7_-_gest_o_de_riscos_continuidade_de_neg_cios_e_intelig_ncia.pdf

7/29/2019 7_-_gest_o_de_riscos_continuidade_de_neg_cios_e_intelig_ncia.pdf

http://slidepdf.com/reader/full/7-gestoderiscoscontinuidadedenegcioseintelignciapdf 1/24

GESTÃO DE RISCOS,CONTINUIDADE DE NEGÓCIOS E

INTELIGÊNCIA





Didatismo e Conhecimento

GESTÃO DE RISCOS, CONTINUIDADE DE NEGÓCIOS E INTELIGÊNCIA

1

1 NOÇÕES DE GERENCIAMENTO DE RISCOS OPERACIONAIS APLICADOS À

SEGURANÇA: CONCEITOS DE

IDENTIFICAÇÃO E CLASSIFICAÇÃO DE ATIVOS, VULNERABILIDADES, AMEA-ÇAS, PROBABILIDADES, IMPACTOS E AL-

TERNATIVAS DE MITIGAÇÃO.

O risco operacional tem cada vez maior relevância na indús-tria nanceira. A identicação de riscos deve ser entendida comooportunidade para crescimento e diferenciação e sua avaliação emonitoramento um imperativo do negócio. O modelo de geren-ciamento dos riscos operacionais permite identicar, mensurar emonitorar os riscos operacionais inerentes a processos que geram produtos, serviços ou informações.

Em um mundo onde a competição, a evolução e a mudançadesempenham papel importante para a inovação e o desenvolvi-mento de organizações, a gestão de segurança da informação éelemento fundamental para o sucesso das instituições e empresas.

O risco operacional está presente em todos os processos dainstituição nanceira e é decorrente de falhas operacionais que podem acontecer em diferentes etapas destes processos, assim ainstituição nanceira deve manter-se permanentemente atualizadacom relação aos processos existentes e seus respectivos controlesde avaliação e mitigação do risco.

O Risco é denido como a probabilidade de um evento nãodesejado acontecer, e como tal, a Análise de Risco se apresentacomo a metodologia essencial do processo de Gestão do Risco.Assim, análise de Risco refere-se ao meio através do qual se ava -liam as condições que podem comprometer a segurança dos sis-

temas.A análise de risco pode ser encarada como uma ferramentamuito útil à tomada de decisões, fazendo mesmo parte integral dequalquer sistema de gestão.

A Avaliação de Risco constitui um processo dinâmico, umavez que, os riscos que as Organizações se veem obrigadas a ana -lisar, não cam denitivamente determinados, mas vai evoluindoà medida que alterações ocorrem no ambiente em que elas estãoinseridas.

Na Análise de Risco pretende-se conhecer em que medidauma dada situação é segura, ou por outras palavras, pretende-sedetectar se o Nível de Risco é aceitável ou se outras medidas decontrole devem ser postas em prática para o controlar e reduzir orisco.

Na prática a Análise de Risco deverá ser realizada periodica-mente, para que qualquer alteração, quer em termos de produto,quer em termos de processo, não desencadeie novas situações de perigo, possibilitando, assim, um acompanhamento progressivo eadequado dos mesmos.

Índice de Risco e Prioridade de Intervenção

1 - Trivial / Aceitável (Atuação não prioritária).- Não requer medidas especícas.

2 - Tolerável (Intervenção a médio prazo).- Não é necessário melhorar as ações preventivas. No entanto,

devem ser consideradas soluções mais rentáveis ou melhorias quenão impliquem uma carga econômica importante.

- É necessário recorrer a avaliações periódicas, de modo a as-segurar a ecácia das medidas de controle.

3 - Moderado (Intervenção a curto prazo).- Devem fazer-se esforços para reduzir o risco. As medidas

para reduzir o risco devem ser implementadas num período deter-minado.

- Quando o risco estiver associado a consequências extrema-mente danosas, será necessária uma ação posterior, para estabele-cer, com mais precisão, a Probabilidade do dano, como base paradeterminar a necessidade de melhoria das medidas de controle.

4 - Importante (Atuação urgente).- As atividades não devem ser iniciadas até que se tenha re-

duzido o risco.- Podem ser necessários recursos consideráveis para se con-

trolar o risco.- Quando o risco corresponder a uma atividade inadiável, de-

vem ser tomadas medidas de proteção de modo a contornar o problema, num tempo inferior ao dos riscos moderados.

5 - Intolerável/Inaceitável (Atuação muito urgente, reque-rendo medidas imediatas).

- Não se deve iniciar ou continuar a execução das atividadesaté que se tenha reduzido o risco.

- Se não for possível reduzir o risco, mesmo utilizando recur -sos ilimitados, a atividade deve ser eliminada do processo.

A Análise de Riscos tem por objetivo:- Identicar, classicar e tratar adequadamente as ameaças,

vulnerabilidade, ativos e riscos;- Quanticar o impacto das ameaças; e- Conseguir um equilíbrio nanceiro entre o impacto do risco

e custo da contramedida.

A identicação dos riscos e seu correto entendimento irá di-recionar os investimentos de forma consciente, obtendo melhoresresultados.

Nesse processo é necessário se quanticar o impacto dos ris-cos existentes no ambiente sobre os resultados da empresa ou ins-tituição.

Com a análise de risco é possível vericar com precisão qual oinvestimento necessário à infraestrutura de segurança de modo queos riscos inaceitáveis sejam gerenciados adequadamente.





2

Conceitos de identicação:

O risco é a combinação da probabilidade de um evento e desuas consequências. Sendo que o evento é uma relação entre asameaças, vulnerabilidades e os possíveis danos causados, ou seja,as consequências.

Probabilidade: é o grau de possibilidade de que um eventoocorra.

Evento: é a ocorrência identicada de um sistema, serviço ourede que indica uma possível violação da segurança da informa-ção, ou uma situação desconhecida, que passa a ser relevante paraa segurança dos ativos.

Ativo: qualquer coisa que tenha valor para a organização.Consequência: é o resultado de um evento, podendo ser po-

sitivo ou negativo. Pode haver mais de uma consequência de umevento.

Ameaças: são uma causa potencial de um incidente indeseja-do resultar em um dano para o sistema ou organização.

Vulnerabilidades: são denidas como a fragilidade de umativo ou grupo de ativos que pode ser explorada por uma ou maisameaças.

Incidente: qualquer evento que não faz parte da operaçãonormal de um serviço e que pode causar, ou causa, uma interrup-ção do serviço ou uma redução de sua qualidade.

Gerenciamento do incidente: processo responsável pelotratamento e pela resolução de todos os incidentes ocorridos naorganização, objetivando o restabelecimento dos serviços de Tec-nologia da Informação (TI) no menor tempo possível e minimizar os impactos para o negócio.

Problema: causa desconhecida de um ou mais incidentes.Gerenciamento de problemas: processo responsável pela re-

solução denitiva de eventos que afetam o funcionamento normaldos serviços de TI, objetivando garantir a correção das falhas e prevenir a recorrência de um incidente.

Identicação dos ativos a serem protegidos (Inventário deAtivos)

a) Dados - Quanto à condencialidade, integridade e dispo-nibilidade;

b) Recursos - Quanto à má utilização, indisponibilidade, ou-tros; e

c) Reputação - Imagem, credibilidade, outros. Nessa fase é necessário se determinar quais são as informa-

ções relevantes ao funcionamento da organização, denir respon-sáveis para estas informações e classicar o grau necessário desegurança destas informações para a organização.

Dessa forma investiga-se através de entrevistas, análises detecnologia e checklists os ativos mais relevantes para a organiza-ção. Os ativos listados podem ser informações propriamente ditas,além de hardware, softwares, pessoas ou intangíveis que dão suporte às informações.

A correta denição do inventário de ativos é importante, poisesta serve de base para o desenvolvimento dos controles de segu-rança, ou seja, os controles são implementados sobre os ativos.

Benefícios:- Maior conhecimento as informações da organização;- Denição de responsabilidades;- Clareza para os colaboradores sobre as suas responsabili-

dades;- Conhecimento sobre a segurança necessária para cada infor -

mação da organização.

Classicação de AtivosEm contabilidade o ativo são os bens e direitos que a empresa

tem num determinado momento, resultante de suas transações oueventos passados da qual futuros benefícios econômicos podemser obtidos. Exemplos de ativos incluem caixa, estoques, equipa-mentos e prédios.

Para ns de organização em um Ativo do Balanço Patrimo-nial, os bens podem ser classicados da seguinte forma:

Bens tangíveisSão os bens que tem um corpo físico, tais como terrenos,

obras civis, máquinas e utensílios, móveis, veículos, benfeitoriasem propriedades arrendadas, direitos sobre recursos naturais etc.

Bens intangíveisOs ativos intangíveis não possuem característica física e são

de difícil avaliação. São bens não-físicos. Dentro deste grupo estãoas patentes, franquias, direitos autorais, marcas, etc.

No Ativo do Balanço Patrimonial as contas devem estar dis- postas em ordem decrescente de grau de liquidez dos elementosnela registrados, conforme grupos a seguir:

Ativo Circulante

Em contabilidade, é uma referência aos bens e direitos que podem ser convertidos em dinheiro em curto prazo. Os ativos que podem ser considerados como circulantes incluem: dinheiro emcaixa, conta movimento em banco, aplicações nanceiras, contasa receber, estoques, despesas antecipadas, numerário em caixa, de- pósito bancário, mercadorias, matérias-primas e títulos.





3

Dinheiro em caixa ou em bancos, bens, direitos e valores areceber no prazo máximo realizável até o término do exercício se-guinte, (duplicatas, estoques de mercadorias produzidas, etc.).

Ativo Não Circulante

Os recursos aplicados no Ativo Fixo ou Imobilizado, são todasas aplicações de recursos feitas pela empresa de forma permanente(xa) que a empresa utiliza para a realização de suas atividades, e podem ser classicados em bens tangíveis ou intangíveis.

Tipo de ativo que a empresa ou a pessoa não tem intençãode vender em curto prazo e que não apresenta grande liquidez oufacilidade em ser convertido imediatamente em dinheiro, diante deuma necessidade nanceira.

O ativo xo de uma empresa é o conjunto de tudo o que éessencial para o funcionamento desta empresa - como imóveis, patentes, ferramentas, máquinas etc. Também conhecido por ativo permanente.

Vulnerabilidades, ameaças, probabilidades, impactos ealternativas de mitigação

Como já explanado acima, risco é a relação existente entre a probabilidade de que uma ameaça de evento adverso ou acidentedeterminado se concretize e o grau de vulnerabilidade do sistemareceptor e seus efeitos. Risco é a probabilidade de um agente deameaça efetivar uma ameaça, via exploração de uma vulnerabili-dade de um ativo, causando impactos que comprometem o cumprimento da missão.

Podemos melhor conceituar ameaça como: “a ação ou even-to que potencialmente pode romper a segurança e causar danos.Agentes ou condições dispostos a explorar vulnerabilidades parageração de incidentes”. Ex.: funcionários insatisfeitos, enchentes,temperatura, ex-funcionários, concorrentes.

É necessário identicar as falhas de segurança e as ameaçasativas, reagindo de acordo com o nível de gravidade do risco e as potenciais perdas.

Identicação da Ameaça: Identicação do agente ou eventoadverso, efeitos favoráveis e desfavoráveis, população vulnerávele condições de exposição.

Caracterização do Risco: É a etapa nal da avaliação de ris-co, ou seja, é a descrição da natureza do risco, incluindo a suaintensidade para os seres humanos e o grau de incerteza conco-mitante (probabilidade de ocorrência). Descrição dos diferentesefeitos potenciais e a quanticação da relação entre a magnitudedo evento e a intensidade do dano esperado, mediante metodologiacientíca.

Enumeração dos danos esperados a saúde, ao patrimônio, ins-talações, meio ambiente, etc.Quanticação e denição da proporção, por meio de estudos

epidemiológicos e de modelos matemáticos, entre a magnitude doevento e a intensidade dos danos esperados (causa e efeito).

Denição da área e da população em risco.

Avaliação da Exposição: Estudo da evolução do fenômeno,considerando-se a variável tempo.

Denição dos níveis de alerta e alarme.Estimativa de Risco: Conclusão sobre o grau de risco, obtida

após a comparação entre a caracterização do risco e a avaliação daexposição.

Denição de Alternativas de GestãoProcesso de desenvolvimento e análise de alternativas, com o

objetivo de controlar e minimizar riscos e vulnerabilidades.

Danos IndiretosReferem-se basicamente aos bens e serviços que deixam de

ser produzidos ou prestados durante um lapso de tempo que se ini-cia logo depois de ocorrido o desastre e pode se prolongar durantea fase de reabilitação e reconstrução.

Danos DiretosSão aqueles sofridos pelos ativos imobilizados, destruídos ou

danicados. Trata-se, essencialmente, dos prejuízos que o patri-mônio sofreu durante o sinistro.

Os desastres não produzem apenas efeitos facilmente percep-tíveis, pois têm consequências que se desenvolvem lentamente e semanifestam muito tempo depois de ocorrido o desastre.

Os desastres podem provocar ainda alguns efeitos indiretosdifíceis de quanticar. São os efeitos “intangíveis”, como os so-frimento humano, a insegurança, rejeição pela forma com que aautoridade enfrentaram as consequências do desastre.

Na análise de risco é realizado um levantamento das ameaçase vulnerabilidades do ambiente.

As informações resultantes deste levantamen-to são correlacionadas com os ativos da empresa ou instituição,quando são analisados os riscos possíveis a cada ativo e o valor nanceiro que este risco representa.

O resultado na análise de risco fornece informações estratégi-cas que possibilitam a denição de um limite entre os investimen-tos em segurança e os riscos aceitáveis.

VulnerabilidadesSão falhas existentes em tecnologias, ambientes, processos ou

pessoas. Ex.: falta de treinamento de funcionários, bug em softwa-re, falta de manutenção de hardware, falta de extintores de incên-dio, inexistência ou inadequado controle de acesso a instituição,etc.

Análise de VulnerabilidadesTem por objetivo vericar a existência de falhas de segurança

no ambiente. Esta análise é uma ferramenta importante para a im- plementação de controles de segurança ecientes sobre os ativosda instituição.

Na análise de vulnerabilidades é realizada uma vericação de-talhada do ambiente da instituição, vericando se o ambiente atualfornece condições de segurança compatíveis com a importânciaestratégica dos serviços realizados.

A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, Pessoas e Ambientes.

Tecnologias: Software e hardware usados em servidores, es-tações de trabalho e outros equipamentos pertinentes, como siste-mas de telefonia, rádio e gravadores. Ex.: estações sem anti-vírus,servidores sem detecção de intrusão, sistemas sem identicação ouautenticação. A vulnerabilidade na computação signica a existên-cia de brecha em um sistema computacional, também conhecidacomo “bug”.

Processos: Análise do uxo de informação, da geração da in-formação e de seu consumo. Analisa também como a informação écompartilhada entre os setores da organização.





4

Pessoas: As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas podem possuir grandes e importantes vulnerabilidades. Ex.: Desconhecer a im- portância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.

Ambientes: É o espaço físico onde acontecem os processos,onde as pessoas trabalham e onde estão instalados os componentesde tecnologia. Este item é responsável pela análise de áreas físicas.Ex.: Acesso não autorizado a servidores, arquivos, agendas, cofrese chários.

Impacto: Ainda nesse processo é necessário se determinar qual o grau de prejuízo da empresa ou instituição se determinadoativo tornar-se indisponível, público ou não conável (sem inte-gridade).

Benefícios da Análise de Riscos- Maior conhecimento do ambiente, seus problemas e riscos;- Possibilidade de tratamento das vulnerabilidades, com base

nas informações geradas;- Informações estratégicas sobre investimentos;- Maior organização e aderência a padrões de segurança;- Maior conabilidade do ambiente após a análise;- Informações para o desenvolvimento da Política de Seguran-

ça da instituição.- Melhoria na identicação de ameaças e oportunidades;- Valoração da incerteza e da variabilidade;- Gerenciamento pró-ativo ao invés de reativo;- Alocação e uso mais efetivo de recursos;- Melhoria no gerenciamento de incidentes e redução nas per -

das e no custo do risco;- Melhoria na conança do stakeholder (parte interessada) e

no relacionamento;- Menos surpresas;- Exploração de oportunidades;- Melhoria no planejamento e no desempenho da instituição;- Economia e eciência;- Melhoria na reputação;- Proteção da alta administração;- Melhoria pessoal.

Produtos Finais:- Reunião de conclusão da análise;- Relatório de Análise de Risco;- Plano de Ação para curto e médio e longo prazo.

ProbabilidadeA possibilidade de que um evento ou uma situação insegura

possa ocorrer. Algumas perguntas devem ser realizadas para me-lhor denição da probabilidade, tais como:

- Existem registros de eventos iguais ao que está sendo avalia-do ou este é um evento isolado?

- Qual(ais) outro(s) equipamento(s) ou tipo de componentessemelhantes podem apresentar defeitos similares?

- Quantas pessoas operacionais e/ou de manutenção es-tão envolvidas com o cumprimento deste(s) procedimento(s)especíco(s)?

- Qual a frequência de utilização do equipamento ou do proce-dimento que está sendo avaliado?

Severidade – possíveis consequências de um evento ou deuma situação insegura, tomando como referência a pior condição previsível, em termos de:

- Materiais

- Financeiros- Responsabilidade legal- Pessoal- Meio ambiente- Imagem da empresa/organização- Conança do público

Mitigação – Medidas que eliminam o perigo potencial ou quereduzem a probabilidade ou a severidade (gravidade) do risco

- Mitigação do Risco = Controle do Risco- Estratégias- Evitar a exposição – Quando os riscos excedem os benefí-

cios de continuar a operação ou atividade, a operação ou atividadedeve ser cancelada.

- Reduzir a exposição – Diminuição da frequência da opera-ção ou da atividade ou se tomam medidas para reduzir a magnitudedas consequências do risco que foi aceito.

- Segregação da exposição – São tomadas providências paraisolar os efeitos do risco ou se introduzem barreiras de proteção(redundância) contra os riscos.

É impossível eliminar todos os riscos.- Riscos podem ser minimizados a um nível tão baixo quanto

racionalmente praticável.

A mitigação do risco é um equilíbrio entre:- o tempo (rapidez);- os custos;

- as diculdades para reduzir ou eliminar os riscos, ou seja,gerenciá-los.

Divulgar os motivos das decisões ajuda a obter a aceitação e ocomprometimento dos envolvidos.

DiagnósticoPara que isso ocorra é necessário diagnosticar a situação da

segurança na organização e recomendar ações e contramedidas para cada vulnerabilidade mapeada.

O Diagnóstico consiste em um processo de identicação dosriscos de segurança a que a organização está exposta. Ele será rea-lizado através de uma avaliação sistemática que visa o mapeamen-to das ameaças e vulnerabilidades.





5

O Risco deve ser visto e entendido para que as oportunidadessejam maximizadas e as potenciais perdas sejam minimizadas.

O Risco representa a capacidade de enxergar o futuro e suasconsequências, podendo ele ser tanto positivo quanto negativo.

De fato, existe o risco de se perder algo, mas também existe orisco de se ganhar algo.

O gerenciamento de risco deve ser modelado, discutido e se-guido pelos projetos e pelas organizações como um instrumento detomada de decisões.

A Análise de Riscos é, portanto, fundamental para maximizar oportunidades e minimizar potenciais perdas, e deve ser aplicadaem todos os contextos.

2 CONTINUIDADE DE NEGÓCIOS E GERENCIAMENTO DE CRISES APLICADOS À SEGURANÇA.

A instituição nanceira deve possuir planos de contingênciae de continuidade de negócios para garantir sua capacidade deoperar e minimizar suas perdas na eventualidade de interrupçõesdrásticas de suas atividades.

O plano de continuidade de negócios tem como principal objetivo possibilitar o funcionamento da organização em um nívelaceitável nas situações de contingência onde há indisponibilidadedos recursos de informação. A impossibilidade de realizar as suasoperações traz sérios impactos nanceiros, operacionais e de ima-gem. O plano deve ser elaborado após a realização de uma análisede impacto no negócio e especicar as ameaças e riscos identica-dos na organização.

A direção e os demais interessados na organização devem co-

nhecer todas as partes e fases do desenvolvimento do plano decontinuidade de negócios e aprovar as ameaças e os riscos que podem afetar os ativos de informação, mas que estão de fora do plano. O plano deve ser elaborado inicialmente considerando assituações de maior risco e maior impacto e ir amadurecendo con-forme a maturidade da organização frente a proteção dos seus ati -vos. O treinamento e a conscientização de todos os colaboradoresé de grande importância, permitindo que a organização gerencieos riscos, esteja preparada para os momentos de contingência egaranta a continuidade do negócio.

Assim, o Plano de Contingência e de Continuidade de Ne-gócios pode ser entendido como o conjunto de medidas preven-tivas e de recuperação no caso de um desastre ou qualquer outrainterrupção drástica de negócios. Estas medidas, vão muito além

da simples adoção de um plano de seguro e, devem assegurar acapacidade da instituição nanceira em operar em bases contínuas.Os princípios de gerenciamento do risco operacional devem as-

segurar que todos os processos críticos têm seus riscos identicados,avaliados, monitorados e controlados. No entanto, existe a possibi-lidade de fatores adversos, que não podem ser evitados, provocareminterrupções drásticas nestes processos. Para que estas interrupçõesnão proporcionem sérias consequências, a instituição deve possuir um plano de contingência e continuidade de negócios.

A instituição nanceira deve rever periodicamente seu planode contingência e de continuidade de negócios, a m de mantê-loatualizado e consistente com as operações e estratégias correntes.Além disso, este plano deve ser testado periodicamente para asse-gurar que a instituição nanceira possa executá-lo num evento dedescontinuidade severa dos negócios.

O plano de contingência e de continuidade de negócios envol-ve basicamente quatro fatores:

- Infraestrutura de pessoal (pessoas e responsabilidades);- Infraestrutura física (local e recursos);- Infraestrutura tecnológica (hardware e software);

- Serviços externos (essenciais ao processo).

O plano de contingência e de continuidade de negócios deveser um processo contínuo no qual a instituição nanceira deve:

- Identicar e analisar impactos nos negócios e perdas poten-ciais;

- Garantir a continuidade dos negócios, operações e serviços;- Priorizar os processos críticos denidos corporativamente,

incluindo todas as atividades da linha de frente às áreas de suporte;- Conter detalhadamente todas as atividades, procedimentos,

responsabilidades e necessidades de recursos no momento de umaeventual interrupção;

- Garantir que as informações sobre os planos de contingênciae de continuidade de negócios estejam sempre atualizadas e aces-síveis (física e eletronicamente);

- Atentar para alterações na legislação vigente que afetem o plano e, garantir sua comunicação às pessoas da instituição res- ponsáveis pela sua manutenção;

- Estar preparado para comunicações externas em caso de de-sastre;

- Informar novos funcionários sobre a política existente nainstituição e, incentivar a participação no treinamento do plano decontingência e de continuidade de negócios.

- Denir responsabilidade de atuação para cada funcionário,na execução do plano de contingência e de continuidade de negó-cios;

- Manter equipes treinadas nas suas respectivas responsabili-dades para agilizarem o processo de recuperação e continuidadede qualquer negócio.

- Analisar periodicamente a documentação existente para su- portar a restauração do ambiente em situação de desastre;

- Manter uma lista de contatos atualizada, inclusive de principais fornecedores e clientes;

- Testar as ações para restauração do ambiente sinistrado;- Simular situações emergenciais;- Preparar ações necessárias à recuperação do Centro de Tec-

nologia da Informação.A maneira como será implementado um plano de continuida-

de e recuperação de negócios nem sempre exigem todas as ativida-des acima mencionadas. Cada instituição deve estar atenta ao seuambiente, suas características e apetite ao risco.

Gerenciamento de crises aplicados à segurança

Com relação ao gerenciamento de crises, podemos caracte-rizá-lo como o processo de identicar, obter e aplicar os recursosnecessários à antecipação, prevenção e resolução de uma crise.Ainda, conceitua-se “Gerenciamento de Crises como o meio ecazde se identicar, obter e aplicar, de conformidade com a legislaçãovigente e com o emprego das técnicas especializadas, os recur -sos estratégicos, adequados para solução de crise, sejam medidasde antecipação, prevenção e/ou resolução, a m de assegurar ocompleto restabelecimento da ordem pública e da normalidade dasituação”.

Características das CrisesA doutrina norte-americana formulada pela Academia Nacio-

nal do FBI (EUA), enumera três características principais sobreum evento crucial:





6

AMEAÇA À VIDA – Congura-se como um componenteessencial do evento crítico, mesmo quando a vida em risco é a do próprio indivíduo causador da crise. Assim, por exemplo, se al-guém ameaça se jogar do alto de um prédio, buscando suicidar-se,essa situação é caracterizada como uma crise, ainda que inexistamoutras vidas em perigo.

IMPREVISIBILIDADE – A crise é não-seletiva e inespera-da, isto é, qualquer pessoa ou instituição pode ser atingida a qual-quer instante, em qualquer local, a qualquer hora. Sabemos queela vai acontecer, mas não podemos prever quando. Sendo assim,as instituições policiais não podem se valer da possibilidade de se preparar tão somente quando o evento crítico acontecer, devendoestar preparados para enfrentar qualquer crise.

COMPRESSÃO DE TEMPO (urgência) – Os processosdecisórios que envolvem discussões para adoção de posturas noambiente operacional devem ser realizados, em um curto espaçode tempo. Os eventos cruciais de alta complexidade impõem aosagentes responsáveis pelo seu gerenciamento: urgência, agilidadee rapidez nas decisões.

O gerenciamento de uma crise deve ser trabalhado sob umacompreensão de tempo e considerando os mais complexos proble-mas: sejam sociais, econômicos, políticos e ideológicos.

Deve avaliar potenciais riscos e preparar planos preventivos para agir em relação a cada situação.

NECESSIDADE DE:1. Postura organizacional não-rotineira: A necessidade de

uma postura organizacional não-rotineira é de todas as caracterís-ticas essenciais, a que causa maiores transtornos ao processo degerenciamento, principalmente, quando a instituição não despren-de energias sucientes para se planejar antes mesmo da crise acon-tecer. Contudo, é a única cujos efeitos podem ser minimizados,graças a um preparo e a um treinamento prévio da organização para o enfrentamento de eventos críticos.

2. Planejamento analítico especial e capacidade de imple-mentação: Sobre a necessidade de um planejamento analítico especial é importante salientar que a análise e o planejamento, duran-te o desenrolar de uma crise, são consideravelmente prejudicados por fatores como a insuciência de informações sobre o eventocrítico, a intervenção da mídia e o tumulto de massa geralmentecausado por situações dessa natureza.

A capacidade de implementação resume-se na habilidade queterá o Gerente da crise em mobilizar todos os recursos necessários para solucionar a crise.

Objetivo do Gerenciamento de CrisesO Gerenciamento de Crises tem como principal objetivo, em

absoluta ordem axiológica, PRESERVAR VIDAS e APLICAR ALEI.

O Gerente de uma situação de crise deve ter sempre em menteesses objetivos, mesmo que optando por preservar vidas de ino-centes, possa contribuir para uma momentânea fuga ou vitória doselementos causadores da crise.

A preservação de vidas serve para todos os envolvidos nocenário da crise, os reféns, o público em geral, os policiais e atémesmo os criminosos.

A aplicação da lei deverá consistir na prisão dos infratores protagonistas da crise, na proteção do patrimônio público privado,como também, garantindo o estado de direito.

Critérios de ação No decorrer do processo do gerenciamento de uma crise, o

GERENTE DA CRISE (mais alta autoridade presente no teatro deoperações) tomará decisões das mais diversas espécies e pertinen-

tes aos mais variados assuntos. Para balizar e facilitar o processodecisório no curso de uma crise, a doutrina estabelece o que sechamam critérios de ação, que se traduzem em referenciais paranortear a tomada de decisões.

A doutrina de Gerenciamento de Crises estabelece três crité-rios de ação, a saber: a necessidade, a validade do risco e a acei -tabilidade.

O critério da necessidade indica que toda e qualquer ação so-mente deve ser implementada quando for indispensável.

O critério da validade do risco, nos mostra que toda e qualquer ação têm que levar em conta se os riscos dela advindos são com- pensados pelos resultados.

A aceitabilidade, implica em que toda ação deve ter respaldolegal, moral e ético.

ACEITABILIDADE LEGAL – Toda decisão deve ser tomadacom base nos princípios ditados pelas leis.

ACEITABILIDADE MORAL – Toda decisão para ser tomadadeve levar em consideração aspectos de moralidade e bons costu-

mes.ACEITABILIDADE ÉTICA – O responsável pelo gerencia-mento da crise, ao tomar uma decisão, deve fazê-lo lembrandoque, o resultado da mesma não pode exigir de seus comandadosa prática de ações que causem constrangimentos à corporação po-licial.

Resumindo, o GERENTE DA CRISE, no momento das suastomadas de decisões, deve estar a todo o momento se questionandosobre as suas determinações ou decisões:

É necessário correr este risco ou existe uma outra forma dese resolver? Vale a pena correr este risco? A minha decisão possuium respaldo legal, esta dentro dos princípios morais e éticos dasociedade? Etc.

Classicação dos graus de riscoO objetivo de estudarmos e entendermos a classicação dosgraus de risco ou ameaça dos eventos críticos, é para dimensio-narmos os recursos humanos e materiais a serem empregados naocorrência de forma que não quem super ou subdimensionados.

A avaliação da classicação do grau de risco deve ser uma das primeiras ações a ser mentalizada pelo Gerente da crise.

Essa classicação obedece a um escalonamento de quatrograus:

1º Grau – ALTO RISCO2º Grau – ALTÍSSIMO RISCO3º Grau – AMEAÇA EXTRAORDINÁRIA4º Grau – AMEAÇA EXÓTICA

Uma correta avaliação do grau de risco ou ameaça, represen-tado por uma crise, concorre favoravelmente, para a solução doevento, possibilitando, desde o início, o oferecimento de um nívelde resposta adequado à situação, evitando-se, destarte, perdas detempo desnecessárias.

Fases do processo de Gerenciamento de CrisesQuando falamos sobre fases do processo de Gerenciamento

de Crises, o primeiro pensamento que nos vem a cabeça, é que o processo de Gerenciamento de Crises só se inicia quando o eventocrucial explode. Entretanto, a doutrina nos ensina que o processode Gerenciamento de Crises se inicia muito antes da crise eclodir,como também, observaremos que ele continua mesmo tendo sidosolucionado a crise.





7

As fases do processo de Gerenciamento de Crises são dividi-das em:

- Fase da pré-confrontação;- Fase da confrontação;- Fase da pós-confrontação.

FASE DA PRÉ-CONFRONTAÇÃO (PREPARO)É a fase que antecede a confrontação do evento crucial. Du-

rante esta fase, a instituição policial se prepara, administrativa-mente, em relação à logística, operacionalmente através de instru-ções e operações simuladas, planejando-se para que possa atender qualquer crise que vier acontecer na sua esfera de competência.

São todos aqueles procedimentos fundamentais, que irão permitir aos órgãos e pessoas envolvidos em um evento crítico, possuir condições de interagir de maneira pró-ativa com as situ-ações encontradas. A ausência e ou carência de uma destas fases proporcionarão diculdades ou até mesmo impedirá uma respostasatisfatória para sociedade, arranhando desta forma a credibilidadedo Sistema de Defesa Social (SDF) e colocando vidas em risco.

Esta é a fase em que nos encontramos neste exato momento.É a fase da normatização, da formação (apresentação, estudo, pes-quisa) de doutrina, da elaboração de um plano de contingência ousegurança, estruturação e treinamento.

É de fundamental importância que os envolvidos em eventoscríticos tenham o conhecimento dos procedimentos a serem adota-dos quando na confrontação e através de um programa contínuo ecriterioso de divulgação, com cursos, estágios, palestras e ocinas,a Secretaria de Segurança Pública tem transmitido aos integrantesdo Sistema de Defesa Social (SDF), a necessidade de padroniza-ção de posturas e de cooperação para resolução dos conitos davida moderna, tendo o devido cuidado com referencia ao nível deinformação, para não reduzir ou até mesmo anular, as técnicas derespostas, utilizadas pelo Sistema de defesa Social do Estado, con-tra a escalada da violência que vitima a nossa sociedade.

PLANO DE CONTIGÊNCIA OU SEGURANÇAO plano de contingência ou segurança está intimamente rela-

cionado ao planejamento estratégico que é elaborado pelas insti-tuições, avaliando-se dentro do Estado os locais, pessoas e negó -cios sensíveis, notáveis e importantes na nossa estrutura, reduzin-do desta forma a incidência dessas ocorrências ou minimizandoseus efeitos quando é deagrada.

ESTRUTURAÇÃOCom aumento de ocorrência desta natureza, cou irreversível

a necessidade de criação de uma estrutura especíca para tratar doassunto, com pessoal treinado, espaço denido e principalmenteequipamentos ecientes para fazer frente aos eventos críticos.

TREINAMENTOComo já entendemos que crise é um fenômeno social, e comofenômeno social está sempre num processo de mudanças, os pro-ssionais que atuam nesta área não podem se permitir parar notempo, pois, esta estagnação poderá custar uma preciosa vida,logo, o aprimoramento técnico-prossional deve ser contínuo,avaliando através de estudo de casos os procedimentos adotadosem todas as ocorrências, formando um banco de dados eciente.

FASE DA CONFRONTAÇÃO (RESPOSTA IMEDIATAou AÇÃO)

A fase de confrontação ou resposta imediata corresponde aomomento em que as primeiras medidas devem ser adotadas, ime-diatamente a eclosão de um evento de alta complexidade. Nestafase, os Policiais Militares que estão no serviço de policiamento

ostensivo, uma vez conhecedores da doutrina sobre gerenciamentode situações cruciais, são de extrema importância, pois, na maio-ria dos casos são eles que serão os primeiros a se depararem comtais ocorrências. Nestes casos, “uma resposta imediata e ecientedepende quase que 60% do êxito da missão policial no gerencia-mento de uma crise”.

CONTENÇÃOA contenção de uma crise consiste em evitar que ela se alas-

tre, isto é, impedindo que os sequestradores aumentem o númerode reféns, ampliem a área sob seu controle, conquistem posiçõesmais seguras, ou melhor, guarnecidas, tenham acesso a mais arma-mento, vias de escape, ou seja, a contenção é o impedimento dodeslocamento do ponto crítico.

Enm, é a ação que visa evitar o agravamento da situação ouque ela se alastre, impedindo que o causador:

- Aumente o número de reféns;- Amplie a área de controle;- Conquiste posições mais seguras;- Tenham acesso a recursos que facilitem ou ampliem o seu

potencial ofensivo.

ISOLAMENTOÉ a ação que visa cortar todos os meios de contato, visual, au-

diovisual e ou material dos envolvidos diretamente no conito. É o“congelamento” do objetivo (local), visando interromper o contatoda vítima ou refém e principalmente do causador com o exterior.

Recomenda-se o corte de energia elétrica, linha telefônica,sistema de abastecimento de água, gás e qualquer outro meio deindependência por parte dos causadores.

Permite que a Polícia assuma o controle como único veículode interlocução. Quanto melhor o isolamento melhor a possibili-dade de negociação.

A ação de isolar o ponto crítico se desenvolve praticamente aomesmo tempo em que a de conter a crise. Os perpetradores devemser isolados de forma que se imponha a eles a sensação de estaremcompletamente sozinhos.

INÍCIO DAS NEGOCIAÇÕESConsiderado o momento mais tenso, por não termos os ele-

mentos essenciais de informações, como número de reféns ou ví-timas, quantidade de causadores, armamento utilizado, conheci-mento do espaço físico. É o principal momento em que o policial pode encontrar uma certa agressividade por parte dos causadores.A técnica recomenda que este contato inicial seja através de instru-mentos de comunicação como megafone, etc. Mesmo que a auto-ridade que primeiro tiver contato com a crise não seja um negocia-dor ocial, este deverá iniciar o processo de negociação assim queas condições do terreno o permitam.

PERÍMETROS DE SEGURANÇASão os anéis de controle, que propiciam a segurança da po-

pulação, das autoridades envolvidas, da imprensa, das vítimasou reféns e dos protagonistas do evento. A sua forma e tamanho podem variar de acordo com cada ocorrência, pois dependeremosde vários fatores como: espaço físico onde esta ocorrendo a cri -se, poder de letalidade do armamento que está sendo utilizado e atipologia do causador do evento crítico, vale lembrar que quantomaior suas dimensões, mais difícil sua manutenção. Os perímetrosde segurança geralmente são divididos em três etapas: EXTERNO,INTERMEDIÁRIO e INTERNO.





8

FASE DA PÓS-CONFRONTAÇÃO DE UM EVENTOCRÍTICO

Fase que sucede o encerramento de um evento crítico.Algumas pessoas acreditam que com a libertação dos reféns a

ocorrência já está terminada, vamos citar algumas dentre as variasmedidas que o aparelho policial precisa adotar após a confronta-ção:

- Atendimento médico para os reféns ou vítimas: Uma das pri-meiras medidas a serem tomadas, é o acionamento de atendimentomédico para o local, ao nal da ocorrência mesmo que a pessoanão queira ser atendida, torna-se conveniente que um prossionalda área de saúde, possa fazer este primeiro contato, visando veri -car o seu estado de saúde, e desta forma evitar certas surpresas.

- Cumprimento das garantias: Não podemos garantir o quenão podemos cumprir. Estabelecida a negociação por parte do apa-relho policial, ela tem que está pautada antes de tudo na aceitabi-lidade legal, moral e ética. Autuação em Flagrante dos causadorestorna-se uma consequência natural na maioria das ocorrências deGerenciamento de Crises, atribuindo inclusive, responsabilidadesaos seus autores.

- Relatório do Evento (Fatos e críticas): Constar tudo que for julgado importante sobre a ocorrência, e com riqueza de detalhes, pois, não podemos esquecer que este relatório é uma das peçasfundamentais do processo legal.

3 PREVENÇÃO DE FRAUDES E DELITOS INTERNOS.

Atualmente a prática criminosa de fraudes contábeis, no âm-

bito das organizações privadas, vem tendo um incremento signi-cativo. Uma parcela das empresas envolvidas prefere silenciar, pois, na maioria das vezes, não tem provas para armar que foramvítimas, restando, apenas, a constatação do prejuízo. Outras, visan-do evitar exposição pública quanto à fragilidade de seus controlesinternos, sublimam a magnitude do problema.

Diante de circunstâncias como essas, discussões têm emer -gido sobre o papel e a importância do controle interno na pre-venção de fraudes, que podem causar prejuízos irreparáveis auma organização As fraudes existem desde os primórdios da ci-vilização, todavia, encontram-se mais presente nos tempos atuais,em organizações de qualquer natureza – públicas, privadas, não--governamentais. São cometidas em países ocidentais, orientais,desenvolvidos ou subdesenvolvidos. Envolvem organizações de

qualquer segmento – indústria, comércio, serviço – e de qualquer porte – grande, médio, pequeno ou microempresa. De modo quenenhuma organização está totalmente imune aos efeitos perversosdas fraudes sobre suas atividades.

Os efeitos das fraudes geram um grande impacto nas organi-zações privadas e na sociedade, pois o processo de globalização daeconomia originou uma forte integração comercial e nanceira emnível mundial. Essa realidade fez com que a discussão sobre pre-venção, redução e controle de fraudes, dentro dessas organizações, passassem a integrar a pauta de todos os níveis hierárquicos - altaadministração, gestores intermediários e colaboradores.

É importante destacar que, dicilmente, uma fraude prosperasem a participação ou a omissão de pessoas que, através de atos,comportamentos ou atitudes inidôneos, promovem um contexto

organizacional facilitador para a uidez desse ato ilícito, muitasvezes, sem a devida avaliação das consequências dessas ações paraa organização e seus colaboradores.

A prevenção ao cometimento de fraudes deveria ser uma es-tratégia mais valorizada nas entidades, pois, comprovada a suaocorrência, os danos materiais, mercadológicos e humanos são,não raras vezes, irreparáveis, mesmo que se aplique punição. Ins -tala-se, então, um estado de anormalidade funcional que provoca padecimentos psíquicos e morais.

Nesse campo, o processo preventivo abrange diversas variá-veis, tendo como principal ferramenta o controle interno perma-nente, nas áreas de contabilidade e de auditoria, visando identicar e monitorar situações em que possa existir maior risco de fraudesinternas. Esse tipo de controle diz respeito aos que são criados in -ternamente no ambiente das entidades, com o propósito maior desalvaguardar o patrimônio e, consequentemente, os interesses dosacionistas e demais interessados.

Considerando essas premissas, parte-se do pressuposto de que,se houver um controle interno adequado, esse é um meio ecaz

nos processos de prevenção, descoberta e combate aos erros inten-cionais (fraudes), cometidos em empresas privadas no Brasil. Umsistema de controle interno eciente consegue separar os eventossuspeitos, sob os quais recairá uma vericação mais cuidadosa eaprofundada, proporcionando maior conabilidade aos negócios.

Controle interno: aspectos conceituais e princípiosCada vez mais, o ato de administrar torna-se complexo. A es-

cassez dos recursos, a vulnerabilidade dos negócios e o desenvol-vimento da tecnologia da informação fazem com que surjam novasdemandas de controles, exigindo dos gestores e dos auxiliares aadoção de novas ferramentas de gestão e padrões comportamen-tais, visando à adequação da organização aos novos desaos. Énesse contexto que o sistema de controle interno torna-se impres-

cindível para o desenvolvimento dos negócios.O controle interno possibilita a medição de padrões, a com- paração de metas, a avaliação de desempenho e a scalização deeventos, com o intuito de corrigir informações, comparar resulta-dos, adaptar situações novas, detectar desvios ou anormalidades esimplicar rotinas. Esse monitoramento é necessário, posto que,apesar dos avanços operacionais, gerenciais e tecnológicos, o ele-mento humano apresenta fraquezas funcionais e morais, intencio-nais ou não, que podem comprometer a perenidade da organização.

Perez Júnior compreende o controle interno como “o planode organização e todos os métodos e medidas coordenados, adota-dos numa empresa para proteger seus ativos, vericar a exatidãooperacional e promover a obediência às diretrizes administrativasoferecidas”. Na perspectiva de Almeida, “o controle interno repre-senta em uma organização o conjunto de procedimentos, métodosou rotinas com os objetivos de proteger ativos, produzir dadosconáveis e ajudar a administração na condução ordenada dos ne -gócios de empresa”.

Pode-se perceber que os autores acima relacionam o controleinterno com os padrões de operação (planos, métodos, medidas, procedimentos, rotinas) que devem ser implementados nas organi-zações de modo a promover a segurança dos seus ativos, a eciên-cia nos processos e a geração de informações úteis, para auxiliar a administração.

Implícita a esses conceitos, encontra-se a importância doscontroles internos para a eciência e a continuidade operacionalda empresa, porquanto a salvaguarda dos ativos, sujeitos tanto afraudes quanto a erros não intencionais, e a veracidade dos dadoscontábeis são pilares no processo de decisão.





9

Delitos internos Neste ponto passa-se, efetivamente, a apresentar a legislação

inerente à fraude e delitos internos pesquisada.

Código Civil – Lei nº 10.406/2002 Nesta lei são normatizados os princípios fundamentais: a

eticidade, a socialidade e a operabilidade, e ainda, é atribuído aocontabilista a responsabilidade solidária pelos atos praticados ine-rentes ao exercício da prossão, que denote conduta antijurídica,especicadamente nos artigos discorridos a seguir:

Da Fraude contra credores – Seção VI: Art. 159. Serão igual-mente anuláveis os contratos onerosos do devedor insolvente,quando a insolvência for notória, ou houver motivo para ser co-nhecida do outro contratante.

Dos Atos Ilícitos: Art.186. Aquele que por ação ou omissãovoluntária, negligência ou imprudência, violar direito e causar da-nos a outrem, ainda que exclusivamente moral comete ato ilícito.

Da obrigação de indenizar: Art. 927. Aquele que, por ato ilí-cito, causar dano a outrem, ca obrigado a repará-lo. ParágrafoÚnico: Haverá obrigação de reparar o dano, independentementede culpa, nos casos especicados em lei, ou quando a atividadenormalmente desenvolvida pelo autor do dano implicar, por suanatureza, risco para os direitos de outrem.

Do contabilista e outros auxiliares - Seção III: Art. 1.177. Osassentos lançados nos livros ou chas do preponente, por qualquer dos prepostos encarregados de sua escrituração, produzem, salvose houver procedido de má-fé, os mesmos efeitos como se fossem por aquele. Parágrafo Único: No exercício de suas funções, os prepostos são pessoalmente responsáveis, perante o preponente, pelosatos dolosos.

Relacionado ao assunto contábil, no artigo 1.188, está a prin-cipal virtude do Código Civil. Estabelecem-se, expressamente,rigores ao balanço patrimonial, exigindo delidade, clareza e si-tuação real da empresa, tudo isso subordinado rigorosamente ao processo centenário das partidas dobradas. Exigências, essas, quenão eram expressamente feitas pela Lei 6.404/76 (que tem sidotomada como base). Essa lei, nos artigos 178 a 188, estabelece osconceitos contábeis, critérios e procedimentos para a elaboraçãodo seu balanço patrimonial, normas que também podem ser apli-cadas às demais sociedades, desde que tal aplicação esteja previstano contrato social.

A delidade está em se espelhar de forma sincera o que ocor -reu; a clareza se encontra na facilidade do entendimento; a unifor -midade é o princípio que defende a regularidade ou constância decritérios; a realidade expressa o que é verdadeiro; só o verdadeirointeressa à Contabilidade e atende ao espírito do artigo 1.188 doCódigo Civil de 2002 (Lei 10.406).

Após mostrar o tratamento dado na esfera civil, tratando arespeito da reparação do prejuízo causado a terceiros, a seguir passa-se a apresentar a normatização de proteção aos tomadoresde serviços.

Código de Defesa do ConsumidorVisando proteger os tomadores de serviços, o art.14 do Códi-

go de Defesa do Consumidor normatiza:

Art.14. O fornecedor de serviços responde, independentemen-te da existência de culpa, pela reparação dos danos causados aosconsumidores, por defeitos relativos à prestação de serviços, bemcomo por informações insucientes ou inadequadas sobre a suafruição e riscos.

No §4º do artigo há previsão de que “a responsabilidade pes-soal dos prossionais liberais será apurada mediante a vericaçãode culpa”.

As fraudes também são puníveis penalmente, a seguir, apre-senta-se os principais artigos constantes no Código Penal Brasilei-ro no que concerne as fraudes.

Código Penal Brasileiro – Decreto-Lei 2.848/1940Além das normas civis, existe a norma penal, através do Có -

digo Penal, que trata a respeito das fraudes. Podemos citar comoexemplos os artigos: Art. 171, §2º incisos IV, V, VI (Fraude naentrega de coisa, Fraude para recebimento de indenização ou valor de seguro, Fraude no pagamento por meio de cheque); art. 179(Fraude a Execução); Art. 358 (Violência ou fraude em arremata-ção judicial); Art.342 e 343 (Falso testemunho ou falsa perícia);art. 347 (fraude processual), entre outros.

Em 1990, teve-se a aprovação de uma lei que trata sobre oscrimes cometidos contra a ordem tributária e nanceira do país brasileiro. A seguir passa-se a discorrer a respeito dessa lei, cha-mada de Lei do Colarinho Branco.

Lei do Colarinho Branco – Lei 8.137/1990A Lei 8.137/1990, mais conhecida como Lei do Colarinho

Branco também arrazoa a respeito das fraudes.Conforme art.1º: constitui crime contra a ordem tributária su-

primir ou reduzir tributo, ou contribuição social e qualquer acessó-rio, mediante as seguintes condutas:

I. Omitir informação, ou prestar declaração falsa às autorida-des fazendárias;

II. Fraudar a scalização tributária, inserindo elementos ine-xatos, ou omitindo operação de qualquer natureza, em documentoou livro exigido pela lei scal;

III. Falsicar ou alterar nota scal, fatura, duplicata, nota devenda, ou qualquer outro documento relativo à operação tributá-vel;

IV. Elaborar, distribuir, fornecer, emitir ou utilizar documentoque saiba ou deva saber falso ou inexato.

A seguir, após apontar a legislação relacionada aos crimes -nanceiros e tributários, passa-se a comentar a Lei 9.613/98

Crime de lavagem de dinheiroAs instituições nanceiras estão expostas a diversos riscos na

condução de seus negócios. O risco de reputação e o risco legal – riscos de difícil mensuração e associados à “lavagem” de dinheiro – são dois desses tipos de risco. Além disso, citamos ainda o riscooperacional que, de alguma forma pode advir de ausência de con-troles internos e fragilizar instituições nanceiras.

Assim, em conformidade com o preconizado na Lei 9.613 e baseado nas recomendações dos diversos organismos internacio-nais, o Banco Central emitiu normativos estabelecendo os limitesde valores que deveriam ser registrados, dando exemplos de si-tuações e/ou transações que podem congurar a prática do crimede “lavagem” de dinheiro, e determinando o desenvolvimento e aimplementação de procedimentos internos de controle para detec-tar operações que caracterizem indício de ocorrência de “lavagem”de dinheiro.





10

A necessidade de implementação de controles internos por parte das instituições nanceiras fora regulamentada previamen-te às normas de prevenção à “lavagem” de dinheiro, através daResolução 2.554/98 que, tendo como objetivo a mitigação dosriscos associados às suas operações, estabeleceu que os controlesinternos devem prever, dentre outros aspectos, o acompanhamentosistemático do cumprimento das leis e regulamentos aplicáveis ea participação da auditoria interna, a qual poderia, quando nãoexecutada por unidade especíca da instituição, ser desempenhada por auditores independentes.

4 INTELIGÊNCIA COMPETITIVA: MÉTODOS E TÉCNICAS APLICADOS À

SEGURANÇA CORPORATIVA.

A denição de inteligência competitiva está muito ligada a

noção de processo, conforme segue: “objetiva agregar valor à in-formação, fortalecendo seu caráter estratégico, catalisando, assim,o processo de crescimento organizacional. Nesse sentido, a coleta,tratamento, análise e contextualização de informação permitem ageração de produtos de inteligência, que facilitam e otimizam atomada de decisão no âmbito tático e estratégico”.

O doutrinador Tyson arma que inteligência competitiva é“um processo sistemático que transforma bits e partes de infor -mações competitivas em conhecimento estratégico para a tomadade decisão”.

Por outro lado, Cubillo conceitua Inteligência competitivacomo um “conjunto de capacidades próprias mobilizadas por umaentidade lucrativa, destinadas a assegurar o acesso, capturar, inter - pretar e preparar conhecimento e informação com alto valor agre-

gado para apoiar a tomada de decisão requerida pelo desenho eexecução de sua estratégia competitiva”.

Os três termos são muito próximos e relacionados, porquantoa ação de um incide na ação do outro. Existe claramente uma hie -rarquização entre esses termos, além disso, as tecnologias de infor -mação fazem parte desse contexto. “Um sistema de informações pode ser caracterizado como uma tecnologia intelectual porqueafeta a organização das funções cognitivas do homem: a coleta, oarmazenamento e a análise de informações assim como atividadesde previsão, concepção, escolha, decisão”. Isso pode ser aplicadoà gestão da informação, na gestão do conhecimento e à inteligênciacompetitiva.

A inteligência competitiva necessita ter o mapeamento e a prospecção de dados, informações e conhecimento produzidos

internamente e externamente à organização, conhecer profunda-mente as pessoas chave da organização independentemente de car -gos, assim como as pessoas estratégicas fora da organização, saber quais setores/instituições participam dos uxos informacionais,formais e informais, tanto no ambiente interno quanto externo àorganização, estar sensíveis as necessidades informacionais dosclientes internos e externos, visando elaborar produtos e serviçosinformacionais de qualidade e direcioná-los de forma adequada e,nalmente diminuir o stress informacional da organização.

Todas essas ações visam, portanto, criar uma cultura informa-cional/intelectual na organização.

Os dados, informações e conhecimento prospectados sobreempresas, produtos, mercados, materiais, processos, meio ambiente, tecnologia, pessoas, política, economia, nanças, comércio

etc., têm a nalidade de dar maior segurança às direções perse-guidas pela organização. Agregar valor é fundamental para que o processo de inteligência competitiva da organização, seja efetivo.Por isso, os serviços e produtos devem ser personalizados ao pú - blico usuário. Uma outra questão importante para a inteligência

competitiva é a validade dos dados, informações e conhecimento,isto é, realmente eles respondem as perguntas críticas do negócioda organização quanto a consistência e conabilidade, utilidade eobsolescência e, nalmente a condencialidade exigida.

O processo de inteligência competitiva organizacional deveseguir sete passos para seu funcionamento contínuo. São eles:

1. Identicar os “nichos” de inteligência internos e externosà organização;

2. Prospectar, Acessar e Coletar os dados, informações e co-nhecimento produzidos internamente e externamente à organiza-ção;

3. Selecionar e Filtrar os dados, informações e conhecimentorelevantes para as pessoas e para a organização;

4. Tratar e Agregar Valor aos dados, informações e conhe-cimento mapeados e ltrados, buscando linguagens de interação

usuário / sistema;5. Armazenar através de Tecnologias de Informação os dados,

informações e conhecimento tratados, buscando qualidade e se-gurança;

6. Disseminar e transferir os dados, informações e conheci-mento através de serviços e produtos de alto valor agregado parao desenvolvimento competitivo e inteligente das pessoas e da or-ganização;

7. Criar mecanismos de feed-back da geração de novos dados,informações e conhecimento para a retroalimentação do sistema.

Num mundo em que a competição atual e o potencial são cres-centes, em que os consumidores tornam-se cada vez mais exigen-tes, em que a informação ui de forma veloz e a baixo custo, emque as empresas reinventam-se constantemente, em que fusões eaquisições são uma constante, em que o ciclo de vida dos produtos

encurta-se signicativamente, e em que tais produtos tornam-secada vez mais commodities, uma área produtora de informações passa a ser vital.

Ter um sistema de inteligência competitiva é consideradoestar à frente no desenvolvimento de programas de qualidade e produtividade. A produção orientada para as necessidades do con-sumidor não é suciente para garantir o sucesso de uma empresa.É preciso também monitorar a concorrência e as novas tecnologias para que se possa identicar as ameaças e antecipar oportunidadesque permitam conquistar uma posição competitiva favorável.

CONTRA-INTELIGÊNCIA

Um número cada vez maior de empresas, em vários setores,está utilizando a inteligência competitiva. Elas descobriram que

podem aplicar meios legais e éticos para coletar, analisar e reportar informações sobre a concorrência, e obter percepções competiti-vas valiosas - sobre lançamentos de novos produtos, mudanças naestratégia de preços, fusões e aquisições, entre outros.

Se a inteligência competitiva pode oferecer a uma empresainformações dessa qualidade sobre a concorrência, isso signicaque a concorrência também pode obter informações sobre a empresa e que, portanto, esta deveria se preocupar com medidas desegurança para protegê-las.

Mas proteger a informação não signica apenas instalar -rewalls, instituir procedimentos para destruição de documentos e prender laptops com cabos de aço. Mesmo assim, muitas empresascontinuam a concentrar seus esforços de proteção da informaçãoem medidas internas relacionadas a ativos físicos. Esquecem que ainformação pode escapar de muitas outras formas.





11

Falham ao deixar de considerar que os funcionários podemsimplesmente revelar informações em congressos, fóruns, expo-sições e outros eventos. Frequentemente, a fuga involuntária deinformações acontece de maneira legal e ética, portanto, não setrata de espionagem, mas sim de vazamento de informações. As pessoas não estão preparadas ou conscientes sobre a possibilida-de de serem alvos de um monitoramento estruturado por parte daconcorrência.

As empresas precisam desenvolver funções de contra-inteli-gência ativas (e não reativas, depois que a fuga já aconteceu) paralidar com um ambiente de negócios em constante mudança. Elastendem a se enquadrar em uma das três categorias a seguir:

a) Algumas empresas se apoiam em programas tradicionaisde segurança física e pessoal. Tais procedimentos, na melhor dashipóteses, são vistos como um custo necessário para se operar umnegócio; menos favoravelmente, são vistos como impedimentos àsatividades diárias do negócio; e, na pior concepção, são considera-dos violações dos direitos básicos individuais.

b) Empresas mais proativas instituíram programas que pro-curam avaliar e proteger o verdadeiro valor dos programas de se-gurança corporativa para seus resultados nanceiros. Em algunscasos, isso até envolve um processo um tanto quanto sistemático.O mais renado deles estabelece um processo cíclico similar ao processo de inteligência. Nestes casos, a gerência da empresa seenvolve mais na denição do que precisa ser protegido.

c) O terceiro grupo de empresas, que os praticantes de qua-lidade total chamariam de “best-in-class”, desenvolveu ligaçõesentre inteligência e contra-inteligência que o distingue dos demais.

1) Denição das necessidades de proteção. Neste estágio dociclo, duas entradas dirigem o esforço de contra-inteligência: re-quisição direta do tomador de decisão e necessidade de validar independentemente alguns dos esforços de coleta de inteligênciacompetitiva. Questões que precisam ser respondidas neste estágio

incluem:- Por quanto tempo o projeto precisa ser mantido sob sigilo?- Qual é o elemento mais crítico do novo produto?- Que partes da empresa estarão envolvidas e em que exten -

são?- O que já se conhece (ou espera-se que seja conhecido) sobre

o projeto/produto?A abordagem de contra-inteligência auxilia o processo de

inteligência na medida em que assegura que as informações queestão sendo coletadas, analisadas e reportadas não são na verdade“desinformações” criadas para despistar a empresa.

2) Avaliação competitiva. O foco nesta parte do ciclo de con-tra-inteligência é avaliar a capacidade de inteligência da concor -rência. Algumas das questões que devem ser levantadas são:

- Que tipo de componente de inteligência o concorrente tem?- Como ele está organizado?- Que tipo sucesso ele já teve no passado?- Como ele se insere na estrutura da organização?- Que tipo de unidade de análise de inteligência ele tem e onde

(nas unidades de negócio, na corporação, etc.) está localizado?- Quais são os objetivos e prioridades de coleta do concor -

rente?

3) Estimativa de vulnerabilidade. Neste estágio do ciclo, oesforço de contra-inteligência já foi delineado pela compreensãodo que é valioso e necessita de proteção e pela avaliação das in-tenções e capacidades da concorrência de levantar informaçõessobre a empresa. Com a cooperação da atividade de IC, a contra --inteligência se volta à tarefa de fornecer uma “fotograa” externa

da empresa. Olhando para a empresa sob a ótica da concorrência, acontra-inteligência pode compreender claramente quais são as vul-nerabilidades existentes. Questões-chaves deste estágio incluem:

- quando e onde nossas informações críticas existem?- Em que medida essas informações são vulneráveis à explo-

ração pela concorrência?- Quando a concorrência precisa de nossas informações críti-

cas para poder responder efetivamente às nossas iniciativas?- Em que pontos nossa comunicação é vulnerável?- Que alternativas de comunicação temos ao nosso dispor?- Quem são nossos vendedores, fornecedores, clientes, distri-

buidores, consultores e outros empregados ou associados indire-tos?

- Como eles lidam com informações importantes para nós?

4) Desenvolvimento de medidas de contra-inteligência. Se-guindo-se os passos precedentes, pode-se desenvolver medidasde contra-inteligência que sejam apropriadas ao nível de vulne-rabilidade da empresa. O planejamento de contra-inteligência não pode seguir o padrão clássico de contenção de riscos, que enfatizaa adoção de controles de acesso maiores. Começa-se com questõescomo:

- Que práticas-padrão de segurança já existentes podem satis-fazer a necessidade de proteger informações críticas?

- Que informações críticas não podem ser protegidas por essas práticas-padrão?

- Que medidas adicionais são apropriadas, e quanto cada umacustará?

5) Implementação de medidas de contra-inteligência. Medi-das de contra-inteligência vão desde a administração de percep-ções, até o desenvolvimento de informações sobre como opera a própria inteligência competitiva da empresa. É útil que a contra--inteligência saiba o que a inteligência competitiva está tentandocoletar sobre a concorrência, seus produtos, atividades, reações àsiniciativas da empresa, etc.

Existe valor estratégico considerável numa análise sobre areação da concorrência ao programa de contra-inteligência da empresa. Ela não apenas ajudar a proteger informações críticas comotambém avalia o valor do programa de contra-inteligência em si.Quando a análise da contra-inteligência de uma empresa é com- binada com a análise competitiva, os executivos dispõem de umavisão completa do mercado, o que resulta numa habilidade maior para tomar decisões.

5 SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES: COMPORTAMENTO

SEGURO DO USUÁRIO; GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E

COMUNICAÇÕES; AMEAÇAS MAIS COMUNS NO AMBIENTE DIGITAL.

DECRETO Nº 7.845/2012.

COMPORTAMENTO SEGURO DO USUÁRIO

A sociedade da informação traz paradigmas da economia,como produtividade e qualidade, cria novos caminhos para o de-senvolvimento e exige uma nova postura diante das mudanças so-ciais. Gerar, obter e aplicar conhecimento passa a ser item básico para enfrentar essas mudanças.





12

O que caracteriza uma sociedade como “sociedade da infor -mação” basicamente é a economia alicerçada na informação e natelemática, ou seja, informação, comunicação, telecomunicaçãoe tecnologias da informação. A informação, aqui entendida comomatéria-prima, como insumo básico do processo, a comunicação/telecomunicação entendida como meio/veículo de disseminação/distribuição e as tecnologias da informação entendidas como infra-estrutura de armazenagem, processamento e acesso.

A sociedade da informação e sua relação com a economia deum país se dão através de uma superestrutura de comunicação,apoiada em tecnologias da informação e, o mais importante, o co-nhecimento, sua geração, armazenamento e disseminação, ou seja,o que se denomina atualmente de “nova economia”, é a associaçãoda informação ao conhecimento, sua conectividade e apropriaçãoeconômica e social. Além disso, exige dos diferentes segmentoseconômicos uma mudança signicativa no processo produtivo einovativo.

Cada vez mais as organizações, seus sistemas de informação

e redes de computadores são colocados à prova por diversos tiposde ameaças, incluindo vazamento de informações, fraudes, roubose invasões (físicas e lógicas).

Assim, com a imensa quantidade de informação que circula pelas redes de computadores sem restrição de tempo, distância evelocidade e a comunidade atual exigindo e consumindo cada vezmais informação. Surge a necessidade de que está informação sejaentregue de forma segura e eciente, pois, o sucesso e a sobrevi-vência de uma organização depende muito de como a informaçãoé controlada, armazenada e manipulada.

No passado, os controles estavam basicamente no departa-mento nanceiro, sendo este o coração da organização. Com o passar dos anos e com o surgimento da computação, tornando ainformação disponível com mais facilidade, o departamento de in-

formática passa a ser o centro da organização, e a informação o seu bem mais precioso. Num mundo atualmente muito competitivo, com constantes

e inesperadas mudanças, as organizações necessitam ter agilidadee exibilidade para estar preparado para as falhas decorrentes demudanças constantes no ambiente computacional. Surge a neces-sidade das organizações criarem mecanismos que possam garantir a continuidade dos negócios em momentos de crise. O gerencia-mento apropriado do risco interno e externo ajuda as organizaçõesa manter o ambiente de tecnologia da informação alinhado como planejamento estratégico denido pela direção da organização.

Investir em tecnologia é muito importante para se aplicar as regras de segurança e monitorar seu cumprimento, identicar as ameaças e riscos, mas se as pessoas não forem devidamente

conscientizadas no entendimento da política de segurança e na responsabilidade de suas ações e da importância da sua participação,teremos aí um alto nível de insatisfação e situações de risco.

Uma política de segurança deverá especicar formal e clara-mente as regras a serem seguidas pelas pessoas para acessarem osrecursos e as informações da empresa.

A alta direção das empresas em sua maioria se esquece deque, não basta criar as regras e impô-las aos seus usuários. A “cul-tura de segurança” é todo um aprendizado que deve ser adquirido eeste conhecimento deve ser repassado pela empresa aos seus usuá-rios para que os mesmos tenham comportamentos seguros.

Os incidentes de segurança ocorrem em diversos níveis dentrode uma organização e para cada nível (estratégico, tático, opera-cional) o tratamento tem que ser apropriado.

Atitudes como:- Abusos no uso de correio eletrônico;- Abuso de redes sociais;- A ameaça de engenharia social;- Propriedade intelectual;- Vazamento de informações através de mídias, e-mail, pen-

-drives;- Vazamento e compartilhamento de senhas;- Descuido com o crachá/cartão/documentos da empresa.São alguns dos fatores geradores de problemas com a segu-

rança da informação.O usuário é principal responsável para manutenção da segu-

rança da informação, assim a organização deve cuidar de formaadequada de seus recursos humanos. A conscientização e o treina-mento dos usuários é um fator importante para disseminar a cultu-ra de proteção da informação.

Aliás, extremamente importante a realização de conscientiza-ção do usuário quanto ao uso e denição da senha, a seguir sãoapresentados alguns cuidados que devem ser tomados:

1. Trocar imediatamente a senha padrão fornecida pelo admi-nistrador na criação do login de acesso;

2. Não utilizar senhas curtas, recomenda-se a utilização de nomínimo oito caracteres, contendo letras, números e caracteres especiais;

3. Não utilizar senhas com palavras que possam ser encontra-das em dicionários.

4. Não utilizar datas de nascimento, nomes de pessoas, nomesde times ou outras informações que estejam ligadas a você ou àorganização;

5. Não utilizar números de telefones, números de documentosou letras e números de placas de automóveis.

GESTÃO DE RISCOS DE SEGURANÇA DA INFORMA-ÇÃO E COMUNICAÇÕES

Os sistemas informatizados não são cem por cento seguros.A era digital, diminuiu as distâncias, à medida que os dados co-meçaram a trafegar através de cabos de linhas telefônicas, pos -teriormente por cabos de bra óptica e satélites. Isso possibilitouestreitar as fronteiras, não só para facilitar as transações e a comu-nicação, como também, abriu brechas para que os crimes virtuais,como furto de senhas e números de cartões de crédito e a espiona -gem em geral pudessem acontecer. É possível diminuir os riscosde falhas e ataques aos sistemas informatizados, porém, por maisque se invista em segurança, sempre haverá a ameaça dos ataques, já que a maior parte deles é causada por pessoas com intenção deobter algum benefício de forma ilícita.

Por essa razão, todas as pessoas envolvidas com a empresadevem estar sempre alerta quanto à necessidade de segurança, do porteiro, que tem a função de barrar a entrada de uma pessoa nãoautorizada, ao administrador da rede, que tem o dever de zelar paraque não ocorram invasões à rede de computadores da empresa, passando, é claro por todos os funcionários que também devem ser cuidadosos ao acessar sites na Internet, realizar operações bancá-rias, compras, ou mesmo enviar uma simples mensagem de e-mail.

O Administrador da rede (pessoa responsável pelo gerencia-mento da rede local da empresa), irá também administrar os usu-ários, impedindo acessos a determinados sites, evitando anexos àe-mails, downloads não autorizados, etc, já que a grande maioriadas invasões dentro das empresas, ocorrem porque procedimentos básicos de segurança não foram seguidos na íntegra.





13

Os projetos de aplicação de medidas de proteção e segurançaem uma organização, devem levar em consideração a avaliaçãode riscos, a política de segurança, os controles de segurança e omonitoramento.

No âmbito jurídico, a questão da segurança da informaçãoestá ainda engatinhando, já que as formas de punição contra essescrimes ainda dependem de aprovação de leis mais ecazes. Porém,existem normas que tratam do assunto, sendo uma delas o Decretonº 3.505, de 13 de junho de 2000, e há um trabalho das autorida-des governamentais, no sentido de aprovar leis contra os diversoscrimes digitais.

O Decreto nº 3.505, de 13 de junho de 2000, trata em seu art.1º, de dispor sobre a Política de Segurança da Informação:

Art. 1º. Fica instituída a Política de Segurança da Informaçãonos órgãos e nas entidades da Administração Pública Federal, quetem como pressupostos básicos:

I - assegurar a garantia ao direito individual e coletivo das pes-soas, à inviolabilidade da sua intimidade e ao sigilo da correspon-dência e das comunicações, nos termos previstos na Constituição;

II - proteção de assuntos que mereçam tratamento especial;III - capacitação dos segmentos das tecnologias sensíveis;IV - uso soberano de mecanismos de segurança da informa-

ção, com o domínio de tecnologias sensíveis e duais;V - criação, desenvolvimento e manutenção de mentalidade

de segurança da informação;VI - capacitação cientíco-tecnológica do País para uso da

criptograa na segurança e defesa do Estado; eVII - conscientização dos órgãos e das entidades da Adminis-

tração Pública Federal sobre a importância das informações pro-cessadas e sobre o risco da sua vulnerabilidade.

Alguns conceitos são dispostos em seu art. 2º:I. Certicado de Conformidade: garantia formal de que um

produto ou serviço, devidamente identicado, está em conformi-dade com uma norma legal;II. Segurança da Informação: proteção dos sistemas de infor -

mação contra a negação de serviço a usuários autorizados, assimcomo contra a intrusão, e a modicação desautorizada de dadosou informações, armazenados, em processamento ou em trânsito,abrangendo, inclusive, a segurança dos recursos humanos, da do-cumentação e do material, das áreas e instalações das comunica-ções e computacional, assim como as destinadas a prevenir, detec-tar, deter e documentar eventuais ameaças a seu desenvolvimento.

O art. 3º, inciso I, dispõe sobre os princípios básicos de Segu-rança da Informação.

Art. 3º. São objetivos da Política da Informação:I. dotar os órgãos e as entidades da Administração Pública Fe-

deral de instrumentos jurídicos, normativos e organizacionais queos capacitem cientíca, tecnológica e administrativamente a asse-gurar a condencialidade, a integridade, a autenticidade, o não--repúdio e a disponibilidade dos dados e das informações tratadas,classicadas e sensíveis;

Princípios da Segurança da Informação

A informação é o bem mais importante para as pessoas e paraas organizações, antigamente essa informação cava armazenadaem um ambiente pequeno e controlado, hoje as informações são processadas e armazenadas em um complexo ambiente tecnológi-co e os dados estão disponíveis para todos os colaboradores da or -ganização, precisando ser protegida e gerenciada adequadamente.

São princípios que regem a segurança da informação, emacordo com o artigo 3° do Decreto n° 3.505, de 13 de junho de2000: condencialidade, autenticidade, disponibilidade, integrida-de e não-repúdio. São 5 (cinco), os princípios e para car maisfácil memorizar os princípios, coloquei-os nesta ordem e criei asigla “CADIN” (condencialidade, autenticidade, disponibilidade,integridade e não-repúdio).

1. Condencialidade - atributo que dene que a informaçãodeve ser acessada somente pelas pessoas autorizadas pelo proprie-tário da informação. Garantia do acesso autorizado a informações,de acordo com o nível de proteção;

2. Autenticidade – garantia de que o dado ou informação éverdadeiro e dedigno tanto na origem quanto no destino;

3. Disponibilidade – atributo que dene que a informaçãodeve estar disponível e integra quando solicitada pelas pessoasautorizadas pelo proprietário da informação. Mantendo a disponibilidade é garantida a prestação contínua do serviço, ou seja, seminterrupções no fornecimento de informações para os que têm di-reito a ela.

4. Integridade – atributo que dene que a informação quan-do acessada esteja completa e com suas características originaisdenidas pelo proprietário da informação. Garantia de que as in-formações e métodos de processamento somente sejam alteradosmediante autorização prévia. Proteção contra modicações nãoautorizadas;

5. Não-repúdio - garantia que o emissor da mensagem não iránegar posteriormente a autoria da mensagem ou transação, permi-tindo a sua identicação.

Outros conceitos:

Plano de Contingência – descreve as ações que uma orga-nização deve tomar para assegurar a continuidade dos processoscríticos em caso de falhas nos sistemas, incluindo a ativação de

processos manuais, duplicidade de recursos e acionamento de for -necedores;

Política de Segurança da Informação – tem o propósito deelaborar critérios para o adequado manuseio, armazenamento,transporte e descarte das informações através do desenvolvimentode Diretrizes, Normas, Procedimentos e Instruções destinadas respectivamente aos níveis estratégico, tático e operacional;

Medidas de proteção – medidas destinadas a garantir o sigilo,a inviolabilidade, a integridade, a autenticidade, a legitimidade ea disponibilidade de dados e informações com o objetivo de pre-venir, detectar, anular ou registrar ameaças reais ou potenciais adados e informações;

Rede de dados - conexão de dois ou mais computadores, liga-dos entre si através de um protocolo de comunicação (ou conjunto

de protocolos) como, por exemplo, o TCP/IP, permitindo a troca deinformações e o compartilhamento de recursos;TCP/IP (Transmission Control Protocol/Internet Protocol)

- conjunto de padrões de comunicação em uma rede de dados (In-ternet, intranet, etc) que orienta o tráfego de informações e deneo endereçamento e o envio de dados;

Termo de responsabilidade - acordo de condencialidadee não divulgação de informações que atribui responsabilidadesao Colaborador e Administrador de Serviço quanto ao sigilo e acorreta utilização dos ativos de propriedade ou custodiados pelaANEEL.

Acesso privilegiado - é aquele que permite ao Colaborador sobrepor controles do sistema de informação, e somente deve ser concedido àqueles que o necessitam para a condução de suas ati-vidades;





14

Administrador de Serviços - Colaborador que possui acesso privilegiado para a utilização e disponibilização, por força de suasfunções, de recursos restritos de Tecnologia da Informação;

Ativo - tudo que manipula a informação (inclusive ela própria).São exemplos de ativos associados com sistemas de informação: base de dados e arquivos, documentação do sistema, manuais, ma-terial de treinamento, procedimentos de suporte ou operação, pla-nos de continuidade, procedimentos de recuperação, informaçõesarmazenadas, softwares, sistemas, ferramentas de desenvolvimen-to e utilitários, estações de trabalho, servidores, equipamentos decomunicação (roteadores, fax, modens etc.), nobreaks e outros;

Colaborador - agente público em exercício na ANEEL po-dendo ser titular de cargo efetivo ou em comissão, contratado por tempo determinado ou prestador de serviço terceirizado;

A proteção dos ativos é de extrema importância para a so- brevivência da organização e muitas vezes essa proteção não érealizada de forma adequada ou com o investimento necessário.As organizações devem tratar a segurança da informação para pre-venção e não somente após ocorrer algum desastre. A seguir sãoapresentadas as principais ameaças que os ativos estão expostos eos mecanismos de defesas que devem ser aplicadas no ambientecomputacional da organização.

AMEAÇAS MAIS COMUNS NO AMBIENTE DIGITAL

A ameaça é causa potencial de um incidente indesejado, que pode resultar em dano a um sistema ou para a organização. Po-dendo ser caracterizado como ameaça natural, onde condições cli-máticas tais como, incêndios e inundações, podem causar danosnos ativos. Já a ameaça intencional, é causada de forma dolosa, ouseja, com a intenção de provocar um prejuízo, como por exemplo,fraudes eletrônicas e sabotagem. Por m, a ameaça involuntária pode ser causa por ações inconscientes ou ingênuas do usuário, umexemplo é a engenharia social. Vamos acompanhar a seguir

UsuárioUsuários desatentos e sem o treinamento adequado para utili-

zação de sistemas, são considerados uma das principais ameaçasà segurança da informação das organizações. O usuário é a pessoaque inicia qualquer procedimento ou processo e, portanto, tem o poder de decisão para clicar, autorizar, aceitar, executar ou simplesmente ignorar o que, em uma fração de segundo, pode repre-sentar um risco.

A organização deve cuidar do seu recurso humano através de programas de conscientização e treinamento de todos os usuáriosem segurança da informação. O usuário deve ser considerado umfator crítico para o sucesso no processo de proteção da informação.É importante que os usuários mais antigos orientem os mais novosquanto à segurança da informação, pelo exemplo dos colegas, che-a e principalmente da direção é que o novo colaborador vai con-siderar e se comportar quanto às regras da organização no processode segurança da informação.

O acesso à informação deve ser restrito e somente os usuá-rios que necessitam aquela informação deve ter acesso à mesma,não adianta a organização possuir a melhor solução de controle deacesso lógico, se o usuário emprestar a sua senha para outro quenão tinha acesso àquela informação. A facilidade de uso pelo usu-ário deve ser levada em conta, os controles necessários devem ser implementados, mas não podem engessar o processo de negócio.

IntrusosUma das ameaças à segurança é a do intruso, são pessoas de

dentro ou fora da organização com a intenção de promover ataquesaos sistemas de forma benigna, somente para explorar a rede ever o que tem dentro dela, ou de forma maligna, para realizar mo-dicações não autorizadas nos dados ou interromper os sistemas.Existem três tipos de intrusos:

- Mascarado: Uma pessoa que não tem autorização para usar os recursos, mas que penetra nos controles de acesso de um sis-tema para explorar a conta de um usuário legítimo, geralmente éalguém externo da organização.

- Infrator: Um usuário legítimo da organização, mas que aces-sa dados, sistemas ou recursos dos quais não tem autorização outendo autorização, faz mau uso de seus privilégios.

- Usuário clandestino: Uma pessoa que se apropria do contro-le de administrador do sistema e utiliza tal controle para escapar de auditorias e controles de acesso, pode ser de dentro ou de forada organização.

Ataques físicosRoubos de informações importantes da organização são rea-

lizados através de ataques físicos, onde equipamentos, tas mag-néticas, CDs, DVDs e pen-drives são retirados da organizaçãoou roubados de funcionários para posterior análise. Assim se faznecessário observar normas que tratam da segurança física e doambiente com o objetivo de propor diretrizes para prevenção doacesso físico não autorizado, danos e interferências nas instalaçõese informações.

Devem ser tomadas medidas para impedir perdas, danos, fur -to ou comprometimento de ativos e interrupção das atividades daorganização. O acesso físico deve ser protegido com a criação deum perímetro de segurança física, incluindo controles de entradafísica, segurança nos escritórios, salas e instalações, proteção con-tra ameaças externas e do meio ambiente e acesso do publico, áreade entrega e carregamento.

HackersSão indivíduos que cultivam técnicas avançadas em informá-

tica, com o objetivo de invadir computadores e redes. O objetivodo Hacker não é destruir, mas sim deixar sua marca. Mas o termohacker ainda é mais divulgado do que o termo cracker que vere-mos a seguir.

CrackersEstes, sim, são perigosos. Geralmente a mídia confunde os

termos hacker e cracker. O cracker invade os sistemas a m dedestruir, ou de levar vantagens, através do furto de dados sigilosos,senhas bancárias, números de cartões de crédito, etc. Os crimesvirtuais são realizados, na sua maioria, por crackers.

Tipos de ataques de hackers mais comunsOs tipos de ataques hackers mais comuns são o DoS, DDoS e

o Spoong, embora existam muitos outros.1 – DoS (Denial of Service): Ataque de negação de serviço

é uma tentativa em tornar os recursos de um sistema indisponí-veis para seus utilizadores. Alvos típicos são servidores web, e oataque tenta tornar as páginas hospedadas indisponíveis. Não setrata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. A máquina que é “inundada” por um volume enormede pacotes, ocasionando um extremo congestionamento da rede eresultando na paralização dos serviços oferecidos por ela.





15

2 – DdoS (Distributed Denial of Service): Ataque distribuí-do de negação de serviço. Um computador mestre distribui tarefasde ataque de negação de serviço a um grande número de máqui-nas denominadas zumbis. O ataque consiste em fazer com que osZumbis (máquinas infectadas e sob comando do Mestre) se pre-

parem para acessar um determinado recurso em um determinadoservidor em uma mesma hora de uma mesma data.

Todos os zumbis (ligados e conectados à rede) acessarão aomesmo recurso do mesmo servidor. Como servidores web pos-suem um número limitado de usuários que pode atender simulta-neamente o grande e repentino número de requisições de acessoesgota esse número de acessos, fazendo com que o servidor nãoseja capaz de atender a mais nenhum pedido. O servidor então,cará travado.

3 – Spoong: O spoong consiste em falsicar o endereço deum email apresentando um remetente falso. Dentro de uma rede,um computador realizando um ataque spoong pode não ser de-tectado, por se tratar de uma máquina dentro da própria rede, rea-lizando um ataque. Neste caso, o IP da máquina pode ser alterado pelo hacker, a m de que se camue o verdadeiro nº IP.

Engenharia SocialA Engeharia social explora a falta de conhecimento técnico

em segurança pessoas ou de funcionários de determinada empresa,que, quando não possuem treinamento em segurança, podem ser facilmente manipulados. A técnica consiste em obter acesso a in-formações importantes ou sigilosas em sistemas através do uso dafraude, onde o golpista pode assumir outra identidade, ngir queé outro funcionário da mesma empresa e a pessoa é enganada nasua boa-fé. É uma maneira de burlar a segurança de sistemas emempresas.

Uma maneira de se prevenir contra este ataque é estar semprealerta e desconar quando alguém por meio digital, ou até mesmo por telefone, pedir informações pessoais dos funcionários ou orga-nizacionais da empresa, como números de IP, números de cartõesde crédito, dados pessoais dos funcionários, etc.

MalwaresCódigo malicioso ou Malware (Malicious Software) é um

termo utilizado que caracteriza os programas desenvolvidos paraexecutar ações maliciosas, com o intuito de danicar ou roubar informações de um computador. Um software legal que contenhafalha de programação (intencional ou não) e execute ações ilícitastambém é considerado como malware. A seguir são apresentadosos diversos tipos de malwares.

O vírus é um programa de computador que contém comandosmaliciosos, para simplesmente perturbar o usuário até causar sé-rios dados, alterando ou destruindo programas ou arquivos do dis-co. O vírus se propaga inserindo cópias de si mesmo ao se deslo-car. Depende da ação do usuário, ou seja, a execução do programaou arquivo hospedeiro na disseminação do vírus é realizada pelo

usuário. Alguns tipos de vírus são: vírus de boot, vírus de executá-vel, vírus de macro, vírus de e-mail e vírus de telefone celular quese propagam através da tecnologia bluetooth.

Worm (verme)O worm (verme) é um programa ou fragmento de programa

que propagam cópias de si mesmo a outros computadores atravésde conexões de rede e não precisam da ação do usuário. Um worm busca outras estações para infectar e cada computador infectadovai servir de base de lançamento para automaticamente atacar ou-tras máquinas. Na replicação o worm utiliza, por exemplo, recur -sos de e-mail, enviando cópias de si mesmo para outros usuáriosou sistemas. Também tem a capacidade de execução remota e delogin remoto, podendo realizar acesso remoto a um sistema e depois executar comandos para se propagar.

BotO bot é um programa capaz de se propagar automaticamente

pela rede, explorando as vulnerabilidades ou falhas de congu-ração dos sistemas, diferentemente do worm, o bot é capaz de secomunicar remotamente com o atacante. O bot e o atacante se co -nectam a um servidor Internet Relay Chat (IRC) e entram numadeterminada sala, onde são enviadas mensagens contendo umaseqüência especial de caracteres que é interpretada e executada pelo bot residente no computador invadido. Um conjunto de computadores infectados com bots cria uma rede chamada de botnets,utilizadas para o envio de milhares de phishing scam e disparar ataques de negação de serviço.

Cavalo de tróiaCavalo de tróia (trojan horse) é um programa ou procedimen-

to de comando aparentemente útil, que executa as funções as quaisfoi criado, mas contém código oculto que realiza funções malicio-sas, indesejadas e sem o consentimento do usuário. São utilizados, por exemplo, para disseminação de backdoor, instalação de keylo-ggers ou screenlogers e a destruição de dados.

Um backdoor (porta dos fundos) ou trapdoor (alçapão) é um programa instalado indevidamente e que deixam a porta aberta para futuros acessos remotos do atacante. Inicialmente os progra-madores utilizavam os backdoors para disparar e testar seus pro-gramas, mas se tornou uma ameaça quando hackers começaram autilizá-lo para invadir os sistemas. Geralmente o computador rece- be o backdoor através de um cavalo de tróia e é disparado quandoreconhece um sequência especial de entrada ou é executado por um determinado ID de usuário.

KeyloggersKeyloggers são programas que realizam a captura e arma-

zenamento das teclas digitadas pelo usuário em um sistema. Namaioria dos casos, a ativação do keyloggers acontece com a ati-vação do usuário e esse tipo de malware possui mecanismos queenviam automaticamente as informações colhidas para o atacante.Com o aperfeiçoamento desse malware surgiram os screenloggers,que são programas que capturam e armazenam a posição do cursor e a tela apresentada no monitor e a região que circunda a posiçãoonde o mouse é clicado.

AdwareO adware (Advertising software) é um software com a função

exclusiva de apresentar propaganda, sendo através do navegador do usuário ou de outros softwares, tais como o MSN Messenger.Muitas organizações têm utilizado o adware de forma licita para patrocínio, principalmente em projetos ou serviços gratuitos. A uti-lização de forma ilícita acontece quando o adware tem a função demonitoração dos hábitos de navegação do usuário para envio de propagandas mais especicas.

SpywareO spyware é um programa utilizado para realizar o monito -

ramento das atividades realizadas pelo sistema e enviar as infor-mações coletadas para o atacante. Da mesma forma que o adware,existem os spywares que são utilizados de forma licita, como por exemplo, para a monitoração das atividades dos usuários de umadeterminada organização. Por outro lado, o spyware é muito utili-zado para ativar o keyloggers ou screenloggers quando identicaque o usuário está acessando um site de banco.





16

RootkitsOs rootkits são programas instalados no computador da vítima

e projetados para carem ocultos dentro do sistema para esconder as atividades e informações do invasor. Os rootkits podem ter asmais variadas funcionalidades, tais como: backdoors, sniffers que

são programas que capturam informações que trafegam pela rede,keyloogers entre outros.

Port Scanning e Scanning de vulnerabilidades No ataque conhecido como port scanning ou varredura de por-

ta é realizado o mapeamento das portas abertas e dos serviços queestão ativos no host. Existem outros tipos de varreduras, como por exemplo, a varredura de rewall onde são vericas as portas l -tradas pelo rewall e a varredura ICMP (Internet Control MessageProtocol) - protocolo que realiza o intercâmbio de pacotes de con-trole entre um roteador e um host ou entre hosts e objetiva detectar se o host está ativo.

DECRETO Nº 7.845, DE 14 DE NOVEMBRO DE 2012

Regulamenta procedimentos para credenciamento de segu-rança e tratamento de informação classicada em qualquer graude sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.

A PRESIDENTA DA REPÚBLICA, no uso das atribuiçõesque lhe confere o art. 84, caput, incisos IV e VI, alínea “a”, daConstituição, e tendo em vista o disposto nos arts. 25, 27, 29, 35, §5o, e 37 da Lei no 12.527, de 18 de novembro de 2011,

DECRETA:

CAPÍTULO I DISPOSIÇÕES GERAIS

Art. 1o Este Decreto regulamenta procedimentos para o cre-denciamento de segurança e tratamento de informação classicadaem qualquer grau de sigilo no âmbito do Poder Executivo federal,e dispõe sobre o Núcleo de Segurança e Credenciamento, confor -me o disposto nos arts. 25, 27, 29, 35, § 5º, e 37 da Lei nº 12.527,de 18 de novembro de 2011.

Art. 2o Para os efeitos deste Decreto, considera-se:I - algoritmo de Estado - função matemática utilizada na cifra-

ção e na decifração, desenvolvido pelo Estado, para uso exclusivoem interesse do serviço de órgãos ou entidades do Poder Executivofederal;

II - cifração - ato de cifrar mediante uso de algoritmo simétri -co ou assimétrico, com recurso criptográco, para substituir sinais

de linguagem clara por outros ininteligíveis por pessoas não auto-rizadas a conhecê-la;III - código de indexação - código alfanumérico que indexa

documento com informação classicada em qualquer grau de si-gilo;

IV - comprometimento - perda de segurança resultante doacesso não autorizado;

V - contrato sigiloso - ajuste, convênio ou termo de coopera-ção cujo objeto ou execução implique tratamento de informaçãoclassicada;

VI - credencial de segurança - certicado que autoriza pessoa para o tratamento de informação classicada;

VII - credenciamento de segurança - processo utilizado parahabilitar órgão ou entidade pública ou privada, e para credenciar pessoa para o tratamento de informação classicada;

VIII - decifração - ato de decifrar mediante uso de algoritmosimétrico ou assimétrico, com recurso criptográco, para reverter processo de cifração original;

IX - dispositivos móveis - equipamentos portáteis dotados decapacidade computacional ou dispositivos removíveis de memória para armazenamento;

X - gestor de segurança e credenciamento - responsável pelasegurança da informação classicada em qualquer grau de sigilono órgão de registro e posto de controle;

XI - marcação - aposição de marca que indica o grau de sigiloda informação classicada;

XII - medidas de segurança - medidas destinadas a garantir si-gilo, inviolabilidade, integridade, autenticidade e disponibilidadeda informação classicada em qualquer grau de sigilo;

XIII - órgão de registro nível 1 - ministério ou órgão de nívelequivalente habilitado pelo Núcleo de Segurança e Credenciamen-to;

XIV - órgão de registro nível 2 - órgão ou entidade públicavinculada a órgão de registro nível 1 e por este habilitado;

XV - posto de controle - unidade de órgão ou entidade públicaou privada, habilitada, responsável pelo armazenamento de infor -mação classicada em qualquer grau de sigilo;

XVI - quebra de segurança - ação ou omissão que implicacomprometimento ou risco de comprometimento de informaçãoclassicada em qualquer grau de sigilo;

XVII - recurso criptográco - sistema, programa, processo,equipamento isolado ou em rede que utiliza algoritmo simétrico ouassimétrico para realizar cifração ou decifração; e

XVIII - tratamento da informação classicada - conjunto deações referentes a produção, recepção, classicação, utilização,acesso, reprodução, transporte, transmissão, distribuição, arqui-vamento, armazenamento, eliminação, avaliação, destinação oucontrole de informação classicada em qualquer grau de sigilo.

CAPÍTULO II DO CREDENCIAMENTO DE SEGURANÇA

Seção I Dos Órgãos

Art. 3o Compete ao Núcleo de Segurança e Credenciamen-to, órgão central de credenciamento de segurança, instituído noâmbito do Gabinete de Segurança Institucional da Presidência daRepública, nos termos do art. 37 da Lei no 12.527, de 2011:

I - habilitar os órgãos de registro nível 1 para o credencia-mento de segurança de órgãos e entidades públicas e privadas, e pessoas para o tratamento de informação classicada;

II - habilitar postos de controle dos órgãos de registro nível 1 para armazenamento de informação classicada em qualquer graude sigilo;

III - habilitar entidade privada que mantenha vínculo de qual-quer natureza com o Gabinete de Segurança Institucional da Presi-dência da República para o tratamento de informação classicada;

IV - credenciar pessoa que mantenha vínculo de qualquer na-tureza com o Gabinete de Segurança Institucional da Presidênciada República para o tratamento de informação classicada;

V - realizar inspeção e investigação para credenciamento desegurança necessárias à execução do previsto, respectivamente,nos incisos III e IV do caput; e

VI - scalizar o cumprimento das normas e procedimentos decredenciamento de segurança e tratamento de informação classi-cada.





17

Art. 4o Fica criado o Comitê Gestor de Credenciamento deSegurança, integrado por representantes, titular e suplente, dos se-guintes órgãos:

I - Gabinete de Segurança Institucional da Presidência da Re- pública, que o coordenará;

II - Casa Civil da Presidência da República;III - Ministério da Justiça;IV - Ministério das Relações Exteriores;V - Ministério da Defesa;VI - Ministério da Ciência, Tecnologia e Inovação;VII - Ministério do Planejamento, Orçamento e Gestão; eVIII - Controladoria-Geral da União.§ 1o Os membros titulares e suplentes serão indicados pelos

dirigentes máximos dos órgãos representados, e designados peloMinistro de Estado Chefe do Gabinete de Segurança Institucionalda Presidência da República.

§ 2o A participação no Comitê será considerada prestação deserviço público relevante, não remunerada.

§ 3o Poderão ser convidados para as reuniões do Comitê repre-sentantes de órgãos e entidades públicas e privadas, ou especialis-tas, para emitir pareceres e fornecer informações.

Art. 5o Compete ao Comitê Gestor de Credenciamento de Se-gurança:

I - propor diretrizes gerais de credenciamento de segurança para tratamento de informação classicada;

II - denir parâmetros e requisitos mínimos para:a) qualicação técnica de órgãos e entidades públicas e pri -

vadas, para credenciamento de segurança, nos termos dos arts. 10e 11; e

b) concessão de credencial de segurança para pessoas, nos ter -mos do art. 12; e

III - avaliar periodicamente o cumprimento do disposto nesteDecreto.

Art. 6o Compete ao Gabinete de Segurança Institucional daPresidência da República:

I - expedir atos complementares e estabelecer procedimentos para o credenciamento de segurança e para o tratamento de infor -mação classicada;

II - participar de negociações de tratados, acordos ou atos in -ternacionais relacionados com o tratamento de informação classi-cada, em articulação com o Ministério das Relações Exteriores;

III - acompanhar averiguações e processos de avaliação e re-cuperação dos danos decorrentes de quebra de segurança;

IV - informar sobre eventuais danos referidos no inciso IIIdo caput ao país ou à organização internacional de origem, sempreque necessário, pela via diplomática; e

V - assessorar o Presidente da República nos assuntos rela-cionados com credenciamento de segurança para o tratamentode informação classicada, inclusive no que se refere a tratados,acordos ou atos internacionais, observadas as competências doMinistério das Relações Exteriores.

Parágrafo único. O Gabinete de Segurança Institucional daPresidência da República exercerá as funções de autoridade na-cional de segurança para tratamento de informação classicadadecorrente de tratados, acordos ou atos internacionais.

Art. 7o Compete ao órgão de registro nível 1:I - habilitar órgão de registro nível 2 para credenciar pessoa

para o tratamento de informação classicada;

II - habilitar posto de controle dos órgãos e entidades públicasou privadas que com ele mantenham vínculo de qualquer nature-za, para o armazenamento de informação classicada em qualquer grau de sigilo;

III - credenciar pessoa que com ele mantenha vínculo de qual-quer natureza para o tratamento de informação classicada;

IV- realizar inspeção e investigação para credenciamento desegurança necessárias à execução do previsto no inciso III do ca-put; e

V - scalizar o cumprimento das normas e procedimentos decredenciamento de segurança e tratamento de informação classi-cada, no âmbito de suas competências.

Art. 8o Compete ao órgão de registro nível 2 realizar investi-gação e credenciar pessoa que com ele mantenha vínculo de qual-quer natureza para o tratamento de informação classicada.

Parágrafo único. A competência para realização de inspeção einvestigação de que trata o inciso IV do caput do art. 7o poderá ser delegada a órgão de registro nível 2.

Art. 9o Compete ao posto de controle:I - realizar o controle das credenciais de segurança das pessoas

que com ele mantenham vínculo de qualquer natureza; eII - garantir a segurança da informação classicada em qual-

quer grau de sigilo sob sua responsabilidade.

Seção II Dos procedimentos

Art. 10. A habilitação dos órgãos e entidades públicas parao credenciamento de segurança ca condicionada aos seguintesrequisitos:

I - comprovação de qualicação técnica necessária à seguran-

ça de informação classicada em qualquer grau de sigilo; eII - designação de gestor de segurança e credenciamento, e deseu substituto.

Art. 11. A concessão de habilitação de entidade privada como posto de controle ca condicionada aos seguintes requisitos:

I - regularidade scal;II - comprovação de qualicação técnica necessária à seguran-

ça de informação classicada em qualquer grau de sigilo;III - expectativa de assinatura de contrato sigiloso;IV - designação de gestor de segurança e credenciamento, e

de seu substituto; eV - aprovação em inspeção para habilitação de segurança.

Art. 12. A concessão de credencial de segurança a uma pessoaca condicionada aos seguintes requisitos:

I - solicitação do órgão ou entidade pública ou privada em quea pessoa exerce atividade;

II - preenchimento de formulário com dados pessoais e auto-rização para investigação;

III - aptidão para o tratamento da informação classicada, ve-ricada na investigação; e

IV - declaração de conhecimento das normas e procedimentosde credenciamento de segurança e de tratamento de informaçãoclassicada.

Art. 13. A habilitação para credenciamento de segurança e aconcessão de credencial de segurança resultarão da análise objeti-va dos requisitos previstos neste Decreto.





18

Art. 14. Os órgãos de registro nível 1 e nível 2 poderão rmar ajustes, convênios ou termos de cooperação com outros órgãos ouentidades públicas, habilitados, para:

I - credenciamento de segurança e tratamento de informaçãoclassicada; e

II - realização de inspeção e investigação para credenciamentode segurança.

Art. 15. Cada órgão de registro terá no mínimo um posto decontrole, habilitado.

Art. 16. Na hipótese de troca e tratamento de informaçãoclassicada em qualquer grau de sigilo com país ou organizaçãoestrangeira, o credenciamento de segurança no território nacionalse dará somente se houver tratado, acordo, memorando de enten-dimento ou ajuste técnico rmado entre o país ou organização es-trangeira e a República Federativa do Brasil.

CAPÍTULO III DO TRATAMENTO DE INFORMAÇÃO CLASSIFICADA

Seção I Disposições Gerais

Art. 17. Os órgãos e entidades adotarão providências para queos agentes públicos conheçam as normas e observem os procedi -mentos de credenciamento de segurança e de tratamento de infor -mação classicada.

Parágrafo único. O disposto no caput se aplica à pessoa ouentidade privada que, em razão de qualquer vínculo com o Poder Público, execute atividade de credenciamento de segurança ou detratamento de informação classicada.

Art. 18. O acesso, a divulgação e o tratamento de informaçãoclassicada carão restritos a pessoas com necessidade de conhe-

cê-la e que sejam credenciadas na forma deste Decreto, sem preju-ízo das atribuições dos agentes públicos autorizados na legislação.Parágrafo único. O acesso à informação classicada em qual-

quer grau de sigilo a pessoa não credenciada ou não autorizada por legislação poderá, excepcionalmente, ser permitido medianteassinatura de Termo de Compromisso de Manutenção de Sigilo- TCMS, constante do Anexo I, pelo qual a pessoa se obrigará amanter o sigilo da informação, sob pena de responsabilidade penal,civil e administrativa, na forma da lei.

Art. 19. A decisão de classicação, desclassicação, reclas-sicação ou redução do prazo de sigilo de informação classicadaem qualquer grau de sigilo observará os procedimentos previstosnos arts. 31 e 32 do Decreto no 7.724 de 16 de maio de 2012, edeverá ser formalizada em decisão consubstanciada em Termo de

Classicação de Informação.Art. 20. A publicação de atos normativos relativos a infor -

mação classicada em qualquer grau de sigilo ou protegida por sigilo legal ou judicial poderá limitar-se, quando necessário, aosseus respectivos números, datas de expedição e ementas, redigidosde modo a não comprometer o sigilo.

Seção II Do Documento Controlado

Art. 21. Para o tratamento de documento com informaçãoclassicada em qualquer grau de sigilo ou prevista na legislaçãocomo sigilosa o órgão ou entidade poderá adotar os seguintes pro-cedimentos adicionais de controle:

I - identicação dos destinatários em protocolo e recibo es- pecícos;

II - lavratura de termo de custódia e registro em protocoloespecíco;

III - lavratura anual de termo de inventário, pelo órgão ou en-tidade expedidor e pelo órgão ou entidade receptor; e

IV - lavratura de termo de transferência de custódia ou guarda.§ 1o O documento previsto no caput será denominado Docu-

mento Controlado - DC.§ 2o O termo de inventário previsto no inciso III do caput de-

verá conter no mínimo os seguintes elementos:I - numeração sequencial e data;II - órgãos produtor e custodiante do DC;III - rol de documentos controlados; eIV - local e assinatura.§ 3o O termo de transferência previsto no inciso IV do ca-

put deverá conter no mínimo os seguintes elementos:I – numeração sequencial e data;II - agentes públicos substituto e substituído;

III - identicação dos documentos ou termos de inventário aserem transferidos; e

IV - local e assinatura.

Art. 22. O documento ultrassecreto é considerado DC desdesua classicação ou reclassicação.

Seção III Da Marcação

Art. 23. A marcação será feita nos cabeçalhos e rodapés das páginas que contiverem informação classicada e nas capas do do-cumento.

§ 1o As páginas serão numeradas seguidamente, devendo cada

uma conter indicação do total de páginas que compõe o documen-to.§ 2o A marcação deverá ser feita de modo a não prejudicar a

compreensão da informação.

Art. 24. O DC possuirá a marcação de que trata o art. 23 econterá, na capa e em todas as páginas, a expressão em diagonal“Documento Controlado (DC)” e o número de controle, que indi -cará o agente público custodiante.

Art. 25. A indicação do grau de sigilo em mapas, fotocartas,cartas, fotograas, quaisquer outros tipos de imagens e meios ele-trônicos de armazenamento obedecerá aos procedimentos comple-mentares adotados pelos órgãos e entidades.

Seção IV Da Expedição, Tramitação e Comunicação

Art. 26. A expedição e a tramitação de documentos classica-dos deverão observar os seguintes procedimentos:

I - serão acondicionados em envelopes duplos;II - no envelope externo não constará indicação do grau de

sigilo ou do teor do documento;III - no envelope interno constarão o destinatário e o grau de

sigilo do documento, de modo a serem identicados logo que re-movido o envelope externo;

IV - o envelope interno será fechado, lacrado e expedido me-diante recibo, que indicará remetente, destinatário e número ououtro indicativo que identique o documento; e





19

V - será inscrita a palavra “PESSOAL” no envelope que con-tiver documento de interesse exclusivo do destinatário.

Art. 27. A expedição, a condução e a entrega de documentocom informação classicada em grau de sigilo ultrassecreto serãoefetuadas pessoalmente, por agente público autorizado, ou trans-mitidas por meio eletrônico, desde que sejam usados recursos decriptograa compatíveis com o grau de classicação da informa-ção, vedada sua postagem.

Art. 28. A expedição de documento com informação classi-cada em grau de sigilo secreto ou reservado será feita pelos meiosde comunicação disponíveis, com recursos de criptograa compa-tíveis com o grau de sigilo ou, se for o caso, por via diplomática,sem prejuízo da entrega pessoal.

Art. 29. Cabe aos responsáveis pelo recebimento do docu-mento com informação classicada em qualquer grau de sigilo,independente do meio e formato:

I - registrar o recebimento do documento;II - vericar a integridade do meio de recebimento e registrar

indícios de violação ou de irregularidade, comunicando ao destina-tário, que informará imediatamente ao remetente; e

III - informar ao remetente o recebimento da informação, no prazo mais curto possível.

§ 1o Caso a tramitação ocorra por expediente ou correspon-dência, o envelope interno somente será aberto pelo destinatário,seu representante autorizado ou autoridade hierarquicamente superior.

§ 2o Envelopes internos contendo a marca “PESSOAL” so-mente poderão ser abertos pelo destinatário.

Art. 30. A informação classicada em qualquer grau de sigiloserá mantida ou arquivada em condições especiais de segurança.

§ 1o Para manutenção e arquivamento de informação classi-cada no grau de sigilo ultrassecreto e secreto é obrigatório o uso deequipamento, ambiente ou estrutura que ofereça segurança compa-tível com o grau de sigilo.

§ 2o Para armazenamento em meio eletrônico de documentocom informação classicada em qualquer grau de sigilo é obriga-tória a utilização de sistemas de tecnologia da informação atuali -zados de forma a prevenir ameaças de quebra de segurança, obser -vado o disposto no art. 38.

§ 3o As mídias para armazenamento poderão estar integradasa equipamentos conectados à internet, desde que por canal seguroe com níveis de controle de acesso adequados ao tratamento dainformação classicada, admitindo-se também a conexão a redesde computadores internas, desde que seguras e controladas.

Art. 31. Os meios eletrônicos de armazenamento de informa-ção classicada em qualquer grau de sigilo, inclusive os disposi-tivos móveis, devem utilizar recursos criptográcos adequados aograu de sigilo.

Art. 32. Os agentes responsáveis pela guarda ou custódia dedocumento controlado o transmitirá a seus substitutos, devidamen-te conferido, quando da passagem ou transferência de responsabi-lidade.

Parágrafo único. Aplica-se o disposto neste artigo aos respon-sáveis pela guarda ou custódia de material de acesso restrito.

Seção V Da Reprodução

Art. 33. A reprodução do todo ou de parte de documento cominformação classicada em qualquer grau de sigilo terá o mesmograu de sigilo do documento.

§ 1º A reprodução total ou parcial de informação classicadaem qualquer grau de sigilo condiciona-se à autorização expressada autoridade classicadora ou autoridade hierarquicamente supe-rior com igual prerrogativa.

§ 2o As cópias serão autenticadas pela autoridade classica-dora ou autoridade hierarquicamente superior com igual prerro-gativa.

Art. 34. Caso a preparação, impressão ou reprodução de in-formação classicada em qualquer grau de sigilo for efetuada emtipograa, impressora, ocina gráca ou similar, essa operaçãoserá acompanhada por pessoa ocialmente designada, responsável

pela garantia do sigilo durante a confecção do documento.

Seção VI Da Preservação e da Guarda

Art. 35. A avaliação e a seleção de documento com informa-ção desclassicada, para ns de guarda permanente ou eliminação,observarão o disposto na Lei no 8.159, de 8 de janeiro de 1991, e noDecreto no 4.073, de 3 de janeiro de 2002.

Art. 36. O documento de guarda permanente que contiver informação classicada em qualquer grau de sigilo será encami-nhado, em caso de desclassicação, ao Arquivo Nacional ou aoarquivo permanente do órgão público, da entidade pública ou da

instituição de caráter público, para ns de organização, preserva-ção e acesso.

Art. 37. O documento de guarda permanente não pode ser desgurado ou destruído, sob pena de responsabilidade penal, civile administrativa, na forma da lei.

Seção VII Dos Sistemas de Informação

Art. 38. No tratamento da informação classicada deverãoser utilizados sistemas de informação e canais de comunicação se-guros que atendam aos padrões mínimos de qualidade e segurançadenidos pelo Poder Executivo federal.

§ 1o A transmissão de informação classicada em qualquer grau de sigilo por meio de sistemas de informação deverá ser re -alizada, no âmbito da rede corporativa, por meio de canal seguro,como forma de mitigar o risco de quebra de segurança.

§ 2º A autenticidade da identidade do usuário da rede deveráser garantida, no mínimo, pelo uso de certicado digital.

§ 3º Os sistemas de informação de que trata o caput deverãoter níveis diversos de controle de acesso e utilizar recursos cripto-grácos adequados aos graus de sigilo.

§ 4o Os sistemas de informação de que trata o caput deverãomanter controle e registro dos acessos autorizados e não-autoriza-dos e das transações realizadas por prazo igual ou superior ao derestrição de acesso à informação.





20

Art. 39. Os equipamentos e sistemas utilizados para a produ-ção de documento com informação classicada em qualquer graude sigilo deverão estar isolados ou ligados a canais de comunica -ção seguros, que estejam física ou logicamente isolados de qual-quer outro, e que possuam recursos criptográcos e de segurançaadequados à sua proteção.

Art. 40. A cifração e a decifração de informação classicadaem qualquer grau de sigilo deverão utilizar recurso criptográco baseado em algoritmo de Estado.

Parágrafo único. Compete ao Gabinete de Segurança Institu-cional da Presidência da República estabelecer parâmetros e pa-drões para os recursos criptográcos baseados em algoritmo deEstado, ouvido o Comitê Gestor de Segurança da Informação pre-visto no art. 6o do Decreto no 3.505, de 13 de junho de 2000.

Art. 41. Os procedimentos de tratamento de informação clas-sicada em qualquer grau de sigilo aplicam-se aos recursos cripto-grácos, atendidas as seguintes exigências:

I - realização de vistorias periódicas, com a nalidade de asse-gurar a execução das operações criptográcas;

II - manutenção de inventários completos e atualizados domaterial de criptograa existente;

III - designação de sistemas criptográcos adequados a cadadestinatário;

IV - comunicação, ao superior hierárquico ou à autoridadecompetente, de anormalidade relativa ao sigilo, à inviolabilidade,à integridade, à autenticidade, à legitimidade e à disponibilidadede informações criptografadas; e

V - identicação de indícios de violação, de interceptação oude irregularidades na transmissão ou recebimento de informaçõescriptografadas.

Seção VIII Das Áreas, Instalações e Materiais

Art. 42. As áreas e instalações que contenham documentocom informação classicada em qualquer grau de sigilo, ou que, por sua utilização ou nalidade, demandarem proteção, terão seuacesso restrito às pessoas autorizadas pelo órgão ou entidade.

Art. 43. Os órgãos e entidades públicas adotarão medidas para denição, demarcação, sinalização, segurança e autorizaçãode acesso às áreas restritas sob sua responsabilidade.

Parágrafo único. As visitas a áreas ou instalações de acessorestrito serão disciplinadas pelo órgão ou entidade responsável pela sua segurança.

Art. 44. Os materiais que, por sua utilização ou nalidade,demandarem proteção, terão acesso restrito às pessoas autorizadas pelo órgão ou entidade.

Art. 45. São considerados materiais de acesso restrito qual-quer matéria, produto, substância ou sistema que contenha, utilizeou veicule conhecimento ou informação classicada em qualquer grau de sigilo, informação econômica ou informação cientíco--tecnológica cuja divulgação implique risco ou dano aos interessesda sociedade e do Estado, tais como:

I - equipamentos, máquinas, modelos, moldes, maquetes, pro-tótipos, artefatos, aparelhos, dispositivos, instrumentos, represen-tações cartográcas, sistemas, suprimentos e manuais de instrução;

II - veículos terrestres, aquaviários e aéreos, suas partes, peçase componentes;

III - armamentos e seus acessórios, as munições e os apare-lhos, equipamentos, suprimentos e insumos correlatos;

IV - aparelhos, equipamentos, suprimentos e programas rela-cionados a tecnologia da informação e comunicações, inclusive àinteligência de sinais e imagens;

V - recursos criptográcos; eVI - explosivos, líquidos e gases.

Art. 46. Os órgãos ou entidades públicas encarregadas da pre- paração de planos, pesquisas e trabalhos de aperfeiçoamento ou deelaboração de projeto, prova, produção, aquisição, armazenagemou emprego de material de acesso restrito expedirão instruções adi-cionais necessárias à salvaguarda dos assuntos a eles relacionados.

Art. 47. O meio de transporte utilizado para deslocamento dematerial de acesso restrito é de responsabilidade do custodiante edeverá considerar o grau de sigilo das informações.

§ 1º O material de acesso restrito poderá ser transportado por empresas contratadas, adotadas as medidas necessárias à manuten-

ção do sigilo das informações.§ 2º As medidas necessárias para a segurança do material

transportado serão prévia e explicitamente estabelecidas em con-trato.

Seção IX Da Celebração de Contratos Sigilosos

Art. 48. A celebração de contrato, convênio, acordo, ajuste,termo de cooperação ou protocolo de intenção cujo objeto conte-nha informação classicada em qualquer grau de sigilo, ou cujaexecução envolva informação classicada, é condicionada à assi-natura de TCMS e ao estabelecimento de cláusulas contratuais que prevejam os seguintes requisitos:

I - obrigação de manter sigilo relativo ao objeto e a sua exe -cução;II - possibilidade de alteração do objeto para inclusão ou alte-

ração de cláusula de segurança não estipulada previamente;III - obrigação de adotar procedimentos de segurança adequa-

dos, no âmbito das atividades sob seu controle, para a manutençãodo sigilo relativo ao objeto;

IV - identicação, para ns de concessão de credencial de se-gurança e assinatura do TCMS, das pessoas que poderão ter acessoa informação classicada em qualquer grau de sigilo e material deacesso restrito;

V - obrigação de receber inspeções para habilitação de segu -rança e sua manutenção; e

VI - responsabilidade em relação aos procedimentos de segu-rança, relativa à subcontratação, no todo ou em parte.

Art. 49. Aos órgãos e entidades públicas com que os con-tratantes mantêm vínculo de qualquer natureza caberá adotar pro-cedimentos de segurança da informação classicada em qualquer grau de sigilo ou do material de acesso restrito em poder dos con-tratados ou subcontratados.

CAPÍTULO IV DA INDEXAÇÃO DE DOCUMENTO COM INFORMAÇÃO

CLASSIFICADA

Art. 50. A informação classicada em qualquer grau de sigiloou o documento que a contenha receberá o Código de Indexaçãode Documento que contém Informação Classicada - CIDIC.





21

Parágrafo único. O CIDIC será composto por elementos quegarantirão a proteção e a restrição temporária de acesso à informa-ção classicada, e será estruturado em duas partes.

Art. 51. A primeira parte do CIDIC será composta pelo Nú-

mero Único de Protocolo -NUP, originalmente cadastrado confor -me legislação de gestão documental.

§ 1o A informação classicada em qualquer grau de sigiloou o documento que a contenha, quando de sua desclassicação,manterá apenas o NUP.

§ 2o Não serão usadas tabelas de classicação de assunto oude natureza do documento, em razão de exigência de restrição tem- porária de acesso à informação classicada em qualquer grau desigilo, sob pena de pôr em risco sua proteção e condencialidade.

Art. 52. A segunda parte do CIDIC será composta dos se-

guintes elementos:I - grau de sigilo: indicação do grau de sigilo, ultrassecreto

(U), secreto (S) ou reservado (R), com as iniciais na cor vermelha,quando possível;

II - categorias: indicação, com dois dígitos, da categoria rela-tiva, exclusivamente, ao primeiro nível do Vocabulário Controladodo Governo Eletrônico (VCGE), conforme Anexo II;

III - data de produção da informação classicada: registroda data de produção da informação classicada, de acordo coma seguinte composição: dia (dois dígitos)/mês (dois dígitos)/ano(quatro dígitos);

IV - data de desclassicação da informação classicada emqualquer grau de sigilo: registro da potencial data de desclassica-ção da informação classicada, efetuado no ato da classicação,de acordo com a seguinte composição: dia (dois dígitos)/mês (doisdígitos)/ano (quatro dígitos);

V - indicação de reclassicação: indicação de ocorrência ounão, S (sim) ou N (não), de reclassicação da informação classi-cada, respectivamente, conforme as seguintes situações:

a) reclassicação da informação resultante de reavaliação; ou b) primeiro registro da classicação; eVI - indicação da data de prorrogação da manutenção da clas-

sicação: indicação, exclusivamente, para informação classicadano grau de sigilo ultrassecreto, de acordo com a seguinte compo-sição: dia (dois dígitos)/mês (dois dígitos)/ano (quatro dígitos), nacor vermelha, quando possível.

Art. 53. Para ns de gestão documental, deverá ser guardadoo histórico das alterações do CIDIC.

CAPÍTULO V DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 54. A implementação do CIDIC deverá ser consolidada

até 1o

de junho de 2013.Parágrafo único. Enquanto não implementado o CIDIC, o Ter -mo de Classicação de Informação será preenchido com o NUP.

Art. 55. O documento com informação classicada em qual-quer grau de sigilo, produzido antes da vigência da Lei no 12.527,de 2011, receberá o CIDIC para ns do disposto no art. 45 do De-creto nº 7.724, de 16 de maio de 2012.

Art. 56. Os órgãos e entidades deverão adotar os recursoscriptográcos baseados em algoritmo de Estado no prazo de umano a contar da denição dos parâmetros e padrões de que trata o parágrafo único do art. 40.

Parágrafo único. Até o término do prazo previsto no ca-put, com pete ao Gabinete de Segurança Institucional da Presidên-

cia da República acompanhar e prestar apoio técnico aos órgãose entidades quanto à implementação dos recursos criptográcos baseados em algoritmo de Estado.

Art. 57. Os órgãos e entidades poderão expedir instruções

complementares, no âmbito de suas competências, que detalharãoos procedimentos relativos ao credenciamento de segurança e aotratamento de informação classicada em qualquer grau de sigilo.

Art. 58. O Regimento Interno da Comissão Mista de Reava-liação da Informação detalhará os procedimentos de segurança ne-cessários para a salvaguarda de informação classicada em qual-quer grau de sigilo durante os seus trabalhos e os de sua Secretaria--Executiva, observado o disposto neste Decreto.

Art. 59. Este Decreto entra em vigor na data de sua publica-ção.

Art. 60. Ficam revogados:I - o Decreto no 4.553, de 27 de dezembro de 2002; eII - o Decreto no 5.301, de 9 de dezembro de 2004.

Brasília, 14 de novembro de 2012; 191º da Independência e124º da República.

DILMA ROUSSEFF Márcia PelegriniCelso Luiz Nunes Amorim Miriam Belchior Marco Antonio Raupp José Elito Carvalho Siqueira Luís Inácio Lucena Adams Jorge Hage Sobrinho

Este texto não substitui o publicado no DOU de 16.11.2012

ANEXO I TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGI- LO - TCMS

[Qualicação: nome, nacionalidade, CPF, identidade (no, datae local de expedição), liação e endereço], perante o(a) [órgão ouentidade], declaro ter ciência inequívoca da legislação sobre o tra-tamento de informação classicada cuja divulgação possa causar risco ou dano à segurança da sociedade ou do Estado, e me com- prometo a guardar o sigilo necessário, nos termos da Lei nº 12.527,de 18 de novembro de 2011, e a:

a) tratar as informações classicadas em qualquer grau de si-gilo ou os materiais de acesso restrito que me forem fornecidos pelo(a) [órgão ou entidade] e preservar o seu sigilo, de acordo coma legislação vigente;

b) preservar o conteúdo das informações classicadas em

qualquer grau de sigilo, ou dos materiais de acesso restrito, semdivulgá-lo a terceiros;c) não praticar quaisquer atos que possam afetar o sigilo ou

a integridade das informações classicadas em qualquer grau desigilo, ou dos materiais de acesso restrito; e

d) não copiar ou reproduzir, por qualquer meio ou modo: (i)informações classicadas em qualquer grau de sigilo; (ii) infor -mações relativas aos materiais de acesso restrito do (da) [órgão ouentidade], salvo autorização da autoridade competente.

Declaro que [recebi] [tive acesso] ao (à) [documento ou mate-rial entregue ou exibido ao signatário], e por estar de acordo como presente Termo, o assino na presença das testemunhas abaixoidenticadas.

[Local, data e assinatura][Duas testemunhas identicadas]





22

ANEXO II CÓDIGO DE INDEXAÇÃO DE DOCUMENTO

QUE CONTÉM INFORMAÇÃO CLASSIFICADA - CIDIC -CATEGORIAS

CATEGORIASCÓDIGO

NUMÉRICO

Agricultura, extrativismo e pesca 01

Ciência, Informação e Comunicação 02

Comércio, Serviços e Turismo 03

Cultura, Lazer e Esporte 04

Defesa e Segurança 05

Economia e Finanças 06

Educação 07

Governo e Política 08

Habitação, Saneamento e Urbanismo 09Indústria 10

Justiça e Legislação 11

Meio ambiente 12

Pessoa, família e sociedade 13

Relações internacionais 14

Saúde 15

Trabalho 16

Transportes e trânsito 17

Obs.:1. Categorias: representam os aspectos ou temas correlaciona-

dos à informação classicada em grau de sigilo, e serão indicadas pela Autoridade Classicadora. Para tanto deverá ser usado, exclu-sivamente, o primeiro nível do Vocabulário Controlado do Gover -no Eletrônico (VCGE), denidos no Padrão de Interoperabilidadedo Governo Eletrônico (e-Ping), conforme quadro acima.

2. Composição no CIDIC: 2 dígitos = código numérico

Exercícios .

1. Considerando os ensinamentos sobre “Noções de gerencia-mento de riscos operacionais aplicados à segurança”, analise asarmativas a seguir:

I. Probabilidade: é o grau de possibilidade de que um eventoocorra.

II. Ameaças: qualquer evento que não faz parte da operaçãonormal de um serviço e que pode causar, ou causa, uma interrup-ção do serviço ou uma redução de sua qualidade.

III. Problema: causa desconhecida de um ou mais incidentes.Está correto o que consta:a) apenas em I e II. b) apenas em II e III.c) apenas em I e III.d) todas as armativas.

2. Acerca do gerenciamento de crises, é correto armar que os perímetros de segurança geralmente são divididos em três etapas,sendo estas:

a) EXTERNO, INTERMEDIÁRIO e INTERNO.

b) INTERNACIONAL, INTERMEDIÁRIO e INTERNO.c) EXTERNO, ITINERÁRIO e INTERNO.d) INTERNACIONAL, ITINERÁRIO e INTERNO.

3. É incorreto armar:

a) A inteligência competitiva objetiva agregar valor à infor -mação, fortalecendo seu caráter estratégico, catalisando, assim, o processo de crescimento organizacional.

b) Não é necessário na inteligência competitiva ter o mapea-mento e a prospecção de dados, informações e conhecimento pro-duzidos internamente e externamente à organização.

c) Os dados, informações e conhecimento prospectados sobreempresas, produtos, mercados, materiais, processos, meio ambien-te, tecnologia, pessoas, política, economia, nanças, comércio etc.,têm a nalidade de dar maior segurança às direções perseguidas pela organização.

d) A abordagem de contra-inteligência auxilia o processo deinteligência na medida em que assegura que as informações queestão sendo coletadas, analisadas e reportadas não são na verdade“desinformações” criadas para despistar a empresa.

4. Visando zelar pela proteção da informação recomenda-seaos usuários quando da criação de suas senhas de acesso:

a) Não utilizar senhas curtas, recomenda-se a utilização de nomínimo vinte caracteres, contendo letras, números, sinais e carac-teres especiais.

b) Não utilizar senhas com palavras que possam ser encontra-das em dicionários.

c) Não utilizar números de telefones, números de documentosou letras e números de placas de automóveis.

d) Não utilizar datas de nascimento, nomes de pessoas, nomesde times ou outras informações que estejam ligadas a você ou àorganização.

5. Segundo ensinamentos constantes no Decreto nº 7.845, de14 de novembro de 2012, analise as assertivas a seguir:

I - cifração - ato de cifrar mediante uso de algoritmo simétricoou assimétrico, com recurso criptográco, para substituir sinais delinguagem clara por outros ininteligíveis por pessoas não autoriza-das a conhecê-la;

II - código de indexação - perda de segurança resultante doacesso não autorizado;

III - contrato sigiloso - ajuste, convênio ou termo de coope -ração cujo objeto ou execução implique tratamento de informaçãoclassicada;

IV - credencial de segurança - certicado que autoriza pessoa para o tratamento de informação classicada;

Está CORRETO o que se arma:

a) apenas em I, II e IV. b) apenas em II, III e IV.c) apenas em I, III e IV.d) em todas as assertivas.

GABARITO:

1 C

2 A

3 B

4 A

5 C

Documents

7_-_gest_o_de_riscos_continuidade_de_neg_cios_e_intelig_ncia.pdf