Conteúdo em PDF-20230618 (1)

Informática I

•

Engenharias

Vanessa Cm

19/06/2023

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Fundamentos de Segurança da Informação na Transformação Digital.pdf
Gestão da Informação e do Conhecimento;
Governo e Transformação Digital; Inovação.
Fundamentos de
Segurança da Informação
na Transformação Digital
Enap, 2023
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s
Bruno Parente (conteudista, 2023).
Sumário
Módulo 1: Contextualizando Segurança da Informação na Transformação
Digital ........................................................................................................................ 8
Unidade 1: A Transformação Digital e seus Impactos na Administração
Pública ....................................................................................................................... 8
1.1 O que é Transformação Digital? .............................................................................. 8
1.2 A Transformação Digital na Administração Pública ............................................ 11
1.2.1 Direito Administrativo e Princípio da Legalidade como Base da
Transformação Digital do Governo ....................................................................... 12
1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital? ................. 13
Referências ..................................................................................................................... 20
Unidade 2: A Relação entre Inovação e os Riscos .............................................23
2.1 O que é Inovação? ................................................................................................... 23
2.2 O que São os Riscos? ............................................................................................... 24
2.3 A Importância da Segurança da Informação na Transformação Digital das
Organizações .................................................................................................................. 27
Referências ..................................................................................................................... 29
Módulo 2: A Privacidade e Segurança na Transformação Digital ...................30
Unidade 1: Privacidade e Segurança da Informação: O que São e por que se
Preocupar? ............................................................................................................. 30
1.1 O que é Segurança da Informação? ...................................................................... 30
1.2 O que é Privacidade? ............................................................................................... 31
1.3 A Importância da Segurança da Informação e da Privacidade .......................... 32
1.4 Vocabulário Digital da Segurança da Informação ............................................... 32
1.5 Identificando os Riscos da Segurança da Informação ........................................ 40
Referências ..................................................................................................................... 41
Unidade 2: Principais Conceitos de Privacidade e Segurança ..........................42
2.1 Privacidade desde a Concepção (by Design) Versus Privacidade por Padrão (by
Default) ............................................................................................................................ 42
2.2 Segurança desde a Concepção (by Design) Versus Segurança por Padrão (by
Default) ............................................................................................................................. 43
2.3 A Segurança e Código Aberto Versus Código Fechado ........................................ 44
2.4 O Conflito Privacidade Versus Publicidade .......................................................... 45
Referências ..................................................................................................................... 46
Módulo 3: Prevenindo Riscos Sistêmicos ............................................................ 47
Unidade 1: Identificação e Gestão das Partes Interessadas com Design
Thinking ................................................................................................................... 47
1.1 O que é o Design Thinking? ....................................................................................... 47
1.2 Ferramentas de Design Thinking ............................................................................. 51
1.3 Compreendendo as Partes Interessadas no Processo de Segurança da
Informação ...................................................................................................................... 53
1.3.1 Como Identificar as Partes Interessadas com o Design Thinking .................... 55
1.4 Como Estabelecer Estratégias de Gestão das Partes Interessadas ................... 56
Referências ..................................................................................................................... 58
Unidade 2: Riscos e Limitações nas Formas de Contratação ............................59
2.1 As Diferentes Formas de Contratação de Desenvolvimento de Soluções
Tecnológicas .................................................................................................................... 59
2.1.1 Software de Prateleira .................................................................................... 59
2.1.2 Solução Caseira .............................................................................................. 60
2.1.3 Fábrica de Software ....................................................................................... 60
2.1.4 Encomenda Tecnológica ............................................................................... 61
2.1.5 Contrato Público para Soluções Inovadoras .............................................. 62
Referências ..................................................................................................................... 64
Unidade 3: Pontos de Atenção no Desenvolvimento de Soluções Digitais .....65
3.1 As Diferenças no Desenvolvimento de Soluções no Método Tradicional e Ágil ... 65
3.2 Roadmap de Desenvolvimento de Soluções Digitais............................................ 69
3.2.1 Análise e Planejamento ................................................................................. 69
3.2.2 Design .............................................................................................................. 71
3.2.3 Desenvolvimento ........................................................................................... 71
3.2.4 Qualidade e Teste .......................................................................................... 72
3.2.5 Entregas Intermediárias ................................................................................ 72
3.2.6 Documentação ............................................................................................... 72
3.2.7 Manutenção .................................................................................................... 73
3.2.8 Reporting .......................................................................................................... 73
Referências ..................................................................................................................... 74
Unidade 4: Como Ocorrem os Ataques e Como se Defender Deles? ................75
4.1 Alguns Tipos de Ataques Cibernéticos ................................................................. 75
4.1.1 O que é Phishing? ........................................................................................... 76
4.1.2 Conhecendo os Malwares .............................................................................. 77
4.1.3 Os Tipos de Ataques de Engenharia Social ................................................. 78
4.1.4 Como
Reconhecer Ataques de Negação de Serviço (Denial-of-Service) ... 79
4.2 Alguns Modos de Prevenção a Ataques Cibernéticos ........................................ 80
4.2.1 O Uso da Criptografia na Prevenção de Ataques Cibernéticos ................ 80
4.2.2 Segurança em Nuvem .................................................................................... 83
4.2.3 A Colaboração da Comunidade Open Web Application Security Project
(OWASP) ..................................................................................................................... 84
4.2.4 Os Cuidados com a Segurança em Plataformas Móveis (Mobile Platforms) .... 85
4.3 Boas Práticas na Segurança da Informação ........................................................ 86
4.3.1 Definição de Papéis e Responsabilidades .................................................... 86
Referências ..................................................................................................................... 88
Módulo 4: Tratamento de Incidentes .................................................................. 89
Unidade 1: O Que Fazer Quando um Incidente Ocorre? ...................................89
1.1 O Que é um Incidente? ............................................................................................ 89
1.2 A Importância da Comunicação de Incidentes ................................................... 90
1.3 O Fluxo dos Processos e dos Procedimentos de Gestão de Incidentes .......... 90
1.4 A Necessidade do Plano Básico para Continuidade do Negócio ...................... 91
1.5 O Plano de Recuperação de Desastre ................................................................... 92
Referências ..................................................................................................................... 93
Unidade 2: Investigação de Incidentes ................................................................ 94
2.1 A Investigação de Crimes Cibernéticos ................................................................ 94
2.2 Como Ocorre o Processamento das Ações Judiciais .......................................... 95
2.3 A Perícia em Computação Forense ....................................................................... 96
Referências ..................................................................................................................... 98
Módulo 5: Panorama da Segurança Digital no Futuro da Administração
Pública ..................................................................................................................... 99
Unidade 1: As Governanças de Gestão Pública na Segurança da Informação....99
Referências ................................................................................................................... 101
Unidade 2: Profissionalismo e Ética ................................................................... 102
2.1 Um Problema de Todos: Sensibilização e Mudança Cultural .......................... 102
2.1.1 Importância da Normatização interna ...................................................... 103
2.2 A Importância da Ética Profissional .................................................................... 104
2.3 Necessidade de Atualização Constante ............................................................. 104
2.4 Certificações na Área de Segurança da Informação ........................................ 105
6Enap Fundação Escola Nacional de Administração Pública
Referências ................................................................................................................... 108
Módulo 6: Segurança da Informação na Prática: Casos Reais na Administração
Pública ................................................................................................................... 109
Unidade 1: Casos Práticos de Aplicação da Segurança da Informação na
Administração Pública ........................................................................................ 109
1.1 Casos Práticos – Administração Pública .............................................................. 109
Referências ................................................................................................................... 114
Enap Fundação Escola Nacional de Administração Pública 77
Apresentação e Boas-vindas
Seja bem-vindo(a) ao curso Fundamentos de Segurança da Informação na
Transformação Digital!
Antes de iniciar sua jornada de estudos, assista a videoaula a seguir, na qual qual
você irá visualizar a relevância da Gestão do Conhecimento nos dias de hoje.
O curso Fundamentos de Segurança da Informação na Transformação Digital está
dividido em seis módulos. Veja a seguir o que você irá encontrar em cada um deles:
• Módulo 1: trata da transformação digital contextualizando com a segurança
da informação.
• Módulo 2: adentra nas questões de privacidade e segurança da
transformação digital.
• Módulo 3: lida com a prevenção do risco sistêmica, mostrando algumas
ferramentas de ataque e como se defender delas.
• Módulo 4: apresenta o tratamento de incidentes de informação.
• Módulo 5: mostra um panorama da segurança digital no futuro da
Administração Pública.
• Módulo 6: visa apresentar alguns casos reais que ocorreram na
Administração Pública.
Videoaula: Apresentação do Curso
https://cdn.evg.gov.br/cursos/916_EVG/video/modulo01_video01/index.html
8Enap Fundação Escola Nacional de Administração Pública 8
Módulo
Contextualizando Segurança da
Informação na Transformação Digital1
Neste módulo você terá contato com os conceitos da segurança da informação
na transformação digital. O governo brasileiro está passando por uma profunda
transformação digital e seus esforços nesse setor têm sido reconhecidos
internacionalmente, mas é importante que todos estejam atentos à questão de
segurança, pois essa responsabilidade é transversal em toda Administração. Vamos lá?!
Objetivo de aprendizagem
Ao fim desta unidade você será capaz de reconhecer conceitos relacionados à
transformação digital na Administração Pública e os principais normativos envolvidos.
Aqui será introduzido o conceito de transformação digital e como ele impacta a
Administração Pública.
1.1 O que é Transformação Digital?
Antigamente utilizava-se muito a expressão “automação” buscando refletir o apoio
computacional para o desenvolvimento de tarefas repetitivas. Mas o que se quer
dizer hoje com transformação digital? É a simples programação de tarefas repetitivas?
Unidade 1: A Transformação Digital e seus Impactos na
Administração Pública
Transformação Digital.
Fonte: Freepik (2023).
Não, transformação digital é muito
mais do que uma sequência de código
de programação. Ela envolve toda uma
mudança cultural em que o foco da atuação
é na necessidade dos usuários e na entrega
de bens e serviços que melhor os atendam.
Enap Fundação Escola Nacional de Administração Pública 9
O aumento da capacidade computacional, de armazenamento de dados e da
velocidade de conexão de internet são os propulsores da transformação digital. Os
clientes e cidadãos estão cada vez mais conectados em redes e demandando por
soluções que atendam suas necessidades. No entanto, não basta apenas entregar o
bem ou serviço, a experiência do usuário tem sido um fator cada vez mais importante
para a população.
Na transformação digital, a tecnologia tem um papel central e não é apenas mais
um mero processo de suporte, pois a integração das novas tecnologias com as
necessidades dos usuários é uma das principais entregas.
A pandemia de Covid-19 mostrou uma necessidade urgente de repensar as atividades
rapidamente por questões de saúde pública, mas a transformação digital começou
antes e vai continuar fazendo parte da vida das pessoas por muito tempo.
Segurança da Informação.
Fonte: Freepik (2023).
A transformação digital sempre vem acompanhada da preocupação com a segurança
da informação
em uma organização, pois essa visa proteger a informação quanto
à sua destruição, vazamento e modificação, seja ela acidental ou não. Sendo assim,
parceira com as necessidades do negócio em si, ela busca trazer benefícios, como:
melhorar a disponibilidade dos serviços de negócio ou de infraestrutura e/ou reduzir
os prejuízos e interrupções deles.
Mas a gestão pública atual é complexa e envolve a coordenação da Tecnologia de
Informação (TI) com as áreas finalísticas e áreas meio para providenciar as regras de
negócio, os treinamentos necessários, equipamentos e softwares. Essa discussão
faz parte da gestão de riscos, responsável por tentar prever riscos da operação e
estabelecer barreiras para evitá-los ou maneiras de mitigar os efeitos prejudiciais. Isso
é importante para que a alta gestão, servidores e usuários pensem sistematicamente
10Enap Fundação Escola Nacional de Administração Pública
no funcionamento da organização e protejam seus ativos, materiais, de pessoal e
de informação, favorecendo a discussão e a disseminação do conhecimento entre
pares, setores e esferas de governo.
Lafuente et al. (2021) mostra que a transformação digital brasileira tem um problema
federativo devido à discrepância de orçamento e recursos técnicos e humanos. A
falta de estratégia e avaliação do planejamento são apontadas como as principais
causas dos problemas nos estados. A transformação digital pode aumentar a
competitividade, aumentando a inclusão social e a confiança no governo, mas a
questão é como ser mais ágil nesse processo (ROSETH et al., 2018).
As principais causas apontadas das transformações lentas são a criatividade limitada
do setor público ao definir seus serviços (WIMMER, 2008, p. 40) e a dificuldade
em promover mudanças no setor público, devido a estruturas mais complexas
(SIMS, 2010). Por isso, ao se ensinar segurança digital, é preciso ter como
base metodológica ferramentas de desenvolvimento ágil e design thinking
de modo a criar um sistema harmônico com as demais esferas de governança (de
gestão pública, de TI, de riscos, entre outros) que estão se modernizando ao focar
a pactuação pública na experiência do usuário. É importante apresentar isso em
unidades baseadas em conceitos amplamente conhecidos como o plan-do-check-act
(PDCA), fazendo comparações com temas do dia a dia do gestor, citando exemplo
das pastas da Defesa, Transportes, Educação, Saúde, entre outros, mas também com
passagens rápidas por alguns setores privados, como construção, setor bancário e
de operações petrolíferas.
Portanto, é importante que todos os elos da cadeia busquem as melhores práticas,
pois mesmo que governos criem as melhores leis e políticas e as empresas
desenvolvam os melhores programas, se os usuários não desenvolverem uma
cultura de segurança da informação e não tiverem uma comunicação clara com
todos os elos dos sistemas de gestão públicos, a sociedade corre risco de sofrer
ataques digitais.
Para que a mudança cultural ocorra, o primeiro passo é a percepção do problema. Por
isso, uma metodologia de exposição de conteúdos relacionando os problemas digitais
com experiências pessoais e profissionais do aprendiz adulto é a melhor estratégia para
melhorar a consciência de segurança, visando maior efetividade da ação pública.
Se você quiser saber mais sobre o tema, o curso Transformação
Digital no Serviço Público, disponível na plataforma EV.G, é bem
interessante e aprofunda os conceitos expostos nesse conteúdo
(veja aqui).
https://www.escolavirtual.gov.br/curso/419
Enap Fundação Escola Nacional de Administração Pública 11
1.2 A Transformação Digital na Administração Pública
Bresser Pereira, em seus trabalhos para a reforma do aparelho do estado (BRASIL,
1995), já ressaltava a necessidade de a Administração Pública ser menos burocrática
e patrimonialista para focar na entrega de resultados.
Há 15 ou 20 anos atrás, se discutia qual o melhor modelo de implementar uma
política pública:
• O modelo top-down, que previa uma administração centralizada que
tomava decisões de maneira hierárquica e repassava as tarefas para os
funcionários públicos executarem.
• O modelo bottom-up, que, por sua vez, já reconhecia a capacidade própria
da população propor melhorias nas políticas públicas com o apoio da
burocracia no nível de rua, ou seja, aqueles servidores da burocracia que
trabalham em funções operacionais e são responsáveis pelo atendimento
direto à população.
Com a digitalização da sociedade, essa discussão se tornou menor, pois hoje se pode
ter muitas informações advindas diretamente do cidadão-usuário bem como se tem
dados internacionais e pesquisas revisados por pares que auxiliam a administração
pública a tomar decisões baseada em evidências.
Se hoje se têm as ferramentas, por que não aplicar a todas as atividades públicas
uma transformação digital?
E existem quatro pontos de atenção que obriga a todos ter cautela.
Acesso
O Brasil é um país de grande extensão territorial e de muitas desigual-
dades. Nem todo serviço público pode ser 100% digitalizado sem ter
a certeza de que toda população terá infraestrutura física, computa-
cional e de rede para acessar esses serviços. Por isso políticas pú-
blicas de expansão da disponibilidade de energia elétrica, internet,
equipamentos computacionais, letramento digital, entre outros, são
partes complementares da política de transformação digital.
Segurança da informação
A administração pública regular, fomenta e atua em diversos
setores da sociedade. Com isso, ela controla e acessa muitos da-
dos pessoais, sensíveis e estratégicos. Portanto, a transformação
12Enap Fundação Escola Nacional de Administração Pública
Cultura organizacional
Enquanto na administração privada o corpo dirigente tende a ser
mais fixo e a base mais rotativa, na administração pública há um
corpo de servidores estáveis e a alta administração muda perio-
dicamente em face de resultados eleitorais. Então mudanças cul-
turais são muito mais lentas na administração pública e exigem
mais planejamento, recursos, treinamentos e conscientização.
Legalidade
No direito administrativo que regula as atividades dos servidores
públicos, é clara a distinção entre o princípio da legalidade apli-
cado à sociedade e o princípio da legalidade aplicado aos serv-
idores. No primeiro caso, ao particular é permitido fazer tudo
que a lei não proíbe. No entanto, no segundo caso, os servidores
podem fazer apenas o que a lei demanda, tendo pouco espaço
para discricionariedade de suas decisões, que devem sempre es-
tar motivadas, razoáveis e proporcionais.
digital do serviço público tem que ser cuidadosamente pensada
para garantir a segurança dessas informações.
1.2.1 Direito Administrativo e Princípio da Legalidade como Base da
Transformação Digital do Governo
O Direito Administrativo tem a função primordial de dar previsibilidade na atuação
pública e com isso segurança jurídica para que a sociedade se desenvolva.
Desse modo, esse ramo do Direito é estruturado num sistema de pesos e contrapesos
em que há princípios e normas que devem ser seguidas pelo administrador,
mas também há estruturas de fiscalização que buscam garantir a supremacia da
finalidade pública em todos os atos.
A obediência ao marco legal específico do setor é imprescindível, por isso a
transformação digital não pode ocorrer apenas no setor de Tecnologia da Informação
(TI), nem tampouco surgir das áreas finalistas sem um relacionamento com outros
setores internos e externos, pois com a velocidade e escalabilidade de soluções
digitais, os problemas de comunicação e coordenação tendem a se intensificar.
Enap Fundação Escola Nacional de Administração Pública 13
Todo planejamento de alguma transformação digital deve passar
necessariamente por análise do arcabouço legal da política
pública em transformação.
1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital?
Embora toda política pública tenha a sua base normativa e legal, é possível encontrar
algumas normas que são um denominador comum na transformação digital: Lei de
Acesso à Informação (LAI), Lei Geral de Proteção de Dados (LGPD), Estratégia de
Governo Digital (EGD) e normas de segurança da informação.

1.2.2.1 A Lei de Acesso à Informação
O acesso amplo à informação de dados públicos foi uma grande mudança
de paradigma estabelecida pela Lei nº 12.527, de 18 de novembro de 2011,
denominada de Lei de Acesso à Informação, ou simplesmente LAI. Reflexo do
princípio da publicidade, essa lei visa garantir ao cidadão o acesso facilitado a
seus próprios dados sob controle da Administração Pública e dados públicos.
Nesse novo contexto, a menos que tenha sido declarado sigilo (dados pessoais,
reservado, secreto ou ultrassecreto), todos os dados são públicos.
O principal a ser ressaltado aqui é a capacidade de adaptação da burocracia
brasileira. Não há dúvidas de que a implementação da LAI foi alvo de polêmicas,
questionamentos judiciais e resistências declaradas ou não, mas hoje ela está
atuante e dentro da carga de trabalho de muitos servidores.
Os benefícios públicos dessa lei são inegáveis tanto na questão de accountability
social como no aumento da velocidade de prestação de contas para a sociedade.
Jornalistas e órgãos de defesa de direitos têm utilizado muito desse serviço para ter
dados para fiscalizar o serviço público.
14Enap Fundação Escola Nacional de Administração Pública
A Lei nº 13.709, de 14 de agosto de 2018, é chamada de Lei Geral de Proteção
de Dados Pessoais ou, de maneira mais sintética, a LGPD. Ela define conceitos,
estabelece procedimentos mínimos e alinha a legislação nacional com práticas
internacionais e é muito importante quando grande parte do mercado
internacional tem se baseado no aproveitamento do grande volume de dados
pessoais, de acessos, de perfil de consumo, entre outros, produzidos pelo acesso
à internet em geral e em particular a redes sociais.
Um exemplo claro do potencial de agregação focada na necessidade
dos usuários da transformação digital é o serviço fala.br (veja
aqui), que mostra que a partir das necessidades da LAI, ouvidoria
e canal para denúncias e sugestões, os serviços podem ser
complementares e prestados a partir de uma única plataforma.
1.2.2.2 A Lei Geral de Proteção de Dados
A LGPD deixa clara a titularidade de dados pessoais, estabelecendo regras de
consentimento para o uso desses dados e determinando a empresas e governo
nomear um encarregado para ser um ponto focal sob a fiscalização da Autoridade
Nacional de Proteção de Dados (ANPD).
Muito tem sido discutido sobre uma aparente incompatibilidade
entre a LGPD e a LAI. No entanto, o sistema jurídico tem que
ser interpretado como um todo coeso. Nesse sentido, ambas as
legislações se complementam e a proteção de dados pessoais
garantida pela LGPD vem explicitar e dar um tratamento mais
detalhado ao que a LAI já protegia.
Segurança da Informação e a proteção de dados pessoais são assuntos muito
conexos. É importante se aprofundar na estrutura da LGPD, pois os procedimentos
de segurança da informação são bem parecidos e compatíveis.
https://falabr.cgu.gov.br/
Enap Fundação Escola Nacional de Administração Pública 15
Se você quiser saber mais sobre o tema, o curso Proteção de
Dados Pessoais no Setor Público é bem interessante e aprofunda
os conceitos nesse conteúdo (disponível aqui).
1.2.2.3 A Estratégia de Governo Digital (EGD)
A Estratégia de Governo Digital (EGD) visa a transformação do governo por meio
do uso de tecnologias digitais, com a promoção da efetividade das políticas e da
qualidade dos serviços públicos e com o objetivo final de reconquistar a confiança
dos brasileiros.
A EGD está organizada em princípios e objetivos:
Princípios
Governo centrado no cidadão
Governo integrado
Governo inteligente
Governo confiável
Governo transparente
Governo eficiente
Estrutura da LGPD.
Elaboração: CEPED/UFSC (2023).
https://www.escolavirtual.gov.br/curso/290
16Enap Fundação Escola Nacional de Administração Pública
Objetivos
Objetivo 1 - Oferta de serviços públicos digitais
Objetivo 2 - Avaliação de satisfação nos serviços digitais
Objetivo 3 - Canais e serviços digitais simples e intuitivos
Objetivo 4 - Acesso digital único aos serviços públicos
Objetivo 5 - Plataformas e ferramentas compartilhadas
Objetivo 6 - Serviços públicos integrados
Objetivo 7 - Políticas públicas baseadas em dados e evidências
Objetivo 8 - Serviços públicos do futuro e tecnologias emergentes
Objetivo 9 - Serviços preditivos e personalizados ao cidadão
Objetivo 10 - Implementação da Lei Geral de Proteção de Dados
no âmbito do Governo Federal
Objetivo 11 - Garantia da segurança das plataformas de governo
digital e de missão crítica
Objetivo 12 - Identidade digital ao cidadão
Objetivo 13 - Reformulação dos canais de transparência e dados
abertos
Objetivo 14 - Participação do cidadão na elaboração de políticas
públicas
Objetivo 15 - Governo como plataforma para novos negócios
Objetivo 16 - Otimização das infraestruturas de tecnologia da
informação
Objetivo 17 - O digital como fonte de recursos para políticas
públicas essenciais
Objetivo 18 - Equipes de governo com competências digitais
Acompanhe a execução da Estratégia de Governo Digital (disponível aqui).
https://app.powerbi.com/view?r=eyJrIjoiZjc2ODA0YjEtM2FlNi00ZDIzLWJiNGItNDU5Zjk4MDM1MzFjIiwidCI6IjNlYzkyOTY5LTVhNTEtNGYxOC04YWM5LWVmOThmYmFmYTk3OCJ9&pageName=ReportSection5c02b7b41052063a073c
Enap Fundação Escola Nacional de Administração Pública 17
1.2.2.4 Normas sobre Segurança da Informação
À primeira vista segurança da informação parece um assunto eminentemente ligado a
TI, mas é importante citar que segurança da informação envolve questões como acesso
ao prédio, segurança contra incêndio, cadastro de servidores e colaboradores. Por isso,
é importante que representantes do setor de administração e de recursos humanos
estejam envolvidos na transformação digital pois eles conhecem muitas normas de
segurança que precisam ser respeitadas em uma política de segurança da informação.
Proteção da Segurança por Legislação.
Fonte: Freepik (2023).
Nesse sentido, além de conhecer a imple-
mentação da LAI e da LGPD no seu órgão
ou entidade, é importante conhecer quais
ações da estratégia de governo digital es-
tão sendo implementadas. Com esse ma-
terial reunido juntamente às normas ge-
rais de segurança, é possível planejar os
próximos passos da transformação digital
com a segurança de que as normas apli-
cáveis são conhecidas e respeitadas.
A título de exemplo, segue a Portaria nº 218, 19 de maio de 2020,
que institui a política de segurança da informação do Ministério
da Economia. Seguindo o modelo de política, estabelece princípios
e diretrizes gerais a serem seguidas.
É importante frisar que a estrutura do sistema de gestão de
segurança proposta contém, além do gestor de segurança, equipes
de tratamento e resposta a incidentes em redes computacionais,
mostrando que a preocupação com segurança de todos, mais
os treinamentos especializados e funções técnicas específicas,
são importantes para garantir a segurança e continuidade das
operações (veja aqui).
A segurança da informação é responsabilidade de todos,
então todos os órgãos da administração pública já possuem a
preocupação com a segurança da informação. Caso o seu órgão
https://www.in.gov.br/en/web/dou/-/portaria-n-218-de-19-de-maio-de-2020-257605466
18Enap Fundação Escola Nacional de Administração Pública
ou entidade não tenha procedimentos, regulamentos e normas
de segurança da informação publicados formalmente sobre o
assunto, é importante trazer essa discussão à tona, visando dar
publicidade às ações e políticas permitindo que todos os servidores
colaborem com as políticas de segurança da informação.
Como a maioria dos órgãos, autarquias e fundações da Administração Pública
Federal são integrantes do Sistema de Administração dos Recursos de Tecnologia
da Informação (SISP) do Poder Executivo Federal (estatais podem solicitar adesão
seguindo a Instrução Normativa SGD/ME nº 128, de 28 de dezembro de 2020), uma
leitura detalhada da Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019
é imprescindível, pois o processo de contratação de soluções de Tecnologia da
Informação e Comunicação apresenta muitas peculiaridades que diferem de uma
contratação comum, seja pelos altos valores envolvidos, seja pela complexidade
técnica envolvida na temática. Disponível aqui.
Lista de algumas Normas que podem ajudar você a compreender o
tema e se aprofundar nas questões técnicas que serão discutidas
nesse conteúdo.
Normas e regulamentos federais
Instrução Normativa GSI/PR nº 1 (disponível aqui).
Decreto nº 7.724 (disponível aqui).
Decreto nº 7.845 (disponível aqui).
Decreto nº 9.637 (disponível aqui).
Decreto nº 9.832 (disponível aqui).
Decreto nº 10.332 (disponível aqui).
ABNT
ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de
segurança - Sistemas de gestão de segurança da informação;
ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas
de segurança - Código de prática para a gestão da segurança da
informação;
https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019
https://www.gov.br/governodigital/pt-br/legislacao/14_IN_01_gsidsic.pdf
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9832.htm
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Decreto/D10332.htm#art14
Enap Fundação Escola Nacional de Administração Pública 19
ABNT NBR ISO/IEC 27005 - Tecnologia da informação - Técnicas de
segurança - Gestão de riscos de segurança da informação;
ABNT NBR ISO/IEC 27.005:2011, Gestão de Riscos de Segurança da
Informação;
ABNT NBR ISO/IEC 31.000:2018, Gestão de riscos – Princípios e
diretrizes;
ABNT NBR ISO/IEC 27.003:2011, Tecnologia da informação —
Técnicas de segurança — Sistemas de gestão da segurança da
informação — Orientações;
ABNT NBR ISO 22301:2020 – Sistema de gestão de continuidade
de negócios — Requisitos;
ABNT NBR ISO 22313:2020 – Sistemas de gestão de continuidade
de negócios — Orientações para o uso da ABNT NBR ISO 22301;
ABNT NBR ISO/IEC 27014:2013, Tecnologia da Informação —
Técnicas de Segurança — Governança de segurança da informação;
ABNT NBR ISO/IEC 27701:2020, Técnicas de segurança — Extensão
da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão
da privacidade da informação — Requisitos e diretrizes;
ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação —
Técnicas de segurança — Estrutura de Privacidade;
ABNT NBR 16167:2013, Segurança da Informação — Diretrizes
para classificação, rotulação e tratamento da informação.
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
20Enap Fundação Escola Nacional de Administração Pública
BRASIL. Decreto nº 7.724, de 16 de maio de 2012. Regulamenta a Lei nº 12.527,
de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no
inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216
da Constituição. Brasília, DF: Presidência da República, 2012. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm.

BRASIL. Decreto nº 7.845, de 14 de novembro de 2012. Regulamenta procedimentos
para credenciamento de segurança e tratamento de informação classificada em
qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.
Brasília, DF: Presidência da República, 2012. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm.
BRASIL. Decreto nº 9.637, de 26 de dezembro de 2018. Institui a Política Nacional de
Segurança da Informação, dispõe sobre a governança da segurança da informação,
e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto
no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre
a dispensa de licitação nos casos que possam comprometer a segurança nacional.
Brasília, DF: Presidência da República, 2018. Disponível em: https://www.in.gov.br/
materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-
decreto-n-9-637-de-26-de-dezembro-de-2018-56969938.
BRASIL. Decreto nº 9.832, de 12 de junho de 2019. Altera o Decreto nº 9.637, de
26 de dezembro de 2018, e o Decreto nº 7.845, de 14 de novembro de 2012, para
dispor sobre o Comitê Gestor da Segurança da Informação. Brasília, DF: Presidência
da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-
2022/2019/decreto/D9832.htm.
BRASIL. Decreto nº 10.332, de 28 de abril de 2020. Institui a Estratégia de Governo
Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades
da administração pública federal direta, autárquica e fundacional e dá outras
providências. Brasília, DF: Presidência da República, 2020. Disponível em: https://
www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358.
BRASIL. Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019. Brasília, DF:
Ministério da Economia, 2019. Disponível em: https://www.gov.br/governodigital/pt-
br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019. Acesso
em: 12 jan. 2023.
Referências
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9832.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9832.htm
https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358
https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358
https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019
https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019
Enap Fundação Escola Nacional de Administração Pública 21
BRASIL. Instrução Normativa SGD/ME nº 128, de 28 de dezembro de 2020. Brasília,
DF: Ministério da Economia, 2020. Disponível em: https://www.in.gov.br/en/web/
dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221.
Acesso em: 12 jan. 2023.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações
previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art.
216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990;
revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de
janeiro de 1991; e dá outras providências. Brasília, DF: Presidência da República,
2011. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/
l12527.htm. Acesso em: 12 jan. 2023.
BRASIL. Lei nº 13.709, de 14 de agosto
de 2018. Lei Geral de Proteção de Dados
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 12
jan. 2023.
BRASIL. Plano Diretor da reforma do Aparelho do Estado. Brasília, DF:
Presidência da República, 1995. Disponível em: http://www.biblioteca.presidencia.
gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-
estado-1995.pdf. Acesso em: 12 jan. 2023.
BRASIL. Portaria nº 218, de 19 de maio de 2020. Institui a Política de Segurança da
Informação do Ministério da Economia. Brasília, DF: Ministério da Economia, 2020.
Disponível em: https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio-
de-2020-257605466. Acesso em: 12 jan. 2023.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em:
https://www.freepik.com/. Acesso em: 12 jan. 2023.
LAFUENTE, Mariano; LEITE, Rafael; PORRÚA, Miguel; VALENTI, Pablo. Transformação
digital dos governos brasileiros: Tendências na transformação digital em
governos estaduais e no Distrito Federal do Brasil. Washington: BID, 2021.
Disponível em: https://publications.iadb.org/pt/transformacao-digital-dos-
governos-brasileiros-tendencias-na-transformacao-digital-em-governos. Acesso
em: 12 jan. 2023.
ROGERS, D. L. Transformação Digital: repensando o seu negócio para a era digital.
São Paulo: Autêntica Business, 2017.
https://www.in.gov.br/en/web/dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221
https://www.in.gov.br/en/web/dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.biblioteca.presidencia.gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-estado-1995.pdf
http://www.biblioteca.presidencia.gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-estado-1995.pdf
http://www.biblioteca.presidencia.gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-estado-1995.pdf
https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio-de-2020-257605466
https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio-de-2020-257605466
https://www.freepik.com/
https://publications.iadb.org/pt/transformacao-digital-dos-governos-brasileiros-tendencias-na-transformacao-digital-em-governos
https://publications.iadb.org/pt/transformacao-digital-dos-governos-brasileiros-tendencias-na-transformacao-digital-em-governos
22Enap Fundação Escola Nacional de Administração Pública
ROSETH, Benjamin; REYES, Angela; FARIAS, Pedro; PORRÚA, Miguel; VILLALBA,
Harold; ACEVEDO, Sebastián; PEÑA, Norma; ESTEVEZ, Elsa; LINARES Lejarraga,
Sebastián; FILLOTTRANI, Pablo. El fin del trámite eterno: Ciudadanos, burocracia
y gobierno digital. Washington: BID. 2018. Disponível em: https://publications.iadb.
org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-
burocracia-y-gobierno-digital.pdf. Acesso em: 12 jan. 2023.
SIMS, R. R. Change (Transformation) in Public Sector Organisations. Charlotte:
IAP. 2010.
WIMMER, M. A. Knowledge Management in Electronic Government. Berlim:
Springer Publications. 2008.
https://publications.iadb.org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-burocracia-y-gobierno-digital.pdf
https://publications.iadb.org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-burocracia-y-gobierno-digital.pdf
https://publications.iadb.org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-burocracia-y-gobierno-digital.pdf
Enap Fundação Escola Nacional de Administração Pública 23
Objetivo de aprendizagem
Ao fim desta unidade você será capaz de reconhecer o que são os conceitos de inovação
e riscos e como eles se relacionam.
2.1 O que é Inovação?
Apesar de ser uma palavra de origem antiga, como se pode ver na expressão latina
inovare, que significa renovar ou mudar, inovação é um conceito que vai muito além
de criatividade ou diferenciação do produto. Ela envolve uma percepção de valor
pelo usuário.
Unidade 2: A Relação entre Inovação e os Riscos
Inovação.
Fonte: Freepik (2023).
Academicamente existem vários conceitos,
ora aproximando-se da evolução biológica
(DEVEZAS, 2005), ora ligando-se a ideias mais
abstratas como se referir a processos inven-
tivos pelo qual coisas novas, ideias e práticas
são criadas: significando tanto a coisa, ideia
ou prática em si ou descrevendo o processo
pelo qual uma inovação existente se torna
parte de um estado cognitivo do adotante e
entra para seu repertório comportamental
(ZALTMAN; DUNCAN; HOLBEK, 1973).
A inovação usualmente é classificada como
incremental ou disruptiva:
Inovação incremental
Otimização ou melhora de produtos e serviços existentes.
Ampliação ou melhor aproveitamento de mercados e
consumidores. Agregação de valor.
Inovação disruptiva
Quebra de paradigmas. Criação de novos mercados e
consumidores. Criação de valor.
24Enap Fundação Escola Nacional de Administração Pública
Muitas vezes a aplicabilidade desse termo da administração pública parece um pouco
confusa, pela falta de um processo de agregação de valor comercial característico da
iniciativa privada, que possui uma mensuração mais simples através do lucro. No entanto,
é importante ressaltar que muitos autores entendem inovação como uma grande
estratégia de desenvolvimento nacional. Por meio da inovação é possível aumentar a
produtividade nacional mantendo-se os níveis de recursos e mão-de-obra utilizados.
Mas como medir isso? Inovação hoje em dia está chamando
atenção de profissionais da iniciativa privada, governos e
pesquisadores. Por isso há uma diversidade de definições e
metodologias de medição. Para tentar centralizar a discussão,
a Organização para Cooperação Econômica e Desenvolvimento
(OCDE) estabeleceu o Manual de Oslo (disponível aqui), que se
encontra na sua quarta edição e vale uma leitura detalhada.
Um autor importante para fixar e popularizar conceitos de inovação é Eric Ries que
iniciou o movimento de startup enxuta. No livro base desse conceito (RIES, 2011),
o autor conta sua história no desenvolvimento de um produto, mostrando passo a
passo quais foram as suas lições aprendidas. O autor mostra a aplicação do conceito
de errar pequeno e rápido de maneira que sua empresa possa continuar operando
e criando valor a partir do aprendizado.
Focando muito na abordagem experimental, o autor ensina a tocar o desenvolvimento
inicial do chamado MVP — produto mínimo viável —, em que as funcionalidades
básicas e essenciais da solução são apresentados no começo ao potencial usuário
de modo a coletar feedback já no início da concepção.
Outro conceito interessante que aparece nesse livro é o conceito de pivotar, em que se
verifica, a partir da interação com os usuários, que outros interesses ou necessidades
podem ser oferecidos pelo empresário que não estavam no seu foco inicial. O exemplo
clássico é a Netflix, que começou como um serviço de entrega de DVD, mas percebeu
a oportunidade de oferecer à sua base de clientes o mesmo conteúdo via streaming
para num segundo momento começar a produzir conteúdo próprio.
2.2 O que São os Riscos?
Riscos são variações no resultado planejado ou esperado. Não necessariamente
riscos são eventos adversos, ou seja, negativos e ruins para a empresa, como a
https://read.oecd-ilibrary.org/science-and-technology/oslo-manual-2018_9789264304604-en#page1
Enap Fundação Escola Nacional de Administração Pública 25
Assim, para o bem ou para o mal, riscos devem ser mapeados
para que a administração tente evitá-los ou ao menos
mitigar
(diminuir) seus efeitos negativos ou estar preparada para
aproveitar os efeitos positivos com estratégias de atuação
definidas antes dos riscos se materializarem. Mas para se
trabalhar com riscos muitas vezes tão abstratos é preciso de um
framework ou metodologia.
Metodologias para gestão de riscos
Na área de engenharia, há várias metodologias para se lidar com riscos, como modelo
de queijo suíço, Failure Mode and Effect Analysis (FMEA), The Systemic Theoretical
Process Analysis (STPA) model, entre outros. A seguir, veja dois exemplos comuns de
frameworks amplamente utilizados.
Matriz de Risco
Matriz de Risco.
Elaboração: CEPED/UFSC (2023).
destruição do estoque. Em algumas situações, por exemplo, a demanda pode ser
muito maior do que o esperado pela empresa, que pode não ter condições de
atender à demanda, mas já está trabalhando com grandes lucros.
26Enap Fundação Escola Nacional de Administração Pública
Método Bow-tie
Método Bow-tie.
Elaboração: CEPED/UFSC (2023).
O modelo básico da matriz de risco com um eixo indicando a probabilidade do
evento e outro representando a gravidade/impacto do evento é um excelente ponto
de partida para as discussões que você verá nesse conteúdo. Importante ressaltar
que tanto a probabilidade quanto a gravidade/impacto pode ser estimada com base
empírica ou qualitativa, pois nem sempre se tem dados reais para o cálculo numérico.
Uma outra figura bem didática que facilita o entendimento em como lidar com o
risco é a análise bow-tie (gravata borboleta) que mostra explicitamente que se deve
tomar todas as atitudes para evitar que o risco ocorra, e caso ocorra deve-se ter
barreiras para mitigar os danos causados.
Quando se mapeiam os riscos e eles são colocados em uma matriz, é preciso dar
prioridade para o tratamento dos pontos em vermelho. Assim, pode-se agir do lado
esquerdo da gravata e tentar diminuir a probabilidade de ocorrência da causa (não
dirigir alcoolizado ou usar a mesma senha de trabalho para fins pessoais) ou pode-
se trabalhar do lado direito e mitigar os efeitos danosos (usar o cinto de segurança
ou fazer backup semanal).
Enap Fundação Escola Nacional de Administração Pública 27
Embora todos concordem sobre a importância do planejamento para a realização
das atividades públicas e privadas, não é possível prever todos os cenários e como
responder às constantes mudanças que ocorrem naturalmente nos projetos. Então
riscos são inerentes à atividade humana, e grande parte do desenvolvimento da
sociedade aconteceu quando se parou de tratar riscos como vontade dos deuses
e passou a tratá-los como uma possibilidade matemática, que pode ser medida,
tratada e mitigada. E o mais importante é que o apetite ao risco, ou seja, o quanto
a administração quer se arriscar precisa ser definido como diretriz e comunicado a
toda administração.
Para você se aprofundar mais a respeito da temática, com
uma opção de leitura bastante fluida que combina lazer com
importantes insights sobre riscos, leia o livro Desafio aos Deuses:
A Fascinante História do Risco, de Bernstein (2019).
2.3 A Importância da Segurança da Informação na Transformação
Digital das Organizações
A transformação digital é muito mais do que simplesmente a digitalização de bens
e serviços, é uma mudança de mentalidade. Tratar as questões de segurança como
um fardo ou uma obrigação burocrática é um erro que precisa ser superado, já
que pensar em segurança é também pensar nas consequências da transformação
digital. Assim, novamente você terá a oportunidade de centralizar a importância do
usuário em sua análise.
Proteção de dados.
Fonte: Freepik (2023).
28Enap Fundação Escola Nacional de Administração Pública
A sociedade e seus cidadãos estão sendo protegidos quando estão cuidando da
segurança da informação, garantindo a proteção de dados pessoais, garantindo a
disponibilidade do sistema ou criando soluções resilientes para atender o público
mesmo no caso de desastres naturais ou ataques mal-intencionados.
Os problemas acontecerão (os sistemas serão atacados ou falta de energia irá ocorrer
ou algum dos vários cenários previstos numa análise de risco irão se concretizar) em
algum momento. Criar sistemas e organizações antifrágeis é garantir a eficiência
do gasto público, pois riscos administrados são mais baratos que riscos que nunca
foram analisados. E inovação, como já dito, é sobre como criar valor, sem ignorar os
erros, mas aprendendo com eles.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
Quando um trabalhador da construção civil está em cima do andaime e coloca o
cinto e os óculos de proteção, não está apenas cumprindo uma obrigação de utilizar
os equipamentos de proteção individual, está protegendo a sua vida que é um ativo
que não tem preço.
Enap Fundação Escola Nacional de Administração Pública 29
BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. Rio de
Janeiro: Editora Campus, 2019.
DEVEZAS, Tessaleno C. Evolutionary theory of technological change: State-of-the-art
and new approaches. Technological Forecasting and Social Change, v. 72, n. 9, p.
1137–1152, 2005.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em:
https://www.freepik.com/. Acesso em: 12 jan. 2023.
RIES, Eric. The Lean Startup. New York: Crown Business, 2011.
ZALTMAN, G.; DUNCAN, R.; HOLBEK, J. Innovations and organizations. New York:
John Wiley, 1973.
Referências
30Enap Fundação Escola Nacional de Administração Pública
A privacidade está intimamente relacionada à segurança na transformação digital.
Em outras palavras, as metodologias e processos para garantir a privacidade na
transformação digital são muito semelhantes e complementares às atividades a
serem desenvolvidas para se garantir o melhor nível de segurança das informações
na transformação digital.
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de classificar os conceitos de Privacidade de
Segurança da Informação e seus objetivos.

Nesta unidade serão apresentados conceitos de privacidade e segurança, úteis para
uniformizar linguagem e permitir aos servidores discutir o assunto com especialistas da área.
1.1 O que é Segurança da Informação?
Unidade 1: Privacidade e Segurança da Informação: O que São
e por que se Preocupar?
Ambiente Globalizado.
Fonte: Freepik (2023).
Módulo
A Privacidade e Segurança
na Transformação Digital 2
Segurança da informação significa a proteção da
informação, evitando o uso ou acesso não autorizado
e garantindo a disponibilidade, integridade e
confidencialidade. Embora muito dessa discussão
se centre em sistemas de computador, a segurança
da informação envolve processos e documentos
físicos também.
Enap Fundação Escola Nacional de Administração Pública 31
Num ambiente globalizado, milhares de pessoas têm acesso à internet, e muitas
delas se escondem atrás de pseudônimos, seja para navegar na internet de forma
anônima, seja para cometer crimes, como o golpe popularmente conhecido como
catfishing. De forma geral, esse golpe consiste em indivíduos que desenvolvem perfis
falsos na internet utilizando fotos de terceiros para atrair possíveis vítimas em redes
sociais e aplicam golpes, fraudes e, em alguns casos, cometem até mesmo crimes
contra a vida, incluindo agressões físicas e assassinato.
Recentemente, esse tipo de prática voltou a se tornar assunto nas mídias com
o lançamento do documentário O Golpista do Tinder, da Netflix, que investiga os
crimes cometidos por Shimon Hayut, que se passou por um magnata do ramo dos
diamantes para conquistar mulheres pela internet. Tudo isso para aplicar golpes
que chegavam às centenas de milhares de dólares.
Num grau menos hollywoodiano, e mais presente no dia a dia: quem nunca
identificou uma
tentativa de golpe em sua caixa de e-mail, desde quando a internet
ainda engatinhava nos anos 90? Ou, atualmente, no Whatsapp com mensagens
automáticas e links bancários de semelhança genuína com as páginas e links originais?
Essa informatização do crime reflete-se diretamente no número de vítimas desses
golpes. Em pesquisa feita pela Panorama Mobile Time, cerca de 43% dos usuários já
foram vítimas de algum tipo de golpe no aplicativo (veja aqui).
1.2 O que é Privacidade?
A privacidade é um direito fundamental “de ser deixado em paz” previsto no Art. 12 da
Declaração dos Direitos Humanos, essencial à autonomia e à proteção da dignidade
humana, servindo como base sobre a qual muitos outros direitos humanos são
construídos.
Privacidade.
Fonte: Freepik (2023).
https://www.mobiletime.com.br/noticias/24/02/2022/whatsapp-43-dos-usuarios-relatam-terem-sido-alvo-de-tentativa-de-estelionato/
32Enap Fundação Escola Nacional de Administração Pública
Através dela é possível criar barreiras e gerenciar limites para proteção de
interferências injustificadas, o que permite às pessoas negociarem quem elas
são e como querem interagir com o mundo ao redor delas. A privacidade ajuda a
estabelecer limites para designar quem tem acesso aos corpos, lugares e coisas,
bem como às comunicações e às informações.
Na sociedade moderna, a deliberação em torno da privacidade é um debate que
ganha novos rumos a cada dia. Com o avanço da tecnologia, novas discussões sobre
o limite da privacidade são colocadas em pauta. Com o crescimento das capacidades
para proteger a privacidade maior do que nunca, também existe uma vigilância sem
precedentes de tudo aquilo que se consome.

Muitas atividades deixam um rastro de dados. Isso inclui telefonemas, transações
bancárias, uso de GPS em carros que rastreiam as posições, celulares (com ou sem
GPS), entre outras que compõem uma lista que é atualizada com frequência. Quase
todas as atividades on-line deixam um rastro de dados que os provedores de serviços
coletarão, como mensagens instantâneas, sites de navegação ou de reprodução de
vídeos.
Esses dados pessoais são coletados, armazenados e podem ser compartilhados,
contribuindo para criar um perfil de publicidade digital que é baseado nos sites
que você visita ou nas pesquisas que fez. É comum pesquisar sobre um produto
que esteja precisando, como um refrigerador, e sequencialmente ser bombardeado
com propagandas de refrigeradores em todas as mídias sociais de que se faz uso.
1.3 A Importância da Segurança da Informação e da Privacidade
Para você se aprofundar na temática, assista ao vídeo a seguir, sobre a importância da
Segurança da Informação e da Privacidade.
1.4 Vocabulário Digital da Segurança da Informação
Sendo baseado numa estrutura técnica de TI, a segurança da informação tem muitos
termos que têm um significado próprio e podem confundir quem está acostumado
com outras áreas do conhecimento.
Que tal agora conhecer alguns desses termos? Aqui, você irá se familiarizar com os
significados dos termos, uma vez que a ideia de vulnerabilidade para psicólogos é
Videoaula: A Importância da Segurança da Informação e da Privacidade
https://cdn.evg.gov.br/cursos/916_EVG/video/modulo02_video02/index.html
Enap Fundação Escola Nacional de Administração Pública 33
ATAQUE
“Ação que constitui uma tentativa deliberada e não autorizada
de acessar ou manipular informações ou tornar um sistema
inacessível, não íntegro, ou indisponível.” (BRASIL, 2021).
AUTENTICAÇÃO
“Processo que busca verificar a identidade digital de uma entidade
de um sistema quando ela requisita acesso a esse sistema. O
processo é realizado por meio de regras preestabelecidas,
geralmente pela comparação das credenciais apresentadas pela
entidade com outras já pré-definidas no sistema, reconhecendo
como verdadeiras ou legítimas as partes envolvidas em um
processo.” (BRASIL, 2021).
CERTIFICADO
“Documento assinado de forma criptografada, destinado a
assegurar para outros a identidade do terminal que utiliza o
certificado. Um certificado é considerado confiável quando for
assinado por outro certificado confiável, como uma autoridade
de certificação, ou se ele próprio é um certificado confiável,
pertencente a uma cadeia de confiança reconhecida.” (BRASIL,
2021).
CÓDIGO
“Linguagem de programação utilizada para que os seres humanos
possam enviar comandos para processamento computacional.”
(BRASIL, 2021).
CONSENTIMENTO
“Manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma
finalidade determinada.” (BRASIL, 2021).
diferente da usada em um contexto de segurança da informação e para militares em
uma zona desmilitarizada, por exemplo.
34Enap Fundação Escola Nacional de Administração Pública
CREDENCIAMENTO
“Processo pelo qual o usuário recebe credenciais de segurança que
concederão o acesso, incluindo a identificação, a autenticação, o
cadastramento de código de identificação e a definição de perfil
de acesso, em função de autorização prévia e da necessidade de
conhecer.” (BRASIL, 2021).
CUSTÓDIA
“Consiste na responsabilidade de guardar um ativo para terceiros.
A custódia não permite automaticamente o acesso ao ativo e
nem o direito de conceder acesso a outros.” (BRASIL, 2021).
DISPONIBILIDADE
“Propriedade pela qual se assegura que a informação esteja
acessível e utilizável, sob demanda, por uma pessoa física
ou determinado sistema, órgão ou entidade devidamente
autorizados.” (BRASIL, 2021).
DOCUMENTO
“Unidade de registro de informações, qualquer que seja o
suporte ou o formato.” (BRASIL, 2021).
ENCARREGADO
“Pessoa indicada pelo controlador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).” (BRASIL,
2021).
DESASTRE
“Evento, ação ou omissão, repentino e não planejado, que tenha
permitido acesso não autorizado, interrupção ou mudança
nas operações (inclusive pela tomada de controle), destruição,
dano, deleção ou mudança da informação protegida, remoção
ou limitação de uso da informação protegida ou, ainda, a
apropriação, disseminação e publicação indevida de informação
protegida de algum ativo de informação crítico ou de alguma
atividade crítica, gerando sérios impactos em sua capacidade de
entregar serviços essenciais ou críticos por um período de tempo
superior ao tempo objetivo de recuperação.” (BRASIL, 2021).
Enap Fundação Escola Nacional de Administração Pública 35
INFRAESTRUTURA CRÍTICA
“Instalações, serviços, bens e sistemas, virtuais ou físicos, que,
se forem incapacitados, destruídos ou tiverem desempenho
extremamente degradado, provocarão sério impacto social,
econômico, político, internacional ou à segurança.” (BRASIL,
2021).
INCIDENTE
“Interrupção não planejada ou redução da qualidade de um
serviço. Ou seja, ocorrência, ação ou omissão que tenha permitido,
ou possa vir a permitir, acesso não autorizado, interrupção ou
mudança nas operações (inclusive pela tomada de controle),
destruição, dano, deleção ou mudança da informação protegida,
remoção ou limitação de uso da informação protegida ou ainda a
apropriação, disseminação e publicação indevida de informação
protegida de algum ativo de informação crítico ou de alguma
atividade crítica por um período de tempo inferior ao tempo
objetivo de recuperação.” (BRASIL, 2021).
HONEYPOT
“Recurso computacional de segurança dedicado a ser sondado,
atacado ou comprometido. Existem dois tipos de honeypots: os de
baixa interatividade e os de alta interatividade. Em um honeypot
de baixa interatividade são instaladas ferramentas para emular
sistemas operacionais e serviços com os quais os atacantes irão
interagir; desta forma, o sistema operacional real desse tipo
de honeypot deve ser instalado e configurado de modo seguro,
para minimizar o risco de comprometimento. Nos honeypots
de alta
interatividade, os atacantes interagem com sistemas
operacionais, aplicações e serviços reais.” (BRASIL, 2021).
GUERRA CIBERNÉTICA
“Atos de guerra, utilizando predominantemente elementos de
tecnologia da informação em escala suficiente, por um período
específico de tempo e em alta velocidade, em apoio às operações
militares, por meio de ações tomadas exclusivamente no espaço
cibernético, com a finalidade de abalar ou de incapacitar as
atividades de uma nação inimiga, especialmente pelo ataque aos
sistemas de comunicação, visando obter vantagem operacional
militar significativa. Tais ações são consideradas uma ameaça à
Segurança Nacional do Estado.” (BRASIL, 2021).
36Enap Fundação Escola Nacional de Administração Pública
INVASÃO
“Incidente de segurança no qual o ataque foi bem-sucedido,
resultando no acesso, na manipulação ou na destruição
de informações em um computador ou em um sistema da
organização.” (BRASIL, 2021).
JAILBREAK
“Processo que modifica o sistema operacional original de um
dispositivo, permitindo que ele execute aplicativos não-autorizados
pelo fabricante. Um aparelho com um software do tipo jailbreak
é capaz de instalar aplicativos anteriormente indisponíveis nos
sites oficiais do fabricante, por meio de instaladores não-oficiais,
assim como aplicações adquiridas de forma ilegal. O uso de
técnicas jailbreak não é recomendado pelos fabricantes, já que
permitem a execução de aplicativos não certificados, que podem
inclusive conter malware embutidos.” (BRASIL, 2021).
MÁQUINA VIRTUAL (VM)
“As máquinas virtuais são computadores de software com a
mesma funcionalidade que os computadores físicos. Assim
como os computadores físicos, elas executam aplicativos e
um sistema operacional. No entanto, as máquinas virtuais são
arquivos de computador, executados em um computador físico,
e se comportam como um computador físico. Geralmente, são
criadas para tarefas específicas, cujas execuções são arriscadas
em um ambiente host, como, por exemplo, o acesso a dados
infectados por vírus e a testes de sistemas operacionais. Como a
máquina virtual é separada por sandbox do restante do sistema,
o software dentro dela não pode adulterar o computador host.
As máquinas virtuais também podem ser usadas para outras
finalidades, como a virtualização de servidores.” (BRASIL, 2021).
METADADOS
“Representam ‘dados sobre dados’, fornecendo os recursos
necessários para entender os dados no decorrer do tempo, ou
seja, são dados estruturados que fornecem uma descrição concisa
a respeito dos dados armazenados e que permitem encontrar,
gerenciar, compreender ou preservar informações a respeito
dos dados ao longo do tempo. Possuem um papel importante
na gestão de dados, pois, a partir deles, as informações são
Enap Fundação Escola Nacional de Administração Pública 37
MÍDIA
“Mecanismos em que dados podem ser armazenados. Além
da forma e da tecnologia utilizada para a comunicação, inclui
discos ópticos, magnéticos, compact disk (CD), fitas, papel, entre
outros. Um recurso multimídia combina sons, imagens e vídeos.”
(BRASIL, 2021).
NUVEM HÍBRIDA
“Infraestrutura de nuvem composta por duas ou mais
infraestruturas distintas (privadas, comunitárias ou públicas),
que permanecem com suas próprias características, mas
agrupadas por tecnologia padrão que permite interoperabilidade
e portabilidade de dados, serviços e aplicações.” (BRASIL, 2021).
NUVEM PRIVADA (OU INTERNA)
“Infraestrutura de nuvem dedicada para uso exclusivo do órgão
e de suas unidades vinculadas, ou de entidade composta por
múltiplos usuários, e sua propriedade e seu gerenciamento
podem ser da própria organização, de terceiros ou de ambos.”
(BRASIL, 2021).
PRESTADOR DE SERVIÇO
“Pessoa envolvida com o desenvolvimento de atividades, de
caráter temporário ou eventual, exclusivamente para o interesse
do serviço, que poderão receber credencial especial de acesso.”
(BRASIL, 2021).
NUVEM PÚBLICA (OU EXTERNA)
“Infraestrutura de nuvem dedicada para uso aberto de qualquer
organização, e sua propriedade e seu gerenciamento podem ser
de organizações públicas, privadas ou de ambas.” (BRASIL, 2021).
processadas, atualizadas e consultadas. As informações de
como os dados foram criados ou derivados, do ambiente em que
residem ou residiram, das alterações realizadas, dentre outras,
são obtidas de metadados.” (BRASIL, 2021).
38Enap Fundação Escola Nacional de Administração Pública
PROTOCOLO
“Conjunto de parâmetros que definem a forma como a
transferência de informação deve ser efetuada.” (BRASIL, 2021).
REDE PRIVADA VIRTUAL (VPN)
“Refere-se à construção de uma rede privada, utilizando redes
públicas (por exemplo, a Internet) como infraestrutura. Esses
sistemas utilizam criptografia e outros mecanismos de segurança
para garantir que somente usuários autorizados possam ter
acesso à rede privada e que nenhum dado será interceptado
enquanto estiver passando pela rede pública.” (BRASIL, 2021).
RESILIÊNCIA
“Capacidade de uma organização ou de uma infraestrutura
de resistir aos efeitos de um incidente, ataque ou desastre, e
retornar à normalidade das operações.” (BRASIL, 2021).
SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO
“Provimento de serviços de desenvolvimento, de implantação, de
manutenção, de armazenamento e de recuperação de dados e de
operação de sistemas de informação, projeto de infraestrutura
REQUISITOS DE SEGURANÇA DE SOFTWARE
“Conjunto de necessidades de segurança que um software deve
atender. Essas necessidades são determinadas pela política
de segurança da informação da organização, compreendendo
aspectos funcionais e não funcionais. Os aspectos funcionais
descrevem comportamentos que viabilizam a criação ou a
manutenção da segurança e, geralmente, podem ser testados
diretamente. São exemplos de requisitos funcionais o controle
de acesso, baseado em papéis de usuários (administradores,
usuários comuns, entre outros) e a autenticação com o uso
de credenciais (usuário e senha, certificados digitais, entre
outros). Os aspectos não funcionais descrevem procedimentos
necessários para que o software permaneça executando suas
funções adequadamente, mesmo quando sob uso indevido. São
exemplos de requisitos não funcionais a validação das entradas
de dados e o registro de logs de auditoria com informações
suficientes para análise forense.” (BRASIL, 2021).
Enap Fundação Escola Nacional de Administração Pública 39
SISTEMA DE INFORMAÇÃO
“Conjunto de elementos materiais ou intelectuais, colocados
à disposição dos usuários, em forma de serviços ou bens, que
possibilitam a agregação dos recursos de tecnologia, informação
e comunicações de forma integrada.” (BRASIL, 2021).
VÍRUS
“Seção oculta e autorreplicante de um software de computador,
geralmente utilizando lógica maliciosa, que se propaga pela
infecção (inserindo uma cópia sua e tornando-se parte) de outro
programa. Não é auto executável, ou seja, necessita que o seu
programa hospedeiro seja executado para se tornar ativo.”
(BRASIL, 2021).
VULNERABILIDADE
“Condição que, quando explorada por um criminoso cibernético,
pode resultar em uma violação de segurança cibernética dos
sistemas computacionais ou redes de computadores, e consiste
na interseção de três fatores: suscetibilidade ou falha do sistema,
acesso possível à falha e capacidade de explorar essa falha.”
(BRASIL, 2021).
ZONA DESMILITARIZADA (DMZ)
“Também conhecida como rede de perímetro, trata-se de
uma sub-rede (física ou lógica) que se situa entre uma rede
privada confiável e uma rede não confiável, e onde recursos
computacionais são hospedados para serem acessados a partir
da rede não confiável (em geral, a Internet), evitando o acesso
à rede interna da organização. A DMZ garante o isolamento
entre a rede confiável e não confiável por uma série de regras de
conectividade mantidas em um firewall.” (BRASIL, 2021).
de redes de comunicação de dados, modelagem de processos
e assessoramento técnico necessários à gestão da informação.”
(BRASIL, 2021).
40Enap Fundação Escola Nacional de Administração Pública
Para você conhecer mais, é recomendado o acesso ao glossário
de segurança da informação do GSI(veja aqui).
Para você obter um conhecimento mais amplo e didático sobre
o uso da internet, é recomendado o acesso ao material do site
internet segura (disponível aqui).
1.5 Identificando os Riscos da Segurança da Informação
Os riscos são de várias fontes, mas podem ser classificados em riscos técnicos e
riscos relacionados às pessoas. Veja cada um deles a seguir.
A identificação de riscos é um serviço de brainstorming. Quanto mais pessoas
representando todos os níveis de organização estiverem envolvidas melhor o
mapeamento dos riscos. Naturalmente, o histórico da organização e fontes públicas
de melhores práticas podem ajudar a identificar muitos riscos, no entanto, as
peculiaridades do negócio ou da ação pública de cada órgão ou entidade exige que
esse mapeamento de risco seja feito de maneira customizada com a participação
dos colaboradores e usuários do serviço em análise.
Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos.
Até a próxima!
Riscos técnicos Riscos relacionados a pessoas
Incluem-se atualizações de segurança,
novas metodologias de autenticação, novos
algoritmos de criptografia, entre outros, que
ajudam a melhorar o grau de segurança
(lembrando que o objetivo da segurança
da informação é que o sistema seja cada
vez mais seguro de modo que seja inviável,
impraticável ou tremendamente demorado a
quebra de segurança).
Somente a sensibilização e
o estabelecimento de políticas podem
melhorar o grau de segurança da informação,
pois, como se tem visto, a participação do
usuário é parte imprescindível
na transformação digital e no
uso de soluções digitais pela
administração pública.
https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1
https://internetsegura.br/
Enap Fundação Escola Nacional de Administração Pública 41
BRASIL. Glossário de Segurança da Informação. Brasília, DF: Gabinete de Segurança
Institucional, 2021. Disponível em: https://www.gov.br/gsi/pt-br/composicao/SSIC/
dsic/glossario-de-seguranca-da-informacao-1. Acesso em: 12 jan. 2023.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. São Paulo:
Thomson Reuters, 2020
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em:
https://www.freepik.com/. Acesso em: 12 jan. 2023.
HINTZBERGEN, Jule. et al. Fundamentos da segurança da informação: com base
na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018
NIC.br. Internet Segura. Disponível em: https://internetsegura.br/. Acesso em: 17
out. 2022
O GOLPISTA do Tinder. Direção de Felicity Morris. Produção de Bernadette Higgins.
[S. l.]: Raw Tv, 2022. (114 min.), color.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos,
1948. Disponível em: https://www.unicef.org/brazil/declaracao-universal-dos-
direitos-humanos. Acesso em: 12 jan. 2023.
Referências
https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1
https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1
https://www.unicef.org/brazil/declaracao-universal-dos-direitos-humanos
https://www.unicef.org/brazil/declaracao-universal-dos-direitos-humanos
42Enap Fundação Escola Nacional de Administração Pública
Objetivo de aprendizagem
Ao fim desta unidade, você será capaz de classificar conceitos relativos à Segurança da
Informação.
Nesta unidade, você irá conhecer alguns conceitos ligados à privacidade e segurança.
Privacidade e segurança são conceitos complementares e devem ser tratados juntos,
mas a publicidade não é oposta a nenhum dos dois conceitos.
2.1 Privacidade desde a Concepção (by Design) Versus Privacidade por
Padrão (by Default)
Unidade 2: Principais Conceitos de Privacidade e Segurança
Veja a diferença entre os conceitos de Privacidade by design e Privacidade by default
Privacidade desde a concepção (by design)
A privacidade desde a concepção (by design) é um conceito
interessante pois representa uma revolução no estabelecimento
dos requisitos de um software. Do mesmo modo que a necessidade
de testes de adequação do software durante o desenvolvimento
é um importante processo, na privacidade desde a concepção, a
questão de dados pessoais é tratada com sua devida importância
no começo de um projeto de um novo software.
Usualmente, programadores copiam e reaproveitam formulários
para cadastro de dados, então era normal a solicitação ao usuário
final de vários dados pessoais que constavam no cadastro modelo.
Com uso da privacidade desde a concepção, pode-se verificar
que muitos desses campos de cadastro eram dados pessoais,
mas que não havia uma importância que justificasse essa coleta.
Nesse sentido, hoje em dia, prefere-se pedir o mínimo de dados
possíveis de modo a impossibilitar o vazamento de dados que
nunca foram necessários.
Enap Fundação Escola Nacional de Administração Pública 43
Privacidade por padrão (by default)
A privacidade por padrão (by default) é um conceito que significa
que o mais alto nível de privacidade deve ser oferecido como pa-
drão, como seleção normativa. Assim, cabe ao usuário determi-
nar se deseja ter um padrão de privacidade menor e ativamente
fazer essa escolha (clicar) na opção de configuração do software
ou página da web.
Além disso, esse conceito também envolve a manutenção das
informações pelo tempo mínimo necessário para que elas sejam
utilizadas de acordo com a política de privacidade. Ou seja, após
a coleta e o uso dos dados, eles devem ser desprezados, elimi-
nados, excluídos dos bancos de dados, de modo que não fiquem
mais disponíveis para a empresa.
2.2 Segurança desde a Concepção (by Design) Versus Segurança por
Padrão (by Default)
A segurança desde a concepção (by design) cresceu juntamente com o aumento das
vulnerabilidades e consequente vazamento de dados com prejuízos às empresas.
O modelo tradicional em que o desenvolvedor codificava o site e depois passava o
código-fonte para a equipe de segurança analisar mostrou-se ineficiente. Idealmente,
as questões de segurança, assim como de privacidade, têm de ser discutidas desde
o começo da concepção do projeto, elas são requisitos importantes para a garantia
da qualidade do projeto.
Quando se estabelece a segurança desde a concepção, é possível ter alguns ganhos
de segurança ao:
• minimizar a superfície de ataque (restringir funções que o usuário
tem acesso, trabalhando com o princípio do menor privilégio);
• trabalhar com confiança zero (nenhum dispositivo ou sistema por
padrão é confiável);
• segregar funções (agrupando os acessos para dar apenas os privilégios
necessários para cada tipo de função).
44Enap Fundação Escola Nacional de Administração Pública
2.3 A Segurança e Código Aberto Versus Código Fechado
O código aberto representa uma abertura para que toda comunidade de
programadores visualizem o código e apresentem sugestões e alertas para erros.
O código fechado fica disponível somente para a empresa, então terceiros não
tem como acessar o código. Então, em tese, não saberiam das falhas de segurança.
Mas isso é apenas parcialmente verdade, pois ainda é possível utilizar engenharia
reversa, e a partir do arquivo “executável” se reconstruir o código original.
Para tentar evitar a engenharia reversa existem algumas técnicas como “Code
Obfuscation” que troca o valor das variáveis e das funções, cria variáveis e loops não
necessários para tornar difícil o uso de engenharia reversa. Mas isso também traz
desvantagens, pois aplicações maliciosas podem se esconder de antivírus.
“Obfuscation” faz o código mais seguro, mas não é a solução mais
segura. Principalmente