 1.4 Justificativa .................................................................................................................. 13 1.5 Hipóteses ..................................................................................................................... 16 1.5.1 Hipótese sobre conhecimento da legislação ...................................................... 16 1.5.2 Hipóteses sobre a utilização de senhas de acesso .......................................... 16 2 Revisão de Literatura e Fundamentos ........................................................................... 17 2.1 Referencial teórico ..................................................................................................... 17 2.1.1 O Estudo de Caso........................................................................................... 17 2.1.2 A Ética sob vários ângulos ............................................................................ 21 2.1.2.1 Artur Meucci............................................................................................... 17 2.1.2.2 Sheila Rodrigues Cardozo Caracas ...................................................... 17 2.1.2.3 Exército Brasileiro ..................................................................................... 17 2.1.2.4 Aristóteles .................................................................................................. 17 2.1.3 Conceitos Diversos ......................................................................................... 17 2.1.3.1 Jorge Henrique Cabral Fernandes......................................................... 17 2.1.3.2 Maristela Terto Holanda e Jorge Henrique Cabral Fernandes ......... 17 2.1.3.3 André Porto Ancona Lopez ..................................................................... 17 2.1.3.4 Ulysses Alves de Levy Machado ........................................................... 17 2.1.3.5 João Souza Neto ...................................................................................... 17 2.1.3.6 Wilson Henrique Veneziano.................................................................... 17 2.1.3.7 Tiago Barros Pontes e Silva ................................................................... 17 2.1.3.8 Flávio de Barros Vidal .............................................................................. 17 3 Metodologia ........................................................................................................................ 23 3.1 Tipo e descrição geral da pesquisa ........................................................................ 17 3.2 Caracterização da organização .............................................................................. 17 3.3 População e amostra ................................................................................................ 17 3.4 Os instrumentos de pesquisa .................................................................................. 17 3.5 Procedimentos de coleta e de análise de dados ................................................. 28 4 Resultados .......................................................................................................................... 30 4.1 O Militar ........................................................................................................................ 17 4.2 Ética Militar .................................................................................................................. 30 4.3 A Carreira Militar......................................................................................................... 31 4.4 Política de Segurança da Informação ..................................................................... 31 4.4.1 Política Estatal .................................................................................................... 31 4.4.2 Política de Segurança da Informação do Exército Brasileiro ...................... 32 4.4.2.1 Comandante do Exército Brasileiro ....................................................... 32 4.4.2.2 Estado-Maior do Exército Brasileiro ...................................................... 32 4.4.2.3 Departamento de Ciência e Tecnologia................................................ 33 4.4.2.4 Secretaria de Tecnologia da Informação .............................................. 34 4.5 O Quotidiano Castrense ............................................................................................ 34 4.5.1 Hierarquia e Disciplina ...................................................................................... 35 4.5.2 O compromisso com a Pátria ........................................................................... 35 4.6 Relação entre a Ética e a Práxis Militar.................................................................. 36 4.7 A visão da SIC a partir da percepção dos usuários ............................................. 37 5 Discussão............................................................................................................................ 38 6 Conclusões e Trabalhos Futuros .................................................................................... 41 6.1 Conclusões .................................................................................................................. 41 6.1.1 Dispositivos legais ............................................................................................. 41 6.1.2 O usuário e sua práxis ...................................................................................... 41 6.1.3 Ética profissional e SIC ..................................................................................... 42 6.1.4 (Des)Entendimentos .......................................................................................... 43 6.1.5 A senha da discórdia ......................................................................................... 44 6.1.6 O que deve e o que é realizado....................................................................... 44 6.1.7 O que (não) se viu ............................................................................................. 44 6.1.8 Das (im)possibilidades da pesquisa ............................................................... 45 6.2 Trabalhos Futuros ...................................................................................................... 41 Referências e Fontes Consultadas .................................................................................... 44 Anexo – Questionário de Pesquisa Resumo A intenção motivadora da execução deste trabalho de pesquisa foi a de se tentar identificar possíveis elementos indicativos de influência da ética profissional, suas nuanças e particularidades, na Segurança da Informação e Comunicações (SIC). Neste intuito, houve-se por bem realizar um Estudo de Caso, a partir do qual fosse possível apreender os aspectos julgados pertinentes para a elucidação dos questionamentos propostos. Como forma de facilitação da obtenção dos dados a serem pesquisados, optou-se por captar os dados em ambiente do qual o pesquisador fizesse parte, ainda que isto implicasse maior preocupação com os aspectos relacionados à possibilidade de interferência a ser percebida. Constatou-se influência significativa para a SIC na amostra estudada. Entendeu-se que os procedimentos adotados institucionalmente, de forma subliminar, ainda que intentando demonstrar algo diverso, buscando coerência com a Política de Segurança da Informação e Comunicações (POSIC) existente, mostram-se como influenciadores das ações adotadas pelos colaboradores. PALAVRAS-CHAVE: Segurança da Informação e Comunicações. Tecnologia da Informação. Ética. Abstract The intention motivating the execution of this research was to try to identify possible elements indicative of the influence of professional ethics, its nuances and particularities in the Information and Communications Security (ICS). To this end, there is a fit to carry out case study, from which it was possible to appreciate the aspects considered relevant for the elucidation of the questions proposed. As a way of facilitating the collection of data to be searched, it was decided to capture the data environment in which the researcher was part, even if it meant greater focus on the aspects related to the possibility of interference to be perceived. Significant influence was found for the ICS in this population. It was understood that the procedures adopted institutionally, in a subliminal way, even trying to prove something else, seeking consistency with the Information and Communications Security Policy (ICSP) existing, appear to have influenced the actions taken by employees. KEYWORDS: Information and Communications Security‘s. Information Technology‘s. Ethics. 10 1 Delimitação do Problema A Ética profissional, bem como seus valores implícitos, deve ser perseguida constantemente por todas as pessoas e instituições, sobretudo as relacionadas ao Serviço Público. Assim, faz-se necessário que procedimentos entendidos como éticos ou requeridos pela postura ética sejam identificados, adotados e/ou implementados, cuja finalidade precípua é a de se estabelecerem valores voltados à obtenção da necessária segurança da informação e comunicações, mediante o posicionamento e a postura dos agentes interessados em toda a rede de atividades envolvendo a tramitação dos mais variados docume ntos. Então, disto, por se entender que ―A ética é uma espécie de teoria sobre a prática moral‖ (MARTINS, 2002), pode-se abstrair que para haver ética é necessário haver a perfeita identificação da moralidade 1 e dos valores sugeridos por ela. 1.1 Introdução No dia a dia das atividades públicas, há oportunidades várias para o desvio de conduta, o favorecimento indevido, o direcionamento, a atribuição de valores calcados em observação ou atitudes as mais diversas. Diante disto, parece, quando da adoção de procedimentos voltados à implementação de políticas de segurança (SOUZA NETO, 2010), imperiosa é a preocupação com o público participante de todo o processamento da informação, que vai desde a criação da ideia, passando pelo processamento e gerenciamento, até culminar com a produção da documentação e o seu encaminhamento ao destinatário. Ao que parece, em todas as etapas arroladas, existem oportunidades de que as informações sejam copiadas, clonadas, alteradas etc., mas, mais importante, 1 ―A moralidade fala de um sistema de comportamento que diz respeito aos padrões de comport amento certo ou errado. A palavra carrega os conceitos de: (1) padrões morais, no que diz respeito ao comportamento, (2) responsabilidade moral, no que diz respeito à nossa consciência e (3) identidade moral, ou alguém que é capaz de agir certo ou errado. Os sinônimos mais comuns incluem ética, princípios, virtude e bondade. A moralidade tornou-se uma questão complicada no mundo multicultural em que vivemos hoje. Vamos explorar o que a moral é, como afeta o nosso comportamento, a nossa consciência, a nossa sociedade e o nosso destino final.‖ (MORALIDA DE). 11 existem, sempre, chances de que sejam direcionadas, se houver interesse por este ou aquele agente, para destinos variados. Em face disto, parece bastante óbvio haver a presença de risco e necessário o estabelecimento de controles (FERNANDES, 2010a). Estes devem ser executados no intuito de se conseguir a devida organização e segurança das informações, que passam pela concepção de instrumentação e operacionalização próprias com a finalidade de se orientar, fiscalizar ou estabelecer barreiras (VIDAL, 2010), as quais são propostas no sentido de se criar ou aumentar a segurança da informação. Aumento este que passa pela elaboração de controles sobre a emissão das informações, pelo estabelecimento de nível de acesso dos operadores dos sistemas de comunicações e pelo estabelecimento de instrumentos adequados à sistemática e aos equipamentos utilizados. No intuito de se garantir que as informações sejam usadas adequadamente por um maior número de usuários, sejam os operadores dos sistemas de comunicação (colaboradores), sejam os beneficiários dos serviços, necessário é que seja ampliada a capacidade de comunicação entre os vários setores envolvidos na concepção, promoção e estabelecimento dos serviços. Assim, faz-se imperioso que procedimentos de diversas fontes e sob os mais variados aspectos sejam operacionalizados, o que impõe a adoção de atividades por vezes propícias a entendimentos aéticos. Como forma de se tentar entender como podem (devem) ser os procedimentos relacionados às atividades públicas, por se tratar da área de interesse da pesquisa, buscou-se identificar alguns aspectos relacionados à Ética 2 e à Segurança da Informação e Comunicações 3. Para tal, realizou-se uma busca criteriosa e detalhada na bibliografia existente, de modo a levantar o maior número possível de aspectos relacionados ao assunto, bem como a proporcionar um melhor entendimento acerca dos valores entendidos como necessários aos usuários dos sistemas envolvidos (relacionados). Ainda, buscou-se identificar a existência de índices de segurança que devem existir 2 ―1 Parte da Filosofia que estuda os valores morais e os princ ípios ideais da conduta humana. É ciência normativa que serve de base à filosofia prática. 2 Conjunto de princípios morais que se devem observar no exerc ício de uma profissão; deont ologia. (...) É. social: parte prática da filosofia social, que indica as normas a que devem ajustar-se as relações entre os diversos membros da sociedade.‖ (MICHAELIS, Ética) 3 ―...é o conjunto de ações que objetivam viabilizar e assegurar a disponibilid ade, a integridade, a confidencialidade e a autenticidade das informações.‖ (WIK IPEDIA, Segurança da Informação e Comunicações). 12 no entorno disto, os quais devem estar cercados de procedimentos éticos os mais variados. Utilizou-se da modalidade Estudo de Caso, pois, segundo Fernandes (2010c), trata-se de uma metodologia ―aplicável à pesquisa, visa conferir simplicidade, uniformidade e promoção de pesquisas de qualidade‖, para a obtenção e levantamento das informações entendidas como necessárias à elucidação do assunto proposto. Da obtenção de todas as informações relacionadas, mediante uma acurada análise, à luz da bibliografia consultada, entende-se possível realizar uma delimitação conceitual apropriada, bem como alcançar os valores apresentados na concepção da proposta de pesquisa. 1.2 Formulação da situação problema (Questões de pesquisa) Considerando-se a preocupação relacionada com a Segurança da Informação e Comunicações institucional, pretende-se identificar a existência de influência da ética profissional nas atividades laborais que possa afetar sua execução e redundar em consequências para a segurança e objetivos organizacionais. 1.3 Objetivos e escopo A realização da pesquisa visa alcançar respostas plausíveis aos questionamentos suscitados a partir da observação do quotidiano castrense e da atuação de seus colaboradores, nos diversos setores e funções. 1.3.1 Objetivo Geral Identificar a existência de influência da ética funcional dos colaboradores da instituição ALFA na SIC. 1.3.2 Objetivos Específicos - verificar a existência de procedimentos adotados pelos colaboradores do órgão pesquisado que não estejam coadunando com a política de segurança do Exército Brasileiro; - entender se tais procedimentos exercem alguma influência sobre a segurança da informação e comunicações; - identificar a existência de instrumentos indicativos de Segurança da Informação e Comunicações na organização pesquisada; 13 - estabelecer quais os procedimentos, compreendidos como apropriados pela ética militar, relacionados à práxis administrativa, são adotados pelos colaboradores; - estabelecer o nível de adequação do procedimento dos colaboradores relacionado à SIC. - identificar os valores relacionados à ética militar presentes nas ações dos colaboradores. - identificar, a partir da observação dos colaboradores, a ausência de procedimentos definidos na Política de SIC institucional. 1.3.3 Escopo A pesquisa foi realizada numa Organização integrante do Exército Brasileiro, a qual será nominada em todas as oportunidades em que se fizer necessário por organização/instituição ALFA 4. Para fins de entendimento e melhor compreensão acerca de sua relevância, a instituição ALFA trata-se de uma organização que se encontra numa posição intermediária da escala organizacional do Exército Brasileiro, ou seja, trata-se de uma Grande Unidade. Essa terminologia indica que possui, acima na escala hierárquica, organizações às quais presta obediência, bem como tem sob sua responsabilidade outras, às quais serve de exemplo e que lhe devem respeito. 1.4 Justificativa Entende-se que a ética é pautada pela superioridade da vontade do homem sobre seus instintos, sobre a vontade alheia, confirmando, assim, a sua autodeterminação e independência. Na esfera militar: Art. 28 O sentimento do dever, o pundonor militar e o decoro da classe impõem, a cada um dos integrant es das Forç as Armadas, conduta moral e profissional irrepreensíveis, com a observância dos seguintes prec eitos de ética militar: (...) II. exercer, com autoridade, eficiência e probidade, as funções que lhe couberem em decorrência do cargo; (...) 4 Tal procedimento visou salvaguardar a estrutura organizacional da instituição, bem como proteger seus integrantes. 14 IV. cumprir e fazer c umprir as leis, os regulament os, as instruções e as ordens das autoridades competentes; (...) IX. ser discreto em suas atitudes, maneiras e em sua linguagem escrita e falada; X. abster-se de tratar, fora do âmbito apropriado, de mat éria sigilosa de qualquer nat urez a (BRAS IL, 1980); Diante disto, e do elemento motivador da pesquisa, necessário se faz estabelecer alguns valores entendidos como imprescindíveis, tais como entender o que seja Segurança da Informação e Comunicações, bem como sua necessidade e operacionalização, além da Ética, é claro! Ao se observar a NBR ISO/IEC 17799:2005 5, verifica-se que alguns valores são entendidos como necessários à Segurança da Informação, bem como há uma caracterização bastante lúcida acerca do assunto. Ou seja, mediante este entendimento da Associação Brasileira de Normas Técnicas (ABNT), ―Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio‖ (p. ix). O mesmo dispositivo esclarece também que a ―Segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções...‖ (p. ix). Diante disto, aparece como pré-requisito o fato de que todos os agentes envolvidos na sistemática de controle, produção e disponibilização de valores (serviços) têm responsabilidade sobre a sistematização dos meios de comunicação e da necessária segurança que a deve envolver. A mesma norma estabelece que ―A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização‖ (p. ix), o que impõe a adoção de medidas várias voltadas à obtenção deste objetivo, envolvendo, para isto, todas as instâncias administrativas, desde os elementos de chefia aos de execução. Como forma de se identificar os valores envolvidos na prática da comunicação organizacional e da necessária segurança, cuja existência é imperiosa 5 Trata-s e de um documento sobre Tecnologia da informação e Técnicas de segurança, mais precisamente, é um Código de prática para a gestão da segurança da informação. 15 para a sobrevivência da instituição, há que se identificar a existência de legislações, regulamentos e normas que possam dar o necessário direcionamento para a adoção de medidas concorrentes com a postura própria e requerida. Assim, faz-se necessário que existam dispositivos de controle, que permitam a identificação de possíveis pontos de melhoria, os quais incluem a existência de ―a) documento da política de segurança da informação; b) atribuição de responsabilidades para a segurança da informação; c) conscientização, educação e treinamento em segurança da informação;...‖ (NBR ISO/IEC 17799:2005, p. xi), a partir do que permite um melhor gerenciamento do risco possível de existir . Não obstante estas necessidades, imperioso é, também, que haja o ―c) comprometimento e [o] apoio visível de todos os níveis gerenciais‖ (NBR ISO/IEC 17799:2005, p. xi), fatores estes que são identificados como críticos para o sucesso da implementação e manutenção da segurança da informação dentro das organizações. Nesse ínterim, aparece a Ética que, para Aristóteles, trata-se de ―uma pluralidade de virtudes referentes a aspectos diversos da vida‖ (COSTA. Grifo no original). Virtudes estas necessárias à implementação das atividades públicas, sobretudo, onde requeridos são os procedimentos adequados ao fazer desinteressado, sem procurar contrapartida, a não ser a satisfação do usuário dos serviços. Então, aos operadores dos serviços desenvolvidos pela instituição ALFA, como não poderia ser diferente, há também esta exigência, que os deve impelir ao cumprimento de seu dever. E é diante desta imposição é que se procura estabelecer a existência, de fato, de todos os valores necessários a essa identificação ou se é necessário apontaremse alguns que devam ser seguidos e/ou implementados. Tal busca pretende chegar aos valores identificadores da existência de ―... uma ligação imediata entre o bem comum e o bem pessoal, que estabelece uma subordinação natural do indivíduo à coletividade‖ (COSTA. Grifo no original), bem como se estes aspectos estão presentes, em que relevância se apresentam, e como influenciam ou influenciariam na segurança da informação e comunicações, dependendo de estarem presentes ou não. 16 1.5 Hipóteses Entende-se que a Ética Profissional (Castrense) esteja influenciando na consecução dos objetivos de SIC na instituição ALFA, sobretudo nos aspectos relacionados à utilização dos sistemas informatizados. 1.5.1 Hipótese sobre conhecimento da legislação Apesar de a Instituição ALFA ser integrante do Exército Brasileiro e este dispor de uma série de legislações regulatórias de suas atividades, entende-se que há colaboradores desconhecedores das mesmas, motivo por que procedem de forma inadequada ao preconizado. 1.5.2 Hipótese sobre a utilização de senhas de acesso Apesar dos sistemas informatizados da instituição ALFA requererem a inserção de senha de acesso e de as normas vigentes preconizarem que as senhas sejam de uso exclusivo e individual, entende-se haver o compartilhamento do uso desse instrumento de SIC. 17 2 Revisão de Literatura e Fundamentos Com a finalidade de se conseguir a sustentação teórica necessária, foram realizadas leituras de alguns autores de modo a se obter o devido entendimento acerca da tipologia de pesquisa relacionada ao Estudo de Caso. Além disto, foram analisados textos institucionais comprobatórios das políticas de SIC e que descrevem os procedimentos éticos requeridos de seus integrantes. Ainda como forma de subsidiar a busca pelo entendimento pretendido, foram pesquisadas obras e autores que se referem à ética e sua especificidade no serviço público, sobretudo ao militar. 2.1 Referencial teórico Foram utilizados como instrumentos para a delimitação da conceituação necessária ao entendimento da proposta de pesquisa os seguintes autores, os quais apresentam variada argumentação acerca dos assuntos de interesse: 2.1.1 O Estudo de Caso Ying (2001) apresenta o Estudo de Caso e sua forma de planejamento e método para a execução. O autor explica a viabilidade e a indicação da realização de Estudo de Caso para o levantamento de informações acerca de situações relacionadas a acontecimentos contemporâneos, os quais podem contribuir de alguma forma para a ampliação do conhecimento. Para ele, ―O estudo de cas o conta com muitas técnicas utilizadas pelas pesquisas históricas, mas acrescenta duas fontes de evidências que usualmente não são incluídas no repertório de um historiador: observação direta dos 18 acontecimentos que estão s endo estudados e entrevistas das pessoas neles envolvidas‖ (2001, p. 26). Ainda como forma de referência conceitual importante sobre o Estudo de Caso, e por causa disto, Fernandes (2010c) justifica porque esta estratégia foi fortemente empregada na realização das diversas pesquisas de pequeno porte desenvolvidas em cada disciplina do curso. 2.1.2 A Ética sob vários ângulos 2.1.2.1 Artur Meucci Meucci (2010) apresenta uma conceituação variada acerca da Ética, sob a compreensão de vários filósofos, a partir do que define que o ―agir ético, moral, correto ou virtuoso é se inscrever numa disputa social pela definição legítima da boa conduta. Da conduta verdadeira e necessária‖. Segundo o autor, para Aristóteles (Ética a Nicômaco), a excelência moral se relaciona com as emoções e ações, estabelecendo que somente as ações voluntárias são valoradas enquanto as involuntárias, dignas de perdão. Lembra que a voluntariedade ou não pode ser provocada em conformidade com a situação em que se encontra a pessoa. Para Immanuel Kant (Fundamentos da Metafísica dos Costumes), entende que a razão é ultrapassada pelo instinto, cuja capacidade e força promovem maior sugestão para a consecução dos objetivos, seja felicidade, bem-estar, preservação etc. No entender de Jeremy Bentham (Uma introdução aos Princípios da Moral), a ética é partidária do utilitarismo, a partir do que a aprovação ou desaprovação dependem do sucesso ou insucesso social ou individual resultante de tal ato. A percepção de Auguste Comte (Catecismo Positivista), na visão do autor, remete ao entendimento de que não há possibilidade outra a não ser o cumprimento do dever, que é recíproco, onde todos têm deveres com os demais, cabendo fazer em prol do outro sempre mais, independentemente de não lhe ser possível alcançar a realização da totalidade do que lhe é franqueado. Para Simone de Beauvoir (Moral da Ambigüidade), o autor entende, a existência dá-se de forma ambígua, na qual a existência é marcada pela necessidade de deixar de ser, impondo ao que está locado a necessidade de anularse para ser reconhecido e para sobreviver. 19 2.1.2.2 Sheila Rodrigues Cardozo Caracas Caracas (2008) apresenta conceitos como legalidade, impessoalidade, moralidade, publicidade e eficiência, os quais são diretamente relacionados à relevância da STI. Para a autora A consciência ética, como a educação e a cultura são assimiladas pelo ser humano, assim, a ética na administração pública, pode e deve ser desenvolvida junto aos agentes públicos ocasionando assim, uma mudança na gestão pública que deve ser sentida pelo contribuinte que dela se utiliza diariamente, seja por meio da simplificação de procedimentos, isto é, a celeridade de respostas e qualidade dos serviços prestados, seja pela forma de agir ou de contato entre o cidadão e os funcionários públicos. (CA RACAS, 2008). 2.1.2.3 Exército Brasileiro O Exército Brasileiro (Portaria nº 156, de 23 de abril de 2002) aprova o VadeMécum de Cerimonial Militar do Exército - Valores, Deveres e Ética Militares (VM 10), onde estão apresentados os valores compreendidos como ética militar necessários a todos os militares, dentre outros. A partir deste instrumento de definição das características da carreira militar, conforme apresentado a seguir, percebe-se a grande relevância atribuída a esses princípios pela instituição, como forma de estabelecer procedimentos entendidos como basilares. A profissão militar caracteriza-se por exigir do indivíduo inúmeros sacrifícios, inclusive o da própria vida em benefício da Pátria. Esta peculiaridade dos militares os conduz a valorizar cert os princípios que lhes são imprescindíveis. Valores, Deveres e Ética Militares s ão conceitos indissociáveis, convergentes e que se complementam para a obtenç ão de objetivos individuais e institucionais. (EB, 2002c. Grifos no original) 2.1.2.4 Aristóteles Aristóteles discorre sobre as virtudes. O bem maior – a felicidade, em todas as suas formas de percepção –, coletivo, impessoal, deve se sobrepor ao individual. Para o autor, há duas espécies de virtude, a intelectual e a moral. A primeira deve, em grande parte, sua geração e crescimento ao ensino, e por isso requer experiência e tempo; ao passo que a virtude moral é adquirida em resultado 20 do hábito, de onde o seu nome se derivou, por uma pequena modificação dessa palavra. (ARIS TÓTELES). 2.1.3 Conceitos Diversos Além dos conceitos relacionados à Ética, foram arrolados outros entendidos como relevantes e necessários à construção do conhecimento pretendido, os quais são apresentados, parcialmente, a partir de seus autores e concepções. 2.1.3.1 Jorge Henrique Cabral Fernandes Fernandes (2010a) estabelece conceitos e apresenta tecnologias relacionadas aos controles de acesso, sejam eles físicos ou lógicos. O autor ressalta a grande importância a ser atribuída ao fator humano, porque, além dos riscos de interferência física, há a presença, cada vez mais acentuada, da possibilidade de ataques de engenharia social6. Destaca, ainda, três aspectos que suscitam discussão e remetem ao discernimento de sua relevância para a SIC: proteção passiva, proteção física ativa e proteção lógica computacional (FERNANDES, 2010a, p. 6). Fernandes (2010b) faz uma ampla introdução à gestão de riscos de segurança, baseada na norma ISO/IEC 27005:2007 (ISO/IEC, 2007) 7. O autor formula uma fundamentação teórica acerca da gestão de riscos de segurança, delimita a necessidade de estabelecimento de controles de segurança operacional, gerencial e técnico, bem como delineia o perfil de risco possível de ser encontrado. Fernandes (2010d) apresenta uma ampla introdução a conceitos relacionados com informação, comunicação e sistemas de informação. Como forma de esclarecimento, o autor traça uma conceituação sobre sistemas, suas estruturas e comportamentos, os quais são apresentados de modo a promover uma identificação de sua relevância. 6 Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações important es ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. (WIK IPEDIA, Engenharia Social. Grifo no original). 7 Trat a-se de um documento sobre Gestão de riscos de segurança da informaç ão que auxiliará as organizações a administrar tais riscos. 21 2.1.3.2 Maristela Terto Holanda e Jorge Henrique Cabral Fernandes Holanda e Fernandes (2011) abordam vários conceitos relacionados à Segurança no Desenvolvimento de Aplicações. Os autores acentuam os aspectos relacionados desenvolvimento de aplicações, que passa pela à segurança no necessidade de que os usuários/colaboradores executem suas atividades cônscios de que há fatores de risco, na concepção, no desenvolvimento e no trato dos sistemas, os quais merecem a adoção de postura correspondente e voltada à consecução dos objetivos propostos. 2.1.3.3 André Porto Ancona Lopez Lopez (2010) apresenta um importante conjunto de conceitos para a formulação e execução de projetos de cunho científico, usado como base para a formulação da metodologia e orientação na realização de várias fases da pesquisa de monografia a ser desenvolvida. A formulação proposta pelo autor favorece ao entendimento de como se processam todos os passos necessários à elaboração e ao desenvolvimento de um projeto de pesquisa, pormenorizadamente, em suas várias etapas e particularidades. 2.1.3.4 Ulysses Alves de Levy Machado Machado (2010) apresenta o Direito sob a perspectiva da Segurança da Informação, apresentando e discutindo questões contemporâneas como o conflito entre a privacidade e a propriedade. Por se tratar de aspectos voltados especificamente para o serviço público, o texto deste autor contribui para o estabelecimento de conceituações variadas relacionadas ao assunto. Remete, também, à percepção de que o servidor, independentemente de sua postura diante das situações que se apresentam, é responsável pela Segurança da Informação, cujos aspectos jurídicos estão em (re)elaboração, com a finalidade de atender à demanda que se apresenta. 2.1.3.5 João Souza Neto Souza Neto (2010) apresenta conceitos relacionados com governança, política e cultura de segurança da informação em organizações. 22 A partir da concepção apresentada pelo autor, percebe-se a relevância atribuída à necessidade de estabelecimento de Política de Segurança da Informação e Comunicações (POSIC), sobretudo na Administração Pública Federal (APF). 2.1.3.6 Wilson Henrique Veneziano Veneziano (2010) apresenta uma breve introdução à relação existente entre sistemas de informação e segurança da informação. Neste intuito, o autor estabelece uma relação conceitual entre organização, sistemas, informação e sistema de informação, a partir do que ressalta a grande importância a ser atribuída à segurança . Este autor entende que: Como são muitos os elementos humanos e tecnológicos envolvidos nesse caso, as oportunidades de ataque e de fraudes ao sistema de informação e à organização podem ser igualmente grandes e diversificadas (VENE ZIANO, 2010, p. 9). 2.1.3.7 Tiago Barros Pontes e Silva Silva (2010) apresenta o conceito de Engenharia Social e sua importância para a SI. Ele ressalta ainda que haja uma predisposição institucional de forma que os integrantes estejam aptos a colaborar, ou seja, é necessário que haja uma cultura organizacional voltada para a s egurança da informação e das comunicações de maneira que todos os seus funcionários sejam sensibilizados em relação às políticas e procedimentos de segurança institucionais. (p. 10) 2.1.3.8 Flávio de Barros Vidal Por fim, o trabalho de Vidal (2010) apresenta uma breve visão panorâmica de conceitos associados a controles de segurança física e ambiental. São ressaltados os principais aspectos relacionados ao assunto, sobretudo aos que remetem à relevância dos controles, seu desenvolvimento e funcionalidade. 23 3 Metodologia Para a obtenção dos dados necessários à elucidação dos questionamentos propostos, entendeu-se necessário e requerido o estabelecimento de alguns procedimentos apropriados para a delimitação de como se procedeu a pesquisa. 3.1 Tipo e descrição geral da pesquisa Entende-se que a utilização do Estudo de Caso fosse a tipologia de pesquisa apropriada para o levantamento das informações capazes de caracterizar os elementos esclarecedores da proposta delimitada. Conforme Fernandes, ―A metodologia de estudo de caso, aplicável à pesquisa, visa conferir simplicidade, uniformidade e promoção de pesquisas de qualidade,...‖ (2010c, p. 4), bem como é ―... uma estratégia de pesquisa baseada na exploração, em profundidade, de um programa, fato, atividade, processo, pessoa ou grupo‖ (2010c, p. 5). Desta forma, a utilização da metodologia do Estudo de Caso adéqua-se à consecução dos objetivos propostos, pois atende aos requisitos pretendidos, por permitir a determinação da existência de valores presentificados pela ética que possam interferir nas atividades do dia a dia dos integrantes do universo da pesquisa. Entende-se que, a partir do levantamento de leis, regulamentos e legislações institucionais existentes, bem como da aplicação de questionário a parcela de seus integrantes, seja possível confrontar o que está previsto , o observado e o que é realizado pelos usuários do sistema em questão em sua práxis diária. 24 3.2 Caracterização da organização A organização onde se realiza a pesquisa é integrante do Exército Brasileiro, e compõe sua estrutura organizacional, com base na hierarquia e disciplina, valores básicos e que direcionam todas as ações de seus integrantes. A Instituição ALFA, nome atribuído à instituição para fins de pesquisa, de modo a proteger seus ativos, é uma Grande Unidade do Exército Brasileiro. O setor institucional no qual será realizada a pesquisa é o responsável pela manipulação e pelo controle dos meios de tecnologia da informação, que, por sua atribuição e particularidade, possui as melhores condições para atender à demanda da pesquisa, bem como alguns operadores do sistema. 3.3 População e amostra Do universo institucional de interesse para a pesquisa, foi delimitada a população a partir de aspectos julgados de interesse e que apresentasse características apropriadas ou que atendessem aos requisitos mínimos para tal, tais como utilizar-se do sistema objeto da pesquisa e trabalhar com instrumentos da área de TI. Desse universo, 278 (duzentos e setenta e oito) integrantes, foi estabelecida como amostra aquela que estive diretamente relacionada com os meios de TI, de modo a restringir a população e de tornar os resultados mais aproximados dos valores entendidos como válidos para a pesquisa. A instituição ALFA possui os quadros de colaboradores compostos por indivíduos cujo preparo técnico-profissional pode ser definido em de nível superior (chefia e coordenações) e de nível básico e médio (operadores). A amostra foi delimitada a partir dessa população, de forma a contemplar um percentual de cada um dos universos considerados, a saber: chefia, coordenações e operadores do sistema. Assim, o valor alcançado foi de 105 (cento e cinco) indivíduos, aos quais foi tentada a aplicação de questionário de pesquisa e realização de observação. 3.4 Os instrumentos de pesquisa A obtenção dos dados necessários à consecução dos aspectos necessários à elucidação dos objetivos da pesquisa é possível por intermédio da utilização de instrumentos capazes de proporcionar tal condição. 25 Como instrumentação para se alcançar as informações requeridas, foram adotados a realização de pesquisa bibliográfica, a aplicação de questionário e a observação. O levantamento bibliográfico permitiu a identificação das diversas e variadas fontes de esclarecimento da posição institucional acerca da SIC, configurada pela emissão de normas, regulamentos, leis e decretos, no âmbito do Estado e do Exército Brasileiro. A aplicação do questionário serviu para substanciar o pensamento do pesquisador acerca do que entendia existente no seio da instituição, pelo fato de subsidiar, a partir da voz dos próprios usuários, qual o entendimento dos mesmos acerca do que existe, entendem e executam. A observação, realizada pelo pesquisador, como participante do universo institucional, procurando manter o necessário e requerido afastamento, proporcionou as condicionantes para a delimitação de tese apropriada sobre o relacionamento entre o que está estabelecido legalmente e o que acontece. 3.5 Procedimentos de coleta e de análise de dados No intuito de se alcançarem os objetivos propostos pela pesquisa, realizaramse o levantamento dos dados necessários à elucidação da problemática identificada mediante: - busca na literatura existente acerca do assunto, realizada pela consulta a documentos e a sites institucionais; - exploração e observação das legislações vigentes na instituição, as quais regulam os procedimentos internos; - confrontação das legislações com as normas existentes no âmbito do Exército Brasileiro, bem como com as diretrizes para o estabelecimento e manutenção da segurança da informação emanadas da Política de Estado Brasileira; Em virtude de se entender o Estudo de Caso como instrumento bastante qualificado para a obtenção dos dados, esta metodologia foi utilizada para a consecução dos objetivos da pesquisa, sobretudo porque proporciona a oportunidade de análise de situação efetiva, da qual podem ser abstraídas situações reais. 26 Assim, foi possível identificar os procedimentos adotados pelos colaboradores da instituição, os quais foram confrontados com os valores preconizados nas regulamentações, leis, normas e legislações existentes acerca do assunto. Diante disto, entende-se possível compreender: - se a postura adotada pelos colaboradores atende aos preceitos da ética profissional instituída; - quais os valores que os colaboradores devem apresentar para tratar dos assuntos atinentes a sua função de forma a manter e a executar suas atribuições com toda a segurança e resguardando o sigilo necessário a sua práxis; e - que tipo de influência a ética profissional exerce sobre a segurança da informação e comunicações. A partir do questionário aplicado aos integrantes da instituição selecionados, foi possível identificar os procedimentos adotados para a execução e o controle das medidas de segurança e o nível de segurança entendido e realizado no âmbito da instituição, pela confrontação das respostas obtidas com os valores estabelecidos nos documentos oficiais sobre SIC. 27 4 Resultados A realização da pesquisa possibilitou a identificação de aspectos entendidos como elucidativos ou esclarecedores da motivação principal justificadora do posicionamento dos colaboradores da instituição ALFA quanto aos cuidados com a Segurança da Informação e Comunicações (SIC) adotados. Para uma melhor definição sobre os assuntos pesquisados, preciso é estabelecer um entendimento acerca das conceituações analisadas e de sua relevância para a pesquisa. Assim, serão abordados os pontos principais, os quais servem de norte para a realização da pesquisa e que conduzem ao fim proposto. 4.1 O Militar Trata-se da denominação atribuída a membro das Forças Armadas 8, a quem é destinado tratamento específico e de quem são esperadas ―a dedicação e a fidelidade à Pátria, cuja honra, integridade e instituições devem ser defendidas mesmo com o sacrifício da própria vida‖ (BRASIL, 1980) 9. 4.2 Ética Militar A Ética prevista nos regulamentos militares e existente no seio de sua coletividade pode ser entendida como ―... o conjunto de regras e preceitos de ordem valorativa e moral de um indivíduo, de um grupo social ou de uma sociedade...‖ (MAFRA FILHO, 2010). 8 Conforme a Constituição Federal de 1988, em seu Art. 142, § 3°. Incluído pela E C n° 18, de 1998. Art. 31, Inciso I da Lei n° 6.880, de 9 dezembro 1980. Tal documento é denominado Estatuto dos Militares, local onde estão registrados os deveres esperados dos militares. Além disto, estão previstos, em seus incisos IV e V, respectivamente, ―a disciplina e o respeito à hierarquia‖ e ―o rigoroso cumprimento das obrigações e das ordens‖ 9 28 A compreensão da necessidade de existência de procedimentos e atuações dos atores institucionais de forma ética faz da instituição uma organização cujos valores são respeitados no dia a dia por seus integrantes, seja pelo atendimento à ordem vigente, seja pelo perfeito entendimento de que o grupo, ainda que com particularidades, insere-se num todo do qual é partícipe e co-responsável. 4.3 A Carreira Militar A carreira militar é organizada com base na ―hierarquia e na disciplina‖, configurando-se em índice do compromisso assumido de defender a Pátria, garantir os poderes constitucionais e a lei e a ordem (BRASIL, 1988). 10 Diferentemente das outras carreiras públicas, as quais são regidas, em sua maioria, pela Lei n° 8.112/90 11, a carreira militar tem um regime próprio 12. Mais precisamente, ―A carreira militar é caracterizada por atividade continuada e inteiramente devotada às finalidades precípuas das Forças Armadas, denominada atividade militar‖ (BRASIL, 1980) 13. 4.4 Política de Segurança da Informação A obtenção da Segurança da Informação é alcançada mediante a aplicação e a adoção de variados instrumentos, os quais são utilizados com a finalidade específica de garantir a consecução deste objetivo. Assim, vários documentos, provenientes de diversos órgãos e com graus de aprofundamento , são elaborados, em face da concepção de que ―todo usuário é responsável pela segurança da informação que manipular, bem como pelos recursos computacionais ou de comunicações que utilizar‖ (EB, 2001). 14 4.4.1 Política Estatal Decreto nº 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal 15. 10 Constituição Federal de 1988, em seu Art. 142, que vers a sobre as atribuiç ões dos militares. Para este instrumento legal, ―Cargo público é o conjunto de atribuições e responsabilidades previstas na estrutura organizacional que devem ser c ometidas a um servidor.‖ (Art. 3º), que ―...é a pessoa legalmente investida em cargo público.‖ (Art. 2º). 12 Art. 142. (...) § 1º - Lei complementar estabelecerá as normas gerais a serem adotadas na organização, no preparo e no emprego das Forças Armadas. (BRASIL, 1988) 13 O texto encontra-se no Art. 5° da Lei n° 6.880, de 9 Dez 1980, conhecida por Estatuto dos Militares. 14 Port. n° 121-EME, de 12 novembro 2001 (IR 20-26). 15 o Art. 1 Fica instituída a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, que tem como pressupost os básicos: 11 29 Decreto n° 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal 16. ABNT NBR ISO/IEC 17799. 2. ed. 31 de agosto de 2005. Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação 17. Portaria n° 45, de 8 de setembro de 2009. Institui, no âmbito da Câmara de Relações Exteriores e Defesa Nacional (CREDEN), o Grupo Técnico de Defesa Cibernética18. 4.4.2 Política de Segurança da Informação do Exército Brasileiro A instituição Exército Brasileiro, como forma de participação adequada quanto à necessidade de segurança da informação, vem desenvolvendo Políticas voltadas ao atendimento a essa demanda, configuradas pela expedição de variados documentos, os quais são emanados por diversos órgãos que a compõem. 4.4.2.1 Comandante do Exército Brasileiro Portaria n° 011, de 10 de janeiro de 2001. Aprova as Instruções Gerais para Salvaguarda de Assuntos Sigilosos (IG 10-51) 19. Portaria n° 483, de 20 de setembro de 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19) 20. 4.4.2.2 Estado-Maior do Exército Brasileiro Portaria n° 121-EME, de 12 Nov 01. Instruções Reguladoras para Utilização da Rede Mundial de Computadores (Internet) por Organizações Militares e Militares do Exército (IR 20-26) 21. I - assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição; 16 Art. 1º Este Decreto disciplina a salvaguarda de dados, informações, document os e materiais sigilosos, bem como das áreas e instalações onde tramit am. 17 Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negóc io, maximizar o retorno sobre os investimentos e as oport unidades de negócio. 18 Art. 1º Fica instituído o Grupo Técnico de S egurança Cibernética com o objetivo de propor diretrizes e estratégias para a Segurança Cibernética, no âmbito da Administração Públ ica Federal. 19 Art. 1º As presentes Instruções, elaboradas em observância ao art. 57 do Decreto nº 2.910, de 29 de dezembro de 1998, têm por finalidade regular e padronizar os procedimentos necessários à salvaguarda de assuntos sigilosos, no âmbito do Exército Brasileiro. 20 Art. 1º Estas Instruções Gerais têm por finalidade orientar o planejamento e a execução das ações relacionadas à Segurança da Informaç ão no âmbito do Exército Brasileiro. 30 4.4.2.3 Departamento de Ciência e Tecnologia Portaria n° 049-DCT, de 19 Dez 05. Instruções Reguladoras para o Emprego Sistêmico do Serviço de Correio-Eletrônico no Exército Brasileiro – IRESCE (IR 1306)22. Portaria n° 026-DCT, de 31 Mar 06. Aprova as Instruções Reguladoras para Emprego Sistêmico da Informática no Exército Brasileiro – IREMSI (IR 30-07) 23. Portaria n° 002-DCT, de 31 Jan 07. Instruções Reguladoras sobre Análise de Riscos para Ambientes de Tecnologia da Informação do Exército Brasileiro – IRRISC (IR 13-10) 24. Portaria n° 003-DCT, de 31 Jan 07. Instruções Reguladoras sobre Auditoria de Sistemas de Informação do Exército Brasileiro – IRASEG (IR 13-09) 25. Portaria n° 004-DCT, de 31 Jan 07. Instruções Reguladoras sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro (IRESER – IR 13-15) 26. Portaria n° 006-DCT, de 05 Fev 07. Normas para o Controle da Utilização dos Meios de Tecnologia da Informação no Exército – NORTI (2ª Edição)27. 21 Art. 4° O estabelecimento de um ambient e propício e adequado à S egurança da Informação, no âmbito do Exército, vai muito além da simples aquisição de equipamentos e sistemas criptográficos. Depende, prioritariamente, da conscientização do público interno, que deve ter comportamento e atitudes favoráveis à segurança. 22 Art. 3º O Sistema de Correio-elet rônico do Exército (SCEB) é de âmbito corporativo, totalmente direcionado à integração dos componentes da Força, admitindo o tráfego de mensagens oficiais, funcionais e pessoais, dentro dos limites da ética militar, consoante aos valores inerentes à história do Exército Brasileiro. 23 Art. 12. Rec ursos de TI são dispositivos eletrônicos (hardware) adicionados ao conhecimento tecnológico aplicado (software) e ao pessoal especializado (peopleware) que viabilizam o fluxo da informaç ão pelos canais de comunicações, mediante o emprego da tecnologia disponível. 24 Art. 1º As presentes instruções, elaboradas em observância aos artigos 15, 16 e ao inciso VI do artigo 31 das Instruções Gerais de S egurança da Informação para o Exército B rasileiro (IG 20-19), têm por finalidade regular as condições para o emprego de uma metodologia básica de avaliação de risco a ser aplicada nas OM do Exército Brasileiro, na área de segurança da informação. 25 Art. 21. Os requisitos básicos dos controles de pessoal são: I - estabelecer normas de conduta para o pessoal, interno e externo, que minimizem os riscos quanto a violações de segurança da informação advindas de atos de negligência, imprudência, imperícia, acidentais ou má-fé. 26 Art. 41. O acesso aos dados e serviços corporativos de rede no Exército, seja em conexões locais ou remotas, só pode ser concedido mediante a verificaç ão da autenticidade da identificação do usuário por meio de técnicas de autenticação de rede. 27 Art. 1º As presentes Normas regulam o disposto no Decreto nº 4. 346, de 26 de agosto de 2002 Regulamento Disciplinar do Exército (R-4), especificamente em seus nº 9 e 107 do A nexo 1, e na Lei nº 8.112, de 11 de dezembro de 1990, em seu Inciso III do art. 116, no que diz res peito à corre ção dos procedimentos do militar ou do servidor civil, do Exército Brasileiro, no desempenho de suas funções, em particular ao utilizar recursos de Tecnologia da Informação – TI, de propriedade do Exército, colocados sob a responsabilidade desses servidores. 31 Portaria nº 25-DCT, de 7 Jul 09. Aprova as Instruções Reguladoras sobre Segurança da Infraestrutura de Chaves Públicas do Exército Brasileiro – IRESICP (IR 80-05) 28. Portaria nº 026-DCT, de 7 Jul 09. Aprova as Instruções Reguladoras para Práticas de Certificação de Autoridade Certificadora Raiz do Exército Brasileiro – IRERAIZ (IR 80-06) 29. Portaria nº 027-DCT, de 7 Jul 09. Aprova as Instruções Reguladoras para Práticas de Certificação de Autoridade Certificadora do Exército Brasileiro – IREPCAC (IR 80-07) 30. 4.4.2.4 Secretaria de Tecnologia da Informação Portaria n° 05-STI, de 13 de fevereiro de 2002. Aprova as Normas Administrativas relativas ao Material de Comunicações Estratégicas, Eletrônica, e Guerra Eletrônica e Informática (NARMCEI) 31. Portaria n° 06-STI, de 14 de fevereiro de 2002. Aprova as Instruções Reguladoras para o Suprimento e Dotação de Material de Informática das Organizações Militares do Exército (IR 14-01) 32. 4.5 O Quotidiano Castrense O desenvolvimento das atividades (administração, operações, instrução etc.) acontece de modo a atender aos interesses institucionais. A instituição Exército Brasileiro é hierarquicamente organizada, ou seja, sua estrutura funcional baseia-se num compósito tal, no qual existem estruturas que se submetem a outras até seu comando. 28 Art. 46. Os sistemas de informaç ão devem possuir controle de acesso de modo a assegurar o uso apenas por usuários ou processos aut orizados. 29 Art. 51. Os eventos que representem uma possível vulnerabilidade devem ser analisados detalhadamente e, dependendo de sua gravidade, são registrados em separado. 30 Art. 11. (...) Parágrafo Único. Para faz er uso de certificado digital da ICP -EB, o titular deve cumprir t oda a legislação listada no art. 5° e todo o arcabouço normativo pertinentes. 31 6.19. O usuário é responsável pelo cont role das licenças dos soft wares instalados em seu microcomputador, sendo a OM responsável pela fiscalização periódica dos soft wares instalados nos microcomputadores existentes na mesma. (Grifo no original) 32 2. SEGURA NÇA MÍNIMA a. O Comandante da OM deve estabelecer medidas de segurança nos procedimentos, na utilização de meios, na proteç ão dos dados e dos equipamentos ligados à informática no Plano de Segurança Orgânica da Unidade, visando salvaguardar as informações e o material. 32 Na GU analisada não é diferente, por se tratar de uma estrutura integrante da instituição EB. Assim, também está organizada de modo que seus integrantes, individual ou coletivamente, têm ciência disto. Faz parte da ética própria da instituição, na qual está prevista tal hierarquização, bem como a subordinação voluntária e disciplinada. 4.5.1 Hierarquia e Disciplina Tanto os militares como as OM, integrantes do EB, adotam a ―Observância estrita das regras e regulamentos‖ (MICHAELIS, Disciplina) existentes, pois: Art. 14. A hierarquia e a disciplina são a base institucional das Forças Armadas. A autoridade e a responsabilidade crescem com o grau hierárquico. § 1º A hierarquia militar é a ordenação da aut oridade, em níveis diferentes, dentro da estrutura das Forças A rmadas. A ordenação se faz por postos ou graduações; dent ro de um mesmo posto ou graduação se faz pela antigüidade no posto ou na graduação. O respeito à hierarquia é consubstanciado no espírito de acatamento à seqüência de autoridade. § 2º Disciplina é a rigorosa observância e o acat amento integral das leis, regulamentos, normas e disposições que fundamentam o organismo militar e coordenam seu funcionamento regular e harmônico, traduzindo-se pelo perfeito c umpriment o do dever por parte de todos e de cada um dos componentes desse organismo. § 3º A disciplina e o respeito à hierarquia devem ser mantidos em todas as circunstâncias da vida entre militares da ativa, da reserva remunerada e reformados. (BRASIL, 1980). 33 Pode-se perceber que há preocupação com ―a disciplina e o respeito à hierarquia‖ (BRASIL, 1980) 34 como deveres que se traduzem em demonstração de amor à Pátria. 4.5.2 O compromisso com a Pátria Fácil é de se perceber que ―As Forças Armadas, essenciais à execução da política de segurança nacional, são constituídas pela Marinha, pelo Exército e pela Aeronáutica, e destinam-se a defender a Pátria e a garantir os poderes constituídos, a lei e a ordem.‖ (BRASIL, 1980. Grifo do autor) 35. 33 34 35 Lei n° 6.880, de 9 Dez 1980 - Estatuto dos Militares. Art. 31, Inciso IV da Lei n° 6.880, de 9 Dez 1980 - Estatuto dos Militares. Art. 2° da Lei n° 6.880, de 9 Dez 1980 - Estatuto dos Militares. 33 Como está afiançado, ao que se destacou, faz parte do dia a dia castrense o sentimento de compromisso voltado ao atendimento das demandas da Pátria, sob quaisquer condições, até com o sacrifício da própria vida (BRASIL, 1980) 36. 4.6 Relação entre a Ética e a Práxis Militar A ética observada a partir das ações e prevista em documentos militares pode ser percebida na práxis adotada para a consecução dos objetivos propostos e entendidos como necessários ao atendimento do preconizado para o exercício de suas atividades. A ética militar adotada no seio da organização pesquisada está concernente ao que entendiam Platão e Aristóteles, que a viam como: ... uma dimensão da política, pois o homem não é visto senão dentro da coletividade que ele integra. Assim, existe uma ligação imediata entre o bem comum e o bem pessoal, que estabelece uma subordinação natural do indivíduo à coletividade (COS TA. Grifo no original ). De acordo com Tavares, com o que se concorda, a partir da apreensão da realidade encontrada no seio castrense, ... ética seria o conjunto de normas sistematizadas que prescrevem e regulam as ações dos indivíduos dentro de um grupo s ocial, ou de uma categoria profissional, estabelecendo direitos e deveres que devem ser observados na prática diária, capazes de produzir a harmonia entre seus membros. (2009, p. 30) Esse conjunto de normas encontra-se sistematizado nos regulamentos e documentos diversos, os quais estabelecem, além dos direitos e deveres, os procedimentos mais variados, de modo a criar, normatizar, estabelecer o padrão entendido como adequado e previsto para ser adotado no seio da instituição. Para Francisco de Salles Almeida Mafra Filho (s.d.), ―... ética é o conjunto de regras e preceitos de ordem valorativa e moral de um indivíduo, de um grupo social ou de uma sociedade...‖. Como se percebe, a ética, como entendida por esse autor, encontra-se latente no meio militar, cujas regras e valores estão postos de modo a ordenar valorativamente o indivíduo ao mesmo tempo em que o posiciona na sociedade, da qual faz parte. 36 Art. 27, Inciso I da Lei n° 6.880, de 9 Dez 1980 - Estatuto dos Militares. 34 4.7 A visão da SIC a partir da percepção dos usuários A SIC trata-se de um conjunto de ações que envolvem pessoas e seus posicionamentos ou posturas e equipamentos e seus valores, os quais são entendidos como elementos de necessária coesão. Os usuários, por vezes, não entendem sua relevância para a consecução dos objetivos institucionais e, por conseguinte, da imperiosa necessidade de agir com segurança, o que pode (e vai, certamente) influenciar, negativa ou positivamente, no sucesso organizacional. Para Zapater e Suzuki, ―Os próprios funcionários representam alto risco quando mal-intencionados ou mesmo quando não conscientes dos riscos envolvidos na manipulação da informação‖ (s.d., p. 4). Diante disto, entende-se que a ação do usuário/colaborador é de importância tal que pode significar o sucesso ou o insucesso, desde que sua ação seja concorrente com a política de SIC institucional ou não, respectivamente. Por exemplo, As senhas são uma forma de controle de ac esso aos recursos de um sistema ou uma rede. Entretanto, se elas não forem aplicadas corretamente, podem deixar um sistema ou uma rede ainda mais vulnerá vel. (ME DEIROS, 2001, p. 61) Como se percebe, uma simples ação, a de utilizar senha como possibilidade de controle de acesso, com seu consequente registro para possível auditoria, assim como promove melhoria de segurança, se bem empregada, pode também ser uma porta de entrada para o sistema considerado, ou seja, permitir a quebra de segurança. Então, ao usuário cabe entender a funcionalidade da SIC organizacional, promover, dentro de sua esfera de atribuição, a aplicação dos recursos existentes e, desde que apropriadamente, cumprir as determinações emanadas dos superiores. Pois não lhes cabe apresentar oportunidades de melhoria dos sistemas existentes, ainda que as mesmas sejam apreendidas a partir da execução de suas atividades diárias, se não tiver determi nação para tal. 35 5 Discussão A realização da pesquisa teve como elemento motivador a tentativa de estabelecimento de possível influência da Ética castrense nos procedimentos relacionados à SIC, considerando-se que ―todo usuário é responsável pela segurança da informação que manipular, bem como pelos recursos computacionais ou de comunicações que utilizar‖ (EB, 2001). 37 Diante disto, mediante a aplicação de questionário, foi possível compreender como os usuários dos sistemas computacionais utilizados institucionalmente percebem a relevância de seu relacionamento com os demais, pois ―o comportamento do indivíduo baseia-se em sua percepção da realidade e não na realidade em si‖ (MARCIANO, 2006, p. 181), nos variados níveis; bem como identificar sua postura diante das políticas institucionais. A partir da obtenção destes valores, estabeleceu-se uma relação entre o que está previsto 38 (e que se pressupõe deveria ser executado) e o que acontece, configurado pelos dados apresentados do excerto da pesquisa constante do Quadro Resumo da Pesquisa. Conforme os índices informam, todos os usuários têm conhecimento da existência de legislações apropriadas e que regulam os procedimentos de SIC institucional. A análise da amostra obtida permite o entendimento de que a SIC esteja acontecendo em conformidade com as orientações, uma vez que há a afirmação de que os procedimentos de segurança estão sendo realizados. 37 38 Port. n° 121-EME, de 12 novembro 2001 (IR 20-26). Consultar o Cap. 4. 36 Tabela I – Quadro Resumo da Pesquisa Realizada Questionários Questões Respondidos Sim Não 15 0 15 0 1 14 5 10 12 3 O senhor sabe se existem normas de segurança próprias para o processamento eletrônico de dados no Exército Brasileiro? O senhor executa todas as medidas de segurança previstas/existentes quando da operação do sistema? Em todos os momentos em que o senhor se afasta 15 da estação de trabalho, o senhor se desconecta do sistema? O senhor acredita que, em virtude de sua posição funcional/necessidade do trabalho, o acesso ao sistema, por usuário que não o senhor, se justifica, mediante o uso de sua senha de acesso? O senhor já forneceu sua senha de acesso a outro usuário? Fonte: Questionário de Pesquisa realizada pelo autor 39. Entretanto, como se percebe, há incongruência no posicionamento adotado pelos colaboradores, pois ao mesmo tempo em que afirmam (100%) adotarem os procedimentos de segurança previstos, também confirmam (80%) já terem fornecido sua senha de acesso a outro usuário. Além do mais, percebe-se que 30% dos usuários acreditam que a utilização de sua senha de acesso por outro usuário (chefes ou vice-versa) é possível, desde que visando atender objetivo institucional. Fato este contrário ao que preconiza norma federal, na qual se encontra que, ―Independente das circunstâncias, as senhas de acesso não devem ser compartilhadas ou reveladas para outras pessoas que não o usuário autorizado, ficando o proprietário da senha responsável legal por qualquer prática indevida cometida.‖ (MPOG, 2005, p. 13). Assim, configura-se a opção pelo risco, ainda que, em tese, controlado, a partir do qual o usuário assume a responsabilidade pelas ações daquele que acessar o 39 Questionário dis ponibilizado na íntegra como anexo. 37 sistema a partir de sua senha, fato este que compromete a política de segurança, pois, é importante observar, ―o sucesso do processo de identificar e implementar controles de segurança adequados exige a participação efetiva de todos os empregados da organização‖ (SOUZA NETO, 2010, p. 19). Não bastasse isto, outro procedimento adotado – fornecer sua senha de acesso – por 93,3% dos usuários demonstra, no mínimo, despreocupação com a SIC, em virtude de não executarem essa ação simples, de sua responsabilidade 40 e que agrega grande valor à SIC, principalmente porque ―O papel do usuário na segurança da informação é estratégico. Ele é o primeiro combatente‖ (QUINTELLA & LIMA). Assim, fazendo-se uma análise das respostas e de sua significação, pode-se compreender que a suposição concebida na hipótese seja real, ou seja, pode-se compreender que exista alguma forma de influência, ocasionada pelos procedimentos adotados pelos integrantes da instituição, para a S IC institucional. 40 ―O objetivo de controle ―Responsabilidades dos usuários‖ visa prevenir o acesso não autorizado, por meio da obtenção da cooperação dos usuários, da conscientização das res ponsabilidades de cada um...‖ (FE RNA NDES, 2010a, p. 29). 38 6 Conclusões e Trabalhos Futuros 6.1 Conclusões A realização desta pesquisa intentava identificar a existência de influência da ética funcional dos colaboradores da Instituição ALFA na SIC institucional, de modo que fosse possível perceber possíveis alterações na práxis diária dos usuários dos sistemas informatizados que caracterizassem isto. A partir da execução da pesquisa e da obtenção dos dados, obtiveram-se resultados em áreas variadas, bem como conhecimentos diversos, os quais serão arrolados por características, de forma a permitir um melhor entendimento. 6.1.1 Dispositivos legais A existência de disposição legal sobre a Política de SIC ficou comprovada, conforme ficou configurada pelo estabelecimento de documentação disponível, nos níveis estatal e institucional (no Cap. 4.4). Além disto, existem decretos, normas e diretrizes que particularizam e especificam os procedimentos a serem adotados pelos usuários dos sistemas de informação existentes, os quais são disponibilizados para melhorar as condicionantes das necessidades do serviço público. No âmbito da organização pesquisada, utilizam-se leis, regulamentos e normas federais e institucionais, restringindo-se a emissão de documentos e normas gerais de segurança específicas para a organização. 6.1.2 O usuário e sua práxis A informatização, e a consequente utilização dos instrumentos apropriados, requer do usuário uma maior preocupação e atenção, considerando-se que o 39 mesmo, além de executar suas atividades com acerto, tem de observar que pode franquear acesso a todo o sistema de trabalho e organizacional, caso não observe os requisitos de segurança. Constatou-se que os usuários não demonstram preocupação com a SIC, seja pela inobservância de todos os dispositivos de segurança previstos, e existentes, seja pelo fato de que, ainda que afirmem executar ou atender determinada normatização, não cumprem todas as recomendações previstas. Ainda, como se percebe no Capítulo 5, sob o pretexto do cumprimento das atividades (ou das ordens das autoridades), ―esquecem‖ de utilizar instrumento básico de segurança com os critérios que lhe são apropriados: a senha, a qual é compartilhada sob os mais variados pretextos: agilização na execução de atividades, cumprimento de ordem, substituição de usuário em atividade etc. Outro dispositivo básico de SIC pouco utilizado pelo usuário é a proteção de tela do computador, mediante senha, de modo a evitar que seu trabalho seja observado por outro que não ele próprio. Não existe a consciência de que em seu local de trabalho podem coexistir pessoas cuja confiabilidade seja duvidosa, aumentando, assim, a possibilidade de risco de incidente de SIC. 6.1.3 Ética profissional e SIC Entendeu-se estabelecer uma relação entre a ética profissional, existente e percebida no universo pesquisado, e os procedimentos de SIC, preconizados em documentação existente e praticados. A ética, como discutida no Capítulo 4 (particularmente nas partes 4.2 e 4.6), ―... refere-se às ações humanas, e volta-se para as relações sociais‖ (BRAGA, 2006, p. 180), o que remete às variadas oportunidades em que se manifesta a relação entre as pessoas, seja funcionalmente, seja pessoalmente, ao que impõe certos cuidados no seu estabelecimento. No ambiente pesquisado, percebe-se fortemente a presença da ética profissional, configurada pelos instrumentos legais que a preconizam, além da previsão de dispositivos que estabelecem os momentos e ocasiões em que determinado procedimento deve ser adotado. A ética profissional, neste caso, por se tratar de instituição cujos valores estabelecem-se sobre os critérios da hierarquia e da disciplina, recebe influências 40 particulares relacionadas às próprias características profissionais (militares) o que, por conseguinte, impõe a adoção de procedimentos adequados ao atendimento desses aspectos. A SIC, prevista por intermédio de inúmeros instrumentos, tem preconizada sua existência e está estabelecida de forma a proporcionar os meios suficientes para a consecução dos objetivos institucionais sob sigilo, segurança, confiabili dade e eficiência, desde que alcançados de modo a não se colocar em choque com os elementos da ética profissional. A atuação dos usuários dos sistemas informatizados, na execução de suas atribuições, não se encontra adequada em relação aos preceitos estabelecidos, uma vez que (por vezes) são descumpridas determinadas normas e procedimentos em nome da autoridade. Percebe-se, assim, que a ética profissional interfere na consecução dos objetivos de SIC, os quais são alcançados em virtude de determinação para tal, o que demonstra dependência da autoridade, quem pode estabelecer o que deve (e não deve) ser feito e quando. 6.1.4 (Des)Entendimentos Entendeu-se, inicialmente, ser de desconhecimento, senão de todos, da grande maioria dos usuários a existência de legislações, normas e outros documentos acerca dos sistemas informatizados. Entretanto, como se percebe no Capítulo 5, a partir dos resultados da pesquisa, foi possível identificar que este não é um motivo por que os usuários não executam adequadamente os procedimentos de SIC, uma vez que têm conhecimento das orientações legais existentes. Situação esta que, paradoxalmente – pois ao mesmo tempo em que se constata existirem documentos legais, que os mesmos são do conhecimento dos usuários, identifica-se que não são cumpridas as determinações neles constantes – proporciona que se estabeleçam novos e diversos questionamentos acerca do porquê não são cumpridos os procedimentos legais preconizados em documentação existente. 41 6.1.5 A senha da discórdia Constatou-se que há compartilhamento de senha de acesso dos sistemas informatizados, ainda que comprovadamente contrário às normas legais vigentes, as quais são do conhecimento dos usuários. Sob a alegação da necessidade de celeridade para o cumprimento de determinadas atribuições ou para promover a continuidade dos processos, o assunto ―uso privativo de senha‖ torna-se de somenos importância, considerando -se que, se se cumprir o estabelecido legalmente (e logicamente), não seria possível cumprir os prazos e determinações. Portanto, divulgam-se as senhas, compartilham-se as possibilidades de acesso, no intuito de se facilitar que o trabalho seja executado. Como se percebe, há inconteste contradição entre o que está preconizado como legal, adequado e apropriado à SIC e o que se executa, independentemente das (possíveis) consequências advindas disso. 6.1.6 O que deve e o que é realizado Percebeu-se que há uma preocupação no cumprimento das atribuições funcionais, no atendimento às demandas operacionais e organizacionais, que perpassam pela imediata execução das atividades previstas, independentemente, por vezes, de se atentar aos requisitos básicos de SIC. Pelo fato de a organização basear-se nos critérios da hierarquia e da disciplina incontestes, por vezes a execução de determinadas ações, ainda que previstas, ocorre de forma intempestiva e sob o descalabro das normas preconizadas pelo fato de as ordens não deverem ser questionadas. Assim, ocorre que algumas ações são executadas com fito no atendimento das ordens, ainda que pudessem sê-lo de forma diversa, sobretudo com ganhos para a SIC institucional. 6.1.7 O que (não) se viu A Política de SIC adotada institucionalmente é adaptada de normas gerais, de organismos superiores, cujas regras gerais se aplicam imprecisamente à SI organizacional, ou seja, não existiam 41 normas locais delimitadoras dos procedimentos de SIC a serem adotados pelos colaboradores. 41 A partir da realização da pesquisa e dos resultados parciais informados (o pesquisador é int egrante da instituição), foram desenvolvidas políticas e aprimorados procedimentos. 42 As medidas adotadas com vistas ao gerenciamento, controle, auditoria, correção e divulgação das políticas de SIC são carentes, restringindo-se a momentos ocasionais resultantes de ordens superiores ou de eventos de quebra de SIC ocorridos interna ou externamente à organização. Como citado algures, a política de segurança do Exército Brasileiro, instituição a qual a organização pesquisada integra, não está contemplada integralmente na organização, aplicando-se somente alguns pontos previstos naquela, do que redunda em não atendimento integral aos pré-requisitos lá contidos. 6.1.8 Das (im)possibilidades da pesquisa A prática de pesquisar ou de se utilizar de outros instrumentos de levantamento de informações (que não realizados pela instituição ou por seus agentes determinados), não é compreendida adequadamente. Diante disto, entende-se que os valores alcançados, a partir do pequeno número de respostas obtidas e analisadas, não representam, conclusivamente, que a ética profissional, presente na organização pesquisada, exerça influência definitiva sobre a SIC. Mas indicam que pode haver algum tipo de interferência significativo na solução dos problemas redundante do modo de ação adotado pelos integrantes. 6.2 Trabalhos Futuros As constatações proporcionadas pela realização desta pesquisa serviram para ampliar o conhecimento acerca da possibilidade de influência da ética profissional em procedimentos de SIC. Entende-se possível o estabelecimento de outras pesquisas sobre este assunto, com a finalidade de determinar cientificamente a existência de alguma influência da ética profissional na SIC na organização pesquisada bem como em outras do mesmo organismo. Além disto, a ampliação para outras áreas de atividade profissional apresenta-se como campo de pesquisa promissor. A realização desta pesquisa proporcionou certo esclarecimento acerca do conhecimento disponível acerca do assunto, pois serviu como índice de variados aspectos das atuações dos usuários de sistemas informatizados sob os aspectos da SIC e da ética profissional. Na linha de pesquisa voltada ao entendimento da influência da ética nas profissões, pode-se promover uma ampliação do conhecimento sobre essa possibilidade, a partir de trabalhos voltados à consecução de informações 43 delimitadas pela área a ser pesquisada, cujas particularidades delimitam ou direcionam o escopo do trabalho a ser realizado. Para a área da Administração, a compreensão de como acontecem as relações promovidas pela ética profissional pode promover a possibilidade de facilitação do desenvolvimento de técnicas voltadas ao aproveitamento e melhoramento das relações interpessoais, além de proporcionar entendimento acerca das influências procedimental existentes nos relacionamentos empregadorempregado. Para a área de TI, considerando-se suas variadas possibilidades e abrangências, a definição e o entendimento de como influi a compreensão da ética profissional no desenvolvimento e no comprometimento do pessoal com a instituição, pode proporcionar oportunidade de identificação de ações facilitadoras da adoção de medidas aprimoradas para a SIC. À organização pesquisada, entende-se possível o desenvolvimento de medidas voltadas ao atendimento de medidas de SIC como: realização de orientação aos usuários dos sistemas informatizados, adoção de ações corretivas, divulgação das legislações existentes, concepção e divulgação de norma própria, cujas características sejam adequadas ao seu ambiente organizacional. 44 Referências e Fontes Consultadas ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Apresentação de relatórios técnico-científicos: NBR 10719. ABNT: Rio de Janeiro, 1989. ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Informação e documentação — Citações em documentos - Apresentação: ABNT NBR 10520. ABNT: Rio de Janeiro, 2002. ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Informação e documentação — Referências - Elaboração: ABNT NBR 6023. ABNT: Rio de Janeiro, 2002. ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Informação e documentação — Resumo - Apresentação: ABNT NBR 6028. ABNT: Rio de Janeiro, 2003. ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:2005. Segurança física e do ambiente. Segurança Física: parecer o que se é. Disponível em <http://internativa.com.br/artigo_seguranca_11.html>. Acessado em agosto de 2010. ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005:2008. Rio de Janeiro, 2008. ADVOCACIA-GERAL DA UNIÃO. Portaria N° 192, de 12 de fevereiro de 2010: Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. Disponível em <http://www.abdir.com.br/legislacao/legislacao_abdir_18_2_10_3.pdf>. Acessado em agosto de 2010. A ÉTICA Profissional no Serviço Público Brasileiro. <http://portal.ouvidoria.fazenda.gov.br/ouvidoria/ActionServlet?idInformacao=36 45 8&objeto=br.com.tellus.ouvidoria.negocio.InformacaoUtil&acao=recover>. Acessado em maio de 2010. A EVOLUÇÃO do Conceito de Privacidade. Investimentos e Notícias (São Paulo), 05/05/2010, 01:04h. Disponível em <http://www.investimentosenoticias.com.br/ultimas-noticias/artigos-especiais/aevolucao-do-conceito-de-privacidade.html>. Acessado em setembro de 2010. ARAS, Vladimir. O tele-interrogatório no Brasil. Elaborado em 11.2002. Disponível em <http://jus2.uol.com.br/doutrina/texto.asp?id=3632&p=2>. Acessado em agosto de 2010. ARAÚJO, Aletéia Patrícia Favacho de. Infraestrutura de Tec nologia da Informação. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. ARISTÓTELES. Ética a Nicômaco. Disponível em < http://filosofiauerj.files.wordpress.com/2007/05/etica-a-nicomacoaristoteles.pdf>. Acessado em março de 2010. AUDITORIA em Segurança da Informação. Disponível em <http://rmagdalena.wordpress.com/2011/01/14/auditoria-em-seguranca-dainformacao/>. Acessado em março de 2011. BOFF, Leonardo. Ética e moral: que significam? Disponível <http://www.leonardoboff.com/site/vista/outros/etica-e-moral.htm>. em Acessado em junho de 2011. BOFF, Leonardo. O nascimento de uma ética planetária. Disponível em <http://www.triplov.org/boff/etica.html>. Acessado em junho de 2011. BOUSQUET FILHO, Sérgio; VITOR, José, GABRIELLE, Anna, JOSÉ, Paulo. Estabelecimento empresarial. Cadernos Colaborativos, a enciclopédia livre. Disponível em <http://academico.direito- rio.fgv.br/ccmw/Estabelecimento_empresarial>. Acessado em agosto de 2010. BRAGA, Pedro. Ética, Direito e Administração Pública. 2. ed. rev. e atual. Brasília: Senado Federal, Subsecretaria de Edições Técnicas, 2006. BRANCO Jr, Robson. Uma Introdução Sobre Certificados Digitais e PKI no Windows Server 2003. Data de criação: 24/01/2007. Disponível em 46 <http://www.itcentral.com.br/default.asp?ACT=5&content=209&id=18&mnu=18. Acessado em janeiro de 2011. BRASIL. Constituição da República Federativa do Brasil: Texto constitucional promulgado em 5 de outubro de 1988, com as alterações adotadas pelas Emendas Constitucionais n° 1/92 a 56/2007 e pelas Emendas Constitucionais de Revisão n° 1 a 6/94. Brasília: Senado Federal, Subsecretaria de Edições Técnicas, 2008. BRASIL. Decreto n° 2.910, de 29 de dezembro de 1998: Estabelece normas para a salvaguarda de documentos, materiais, áreas, comunicações e sistemas de informação de natureza sigilosa, e dá outras providências. Disponível em: <http://www.jusbrasil.com.br/legislacao/110207/decreto-2910-98>. Acessado em novembro de 2010. BRASIL. Decreto n° 3.505, de 13 de junho de 2000: Institui a política de segurança da informação nos órgãos e entidades da administração pública federal. Brasília, 2000. Disponível em: <http:www:planalto:gov:br/ccivil 03/decreto/D3505:htm>. Acessado em agosto de 2010. BRASIL. Decreto n° 4.553, de 27 de dezembro de 2002: Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal. BRASIL. Lei n° 6.880, de 9 de dezembro de 1980. Estatuto dos Militares. Disponível em <http://www.planalto.gov.br/ccivil_03/Leis/L6880.htm>. Acessado em dezembro de 2010. BRASIL. Lei n° 8.112, de 11 de dezembro de 1990. Dispõe sobre o Regime Jurídico dos Servidores Públicos Civis da União, das autarquias e das fundações públicas federais. Disponível em <http://www.3rm.eb.mil.br/sas/LEI_8112.htm>. Acessado em agosto de 2011. BRASIL. Portaria n° 45, de 8 de setembro de 2009: Institui, no âmbito da Câmara de Relações Exteriores e Defesa Nacional (CREDEN), o Grupo Técnico de Defesa Cibernética. BREVE histórico da Ergonomia. Disponível em <http://drsergio.com.br/ergonomia/curso/hist.html>. Acessado em agosto de 2010. 47 CAMPOS, Michele; GRE IK, Michl; VALE, Tacyanne do. História da Ética. CienteFico. Ano II, v. I, Salvador, agosto-dezembro 2002. CARACAS, Sheila Rodrigues Cardozo. Ética na administração Pública. Disponível em <http://www.administradores.com.br/informe -se/producao-academica/eticana-administracao-publica/1396/>. 2008. Acessado em maio de 2010. CARVALHO, Luis Carlos Ludovikus Moreira de. Ética e Cidadania. Assembleia Legislativa do Estado de Minas Gerais. CENTRO de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 3.0 – Setembro de 2005. <Disponível em http://cartilha.cert.br/>. Acessado em março de 2011. CERON, João; BOOS Jr, Arthur; MACHADO, Caciano; MARTINS, Fernanda; REY, Leandro. O processo de tratamento de incidentes de segurança da UFRGS. TRI - Time de Resposta a Incidentes de Segurança da Universidade Federal do Rio Grande do Sul. Centro de Processamento de Dados. Porto Alegre. CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de Segurança para Internet. Versão 3.1 – Outubro de 2006. CHAIM, Ricardo Matos. Modelagem, Simulação e Dinâmica de Sistemas. Brasília: UnB. Departamento da Ciência da Computação, 2010a. Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. CHAIM, Ricardo Matos. Modelagem, Simulação e Dinâmica de Sistemas - Casos e Exercícios. Brasília: UnB. Departamento da Ciência da Computação, 2010b Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. CHAIM, Ricardo Matos. Modelo para estimar o prestígio do gestor de organizações. Brasília: UnB. Departamento da Ciência da Computação, 2010c. Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. 48 CONCEITOS DE ERGONOMIA. Disponível em <http://www.univ- ab.pt/formacao/sehit/curso/ergonomia/uni1/concerg.html>. Acessado em agosto de 2010. COSTA, Alexandre Araújo. Ética, Virtude e Sociedade. <http://www.arcos.org.br/artigos/etica-virtude-e-sociedade/>. Disponível em Acessado em março de 2010. DA SILVA, Daiane Aparecida; BARBOZA, Reginaldo José. Ergonomia Aplicada ao Trabalho. Revista Científica Eletrônica de Administração – ISSN: 1676-6822, Ano V – Número 9 – Dezembro de 2005 – Periódico Semestral. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008: Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Instrução Normativa GSI/PR nº 4, de 12 de novembro de 2010: Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 02/IN01/DSIC/GSIPR, de 13/OUT/08: Metodologia de gestão de segurança da informação e comunicações. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 03/IN01/DSIC/GSIPR, de 30/JUN/09: Diretrizes para elaboração de política de segurança da informação e comunicações nos órgãos e entidades da administração pública federal. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 04/IN01/DSIC/GSIPR, de 14/AGO/09: Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 05/IN01/DSIC/GSIPR, de 14/AGO/09: Criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 06/IN01/DSIC/GSIPR de 01/NOV/09: Gestão 49 de Continuidade de Negócios em Segurança da Informação e Comunicações. Disponível em <http://dsic.planalto.gov.br/legislacaodsic/53>. Acessado em abril de 2011. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 07/IN01/DSIC/GSIPR, de 06/MAIO/10: Diretrizes para implementação de controles de acesso relativos à segurança da informação e comunicações. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 08/IN01/DSIC/GSIPR, de 19/AGO/10: Gestão de ETIR: diretrizes para gerenciamento de incidentes em redes computacionais nos órgãos e entidades da administração Pública federal. DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GSIPR. Norma Complementar 09/IN01/DSIC/GSIPR, de 19/NOV/10: Orientações específicas para o uso de recursos criptográficos em segurança da informação e comunicações. DISCIPLINA. Disponível em <http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=disciplina>. Acessado em maio de 2011. DOMINGUES, Frei Bento. Virtudes da ética laica e da ética religiosa. 26 de Outubro de 1997. Disponível em <http://paginas.fe.up.pt/~ptcastro/FBento2.html>. Acessado em março de 2010. ÉTICA. Disponível em <http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=%E9tica>. Acessado em maio de 2011. ÉTICA das Virtudes. Disponível em <http://www.google.com.br/#hl=pt- BR&q=%C3%A9tica+valores+e+virtudes&start=30&sa=N&fp=bdfcd91303fbf446 >. Acessado em março de 2010. ÉTICA, Virtude e Sociedade. Disponível em <http://www.arcos.org.br/artigos/eticavirtude-e-sociedade/>. Acessado em março de 2010. EXÉRCITO BRASILEIRO. Portaria n° 011, de 10 de janeiro de 2001a; Aprova as Instruções Gerais para Salvaguarda de Assuntos Sigilosos (IG 10 -51). EXÉRCITO BRASILEIRO. Portaria n° 483, de 20 de setembro de 2001b: Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). 50 EXÉRCITO BRASILEIRO. Portaria nº 121-EME, de 12 de novembro de 2001c: Aprova as Instruções Reguladoras para Utilização da Rede Mundial de Computadores (Internet) por Organizações Militares e Militares do Exército (IR 20-26). EXÉRCITO BRASILEIRO. Portaria n° 05-STI, de 13 de fevereiro de 2002a: Aprova as Normas Administrativas relativas ao Material de Comunicações Estratégicas, Eletrônica, e Guerra Eletrônica e Informática (NARMCEI). EXÉRCITO BRASILEIRO. Portaria n° 06-STI, de 14 de fevereiro de 2002b: Aprova as Instruções Reguladoras para o Suprimento e Dotação de Material de Informática das Organizações Militares do Exército (IR 14 -01). EXÉRCITO BRASILEIRO. Portaria nº 156, de 23 de abril de 2002c: Aprova o VadeMécum de Cerimonial Militar do Exército - Valores, Deveres e Ética Militares (VM 10). EXÉRCITO BRASILEIRO. Portaria n° 049-DCT, de 19 Dez 05: Instruções Reguladoras para o Emprego Sistêmico do Serviço de Correio-Eletrônico no Exército Brasileiro – IRESCE (IR 13-06). EXÉRCITO BRASILEIRO. Portaria n° 026-DCT, de 31 Mar 06: Aprova as Instruções Reguladoras para Emprego Sistêmico da Informática no Exército Brasileiro – IREMSI (IR 30-07). EXÉRCITO BRASILEIRO. Portaria n° 002-DCT, de 31 Jan 07a: Instruções Reguladoras sobre Análise de Riscos para Ambientes de Tecnologia da Informação do Exército Brasileiro – IRRISC (IR 13-10). EXÉRCITO BRASILEIRO. Portaria nº 003-DCT, de 31 Jan 07b: Aprova as Instruções Reguladoras Sobre Auditoria de Segurança de Sistemas de Informação do Exército Brasileiro - IRASEG (IR 13-09). EXÉRCITO BRASILEIRO. Portaria n° 004-DCT, de 31 Jan 07c: Instruções Reguladoras sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro (IRESER – IR 13-15). EXÉRCITO BRASILEIRO. Portaria n° 006-DCT, de 05 Fev 07d: Normas para o Controle da Utilização dos Meios de Tecnologia da Informação no Exército – NORTI (2ª Edição). EXÉRCITO BRASILEIRO. Portaria nº 025-DCT, de 7 Jul 09a: Aprova as Instruções Reguladoras sobre Segurança da Infraestrutura de Chaves Públicas do Exército Brasileiro – IRESICP (IR 80-50). 51 EXÉRCITO BRASILEIRO. Portaria nº 026-DCT, de 7 Jul 09b: Aprova as Instruções Reguladoras para Práticas de Certificação de Autoridade Certificadora Raiz do Exército Brasileiro – IRERAIZ (IR 80-06). EXÉRCITO BRASILEIRO. Portaria nº 027-DCT, de 7 Jul 09c: Aprova as Instruções Reguladoras para Práticas de Certificação de Autoridade Certificadora do Exército Brasileiro – IREPCAC (IR 80-07). FERNANDES, Jorge Henrique Cabral. GSIC500 – Gestão de Crise e Continuidade (Notas de Aula). 2009. Brasília: UnB. CIC-IE-UnB. FERNANDES, Jorge Henrique Cabral. Controle de Acessos. Brasília: UnB. Departamento da Ciência da Computação, 2010a. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos de Segurança da Informação. Brasília: UnB. Departamento da Ciência da Computação, 2010b. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. FERNANDES, Jorge Henrique Cabral. Metodologia de Pesquisas de Estudo de Caso no Programa de Formação de Especialistas para Desenvolvimento da Estratégia e Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – PFEMBGSIC. Brasília: UnB. Departamento da Ciência da Computação, 2010c. FERNANDES, Jorge Henrique Cabral. Sistemas, Informação & Comunicação. Brasília: UnB. Departamento da Ciência da Computação, 2010d. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. FERREIRA, Mário César. Atividade, categoria central na conceituação de trabalho em ergonomia. Revista Alethéia. Canoas, RS, v. 1, n. 11, p. 71-82, 2000. FICARROTTA, J. Carl. Ética Militar. Lições Aprendidas de Manuel Davenport. Disponível em <http://www.airpower.maxwell.af.mil/apjinternational/apj- p/2007/4tri07/>. Acessado em dezembro de 2010. 52 FONTES, Edison. Fatores externos e a segurança da informação. Disponível em <http://www.viaseg.com.br/artigo/146-fatores_externos_e_a_seguranca_da_ informacao.html>. Acessado em julho de 2010. FRAZÃO, Maria de Fátima Araújo; COSTA, Silvana Salomão; NEVES, Fernanda Nassif de Oliveira. A dimensão ética da responsabilidade social nas organizações. Maiêut. dig. R. Fil. Ci. afins, Salvador, v. 1, n. 2/3, p. 196-210, set. 2006/abr. 2007. GERENCIAMENTO de Chaves Públicas. Disponível em <http://www- usr.inf.ufsm.br/~tiagon/redes/seguranca_redes_1.html>. Acessado em janeiro de 2011. GONDIM, João José Costa. Gerenciamento das Operações e Comunicações. Brasília: UnB. Departamento da Ciência da Computação, 2010a. Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. GONDIM, João José Costa. Protocolo de Estudo de Caso. Tratamento de Incidentes de Segurança. Brasília: UnB. Departamento da Ciência da Computação, 2010b. Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. GONDIM, João José Costa. Tratamento de Incidentes de Segurança . Brasília: UnB. Departamento da Ciência da Computação, 2010c. Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. GUEDES, Elloá Barreto. Criptografia. O Salto Quântico da Ciência de Encriptar. Disponível em <http://dsc.ufcg.edu.br/[email protected]>. Acessado em outubro de 2010. GUILHERME, Joel. Criptografia, Chaves Públicas e Assinatura Digital para Leigos. Disponível em <http://www.google.com.br/#hl=pt- BR&biw=1024&bih=555&q=Criptografia%2C+Chaves+P%C3%BAblicas+e+Ass inatura+Digital+para+Leigos&aq=f&aqi=&aql=&oq=Criptografia%2C+Chaves+P %C3%BAblicas+e+Assinatura+Digital+para+Leigos&fp=3c537650875e1e17>. Acessado em fevereiro de 2011. 53 HARFF, Simone; NALIN, Marcos. As Falhas nos Mecanismos de Segurança da Informação: A Importância da Criptografia no Sistema Colégio Militar. EsAEx – Escola de Administração do Exército. Salvador – BA, Brasil. HAYES, Bill. Realização de uma auditoria de segurança: uma visão introdutória. Publicado em: 25 de maio de 2003. Disponível em <http://translate.google.com.br/translate?hl=ptBR&langpair=en|pt&u=http://www.symantec.com/connect/articles/conducting security-audit-introductory-overview>. Acessado em março de 2011. HIERARQUIA. Disponível em <http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=hierarquia>. Acessado em maio de 2011. HOLANDA, Maristela Terto de & FERNANDES, Jorge Henrique Cabral. Segurança no Desenvolvimento de Aplicações. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. IMASTERS PRO. Perícia Forense Computacional e metodologias para obtenção de evidências. Terça-feira, 17 de julho de 2007 às 09h00. Disponível em <http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_ e_metodologias_para_obtencao_de_evidenvias/>. Acessado em novembro de 2011. IMASTERS PRO. Perícia Forense Computacional - Ferramentas Periciais. Terçafeira, 17 de julho de 2007 às 09h00. Disponível em <http://imasters.uol.com.br/artigo/6485/forense/pericia_forense_computacional_ ferramentas_periciais/>. Acessado em novembro de 2011. JESUS, Rodrigo Marques de. Leonardo Boff: Antropologia, Ontologia, Cosmologia, Ética e Mística. Centro de Pesquisas Estratégicas ―Paulino Soares de Sousa‖. Universidade Federal de Juiz de Fora. Disponível em <www.ufjf.edu.br/defesa>. Acessado em maio de 2011. LONGO, Gustavo Dobkowski. Artigo Científico: Seg urança da Informação. Artigo Científico apresentado na Disciplina de Língua Portuguesa I do curso de graduação Bacharelado em Sistemas de Informação da Faculdade de Ciências da Universidade Estadual Paulista, Campus de Bauru. Disponível em < 54 http://www.ebah.com.br/content/ABAAAAUX0AA/seguranca -informacao>. Acessado em março de 2011. LOPEZ, André Porto Ancona. Diretrizes para o Desenvolvimento de Projetos de Cunho Científico. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. LUCENA NETO, Cláudio Simão de; TORRES, Érica Maria Lopes; TORRES, Myrla Lopes. Análise e intervenção ergonômica como instrumentos para a prevenção de acidentes de trabalho e de responsabilidade jurídica. 2006. Disponível em <http://jus2.uol.com.br/doutrina/texto.asp?id=8346>. Acessado em agosto de 2010. MACHADO, Ulysses Alves de Levy. Estranha Liberdade. Brasília, 2 de novembro de 2008. MACHADO, Ulysses Alves de Levy. Direito na Sociedade da Informação. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. MAFRA FILHO, Francisco de Salles Almeida. A Ética Profissional no Serviço Público Brasileiro. Revista Jurídica Virtual - Presidência da República. Disponível em <http://portal.ouvidoria.fazenda.gov.br/ouvidoria/ActionServlet?idInformacao=36 8&objeto=br.com.tellus.ouvidoria.negocio.InformacaoUtil&acao=recover>. Acessado em maio de 2010. MARCIANO, João Luiz Pereira. Segurança da Informação - uma abordagem social. Brasília, 2006. Tese apresentada ao Departamento de Ciência da Informação e Documentação da Universidade de Brasília como requisito para a obtenção do título de doutor em Ciência da Informação. MARTINS. João Barbosa. Ética na Administração Pública. Disponível em <http://www.direitonet.com.br/artigos/exibir/649/Etica-na-AdministracaoPublica>. Acessado em março de 2010. MARTINS, Roberta Ribeiro de Queiroz. Segurança da informação. Secretaria de Fiscalização de Tecnologia da Informação/Tribunal de Contas da União. Slides de Palestra realizada em dez 2007. 55 MEDEIROS, Carlos Diego Russo. Segurança da Informação: Implantação de Medidas e Ferramentas de Segurança da Informação. JOINVILLE, 2001. (Trabalho de Conclusão de Estágio apresentado ao Curso de Informática da Universidade da Região de Joinville – UNIVILLE). MEUCCI, Artur. O Que é Ética? Disponível em <http://www.espacoetica.com.br/oqueeetica>. Acessado em maio de 2010. MINISTÉRIO DO PLANEJAMENTO ORÇAMENTO E GESTÃO. Secretaria de Logística e Tecnologia da Informação. Guia de Referência para a Segurança da Informação Usuário Final. Brasília, 2005. MINISTÉRIO DO TRABALHO E EMPREGO. Nota Técnica 060/2001. Ergonomia – indicação de postura a ser adotada na concepção de postos de trabalho. Brasília, 03 de setembro de 2001. MORALIDADE. Disponível em <http://www.allaboutphilosophy.org/portuguese/moralidade.htm>. Acessado em setembro de 2011. MOREIRA, Licínio; ALLEMAND, Marcos; MACHADO, Ulysses. Ética em GSI. As três grandes matizes éticas uma visão interna. Curso de Especialização em Gestão da Segurança da Informação. Disciplina Ética, Aspectos Legais e Conformidade em Segurança. Prof. Jorge Henrique Cabral Fernandes. (a) MOREIRA, Licínio; ALLEMAND, Marcos; MACHADO, Ulisses. Aspectos jurídicos em matéria de GSI – um estudo de caso. Brasília: Unb. (Trabalho apresentado a Disciplina Ética, Aspectos Legais e Conformidade em Segurança, ministrada pelo Prof. Jorge Henrique Cabral Fernandes, no Curso de Pós-Graduação em Especialização em Gestão da Segurança da Informação). (b) MOREIRA, Marcílio Marques. Ética Pública: conceitos, problemas e relevância. Disponível em < http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arq uivos/empresa/etica/etica_publica.pdf>. Acessado em março de 2011. MORI JUNIOR, Dornélio & BERMUDES Fo, Ney Theodoro M. O Sistema de Criptografia de Chave Pública RSA. Disponível em <http://www.inf.ufes.br/~claudine/courses/paa09/seminarios/textos/seminario13. pdf>. Acessado em fevereiro de 2011. 56 MULLER, Desirée Brandão. Ética e serviço público. 08/jun/2006. Disponível em <http://www.direitonet.com.br/artigos/exibir/2674/Etica-e-servico-publico>. Acessado em março de 2010. NASCIMENTO, Anderson Clayton do. Criptografia e Infraestrutura de Chaves Públicas. Brasília: UnB. Departamento da Ciência da Computação, 2010. Material desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. O QUE é Ética? Disponível em <http://www.espacoetica.com.br/oqueeetica.> Acessado em maio de 2010. O RISCO ERGONÔMICO. Disponível em <http://www.uni v- ab.pt/formacao/sehit/curso/ergonomia/uni1/risco.html>. Acessado em agosto de 2010. O SISTEMA ERGONÔMICO. Disponível em <http://www.univ- ab.pt/formacao/sehit/curso/ergonomia/uni1/sistema.html>. Acessado em agosto de 2010. OWASP. OWASP Top 10 vulnerabilidades de segurança na Web. Disponível em <http://translate.google.com.br/translate?hl=ptBR&langpair=en|pt&u=http://css.dzone.com/articles/owasp-top-10-websecurity>. Acessado em fevereiro de 2011. PAVELOSKI, Alessandro. Subsídios para uma teoria da Comunicação digital. Revista Textos de la CiberSociedad. ISSN 1577-3760 · Número 4 · Temática Variada. <Disponível <http://www.cibersociedad.net/textos/articulo.php?art=43>. em Acessado em agosto de 2010. PEREIRA, Adriana Camargo. Ética e reavaliação: a perspectiva de Leonardo Boff. Anuário da Produção Acadêmica Docente. Vol. III, N° 5, Ano 2009. PERNAMBUCO. Agência Estadual de Tecnologia da Informação – Ati. Política de Segurança da Informação da ATI – PSI/ATI V 1.0. PINTO, Marcio Morena. O Direito da internet: o nascimento de um novo ramo jurídico. Elaborado em 02.2001. Disponível em <http://www1.jus.com.br/Doutrina/texto.asp?id=2245>. Acessado em agosto de 2010. 57 PISTELLI, Daniela. Criptografia. Disponível em <www.geekbrasil.com.br>. Acessado em setembro de 2010. PONTES E SILVA, Tiago Barros. Protocolos de comunicação Homem-máquina. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. SECRETARIA DE LOGÍSTICA E TECNOLOGIA DA INFORMAÇÃO. Instrução Normativa no 04, de 19 de maio de 2008: Dispõe sobre o processo de contratação de serviços de Tecnologia da Informação pela Administração Pública Federal direta, autárquica e fundacional. QUAQUIO, Luiz Cezar. Infra-estrutura de Chave Pública (ICP). Disponível em <http://www.infosegura.eti.br/artigos/icp.pdf>. Acessado em fevereiro de 2011. QUINTELLA, Heitor M & LIMA, Luiz Fernando F. de M. Percepção de Segurança em Sistemas de Informação e sua relação com a Qualidade Percebida de Serviços, entre as diretorias do Inmetro. REZENDE, Pedro A. D. Criptografia e Segurança na Informática. Disponível em <http://www.cic.unb.br/docentes/pedro/segdados_files/CriptSeg1-2.pdf>. Acessado em fevereiro de 2011. RODRIGUES, Roberto Wagner da Silva. Aquisição e Implementação, Entrega e Suporte de Serviços de TI. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. RODRIGUES, Roberto Wagner da Silva e FERNANDES, Jorge Henrique Cabral. Auditoria e Conformidade de Segurança da Informação. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. ROGER, Denny. Implementando mudanças nos processos de segurança da informação. Disponível em <http://epsec.com.br/blog/?tag=sgsi>. Acessado em julho de 2010. 58 SANTOS, Gustavo Paniagua dos; SILVA, Wilbert Carpi; NALIN, Marcos. Segurança da informação: da constituição e atuação do Conselho Gestor de Segurança na Organização Militar. SEGURANÇA FÍSICA: parecer o que se é. Disponível <http://internativa.com.br/artigo_seguranca_11.html>. Acessado em em agosto 2010. SÊMOLA, Marcos. Change Management: a chave para ‗vender‘ segurança internamente. Coluna Firewall, 49, julho de 2003. SILVA, Caio César Neves da. Responsabilidade Civil e Penal na Gestão de Documentos de Terceiros. (Monografia vencedora do Concurso ―A melhor monografia vale prêmio‖, da Escola Superior de Advocacia – OAB/SP e Recall do Brasil). SÃO PAULO – SP, 2008. SILVA, Tiago Barros Pontes e. Protocolos de Comunicação Homem-Máquina. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. SILVA NETO, Amaro Moraes e. A internet não criou um novo bem jurídico a ser tutelado. Disponível em <http://www.conjur.com.br/2006-dez- 06/internet_nao_criou_bem_juridico_tutelado?>. Acessado em setembro de 2010. SOARES, Marcelo. Ergonomia: soluções e propostas para um trabalho melhor. Prod., São Paulo, v. 19, n. 3, 2009. Disponível em <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S010365132009000300001&lng=en&nrm=iso>. Acessado em agosto de 2010. SOUZA NETO, João. Política e Cultura de Segurança. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. TARTUCE, Flávio. A função social da posse e da propriedade e o direito civil constitucional. Elaborado em 11.2005. <http://jus2.uol.com.br/doutrina/texto.asp?id=7719>. Disponível Acessado em em outubro 2010. TRIBUNAL DE CONTAS DA UNIÃO. Boas práticas em segurança da 59 informação / Tribunal de Contas da União. – 3. ed. – Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2008. TAVARES, Kleber da Silva, 1964. A ética castrense e a intervenção militar como recurso de manutenção da ordem institucional. 2009. 154 f.: il. TECNOLOGIA invisível e vigilância voluntária. Disponível em <http://www.faberludens.com.br/pt-br/node/2646>. Acessado em setembro de 2010. TIPOS DE ERGONOMIA. Disponível em <http://www.univ- ab.pt/formacao/sehit/curso/ergonomia/uni1/tipoerg.html>. Acessado em agosto de 2010. VENEZIANO, Wilson Henrique. Organizações e Sistemas de Informação. Brasília: UnB. Departamento da Ciência da Computação, 2010a. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. VENEZIANO, Wilson Henrique. Protocolo de Estudo de Caso. Gestão de Continuidade no Serviço Público. Brasília: UnB. Departamento da Ciência da Computação, 2010b. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. VENEZIANO, Wilson Henrique e FERNANDES, Jorge Henrique Cabral. Gestão de Continuidade no Serviço Público. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. VIDAL, Flávio de Barros. Controles de Segurança Física e Ambiental. Brasília: UnB. Departamento da Ciência da Computação, 2010. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. 60 VIDAL, Mario Cesar (Org.). Textos selecionados em ergonomia contemporânea. Primeira versão GENTE/COPPE/UFRJ, Rio de Janeiro, novembro de 1992. Revisão técnica GENTE/COPPE/UFRJ, Rio de Janeiro, agosto de 1994. VIEIRA, Luiz. Resenha do Livro: Praticando a Segurança da Informação Orientações práticas alinhadas com Norma NBR ISO/IEC 27002 e ISO/IEC 27001, Norma NBR 15999-1, COBIT, ITIL Disponível em: <http://www.istf.com.br/vb/gestao-da-seguranca/13609-resenha-do-livropraticando-seguranca-da-informacao.html>. Acessado em maio de 2010. VIEIRA, Tatiana Malta. Direito na sociedade da informação. Brasília: UnB. Departamento da Ciência da Computação, 2009. (Especialização em Ciência da Computação: Gestão da Segurança da Informação e Comunicações). YING, Robert. Estudo de Caso – Planejamento e método. 2. ed. Porto Alegre: Bookman, 2001. WIKIPÉDIA. Engenharia Social. Disponível em <ttp://pt.wikipedia.org/wiki/Engenharia_social_%28seguran%C3%A7a_da_infor ma%C3%A7%C3%A3o%29> Acessado em setembro de 2011. WIKIPÉDIA. Segurança da Informação e Comunicações. Disponível em <http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_Informa%C3%A7%C3%A3 o_e_Comunica%C3%A7%C3%B5es>. Acessado em setembro de 2011, ZANINI, Mairê Luiza. Resumo Contratos eletrônicos, de Rosana Ribeiro da Silva. Data de elaboração do resumo: 19/07/2001. Disponível em <http://www.buscalegis.ccj.ufsc.br/revistas/index.php/buscalegis/article/viewFile/ 4629/4199>. Acessado em agosto de 2010. ZAPATER, Marcio; SUZUKI, Rodrigo. Segurança da Informação. Um diferencial importante na competitividade Technology Review. P. 4. das corporações. Promon Business & GABINETE DE S EGURANÇA INSTITUCIONAL/PRESIDÊNCIA DA REPÚBLICA UNIV ERSI DADE DE BRASILIA-MI NISTÉRIO DA DEFES A Programa de Formação de Especialista s para Desenvolvimento da Estratégia e Metodologia Bra sileiras em Gestão de Segurança da Informação e Comunicações - PFEMBGSIC QUESTIONÁRIO Função: __________________________________________________________________________ 1. O senhor conhece algum sistema de tratament o eletrônico de dados da instituição? (____) Sim (____) Não 2. O senhor sabe se existem normas de seguranç a próprias para o processamento elet rônico de dados no Exército Brasileiro? (____) Sim (____) Não 3. O senhor acredita que o funcionamento dos sistemas eletrônicos de dados preenche todos os protocolos de segurança exigidos pelas normas estabelecidas pelo Exército Brasileiro? (____) Sim (____) Não 4. O senhor conhece quais são as medidas de segurança previstas para o funcionamento dos sistemas eletrônicos de dados? (____) Sim (____) Não 5. O senhor executa todas as medidas de segurança previstas/existentes quando da operação do sistema? (____) Sim (____) Não 6. Em todos os momentos em que o senhor se afasta da estação de trabalho, o senhor se desconecta do sistema? (____) Sim (____) Não 7. O sistemas eletrônicos de dados que o senhor utiliza possuem uma senha de acesso para cada usuário? (____) Sim (____) Não 8. O senhor já forneceu sua senha de acesso a outro usuário? (____) Sim (____) Não 9. O senhor acredita que os sistemas eletrônic os de dados sejam utilizados da mesma forma que o senhor por todos os usuários? Por quê? (____) Sim (____) Não _________________________________________________________________________________ _________________________________________________________________________________ 10. O senhor acredita que, em virtude de sua posição funcional/necessidade do trabalho, o acesso ao sistema, por usuário que não o senhor, se justifica, mediante o uso de sua senha de ac esso? (____) Sim (____) Não