A Inteligência Cibernética como fator decisivo na Gestão de Riscos de Segurança da Informação (GRSI).

A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE
SEGURANÇA DA INFORMAÇÃO (GRSI) (

Luiz Henrique Filadelfo Cardoso((


"Não há espaço para amadores no mundo cibernético. Não
improvisem. O que está em jogo não é a área de TI, mas,
sim, o negócio como um todo. Muitas empresas quebraram ao
errar na estratégia." Paulo Pagliusi, PhD.


Resumo: Em um mundo cada vez mais complexo e mutável, predizer cenários e
estimar a ocorrência de explorações de vulnerabilidades por específicas
ameaças tornaram-se diferenciais de grande valia para as organizações que
desejam permanecer protegidas e operacionais, principalmente a partir do
espaço cibernético. Assim, neste estudo, por meio da exposição de conceitos-
chave que possibilitem a identificação e o entendimento dos benefícios
intrínsecos da sinergia entre a Gestão de Riscos de Segurança da Informação
(GRSI) e Inteligência Cibernética, como também pela apresentação, análise e
correlação de fatos e percepções sobre a crescente utilização da
Inteligência Cibernética como meio relevante de obtenção de dados e
informações para a tomada de decisão e melhoria da consciência da situação
organizacional, objetiva-se asseverar o papel decisivo que a "Cyberint"
pode assumir em apoio direto e especializado ao processo de GRSI.


Palavras-chave: Inteligência Cibernética. Gestão de Riscos. Segurança da
Informação.

1 INTRODUÇÃO

Num atual cenário permeado por constantes mudanças, em que a ação
de diversos agentes desestabilizantes é sentida cada vez mais de maneira
contundente, muitos destes intencionalmente engajados a causar severos
prejuízos à continuidade dos negócios organizacionais, emerge de maneira
disruptiva a alternativa de atuação da Inteligência Cibernética no apoio
direto à identificação de ameaças e vulnerabilidades, bem como no pontual
suporte para a definição e implementação de medidas destinadas a mitigar os
eventuais riscos, como por exemplo, àqueles advindos da ação de específicas
e perniciosas ameaças cibernéticas.
Por conseguinte, este artigo objetiva investigar e asseverar o
decisivo papel que a Inteligência Cibernética pode assumir para a
manutenção da segurança dos ativos informacionais e de Tecnologia da
Informação e Comunicação (TIC) das organizações, em específico, no suporte
direto ao processo de Gestão de Riscos de Segurança da Informação (GRSI).
Para isso, o estudo foi segregado em três partes interdependentes,
quais sejam: Conceitos Básicos; Ciberinteligência em apoio à Gestão de
Riscos de Segurança da Informação; e Conclusão.
A primeira parte consiste basicamente na exposição de importantes
conceitos introdutórios acerca dos ativos informacionais e de seus recursos
acessórios, Segurança da Informação, Gestão de Riscos, Atividade de
Inteligência e Ciberinteligência.
Já na segunda parte, são apresentados e analisados fatos e
considerações diretamente correlacionados à crescente utilização da
Inteligência Cibernética como meio hábil de obtenção de dados e
informações, e ainda, de que maneira sua preciosa expertise pode contribuir
para o processo de Gestão de Riscos de Segurança da Informação.
Ao final, são apresentadas conclusões advindas após a análise dos
fatos e correlações relativas à utilização da Ciberinteligência como
importante e agregadora alternativa assessória ao processo de tomada de
decisão organizacional, em particular, ao processo de GRSI.

2 CONCEITOS BÁSICOS


A seguir, serão apresentados e conceituados alguns temas
inafastáveis para um correto entendimento e identificação de fatores que
possam vir a confirmar o decisivo papel a ser assumido pela
Ciberinteligência em suporte estrito ao processo de Gestão de Riscos de
Segurança de Informação.


2.1 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO (GRSI)


Partindo-se do pressuposto de que o objeto principal de preocupação
da GRSI deve ser a adequada viabilização e manutenção da proteção dos
ativos informacionais e seus respectivos recursos de Tecnologia da
Informação e Comunicação (TIC), estes indispensáveis para a continuidade
normal dos processos organizacionais, sendo assim definidos por GSIPR
(2013) como: "os meios de armazenamento, transmissão e processamento, os
sistemas de informação, bem como os locais onde se encontram esses meios e
as pessoas que a eles têm acesso", torna-se necessário a adoção de
procedimentos e soluções especializadas para se assegurar a devida guarda
destes ativos informacionais e recursos de TIC, o que pode vir a ser
viabilizado de forma confiável – ainda que não totalmente – pela Segurança
da Informação.
Simião (2009) define Segurança da Informação, com base no Decreto
nº 3505/2000[1] que institui a Política de Segurança da Informação nos
órgãos e entidades da Administração Pública Federal, como sendo:
Proteção dos sistemas de informação contra a negação de
serviço a usuários autorizados, assim como contra a
intrusão, e a modificação desautorizada de dados ou
informações, armazenados, em processamento ou em trânsito,
abrangendo, inclusive, a segurança dos recursos humanos,
da documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a
prevenir, detectar, deter e documentar eventuais ameaças a
seu desenvolvimento.


Em complemento, o referido autor salienta que por mais que o
Decreto nº 3505/2000 abarque conceitualmente os outros elementos da
Segurança da Informação, como segurança das áreas e instalações, segurança
dos recursos humanos, segurança da documentação e do material, é importante
deixar claro que:
o objeto da segurança[da informação] é a proteção dos
sistemas de informação, entendido como sendo o mesmo que
sistemas de informática ou tecnologia da informação.
Justifica-se tal entendimento devido à utilização das
expressões, tais como: negação de serviço; intrusão;
modificação desautorizada de dados e informações
armazenadas, em processamento ou em trânsito. Estas
expressões são típicas da linguagem utilizada em
tecnologia da informação (SIMIÃO, 2009, p. 44).


Sobre os riscos que podem vir a influir negativamente contra os
ativos informacionais e seus recursos de TIC, Lento (2014, p. 70) – com
base na definição de Stoneburner, Goguen e Feringa (2002) – discorre que:
"risco é a função que relaciona a probabilidade de uma determinada ameaça
explorar uma vulnerabilidade em potencial e o impacto resultante desse
evento adverso sobre a organização".
Os mesmos Stoneburner, Goguen e Feringa (2002 apud LENTO, 2014, p.
72) afirmam que Gestão de Riscos pode ser entendida como: "o processo de
identificação dos riscos, avaliação de risco e tomada de medidas
(tratamento do risco) para reduzir o risco a um nível aceitável".
Neste sentido, e alinhado à perspectiva supramencionada, Oliveira
Junior (2007, p. 26) argumenta que a Gestão de Risco "deve ser um processo
contínuo, aplicado à estratégia da organização e à implementação dessa
estratégia. Deve analisar todos os riscos inerentes às atividades passadas,
presentes e, em especial, futuras de uma organização".
A Gestão de Riscos – conforme descrita por Lento (2014, p. 114) –
também deverá "analisar os possíveis eventos de ameaça à segurança da
informação e as suas consequências, antes de definir qualquer decisão
quanto a reduzir os riscos a um nível aceitável". Destarte, Gestão de
Riscos de Segurança da Informação pode ser entendida como:
[...] um processo no qual as organizações analisam os
riscos inerentes às suas atividades, com o objetivo de
atingir um equilíbrio apropriado entre o reconhecimento de
oportunidades e ganhos, e a redução de perdas. É um
elemento central na gestão da estratégia de qualquer
organização. [e que] esse processo deve executar um
conjunto de tarefas que têm como objetivo identificar as
necessidades de segurança de uma organização,
proporcionando suporte à criação de um Sistema de Gestão
de Informação (SGSI), preparação de um plano de
continuidade de negócios ou de um plano de resposta a
incidentes (LENTO, 2014, p.115).


Porém, devido a GRSI ser um processo "interativo, contínuo e por se
utilizar de um método lógico e sistemático" para estabelecer suas etapas e
atingir seus objetivos concernentes, há a necessidade veemente de
padronização de todo o processo (LENTO 2014).
Assim, uma das alternativas que pode vir a ser adotada para atender
à requerida padronização do processo de GRSI, é a exposta e detalhada
minuciosamente na norma NBR ISO 27005 – Gestão de Riscos de Segurança da
Informação, uma vez que esta documentação se destina especificamente a
fornecer as diretrizes necessárias para "uma implementação satisfatória da
segurança da informação tendo como base a gestão de riscos" (ABNT, 2008).
Abaixo, na Figura 1, pode-se observar as diversas etapas do
Processo de Gestão de Riscos de Segurança da Informação, baseadas na norma
NBR ISO 27005 – Gestão de Riscos de Segurança da Informação.
Figura 1 – Visão geral do
Processo de Gestão de Riscos
de Segurança da Informação – NBR
ISO 27005.

Fonte: ABNT (2008).


Ao se observar com atenção a figura extraída NBR ISO 27005 – Gestão
de Riscos de Segurança da Informação, depreende-se rapidamente que o
processo de GRSI é composto por sete etapas interdependentes, quais sejam:
definição do contexto, análise de riscos, avaliação de riscos, tratamento
do risco, aceitação dos riscos, comunicação do risco de segurança da
informação e, monitoramento e análise crítica dos riscos de segurança da
informação. Estas etapas podem ser sucintamente detalhadas, com o apoio
conceitual de Lento (2014), GSIPR (2013) e de ABNT (2008), da seguinte
maneira:
1 – Definição do contexto: Tal qual exposto por Lento (2014,
p.117): "esta etapa visa a estabelecer o contexto da gestão de risco da
segurança da informação consiste em definir os parâmetros básicos sob os
quais os riscos sobre a informação devem ser geridos. Isto é, consiste em
definir os critérios básicos (critérios de avaliação de riscos, critérios
de impacto e critérios de aceitação do risco) a serem adotados pela gestão
de riscos de segurança da informação. Esse contexto define, portanto, o
escopo (finalidade – plano de continuidade, SGSI etc.) da gestão de riscos
e os seus limites. Esses últimos, por sua vez, são determinados pelos
objetivos estratégicos, políticos e processos de negócio da organização.".
2 – Análise de riscos: Segundo ABNT (2008, p. 12), esta etapa
"identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que
poderiam existir), identifica os controles existentes e seus efeitos no
risco identificado, [bem como] determina as conseqüências possíveis.".
3 – Avaliação de riscos: esta etapa tem como finalidade principal
estimar os níveis de riscos associados aos ativos de informação e aos
recursos de Tecnologia da Informação e Comunicação, avaliando e priorizando-
os de acordo com os critérios de avaliação de riscos estabelecidos na
definição do contexto (ABNT, 2008).
4 – Tratamento do risco: Lento (2014, p. 139) afirma que "a fase de
tratamento de riscos começa com uma lista de riscos, ordenados entre si por
prioridade de tratamento, de acordo com os critérios de avaliação de
riscos, e tem como saída o plano de tratamento do risco e dos riscos
residuais decorrentes desse tratamento.". E ainda de acordo com GSIPR
(2013), esta fase visa a "determinar as formas de tratamento dos riscos,
considerando as opções de reduzir, evitar, transferir ou reter o risco,
observando: a eficácia das ações de Segurança da Informação e Comunicações
– SIC já existentes; as restrições organizacionais, técnicas e estruturais;
os requisitos legais; e a análise custo/benefício.".
5 – Aceitação do risco: etapa em que se deverá, conforme discorrido
em GSIPR (2013, p. 06), "verificar os resultados do processo executado,
considerando o plano de tratamento, aceitando-os ou submetendo-os à nova
avaliação". Não somente, mas também "o processo está sujeito à decisão dos
gestores da organização, relativa à aceitação desse processo, quando se tem
como produto uma lista de riscos aceitos, incluindo uma justificativa para
aqueles que não satisfaçam os critérios normais para aceitação do risco
(LENTO, 2014, p. 142)".
6 – Comunicação do risco de segurança da informação: Conforme
exposto em ABNT (2008, p. 25), "a comunicação do risco é uma atividade que
objetiva alcançar um consenso sobre como os riscos devem ser gerenciados,
fazendo uso para tal da troca e/ou partilha das informações sobre o risco
entre os tomadores de decisão e as outras partes interessadas. A informação
inclui, entre outros possíveis fatores, a existência, natureza, forma,
probabilidade, severidade, tratamento e aceitabilidade dos riscos."
7 - Monitoramento e análise crítica dos riscos de segurança da
informação: nesta etapa convém atentar que os riscos e seus fatores (isto
é, valores dos ativos, impactos, ameaças, vulnerabilidades, probabilidade
de ocorrência) sejam monitorados e analisados criticamente, a fim de se
identificar, o mais rapidamente possível, eventuais mudanças no contexto da
organização e de se manter uma visão geral dos riscos (ABNT, 2008).
É Importante ainda lembrar que as mencionadas etapas do Processo de
Gestão de Riscos de Segurança da Informação não são estanques e devem
sempre interagir entre si de maneira harmônica e complementar, tendo como
finalidade principal a geração de subsídios confiáveis e oportunos para
suportar os mais distintos processos de tomada de decisão organizacional
(LENTO, 2014).


2.2 ATIVIDADE DE INTELIGÊNCIA

Medeiros (2011, p.03) conceitua Atividade de Inteligência como
sendo "a atividade especializada, permanentemente exercida, com o objetivo
de produzir conhecimentos de interesse da instituição/organização e a sua
salvaguarda contra ações adversas".
Já Silva Junior (2011) afirma, baseado no Glossário de Inteligência
Competitiva da Associação Brasileira de Inteligência Competitiva – ABRAIC,
que Inteligência consiste no
Processo que tem como objetivo produzir Inteligência para
a tomada de decisão ou desenvolver atividades que
objetivam negar a um ator a possibilidade de levantar
dados/informações por meio de coleta/busca sobre o modo de
agir de outro ator. Constitui-se de processo informacional
proativo e sistemático que visa identificar os atores e as
forças que regem as atividades da organização, reduzir o
risco e conduzir o tomador de decisão a melhor posicionar-
se em seu ambiente, bem como proteger o conhecimento
sensível gerado. Caracteriza-se pela coleta/busca de
dados/informações que os outros não estão vendo – quer
porque estão ocultos e/ou desconexos, quer porque estão
camuflados ou mesmo destorcidos – e sua posterior análise
e identificação de impacto para a organização (SILVA
JUNIOR, 2011, p. 25, grifo nosso).


Dessarte, José Manuel Ugarte (2002 apud GONÇALVES, 2011, p. 07)
sobre a importância da utilização dos mais variados recursos, métodos e
técnicas de Inteligência nas diversas esferas da sociedade assinala que:
la información es conocimiento, la información es
organzación, [...] la informarción es actividad [e que
inteligência] es el conocimiento que nuestros hombres,
civiles y militares, que ocupan cargos elevados, deben
poseer para salvaguardar el bienestar nacional.


No que tange à natureza de sua finalidade, a Atividade de
Inteligência pode ser dividida em categorias, tais como: Inteligência de
Estado, Business Intelligence, Inteligência Estratégica, Inteligência
Militar e de Defesa, Inteligência de Segurança Pública, Inteligência
Competitiva, Inteligência policial, Inteligência fiscal, dentre outras; e
ainda de acordo com Medeiros (2011): "tudo é uma adaptação da atividade de
Inteligência 'clássica [de Estado]' à atividade de Inteligência
específica".
Porquanto, ainda que o espectro de atuação da Atividade de
Inteligência se configure bastante amplo e multifacetado, para a sua melhor
eficácia, a Atividade deve sempre atender a propósitos restritos e
altamente especializados a fim de se reduzir eventuais equívocos a respeito
de assuntos ou questões específicas e de alta relevância para o processo
decisório organizacional.
Sobre isto, Silva Junior (2011, p. 22) ainda argumenta que "as
informações coletadas, que se transformaram em conhecimento [após o devido
Ciclo de Produção de Conhecimento – CPC[2]], geralmente possuem três
propósitos distintos, ainda que complementares: o uso preventivo, defensivo
ou ofensivo".
Assim sendo, também cabe discorrer que no tocante às fontes de
obtenção de dados para a produção do conhecimento de Inteligência, tal qual
classificação proposta por Bruneau (2000 apud GONÇALVES, 2011), emergem
como principais: a HUMINT (Human intelligence), SIGINT (Signals
Intelligence), OSINT (Open-source Intelligence), MASINT (Measurement and
Signature Intelligence) e IMINT (Imagery Intelligence).
Torna-se oportuno expor que Nogueira (2012, p. 29) – de maneira
inovadora – esboça a possibilidade de se considerar também a via
cibernética como uma distinta fonte de obtenção de dados para a atividade
de inteligência, podendo vir a ser denominada, ainda que de maneira
incipiente, como "CYBERINT".


2.2.1 Inteligência Cibernética

Ciberinteligência ou Inteligência Cibernética pode ser inicialmente
entendida como:
[...] um processo que leva em conta o ciberespaço,
objetivando a obtenção, a análise e a capacidade de
produção de conhecimentos baseados nas ameaças virtuais e
com caráter prospectivo, suficientes para permitir
formulações, decisões e ações de defesa e resposta
imediatas visando à segurança virtual de uma empresa,
organização e/ou Estado (WENDT, 2011, p. 23).


Wendt (2010) ainda entende como sendo parte integrante do escopo de
responsabilidade da Inteligência Cibernética as seguintes ações e
procedimentos:
1 – Os ataques às redes, públicas ou privadas, e às páginas web;
2 – Análise das vulnerabilidades existentes sobre as redes,
sistemas e serviços existentes, enfocando o entrelaçamento à teia regional,
nacional e/ou mundial de computadores;
3 – Constante análise e acompanhamento dos códigos maliciosos
distribuídos na web, observando padrões, métodos e formas de disseminação;
4 – Enfoque na engenharia social virtual e os efeitos danosos,
principalmente nas fraudes eletrônicas;
5 – Mais especificamente, monitorar as distribuições de phishing
scam, tanto por web sites quanto por e-mail e as demais formas de
disseminação, com atenção especial para as redes sociais;
6 – Observação e catalogamento dos casos de espionagem digital, com
abordagem dos casos relatados e verificação dos serviços da espécie
oferecidos via web;
7 – Intenso monitoramento a respeito de adwares, worms, rootkits,
spywares e vírus, com observância do comportamento, finalidade e forma de
difusão;
8 – Detectar e monitorar os dados sobre fraudes eletrônicas e o
correspondente valor financeiro decorrente das ações dos criminosos
virtuais;
9 – Monitoramento da origem externa e interna dos ataques e
distribuição dos códigos maliciosos;
10 – Verificação e catalogamento das ações e mecanismos de hardware
e software de detecção de ameaças e de respostas imediatas às ameaças
virtuais, e etc.
Em reforço a esta perspectiva delineada, Nogueira (2012, p, 35)
reitera: "sem Inteligência Cibernética não haverá como atuar com precisão e
oportunidade", e vai além ao afirmar que:
Saber, conhecer e avaliar os movimentos do oponente
cibernético, antes de suas ações, será imprescindível.
Haverá sempre intervalo muito pequeno para agir e menos
tempo ainda para decidir. Por isso, a atuação da
Inteligência surge como fator de grande importância para
promover conhecimentos que conduzam a decisões acertadas e
a resultados eficazes. [...] A partir desta percepção,
justifica-se estudar como levantar, obter e tratar
informações sobre ações dos adversários no ambiente
cibernético. A pesquisa das formas de emprego da
Inteligência no domínio virtual levará a aperfeiçoamentos
que adéquem suas operações para obtenção de informações de
valor e relevância para ações cibernéticas. Esses
conhecimentos poderão promover desequilíbrio se forem
apropriadamente manipulados (NOGUEIRA, 2012, p. 24, grifo
nosso).


Oliveira (2011, p.114) ainda complementa da seguinte forma:
Ela é essencial na busca de informações, empregando todas
as fontes disponíveis, para identificar e prevenir ameaças
cibernéticas e proporcionar respostas adequadas, com
oportunidade. Além disso, os profissionais que atuam no
Setor Cibernético devem desenvolver atitude arraigada de
contrainteligência, a fim de proteger o conhecimento e as
informações inerentes às suas atividades.


Sobre os efeitos positivos que podem advir da efetiva aplicação da
ciberinteligência como meio específico de suporte ao processo decisório –
não só para predição, mas também para análise pós-prevenção –, INSA (2011,
p.03) salienta que:
Em última análise, a eficaz inteligência cibernética
começará a permitir a previsão, alarme estratégico sobre
as atividades de ameaças cibernéticas, mitigação dos
riscos associados a estas ameaças, melhorando assim, a
nossa capacidade de avaliar os efeitos da ciberintrusão, e
de otimizar a segurança cibernética com custos eficientes
e processos mais eficazes, baseados em decisões bem
informadas (tradução livre).


Assim, para viabilizar um "ecossistema" equilibrado para a efetiva
atuação da ciberinteligência tal qual supramencionado, torna-se necessário
adotar, dentre outras ações, as seguintes diretrizes procedimentais:
1- Definir adequadamente o escopo de atuação (intra e extra
organização) da ciberinteligência, com a devida aprovação formal
e apoio de todos os colaboradores, principalmente por parte da
alta diretoria;
2- Prever detalhadamente os específicos procedimentos, métodos e
técnicas requeridos para sua plena atuação, bem como nomear os
responsáveis por cada processo e/ou tarefa acessória;
3- Definir claramente os objetivos esperados com sua atuação, assim
como os recursos, custos e períodos necessários para a sua
consecução; e
4- Manter sempre atualizados os recursos humanos diretamente
envolvidos na atividade, por meio de participação regular em
treinamentos, capacitações, fóruns especializados, e outros
expedientes que venham a propiciar o devido acompanhamento
evolutivo das ameaças cibernéticas e de suas contramedidas.
Por sua vez, agora em específico sobre o aparato tecnológico
atualmente a disposição da Inteligência Cibernética, torna-se oportuno
citar que grande parte do monitoramento e análise de cenários
(sobremaneira, o cibernético) já vem sendo francamente realizados por uma
miríade de ferramentas automatizadas baseadas em específicos métodos e
técnicas, como a de mineração de dados[3] e de análise e filtragem de web
semântica – em posts, tuítes, em redes sociais, blogs –, calibrados de
acordo com o grau de abrangência pretendido e palavras-chave de
interesse[4].
INFO (2011) assevera que estas técnicas há anos são utilizadas por
anunciantes – principalmente, por meio de cookies[5] – e que em um futuro
próximo evoluirão e constituirão métricas altamente especializadas para a
predição e acompanhamento de tendências em várias esferas do conhecimento
humano, dentre elas, àquelas voltadas para redução de incertezas ligadas à
gestão de riscos organizacionais.
Em relação a estas ferramentas automatizadas de coleta e
monitoramento cibernético, Silva Junior (2011, p. 81) destaca que:
O princípio da coleta de dados, executada por ferramentas
eletrônicas de monitoramento, identifica palavras, termos
ou expressões. Os objetivos destas ferramentas são:
mensurar, qualificar, quantificar, traçar perfis de
usuários, identificando possibilidades de ações dentro dos
ambientes [organizacionais] e prever crises e danos a
marcas contratantes.


Muitas dessas ferramentas funcionam por meio de métodos e técnicas
intrinsecamente correlacionadas ao processo de Descoberta do Conhecimento
em Banco de Dados (DCBD).
Sobre isto, Oliveira Junior (2011, p. 37) leciona que:
O maior objetivo do DCBD não é o de simplesmente encontrar
padrões e relações em meio à imensa quantidade de
informação disponível em base de dados, e, sim, a extração
de conhecimento inteligível e imediatamente utilizável
para o apoio às decisões. [E que] a DCBD integra conceitos
de estatística, SI inteligentes, aprendizado de máquina
[redes neurais artificiais, algoritmos genéticos, etc.],
reconhecimento de padrões, teoria das decisões, engenharia
de dados e administração de dados.


3 CIBERINTELIGÊNCIA EM APOIO À GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO.


Na atual conjuntura mundial, cada vez mais globalizada e impessoal,
predizer cenários e estimar tempestivamente a ocorrência de explorações de
vulnerabilidades por específicas ameaças tornaram-se diferenciais de grande
valia para as organizações que desejam permanecer operativas e protegidas
neste cenário de intenções nem sempre tão claras.
No que se refere ao Ciberespaço não é diferente. Sistemas de
informações heterogêneos, conexões estabelecidas por meio de estruturas e
recursos distribuídos caoticamente fazem do espaço cibernético um ambiente
dominado pela aleatoriedade, complexidade e anonimato.
É neste lócus permeado por estas relações, em sua maioria,
estabelecidas de forma assimétrica, que a detecção de padrões de
relacionamento em conjuntos imensos de dados e informações por meio de
ferramentas computacionais e técnicas especializadas passa a ser uma das
principais alternativas utilizadas pelas organizações que desejam não só
entender melhor como funciona o seu negócio – identificando
vulnerabilidades e oportunidades –, mas também se antever aos eventuais
impactos negativos de ataques produzidos por uma miríade de ameaças
oriundas do espaço cibernético.
Neste sentido, Fonseca et al (2013) a respeito da crescente
expansão do desenvolvimento e comercialização de ferramentas de busca,
monitoramento e análise de dados/informações, capitaneada por grandes
corporações de Tecnologia da Informação e Comunicações (TIC), argumenta a
título de exemplo que:
A Cyveillance, uma subsidiária da empresa americana
QinetiQ, especializa-se em monitoramento 24 horas da
internet e, segundo ela mesma define em sua brochura,
análises de inteligência sofisticadas para "identificar e
eliminar ameaças a informações, infraestruturas e
indivíduos, permitindo aos nossos clientes preservar a sua
reputação, receita e a confiança dos clientes". A empresa
afirma servir a maioria das empresas mais ricas do mundo
"e mais de 30 milhões de consumidores através de sua
parceria com provedores que incluem AOL e Microsoft". A
brochura da empresa, vazada pelo WikiLeaks[6], mostra bem
o uso dessa tecnologia: uma foto traz manifestantes
portando bandeiras num protesto. O texto explica:
"Protestos, boicotes e ameaças contra seus empregados,
oficinas e escritórios causam caos na sua organização".
Por meio de monitoramento 24 horas por dia, sete dias por
semana, a empresa afirma que resolver ameaças requer
incorporar inteligência à segurança. A Cyveillance garante
que tem pessoas, processos e tecnologias para prover
inteligência sobre as atividades relacionadas a uma
empresa, "permitindo que você aja antes que um evento
ocorra". Também garante monitoramento contra vazamentos de
informações por whistleblowers[7] da empresa (grifo
nosso).


E ainda que:
Em 2011, a HP anunciou a compra da Autonomy, uma empresa
inglesa líder no campo de "desenvolvimento de softwares
que ajudam organizações do mundo inteiro a entenderem o
significado por trás da informação". Como? Um time de
analistas varre conteúdos de emails, documentos, fotos,
redes sociais e outros tipos de mídia, atrás de
informações relevantes, de acordo com a demanda do
cliente. Segundo o site, organizações como KPMG, Philips,
Oracle e T-Mobile já utilizaram os serviços da Autonomy
[...] (grifo nosso).


Todavia, não são apenas empresas privadas que fazem uso recorrente
das referidas tecnologias de extração, monitoração e análise de dados em
suporte aos seus processos. Conforme também exposto por Fonseca et al
(2013):
Segundo levantamento do jornal The Washington Post, o
"black budget", o orçamento destinado aos serviços de
inteligência do governo dos Estados Unidos, soma US$ 52,6
bilhões ao ano – mais de 68% disso vai para a CIA, a NSA e
o NRO (Escritório Nacional de Reconhecimento, órgão
responsável por desenvolver, construir e operar satélites
de reconhecimento). O valor reservado para as áreas de
inteligência e vigilância dobrou em relação a 2001. A
maior parcela de gastos é com coleta, exploração e análise
de dados. Apenas a CIA tem um gasto previsto de US$ 11,5
bilhões para coleta de dados em 2013. As empresas
contratadas são mantidas em segredo. [...] Organizações
como a Interpol, FBI e OTAN utilizam os softwares da
subsidiária da IBM para rastrear grandes quantidades de
dados provenientes da internet, chamadas telefônicas e
dados bancários e "coletar, integrar, analisar, visualizar
e distribuir informações" a fim de interceptar indícios de
atividade criminosa. [...] O produto? Softwares de
rastreamento e processamento de dados para fins diversos,
que vão do combate à corrupção e investigação de fraudes à
interceptação de crimes que coloquem em risco a segurança
nacional (grifo nosso).

Porém, ainda que tais meios automatizados de busca/coleta, análise
e produção de conhecimento inevitavelmente possam vir a serem utilizados
com outros fins que não o de suporte estrito à tomada de decisão
organizacional, claramente, já não se é mais viável prescindir dos mais
variados produtos advindos destas citadas ferramentas computacionais; visto
que para além de satisfazerem a uma demanda crescente por informações
técnicas, oportunas e precisas, o acesso ao produto diferenciado da
Ciberinteligência vem se consolidando cada vez mais como uma questão
estratégica para sobrevivência e fortalecimento das organizações modernas.
Sobre esta perene necessidade de se estar sempre atento aos riscos
e ameaças inerentes ao ciberespaço, Dr. Paulo Pagliusi, renomado
especialista na área de cibersegurança, adverte que: "Não há espaço para
amadores no mundo cibernético. Não improvisem. O que está em jogo não é a
área de TI, mas, sim, o negócio como um todo. Muitas empresas quebraram ao
errar na estratégia." (LOBO; COSTA, 2014).
Porquanto, é clarividente a importância que a atuação da
ciberinteligência pode impelir para o "negócio como um todo", seja como
relevante meio para a predição de cenários e de potenciais riscos, seja
como parte do ferramental analítico pós-ocorrência de quaisquer incidentes
de segurança.
Em reforço a esta perene percepção, mas agora em específico à
situação das infraestruturas críticas brasileiras, Franco (2012) salienta
que devido ao "gerenciamento operacional de grande parte das
Infraestruturas Críticas Nacionais (ICN)" já ser realizado remotamente
através da via cibernética, a importância da Ciberinteligência se acentua
tanto na possibilidade de busca e coleta de dados de interesse, quanto na
identificação das eventuais vulnerabilidades existentes nas redes
computacionais das ICN.
O referido autor argumenta que:
Para a Atividade de Inteligência, a produção de
conhecimento para a proteção dos sistemas que controlam a
funcionalidade das ICN é fundamental para que o agente
decisor possa intervir com oportunidade, minimizando ou
neutralizando os possíveis danos causados por ações mal
intencionadas. A correta aplicação dos preceitos de
segurança orgânica também contribuirá para que os riscos
sejam mitigados. Para tanto, é fundamental ter seus
recursos humanos preparados para o ambiente cibernético,
inclusive os da área de inteligência, alocando-os em uma
estrutura organizacional eficiente e prática. Esta
estrutura deve possuir a capacidade de, permanentemente,
acompanhar a evolução das formas de ataques e cooptação de
pessoas a fim de impedir intrusões maliciosas nos sistemas
informatizados das ICN (FRANCO, 2012, p. 08).


Logo, é plausível também depreender que a Inteligência Cibernética
possa se posicionar de maneira consistente como disciplina altamente
eficaz, não somente para atender às demandas genéricas dos tomadores de
decisão organizacionais, mas sobremaneira, em suporte especializado ao
processo de Gestão de Riscos de Segurança da Informação.
Sua atuação pode ser delinear de maneira determinante na devida
identificação e definição das adequadas medidas para mitigar e/ou extinguir
os riscos cibernéticos que influem (ou que possam vir a influir) sobre os
ativos informacionais e comunicacionais, seja ainda na fase de planejamento
da GRSI – mais especificamente, nas etapas de definição do contexto,
análise e avaliação de riscos – ou, no perene monitoramento do cenário ao
qual a organização encontra-se inserida
Na etapa de Definição do Contexto, a participação da Inteligência
Cibernética pode se mostrar determinante na obtenção e disponibilização de
dados e informações que venham a subsidiar de maneira realista e oportuna o
mapeamento do cenário em que a organização está inserida, como também no
cálculo da ocorrência dos riscos, este sendo entendido como a conjunção da
probabilidade de ocorrência da ameaça e do impacto do ativo em relação ao
negócio da empresa, caso o incidente venha a ser consumado (LENTO, 2014, p.
118).
Ainda em consonância com a perspectiva defendida por Lento (2014),
só que neste momento em relação às etapas de Análise e Avaliação de Riscos,
o conhecimento advindo de tal especialidade de inteligência pode também se
mostrar decisivo na precisa identificação dos riscos – por meio do
reconhecimento e correlação dos ativos, ameaças, vulnerabilidades e
controles até então existentes –, bem como na posterior estimação e
priorização (hierarquização) dos riscos, com a criteriosa análise de
impacto, determinação do risco e de sua magnitude para a continuidade dos
negócios organizacionais.
Já na etapa de Monitoramento e Análise Crítica dos Riscos de
Segurança da Informação, convém atentar para o papel estratégico que a
inteligência cibernética pode assumir no perene acompanhamento dos riscos e
seus fatores, monitorando-os e analisando-os, a fim de se identificar
tempestivamente eventuais mudanças no contexto ambiental da organização e
na evolução de peremptórias ameaças ao seu negócio.
Desta forma, após a devida identificação dos ativos, ameaças,
vulnerabilidades, e posterior realização de análises e correlações por meio
de ferramentas cibernéticas voltadas, dentre outras finalidades: à
varredura de redes e sistemas, testes de penetração (PENTEST), mineração de
dados e de conteúdos web de interesse, certamente – a partir do produto
obtido de tais soluções prospectivas – será possível prosseguir de maneira
consistente através das outras etapas subsequentes da GRSI; para que assim,
ao final do processo, os respectivos tomadores de decisão possam se valer
da mais completa e oportuna alternativa existente para a manutenção da
integridade e disponibilidade de seus ativos e processos organizacionais,
assim como para gestão sensata de sua imagem não só no ciberespaço, mas
também fora dele.

4 CONCLUSÃO

Ao final deste artigo, com base na correlação e análise dos fatos e
constatações apresentadas, é possível concluir que o papel da Inteligência
Cibernética cada vez mais avulta em importância como decisiva alternativa,
não só para a obtenção de dados e informações em atendimento às demandas
dos órgãos de inteligência de Estado, mas sobremaneira, para a
identificação de oportunidades, ameaças, vulnerabilidades e riscos
existentes em prol das mais variadas organizações, sejam elas de controle
privado ou governamental.
Muito disso deve-se à intensificação da pesquisa, desenvolvimento e
consequente aumento da qualidade e versatilidade dos produtos entregues
pelas mais variadas ferramentas cibernéticas destinadas, sumariamente, à
coleta de dados e conteúdos de interesse, análise detalhada de grandes
repositórios de dados, varredura de redes/sistemas e à predição de cenários
com base no monitoramento constante do comportamento das variáveis
determinantes para a continuidade dos negócios e tratamento dos incidentes
de segurança organizacionais.
No que tange em particular ao processo de GRSI, foi possível também
depreender o relevante papel que a ciberinteligência pode assumir na tarefa
de fornecer informação técnica, confiável e oportuna, ao atuar em suporte
direto às etapas de Definição de Contexto, Análise, Avaliação de Riscos,
Monitoramento e Análise Crítica dos Riscos de Segurança da Informação, em
proveito do aumento do grau de adaptabilidade e resiliência das
organizações, e de maneira transversal, para a redução da chance de
ocorrência de contraproducentes incidentes de segurança que possam vir a
atentar contra a continuidade de seus processos críticos.
Contudo, para que a Inteligência Cibernética venha a se consolidar
ainda mais em importância e em efetividade, principalmente em apoio ao
processo de Gestão de Riscos de Segurança da Informação, entende-se como
impostergável a devida definição e padronização de normas e procedimentos
específicos que regulem de maneira exequível o seu escopo de atuação neste
complexo e assimétrico âmbito dialético, assim como também se faz presente,
a necessária intensificação de ações para o fomento e estabelecimento de
grupos de trabalho e de intercâmbios entre equipes multidisciplinares
compostas por representantes de corporações de TIC, universidades, ONGs e
outros órgãos de Estado, para que assim, sejam desenvolvidas inovadoras e
eficazes soluções tecnológicas para a segurança e proteção dos mais
variados interesses organizacionais, sejam eles cibernéticos ou não.

CYBER INTELLIGENCE LIKE DECISIVE FACTOR IN RISK MANAGEMENT OF INFORMATION
SECURITY AND COMMUNICATIONS

Abstract: In increasingly complex and changing world, predict scenarios and
estimate the occurrence of vulnerability exploits by specific threats have
become differentials of great value for organizations who wish to remain
protected and operative, especially in Cyberspace. Therefore, in this
study, through the exposure of key concepts that enable the identification
and understanding of the intrinsic benefits of the synergy between the Risk
Management of Information Security (RMIS) and Cyber Intelligence, as well
as the presentation, analysis and correlation of facts and perceptions
about the increasing use of Cyber Intelligence as a means of obtaining
relevant data and information to decision making and improvement of
situation awareness organizational, with objective to assert the decisive
role that "Cyberint" can take in direct and specific support of RMIS
process.

Keywords: Cyber Intelligence. Risk Management. Information Security.


REFERÊNCIAS

ABNT, AB de NT. NBR ISO/IEC 27005–Tecnologia da Informação – Técnicas de
Segurança – Gestão de Riscos de Segurança da Informação. Rio de Janeiro:
ABNT, 2008.

ASSANGE, Julian et al. Cypherpunks: liberdade e o futuro da internet. São
Paulo: Boitempo, 2013.

BRUNEAU, Thomas. Intelligence and democratization: the chalenge of control
in new democracies: ocasional paper #5. Monterey/California: The Center for
Civil-Military Relations – Naval Postgraduate School, March, 2000.

CEPIK, Marco A. C. Espionagem e Democracia. Rio de Janeiro: Editora FGV,
2003.

CÔRTES, Sérgio da Costa; PORCARO, Rosa Maria; LIFSCHITZ, Sérgio. Mineração
de Dados – Funcionalidades, Técnicas e abordagens. PUC-RIO, 2002.
Disponível em: < ftp://ftp.inf.puc-
rio.br/pub/docs/techreports/02_10_cortes.pdf>. Acesso em 27 jan. 2014.

FONSECA, Bruno et al. Wikileaks: quem lucra com a espionagem digital. 2013.
Disponível em: < http://www.apublica.org/2013/09/wikileaks-quem-lucra-
espionagem-digital/>. Acesso em: 27 jan. 2014.

FRANCO, Luis Henrique Santos. A atividade de inteligência na segurança
cibernética às infraestruturas críticas nacionais do setor de energia
elétrica. Revista A Lucerna: Escola de Inteligência Militar do Exército,
Brasília, Ano I, n. 2, p. 07-22, dez 2012.

GONÇALVES, Joanisval Brito. Atividade de Inteligência e legislação
correlata. 2. ed. Niterói: Impetus, 2011.

GSIPR. Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, de 25 de
fevereiro de 2013. Diretrizes para o processo de Gestão de Riscos de
Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da
Administração Pública Federal. Disponível em: <
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>. Acesso em: 25 jan.
2014.

INFO. Revista INFO EXAME: para uma nova realidade, São Paulo: Abril, ago.
2011.

INSA. Cyber Intelligence: Setting the landscape for an emerging
discipline. White Paper, september, 2011. Intelligence and National
Security Alliance, Arlington, VA. Disponível em:
. Acesso
em: 20 jul. 2014.

LENTO, Luiz Otávio Botelho. Gestão de risco de segurança da informação:
livro digital. 2. Ed., Palhoça: UnisulVirtual, 2014.
LOBO, Ana Paula; COSTA, Pedro. Cibersegurança: 'não há espaço para
amadores, não improvisem.'.Covergência Digital, 2014. Disponível em: <
http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=36
771&sid=127&utm_source=twitterfeed&utm_medium=twitter&fb_action_ids=44957945
8510950&fb_action_types=og.likes&fb_ref=.U3bEXzimktC.like>. Acesso em 21
maio 2014.

MACHADO, Jussara de Oliveira. Inteligência e Ciberespaço: desafios do
século XXI. In: CEPIK, Marco (Org.). Inteligência Governamental: contextos
nacionais e desafios contemporâneos. Niterói: Impetus, 2011. p. 271-317.

MEDEIROS, Francisco José Fonseca de. A Atividade de Inteligência no mundo
atual. 2011. Disponível em:
. Acesso em: 23 jan. 2014.

NOGUEIRA, Alexandre Fernandes Lobo. A Inteligência militar na defesa
cibernética: um estudo sobre as possibilidades de apoio da inteligência aos
planejamentos das ações de defesa cibernética. Revista A Lucerna: Escola de
Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 23-36, dez
2012.

OLIVEIRA JUNIOR, Waldomiro. Estudo comparativo entre modelos lineares e
redes neurais artificiais como tecnologias geradoras de previsões de
valores financeiros. 2007. 145f. Dissertação (Mestrado em Gestão do
Conhecimento e Tecnologia da Informação) – Universidade Católica de
Brasília, Brasília, 2007.

SILVA JUNIOR, Osvaldo Spindola da. Inteligência em fontes abertas: um
estudo sobre o emprego de mídias sociais na identificação de
irregularidades no serviço publico federal. 2011. 114f. Dissertação
(Mestrado em Gestão do Conhecimento e Tecnologia da Informação) –
Universidade Católica de Brasília, Brasília, 2011.

SIMIÃO, Reinaldo Silva. Segurança da Informação e comunicações: conceito
aplicável em organizações governamentais. 2009. 81f. Monografia
(Especialização em Gestão da Segurança da Informação e Comunicações) –
Departamento de Ciência da Computação da Universidade de Brasília,
Brasília, 2009.

STONEBURNER, Gary; GOGUEN, Alice; FERINGA, Alexis. NIST SP 800 30 Risk
management guide for information technology systems. Ed.: NIST, 2002.

UGARTE, Jóse Manuel. Control Público de la actividad de Inteligencia:Europa
y América Latina, uma vision comparativa. (Trabalho apresentado no
Congresso Internacional "Post-Globalización: Redefinición de la Seguridad y
Defensa Regional el Cono Sur"), Buenos Aires, 2002.

WENDT, Emerson. Inteligência Cibernética – Introdução ao assunto. 2010.
Disponível em: <
http://www.inteligenciapolicial.com.br/2010/03/inteligencia-cibernetica-
introducao-ao.html>. Acesso em 25 jan. 2014.

_______. Ciberguerra, inteligência cibernética e segurança virtual: alguns
aspectos. Revista Brasileira de Inteligência: ABIN, Brasília, n. 6, p. 15-
26, abr. 2011.
-----------------------
( Artigo apresentado como trabalho de conclusão de curso de pós-graduação
em Gestão de Segurança da Informação da Universidade do Sul de Santa
Catarina, como requisito parcial para obtenção do título de Especialista.
2014. Orientador: Prof. Luiz Otávio Botelho Lento, Msc.
(( Acadêmico do curso de pós-graduação em Gestão de Segurança da Informação
da Universidade do Sul de Santa Catarina.
[1] Disponível em: <
http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm>. Acesso em 25
jan. 2014.
[2] "CPC também é conhecido como "processo de inteligência" e refere-se ao
processo em que dados e informações são compilados, analisados e
transformados em conhecimento de inteligência, e ao final, disponibilizados
aos usuários/clientes, ou seja, aos tomadores de decisão" (GONÇALVES, 2011,
p.74).
[3] Mineração de dados é um processo altamente cooperativo entre homens e
máquinas, que visa a exploração de grandes banco de dados, com o objetivo
de extrair conhecimentos através do reconhecimento de padrões e
relacionamento de variáveis, conhecimentos esses que possam ser obtidos por
técnicas comprovadamente confiáveis e validados pela sua expressividade
estatística (CÔRTES; PORCARO; LIFSSHITZ , 2002).
[4] Para o aprofundamento desta temática, faz-se mister observar o presente
em: . Acesso em 24 mar. 2014.
[5] "Cookies são pequenos arquivos que são gravados em seu computador
quando você acessa sites na Internet e que são reenviados a estes mesmos
sites quando novamente visitados. São usados para manter informações sobre
você, como carrinho de compras, lista de produtos e preferências de
navegação. Um cookie pode ser temporário (de sessão), quando é apagado no
momento em que o navegador Web ou programa leitor de e-mail é fechado, ou
permanente (persistente), quando fica gravado no computador até expirar ou
ser apagado." Disponível em: < ".01AC]cef Š Œ,http://cartilha.cert.br/>.
Acesso em 24 mar. 2014.
[6] Fundado em 2006, WikiLeaks é uma organização que se dedica a publicar
documentos secretos revelando a má conduta de governos, empresas e
organizações (ASSANGE, 2013).
[7] Denunciante, informante (tradução livre).