Embed Size (px)
Citation preview
1
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE
RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI) ∗
Luiz Henrique Filadelfo Cardoso
“Não há espaço para amadores no mundo cibernético. Não improvisem. O que está em jogo não é a área de TI, mas, sim, o negócio como um todo. Muitas empresas quebraram ao errar na estratégia.” Paulo Pagliusi, PhD.
Resumo: Em um mundo cada vez mais complexo e mutável, predizer cenários e estimar a
ocorrência de explorações de vulnerabilidades por específicas ameaças tornaram-se
diferenciais de grande valia para as organizações que desejam permanecer protegidas e
operacionais, principalmente a partir do espaço cibernético. Assim, neste estudo, por meio da
exposição de conceitos-chave que possibilitem a identificação e o entendimento dos
benefícios intrínsecos da sinergia entre a Gestão de Riscos de Segurança da Informação
(GRSI) e Inteligência Cibernética, como também pela apresentação, análise e correlação de
fatos e percepções sobre a crescente utilização da Inteligência Cibernética como meio
relevante de obtenção de dados e informações para a tomada de decisão e melhoria da
consciência da situação organizacional, objetiva-se asseverar o papel decisivo que a
“Cyberint” pode assumir em apoio direto e especializado ao processo de GRSI.
Palavras-chave: Inteligência Cibernética. Gestão de Riscos. Segurança da Informação.
1 INTRODUÇÃO
Num atual cenário permeado por constantes mudanças, em que a ação de diversos
agentes desestabilizantes é sentida cada vez mais de maneira contundente, muitos destes
intencionalmente engajados a causar severos prejuízos à continuidade dos negócios
organizacionais, emerge de maneira disruptiva a alternativa de atuação da Inteligência
Cibernética no apoio direto à identificação de ameaças e vulnerabilidades, bem como no
pontual suporte para a definição e implementação de medidas destinadas a mitigar os
eventuais riscos, como por exemplo, àqueles advindos da ação de específicas e perniciosas
ameaças cibernéticas.
Por conseguinte, este artigo objetiva investigar e asseverar o decisivo papel que a
Inteligência Cibernética pode assumir para a manutenção da segurança dos ativos
informacionais e de Tecnologia da Informação e Comunicação (TIC) das organizações, em
Artigo apresentado como trabalho de conclusão de curso de pós-graduação em Gestão de Segurança da Informação da Universidade do Sul de Santa Catarina, como requisito parcial para obtenção do título de Especialista. 2014. Orientador: Prof. Luiz Otávio Botelho Lento, Msc.
2
específico, no suporte direto ao processo de Gestão de Riscos de Segurança da Informação
(GRSI).
Para isso, o estudo foi segregado em três partes interdependentes, quais sejam:
Conceitos Básicos; Ciberinteligência em apoio à Gestão de Riscos de Segurança da
Informação; e Conclusão.
A primeira parte consiste basicamente na exposição de importantes conceitos
introdutórios acerca dos ativos informacionais e de seus recursos acessórios, Segurança da
Informação, Gestão de Riscos, Atividade de Inteligência e Ciberinteligência.
Já na segunda parte, são apresentados e analisados fatos e considerações
diretamente correlacionados à crescente utilização da Inteligência Cibernética como meio
hábil de obtenção de dados e informações, e ainda, de que maneira sua preciosa expertise
pode contribuir para o processo de Gestão de Riscos de Segurança da Informação.
Ao final, são apresentadas conclusões advindas após a análise dos fatos e
correlações relativas à utilização da Ciberinteligência como importante e agregadora
alternativa assessória ao processo de tomada de decisão organizacional, em particular, ao
processo de GRSI.
2 CONCEITOS BÁSICOS
A seguir, serão apresentados e conceituados alguns temas inafastáveis para um
correto entendimento e identificação de fatores que possam vir a confirmar o decisivo papel a
ser assumido pela Ciberinteligência em suporte estrito ao processo de Gestão de Riscos de
Segurança de Informação.
2.1 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI)
Partindo-se do pressuposto de que o objeto principal de preocupação da GRSI
deve ser a adequada viabilização e manutenção da proteção dos ativos informacionais e seus
respectivos recursos de Tecnologia da Informação e Comunicação (TIC), estes indispensáveis
para a continuidade normal dos processos organizacionais, sendo assim definidos por GSIPR
(2013) como: “os meios de armazenamento, transmissão e processamento, os sistemas de
informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm
acesso”, torna-se necessário a adoção de procedimentos e soluções especializadas para se
assegurar a devida guarda destes ativos informacionais e recursos de TIC, o que pode vir a ser
viabilizado de forma confiável – ainda que não totalmente – pela Segurança da Informação.
3
Simião (2009) define Segurança da Informação, com base no Decreto nº
3505/20001 que institui a Política de Segurança da Informação nos órgãos e entidades da
Administração Pública Federal, como sendo:
Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.
Em complemento, o referido autor salienta que por mais que o Decreto nº
3505/2000 abarque conceitualmente os outros elementos da Segurança da Informação, como
segurança das áreas e instalações, segurança dos recursos humanos, segurança da
documentação e do material, é importante deixar claro que:
o objeto da segurança[da informação] é a proteção dos sistemas de informação, entendido como sendo o mesmo que sistemas de informática ou tecnologia da informação. Justifica-se tal entendimento devido à utilização das expressões, tais como: negação de serviço; intrusão; modificação desautorizada de dados e informações armazenadas, em processamento ou em trânsito. Estas expressões são típicas da linguagem utilizada em tecnologia da informação (SIMIÃO, 2009, p. 44).
Sobre os riscos que podem vir a influir negativamente contra os ativos
informacionais e seus recursos de TIC, Lento (2014, p. 70) – com base na definição de
Stoneburner, Goguen e Feringa (2002) – discorre que: “risco é a função que relaciona a
probabilidade de uma determinada ameaça explorar uma vulnerabilidade em potencial e o
impacto resultante desse evento adverso sobre a organização”.
Os mesmos Stoneburner, Goguen e Feringa (2002 apud LENTO, 2014, p. 72)
afirmam que Gestão de Riscos pode ser entendida como: “o processo de identificação dos
riscos, avaliação de risco e tomada de medidas (tratamento do risco) para reduzir o risco a um
nível aceitável”.
Neste sentido, e alinhado à perspectiva supramencionada, Oliveira Junior (2007,
p. 26) argumenta que a Gestão de Risco “deve ser um processo contínuo, aplicado à estratégia
da organização e à implementação dessa estratégia. Deve analisar todos os riscos inerentes às
atividades passadas, presentes e, em especial, futuras de uma organização”.
A Gestão de Riscos – conforme descrita por Lento (2014, p. 114) – também
deverá “analisar os possíveis eventos de ameaça à segurança da informação e as suas
consequências, antes de definir qualquer decisão quanto a reduzir os riscos a um nível
aceitável”. Destarte, Gestão de Riscos de Segurança da Informação pode ser entendida como:
[...] um processo no qual as organizações analisam os riscos inerentes às suas atividades, com o objetivo de atingir um equilíbrio apropriado entre o reconhecimento de oportunidades e ganhos, e a redução de perdas. É um elemento central na gestão da estratégia de qualquer organização. [e que] esse processo deve executar um conjunto de tarefas que têm como objetivo identificar as necessidades de segurança de uma organização, proporcionando suporte à criação de um Sistema
1 Disponível em: < http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm>. Acesso em 25 jan. 2014.
4
de Gestão de Informação (SGSI), preparação de um plano de continuidade de negócios ou de um plano de resposta a incidentes (LENTO, 2014, p.115).
Porém, devido a GRSI ser um processo “interativo, contínuo e por se utilizar de
um método lógico e sistemático” para estabelecer suas etapas e atingir seus objetivos
concernentes, há a necessidade veemente de padronização de todo o processo (LENTO 2014).
Assim, uma das alternativas que pode vir a ser adotada para atender à requerida
padronização do processo de GRSI, é a exposta e detalhada minuciosamente na norma NBR
ISO 27005 – Gestão de Riscos de Segurança da Informação, uma vez que esta documentação
se destina especificamente a fornecer as diretrizes necessárias para “uma implementação
satisfatória da segurança da informação tendo como base a gestão de riscos” (ABNT, 2008).
Abaixo, na Figura 1, pode-se observar as diversas etapas do Processo de Gestão
de Riscos de Segurança da Informação, baseadas na norma NBR ISO 27005 – Gestão de
Riscos de Segurança da Informação.
Figura 1 – Visão geral do Processo de Gestão de Riscos de Segurança da Informação – NBR ISO 27005.
Fonte: ABNT (2008).
Ao se observar com atenção a figura extraída NBR ISO 27005 – Gestão de Riscos
de Segurança da Informação, depreende-se rapidamente que o processo de GRSI é composto
por sete etapas interdependentes, quais sejam: definição do contexto, análise de riscos,
avaliação de riscos, tratamento do risco, aceitação dos riscos, comunicação do risco de
segurança da informação e, monitoramento e análise crítica dos riscos de segurança da
5
informação. Estas etapas podem ser sucintamente detalhadas, com o apoio conceitual de
Lento (2014), GSIPR (2013) e de ABNT (2008), da seguinte maneira:
1 – Definição do contexto: Tal qual exposto por Lento (2014, p.117): “esta etapa
visa a estabelecer o contexto da gestão de risco da segurança da informação consiste em
definir os parâmetros básicos sob os quais os riscos sobre a informação devem ser geridos.
Isto é, consiste em definir os critérios básicos (critérios de avaliação de riscos, critérios de
impacto e critérios de aceitação do risco) a serem adotados pela gestão de riscos de segurança
da informação. Esse contexto define, portanto, o escopo (finalidade – plano de continuidade,
SGSI etc.) da gestão de riscos e os seus limites. Esses últimos, por sua vez, são determinados
pelos objetivos estratégicos, políticos e processos de negócio da organização.”.
2 – Análise de riscos: Segundo ABNT (2008, p. 12), esta etapa “identifica as
ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os
controles existentes e seus efeitos no risco identificado, [bem como] determina as
conseqüências possíveis.”.
3 – Avaliação de riscos: esta etapa tem como finalidade principal estimar os
níveis de riscos associados aos ativos de informação e aos recursos de Tecnologia da
Informação e Comunicação, avaliando e priorizando-os de acordo com os critérios de
avaliação de riscos estabelecidos na definição do contexto (ABNT, 2008).
4 – Tratamento do risco: Lento (2014, p. 139) afirma que “a fase de tratamento
de riscos começa com uma lista de riscos, ordenados entre si por prioridade de tratamento, de
acordo com os critérios de avaliação de riscos, e tem como saída o plano de tratamento do
risco e dos riscos residuais decorrentes desse tratamento.”. E ainda de acordo com GSIPR
(2013), esta fase visa a “determinar as formas de tratamento dos riscos, considerando as
opções de reduzir, evitar, transferir ou reter o risco, observando: a eficácia das ações de
Segurança da Informação e Comunicações – SIC já existentes; as restrições organizacionais,
técnicas e estruturais; os requisitos legais; e a análise custo/benefício.”.
5 – Aceitação do risco: etapa em que se deverá, conforme discorrido em GSIPR
(2013, p. 06), “verificar os resultados do processo executado, considerando o plano de
tratamento, aceitando-os ou submetendo-os à nova avaliação”. Não somente, mas também “o
processo está sujeito à decisão dos gestores da organização, relativa à aceitação desse
processo, quando se tem como produto uma lista de riscos aceitos, incluindo uma justificativa
para aqueles que não satisfaçam os critérios normais para aceitação do risco (LENTO, 2014,
p. 142)”.
6 – Comunicação do risco de segurança da informação: Conforme exposto em
ABNT (2008, p. 25), “a comunicação do risco é uma atividade que objetiva alcançar um
consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou
6
partilha das informações sobre o risco entre os tomadores de decisão e as outras partes
interessadas. A informação inclui, entre outros possíveis fatores, a existência, natureza, forma,
probabilidade, severidade, tratamento e aceitabilidade dos riscos.”
7 - Monitoramento e análise crítica dos riscos de segurança da informação:
nesta etapa convém atentar que os riscos e seus fatores (isto é, valores dos ativos, impactos,
ameaças, vulnerabilidades, probabilidade de ocorrência) sejam monitorados e analisados
criticamente, a fim de se identificar, o mais rapidamente possível, eventuais mudanças no
contexto da organização e de se manter uma visão geral dos riscos (ABNT, 2008).
É Importante ainda lembrar que as mencionadas etapas do Processo de Gestão de
Riscos de Segurança da Informação não são estanques e devem sempre interagir entre si de
maneira harmônica e complementar, tendo como finalidade principal a geração de subsídios
confiáveis e oportunos para suportar os mais distintos processos de tomada de decisão
organizacional (LENTO, 2014).
2.2 ATIVIDADE DE INTELIGÊNCIA
Medeiros (2011, p.03) conceitua Atividade de Inteligência como sendo “a
atividade especializada, permanentemente exercida, com o objetivo de produzir
conhecimentos de interesse da instituição/organização e a sua salvaguarda contra ações
adversas”.
Já Silva Junior (2011) afirma, baseado no Glossário de Inteligência Competitiva
da Associação Brasileira de Inteligência Competitiva – ABRAIC, que Inteligência consiste no
Processo que tem como objetivo produzir Inteligência para a tomada de decisão ou desenvolver atividades que objetivam negar a um ator a possibilidade de levantar dados/informações por meio de coleta/busca sobre o modo de agir de outro ator. Constitui-se de processo informacional proativo e sistemático que visa identificar os atores e as forças que regem as atividades da organização, reduzir o risco e conduzir o tomador de decisão a melhor posicionar-se em seu ambiente, bem como proteger o conhecimento sensível gerado. Caracteriza-se pela coleta/busca de dados/informações que os outros não estão vendo – quer porque estão ocultos e/ou desconexos, quer porque estão camuflados ou mesmo destorcidos – e sua posterior análise e identificação de impacto para a organização (SILVA JUNIOR, 2011, p. 25, grifo nosso).
Dessarte, José Manuel Ugarte (2002 apud GONÇALVES, 2011, p. 07) sobre a
importância da utilização dos mais variados recursos, métodos e técnicas de Inteligência nas
diversas esferas da sociedade assinala que:
la información es conocimiento, la información es organzación, [...] la informarción es actividad [e que inteligência] es el conocimiento que nuestros hombres, civiles y militares, que ocupan cargos elevados, deben poseer para salvaguardar el bienestar nacional.
No que tange à natureza de sua finalidade, a Atividade de Inteligência pode ser
dividida em categorias, tais como: Inteligência de Estado, Business Intelligence, Inteligência
7
Estratégica, Inteligência Militar e de Defesa, Inteligência de Segurança Pública, Inteligência
Competitiva, Inteligência policial, Inteligência fiscal, dentre outras; e ainda de acordo com
Medeiros (2011): “tudo é uma adaptação da atividade de Inteligência ‘clássica [de Estado]’ à
atividade de Inteligência específica”.
Porquanto, ainda que o espectro de atuação da Atividade de Inteligência se
configure bastante amplo e multifacetado, para a sua melhor eficácia, a Atividade deve
sempre atender a propósitos restritos e altamente especializados a fim de se reduzir eventuais
equívocos a respeito de assuntos ou questões específicas e de alta relevância para o processo
decisório organizacional.
Sobre isto, Silva Junior (2011, p. 22) ainda argumenta que “as informações
coletadas, que se transformaram em conhecimento [após o devido Ciclo de Produção de
Conhecimento – CPC2], geralmente possuem três propósitos distintos, ainda que
complementares: o uso preventivo, defensivo ou ofensivo”.
Assim sendo, também cabe discorrer que no tocante às fontes de obtenção de
dados para a produção do conhecimento de Inteligência, tal qual classificação proposta por
Bruneau (2000 apud GONÇALVES, 2011), emergem como principais: a HUMINT (Human
intelligence), SIGINT (Signals Intelligence), OSINT (Open-source Intelligence), MASINT
(Measurement and Signature Intelligence) e IMINT (Imagery Intelligence).
Torna-se oportuno expor que Nogueira (2012, p. 29) – de maneira inovadora –
esboça a possibilidade de se considerar também a via cibernética como uma distinta fonte de
obtenção de dados para a atividade de inteligência, podendo vir a ser denominada, ainda que
de maneira incipiente, como “CYBERINT”.
2.2.1 Inteligência Cibernética
Ciberinteligência ou Inteligência Cibernética pode ser inicialmente entendida
como:
[...] um processo que leva em conta o ciberespaço, objetivando a obtenção, a análise e a capacidade de produção de conhecimentos baseados nas ameaças virtuais e com caráter prospectivo, suficientes para permitir formulações, decisões e ações de defesa e resposta imediatas visando à segurança virtual de uma empresa, organização e/ou Estado (WENDT, 2011, p. 23).
Wendt (2010) ainda entende como sendo parte integrante do escopo de
responsabilidade da Inteligência Cibernética as seguintes ações e procedimentos:
1 – Os ataques às redes, públicas ou privadas, e às páginas web;
2 “CPC também é conhecido como “processo de inteligência” e refere-se ao processo em que dados e informações são compilados, analisados e transformados em conhecimento de inteligência, e ao final, disponibilizados aos usuários/clientes, ou seja, aos tomadores de decisão” (GONÇALVES, 2011, p.74).
8
2 – Análise das vulnerabilidades existentes sobre as redes, sistemas e serviços
existentes, enfocando o entrelaçamento à teia regional, nacional e/ou mundial de
computadores;
3 – Constante análise e acompanhamento dos códigos maliciosos distribuídos na
web, observando padrões, métodos e formas de disseminação;
4 – Enfoque na engenharia social virtual e os efeitos danosos, principalmente nas
fraudes eletrônicas;
5 – Mais especificamente, monitorar as distribuições de phishing scam, tanto por
web sites quanto por e-mail e as demais formas de disseminação, com atenção especial para
as redes sociais;
6 – Observação e catalogamento dos casos de espionagem digital, com abordagem
dos casos relatados e verificação dos serviços da espécie oferecidos via web;
7 – Intenso monitoramento a respeito de adwares, worms, rootkits, spywares e
vírus, com observância do comportamento, finalidade e forma de difusão;
8 – Detectar e monitorar os dados sobre fraudes eletrônicas e o correspondente
valor financeiro decorrente das ações dos criminosos virtuais;
9 – Monitoramento da origem externa e interna dos ataques e distribuição dos
códigos maliciosos;
10 – Verificação e catalogamento das ações e mecanismos de hardware e software
de detecção de ameaças e de respostas imediatas às ameaças virtuais, e etc.
Em reforço a esta perspectiva delineada, Nogueira (2012, p, 35) reitera: “sem
Inteligência Cibernética não haverá como atuar com precisão e oportunidade”, e vai além ao
afirmar que:
Saber, conhecer e avaliar os movimentos do oponente cibernético, antes de suas ações, será imprescindível. Haverá sempre intervalo muito pequeno para agir e menos tempo ainda para decidir. Por isso, a atuação da Inteligência surge como fator de grande importância para promover conhecimentos que conduzam a decisões acertadas e a resultados eficazes. [...] A partir desta percepção, justifica-se estudar como levantar, obter e tratar informações sobre ações dos adversários no ambiente cibernético. A pesquisa das formas de emprego da Inteligência no domínio virtual levará a aperfeiçoamentos que adéquem suas operações para obtenção de informações de valor e relevância para ações cibernéticas. Esses conhecimentos poderão promover desequilíbrio se forem apropriadamente manipulados (NOGUEIRA, 2012, p. 24, grifo nosso).
Oliveira (2011, p.114) ainda complementa da seguinte forma:
Ela é essencial na busca de informações, empregando todas as fontes disponíveis, para identificar e prevenir ameaças cibernéticas e proporcionar respostas adequadas, com oportunidade. Além disso, os profissionais que atuam no Setor Cibernético devem desenvolver atitude arraigada de contrainteligência, a fim de proteger o conhecimento e as informações inerentes às suas atividades.
9
Sobre os efeitos positivos que podem advir da efetiva aplicação da
ciberinteligência como meio específico de suporte ao processo decisório – não só para
predição, mas também para análise pós-prevenção –, INSA (2011, p.03) salienta que:
Em última análise, a eficaz inteligência cibernética começará a permitir a previsão, alarme estratégico sobre as atividades de ameaças cibernéticas, mitigação dos riscos associados a estas ameaças, melhorando assim, a nossa capacidade de avaliar os efeitos da ciberintrusão, e de otimizar a segurança cibernética com custos eficientes e processos mais eficazes, baseados em decisões bem informadas (tradução livre).
Assim, para viabilizar um “ecossistema” equilibrado para a efetiva atuação da
ciberinteligência tal qual supramencionado, torna-se necessário adotar, dentre outras ações, as
seguintes diretrizes procedimentais:
1- Definir adequadamente o escopo de atuação (intra e extra organização) da
ciberinteligência, com a devida aprovação formal e apoio de todos os
colaboradores, principalmente por parte da alta diretoria;
2- Prever detalhadamente os específicos procedimentos, métodos e técnicas
requeridos para sua plena atuação, bem como nomear os responsáveis por cada
processo e/ou tarefa acessória;
3- Definir claramente os objetivos esperados com sua atuação, assim como os
recursos, custos e períodos necessários para a sua consecução; e
4- Manter sempre atualizados os recursos humanos diretamente envolvidos na
atividade, por meio de participação regular em treinamentos, capacitações,
fóruns especializados, e outros expedientes que venham a propiciar o devido
acompanhamento evolutivo das ameaças cibernéticas e de suas contramedidas.
Por sua vez, agora em específico sobre o aparato tecnológico atualmente a
disposição da Inteligência Cibernética, torna-se oportuno citar que grande parte do
monitoramento e análise de cenários (sobremaneira, o cibernético) já vem sendo francamente
realizados por uma miríade de ferramentas automatizadas baseadas em específicos métodos e
técnicas, como a de mineração de dados3 e de análise e filtragem de web semântica – em
posts, tuítes, em redes sociais, blogs –, calibrados de acordo com o grau de abrangência
pretendido e palavras-chave de interesse4.
INFO (2011) assevera que estas técnicas há anos são utilizadas por anunciantes –
principalmente, por meio de cookies5 – e que em um futuro próximo evoluirão e constituirão
3 Mineração de dados é um processo altamente cooperativo entre homens e máquinas, que visa a exploração de grandes banco de dados, com o objetivo de extrair conhecimentos através do reconhecimento de padrões e relacionamento de variáveis, conhecimentos esses que possam ser obtidos por técnicas comprovadamente confiáveis e validados pela sua expressividade estatística (CÔRTES; PORCARO; LIFSSHITZ , 2002).4 Para o aprofundamento desta temática, faz-se mister observar o presente em: <http://www.labic.net/>. Acesso em 24 mar. 2014.5 “Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre você, como carrinho de compras, lista de produtos e preferências de navegação. Um cookie pode ser temporário (de sessão), quando é apagado no momento em que o navegador Web ou programa leitor de e-mail é fechado, ou
10
métricas altamente especializadas para a predição e acompanhamento de tendências em várias
esferas do conhecimento humano, dentre elas, àquelas voltadas para redução de incertezas
ligadas à gestão de riscos organizacionais.
Em relação a estas ferramentas automatizadas de coleta e monitoramento
cibernético, Silva Junior (2011, p. 81) destaca que:
O princípio da coleta de dados, executada por ferramentas eletrônicas de monitoramento, identifica palavras, termos ou expressões. Os objetivos destas ferramentas são: mensurar, qualificar, quantificar, traçar perfis de usuários, identificando possibilidades de ações dentro dos ambientes [organizacionais] e prever crises e danos a marcas contratantes.
Muitas dessas ferramentas funcionam por meio de métodos e técnicas
intrinsecamente correlacionadas ao processo de Descoberta do Conhecimento em Banco de
Dados (DCBD).
Sobre isto, Oliveira Junior (2011, p. 37) leciona que:
O maior objetivo do DCBD não é o de simplesmente encontrar padrões e relações em meio à imensa quantidade de informação disponível em base de dados, e, sim, a extração de conhecimento inteligível e imediatamente utilizável para o apoio às decisões. [E que] a DCBD integra conceitos de estatística, SI inteligentes, aprendizado de máquina [redes neurais artificiais, algoritmos genéticos, etc.], reconhecimento de padrões, teoria das decisões, engenharia de dados e administração de dados.
3 CIBERINTELIGÊNCIA EM APOIO À GESTÃO DE RISCOS DE SEGURANÇA DA
INFORMAÇÃO.
Na atual conjuntura mundial, cada vez mais globalizada e impessoal, predizer
cenários e estimar tempestivamente a ocorrência de explorações de vulnerabilidades por
específicas ameaças tornaram-se diferenciais de grande valia para as organizações que
desejam permanecer operativas e protegidas neste cenário de intenções nem sempre tão claras.
No que se refere ao Ciberespaço não é diferente. Sistemas de informações
heterogêneos, conexões estabelecidas por meio de estruturas e recursos distribuídos
caoticamente fazem do espaço cibernético um ambiente dominado pela aleatoriedade,
complexidade e anonimato.
É neste lócus permeado por estas relações, em sua maioria, estabelecidas de forma
assimétrica, que a detecção de padrões de relacionamento em conjuntos imensos de dados e
informações por meio de ferramentas computacionais e técnicas especializadas passa a ser
uma das principais alternativas utilizadas pelas organizações que desejam não só entender
melhor como funciona o seu negócio – identificando vulnerabilidades e oportunidades –, mas
permanente (persistente), quando fica gravado no computador até expirar ou ser apagado.” Disponível em: <http://cartilha.cert.br/>. Acesso em 24 mar. 2014.
11
também se antever aos eventuais impactos negativos de ataques produzidos por uma miríade
de ameaças oriundas do espaço cibernético.
Neste sentido, Fonseca et al (2013) a respeito da crescente expansão do
desenvolvimento e comercialização de ferramentas de busca, monitoramento e análise de
dados/informações, capitaneada por grandes corporações de Tecnologia da Informação e
Comunicações (TIC), argumenta a título de exemplo que:
A Cyveillance, uma subsidiária da empresa americana QinetiQ, especializa-se em monitoramento 24 horas da internet e, segundo ela mesma define em sua brochura, análises de inteligência sofisticadas para “identificar e eliminar ameaças a informações, infraestruturas e indivíduos, permitindo aos nossos clientes preservar a sua reputação, receita e a confiança dos clientes”. A empresa afirma servir a maioria das empresas mais ricas do mundo “e mais de 30 milhões de consumidores através de sua parceria com provedores que incluem AOL e Microsoft”. A brochura da empresa, vazada pelo WikiLeaks6, mostra bem o uso dessa tecnologia: uma foto traz manifestantes portando bandeiras num protesto. O texto explica: “Protestos, boicotes e ameaças contra seus empregados, oficinas e escritórios causam caos na sua organização”. Por meio de monitoramento 24 horas por dia, sete dias por semana, a empresa afirma que resolver ameaças requer incorporar inteligência à segurança. A Cyveillance garante que tem pessoas, processos e tecnologias para prover inteligência sobre as atividades relacionadas a uma empresa, “permitindo que você aja antes que um evento ocorra”. Também garante monitoramento contra vazamentos de informações por whistleblowers7 da empresa (grifo nosso).
E ainda que:
Em 2011, a HP anunciou a compra da Autonomy, uma empresa inglesa líder no campo de “desenvolvimento de softwares que ajudam organizações do mundo inteiro a entenderem o significado por trás da informação”. Como? Um time de analistas varre conteúdos de emails, documentos, fotos, redes sociais e outros tipos de mídia, atrás de informações relevantes, de acordo com a demanda do cliente. Segundo o site, organizações como KPMG, Philips, Oracle e T-Mobile já utilizaram os serviços da Autonomy [...] (grifo nosso).
Todavia, não são apenas empresas privadas que fazem uso recorrente das referidas
tecnologias de extração, monitoração e análise de dados em suporte aos seus processos.
Conforme também exposto por Fonseca et al (2013):
Segundo levantamento do jornal The Washington Post, o “black budget”, o orçamento destinado aos serviços de inteligência do governo dos Estados Unidos, soma US$ 52,6 bilhões ao ano – mais de 68% disso vai para a CIA, a NSA e o NRO (Escritório Nacional de Reconhecimento, órgão responsável por desenvolver, construir e operar satélites de reconhecimento). O valor reservado para as áreas de inteligência e vigilância dobrou em relação a 2001. A maior parcela de gastos é com coleta, exploração e análise de dados. Apenas a CIA tem um gasto previsto de US$ 11,5 bilhões para coleta de dados em 2013. As empresas contratadas são mantidas em segredo. [...] Organizações como a Interpol, FBI e OTAN utilizam os softwares da subsidiária da IBM para rastrear grandes quantidades de dados provenientes da internet, chamadas telefônicas e dados bancários e “coletar, integrar, analisar, visualizar e distribuir informações” a fim de interceptar indícios de atividade criminosa. [...] O produto? Softwares de rastreamento e processamento de dados para fins diversos, que vão do combate à corrupção e investigação de fraudes à interceptação de crimes que coloquem em risco a segurança nacional (grifo nosso).
6 Fundado em 2006, WikiLeaks é uma organização que se dedica a publicar documentos secretos revelando a má conduta de governos, empresas e organizações (ASSANGE, 2013).7 Denunciante, informante (tradução livre).
12
Porém, ainda que tais meios automatizados de busca/coleta, análise e produção de
conhecimento inevitavelmente possam vir a serem utilizados com outros fins que não o de
suporte estrito à tomada de decisão organizacional, claramente, já não se é mais viável
prescindir dos mais variados produtos advindos destas citadas ferramentas computacionais;
visto que para além de satisfazerem a uma demanda crescente por informações técnicas,
oportunas e precisas, o acesso ao produto diferenciado da Ciberinteligência vem se
consolidando cada vez mais como uma questão estratégica para sobrevivência e
fortalecimento das organizações modernas.
Sobre esta perene necessidade de se estar sempre atento aos riscos e ameaças
inerentes ao ciberespaço, Dr. Paulo Pagliusi, renomado especialista na área de cibersegurança,
adverte que: “Não há espaço para amadores no mundo cibernético. Não improvisem. O que
está em jogo não é a área de TI, mas, sim, o negócio como um todo. Muitas empresas
quebraram ao errar na estratégia.” (LOBO; COSTA, 2014).
Porquanto, é clarividente a importância que a atuação da ciberinteligência pode
impelir para o “negócio como um todo”, seja como relevante meio para a predição de cenários
e de potenciais riscos, seja como parte do ferramental analítico pós-ocorrência de quaisquer
incidentes de segurança.
Em reforço a esta perene percepção, mas agora em específico à situação das
infraestruturas críticas brasileiras, Franco (2012) salienta que devido ao “gerenciamento
operacional de grande parte das Infraestruturas Críticas Nacionais (ICN)” já ser realizado
remotamente através da via cibernética, a importância da Ciberinteligência se acentua tanto na
possibilidade de busca e coleta de dados de interesse, quanto na identificação das eventuais
vulnerabilidades existentes nas redes computacionais das ICN.
O referido autor argumenta que:
Para a Atividade de Inteligência, a produção de conhecimento para a proteção dos sistemas que controlam a funcionalidade das ICN é fundamental para que o agente decisor possa intervir com oportunidade, minimizando ou neutralizando os possíveis danos causados por ações mal intencionadas. A correta aplicação dos preceitos de segurança orgânica também contribuirá para que os riscos sejam mitigados. Para tanto, é fundamental ter seus recursos humanos preparados para o ambiente cibernético, inclusive os da área de inteligência, alocando-os em uma estrutura organizacional eficiente e prática. Esta estrutura deve possuir a capacidade de, permanentemente, acompanhar a evolução das formas de ataques e cooptação de pessoas a fim de impedir intrusões maliciosas nos sistemas informatizados das ICN (FRANCO, 2012, p. 08).
Logo, é plausível também depreender que a Inteligência Cibernética possa se
posicionar de maneira consistente como disciplina altamente eficaz, não somente para atender
às demandas genéricas dos tomadores de decisão organizacionais, mas sobremaneira, em
suporte especializado ao processo de Gestão de Riscos de Segurança da Informação.
13
Sua atuação pode ser delinear de maneira determinante na devida identificação e
definição das adequadas medidas para mitigar e/ou extinguir os riscos cibernéticos que
influem (ou que possam vir a influir) sobre os ativos informacionais e comunicacionais, seja
ainda na fase de planejamento da GRSI – mais especificamente, nas etapas de definição do
contexto, análise e avaliação de riscos – ou, no perene monitoramento do cenário ao qual a
organização encontra-se inserida
Na etapa de Definição do Contexto, a participação da Inteligência Cibernética
pode se mostrar determinante na obtenção e disponibilização de dados e informações que
venham a subsidiar de maneira realista e oportuna o mapeamento do cenário em que a
organização está inserida, como também no cálculo da ocorrência dos riscos, este sendo
entendido como a conjunção da probabilidade de ocorrência da ameaça e do impacto do ativo
em relação ao negócio da empresa, caso o incidente venha a ser consumado (LENTO, 2014,
p. 118).
Ainda em consonância com a perspectiva defendida por Lento (2014), só que
neste momento em relação às etapas de Análise e Avaliação de Riscos, o conhecimento
advindo de tal especialidade de inteligência pode também se mostrar decisivo na precisa
identificação dos riscos – por meio do reconhecimento e correlação dos ativos, ameaças,
vulnerabilidades e controles até então existentes –, bem como na posterior estimação e
priorização (hierarquização) dos riscos, com a criteriosa análise de impacto, determinação do
risco e de sua magnitude para a continuidade dos negócios organizacionais.
Já na etapa de Monitoramento e Análise Crítica dos Riscos de Segurança da
Informação, convém atentar para o papel estratégico que a inteligência cibernética pode
assumir no perene acompanhamento dos riscos e seus fatores, monitorando-os e analisando-
os, a fim de se identificar tempestivamente eventuais mudanças no contexto ambiental da
organização e na evolução de peremptórias ameaças ao seu negócio.
Desta forma, após a devida identificação dos ativos, ameaças, vulnerabilidades, e
posterior realização de análises e correlações por meio de ferramentas cibernéticas voltadas,
dentre outras finalidades: à varredura de redes e sistemas, testes de penetração (PENTEST),
mineração de dados e de conteúdos web de interesse, certamente – a partir do produto obtido
de tais soluções prospectivas – será possível prosseguir de maneira consistente através das
outras etapas subsequentes da GRSI; para que assim, ao final do processo, os respectivos
tomadores de decisão possam se valer da mais completa e oportuna alternativa existente para
a manutenção da integridade e disponibilidade de seus ativos e processos organizacionais,
assim como para gestão sensata de sua imagem não só no ciberespaço, mas também fora dele.
4 CONCLUSÃO
14
Ao final deste artigo, com base na correlação e análise dos fatos e constatações
apresentadas, é possível concluir que o papel da Inteligência Cibernética cada vez mais avulta
em importância como decisiva alternativa, não só para a obtenção de dados e informações em
atendimento às demandas dos órgãos de inteligência de Estado, mas sobremaneira, para a
identificação de oportunidades, ameaças, vulnerabilidades e riscos existentes em prol das mais
variadas organizações, sejam elas de controle privado ou governamental.
Muito disso deve-se à intensificação da pesquisa, desenvolvimento e consequente
aumento da qualidade e versatilidade dos produtos entregues pelas mais variadas ferramentas
cibernéticas destinadas, sumariamente, à coleta de dados e conteúdos de interesse, análise
detalhada de grandes repositórios de dados, varredura de redes/sistemas e à predição de
cenários com base no monitoramento constante do comportamento das variáveis
determinantes para a continuidade dos negócios e tratamento dos incidentes de segurança
organizacionais.
No que tange em particular ao processo de GRSI, foi possível também depreender
o relevante papel que a ciberinteligência pode assumir na tarefa de fornecer informação
técnica, confiável e oportuna, ao atuar em suporte direto às etapas de Definição de Contexto,
Análise, Avaliação de Riscos, Monitoramento e Análise Crítica dos Riscos de Segurança da
Informação, em proveito do aumento do grau de adaptabilidade e resiliência das
organizações, e de maneira transversal, para a redução da chance de ocorrência de
contraproducentes incidentes de segurança que possam vir a atentar contra a continuidade de
seus processos críticos.
Contudo, para que a Inteligência Cibernética venha a se consolidar ainda mais em
importância e em efetividade, principalmente em apoio ao processo de Gestão de Riscos de
Segurança da Informação, entende-se como impostergável a devida definição e padronização
de normas e procedimentos específicos que regulem de maneira exequível o seu escopo de
atuação neste complexo e assimétrico âmbito dialético, assim como também se faz presente, a
necessária intensificação de ações para o fomento e estabelecimento de grupos de trabalho e
de intercâmbios entre equipes multidisciplinares compostas por representantes de corporações
de TIC, universidades, ONGs e outros órgãos de Estado, para que assim, sejam desenvolvidas
inovadoras e eficazes soluções tecnológicas para a segurança e proteção dos mais variados
interesses organizacionais, sejam eles cibernéticos ou não.
CYBER INTELLIGENCE LIKE DECISIVE FACTOR IN RISK MANAGEMENT OF
INFORMATION SECURITY AND COMMUNICATIONS
15
Abstract: In increasingly complex and changing world, predict scenarios and estimate the
occurrence of vulnerability exploits by specific threats have become differentials of great
value for organizations who wish to remain protected and operative, especially in Cyberspace.
Therefore, in this study, through the exposure of key concepts that enable the identification
and understanding of the intrinsic benefits of the synergy between the Risk Management of
Information Security (RMIS) and Cyber Intelligence, as well as the presentation, analysis and
correlation of facts and perceptions about the increasing use of Cyber Intelligence as a means
of obtaining relevant data and information to decision making and improvement of situation
awareness organizational, with objective to assert the decisive role that "Cyberint" can take in
direct and specific support of RMIS process.
Keywords: Cyber Intelligence. Risk Management. Information Security.
REFERÊNCIAS
ABNT, AB de NT. NBR ISO/IEC 27005–Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2008.
ASSANGE, Julian et al. Cypherpunks: liberdade e o futuro da internet. São Paulo: Boitempo, 2013.
BRUNEAU, Thomas. Intelligence and democratization: the chalenge of control in new democracies: ocasional paper #5. Monterey/California: The Center for Civil-Military Relations – Naval Postgraduate School, March, 2000.
CEPIK, Marco A. C. Espionagem e Democracia. Rio de Janeiro: Editora FGV, 2003.
CÔRTES, Sérgio da Costa; PORCARO, Rosa Maria; LIFSCHITZ, Sérgio. Mineração de Dados – Funcionalidades, Técnicas e abordagens. PUC-RIO, 2002. Disponível em: < ftp://ftp.inf.puc-rio.br/pub/docs/techreports/02_10_cortes.pdf>. Acesso em 27 jan. 2014.
FONSECA, Bruno et al. Wikileaks: quem lucra com a espionagem digital. 2013. Disponível em: < http://www.apublica.org/2013/09/wikileaks-quem-lucra-espionagem-digital/>. Acesso em: 27 jan. 2014.
FRANCO, Luis Henrique Santos. A atividade de inteligência na segurança cibernética às infraestruturas críticas nacionais do setor de energia elétrica. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 07-22, dez 2012.
GONÇALVES, Joanisval Brito. Atividade de Inteligência e legislação correlata. 2. ed. Niterói: Impetus, 2011.
GSIPR. Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, de 25 de fevereiro de 2013. Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal. Disponível em: < http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>. Acesso em: 25 jan. 2014.
INFO. Revista INFO EXAME: para uma nova realidade, São Paulo: Abril, ago. 2011.
16
INSA. Cyber Intelligence: Setting the landscape for an emerging discipline. White Paper, september, 2011. Intelligence and National Security Alliance, Arlington, VA. Disponível em: <http://www.insaonline.org/i/d/a/Resources/Cyber_Intelligence.aspx>. Acesso em: 20 jul. 2014.
LENTO, Luiz Otávio Botelho. Gestão de risco de segurança da informação: livro digital. 2. Ed., Palhoça: UnisulVirtual, 2014.LOBO, Ana Paula; COSTA, Pedro. Cibersegurança: ‘não há espaço para amadores, não improvisem.’.Covergência Digital, 2014. Disponível em: < http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=36771&sid=127&utm_source=twitterfeed&utm_medium=twitter&fb_action_ids=449579458510950&fb_action_types=og.likes&fb_ref=.U3bEXzimktC.like>. Acesso em 21 maio 2014.
MACHADO, Jussara de Oliveira. Inteligência e Ciberespaço: desafios do século XXI. In: CEPIK, Marco (Org.). Inteligência Governamental: contextos nacionais e desafios contemporâneos. Niterói: Impetus, 2011. p. 271-317.
MEDEIROS, Francisco José Fonseca de. A Atividade de Inteligência no mundo atual. 2011. Disponível em: <http://www.administradores.com.br/_resources/files/_modules/academics/academics_3552_201011141848586457.pdf>. Acesso em: 23 jan. 2014.
NOGUEIRA, Alexandre Fernandes Lobo. A Inteligência militar na defesa cibernética: um estudo sobre as possibilidades de apoio da inteligência aos planejamentos das ações de defesa cibernética. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 23-36, dez 2012.
OLIVEIRA JUNIOR, Waldomiro. Estudo comparativo entre modelos lineares e redes neurais artificiais como tecnologias geradoras de previsões de valores financeiros. 2007. 145f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2007.
SILVA JUNIOR, Osvaldo Spindola da. Inteligência em fontes abertas: um estudo sobre o emprego de mídias sociais na identificação de irregularidades no serviço publico federal. 2011. 114f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2011.
SIMIÃO, Reinaldo Silva. Segurança da Informação e comunicações: conceito aplicável em organizações governamentais. 2009. 81f. Monografia (Especialização em Gestão da Segurança da Informação e Comunicações) – Departamento de Ciência da Computação da Universidade de Brasília, Brasília, 2009.
STONEBURNER, Gary; GOGUEN, Alice; FERINGA, Alexis. NIST SP 800-30 Risk
management guide for information technology systems. Ed.: NIST, 2002.
UGARTE, Jóse Manuel. Control Público de la actividad de Inteligencia:Europa y América Latina, uma vision comparativa. (Trabalho apresentado no Congresso Internacional “Post-Globalización: Redefinición de la Seguridad y Defensa Regional el Cono Sur”), Buenos Aires, 2002.
17
WENDT, Emerson. Inteligência Cibernética – Introdução ao assunto. 2010. Disponível em: < http://www.inteligenciapolicial.com.br/2010/03/inteligencia-cibernetica-introducao-ao.html>. Acesso em 25 jan. 2014.
_______. Ciberguerra, inteligência cibernética e segurança virtual: alguns aspectos. Revista Brasileira de Inteligência: ABIN, Brasília, n. 6, p. 15-26, abr. 2011.
