Claudete Aurora Da Silva

CLAUDETE AURORA DA SILVA
GESTO DA SEGURANA DA INFORMAO: um

olhar a partir da Cincia da Informao
CAMPINAS
2009
PONTIFCIA UNIVERSIDADE CATLICA DE CAMPINAS

CENTRO DE CINCIAS HUMANAS E SOCIAIS APLICADAS
PROGRAMA DE PS-GRADUAO EM CINCIA DA INFORMAO
CLAUDETE AURORA DA SILVA
GESTO DA SEGURANA DA INFORMAO: um

olhar a partir da Cincia da Informao
Dissertao apresentada ao Programa de PsGraduao em Cincia da Informao da

Pontifcia Universidade Catlica, como parte dos
requisitos para obteno do ttulo de Mestre em
Cincia da Informao.
Orientador: Prof Dra. Vera Silva Maro
Beraquet
CAMPINAS
2009
Ficha Catalogrfica
Elaborada pelo Sistema de Bibliotecas e
Informao SBI PUC-Campinas
S750g
Silva, Claudete Aurora

Gesto da segurana da informao: um olhar a partir da Cincia
da Informao / Claudete Aurora da Silva Campinas, So Paulo,
2008. 99 f.
Orientadora: Dr. Prof Vera Silva Maro Beraquet.
Dissertao (Mestrado) Pontifcia Universidade Catlica de
Campinas, Centro de Cincias Sociais Aplicadas, Ps-Graduao em
Cincia da Informao.
Inclui bibliografia.
1. Segurana da informao. 2. Sistema de informao. 3. Sistema de gesto de

segurana da informao.
CDD 22.ed. CDD 171
As minhas filhas Giovanna e Manuella, razo

da minha vida.
AGRADECIMENTOS
A CAPES pelo incentivo dado atravs da concesso de bolsa de estudo.

Aos professores do Programa de Ps-graduao em Cincia da Informao da
Pontifcia Universidade Catlica de Campinas, sem excees pelo estmulo e
aprendizado.
professora Dr. Vera Maro Beraquet pela dedicao empreendida na orientao e
soube compreender minhas limitaes, me incentivando durante o desenvolvimento
deste trabalho.
minha me que, sem ela no teria conseguido chegar at o final dessa
empreitada. As minhas irms Clia, Cleia, Carmen Lcia e Cleide que me ajudaram
sempre na minha educao e por no desistirem de mim.
Aos amigos conquistados ao longo do curso, especialmente ao Joo Pontes,
Gardnia e Cludia Barbosa pela contribuio dos artigos e ajuda nesse trabalho.
Agradeo ao amigo e companheiro Marcelo Gomes que compreendeu a minha
ausncia na execuo deste projeto.
Agradecimento especial ao meu amigo Francisco Lopes de Aguiar pelo carinho,
apoio e amizade ao longo dos anos e por me incentivar a fazer esse curso e pela
discusso muito enriquecedora para meu conhecimento.
Agradeo a todos os colegas da Ituran principalmente os estagirios do CEIDOC, os
que esto e os que passaram pelo departamento e acompanharam essa jornada,
em especial os estagirios de biblioteconomia Eva Niccio e Williamis Francisco,
que responderam pelo departamento na minha ausncia e que acompanharam e
incentivaram o termino desse projeto. Ao meu Diretor Doron Feller que compreendeu
e reconheceu a importncia desse curso para minha carreira profissional.
Aos meus colegas da MBA em Gesto de Segurana da informao da FIAP que me
ajudaram com esclarecimento da rea.
Agradeo a todos que deram apoio, sorrisos, abraos, momentos de compreenso,
pacincia, ouvidos, livros, artigos, cuidados e alegrias.
A Deus por me dar coragem a no desanimar e conseguir tornar realidade mais esse
sonho.
RESUMO
SILVA, Claudete Aurora. Gesto da segurana da informao: um olhar a partir da
Cincia da Informao. Campinas: [s.n.], 2009. Dissertao (Mestrado) Pontifcia
Universidade Catlica de Campinas. Ps-Graduao em Cincia da Informao.
A informao tem sido apontada como a principal fonte de poder nas organizaes
e, portanto faz necessrio ser protegida. Para isso NBR ISO/ IEC 27001 define
diretrizes para implementao de um Sistema de Gesto de Segurana da
Informao, sujo o objetivo salvaguardar os ativos da organizao, garantir a
continuidade dos negcios e propiciar confianas nas partes interessadas.
objetivo deste estudo foi caracterizar os aspectos terico-metodolgicos utilizada no

tratamento da informao pode ajudar na implementao de um sistema de gesto
de segurana da informao necessria. Os mtodos utilizados para essa pesquisa
foram qualitativos, partindo-se de um levantamento bibliogrfico visando contribuir
com a fundamentao terica sobre o tema e leituras de obras para fundamentao
da pesquisa. A partir da discusso dos conceitos, pretendeu-se explicitar como a
gesto da informao na perspectiva da cincia da informao pode fornecer
elementos para propor o sistema de gesto de segurana da Informao. Como
principal resultado um modelo conceitual de sistema de informao que seja eficaz
ao apoiar os gestores no processo de implementao do SGSI.
Palavras-chave: segurana da informao, sistema de informao, sistema de

gesto de segurana da informao
ABSTRACT
SILVA, Claudete Aurora. Information security management: a look from the
Information Science. Campinas: [s.n.], 2009. Dissertao (Mestrado) - Pontifcia
Universidade Catlica de Campinas. Graduate Studies in Information Science
The information has been identified as the main source of power in organizations and
therefore is necessary to be protected. For that NBR ISO/ IEC 27001 defines
guidelines for implementation of a Management System of Information Security, dirty
the objective is to safeguard the assets of the organization, ensuring continuity of
business and provide confidence in stakeholders. This study aimed to characterize
the theoretical and methodological aspects used in the processing of information can
help in implementing a safety management system the necessary information. The
methods used for this research was qualitative, based on a literature review to
contribute to the theoretical foundation on the topic and readings of works for
reasons of research. From the discussion of concepts, tried to explain how the
management of information in view of information science can provide evidence to
suggest the safety management system of information. As the main result is a
conceptual model of information system that is effective to support the managers in
the implementation process of SGSI.
Keywords: information security, information system, management system of
information security
.
LISTA DE ILUSTRAES
FIGURAS
Figura 1 Grfico da pesquisa
23
Figura 2 Diagrama de Segurana da Informao
26
Figura 3 Impactos dos incidentes de segurana
30
Figura 4 Fatores econmicos de produo
38
Figura 5 A informao compartilhvel
39
Figura 6 O valor da informao aumenta com o uso
39
Figura 7 O valor da informao aumenta com a preciso
40
Figura 8 A recuperao da Informao
59
Figura 9 Equao fundamental da Cincia da Informao
63
LISTA DE ABREVIATURAS
ABNT
Associao de Normas tcnicas
CI
Cincia da Informao
GI
Gesto da Informao
SI
Segurana da Informao
SGSI
Sistema de Gesto de Segurana da Informao
TI
Tecnologia da Informao
SUMRIO
1 INTRODUO ...................................................................................................14
1.1
JUSTIFICATIVAS DO ESTUDO .............................................................................16
1.2
Hiptese ........................................................................................................18
1.3
Delimitao do estudo ...................................................................................19
1.4
Objetivos .......................................................................................................19
1.5
Procedimentos metodolgicos ......................................................................20
1.6
Estrutura do trabalho .....................................................................................21
2 SEGURANA DA INFORMAO ..............................................................22

2.1
Norma ISO para segurana da Informao...................................................27
2.2
Vulnerabilidade e ameaas ...........................................................................29
2.3
Confidencialidade, Integridade e Disponibilidade..........................................32
2.4
Ativos de Informao.....................................................................................36
2.5
Classificao e controle de ativos de Informao ........................................41
2.6
Poltica de Segurana de Informao............................................................44
3 SISTEMA DE GESTO DA SEGURANA DA INFORMAO..........48

3.1
ADMINISTRAO DO AMBIENTE DE SEGURANA .................................................50
3.2
Anlise crtica do SGSI .................................................................................52
3.3
Seleo e Controles ......................................................................................53
4 GESTO DA INFORMAO .......................................................................55

5 CONTRIBUIO DA CI PARA O SGSI ................................................................64
5.1
CINCIA DA INFORMAO
NO CONTEXTO SOCIAL ...............................................64
5.1.2 INFORMAO E CONHECIMENTO ........................................................................69

5.1.3 RECUPERAO DA INFORMAO ........................................................................73
5.1.4 ORGANIZAO E REPRESENTAO DA INFORMAO ..........................................80
5.1.5 ATRIBUIES DA REA DE GESTO DA INFORMAO ..........................................81
5.2 ATRIBUIES DA REA DA SEGURANA DA INFORMAO ........................................84
5.3 CONTRIBUIES DA GI PARA SGSI .......................................................................87
6 CONSIDERAES .........................................................................................95
REFERNCIAS ....................................................................................................99
14
1 INTRODUO
medida que as organizaes crescem e se tornam mais complexas,
ocorre um aumento da necessidade da importncia da informao. A informao
passa a ser no somente til em nvel operacional, mas tambm em nvel ttico e
estratgico. Nesse contexto, no apenas o contedo da informao relevante, mas
a forma como a informao trabalhada ganha importncia. A eficcia no
tratamento da informao depende de grande parte de como ela administrada e do
bom entendimento de alguns conceitos e relaes, sob pena de fornecer ao usurio
apenas dados desconexos, comprometendo o processo decisrio.
Foram
grandes
as
transformaes
ocorridas
no
sculo
XX,
principalmente no que se refere aos aspectos tecnolgicos: podemos destacar a

inveno do computador e conseqentemente a oferta no mercado desses produtos,
tornando clara a importncia da informao e do conhecimento na sociedade.
A informao tornou-se algo imprescindvel para o sucesso de qualquer
organizao com a crescente e constante evoluo de diferentes tecnologias, tais
como: negcios e comrcio eletrnicos, telecomunicaes e computao, e a prpria
Internet; ou seja, a quantidade de informaes disponveis tem aumentado.
Lyman (2001) estima que a quantidade de informao

disponvel duplique de dois em dois anos. Em 2003 foi estimado que a
quantidade de informaes armazenadas nos computadores, impressa e
gravada em suportes ticos e digitais atingiu cerca de oito exabytes, o
equivalente a um gigabyte por cada habitante do planeta.
Robredo (2004, p.43) afirma que apesar da tecnologia oferecer
solues para organizar grandes volumes de documentos, a organizao da
informao neles contida um problema. Para este autor preciso aprofundar e
aprimorar os processos de anlise da informao e representao da informao
para alcanar maior sucesso na recuperao.
As informaes disponveis nas organizaes que so armazenadas
so manipuladas entre os mais diversos setores e sistemas de informao. As
15
decises e aes so tomadas decorrentes destas informaes que devem ser

corretas, precisas e estarem disponveis.
Com todo o avano tecnolgico que se delineou nas ltimas dcadas,
as organizaes tambm vm sendo foradas a pensarem no s na aquisio e
utilizao desses recursos informacionais, mas tambm em como proteg-los.
No entanto, para que haja o reconhecimento da informao enquanto
um ativo social e econmico, faz-se necessria a implementao e gesto de
controles nos processos de produo, acesso e uso da informao.
Atualmente a informao pode ser considerada como um dos principais
patrimnios de uma empresa, o qual est sob constante risco (DIAS, 2000).
Entende-se que uma organizao corre risco quando suas vulnerabilidades esto
sendo exploradas. Para evitar este risco, uma organizao deve ter mecanismos
capazes de identificar seus pontos vulnerveis. No se trata apenas de conhecer
algumas ferramentas e tcnicas. necessrio ter uma metodologia para orientar as
aes a serem tomadas usando recursos, tcnicas e ferramentas necessrias.
Desse modo necessrio o controle, normalizao e consistncia da
informao mediada pelo controle dos processos e o tratamento da informao para
assegurar os pilares da Segurana da Informao (SI), que so integridade,
confidencialidade e disponibilidade.
As prticas de SI baseiam-se no instrumental terico-metodolgico
para implementao de um sistema de gesto de segurana da informao. A NBR
ISO/ IEC 27001 foi desenvolvida para prover um modelo para estabelecer,
implementar, operar, monitorar, analisar, criticamente, manter e melhorar um
Sistema de Gesto de Segurana da Informao (SGSI).
O SGSI o resultado da aplicao planejada de objetivos, diretrizes,
polticas, procedimentos, modelos e outras medidas administrativas que de forma
conjunta, definem como so reduzidos os riscos para SI. Uma empresa que implante
a NBR ISO/ IEC 27001 acaba por constituir um SGSI.
A Gesto da Informao vem se concentrando em uma metodologia
nas questes de coerncia, redundncia e qualidade de informao por via de meios
automticos. Estas facilidades tm de garantir um equilbrio entre os meios
colocados ao dispor para assegurar a rastreabilidade (quem fez o qu, e quando) e
16
auditabilidade (o que foi feito) tendo em ateno s questes de privacidade (quem

acede ao qu) e confidencialidade (o que obtido de quem). Este equilbrio,
regulado por polticas internas, por questes de tica e cada vez mais sujeito a
normas e regulamentaes diversas impostas por meios legais.
Diante do enunciado acima, acredita-se ser vital o desenvolvimento de
pesquisas que busquem compreender e aproximar o corpus terico e metodolgico
que norteiam a GI e a importncia da aplicao atravs das principais medidas
utilizando o campo da CI para auxiliar os processos de controle do SGSI.
1.1 Justificativas do estudo

O presente trabalho tornou-se justificvel pelos seguintes motivos:
Ordem pessoal
Graduada em Biblioteconomia e atuando com gesto de informao e
arquivos em empresas h mais de seis anos, recebi um convite, em 2007, para
assumir a funo Chief Security Office (CSO), em uma empresa multinacional
israelense. No incio fiquei um tanto perplexa, mas aceitei o desafio. Atuando nessa
funo, tive a necessidade de buscar conhecimento e aprimorar minhas habilidades
no tratamento da informao para implementar polticas e dispositivos de segurana.
Com isso pude perceber a utilizao da SI como uma poderosa ferramenta de
competitividade e como diferencial estratgico para as organizaes.
Esta pesquisa foi de grande enriquecimento pessoal e profissional,
uma vez que tive a oportunidade de aliar meus conhecimentos tcnicos a uma
abordagem aos princpios do SGSI.
Ordem Institucional
Esta pesquisa contribuir para a melhor concepo de alunos e
professores da rea de CI sobre o tema de SI e apresent-la como controle e
processo e no somente como software e hardware na proteo da informao.
Destaca-se tambm que a literatura existente sobre segurana da
informao refere-se em grande parte a uma concentrao de pesquisadores
oriundos da cincia da computao, sistemas da informao e engenharia de
17
produo. Diante desse quadro, entendeu-se como bastante relevante a

investigao desse tema sob a tica da Cincia da Informao.
Ordem terica
No processo de sistematizao desse estudo foi enfatizada a rea da
CI sob a linha de pesquisa Gesto da Informao no mbito da Organizao e
Tratamento da Informao como recurso para melhor compreenso dos processos
de implementao de um SGSI.
Para compreenso da importncia da informao no contexto da SI e a
necessidade de mecanismos de SI, nos pautamos nas orientaes tericoconceituais e metodolgicas da CI, visto que esta investiga as propriedades e o
comportamento da informao, seu fluxo e os meios de process-la para otimizar a
sua acessibilidade.
importante ressaltar que a produo de conhecimentos sobre o
desenvolvimento, aplicao e uso do SGSI no campo da CI ainda pouco
expressivo, em termos acadmicos. No Brasil a questo legitimada com
pioneirismo nas discusses empreendidas pelas reas da Tecnologia da Informao
(TI).
Ordem prtica
Trabalhos produzidos na linha desta dissertao podem ser de grande
relevncia no sentido de apresentar argumentos que venham a ajudar gestores a
trabalharem com sistema de informao voltado para as melhores prticas de SI,
ajudando seu posicionamento estratgico devido ao conhecimento das normas e
padres que garantam os servios corporativos, bem como para continuidade dos
negcios da empresa.
18
1.2 Hiptese
A reviso da literatura e a observao emprica da autora mostraram
que o SGSI muitas vezes implementado e estruturado somente no ambiente
lgico, isto , as prticas usuais privilegiam os seus aspectos tcnicos e
tecnolgicos, tais como implementao de ferramentas de monitorao de diversas
atividades dos usurios e firewall.
Considerando o fato de que, cada vez mais as organizaes
manipulam grandes volumes de informaes, dados e conhecimentos no mbito
formal e informal, h necessidade de dotar mecanismos e recursos tecnolgicos
baseados nas premissas da organizao, tratamento e representao, recuperao
da informao para garantir uma abordagem sistmica de um SGSI.
Nesse sentido Davenport (2000, p.12) alerta que no basta somente
investimentos em recursos tecnolgicos para se fazer a gesto da informao,
necessrio implementar uma abordagem sistmica dos processos de produo,
comunicao e uso da informao, enfatizando principalmente as questes em torno
da organizao e tratamento da informao.
Davenport (2000, p.14), prope uma abordagem denominada de
ecologia da informao para o gerenciamento da informao. Enfatiza a maneira
como as pessoas criam, distribuem, compreendem e usam a informao. O autor
complementa esta orientao ao afirmar que:
a informao no facilmente arquivada em computadores e no
constituda apenas de dados;
quanto mais complexo o modelo de informao, menor ser sua
utilidade;
a informao pode ter muitos significados em uma organizao;
a tecnologia apenas um dos componentes do ambiente de
informao e freqentemente no se apresenta como meio adequado
para operar mudanas.
19
Considera-se inicialmente como hiptese que os princpios da GI na

perspectiva da CI podem contribuir significativamente ao indicar uma abordagem
sistmica dos processos; enfatizando as especificidades de controle (organizao e
tratamento), acesso e uso (representao e recuperao) na concepo de um
SGSI.
1.3 Delimitao do estudo

Salienta-se que a rea desta pesquisa consistiu na Gesto da
Informao, dentro da perspectiva da Cincia da Informao, incluindo sua interface
com a rea de Segurana da Informao.
Dessa forma no se abrangeu aspectos especficos de tecnologia
como Software e Hardware de sistemas de informao, assim como consideraes
relativas sua implementao.
Sobre a SI, foi utilizada uma abordagem que permite conhecer seus
conceitos bsicos e as definies amplamente utilizadas, bem como utilizando as
normas NBR ISO/ IEC 27001 SGSI requisitos e a NBR ISO/ IEC 27002 cdigo de
prticas como referncia principal.
1.4 Objetivos
Esta pesquisa buscou examinar a concepo de um SGSI atravs de
dispositivos metodolgicos no contexto da Gesto da Informao (GI) na perspectiva
da Cincia da Informao (CI), utilizando o tratamento da informao no seu ciclo de
vida, ou seja, no contexto de coleta, organizao, armazenamento, recuperao e
disseminao. Parte dos esforos realizados pelos sistemas de informao
assegurar o fluxo de informao de modo a servir os profissionais e parceiros de
uma organizao e a sustentar a operacionalizao do seu negcio.
Caracterizar os princpios bsicos dos controles de segurana do
tratamento da informao, da classificao e controles dos ativos de informao
enquanto componentes de um SGSI, proposto pela NBR ISO/ IEC 27001;
20
1.5 Procedimentos metodolgicos

Toda pesquisa cientfica caracterizada pelo uso de um mtodo. Na
opinio de Marconi e Lakatos (2000), o mtodo constitui-se como um conjunto de
atividades sistemticas e racionais, que d maior segurana e economia para
alcanar os objetivos, delineando o caminho a ser seguido, detectando erros e
auxiliando as decises do pesquisador.
O mtodo que norteia esta pesquisa o indutivo. Induo um
processo mental por intermdio do qual, partindo de dados particulares,
suficientemente constatados, infere-se uma verdade geral ou universal, no contida
nas partes examinadas (MARCONI; LAKATOS, 2000, p.53). Dessa forma, sero
buscados na literatura, dados que tragam respostas hiptese estabelecida.
De acordo com Richardson et al. (1999), o presente trabalho possui
tambm uma caracterstica qualitativa, que uma forma adequada para entender a
natureza de um fenmeno social. Para o autor, os estudos que empregam esta
metodologia qualitativa podem descrever a complexidade do problema em questo,
analisando a interao de certas variveis. Para Serapioni (2000, p.27), o mtodo
qualitativo se aplica s reas com pouco conhecimento terico ou conceitual ou s
pesquisas que no possuem hipteses formuladas ou precisas. Nesses casos, este
mtodo ajuda a compreender no apenas ao objeto de estudo, mas tambm a
constru-lo a partir de novos aspectos e sob novas perspectivas.
Alm disso, de acordo com Gil (1991), esta pesquisa exploratria,
pois tem o objetivo principal de aprimorar idias, considerando os mais variados
aspectos relativos ao fato a ser estudado, e que envolve levantamento bibliogrfico e
anlise de cenrios relacionados a fim de estimular a sua compreenso.
A abordagem metodolgica escolhida para esse estudo foi exploratria,
partindo-se de um levantamento bibliogrfico na qual efetua um levantamento de
teses,
dissertaes
trabalhos
existentes
nas
universidades
brasileiras,
particularmente os desenvolvidos nas reas da CI, computao e administrao.

Procede-se, tambm, s pesquisas em livros, revistas especializadas e
na rede mundial de computadores internet para afirmar os conceitos sobre SI na CI.
21
Alm da pesquisa bibliogrfica, considera tambm a experincia profissional do

autor deste trabalho na rea de SI, o que proporcionou oportunidade nica de
perceber, dentre outros fatores a importncia de se fazer GI levando em
considerao os princpios da SI e a importncia da terminologia e linguagens dessa
especialidade.
1.7 Estrutura do trabalho
Esta pesquisa est estruturada da seguinte forma: o primeiro captulo

compreende a introduo do trabalho, contextualizando-o e apresentando a
justificativa, hiptese, problema, delimitao do estudo, objetivos e os procedimentos
metodolgicos adotados.
No segundo, terceiro e quarto captulo foi feita uma reviso de literatura
acerca dos conceitos de Segurana da Informao, Sistema de Gesto da
Segurana da Informao e Gesto da Informao, que so a base deste trabalho.
O quinto captulo apresenta a anlise das informaes obtidas na
reviso de literatura. Por ltimo, o sexto captulo traa as consideraes finais,
seguido das Referncias utilizadas.
22
2 SEGURANA DA INFORMAO
A preocupao com a SI sempre existiu na humanidade. Estudos
mostraram que alguns monumentos construdos por Khnumhote, arquiteto do fara
Amenemhet II, foram documentados e tiveram trechos dessas documentaes
codificados atravs da substituio de palavras ou trechos do texto escrito em
tabletes de argila. Caso esse tablete fosse roubado, o ladro no encontraria o
caminho que o levaria ao tesouro morreria de fome, perdido nas catacumbas da
pirmide. (KAHN, 1967).
Diversos algoritmos de compactao foram desenvolvidos desde a
Segunda guerra mundial devido necessidade de comunicao entre as tropas.
Durante a guerra, a utilidade da compactao no era apenas a de diminuir a
quantidade de informao que era passada atravs dos rdios, mas tambm a de
esconder de alguma forma, o contedo da informao para que esta no pudesse
ser lida pelo inimigo. Isto possvel, pois um algoritmo de compactao nada mais
do que um codificador e um decodificador que aplicado a um conjunto de dados.
J nos tempos dos mainframes, as empresas no tinham somente uma
preocupao com o sigilo das informaes, mas tambm com o prprio equipamento
devido ao seu grande custo. Estes equipamentos ficavam em salas isoladas com
baixa temperatura e acesso restrito poucas pessoas. Alm da preocupao com o
ambiente fsico, as empresas tambm buscavam se assegurar que, em caso de
danos das informaes por acidentes ou defeitos nos equipamentos, tambm
pudessem recuperar as informaes perdidas. Realizavam ento, cpias das
informaes (backup) como medida de segurana, para recuperao de dados em
caso de perdas acidentais ou intencionais.
Para enfatizar a segurana de informao e os mecanismos, foi
aplicada uma pesquisa nacional de SI realizada em outubro de 2003 pela empresa
Mdulo Security Solutions S.A, conforme os resultados abaixo .
23
fraudes em e-mail
29%
uso de notebooks
31%
37%
falhas da segurana fsica

hackers
39%
fraudes, erros e acidentes
41%
vazamento de informao
47%
49%
acessos indevidos
divulgao de senha
51%
53%
funcionrio insatisfeito
66%
virus
0%
20%
40%
60%
80%
Figura 1 Grfico de pesquisa realizada pela empresa Mdulo Security Solutios S.A.1
Fonte: Menezes (2006, p.26)
Conforme CARUSO, STEFFEN (1999), a necessidade de segurana

um fato que vem transcendendo o limite da produtividade e da funcionalidade.
Enquanto a velocidade e a eficincia em todos os processos de negcios significam
uma vantagem competitiva, a falta de segurana nos meios que habilitam a
velocidade e a eficincia pode resultar em grandes prejuzos e falta de novas
oportunidades de negcios.
O conceito segurana significa no dicionrio Houaiss, um conjunto de
processos, de dispositivos, de medidas de preocupao que asseguram o sucesso
de um empreendimento, do funcionamento preciso de um objeto, do cumprimento de
algum plano etc..
No mundo informatizado, segurana significa, segundo a norma NBR
ISO/ IEC 27002, proteo da informao contra vrios tipos de ameaas, para
garantir a continuidade do negcio, minimizar o risco, maximizar o retorno sobre os
investimentos e as oportunidades para a organizao.
A partir do conceito da norma verificamos que outros autores
conceituam SI, uns com mais especificidades e outros mais generalistas, conforme
apresentamos a seguir:
1
As questes aceitavam respostas mltiplas.
24
Segundo Smola (2003, p.43), SI uma rea do conhecimento

dedicada proteo de ativos da informao contra acessos no
autorizados, alteraes indevidas ou a sua indisponibilidade.
Fontes (2006), SI o conjunto de orientaes, normas,

procedimentos, polticas e demais aes que tem por objetivo
proteger o recurso informao, possibilitando que o negcio da
organizao seja realizado e sua misso seja alcanada.
Beal (2005) define SI como processo de proteger as informaes

das ameaas, usando a preservao dos ativos, levando em conta
os trs objetivos fundamentais da SI.
Portanto, pondera nessa dissertao o conceito elucidado por Dias

(2000), que ao pensar em SI devemos ter em mente que a informao precisa ser
protegida independente do suporte onde esteja armazenada ou do canal na qual
ser transmitida ou transportada, no importando onde ela esteja (no papel, na
memria do computador, em mdia ou trafegando pela linha telefnica). Um sistema
computacional considerado seguro se houver uma garantia de que capaz de
atuar exatamente como esperado, porm, segurana um conceito que vai alm;
expectativa de todos que a informao armazenada em um sistema computacional
permanea l, sem que pessoas no autorizadas tenham acesso a seu contedo.
Podemos afirmar que a expectativa de qualquer usurio que as
informaes estejam em local adequado, disponveis no momento desejado, que
sejam confiveis, corretas e permaneam protegidas contra acessos indesejados.
A SI dividida em segurana fsica e lgica. Ainda que a estrutura da
administrao de segurana se volte mais para a segurana de acesso lgico a
segurana fsica to importante quanto.
Segundo a (NBR ISO/ IEC 27001, p13) objetivo da segurana fsica
prevenir o acesso no autorizados, dano e interferncia s informaes e
instalaes fsicas da organizao.
A segurana lgica compreende a integridade dos arquivos de dados
e os programas da empresa. A segurana fsica compreende equipamentos
25
(processadores, monitores, laptops) equipamentos de comunicao (roteadores,

PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos).
Podemos afirmar que para obter um ambiente lgico
inteiramente
seguro, faz-se necessria a aplicao dos mesmos cuidados com a segurana fsica
no que diz respeito aos equipamentos que armazenam essas informaes, pois a
segurana fsica complementa a segurana lgica.
Para Foina (2001, p. 138) o objetivo da segurana fsica preservar o
patrimnio da empresa, inclusive seus arquivos, contra roubos e sabotagem para
preveno. Garantir os controle fsicos para a preservao dos equipamentos e
instalaes para que usurios mau intencionados no
danifiquem ou destruam
equipamentos e instalaes poderia provocar a paralisao da organizao, que

prejudicaria a imagem junto ao mercado. Os problemas mais comuns relacionados
com a segurana fsica so:
Roubo
de
insumos
(fitas,
disquetes,
etc.)
partes
de
microcomputadores (memrias, discos etc);
Acesso de pessoas no autorizadas aos relatrios com dados

estratgicos da empresa, ainda dentro do setor de tecnologia de
informao;
Cpias no autorizadas dos cadastro de clientes e fornecedores com o

objetivo de vender mala direta para outras empresas;
Sabotagem em equipamentos e arquivos de dados.
Os recursos e instalaes de processamento de informaes crticas

ou sensveis do negcio devem ser mantidos em reas seguras e protegidos. Para
diminuir os problemas causados pelo acesso fsico necessrio a
adoo de
alguns controles, tais como: cartes magnticos e bloqueios de portas; considerando

que certas reas devem ter acessos limitados como a fitoteca2 de segurana e o
prprio centro de processamento.
Segundo LAROUSSE Cultural. So Paulo: Nova Cultural, 1999. p. 435. Conjunto de fitas
magnticas estocadas e organizadas para serem conservadas ou utilizadas em um centro de
processamento de dados.
26
Um sistema confivel de controle de acesso permite identificar

tentativas de quebras de segurana antes que ela se efetive. Consideram-se
ameaas fsicas: incndios, desabamentos, relmpagos, alagamento, acesso
indevido de pessoas, forma inadequada de tratamento e manuseio do material.
O reconhecimento da SI como processo que garante a proteo da
informao no ambiente fsico e lgico, s possvel com o envolvimento simultneo
dos
trs principais recursos da organizao que so pessoas, tecnologias e
processos,
Na gesto da SI, a qualidade do processo dever contemplar os trs
principais recursos da organizao, conforme a figura abaixo:
Pessoas
Processos
Proteo da informao
Tecnologia
Figura 2 Diagrama da SI.

Fonte: A autora.
Garantir a segurana da informao exige a proteo dos ativos da

informao contra a perda, furto, alterao, divulgao ou destruio indevida. Toda
organizao precisa adquirir uma viso sistmica da suas necessidades de
segurana dos recursos a serem protegidos e das ameaas a que esto sujeitas.
Enfim, utilizando um conjunto de controles que permite conhecer e gerir riscos,
orientar as aes de continuidade do negcio, nveis de responsabilidade e
conformidade com diretrizes, legislao e acordos contratuais como recomenda a
norma ISO para segurana da informao.
27
2.1 Norma ISO para segurana da informao
Conforme a ABNT a palavra ISO no uma sigla e sim um nome, que

pode ser abreviada de diversas formas, em diversos idiomas (OIN em portugus,
IOS em ingls, OIN em francs ,etc). O nome ISO derivado da palavra grega isos
que significa igual. A NBR ISO/ IEC 27001 no Brasil representado pela
Associao Brasileira de Normas Tcnicas ABNT.
A norma um conjunto de requisitos necessrios para a execuo de
um SGSI, permitindo s organizaes obterem uma certificao de segurana,
sendo um padro de excelncia que orienta a organizao de um SGSI.
Motivados pela busca de solues para o desafio de criar ambientes
seguros para a informao, diversos profissionais de vrias reas e organizaes
vem se esforando para criar normas que sistematizem o trabalho de criar
ambientes seguros, principalmente de TI. Um desses resultados foi consolidado com
a norma NBR ISO/ IEC 27002. Utilizando-se essa norma, que um guia de
melhores prticas, simplifica-se o trabalho de adoo e cumprimento de polticas e
padres definidos, bem como da posterior verificao da conformidade dos
resultados alcanados.
Um modelo de SGSI visa assegurar o implemento de processos que
garantam as operaes para proteger as informaes estratgicas aos negcios e
evitar incidentes de segurana. A medida de proteo deve ser proporcional
necessidade do negcio
Uma norma de SI apresenta mais do que vrios controles de
segurana. Ela permite a criao de um mecanismo de certificao das
organizaes semelhantes s certificaes ISO j existentes., Contudo, esta nova
certificao afirma que a organizao certificada manipula seus dados e os dos
clientes de forma segura, independente da forma como os registros esto
armazenados.
28
A preparao para a certificao representa a preocupao da empresa

em demonstrar sua capacidade em atender os controles necessrios para garantir
os requisitos de segurana sobre os ativos da informao.
Afirmar que uma organizao normatizada significa dizer que a
mesma
utiliza
os
recursos
adequados
para
garantir
disponibilidade,
confidencialidade e a integridade de suas informaes.

Com a alta direo compromissada e o treinamento eficaz dos
colaboradores, possvel reduzir o nmero de ameaas que exploram eventuais
vulnerabilidades.
A seguir, apresentamos os principais conceitos estabelecidos e as
prticas adotadas na implementao do SGSI que foram utilizadas na conduo
dessa pesquisa.
Principais elementos da norma:
1. escopo: abrangncia da norma ;
2. referncias normativas: determina que os requisitos apresentados sejam
genricos para implantao em qualquer organizao;
3. termos e definies: apresentao dos principais conceitos relacionados a
segurana da informao;
4. sistema de gesto de segurana da informao: determina que a organizao
deva desenvolver , implementar, manter e melhor continuamente o SGSI;
5. responsabilidade da alta direo: comprometimento da alta administrao
com SGSI;
6. anlise crtica da SGSI: a alta administrao deve revisar o SGSI em
intervalos planejados;
7. melhoria do SGSI: a organizao deve melhorar continuamente a efetividade
na SGSI.
A NBR ISO/ IEC 27001 prope o SGSI, que utiliza o modelo de PDCA
visando prover um modelo de gesto dentro de uma perspectiva da estratgica da
organizao. Por sua vez, a NBR ISO/ IEC 27002 um conjunto de boas prticas
que podem ser aplicadas por um SGSI.
29
Ao Implementar um modelo de SGSI em uma organizao significa

construir uma sistemtica abrangente, integrada e contnua, para minimizar ricos
associados a informao.
A NBR ISO/ IEC 27001 incorpora um processo de escalonamento de
risco e valorizao de ativos orientando quanto sua sua anlise e identificao de
riscos e a implantao de controles para minimiz-lo.
A organizao pode adotar os padres da ISO sem necessariamente
solicitar a certificao alm disso podemos verificar que a norma no traz as
ferramentas a serem adotadas e sim orienta para desenvolver mecanismos de
acordo com as suas necessidades
do negcio em relao a seus riscos
considerando os critrios bsicos da SI.
2.2 Vulnerabilidade e ameaas
Um incidente de segurana poder assim ser causado pelo ponto de

uma vulnerabilidade onde poder acontecer um ataque, ou seja, o ponto onde uma
fraqueza ou deficincia de segurana poder ser explorada.
Para Moreira (2001, p.22) a vulnerabilidade o ponto onde qualquer
sistema suscetvel a um ataque, ou seja, uma condio encontrada em
determinados recursos, processos, configuraes, etc. Condio causada muitas
vezes pela ausncia ou ineficincia das medidas de proteo utilizadas de
salvaguardar o bem da empresa.
O autor ilustra a questo das vulnerabilidades que possibilitam os
incidentes de segurana, sendo que estes afetam o negcio da empresa causando
impactos negativos para clientes e demais envolvidos.
30
Possibilita
Vulnerabilidade
Incidente de Segurana
Afeta
Clientes
Impacta
Imagem
Negcio
Negativamente
Produto
Figura 3 Impactos dos incidentes de segurana nos negcios

Fonte: Moreira (2001)
Devido inmeras vulnerabilidades em redes conectadas internet,

muitos incidentes tm marcado presena no dia-a-dia das empresas. Uma invaso
que explora uma vulnerabilidade pode ocasionar as seguintes ocorrncias:
documentos confidenciais divulgados na internet;
funcionrios divulgando material pornogrfico;
contas e senhas roubadas para posterior utilizao;
linha de comunicao grampeada e informaes sigilosas da empresa

ficam comprometidas;
servidores podem entrar em pane atravs do recebimento de vrus.
H incidentes e ameaas que comprometem as informaes e seus

ativos os que certamente acarretam graves problemas para a organizao.
Smola (2003, p.47) conceitua ameaa como sendo agentes ou condies
que causam incidentes que comprometem as informaes e seus ativos por meio de
explorao de vulnerabilidades, provocando perdas, causando impactos aos
negcios de uma organizao e classifica ameaa como:
naturais:
ameaas
decorrentes
enchentes, terremotos, entre outros;
da
natureza,
como
incndios,
31
involuntrias: ameaas inconscientes, quase sempre causadas pelo

desconhecimento. Exemplos: acidente, erros, falta de energia, entre
outros;
voluntrias: ameaas propositais causadas por agentes humanas como

hacker, invasores, disseminadores de vrus, entre outros.
A ameaa qualquer ao, acontecimento ou entidade que possa
agir sobre um ativo, processo ou pessoa, atravs de uma vulnerabilidade, gerando

um determinado impacto e para as ameaas existir precisa das vulnerabilidades
para causar os impactos.
A segurana desenvolvida a partir de um evento negativo esperado se
baseia no tempo em que se vive tal evento, ou seja, antes, durante e depois do
acontecimento. As respostas so distintas para cada momento dependendo da
segurana contemplada. A aproximao negativa implica na fase antes do evento
onde gastos so feitos para manter um estado de alerta mesmo que este evento
nunca ocorra. Esta fase pr-ativa, identificando futuras vulnerabilidades e
possveis oportunidades. Os custos so diferenciados e dependentes de cada
momento do ocorrido.
Nas aes reativas durante o evento, os gastos so feitos para conter
as perdas cujo objetivo restabelecer as condies necessrias para continuidade
dos negcios. Na aproximao de um evento negativo, o benefcio oferecido
organizao pela gesto da segurana medido com a reduo das perdas. No ato
do evento, a funo da gesto da segurana se far eficaz se permitir a organizao
melhorar seu ambiente de trabalho, a direo estratgica inclusive as funes tticas
que daro suporte as aes garantindo a capacidade do negcio.
Finalizando, uma fase mais reflexiva em que aes so planejadas e
implementadas para normalizao do ambiente no intuito de restabelecer o estado
de alerta. As estratgias em segurana sero traadas para visualizar um ambiente
em que tais perdas sejam minimizadas otimizando a utilizao dos recursos.
32
2.3 Confidencialidade, Integridade e Disponibilidade
O princpio da confidencialidade da informao tem como objetivo garantir

apenas que a pessoa correta tenha acesso a informao.
As informaes trocadas entre os indivduos e empresas nem sempre
devero se conhecidas por todos. Muitas informaes geradas pelas pessoas se
destinam a um grupo especfico de indivduos e, muitas vezes, a uma nica pessoa.
Isso significa que esses dados devero ser conhecidos apenas por um grupo
controlado de pessoas, definido pelo responsvel da informao.
Ter confidencialidade na comunicao ter a segurana de que o que foi dito
a algum ou escrito em algum lugar ser escutado ou lido por quem tiver autorizao
para tal.
Perda de confidencialidade significa perda de segredo. Se uma informao for
confidencial, ela ser secreta e dever ser guardada com segurana, e no
divulgada para pessoas no-autorizadas.
Proteger a confidencialidade um dos fatores determinantes para a
segurana e uma das tarefas mais difceis de implementar, pois envolve todos os
elementos que fazem parte da comunicao da informao, partindo do emissor,
passando pelo caminho percorrido e chegando at o receptor. Alm disso,
informaes tm diferentes graus de confidencialidade, normalmente relacionados a
valores. Quanto maior for o grau de confidencialidade, maior ser o nvel de
segurana necessrio na estrutura tecnolgica e humana que participa desse
processo: uso, acesso, trnsito e armazenamento das informaes.
Deve-se considerar a confidencialidade com base no valor que a informao
tem para a empresa ou a pessoa e os impactos causados por divulgao indevida.
Assim, deve ser acessada, lida e alterada somente por aqueles indivduos que
possuem permisso para tal. O acesso deve ser considerado com base no grau de
sigilo das informaes, pois nem todas as informaes importantes da empresa so
confidenciais.
Grau de sigilo: As informaes geradas pelas pessoas tm uma finalidade
especfica e destinam-se a um indivduo ou grupo. Portanto, elas precisam de uma
33
classificao com relao sua confidencialidade. o que chamamos de grau de

sigilo, que a graduao atribuda a cada tipo de informao com base no grupo de
usurios que possuem permisses de acesso. O grau de sigilo faz parte de um
importante processo de segurana de informaes, a classificao da informao3.
O segundo dos trs princpios da SI a integridade que permite garantir que a
informao no seja alterada de forma no autorizada e, portanto, ntegra. Em
suma, uma informao ntegra uma informao que no foi alterada de forma
indevida ou no autorizada.
Para que a informao possa ser utilizada, ela deve estar ntegra. Quando
ocorre uma alterao no-autorizada da informao em um documento, isso quer
dizer que o documento perdeu sua integridade.
A Integridade da informao fundamental para o xito da comunicao.
O receptor dever ter a segurana de que a informao recebida, lida ou
ouvida exatamente a mesma que foi colocada sua disposio pelo emissor para
determinada finalidade. Estar ntegra quer dizer estar em seu estado original, sem
ter sofrido qualquer alterao por algum que no tenha autorizao. Se uma
informao sofre alteraes em sua verso original, ento ela perde sua integridade,
o que pode levar a erros e fraudes, prejudicando a comunicao e o processo de
decises.
A informao poder ser alterada de vrias formas, tanto em seu contedo
quanto no ambiente que lhe oferece suporte. A quebra da integridade de uma
informao pode ser considerada sob dois aspectos:
Alteraes do contedo dos documentos quando so realizadas

inseres, substituies ou excluses de parte de seu contedo.
Alteraes nos elementos que fornecem suporte informao quando

so realizadas alteraes na estrutura fsica e lgica onde a informao
est armazenada.
Extrado da apostila desenvolvida pelo Mdulo Security e revisada pelo captulo Brasil da
ISSA, em parceria com a Microsoft Informtica em dezembro de 2006. Material distribudo em aula.
34
Buscar a integridade tentar assegurar que apenas as pessoas ou sistemas

autorizados possam fazer alteraes na forma e no negcio e no contedo de uma
informao, ou que alteraes causadas por acidentes ou defeitos de tecnologia no
corram, assim como no ambiente no qual ela armazenada e pela qual transita em
todos os ativos.
Logo, para proteger a integridade, preciso que todos os elementos que
compem a base da gesto da informao se mantenham em suas condies
originais definidas por seus responsveis e proprietrios.
Alm de se trabalhar para que a informao chegue apenas aos destinatrios
ou usurios adequados e de forma ntegra, deve-se fazer com que esteja disponvel
no momento oportuno. disso que trata o terceiro princpio da SI: a disponibilidade.
Refere-se disponibilidade da informao e de toda a estrutura fsica e
tecnolgica que permite o acesso, o trnsito e o armazenamento.
A disponibilidade da informao permite que:
seja utilizada quando necessrio;
esteja ao alcance de seus usurios e destinatrios;
possa ser acessada no momento em que for;
necessrio utiliz-la.
Para proteger a disponibilidade da informao, necessrio
conhecer seus usurios, e criar regras para o uso da informao. A informao

dever ser classificada conforme o seu valor para a organizao.
Para proteger a disponibilidade, muitas medidas so levadas em
considerao. Entre elas, destacamos:
configurao segura de um ambiente em que todos os

elementos que fazem parte da cadeia de comunicao
estejam dispostos de forma adequada para assegurar o
xito da leitura, do trnsito e do armazenamento da
informao.
35
cpias de segurana backup. Isso permite que as

mesmas estejam duplicadas em outro local para uso caso
no seja possvel recuper-las a partir de sua base original
Para aumentar ainda mais a disponibilidade da informao, deve-se:

Definir estratgias para situaes de contingncia.
Estabelecer
rotas
alternativas
para
trnsito
da
informao, para garantir seu acesso e a continuidade dos

negcios,
inclusive
quando
alguns
dos
recursos
tecnolgicos, ou humanos, no estejam em perfeitas

condies de funcionamento.
Tendo em vista que a disponibilidade o mais importante dos princpios da

SI, a mesma deve servir o usurio final.
Cada informao dentro da empresa possui a necessidade de estar
disponvel para uma pessoa ou equipe, ao mesmo tempo em que h a necessidade
de um controle que garanta que ela estar realmente disponvel para os usurios
legtimos.
Uma vez que garantimos que a informao est disponvel somente
para os usurios corretos, necessrio garantir que eles faam o uso adequado
dessas informaes. Para alcanar este objetivo necessrio que um processo
eficiente de classificao da informao seja estabelecido.
A
classificao
deve
levar
em
conta
estas
premissas
principalmente o impacto nos negcios pela quebra na disponibilidade, integridade

ou confidencialidade das mesmas.
36
2.4 Ativos de Informao
O ponto inicial para a gesto dos ativos a identificao do que um ativo e

quais so eles dentro da organizao.
Ativo qualquer coisa que tenha valor para um indivduo ou uma
organizao, tais como, hardware de computadores, equipamentos de rede,
edificaes, software, habilidade de produzir um produto ou fornecer um servio,
pessoas, imagem da organizao, etc...
Conforme Martins (2003), ativos so objetos fsicos (hardware, prdios e
outros) e lgicos (e-mail, softwares, banco de dados, entre outros) que tm algum
valor para o processo de negcio da organizao. Esses ativos so assistidos pelos
seus proprietrios, sendo os responsveis por apontar as pessoas que tero
acessos aos mesmos.
Existem vrios tipos de ativos associados com sistemas de informao, sendo
eles:
Ativos de informao: base de dados de contratos e acordos,

documentao de sistema e infra-estrutura, manuais, material de
treinamento, procedimentos de suporte e operao, planos de
continuidade de negcio, etc...;
Ativos de softwares: aplicativos, sistemas, ferramentas de

desenvolvimento e utilitrios;
Ativos fsicos: equipamentos computacionais, de comunicao,

mdias
removveis;
Servios: computao, comunicaes, refrigerao, iluminao,

eletricidade;
Pessoas e suas qualificaes, habilidades e experincias;
Ativos intangveis: reputao, credibilidade e imagem da

organizao.
37
Para que os ativos sejam protegidos, necessrio que possua um

proprietrio. O proprietrio pode ser uma pessoa ou entidade autorizada controlar
o uso e a segurana dos ativos, tornando-se o responsvel pelos mesmos.
Tendo em vista que o objetivo da SI salvaguardar os ativos citados,
salienta-se que para o desenvolvimento deste trabalho foram detalhados os ativos
de informao.
Nos dias atuais, a informao considerada um bem de capital equivalente
aos recursos de produo e financeiros, sendo o mais importante a mudana no
significado que a informao assume na nova realidade mundial globalizada:
informao enquanto recurso diferencial competitivo e lucrativo no mercado
(MORESI, 2000).
Conforme a NBR ISO/ IEC 27002, informao enquanto ativo todo elemento
que compe os processos que manipulam a informao, a contar a prpria
informao, o meio que ela armazenada, os equipamentos em que manuseada,
transportada e descartada. O termo oriundo da rea financeira, por ser
considerado um elemento de valor para um indivduo ou organizao, e que, por
esse motivo, necessita de proteo adequada.
Segundo Beal (2005, p.15), ativo de informao tem um valor para o
negcio e precisa ser protegida independente de seu suporte:
Ativo de informao constitudo pelos dados ou informaes que
tenha um valor para o negcio, assim ativo de informao so
informao relevantes e mantidas na mente dos tomadores de
deciso, em base de dados, arquivos de computadores, documentos
e planos registrados em papel.
Tradicionalmente, as empresas dedicam grande ateno proteo de seus

ativos fsicos e financeiros, segundo (CARUSO, STEFFEN, 1999, p.22) pouca ou at
mesmo nenhuma ateno aos ativos de informao que possuem. De acordo com o
autor da mesma forma que seus ativos tangveis, as informaes envolvem os trs
fatores de produo tradicionais: capital, mo-de-obra e processo.
38
Capital
Mode-obra
Geram
ATIVOS
Produtos
Bens
Informaes
Processos
Figura 4 Fatores econmicos de produo

Fonte: Caruso e Steffen (1999, p.23)
Mesmo que as informaes no sejam passveis do mesmo tratamento

fisco-contbil que os outros ativos do ponto de vista do negcio elas so um ativo da
empresa e, portanto, devem ser protegidas. Isso vale tanto para as informaes
como para seus meios de suporte, para todo o ambiente de informaes (CARUSO,
STEFFEN, 1999, p.23).
Dessa forma, a informao um ativo que, como qualquer outro

importante e tem um valor para a organizao, por conseqncia, necessita ser
adequadamente protegida (NBR ISO/ IEC 27002).
Beal (2005) destaca que a informao representa uma classe particular
entre os ativos da organizao, sendo a sua administrao sujeita a desafios
especficos. Ao analisar as informaes quanto ativos organizacionais relacionam as
caractersticas que definem o comportamento da informao como um bem
econmico, quais sejam:
39
Informao
Valor $
Ativo comum
Nmero de
Informao no utilizada
acessos
Figura 5 A informao (infinitamente) compartilhvel.

Fonte: Beal (2005, p.15)
informao
pode
ser
compartilhada
infinitamente
usada
simultaneamente por inmeras pessoas, sem que seja consumida nesse processo
ao contrrio dos ativos comuns.
Valor obtido por usurio

100%
Informao
Ativos comuns
Nmero de usurios
Figura 6 O valor da informao aumenta com o uso.

Quanto mais utilizada, maior o valor a ela associado, diferente dos

ativos comuns que perdem valor medida que so utilizados (pela depreciao).
40
Informao
Valor $
100%
Desinformao
Preciso (%)
Figura 7 O valor da informao aumenta com a preciso.

Quanto mais precisa for a informao, mais til se torna e portanto mais
valiosa.
Informaes
inexatas
podem
causar
prejuzos,
provocando
erros
operacionais e decises equivocadas.

Nesse processo, o significado atribudo qualidade da informao pode
ser aplicado em situaes distintas. No que se refere ao uso a informao adquire
valor potencial na medida em todos os membros da organizao so conhecedores
de sua existncia, onde se encontra e dispem de recursos informacionais para
acess-la e adapt-la medida de suas necessidades (BEAL, 2005).
Observa-se quanto essencial para os administradores fazerem uso de
informaes previamente tratadas e utilizarem. Para fazer uso do acmulo de
informaes preciso estabelecer um sistema para organiz-las e aplic-las na
tomada de decises.
Reconhecendo a informao como um dos principais patrimnios de
organizao, esta deve ser protegida. A SI um elemento chave dentro deste
conceito e no deve ser vista apenas como guarda de informao, e sim como um
conjunto de processos e controles para obter sucesso no SGSI devendo ter poltica
com regras claras, levando em considerao a cultura e o ambiente tecnolgico da
empresa.
41
2.5 Classificao e controle de ativos de informaes

A classificao dada a informao uma maneira de determinar como
esta informao vai ser tratada e protegida e requer a categorizao das
informaes conforme seu grau de criticidade, independente do seu suporte fsico ou
lgico.
Apresentamos no item anterior que os ativos so elementos que a
segurana busca proteger e possuem valor para a organizao como conseqncias
precisam receber uma proteo adequada para que os negcios no sejam
prejudicados.
Estaremos abordando a classificao dos ativos de informao,
documento, relatrios, livros, manuais, correspondncias, patentes, informaes de
mercado, plano de negcios, arquivos de configuraes etc., independente do tipo
do meio em que esteja armazenada.
As informaes devem ser classificadas durante sua produo. No h
regras preconcebida para estabelecer a classificao, mais preciso entender o
perfil do negcio e as caractersticas das informaes que alimentam os processos e
circula no ambiente organizacional.
Segundo da descrio da NBR ISO/ IEC 27002 do item que trata da SI:
O objetivo da Classificao da informao assegurar que os
ativos da informao recebam um nvel adequado de proteo.
A informao deve ser classificada para indicar a importncia, a
prioridade e o nvel de proteo. A informao possui vrios
nveis de sensibilidade e criticidade. Alguns itens podem
necessitar um nvel adicional de proteo ou tratamento
especial. Um sistema de classificao deve ser usado para
definir um conjunto apropriado de nveis de proteo e
determinar a necessidade de medidas especiais de tratamento.
(NBR ISO/ IEC 27002, p.9).
De acordo com os requisitos de segurana a classificao da

informao possibilita que haja uma diferenciao nos recursos utilizados para a
manuteno desses ativos.
A classificao da informao uma ferramenta essencial para uma
boa administrao dos recursos informacionais. Devendo estar relacionada com a SI
e com as polticas pr-estabelecidas pela organizao.
42
Na literatura da rea de SI trazem algumas recomendaes para a

classificao da informao que uma das etapas mais importantes para
implantao do SGSI sendo assim na NBR ISO/ IEC 27002 apresenta no item 5
recomendao para classificao dos ativos informacionais como:
Identificar quem so o proprietrio da informao;
Especificar os critrios a serem utilizados para a classificao;
Categorizar a informao;
Indicar o nvel de segurana necessrio para proteger;
Documentar as excees;
Criar rtulos para informao impressa e digital;
Definir mtodo para a transferncia da custdia da informao;
Treinar e conscientizar usurios.
Esta classificao deve garantir que o nvel de privilgio seja

aplicado, ou seja, cada usurio somente ter acesso ao que realmente necessita e
as permisses conferidas a este sero somente necessrias para execuo de sua
tarefa relacionada aquela informao. Os proprietrios dos ativos so os
responsveis por atribuir as permisses de acesso aos ativos revis-las
periodicamente para assegurar-se que o controle mais apropriado
aplicado a
informao.
Outra classificao dos ativos quanto sua integridade as
necessidades podem ter vrios nveis: baixo, mdio, alto, crtico etc. de acordo com
a necessidade da organizao.
Pela tica da disponibilidade, a classificao da informao acontece
de acordo com a extenso do impacto que sua falta ocasionar, no temos
categorias pr-definidas, mas podemos classificar por intervalo de tempo. Esses
critrios podem definir tambm o tempo de reteno de uma determinada
informao muitas vezes estabelecido por clausulas legais.
Conforme (CARUSO, STEFFEN, 1999, p.78) apresenta a classificao
de informao quanto necessidade de evitar a destruio:
43
Vital a informao essencial podem ser consideradas secretas

ou confidenciais;
Criticas a informao crucial para execuo dos objetivos
organizacionais;
Valiosa a informao de valor reconhecido para segmentos ou
indivduos da organizao.
A classificao da informao deve ser estabelecida atravs de um
documento formal. A poltica deve ser personalizada conforme a necessidade de
cada departamento ser elaborada e alinhada com o plano de negcio devendo-se
tornar de conhecimento de todos os usurios.
44
2.6 Poltica de segurana de informao
Escrever uma poltica de SI envolve comprometimento de diversas

reas de interesse e deve ser abraada por todos, desde a direo da organizao
at cada um dos funcionrios, clientes e fornecedores com acesso ao sistema de
informao, ou que possam de alguma forma comprometer o ativo protegido. O
documento de poltica de SI deve ser elaborado de forma a servir como uma regra a
ser seguida, deve ser tambm de fcil leitura e compreenso e exigir atualizaes
que reflitam as necessidades do negcio e a realidade da organizao.
A poltica da informao existente na organizao vai influenciar as
caractersticas dos sistemas de informao utilizados pelos gerentes e deve estar de
acordo com a estratgia geral da organizao. Deve haver um sincronismo entre o
planejamento estratgico da organizao e sua poltica de informao. A
organizao, e principalmente os responsveis pelas suas decises estratgicas,
devem pensar na informao como um dos seus patrimnios.
Segundo a norma ISO/IEC2702:2006 objetivo da poltica prover
direo uma orientao e apoio a SI. Convm que a direo estabelea uma poltica
clara e demonstre apoio e comprometimento com a SI atravs da emisso e
manuteno de uma poltica de SI para toda organizao.
Na vida das pessoas e das organizaes, tudo gira em tornos de
decies politicas, no importando quem tome essas decies. Toda organizao
sempre estabelece regulamentos, normas a serem cumpridos por todos quanto se
relaciona com ela.
Conforme (CARUSO, STEFFEN, 1999, p.49)
poltica de segurana
um conjunto de diretrizes gerais destinadas a governar a proteo a ser dada a

ativos da organizao. Deve prover a orientao e apoio da direo para a SI de
acordo com os requisitos do negcio e com as leis e regulamentaes relevantes.
Ainda segundo o autor a aplicao de uma poltica bem definida e
equivalente aos objetivos da organizao pode ser resumida em trs aspectos:
reduo da probabilidade de ocorrncia;
45
reduo dos danos provocados por eventuais ocorrncia;
criao de procedimentos para se recuperao de eventuais danos.

Para que a empresa possua uma politica de segurana com qualidade
no se pode esquecer da segurana fsica e do ambiente, que nada
mais do que a preveno de acesso no autorizado, dano e
interferncia s informaes e instalaes fsicas da organizao. Para
tanto necessrio que haja um local apropriado.(MENEZES, 2006, p.
64)
As medidas de segurana uma forma de previnir os eventuais ricos,
alm disso, a preveno costuma ser mais barata que a restaurao dos danos
provocados por falta de segurana. necessrio que as estruturas organizacionais
conhecem os limites das atribuies e responsabilidades dentro de suas reas de
atuao e os ricos envolvidos, mesmo quando no existem normas a respeito da
segurana.
Segundo CARUSO; STEFFEN( 1999) a poltica de segurana no
constitui exceo, de modo que preciso seguir as mesmas etapas
que seriam seguidas em qualquer outra atividade dentro de uma
empresa. Segurana tambm implica uso de capital, mo-de-obra e
recursos, isto , representa investimento e despesas para a empresa.
A poltica de segurana deve conter diretrizes claras a respeitos, pelo

menos, dos seguintes aspectos:
Objetivos de segurana - deve explicar de forma rpida e sucinta a

finalidade da poltica de segurana.
A quem se destina deve definir claramente quais as estruturas

organizacionais s quas as mesmas se aplica.
Propriedade dos recursos deve definir de forma clara a regras

que regero os diversos aspectos relacionados com a propriedade
de ativos de informaes.
Responsabilidade deve definir de forma clara qual o tipo de

responsabilidades envolvidas com o manuseio de ativos de
informaes.
46
Requisitos de acesso deve indicar de forma clara quais os

requisitos a serem atendidos para o acesso a ativos de
informaes.
Responsabilizao deve indicar as medidas a serem tomadas

nos casos de infrigncia s normas da mesma.
Generalidades nesta seo da poltica podem ser incluidos os

aspectos que no cabem nas demais. Pode-se incluir aqui uma
definio dos conceitos envolvidos, um glossrio e uma indicao
das normas acessrias.
As polticas de segurana devem ter implementao

realista, definindo claramente as reas de responsabilidade de
seus utilizadores. Devendo tambm adaptar-se a alteraes na
organizao, e conhecendo ameaas/fraquezas que a empresa
esta exposta.
Segundo Fontes (2000), existem algumas caracteristicas que toda

poltica deve conter para ser entendida por todos os funcionrios at o presidente:
informao como um bem da empresa;
controle de acesso informao;
definio do gestor da informao;
responsabilidades do usurio, da gerncia e do gestor da
informao;
preparao para situaes de contigencia, garantindo a
continuidade da excuo de negocio;
definio do uso profissional da informao da empresa;
definio da possibilidade, ou no, da empresa acessar arquivos
pessoais do usurio;
definio da identificao do usurio como pessoal e nica, bem
como a responsabilidade do sigilo da senha;
concientizao dos usurios;
47
medidas disciplinares que sero utilizadas caso a poltica no
seja cumprida.
Para que a poltica da segurana obtenha sucesso necessrio
concientizao de todos os usurios da organizao. Para tanto necessrio que a
empresa se empenhe em divulgar e esclarecer atravs de campanhas a poltica de
segurana da empresa.
Na elaborao da poltica de SI deve haver uma rea responsvel, que
se incumbir de sua criao, implantao, reviso, atualizao e designao de
funes. Nessa rea deve ser escolhido um gestor responsvel pela anlise e
manuteno da poltica. Para garantir a aplicao eficaz da poltica, o ideal que o
alto escalo, como diretoria, gerentes e supervisores faam parte dessa rea, alm
de usurios, desenvolvedores, auditores, especialistas em questes legais, recursos
humanos, TI e gesto de riscos.
48
3 SISTEMA DE
INFORMAO
GESTO
DA
SEGURANA
DA
Aspectos relativos a implantao SGSI eficiente em uma organizao

vem evoluindo significativamente ao longo dos anos. O procedimento de SI tem
alterado bastante desde inicio quando a segurana fsica junto com um conjunto de
back-up compunha ento, todos os controles de SI implantado na organizao.
Conforme a NBR ISO/ IEC 27001 SGSI um sistema global, baseado
na ISO/ IEC 27002: a adoo de um modelo deve ser uma deciso estratgica para
organizao no contexto de suas necessidades, objetivos e requisitos de segurana
e tamanho da instituio.
O SGSI uma srie de aes tomadas com objetivo na gerenciar a
segurana da informao, incluindo pessoas, infra-estrutura, e negcios, reduzindo
os riscos a um nvel aceitvel, enquanto mantm em expectativa os objetivos do
negcio e as expectativas do cliente.
O processo de implantao de um SGSI semelhante a um processo
de qualidade ISO 9001, no qual se aplicam os princpios do PDCA:
planejar; fazer, checar, agir

Para prover um modelo de gesto dentro de uma perspectiva
estratgica, necessrio alinhar todas essas atividades para identificar e gerenciar e

para funcionar efetivamente, identificando as atividades como processos que
interagem para sustentao a organizao.
Seguindo a norma para implementao do SGSI chegamos ao
seguinte escopo:
1. SGSI (NBR ISO/ IEC 27001): esse passo conduzindo na seguinte
seqncia:
a. seleo do modelo atravs do qual o SGSI ir atuar (tipo de norma:
NBR ISO/ IEC 27001, NBR ISO/ IEC 27002 etc...);
b. planejamento inicial das fases do projeto;
49
c. levantamento dos ativos envolvidos (equipamentos, infra-estrutura,

sistemas, pessoas e servios):
2. avaliao dos riscos: identificar e avaliar ameaas e vulnerabilidades. Para
cada ameaa deve ser atribudo um nvel de risco:
3. tratamento dos riscos: o gerenciamento dos riscos, envolvendo as
atividades que tentaro impedir um ataque antes que ele ocorra ou reduziro
o efeitos da ameaa;
4. definio de controles: a necessidade de controles um resultado da
avaliao de riscos. Sua escolha feita com base na relao custo-benefcio
de sua implantao. Os controles podem ser baseados em software,
hardware, pessoas ou processos;
5. implementao: implantao em si das contramedidas de segurana;
6. auditoria: verificao se as condies estabelecidas nos passos anteriores
ocorrem de maneira satisfatria;
7. melhoria contnua: aprimoramento contnuo do SGSI atravs da busca
assertivas que dem mais valor s atividades de segurana da informao.
A partir do estabelecimento de mecanismos de controle que enfatizem
essa caracterstica no processo de aquisio, desenvolvimento e manuteno dos
sistemas de informao necessrio garantir a segurana como parte integrante
dos sistemas de informao, desde o primeiro momento do projeto.
O SGSI serve para proteger os recursos da empresa e tem a finalidade
de diminuir o nvel de exposio aos riscos existentes em todos ambientes, gerando
assim liberdade necessria para criao de novas oportunidades de negcio. Para
Moreira (2001), os negcios atualmente esto cada vez mais dependentes das
tecnologias e estas por sua vez tm que transmitir confiabilidade nas suas
transaes, o usurio deve acreditar que as informaes emitidas para a
organizao vai ser administrada e salvaguardadas.
Segundo Fontes (2008 p.36) constituir um SGSI necessrio
contemplar alguns requisitos como:
Nomear uma pessoa responsvel pelo processo, essa pessoa no
responsvel pela segurana em sim pelo processo de SI.
50
Recursos financeiros : Recursos financeiros de tempo e operacionais para

existencia do processo de segurana e da sua gesto.
Envolvimento da alta direo:A desciso de existir um SGSI deve ser da alta
adminstrao da organizao. Este processo interfere em muitos aspectos da
organizao e principalmente interfere em pessoas, na cultura e no poder que
as pessoas possuam dentro daorganizao.
O SGSI pode e deve ser um processo sustentvel. Isto , podemos ter
um processo de proteo de informao que ele proprio gere mais condies para
continuidade de vida do proprio processo.
Um processo de planejamento de SGSI pode variar de uma
organizao para outra devida os diferentes estilos, tamanhos e estrutura o processo
deve se adequar ao ambiente em que ser usado.
Para obter sucesso na implementao de SGSI importante conhecer
o plano de segurana da empresa para que sua execuo seja bem sucedida.
3.1 Administrao do Ambiente de Segurana

Para iniciar o processo de administrao do ambiente de segurana
imprescindvel que as polticas de SI j tenham sido desenvolvidas e implantadas e
que todos os usurios da organizao estejam conscientizados das mesmas.
A administrao do ambiente seguro envolve todo um ciclo do macro
atividades.
1 Anlise de riscos
2 Poltica de segurana
3 implementao de segurana
4 monitoramento e Feedback
A primeira fase do ciclo anlise de risco, onde se conhecem o
ambiente e quais as vulnerabilidades responsveis pelos maiores riscos.
51
A segunda conhecer os pontos bsicos que devem ser contemplados

no plano de segurana da empresa para estruturar e implantar corretamente tal
documento dentro da empresa.
Depois de se familiarizar comas ameaas e vulnerabilidades do
ambiente, identificados na anlise de riscos ou depois da definio formal das
intenes e atitudes da organizao que esto definidas na poltica de segurana da
informao devemos tomar algumas medidas para implementao das aes de
segurana recomendadas e estabelecidas.
Devemos lembrar que as ameaas so agentes capazes de explorar
falhas de segurana que denominamos vulnerabilidades e como conseqncia,
causam perdas ou danos aos ativos de uma empresa e afetam seus negcios
No basta conhecer as fragilidades do ambiente ou ter uma boa
poltica de segurana por escrito. Deve instalar ferramentas, divulgar regras,
conscientizar os usurios sobre o valor das informaes e, configurar os ambientes e
implementar cada medida de proteo para contribuir com a reduo das
vulnerabilidades e, consequentemente, do risco.
Para acontecer a administrao da segurana, a organizao dever
reconhecer o SGSI como um processo, onde as pessoas responsveis respondam
diretamente a alta administrao. Isso necessrio para que a rea se torne menos
suscetvel a presses e para que ela possa ser incorporada facilmente pela cultura
organizacional.
Administrao do ambiente de segurana. Inclui:
Estabelecimento de um processo de gesto de incidentes de segurana;
Implementao de um sistema de medio, que colha dados para a

avaliao de desempenho da gesto de segurana;
Obteno de sugestes de melhorias;
Implementao de melhorias levantadas no processo.

A administrao de um ambiente seguro envolve todos os processos e
deve ser vista como parte integrante das estratgias de negocio. A aquisio ou
desenvolvimento de sistemas leva em conta os princpios de segurana a serem
52
atendidos desde a etapa de planejamento e investimento em segurana, baseados

em anlise bem fundamentada de risco, custo e grau de proteo adicional.
3.2 Anlise crtica do sistema de gesto de segurana da

informao
Analise o levantamento peridico dos riscos de segurana da
informao, identificando as ameaas e vulnerabilidades. Os resultados desse passo
iro direcionar a determinao das aes gerenciais que nortearo todo o processo
de SI.
Segundo a NBR ISO/ IEC 27001 o item 7 apresenta como estabelecer
as anlises crtica pela direo:
A direo dever analisar o SGSI a intervalos planejados (pelo menos
uma vez por ano para assegurar a sua continua pertinncia adequao e eficcia.
Essa anlise deve incluir a avaliao de oportunidades de melhoria e a necessidade
de mudanas do SGSI, incluindo a poltica de segurana de informao e objetivos
de SI.
Existem alguns princpios para obter a entrada da anlise crtica:
a) resultados de auditorias do SGSI e anlises crticas;
b) realimentao das partes interessadas;
c) tcnica produtos e procedimentos para melhorar o desempenho

do SGSI;
d) situao das aes preventivas e corretivas;e) vulnerabilidades

ou ameaas no contempladas na anlises e avaliaes de riscos;
f) resultados da eficcia das medies;
g) acompanhamento de anlise criticas anteriores pela direo;
h) mudanas que possam afetar o SGSI;
i) recomendaes para melhoria;
53
Sadas da anlise crtica descrito no item 7.3:
Anlise/avaliao de riscos para a organizao.
Legislao vigente a que a organizao, seus parceiros comerciais e

provedores de servio devem atender.
Princpios, objetivos e requisitos do negcio.
Segundo a NBR ISO/ IEC 27002 p2. requisitos de segurana so identificados

atravs de uma avaliao sistemtica dos riscos de segurana.
Os gastos com os controles necessitam ser balanceados de acordo
com os danos causados aos negcios gerados pelas potenciais falhas na
segurana. As tcnicas de avaliao de risco podem ser aplicadas em toda
organizao ou apenas em parte dela, assim como um sistema de informao

individual, componentes de um sistema especfico ou servios, quando for vivel,
pratico e til.
3.3 Seleo de controles

Com os riscos identificados e com as medidas de tratamento desses
riscos j providenciadas necessrio implementar controles que asseguraro a
reduo dos riscos a nveis aceitveis. A seleo de controles pode ser feita a partir
dessa norma ou de outra que atenda as necessidades da organizao. Esses
controles incluem:
Proteo de dados e privacidade de informaes pessoais;
Proteo dos registros organizacionais;
Direitos de propriedade intelectual;
Documento de poltica de segurana da informao;
Atribuio de responsabilidades;
54
Treinamento e educao em segurana da informao;
Processamento correto nas aplicaes a fim de prevenir erros, perdas,

modificao no autorizada ou mal uso de informaes em aplicaes;
Gesto de vulnerabilidades tcnicas;
Gesto de continuidade de negcios;
Gesto de incidentes de segurana e melhorias.
Segundo a norma NBR ISO/ IEC 27002 p.3 um nmero de

controles pode ser considerado como princpios bsicos, fornecendo um bom ponto
de partida para a implementao da SGSI. So baseados tanto em requisitos legais
como nas melhores prticas normalmente usadas.
Uma organizao pode considerar que objetivos de controle e
controles adicionais so necessrios, tendo como base que o SGSI tem seus
controles especficos a norma recomenda um guia de implementao de controles
especificados das sees 5 a 15.
Esses elementos de controle priorizam a aderncia aos requisitos de
segurana estabelecidos pela poltica de segurana da organizao, tornando-os
parte do processo de anlise e especificao. Desse modo, os requisitos para
controles de segurana nas especificaes de requisitos de negcios devem ser
estabelecidos e especificados, em consonncia com a poltica de segurana, quer
seja para novos sistemas de informao a serem adquiridos, desenvolvidos, ou para
a realizao de manuteno ou implementao de melhorias em sistemas j
existentes.
importante que esse elemento de controle esteja plenamente
integrado aos processos de desenvolvimento interno ou externo, de forma que no
apresente complexidade em sua operacionalizao e no comprometa os prazos,
custos e objetivos dos sistemas de informao, pois, de outro modo, certamente
ser deixado em segundo plano em caso de necessidade.
55
4 GESTO DA INFORMAO
A atividade de gesto um conjunto de processos que englobam

atividades de planejamento, organizao, direo, distribuio e controle de
recursos de qualquer natureza, a vista da racionalizao e efetividade de
determinado sistema, produto ou servio. (MANUAL..., 1997 apud MARCHIORI,
2002, p.74).
Compreender a GI no contexto das organizaes, enquanto
processos, aes e atividades de produo, organizao, distribuio e uso da
informao, pressupe primeiramente apresentar um breve enunciado sobre o
surgimento de seu conceito na literatura cientfica.
Para Davenport (2000), a GI consiste em um conjunto estruturado de
atividades que incluem o modo como as empresas obtm, distribuem e usam a
informao. Choo (2003) afirma que a informao desempenha um papel estratgico
no crescimento e na capacidade organizacional, existindo trs arenas distintas para
sua criao e uso: a organizao usa a informao para dar sentido s mudanas do
ambiente externo para sua criao e uso: em primeiro, a organizao utiliza a
informao para entender as mudanas no ambiente externo e se adaptar de forma
mais rpida; em segundo, a organizao cria, organiza e processa a informao de
modo a gerar novos conhecimentos por meio do aprendizado, o que faz com que a
mesma desenvolva suas capacidades, crie novos produtos e servios, aperfeioe os
j existentes e melhore os processos organizacionais. Por ltimo, as organizaes
buscam e avaliam informaes para tomar decises importantes, identificando
alternativas plausveis, provveis resultados e avaliar o impacto desses para a
organizao.
Place e Hyslop (1982) apud Bouthillier; Shearer (2002) afirmam que
a GI focaliza o planejamento e atividades que precisam ser executadas para
controlar os registros da organizao, podendo ser entendida como responsvel por
gerenciar o fluxo informacional e o conhecimento que est registrado, ou seja, as
informaes presentes no ambiente organizacional so ordenadas de forma a
facilitar seu uso e assimilao, como estratgia de competitividade no mercado. As
56
nuanas entre GI, Gesto de Registros (GR) e Gesto de Recursos de Informao

(GRI) so sutis, pois todos estes termos podem ser usados mutuamente.
Bergeron (1996) apud Frade et al. (2003) afirma que a GRI foi
proposta por Robert Taylor, na dcada de sessenta do sculo XX. Para o autor, duas
vises emergem na literatura: a perspectiva tecnolgica e a perspectiva integrativa. A
primeira prev as seguintes atividades:
Planejamento de dados, de capacidade e de aplicao;
Planejamento e desenvolvimento de sistemas de informao;
Gerenciamento de projetos;
Aquisio de hardware e software;
Integrao sistema-tecnologia e administrao de dados.

As aes previstas pela segunda so:
Reconhecimento da informao como recurso;
Gerenciamento do ciclo de vida da informao;
Informao como apoio dos objetivos organizacionais;
Existncia de um agente vinculador que atue como intermedirio
de valor entre necessidades e fontes de informao.

A GI em ambientes organizacionais definida por Valentim (2008,
p.2) como um conjunto de atividades que visa a obteno de um diagnstico das
necessidades de informao, mapeamento de fluxos formais de informao nos
vrios
setores
da
organizao,
prospeco,
coleta,
filtro,
monitoramento,
disseminao de informaes de diferentes naturezas, e elaborao de servios e

produtos informacionais, com o objetivo de apoiar o desenvolvimento das atividades
e tarefas cotidianas e o processo decisrio nesse ambiente.
A autora complementa que a GI lida com fluxos formais e tem
como objeto o conhecimento explcito, alcanando as atividades de base descritas
abaixo (VALENTIM, 2008, p.3-4):
Identificar necessidades/demandas de informao;
Mapear e reconhecer fluxos formais;
Desenvolver
cultura
organizacional
positiva
compartilhamento/socializao de informao;
em
relao
ao
57
Proporcionar a comunicao informacional de forma eficiente, utilizando

tecnologias de informao e comunicao;
Prospectar e monitorar informaes;
Tratar analisar, organizar, armazenar e agregar valor s informaes,
utilizando tecnologias de informao e comunicao;
Desenvolver e implantar sistemas informacionais de diferentes naturezas,
visando o compartilhamento e o uso de informao;
Elaborar produtos e servios informacionais;
Elaborar e implantar normatizaes visando sistematizao da
informao internamente e externamente;

Retroalimentar o ciclo.
Pinheiro (2008, p.42) afirma que o processo de gesto da

informao est associado aos princpios fundamentais da gesto organizacional.
Nesse mesmo sentido, Calazans (2006, p.65) afirma que o o uso da informao nas
organizaes acompanhou a evoluo das organizaes, isto , a informao a
fora motriz das atividades de uma organizao, compreendida hoje, enquanto um
ativo primordial para garantir a estratgia e a competitividade mercadolgica.
Observa-se que, para compreender a GI no contexto das prticas
informacionais de uma empresa, imprescindvel o estabelecimento de interfaces
tericas e prticas com as disciplinas da Administrao, CI e TI.
Nesse sentido, verifica-se na literatura, com para Marchiori (2002,
p.74), que a relao entre essas disciplinas resulta em um conjunto de habilidades e
conhecimentos tericos e prticos que possibilitam a estruturao dos sistemas de
informao, assim como o oferecimento de servios, produtos e atividades de
informao, conforme demonstra o quadro abaixo:
58
Administrao
Tecnologia da Informao
Cincia da Informao
A GI est voltada
incrementao da
Est voltada para a
competitividade
dinamizao das atividades
empresarial e dos
por meio da utilizao de
processos de
diferentes arquiteturas de
modernizao da
hardware e software, e
organizao bem como a
redes de (tele)
capacitao dos
comunicaes de acordo
profissionais para o
com as necessidades
gerenciamento de
identificadas.
Est voltada teoria e

prtica que envolve sua
criao, identificao,
coleta, validao,
representao,
recuperao e uso.
tecnologias da informao.
Fonte: Marchiori (2002, p.74)
Quadro 1 Enfoques da Administrao, TI e CI
Pondera-se que a funo da GI identificar e potencializar recursos

informacionais, salientando-se a necessidade do compartilhamento da informao.
Marchiori (2002, p.74) destaca ainda que a abrangncia da GI, sob a rea de CI
corresponde ao ncleo da gesto propriamente dita [...] [pois enfoca] a gesto
integral dos recursos de informao das organizaes.
Davenport (2000, p.44), ao desenvolver o princpio de ecologia da
informao, aponta quatro atributos para contribuir no processo de gesto da
informao, cada qual valioso sua maneira:
1. integrao dos diversos tipos de informao: envolve a integrao de uma
diversidade informacional: computadorizada e no computadorizada, estruturada
e no estruturada, via texto, udio e vdeo. A rea fornecedora de informao na
empresa, ao invs de direcionar o usurio a um tipo particular de informao,
deve combinar todas as mdias disponveis.
2. reconhecimento de mudanas evolutivas: a evoluo um fato da vida
organizacional, e isso deve ser um senso comum entre os administradores. A
gesto informacional precisa abrir espao para a transformao.
3. nfase na observao e na descrio: necessrio que as informaes sejam
correta e completamente descritas na tratamento do gerenciamento da
59
informao. Isso significa criar uma compreenso profunda dos processos

existentes, possibilitando a projeo de novos.
4. nfase no comportamento pessoal e informacional: os usurios da informao
devem ser observados, a fim de no somente se oferea a informao, mas
tambm se facilite o uso. Toda ao ou iniciativa gerencial, com foco em
informao, deve fazer progredir o comportamento informacional dos usurios.
Alm disso, Davenport (2000, p.173) descreve a GI como um
processo genrico em quatro passos, conforme a figura a seguir:
Determinao
das exigncias
Obteno
Distribuio
Utilizao
Fonte: DAVENPORT, 2000, p.175.

Figura 8 O processo de gerenciamento da informao.
1. Determinao de exigncias: esta fase envolve identificar como os gerentes e os

funcionrios percebem seus ambientes informacionais, entender desde o princpio
as tarefas administrativas, observando-as in loco, e conseqentemente, suas
necessidades de informao, destacando-se as aes de estudos conforme a
demanda de informaes corporativas, buscando conectar e (re)adequar os
contedos informacionais e as necessidades especficas demandadas pelos
usurios da informao;
2. Obteno de informaes: definidas as exigncias de informaes, necessrio
obt-las, sendo esta uma atividade ininterrupta, sem poder ser finalizada. Esse
passo consiste em vrias atividades: explorao do ambiente informacional,
classificao da informao em uma estrutura pertinente, formatao e
estruturao das informaes.
3. Distribuio: envolve a ligao de gerentes e funcionrios com as informaes
que necessitam, e estando a informao organizada e havendo uma necessidade
60
especfica, a distribuio mais efetiva. Esta pode ser feita utilizando qualquer
meio ou suporte informacional, dependendo a sua inevitabilidade.
4. Uso da informao: este a etapa final de todo o processo de gerenciamento
informacional. O uso da informao algo extremamente pessoal, porm pode
ser medido atravs de uma avaliao de desempenho. J que houve necessidade
de informao, a empresa pode questionar ao usurio o uso que se fez dela.
Outra maneira tornar em estatstica o uso do material informacional.
Neste sentido, pode-se compreender que a GI tem como objetivos:
apoiar a poltica da empresa, na medida em que torna mais eficiente o conhecimento
e a articulao entre vrios subsistemas que a constituem, apoiar os gestores na
tomada de decises e, tornar mais eficaz o conhecimento do meio envolvente.
Wilson (1989) pondera que a GI a gesto eficaz de todos os
recursos de informao relevantes para a organizao, tanto gerados internamente
como os produzidos externamente, utilizando sempre que necessrio a TI.
Sob esta perspectiva, a GI deve incluir em dimenses estratgicas e
operacionais, os mecanismos de obteno e utilizao de recursos humanos,
tecnolgicos, financeiros, materiais e fsicos. A partir disso, deve ser disponibilizada
como ensino til e estratgico para indivduos, grupos e organizaes (PONJUN
DANTE, 1998).
Pode-se afirmar que o processo de GI tem como funo,
desenvolver e conectar estratgias, de acordo com o foco do negcio da
organizao, para orientar estrategicamente as aes de tecnologias da informao
e sistemas de informao. Para atingir seus objetivos desenvolve aes de gesto e
mapeamento
de
processos
organizacionais,
organizao
tratamento
da
informao, recuperao, representao, armazenamento, polticas e procedimentos

de produo, acesso, circulao e distribuio da informao.
Marchiori (2002, p.75-76) salienta que os estudos sobre GI podem
incluir aes de:
Planejamento: identificao das necessidades de informao e de nveis
de agregao de valor s demandas realizadas; estudo do impacto da
informao no desempenho da organizao; o mapeamento e integrao
das unidades, pessoas e fluxos de informao na organizao;
61
desenvolvimento e aplicao de metodologias para avaliao de fluxos,

sistemas, produtos e servios de informao, assim como a aplicao
crtica e criteriosa de sistemas computacionais e redes de dados.
Comunicao: teorias e modelos da comunicao e sua aplicao em
estruturas organizacionais e em sistemas de informao; fluxos de
informao, redes de valor agregado e interpessoais/intergrupais;
comunicao de dados e interao humano-computador.
Gerncia da Informao e Sistemas de Controle: compreendendo o
processo de tomada de deciso e o papel da GI; a localizao, coleta e
anlise de dados; design, especificao e anlise de sistemas; aplicao
de tecnologia de computadores; gesto de documentos; utilizao de
informao para controle gerencial e anlise de negcios; utilizao de
tcnicas de workflow para a identificao de fluxos de informao e
dados; sistemas especialistas.
Gerncia de Recursos Humanos: inclui a descrio, anlise e avaliao
de funes; recrutamento, seleo, treinamento; gerncia de pessoal;
motivao e relaes interpessoais;
Gerncia de Recursos Financeiros: abrange contabilidade; anlise e
controle de custos; estratgias para suporte deciso; programao,
planejamento e estrutura oramentria, incluindo estimativa de gastos;
julgamento de desempenho (anlise de custo-efetividade e de custobenefcio).
Promoo, Vendas e Marketing: relaciona-se publicidade e relaes
pblicas aplicadas produo de bens e servios de informao; tcnicas
e estratgias de marketing, incluindo pesquisa de mercado.
Contexto Poltico, tico, Social e Legal.
Sob o ponto de vista da tecnologia so empreendidos estudos nos
seguintes mbitos:
Sistemas Computacionais (hardware e software): os contedos, neste
particular,
envolvem
os
recursos
de
entrada,
processamento,
armazenagem e sada de dados; princpios de sistemas operacionais e
62
programas aplicativos; o estudo e aplicao de pacotes de software para

o armazenamento e recuperao da informao, mais especificamente a
estrutura de bases de dados relacionais, lay-out de registros e parmetros
de busca; gerenciamento de sistemas de bases de dados; estudos de
aplicao;
especificao,
design;
implementao,
avaliao
documentao de sistemas voltados para a GI;

Telecomunicaes: domnio mnimo dos padres, protocolos, interfaces;
tipos de equipamento (modems, dispositivos eletrnicos e ticos de
comunicao); redes de telecomunicao (incluindo lans e wans);
Aplicaes da Tecnologia da Informao: em especial para aquelas
relacionadas coleta, armazenagem e recuperao da informao, desde
o vdeo-texto, telex, passando pelas tecnologias COM e COLD1 at o
reconhecimento de voz, digitalizao, tecnologias de discos compactos,
telecomunicaes, mtodos de publicao eletrnica e de disseminao
de documentos via redes, por exemplo;
Meio ambiente: Princpios de ergonomia, proteo de dados, copyright,
pirataria, criptografia.
A GI atua tambm em algumas reas bsicas, indicadas pela CI, a
saber:
Metodologia da pesquisa: devido necessidade de se identificarem temas e
propostas de pesquisa; os mtodos de investigao, coleta de dados,
amostragem, anlises estatsticas, avaliao de resultados e produo de
relatrios;
Lingstica: os estudos com informao implicam conhecimentos bsicos da
linguagem natural e formal, das classificaes lingsticas, da semntica, sinttica
e pragmtica, por exemplo;
Lnguas estrangeiras: como recursos para a anlise de fontes de informao,
comunicao em um mundo conectado, e de maneira a oferecer servios de
traduo e resumos.
Pode-se afirmar, dessa forma, que os aportes terico-conceituais e
metodolgicos da GI e sua interface com as disciplinas de Administrao, CI e TI
63
contribui consideravelmente s etapas de estudo e desenvolvimento do SGSI, pois

coopera na diminuio de riscos e vulnerabilidades tanto procedimentais como
metodolgicos, visando assegurar a continuidade eficaz do ciclo social da
informao: a produo, a comunicao e o uso.
Fonte: LE COADIC, 2004, p.10.

Figura 10. O ciclo da informao
Os trs processos do ciclo da informao se sucedem e se

alimentam reciprocamente. Qualquer atividade cientfica ou tcnica podem gerar
novos conhecimentos, porm as atividades e novos conhecimentos s surgem pela
existncia de informao, sendo que esta continuamente produzida, e sem ela,
no haveria novo conhecimento. Assim, construo refere-se gerao de
conhecimentos que foram registrados, em forma escrita ou oral, impressa ou digital,
de informaes de qualquer natureza. A comunicao um processo intermedirio
que permite a troca de informaes entre as pessoas, ou seja, um mecanismo que
assegura o intercmbio de informaes de qualquer interesse e pode se dar de
forma oral ou escrita, ou ser formal ou informal. O uso de informao significa
trabalhar com a matria informao para obter um efeito que satisfaa a uma
necessidade de informao, ou seja, utilizar um produto de informao empregar
tal objeto para obter, igualmente, um efeito que satisfaa a uma necessidade de
informao, no qual esse objeto subsista (utilizao), modifique-se (uso) ou
desaparea (consumo), transformando-se em qualquer caso, em novo conhecimento
(LE COADIC, 2000, p.10-39).
64
5 CONTRIBUIES DA CINCIA DA INFORMAO PARA

O
SISTEMA
DE
GESTO
DE
SEGURANA
DA
INFORMAO
Este captulo aborda o SGSI sob a viso da GI, na perspectiva da

CI. Discorre-se sobre a CI no contexto social, informao e conhecimento,
recuperao da informao e representao e organizao do conhecimento.
5.1 Cincia da Informao no contexto social

Diante das alteraes ocorridas nas sociedades contemporneas
decorrentes do desenvolvimento e amadurecimento do sistema capitalista desde o
incio da segunda guerra mundial, o fenmeno mais visvel foi o surgimento da
exploso informacional, reflexo do acmulo produtivo da cincia e da tecnologia.
Desde ento o fenmeno da informao vem adquirindo vital importncia em todos
os segmentos na sociedade ps-moderna, tornando-se cada vez mais um recurso
primordial para gerir as aes, atividades e relaes do indivduo na sociedade.
Aliados esse fenmeno as revolues tecnolgicas contriburam
significativamente como instrumentos para difundir informaes; ao permitirem o
armazenamento e distribuio de grandes volumes informacionais em escala global
atravs das tecnologias de informao e comunicao.
Decorrentes desses dentre outros fenmenos configurou-se em
escala global o surgimento de uma nova base scio-tcnica pautadas na informao
e no conhecimento apoiadas na difuso e uso das emergentes tecnologias de
informao e comunicao.
Desse modo, os estudos da informao e seus fenmenos
assumiram cada vez mais importncia ao permitir melhor compreenso dos
fenmenos sociais, econmicos, polticos e culturais da sociedade ps-moderna.
Diante do enunciado acima a autoras Kobashi e Tlamo afirmam que
65
o estudo da informao, de sua produo, circulao e consumo,

assume importncia primordial, sendo desenvolvido por vrias reas
do conhecimento. assim, ao lado da importncia da informao
reconhece tambm a complexidade de abord-la. Muitas so as
disciplinas que a focam e, cada uma deve nela, identificar o seu
objeto especfico para que uma atividade compreensiva sobre o
assunto substitua a explicao mecnica e funcionalista largamente
difundida no campo [...]. (KOBASHI, TALMO, 2003 p. 8)
Diante das necessidades de estudos decorrentes dos fenmenos

ocasionados pela informao, a cincia da informao inscreve-se como uma
disciplina direcionada para solucionar os problemas concernentes as atividades de
produo, tratamento, recuperao, circulao e uso da informao.
No se trata de qualquer tipo de informao, ela direciona seu olhar
para propor solues para a informao registrada.
A cincia da informao no contexto da ps-modernidade adquire
um compromisso social, j que sua misso direcionar respostas tericas,
conceituais, instrumentais e metodolgicas para resolver os problemas ocasionados
pelos
fenmenos
da
informao,
decorrentes
da
exploso,
disperso
despersonalizao informacional. Nesse sentido os autores WERSIG & NEVELLING

(1975) afirmam que atualmente, transmitir o conhecimento para aqueles que dele
necessitam uma responsabilidade social, e essa responsabilidade social parece
ser o verdadeiro fundamento da Cincia da informao.
No contexto da gesto da informao, a CI deve contribuir com
aportes tericos, conceituais e instrumentais para aprimorar os mecanismos de
organizao, representao, busca e recuperao da informao. Contribuir em
especial para otimizar a eficcia da comunicao entre a memria de conhecimentos
armazenados pelos sistemas de informao e o usurio. De modo a contribuir
socialmente para instigar a produo de novos conhecimentos, baseados na
modelizao social do ciclo da informao onde os processos de construo,
comunicao e uso se alimentam reciprocamente. (LE COADIC, 2004, p. 9).
A CI constitui-se pela sua caracterstica interdisciplinar, j que para
desenvolver-se e garantir cientificidade empresta de outras disciplinas saberes e
66
bases terico-conceituais, corroborando com essa idia o autor Saracevic (1996)

afirma que a cincia da informao uma das novas interdisciplinas, um desses
novos campos de conhecimento onde colaboram entre si: psicologia, lingstica,
sociologia, informtica, matemtica, lgica, estatstica, eletrnica, economia, direito,
poltica e telecomunicaes. (SARACEVIC, 1996, p. 20)
A
proposta
ps-moderna demarca mudanas
paradigmticas
concernentes ao modo de fazer cincia. Para Santos (1996) entende-se a cincia

ps-moderna como um movimento de superao da crise do paradigma cientfico
dominante desde o sculo XVII, pela superao do modelo de racionalidade
cartesiana, de separao do sujeito e do objeto, a busca da ordem, a separabilidade
dos elementos constituintes da realidade. Ou seja, o novo contexto social psmoderno exige uma responsabilidade social das cincias para com a sociedade, no
possvel mais fazer cincia instaurado na fixao de saberes rgidos e fechados,
necessrio que ela tenha compromisso com a praticidade, orientada a resolver
problemas demandados pelos problemas sociais.
Portanto a CI postula uma forte relao com a interdisciplinaridade,
no sentido de construir coletivamente com outras disciplinas do saber humano,
esquemas conceituais, postulados tericos com a inteno de contribuir para o bem
estar do homem na sociedade em que vive.
Para elucidar o comprometimento social da Cincia da Informao
Wersig (1993) relaciona a CI com a perspectiva ps-moderna, ao relacion-la com a
abordagem orientada para solues e a resoluo de problemas. Saracevic (1995,
p.1) ressalta que a cincia da informao, como qualquer outro campo, definida
pelos problemas que apresenta e pelos mtodos que escolhe para resolv-los.
Reafirmando as idias expostas acima no demais afirmar que a
CI orienta-se pela resoluo de problemas e temticas complexas, em especial,
prope solues para demandas especficas de informao.
O
crescimento
desordenado
de
informaes
conhecimentos,
desencadeou um fenmeno social conhecido como problemas inerentes

recuperao da informao. Corroborando com esta afirmao (Saracevic 1996, p.2)
67
ressalta que a exploso da informao um problema social que teve seu incio
com o desenvolvimento das cincias, e hoje se estende para todas atividades
humanas.
A
exploso
informacional
aliada
ao
desenvolvimento
aplicabilidade das Tecnologias de Informao e Comunicao (TICs) considerado

por muitos autores como o surgimento da sociedade da informao, ps-moderna,
ps-indstrial, pautada na informao e nas tecnologias, desse modo afirma
(FERREIRA, 2003, p.5) vivemos uma poca em que as condies de vida e a
tecnologia esto se desenvolvendo contnua e exponencialmente e em uma
sociedade na qual a informao e a tecnologia esto intimamente ligadas vida das
pessoas [...].
O surgimento do fenmeno das tecnologias na perspectiva da
cincia da informao interpretado por Saracevic (2002, p.) como decorrente do
imperativo tecnolgico, est estreitamente relacionada com a prpria evoluo do
campo.
Corroborando com o ponto de vista de Saracevic os autores (GARCIA
GUTIERREZ, 1999, p.52 apud KOBASHI, TLAMO, 2003, p.7) afirmam que o
O marco tecnolgico indissocivel e indispensvel na teoria e nas
prticas informacionais, no somente pelos aspectos pragmticos de
ambas, mas tambm porque sua ausncia torna inservvel qualquer
proposta de ao. A tecnologia elemento conceitual e constitutivo
[da Cincia da Informao]. a tal ponto que, atualmente, no
possvel a pesquisa de procedimentos informacionais fora desse
quadro.
No sentido de garantir sua institucionalizao social a CI, vem

ampliando o dilogo coletivo com diversos atores sociais. Consolida a rea
dialogando em diversos espaos institucionais e organizacionais atravs de prticas
investigativas, grupos de pesquisas, prticas profissionais, prticas de formao, no
sentido afirmar marcos tericos, tcnicos e conceituais concernentes ao uso social
da informao, envolvendo as prticas e atividades de produo, organizao,
representao, recuperao e uso da informao.
Diante da complexidade informacional demandada pelo contexto da
sociedade da informao sua misso contribuir na construo de aportes tericos,
conceituais para aplicabilidade nos recursos, produtos, servios, mecanismos e
68
processos que envolvam contextos e prticas informacionais, auxiliando a sociedade

a compreender o fenmeno informacional. J que tem como objeto o estudo das
propriedades gerais da informao (natureza, gnese, efeitos), e anlise de seus
processos de construo, comunicao e uso. (LE COADIC, 2004, p. 25). Visando
garantir a participao ativa da sociedade nos processos de produo e uso da
informao.
Na perspectiva pragmtica a CI configura-se para resolver os
problemas informacionais ocasionados pelo crescente avano da produo tcnicocientfica, e do surgimento de diversas formas de canais de publicao de
informao registrada.
Assim, ela surge para propor solues prticas no sentido de
possibilitar o acesso informao relevante condizentes com as demandas e
necessidades informacionais dos cidados, dos contextos organizacionais e dos
pesquisadores, ou seja, o auxlio refletido na disponibilizao de meios, tcnicas,
mtodos e prticas para assegurar a eficcia nos processos que envolvam a gesto,
produo, acesso e uso da informao.
No entanto para garantir a participao dos atores organizacionais
necessrio que a informao seja validada para que possa ser circulada e usada, ou
seja, preciso dar sentido e contexto, organiz-la fsica e tematicamente para prover
seu uso em contextos especficos.
69
5.1.2 Informao e Conhecimento

A informao na acepo ps-moderna cumpre um papel decisivo
nas prticas sociais da sociedade e dos contextos organizacionais, isso porque, ela
est diretamente relacionada ao conhecimento.
A
discusso
travada
por
autores
de
diversas
disciplinas,
especificamente pela CI no sentido de postularem um nico sentido para o

significado do termo informao tem produzido inmeras conceituaes e acepes
ao termo.
A informao entendida em alguns contextos como processo,
fluxo, dados elaborados, mensagem, produto, registros contendo estruturas
significantes e significados, insumo para competitividade, registros inscritos num
suporte qualquer, dentre outras acepes.
Vale destacar que a Informao vista como processo entendida
como um componente que reduz a incerteza, modificando o estado anmalo do
conhecimento de cada indivduo. Entretanto para que haja modificaes nas
estruturas mentais de um indivduo, necessrio que o indivduo perceba e assimila
a informao. Porque nem sempre o que constitui uma informao para um
indivduo, tambm percebido e assimilado como informao pelo outro indivduo,
isto o processo de reconhecimento e de apropriao de informaes dependem de
operaes e capacidades cognitivas.
Nessa
perspectiva
pertinente
construo
de
modelos
organizativos da informao que potencializem os processos de tratamento,

organizao, representao, recuperao, transferncia e uso social.
No sentido de delinear o conceito de informao utilizado nessa
pesquisa, destaca-se o consenso de alguns autores da CI ao definirem informao
como sendo um registro inscrito em suporte passvel de significante e significado,
dessa forma o autor Le Coadic (2002), afirma que
Informao um conhecimento inscrito (gravado) sob a forma
escrita (impressa ou numrica), oral ou audiovisual. A
70
informao comporta um elemento de sentido, um significado

transmitido a um ser consciente por meio de uma mensagem
inscrita em um suporte espacial-temporal: impresso, sinal
eltrico, onda sonora, etc. Essa inscrio feita graas a um
sistema de signos (a linguagem), signo este que um elemento
da linguagem que associa um significante a um significado:
signo alfabtico, palavra, sinal de pontuao (LE COADIC
2005, p. 4)
Outra definio descrita pelo autor Buckland (1991), ao denominar
informao-como-coisa e ao afirmar que informao tambm atribudo para
objetos, assim como dados para documentos, que so considerados como
informao, porque so relacionados como sendo informativos, tendo a qualidade
de conhecimento comunicado, ou comunicao, informao, algo informativo.
(BUCKLAND, 1991, p. 352)
Nota-se que crucial a contextualizao do sentido da informao
para melhor adequar e aplicar coerncia conceitual. Isso porque, diversas reas do
conhecimento possuem interface com a informao e alimentam-se dela. No entanto
necessrio que a CI d conformao conceitual, j que a informao seu objeto
de estudo, e conseqentemente a CI uma
disciplina que investiga as propriedades e o comportamento da
informao, as foras que governam seu fluxo e os meios de
processamento para otimizar sua acessibilidade e utilizao.
Relaciona-se com o corpo de conhecimentos relativos
produo,
transmisso,
transformao
utilizao
da
informao. (BORKO, 1968)

A caracterstica multifacetada da informao, deve-se ao fato da CI
obter alto grau de interdisciplinaridade com outras reas, utilizando-se de princpios,
teorias, metodologias e construtos emprestados de diversas disciplinas do saber
humano. (PINHEIRO, 200-)
71
Dessa
forma,
os
enfoqu
es perpassam desde o aspecto cognitivo, relacionando informao e conhecimento,

informao para negcios, tomada de decises, informao como insumo, ou sua
dimenso poltica e social. (PINHEIRO, 200-).
Para Wersig e Nevelling citada pela autora Ribeiro ressalta que
informao como objeto da cincia da informao no uma
certeza, na medida que um possvel objeto [...], e o termo,
marcado por ambigidade, e o mais extremo caso de
polissemia
na
comunicao
tcnica
da
informao
documentao. Esses tericos identificam pelo menos seis

abordagens [...]. abordagem estrutural (orientada a matria);
abordagem do conhecimento; abordagem da mensagem;
abordagem do significado (orientada caracterstica da
mensagem); abordagem do efeito (orientada ao receptor); e
abordagem do processo.
Percebe-se a gerao de uma variao conceitual, fala-se do
conceito de informao sob diversas abordagens, em diferentes reas do
conhecimento.
Porm o autor BARRETO (2002, p. 1) traz uma contribuio no
sentido de entender as relaes imbricadas sobre informao e conhecimento, ao
considerar o conceito de assimilao da informao como agente mediador da
produo do conhecimento (BARRETO, 2002, p. 1).
MIRANDA (1999, p.285) define o conceito de informao no cotidiano
das organizaes, como sendo dados organizados de modo significativo, sendo
subsdio til tomada de decises (MIRANDA, 1999, p. 285).
Beal (2004) define a informao como dados dotados de relevncia e
propsito, o conhecimento tambm tem como origem informao quando a ela so
agregados outros elementos.
72
Percebe-se a incluso para definir informao, do termo dado, como

necessrio constituio da informao; sendo um elemento fora do alcance de
sentido e compreenso, ou seja, seria o estado bruto da informao.
Pondera-se que nas acepes conceituais sobre informao fica
evidente o inter-relacionamento da trade: dados, informao e conhecimento.
Portanto,
para
instituir
modelos
de
SGSI
imprescindvel
compreender a dinmica dos fluxos de informao e de conhecimentos nas

organizaes. Sendo necessrio (re)conhecer as especificidades dos conceitos:
dados, informao e conhecimento.
Para melhor elucidar esta relao o autor Barreto define informao
como sendo, estruturas simbolicamente significantes com a competncia e a
inteno de gerar conhecimento no indivduo, em seu grupo, ou a sociedade.
(Barreto, 2002, p. 1)
Parra Barreto (2002) a relao entre informao e conhecimento

entendida como componente modificador do estoque mental do indivduo. Deixa de
ser apenas uma medida de organizao para reduzir incertezas.
Na tentativa de melhor adequar a abordagem em torno da acepo
de informao, utilizaremos o conceito de informao como coisa, Buckland (1991,
p. 2). Ao considerar os documentos, livros, objetos, artefatos, imagens, sons, bases
de dados, arquivos digitais no contexto dos sistemas de informao, designando teor
informativo relativos a coisas com a inteno de informar. Alm do conceito
enunciado pelo Le Coadic (2004) ao definir informao como estruturas contendo
significante e significado, inscrito sob a forma escrita, impressa ou numrica
composta de sentidos.
73
5.1.3 Recuperao da Informao
O aumento, a proliferao e a diversificao das fontes de

informao no contexto dos sistemas de informao, entendida como bibliotecas,
centros de documentao, arquivos, museus, bases e banco de dados exigem cada
vez mais sistemas de recuperao de informao sofisticados.
Os sistemas de recuperao da informao um componente
central nas organizaes sociais que acumulam, organizam e transferem
informaes. Um sistema de recuperao de informao (SRI) pode ser estruturado,
conforme a figura de (GEY 1992 citado por ROBINS, 2002).
Documento
Perda de
Informao
PROCESSO DE
ESPECIFICAO
DO SISTEMA
PROCESSO DE
INDEXAO
ndices
Necessidades
do usurio
Uma
representao
Do documento
Consulta
PROCESSO DE
RECUPERAO
Lista de documentos
Recuperados
Fonte: GEY, 1992

Figura 12: Componentes de um sistema de recuperao de informao
74
Diante da figura ilustrada acima, visvel a complexidade que

envolve as etapas, operaes e atividades para organizar, representar e
recuperar documentos/informaes no contexto dos SRIs.
Nesse sentido, as atividades de organizao, armazenagem e
transferncia de informaes necessitam de aportes metodolgicos, normativos e
representacionais em cada uma das etapas elucidadas na figura acima.
Na perspectiva de dotar SRIs condizentes com as demandas e
necessidades de contextos especficos, vale destacar a importncia das
linguagens de representao, ao oferecerem oportunidades para retificar as
dissonncias e rudos lingsticos, semnticos e terminolgicos provocados pelas
multiplicidades das operaes e etapas que envolvem as atividades de
organizao e transferncia de informao nos sistemas de recuperao da
informao.
A ausncia de mtodos, ferramentas e mecanismos adequados para
descrever e representar informaes impactam negativamente nos processos de
recuperao de informaes.
Portanto, faz-se necessrio preocupar-se com as operaes que
envolvem os processos de descrio e de indexao, utilizando-se de linguagens
de representao da informao e do conhecimento.
Desse modo, as linguagens de representao so cruciais para
assegurar o sucesso de um sistema de recuperao da informao, j que so
desenvolvidas no sentido de descrever fisicamente e tematicamente informaes
e conhecimentos, alm compatibilizar a terminologia do usurio com a linguagem
de representao de um sistema de recuperao da informao.
Podemos afirmar que os sistemas de recuperao da informao
tendem a serem imprecisos, por no considerar as linguagens de representao
como conceito central nos sistemas de recuperao da informao.
Para melhor entendimento do conceito recuperao da informao
Calvin Mooers define:
75
A recuperao da informao uma disciplina interessada nos

processos pelos quais questes so apresentadas a sistemas de
informao [...] O resultado final desses processos uma lista de
documentos que so um subconjunto dos sistemas de informao. O
processo pode ser realizado por qualquer meio, mas essencialmente,
quando atributos especficos de uma questo so correspondidos com
atributos de um documento, o documento includo na lista. (ROBINS,
2000 p. 57).
A recuperao da informao (RI) considerada por diversos

autores o ncleo da Cincia da Informao.
Mooers considerado autor fundador do termo recuperao da
informao (Information Retrieval). Difundida durante as dcadas de 1950 e
1960, no sentido de propor solues eficazes para a recuperao de
informaes, decorrente do desenvolvimento cientfico e tecnolgico, e o
aumento das dificuldades para armazenar e recuperar informaes, ocasionada
pela exploso da informao, como irreprimvel crescimento exponencial da
informao e de seus registros, particularmente em cincia e tecnologia
(SARACEVIC, 1996, p. 42).
Nesse contexto surge uma disciplina preocupada com a recuperao
da informao (SARACEVIC,1996, p. 42). Ela surge para tratar dos aspectos
intelectuais da descrio da informao e sua especificao para busca, e
tambm de qualquer sistema, tcnicas ou mquinas que so empregados para
realizar esta operao. (MOOERS, 1951)
A disciplina, desde seu incio preocupa-se em responder algumas
questes como descrever intelectualmente a informao?; como especificar
intelectualmente a busca?; que sistemas, tcnicas ou mquinas devem ser
empregados?; (MOOERS, 1951). O autor Saracevic (1996) aponta que tais
questes elucidados por Mooers ocasionou o surgimento de
Uma grande variedade de conceitos e construtos tericos, empricos
e pragmticos, bem como numerosas realizaes prticas. Muitos
exemplos histricos podem ilustrar a marcante evoluo dos
sistemas, tcnicas e/ou mquinas utilizadas para recuperao da
informao. Sua variedade vai dos cartes perfurados aos CD-ROMs
e acesso on line; dos sistemas no-interativos queles de
76
recuperao de informao em um processo altamente interativo; de

bases documentais para bases de conhecimento; dos textos escritos
aos multimdias; da recuperao de citaes recuperao de textos
completos; e ainda aos sistemas inteligentes e de respostas a
perguntas. (MOOERS, 1951 apud SARACEVIC 1996)
Pode-se afirmar as preocupaes elucidadas pelo autor Mooers, aponta a

necessidade de prover meios eficazes para a organizao e representao da
informao, alm da necessidade de compreender melhor os processos e operaes
cognitivas nas atividades de representao e recuperao da informao.
Os problemas relacionados recuperao da informao, j era
uma preocupao social para muitos pesquisadores, cientistas, bibliotecrios,
documentalistas, desde o final do sculo XIX. Podemos citar os visionrios Paul
Otlet e La Fontaine, sendo o primeiro considerado por muitos autores da rea como
percursor e fundador da Documentao e da Cincia da Informao.
Paul Otlet identificou um problema social, o de prover meios eficazes
para recuperao da informao. Na tentativa de resolver os problemas de
recuperao e acesso informao, surge a Documentao, preocupada em
fomentar e institucionalizar prticas profissionais, mecanismos, ferramentas e
tcnicas para gerir os processos de produo, organizao, armazenamento,
representao e recuperao de informaes e documentos. Otlet cunhou o termo
documentao pra expressar uma abordagem mais ampla organizao de fontes
de conhecimento do que a tradicionalmente associada ao termo bibliografia
(RAYWARD,1997, p. 18).
Ou seja, ela dotada de tcnicas, mtodos e prticas para resolver
os problemas ocasionados pelo crescente avano da produo tcnico-cientfica,
conhecida na poca como exploso da documentao.
Na atualidade, os problemas de recuperao da informao so
identificados devido ao aumento desordenado do conhecimento, aliado ao
surgimento de diversos canais de publicao da informao registrada, alm da
disperso e despersonalizao da informao e do conhecimento.
77
A Documentao enquanto disciplina cientfica surge para propor

solues prticas para acessar informao relevante e pertinente de acordo com as
necessidades demandadas pelos pesquisadores e cientistas.
Na perspectiva dos SRIs, pode-se afirmar que a preocupao central
da Documentao a recuperao da informao de grandes massas de
documentos, para tal utiliza-se de recursos tecnolgicos da poca, incluindo a
fotografia e especificamente o microfilme, alm de prticas de busca mecnica de
publicaes.
Em 1895 Paul Otlet e La Fontaine fundaram o IIB Instituto
Internacional de Bibliografia, com a inteno de elaborar um catlogo bibliogrfico
universal, foi criado o RBU denominado de Reprtoire Bibliographique Universal, um
grande banco de dados, contendo diversas colees, bibliografias, imagens, textos
entre outros objetos. Com finalidade de sintetizar todo conhecimento registrado.
(RAYWARD, 1997).
Dentre as tecnologias desenvolvidas no contexto da Documentao
para gerir o processo de representao no sistema de recuperao de informaes e
documentos RBU, foi utilizada a CDU Classificao Decimal Universal.
Podemos afirmar que a Documentao contribuiu significativamente
para a consolidao/institucionalizao social e cognitiva do campo da Cincia da
Informao, importando para a CI as bases tericas, marcos conceituais e tcnicas
concernentes prticas e atividades de organizao, armazenamento, acesso,
recuperao e transferncia de informaes. Corroborando com esta afirmao o
autor Rayward (1997) afirma que as idias e prticas desenvolvidas pela
Documentao no perodo de 1895 at o incio dos anos 30, fossem discutidas hoje,
receberiam rubricas de
informao tecnolgica, recuperao de informao, estratgias de
busca, centros de informao, servios de informao pagos, bases
de dados online, software de gerenciamento de banco de dados,
redes acadmicas de comunicao, e at mesmo a moderna difusa
de informao. (RAYWARD, 1997, p. 2)
78
Desse modo perceptvel relao histrica e a interface natural

que a Documentao possui com a Cincia da informao, pois os tpicos
elucidados acima, refletem na atualidade temas centrais da rea.
Em 1945, Vannevar Bush escreveu artigo intitulado As we may
think, denunciava o problema da exploso informacional em cincia e tecnologia
e as dificuldades para organizar, armazenar e transferir o conhecimento tcnicocientfico acumulado durante a guerra e ps-guerra, e as dificuldades em
repassar essa avalanche de informaes para a sociedade.
No sentido de solucionar os problemas suscitados pelo
surgimento de grandes volumes de massa informacional produzidas no perodo
guerra e ps-guerra, ele prope uma tecnologia compatvel com a inteligncia e
base tecnolgica da poca, denominado por ele de Memex, dispositivo para
tornar acessvel o emaranhado estoque de conhecimento, definida por ele como
um dispositivo futuro de uso individual que uma espcie de arquivo e biblioteca
privados mecanizados(BUSH, 1945).
A preocupao de Vannevar Bush perpassa pela organizao,
armazenamento, preservao e recuperao de estoques informacionais em
contextos especializados. Isso porque at o momento, as praticas de
organizao do conhecimento eram baseadas em esquemas de organizao
hierrquica, linear e artificial.
Sua proposta para organizar e recuperar informaes questiona
o modelo de organizao e recuperao vigente na poca, baseado em
estruturas lineares e estticas.
Prope
um
novo
paradigma,
de
organizao,
gesto
recuperao da informao baseada num modelo associativo, ao afirmar que a

mente humana no trabalha por indexao, e sim por associao [...] a seleo
por associao, e no por indexao pode ser mecanizada [...]". (BUSH, 1945).
Isto , props um modelo para estender a memria humana, criando meios para
organizar a informao de forma associativa atravs de um dispositivo mecnico
que permite a uma pessoa organizar, armazenar, e consultar seus livros,
79
arquivos e comunicaes, de forma associativa. Permitindo ao usurio tomar

nota de cada fragmento de informao, bem como agregar informaes e lig-la
a essa rede j existente, onde a caracterstica essencial do Memex o processo
de relacionar dois elementos diferentes entre si (BUSH, 1945).
Percebe-se que o fenmeno da recuperao da informao no
uma preocupao recente. Desde a inveno da escrita, o homem utilizou-se do
registro em suportes documentais e viu-se obrigado a desenvolver meios para
auxili-lo nos processos de armazenamento, organizao e recuperao futura.
Constata-se
essa
preocupao
desde
Antiguidade
pelas
evidencias
encontradas nas prticas de organizao, armazenamento e recuperao de

objetos documentais custodiados nos arquivos e bibliotecas.
uma preocupao recorrente, verificada na atualidade, pois
perceptvel o aumento dos transtornos e problemas em acessar e recuperar
informaes relevantes e pertinentes. uma preocupao central da Cincia da
Informao.
Pois na atualidade nunca se teve tanta circulao da informao, no

entanto no h usabilidade porque no h formas consistentes e pertinentes para
recuperao da informao.
O fenmeno agrava-se ainda mais na atualidade devido o impacto
das tecnologias de informao e comunicao nos sistemas de recuperao da
informao ao modificarem as praticas informacionais dos usurios ao impor
novas formas de interao e interlocuo com os sistemas de recuperao nos
contextos digitais, nesse sentido o autor Barreto (1999, p.376), afirma que a
importncia do instrumental da tecnologia da informao forneceu a infraestrutura para modificaes sem retorno, das relaes da informao com seus
usurios. Ao mesmo tempo essas transformaes tambm potencializaram o
acesso a grandes massas de informaes, possibilitando dessa forma a
interao [...] com as memrias de informao e a conectividade aos diferentes
espaos de acesso a [...] informao. (BARRETO, 2002, p.4)
80
5.1.4 Organizao e representao da Informao

No sentido de contribuir para o avano de conhecimentos tcnicos e
cientficos na ps-modernidade, primordial dotar os sistemas de recuperao da
informao com instrumentos e mecanismos para organizao, estruturao e
representao da informao, visando facilitar a comunicao entre estoques de
informao e usurios.
Na perspectiva da recuperao da informao, v-se o aumento
desordenado em torno de definies conceituais e terminolgicas em diversas reas,
sendo necessrio construo e uso de instrumentos representacionais para
contextualiz-las e garantir sua univocidade conceitual dentro de uma rea.
Desse modo organizao e representao da informao
preocupao marcante na nas prticas histricas das reas da biblioteconomia,
documentao e da cincia da informao.
Podemos citar o visionrio Otlet ao desenvolver entre 1904 e 1907 a
CDU sistema de classificao para representar e recuperar informaes
armazenadas do RBU Repertrio Bibliogrfico Universal.
Desse modo, ao considerar a informao como agente mediador da
produo do conhecimento (BARRETO, 2006). fundamental prover meios
eficazes para sua organizao e representao, s dessa forma ser possvel Inserila no processo do ciclo de produo de conhecimento.
Nesse contexto destaca-se o importante papel desempenhado pelos
instrumentos de representao documentrias, as chamadas Linguagens
Documentrais (LDs).
So elas que iro ativar de forma consistente as informaes
armazenadas nos sistemas de recuperao de informao, cumprindo ao
comunicativa entre o documento e o usurio, exigidas no processo de transferncia
da informao.
No processo documentrio, elas traduzem a linguagem natural para
linguagem utilizada pelo sistema.
Dito de outro modo, uma LD utilizada na
entrada do sistema, quando o documento analisado para
registro. Seu contedo identificado e traduzido, de acordo
com os termos da LD utilizada pelo sistema e segundo a
poltica de indexao estabelecida. da mesma forma utilizado
sada do sistema, quando a partir da solicitao da
informao pelo usurio, feita a representao da busca.
Assim, seu pedido analisado, seu contedo identificado e
81
devidamente traduzido nos termos da LD utilizada (CINTRA et

al, 2002, p. 40)
Observa-se tambm que os requisitos enunciados pelas normas e

procedimentos da SI, enfatizam muito mais os aspectos procedimentais e
tecnolgicos. Verifica-se na maioria das normas a ausncia de requisitos especficos
aos
aspectos
inerentes
de
Organizao
Tratamento
da
Informao,
Representao e Recuperao da Informao.

De modo geral, entendemos que Gesto da Informao (GI) na
perspectiva da Cincia da Informao (CI) poder subsidiar o processo de
desenvolvimento e sistematizao de requisitos para melhor compreenso das
especificidades
que
envolvem
as
prticas
de
organizao,
tratamento,
representao e recuperao de ativos de informao ausentes nas normas de

Segurana da Informao (SI).
5.1.5 Atribuies da rea de Gesto da Informao

Partindo do princpio que a gesto da informao conjunto de
processos que visa a obteno de um diagnstico das necessidades de informao
e mapeamento de fluxos formais de informao nos vrios setores da organizao e
que englobam atividades de planejamento, organizao, direo, distribuio e
controle de qualquer recurso.
Para Beal (2005), a GI relaciona-se ao fluxo de informao seguido
pela organizao, em que a identificao de necessidades e requisitos de
informao como um elemento impulsionador deste fluxo, fazendo com que haja
um ciclo contnuo de coleta, tratamento, distribuio/armazenamento, e uso com o
fim de tomada de deciso dos usurios internos, como a disseminao de
informao para o pblico externo empresa. A figura a seguir demonstra o fluxo de
informao proposto pela autora:
82
Fonte: BEAL, 2004, p.29

Figura 11. Modelo de representao do fluxo da informao nas organizaes.
As etapas do ciclo de informao so:

1. Identificao das necessidades de informao verificar as informaes
disponveis no grupo interno ou externo, para que se possam expandir os
produtos e servios informacionais, e ter a viso da necessidade informacional.
2. Obteno: nesta etapa, so desenvolvidas as atividades de criao, recepo ou
captura da informao, proveniente de qualquer meio ou fonte, mas que seja
confivel.
3. Tratamento: Para que a informao possa ser usada, preciso que a mesma
passe por um processo de organizao, formatao, estruturao, classificao
anlise, sntese, aprendizagem e reproduo.
83
4. Uso: Esta etapa a mais importante da GI, pois ter informao necessria e
disponvel no significa que est sendo usada, ou seja, no a existncia da
informao que garante melhores resultados, e sim o uso que feito da mesma.
5. Armazenamento: H a necessidade de se guardar as informaes teis
empresa, permitindo seu uso ou reuso. Deve-se atentar para qual mdia a
informao est sendo armazenada, fazendo sempre uma cpia de segurana, e
no caso de dados sigilosos, necessrio criar mecanismos de proteo
impedindo o acesso de pessoas no autorizadas.
6. Descarte: Quando uma informao perde o seu valor ou torna-se obsoleta para a
organizao, ela deve ser descartada. Isto faz com que se economizem recursos
de armazenamento, aumentando a rapidez e eficincia na localizao de
informaes necessrias.
Considera-se, portanto, que a GI no contexto das organizaes deve
atuar em conjunto com os princpios da SI para assegurar os ativos de informao
corporativa,
modelar
sistemas
de
informao
confidencialidade, integridade e disponibilidade.
pautados
nos
pilares
84
5.2 Atribuies da rea de Segurana da Informao

A segurana da informao obtida atravs de implantaes de controles
adequados, polticas, processos, procedimentos, estruturas organizacionais. Com o
objetivo de garantir o funcionamento da organizao frente as ameaas a que esteja
vulnerveis.
A NBR ISO/ IEC 27002 estabelece diretriz, ela prov orientao para iniciar o
processo de controles para manter e melhorar a segurana da informao em uma
organizao um guia prtico onde trs conceitos e diretrizes de melhores prticas
exercidas pelo mercado.
Toda e qualquer informao deve ser protegida, esteja armazenadas em
qualquer suporte, escrito, desenhado, em papel ou em meios magnticos em filmes
ou falado.
Para melhor elucidar sobre SI enquanto um conjunto de elementos ou
componentes que se interagem para alcanar os objetivos e requisitos do sistema.
Apresentamos na figura abaixo os principais componentes de um sistema ou subsistema de controle de processos, isto constitudo das etapas de entradas,
processamento e sadas.
ENTRADAS / IMPUTS
PROCESSOS
TRANSFORMAES
SADAS / RESPOSTAS
SO ESPERADAS
SO PLANEJADAS
SO CONTROLADAS
Ativo
Ativo de informaes
SGSI
Confidencialidade
Integridade
disponibilidade
Fonte: Maranho, Mauriti, (2006, p. 15)

Figura 13 processo sob controle (adaptado pela autora)
85
A figura acima demonstra que, caso as etapas de imput,

processamento e sada estiverem ancorados sob o prisma procedimental da SGSI,
isto , assegurado o controle do processo. Podemos inferir que possvel ter o
domnio situacional do contexto onde est inserido o SGSI, podendo determinar ou
prever os resultados uma vez que os estmulos (entradas), bem como mecanismos
de transformao esto sob o nosso controle. Visto que a finalidade de um SGSI
projetado par assegurar a seleo de controles de segurana (NBR ISO/ IEC
27001, p.1).
Conceber um SGSI enquanto processo nos ajuda construir uma
viso holstica da SI, uma vez que, a compreenso das especificidades de cada
processos e sub-processos, nos auxiliar a fazer uma gesto completa do sistema.
Isto porque, a tendncia da maioria dos modelos de gesto SI enxergar de modo
fracionado o sistema, aplicando os requisitos da SI somente em algumas etapas do
processo, como por exemplo, a aplicao de permisso ou restrio lgica do
sistema conforme estabelecidos pelo perfil de acesso do(s) usurio(s), ou seja, a
sobrevalorizao das tecnologias da informao para gesto da SI.
Numa abordagem sistmica de um SGSI necessrio garantir a
efetividade comunicacional da informao para assegurar que os objetivos
organizacionais sejam alcanados.
Portanto garantir a funcionalidade da segurana do processo de
comunicao num contexto organizacional imprescindvel o desenvolvimento de
procedimentos de produo, disseminao e distribuio de contedos corporativos
que garantam a sua fidedignidade, confidencialidade e autenticidade, com vista a
diminuir os riscos e problemas de alteraes fraudulentas ocorridas durante as
etapas de transferncia e distribuio.
Visto que a efetividade dos processos de comunicao da informao um
fator determinante para o sucesso ou fracasso de um SGSI, imprescindvel
conhecer em profundidade quais so os processos, sub-processos que compem
um SGSI. necessrio tambm identificar os rudos comunicacionais para
posteriores aes corretivas.
86
Para obter um ambiente informacional seguro necessrio um conjunto de

requisitos para servios de segurana: cpias de segurana, controle de acesso,
classes de sigilo, trilha de auditoria de sistemas, criptografia para sigilo, assinatura
digital etc...
Quanto ao uso de criptografia, tanto para sigilo tanto para autenticao, o
rigor dos requisitos est sujeito legislao vigente e a poltica de segurana
especfica. Muitas vezes, a criptografia usada como mecanismo de apoio ao
controle de acesso para reforar o sigilo de informaes. Os requisitos de assinatura
digital e certificao digital so necessrios para aquelas organizaes em que
documentos so assinados digitalmente ou verificaes eletrnicas de autenticidade
so necessrias.
cpias de segurana tm por objetivo prevenir a perda de informaes, e garantir

a disponibilidade do sistema. Os procedimentos de backup devem ser feitos
regularmente e, pelo menos uma cpia deve ser armazenada preferencialmente
off-site.
classificao da informao quanto ao grau de sigilo e restrio os requisitos

descritos nesta pela norma NBR ISO/ IEC 27002 seo referem-se ao acesso
com base na classificao do grau de sigilo bem como restrio de acesso
informao sensvel. Informao sensvel pode estar relacionada honra e
privacidade de pessoas ou a questes estratgicas e de segredo corporativo.
trilha de auditoria consiste num histrico de todas as intervenes, ou tentativas

de intervenes, feitas nos registros informacionais. Nesse sentido, tambm um
metadado sobre os documentos digitais e informa sobre a sua autenticidade.
assinatura digital uma seqncia de bits que usa algoritmos especficos,

chaves criptogrficas e certificados digitais para autenticar a identidade do
assinante e confirmar a integridade de um documento. Certificao digital uma
tcnica, baseada em uma infra-estrutura de chaves pblicas, de garantia da
validade de assinaturas digitais. O uso de assinaturas digitais e de certificao
digital na administrao pblica foi padronizado e normalizado com a criao da
Infra-estrutura de Chaves Pblicas Brasileira - ICP-Brasil.
87
Esses requisitos no esgotam o tema SI, pois a segurana integral

sistmica e abrange no somente a tecnologia, mas tambm pessoas, processos e
legislao.
5.3 Contribuies da GI para o SGSI

O insumo bsico da CI a informao, e como rea de formao,
possui profissionais que possuem competncias e habilidades especficas para
contribuir nos processos relativos ao uso da informao e do conhecimento, sendo
este o profissional da informao. Tal profissional capaz de coletar, processar e
disseminar informao, atendendo prontamente s necessidades de informaes
crticas, e possibilitando que a informao atue como uma vantagem competitiva
para qualquer organizao em que o mesmo estiver inserido.
A GI base para se fazer uma administrao e o gerenciamento de
todos os ativos de informao, pois objetivo obteno, tratamento e organizao
da informao com o intuito de fomentar a recuperao e a disseminao, com
economia de tempo e de recursos financeiros, visto que se ope reinveno de
roda, de coisas que j so conhecidas e diagnosticadas atravs da socializao, as
suas melhores prticas.
A finalidade apresentar o aporte terico conceitual das principais
atividades a serem desenvolvidas tanto pela GI como a de SI buscando como
norteador as principais ferramentas da GI para elucidar a contribuio do tratamento
e organizao da informao para salvaguardar os ativos informacionais de uma
organizao e auxiliar na constituio do SGSI.
A identificao das necessidades de informao e a incorporao no
sistema de gesto informao quando passar a seguir as rotinas de tramitao e
arquivamento. Uma vez identificada a informao tanto poder ser includo num
fluxo de trabalho e posteriormente arquivado, como ser imediatamente descartado
aps a classificao da informao e reconhecimento de quais informaes
realmente precisar de tratamento, uma vez que para obter a SI faz-se necessrio
iniciar pela classificao dos ativos que vai determinar todo o seu fluxo.
88
Tradicionalmente, nos sistemas de GI, a captura informao feita

no momento em que o documento registrado, classificado e/ou identificado. Na GI
a informao tanto pode ser produzida diretamente dentro do sistema e ento
capturada automaticamente no momento do registro, como pode ser produzido fora
do sistema e capturado e registrado posteriormente.
Portanto, ao pressupor que na gesto da informao corporativa
imprescindvel o gerenciamento dos fluxos de produo e uso dos contedos
corporativos, isto , a gesto de documentos propriamente dita. necessrio
estabelecer uma poltica de gesto documental pautada no trip da segurana da
informao: confidencialidade, integridade e disponibilidade. Pensamos ser oportuno
apresentar como contribuio para o processo de concepo de um SGSI os aportes
metodolgicos da gesto de documentos.
Sendo assim, encontramos na gesto documental aportes para dotar com
mais eficcia a gesto de ativos de informao.
No sentido de compreender a natureza da gesto da informao no contexto
das organizaes. Conclumos ser oportuno ressaltar que as informaes
produzidas no mbito de uma organizao, refletem o seu funcionamento; a sua
natureza; as atividades; a sua estrutura, a funcionalidade e o seu propsito, portanto
podemos caracteriz-la como informao orgnica.
Nesse sentido Lopes corrobora (2003, p.33) ao afirmar que a natureza da
informao orgnica composta de um conjunto de recursos e suportes de registros
convencionais ou no formato eletrnico produzidas, recebidas e acumuladas por
uma organizao, como resultado de suas atividades administrativas.
Sendo assim, pretendemos superficialmente aproximar conceitualmente os
termos documento e informao. Desse modo, podemos afirmar que um documento
evoca um suporte e um registro, elementos indissociveis para conceber a
materialidade da informao compreendida enquanto um objeto documental.
Numa
abordagem
orientada
pelo
paradigma
da
informao
para
compreenso conceitual do documento, os autores (MOSTAFA; PACHECO, 1995,

p.10) afirmam que se for alargada a compreenso do documento, constatar-se-
no existem diferenas fundamentais [....] so todos suportes de informao.
89
No nosso objetivo discutir as concepes conceituais em torno dos termos:

documento e informao; documento arquivstico; informao arquivstica; gesto
documental e gesto da informao. nossa pretenso apenas evocar.
Embora a gesto documental seja uma disciplina da Arquivologia possvel o
estabelecimento de um dilogo com a GI, j que a mesma considerada por muitos
autores da CI como disciplina aplicada da Cincia da Informao. E que tanto a CI
quanto a Arquivologia compartilham do mesmo objeto de estudo: a informao, e
tem como misso propor aportes tericos, conceituais e metodolgicos para
possibilitar a transferncia da informao em contextos especficos.
Desse modo achamos oportuno uma aproximao do corpus terico e
metodolgico da gesto documental por apresentar uma abordagem sistmica da
gesto do ciclo de um ativo de informao.
Sendo assim, compreendemos que a gesto documental um sub-processo
da gesto da informao no contexto das organizaes.
Encontramos no modelo de requisitos para sistemas informatizados de gesto
de contedos corporativos - e-ARQ Brasil que foi elaborado no mbito da Cmara
Tcnica de Documentos Eletrnicos do Conselho Nacional de arquivos subsdios
metodolgicos e a indicao de instrumentos, mecanismos e ferramentas para
gerenciar o ciclo de vida de ativos de informao, compreendido aqui, enquanto
informao orgnica, materializada num documento.
Essa aproximao se deu ao comparar os objetivos enunciados pelo e-ARQ
Brasil ao apresentar especificaes de requisitos e estabelecer um conjunto de
condies
serem
cumpridas
pela
organizao
produtora/recebedora
de
documentos, pelo sistema de gesto arquivstica e pelos prprios documentos a fim

de garantir a sua confiabilidade e autenticidade, assim como seu acesso.
Diante do exposto podemos afirmar que os objetivos do e-ARQ Brasil esto
alinhados com os princpios da SI que a confidencialidade, integridade e a
disponibilidade.
um conjunto de procedimentos e operaes tcnicas, caracterstico do
sistema de gesto arquivistica de documentos, processado por computador,
aplicvel em sistemas hbridos, isto , que utilizam documentos digitais e
documentos convencionais.
90
Um SIGAD inclui operaes de como: capturar documentos, aplicao do

plano de classificao, controle de verses, controle sobre os prazos de guarda e
destinao; armazenamento seguro e procedimentos que garantam o acesso e a
preservao a longo e a mdio prazo de documentos arquivisticos digitais e no
digitais confiveis autnticos.
Para cumprir a proposta enunciada nessa pesquisa, segue abaixo alguns
princpios norteadores para a construo de um Sistema de Gesto da Segurana
da Informao (SGSI) sob a perspectiva da GI, pressupondo que para se fazer de
modo sistmico a gesto da informao necessrio conceber metodologias e
procedimentos para organizar e tratar contedos de documentos:
A principal etapa para iniciar o SGSI a classificao dos ativos de
informao conforme Santos (2003 p.60) ,
O processo de agrupar as informaes segundo os
assuntos, que abrangem, enquadrando dentro de
um sistema pr-estabelecido, dando-lhes ao mesmo
tempo um lugar certo na coleo e uma localizao
relativa.
Alm do cdigo de classificao, descritores, nmero de protocolo e
nmero de registro, a captura pode prever a introduo de outros metadados tais
como: data e hora da criao, da transmisso e do recebimento da informao;
nome do autor, do originador, do digitador e do destinatrio, entre outros. Esses
metadados podem ser registrados em vrios nveis de detalhe, dependendo das
necessidades geradas pelos procedimentos da organizao dentro do seu contexto
jurdico administrativo. Os metadados so essenciais para identificar as informaes
de um modo inequvoco e mostrar sua relao com os outros, nesse caso podemos
aplicar o metadados para garantir integridade das informaes.
A utilizao dessa ferramenta possibilitar a rastreabilidade dos
ativos de informao e auxiliar no gerenciamento do SGSI. Levar em conta a
anlise da legislao vigente, exigncias quanto transparncia e ao exerccio das
atividades, bem como grau de risco que correm caso no recuperem a informao
que principalmente responsabilizam uma organizao ou indivduo por uma ao,
obrigao e responsabilidade das informaes que esto relacionados prestao
de contas do rgo ou entidade.
91
Para corroborar com a importncia da classificao trazemos o

conceito do e- ARQ Brasil(2006) o ato ou efeito de analisar e identificar o contedo
dos documentos e de selecionar a classe sob a qual sero recuperados. Essa
classificao feita a partir de um plano de classificao elaborado pelo rgo ou
entidade que poder incluir, ou no, a atribuio de um cdigo aos documentos.
A classificao determina o agrupamento de documentos em
unidades menores (processos e dossis) e o agrupamento destas em unidades
maiores, formando o arquivo do rgo ou entidade. Para tanto, deve tomar por base
o contedo do documento, que reflete a atividade que o gerou e determina o uso da
informao nele contida. A classificao tambm define a organizao fsica dos
documentos, constituindo-se em referencial bsico para sua recuperao.
A classificao deve se basear no plano de classificao envolve os
seguintes passos:
identificar a ao que informao registra;
localizar a ao ou atividade no plano de classificao;
comparar a atividade com a estrutura organizacional para verificar se
apropriada unidade que gerou a informao;
aplicar a classificao a informao independente de seu suporte fsico ou

lgico.
atravs da classificao da informao que dever se iniciar todo
o processo de gesto da SI, pois nessa faze onde se evidencia quais os ativos de
informao e tambm quais necessitam de proteo, quem so os seus donos
custodiantes e principalmente para a SI ser classificada quanto ao grau de sigilo.
Aps a classificao outro passo muito importante para a GI a
indexao onde atribudo aos termos descrio do documento4, utilizando
vocabulrio controlado e/ou lista de descritores, tesauro e o prprio plano de
classificao. Essas atividades em conjunto auxiliaro o cumprimento dos requisitos
na norma NBR ISO/ IEC 27002 principalmente na concepo da Poltica de
segurana, classificao e controles dos ativos de informao, segurana fsica e do
ambiente, gerenciamento das operaes e comunicaes, controle de acesso,
4
Documento. Informao registrada independente do seu suporte
92
desenvolvimento e manuteno de sistemas, gesto da continuidade do negcio e

conformidade. Atingindo todos esses passos a organizao estar apta a constituir o
SGSI.
A seleo dos termos para indexao normalmente feita com base
em:
tipologia, ttulo ou cabealho, assunto, datas associadas com as transaes

registrada, nome de clientes, rgos ou entidades envolvidas;
O objetivo da indexao ampliar as possibilidades de busca e facilitar
a recuperao das informaes, podendo ser feita de forma manual ou automtica.

Os ativos de informao devem ser analisados com relao s
precaues de segurana, ou seja, se so considerados ostensivos ou sigilosos.
Nos casos sigilosos, a legislao estabelece diferentes graus a serem atribudos a
cada informao.
as informaes que dizem respeito segurana da sociedade e do Estado,

bem como aqueles necessrios ao resguardo da inviolabilidade da intimidade,
da vida privada, da honra e da imagem das pessoas estaro sujeitos s
restries de acesso, conforme legislao em vigor.
a atribuio de restries deve ser feita no momento da classificao de

segurana e sigilo elaborado pelo rgo ou entidade e envolve os seguintes
passos:
identificar a ao ou atividade que a informao registra;
identificar a unidade administrativa qual o documento pertence;
verificar a poltica de classificao da informao conforme o plano de SI e o

grau de sigilo.
A avaliao uma atividade vital em um programa de GI pois
permite racionalizar o acmulo de informao nas fases produo, acesso e uso

facilitando a constituio do SGSI. A avaliao o processo de anlise das
informaes, visando estabelecer diretrizes para a destinao, de acordo com a
poltica de classificao da organizao e tambm poder ser formalizados na tabela
de temporalidade e destinao.
93
Os prazos de guarda referem-se ao tempo necessrio para o

arquivamento das informaes independentes do seu suporte, necessrio aplicar a
poltica de para otimizar os recursos empregados pela organizao. Visando atender
exclusivamente s necessidades da administrao que os gerou, baseado em
estimativas de uso.
Recomenda-se nessa etapa que haja uma poltica de descarte de
dados e informaes. Para cumprir essa operao necessrio categorizar a
natureza dos dados e informaes, estabelecendo a priori a natureza dos
contedos, sua funo e contexto, classificando-as conforme sua funo e uso
organizacional. Estabelecer plano de avaliao de contedos, tendo como base
algumas caractersticas e funo desses contedos. Podem ser categorizadas tendo
como base seu ciclo de vida: valor primrio (cumpre ainda uma funo informativa
atrelada ao uso no cotidiano das organizaes); valor secundrio (cumpre uma
funo orientada para o uso, porm menos utilizada no dia-a-dia); valor tercirio
(transferncia, armazenamento e preservao permanente, ou seja, cumpre funo
informativa retrospectiva e poder servir para subsidiar na tomada de decises e no
desenvolvimento de planejamento estratgico, nessa etapa assegurado a
informao e o conhecimento atravs de aes para ativar a memria
organizacional. A poltica de descarte deve ser estabelecida a partir dessas
premissas.
Nesse sentido, nenhuma informao dever ser conservada por
tempo maior que o necessrio, pois manter esses recursos custa caro.
O ativo de informao dever ser classificado no momento da sua
criao possibilitando assim o seu gerenciamento e monitoramento conforme o
SGSI, identificar a temporalidade e a destinao prevista para a informao no
momento da captura e do registro, de acordo com os prazos e as aes previstas na
tabela de temporalidade e destinao do rgo ou entidade.
Uma vez que os controles de SI so aplicados muitas vezes
somente no ambiente lgico e no que tange a restries pelo controle de acessos,
oportuno ressaltar a importncia de fazer a GI com os aportes e ancorados pelas
normas da SI, assim tambm como atravs das ferramentas utilizadas para o
tratamento e organizao da informao ajudar na constituio e manuteno do
SGSI e podendo assim trazer grandes benefcios para a organizao que enxergar
94
essas atividades como um macro processo, podendo assim ser administradas e

gerenciadas em conjunto em pr de uma gesto efetiva e acima de tudo assegurar
seus ativos de informao que hoje reconhecido como um bem e patrimnio que
deve ser protegido.
Observamos tambm que os requisitos que orientam as normas de SGSI
esto em conformidade com a literatura da rea, e no apresentam detalhamento de
como e quais so as ferramentas e mecanismos para efetivar as atividades de
organizao e tratamento de ativos de informao. Em resumo s apresentam de
modo genrico as medidas e apenas sugerem as normas como requisitos para
concepo de SGSI.
95
6 CONSIDERAES
Atualmente, o mercado menciona, cada vez mais a segurana da

informao, embora a maior parte das organizaes no utilizem os recursos
referentes a ela de forma conveniente, valem de outras. Muitos dos desperdcio dos
recursos so motivados pela prpria cultura da empresa, ou seja, a perda das
informaes por descuido, e ameaas simples continuam em patamares elevados
como vrus e roubo de equipamentos. Tambm no podemos nos esquecer de
ressaltar os problemas causados pelo excesso de informao (papel/imagem) e a
no recuperao da informao na hora exata. Desde que vez a informao seja
reconhecida como ativo informacional, faz-se necessrio a contemplao de um
sistema efetivo para gerencia- la
As informaes disponveis que so armazenadas nas organizaes
so manipuladas entre os mais diversos setores e sistemas de informao. As
decises e aes so tomadas decorrente dessas informaes que devem ser
correta, precisas e estarem disponveis.
Com todo o avano tecnolgico que se delineou nas ltimas
dcadas, as organizaes tambm vm sendo foradas a pensarem no s na
aquisio e na utilizao desses recursos informacionais, mas tambm quanto
forma de proteg-los.
Nesse contexto, oportuno ressaltar que, na concepo de um
SGSI, atravs de dispositivos metodolgicos no contexto da Gesto da Informao
(GI), na perspectiva da Cincia da Informao (CI), deve se utilizar do tratamento da
informao no seu ciclo de vida, ou seja, no contexto de coleta, organizao,
armazenamento, recuperao e disseminao.
O processo de SGSI ser
contemplado em todo o seu ciclo desde o reconhecimento dos ativos de informao

at seu descarte, e auxiliara a alta administrao a gerir seus ativos de informao.
Podemos afirmar que, para obter um ambiente inteiramente seguro,
faz-se necessria a aplicao dos mesmos cuidados com toda a informao da
organizao, independente do suporte em que esteja armazenada.
96
Para ocorrer administrao da segurana, a organizao dever

reconhecer o SGSI como um processo,em que as pessoas responsveis respondam
,diretamente, alta administrao. Tal fato necessrio para que a rea se torne
menos suscetvel a presses e para que ela possa ser incorporada, facilmente, pela
cultura organizacional.
Sob essa perspectiva, a GI deve incluir, em dimenses estratgicas e
operacionais, os mecanismos de obteno e de utilizao de recursos humanos,
tecnolgicos, financeiros, materiais e fsicos.
O mercado cada vez mais procura de profissionais capacitados para
lidar com essas situaes pertinentes ao excesso de informaes torna-se tambm
pessoas com habilidades e conhecimento na rea de segurana fsica.
Na modernidade os profissionais que atuam em segurana da
informao na sua maioria, so provenientes da rea da tecnologia, o que, aos
poucos, est mudando pois as organizaes esto percebendo que s
conhecimento tcnico (em tecnologia), s aplicaes de controles no so
suficientes para fazer a gesto de seus ativos, sejam eles tangveis ou intangveis.
Dessa forma isso cada vez mais, nesse mercado de segurana da informao,
contamos com o numero cada vez maior de profissionais de outras reas como:
administrao, contabilidade e biblioteconomia.
Compreenso clara das caractersticas da organizao, sua
estrutura, suas capacidades, objetivos, estratgias, restries legais de atuao e
natureza dos ativos de informao, em termos de seus valores tangveis e
intangveis, fundamental para que se possam definir critrios adequados para
selecionar as melhores alternativas entre as medidas de proteo.
Os processos de produo, armazenamento e teste de recuperao
de Backup ou cpias de segurana so fundamentais para garantia a negcio. Alm
disso, identificao de necessidades e estabelecimento de um ciclo contnuo de
coleta, tratamento, distribuio/armazenamento e uso para alimentar os processos
decisrios e /ou operacionais da organizao tambm so imprescindveis.
Aps o desenvolvimento deste estudo, pode-se indicar alguns aspectos
terico-metodolgicos devem ser levados em considerao pela organizao que
busca implantar um SGSI, tais como: classificao e controles dos ativos de
97
informao, avaliao dos nveis de riscos, identificao e avaliao das opes

para o tratamento de riscos.
Os desafios para implantao de um ambiente de segurana em
qualquer empresa, independente de seu tamanho, so enormes.
Com base em sua experincia, a autora identificou duas dificuldades qe
geralmente ocorrem na implementao de um SGSI:
o no cumprimento das polticas de normas estabelecidas:
organizao acha que, com o estabelecimento de algumas polticas de

segurana, que, muitas vezes, so mandatrias (isto , as pessoas so
obrigadas ou coagidas a respeitar o que est escrito no documento,
independente
se
tal
faz
parte
da
sua
realidade),
sero
automaticamente aceitas. Uma vez definidas essas polticas na

organizao,
alta
administrao
e,
principalmente,
os
administradores tecnolgicos acham que, com esse procedimento, a

empresa est livre de ameaas e vulnerabilidades, o que nem sempre
acontece.
A dificuldade est em estabelecer as polticas e normas de acordo com
as
necessidades
implementao
reais
deve
da
ocorrer
organizao,
a
gesto
ou
que
seja,
antes
da
compreende
planejamento, o projeto, a construo, a implementao, a utilizao, o

monitoramento, a identificao de melhorias e a realizao de ajustes.
segurana apenas nos ativos de software: aplicativos, sistemas,
ferramentas de desenvolvimento e utilitrios.
A empresa investe
,absurdamente, apenas em ferramentas de aplicao de ambientes

lgicos como os Firewall e controle de acesso, e os perfis de acesso
so categorizados a partir da funo e das atividades desenvolvidas.
Um sistema de gesto de segurana da informao abrange muito
mais do que a segurana da informao de TI, pois ele cobre a
segurana de toda e qualquer informao da empresa, esteja ela em
meios eletrnicos, papel ou, at mesmo, na mente dos funcionrios.
98
Ao analisar os princpios bsicos dos controles de segurana, do

tratamento da informao, da classificao dos controles e dos ativos de informao
enquanto componentes de um SGSI, salientamos que oportuno contemplar
,durante a GI, os princpios da SI, assim como a implantao do SGSI com o auxilio
e ferramentas da GI.
Da mesma forma, corrobora-se a colaborao da GI para SI e o
SGSI, considerar-se que o insumo bsico da CI a prpria informao base para os
referidos processos. Alm disso, a atuao do profissional da informao um
diferencial, uma vez que ele capaz de agregar valor informao visto que
promove uma explorao superior desses processos, ou seja, usufrui deles o
mximo possvel.
importante salientar que, apesar da importncia da GI e do SGSI,
difcil para a empresa manter sempre o processo e investimentos. Dessa forma,
necessrio que se promovam oportunidades para tornar esse processo um
diferencial competitivo diante do mercado.
Evidentemente que, por se tratar de assunto incipiente, demandamse estudos futuros, para que essa discusso seja complementada, de forma a
consolidar a proposta desta pesquisa.
99
REFERNCIAS
NBR ISO/ IEC 27001. Associao Brasileira de Normas Tcnicas (ABNT). Norma
ISO/ IEC 27001-2006 -Sistemas de Gesto da Segurana da Informao
Requisito, 2006.
NBR ISO/ IEC 27002. Associao Brasileira de Normas Tcnicas (ABNT). Norma
NBR ISO/IEC 17799:2005-cdigo de prtica para a Gesto da Segurana da
Informao, 2005.
ABREU, Aline Frana de; REZENDE, Denis Alcides. Tecnologia da informao
aplicada a sistemas de informao empresariais: o papel estratgico da
informao e dos sistemas de informao nas empresas. 2. ed. So Paulo:
Atlas, 2001.
ASCENO, Braga. A gesto da informao. Mestrado em Gesto - Universidade da Beira
Interior (1996), Disponvel em: http://www.ipv.pt/millenium/19_arq1.htm. Acesso em 08 dez.
2008.
BARRETO, Aldo. A transferncia da informao para o conhecimento. Disponvel em
<http://www.e-iasi.org/cinfor/transfkk.htm>. Acesso em 09 de jun. de 2006.
BARRETO, Aldo. A condio da informao. Revista So Paulo em Perspectiva,
So Paulo, v.16., n.3, p.67-74, 2002.
BEAL, Adriana. Gesto estratgica da informao. So Paulo: Atlas, 2004.
BEAL, Adriana. Segurana da informao. So Paulo: Atlas, 2005.
BEDA, Ednelson. A importante arte de administrar a informao. Disponvel em:
<www.unescnet.br/artigos/artigo%20arte%20informacao2.htm>. Acesso em: 20 mar.
2008.
BORKO H. Information Science: what is it?. American Documentation, v.19, n.1,
p.3-5, 1968.
BOUTHILLIER, France; SHEARER, Kathleen.
Understanding knowledge
management and information management: the need for an empirical perspective.
Information Research, Montreal, v.8, n.1, paper n.141, 2002.
BUCKLAND, M. K. Information as thing. Journal of the American Society for
Information Science (JASIS), v.45, n.5, p. 351-360, 1991.
100
BUCKLAND M. K. What is a document?. Journal of the American Society of

Information Science. V.48, n.9, p.804-809.
BUCKLAND, M. Vocabulary as a central concept in library and information
Science. Disponvel em: <http://www.sims.berkeley.edu/coliscov.htm>. Acesso em:
12 dez. 2007.
BURKE, Peter. Uma histria social do conhecimento: de Gutember a Diderot. Rio
de Janeiro: J. Zahar.
BUSH, Vannevar. As We May Think. The Atlantic Mounthly, vol. 176, n. 1, p. 101
108, july 1945.
CARUSO, C.A.A.; STEFFEN, F.D. Segurana em Informtica e de Informaes.
2. ed., So Paulo: SENAC, 1999.
CINTRA, Anna Maria Marques et al. Para entender as linguagens documentrias.
So Paulo: Polis, 2002. (Coleo Palavra Chave).
CHOO, Chun Wei. A organizao do conhecimento: como as organizaes
usam a informao para criar significado, construir conhecimento e tomar
decises. 2.ed. So Paulo: SENAC, 2003. 425p.
COADIC, Yves-Francois L. A cincia da informao. 2. ed. Braslia: Brinquet
Lemos, 2004.
CONARQ (Rio de Janeiro) (Org.). Modelo de requisitos para sistemas
informatizados de gesto arquivistica de documentos: Moreq. Rj, 2006. 130 p.
Disponvel em: <http://www.unicamp.br/siarq/doc_eletronico/e_arq_v1.pdf>. Acesso
em: 20 out. 2008.
DAVENPORT, Thomas H. Ecologia da informao. 2.ed. So Paulo: Futura, 2000.
DELOITTE TOUCHE TOHMATSU. Lei Sarbanes-Oxley: Guia para melhorar a
governana corporativa atravs de eficazes controles internos. 2005. 28 p.
DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. Rio de
Janeiro: Axcel Books, 2000.
101
DIAS, Eduardo Wense. Contexto Digital e Tratamento da Informao. Revista de

Cincia
da
Informao,
v.2,
n.5,
out.
2001.
Disponvel
em:
http://www.dgz.org.br/out01/Art_01.htm. Acesso em: 19 dez. 2008.
DUCHEIN, Michel. O respeito aos fundos em arquivstica: princpios tericos e
problemas prticos. Arquivo & Administrao, Rio de Janeiro, v.10-14, n.1, abr.
1983.
DRUCKER, Petr. A Sociedade Ps-Capitalista. So Paulo: LTC, 1994.
INFORMATIO SECURITY FORUM. ISF Report Library. United Kingdom, 1993.
Disponvel em: http://www.securityforum.org/html/frameset.htm. Acesso em: 12 dez.
2007.
FERREIRA, Daniela Assis Alves. Tecnologia: fator determinante no advento da
sociedade da informao. Revista Perspectiva Cincia da Informao, Belo
Horizonte, v.8, n.1, p.4-11, jan./jun. 2003.
FOINA, Paulo Rogrio. Tecnologia da informao: planejamento e gesto. So
Paulo: Atlas, 2001.
FONTES, Edison. Segurana da informao: o usurio faz a diferena. So Paulo:
saraiva, 2000.172p.
GIL, Antnio Carlos. Como elaborar projetos de pesquisa. So Paulo: Atlas,
1991. 175p.
KAHN, David. Histria da criptologia : Histria antiga. Disponvel em:
<http://www.numaboa.com.br/criptologia/historia/antiga.php>. Acesso em: 16 fev.
2008.
KOBASHI, Nair Yumiko; TALMO, Maria de Ftima Gonalves Moreira. Informao:
fenmeno e objeto de estudo da sociedade contempornea. Transinformao,
Campinas, v.15 (Edio especial), p. 7-21, set./dez. 2003.
MARTINS, Jos Carlos Cordeiro. Gesto de projetos de segurana de
informao. Rio de Janeiro: Brasport, 2003.
MARCHIORI, Patrcia Zeni. A cincia e a gesto da informao: compatibilidades no
espao profissional apud Cincia da informao, Braslia, v.31, n.2, p.72-79, maioago. 2002. Disponvel em: <revista.ibict.br/index.php/ciinf/article/viewArticle/159>.
Acesso em: 15 mar. 2008.
102
MARCONI, Marina de Andrade; LAKATOS, Eva Maria.

3.ed. So Paulo: Atlas, 2000. 289p.
Metodologia cientfica.
MENEZES, Josu das Chagas. Gesto da segurana da informao.Leme:

Mizuno, 2006.114p.
MODULO, Security Solutions. 6 pesquisa nacional sobre segurana da
informao, junho 2000. Disponvel em: <http://www.modulo.com.br/index.jsp>.
Acesso em: 02 jan. 2007.
MOOERS, Calvin N. Zatacoding applied to mechanical organization of knowledge.
American Documentation, v.2, p. 20-32, 1951.
MOREIRA, Nilton Stringanci. Segurana mnima: uma viso corporativa da
segurana de informao. Rio de Janeiro: Axcel Books, 2001.
MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de informao de
uma organizao. Cincia da Informao, Braslia, v. 29, n. 1,
ODDONE, Nanci; GOMES, Maria Yda F.S. Filgueiras. Os temas de pesquisa em
cincia da informao e suas implicaes poltico-epistemolgicas. 200-. Disponvel
em http://ww.cinform.ufba.br/v_anais/artigos/nancioddone.html. Acesso em 18 mar.
2006
PINHEIRO, Lena Vnia Ribeiro. Informao - Esse obscuro objeto da Cincia

da
Informao.
Morpheus,
v.2,
n.4,
2004.
Disponvel
em:
http://www.unirio.br/cead/morpheus/Numero04-2004/lpinheiro.htm.
PONJUAN DUARTE, Gloria. Gestin de informacin em las organizaciones:
princpios y conceptos y aplicaciones. Santiago, 1998. 222p. XI seminrio latinoiberoamericano de gestin tecnolgica, 25 a 28 out. 2005. Disponvel em:
<http://www.pg.cefetpr.br/ppgep/Ebook/ARTIGOS2005/Ebook%202006_artigo%2082.pdf>. Acesso em: 02 out. 2008.
RAYWARD, W. B. The origens of information science and the International Institute
of Bibliography/International Federation for Information and Documentation (FID).
Journal of the American Society for Information Science. V.48, N.4, P. 289-300,
1997.
103
RICHARDSON, Roberto Jarry et al. Pesquisa social: mtodos e tcnicas. 3.ed.

rev. ampl. So Paulo: Atlas, 1999. 334p.
ROBINS, David. Interactive information retrieval: context and basic notions.
Informing Science: Special Issue on Information Science Research, v.3, n.2, p.
57-61, 2000.
SANTOS, Boaventura de Sousa. Um discurso sobre as cincias. 8. ed. Porto:
Afrontamento, 1996.
SARACEVIC, Tefko. A cincia da informao: origem, evoluo e relaes.
Perspectivas em Cincia da Informao. Belo Horizonte, v.1, n.1. p. 41-62,
jan./jun. 1996.
SARACEVIC, Tefko. Interdisciplinary of nature information science. Cincia da
Informao, Braslia, v.24, n.1, 1995
SMOLA, Marcos. Gesto da Segurana da Informao: Uma viso Executiva.
Rio de Janeiro: Campus, 2003.
SERAPIONI, M. Mtodos qualitativos e quantitativos na pesquisa social em sade.
Cincia e Sade Coletiva, Rio de Janeiro, v. 5, n.1, 2000.
WERSIG, Gernot. Information science: the study of postmodern knowledge usage.
Great Britain. Information Processing and Management, v.29, n.2 p. 229-239,
1993.
WERSIG, G., NEVELING U. The phenomeno of interest to information science.
Information Sciense, v.9, p. 127-140, 1975.

Claudete Aurora Da Silva - ESTRUTURA

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Claudete Aurora Da Silva - ESTRUTURA

Diunggah oleh

Hak Cipta:

Format Tersedia

GESTO DA SEGURANA DA INFORMAO: um

PONTIFCIA UNIVERSIDADE CATLICA DE CAMPINAS

CLAUDETE AURORA DA SILVA

GESTO DA SEGURANA DA INFORMAO: um

Dissertao apresentada ao Programa de PsGraduao em Cincia da Informao da

Silva, Claudete Aurora

1. Segurana da informao. 2. Sistema de informao. 3. Sistema de gesto de

As minhas filhas Giovanna e Manuella, razo

A CAPES pelo incentivo dado atravs da concesso de bolsa de estudo.

objetivo deste estudo foi caracterizar os aspectos terico-metodolgicos utilizada no

Palavras-chave: segurana da informao, sistema de informao, sistema de

Figura 2 Diagrama de Segurana da Informao

Figura 3 Impactos dos incidentes de segurana

Figura 4 Fatores econmicos de produo

Figura 5 A informao compartilhvel

Figura 6 O valor da informao aumenta com o uso

Figura 7 O valor da informao aumenta com a preciso

Figura 8 A recuperao da Informao

Figura 9 Equao fundamental da Cincia da Informao

Associao de Normas tcnicas

Sistema de Gesto de Segurana da Informao

JUSTIFICATIVAS DO ESTUDO .............................................................................16

Delimitao do estudo ...................................................................................19

Procedimentos metodolgicos ......................................................................20

Estrutura do trabalho .....................................................................................21

2 SEGURANA DA INFORMAO ..............................................................22

Norma ISO para segurana da Informao...................................................27

Vulnerabilidade e ameaas ...........................................................................29

Confidencialidade, Integridade e Disponibilidade..........................................32

Classificao e controle de ativos de Informao ........................................41

Poltica de Segurana de Informao............................................................44

3 SISTEMA DE GESTO DA SEGURANA DA INFORMAO..........48

ADMINISTRAO DO AMBIENTE DE SEGURANA .................................................50

Anlise crtica do SGSI .................................................................................52

Seleo e Controles ......................................................................................53

4 GESTO DA INFORMAO .......................................................................55

NO CONTEXTO SOCIAL ...............................................64

5.1.2 INFORMAO E CONHECIMENTO ........................................................................69

principalmente no que se refere aos aspectos tecnolgicos: podemos destacar a

Lyman (2001) estima que a quantidade de informao

decises e aes so tomadas decorrentes destas informaes que devem ser

auditabilidade (o que foi feito) tendo em ateno s questes de privacidade (quem

1.1 Justificativas do estudo

produo. Diante desse quadro, entendeu-se como bastante relevante a

Considera-se inicialmente como hiptese que os princpios da GI na

1.3 Delimitao do estudo

1.5 Procedimentos metodolgicos

particularmente os desenvolvidos nas reas da CI, computao e administrao.

Alm da pesquisa bibliogrfica, considera tambm a experincia profissional do

1.7 Estrutura do trabalho

Esta pesquisa est estruturada da seguinte forma: o primeiro captulo

falhas da segurana fsica

fraudes, erros e acidentes

Conforme CARUSO, STEFFEN (1999), a necessidade de segurana

As questes aceitavam respostas mltiplas.

Segundo Smola (2003, p.43), SI uma rea do conhecimento

Fontes (2006), SI o conjunto de orientaes, normas,

Beal (2005) define SI como processo de proteger as informaes

Portanto, pondera nessa dissertao o conceito elucidado por Dias

(processadores, monitores, laptops) equipamentos de comunicao (roteadores,

equipamentos e instalaes poderia provocar a paralisao da organizao, que

microcomputadores (memrias, discos etc);

Acesso de pessoas no autorizadas aos relatrios com dados