POLÍTICAS-DE-SEGURANÇA-E-CLASSIFICAÇÃO-DA-INFORMAÇÃO

Prévia do material em texto

1 
 
 
 
 
 
2 
 
SUMÁRIO 
1 INTRODUÇÃO ............................................................................................ 4 
2 POLÍTICAS DE SEGURANÇA da INFORMAÇÃO ..................................... 5 
2.1 Confidencialidade ................................................................................. 6 
2.2 Integridade ........................................................................................... 7 
2.3 Disponibilidade ..................................................................................... 8 
2.4 Distribuição típica ................................................................................. 9 
3 SEGURANÇA DA INFORMAÇÃO ............................................................ 11 
3.1 Responsabilidades ............................................................................. 12 
3.2 Procedimentos de segurança ............................................................. 13 
4 ATRIBUTOS DE QUALIDADE DA INFORMAÇÃO ................................... 14 
4.1 Formulação de políticas públicas ....................................................... 15 
4.2 Sistema Eletrônico do Serviço de Informação ao Cidadão (e-SIC) .... 18 
5 INFORMAÇÕES CLASSIFICADAS: DADOS, REGIME LEGAL E 
(AUSÊNCIA DE) FORMAS DE CONTROLE ............................................................. 20 
5.1 Informações classificadas e (ausência) de controles ......................... 20 
5.2 Lei de Acesso à Informação (LAI) ...................................................... 21 
5.3 Serviço de Informação ao Cidadão (SIC) ........................................... 21 
6.1 Análise de risco em segurança da informação ................................... 29 
7 ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO EMPRESARIAL ....... 32 
8 MECANISMOS E TECNOLOGIAS DE SEGURANÇA .............................. 34 
8.1 Controles de pessoal .......................................................................... 34 
8.2 Controles físicos ................................................................................. 35 
8.3 Segurança de equipamentos .............................................................. 35 
8.4 Controles de acesso lógicos ............................................................... 35 
9 MECANISMOS DE SEGURANÇA ............................................................ 36 
 
3 
 
9.1 Identificação de usuários .................................................................... 36 
9.2 Autorização e controle de acesso ...................................................... 36 
9.3 Programas antivírus ........................................................................... 37 
9.4 Proteção de dados em curso na internet ............................................ 37 
9.5 Detecção de intrusos .......................................................................... 37 
9.6 Sistema de backup ............................................................................. 38 
9.7 Firewall ............................................................................................... 38 
9.8 Atualização de sistemas operacionais e aplicativos ........................... 38 
9.9 Honeypot ............................................................................................ 38 
9.10 Sistemas de autenticação ............................................................... 39 
9.11 Protocolos seguros ......................................................................... 40 
9.12 Assinatura digital ............................................................................. 40 
9.13 Auditoria de acesso às informações ............................................... 40 
REFERÊNCIAS BIBLIOGRÁFICAS ............................................................... 42 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4 
 
1 INTRODUÇÃO 
Prezado aluno! 
 
O Grupo Educacional FAVENI, esclarece que o material virtual é semelhante 
ao da sala de aula presencial. Em uma sala de aula, é raro – quase improvável - um 
aluno se levantar, interromper a exposição, dirigir-se ao professor e fazer uma 
pergunta, para que seja esclarecida uma dúvida sobre o tema tratado. O comum é 
que esse aluno faça a pergunta em voz alta para todos ouvirem e todos ouvirão a 
resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar, as perguntas 
poderão ser direcionadas ao protocolo de atendimento que serão respondidas em 
tempo hábil. 
Os cursos à distância exigem do aluno tempo e organização. No caso da nossa 
disciplina é preciso ter um horário destinado à leitura do texto base e à execução das 
avaliações propostas. A vantagem é que poderá reservar o dia da semana e a hora 
que lhe convier para isso. 
A organização é o quesito indispensável, porque há uma sequência a ser 
seguida e prazos definidos para as atividades. 
 
Bons estudos! 
 
 
5 
 
2 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 
 
Fonte: hscbrasil.com.br 
Para Espírito Santo (2018) a segurança da informação é uma arma e também 
vital para as empresas. A segurança da informação tem como finalidade fazer a 
proteção e gerir a informação. 
De acordo com Fontes (2012), “A informação é um recurso essencial para 
toda e qualquer organização, independentemente do seu porte e segmento de 
atuação no mercado”. Isso se dá, pois, todas as empresas, para suas decisões, 
crescimento e planejamento, necessitam de muitas informações, principalmente as 
atuais, o que gera uma grande busca por informações diariamente. 
Segundo Castilhos (2013) “a segurança da informação é obtida a partir 
da implementação de um conjunto de políticas processos e procedimentos e 
estruturas”. Uma empresa, para sobreviver, precisa guardar muito bem suas 
informações. E uma eficaz segurança da informação só poderá ser obtida com 
um conjunto de controles adequados, sendo um deles uma política de segurança 
de informação, fiscalizando o que for necessário par obter êxito 
Segurança da Informação (SI) é definida como “conjunto de orientações, 
normas, procedimentos, políticas e demais ações que têm por objetivo proteger 
o recurso informação, possibilitando que o negócio da organização seja realizado 
e a sua missão seja alcançada”. Deste modo, pode ser considerada uma ferramenta 
criada com o intuito de se locomover junto ao negócio, presente em todo o 
escopo da organização, protegendo o bem mais valioso para a empresa, a 
 
6 
 
informação. Para que este bem seja devidamente protegido, é fundamental conhecer 
os pilares que sustentam a SI: confidencialidade, integridade e disponibilidade 
(SANTOS & SOARES, 2019): 
2.1 Confidencialidade 
É a garantia de permissão de acesso à informação somente às pessoas 
expressamente autorizadas, obedecendo ao princípio da “necessidade de 
conhecimento” da segurança da informação. Cada organização deve definir 
e padronizar sua categorização, tipicamente utilizando de três a cinco níveis. A 
definição de níveis em excesso pode tornara categorização complexa, enquanto 
que a definição de poucos níveis pode ser insuficiente, prejudicando em ambos 
os casos a consistência do processo. Seguem exemplos de quatro categorias de 
confidencialidade: 
Pública ou não-classificada: acesso universal sem nenhum tipo de 
restrição ou controle. Exemplo: informações publicadas na área aberta do website de 
uma empresa. 
Restrita, sensível ou interna: correspondem às informações de processos 
rotineiros e internos de uma organização. Embora este tipo de informação seja 
de uso restrito conforme a necessidade específica do trabalho, um eventual 
vazamento para pessoas internas ou externas não causa nenhum impacto 
negativo para a empresa. Exemplos: informações publicadas na Intranet; quantidade 
de estoque de materiais.Privada: informações pessoais (endereço, salário, dados médicos, 
etc) de funcionários, clientes, contratados, fornecedores. O vazamento 
deste tipo de informações pode ter sérios impactos para a pessoa envolvida, 
para a imagem da empresa e consequências jurídicas. 
Confidencial, secreta: são informações restritas a grupos pequenos de 
usuários e cuja revelação não autorizada pode causar um impacto negativo na 
imagem ou na vantagem competitiva da empresa frente aos concorrentes. 
Exemplos: planos estratégicos; dados de engenharia de projetos da área de 
desenvolvimento; segredos comerciais; estratégias de Marketing. 
 
7 
 
No âmbito governamental, a classificação varia de país para país, mas a 
maioria possui níveis que correspondem às definições britânicas: unclassified, 
restricted, confidential, secret, top-secret. Adicionalmente aos níveis gerais acima, 
podem existir classificações com restrições adicionais de acesso, como por 
exemplo, nos EUA: SI (special intelligence) que protege fontes e métodos de 
inteligência, NOFORN (no foreign dissemination) que restringe a disseminação aos 
norte-americanos e ORCON (originator controlled dissemination) cuja disseminação 
é controlada pelo produtor da informação. Quando uma agência ou grupo 
governamental quer compartilhar informações com outro governo, eles geralmente 
empregam um esquema especial de classificação previamente acertado entre 
ambos. 
No âmbito da administração pública federal brasileira (Decreto 4.553, 2002) 
foi instituída a classificação de dados, informações e materiais sigilosos de 
interesse da segurança da sociedade e do Estado. O artigo 5º desse decreto classifica 
documentos em ostensivos ou sigilosos. Ostensivos ou ordinários são documentos 
cuja divulgação não prejudica a administração. Sigilosos são documentos de 
conhecimento restrito e, portanto, requerem medidas especiais de salvaguarda para 
sua custódia e divulgação. Segundo a necessidade do sigilo e quanto à extensão 
do meio em que podem circular, são quatro os graus de sigilo: reservado, 
confidencial, secreto e ultrassecreto. Podem ser classificadas como ultrassecretas 
informações referentes à soberania e integridade territorial nacional, planos e 
operações militares. A classificação secreta pode ser aplicada a sistemas, 
instalações, programas, projetos, operações de interesse da defesa nacional e 
assuntos diplomáticos. Confidencial podem ser as informações que, no interesse 
do Poder Executivo, devem ser de conhecimento restrito. Reservado é a 
classificação da informação cuja revelação não-autorizada possa acarretar dano 
grave à segurança da sociedade e do Estado ((MÜHLBAUER, 2016). 
2.2 Integridade 
Refere-se à acurácia, precisão, validade dos dados e métodos de 
processamento das informações. A classificação deve ser feita baseada no 
impacto causado nos negócios da empresa devido a uma alteração ou destruição 
 
8 
 
de dados de maneira não autorizada, podendo ser intencional ou não 
propositada, de forma manual ou automatizada. 
A organização precisa definir e padronizar as categorias relacionadas 
à integridade das informações. Uma sugestão poderia ser a classificação em 
três níveis conforme o impacto no negócio da falta de integridade da informação: 
Baixa: o impacto monetário ou intangível é nulo ou desprezível 
considerando o volume de negócios da empresa. Também podem ser 
enquadrados nesta categoria os impactos significativos que possam ser remediados 
em tempo hábil por ações corretivas ou de mitigação dos efeitos. 
Média: impactos monetários ou intangíveis de nível médio e que não possam 
ser remediados no curto prazo. 
Alta: a falta de integridade nas informações de integridade alta causa 
impactos severos e imediatos nos processos da empresa, perdas monetárias e 
intangíveis significativas frente ao volume de negócios da empresa (MÜHLBAUER, 
2016). 
2.3 Disponibilidade 
É o asseguramento de que a informação estará acessível no momento em 
que for necessária. A categorização também deve ser padronizada pela empresa 
com base na avaliação de impacto monetário ou intangível causada nos 
processos de negócio pela indisponibilidade da informação no momento em que for 
requisitada. Como no exemplo anterior, poderíamos adotar três níveis de 
categoria baseados na criticidade da disponibilidade da informação: 
Baixa: o impacto monetário ou intangível da indisponibilidade da informação 
ou sistema é nulo ou desprezível considerando o volume de negócios da empresa. 
Média: o impacto da indisponibilidade da informação ou do sistema 
é significativo para os negócios da empresa. 
Alta: o impacto da indisponibilidade é severo e imediato para o negócio chave 
da empresa, levando à interrupção de sua atividade principal. O impacto pode 
atingir seus clientes. 
 
9 
 
2.4 Distribuição típica 
As informações críticas para uma organização são as que possuem os 
maiores graus de impacto na confidencialidade, integridade e disponibilidade. 
Costuma-se designar por informações sensíveis, as informações críticas de 
confidencialidade (secretas, confidenciais ou privadas) e/ou críticas de integridade. A 
distribuição das informações nas categorizações de confidencialidade, 
integridade e disponibilidade varia muito conforme o ramo de atuação da organização. 
Tipicamente, uma empresa no ramo bancário possui grande quantidade de 
informações confidenciais de seus clientes e a maioria de suas informações é 
crítica em relação à integridade e disponibilidade. Ao contratar os serviços de 
um banco, o cliente espera que seus dados pessoais e sua movimentação 
de contas não sejam revelados indevidamente (confidencialidade), que estejam 
sempre precisos (integridade) e que a qualquer momento possam ser 
movimentados (disponibilidade) (MÜHLBAUER, 2016). 
 Todos os pilares explicitados acima devem ser cumpridos para assegurar 
o bom gerenciamento da segurança da informação nas organizações. Além destes, 
existem outros que também são de suma importância para ajudar na proteção 
dos ativos organizacionais. Sendo eles: 
Autenticidade: É a garantia de que a informação é construída por pessoas 
que tem permissão para isso, e cuja informação atribuída é oriunda da fonte. Por 
exemplo, a pessoa que se apresenta falando que é o autor de tal, deve realmente ser. 
Responsabilidade: Todas as pessoas, sem exceção, que participam de 
alguma formada produção, manuseio, transporte e descarte de informação, devem 
ser responsáveis por elas, ou seja, a responsabilidade é dívida por todos, também 
pelos seus sistemas e redes de trabalho. 
Não repúdio: Não desvio de informação ao seu destino determinado, 
propiciando com que o emissor ou o receptor não aleguem a não comunicação da 
informação. 
Confiabilidade: A informação deve ser confiável garantindo a origem de uma 
fonte autentica, tendo por principal uma mensagem verídica. 
Vários fatores, como os comportamentais e do usuário, 
ambiente/infraestrutura, pessoas que tem a intenção de furtar, destruir ou modificar 
as informações, podem afetar a segurança da informação nas organizações. Isto 
 
10 
 
posto, é necessário proteger essas informações, como dito anteriormente, 
informações que são de suma importância para as organizações, através da 
implementação de controles, incluindo processos, políticas, procedimentos, estrutura 
organizacional e funções de software e hardware adequados para cada tipo de 
organizaçãoda se a segurança da informação (PAULA & CORDEIRO, 2016). 
É necessário classificar as informações para que se tenha uma visão 
ampla do que precisa ser protegido, pois cada informação tem um valor diferente. 
É necessário analisar e identificar as informações para que se possam classificá-
las em níveis. Tais níveis também podem ser utilizados por toda a 
organização, a fim de padronizá-las (redação). Essa classificação pode ser 
baseada na utilidade que essa informação tem dentro da empresa, o custo que 
possui para o negócio, o impacto em sua operacionalização e os riscos envolvidos em 
caso de vazamento. Com isso, recursos podem ser economizados para 
assegurar informações sensíveis, evitando gastos desnecessários com informações 
públicas (KIM e SOLOMON, 2014). 
As informações podem ser classificadas em três classes: informações 
públicas, internas e confidenciais. 
a) Informações públicas são aquelas de conhecimento de todos os 
funcionários. Não é preciso investir em recursos de segurança, pois caso a 
informações sejam vazadas, não causam impacto ao negócio e nem a organização. 
b) Informações internas são as de uso interno, e sua divulgação deve ser 
evitada. Entretanto, se forem vazadas, causam pouco impacto ao negócio. 
c) Informações confidenciais são as sensíveis, que tem grande valor para a 
organização. Devem ser restritas para pessoas autorizadas, deve se investir em 
recursos de segurança, pois se vazadas podem causar grande impacto ao negócio 
(SANTOS & SOARES, 2019). 
 
 
11 
 
3 SEGURANÇA DA INFORMAÇÃO 
 
Fonte: cio.com.br/wp-content 
As políticas de segurança da informação são as normas que regem o 
ambiente da empresa, e como devem ser vistas cada atividade exercida de modo 
seguro. Para a elaboração de uma política de segurança da informação é necessário 
seguir quatro etapas fundamentais: 
a) Levantamento de informações da empresa: quais as normas de segurança 
já existentes. Como funciona o processo de negócio e como funciona o fluxo da 
informação dentro da organização. 
b) Desenvolvimento do conteúdo da política e normas de segurança: definição 
do gerenciamento da política de segurança, esclarecendo os objetivos e pontos 
críticos. Atribuindo as responsabilidades, com base no pensamento de que a 
segurança faz parte de todos os profissionais. Definição dos procedimentos de 
segurança, como será executada cada processo. 
c) Elaboração dos procedimentos de segurança da informação: esta etapa 
visa a formalização da política junto a alta administração, utilizando de técnicas e 
procedimentos de melhores práticas alinhadas de modo que a segurança não 
atrapalhe ou crie obstáculos para o negócio. 
d) Revisão, aprovação e implementação das políticas de segurança da 
informação e palestras: toda política deve ser revisada periodicamente, pois os 
processos e tecnologias sofrem mudanças com o tempo. E é de suma importância 
que todos os profissionais tenham ciência sobre a existência de uma política de 
 
12 
 
segurança, seja através de palestras, comunicados e integração. E que essas 
políticas estejam sempre disponíveis para quem quiser consultá-las (SANTOS & 
SOARES, 2019). 
Utilizando a metodologia Top-Down, a divulgação da política deve ser 
atestada pela diretoria da empresa, pois demonstra o comprometimento da política 
para com seus funcionários. 
Metodologia Top-Down: 
 
Fonte: Adaptado de Ferreira e Araújo (2008). 
Para a criação de uma política de segurança mais customizada, é necessário 
entender quais são os riscos e as ameaças às quais os ativos da empresa estão 
sujeitos, avaliando suas vulnerabilidades, probabilidades e os impactos que serão 
causados em meio ao incidente. 
3.1 Responsabilidades 
O processo de segurança não depende exclusivamente do time de segurança 
da informação, mas sim de todos os membros da organização que devem estar em 
sintonia com os processos estabelecidos. A política é composta apenas por regras, 
mas é fundamental a conscientização de todos os funcionários para que os processos 
sejam cumpridos. 
Alguns pontos relacionados à atribuição das responsabilidades que todas as 
áreas da empresa precisam estar cientes, sendo elas: 
 
13 
 
a) Comitê de segurança da informação: equipe responsável por criar 
procedimentos e realizar a divulgação para os membros da empresa. É recomendável 
que líderes de outras áreas façam parte desta equipe, pois os valores das informações 
variam de área para área. 
b) Proprietário das informações: cabe ao proprietário da informação realizar a 
liberação do tipo de acesso que cada funcionário poderá ter, sendo necessária uma 
autorização direta ou designada. 
c) Usuários da informação: é qualquer funcionário, ou terceiro, que utiliza a 
informação para a execução de suas atividades, mas que só poderá ser utilizada para 
o desenvolvimento do negócio. 
3.2 Procedimentos de segurança 
Após a análise do ambiente, designação das responsabilidades e 
classificação das informações por níveis, é preciso formalizar a documentação e 
definir como cada ativo a ser protegido será realizado. 
Os procedimentos visam detalhamento de cada processo dos ativos. A seguir 
alguns exemplos: 
a) Recursos de ti: todo recurso tecnológico da empresa deve ser utilizado 
apenas por funcionários e terceiros devidamente autorizados, com a finalidade de 
exercer atividades relacionadas ao negócio. 
b) Backup: deve existir uma política exclusiva de backup, apresentando a 
periodicidade em que serão efetuados os backups e o tempo de retenção alinhado 
com os responsáveis de cada área da empresa. 
c) Acesso à internet: a maior porta de entrada de arquivos maliciosos tem 
como origem o acesso irrestrito à internet. Deve-se limitar o acesso à internet para 
pessoas autorizadas, sendo monitorado o login do usuário, sites acessados e suas 
respectivas horas. 
d) Segurança física: em algumas empresas pode ser que os equipamentos de 
tecnologia estejam em um data-center interno. O acesso para esse espaço deve ser 
sempre monitorado e permitido somente para pessoas autorizadas, pois há um grande 
risco ao negócio se houver algum problema nos equipamentos existentes. 
 
14 
 
4 ATRIBUTOS DE QUALIDADE DA INFORMAÇÃO 
 
Fonte: lh3.googleusercontent.com 
Arouck (2011) identificou e definiu os atributos de qualidade da 
informação presentes em um corpus formado por artigos de periódicos e atas de 
eventos científicos da área de Ciência da Informação em língua inglesa, 
relacionados à gestão de sistemas e serviços de informação, publicados entre 1974 
e 2009. 
A orientação metodológica proposta por Arouck (2011) para identificar e 
definir atributos de qualidade em determinado corpus de análise, foi utilizar a técnica 
de análise de conteúdo. A partir dos resultados obtidos, foi elaborada uma lista 
dos atributos de qualidade identificados nos documentos analisados, agrupados 
em três dimensões que se complementam: meio, conteúdo e uso. A categoria meio 
agrupa as características que se relacionam à apresentação, acesso e formato da 
informação. A categoria conteúdo reúne os atributos relacionados ao conteúdo 
informacional, como resposta à demanda intencional da informação. Os atributos 
da categoria uso se referem ao impacto da informação no ator social envolvido no 
processo de transferência de informação, seja ele individual ou coletivo (AROUCK, 
2011). 
Categorias dos atributos de qualidade da informação: 
 
15 
 
 
Fonte: AROUCK (2011) 
A identificação de atributos de qualidade da informação poderá possibilitar 
a utilização dos atributos identificados em determinado contexto informacional 
como variáveis relacionadas à qualidade da informação daquele contexto 
informacional estudado.As variáveis estudadas mantêm entre si relações de 
significação e de mútua influência, havendo necessidade de pesquisar essas 
relações e a influência entre elas. Assim, os atributos de qualidade da 
informação poderão ser considerados como indicadores da qualidade da informação 
na gestão de sistemas, serviços e produtos de informação, tanto no âmbito do 
planejamento, desenvolvimento, manutenção, reformulação e avaliação destes 
sistemas, serviços e produtos de informação (AROUCK & AMARAL, 2013). 
4.1 Formulação de políticas públicas 
Considera-se uma política pública como a tradução dos propósitos de um 
governo em programas, planos, pesquisas e ações que produzirão resultados ou 
mudanças desejadas no mundo real (MELLA, LIMBERGER, ANDRETTA, 2015). 
O processo de formulação de políticas públicas compreende dois elementos 
principais: definição da agenda e definição de alternativas. O primeiro envolve o 
direcionamento da atenção em torno de questões ou problemas específicos. O 
segundo, a exploração e o desenho de um plano possível para a ação. Assim, 
investigar a formulação de políticas consiste em buscar compreender por que alguns 
assuntos se tornam importantes e acabam concentrando o interesse de vários atores, 
 
16 
 
enquanto outros não. E também por que algumas alternativas são seriamente 
consideradas, enquanto outras são descartadas. A noção de definição é importante 
por se tratar de um processo, ou seja, um conjunto de elementos interligados e 
relacionados entre si – e não um evento único ou aleatório – que é construído ao longo 
da formulação. Tanto a agenda quanto as alternativas são definidas, isto é, 
determinadas em termos de suas características distintivas, em uma complexa 
combinação de instituições e atores, envolvendo elementos técnicos e políticos 
(CAPELLA, 2018). 
 
Fonte: slideplayer.com.br 
Nos estudos sobre políticas públicas, é muito comum que a formulação 
seja apresentada no contexto do ciclo de políticas, sendo nesse caso identificada 
como etapa inicial, à qual se seguem, geralmente, as fases de tomada de decisão, 
implementação e avaliação. Assim, a formulação pode ser caracterizada como uma 
etapa pré decisória, ou seja, anterior a qualquer atividade de formalização de uma 
política, envolvendo fundamentalmente a identificação de problemas que requerem 
atenção governamental (definição da agenda) e uma busca inicial por soluções 
possíveis, confrontadas com seus custos e efeitos estimados (definição de 
alternativas). Quando compreendida por meio da metáfora do ciclo, a fase de 
formulação assume grande relevância, uma vez que essa etapa inicial tem impacto 
sobre todo o processo de produção de políticas que se desenvolve posteriormente. 
A forma como o problema é compreendido pelos atores políticos e a maneira 
pela qual ele é definido, na fase de agenda, orientará todo o debate que permeará as 
 
17 
 
escolhas no processo decisório e influenciará as ações nos momentos de 
implementação e avaliação. Independentemente de considerarmos a formulação 
como fase inicial do ciclo, os estudos desenvolvidos sobre essa temática têm 
mostrado que investigar a formação de agenda e alternativas corresponde, em última 
análise, a investigar o poder político. O exercício do poder envolvido no processo de 
definição da agenda tem sido estudado há algumas décadas, como veremos adiante, 
e tem implicações para o processo democrático porque envolve o estabelecimento de 
entendimentos sobre os problemas públicos, estruturando o debate em torno dessas 
questões, definindo seu tratamento e encaminhamento para a tomada de decisão pelo 
sistema político (CAPELLA, 2018). 
A transparência pública se destaca como uma das principais formas de 
controle social. A importância da transparência pode ser medida pelo aumento do 
número de leis de acesso à informação (LAIs) no mundo, que explode desde a década 
de 1990, formando um consenso trans idelológico em relação ao papel que 
transparência, participação e inclusão políticas exercem em sistemas democráticos 
contemporâneos (CAROTHERS e BRECHENMACHER, 2014). A transparência 
passa a ser vista como instrumental para consecução de diversas finalidades 
democráticas, como o aumento da confiança das pessoas nas instituições estatais e 
a diminuição de práticas de corrupção (GRIMMELIKHUIJSEN e MEIJER, 2014; 
GRIMMELIKHUIJSEN, JOHN, MEIJER et al., 2018); a efetivação de direitos 
humanos (Mc DONAGH, 2013); o desenvolvimento socioeconômico dos países; 
entre outros. 
Outros autores argumentam que, ainda que dificilmente mensuráveis, a 
transparência possui efeitos difusos e indiretos sobre os sistemas políticos, causando 
impactos positivos a longo prazo (MICHENER, 2019). No entanto, essa ideia parte do 
pressuposto de que LAIs necessariamente geram transparência. 
Esse pressuposto, contudo, não pode ser assumido, deve ser comprovado. 
Isso porque assumir (em vez de se esforçar para comprovar) que LAIs geram 
transparência e impactos no sistema político desconsidera os diversos gargalos 
institucionais que podem minimizar a sua capacidade transformadora. Se não 
forem devidamente enfrentados, esses obstáculos institucionais podem tornar o 
direito de informação um “direito controlado”, em que a transparência de atos 
 
18 
 
que poderiam efetivamente exigir a prestação de contas de agentes públicos é 
minimizada (CUNHA FILHO, 2017). 
4.2 Sistema Eletrônico do Serviço de Informação ao Cidadão (e-SIC) 
 
Fonte: encrypted-tbn0.gstatic.com 
Quando uma informação pública está indisponível, incompleta ou 
incompreensível num determinado sítio público-eletrônico, o acesso a ela ocorre por 
meio da “transparência passiva”. Nesta modalidade, cabe ao cidadão solicitar, 
formalmente, a informação pelo SIC físico (presencial, em estrutura própria e 
específica da instituição) ou eletrônica (pela Internet, com indicação de todos os 
procedimentos, conforme já exposto pela subseção referente à “transparência ativa”). 
No caso da solicitação eletrônica (a mais comum), o SIC eletrônico redireciona o 
acesso ao e-SIC, em que esta é protocolada e encaminhada à devida instituição 
pública a que se refere a informação (PORTELLA; CÔRTES, 2015). 
No e-SIC, ficam disponíveis (de forma ativa e em tempo real) diversos 
relatórios estatísticos; dentre eles, os de “pedidos de acesso à informação e 
solicitantes” (tanto os físicos como os eletrônicos) relacionados a uma ou várias 
instituições públicas, que podem ser gerados conforme um período desejado (por 
mês) pelo usuário. São detalhados os seguintes dados: 
1) quantidade de pedidos; 
2) situação e característica dos pedidos; 
3) resposta aos pedidos; 
4) perfil dos solicitantes; e 
5) informações adicionais (BRASIL, 2018a). 
 
19 
 
Esses dados, além de serem mais um elemento de transparência do Estado 
para com o cidadão, servem também como referência para melhoria da 
gestão/publicização das informações públicas básicas e complementares dos sítios 
público-eletrônicos. 
 A Escala Brasil Transparente (EBT), criada e efetivada em 2015, a EBT trata-
se do único e oficial índice utilizado pelo CGU para verificação do cumprimento de 
dispositivos da LAI. O método da escala abarca uma checklist composta por doze 
quesitos (expostos pelo Quadro) referentes à existência e ao funcionamento do SIC 
(transparência passiva) e à regulamentação da LAI (BRASIL, 2018). 
Método de avaliação da Escala Brasil Transparente (EBT): 
 
Fonte: Brasil (2018). 
Observa-se, entretanto, que o índice em questão possui três principais 
deficiências no que tange a: 
1) seu objeto, direcionado unicamente a estados e municípios; 
2) seu foco, predominantemente na “transparência passiva”; e 
3) seu método de checklist (que não leva em conta a qualidade da informação 
pública cedida por umainstituição pública), sendo seu preenchimento binário (“sim” 
ou “não”) (BRASIL, 2018). 
Por fim, quanto à terceira e última deficiência, o método da EBT se mostra um 
tanto fragilizado, pois a não consideração da qualidade da informação prestada pelo 
agente público pode inviabilizar o real cumprimento da LAI e, consequentemente, 
comprometer a promoção de transparência (principal finalidade da lei). 
 
20 
 
5 INFORMAÇÕES CLASSIFICADAS: DADOS, REGIME LEGAL E (AUSÊNCIA 
DE) FORMAS DE CONTROLE 
5.1 Informações classificadas e (ausência) de controles 
 
 
Fonte: encrypted-tbn0.gstatic.com 
A regulação do sigilo de atos estatais, no Brasil, remete ao Decreto no 
60.417/1967, o chamado “regulamento para a salvaguarda de assuntos sigilosos”, 
que definia como sigilosos os assuntos que “por sua natureza, devam ser de 
conhecimento restrito” (art. 2º), e criava quatro graus de sigilo de informações 
públicas: ultrassecreto, secreto, confidencial e reservado. O grau de sigilo era 
atribuído a uma informação ou a um conjunto de informações, de acordo com o grau 
de “segurança” que o assunto demandava. O decreto era acompanhado de uma série 
de exemplos não taxativos de hipóteses em que permitia-se classificar informações 
públicas. Esse decreto foi revogado pelo Decreto no79.099/1977, que mantinha 
os mesmos graus de classificação e a fundamentação do segredo a partir da 
ideia de segurança estatal. Posteriormente, os decretos nº 2.134/1997 e 4.553/2002 
e a Lei nº 11.111/2005 mantiveram, mesmo que sob o regime democrático, o mesmo 
arcabouço legal do regime de classificação de informações. A LAI foi aprovada no 
Brasil em 2011, como fruto da formação de uma coalizão entre atores estatais e da 
sociedade civil, em especial a CGU e associações relacionadas ao jornalismo 
investigativo (CUNHA FILHO, 2019; RODRIGUES, 2020). 
 
21 
 
5.2 Lei de Acesso à Informação (LAI) 
A Lei nº 12.527, sancionada em 18 de novembro de 2011, regulamenta 
o direito constitucional de obter informações públicas. Essa norma entrou em vigor 
em 16 de maio de 2012 pelo Decreto nº 7.724, o qual criou mecanismos que 
possibilitam a qualquer pessoa, física ou jurídica, sem necessidade de apresentar 
motivo, o recebimento de informações dos órgãos públicos integrantes da 
administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de 
Contas, e Judiciário e do Ministério Público no âmbito das esferas Federal, 
Estadual e Municipal. Ainda sobre a Lei nº 12.527/2011, em seu Art. 7º, inciso II, 
tem-se a seguinte informação: 
O acesso à informação de que trata esta Lei compreende, entre outros, os 
direitos de obter: II –informação contida em registros ou documentos, 
produzidos ou acumulados por seus órgãos ou entidades, recolhidos ou não 
a arquivos públicos (BRASIL, 2011a). 
Observa-se que a lei indica o local de acesso, como também a busca da 
informação registrada nos documentos produzidos ou acumulados. Cabe então, aos 
órgãos públicos, manterem esta informação organizada, preservada e disponível. 
5.3 Serviço de Informação ao Cidadão (SIC) 
O Decreto nº 7.724, de 16 de maio de 2012, regulamentou os 
procedimentos para a garantia do acesso à informação e para a classificação 
de informações sob restrição de acesso, observados grau e prazo de sigilo nos 
termos da Lei de Acesso à Informação. 
No Art. 9º do inciso II do Decreto nº 7.724/2012, é esclarecido que os órgãos 
e entidades deverão criar Serviço de Informações ao Cidadão e devem: “II –
Informar sobre a tramitação de documentos nas unidades”, o inciso III, por sua vez, 
ressalta a importância do ciclo vital dos documentos no acompanhamento das 
demandas por meio do recebimento, registro de pedidos de acesso à informação. 
O parágrafo único do mencionado artigo estabelece “o encaminhamento do pedido 
recebido e registrado à unidade responsável pelo fornecimento da informação, quando 
couber” (JÚNIOR, 2016). 
 
22 
 
O mecanismo para o gerenciamento dos pedidos de informações foi 
disponibilizado pela Controladoria Geral da União (CGU) através do sistema 
eletrônico do Serviço de Informações ao Cidadão (e-SIC) para os órgãos e entidades 
do governo federal. 
O objetivo do e-SIC é organizar e facilitar o procedimento de acesso à 
informação tanto para o cidadão quanto para a Administração Pública. Além 
de fazer o pedido, é possível acompanhar o cumprimento do prazo de 
resposta; consultar as respostas recebidas; entrar com recursos;apresentar 
reclamações; entre outras ações (BRASIL, 2016). 
As demandas recebidas são distribuídas internamente em busca dos 
esclarecimentos requeridos. De posse da resposta da unidade institucional, o 
responsável pelo SIC deve repassar o pedido do cidadão, preenchendo as 
informações obrigatórias no e-SIC como “Dados da Resposta” e “Sobre o pedido”. 
Neste último, há duas classificações: Categoria e Subcategoria. Essas categorias e 
subcategorias são divididas em vários assuntos e podem ser pesquisados por 
qualquer cidadão, por meio do relatório estatístico de pedidos de acesso à informação 
extraídas da página do e-SIC (JÚNIOR, 2016). 
A entrada em vigor da LAI promoveu a inserção de princípios jurídicos que 
viabilizaram alterações substanciais na atribuição de segredo a informações 
estatais, especialmente pela introdução do princípio da máxima transparência, que 
estabelece uma presunção relativa de transparência de informações produzidas ou 
custodiadas por entidades públicas. No entanto, apesar dessa mudança de 
perspectiva, a LAI não eliminou a possibilidade de existência de segredos, apenas 
tornando obrigatória uma justificativa para o afastamento dessa presunção. Em linhas 
gerais, a lei estabelece três grupos de exceções à regra da transparência: as 
informações protegidas por sigilo legal (como sigilo bancário, sigilo fiscal, dentre 
outros); as informações pessoais sensíveis (tais como definidas pelo art. 31 da lei); e 
as informações cuja divulgação possa afetar a segurança do Estado ou da 
sociedade. 
Este último grupo, são informações públicas que podem ser temporariamente 
restritas (por 5, 15 ou 25 anos, dependendo do grau de sigilo necessário) por 
meio do ato de classificação de informações. Apesar de vigorar atualmente sob o 
manto da excepcionalidade e da transparência imposto pela Lei nº12.527/11, o 
atual regime da classificação de informações materializa importantes continuidades 
 
23 
 
com o regime legal ditatorial, o que nos impõe a reflexão sobre a real necessidade de 
um regime de classificação de informações, bem como com a sua compatibilidade 
com um regime constitucional democrático. 
Em uma argumentação abstrata, ninguém jamais se oporia à ideia de não 
divulgar informações cuja revelação afete a segurança do Estado ou de membros da 
sociedade. A grande questão, contudo, é como e quem toma decisões a respeito de 
quais informações podem ser objeto de restrição com base nessa categoria legal. 
A questão que se coloca é se o procedimento de classificação de informações 
permite que se mantenha um escrutínio externo mínimo sobre esse ato administrativo 
(CUNHA FILHO, 2019; RODRIGUES, 2020). 
Antes de entrarmos na questão, é importante demonstrar que o ato de 
classificação de informações é utilizado com frequência por alguns órgãos do 
Executivo. Dados disponíveis no site da CGU mostram informações consolidadas de 
atos classificados por órgãos e entidades do Executivo, que têm a obrigação legal de 
informar o seu rol de informações classificadas. Apesar dessa obrigação legal, grande 
parte dos órgãos não informa o seu quantitativo de informações classificadas. Dos 
órgãos queinformam o quantitativo de informações classificadas, há uma 
concentração das classificações sem alguns órgãos. 
Órgãos do Executivo federal com mais de cem informações 
classificadas em maio de 2020. 
 
Fonte: Cunha Filho & Antunes (2020), elaborada a partir de levantamento feito pela CGU. 
 
24 
 
Esses números mostram que o ato de classificação não é trivial ou 
irrisório, apesar de ser concentrado em alguns órgãos (apenas 12 dos 313 órgãos 
do Executivo federal possuíam, em maio de 2020, mais de cem informações 
classificadas). Esses números não mostram as informações que foram classificadas 
e posteriormente desclassificadas (conforme os dados da CGU, apenas entre junho 
de 2019 e maio de 2020 foram desclassificadas 12 mil informações na Marinha, 11 
mil na Aeronáutica, 2 mil no GSI; em torno de 50 nos demais órgãos, exceto a UFMT 
e o MJSP, que não desclassificaram nenhuma informação entre junho de 2019 e maio 
de 2020). A existência de um número não irrisório de informações desclassificadas 
pode ser interpretada de maneiras diferentes. Pode ser vista como um indício de que 
o sistema de desclassificação está funcionando e que por isso produz anualmente 
um número significativo de desclassificações. Pode, contudo, ser interpretado 
também como um sinal de disfuncionalidade. A classificação por si só impõe 
restrições gravosas à disseminação de informações em um Estado democrático, 
restringindo o acesso a informações por determinado período de tempo, 
possivelmente o período em que ela seria mais relevante para subsidiar debates 
públicos. Ademais, a desclassificação não significa a publicitação automática das 
informações, conforme exploraremos a seguir (CUNHA FILHO & ANTUNES, 2020). 
O ato de classificação de informações – que ocorreu em dezenas de 
milhares ocasiões, como demonstrados na Tabela – pode, ao menos em tese, ser 
contestado judicialmente. Entretanto, em pesquisa realizada nos sites dos cinco 
tribunais regionais federais (TRFs) brasileiros, bem como no Supremo Tribunal de 
Justiça (STJ) e no Supremo Tribunal Federal (STF), encontramos apenas um 
precedente judicial discutindo o mérito do ato administrativo de classificação de 
informações. Trata-se de uma decisão de 2016 emitida pelo TRF4, em que denegou-
se mandado de segurança que solicitava acesso a uma informação classificada. 
Ainda que esse levantamento não seja exaustivo, e ainda que do ponto de vista 
jurídico seja possível questionar frente ao Judiciário o mérito de atos 
administrativos, a ausência completa de discussões a esse respeito no Judiciário 
federal, mesmo depois de transcorridos mais de oito anos de vigência da LAI, 
demonstra que, na prática, o Judiciário simplesmente não tem sido chamado a 
participar nesse debate específico, possivelmente em decorrência da ausência de 
uma “estrutura de suporte” que permita a chegada dessas discussões à Justiça. De 
 
25 
 
qualquer forma, mesmo em países em que o Judiciário é chamado a discutir a 
classificação de informações com mais frequência, esse controle tende a ser 
infrequente porque há uma natural deferência do Judiciário em relação a argumentos 
sobre os quais juízes pouco compreendem, como segurança nacional (CUNHA 
FILHO & ANTUNES, 2020). 
Assim, segundo Pozen (2010), a revisão judicial está fadada a ser um 
instrumento limitado para exercer controle sobre segredos que se escondem nas 
sombras e que frequentemente passam desapercebidos pelos atores interessados, 
que, quando os notam, o fazem apenas de maneira obscura. A profundidade precisa 
ser minimizada em um estágio mais inicial do processo de tomada de decisões. 
Considerando a ineficiência (ou, talvez, a inexistência) de controle judicial sobre 
os atos de classificação de informações, é preciso que nos voltemos às instâncias 
administrativas de controle. O regime legal da LAI, no âmbito federal, posiciona 
no centro do controle sobre atos de classificação a Comissão Mista de Reavaliação 
de Informações (CMRI), que possui competência para julgar recursos a pedidos de 
desclassificação de informações advindos de cidadãos e para reavaliar a 
necessidade de manter informações sob classificação. No entanto, apesar de 
denominada “mista”, a CMRI é uma instituição formada exclusivamente por agentes 
públicos de alto escalão, muitas vezes com experiência e recursos limitados para 
tomar decisões efetivas sobre a transparência pública. O viés institucional da 
CMRI já foi discutido em trabalhos anteriores. Basta aqui afirmar que, das 3.416 
decisões tomadas pela CMRI desde a sua instauração, em 2012, até o final do período 
de coleta de dados, em maio de 2020, apenas em 84 ocasiões (ou seja, em 2,5% das 
ocasiões) a comissão reverteu, parcial ou totalmente, decisões de órgãos do 
Executivo. Esse percentual contempla todas as decisões tomadas pela CRMI, 
incluindo recursos de acesso à informação, em que não há discussão sobre 
informação classificada propriamente. Ou seja, o número de decisões que ordenou a 
desclassificação de informações é um subconjunto desse já limitado número de 
ocasiões em que a CMRI decide de maneira contrária a órgãos e entidades do 
Executivo. (CUNHA FILHO, 2019). 
 
26 
 
6 AMEAÇAS, RISCOS E VULNERABILIDADES: O IMPACTO DA SEGURANÇA 
DA INFORMAÇÃO NAS ORGANIZAÇÕES 
 
Fonte: image.slidesharecdn.com 
Com a expansão das redes e da internet no meio corporativo nos últimos 
anos, a informação, que outrora navegava por papéis e serviços de postagens, 
passou a ser transmitida por meio digital, agilizando processos e estreitando laços 
entre as empresas, clientes e fornecedores. Com todas as vantagens inimagináveis 
que a tecnologia e sistemas da informação trouxeram para as organizações, vieram 
novas e devastadoras ameaça se poderiam levar uma empresa à falência 
(REUTERS, 2017). Há diversos relatos e reportagens de empresas que tiveram 
seus dados sequestrados por hackers através do método de ataque Ransomware 
(G1, 2017), ou seja, um sequestro de dados em que o pagamento ocorre 
normalmente através de moedas digitais. Essa é apenas uma das ameaças que 
cercam o meio corporativo, pois há ataques por vírus, DDoS (Distributed Denial 
of Service), invasão, engenharia social, roubo de senha entre outros métodos e 
ferramentas que visam explorar seus alvos, pois “todo funcionário da empresa 
que utilize um computador, um dispositivo de rede, um tablete ou um telefone é 
um alvo em potencial” (LISKA e GALLO, 2017). 
A preocupação crescente quanto à segurança da informação não pode ser 
vista apenas como um alarde desnecessário que gera gastos à organização. Os 
crimes contra empresas e indivíduos aumentaram exponencialmente nos últimos 
anos. De acordo com a análise de incidentes reportados ao CERT.br (CERT.br, 2018), 
 
27 
 
houve, no ano de 2017, 833.755 notificações de incidentes recebidas pela empresa. 
Este número representa, somente no Brasil, Revista Tecnológica da Fatec Americana, 
vol. 07, n. 02, abril/setembro de 2019 45 um aumento de 29% em relação ao ano 
anterior. Tais ataques variam entre negação de serviço, fraudes, varreduras, phishings 
e ataques aos servidores web. 
Total de incidentes reportados ao CERT.br por ano: 
 
Fonte: CERT.br (2018) 
 
O gráfico apresentado mostra o crescimento de incidentes com o passar dos 
anos. Seu crescimento está relacionado com a evolução da tecnologia e sua 
importância para as organizações. Realizar ataques virtuais tornou-se um viés 
lucrativo no meio digital, seja para extorquir dinheiro ou roubar informações sigilosas. 
Outro dado preocupante, que fomenta o número de ataques, é quesegundo o estudo 
“Norton Cyber Security Insights Report” da Symantec em 2017 houve um prejuízo de 
22,5 bilhões de dólares no Brasil causado por crimes virtuais, deixando o país atrás 
apenas da China, que teve um prejuízo de 66,3 bilhões de dólares. Tais números 
acabam despertando interesse para que mais pessoas cometam crimes virtuais, 
devido à crescente facilidade em realizar ataques, com ferramentas prontas que 
exigem pouco conhecimento do atacante, e em alguns casos, o pagamento é feito em 
 
28 
 
moedas virtuais como a bitcoin que valoriza a cada dia e dificilmente é rastreável. A 
hostilidade deste ambiente conectado e o grande impacto causado pelos atacantes 
despertou uma nova preocupação para as empresas, pois os riscos e prejuízos são 
reais e todos estão sujeitos aos ataques. Considerando que “O risco é apenas uma 
forma de representar a probabilidade de algo acontecer. Trata-se de uma 
possibilidade. Portanto, pode ou não ocorrer”. Cresce então a demanda das empresas 
a pensarem em sua segurança digital, criar barreiras com intuito de mitigar os riscos 
à empresa (SANTOS et al, 2019). 
Pela definição de Peltier (2010), ameaça é um evento indesejável que 
pode danificar um ativo, causando impacto nos resultados do negócio. Ele 
classifica as ameaças em grupos básicos com base na natureza do agente 
causador: 
 Ameaças Naturais, que incluem eventos da natureza como enchentes, 
terremotos e tempestades elétricas; 
Ameaças Humanas, as quais englobam eventos que sejam causados ou 
facilitados por um agente humano, de forma voluntária ou não, tais quais malwares, 
eventos de fraude, e outros erros comuns na área de Tecnologia; e por fim, as 
Ameaças Ambientais, ação do tempo, poluição e umidade. 
Para melhor classificação das ameaças, é possível fazer uma análise 
individual de cada uma, identificando alguns itens chave, que são: 
Agente ou fonte, que poderá realizar a ação da ameaça; 
Motivação, que procura identificar o que pode levar o agente a realizar tal 
ação, e por fim, o resultado da ação. 
O levantamento de uma lista de ameaças correspondente à cada ativo do 
processo organizacional é fundamental para a definição de Vulnerabilidades, e, 
consequentemente, para análise de risco. Existem diversas formas para realizar este 
levantamento. 
Peltier (2010) cita a criação de check lists, a análise de histórico de eventos, 
e por fim, o brainstorm com agentes chave dos processos organizacionais para o 
levantamento da relação de ameaças dos ativos envolvidos em cada etapa dos 
processos principais da organização. 
Vulnerabilidade é uma falha ou fraqueza de um bem, ativo ou processo, que, 
caso seja explorada por uma ameaça, irá causar algum impacto na organização, 
 
29 
 
podendo ser considerada como a suscetibilidade do sistema ou ativo em relação à 
determinada ameaça. 
Risco pode ser definido como a possibilidade de que uma determinada 
vulnerabilidade identificada nos processos anteriores tem de ser explorada por uma 
ameaça. Para o tratamento do risco, é necessário que sejam seguidos alguns passos, 
sendo eles: 
6.1 Análise de risco em segurança da informação 
 
Fonte: solvimm.com/wp-content 
Uma vez que não é possível garantir uma proteção total à informação a todas 
as ameaças (conhecidas e não conhecidas), torna-se necessário conduzir uma 
análise de risco da segurança da informação, de modo a determinar as ameaças e as 
vulnerabilidades para a informação e as contramedidas necessárias para serem 
aplicadas de modo a reduzir (mitigar) o efeito destes riscos (impacto) para um nível 
aceitável. Desta forma, a análise de risco é um processo de identificar os ativos, os 
riscos para esses ativos e os procedimentos para mitigar os riscos para esses ativos. 
As organizações ou os indivíduos necessitam de entender quais os riscos que existem 
no seu ambiente de ativos de informação e como esses riscos podem ser reduzidos 
ou mesmo eliminados (GOUVEIA, 2017). 
 A gestão do risco é o processo de implementar e manter as contramedidas 
que reduzem os efeitos do risco para um nível aceitável. É da análise de risco que a 
informação que é necessária para a gestão tomar decisões acertadas relativas à 
 
30 
 
segurança da informação de uma organização, é obtida. Essa obtenção por esta via, 
devesse ao facto da análise de risco identificar os controlos de segurança no local, 
calcular as suas vulnerabilidades e avaliar o efeito das ameaças, em cada área ou 
situação de vulnerabilidade. A gestão do risco deve ser um processo em curso, 
proativo, de modo a estabelecer e manter um nível aceitável de segurança de um 
sistema de informação. Uma vez alcançado um nível adequado de segurança, o 
processo de gestão de risco monitoriza o risco nas atividades quotidianas (ou 
correntes) e segue os resultados da análise de risco de segurança (GOUVEIA, 2017). 
Identificação de risco 
Após a identificação dos ativos que compõe os processos organizacionais, é 
feita identificação de ameaças e vulnerabilidades relacionadas a estes ativos. Com as 
ameaças e vulnerabilidades identificadas, o próximo passo é a probabilidade de 
ocorrência de cada ameaça x vulnerabilidade, na qual podem ser utilizados dados de 
incidentes anteriores. Feito isto, a próxima etapa é a análise de impacto, na qual é 
identificada e classificada, quais as consequências da exploração de determinada 
vulnerabilidade para a organização. 
Tratamento do risco 
Com a definição destes dois últimos itens, é possível elaborar a matriz de 
risco, que serve para identificar a criticidade de um risco, levando em consideração o 
impacto e a probabilidade de ocorrência do risco, que é crucial para a criação e 
definição dos itens de controle, que visam evitar, tratar ou mitigar os riscos 
identificados, na forma de políticas de segurança. 
Matriz de risco: 
 
Fonte: Adaptado de Peltier (2010) 
 
 
 
31 
 
Aceitação do risco 
 Para os itens que não serão tratados por meio de políticas de segurança, é 
necessário fazer o registo de aceitação do risco, bem como a responsabilidade e 
justificativa da decisão. 
TORRES (2015), cita exemplos de vulnerabilidades: 
Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; 
falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio 
em sala com armários e fichários estratégicos; risco de explosões, vazamento ou 
incêndio. 
Naturais - Computadores são suscetíveis a desastres naturais, como 
incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, 
acúmulo de poeira, aumento umidade e de temperatura etc. 
Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, má 
utilização) ou erros durante a instalação. 
Software - Erros na instalação ou na configuração podem acarretar acessos 
indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso 
quando necessário. 
Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou 
danificados. A radiação eletromagnética pode afetar diversos tipos de mídias 
magnéticas. 
Comunicação - Acessos não autorizados ou perda de comunicação. 
Humanas - Falta de treinamento, compartilhamento de informações 
confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de 
bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da 
propriedade ou dados, invasões ou guerras." 
 
32 
 
7 ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO EMPRESARIAL 
 
Fonte: encrypted-tbn0.gstatic.com 
Para se estabelecer o grau de importância para as informações, que existem 
dentro de uma organização, é necessário avaliar o dano que a sua perda, ou o seu 
vazamento, poderá provocar para a operação ou para os negócios. Essa análise deve 
ser feita durante o planejamento estratégico da empresa. O planejamento estratégico, 
que as organizações realizamperiodicamente, se destina a uma reavaliação crítica 
da sua situação atual e o estabelecimento de objetivos (estratégicos) para os próximos 
anos. É nesse planejamento que se estabelece objetivos de lançamento de novos 
produtos, entrada ou saída de mercados, aquisições, expansões e todos os demais 
objetivos que afetam a organização como um todo (FOINA, 2013). 
Um planejamento estratégico é realizado em três etapas básicas: 
 a) Etapa de diagnóstico: onde é analisada criticamente a situação atual da 
organização em relação aos objetivos propostos anteriormente; 
b) Etapa de prospecção: nessa etapa são desenhados os cenários futuros 
para o ecossistema da organização e estabelecidos novos objetivos estratégicos para 
os próximos anos; 
c) Etapa de elaboração de planos: os objetivos estratégicos estabelecidos são 
desdobrados em planos de ações para cada área de organização (finanças, marketing 
& vendas, recursos humanos, tecnologia, produção etc.). Posteriormente os planos 
de ações receberão metas objetivas e orçamentos necessários para a sua realização 
(VEIGA, 2010). 
 
33 
 
Propomos uma escala de cinco níveis de sensibilidade a ser aferida para cada 
conjunto de informações referentes a uma mesma entidade ou conceito: 
Nível 1 – Informação pública – informação que foi obtida sem ônus, de fontes 
públicas, ou que foi produzida internamente pela empresa, mas que tem interesse 
público. Essas informações não precisam de controle de acesso e de distribuição. 
Apenas deve-se cuidar para que elas não sejam danificadas ou alteradas. 
São exemplos de informações de nível 1: Dados do balanço de empresas de 
capital aberto; Lista de produtos; Notícias sobre a empresa. 
Nível 2 – Informação restrita - informação que foi adquirida de terceiros com 
cláusula de sigilo, mas que outras empresas também podem adquirir, ou que foi 
produzida pela empresa e que tem interesse restrito a ela. Essas informações, se 
vazadas, podem comprometer a imagem da organização, mas não sua operação. 
São exemplos de informações de nível 2: Relatórios de consultoria sobre 
empresas concorrentes; Dados pessoais dos funcionários e executivos da empresa; 
Relatos de defeitos de produtos e serviços. 
Nível 3 – Informação sigilosa - informação que foi obtida, com exclusividade, 
de terceiros, ou que foi produzida pela empresa e que trata de decisões, processos 
ou produtos críticos para a sua operação. Essas informações, se vazadas ou 
danificadas, podem gerar decisões erradas e prejudiciais para a operação da empresa 
ou inviabilizar o lançamento de um novo produto ou serviço. 
São exemplos de informações de nível 3: Relatórios de investigação de 
práticas concorrenciais ilegais; Detalhes sobre campanhas de lançamento comercial; 
Detalhes sobre planos de fusão, aquisição ou fechamento de empresas. 
Nível 4 – informação secreta – informação referente a detalhes de produtos e 
serviços que estão em processo de desenvolvimento ou, decisões sobre significativas 
alterações do valor patrimonial da empresa. Essas informações, se vazadas ou 
danificadas, podem comprometer o protagonismo no lançamento de um novo produto 
ou ainda permitir que concorrentes o lancem antes da empresa. Podem ainda 
inviabilizar fusões ou aquisições de empresas ou, pior, leva a empresa a ser alvo de 
investigação por parte da CVM. 
São exemplos de informações de nível 4: Detalhes de produtos e serviços em 
desenvolvimento; Detalhes sore a negociação de compra ou venda de empresas ou 
 
34 
 
filiais; Relatórios sobre falhas graves, em produtos, serviços ou processos internos, 
que podem afetar o valor das ações da empresa na bolsa de valores; 
Nível 5 – Informações ultrassecretas– informações sobre atos e fatos da 
organização cujo acesso é limitado apenas à mais alta direção executiva e seus 
acionistas. Essas informações, se vazadas, podem levar a ações judiciais à empresa 
ou a seus executivos e acionistas. Compreendem ainda informações sobre segredos 
industriais que diferenciam a empresa de seus concorrentes. 
São exemplos de informações de nível 5: Detalhes sobre operações ilícitas ou 
de alto risco jurídico; Segredos industriais sobre componentes, insumos ou processos 
de produção dos principais produtos da empresa ainda não patenteados ou protegidos 
por lei (LYRA, 2015). 
As informações de níveis 1 e 2 não precisam ser tratadas pelo nível 
estratégico da empresa, bastando as salvaguardas tradicionais das áreas técnicas. Já 
as demais precisam ser consideradas no planejamento estratégico, pois sua guarda 
e proteção implicam em despesas significativas e riscos a serem mitigados e 
compartilhados pela alta direção. As informações de nível 5 devem ficar fora das redes 
corporativas (em computadores isolados) e, preferencialmente, não documentadas 
sob qualquer meio ou formato (LYRA, 2015). 
8 MECANISMOS E TECNOLOGIAS DE SEGURANÇA 
8.1 Controles de pessoal 
A questão da segurança das informações em computadores praticamente é 
inexistente, pois é uma preocupação diária, minuto a minuto, daí a importância da 
prevenção de riscos, de forma que venha mitigar ao máximo as vulnerabilidades. 
Segurança 100% só existe se deixarmos os computadores desligados e 
desconectados, mas infelizmente, ele perderia sua utilidade. 
Por isso, é importante o funcionário conhecer seus deveres na empresa; um 
cuidado que o departamento de Recursos Humanos deve ter é em relação à 
contratação de um novo servidor, constatando os documentos e referências 
apresentados, propor treinamento adequado aos funcionários, deixando claras as 
diretrizes de segurança da empresa (FERNANDES, 2018). 
 
35 
 
8.2 Controles físicos 
Para assegurar os ativos da informação físicos, são necessários cuidados 
para prevenir, detectar e solucionar problemas, caso ocorra algum incidente de 
segurança. Dessa forma, a proteção física são barreiras que servem para restringir o 
acesso direto à informação ou infraestrutura, de forma que a garantir a existência da 
informação. A Norma ISO/IEC 17799 define perímetro de segurança como sendo: 
“Alguma coisa que constitui uma barreira, tal como uma parede, um portão de entrada 
controlado por cartão ou um balcão de recepção com atendentes”. Há alguns 
controles que merecem cuidados especiais, tais como: identificar quem entra nas 
dependências da empresa, os trabalhadores da segurança também devem suas 
regras de trabalho, os locais de carga e descarga também merecem vigilância, para 
saber quem entrou e como entrou na empresa. Todos esses aspectos devem ser 
tratados individualmente e com muita cautela porque muitos crimes ocorrem em 
virtude da falta de segurança nas dependências da empresa (FERNANDES, 2018). 
8.3 Segurança de equipamentos 
Pode perceber que todos os ativos da empresa merecem cuidados especiais, 
cada um com suas exigências e restrições de acesso. 
Os equipamentos devem ser mais uma preocupação para quem define as 
diretrizes de segurança de uma empresa, considerando não somente a localização e 
disposição física, mas também protegendo contra acessos não autorizados, a 
salvaguarda e descartes de arquivos, manutenção e aquisição de novos 
equipamentos, falhas de energia, além do cabeamento e toda infraestrutura utilizada. 
8.4 Controles de acesso lógicos 
Problemas de ordem lógica em uma empresa não se resume apenas a 
acessos indevidos, podem ocorrer falhas em algum programa que a empresa utiliza 
para realizar suas atividades diárias, podendo ficar indisponível para a realização das 
operações por algumas horas ou mesmo até dias. Esses problemas geralmente estão 
relacionados a erros que o próprio programa contém, não garantindo a integridade 
da base de dados e podem ocorrer também quando o computador está infectado 
 
36 
 
com algum tipo de vírus de computador ou outra forma de ataque. Os controles 
nada mais são que barreiras que tentam restringir ou limitar oacesso de pessoas não 
autorizadas ao sistema da empresa. Alguns recursos que devem ser protegidos pelo 
controle de acesso lógico são: os arquivos fontes, sistemas operacionais e os 
aplicativos instalados na máquina, sendo definidos pela ISO/IEC 17799 
(FERNANDES, 2018). 
9 MECANISMOS DE SEGURANÇA 
9.1 Identificação de usuários 
A identificação do usuário no sistema pode ocorrer diretamente no provedor 
de serviços. Neste caso, o usuário terá uma identidade para cada serviço, 
conhecida como modelo tradicional. O modelo centralizado é o que libera o acesso ao 
sistema ao usuário uma única vez no servidor que, a partir daí poderá utilizar os seus 
privilégios por tempo determinado. Já o modelo federa-do permite o acesso dos 
usuários pela autenticação única, ou seja, uma vez cadastrado em um servidor, o 
cliente poderá ter sua identidade distribuída a outros servidores, não existindo 
nenhuma legislação que proíba tal ação e, por fim, o modelo centrado no usuário, no 
qual quem gerencia a identidade do usuário é o próprio usuário, permitindo ou 
restringindo determinada informação a um servidor. Essas são as formas de 
identificação do usuário em um servidor. 
9.2 Autorização e controle de acesso 
Os controles de acesso e autorização geralmente inspecionam o que o 
usuário vai fazer, desde que devidamente autorizado. Os mecanismos mais utilizados 
são os de autenticação, os mais conhecidos são os logins e senhas, não tão seguros, 
mas atualmente, em mecanismos de autenticação foram criados alguns equipamentos 
para dar suporte a esse processo, por exemplo, na biometria, nos certificados digitais; 
vale ressaltar que esses mecanismos são utilizados dentro do ambiente empresa. Já 
os mecanismos utilizados para acessar o sistema fora da empresa contam com os 
 
37 
 
firewall, justamente por garantir a proteção de quem acessa tanto de fora como de 
dentro da empresa. 
9.3 Programas antivírus 
Uma maneira eficaz de se proteger os dados dentro da empresa é justamente 
utilizar programas antivírus, pois muitos identificam e deletam não somente arquivos 
infectados no disco, mas também enviados por e-mail e outros meios lógicos que a 
empresa utiliza para guardar seus dados, dessa forma, esses aplicativos asseguram 
a integridade dessas informações. 
Os antivírus, atualmente, utilizam os dois métodos para identificar infecções, 
sendo denominados híbridos, além de sua atualização diária, pois todos os dias são 
criados novos vírus. É importante que o usuário seja devidamente treinado para 
prevenir e reconhecer possíveis ataques, não bastando apenas a instalação dessas 
ferramentas de segurança (FERNANDES, 2018). 
9.4 Proteção de dados em curso na internet 
A tecnologia utilizada para proteger dados que estão trafegando na Internet é 
a criptografia, cujos dados são codificados, de forma que fiquem totalmente 
descaracterizados, evitando a sua leitura caso seja interceptado. 
9.5 Detecção de intrusos 
A detecção de intrusos tem por função analisar os acessos efetuados na rede, 
observando as inúmeras linhas de logs e diagnosticando em tempo real possíveis 
ataques. Nesse sentido, os administradores da rede de computadores sabem sobre 
as invasões que estão ocorrendo ou mesmo as tentativas de invasão ao sistema de 
computadores, sendo capazes também de identificar possíveis ataques feitos 
internamente, ou seja, ocorridos na própria empresa, pois essas invasões o firewall 
não detecta. 
 
38 
 
9.6 Sistema de backup 
O sistema de backup refere-se à criação de cópias de segurança das 
informações importantes para os negócios que estão gravados nos servidores e 
computadores dos usuários. Para realização do backup, é necessário instalação de 
ferramentas específicas para essa tarefa, além disso, é importantíssimo ter certeza 
de que as cópias agendadas tenham sido realizadas corretamente e que as 
informações estejam íntegras. O backup deve ser feito periodicamente (diário, 
semanal, quinzenal, mensal) de forma que, se algum incidente de segurança ocorrer, 
as informações possam ser recuperadas sem nenhum dano imediatamente 
(FERNANDES, 2018). 
9.7 Firewall 
É uma junção de hardware e software aplicados em uma política de segurança 
que gerencia o tráfego de pacotes entre a rede local e a Internet em tempo real. Não 
vamos nos estender muito sobre esse assunto, porque o mesmo será abordado mais 
adiante. 
9.8 Atualização de sistemas operacionais e aplicativos 
Atualizar o sistema operacional e os aplicativos da máquina minimizam os 
riscos e vulnerabilidades, pois os mesmos possuem atualizações que corrigem falhas 
apresentadas nesses aplicativos depois de comercializados. Caso seu aplicativo não 
seja original ou mesmo de uso livre, você pode estar correndo sérios riscos. 
9.9 Honeypot 
Conceitualmente, honeypot é um recurso de segurança, especificamente 
criado para ser atacado. Não possui qualquer atividade produtiva ou autorizada. Logo, 
qualquer pacote que entrar ou sair deste sistema deve ser considerado como um vírus, 
scan ou ataque. A principal vantagem de um honeypot é que ele não depende de 
assinaturas, regras ou algoritmos avançados, ele simplesmente captura os ataques 
 
39 
 
que lhe são direcionados, facilitando a análise e correlação da pequena, mas valiosa, 
coleção de dados. 
Entretando, pode-se citar duas desvantagens. A primeira, diz respeito à sua 
capacidade limitada de visão, ou seja, ele só captura os dados direcionados a ele 
mesmo. Não é capaz de reconhecer, por exemplo, ataques a um servidor web, ou a 
um servidor de dados, se este tráfego não for direcionado a ele. A segunda refere-se 
ao risco. Toda vez que uma nova tecnologia é introduzida, especialmente se ela 
possui a pilha IP, existe o risco deste recurso ser quebrado, ou no caso específico dos 
honeypots, ser usado para atacar outros sistemas. Em função destas questões, os 
honeypots não devem ser usados para substituir as tecnologias de segurança 
existentes, mas sim, para complementá-las e aumentar seu valor. 
Para melhor entender os honeypots, deve-se ressaltar suas duas categorias: 
produção e pesquisa. O principal objetivo de um honeypot de produção é proteger a 
organização, distraindo o invasor. Em contrapartida, o honeypot de pesquisa tem 
como principal objetivo capturar o maior número possível de informações sobre os 
ataques (JABOUR & DUARTE, 2010). 
9.10 Sistemas de autenticação 
Esta tecnologia faz uso da combinação de logins e senhas, que de certa 
forma, atualmente, não apresenta tanta dificuldade para descobrir. Sendo assim, 
foram integradas a esse sistema de autenticação, soluções melhor elaboradas, 
dificultando a quebra. Nesse sentido, instrumentos físicos – hardware – dão suporte a 
esse mecanismo de segurança. Como exemplos, temos: os recursos da certificação 
digital, palavras-chaves, cartões inteligentes e os recursos da biometria. A biometria 
é uma técnica que utiliza características biológicas como recurso de identificação, 
como a digital de um dedo ou mesmo da mão, ler a íris, reconhecer a voz, e as próprias 
empresas já estão se organizando para essa mudança tecnológica. Um exemplo mais 
próximo foi o que aconteceu nas últimas eleições, cujo recadastramento foi obrigatório 
em algumas cidades brasileiras para justamente fazer uso nas eleições, agilizando 
não somente a votação, mas também, a apuração (FERNANDES, 2018). 
Esses mecanismos têm por função gerenciar as permissões que o 
usuário tem no sistema. Quanto aos mecanismos de controle efetuados para 
 
40 
 
gerenciar acessos externos, pode ser adquirido pelo uso de um firewall, que é uma 
barreira lógica na entrada da empresa, impedindo ou permitindo acessos. 
9.11 Protocolos seguros 
É um método que faz uso de protocolos que realmente garantem certo grau 
de segurança. Atualmente, há inúmeras ferramentas e sistemas disponíveis que têm 
por objetivo o fornecimentode segurança às redes de computadores. Podemos 
citar como exemplo os próprios softwares antivírus, os firewalls, identificadores de 
intrusos, programas para filtrar spam (FERNANDES, 2018). 
9.12 Assinatura digital 
Este processo garante que a mensagem realmente veio do remetente, 
confirmando sua autenticidade, este método utiliza técnicas de criptografia, dessa 
maneira, garante também a integridade e o não repúdio, que tem como característica 
provar quem foi o emissor da mensagem. Basicamente, seu mecanismo gera um 
resumo criptografado da mensagem utilizando algoritmos complexos, minimizando 
a mensagem em tamanhos menores, que é denominado hashing ou checagem 
(FERNANDES, 2018). 
9.13 Auditoria de acesso às informações 
A auditoria de acesso às informações é um recurso de controle bastante 
usado, principalmente nas empresas que trabalham com transações financeiras 
diariamente; pode perfeitamente ser aplicada nos recursos computacionais. Esse 
mecanismo de segurança é importante por possibilitar visualizar as atividades 
efetuadas no computador, assim como identificar quem executou a ação a partir da ID 
de usuário, além da possibilidade de poder observar o conteúdo que foi tratado nos 
computadores. Tem por função, basicamente, registrar todos os acessos efetuadas 
nas redes de computadores, possibilitando identificar o usuário que acessou a 
máquina, assim como os recursos utilizados e, caso tenha acessado a internet, é 
possível saber quais páginas e conteúdos foram acessados, se foram feitos 
 
41 
 
downloads de arquivos. Esse mecanismo de segurança auxilia na tomada de decisão 
para uma reformulação da política de segurança, caso a empresa já tenha, ou mesmo 
dar subsídios na criação de uma política de segurança eficiente (FERNANDES, 2018). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
42 
 
REFERÊNCIAS BIBLIOGRÁFICAS 
AROUCK, O. Atributos de qualidade da informação. (2011). 
AROUCK, O.; DO AMARAL, S. A. Atributos de qualidade da informação e a lei de 
acesso à informação. In: Anais do Congresso Brasileiro de Biblioteconomia, 
Documentação e Ciência da Informação-FEBAB. 2013. 
BRASIL - E-SIC – Sistema Eletrônico do Serviço de Informação ao Cidadão. 
Relatórios Estatísticos. 2018 
BRASIL. Controladoria Geral da União. Manual do SIC. Brasília (DF), out. 2016. 
BRASIL. Lei nº 12.527, 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; 
revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 
de janeiro de 1991; e dá outras providências. Brasília: Congresso Nacional, 2011ª. 
CAPELLA, A. C. N. Formulação de políticas públicas. 2018. 
CAROTHERS, T.; BRECHENMACHER, S. Accountability, transparency, 
participationand inclusion: a new development consensus? Carnegie Endowment for 
International Peace,Washington, 20 Oct. 2014. 
CUNHA FILHO, M. C. A construção da transparência pública no Brasil: análise da 
elaboração e implementação da Lei de Acesso à Informação no Executivo federal 
(2003-2019). 2019. Tese (Doutorado em Direito) –Universidade de Brasília, Brasília, 
2019. 
CUNHA FILHO, M.C.; ANTUNES, L. F. T. Regime legal de classificação de 
informações no Brasil: problemas teóricos, empíricos e (in) compatibilidade com a 
ordem jurídica democrática. Cadernos EBAPE. BR, 2020. 
ESPÍRITO SANTO, A. F. S. SEGURANÇA DA INFORMAÇÃO. 2018 
FERNANDES, N. O. Campo. Segurança da Informação. 2018. 
 
43 
 
FOINA, P. R. Tecnologia da informação: planejamento e gestão, 3ª edição, Ed. Atlas, 
2013 
GOUVEIA, L. B. Gestão da Segurança da Informação. 2017. 
GRIMMELIKHUIJSEN, S. G.; MEIJER, A. J. Effects of transparency on the perceived 
trustworthiness of a government organization: Evidence from an online experiment. 
Journal of Public Administration Research and Theory, v. 24, n. 1, p. 137-157, 2014. 
JABOUR, E.C.M.G., DUARTE, O. C. M. B. Honeynets: Invasores, Ferramentas, 
Técnicas e Táticas. 2010. 
JÚNIOR, Z. S.. Análise da classificação do pedido: informação, gestão e arquivo. 
Revista Ágora: políticas públicas, comunicação e governança informacional, v. 
1, p. 79-97, 2017. 
KIM, D. e SOLOMON, M. G. Fundamentos de segurança de sistemas da informação.1. 
ed. São Paulo: Grupo Editorial Nacional, 2014. 
LISKA, A. e GALLO, T. Ransomware: Defendendo-se da extorsão digital.1. ed. São 
Paulo: Novatec, 2017. 
LYRA, M. R. (2015). Checking the Maturity of Security Policies for Information and 
Communication. ISACA Journal, 2. 
LYRA, M. R. Governança da segurança da informação. Brasília: nd, 2015. 
MCDONAGH, M. The right to information in international human rights law. Human 
Rights Law, v. 13, n. 1, p. 25-55, 2013. 
MELLA, Lisiane Ligia; LIMBERGER, Jéssica; ANDRETTA, Ilana. Políticas públicas e 
adolescentes em conflito com a lei: revisão sistemática da literatura nacional. Revista 
Políticas Públicas & Cidades, v. 3, n. 2, p. 88 – 99, maio/ago. 2015. 
MICHENER, R. G. Brazil’s information ecosystem: what is transparency’s impact? 
Revista da CGU, v. 11, n. 20, p. 1299-1310, 2019. 
 
44 
 
MÜHLBAUER, R. Classificação e Manuseio Seguro da Informação. FaSCi-Tech, v. 1, 
n. 2, 2016. 
PAULA, L. P.; CORDEIRO, D. F. Políticas de segurança da informação em instituições 
públicas. Revista Eletrônica de Sistemas de Informação e de Gestão Tecnológica, 
v. 6, n. 2, 2016. 
PELTIER, T. R. Information security risk analysis, 3.ed. Auerbach Publication, 2010. 
PORTELLA, A.; CÔRTES, A. Q. Análise crítica do acesso à informação pública nos 
municípios baianos com mais de 100 mil habitantes. Revista de Direito da Cidade, Rio 
de Janeiro, RJ, v. 7, n. 3, p. 1092-1111, 2015. 
POZEN, D. Deep secrecy. Stanford Law Review,v. 62, n. 257, 2010. 
RODRIGUES, K. F. A política nas políticas de acesso à informação brasileiras: 
trajetória e coalizões. Revista Brasileira de Administração Pública, v. 54, p. 142-161, 
2020. 
SANTOS, E. E. et al. Riscos, ameaças e vulnerabilidades: O impacto da segurança 
da informação nas organizações. Revista Tecnológica da Fatec Americana, v. 7, n. 
02, p. 43-51, 2019. 
SANTOS, E. E.; SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: O impacto 
da segurança da informação nas organizações. Revista Tecnológica da Fatec 
Americana, v. 7, n. 02, p. 43-51, 2019. 
TORRES, F. C. CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO. 
2015 
VEIGA, A., ELOFF , J.H.P., A framework and assessment instrument for information 
security culture, Computers & Security, 2010