7 - Gest o de Riscos Continuidade de Neg Cios e Intelig Ncia PDF

GESTO DE RISCOS,
CONTINUIDADE DE NEGCIOS E
INTELIGNCIA
Didatismo e Conhecimento
GESTO DE RISCOS, CONTINUIDADE DE NEGCIOS E INTELIGNCIA
1
1 NOES DE GERENCIAMENTO
DE RISCOS OPERACIONAIS APLICADOS
SEGURANA: CONCEITOS DE
IDENTIFICAO E CLASSIFICAO DE
ATIVOS, VULNERABILIDADES, AMEA-
AS, PROBABILIDADES, IMPACTOS E AL-
TERNATIVAS DE MITIGAO.
O risco operacional tem cada vez maior relevncia na inds-
tria fnanceira. A identifcao de riscos deve ser entendida como
oportunidade para crescimento e diferenciao e sua avaliao e
monitoramento um imperativo do negcio. O modelo de geren-
ciamento dos riscos operacionais permite identifcar, mensurar e
monitorar os riscos operacionais inerentes a processos que geram
produtos, servios ou informaes.
Em um mundo onde a competio, a evoluo e a mudana
desempenham papel importante para a inovao e o desenvolvi-
mento de organizaes, a gesto de segurana da informao
elemento fundamental para o sucesso das instituies e empresas.
O risco operacional est presente em todos os processos da
instituio fnanceira e decorrente de falhas operacionais que
podem acontecer em diferentes etapas destes processos, assim a
instituio fnanceira deve manter-se permanentemente atualizada
com relao aos processos existentes e seus respectivos controles
de avaliao e mitigao do risco.
O Risco defnido como a probabilidade de um evento no
desejado acontecer, e como tal, a Anlise de Risco se apresenta
como a metodologia essencial do processo de Gesto do Risco.
Assim, anlise de Risco refere-se ao meio atravs do qual se ava-
liam as condies que podem comprometer a segurana dos sis-
temas.
A anlise de risco pode ser encarada como uma ferramenta
muito til tomada de decises, fazendo mesmo parte integral de
qualquer sistema de gesto.
A Avaliao de Risco constitui um processo dinmico, uma
vez que, os riscos que as Organizaes se veem obrigadas a ana-
lisar, no fcam defnitivamente determinados, mas vai evoluindo
medida que alteraes ocorrem no ambiente em que elas esto
inseridas.
Na Anlise de Risco pretende-se conhecer em que medida
uma dada situao segura, ou por outras palavras, pretende-se
detectar se o Nvel de Risco aceitvel ou se outras medidas de
controle devem ser postas em prtica para o controlar e reduzir o
risco.
Na prtica a Anlise de Risco dever ser realizada periodica-
mente, para que qualquer alterao, quer em termos de produto,
quer em termos de processo, no desencadeie novas situaes de
perigo, possibilitando, assim, um acompanhamento progressivo e
adequado dos mesmos.
ndice de Risco e Prioridade de Interveno
1 - Trivial / Aceitvel (Atuao no prioritria).
- No requer medidas especfcas.
2 - Tolervel (Interveno a mdio prazo).
- No necessrio melhorar as aes preventivas. No entanto,
devem ser consideradas solues mais rentveis ou melhorias que
no impliquem uma carga econmica importante.
- necessrio recorrer a avaliaes peridicas, de modo a as-
segurar a efccia das medidas de controle.

3 - Moderado (Interveno a curto prazo).
- Devem fazer-se esforos para reduzir o risco. As medidas
para reduzir o risco devem ser implementadas num perodo deter-
minado.
- Quando o risco estiver associado a consequncias extrema-
mente danosas, ser necessria uma ao posterior, para estabele-
cer, com mais preciso, a Probabilidade do dano, como base para
determinar a necessidade de melhoria das medidas de controle.

4 - Importante (Atuao urgente).
- As atividades no devem ser iniciadas at que se tenha re-
duzido o risco.
- Podem ser necessrios recursos considerveis para se con-
trolar o risco.
- Quando o risco corresponder a uma atividade inadivel, de-
vem ser tomadas medidas de proteo de modo a contornar o pro-
blema, num tempo inferior ao dos riscos moderados.

5 - Intolervel/Inaceitvel (Atuao muito urgente, reque-
rendo medidas imediatas).
- No se deve iniciar ou continuar a execuo das atividades
at que se tenha reduzido o risco.
- Se no for possvel reduzir o risco, mesmo utilizando recur-
sos ilimitados, a atividade deve ser eliminada do processo.
A Anlise de Riscos tem por objetivo:
- Identifcar, classifcar e tratar adequadamente as ameaas,
vulnerabilidade, ativos e riscos;
- Quantifcar o impacto das ameaas; e
- Conseguir um equilbrio fnanceiro entre o impacto do risco
e custo da contramedida.
A identifcao dos riscos e seu correto entendimento ir di-
recionar os investimentos de forma consciente, obtendo melhores
resultados.
Nesse processo necessrio se quantifcar o impacto dos ris-
cos existentes no ambiente sobre os resultados da empresa ou ins-
tituio.
Com a anlise de risco possvel verifcar com preciso qual o
investimento necessrio infraestrutura de segurana de modo que
os riscos inaceitveis sejam gerenciados adequadamente.
2
Conceitos de identifcao:
O risco a combinao da probabilidade de um evento e de
suas consequncias. Sendo que o evento uma relao entre as
ameaas, vulnerabilidades e os possveis danos causados, ou seja,
as consequncias.
Probabilidade: o grau de possibilidade de que um evento
ocorra.
Evento: a ocorrncia identifcada de um sistema, servio ou
rede que indica uma possvel violao da segurana da informa-
o, ou uma situao desconhecida, que passa a ser relevante para
a segurana dos ativos.
Ativo: qualquer coisa que tenha valor para a organizao.
Consequncia: o resultado de um evento, podendo ser po-
sitivo ou negativo. Pode haver mais de uma consequncia de um
evento.
Ameaas: so uma causa potencial de um incidente indeseja-
do resultar em um dano para o sistema ou organizao.
Vulnerabilidades: so defnidas como a fragilidade de um
ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaas.
Incidente: qualquer evento que no faz parte da operao
normal de um servio e que pode causar, ou causa, uma interrup-
o do servio ou uma reduo de sua qualidade.
Gerenciamento do incidente: processo responsvel pelo
tratamento e pela resoluo de todos os incidentes ocorridos na
organizao, objetivando o restabelecimento dos servios de Tec-
nologia da Informao (TI) no menor tempo possvel e minimizar
os impactos para o negcio.
Problema: causa desconhecida de um ou mais incidentes.
Gerenciamento de problemas: processo responsvel pela re-
soluo defnitiva de eventos que afetam o funcionamento normal
dos servios de TI, objetivando garantir a correo das falhas e
prevenir a recorrncia de um incidente.
Identifcao dos ativos a serem protegidos (Inventrio de
Ativos)
a) Dados - Quanto confdencialidade, integridade e dispo-
nibilidade;
b) Recursos - Quanto m utilizao, indisponibilidade, ou-
tros; e
c) Reputao - Imagem, credibilidade, outros.

Nessa fase necessrio se determinar quais so as informa-
es relevantes ao funcionamento da organizao, defnir respon-
sveis para estas informaes e classifcar o grau necessrio de
segurana destas informaes para a organizao.
Dessa forma investiga-se atravs de entrevistas, anlises de
tecnologia e checklists os ativos mais relevantes para a organiza-
o. Os ativos listados podem ser informaes propriamente ditas,
alm de hardware, softwares, pessoas ou intangveis que do su-
porte s informaes.
A correta defnio do inventrio de ativos importante, pois
esta serve de base para o desenvolvimento dos controles de segu-
rana, ou seja, os controles so implementados sobre os ativos.
Benefcios:
- Maior conhecimento as informaes da organizao;
- Defnio de responsabilidades;
- Clareza para os colaboradores sobre as suas responsabili-
dades;
- Conhecimento sobre a segurana necessria para cada infor-
mao da organizao.

Classifcao de Ativos
Em contabilidade o ativo so os bens e direitos que a empresa
tem num determinado momento, resultante de suas transaes ou
eventos passados da qual futuros benefcios econmicos podem
ser obtidos. Exemplos de ativos incluem caixa, estoques, equipa-
mentos e prdios.
Para fns de organizao em um Ativo do Balano Patrimo-
nial, os bens podem ser classifcados da seguinte forma:
Bens tangveis
So os bens que tem um corpo fsico, tais como terrenos,
obras civis, mquinas e utenslios, mveis, veculos, benfeitorias
em propriedades arrendadas, direitos sobre recursos naturais etc.

Bens intangveis
Os ativos intangveis no possuem caracterstica fsica e so
de difcil avaliao. So bens no-fsicos. Dentro deste grupo esto
as patentes, franquias, direitos autorais, marcas, etc.

No Ativo do Balano Patrimonial as contas devem estar dis-
postas em ordem decrescente de grau de liquidez dos elementos
nela registrados, conforme grupos a seguir:

Ativo Circulante
Em contabilidade, uma referncia aos bens e direitos que
podem ser convertidos em dinheiro em curto prazo. Os ativos que
podem ser considerados como circulantes incluem: dinheiro em
caixa, conta movimento em banco, aplicaes fnanceiras, contas
a receber, estoques, despesas antecipadas, numerrio em caixa, de-
psito bancrio, mercadorias, matrias-primas e ttulos.
3
Dinheiro em caixa ou em bancos, bens, direitos e valores a
receber no prazo mximo realizvel at o trmino do exerccio se-
guinte, (duplicatas, estoques de mercadorias produzidas, etc.).
Ativo No Circulante
Os recursos aplicados no Ativo Fixo ou Imobilizado, so todas
as aplicaes de recursos feitas pela empresa de forma permanente
(fxa) que a empresa utiliza para a realizao de suas atividades, e
podem ser classifcados em bens tangveis ou intangveis.
Tipo de ativo que a empresa ou a pessoa no tem inteno
de vender em curto prazo e que no apresenta grande liquidez ou
facilidade em ser convertido imediatamente em dinheiro, diante de
uma necessidade fnanceira.
O ativo fxo de uma empresa o conjunto de tudo o que
essencial para o funcionamento desta empresa - como imveis,
patentes, ferramentas, mquinas etc. Tambm conhecido por ativo
permanente.
Vulnerabilidades, ameaas, probabilidades, impactos e
alternativas de mitigao
Como j explanado acima, risco a relao existente entre a
probabilidade de que uma ameaa de evento adverso ou acidente
determinado se concretize e o grau de vulnerabilidade do sistema
receptor e seus efeitos. Risco a probabilidade de um agente de
ameaa efetivar uma ameaa, via explorao de uma vulnerabili-
dade de um ativo, causando impactos que comprometem o cum-
primento da misso.
Podemos melhor conceituar ameaa como: a ao ou even-
to que potencialmente pode romper a segurana e causar danos.
Agentes ou condies dispostos a explorar vulnerabilidades para
gerao de incidentes. Ex.: funcionrios insatisfeitos, enchentes,
temperatura, ex-funcionrios, concorrentes.
necessrio identifcar as falhas de segurana e as ameaas
ativas, reagindo de acordo com o nvel de gravidade do risco e as
potenciais perdas.

Identifcao da Ameaa: Identifcao do agente ou evento
adverso, efeitos favorveis e desfavorveis, populao vulnervel
e condies de exposio.

Caracterizao do Risco: a etapa fnal da avaliao de ris-
co, ou seja, a descrio da natureza do risco, incluindo a sua
intensidade para os seres humanos e o grau de incerteza conco-
mitante (probabilidade de ocorrncia). Descrio dos diferentes
efeitos potenciais e a quantifcao da relao entre a magnitude
do evento e a intensidade do dano esperado, mediante metodologia
cientfca.
Enumerao dos danos esperados a sade, ao patrimnio, ins-
talaes, meio ambiente, etc.
Quantifcao e defnio da proporo, por meio de estudos
epidemiolgicos e de modelos matemticos, entre a magnitude do
evento e a intensidade dos danos esperados (causa e efeito).
Defnio da rea e da populao em risco.

Avaliao da Exposio: Estudo da evoluo do fenmeno,
considerando-se a varivel tempo.
Defnio dos nveis de alerta e alarme.
Estimativa de Risco: Concluso sobre o grau de risco, obtida
aps a comparao entre a caracterizao do risco e a avaliao da
exposio.
Defnio de Alternativas de Gesto
Processo de desenvolvimento e anlise de alternativas, com o
objetivo de controlar e minimizar riscos e vulnerabilidades.

Danos Indiretos
Referem-se basicamente aos bens e servios que deixam de
ser produzidos ou prestados durante um lapso de tempo que se ini-
cia logo depois de ocorrido o desastre e pode se prolongar durante
a fase de reabilitao e reconstruo.

Danos Diretos
So aqueles sofridos pelos ativos imobilizados, destrudos ou
danifcados. Trata-se, essencialmente, dos prejuzos que o patri-
mnio sofreu durante o sinistro.
Os desastres no produzem apenas efeitos facilmente percep-
tveis, pois tm consequncias que se desenvolvem lentamente e se
manifestam muito tempo depois de ocorrido o desastre.
Os desastres podem provocar ainda alguns efeitos indiretos
difceis de quantifcar. So os efeitos intangveis, como os so-
frimento humano, a insegurana, rejeio pela forma com que a
autoridade enfrentaram as consequncias do desastre.
Na anlise de risco realizado um levantamento das ameaas
e vulnerabilidades do ambiente.
As informaes resultantes deste levantamen-
to so correlacionadas com os ativos da empresa ou instituio,
quando so analisados os riscos possveis a cada ativo e o valor
fnanceiro que este risco representa.
O resultado na anlise de risco fornece informaes estratgi-
cas que possibilitam a defnio de um limite entre os investimen-
tos em segurana e os riscos aceitveis.

Vulnerabilidades
So falhas existentes em tecnologias, ambientes, processos ou
pessoas. Ex.: falta de treinamento de funcionrios, bug em softwa-
re, falta de manuteno de hardware, falta de extintores de incn-
dio, inexistncia ou inadequado controle de acesso a instituio,
etc.

Anlise de Vulnerabilidades
Tem por objetivo verifcar a existncia de falhas de segurana
no ambiente. Esta anlise uma ferramenta importante para a im-
plementao de controles de segurana efcientes sobre os ativos
da instituio.
Na anlise de vulnerabilidades realizada uma verifcao de-
talhada do ambiente da instituio, verifcando se o ambiente atual
fornece condies de segurana compatveis com a importncia
estratgica dos servios realizados.
A anlise de vulnerabilidade sobre ativos da informao com-
preende Tecnologias, Processos, Pessoas e Ambientes.

Tecnologias: Software e hardware usados em servidores, es-
taes de trabalho e outros equipamentos pertinentes, como siste-
mas de telefonia, rdio e gravadores. Ex.: estaes sem anti-vrus,
servidores sem deteco de intruso, sistemas sem identifcao ou
autenticao. A vulnerabilidade na computao signifca a existn-
cia de brecha em um sistema computacional, tambm conhecida
como bug.

Processos: Anlise do fuxo de informao, da gerao da in-
formao e de seu consumo. Analisa tambm como a informao
compartilhada entre os setores da organizao.
4
Pessoas: As pessoas so ativos da informao e executam
processos, logo, precisam ser analisadas. Pessoas podem possuir
grandes e importantes vulnerabilidades. Ex.: Desconhecer a im-
portncia da segurana, desconhecer suas obrigaes e responsa-
bilidades, deixando processos com dois pais e outros rfos.

Ambientes: o espao fsico onde acontecem os processos,
onde as pessoas trabalham e onde esto instalados os componentes
de tecnologia. Este item responsvel pela anlise de reas fsicas.
Ex.: Acesso no autorizado a servidores, arquivos, agendas, cofres
e fchrios.

Impacto: Ainda nesse processo necessrio se determinar
qual o grau de prejuzo da empresa ou instituio se determinado
ativo tornar-se indisponvel, pblico ou no confvel (sem inte-
gridade).

Benefcios da Anlise de Riscos
- Maior conhecimento do ambiente, seus problemas e riscos;
- Possibilidade de tratamento das vulnerabilidades, com base
nas informaes geradas;
- Informaes estratgicas sobre investimentos;
- Maior organizao e aderncia a padres de segurana;
- Maior confabilidade do ambiente aps a anlise;
- Informaes para o desenvolvimento da Poltica de Seguran-
a da instituio.
- Melhoria na identifcao de ameaas e oportunidades;
- Valorao da incerteza e da variabilidade;
- Gerenciamento pr-ativo ao invs de reativo;
- Alocao e uso mais efetivo de recursos;
- Melhoria no gerenciamento de incidentes e reduo nas per-
das e no custo do risco;
- Melhoria na confana do stakeholder (parte interessada) e
no relacionamento;
- Menos surpresas;
- Explorao de oportunidades;
- Melhoria no planejamento e no desempenho da instituio;
- Economia e efcincia;
- Melhoria na reputao;
- Proteo da alta administrao;
- Melhoria pessoal.
Produtos Finais:
- Reunio de concluso da anlise;
- Relatrio de Anlise de Risco;
- Plano de Ao para curto e mdio e longo prazo.

Probabilidade
A possibilidade de que um evento ou uma situao insegura
possa ocorrer. Algumas perguntas devem ser realizadas para me-
lhor defnio da probabilidade, tais como:
- Existem registros de eventos iguais ao que est sendo avalia-
do ou este um evento isolado?
- Qual(ais) outro(s) equipamento(s) ou tipo de componentes
semelhantes podem apresentar defeitos similares?
- Quantas pessoas operacionais e/ou de manuteno es-
to envolvidas com o cumprimento deste(s) procedimento(s)
especfco(s)?
- Qual a frequncia de utilizao do equipamento ou do proce-
dimento que est sendo avaliado?
Severidade possveis consequncias de um evento ou de
uma situao insegura, tomando como referncia a pior condio
previsvel, em termos de:
- Materiais
- Financeiros
- Responsabilidade legal
- Pessoal
- Meio ambiente
- Imagem da empresa/organizao
- Confana do pblico
Mitigao Medidas que eliminam o perigo potencial ou que
reduzem a probabilidade ou a severidade (gravidade) do risco
- Mitigao do Risco = Controle do Risco
- Estratgias
- Evitar a exposio Quando os riscos excedem os benef-
cios de continuar a operao ou atividade, a operao ou atividade
deve ser cancelada.
- Reduzir a exposio Diminuio da frequncia da opera-
o ou da atividade ou se tomam medidas para reduzir a magnitude
das consequncias do risco que foi aceito.
- Segregao da exposio So tomadas providncias para
isolar os efeitos do risco ou se introduzem barreiras de proteo
(redundncia) contra os riscos.
impossvel eliminar todos os riscos.
- Riscos podem ser minimizados a um nvel to baixo quanto
racionalmente praticvel.
A mitigao do risco um equilbrio entre:
- o tempo (rapidez);
- os custos;
- as difculdades para reduzir ou eliminar os riscos, ou seja,
gerenci-los.
Divulgar os motivos das decises ajuda a obter a aceitao e o
comprometimento dos envolvidos.
Diagnstico
Para que isso ocorra necessrio diagnosticar a situao da
segurana na organizao e recomendar aes e contramedidas
para cada vulnerabilidade mapeada.
O Diagnstico consiste em um processo de identifcao dos
riscos de segurana a que a organizao est exposta. Ele ser rea-
lizado atravs de uma avaliao sistemtica que visa o mapeamen-
to das ameaas e vulnerabilidades.
5
O Risco deve ser visto e entendido para que as oportunidades
sejam maximizadas e as potenciais perdas sejam minimizadas.
O Risco representa a capacidade de enxergar o futuro e suas
consequncias, podendo ele ser tanto positivo quanto negativo.
De fato, existe o risco de se perder algo, mas tambm existe o
risco de se ganhar algo.
O gerenciamento de risco deve ser modelado, discutido e se-
guido pelos projetos e pelas organizaes como um instrumento de
tomada de decises.
A Anlise de Riscos , portanto, fundamental para maximizar
oportunidades e minimizar potenciais perdas, e deve ser aplicada
em todos os contextos.
2 CONTINUIDADE DE NEGCIOS E
GERENCIAMENTO DE CRISES
APLICADOS SEGURANA.
A instituio fnanceira deve possuir planos de contingncia
e de continuidade de negcios para garantir sua capacidade de
operar e minimizar suas perdas na eventualidade de interrupes
drsticas de suas atividades.
O plano de continuidade de negcios tem como principal ob-
jetivo possibilitar o funcionamento da organizao em um nvel
aceitvel nas situaes de contingncia onde h indisponibilidade
dos recursos de informao. A impossibilidade de realizar as suas
operaes traz srios impactos fnanceiros, operacionais e de ima-
gem. O plano deve ser elaborado aps a realizao de uma anlise
de impacto no negcio e especifcar as ameaas e riscos identifca-
dos na organizao.
A direo e os demais interessados na organizao devem co-
nhecer todas as partes e fases do desenvolvimento do plano de
continuidade de negcios e aprovar as ameaas e os riscos que
podem afetar os ativos de informao, mas que esto de fora do
plano. O plano deve ser elaborado inicialmente considerando as
situaes de maior risco e maior impacto e ir amadurecendo con-
forme a maturidade da organizao frente a proteo dos seus ati-
vos. O treinamento e a conscientizao de todos os colaboradores
de grande importncia, permitindo que a organizao gerencie
os riscos, esteja preparada para os momentos de contingncia e
garanta a continuidade do negcio.
Assim, o Plano de Contingncia e de Continuidade de Ne-
gcios pode ser entendido como o conjunto de medidas preven-
tivas e de recuperao no caso de um desastre ou qualquer outra
interrupo drstica de negcios. Estas medidas, vo muito alm
da simples adoo de um plano de seguro e, devem assegurar a
capacidade da instituio fnanceira em operar em bases contnuas.
Os princpios de gerenciamento do risco operacional devem as-
segurar que todos os processos crticos tm seus riscos identifcados,
avaliados, monitorados e controlados. No entanto, existe a possibi-
lidade de fatores adversos, que no podem ser evitados, provocarem
interrupes drsticas nestes processos. Para que estas interrupes
no proporcionem srias consequncias, a instituio deve possuir
um plano de contingncia e continuidade de negcios.
A instituio fnanceira deve rever periodicamente seu plano
de contingncia e de continuidade de negcios, a fm de mant-lo
atualizado e consistente com as operaes e estratgias correntes.
Alm disso, este plano deve ser testado periodicamente para asse-
gurar que a instituio fnanceira possa execut-lo num evento de
descontinuidade severa dos negcios.
O plano de contingncia e de continuidade de negcios envol-
ve basicamente quatro fatores:
- Infraestrutura de pessoal (pessoas e responsabilidades);
- Infraestrutura fsica (local e recursos);
- Infraestrutura tecnolgica (hardware e software);
- Servios externos (essenciais ao processo).
O plano de contingncia e de continuidade de negcios deve
ser um processo contnuo no qual a instituio fnanceira deve:
- Identifcar e analisar impactos nos negcios e perdas poten-
ciais;
- Garantir a continuidade dos negcios, operaes e servios;
- Priorizar os processos crticos defnidos corporativamente,
incluindo todas as atividades da linha de frente s reas de suporte;
- Conter detalhadamente todas as atividades, procedimentos,
responsabilidades e necessidades de recursos no momento de uma
eventual interrupo;
- Garantir que as informaes sobre os planos de contingncia
e de continuidade de negcios estejam sempre atualizadas e aces-
sveis (fsica e eletronicamente);
- Atentar para alteraes na legislao vigente que afetem o
plano e, garantir sua comunicao s pessoas da instituio res-
ponsveis pela sua manuteno;
- Estar preparado para comunicaes externas em caso de de-
sastre;
- Informar novos funcionrios sobre a poltica existente na
instituio e, incentivar a participao no treinamento do plano de
contingncia e de continuidade de negcios.
- Defnir responsabilidade de atuao para cada funcionrio,
na execuo do plano de contingncia e de continuidade de neg-
cios;
- Manter equipes treinadas nas suas respectivas responsabili-
dades para agilizarem o processo de recuperao e continuidade
de qualquer negcio.
- Analisar periodicamente a documentao existente para su-
portar a restaurao do ambiente em situao de desastre;
- Manter uma lista de contatos atualizada, inclusive de princi-
pais fornecedores e clientes;
- Testar as aes para restaurao do ambiente sinistrado;
- Simular situaes emergenciais;
- Preparar aes necessrias recuperao do Centro de Tec-
nologia da Informao.
A maneira como ser implementado um plano de continuida-
de e recuperao de negcios nem sempre exigem todas as ativida-
des acima mencionadas. Cada instituio deve estar atenta ao seu
ambiente, suas caractersticas e apetite ao risco.
Gerenciamento de crises aplicados segurana
Com relao ao gerenciamento de crises, podemos caracte-
riz-lo como o processo de identifcar, obter e aplicar os recursos
necessrios antecipao, preveno e resoluo de uma crise.
Ainda, conceitua-se Gerenciamento de Crises como o meio efcaz
de se identifcar, obter e aplicar, de conformidade com a legislao
vigente e com o emprego das tcnicas especializadas, os recur-
sos estratgicos, adequados para soluo de crise, sejam medidas
de antecipao, preveno e/ou resoluo, a fm de assegurar o
completo restabelecimento da ordem pblica e da normalidade da
situao.
Caractersticas das Crises
A doutrina norte-americana formulada pela Academia Nacio-
nal do FBI (EUA), enumera trs caractersticas principais sobre
um evento crucial:
6
AMEAA VIDA Confgura-se como um componente
essencial do evento crtico, mesmo quando a vida em risco a do
prprio indivduo causador da crise. Assim, por exemplo, se al-
gum ameaa se jogar do alto de um prdio, buscando suicidar-se,
essa situao caracterizada como uma crise, ainda que inexistam
outras vidas em perigo.
IMPREVISIBILIDADE A crise no-seletiva e inespera-
da, isto , qualquer pessoa ou instituio pode ser atingida a qual-
quer instante, em qualquer local, a qualquer hora. Sabemos que
ela vai acontecer, mas no podemos prever quando. Sendo assim,
as instituies policiais no podem se valer da possibilidade de se
preparar to somente quando o evento crtico acontecer, devendo
estar preparados para enfrentar qualquer crise.
COMPRESSO DE TEMPO (urgncia) Os processos
decisrios que envolvem discusses para adoo de posturas no
ambiente operacional devem ser realizados, em um curto espao
de tempo. Os eventos cruciais de alta complexidade impem aos
agentes responsveis pelo seu gerenciamento: urgncia, agilidade
e rapidez nas decises.
O gerenciamento de uma crise deve ser trabalhado sob uma
compreenso de tempo e considerando os mais complexos proble-
mas: sejam sociais, econmicos, polticos e ideolgicos.
Deve avaliar potenciais riscos e preparar planos preventivos
para agir em relao a cada situao.
NECESSIDADE DE:
1. Postura organizacional no-rotineira: A necessidade de
uma postura organizacional no-rotineira de todas as caracters-
ticas essenciais, a que causa maiores transtornos ao processo de
gerenciamento, principalmente, quando a instituio no despren-
de energias sufcientes para se planejar antes mesmo da crise acon-
tecer. Contudo, a nica cujos efeitos podem ser minimizados,
graas a um preparo e a um treinamento prvio da organizao
para o enfrentamento de eventos crticos.
2. Planejamento analtico especial e capacidade de imple-
mentao: Sobre a necessidade de um planejamento analtico es-
pecial importante salientar que a anlise e o planejamento, duran-
te o desenrolar de uma crise, so consideravelmente prejudicados
por fatores como a insufcincia de informaes sobre o evento
crtico, a interveno da mdia e o tumulto de massa geralmente
causado por situaes dessa natureza.
A capacidade de implementao resume-se na habilidade que
ter o Gerente da crise em mobilizar todos os recursos necessrios
para solucionar a crise.
Objetivo do Gerenciamento de Crises
O Gerenciamento de Crises tem como principal objetivo, em
absoluta ordem axiolgica, PRESERVAR VIDAS e APLICAR A
LEI.
O Gerente de uma situao de crise deve ter sempre em mente
esses objetivos, mesmo que optando por preservar vidas de ino-
centes, possa contribuir para uma momentnea fuga ou vitria dos
elementos causadores da crise.
A preservao de vidas serve para todos os envolvidos no
cenrio da crise, os refns, o pblico em geral, os policiais e at
mesmo os criminosos.
A aplicao da lei dever consistir na priso dos infratores
protagonistas da crise, na proteo do patrimnio pblico privado,
como tambm, garantindo o estado de direito.
Critrios de ao
No decorrer do processo do gerenciamento de uma crise, o
GERENTE DA CRISE (mais alta autoridade presente no teatro de
operaes) tomar decises das mais diversas espcies e pertinen-
tes aos mais variados assuntos. Para balizar e facilitar o processo
decisrio no curso de uma crise, a doutrina estabelece o que se
chamam critrios de ao, que se traduzem em referenciais para
nortear a tomada de decises.
A doutrina de Gerenciamento de Crises estabelece trs crit-
rios de ao, a saber: a necessidade, a validade do risco e a acei-
tabilidade.
O critrio da necessidade indica que toda e qualquer ao so-
mente deve ser implementada quando for indispensvel.
O critrio da validade do risco, nos mostra que toda e qualquer
ao tm que levar em conta se os riscos dela advindos so com-
pensados pelos resultados.
A aceitabilidade, implica em que toda ao deve ter respaldo
legal, moral e tico.
ACEITABILIDADE LEGAL Toda deciso deve ser tomada
com base nos princpios ditados pelas leis.
ACEITABILIDADE MORAL Toda deciso para ser tomada
deve levar em considerao aspectos de moralidade e bons costu-
mes.
ACEITABILIDADE TICA O responsvel pelo gerencia-
mento da crise, ao tomar uma deciso, deve faz-lo lembrando
que, o resultado da mesma no pode exigir de seus comandados
a prtica de aes que causem constrangimentos corporao po-
licial.
Resumindo, o GERENTE DA CRISE, no momento das suas
tomadas de decises, deve estar a todo o momento se questionando
sobre as suas determinaes ou decises:
necessrio correr este risco ou existe uma outra forma de
se resolver? Vale a pena correr este risco? A minha deciso possui
um respaldo legal, esta dentro dos princpios morais e ticos da
sociedade? Etc.
Classifcao dos graus de risco
O objetivo de estudarmos e entendermos a classifcao dos
graus de risco ou ameaa dos eventos crticos, para dimensio-
narmos os recursos humanos e materiais a serem empregados na
ocorrncia de forma que no fquem super ou subdimensionados.
A avaliao da classifcao do grau de risco deve ser uma das
primeiras aes a ser mentalizada pelo Gerente da crise.
Essa classifcao obedece a um escalonamento de quatro
graus:
1 Grau ALTO RISCO
2 Grau ALTSSIMO RISCO
3 Grau AMEAA EXTRAORDINRIA
4 Grau AMEAA EXTICA
Uma correta avaliao do grau de risco ou ameaa, represen-
tado por uma crise, concorre favoravelmente, para a soluo do
evento, possibilitando, desde o incio, o oferecimento de um nvel
de resposta adequado situao, evitando-se, destarte, perdas de
tempo desnecessrias.
Fases do processo de Gerenciamento de Crises
Quando falamos sobre fases do processo de Gerenciamento
de Crises, o primeiro pensamento que nos vem a cabea, que o
processo de Gerenciamento de Crises s se inicia quando o evento
crucial explode. Entretanto, a doutrina nos ensina que o processo
de Gerenciamento de Crises se inicia muito antes da crise eclodir,
como tambm, observaremos que ele continua mesmo tendo sido
solucionado a crise.
7
As fases do processo de Gerenciamento de Crises so dividi-
das em:
- Fase da pr-confrontao;
- Fase da confrontao;
- Fase da ps-confrontao.
FASE DA PR-CONFRONTAO (PREPARO)
a fase que antecede a confrontao do evento crucial. Du-
rante esta fase, a instituio policial se prepara, administrativa-
mente, em relao logstica, operacionalmente atravs de instru-
es e operaes simuladas, planejando-se para que possa atender
qualquer crise que vier acontecer na sua esfera de competncia.
So todos aqueles procedimentos fundamentais, que iro
permitir aos rgos e pessoas envolvidos em um evento crtico,
possuir condies de interagir de maneira pr-ativa com as situ-
aes encontradas. A ausncia e ou carncia de uma destas fases
proporcionaro difculdades ou at mesmo impedir uma resposta
satisfatria para sociedade, arranhando desta forma a credibilidade
do Sistema de Defesa Social (SDF) e colocando vidas em risco.
Esta a fase em que nos encontramos neste exato momento.
a fase da normatizao, da formao (apresentao, estudo, pes-
quisa) de doutrina, da elaborao de um plano de contingncia ou
segurana, estruturao e treinamento.
de fundamental importncia que os envolvidos em eventos
crticos tenham o conhecimento dos procedimentos a serem adota-
dos quando na confrontao e atravs de um programa contnuo e
criterioso de divulgao, com cursos, estgios, palestras e ofcinas,
a Secretaria de Segurana Pblica tem transmitido aos integrantes
do Sistema de Defesa Social (SDF), a necessidade de padroniza-
o de posturas e de cooperao para resoluo dos confitos da
vida moderna, tendo o devido cuidado com referencia ao nvel de
informao, para no reduzir ou at mesmo anular, as tcnicas de
respostas, utilizadas pelo Sistema de defesa Social do Estado, con-
tra a escalada da violncia que vitima a nossa sociedade.
PLANO DE CONTIGNCIA OU SEGURANA
O plano de contingncia ou segurana est intimamente rela-
cionado ao planejamento estratgico que elaborado pelas insti-
tuies, avaliando-se dentro do Estado os locais, pessoas e neg-
cios sensveis, notveis e importantes na nossa estrutura, reduzin-
do desta forma a incidncia dessas ocorrncias ou minimizando
seus efeitos quando defagrada.
ESTRUTURAO
Com aumento de ocorrncia desta natureza, fcou irreversvel
a necessidade de criao de uma estrutura especfca para tratar do
assunto, com pessoal treinado, espao defnido e principalmente
equipamentos efcientes para fazer frente aos eventos crticos.
TREINAMENTO
Como j entendemos que crise um fenmeno social, e como
fenmeno social est sempre num processo de mudanas, os pro-
fssionais que atuam nesta rea no podem se permitir parar no
tempo, pois, esta estagnao poder custar uma preciosa vida,
logo, o aprimoramento tcnico-profssional deve ser contnuo,
avaliando atravs de estudo de casos os procedimentos adotados
em todas as ocorrncias, formando um banco de dados efciente.
FASE DA CONFRONTAO (RESPOSTA IMEDIATA
ou AO)
A fase de confrontao ou resposta imediata corresponde ao
momento em que as primeiras medidas devem ser adotadas, ime-
diatamente a ecloso de um evento de alta complexidade. Nesta
fase, os Policiais Militares que esto no servio de policiamento
ostensivo, uma vez conhecedores da doutrina sobre gerenciamento
de situaes cruciais, so de extrema importncia, pois, na maio-
ria dos casos so eles que sero os primeiros a se depararem com
tais ocorrncias. Nestes casos, uma resposta imediata e efciente
depende quase que 60% do xito da misso policial no gerencia-
mento de uma crise.
CONTENO
A conteno de uma crise consiste em evitar que ela se alas-
tre, isto , impedindo que os sequestradores aumentem o nmero
de refns, ampliem a rea sob seu controle, conquistem posies
mais seguras, ou melhor, guarnecidas, tenham acesso a mais arma-
mento, vias de escape, ou seja, a conteno o impedimento do
deslocamento do ponto crtico.
Enfm, a ao que visa evitar o agravamento da situao ou
que ela se alastre, impedindo que o causador:
- Aumente o nmero de refns;
- Amplie a rea de controle;
- Conquiste posies mais seguras;
- Tenham acesso a recursos que facilitem ou ampliem o seu
potencial ofensivo.
ISOLAMENTO
a ao que visa cortar todos os meios de contato, visual, au-
diovisual e ou material dos envolvidos diretamente no confito. o
congelamento do objetivo (local), visando interromper o contato
da vtima ou refm e principalmente do causador com o exterior.
Recomenda-se o corte de energia eltrica, linha telefnica,
sistema de abastecimento de gua, gs e qualquer outro meio de
independncia por parte dos causadores.
Permite que a Polcia assuma o controle como nico veculo
de interlocuo. Quanto melhor o isolamento melhor a possibili-
dade de negociao.
A ao de isolar o ponto crtico se desenvolve praticamente ao
mesmo tempo em que a de conter a crise. Os perpetradores devem
ser isolados de forma que se imponha a eles a sensao de estarem
completamente sozinhos.
INCIO DAS NEGOCIAES
Considerado o momento mais tenso, por no termos os ele-
mentos essenciais de informaes, como nmero de refns ou v-
timas, quantidade de causadores, armamento utilizado, conheci-
mento do espao fsico. o principal momento em que o policial
pode encontrar uma certa agressividade por parte dos causadores.
A tcnica recomenda que este contato inicial seja atravs de instru-
mentos de comunicao como megafone, etc. Mesmo que a auto-
ridade que primeiro tiver contato com a crise no seja um negocia-
dor ofcial, este dever iniciar o processo de negociao assim que
as condies do terreno o permitam.
PERMETROS DE SEGURANA
So os anis de controle, que propiciam a segurana da po-
pulao, das autoridades envolvidas, da imprensa, das vtimas
ou refns e dos protagonistas do evento. A sua forma e tamanho
podem variar de acordo com cada ocorrncia, pois dependeremos
de vrios fatores como: espao fsico onde esta ocorrendo a cri-
se, poder de letalidade do armamento que est sendo utilizado e a
tipologia do causador do evento crtico, vale lembrar que quanto
maior suas dimenses, mais difcil sua manuteno. Os permetros
de segurana geralmente so divididos em trs etapas: EXTERNO,
INTERMEDIRIO e INTERNO.
8
FASE DA PS-CONFRONTAO DE UM EVENTO
CRTICO
Fase que sucede o encerramento de um evento crtico.
Algumas pessoas acreditam que com a libertao dos refns a
ocorrncia j est terminada, vamos citar algumas dentre as varias
medidas que o aparelho policial precisa adotar aps a confronta-
o:
- Atendimento mdico para os refns ou vtimas: Uma das pri-
meiras medidas a serem tomadas, o acionamento de atendimento
mdico para o local, ao fnal da ocorrncia mesmo que a pessoa
no queira ser atendida, torna-se conveniente que um profssional
da rea de sade, possa fazer este primeiro contato, visando veri-
fcar o seu estado de sade, e desta forma evitar certas surpresas.
- Cumprimento das garantias: No podemos garantir o que
no podemos cumprir. Estabelecida a negociao por parte do apa-
relho policial, ela tem que est pautada antes de tudo na aceitabi-
lidade legal, moral e tica. Autuao em Flagrante dos causadores
torna-se uma consequncia natural na maioria das ocorrncias de
Gerenciamento de Crises, atribuindo inclusive, responsabilidades
aos seus autores.
- Relatrio do Evento (Fatos e crticas): Constar tudo que for
julgado importante sobre a ocorrncia, e com riqueza de detalhes,
pois, no podemos esquecer que este relatrio uma das peas
fundamentais do processo legal.
3 PREVENO DE FRAUDES E
DELITOS INTERNOS.
Atualmente a prtica criminosa de fraudes contbeis, no m-
bito das organizaes privadas, vem tendo um incremento signi-
fcativo. Uma parcela das empresas envolvidas prefere silenciar,
pois, na maioria das vezes, no tem provas para afrmar que foram
vtimas, restando, apenas, a constatao do prejuzo. Outras, visan-
do evitar exposio pblica quanto fragilidade de seus controles
internos, sublimam a magnitude do problema.
Diante de circunstncias como essas, discusses tm emer-
gido sobre o papel e a importncia do controle interno na pre-
veno de fraudes, que podem causar prejuzos irreparveis a
uma organizao As fraudes existem desde os primrdios da ci-
vilizao, todavia, encontram-se mais presente nos tempos atuais,
em organizaes de qualquer natureza pblicas, privadas, no-
-governamentais. So cometidas em pases ocidentais, orientais,
desenvolvidos ou subdesenvolvidos. Envolvem organizaes de
qualquer segmento indstria, comrcio, servio e de qualquer
porte grande, mdio, pequeno ou microempresa. De modo que
nenhuma organizao est totalmente imune aos efeitos perversos
das fraudes sobre suas atividades.
Os efeitos das fraudes geram um grande impacto nas organi-
zaes privadas e na sociedade, pois o processo de globalizao da
economia originou uma forte integrao comercial e fnanceira em
nvel mundial. Essa realidade fez com que a discusso sobre pre-
veno, reduo e controle de fraudes, dentro dessas organizaes,
passassem a integrar a pauta de todos os nveis hierrquicos - alta
administrao, gestores intermedirios e colaboradores.
importante destacar que, difcilmente, uma fraude prospera
sem a participao ou a omisso de pessoas que, atravs de atos,
comportamentos ou atitudes inidneos, promovem um contexto
organizacional facilitador para a fuidez desse ato ilcito, muitas
vezes, sem a devida avaliao das consequncias dessas aes para
a organizao e seus colaboradores.
A preveno ao cometimento de fraudes deveria ser uma es-
tratgia mais valorizada nas entidades, pois, comprovada a sua
ocorrncia, os danos materiais, mercadolgicos e humanos so,
no raras vezes, irreparveis, mesmo que se aplique punio. Ins-
tala-se, ento, um estado de anormalidade funcional que provoca
padecimentos psquicos e morais.
Nesse campo, o processo preventivo abrange diversas vari-
veis, tendo como principal ferramenta o controle interno perma-
nente, nas reas de contabilidade e de auditoria, visando identifcar
e monitorar situaes em que possa existir maior risco de fraudes
internas. Esse tipo de controle diz respeito aos que so criados in-
ternamente no ambiente das entidades, com o propsito maior de
salvaguardar o patrimnio e, consequentemente, os interesses dos
acionistas e demais interessados.
Considerando essas premissas, parte-se do pressuposto de que,
se houver um controle interno adequado, esse um meio efcaz
nos processos de preveno, descoberta e combate aos erros inten-
cionais (fraudes), cometidos em empresas privadas no Brasil. Um
sistema de controle interno efciente consegue separar os eventos
suspeitos, sob os quais recair uma verifcao mais cuidadosa e
aprofundada, proporcionando maior confabilidade aos negcios.
Controle interno: aspectos conceituais e princpios
Cada vez mais, o ato de administrar torna-se complexo. A es-
cassez dos recursos, a vulnerabilidade dos negcios e o desenvol-
vimento da tecnologia da informao fazem com que surjam novas
demandas de controles, exigindo dos gestores e dos auxiliares a
adoo de novas ferramentas de gesto e padres comportamen-
tais, visando adequao da organizao aos novos desafos.
nesse contexto que o sistema de controle interno torna-se impres-
cindvel para o desenvolvimento dos negcios.
O controle interno possibilita a medio de padres, a com-
parao de metas, a avaliao de desempenho e a fscalizao de
eventos, com o intuito de corrigir informaes, comparar resulta-
dos, adaptar situaes novas, detectar desvios ou anormalidades e
simplifcar rotinas. Esse monitoramento necessrio, posto que,
apesar dos avanos operacionais, gerenciais e tecnolgicos, o ele-
mento humano apresenta fraquezas funcionais e morais, intencio-
nais ou no, que podem comprometer a perenidade da organizao.
Perez Jnior compreende o controle interno como o plano
de organizao e todos os mtodos e medidas coordenados, adota-
dos numa empresa para proteger seus ativos, verifcar a exatido
operacional e promover a obedincia s diretrizes administrativas
oferecidas. Na perspectiva de Almeida, o controle interno repre-
senta em uma organizao o conjunto de procedimentos, mtodos
ou rotinas com os objetivos de proteger ativos, produzir dados
confveis e ajudar a administrao na conduo ordenada dos ne-
gcios de empresa.
Pode-se perceber que os autores acima relacionam o controle
interno com os padres de operao (planos, mtodos, medidas,
procedimentos, rotinas) que devem ser implementados nas organi-
zaes de modo a promover a segurana dos seus ativos, a efcin-
cia nos processos e a gerao de informaes teis, para auxiliar
a administrao.
Implcita a esses conceitos, encontra-se a importncia dos
controles internos para a efcincia e a continuidade operacional
da empresa, porquanto a salvaguarda dos ativos, sujeitos tanto a
fraudes quanto a erros no intencionais, e a veracidade dos dados
contbeis so pilares no processo de deciso.
9
Delitos internos
Neste ponto passa-se, efetivamente, a apresentar a legislao
inerente fraude e delitos internos pesquisada.
Cdigo Civil Lei n 10.406/2002
Nesta lei so normatizados os princpios fundamentais: a
eticidade, a socialidade e a operabilidade, e ainda, atribudo ao
contabilista a responsabilidade solidria pelos atos praticados ine-
rentes ao exerccio da profsso, que denote conduta antijurdica,
especifcadamente nos artigos discorridos a seguir:
Da Fraude contra credores Seo VI: Art. 159. Sero igual-
mente anulveis os contratos onerosos do devedor insolvente,
quando a insolvncia for notria, ou houver motivo para ser co-
nhecida do outro contratante.
Dos Atos Ilcitos: Art.186. Aquele que por ao ou omisso
voluntria, negligncia ou imprudncia, violar direito e causar da-
nos a outrem, ainda que exclusivamente moral comete ato ilcito.
Da obrigao de indenizar: Art. 927. Aquele que, por ato il-
cito, causar dano a outrem, fca obrigado a repar-lo. Pargrafo
nico: Haver obrigao de reparar o dano, independentemente
de culpa, nos casos especifcados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano implicar, por sua
natureza, risco para os direitos de outrem.
Do contabilista e outros auxiliares - Seo III: Art. 1.177. Os
assentos lanados nos livros ou fchas do preponente, por qualquer
dos prepostos encarregados de sua escriturao, produzem, salvo
se houver procedido de m-f, os mesmos efeitos como se fossem
por aquele. Pargrafo nico: No exerccio de suas funes, os pre-
postos so pessoalmente responsveis, perante o preponente, pelos
atos dolosos.
Relacionado ao assunto contbil, no artigo 1.188, est a prin-
cipal virtude do Cdigo Civil. Estabelecem-se, expressamente,
rigores ao balano patrimonial, exigindo fdelidade, clareza e si-
tuao real da empresa, tudo isso subordinado rigorosamente ao
processo centenrio das partidas dobradas. Exigncias, essas, que
no eram expressamente feitas pela Lei 6.404/76 (que tem sido
tomada como base). Essa lei, nos artigos 178 a 188, estabelece os
conceitos contbeis, critrios e procedimentos para a elaborao
do seu balano patrimonial, normas que tambm podem ser apli-
cadas s demais sociedades, desde que tal aplicao esteja prevista
no contrato social.
A fdelidade est em se espelhar de forma sincera o que ocor-
reu; a clareza se encontra na facilidade do entendimento; a unifor-
midade o princpio que defende a regularidade ou constncia de
critrios; a realidade expressa o que verdadeiro; s o verdadeiro
interessa Contabilidade e atende ao esprito do artigo 1.188 do
Cdigo Civil de 2002 (Lei 10.406).
Aps mostrar o tratamento dado na esfera civil, tratando a
respeito da reparao do prejuzo causado a terceiros, a seguir
passa-se a apresentar a normatizao de proteo aos tomadores
de servios.
Cdigo de Defesa do Consumidor
Visando proteger os tomadores de servios, o art.14 do Cdi-
go de Defesa do Consumidor normatiza:
Art.14. O fornecedor de servios responde, independentemen-
te da existncia de culpa, pela reparao dos danos causados aos
consumidores, por defeitos relativos prestao de servios, bem
como por informaes insufcientes ou inadequadas sobre a sua
fruio e riscos.
No 4 do artigo h previso de que a responsabilidade pes-
soal dos profssionais liberais ser apurada mediante a verifcao
de culpa.
As fraudes tambm so punveis penalmente, a seguir, apre-
senta-se os principais artigos constantes no Cdigo Penal Brasilei-
ro no que concerne as fraudes.
Cdigo Penal Brasileiro Decreto-Lei 2.848/1940
Alm das normas civis, existe a norma penal, atravs do C-
digo Penal, que trata a respeito das fraudes. Podemos citar como
exemplos os artigos: Art. 171, 2 incisos IV, V, VI (Fraude na
entrega de coisa, Fraude para recebimento de indenizao ou valor
de seguro, Fraude no pagamento por meio de cheque); art. 179
(Fraude a Execuo); Art. 358 (Violncia ou fraude em arremata-
o judicial); Art.342 e 343 (Falso testemunho ou falsa percia);
art. 347 (fraude processual), entre outros.
Em 1990, teve-se a aprovao de uma lei que trata sobre os
crimes cometidos contra a ordem tributria e fnanceira do pas
brasileiro. A seguir passa-se a discorrer a respeito dessa lei, cha-
mada de Lei do Colarinho Branco.
Lei do Colarinho Branco Lei 8.137/1990
A Lei 8.137/1990, mais conhecida como Lei do Colarinho
Branco tambm arrazoa a respeito das fraudes.
Conforme art.1: constitui crime contra a ordem tributria su-
primir ou reduzir tributo, ou contribuio social e qualquer acess-
rio, mediante as seguintes condutas:
I. Omitir informao, ou prestar declarao falsa s autorida-
des fazendrias;
II. Fraudar a fscalizao tributria, inserindo elementos ine-
xatos, ou omitindo operao de qualquer natureza, em documento
ou livro exigido pela lei fscal;
III. Falsifcar ou alterar nota fscal, fatura, duplicata, nota de
venda, ou qualquer outro documento relativo operao tribut-
vel;
IV. Elaborar, distribuir, fornecer, emitir ou utilizar documento
que saiba ou deva saber falso ou inexato.
A seguir, aps apontar a legislao relacionada aos crimes f-
nanceiros e tributrios, passa-se a comentar a Lei 9.613/98
Crime de lavagem de dinheiro
As instituies fnanceiras esto expostas a diversos riscos na
conduo de seus negcios. O risco de reputao e o risco legal
riscos de difcil mensurao e associados lavagem de dinheiro
so dois desses tipos de risco. Alm disso, citamos ainda o risco
operacional que, de alguma forma pode advir de ausncia de con-
troles internos e fragilizar instituies fnanceiras.
Assim, em conformidade com o preconizado na Lei 9.613 e
baseado nas recomendaes dos diversos organismos internacio-
nais, o Banco Central emitiu normativos estabelecendo os limites
de valores que deveriam ser registrados, dando exemplos de si-
tuaes e/ou transaes que podem confgurar a prtica do crime
de lavagem de dinheiro, e determinando o desenvolvimento e a
implementao de procedimentos internos de controle para detec-
tar operaes que caracterizem indcio de ocorrncia de lavagem
de dinheiro.
10
A necessidade de implementao de controles internos por
parte das instituies fnanceiras fora regulamentada previamen-
te s normas de preveno lavagem de dinheiro, atravs da
Resoluo 2.554/98 que, tendo como objetivo a mitigao dos
riscos associados s suas operaes, estabeleceu que os controles
internos devem prever, dentre outros aspectos, o acompanhamento
sistemtico do cumprimento das leis e regulamentos aplicveis e
a participao da auditoria interna, a qual poderia, quando no
executada por unidade especfca da instituio, ser desempenhada
por auditores independentes.
4 INTELIGNCIA COMPETITIVA:
MTODOS E TCNICAS APLICADOS
SEGURANA CORPORATIVA.
A defnio de inteligncia competitiva est muito ligada a
noo de processo, conforme segue: objetiva agregar valor in-
formao, fortalecendo seu carter estratgico, catalisando, assim,
o processo de crescimento organizacional. Nesse sentido, a coleta,
tratamento, anlise e contextualizao de informao permitem a
gerao de produtos de inteligncia, que facilitam e otimizam a
tomada de deciso no mbito ttico e estratgico.
O doutrinador Tyson afrma que inteligncia competitiva
um processo sistemtico que transforma bits e partes de infor-
maes competitivas em conhecimento estratgico para a tomada
de deciso.
Por outro lado, Cubillo conceitua Inteligncia competitiva
como um conjunto de capacidades prprias mobilizadas por uma
entidade lucrativa, destinadas a assegurar o acesso, capturar, inter-
pretar e preparar conhecimento e informao com alto valor agre-
gado para apoiar a tomada de deciso requerida pelo desenho e
execuo de sua estratgia competitiva.
Os trs termos so muito prximos e relacionados, porquanto
a ao de um incide na ao do outro. Existe claramente uma hie-
rarquizao entre esses termos, alm disso, as tecnologias de infor-
mao fazem parte desse contexto. Um sistema de informaes
pode ser caracterizado como uma tecnologia intelectual porque
afeta a organizao das funes cognitivas do homem: a coleta, o
armazenamento e a anlise de informaes assim como atividades
de previso, concepo, escolha, deciso. Isso pode ser aplicado
gesto da informao, na gesto do conhecimento e inteligncia
competitiva.
A inteligncia competitiva necessita ter o mapeamento e a
prospeco de dados, informaes e conhecimento produzidos
internamente e externamente organizao, conhecer profunda-
mente as pessoas chave da organizao independentemente de car-
gos, assim como as pessoas estratgicas fora da organizao, saber
quais setores/instituies participam dos fuxos informacionais,
formais e informais, tanto no ambiente interno quanto externo
organizao, estar sensveis as necessidades informacionais dos
clientes internos e externos, visando elaborar produtos e servios
informacionais de qualidade e direcion-los de forma adequada e,
fnalmente diminuir o stress informacional da organizao.
Todas essas aes visam, portanto, criar uma cultura informa-
cional/intelectual na organizao.
Os dados, informaes e conhecimento prospectados sobre
empresas, produtos, mercados, materiais, processos, meio am-
biente, tecnologia, pessoas, poltica, economia, fnanas, comrcio
etc., tm a fnalidade de dar maior segurana s direes perse-
guidas pela organizao. Agregar valor fundamental para que o
processo de inteligncia competitiva da organizao, seja efetivo.
Por isso, os servios e produtos devem ser personalizados ao p-
blico usurio. Uma outra questo importante para a inteligncia
competitiva a validade dos dados, informaes e conhecimento,
isto , realmente eles respondem as perguntas crticas do negcio
da organizao quanto a consistncia e confabilidade, utilidade e
obsolescncia e, fnalmente a confdencialidade exigida.
O processo de inteligncia competitiva organizacional deve
seguir sete passos para seu funcionamento contnuo. So eles:
1. Identifcar os nichos de inteligncia internos e externos
organizao;
2. Prospectar, Acessar e Coletar os dados, informaes e co-
nhecimento produzidos internamente e externamente organiza-
o;
3. Selecionar e Filtrar os dados, informaes e conhecimento
relevantes para as pessoas e para a organizao;
4. Tratar e Agregar Valor aos dados, informaes e conhe-
cimento mapeados e fltrados, buscando linguagens de interao
usurio / sistema;
5. Armazenar atravs de Tecnologias de Informao os dados,
informaes e conhecimento tratados, buscando qualidade e se-
gurana;
6. Disseminar e transferir os dados, informaes e conheci-
mento atravs de servios e produtos de alto valor agregado para
o desenvolvimento competitivo e inteligente das pessoas e da or-
ganizao;
7. Criar mecanismos de feed-back da gerao de novos dados,
informaes e conhecimento para a retroalimentao do sistema.
Num mundo em que a competio atual e o potencial so cres-
centes, em que os consumidores tornam-se cada vez mais exigen-
tes, em que a informao fui de forma veloz e a baixo custo, em
que as empresas reinventam-se constantemente, em que fuses e
aquisies so uma constante, em que o ciclo de vida dos produtos
encurta-se signifcativamente, e em que tais produtos tornam-se
cada vez mais commodities, uma rea produtora de informaes
passa a ser vital.
Ter um sistema de inteligncia competitiva considerado
estar frente no desenvolvimento de programas de qualidade e
produtividade. A produo orientada para as necessidades do con-
sumidor no sufciente para garantir o sucesso de uma empresa.
preciso tambm monitorar a concorrncia e as novas tecnologias
para que se possa identifcar as ameaas e antecipar oportunidades
que permitam conquistar uma posio competitiva favorvel.
CONTRA-INTELIGNCIA
Um nmero cada vez maior de empresas, em vrios setores,
est utilizando a inteligncia competitiva. Elas descobriram que
podem aplicar meios legais e ticos para coletar, analisar e reportar
informaes sobre a concorrncia, e obter percepes competiti-
vas valiosas - sobre lanamentos de novos produtos, mudanas na
estratgia de preos, fuses e aquisies, entre outros.
Se a inteligncia competitiva pode oferecer a uma empresa
informaes dessa qualidade sobre a concorrncia, isso signifca
que a concorrncia tambm pode obter informaes sobre a em-
presa e que, portanto, esta deveria se preocupar com medidas de
segurana para proteg-las.
Mas proteger a informao no signifca apenas instalar f-
rewalls, instituir procedimentos para destruio de documentos e
prender laptops com cabos de ao. Mesmo assim, muitas empresas
continuam a concentrar seus esforos de proteo da informao
em medidas internas relacionadas a ativos fsicos. Esquecem que a
informao pode escapar de muitas outras formas.
11
Falham ao deixar de considerar que os funcionrios podem
simplesmente revelar informaes em congressos, fruns, expo-
sies e outros eventos. Frequentemente, a fuga involuntria de
informaes acontece de maneira legal e tica, portanto, no se
trata de espionagem, mas sim de vazamento de informaes. As
pessoas no esto preparadas ou conscientes sobre a possibilida-
de de serem alvos de um monitoramento estruturado por parte da
concorrncia.
As empresas precisam desenvolver funes de contra-inteli-
gncia ativas (e no reativas, depois que a fuga j aconteceu) para
lidar com um ambiente de negcios em constante mudana. Elas
tendem a se enquadrar em uma das trs categorias a seguir:

a) Algumas empresas se apoiam em programas tradicionais
de segurana fsica e pessoal. Tais procedimentos, na melhor das
hipteses, so vistos como um custo necessrio para se operar um
negcio; menos favoravelmente, so vistos como impedimentos s
atividades dirias do negcio; e, na pior concepo, so considera-
dos violaes dos direitos bsicos individuais.
b) Empresas mais proativas instituram programas que pro-
curam avaliar e proteger o verdadeiro valor dos programas de se-
gurana corporativa para seus resultados fnanceiros. Em alguns
casos, isso at envolve um processo um tanto quanto sistemtico.
O mais refnado deles estabelece um processo cclico similar ao
processo de inteligncia. Nestes casos, a gerncia da empresa se
envolve mais na defnio do que precisa ser protegido.
c) O terceiro grupo de empresas, que os praticantes de qua-
lidade total chamariam de best-in-class, desenvolveu ligaes
entre inteligncia e contra-inteligncia que o distingue dos demais.
1) Defnio das necessidades de proteo. Neste estgio do
ciclo, duas entradas dirigem o esforo de contra-inteligncia: re-
quisio direta do tomador de deciso e necessidade de validar
independentemente alguns dos esforos de coleta de inteligncia
competitiva. Questes que precisam ser respondidas neste estgio
incluem:
- Por quanto tempo o projeto precisa ser mantido sob sigilo?
- Qual o elemento mais crtico do novo produto?
- Que partes da empresa estaro envolvidas e em que exten-
so?
- O que j se conhece (ou espera-se que seja conhecido) sobre
o projeto/produto?
A abordagem de contra-inteligncia auxilia o processo de
inteligncia na medida em que assegura que as informaes que
esto sendo coletadas, analisadas e reportadas no so na verdade
desinformaes criadas para despistar a empresa.
2) Avaliao competitiva. O foco nesta parte do ciclo de con-
tra-inteligncia avaliar a capacidade de inteligncia da concor-
rncia. Algumas das questes que devem ser levantadas so:
- Que tipo de componente de inteligncia o concorrente tem?
- Como ele est organizado?
- Que tipo sucesso ele j teve no passado?
- Como ele se insere na estrutura da organizao?
- Que tipo de unidade de anlise de inteligncia ele tem e onde
(nas unidades de negcio, na corporao, etc.) est localizado?
- Quais so os objetivos e prioridades de coleta do concor-
rente?
3) Estimativa de vulnerabilidade. Neste estgio do ciclo, o
esforo de contra-inteligncia j foi delineado pela compreenso
do que valioso e necessita de proteo e pela avaliao das in-
tenes e capacidades da concorrncia de levantar informaes
sobre a empresa. Com a cooperao da atividade de IC, a contra-
-inteligncia se volta tarefa de fornecer uma fotografa externa
da empresa. Olhando para a empresa sob a tica da concorrncia, a
contra-inteligncia pode compreender claramente quais so as vul-
nerabilidades existentes. Questes-chaves deste estgio incluem:
- quando e onde nossas informaes crticas existem?
- Em que medida essas informaes so vulnerveis explo-
rao pela concorrncia?
- Quando a concorrncia precisa de nossas informaes crti-
cas para poder responder efetivamente s nossas iniciativas?
- Em que pontos nossa comunicao vulnervel?
- Que alternativas de comunicao temos ao nosso dispor?
- Quem so nossos vendedores, fornecedores, clientes, distri-
buidores, consultores e outros empregados ou associados indire-
tos?
- Como eles lidam com informaes importantes para ns?
4) Desenvolvimento de medidas de contra-inteligncia. Se-
guindo-se os passos precedentes, pode-se desenvolver medidas
de contra-inteligncia que sejam apropriadas ao nvel de vulne-
rabilidade da empresa. O planejamento de contra-inteligncia no
pode seguir o padro clssico de conteno de riscos, que enfatiza
a adoo de controles de acesso maiores. Comea-se com questes
como:
- Que prticas-padro de segurana j existentes podem satis-
fazer a necessidade de proteger informaes crticas?
- Que informaes crticas no podem ser protegidas por essas
prticas-padro?
- Que medidas adicionais so apropriadas, e quanto cada uma
custar?
5) Implementao de medidas de contra-inteligncia. Medi-
das de contra-inteligncia vo desde a administrao de percep-
es, at o desenvolvimento de informaes sobre como opera a
prpria inteligncia competitiva da empresa. til que a contra-
-inteligncia saiba o que a inteligncia competitiva est tentando
coletar sobre a concorrncia, seus produtos, atividades, reaes s
iniciativas da empresa, etc.
Existe valor estratgico considervel numa anlise sobre a
reao da concorrncia ao programa de contra-inteligncia da em-
presa. Ela no apenas ajudar a proteger informaes crticas como
tambm avalia o valor do programa de contra-inteligncia em si.
Quando a anlise da contra-inteligncia de uma empresa com-
binada com a anlise competitiva, os executivos dispem de uma
viso completa do mercado, o que resulta numa habilidade maior
para tomar decises.
5 SEGURANA DA INFORMAO E
DAS COMUNICAES: COMPORTAMENTO
SEGURO DO USURIO; GESTO DE RISCOS
DE SEGURANA DA INFORMAO E
COMUNICAES; AMEAAS MAIS
COMUNS NO AMBIENTE DIGITAL.
DECRETO N 7.845/2012.
COMPORTAMENTO SEGURO DO USURIO
A sociedade da informao traz paradigmas da economia,
como produtividade e qualidade, cria novos caminhos para o de-
senvolvimento e exige uma nova postura diante das mudanas so-
ciais. Gerar, obter e aplicar conhecimento passa a ser item bsico
para enfrentar essas mudanas.
12
O que caracteriza uma sociedade como sociedade da infor-
mao basicamente a economia alicerada na informao e na
telemtica, ou seja, informao, comunicao, telecomunicao
e tecnologias da informao. A informao, aqui entendida como
matria-prima, como insumo bsico do processo, a comunicao/
telecomunicao entendida como meio/veculo de disseminao/
distribuio e as tecnologias da informao entendidas como infra-
estrutura de armazenagem, processamento e acesso.
A sociedade da informao e sua relao com a economia de
um pas se do atravs de uma superestrutura de comunicao,
apoiada em tecnologias da informao e, o mais importante, o co-
nhecimento, sua gerao, armazenamento e disseminao, ou seja,
o que se denomina atualmente de nova economia, a associao
da informao ao conhecimento, sua conectividade e apropriao
econmica e social. Alm disso, exige dos diferentes segmentos
econmicos uma mudana signifcativa no processo produtivo e
inovativo.
Cada vez mais as organizaes, seus sistemas de informao
e redes de computadores so colocados prova por diversos tipos
de ameaas, incluindo vazamento de informaes, fraudes, roubos
e invases (fsicas e lgicas).
Assim, com a imensa quantidade de informao que circula
pelas redes de computadores sem restrio de tempo, distncia e
velocidade e a comunidade atual exigindo e consumindo cada vez
mais informao. Surge a necessidade de que est informao seja
entregue de forma segura e efciente, pois, o sucesso e a sobrevi-
vncia de uma organizao depende muito de como a informao
controlada, armazenada e manipulada.
No passado, os controles estavam basicamente no departa-
mento fnanceiro, sendo este o corao da organizao. Com o
passar dos anos e com o surgimento da computao, tornando a
informao disponvel com mais facilidade, o departamento de in-
formtica passa a ser o centro da organizao, e a informao o seu
bem mais precioso.
Num mundo atualmente muito competitivo, com constantes
e inesperadas mudanas, as organizaes necessitam ter agilidade
e fexibilidade para estar preparado para as falhas decorrentes de
mudanas constantes no ambiente computacional. Surge a neces-
sidade das organizaes criarem mecanismos que possam garantir
a continuidade dos negcios em momentos de crise. O gerencia-
mento apropriado do risco interno e externo ajuda as organizaes
a manter o ambiente de tecnologia da informao alinhado com
o planejamento estratgico defnido pela direo da organizao.
Investir em tecnologia muito importante para se aplicar
as regras de segurana e monitorar seu cumprimento, identifcar
as ameaas e riscos, mas se as pessoas no forem devidamente
conscientizadas no entendimento da poltica de segurana e na res-
ponsabilidade de suas aes e da importncia da sua participao,
teremos a um alto nvel de insatisfao e situaes de risco.
Uma poltica de segurana dever especifcar formal e clara-
mente as regras a serem seguidas pelas pessoas para acessarem os
recursos e as informaes da empresa.
A alta direo das empresas em sua maioria se esquece de
que, no basta criar as regras e imp-las aos seus usurios. A cul-
tura de segurana todo um aprendizado que deve ser adquirido e
este conhecimento deve ser repassado pela empresa aos seus usu-
rios para que os mesmos tenham comportamentos seguros.
Os incidentes de segurana ocorrem em diversos nveis dentro
de uma organizao e para cada nvel (estratgico, ttico, opera-
cional) o tratamento tem que ser apropriado.
Atitudes como:
- Abusos no uso de correio eletrnico;
- Abuso de redes sociais;
- A ameaa de engenharia social;
- Propriedade intelectual;
- Vazamento de informaes atravs de mdias, e-mail, pen-
-drives;
- Vazamento e compartilhamento de senhas;
- Descuido com o crach/carto/documentos da empresa.
So alguns dos fatores geradores de problemas com a segu-
rana da informao.
O usurio principal responsvel para manuteno da segu-
rana da informao, assim a organizao deve cuidar de forma
adequada de seus recursos humanos. A conscientizao e o treina-
mento dos usurios um fator importante para disseminar a cultu-
ra de proteo da informao.
Alis, extremamente importante a realizao de conscientiza-
o do usurio quanto ao uso e defnio da senha, a seguir so
apresentados alguns cuidados que devem ser tomados:
1. Trocar imediatamente a senha padro fornecida pelo admi-
nistrador na criao do login de acesso;
2. No utilizar senhas curtas, recomenda-se a utilizao de no
mnimo oito caracteres, contendo letras, nmeros e caracteres es-
peciais;
3. No utilizar senhas com palavras que possam ser encontra-
das em dicionrios.
4. No utilizar datas de nascimento, nomes de pessoas, nomes
de times ou outras informaes que estejam ligadas a voc ou
organizao;
5. No utilizar nmeros de telefones, nmeros de documentos
ou letras e nmeros de placas de automveis.
GESTO DE RISCOS DE SEGURANA DA INFORMA-
O E COMUNICAES
Os sistemas informatizados no so cem por cento seguros.
A era digital, diminuiu as distncias, medida que os dados co-
mearam a trafegar atravs de cabos de linhas telefnicas, pos-
teriormente por cabos de fbra ptica e satlites. Isso possibilitou
estreitar as fronteiras, no s para facilitar as transaes e a comu-
nicao, como tambm, abriu brechas para que os crimes virtuais,
como furto de senhas e nmeros de cartes de crdito e a espiona-
gem em geral pudessem acontecer. possvel diminuir os riscos
de falhas e ataques aos sistemas informatizados, porm, por mais
que se invista em segurana, sempre haver a ameaa dos ataques,
j que a maior parte deles causada por pessoas com inteno de
obter algum benefcio de forma ilcita.
Por essa razo, todas as pessoas envolvidas com a empresa
devem estar sempre alerta quanto necessidade de segurana, do
porteiro, que tem a funo de barrar a entrada de uma pessoa no
autorizada, ao administrador da rede, que tem o dever de zelar para
que no ocorram invases rede de computadores da empresa,
passando, claro por todos os funcionrios que tambm devem ser
cuidadosos ao acessar sites na Internet, realizar operaes banc-
rias, compras, ou mesmo enviar uma simples mensagem de e-mail.
O Administrador da rede (pessoa responsvel pelo gerencia-
mento da rede local da empresa), ir tambm administrar os usu-
rios, impedindo acessos a determinados sites, evitando anexos
e-mails, downloads no autorizados, etc, j que a grande maioria
das invases dentro das empresas, ocorrem porque procedimentos
bsicos de segurana no foram seguidos na ntegra.
13
Os projetos de aplicao de medidas de proteo e segurana
em uma organizao, devem levar em considerao a avaliao
de riscos, a poltica de segurana, os controles de segurana e o
monitoramento.
No mbito jurdico, a questo da segurana da informao
est ainda engatinhando, j que as formas de punio contra esses
crimes ainda dependem de aprovao de leis mais efcazes. Porm,
existem normas que tratam do assunto, sendo uma delas o Decreto
n 3.505, de 13 de junho de 2000, e h um trabalho das autorida-
des governamentais, no sentido de aprovar leis contra os diversos
crimes digitais.
O Decreto n 3.505, de 13 de junho de 2000, trata em seu art.
1, de dispor sobre a Poltica de Segurana da Informao:
Art. 1. Fica instituda a Poltica de Segurana da Informao
nos rgos e nas entidades da Administrao Pblica Federal, que
tem como pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pes-
soas, inviolabilidade da sua intimidade e ao sigilo da correspon-
dncia e das comunicaes, nos termos previstos na Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informa-
o, com o domnio de tecnologias sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade
de segurana da informao;
VI - capacitao cientfco-tecnolgica do Pas para uso da
criptografa na segurana e defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Adminis-
trao Pblica Federal sobre a importncia das informaes pro-
cessadas e sobre o risco da sua vulnerabilidade.
Alguns conceitos so dispostos em seu art. 2:
I. Certifcado de Conformidade: garantia formal de que um
produto ou servio, devidamente identifcado, est em conformi-
dade com uma norma legal;
II. Segurana da Informao: proteo dos sistemas de infor-
mao contra a negao de servio a usurios autorizados, assim
como contra a intruso, e a modifcao desautorizada de dados
ou informaes, armazenados, em processamento ou em trnsito,
abrangendo, inclusive, a segurana dos recursos humanos, da do-
cumentao e do material, das reas e instalaes das comunica-
es e computacional, assim como as destinadas a prevenir, detec-
tar, deter e documentar eventuais ameaas a seu desenvolvimento.
O art. 3, inciso I, dispe sobre os princpios bsicos de Segu-
rana da Informao.
Art. 3. So objetivos da Poltica da Informao:
I. dotar os rgos e as entidades da Administrao Pblica Fe-
deral de instrumentos jurdicos, normativos e organizacionais que
os capacitem cientfca, tecnolgica e administrativamente a asse-
gurar a confdencialidade, a integridade, a autenticidade, o no-
-repdio e a disponibilidade dos dados e das informaes tratadas,
classifcadas e sensveis;
Princpios da Segurana da Informao
A informao o bem mais importante para as pessoas e para
as organizaes, antigamente essa informao fcava armazenada
em um ambiente pequeno e controlado, hoje as informaes so
processadas e armazenadas em um complexo ambiente tecnolgi-
co e os dados esto disponveis para todos os colaboradores da or-
ganizao, precisando ser protegida e gerenciada adequadamente.
So princpios que regem a segurana da informao, em
acordo com o artigo 3 do Decreto n 3.505, de 13 de junho de
2000: confdencialidade, autenticidade, disponibilidade, integrida-
de e no-repdio. So 5 (cinco), os princpios e para fcar mais
fcil memorizar os princpios, coloquei-os nesta ordem e criei a
sigla CADIN (confdencialidade, autenticidade, disponibilidade,
integridade e no-repdio).
1. Confdencialidade - atributo que defne que a informao
deve ser acessada somente pelas pessoas autorizadas pelo proprie-
trio da informao. Garantia do acesso autorizado a informaes,
de acordo com o nvel de proteo;
2. Autenticidade garantia de que o dado ou informao
verdadeiro e fdedigno tanto na origem quanto no destino;
3. Disponibilidade atributo que defne que a informao
deve estar disponvel e integra quando solicitada pelas pessoas
autorizadas pelo proprietrio da informao. Mantendo a disponi-
bilidade garantida a prestao contnua do servio, ou seja, sem
interrupes no fornecimento de informaes para os que tm di-
reito a ela.
4. Integridade atributo que defne que a informao quan-
do acessada esteja completa e com suas caractersticas originais
defnidas pelo proprietrio da informao. Garantia de que as in-
formaes e mtodos de processamento somente sejam alterados
mediante autorizao prvia. Proteo contra modifcaes no
autorizadas;
5. No-repdio - garantia que o emissor da mensagem no ir
negar posteriormente a autoria da mensagem ou transao, permi-
tindo a sua identifcao.
Outros conceitos:
Plano de Contingncia descreve as aes que uma orga-
nizao deve tomar para assegurar a continuidade dos processos
crticos em caso de falhas nos sistemas, incluindo a ativao de
processos manuais, duplicidade de recursos e acionamento de for-
necedores;
Poltica de Segurana da Informao tem o propsito de
elaborar critrios para o adequado manuseio, armazenamento,
transporte e descarte das informaes atravs do desenvolvimento
de Diretrizes, Normas, Procedimentos e Instrues destinadas res-
pectivamente aos nveis estratgico, ttico e operacional;
Medidas de proteo medidas destinadas a garantir o sigilo,
a inviolabilidade, a integridade, a autenticidade, a legitimidade e
a disponibilidade de dados e informaes com o objetivo de pre-
venir, detectar, anular ou registrar ameaas reais ou potenciais a
dados e informaes;
Rede de dados - conexo de dois ou mais computadores, liga-
dos entre si atravs de um protocolo de comunicao (ou conjunto
de protocolos) como, por exemplo, o TCP/IP, permitindo a troca de
informaes e o compartilhamento de recursos;
TCP/IP (Transmission Control Protocol/Internet Protocol)
- conjunto de padres de comunicao em uma rede de dados (In-
ternet, intranet, etc) que orienta o trfego de informaes e defne
o endereamento e o envio de dados;
Termo de responsabilidade - acordo de confdencialidade
e no divulgao de informaes que atribui responsabilidades
ao Colaborador e Administrador de Servio quanto ao sigilo e a
correta utilizao dos ativos de propriedade ou custodiados pela
ANEEL.
Acesso privilegiado - aquele que permite ao Colaborador
sobrepor controles do sistema de informao, e somente deve ser
concedido queles que o necessitam para a conduo de suas ati-
vidades;
14
Administrador de Servios - Colaborador que possui acesso
privilegiado para a utilizao e disponibilizao, por fora de suas
funes, de recursos restritos de Tecnologia da Informao;
Ativo - tudo que manipula a informao (inclusive ela prpria).
So exemplos de ativos associados com sistemas de informao:
base de dados e arquivos, documentao do sistema, manuais, ma-
terial de treinamento, procedimentos de suporte ou operao, pla-
nos de continuidade, procedimentos de recuperao, informaes
armazenadas, softwares, sistemas, ferramentas de desenvolvimen-
to e utilitrios, estaes de trabalho, servidores, equipamentos de
comunicao (roteadores, fax, modens etc.), nobreaks e outros;
Colaborador - agente pblico em exerccio na ANEEL po-
dendo ser titular de cargo efetivo ou em comisso, contratado por
tempo determinado ou prestador de servio terceirizado;
A proteo dos ativos de extrema importncia para a so-
brevivncia da organizao e muitas vezes essa proteo no
realizada de forma adequada ou com o investimento necessrio.
As organizaes devem tratar a segurana da informao para pre-
veno e no somente aps ocorrer algum desastre. A seguir so
apresentadas as principais ameaas que os ativos esto expostos e
os mecanismos de defesas que devem ser aplicadas no ambiente
computacional da organizao.
AMEAAS MAIS COMUNS NO AMBIENTE DIGITAL
A ameaa causa potencial de um incidente indesejado, que
pode resultar em dano a um sistema ou para a organizao. Po-
dendo ser caracterizado como ameaa natural, onde condies cli-
mticas tais como, incndios e inundaes, podem causar danos
nos ativos. J a ameaa intencional, causada de forma dolosa, ou
seja, com a inteno de provocar um prejuzo, como por exemplo,
fraudes eletrnicas e sabotagem. Por fm, a ameaa involuntria
pode ser causa por aes inconscientes ou ingnuas do usurio, um
exemplo a engenharia social. Vamos acompanhar a seguir
Usurio
Usurios desatentos e sem o treinamento adequado para utili-
zao de sistemas, so considerados uma das principais ameaas
segurana da informao das organizaes. O usurio a pessoa
que inicia qualquer procedimento ou processo e, portanto, tem o
poder de deciso para clicar, autorizar, aceitar, executar ou sim-
plesmente ignorar o que, em uma frao de segundo, pode repre-
sentar um risco.
A organizao deve cuidar do seu recurso humano atravs de
programas de conscientizao e treinamento de todos os usurios
em segurana da informao. O usurio deve ser considerado um
fator crtico para o sucesso no processo de proteo da informao.
importante que os usurios mais antigos orientem os mais novos
quanto segurana da informao, pelo exemplo dos colegas, che-
fa e principalmente da direo que o novo colaborador vai con-
siderar e se comportar quanto s regras da organizao no processo
de segurana da informao.
O acesso informao deve ser restrito e somente os usu-
rios que necessitam aquela informao deve ter acesso mesma,
no adianta a organizao possuir a melhor soluo de controle de
acesso lgico, se o usurio emprestar a sua senha para outro que
no tinha acesso quela informao. A facilidade de uso pelo usu-
rio deve ser levada em conta, os controles necessrios devem ser
implementados, mas no podem engessar o processo de negcio.
Intrusos
Uma das ameaas segurana a do intruso, so pessoas de
dentro ou fora da organizao com a inteno de promover ataques
aos sistemas de forma benigna, somente para explorar a rede e
ver o que tem dentro dela, ou de forma maligna, para realizar mo-
difcaes no autorizadas nos dados ou interromper os sistemas.
Existem trs tipos de intrusos:
- Mascarado: Uma pessoa que no tem autorizao para usar
os recursos, mas que penetra nos controles de acesso de um sis-
tema para explorar a conta de um usurio legtimo, geralmente
algum externo da organizao.
- Infrator: Um usurio legtimo da organizao, mas que aces-
sa dados, sistemas ou recursos dos quais no tem autorizao ou
tendo autorizao, faz mau uso de seus privilgios.
- Usurio clandestino: Uma pessoa que se apropria do contro-
le de administrador do sistema e utiliza tal controle para escapar
de auditorias e controles de acesso, pode ser de dentro ou de fora
da organizao.
Ataques fsicos
Roubos de informaes importantes da organizao so rea-
lizados atravs de ataques fsicos, onde equipamentos, ftas mag-
nticas, CDs, DVDs e pen-drives so retirados da organizao
ou roubados de funcionrios para posterior anlise. Assim se faz
necessrio observar normas que tratam da segurana fsica e do
ambiente com o objetivo de propor diretrizes para preveno do
acesso fsico no autorizado, danos e interferncias nas instalaes
e informaes.
Devem ser tomadas medidas para impedir perdas, danos, fur-
to ou comprometimento de ativos e interrupo das atividades da
organizao. O acesso fsico deve ser protegido com a criao de
um permetro de segurana fsica, incluindo controles de entrada
fsica, segurana nos escritrios, salas e instalaes, proteo con-
tra ameaas externas e do meio ambiente e acesso do publico, rea
de entrega e carregamento.
Hackers
So indivduos que cultivam tcnicas avanadas em inform-
tica, com o objetivo de invadir computadores e redes. O objetivo
do Hacker no destruir, mas sim deixar sua marca. Mas o termo
hacker ainda mais divulgado do que o termo cracker que vere-
mos a seguir.
Crackers
Estes, sim, so perigosos. Geralmente a mdia confunde os
termos hacker e cracker. O cracker invade os sistemas a fm de
destruir, ou de levar vantagens, atravs do furto de dados sigilosos,
senhas bancrias, nmeros de cartes de crdito, etc. Os crimes
virtuais so realizados, na sua maioria, por crackers.
Tipos de ataques de hackers mais comuns
Os tipos de ataques hackers mais comuns so o DoS, DDoS e
o Spoofng, embora existam muitos outros.
1 DoS (Denial of Service): Ataque de negao de servio
uma tentativa em tornar os recursos de um sistema indispon-
veis para seus utilizadores. Alvos tpicos so servidores web, e o
ataque tenta tornar as pginas hospedadas indisponveis. No se
trata de uma invaso do sistema, mas sim da sua invalidao por
sobrecarga. A mquina que inundada por um volume enorme
de pacotes, ocasionando um extremo congestionamento da rede e
resultando na paralizao dos servios oferecidos por ela.
15
2 DdoS (Distributed Denial of Service): Ataque distribu-
do de negao de servio. Um computador mestre distribui tarefas
de ataque de negao de servio a um grande nmero de mqui-
nas denominadas zumbis. O ataque consiste em fazer com que os
Zumbis (mquinas infectadas e sob comando do Mestre) se pre-
parem para acessar um determinado recurso em um determinado
servidor em uma mesma hora de uma mesma data.
Todos os zumbis (ligados e conectados rede) acessaro ao
mesmo recurso do mesmo servidor. Como servidores web pos-
suem um nmero limitado de usurios que pode atender simulta-
neamente o grande e repentino nmero de requisies de acesso
esgota esse nmero de acessos, fazendo com que o servidor no
seja capaz de atender a mais nenhum pedido. O servidor ento,
fcar travado.
3 Spoofng: O spoofng consiste em falsifcar o endereo de
um email apresentando um remetente falso. Dentro de uma rede,
um computador realizando um ataque spoofng pode no ser de-
tectado, por se tratar de uma mquina dentro da prpria rede, rea-
lizando um ataque. Neste caso, o IP da mquina pode ser alterado
pelo hacker, a fm de que se camufe o verdadeiro n IP.
Engenharia Social
A Engeharia social explora a falta de conhecimento tcnico
em segurana pessoas ou de funcionrios de determinada empresa,
que, quando no possuem treinamento em segurana, podem ser
facilmente manipulados. A tcnica consiste em obter acesso a in-
formaes importantes ou sigilosas em sistemas atravs do uso da
fraude, onde o golpista pode assumir outra identidade, fngir que
outro funcionrio da mesma empresa e a pessoa enganada na
sua boa-f. uma maneira de burlar a segurana de sistemas em
empresas.
Uma maneira de se prevenir contra este ataque estar sempre
alerta e desconfar quando algum por meio digital, ou at mesmo
por telefone, pedir informaes pessoais dos funcionrios ou orga-
nizacionais da empresa, como nmeros de IP, nmeros de cartes
de crdito, dados pessoais dos funcionrios, etc.
Malwares
Cdigo malicioso ou Malware (Malicious Software) um
termo utilizado que caracteriza os programas desenvolvidos para
executar aes maliciosas, com o intuito de danifcar ou roubar
informaes de um computador. Um software legal que contenha
falha de programao (intencional ou no) e execute aes ilcitas
tambm considerado como malware. A seguir so apresentados
os diversos tipos de malwares.
O vrus um programa de computador que contm comandos
maliciosos, para simplesmente perturbar o usurio at causar s-
rios dados, alterando ou destruindo programas ou arquivos do dis-
co. O vrus se propaga inserindo cpias de si mesmo ao se deslo-
car. Depende da ao do usurio, ou seja, a execuo do programa
ou arquivo hospedeiro na disseminao do vrus realizada pelo
usurio. Alguns tipos de vrus so: vrus de boot, vrus de execut-
vel, vrus de macro, vrus de e-mail e vrus de telefone celular que
se propagam atravs da tecnologia bluetooth.
Worm (verme)
O worm (verme) um programa ou fragmento de programa
que propagam cpias de si mesmo a outros computadores atravs
de conexes de rede e no precisam da ao do usurio. Um worm
busca outras estaes para infectar e cada computador infectado
vai servir de base de lanamento para automaticamente atacar ou-
tras mquinas. Na replicao o worm utiliza, por exemplo, recur-
sos de e-mail, enviando cpias de si mesmo para outros usurios
ou sistemas. Tambm tem a capacidade de execuo remota e de
login remoto, podendo realizar acesso remoto a um sistema e de-
pois executar comandos para se propagar.
Bot
O bot um programa capaz de se propagar automaticamente
pela rede, explorando as vulnerabilidades ou falhas de confgu-
rao dos sistemas, diferentemente do worm, o bot capaz de se
comunicar remotamente com o atacante. O bot e o atacante se co-
nectam a um servidor Internet Relay Chat (IRC) e entram numa
determinada sala, onde so enviadas mensagens contendo uma
seqncia especial de caracteres que interpretada e executada
pelo bot residente no computador invadido. Um conjunto de com-
putadores infectados com bots cria uma rede chamada de botnets,
utilizadas para o envio de milhares de phishing scam e disparar
ataques de negao de servio.
Cavalo de tria
Cavalo de tria (trojan horse) um programa ou procedimen-
to de comando aparentemente til, que executa as funes as quais
foi criado, mas contm cdigo oculto que realiza funes malicio-
sas, indesejadas e sem o consentimento do usurio. So utilizados,
por exemplo, para disseminao de backdoor, instalao de keylo-
ggers ou screenlogers e a destruio de dados.
Um backdoor (porta dos fundos) ou trapdoor (alapo) um
programa instalado indevidamente e que deixam a porta aberta
para futuros acessos remotos do atacante. Inicialmente os progra-
madores utilizavam os backdoors para disparar e testar seus pro-
gramas, mas se tornou uma ameaa quando hackers comearam a
utiliz-lo para invadir os sistemas. Geralmente o computador rece-
be o backdoor atravs de um cavalo de tria e disparado quando
reconhece um sequncia especial de entrada ou executado por
um determinado ID de usurio.
Keyloggers
Keyloggers so programas que realizam a captura e arma-
zenamento das teclas digitadas pelo usurio em um sistema. Na
maioria dos casos, a ativao do keyloggers acontece com a ati-
vao do usurio e esse tipo de malware possui mecanismos que
enviam automaticamente as informaes colhidas para o atacante.
Com o aperfeioamento desse malware surgiram os screenloggers,
que so programas que capturam e armazenam a posio do cursor
e a tela apresentada no monitor e a regio que circunda a posio
onde o mouse clicado.
Adware
O adware (Advertising software) um software com a funo
exclusiva de apresentar propaganda, sendo atravs do navegador
do usurio ou de outros softwares, tais como o MSN Messenger.
Muitas organizaes tm utilizado o adware de forma licita para
patrocnio, principalmente em projetos ou servios gratuitos. A uti-
lizao de forma ilcita acontece quando o adware tem a funo de
monitorao dos hbitos de navegao do usurio para envio de
propagandas mais especifcas.
Spyware
O spyware um programa utilizado para realizar o monito-
ramento das atividades realizadas pelo sistema e enviar as infor-
maes coletadas para o atacante. Da mesma forma que o adware,
existem os spywares que so utilizados de forma licita, como por
exemplo, para a monitorao das atividades dos usurios de uma
determinada organizao. Por outro lado, o spyware muito utili-
zado para ativar o keyloggers ou screenloggers quando identifca
que o usurio est acessando um site de banco.
16
Rootkits
Os rootkits so programas instalados no computador da vtima
e projetados para fcarem ocultos dentro do sistema para esconder
as atividades e informaes do invasor. Os rootkits podem ter as
mais variadas funcionalidades, tais como: backdoors, sniffers que
so programas que capturam informaes que trafegam pela rede,
keyloogers entre outros.
Port Scanning e Scanning de vulnerabilidades
No ataque conhecido como port scanning ou varredura de por-
ta realizado o mapeamento das portas abertas e dos servios que
esto ativos no host. Existem outros tipos de varreduras, como por
exemplo, a varredura de frewall onde so verifcas as portas fl-
tradas pelo frewall e a varredura ICMP (Internet Control Message
Protocol) - protocolo que realiza o intercmbio de pacotes de con-
trole entre um roteador e um host ou entre hosts e objetiva detectar
se o host est ativo.
DECRETO N 7.845, DE 14 DE NOVEMBRO DE 2012
Regulamenta procedimentos para credenciamento de segu-
rana e tratamento de informao classifcada em qualquer grau
de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento.
A PRESIDENTA DA REPBLICA, no uso das atribuies
que lhe confere o art. 84, caput, incisos IV e VI, alnea a, da
Constituio, e tendo em vista o disposto nos arts. 25, 27, 29, 35,
5
o
, e 37 da Lei n
o
12.527, de 18 de novembro de 2011,
DECRETA:
CAPTULO I
DISPOSIES GERAIS
Art. 1
o
Este Decreto regulamenta procedimentos para o cre-
denciamento de segurana e tratamento de informao classifcada
em qualquer grau de sigilo no mbito do Poder Executivo federal,
e dispe sobre o Ncleo de Segurana e Credenciamento, confor-
me o disposto nos arts. 25, 27, 29, 35, 5, e 37 da Lei n 12.527,
de 18 de novembro de 2011.
Art. 2
o
Para os efeitos deste Decreto, considera-se:
I - algoritmo de Estado - funo matemtica utilizada na cifra-
o e na decifrao, desenvolvido pelo Estado, para uso exclusivo
em interesse do servio de rgos ou entidades do Poder Executivo
federal;
II - cifrao - ato de cifrar mediante uso de algoritmo simtri-
co ou assimtrico, com recurso criptogrfco, para substituir sinais
de linguagem clara por outros ininteligveis por pessoas no auto-
rizadas a conhec-la;
III - cdigo de indexao - cdigo alfanumrico que indexa
documento com informao classifcada em qualquer grau de si-
gilo;
IV - comprometimento - perda de segurana resultante do
acesso no autorizado;
V - contrato sigiloso - ajuste, convnio ou termo de coopera-
o cujo objeto ou execuo implique tratamento de informao
classifcada;
VI - credencial de segurana - certifcado que autoriza pessoa
para o tratamento de informao classifcada;
VII - credenciamento de segurana - processo utilizado para
habilitar rgo ou entidade pblica ou privada, e para credenciar
pessoa para o tratamento de informao classifcada;
VIII - decifrao - ato de decifrar mediante uso de algoritmo
simtrico ou assimtrico, com recurso criptogrfco, para reverter
processo de cifrao original;
IX - dispositivos mveis - equipamentos portteis dotados de
capacidade computacional ou dispositivos removveis de memria
para armazenamento;
X - gestor de segurana e credenciamento - responsvel pela
segurana da informao classifcada em qualquer grau de sigilo
no rgo de registro e posto de controle;
XI - marcao - aposio de marca que indica o grau de sigilo
da informao classifcada;
XII - medidas de segurana - medidas destinadas a garantir si-
gilo, inviolabilidade, integridade, autenticidade e disponibilidade
da informao classifcada em qualquer grau de sigilo;
XIII - rgo de registro nvel 1 - ministrio ou rgo de nvel
equivalente habilitado pelo Ncleo de Segurana e Credenciamen-
to;
XIV - rgo de registro nvel 2 - rgo ou entidade pblica
vinculada a rgo de registro nvel 1 e por este habilitado;
XV - posto de controle - unidade de rgo ou entidade pblica
ou privada, habilitada, responsvel pelo armazenamento de infor-
mao classifcada em qualquer grau de sigilo;
XVI - quebra de segurana - ao ou omisso que implica
comprometimento ou risco de comprometimento de informao
classifcada em qualquer grau de sigilo;
XVII - recurso criptogrfco - sistema, programa, processo,
equipamento isolado ou em rede que utiliza algoritmo simtrico ou
assimtrico para realizar cifrao ou decifrao; e
XVIII - tratamento da informao classifcada - conjunto de
aes referentes a produo, recepo, classifcao, utilizao,
acesso, reproduo, transporte, transmisso, distribuio, arqui-
vamento, armazenamento, eliminao, avaliao, destinao ou
controle de informao classifcada em qualquer grau de sigilo.
CAPTULO II
DO CREDENCIAMENTO DE SEGURANA
Seo I
Dos rgos
Art. 3
o
Compete ao Ncleo de Segurana e Credenciamen-
to, rgo central de credenciamento de segurana, institudo no
mbito do Gabinete de Segurana Institucional da Presidncia da
Repblica, nos termos do art. 37 da Lei n
o
12.527, de 2011:
I - habilitar os rgos de registro nvel 1 para o credencia-
mento de segurana de rgos e entidades pblicas e privadas, e
pessoas para o tratamento de informao classifcada;
II - habilitar postos de controle dos rgos de registro nvel 1
para armazenamento de informao classifcada em qualquer grau
de sigilo;
III - habilitar entidade privada que mantenha vnculo de qual-
quer natureza com o Gabinete de Segurana Institucional da Presi-
dncia da Repblica para o tratamento de informao classifcada;
IV - credenciar pessoa que mantenha vnculo de qualquer na-
tureza com o Gabinete de Segurana Institucional da Presidncia
da Repblica para o tratamento de informao classifcada;
V - realizar inspeo e investigao para credenciamento de
segurana necessrias execuo do previsto, respectivamente,
nos incisos III e IV do caput; e
VI - fscalizar o cumprimento das normas e procedimentos de
credenciamento de segurana e tratamento de informao classi-
fcada.
17
Art. 4
o
Fica criado o Comit Gestor de Credenciamento de
Segurana, integrado por representantes, titular e suplente, dos se-
guintes rgos:
I - Gabinete de Segurana Institucional da Presidncia da Re-
pblica, que o coordenar;
II - Casa Civil da Presidncia da Repblica;
III - Ministrio da Justia;
IV - Ministrio das Relaes Exteriores;
V - Ministrio da Defesa;
VI - Ministrio da Cincia, Tecnologia e Inovao;
VII - Ministrio do Planejamento, Oramento e Gesto; e
VIII - Controladoria-Geral da Unio.
1
o
Os membros titulares e suplentes sero indicados pelos
dirigentes mximos dos rgos representados, e designados pelo
Ministro de Estado Chefe do Gabinete de Segurana Institucional
da Presidncia da Repblica.
2
o
A participao no Comit ser considerada prestao de
servio pblico relevante, no remunerada.
3
o
Podero ser convidados para as reunies do Comit repre-
sentantes de rgos e entidades pblicas e privadas, ou especialis-
tas, para emitir pareceres e fornecer informaes.
Art. 5
o
Compete ao Comit Gestor de Credenciamento de Se-
gurana:
I - propor diretrizes gerais de credenciamento de segurana
para tratamento de informao classifcada;
II - defnir parmetros e requisitos mnimos para:
a) qualifcao tcnica de rgos e entidades pblicas e pri-
vadas, para credenciamento de segurana, nos termos dos arts. 10
e 11; e
b) concesso de credencial de segurana para pessoas, nos ter-
mos do art. 12; e
III - avaliar periodicamente o cumprimento do disposto neste
Decreto.
Art. 6
o
Compete ao Gabinete de Segurana Institucional da
Presidncia da Repblica:
I - expedir atos complementares e estabelecer procedimentos
para o credenciamento de segurana e para o tratamento de infor-
mao classifcada;
II - participar de negociaes de tratados, acordos ou atos in-
ternacionais relacionados com o tratamento de informao classi-
fcada, em articulao com o Ministrio das Relaes Exteriores;
III - acompanhar averiguaes e processos de avaliao e re-
cuperao dos danos decorrentes de quebra de segurana;
IV - informar sobre eventuais danos referidos no inciso III
do caput ao pas ou organizao internacional de origem, sempre
que necessrio, pela via diplomtica; e
V - assessorar o Presidente da Repblica nos assuntos rela-
cionados com credenciamento de segurana para o tratamento
de informao classifcada, inclusive no que se refere a tratados,
acordos ou atos internacionais, observadas as competncias do
Ministrio das Relaes Exteriores.
Pargrafo nico. O Gabinete de Segurana Institucional da
Presidncia da Repblica exercer as funes de autoridade na-
cional de segurana para tratamento de informao classifcada
decorrente de tratados, acordos ou atos internacionais.
Art. 7
o
Compete ao rgo de registro nvel 1:
I - habilitar rgo de registro nvel 2 para credenciar pessoa
II - habilitar posto de controle dos rgos e entidades pblicas
ou privadas que com ele mantenham vnculo de qualquer nature-
za, para o armazenamento de informao classifcada em qualquer
grau de sigilo;
III - credenciar pessoa que com ele mantenha vnculo de qual-
quer natureza para o tratamento de informao classifcada;
IV- realizar inspeo e investigao para credenciamento de
segurana necessrias execuo do previsto no inciso III do ca-
put; e
V - fscalizar o cumprimento das normas e procedimentos de
credenciamento de segurana e tratamento de informao classif-
cada, no mbito de suas competncias.
Art. 8
o
Compete ao rgo de registro nvel 2 realizar investi-
gao e credenciar pessoa que com ele mantenha vnculo de qual-
quer natureza para o tratamento de informao classifcada.
Pargrafo nico. A competncia para realizao de inspeo e
investigao de que trata o inciso IV do caput do art. 7
o
poder ser
delegada a rgo de registro nvel 2.
Art. 9
o
Compete ao posto de controle:
I - realizar o controle das credenciais de segurana das pessoas
que com ele mantenham vnculo de qualquer natureza; e
II - garantir a segurana da informao classifcada em qual-
quer grau de sigilo sob sua responsabilidade.
Seo II
Dos procedimentos
Art. 10. A habilitao dos rgos e entidades pblicas para
o credenciamento de segurana fca condicionada aos seguintes
requisitos:
I - comprovao de qualifcao tcnica necessria seguran-
a de informao classifcada em qualquer grau de sigilo; e
II - designao de gestor de segurana e credenciamento, e de
seu substituto.
Art. 11. A concesso de habilitao de entidade privada como
posto de controle fca condicionada aos seguintes requisitos:
I - regularidade fscal;
II - comprovao de qualifcao tcnica necessria seguran-
a de informao classifcada em qualquer grau de sigilo;
III - expectativa de assinatura de contrato sigiloso;
IV - designao de gestor de segurana e credenciamento, e
de seu substituto; e
V - aprovao em inspeo para habilitao de segurana.
Art. 12. A concesso de credencial de segurana a uma pessoa
fca condicionada aos seguintes requisitos:
I - solicitao do rgo ou entidade pblica ou privada em que
a pessoa exerce atividade;
II - preenchimento de formulrio com dados pessoais e auto-
rizao para investigao;
III - aptido para o tratamento da informao classifcada, ve-
rifcada na investigao; e
IV - declarao de conhecimento das normas e procedimentos
de credenciamento de segurana e de tratamento de informao
classifcada.
Art. 13. A habilitao para credenciamento de segurana e a
concesso de credencial de segurana resultaro da anlise objeti-
va dos requisitos previstos neste Decreto.
18
Art. 14. Os rgos de registro nvel 1 e nvel 2 podero frmar
ajustes, convnios ou termos de cooperao com outros rgos ou
entidades pblicas, habilitados, para:
I - credenciamento de segurana e tratamento de informao
classifcada; e
II - realizao de inspeo e investigao para credenciamento
de segurana.
Art. 15. Cada rgo de registro ter no mnimo um posto de
controle, habilitado.
Art. 16. Na hiptese de troca e tratamento de informao
classifcada em qualquer grau de sigilo com pas ou organizao
estrangeira, o credenciamento de segurana no territrio nacional
se dar somente se houver tratado, acordo, memorando de enten-
dimento ou ajuste tcnico frmado entre o pas ou organizao es-
trangeira e a Repblica Federativa do Brasil.
CAPTULO III
DO TRATAMENTO DE INFORMAO CLASSIFICADA
Seo I
Disposies Gerais
Art. 17. Os rgos e entidades adotaro providncias para que
os agentes pblicos conheam as normas e observem os procedi-
mentos de credenciamento de segurana e de tratamento de infor-
mao classifcada.
Pargrafo nico. O disposto no caput se aplica pessoa ou
entidade privada que, em razo de qualquer vnculo com o Poder
Pblico, execute atividade de credenciamento de segurana ou de
tratamento de informao classifcada.
Art. 18. O acesso, a divulgao e o tratamento de informao
classifcada fcaro restritos a pessoas com necessidade de conhe-
c-la e que sejam credenciadas na forma deste Decreto, sem preju-
zo das atribuies dos agentes pblicos autorizados na legislao.
Pargrafo nico. O acesso informao classifcada em qual-
quer grau de sigilo a pessoa no credenciada ou no autorizada
por legislao poder, excepcionalmente, ser permitido mediante
assinatura de Termo de Compromisso de Manuteno de Sigilo
- TCMS, constante do Anexo I, pelo qual a pessoa se obrigar a
manter o sigilo da informao, sob pena de responsabilidade penal,
civil e administrativa, na forma da lei.
Art. 19. A deciso de classifcao, desclassifcao, reclas-
sifcao ou reduo do prazo de sigilo de informao classifcada
em qualquer grau de sigilo observar os procedimentos previstos
nos arts. 31 e 32 do Decreto n
o
7.724 de 16 de maio de 2012, e
dever ser formalizada em deciso consubstanciada em Termo de
Classifcao de Informao.
Art. 20. A publicao de atos normativos relativos a infor-
mao classifcada em qualquer grau de sigilo ou protegida por
sigilo legal ou judicial poder limitar-se, quando necessrio, aos
seus respectivos nmeros, datas de expedio e ementas, redigidos
de modo a no comprometer o sigilo.
Seo II
Do Documento Controlado
Art. 21. Para o tratamento de documento com informao
classifcada em qualquer grau de sigilo ou prevista na legislao
como sigilosa o rgo ou entidade poder adotar os seguintes pro-
cedimentos adicionais de controle:
I - identifcao dos destinatrios em protocolo e recibo es-
pecfcos;
II - lavratura de termo de custdia e registro em protocolo
especfco;
III - lavratura anual de termo de inventrio, pelo rgo ou en-
tidade expedidor e pelo rgo ou entidade receptor; e
IV - lavratura de termo de transferncia de custdia ou guarda.
1
o
O documento previsto no caput ser denominado Docu-
mento Controlado - DC.
2
o
O termo de inventrio previsto no inciso III do caput de-
ver conter no mnimo os seguintes elementos:
I - numerao sequencial e data;
II - rgos produtor e custodiante do DC;
III - rol de documentos controlados; e
IV - local e assinatura.
3
o
O termo de transferncia previsto no inciso IV do ca-
put dever conter no mnimo os seguintes elementos:
I numerao sequencial e data;
II - agentes pblicos substituto e substitudo;
III - identifcao dos documentos ou termos de inventrio a
serem transferidos; e
IV - local e assinatura.
Art. 22. O documento ultrassecreto considerado DC desde
sua classifcao ou reclassifcao.
Seo III
Da Marcao
Art. 23. A marcao ser feita nos cabealhos e rodaps das
pginas que contiverem informao classifcada e nas capas do do-
cumento.
1
o
As pginas sero numeradas seguidamente, devendo cada
uma conter indicao do total de pginas que compe o documen-
to.
2
o
A marcao dever ser feita de modo a no prejudicar a
compreenso da informao.
Art. 24. O DC possuir a marcao de que trata o art. 23 e
conter, na capa e em todas as pginas, a expresso em diagonal
Documento Controlado (DC) e o nmero de controle, que indi-
car o agente pblico custodiante.
Art. 25. A indicao do grau de sigilo em mapas, fotocartas,
cartas, fotografas, quaisquer outros tipos de imagens e meios ele-
trnicos de armazenamento obedecer aos procedimentos comple-
mentares adotados pelos rgos e entidades.
Seo IV
Da Expedio, Tramitao e Comunicao
Art. 26. A expedio e a tramitao de documentos classifca-
dos devero observar os seguintes procedimentos:
I - sero acondicionados em envelopes duplos;
II - no envelope externo no constar indicao do grau de
sigilo ou do teor do documento;
III - no envelope interno constaro o destinatrio e o grau de
sigilo do documento, de modo a serem identifcados logo que re-
movido o envelope externo;
IV - o envelope interno ser fechado, lacrado e expedido me-
diante recibo, que indicar remetente, destinatrio e nmero ou
outro indicativo que identifque o documento; e
19
V - ser inscrita a palavra PESSOAL no envelope que con-
tiver documento de interesse exclusivo do destinatrio.
Art. 27. A expedio, a conduo e a entrega de documento
com informao classifcada em grau de sigilo ultrassecreto sero
efetuadas pessoalmente, por agente pblico autorizado, ou trans-
mitidas por meio eletrnico, desde que sejam usados recursos de
criptografa compatveis com o grau de classifcao da informa-
o, vedada sua postagem.
Art. 28. A expedio de documento com informao classif-
cada em grau de sigilo secreto ou reservado ser feita pelos meios
de comunicao disponveis, com recursos de criptografa compa-
tveis com o grau de sigilo ou, se for o caso, por via diplomtica,
sem prejuzo da entrega pessoal.
Art. 29. Cabe aos responsveis pelo recebimento do docu-
mento com informao classifcada em qualquer grau de sigilo,
independente do meio e formato:
I - registrar o recebimento do documento;
II - verifcar a integridade do meio de recebimento e registrar
indcios de violao ou de irregularidade, comunicando ao destina-
trio, que informar imediatamente ao remetente; e
III - informar ao remetente o recebimento da informao, no
prazo mais curto possvel.
1
o
Caso a tramitao ocorra por expediente ou correspon-
dncia, o envelope interno somente ser aberto pelo destinatrio,
seu representante autorizado ou autoridade hierarquicamente su-
perior.
2
o
Envelopes internos contendo a marca PESSOAL so-
mente podero ser abertos pelo destinatrio.
Art. 30. A informao classifcada em qualquer grau de sigilo
ser mantida ou arquivada em condies especiais de segurana.
1
o
Para manuteno e arquivamento de informao classif-
cada no grau de sigilo ultrassecreto e secreto obrigatrio o uso de
equipamento, ambiente ou estrutura que oferea segurana compa-
tvel com o grau de sigilo.
2
o
Para armazenamento em meio eletrnico de documento
com informao classifcada em qualquer grau de sigilo obriga-
tria a utilizao de sistemas de tecnologia da informao atuali-
zados de forma a prevenir ameaas de quebra de segurana, obser-
vado o disposto no art. 38.
3
o
As mdias para armazenamento podero estar integradas
a equipamentos conectados internet, desde que por canal seguro
e com nveis de controle de acesso adequados ao tratamento da
informao classifcada, admitindo-se tambm a conexo a redes
de computadores internas, desde que seguras e controladas.
Art. 31. Os meios eletrnicos de armazenamento de informa-
o classifcada em qualquer grau de sigilo, inclusive os disposi-
tivos mveis, devem utilizar recursos criptogrfcos adequados ao
grau de sigilo.
Art. 32. Os agentes responsveis pela guarda ou custdia de
documento controlado o transmitir a seus substitutos, devidamen-
te conferido, quando da passagem ou transferncia de responsabi-
lidade.
Pargrafo nico. Aplica-se o disposto neste artigo aos respon-
sveis pela guarda ou custdia de material de acesso restrito.
Seo V
Da Reproduo
Art. 33. A reproduo do todo ou de parte de documento com
informao classifcada em qualquer grau de sigilo ter o mesmo
grau de sigilo do documento.
1 A reproduo total ou parcial de informao classifcada
em qualquer grau de sigilo condiciona-se autorizao expressa
da autoridade classifcadora ou autoridade hierarquicamente supe-
rior com igual prerrogativa.
2
o
As cpias sero autenticadas pela autoridade classifca-
dora ou autoridade hierarquicamente superior com igual prerro-
gativa.
Art. 34. Caso a preparao, impresso ou reproduo de in-
formao classifcada em qualquer grau de sigilo for efetuada em
tipografa, impressora, ofcina grfca ou similar, essa operao
ser acompanhada por pessoa ofcialmente designada, responsvel
pela garantia do sigilo durante a confeco do documento.
Seo VI
Da Preservao e da Guarda
Art. 35. A avaliao e a seleo de documento com informa-
o desclassifcada, para fns de guarda permanente ou eliminao,
observaro o disposto na Lei n
o
8.159, de 8 de janeiro de 1991, e no
Decreto n
o
4.073, de 3 de janeiro de 2002.
Art. 36. O documento de guarda permanente que contiver
informao classifcada em qualquer grau de sigilo ser encami-
nhado, em caso de desclassifcao, ao Arquivo Nacional ou ao
arquivo permanente do rgo pblico, da entidade pblica ou da
instituio de carter pblico, para fns de organizao, preserva-
o e acesso.
Art. 37. O documento de guarda permanente no pode ser
desfgurado ou destrudo, sob pena de responsabilidade penal, civil
e administrativa, na forma da lei.
Seo VII
Dos Sistemas de Informao
Art. 38. No tratamento da informao classifcada devero
ser utilizados sistemas de informao e canais de comunicao se-
guros que atendam aos padres mnimos de qualidade e segurana
defnidos pelo Poder Executivo federal.
1
o
A transmisso de informao classifcada em qualquer
grau de sigilo por meio de sistemas de informao dever ser re-
alizada, no mbito da rede corporativa, por meio de canal seguro,
como forma de mitigar o risco de quebra de segurana.
2 A autenticidade da identidade do usurio da rede dever
ser garantida, no mnimo, pelo uso de certifcado digital.
3 Os sistemas de informao de que trata o caput devero
ter nveis diversos de controle de acesso e utilizar recursos cripto-
grfcos adequados aos graus de sigilo.
4
o
Os sistemas de informao de que trata o caput devero
manter controle e registro dos acessos autorizados e no-autoriza-
dos e das transaes realizadas por prazo igual ou superior ao de
restrio de acesso informao.
20
Art. 39. Os equipamentos e sistemas utilizados para a produ-
o de documento com informao classifcada em qualquer grau
de sigilo devero estar isolados ou ligados a canais de comunica-
o seguros, que estejam fsica ou logicamente isolados de qual-
quer outro, e que possuam recursos criptogrfcos e de segurana
adequados sua proteo.
Art. 40. A cifrao e a decifrao de informao classifcada
em qualquer grau de sigilo devero utilizar recurso criptogrfco
baseado em algoritmo de Estado.
Pargrafo nico. Compete ao Gabinete de Segurana Institu-
cional da Presidncia da Repblica estabelecer parmetros e pa-
dres para os recursos criptogrfcos baseados em algoritmo de
Estado, ouvido o Comit Gestor de Segurana da Informao pre-
visto no art. 6
o
do Decreto n
o
3.505, de 13 de junho de 2000.
Art. 41. Os procedimentos de tratamento de informao clas-
sifcada em qualquer grau de sigilo aplicam-se aos recursos cripto-
grfcos, atendidas as seguintes exigncias:
I - realizao de vistorias peridicas, com a fnalidade de asse-
gurar a execuo das operaes criptogrfcas;
II - manuteno de inventrios completos e atualizados do
material de criptografa existente;
III - designao de sistemas criptogrfcos adequados a cada
destinatrio;
IV - comunicao, ao superior hierrquico ou autoridade
competente, de anormalidade relativa ao sigilo, inviolabilidade,
integridade, autenticidade, legitimidade e disponibilidade
de informaes criptografadas; e
V - identifcao de indcios de violao, de interceptao ou
de irregularidades na transmisso ou recebimento de informaes
criptografadas.
Seo VIII
Das reas, Instalaes e Materiais
Art. 42. As reas e instalaes que contenham documento
com informao classifcada em qualquer grau de sigilo, ou que,
por sua utilizao ou fnalidade, demandarem proteo, tero seu
acesso restrito s pessoas autorizadas pelo rgo ou entidade.
Art. 43. Os rgos e entidades pblicas adotaro medidas
para defnio, demarcao, sinalizao, segurana e autorizao
de acesso s reas restritas sob sua responsabilidade.
Pargrafo nico. As visitas a reas ou instalaes de acesso
restrito sero disciplinadas pelo rgo ou entidade responsvel
pela sua segurana.
Art. 44. Os materiais que, por sua utilizao ou fnalidade,
demandarem proteo, tero acesso restrito s pessoas autorizadas
pelo rgo ou entidade.
Art. 45. So considerados materiais de acesso restrito qual-
quer matria, produto, substncia ou sistema que contenha, utilize
ou veicule conhecimento ou informao classifcada em qualquer
grau de sigilo, informao econmica ou informao cientfco-
-tecnolgica cuja divulgao implique risco ou dano aos interesses
da sociedade e do Estado, tais como:
I - equipamentos, mquinas, modelos, moldes, maquetes, pro-
ttipos, artefatos, aparelhos, dispositivos, instrumentos, represen-
taes cartogrfcas, sistemas, suprimentos e manuais de instruo;
II - veculos terrestres, aquavirios e areos, suas partes, peas
e componentes;
III - armamentos e seus acessrios, as munies e os apare-
lhos, equipamentos, suprimentos e insumos correlatos;
IV - aparelhos, equipamentos, suprimentos e programas rela-
cionados a tecnologia da informao e comunicaes, inclusive
inteligncia de sinais e imagens;
V - recursos criptogrfcos; e
VI - explosivos, lquidos e gases.
Art. 46. Os rgos ou entidades pblicas encarregadas da pre-
parao de planos, pesquisas e trabalhos de aperfeioamento ou de
elaborao de projeto, prova, produo, aquisio, armazenagem
ou emprego de material de acesso restrito expediro instrues adi-
cionais necessrias salvaguarda dos assuntos a eles relacionados.
Art. 47. O meio de transporte utilizado para deslocamento de
material de acesso restrito de responsabilidade do custodiante e
dever considerar o grau de sigilo das informaes.
1 O material de acesso restrito poder ser transportado por
empresas contratadas, adotadas as medidas necessrias manuten-
o do sigilo das informaes.
2 As medidas necessrias para a segurana do material
transportado sero prvia e explicitamente estabelecidas em con-
trato.
Seo IX
Da Celebrao de Contratos Sigilosos
Art. 48. A celebrao de contrato, convnio, acordo, ajuste,
termo de cooperao ou protocolo de inteno cujo objeto conte-
nha informao classifcada em qualquer grau de sigilo, ou cuja
execuo envolva informao classifcada, condicionada assi-
natura de TCMS e ao estabelecimento de clusulas contratuais que
prevejam os seguintes requisitos:
I - obrigao de manter sigilo relativo ao objeto e a sua exe-
cuo;
II - possibilidade de alterao do objeto para incluso ou alte-
rao de clusula de segurana no estipulada previamente;
III - obrigao de adotar procedimentos de segurana adequa-
dos, no mbito das atividades sob seu controle, para a manuteno
do sigilo relativo ao objeto;
IV - identifcao, para fns de concesso de credencial de se-
gurana e assinatura do TCMS, das pessoas que podero ter acesso
a informao classifcada em qualquer grau de sigilo e material de
acesso restrito;
V - obrigao de receber inspees para habilitao de segu-
rana e sua manuteno; e
VI - responsabilidade em relao aos procedimentos de segu-
rana, relativa subcontratao, no todo ou em parte.
Art. 49. Aos rgos e entidades pblicas com que os con-
tratantes mantm vnculo de qualquer natureza caber adotar pro-
cedimentos de segurana da informao classifcada em qualquer
grau de sigilo ou do material de acesso restrito em poder dos con-
tratados ou subcontratados.
CAPTULO IV
DA INDEXAO DE DOCUMENTO COM INFORMAO
CLASSIFICADA
Art. 50. A informao classifcada em qualquer grau de sigilo
ou o documento que a contenha receber o Cdigo de Indexao
de Documento que contm Informao Classifcada - CIDIC.
21
Pargrafo nico. O CIDIC ser composto por elementos que
garantiro a proteo e a restrio temporria de acesso informa-
o classifcada, e ser estruturado em duas partes.

Art. 51. A primeira parte do CIDIC ser composta pelo N-
mero nico de Protocolo -NUP, originalmente cadastrado confor-
me legislao de gesto documental.
1
o
A informao classifcada em qualquer grau de sigilo
ou o documento que a contenha, quando de sua desclassifcao,
manter apenas o NUP.
2
o
No sero usadas tabelas de classifcao de assunto ou
de natureza do documento, em razo de exigncia de restrio tem-
porria de acesso informao classifcada em qualquer grau de
sigilo, sob pena de pr em risco sua proteo e confdencialidade.

Art. 52. A segunda parte do CIDIC ser composta dos se-
guintes elementos:
I - grau de sigilo: indicao do grau de sigilo, ultrassecreto
(U), secreto (S) ou reservado (R), com as iniciais na cor vermelha,
quando possvel;
II - categorias: indicao, com dois dgitos, da categoria rela-
tiva, exclusivamente, ao primeiro nvel do Vocabulrio Controlado
do Governo Eletrnico (VCGE), conforme Anexo II;
III - data de produo da informao classifcada: registro
da data de produo da informao classifcada, de acordo com
a seguinte composio: dia (dois dgitos)/ms (dois dgitos)/ano
(quatro dgitos);
IV - data de desclassifcao da informao classifcada em
qualquer grau de sigilo: registro da potencial data de desclassifca-
o da informao classifcada, efetuado no ato da classifcao,
de acordo com a seguinte composio: dia (dois dgitos)/ms (dois
dgitos)/ano (quatro dgitos);
V - indicao de reclassifcao: indicao de ocorrncia ou
no, S (sim) ou N (no), de reclassifcao da informao classi-
fcada, respectivamente, conforme as seguintes situaes:
a) reclassifcao da informao resultante de reavaliao; ou
b) primeiro registro da classifcao; e
VI - indicao da data de prorrogao da manuteno da clas-
sifcao: indicao, exclusivamente, para informao classifcada
no grau de sigilo ultrassecreto, de acordo com a seguinte compo-
sio: dia (dois dgitos)/ms (dois dgitos)/ano (quatro dgitos), na
cor vermelha, quando possvel.
Art. 53. Para fns de gesto documental, dever ser guardado
o histrico das alteraes do CIDIC.
CAPTULO V
DISPOSIES FINAIS E TRANSITRIAS
Art. 54. A implementao do CIDIC dever ser consolidada
at 1
o
de junho de 2013.
Pargrafo nico. Enquanto no implementado o CIDIC, o Ter-
mo de Classifcao de Informao ser preenchido com o NUP.
Art. 55. O documento com informao classifcada em qual-
quer grau de sigilo, produzido antes da vigncia da Lei n
o
12.527,
de 2011, receber o CIDIC para fns do disposto no art. 45 do De-
creto n 7.724, de 16 de maio de 2012.
Art. 56. Os rgos e entidades devero adotar os recursos
criptogrfcos baseados em algoritmo de Estado no prazo de um
ano a contar da defnio dos parmetros e padres de que trata o
pargrafo nico do art. 40.
Pargrafo nico. At o trmino do prazo previsto no ca-
put, compete ao Gabinete de Segurana Institucional da Presidn-
cia da Repblica acompanhar e prestar apoio tcnico aos rgos
e entidades quanto implementao dos recursos criptogrfcos
baseados em algoritmo de Estado.
Art. 57. Os rgos e entidades podero expedir instrues
complementares, no mbito de suas competncias, que detalharo
os procedimentos relativos ao credenciamento de segurana e ao
tratamento de informao classifcada em qualquer grau de sigilo.
Art. 58. O Regimento Interno da Comisso Mista de Reava-
liao da Informao detalhar os procedimentos de segurana ne-
cessrios para a salvaguarda de informao classifcada em qual-
quer grau de sigilo durante os seus trabalhos e os de sua Secretaria-
-Executiva, observado o disposto neste Decreto.
Art. 59. Este Decreto entra em vigor na data de sua publica-
o.
Art. 60. Ficam revogados:
I - o Decreto n
o
4.553, de 27 de dezembro de 2002; e
II - o Decreto n
o
5.301, de 9 de dezembro de 2004.
Braslia, 14 de novembro de 2012; 191 da Independncia e
124 da Repblica.
DILMA ROUSSEFF
Mrcia Pelegrini
Celso Luiz Nunes Amorim
Miriam Belchior
Marco Antonio Raupp
Jos Elito Carvalho Siqueira
Lus Incio Lucena Adams
Jorge Hage Sobrinho
Este texto no substitui o publicado no DOU de 16.11.2012
ANEXO I
TERMO DE COMPROMISSO DE MANUTENO DE SIGI-
LO - TCMS
[Qualifcao: nome, nacionalidade, CPF, identidade (n
o
, data
e local de expedio), fliao e endereo], perante o(a) [rgo ou
entidade], declaro ter cincia inequvoca da legislao sobre o tra-
tamento de informao classifcada cuja divulgao possa causar
risco ou dano segurana da sociedade ou do Estado, e me com-
prometo a guardar o sigilo necessrio, nos termos da Lei n 12.527,
de 18 de novembro de 2011, e a:
a) tratar as informaes classifcadas em qualquer grau de si-
gilo ou os materiais de acesso restrito que me forem fornecidos
pelo(a) [rgo ou entidade] e preservar o seu sigilo, de acordo com
a legislao vigente;
b) preservar o contedo das informaes classifcadas em
qualquer grau de sigilo, ou dos materiais de acesso restrito, sem
divulg-lo a terceiros;
c) no praticar quaisquer atos que possam afetar o sigilo ou
a integridade das informaes classifcadas em qualquer grau de
sigilo, ou dos materiais de acesso restrito; e
d) no copiar ou reproduzir, por qualquer meio ou modo: (i)
informaes classifcadas em qualquer grau de sigilo; (ii) infor-
maes relativas aos materiais de acesso restrito do (da) [rgo ou
entidade], salvo autorizao da autoridade competente.
Declaro que [recebi] [tive acesso] ao () [documento ou mate-
rial entregue ou exibido ao signatrio], e por estar de acordo com
o presente Termo, o assino na presena das testemunhas abaixo
identifcadas.
[Local, data e assinatura]
[Duas testemunhas identifcadas]
22
ANEXO II
CDIGO DE INDEXAO DE DOCUMENTO
QUE CONTM INFORMAO CLASSIFICADA - CIDIC -
CATEGORIAS
CATEGORIAS
CDIGO
NUMRICO
Agricultura, extrativismo e pesca 01
Cincia, Informao e Comunicao 02
Comrcio, Servios e Turismo 03
Cultura, Lazer e Esporte 04
Defesa e Segurana 05
Economia e Finanas 06
Educao 07
Governo e Poltica 08
Habitao, Saneamento e Urbanismo 09
Indstria 10
Justia e Legislao 11
Meio ambiente 12
Pessoa, famlia e sociedade 13
Relaes internacionais 14
Sade 15
Trabalho 16
Transportes e trnsito 17
Obs.:
1. Categorias: representam os aspectos ou temas correlaciona-
dos informao classifcada em grau de sigilo, e sero indicadas
pela Autoridade Classifcadora. Para tanto dever ser usado, exclu-
sivamente, o primeiro nvel do Vocabulrio Controlado do Gover-
no Eletrnico (VCGE), defnidos no Padro de Interoperabilidade
do Governo Eletrnico (e-Ping), conforme quadro acima.
2. Composio no CIDIC: 2 dgitos = cdigo numrico
Exerccios.
1. Considerando os ensinamentos sobre Noes de gerencia-
mento de riscos operacionais aplicados segurana, analise as
afrmativas a seguir:
I. Probabilidade: o grau de possibilidade de que um evento
ocorra.
II. Ameaas: qualquer evento que no faz parte da operao
normal de um servio e que pode causar, ou causa, uma interrup-
o do servio ou uma reduo de sua qualidade.
III. Problema: causa desconhecida de um ou mais incidentes.
Est correto o que consta:
a) apenas em I e II.
b) apenas em II e III.
c) apenas em I e III.
d) todas as afrmativas.
2. Acerca do gerenciamento de crises, correto afrmar que os
permetros de segurana geralmente so divididos em trs etapas,
sendo estas:
a) EXTERNO, INTERMEDIRIO e INTERNO.
b) INTERNACIONAL, INTERMEDIRIO e INTERNO.
c) EXTERNO, ITINERRIO e INTERNO.
d) INTERNACIONAL, ITINERRIO e INTERNO.
3. incorreto afrmar:
a) A inteligncia competitiva objetiva agregar valor infor-
mao, fortalecendo seu carter estratgico, catalisando, assim, o
processo de crescimento organizacional.
b) No necessrio na inteligncia competitiva ter o mapea-
mento e a prospeco de dados, informaes e conhecimento pro-
duzidos internamente e externamente organizao.
c) Os dados, informaes e conhecimento prospectados sobre
empresas, produtos, mercados, materiais, processos, meio ambien-
te, tecnologia, pessoas, poltica, economia, fnanas, comrcio etc.,
tm a fnalidade de dar maior segurana s direes perseguidas
pela organizao.
d) A abordagem de contra-inteligncia auxilia o processo de
inteligncia na medida em que assegura que as informaes que
esto sendo coletadas, analisadas e reportadas no so na verdade
desinformaes criadas para despistar a empresa.
4. Visando zelar pela proteo da informao recomenda-se
aos usurios quando da criao de suas senhas de acesso:
a) No utilizar senhas curtas, recomenda-se a utilizao de no
mnimo vinte caracteres, contendo letras, nmeros, sinais e carac-
teres especiais.
b) No utilizar senhas com palavras que possam ser encontra-
das em dicionrios.
c) No utilizar nmeros de telefones, nmeros de documentos
ou letras e nmeros de placas de automveis.
d) No utilizar datas de nascimento, nomes de pessoas, nomes
de times ou outras informaes que estejam ligadas a voc ou
organizao.
5. Segundo ensinamentos constantes no Decreto n 7.845, de
14 de novembro de 2012, analise as assertivas a seguir:
I - cifrao - ato de cifrar mediante uso de algoritmo simtrico
ou assimtrico, com recurso criptogrfco, para substituir sinais de
linguagem clara por outros ininteligveis por pessoas no autoriza-
das a conhec-la;
II - cdigo de indexao - perda de segurana resultante do
acesso no autorizado;
III - contrato sigiloso - ajuste, convnio ou termo de coope-
rao cujo objeto ou execuo implique tratamento de informao
classifcada;
IV - credencial de segurana - certifcado que autoriza pessoa
Est CORRETO o que se afrma:
a) apenas em I, II e IV.
b) apenas em II, III e IV.
c) apenas em I, III e IV.
d) em todas as assertivas.
GABARITO:
1 C
2 A
3 B
4 A
5 C

7 - Gest o de Riscos Continuidade de Neg Cios e Intelig Ncia PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

7 - Gest o de Riscos Continuidade de Neg Cios e Intelig Ncia PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

GESTO DE RISCOS,

Anda mungkin juga menyukai