a biblioteca 2.0 sob a Ótica da gestÃo da … · agradecer, devo também pedir desculpas pelos...
Post on 09-Feb-2019
220 Views
Preview:
TRANSCRIPT
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS
DEPARTAMENTO DE BIBLIOTECONOMIA CURSO DE GRADUAÇÃO EM BIBLIOTECONOMIA
Rayssa Lara Oliveira de Andrade
A BIBLIOTECA 2.0 SOB A ÓTICA DA GESTÃO DA
SEGURANÇA DA INFORMAÇÃO: um estudo de caso com a
Biblioteca Nacional de Brasília
Profª Orientadora: Dra. Andréa Vasconcelos Carvalho
NATAL- RN
2011
Rayssa Lara Oliveira de Andrade
A BIBLIOTECA 2.0 SOB A ÓTICA DA GESTÃO DA
SEGURANÇA DA INFORMAÇÃO: um estudo de caso com a
Biblioteca Nacional de Brasília
Monografia apresentada ao Curso de Biblioteconomia do Centro de Ciências Sociais Aplicadas da Universidade Federal do Rio Grande do Norte, sob a orientação da Profª Dra. Andréa Vasconcelos Carvalho, como requisito parcial para a conclusão do Curso.
NATAL- RN
2011
Andrade, Rayssa Lara Oliveira de. A Biblioteca 2.0 sob a ótica da Gestão da Segurança da
Informação: um estudo de caso com a Biblioteca Nacional de Brasília / Rayssa Lara Oliveira de Andrade . – Natal, 2011.
83f.
Orientadora: Andréa Vasconcelos Carvalho Monografia (Graduação em Biblioteconomia). - Centro de
Ciências Sociais Aplicadas – UFRN, 2011.
1. Biblioteca – Tecnologia da Informação. 2. Gestão da Segurança da Informação. 3. Web 2.0. 4. Biblioteca 2.0. 5. Biblioteca Nacional de Brasília. I. Título.
UFRN/CCSA/DEBIB CDU 027:004.056.52
Rayssa Lara Oliveira De Andrade
A BIBLIOTECA 2.0 SOB A ÓTICA DA GESTÃO DA SEGURANÇA DA
INFORMAÇÃO: um estudo de caso com a Biblioteca Nacional de Brasília
Monografia apresentada ao Curso de Biblioteconomia do Centro de Ciências Sociais Aplicadas da Universidade Federal do Rio Grande do Norte, sob a orientação da Profª Dra Andréa Vasconcelos Carvalho, como requisito parcial para a conclusão do Curso.
Aprovada em: ___/___/2011.
BANCA EXAMINADORA
_________________________________________ Profª Dra. Andréa Vasconcelos Carvalho
(Orientadora)
_________________________________________ Profª Dra. Eliane Ferreira da Silva
(Membro)
__________________________________________ Profª Msc. Mônica Marques Carvalho
(Membro)
Àqueles que eu amo com todo o meu coração, que torceram por mim e que me acalmaram...
AGRADECIMENTOS
Agradeço, em primeiro lugar, a Deusa Mãe e ao Deus Pai por me permitirem
chegar aonde cheguei, por me darem obstáculos ultrapassáveis, por terem me dado
força e garra para lutar pelos meus sonhos.
Agradeço a minha doce filha Amaya, por me ter feito virar mulher, por me ter
obrigado a amadurecer, por me ensinar a sentir um amor imensurável, por ser a
maior motivação que eu já tive, por ser a luz que me guia. A ela não devo só
agradecer, devo também pedir desculpas pelos tantos momentos ausentes
fisicamente ou mentalmente devido aos meus estudos. Desculpe-me minha filha...
um dia você entenderá que tudo o que faço é por você!
Agradeço aos meus pais Zélia e Renato por tentarem facilitar ao máximo o
meu caminho, por me darem aquilo que às vezes nem eles têm, por sentirem por
mim aquilo que só quem é pai e mãe pode sentir... Obrigada por tudo!
Agradeço às minhas irmãs Rayana, Rayda e Raquel por me ajudarem nos
momentos difíceis, por compartilharem as angústias e as alegrias, por estarem
sempre presentes.
Agradeço ao meu futuro esposo Ramon Pribaz por me esperar todo esse
tempo, por compreender os meus sonhos, por desejar a minha felicidade, por me
amar, me motivar, me fazer rir, e por me fazer ver que nada é tão ruim assim, por me
convencer que sou uma guerreira e por me fazer sentir uma vencedora.
Agradeço aos meus colegas de sala que compartilharam comigo as alegrias,
desesperos, discussões e tudo aquilo que uma grande família tem. Principalmente a
RANIERI, KRISHNA e LEANDRO, que foram aqueles com quem mais convivi e que
se tornaram queridos amigos.
Agradeço a todos os professores que me ensinaram ao longo da vida, que de
pouco em pouco, contribuíram para a minha formação.
Agradeço a todos os professores do Departamento de Biblioteconomia da
UFRN por todas as aulas, eventos e ensinamentos que só quem possui tamanho
conhecimento pode passar.
E agradeço, principalmente, a Professora Andréa Carvalho, por ter me
orientado, e por ter se mostrado sempre disposta a colaborar para a realização
deste e tantos outros trabalhos. Você é realmente um exemplo de professora...
“Quando pensares em desistir, lembre-se de tudo aquilo que te motivou a continuar até hoje.”
(Rayssa Andrade)
RESUMO
Analisa a Biblioteca 2.0 sob a ótica da Gestão da Segurança da Informação. Tem como objetivo geral analisar a atuação da Biblioteca Nacional de Brasília (BNB) nas ferramentas da Web 2.0 sob a perspectiva da Gestão da Segurança da Informação, e como objetivos específicos caracterizar os aspectos essenciais da Segurança da Informação; caracterizar a Biblioteca 2.0; identificar os principais riscos à Segurança da Informação no âmbito da Web 2.0 e identificar estratégias para evitar e/ou minimizar os riscos à Segurança da Informação na Web 2.0. Conceitua a informação e a sua importância no contexto organizacional. Descreve os objetivos da Segurança da Informação e sua aplicabilidade em bibliotecas através da Gestão da Segurança da Informação. Conceitua a Web 2.0, a Biblioteca 2.0, as ferramentas da Web 2.0 e a aplicabilidade das mesmas em bibliotecas. Caracteriza o Bibliotecário 2.0. Explica a aplicabilidade da Gestão da Segurança da Informação no contexto da Web 2.0. Analisa algumas ferramentas da Web 2.0 sob a ótica da Segurança da Informação. Demonstra a aplicabilidade da Política de Segurança da Informação para a Biblioteca 2.0. Utiliza como metodologia uma pesquisa exploratória descritiva e o estudo de caso através da aplicação de um questionário. Constata que a Biblioteca Nacional de Brasília está bem amparada em relação a questões técnicas e às ameaças externas, no que se refere aos vírus. Entretanto, em relação às questões de gestão, onde está implicado o fator humano, vê-se que a BNB necessita implantar procedimentos específicos. Palavras-chave: Gestão da Segurança da Informação. Web 2.0. Biblioteca 2.0. Biblioteca Nacional de Brasília.
ABSTRACT
Analyzes the Library 2.0 from the perspective of the Information Security Management. It aims at analyzing the performance of the National Library of Brasilia (BNB) in Web 2.0 tools from the perspective of the Information Security Management, and specific objectives to characterize the essential aspects of Information Security, characterize Library 2.0, identify the main risks to Information Security in Web 2.0 and identify strategies to prevent and/or minimize risks to Information Security in Web 2.0. Conceptualizes the information and its importance in the organizational context. Describes the goals of information security and its application in libraries across the Information Security Management. The concept of Web 2.0, Library 2.0, Web 2.0 tools and the applicability of these libraries. Librarian 2.0 features. Explains the applicability of the Management of Information Security in the context of Web 2.0. Examines some Web 2.0 tools from the perspective of information security. Demonstrates the applicability of the Information Security Policy for the Library 2.0. Methodology used as an exploratory and descriptive case study by applying a questionnaire. Notes that the National Library of Brasilia is well supported in relation to technical issues and external threats, with regard to viruses. However, in relation to management issues, where the human factor is involved, we see that the BNB to implant procedures. Keywords: Information Security Management. Web 2.0. Library 2.0. National Library of Brasilia.
LISTA DE ILUSTRAÇÕES
FIGURA 1- Prédio da Biblioteca Nacional de Brasília 64
FIGURA 2- Perfil oficial da BNB no Facebook 67
FIGURA 3- Perfil oficial da BNB no Twitter 67
FIGURA 4- Perfil oficial da BNB no You Tube 68
FIGURA 5- Subcomunidade Biblioteca Nacional – Brasília 69
FIGURA 6- Subcomunidade Biblioteca Nacional – SG 69
FIGURA 7- Subcomunidade Galera da Biblioteca Nacional 70
FIGURA 8- Subcomunidade Galera da BNB 70
LISTA DE ABREVIATURAS E SIGLAS
BNB
CAIS
CI
Dra.
Esp.
EUA
FBN
GSI
IP
MCT
MEC
MI
MinC
OPAC
Profº
PSI
RNP
RSS
SC/GDF
SG
SI
SMS
TI
TICs
URL
Biblioteca Nacional de Brasília
Centro de Atendimento a Incidentes de
Segurança
Ciência da Informação
Doutora
Especialista
Estados Unidos da América
Fundação Biblioteca Nacional
Gestão da Segurança da Informação
Internet Protocol
Ministério de Ciência e Tecnologia
Ministério da Educação
Mensagem Instantânea
Ministério da Cultura
Online Public Access Catalog
Professor (a)
Política de Segurança da Informação
Rede Nacional de Ensino e Pesquisa
Really Simple Syndication
Secretaria de Estado de Cultura do
Governo do Distrito Federal
Simulação de Governo
Segurança da Informação
Safety Management System
Tecnologia da Informação
Tecnologias da Informação e
Comunicação
Uniform Resource Locator
SUMÁRIO
1 INTRODUÇÃO ................................................................................................. 12
2 A SEGURANÇA DA INFORMAÇÃO ............................................................... 15
2.1 A Informação ................................................................................................. 15
2.2 A Segurança da Informação .......................................................................... 17
2.2.1 Integridade ............................................................................................... 19
2.2.2 Disponibilidade ........................................................................................ 20
2.2.3 Confidencialidade ..................................................................................... 21
3 A GESTÃO DA SEGURANÇA DA INFORMAÇÃO ......................................... 26
3.1 Ameaças ......................................................................................................... 26
3.2 Riscos ............................................................................................................ 28
3.3 Avaliação da Segurança ................................................................................. 29
3.4 O Fator Humano ............................................................................................. 31
3.5 Política de Segurança da Informação ............................................................. 34
3.5.1 Normas e padrões .................................................................................... 36
3.6 Gestão da Segurança da Informação ............................................................. 37
4 A BIBLIOTECA 2.0 ........................................................................................... 40
4.1 A Web 2.0 ....................................................................................................... 40
4.2 A Biblioteca 2.0 ............................................................................................... 42
4.3 Ferramentas .................................................................................................... 44
4.3.1 Blogs ......................................................................................................... 45
4.3.2 Twitter ....................................................................................................... 46
4.3.3 Redes Sociais ........................................................................................... 46
4.3.4 Flickr ......................................................................................................... 48
4.4 O Bibliotecário 2.0 .......................................................................................... 49
5 A GESTÃO DA SEGURANÇA DA INFORMAÇÃO NA BIBLIOTECA 2.0 ....... 52
5.1 A Gestão da Segurança no contexto Web 2.0 ................................................ 53
5.2 As Ferramentas da Web 2.0 sob a ótica da Segurança da Informação ......... 56
5.3 A Política de Segurança da Informação para a Biblioteca 2.0 ........................ 59
6 PROCEDIMENTOS METODOLÓGICOS ......................................................... 62
5.1 A Biblioteca Nacional de Brasília (BNB) .......................................................... 63
5.1.2 Caracterização do Informante ................................................................... 65
7 ESTUDO DE CASO: BIBLIOTECA NACIONAL DE BRASÍLIA ........................ 66
8 CONSIDERAÇÕES FINAIS ................................................................................ 74
REFERÊNCIAS ...................................................................................................... 76
APÊNDICE ............................................................................................................. 80
1 INTRODUÇÃO
A inserção da informática nas unidades de informação provocou profundas
mudanças no tocante à sua organização e ao seu funcionamento. Com o passar do
tempo, os tipos de tratamento dados aos diversos suportes de informação têm sido
revistos. Entretanto, essas mudanças só têm acontecido devido ao surgimento de
novas tecnologias, que inseridas nas bibliotecas, implicam diretamente em distintas
formas de tratamento, armazenamento e recuperação da informação, visando
sempre a um processamento integrado e eficiente.
Uma dessas novas tecnologias é a Web 2.0, que representa uma nova área
de expansão para as bibliotecas. Os benefícios, decorrentes do seu uso são
inúmeros, mas é possível destacar um novo tipo relacionamento entre biblioteca e
usuário. A Web 2.0 também trouxe novas possibilidades de atuação para o
profissional bibliotecário e um grande exemplo disso é o uso das ferramentas Web
2.0 pela biblioteca para disponibilizar serviços online aos seus usuários,
caracterizando, assim, a Biblioteca 2.0.
Muitos profissionais desconhecem essa nova vertente, principalmente no
tocante a sua atuação nesse novo contexto. Entretanto, o desconhecimento não
opera unicamente na atuação do bibliotecário para com os serviços oferecidos, mas
também no tocante à sua atuação na Web com base na segurança da informação.
Muitos especialistas têm apontado que a Web 2.0, através do uso das suas
ferramentas, oferece riscos à segurança organizacional. Esses riscos podem ter
origem em diversos tipos de ameaças, dentre elas é possível citar: falhas técnicas
de gerenciamento de rede, ataques de hackers, vírus, vazamentos de dados
confidenciais, opiniões de funcionários expostas na rede, comprometimento da
imagem, entre outras.
Inúmeros trabalhos estão sendo realizados a cerca dessa temática.
Entretanto, são poucos os trabalhos que direcionam a atuação de uma organização
na Web 2.0 com base na Segurança da Informação (SI). Ao perceber, então, essa
vertente ainda pouco explorada, o presente trabalho visa tratar a atuação de uma
organização na Web 2.0 com base na Gestão da Segurança da Informação.
A inspiração e o interesse por essa vertente da biblioteconomia surgiu após
as aulas das disciplinas: Redes e Serviços de Informação II, ministrada pela Profª.
Dra. Andréa Vasconcelos Carvalho, que trabalhou a Web 2.0, seus conceitos e
ferramentas bem como a sua aplicabilidade na biblioteconomia; e Segurança da
Informação, ministrada pelo Profº. Esp. Francisco de Assis Norberto Galdino de
Araújo, que trabalhou a importância da segurança da informação, seus conceitos e
objetivos, inclusive a sua aplicabilidade nas ferramentas da Web 2.0.
Com base nisso, o presente trabalho tem como objetivo geral analisar, desde
uma perspectiva da segurança da informação, a atuação de uma biblioteca na Web
2.0. E, como objetivos específicos, caracterizar os aspectos essenciais da
Segurança da Informação; caracterizar a Biblioteca 2.0; identificar os principais
riscos à Segurança da Informação no âmbito da Web 2.0 e identificar estratégias
para evitar e/ou minimizar os riscos à Segurança da Informação na Web 2.0.
Com o tema e os objetivos geral e específicos definidos, optou-se pela
pesquisa exploratória descritiva e o estudo de caso, que foi realizado através da
aplicação de um questionário (em apêndice). Este estudo de caso foi realizado com
a Biblioteca Nacional de Brasília (BNB), devido à sua importância no contexto
nacional e pela mesma estar também inserida no contexto da Web 2.0. O estudo
contou com pesquisa bibliográfica através de artigos, livros, periódicos, e fontes de
informação na Internet nas áreas da Biblioteconomia e da Ciência da Informação,
com o intuito de fundamentar teoricamente o tema abordado.
O trabalho é composto estruturalmente por oito capítulos. Após a introdução,
segue o capítulo sobre a Segurança da Informação, que aborda conceitos da
informação bem como a sua importância para a organização, conceitos sobre a
segurança da informação e os seus objetivos: a integridade, disponibilidade e
confidencialidade.
O capítulo três aborda os conceitos e aplicabilidade da Gestão da Segurança
da Informação, como também conceitos sobre: as ameaças, os riscos, a avaliação
da segurança, o fator humano, a política de segurança da informação, as normas e
padrões de segurança.
O capítulo quatro trata sobre a Biblioteca 2.0, onde são realizados um breve
histórico e conceito da Web 2.0, conceitos a cerca da Biblioteca 2.0, conceitos das
ferramentas da Web 2.0 dentre as quais serão brevemente conceituadas algumas
ferramentas, e, por fim, o Bibliotecário 2.0.
No capítulo cinco trata-se sobre a Gestão da segurança da Informação na
Biblioteca 2.0, onde são abordados: a Gestão da Segurança no contexto Web 2.0,
as ferramentas da Web 2.0 sob a ótica da Segurança da Informação e a Política de
Segurança da Informação para a Biblioteca 2.0.
No capítulo seis estão discriminados todos os procedimentos metodológicos
adotados para a realização da pesquisa, como a estrutura do instrumento de coleta
de dados, os procedimentos para sua aplicação, a caracterização do informante e
um breve histórico da Biblioteca Nacional de Brasília.
O capítulo sete contempla o estudo de caso realizado com a Biblioteca
Nacional de Brasília, através da análise dos dados que foram realizados com base
em todo o referencial teórico trabalhado para a elaboração dessa pesquisa, onde
estão contempladas também algumas sugestões de melhoria para a BNB.
No oitavo e último capítulo são feitas as considerações finais a cerca da
pesquisa realizada, uma análise dos resultados obtidos através dos objetivos
propostos e algumas indicações sobre a possibilidade de expansão e continuidade
mais aprofundada da pesquisa. Ao final, estão expostos as referências bibliográficas
e o apêndice.
2 A SEGURANÇA DA INFORMAÇÃO
2.1 A Informação
A informação sempre esteve e estará presente em toda a evolução histórica
da humanidade. “Nada na história econômica evoluiu tão depressa nem teve tanto
impacto quanto a revolução da informação” (DRUCKER, 2000, p. 3). Após a
Revolução Industrial e com a valorização da informação, as Tecnologias da
Informação (TI) desenvolveram-se consideravelmente, o que marcou época e
caracterizou a Sociedade da Informação.
Drucker (2000, p. 7) afirma que “a revolução da informação até agora – isto é,
desde os primeiros computadores, em meados da década de 1940 - apenas
transformou processos que já existiam”. Esses processos realizados outrora foram
tratados dinamicamente e otimizaram a rotina de trabalho. A revolução da
informação não só estimulou a concorrência de mercado como também acelerou o
tempo de resposta, reduziu custos e ofereceu outras perspectivas às organizações.
Hoje, a informação é considerada um recurso vital para qualquer organização,
e, como tal, deve ser adequadamente tratada e protegida. Conforme Potengy
(2010), “a informação tem um valor altamente significativo e pode representar
grande poder para quem a possui”. Para saber exatamente como se deve tratar a
informação, é necessário primeiramente entender o seu significado.
De acordo com Dudziak (2003, p. 23), existem muitos significados que
definem o termo informação, e devido a isso, os mesmos variam de acordo com a
área do conhecimento em que o termo está inserido. Assim sendo, tal abrangência
impulsiona diversas interpretações e, consequentemente, gera conceitos distintos.
Baseando-se então, na Ciência da Informação (CI), para Hashimoto (2009)1 a
informação é:
Uma visão pessoal sobre um conjunto de dados – as relações percebidas associam ao dado um significado próprio, na medida em que são específicas para cada indivíduo, pois dependem de suas
1 Documento eletrônico não paginado.
experiências anteriores, do que ele tem armazenado em sua memória e de sua capacidade de estabelecer essas relações. Assim, um mesmo conjunto de dados não gera a mesma informação para diferentes pessoas. Nos casos mais simples, envolvendo dados e relações menos complexas, as informações percebidas por diferentes pessoas poderão ser mais semelhantes. Quanto maior a complexidade da informação, mais ela dependerá do repertório anterior e da capacidade de cada indivíduo de estabelecer essas relações e, portanto, mais pessoal será.
Nesse conceito de Hashimoto, vê-se que a interpretação dos dados é
pessoal e “depende das capacidades de absorção e acúmulo, ou seja, da
experiência adquirida pela formação de origem e a aprendizagem ou a ação”
(JULIEN, 2010, p. 193).
Segundo Dudziak (2003, p. 24), “a informação é o conjunto de representações
mentais codificada e socialmente contextualizadas”. Esse termo representações
codificadas empregado por Elisabeth Dudziak, é denominado por diversos outros
autores como dados. Tal conceito pode ser comparado ao de Sêmola (2003, p. 45),
quando o mesmo caracteriza a informação como um “conjunto de dados utilizados
para a transferência de uma mensagem entre indivíduos”.
Já para Le Coadic (1997, p. 5), “a informação é um conhecimento2 inscrito
(gravado) sob a forma escrita (impressa ou numérica), oral ou audiovisual”. Por outro
lado, Setzer (1999, p. 2) conceitua a informação como “uma abstração informal [...]
que representa algo significativo para alguém através de textos, imagens, sons ou
animação”.
A informação é conceituada de diversas formas por diversos autores, mas ela
sempre é caracterizada como um recurso importante para qualquer organização. É
com esse foco que Beuren (2000, p. 43) afirma que “a informação é fundamental no
apoio às estratégias e processos de tomada de decisão, bem como no controle das
operações empresariais”. Devido a sua importância, Beal (2004, p. 22) ressalta que:
O desempenho de uma organização está condicionado à qualidade das ligações e relações entre as unidades organizacionais, e estas
2 Le Coadic conceitua em sua obra o conhecimento como ‘um saber’, que para ele seria o resultado do ato de
conhecer ou de formar idéia a cerca de alguma coisa.
por sua vez dependem da qualidade do fluxo informacional existente para proporcionar o intercâmbio de idéias e informações.
O fluxo informacional serve para o compartilhamento e distribuição de
informações dentro de uma organização. Tais informações devem receber um
tratamento adequado de acordo com a sua utilidade, finalidade e importância.
Entretanto, esse tratamento deve visar também à integridade, disponibilidade e
confidencialidade dessas informações.
Para entender melhor como tratar e proteger as informações em uma
organização, serão abordados no tópico a seguir os conceitos e aplicabilidade da
Segurança da Informação.
2.2 A Segurança da Informação
É através da informação que o conhecimento vem sendo passado de geração
a geração, contribuindo, assim, para o desenvolvimento da humanidade (FONTES,
2000). A informação também é um bem primordial para o desenvolvimento de uma
organização, e é por isso, que a mesma deve ser gerenciada, protegida, possuir
regras e políticas de utilização.
“Proteger a informação é uma obrigação de toda organização,
independentemente de seu tamanho” (FONTES, 2000, p. 25). Tal preocupação a
cerca da proteção do recurso informação advém de inúmeros fatores, dentre os
quais é possível destacar a sua valorização no mercado, que vem a interferir seja no
seu tratamento ou na sua disseminação.
Qualquer tratamento dado à informação deve ser realizado com bastante
atenção. Mas para isso, é necessário entender, primeiramente, a importância da
mesma para a organização para, a partir daí, estabelecer as ações adequadas
referentes ao gerenciamento e acesso à informação. Contudo, tais ações devem ser
realizadas visando a sua segurança, pois...
Diante desde mundo inseguro, competitivo e globalizado, a informação é considerada um ativo valioso que precisa ser protegido. Portanto, torna-se premente intensificar os cuidados com a
disponibilidade, com a integridade e com o sigilo relacionado às informações vitais. (SILVA, A.; SILVA, E., 2008, p. 33).
Com a valorização da informação no âmbito organizacional, vê-se a
necessidade de garantir que a mesma seja íntegra, que esteja disponível, mas que
apenas pessoas autorizadas tenham acesso a ela (COSMO et al., 2008, p. 62). Tais
princípios formam a base da Segurança da Informação (SI), que segundo Beal
(2005), pode ser conceituada como o processo de proteger informações, visando à
preservação de ativos de informação de possíveis ameaças, tendo como objetivos
fundamentais a integridade, a disponibilidade e a confidencialidade.
Para Silva et al. (2008, p. 11), a SI é dotada de “normas, procedimentos e
orientações com a finalidade de assegurar confidencialidade, integridade e
disponibilidade da informação gerada em qualquer ambiente”. Por outro lado,
Sêmola (2003, p. 43) conceitua a SI como “uma área do conhecimento dedicada à
proteção de ativos de informação contra acessos não autorizados, alterações
indevidas ou sua indisponibilidade”. Esses ativos de informação, ainda segundo
Sêmola (2003, p. 45), são o meio em que a informação é armazenada e os
equipamentos em que ela é manuseada, transportada e descartada.
Como visto, a maioria dos conceitos relacionados à Segurança da Informação
aponta a integridade, disponibilidade e confidencialidade como objetivos principais
da SI. Porém, Santos, Silva e Gouvêa (2010) acrescentam ainda a autenticidade e a
privacidade como sendo parte dos objetivos da Segurança da Informação.
Ao se analisar o termo privacidade, vê-se que a mesma pode ser incorporada
aos objetivos de disponibilidade e confidencialidade, uma vez que possuem
significados semelhantes e têm a mesma finalidade. Já no tocante à autenticidade...
normalmente, o termo [...] é utilizado no contexto da certificação digital, onde recursos de criptografia e hash3 são utilizados para atribuir um rótulo de identificação às mensagens [...] visando garantir os princípios/aspectos de: irretratabilidade, identidade, autenticidade, autoria, originalidade, integridade e confidencialidade. (SÊMOLA, 2003, p. 46).
3 Hash é uma sequência de caracteres (letras ou números) gerada por um algoritmo de dispersão que transforma uma (possível) grande quantidade de dados em uma pequena quantidade. O hash serve também para facilitar a identificação de um usuário (PEREIRA, 2009).
Tal afirmação permite incorporar a autenticidade ao objetivo de integridade e
no que se refere, ainda, à autenticidade, Beal (2005, p. 2) explica que:
O objetivo de autenticidade da informação é englobado pelo de integridade, quando se assume que este visa a garantir não só que as informações permaneçam completas e precisas, mas também que a informação capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuída unicamente ao seu autor legítimo.
Fontes (2000, p. 21) aponta ainda como outro objetivo da Segurança da
Informação a legalidade, por determinar o acesso à informação de acordo com as
leis aplicáveis, regulamentos, licenças e contratos para o negócio, bem como com
os princípios éticos que devem ser seguidos pela organização. Porém, para Beal
(2005, p. 2), a legalidade é parte integrante dos três objetivos da Segurança da
Informação, podendo então, ser atribuída a qualquer um deles de acordo com o
contexto a ser tratado. E para Sêmola (2003, p. 9), a autenticidade e a legalidade da
informação são apenas aspectos associados aos objetivos principais da Segurança
da Informação.
Com esses esclarecimentos de Beal (2005) e Sêmola (2003), pode-se
entender que em cada um dos objetivos principais, existem subdivisões que os
complementam e servem de base para a obtenção do objetivo maior, ou seja, a
privacidade, a irretratabilidade, a identidade, a autenticidade, a autoria, a
originalidade e a legalidade, podem ser consideradas os objetivos específicos de
cada objetivo principal da Segurança da Informação.
Apesar de algumas divergências de delimitação em relação aos objetivos da
SI, os principais autores da área citam a integridade, disponibilidade e
confidencialidade como sendo os seus objetivos principais. E para compreender
melhor tais objetivos, os mesmos serão conceituados nos subtópicos a seguir.
2.2.1 Integridade
A integridade, segundo Beal (2005, p. 1) pode ser considerada como a
“garantia da criação legítima e da consistência da informação ao longo do seu ciclo
de vida, em especial, prevenção contra criação, alteração ou destruição não
autorizada de dados e informações”. Por outro lado, a integridade também “envolve
a manutenção da informação na forma originalmente produzida pelo autor, ou a
garantia de não-alteração indevida de conteúdo” (SILVA et al., 2008, p. 19).
Assim, percebe-se que a Integridade “evita que dados sejam apagados, ou de
alguma forma alterados, sem a permissão do proprietário da informação” (SILVA, A.;
SILVA, E., 2008, p. 39), e “previne a modificação não autorizada das informações”
(SANTOS; SILVA; GOUVÊA, 2010). Para Fontes (2000, p. 21), a integridade visa
ainda garantir que a informação venha a ser “correta, ser verdadeira e não estar
corrompida”.
No âmbito organizacional, a integridade deve ser considerada uma questão
muito importante para o seu desenvolvimento. A organização não deve se preocupar
só com a integridade das informações que coleta, mas também com o tratamento
que dá às mesmas, pois o tratamento indevido pode alterá-las e até destruí-las,
principalmente no ambiente eletrônico. Além disso, é necessário também, que a
organização se preocupe em disponibilizar informações que sejam verdadeiras e
que não tenham sido alteradas indevidamente.
2.2.2 Disponibilidade
A disponibilidade é “a qualidade indicativa de que a informação pode ser
recuperada no momento em que for necessária” (SILVA et al., 2008, p. 18). Ou
ainda, conforme Beal (2005, p. 1), a “garantia de que a informação e os ativos
associados estejam disponíveis para os usuários legítimos de forma oportuna”.
Esse objetivo é de extrema importância para uma organização, pois “a
disponibilidade dá apoio à construção de um acesso confiável e disponível as
informações” (SANTOS; SILVA; GOUVÊA, 2010). De acordo com Fontes (2000, p.
23) “uma indisponibilidade no uso da informação acarreta prejuízos financeiros,
perda de mercado e desgaste na imagem institucional”.
Atualmente a informação é um fator crítico para a realização dos negócios de praticamente todas as empresas. Uma indisponibilidade [...] acarreta prejuízos e, dependendo do tipo do negócio, podem tirar a empresa do mercado, levando-a até a falência. (FONTES, 2000, p. 33).
Mesmo sendo de extrema importância para qualquer organização, a
disponibilidade de informações pode ocasionar muitos problemas, principalmente no
que se refere à confidencialidade. Muitas vezes, informações que deveriam ser
sigilosas, estão acessíveis indevidamente, podendo acarretar, assim, inúmeros
prejuízos a organização.
Qualquer organização que vise dar continuidade aos seus negócios deve
garantir a confidencialidade de suas informações. Pois é através da
confidencialidade que se garante “que somente as pessoas devidamente
autorizadas conseguem ter acesso à informação” (SILVA et al., 2008, p. 19).
2.2.3 Confidencialidade
Segundo Beal (2005, p. 1), a confidencialidade visa a garantir que o acesso à
informação seja restrito aos seus usuários legítimos. Já para Santos, Silva e Gouvêa
(2010), a confidencialidade oferece “suporte à prevenção de revelação não
autorizada de informações [...] a usuários não autorizados e desconhecidos”. Ou
seja, a confidencialidade “protege as informações contra o acesso de qualquer
pessoa não explicitamente autorizada pelo gestor da informação” (SILVA, A.; SILVA,
E., 2008, p. 39).
Os objetivos da Segurança da Informação têm como finalidade, sobretudo,
proteger os ativos de informação de uma organização contra a divulgação ou a
utilização de má fé por pessoas não autorizadas. E é por isso que “a informação
deve ser tratada adequadamente para que seja acessada e utilizada exclusivamente
pelos usuários autorizados” (FONTES, 2000, p. 21).
Problemas relacionados à confidencialidade da informação podem acarretar
inúmeros prejuízos a uma organização. Segundo Fontes (2000, p. 33), atualmente,
sabe-se que “fraudes eletrônicas, vingança de funcionários, acessos não
autorizados, quebra de confidencialidade da informação, desastres e erros são
ocorrências cada vez mais freqüentes nas empresas brasileiras.
Esses problemas são apenas alguns dos inúmeros casos que vêm ocorrendo
nas organizações de pequeno, médio e grande porte. Muitos desses problemas
acontecem devido à falta de preocupação com a Segurança da Informação. De
acordo com Fontes (2000, p. 34), “tudo isto é muito novo, principalmente no Brasil.
Muitas vezes o processo de segurança da informação não está bem esclarecido”.
Devido ao acontecimento contínuo de tais fatos, Fontes (2000) sugere a
auditabilidade dos acessos e uso da informação, que tem como objetivo registrar
cada acesso e uso da informação por parte dos seus usuários, possibilitando, assim,
o uso posterior desses registros em procedimentos de auditoria.
Da mesma forma que o recurso financeiro possui controles, métodos, responsáveis e auditorias, o recurso informação também precisa de um processo contínuo que controle os acessos dos usuários, descreva regras de utilização, estabeleça responsáveis e que possa ter todos estes procedimentos auditados. (FONTES, 2000, p. 34).
Grande parte das organizações não realiza auditorias referentes à usabilidade
da informação. É focando nessa necessidade que Fontes (2000, p. 34) reforça que
“a liberação de um acesso à informação deve ter controles equivalentes a um
repasse financeiro na empresa: pedido explícito, responsáveis, registro e
autorização da diretoria”.
Já em relação aos objetivos da SI, é necessário ressaltar que cada um deles
tem sua especificidade, mas que um é complementar ao outro, sendo, portanto,
indissociáveis. Ou seja, para a usabilidade de uma informação é importante que ela
seja íntegra (integridade) e que esteja acessível (disponibilidade) às pessoas
devidamente autorizadas (confidencialidade).
Os objetivos da Segurança da Informação devem ser incorporados em todos
os setores de uma organização, e cada um deles deve ter conhecimento do seu
fluxo informacional para poder dar o devido tratamento às informações. Mas antes
disso, é necessário conhecer as etapas do ciclo de vida da informação, que
conforme Beal (2005, p. 5) são: identificação das necessidades e dos requisitos,
obtenção, tratamento, distribuição, uso, armazenamento e descarte. Os princípios da
Segurança da Informação são pontos de referência para a análise e o tratamento
dado à informação em cada uma dessas etapas.
A primeira etapa é a identificação das necessidades e dos requisitos de
informação dos grupos e indivíduos internos e externos que integram a organização.
Nessa etapa é importante obter informações verídicas (integridade) para poder dar
continuidade às etapas seguintes e atingir os objetivos da organização (BEAL, 2005,
p. 5).
Na obtenção “são desenvolvidas as atividades de criação, recepção ou
captura de informação, proveniente de fonte externa ou interna, em qualquer mídia
ou formato”. “Uma preocupação típica da etapa de obtenção diz respeito à
integridade da informação: é preciso garantir que a informação é genuína, [...] livre
de adulteração” (BEAL, 2005, p. 5).
Conforme Beal (2005, p. 6), na etapa do tratamento é comum a informação
passar por processos de organização, formatação, estruturação, classificação,
análise, síntese, apresentação e reprodução. Tais processos têm o propósito de
tornar a informação mais acessível, organizada e fácil de ser localizada pelos
usuários.
Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras. (BEAL, 2005, p. 6).
A etapa de distribuição da informação é responsável por encaminhar as
informações àqueles que dela necessitam. “É necessário considerar, nesta etapa, os
diversos objetivos de segurança da comunicação” (BEAL, 2005, p. 6). Pois,
conforme Le Coadic (1997, p. 13), “a comunicação é [...] o processo intermediário
que permite a troca de informações entre as pessoas”.
A segurança da comunicação visa a proteger a informação que trafega de um ponto a outro, com o objetivo de preservar: integridade do conteúdo, irretratabilidade da comunicação, autenticidade do emissor e do receptor, confidencialidade do conteúdo, capacidade de recuperação do conteúdo pelo receptor. (BEAL, 2005, p. 2).
A comunicação é um dos fatores mais importantes para a integridade,
disponibilidade e confidencialidade da informação. “Quando um usuário utiliza ou
envia uma informação, deve-se garantir que ele não possa negar sua
responsabilidade pelo uso ou envio da mesma” (FONTES, 2000, p. 22).
O uso é a etapa mais importante de todo o processo de gestão da
informação. “Na etapa de uso, os objetivos de integridade e disponibilidade devem
receber atenção especial” (BEAL, 2005, p. 6), pois nessa etapa devem ser
considerados requisitos de confidencialidade, para restringir o acesso e o uso de
dados e informações às pessoas devidamente autorizadas.
Na etapa do armazenamento existe a necessidade de “assegurar a
conservação dos dados e informações para permitir seu uso e reuso dentro da
organização” (BEAL, 2005, p. 6). Nesta etapa, os objetivos de integridade e
disponibilidade dos dados e informações armazenados adquirem maior destaque por
causa das dificuldades de conservação devido aos avanços e a variedade de mídias
eletrônicas que influem na recuperação da informação.
Quando uma informação torna-se obsoleta ou perde a utilidade para a
organização, ela deve ser objeto de processos de descarte que, por sua vez,
obedeçam às normas legais, políticas operacionais e exigências internas da
organização. “Entretanto, o descarte de dados e informações precisa ser realizado
dentro de condições de segurança, principalmente no que tange ao aspecto da
confidencialidade, e, em menor grau, também de disponibilidade” (BEAL, 2005, p. 7).
Como visto, a Segurança da Informação pode ser aplicada em todo o ciclo da
informação e, consequentemente, no fluxo informacional de qualquer organização.
Mas, para ser efetivo, o processo de segurança precisa de continuidade, apoio da
direção, conscientização e disponibilidade de recursos: dinheiro, tempo, pessoas,
procedimentos entre outros (FONTES, 2000).
Infelizmente a maioria das organizações no Brasil não despertaram para a necessidade de proteger suas informações. Muitas afirmam que o assunto é importante. Porém, a declaração fica muito distante de ações práticas que permitam uma efetiva proteção do recurso informação. (FONTES, 2000, p. 23)
Para Fontes (2000, p. 25), “um processo de segurança é muito mais do que
um produto. Exige planejamento, estruturação e comprometimento dos usuários”. E
é devido a essas exigências que muitas organizações não investem em SI, pois a
implantação das mesmas gera um custo.
Partindo disso, Fontes (2000, p. 24) afirma que “não existe milagre que crie
uma proteção da informação sem se gastar dinheiro e recursos”. E esclarece ainda
que, evidentemente, “os volumes a serem aplicados em segurança da informação
devem ser compatíveis com as características e o porte da organização” (FONTES,
2000, p. 24).
A informação é difícil de ser protegida. “Quem a utiliza não pode impedir os
outros de fazê-lo” (JULIEN, 2010, p. 193), mas pode e deve gerenciá-la visando a
sua melhor utilização e tratamento seguindo os princípios e objetivos da Segurança
da Informação, e a partir daí, dar continuidade aos negócios da organização.
Para compreender como utilizar e implantar as práticas da Segurança da
Informação em uma organização será abordada no capítulo a seguir a Gestão da
Segurança da Informação.
3 A GESTÃO DA SEGURANÇA DA INFORMAÇÃO
“A informação constitui uma mercadoria de suma importância para as
organizações dos diversos segmentos, por isso a Segurança da Informação tem sido
uma questão de elevada prioridade nas organizações e no mundo” (SANTOS;
SILVA; GOUVÊA, 2010). A inserção da SI em um ambiente organizacional é
imprescindível para a continuidade do negócio, mas para isso é necessário,
inicialmente, gerenciar ações que permitam a sua implementação.
Esse gerenciamento consiste em uma análise da segurança dos ativos de
informação da organização com base nos objetivos da SI (integridade,
disponibilidade e confidencialidade) para a implementação de controles e medidas
de segurança.
Contudo, é primordial que a organização conheça a sua estrutura, visando
identificar nela os ativos de informação e as suas vulnerabilidades para aplicar,
assim, as medidas de proteção mais adequadas. Essas vulnerabilidades, segundo
Sêmola (2003, p. 48), são a “fragilidade presente ou associada a ativos que
manipulam e/ou processam informações que, ao ser explorada por ameaças,
permite a ocorrência de um incidente de segurança”.
3.1 Ameaças
A ameaça, segundo Fontes (2000), é a ação de uma pessoa, situação ou
fenômeno que seja considerado um perigo para a disponibilidade do recurso
informação, bem como para a sua integridade e confidencialidade. Ela tem como
origem:
agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. (SÊMOLA, 2003, p. 47).
As organizações, a cada dia, estão mais suscetíveis a ameaças, sobretudo no
que se refere aos seus ativos de informação. Por variarem conforme a sua origem,
as ameaças são classificadas como físicas, internas e externas por Silva, A. e Silva,
E. (2008); como naturais, involuntárias e voluntárias por Sêmola (2003), e ainda
como ambientais, técnicas, lógicas e humanas por Beal (2005).
Apesar das ameaças terem sido classificadas pelos autores de diferentes
maneiras, todas essas classificações se complementam e se referem às mesmas
origens. Entretanto serão utilizadas como base para as classificações, aquelas
sugeridas por Silva, A. e Silva, E. (2008), por especificarem e englobarem melhor as
classificações feitas pelos outros autores.
As ameaças físicas, naturais e ambientais são aquelas “decorrentes de
fenômenos da natureza, como incêndios naturais, enchentes, terremotos,
tempestades eletromagnéticas, maremotos, aquecimento, poluição etc” (SÊMOLA,
2003, p. 47). Estes acontecimentos têm uma probabilidade de ocorrência muito
baixa, porém, se vierem a ocorrer, as organizações poderão sofrer sérios problemas
no tocante à disponibilidade da informação.
As ameaças internas, de acordo com Silva, A. e Silva, E. (2008) são
provenientes de ações involuntárias e voluntárias realizadas por funcionários de uma
organização. As involuntárias são ameaças inconscientes, quase sempre causadas
pelo desconhecimento ou ainda por acidentes, erros, e até mesmo falta de energia.
Enquanto que as ameaças voluntárias são aquelas “propositais causadas por
agentes humanos como hackers, invasores, espiões, ladrões, criadores e
disseminadores de vírus de computadores” (SÊMOLA, 2003, p. 48).
As ameaças involuntárias e voluntárias podem ser incorporadas às ameaças
internas, uma vez que, ambas ocorrem dentro do ambiente organizacional. Nesse
caso as ameaças humanas (erro de operação, fraude e sabotagem) também podem
ser incorporadas devido ao fato dessas ações terem a possibilidade de serem
causadas também por funcionários. Nessa classificação também é possível englobar
as ameaças técnicas, que segundo Beal (2005) são referentes a problemas de
configurações de sistemas.
No âmbito das ameaças externas, as ameaças humanas também podem ser
incorporadas, uma vez que, são as pessoas que exploram as vulnerabilidades dos
sistemas de informação comprometendo, assim, a segurança dos mesmos (SILVA,
A.; SILVA, E., 2008, p. 38). Às ameaças externas ainda podem ser incorporadas as
ameaças lógicas (códigos maliciosos e/ou invasão de sistemas).
Após identificar, analisar e classificar as ameaças é necessário compreender
quais são os riscos aos quais a organização está exposta e qual a probabilidade
e/ou freqüência da ocorrência dos mesmos. Assim sendo, os riscos serão abordados
no tópico a seguir.
3.2 Riscos
O risco, segundo Fontes (2000, p. 143), “é a chance (probabilidade) de uma
ameaça se transformar em realidade, causando problemas à organização”. Ou
ainda, a “probabilidade de ameaças explorarem vulnerabilidades, provocando
perdas de confidencialidade, integridade e disponibilidade, causando,
possivelmente, impactos nos negócios” (SÊMOLA, 2003, p. 50).
Tendo em vista a complexidade e o alto custo de manter os ativos de
informação a salvo de ameaças, é importante que na organização haja uma gestão
baseada nos riscos (BEAL, 2005). Segundo Fontes (2000, p. 100), é necessário
ainda que a organização ou a área organizacional em questão defina quais são os
seus objetivos, para que possa, assim, identificar os riscos que afetam diretamente
na concretização desses objetivos e quais os impactos deles provenientes.
A análise de riscos é, então, um processo fundamental na organização e tem
sua importância maior na construção de medidas de controle e prevenção de riscos.
Pois, com as possíveis ameaças e riscos identificados, é possível identificar também
as causas bem como os efeitos e suas consequências.
Partindo desse ponto, é possível definir também a responsabilidade de
controle, e, por conseguinte, a tomada de providências contra os danos sofridos e a
elaboração de métodos preventivos para possíveis problemas futuros em tempo
hábil (SANTOS; SILVA; GOUVÊA, 2010).
O objetivo geral da análise de riscos é “a recuperação de danos, garantindo a
proteção dos ativos frente a determinadas ameaças” (SANTOS; SILVA; GOUVÊA,
2010). É através dessa análise que a organização também pode prever e minimizar
a concretização das ameaças, e consequentemente, reduzir os impactos delas
decorrentes.
São as práticas, os procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades, a redução de vulnerabilidades, a limitação do impacto ou minimização do risco de qualquer outra forma. (SÊMOLA, 2003, p. 49).
Os riscos, de acordo com Fontes (2000, p. 100), “devem ser analisados sob a
probabilidade de sua ocorrência”, por isso essa análise deve ser realizada
quantitativa e qualitativamente. A análise quantitativa, segundo Sêmola (2003, p.
109), é “orientada a mensurar os impactos financeiros provocados por uma situação
de quebra de segurança a partir da valorização dos próprios ativos” e a qualitativa é
“orientada por critérios que permitem estimar os impactos ao negócio provocados
pela exploração de uma vulnerabilidade por parte de uma ameaça”.
Após a identificação de todas as necessidades de proteção e as medidas
para saná-las ou reduzi-las, deve ser realizada a avaliação da segurança. Para
compreender os objetivos desse procedimento e a importância do mesmo para a
manutenção da segurança dos ativos de informação da organização, será abordado
tal assunto no tópico a seguir.
3.3 Avaliação da Segurança
A avaliação de segurança abrange os testes de conformidade, a eficácia dos
controles e uma revisão periódica dos resultados alcançados (BEAL, 2005, p. 40).
Com a realização de tais procedimentos e, juntamente, com as falhas de segurança
devidamente mapeadas, é possível promover os ajustes necessários aos controles,
bem como substituir aqueles que tenham se mostrado pouco eficazes.
A proteção efetiva dos ativos de informação exige uma atenção constante para as rápidas mudanças que ocorrem em relação a ameaças externas e internas, e a etapa de avaliação da segurança permite confirmar se os controles existentes permanecem adequados e suficientes. (BEAL, 2005, p. 40).
Segundo Fontes (2000, p. 41), essa avaliação deve sempre envolver os três
objetivos da SI, não importando qual seja o ativo de informação. Entretanto, para
isso, é necessário ser feito um diagnóstico periodicamente para informar como está
o nível de proteção da informação de cada um dos aspectos analisados. Essa
avaliação visa recalcular as estimativas do risco sempre que seja constatada alguma
mudança organizacional que influencie diretamente na segurança dos ativos de
informação (BEAL, 2005, p. 29).
Mas para que as ocorrências de riscos sejam, significativamente, reduzidas
ou inibidas são necessárias as aplicações de medidas de proteção e controle. Essas
medidas são classificadas por Beal (2005) e Fontes (2000), como preventivas,
corretivas, reativas, detectivas, de contenção, de desmotivação, e de continuidade
de controle.
Porém, é importante estar atento durante a aplicação dessas medidas para
que não ocorra redução ou interrupção dos serviços. Contudo, é necessário também
que essas medidas possuam um grau de eficácia, pois “quanto mais eficazes forem,
maior o poder de minimização do risco” (FONTES, 2000, p. 101).
A todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são alvo de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essa possibilidade aparece, a quebra de segurança é consumada. (SÊMOLA, 2003, p. 18).
Para evitar a quebra de segurança existem inúmeras medidas a serem
tomadas, mas para que sejam eficazes elas devem possuir elementos conhecidos
como barreiras de segurança. Essas barreiras visam desencorajar, dificultar,
discriminar, detectar, deter e diagnosticar uma possível ameaça.
É importante que a organização use essas barreiras para reduzir a
probabilidade de riscos e a concretização de ameaças. Para desencorajar uma
quebra de segurança, Sêmola (2003, p. 53), afirma que a organização pode adotar
diversas medidas, dentre elas, “campanhas de divulgação da política de segurança
ou treinamento dos funcionários informando as práticas de auditoria e
monitoramento de acesso aos sistemas”.
Para dificultar o acesso indevido, a organização deve complementar a
barreira anterior. Nesse caso, é possível usar dispositivos de autenticação e/ou
leitores de cartão magnético para o acesso físico, como também senhas para
acessos aos sistemas de informação, dentre outros. Já para discriminar as
atividades realizadas pelos usuários, a organização deve identificar e gerir as
autorizações e monitorar e estabelecer limites de acesso (SÊMOLA, 2003).
Para complementar as etapas antecessoras, é importante que a organização
tenha condições de detectar acessos indevidos. Para detectar as ameaças, é
necessário que a organização tenha “dispositivos que sinalizem, alertem e
instrumentem os gestores da segurança na detecção de situações de risco”
(SÊMOLA, 2003, p. 54). Tais dispositivos podem ser um antivírus de computador ou
até mesmo um sistema de detecção de intrusos.
Quando as barreiras anteriores não são eficazes, é necessário deter a
ameaça para que a mesma não atinja os ativos de informação da organização.
Sêmola (2003, p. 54) sugere que haja neste momento, “medidas de detenção, como
ações administrativas, punitivas e bloqueio de acessos físicos e lógicos,
respectivamente a ambientes e sistemas”.
Diagnosticar é a última barreira de segurança, mas representa a continuidade
de todo o processo de gestão de segurança da informação. De acordo com Sêmola
(2003, p. 54), essa é a barreira de maior importância porque deve ser conduzida por
“atividades de análise de riscos que considerem tanto os aspectos tecnológicos
quanto os físicos e humanos, sempre orientados às características e às
necessidades específicas dos processos de negócio da empresa”.
Mas mesmo com a aplicabilidade de todas essas barreiras, não existe nada
que garanta a sua eficácia, pois “diferente do que muitos pensam, não existe
segurança total” (SÊMOLA, 2003, p. 16). Além disso, grande parte das ameaças é
proveniente de ações humanas, sejam elas de dentro ou de fora da organização.
Assim sendo, é importante analisar como se dá a atuação do fator humano no
processo de segurança em uma organização.
3.4 O Fator Humano
“Muitas empresas investem bastante nas melhores tecnologias de segurança
e esquecem de focalizar o elo mais fraco na Segurança da Informação: o fator
humano” (SILVA et al., 2008, p. 31). Segundo Sêmola (2003), os recursos humanos
são considerados o elo mais frágil por serem responsáveis por uma ou mais fases
do processo de segurança da informação em uma organização.
“A visão corporativa da segurança da informação deve ser comparada a uma
corrente, em que o elo mais fraco determina seu grau de resistência e proteção”
(SÊMOLA, 2003, p. 40). Sendo, então, o fator humano o elo mais fraco, seria ele
também a parte da corrente mais susceptível à concretização de ameaças, o que o
torna um dos principais riscos da organização.
Segundo Santos, Silva e Gouvêa (2010), cerca de 70% dos incidentes de
segurança em uma organização são causados por falha humana. Embora as mídias
concedam maior atenção aos ataques causados por hackers4, estudos demonstram
que “grande parte dos incidentes de segurança é provocada por integrantes da
própria organização, sejam eles acidentais [...] ou intencionais” (BEAL, 2005, p. 71).
A falta de treinamento e capacitação dos operadores é um dos principais
fatores que influenciam em incidentes de segurança causados acidentalmente.
Segundo Fontes (2000, p. 79), “todos os que usam a informação [...] devem ter
conhecimento das regras, das suas responsabilidades e dos cuidados que devem
ter quando a manuseiam”. Assim sendo, grande parte desses incidentes poderiam
ter sido evitados, pois com os operadores treinados e capacitados, dificilmente
ocorreriam incidentes de segurança involuntariamente.
Alguns especialistas em segurança assinalam ainda o descontentamento, a
desmotivação e/ou a opressão como fatores que criam um ambiente propício para a
ocorrência de falhas e atitudes irregulares por parte dos funcionários (SANTOS;
SILVA; GOUVÊA, 2010). O uso de credenciais alheias é também mais um destes
4 Muitos autores usam o termo hacker para designar as pessoas que utilizam as suas habilidades com o computador para realizar ataques mal intencionados, porém segundo Silva et al. (2008), o termo mais adequado para designar tais pessoas seria cracker.
fatores, pois as credenciais servem para a identificação do usuário, que se dá
através de uma senha5.
Ao acessar um sistema de informação com uma determinada senha e
existindo o pressuposto de que uma única pessoa sabe a respectiva senha, fica
determinada a responsabilidade pessoal. Entretanto, “se a senha é conhecida por
um grupo de pessoas, a responsabilidade individual diminui consideravelmente”
(SILVA et al., 2008, p. 23).
A recusa na prestação de informações sobre a senha pessoal e outras informações privilegiadas a quem quer que seja (incluindo colegas de trabalho), o bloqueio da visão de terceiros do teclado quando da digitação da senha e a confirmação da procedência de mensagens suspeitas antes da realização de qualquer ação solicitada por e-mail são orientações que devem constar dos programas de treinamento e conscientização dos usuários. (BEAL, 2005, p. 78).
As senhas servem para ter autorização e acessibilidade a qualquer ativo de
informação, e devido ao seu formato eletrônico ela é predisposta a riscos no tocante
aos três objetivos da Segurança da Informação: a disponibilidade, integridade e
confidencialidade. Para que não haja nenhum problema referente a esses objetivos,
“as senhas devem ser trocadas frequentemente, quando solicitado ou quando
comprometida” (SILVA et al., 2008, p. 28).
“Um outro cuidado fundamental é com a engenharia social, entendida como
uma técnica que consiste na manipulação das ações de uma determinada pessoa,
explorando-a sem que ela perceba” (COSMO et al., 2008, p. 69). Ou seja, o
engenheiro social, geralmente, manipula as pessoas de acordo com o seu interesse
para conseguir informações sem que as mesmas percebam a sua intenção, por se
tratar de uma pessoa simpática, envolvente e prestativa.
Um aspecto de grande importância e muitas vezes negligenciado na segurança da informação é a proteção contra ataques de engenharia social. Hackers e outros tipos de pessoa mal-intencionada podem valer-se da ingenuidade ou ignorância de usuários para obter informações confidenciais, como senhas, tipos de equipamento de
5 “A senha é uma cadeia de caracteres a serem digitados que autoriza o acesso a um conjunto de operações em um sistema de computadores ou em equipamentos computadorizados”. (SILVA et al., 2008, p. 26).
segurança utilizados ou dados que podem comprometer a segurança da organização. (BEAL, 2005, p. 78).
Para evitar esse tipo de ocorrência é necessária não só a conscientização dos
usuários, mas também medidas de controle que impeçam acessos não autorizados
aos ativos de informação. Para isso, é necessário deixar claro quem não deve ter
acesso a esses ativos, pois essa não é uma questão de honestidade e sim “uma
questão de tratar o recurso da informação de maneira profissional” (FONTES, 2000,
p. 24).
Segundo Beal (2005, p. 71), “as pessoas são, acertadamente, consideradas o
‘elo frágil’ da segurança da informação”. Essa afirmação é confirmada por Cosmo et
al. (2008, p. 69), quando a mesma diz que “qualquer segurança, por mais rígida e
sofisticada, pode ser derrubada pela má utilização de uma única pessoa que faz
parte da organização”. Com base nessas afirmações, fica claro que, em uma
organização, não adianta unicamente implantar os melhores sistemas ou os
melhores dispositivos de segurança, a organização deve, principalmente, investir em
política e gestão centradas nas pessoas.
Devido a esses inúmeros fatores que influem diretamente na segurança dos
ativos de informação, é imprescindível a criação de uma política de segurança para
a implementação da Gestão da Segurança da Informação em uma organização.
3.5 Política de Segurança da Informação
A Política de Segurança da Informação (PSI), conforme Beal (2005, p. 43), é
o “documento que registra os princípios e as diretrizes de segurança adotados [...] a
serem observados por todos os seus integrantes e colaboradores e aplicados a
todos os sistemas de informação e processos corporativos”. Por outro lado, a PSI é
um conjunto de “regras estabelecidas pela organização que objetivam as melhores
práticas para o manuseio, armazenamento, transporte e descarte das informações”
(COSMO et al., 2008, p. 64).
Qualquer organização, independentemente, do seu porte, deve ter uma
Política de Segurança da Informação, pois é através dela que os funcionários se
baseiam para o cumprimento de suas atividades de acordo com os princípios da
organização.
A PSI estabelece as linhas-mestras a serem seguidas na implementação da segurança da informação, formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação. Por meio dela a direção da organização demonstra seu comprometimento com a proteção da informação, e cria a base para a colaboração de todos os integrantes com os processos de identificação e tratamento dos riscos. (BEAL, 2005, p. 43).
A PSI deve expressar o pensamento da empresa e ser coerente com as
ações da organização ao definir as regras estruturais e os controles básicos para o
acesso e uso da informação. Segundo Sêmola (2003, p. 105), a PSI deve ser
personalizada, pois ela “estabelece padrões, responsabilidades e critérios [...] dentro
do nível de segurança estabelecido sob medida pela e para a empresa”.
Para Cosmo et al. (2008, p. 65), é através da implementação da PSI que a
organização “desenvolve princípios e normas que objetivam a conscientização da
importância da informação, fundamentais para o melhor funcionamento do ambiente
de trabalho”. Porém, para que a política seja bem-sucedida, é necessário que a
mesma se adapte sempre às possíveis alterações que ocorram na organização.
A PSI representa o primeiro passo para enfrentar o grande desafio de
envolver pessoas e, devido a isso, a política deve constituir um conjunto formal de
regras que deve incluir o fator humano. Por isso, hoje em dia, é possível consolidar
uma concepção de Política de Segurança da Informação associada a um processo
de mudança na cultura organizacional (SILVA, A.; SILVA, E., 2008).
É de suma importância que a organização deixe claro aos funcionários quais
são as suas responsabilidades e atribuições em relação ao manuseio da informação.
Para isso, de acordo com Silva, A. e Silva, E. (2008, p. 45), “a Política deve prever a
assinatura de um contrato de responsabilidade, a qual deve contribuir para uma
atmosfera de confiança”.
Mas, mais prioritário que isso, é o esclarecimento do fator humano em relação
à temática da segurança da informação, o que pode ser feito através de
treinamentos, palestras, entre outros. Só assim fica evidente para todos os
funcionários que a organização se preocupa em proteger os ativos de informação
(FONTES, 2000).
A garantia de conformidade com a política de segurança depende ainda de uma avaliação periódica do comportamento de todos os envolvidos na implementação dos controles, de modo que eventuais desvios em relação às diretrizes possam ser identificados e corrigidos. (BEAL, 2005, p. 49).
Neste sentido, entende-se que não adianta unicamente criar políticas e exigir
dos funcionários o cumprimento das regras. É necessário também, monitorar as
ações realizadas e analisar se tais ações condizem com o que foi exposto ou se há,
ainda, a necessidade de alterar e/ou acrescentar algo que teve imprecisão.
Mas para isso, segundo Beal (2005), a organização precisa dispor de um
processo disciplinar aplicável a pessoas que tenham violado políticas ou
procedimentos de segurança. A expectativa de punição é essencial para ajudar a
inibir comportamentos que podem acarretar desrespeito às normas de segurança.
“Com caráter tático, as normas são o segundo nível da política, detalhando
situações, ambientes, processos específicos e fornecendo orientação para o uso
adequado das informações” (SÊMOLA, 2003, p. 105). Assim sendo, serão tratados
no próximo tópico as normas e padrões.
3.5.1 Normas e padrões
As normas e os padrões de SI “têm por objetivo definir regras, princípios e
critérios, registrar as melhores práticas e prover uniformidade e qualidade a
processos, produtos ou serviços, tendo em vista sua eficiência e eficácia” (BEAL,
2005, p. 36). Mas ainda assim, as normas e os padrões estabelecidos visando à
proteção da informação numa organização, por si só não são suficientes para
garantir a segurança. Segundo Beal (2005, p. 37), “a gestão da segurança, para ser
efetiva, precisa ser permanente, cíclica, interativa e baseada em processos técnicos
e organizacionais consistentes”.
As normas e padrões técnicos “representam uma referência importante para a
qualidade de qualquer processo” (BEAL, 2005, p. 31). Existem muitas normas
voltadas à Segurança da Informação que podem ser utilizadas numa organização
para o gerenciamento de Tecnologias da Informação. As políticas de segurança
juntamente com as normas visam tratar a informação de forma profissional, pois
“proteger a informação é mais do que colocar um controle de acesso lógico”
(FONTES, 2000, p. 73).
“Se a direção desconsidera normas de segurança, ou permite que
subordinados se desviem de determinados controles, todo o esquema de segurança
pode ser comprometido” (BEAL, 2005, p. 74). Para evitar que isso ocorra, é
importante uma gestão exclusivamente voltada para a implementação da segurança
da informação.
3.6 Gestão da Segurança da Informação
A Gestão da Segurança da Informação (GSI) tem como objetivo identificar as
vulnerabilidades de segurança dos ativos de informação e direcionar as medidas de
proteção mais adequadas a serem tomadas para que os riscos e ameaças sejam
minimizados, visando à sua integridade, disponibilidade, confidencialidade e o uso
eficiente e eficaz da informação.
Entende-se que a Gestão da Segurança da Informação visa, principalmente, à implementação de controles e medidas que impeçam a concretização das ameaças, ou que os impactos delas decorrentes sejam minimizados, garantindo a continuidade das atividades e a sobrevivência da organização ou instituição. (BORBA, 2008, p. 8).
Segundo Fontes (2000), proteger a informação é uma atividade gerencial e
devido a isso, a organização deve ter um processo de segurança que gerencie,
estruture e responsabilize o seu uso, sendo esse processo compatível com o porte
da organização.
Considerando o porte da empresa, deve-se indicar um recurso humano interno para desempenhar a função de coordenador da segurança da informação. Ele deve receber treinamento e orientação
adequada para estruturar esta questão na organização. (FONTES, 2000, p. 25).
De acordo com Fontes (2000), esse recurso humano será o gestor da
informação, ou seja, a pessoa responsável pela liberação (ou não) da informação e
responsável pela continuidade do negócio da organização no que se refere à gestão
da informação. Esse gestor deve ser indicado na política de segurança, pois “será
um aliado para a obtenção e manutenção de recursos para a proteção da
informação” (FONTES, 2000, p. 40).
O gestor da informação terá a responsabilidade de definir quem poderá ter
acesso (ou não) às informações do ambiente computacional bem como o tipo de
acesso que cada usuário terá. Deverá revisar periodicamente quem são esses
usuários e, ainda, se os mesmos realmente necessitam daquela informação para o
desempenho das suas atividades na organização (BEAL, 2005, p. 81).
A existência de políticas, normas e regras são importantes, porém valerá
pouco se o funcionário não entender porque deve tratar a informação como um bem.
Segundo Fontes (2000, p. 37), “são as pessoas que executarão e darão vida às
regras, normas e políticas”. Assim sendo, os procedimentos de segurança devem
estar “associados a regras claras, de obediência obrigatória, e a punições em caso
de seu descumprimento, e ser adequadamente divulgados para evitar que seu
desconhecimento diminua a eficácia dos controles existentes” (BEAL, 2005, p. 72).
De acordo com Beal (2005), outra medida prática que deve ser adotada nesta
dimensão é a assinatura de um termo de responsabilidade pelos responsáveis pelo
tratamento da informação. Nesse termo, os mesmos assumem não só a
responsabilidade pelo seu uso e tratamento, mas também para o uso indevido da
informação.
É difícil realizar a conscientização dos funcionários, porém é mais difícil ainda
conscientizar os responsáveis pela organização em relação à necessidade de adotar
uma Gestão da Segurança da Informação para os seus ativos de informação.
Segundo Sêmola (2003, p. 21), “as práticas de GSI não se materializam facilmente e
só mostram retorno quando há algum evento que põe à prova os mecanismos de
controle”, assim sendo, para os gestores das organizações ainda não é tão explícita
a eficácia da implementação da GSI.
Independente de ser considerada eficaz ou não por alguns gestores, a GSI é
tão necessária para a organização quanto os seus ativos de informação. Hoje em
dia, “as empresas experimentam e aplicam, como nunca, a tecnologia da informação
ao negócio, atingindo altos níveis de conectividade e compartilhamento” (SÊMOLA,
2003, p. 3). Isso vem ampliando, de forma significativa, os riscos para a segurança
de dados, informações e serviços de informação.
Esse panorama nos leva a perceber o alto grau de dependência que as empresas têm da informação - muito mais digitalizada, compartilhada e distribuída - além, consequentemente, de todos os elementos da infra-estrutura que a mantém. (SÊMOLA, 2003, p. 5).
Com base nessa nova realidade, e principalmente quando a organização se
insere em outro contexto, ao qual ela não tem controle diretamente como a Internet,
a implementação da Gestão da Segurança da Informação se torna ainda mais
necessária.
No caso de uma rede conectada à Internet, a mera segurança física dos equipamentos conectados já não garante nenhuma proteção: os recursos da rede deixam de estar num endereço físico fixo para pertencer ao chamado “ciberespaço” [...] e precisam ser protegidos contra quebras de segurança causadas por ameaças externas [...] e internas. (BEAL, 2005, p. 91).
Com base nessa afirmação, a organização deve estar preparada para
proteger suas informações de riscos e ameaças que diferem daqueles que
acometem os sistemas de informação. Segundo Fontes (2000, p. 151),
“recentemente as notícias sobre invasão de endereços na Internet pelos hackers
têm tomado conta da mídia. Casos reais com prejuízos financeiros e de imagem
aconteceram e prejudicaram várias organizações”.
Para entender como funciona esse ambiente virtual e como lidar com essa
nova realidade no âmbito organizacional, será tratada no capítulo a seguir a Web
2.0, bem como o uso e a aplicabilidade das suas ferramentas nas bibliotecas.
4 A BIBLIOTECA 2.0
4.1 A Web 2.0
O termo Web 2.0 bem como o seu conceito, foram primeiramente definidos e
interpretados em 2004 por Tim O`Reilly durante a conferência de Brainstorming
sobre serviços online promovida pelas empresas de mídia: O’Reilly Media, uma
editora de livros e revistas, e promotora de conferências e serviços online, e
MediaLive International, promotora de eventos e congressos de tecnologia, em São
Francisco, Estados Unidos (VIEIRA; CARVALHO; LAZZARIN, 2008).
A Web se caracteriza pelas suas duas fases: a Web 1.0 e a Web 2.0.
Segundo Machado (2010, p. 23), na Web 1.0 os usuários “apenas consumiam
informação”, pois eram incapazes de alterar ou produzir novas versões, ou seja, a
informação fluía em apenas um sentido, do produtor para o consumidor. Já a Web
2.0, diferentemente da sua antecessora, conseguiu criar um espaço neutro onde
todos pudessem partilhar suas idéias.
Na web 2.0 o objetivo principal é a construção do conteúdo, ou seja, todos os usuários podem contribuir para o desenvolvimento e expansão da internet, criando e editando o conteúdo de forma coletiva. Podemos afirmar que a grande diferença da web 2.0 para a web 1.0 é a participação do usuário. (MACHADO, 2010, p. 23).
Mas a participação direta do usuário só foi possível com o desenvolvimento
das ferramentas Web, que estão disponíveis o tempo todo e para todos na rede,
inaugurando uma nova era de democratização da informação na Web. Segundo
Machado (2010, p. 22), “talvez seja esta a maior diferença entre as duas fases da
internet”. Pois só a partir do desenvolvimento dessas ferramentas que os usuários
puderam se inserir e participar desse contexto diretamente.
De acordo com Carvalho (2007, p. 15, tradução nossa), “com as tecnologias
da informação e comunicação [TICs], as pessoas reinventaram o modo de interagir,
compartilhar ideias e se relacionar, vencendo as barreiras do tempo e do espaço”.
Ou seja, a Web 2.0, possibilita ao usuário participar e criar conteúdo interagindo
diretamente com outros usuários como, quando e onde quiser.
Devido a isso, Maness (2007, p. 44) a define como uma “matriz de diálogos”,
onde todos colaboram criando e alterando conteúdo. Porém, na Web 2.0, os
usuários podem atuar não só de forma ativa, quando realizam contribuições por
meio das ferramentas Web, mas também de forma passiva, quando apenas se
limitam a consultar os conteúdos disponíveis (CARVALHO, 2007, tradução nossa).
Para Cavalcanti e Nepomuceno (2007, p. 4), “A Web 2.0 é um conceito para
agrupar, nomear e incentivar projetos que expandem o principal potencial do
ambiente de rede – um novo meio, enfim, fortemente voltado para interação”. Esse
meio tem atraído, através de suas ferramentas, não só os usuários como também as
organizações, por ter uma característica flexível, aberta, e também descentralizada,
o que permite ao usuário escolher o que for mais pertinente ao seu perfil (O’REILLY,
2005 apud GARCÍA; VIERA, 2010).
A evolução derivada do próprio desenvolvimento da Web e dos softwares livres propiciou maior democratização das ferramentas e funcionalidades de interatividade e participação do público, graças ao barateamento e a não exigência de conhecimentos técnicos especializados para operar sobre a rede virtual, permitindo a um contingente cada vez maior de pessoas usufruir das vantagens da conectividade e das múltiplas interações que o mundo digital proporciona. (YAMASHITA; FAUSTO, 2009, p. 3).
Através desses benefícios e facilidades, as ferramentas da Web 2.0 têm
atraído um público cada vez maior, e essa tem sido uma oportunidade também para
as bibliotecas atraírem usuários divulgando os seus serviços. De acordo com
Machado (2010, p. 21), “antes a biblioteca se limitava a esperar que o usuário a
procurasse; agora, é a biblioteca que procura o usuário”.
A Web 2.0 pode contribuir, de forma significativa, para as atividades e
serviços das bibliotecas não só por permitir a usabilidade de aplicativos que
permitem a interação da biblioteca para com os usuários, mas também por permitir
que os bibliotecários possam melhor entender as necessidades dos mesmos através
de ferramentas que eles utilizam para fins pessoais (GARCÍA; VIERA, 2010).
De acordo com Vieira, Carvalho e Lazzarin (2008, p. 2), o conceito de Web
2.0 ainda necessita de uma melhor compreensão na área da Ciência da Informação,
porém, a aplicação de suas ferramentas aos serviços das bibliotecas vem sendo
conhecida como “Biblioteca 2.0”.
4.2 A Biblioteca 2.0
“Em paralelo ao mundo real cresce outro tipo de realidade, em que os
brasileiros se envolvem cada vez mais: a virtual” (PROTESTE, 2011, p.12). É
crescente o número de usuários no mundo virtual e visando atingir esse público, as
organizações vêm se inserindo, cada vez mais, nessa realidade. Essa é uma das
formas mais eficazes de se relacionar com clientes e divulgar seus serviços.
O mundo digital e as redes globais têm transformado as características do campo da informação, em que profundas mudanças paradigmáticas estão em curso. [...] Tal panorama conclama as Bibliotecas à necessidade de se atualizarem e acompanharem as evoluções tecnológicas. (YAMASHITA; FAUSTO, 2009, p. 2).
Devido a essa necessidade, as bibliotecas também estão se inserindo nesse
contexto, utilizando as ferramentas da Web 2.0 com a finalidade de transpor os
serviços oferecidos aos usuários para a virtualidade. Segundo Gonçalves,
Conceição e Luchetti (2010, p. 3), “a Web 2.0 no contexto das bibliotecas pode servir
para explorar formas de comunicação mais dinâmicas e participativas, além de
ampliar as possibilidades para divulgação institucional e de serviços”. Através do
Webmarketing6 ou e-marketing, a biblioteca poderá fazer divulgação de serviços, de
material informacional, palestras, eventos e tantas outras atividades realizadas pela
biblioteca.
De acordo com Miller e Crawford (2006 apud MARGAIX ARNAL, 2007, p.
101), o termo Biblioteca 2.0 foi criado em outubro de 2005 por Michael Casey em
seu blog LibraryCrunch, e, logo após, a primeira definição de Biblioteca 2.0 foi
estabelecida na Wikipédia.
Uma característica importante para criação desse novo termo, é que o seu
nascimento bem como o seu debate conceitual se deu na biblioblogosfera, ou seja,
6 Segundo Kendzerski (2005), o Webmarketing e o e-marketing são todas as ações realizadas através da internet que visam promover a empresa.
num conjunto de blogs relacionados com a biblioteconomia (ROS, 2006 apud
MARGAIX ARNAL, 2007, p. 101, tradução nossa). A partir de então, o termo
Biblioteca 2.0 começou a ser utilizado e conceituado por vários autores.
Maness (2007, p. 45) conceitua a Biblioteca 2.0 como “a aplicação de
interação, colaboração e tecnologias multimídia baseadas em web para serviços e
coleções de bibliotecas baseados em web”. Além disso, ele ainda afirma que a
Biblioteca 2.0 é completamente centrada no usuário, rica em conteúdo,
interatividade e atividade social. Para ele, a Biblioteca 2.0 é como um mashup7 de
serviços tradicionais de biblioteca e serviços inovadores Web 2.0.
Já Margaix Arnal (2007, p. 102, tradução nossa), conceitua a Biblioteca 2.0
como “a aplicação das tecnologias e filosofia da web 2.0 às coleções e aos serviços
bibliotecários, tanto em um entorno virtual como real”. Com essa concepção,
entende-se que os serviços produzidos online podem inferir diretamente nos
serviços realizados na biblioteca física, proporcionando não só a interação entre o
bibliotecário e os usuários na virtualidade, mas também uma relação direta entre
usuário, bibliotecário e biblioteca.
Com uma visão similar, Caruso (2006) aborda que os usuários podem,
através das ferramentas 2.0, dar sugestões sobre melhorias que precisam ser
realizadas na biblioteca, seja no seu funcionamento, serviços ou até mesmo na sua
atuação na Web.
A Biblioteca 2.0 atua com base no fundamento da biblioteca como um serviço comunitário, que reconhece que as comunidades se transformam e que a biblioteca não deve apenas modificar-se em função disso, mas permitir aos usuários que introduzam modificações na própria biblioteca. (CARUSO, 2006, p. 17).
Para Vieira, Carvalho e Lazzarin (2008, p. 5), a Biblioteca 2.0 é como uma
“assembléia de usuários que usam de aplicativos tecnológicos da Web 2.0 para
criarem, localizarem e compartilharem informações voltadas para bibliotecas em um
ambiente virtual”. Esse conceito, diferentemente dos outros, não considera a
Biblioteca 2.0 como a presença da biblioteca na Web através do uso das suas
7 Mashup é o termo atribuído a combinação de um software a outro software em um ambiente virtual criando um novo serviço (GARCÍA; VIERA, 2010, p. 19).
ferramentas, mas sim a presença dos usuários que fazem uso de tais ferramentas
para criar, localizar e compartilhar informações referentes à biblioteca.
Existem vários conceitos a cerca da Biblioteca 2.0. Porém, para Maness
(2007, p. 52), a melhor forma de conceituar a Biblioteca 2.0 neste momento seria
“uma interface de rede social que o usuário desenha. Isto é, um OPAC
personalizado que incluem acesso a MI [Mensagem Instantânea], alimentadores
RSS, blogs, wikis, tags, e perfis públicos e privados dentro da rede da biblioteca”.
Para Maness (2007), essa é a realidade virtual da biblioteca, onde o usuário
pode não só realizar pesquisas, mas também interagir com a comunidade e com o
bibliotecário, diferentemente, dos serviços disponibilizados pela Biblioteca 1.0 que
ofertava apenas aplicativos de consultas, não sendo o bastante, para alcançar e
suprir as necessidades dos usuários de forma plena (GARCÍA; VIERA, 2010, p. 19).
Para compreender como se dá a atuação da Biblioteca na Web 2.0 bem como
os serviços oferecidos pela mesma, é necessário compreender quais são essas
ferramentas e o que as mesmas oferecem à biblioteca tradicional.
4.3 Ferramentas
“A utilização das ferramentas colaborativas para as bibliotecas é
compreendida como mais uma mudança e inovação [...] visando melhorar a
qualidade dos serviços oferecidos de maneira rápida, eficaz e eficiente” (GARCÍA;
VIERA, 2010, p. 19). As ferramentas da Web 2.0 permitem aos usuários modificarem
as páginas da Web no tocante à sua estrutura para que se tornem dinâmicas e
possam, assim, expor conhecimento próprio bem como interagir com outros
usuários.
Os recursos de Web 2.0 constituem espaços virtuais de fácil atualização, interatividade, proximidade, visibilidade, aprendizagem, atualização profissional, fidelização e inovação. No âmbito de atuação das bibliotecas, a Web 2.0 funciona como mais um meio de contato com o usuário e uma forma de compartilhar o cotidiano institucional, divulgando de modo ágil e simples as novidades e atividades que são desenvolvidas pelas bibliotecas e outros serviços e produtos (GONÇALVES; CONCEIÇÃO; LUCHETTI, 2010, p. 2).
Os serviços oferecidos por essas ferramentas podem ocorrer de maneira
síncrona (em tempo real) ou assíncrona (em tempos diferentes), e são as formas
mediante as quais os usuários interagem com as organizações e com outros
usuários (GARCÍA; VIERA, 2010).
O universo da Web 2.0 é bastante amplo, bem como suas ferramentas e as
possibilidades de atuação para uma biblioteca. Para Gonçalves, Conceição e
Luchetti (2010, p. 11), “cabe às bibliotecas optarem pelos recursos que mais se
encaixem aos seus objetivos e às características de seus usuários”.
4.3.1 Blogs
O blog (contração de Weblog) é “uma página web atualizada freqüentemente,
composta por pequenos parágrafos apresentados de forma cronológica”
(BLOGGER, 2002)8. É uma ferramenta que permite publicar informações, ideias,
notícias, e é um excelente meio de comunicação de massa por ter livre acesso e
pela fácil interação através de comentários (posts). O blog pode ser classificado
como textual, fotográfico (fotolog) e audiovisual (vlog) e o seu conteúdo abrange
uma infinidade de assuntos que vão desde diários pessoais a assuntos específicos
de trabalho, estudo, música e lazer.
Os blogs são muito úteis para as bibliotecas, servindo como potenciais complementos do site institucional. Têm inúmeras aplicações: partilhar novidades, atuar como canal de contato direto com os usuários, oferecer dicas úteis e informação adicional da biblioteca, entre outras, podendo consistir de blogues temáticos, de eventos ou de projetos específicos. (YAMASHITA; FAUSTO, 2009, p. 6).
O blog é uma ótima opção para a biblioteca que pretende ter a participação
direta do usuário, pois tem uma ótima aceitação pelos mesmos. De acordo com
Vieira, Carvalho e Lazzarin, (2008, p. 7), os blogs “se tornaram bastante utilizados
pelas massas e constituem uma importante ferramenta para as mais diversas
finalidades”.
8 Documento eletrônico não paginado.
4.3.2 Twitter
Existe ainda o microblog, que é uma versão reduzida dos blogs tradicionais, e
permite atualizações mais rápidas e, consequentemente, uma circulação da
informação muito mais veloz. Dentre eles o mais conhecido e utilizado pela grande
público é o Twitter.
O Twitter é uma rede social e servidor para microblogging (blogs com textos
curtos). É uma ferramenta similar ao blog e permite aos usuários o envio de
atualizações pessoais contendo apenas texto de até 140 caracteres. As atualizações
são exibidas no perfil do usuário que realizou a postagem em tempo real e também
são enviadas aos usuários assinantes. (MACHADO, 2010). Os usuários podem
postar mensagens através de SMS, mensagem instantânea (MI), e-mail, site oficial
ou programa especializado.
O Twitter permite atualizações permanentes de informações gerais e é uma
ótima ferramenta para partilhar novidades da biblioteca. “As empresas usam o
Twitter para compartilhar informações de forma rápida com as pessoas interessadas
em seus produtos e serviços” (TWITTER, 2011)9. Assim sendo, segundo Machado
(2010, p. 144), o Twitter é a ferramenta ideal para o serviço de referência, pois “os
usuários poderiam fazer perguntas diretas à biblioteca e ter resposta imediata, sem
ser necessário ir à instituição ou abrir o e-mail”.
4.3.3 Redes Sociais
Já as redes sociais, de acordo com Yamashita e Fausto (2009, p. 10), “não
são ferramentas, mas serviços web que reúnem pessoas que compartilham suas
vidas, perfis ou interesses em comum”. As Redes Sociais também podem ser
chamadas de Comunidades Virtuais. De acordo com Carvalho (2007, p. 15, tradução
nossa):
As comunidades virtuais são agrupamentos de pessoas que se reúnem em função de suas afinidades e utilizam o ciberespaço como meio para intercambiar e difundir suas idéias, estabelecer relações
9 Documento eletrônico não paginado.
sociais, realizar atividades conjuntas e lograr objetivos comuns. (CARVALHO, 2007, p. 15, tradução nossa).
As redes sociais são, talvez, as mais promissoras e amigáveis tecnologias da
Web 2.0 (MANESS, 2007). Isso vem acontecendo porque as redes sociais,
“oferecem o ambiente e as ferramentas necessárias para que seus usuários
interajam entre si, de modo espontâneo e democrático, e se gere, armazene e
difunda a informação associada aos seus processos de comunicação”.
(CARVALHO, 2007, p. 15, tradução nossa).
Atualmente, existem muitas redes sociais sendo utilizadas em todo o mundo.
Cada uma delas tem se destacado em um ou mais países. No Brasil, muitas delas
têm sido utilizadas, porém, serão destacadas a seguir apenas aquelas mais
utilizadas pelas bibliotecas.
O Facebook foi criado em 2004 por Mark Zuckerberg, com o objetivo de
ajudar alunos de escolas e faculdades dos EUA a trocarem informações e manterem
contato com seus amigos. “Atualmente, o Facebook é utilizado por cerca de 500
milhões de internautas, cifra que permite ao site figurar no 7º lugar no Alexa10 em
termos de número de visitantes, quando há pouco tempo ocupava a 60ª posição”.
(SANTANA, 2011)11. Ainda, no que tange aos espaços fotográficos, o Facebook é
considerado o maior de todos nos EUA, uma vez que por esta rede circulam
aproximadamente 60 milhões de imagens novas por semana.
O Orkut foi criado em 2004 por Orkut Buyukkokten, com o objetivo de ajudar
seus membros a conhecer pessoas e manter relacionamentos. O Orkut foi bastante
difundido no Brasil e liderou como a rede social mais utilizada pelos brasileiros
durante sete anos. Atualmente, essa liderança foi reduzida, e o Orkut e o Facebook
estão disputando espaço para ver qual a rede social mais utilizada pelos brasileiros
(VEJA, 2011).
O Linkedin é uma rede de negócios fundada em 2002, porém só foi lançada
em 2003. É comparável a redes de relacionamentos, e é principalmente utilizada por
profissionais. O seu objetivo principal é permitir que os usuários registrados possam 10 O Alexa é um serviço de Internet pertencente à Amazon que mede quantos usuários de Internet visitam um sítio da web. 11 Documento eletrônico não paginado.
manter uma lista detalhada de contatos com pessoas e empresas. Segundo Grego
(2011), o Linkedin já conta com mais de 6 milhões de usuários no Brasil, e 135
milhões em todo o mundo.
4.3.4 Flickr
O Flickr é um site de hospedagem e compartilhamento gratuito de imagens
fotográficas (e eventualmente de outros tipos de documentos gráficos, como
desenhos e ilustrações). É uma das plataformas de armazenamento, que
disponibiliza e partilha fotografias aos internautas, mais conceituadas atualmente.
Segundo Yamashita e Fausto (2009), por serem flexíveis, as redes sociais
podem servir para qualquer utilidade na biblioteca, pois além de aumentarem a
visibilidade da instituição na Web, permitem a formação de comunidades com
interesses comuns à biblioteca, tais como grupos de leitura, de pesquisa, entre
outros. Além dessas vantagens, segundo Maness (2007, p. 50), as:
Redes sociais permitiriam que bibliotecários e usuários não somente interagissem, mas compartilhassem e transformassem recursos dinamicamente em um meio eletrônico. Usuários podem criar vínculos com a rede da biblioteca, ver o que outros usuários têm em comum com suas necessidades de informação, baseado em perfis similares, demografias, fontes previamente acessadas, e um grande número de dados que os usuários fornecem.
Além dos Blogs, Microblogs e Redes Sociais, as bibliotecas podem utilizar
muitas outras ferramentas, uma delas é a rede colaborativa Wiki, que permite a
edição colaborativa de documentos e pode servir para a descrição da instituição,
entre outras coisas (YAMASHITA; FAUSTO, 2009).
A catalogação social também pode ser utilizada pelas bibliotecas, já que é
uma nova forma colaborativa de organizar o conhecimento, através do
compartilhamento e interatividade entre as variadas fontes e recursos, melhorando e
enriquecendo a descrição catalográfica através da cooperação.
É com esse intuito que surge a LibraryThing, uma rede social que permite aos
usuários catalogar seus livros e verem o que os outros usuários compartilham a
respeito desses livros. Esse site também serve para que os usuários recomendem
leitura para outros usuários.
LibraryThing permite que usuários, milhares deles potencialmente, recomendem livros uns aos outros simplesmente ao verem as coleções uns dos outros. Isso também permite que eles se comuniquem assincronamente, criem blogs, e coloquem “tags” em seus livros. (MANESS, 2007, P. 49).
De acordo com Yamashita e Fausto (2009, p. 11), “as ferramentas e
funcionalidades da web 2.0, quando bem utilizadas, podem resgatar a atratividade
perdida das bibliotecas”. Mas para isso, o profissional bibliotecário deverá identificar
quais são as ferramentas da Web 2.0 mais úteis aos serviços oferecidos aos
usuários, experimentá-los e aplicá-los visando à melhor interação entre usuário e
biblioteca.
Como o profissional bibliotecário deve ser o mediador dessa inserção da
biblioteca no ambiente virtual, mais precisamente na Web 2.0, será abordado no
tópico a seguir, as implicações do mesmo para essa nova realidade da biblioteca.
4.4 O Bibliotecário 2.0
Com as tecnologias da informação (TI) e o advento da Internet, o volume de
material publicado aumentou de forma imensurável, o que vem a ser caracterizado
como “boom informacional”. A partir desse fenômeno, o volume de usuários que
utilizam os serviços da rede devido à facilidade de encontrar documentos resumidos
e sintetizados na Internet tem aumentado e preocupado os profissionais da
informação (RIBEIRO; GARCIA, 2008).
Muitos usuários não sabem pesquisar adequadamente e sequer têm
conhecimento a cerca dos operadores booleanos12. Isso dificulta o processo de
pesquisa e interfere diretamente na recuperação de uma informação com qualidade,
o que, consequentemente, não suprirá satisfatoriamente as necessidades
informacionais dos usuários.
12 De acordo com Oliveira (2009), Operadores booleanos são palavras que têm o objetivo de definir para o sistema de busca como deve ser feita a combinação entre os termos ou expressões de uma pesquisa.
De acordo com Beuren (2000, p. 69), os profissionais da informação precisam
identificar as necessidades informacionais dos usuários bem como divulgar as
formas de acesso à informação. Nesse caso, as ferramentas da Web 2.0 podem
servir a esse propósito, onde o profissional bibliotecário atuaria diretamente como
educador. Devido a isso, Gonçalves, Conceição e Luchetti (2010, p. 4) afirmam que:
O “Bibliotecário 2.0” é o guru da era da informação, porque ele esforça-se para entender o poder e as oportunidades da “Web 2.0”, conectando pessoas e informação, além de compreender a necessidade de seus usuários em um nível mais profundo. O Bibliotecário 2.0 está onde e quando o usuário precisa.
Para Maness (2007), o Bibliotecário 2.0 deveria atuar como um facilitador
para o acesso à informação, e prover suporte aos usuários. Esse suporte pode ser
realizado através das ferramentas Web, mas para isso o bibliotecário não precisa,
necessariamente, ser o primeiro responsável pela criação do conteúdo. Mas que
forneça um espaço onde os usuários interajam e criem conteúdos uns com os outros
e com os bibliotecários. Através disso, o bibliotecário poderá identificar mais
facilmente quais são as reais necessidades dos seus usuários.
A evolução da Web culminou com a franca disseminação de tecnologias interativas, participativas e cooperativas, indicando um novo cenário para os serviços virtuais das bibliotecas, onde já não é mais suficiente o profissional da informação atuar de uma forma estática e unidirecional. (YAMASHITA; FAUSTO, 2009, p. 11).
As tecnologias da Web 2.0 têm desempenhado um papel significativo para o
bibliotecário por permitir que o mesmo possa acompanhar a evolução das
necessidades dos usuários da biblioteca. Isso pode servir não só para ajudar e
educar os usuários bem como solucionar problemas internos de cunho técnico. “O
aumento de tecnologias disponíveis dá às bibliotecas a capacidade de oferecer
melhorias, ou novas oportunidades de serviços aos clientes” (GONÇALVES;
CONCEIÇÃO; LUCHETTI, 2010, p. 5).
No entanto, é importante destacar que o uso de todos esses recursos demanda uma política de atualização. Ao contrário de um site institucional, praticamente todos os recursos da Web 2.0 possuem como característica a necessidade de atualização constante, pelo
fato de envolver um processo de comunicação mais dinâmico e interativo. (GONÇALVES; CONCEIÇÃO; LUCHETTI, 2010, p. 10).
Além disso, a atualização necessita ser constante para que não seja
quebrado o processo de interação entre bibliotecário e usuário, pois quando o
profissional não atua com certa constância, o interesse dos usuários é reduzido bem
como a credibilidade da atuação da biblioteca em tais ferramentas.
Para Gonçalves, Conceição e Luchetti (2010, p. 11), é necessário também
que “o profissional esteja a par não apenas dos temas que possam interessar aos
usuários, mas também quanto às tendências observadas em relação aos próprios
recursos explorados pela biblioteca”. Pois muitos desses recursos ou ferramentas
podem não estar sendo mais utilizados por grande parte dos usuários devido ao
aparecimento de novas ferramentas mais interativas e eficazes.
Porém, com o surgimento de novas tecnologias, surgem também novas
ameaças. Na Internet são constantes os casos de insegurança, e na Web 2.0 esses
casos são ainda mais constantes. Segundo Souza (2010)13:
Em tempos de web 2.0, a internet está em constante mutação. Com essas mudanças, novos riscos surgem todos os dias. A interação e dependência do mundo corporativo com a Internet é cada vez maior, trazendo novos desafios diários para os profissionais de segurança e usuários da rede.
Com base nessa afirmação, vê-se que todas as organizações inseridas no
contexto da Web 2.0, mais especificamente aquelas usuárias das ferramentas da
Web 2.0, estão expostas a riscos e ameaças que podem vir a comprometer a sua
atuação na Web. Assim, ao estarem também inseridas nesse contexto, as
bibliotecas estão expostas aos mesmos riscos e ameaças.
Porém, para que o profissional da informação responsável pela inserção da
biblioteca nas ferramentas da Web 2.0 possa saber como lidar com essas
ferramentas sem comprometer a atuação da biblioteca, é necessário conhecer os
riscos e as ameaças provenientes da Web 2.0. Para isso, será abordada no capítulo
a seguir a questão da segurança da informação na Web 2.0.
13 Documento eletrônico não paginado.
5 A GESTÃO DA SEGURANÇA DA INFORMAÇÃO NA BIBLIOTECA 2.0
“As organizações dificilmente sobrevivem sem a tecnologia e sem a
informação” (COSMO et al., 2008, p. 67). As tecnologias da informação (TICs)
trouxeram inúmeros benefícios para as organizações, porém, foi através delas
também que as organizações se tornaram mais vulneráveis e sujeitas a novos riscos
e ameaças.
Enquanto as empresas tornam-se mais dependentes da eletrônica, disponibilizando inter, intra e extra-muros suas informações, ao mesmo tempo, passam a estar mais e mais vulneráveis aos ataques de hackers, à invasão de sua privacidade ou ao alvo dos concorrentes. (TARGINO, 2002, p. 8).
De acordo com Prescott (2007), “a evolução tecnológica aumenta os riscos de
invasão e, de certa maneira, o vazamento de dados. [...] Fechar todas as portas ou
restringir o uso de ferramentas não significa blindar a empresa”. A partir dessa
afirmação, entende-se que a organização que se privar ou restringir o uso das
ferramentas da Web 2.0 por razões de segurança, não estará a salvo de ameaças.
Pois, como visto no capítulo 3 sobre a Gestão da Segurança da Informação, existem
três tipos de ameaças: físicas, internas e externas, e essas ameaças podem atingir
qualquer ativo de informação da organização. Assim sendo, se a organização se
privar das ferramentas da Web 2.0, não só não estará a salvo de ameaças, por ter
ainda tantos outros ativos expostos aos riscos e ameaças, como perderá todas as
vantagens proporcionadas por essas ferramentas.
No caso das bibliotecas, que usam essas ferramentas para divulgação e
serviços de referência, entre outros, a restrição do uso de ferramentas da Web 2.0,
além de não resolver problemas de segurança da informação, seria um retrocesso
para a instituição. Segundo Afonso (2009)14, “em ambientes em que as redes sociais
são importantes para o trabalho, o bloqueio não é uma opção. Resta seguir à risca
as melhores práticas da segurança corporativa e implantar uma cultura entre os
usuários”.
14 Documento eletrônico não paginado.
Para isso, é importante que haja uma gestão de segurança que contemple o
uso dessas ferramentas pela organização bem como a sua atuação no contexto
Web 2.0. Para compreender como esses aspectos podem ser trabalhados, o
assunto será abordado no tópico a seguir.
5.1 A Gestão da Segurança no contexto Web 2.0
As redes estão “mais vulneráveis a ameaças provenientes de hackers,
criminosos agindo via Internet, funcionários descontentes, concorrentes desleais e
outros agentes interessados em cometer abusos” (BEAL, 2005, p. 93). Todos eles
têm o intuito de prejudicar a organização de alguma forma, seja causando prejuízo
financeiro ou comprometimento da imagem. Devido a isso, “a comunicação da
empresa com o mundo exterior precisa ser monitorada” (FONTES, 2000, p. 36).
Um dos principais ataques realizados pelos hackers é a disseminação de
vírus. Eles são capazes de destruir arquivos particulares e institucionais bem como
roubar informações sigilosas dos usuários e enviá-las diretamente ao hacker que
realizou a invasão. Essa é uma prática criminosa que vem acometendo não só as
organizações como usuários em geral (TARGINO, 2002).
No ambiente atual de interligação em redes, os problemas de segurança se multiplicam de forma alarmante. Nos dias de hoje, qualquer usuário com um microcomputador ou laptop se transforma num “administrador de sistema”, precisando gerenciar localmente uma série de procedimentos de segurança, como ferramentas antivírus, opções de segurança do navegador de Internet etc. (BEAL, 2005, p. 91).
No âmbito organizacional, “um bom sistema antivírus é um elemento
essencial para a proteção de redes conectadas à Internet” (BEAL, 2005, p. 97). Por
serem ameaças constantes na web, é necessário que a biblioteca haja uma conexão
de rede segura protegida por um firewall15, pois uma rede insegura propicia o
ataque, o que pode vir a prejudicar muito a atuação da biblioteca nas ferramentas da
Web 2.0.
15 Segundo Beal (2005, p. 94), “um firewall consiste numa barreira de proteção entre um computador ou uma rede interna e seu ambiente externo. O tráfego de informações entre esse computador ou rede e o mundo exterior é examinado e bloqueado quando uma informação não atende a critérios predefinidos de segurança”.
Do ponto de vista da arquitetura de software, não há diferenças entre uma aplicação Web 2.0 e uma aplicação cliente-servidor tradicional. No entanto, diferentemente de aplicações que são executadas em um ambiente controlado, os sites Web 2.0 são executados em um ambiente hostil, onde a segurança e confidencialidade de informações é um fator crítico. (CAMPOS; SIGNORINI NETO; CANTO, 2008, p. 1).
Além de evitar possíveis ataques causados por vírus, devem ser
estabelecidos também controles adequados para minimizar os riscos contra o
acesso indevido aos perfis da biblioteca na Web 2.0. De acordo com Fontes (2000,
p. 43), “a confidencialidade e a disponibilidade de toda a informação da empresa
deve ser garantida, independentemente da plataforma tecnológica [...] onde essas
informações são processadas e armazenadas”.
Com isso entende-se que, o acesso às contas da biblioteca, onde são
processadas e armazenadas informações pertinentes à sua atuação na Web 2.0,
deve estar disponível e restrito apenas àqueles que têm a devida autorização. E
para isso, é necessário que a rede esteja segura para que os funcionários
autorizados obtenham acesso sem que os ataques de vírus venham a impedir ou
comprometer o trabalho que está sendo realizado.
Para Fontes (2000), é importante também que o acesso físico ao ambiente
computacional seja restrito apenas às pessoas que trabalham e utilizam esse
ambiente. Além disso, outro ponto importante é impedir o acesso e o uso indevido
dos recursos da rede, bloqueando aqueles que não têm a devida autorização. Nas
ferramentas da Web 2.0, o bloqueio do acesso às contas dos perfis se dá,
unicamente, através do login e/ou senha incorreta, por isso é importante que só os
responsáveis pelos perfis da biblioteca na Web 2.0 tenham conhecimento das
senhas que permitem tal acesso. Esse é um procedimento bem simples e pode ser
adotado sem nenhum custo para a biblioteca.
Para reforçar essa barreira de segurança é pertinente que haja também a
identificação do funcionário ao acessar o computador, já que o mesmo permite o
bloqueio ao acesso, que, por sua vez, só é liberado através da identificação do
usuário, e assim, futuramente, em casos de auditoria, será possível identificar o
responsável pelo acesso. Esse procedimento poderia solucionar o problema de
identificação do funcionário no caso da biblioteca que tem mais de um responsável
pelos seus perfis. Pois, como o acesso às contas é realizado através de uma única
senha, que nesse caso, seria de conhecimento de todos os responsáveis, a
identificação do funcionário não seria garantida e sim suposta.
Mesmo colocando em prática esses procedimentos, segundo Sêmola (2003,
p. 118), “compartilhar a senha, selecionar uma senha fraca, não mantê-la em
segredo ou, ainda, manuseá-la sem os critérios adequados, podem por em risco
toda a eficiência do método”. Portanto, é importante que a biblioteca adote as
Políticas de Segurança da Informação (PSI) bem como treine e conscientize os
responsáveis pelos perfis para que suas ações involuntárias (ou não), não
comprometam a imagem da biblioteca através de seus perfis na Web 2.0.
Esses procedimentos envolvem não só problemas técnicos de informática,
mas, principalmente, envolvem gerenciamento. De acordo com Sêmola (2003, p.
20), “muitos percebem os aspectos da segurança, considerando e enxergando
apenas os problemas associados à tecnologia, mais precisamente Internet, redes,
computador, email, vírus e hacker”. Entretanto, de acordo com Fontes (2000, p. 75),
“as pesquisas tem comprovado que a maioria dos ataques ao ambiente
computacional das empresas foram realizados por usuários válidos desse ambiente
e por ex- funcionários. No Brasil, este percentual chega a mais de 70%”.
Uma vez estabelecidos os mecanismos de proteção associados à segurança de redes, software, comunicação e usuário final, é necessário monitorá-los para verificar se esses mecanismos realmente funcionam e para acompanhar quaisquer indícios de comportamento suspeito ou problema. (BEAL, 2005, p. 107).
Com base nesses dados, é importante que as bibliotecas gerenciem e
monitorem as atividades realizadas pelos seus funcionários nos perfis da Web 2.0,
principalmente por ser também, nesse caso, o ambiente de trabalho onde a
biblioteca disponibiliza serviços aos seus usuários. Segundo Fontes (2000, p. 152),
“apesar desses problemas estarem acontecendo em um ambiente de tecnologia, as
soluções dependem muito mais de uma decisão gerencial do que de um
conhecimento técnico de alta especialização”.
Outra questão também relevante é a inserção da biblioteca nas ferramentas
da Web 2.0. Como mencionado no capítulo 4 sobre a Biblioteca 2.0, o profissional
bibliotecário precisa estar atento às novas ferramentas e identificar aquelas que
mais se adéquam aos objetivos da biblioteca. Porém, é importante que ao identificar
as ferramentas e as vantagens no seu uso, o profissional identifique também os
riscos provenientes das mesmas.
Para entender como lidar com as ferramentas e os riscos que as mesmas
proporcionam, serão abordadas no tópico a seguir as ferramentas da Web 2.0 sob a
ótica da segurança.
5.2 As Ferramentas da Web 2.0 sob a ótica da Segurança da Informação
O Brasil é um dos países com maior presença na Web 2.0 com cerca de 39
milhões de pessoas usando algum tipo de rede social (PROTESTE, 2011). Porém,
devido a tantos casos de insegurança na Web 2.0, é fundamental para as
organizações e para os usuários em geral, conhecer o ambiente Web no qual estão
se inserindo.
O cadastro é o primeiro procedimento a ser realizado para se inserir numa
ferramenta da Web 2.0. De acordo com uma pesquisa realizada pela revista
Proteste (2011), as redes sociais, em geral, realizam o cadastro do usuário a partir
de informações simples como nome, idade, e-mail e senha. Entretanto, o Orkut, o
Google Plus e o Linkedin só permitem a utilização da ferramenta com a confirmação
do cadastro por e-mail. Essa confirmação é uma etapa muito importante, pois caso
alguém tente fazer algum perfil falso da biblioteca utilizando o e-mail oficial, não
conseguirá realizar o procedimento sem confirmar o cadastro através do mesmo.
Mas mesmo com essa dificuldade, é possível que alguém crie outra conta de
e-mail com um endereço similar ao da biblioteca e com isso crie também um perfil
falso em uma das ferramentas. Nesse caso, é importante que a biblioteca faça
constantes pesquisas para saber se existe algum perfil falso ou não-oficial da
instituição. Caso haja, existe a possibilidade de fazer denúncias para o
cancelamento desse perfil. Entretanto, dentre todas as ferramentas pesquisadas,
“apenas o Facebook tem um trabalho direcionado para eliminar perfis falsos ou
fakes, como são conhecidos” (PROTESTE, 2011, p.12). Para facilitar a busca aos
usuários e passar credibilidade e a garantia de autenticidade, é importante que a
biblioteca possua um e-mail corporativo e que seus perfis oficiais sejam divulgados
juntamente com o endereço URL16.
O acesso à conta do perfil da Web 2.0 é outra fonte propícia para o roubo de
dados. Segundo a Proteste (2011), o Facebook é a rede social que mais se
preocupa com isso, e verifica através do lugar e da hora do login se os acessos
realizados são feitos, realmente, pelo verdadeiro proprietário da conta. Caso o perfil
do Facebook tenha sido acessado em um local e horário que não sejam de acordo
com os horários e locais comumente acessados pelo proprietário do perfil, ao
realizar o acesso novamente, o proprietário é informado pelo Facebook que tal
acesso foi realizado e qual a sua origem.
O Facebook é a rede mais popular do mundo, com 750 milhões de pessoas, das quais 21 milhões são brasileiras. É uma boa opção também para empresas, que cada vez mais usam seu espaço para criar páginas específicas ou anúncios. Considerado seguro, seu único porém é a facilidade de uso, que pode ser complicada principalmente para um iniciante ainda sem familiaridade com a abundância de aplicativos e configurações disponíveis. (PROTESTE, 2011, p. 13).
Já o Linkedin e o Foursquare têm problemas em relação à privacidade, o que
envolve diretamente a questão da confidencialidade. As organizações e os usuários
em geral devem estar atentos ao preencher seus perfis, pois nenhuma dessas
ferramentas oferece a opção de bloquear os dados do perfil (PROTESTE, 2011, p.
13).
O Orkut, que é a rede mais antiga no Brasil, é ainda fielmente seguida pelos
brasileiros, permanecendo no primeiro lugar do ranking nacional, com 52 milhões de
usuários, apesar da migração em massa para o Facebook. O Orkut chegou a
enfrentar diversos problemas legais envolvendo inclusive casos de pedofilia, mas
após isso, criou ferramentas mais sofisticadas e aprimorou sua segurança. Devido a
isso, hoje, “o Orkut se tornou uma das redes mais seguras” (PROTESTE, 2011, p.
13). 16 URL é um endereço único na Internet (Uniform Resource Locator), composto pelo nome do arquivo, diretório, nome do servidor e o método como ele vai ser requisitado.
No Twitter, devido a sua limitação de postagens de até 140 caracteres, é
muito comum o uso de encurtadores de endereço, os chamados URL shorteners.
Isso faz com que haja a distribuição de vírus usando estes serviços para esconder o
endereço final (CAIS/RNP, 2009). Por isso, é importante que o responsável pelos
perfis não acesse os links reduzidos, para que evite, assim, não só a contaminação
por vírus como também a proliferação de vírus enviados aos seus seguidores, o que
comprometeria a sua credibilidade.
As Wikis também são uma das ferramentas mais utilizadas pelas bibliotecas,
e são essencialmente páginas web abertas, onde qualquer pessoa registrada no wiki
pode criar e realizar alterações no conteúdo (MANESS, 2007). Devido a isso, a wiki
é uma ferramenta que tem sérios problemas com a integridade da informação.
García e Viera (2010, p. 19) afirmam que “essas facilidades possibilitam a cópia ou a
criação de conteúdos derivados com alterações mínimas o que potencializa mais os
problemas de direitos autorais em ambientes digitais”. Com base nessa afirmação,
percebe-se que as wikis acarretam problemas referentes não só à integridade, mas
também de autoridade e legalidade da informação, por usar fontes alheias sem dar o
devido mérito e sem autorização.
Assim como os blogs, eles [Wikis] não são da mesma fidedignidade das fontes tradicionais, como as frequentes discussões da Wikipedia (uma enciclopédia online onde qualquer usuário registrado pode escrever, melhorar ou fazer qualquer outra edição nos artigos). (MANESS, 2007, p. 48).
Ainda segundo Maness (2007, p. 49), utilizar as wikis é um desafio para os
bibliotecários e por isso eles precisam compreender o que a livre alteração de
conteúdo pode acarretar. Para isso, é necessário que os bibliotecários sejam críticos
ao analisar e editar os conteúdos criados e alterados pelos usuários. As wikis
corporativas, nesse caso, são uma boa opção, pois oferecem a possibilidade de
limitar o acesso aos usuários bem como exigir a identificação dos mesmos.
Em relação às redes de compartilhamento, o You Tube é a mais famosa e
também bastante utilizada. Através do You Tube, os bibliotecários podem colocar
vídeos a cerca de eventos, bem como elaborar vídeos de divulgação do espaço
físico, tutoriais explicando o uso de bases de dados, entre outras coisas. O Flickr
também se enquadra nesse aspecto, podendo divulgar imagens da biblioteca.
Porém, é importante que o responsável pelos perfis saiba discriminar o que é
pertinente para a divulgação da biblioteca e o que é indevido.
Como se trata de um perfil oficial é importante que os profissionais
responsáveis não disponibilizem músicas, nem imagens pessoais dos funcionários
que não convenham e nem atinjam os objetivos da instituição. Para isso, é
importante que a biblioteca tenha uma política na qual estejam especificadas as
atividades que os responsáveis podem e devem realizar, assim como aquelas que
devem ser evitadas.
Com o objetivo de fomentar a criação de uma política de segurança da
informação na qual estejam implicadas a atuação da biblioteca bem como as
atividades dos bibliotecários nas ferramentas da Web 2.0, será tratado o assunto no
tópico a seguir.
5.3 A Política de Segurança da Informação para a Biblioteca 2.0
A inserção da biblioteca nas ferramentas da Web 2.0 é uma ação muito
importante para a sua imagem. Porém, ainda mais importante é identificar quais são
os objetivos da biblioteca e como será a sua atuação na Web 2.0. O perfil oficial de
uma biblioteca deve ser neutro, o que contrasta diretamente com os objetivos iniciais
das ferramentas da Web 2.0, as quais surgiram e foram aceitas pela grande massa
justamente por possibilitar o contato social entre amigos.
A imprudência e a distração são um dos principais fatores que interferem
numa atuação indevida nos perfis oficiais de uma instituição. Muitos profissionais
responsáveis por perfis oficiais já cometeram o erro de exprimirem suas opiniões
pessoais ou se confundirem postando mensagens pessoais no perfil oficial por estar
acessando o seu perfil ao mesmo tempo (CORDEIRO; ZUBEN, 2011).
Segundo Cordeiro e Zuben (2011), os responsáveis pelos perfis devem ter
conhecimento a cerca das consequências de sua atuação. Pois, devido à rápida
disseminação da informação nas ferramentas Web 2.0, as mensagens por eles
postadas podem ser propagadas com facilidade, o que pode vir a comprometer a
imagem da instituição.
Quanto mais democrática for a web, ou qualquer outro sistema, mais ela requer uma postura ética confiável dos seus usuários. Caso contrário corre-se o risco da proliferação da falta de credibilidade na rede. Isso é exatamente o que acontece com as redes sociais no mundo e especialmente no Brasil. (MACHADO, 2010, p. 23).
Os responsáveis pelos perfis devem saber diferenciar a opinião pessoal da
opinião profissional ao se expressar, pois determinados deslizes em redes sociais
podem gerar dúvidas nos usuários, bem como provocar problemas para a imagem
da instituição e, consequentemente, reduzir o interesse dos usuários.
De acordo com Cordeiro e Zuben (2011), o perfil oficial deve, unicamente,
prender-se a fatos. E para tal, é necessário treinar os responsáveis e monitorar
constantemente a sua atuação. Porém, ainda são necessárias que outras ações
sejam adotadas, dentre elas:
Não divulgar informações pessoais, internas ou confidenciais; não acessar sites ou seguir links recebidos através de mensagens eletrônicas obtidos em páginas sobre as quais não se saiba a procedência; desligar a opção de recebimento de notificações via e-mail para evitar a disseminação de códigos maliciosos para facilitar a identificação de mensagens falsas. (CORDEIRO; ZUBEN, 2011)17.
A Política de Segurança da Informação (PSI) deve abranger aspectos
direcionados para a atuação das bibliotecas nas ferramentas da Web 2.0, pois elas
têm características específicas que não condizem com as políticas direcionadas aos
sistemas de informação da instituição.
Diante da diversidade de informações e processos de transmissão de dados existentes, percebe-se que os objetivos das políticas de segurança da informação também variam de acordo com o tipo da informação e com a etapa do ciclo de vida da mesma. (SILVA, A.; SILVA, E., 2008, p.43).
17 Documento eletrônico não paginado.
Assim sendo, é importante que a biblioteca, ao se inserir em um novo
contexto no qual realizará alguma atividade como no caso da Web 2.0, crie uma
política de segurança específica. Assim como a biblioteca quis valorizar a sua
imagem ao inserir-se na Web 2.0, é importante que ela também se preocupe com a
repercussão que sua atuação poderá causar à sua imagem. De acordo com Targino
(2002, p. 7), “é impossível deixar fluir a evolução tecnológica em descompasso com
valores éticos e morais”. É por isso que as principais questões que devem ser
abordadas nessa política são a conscientização e o treinamento dos responsáveis
pelos perfis da biblioteca na Web 2.0.
Para aprofundar as reflexões feitas nesse trabalho, resolveu-se realizar um
estudo de caso no qual estão implicados os assuntos aqui abordados. Esse estudo
de caso bem como o instrumento de coleta de dados e os procedimentos
metodológicos adotados serão compreendidos no próximo capítulo.
6 PROCEDIMENTOS METODOLÓGICOS
Com a finalidade de atingir os objetivos da pesquisa, optou-se por adotar
como procedimento metodológico, além da pesquisa bibliográfica realizada em
documentos impressos e eletrônicos, um estudo de caso, que teve como
instrumento de coleta de dados um questionário (em apêndice). Este questionário
compreende duas partes: a caracterização do informante e a atuação da biblioteca
na Web 2.0.
A caracterização do informante é composta por seis questões abertas, mistas
e fechadas, das quais uma possui uma subquestão, o que totaliza sete questões.
Essas questões pedem informações como nome, cargo ou função na instituição,
faixa etária, tempo de serviço e formação acadêmica no nível de graduação e pós-
graduação.
A segunda parte do questionário, que é direcionada a atuação da biblioteca
na Web 2.0, é composta por quatorze questões mais onze subquestões, que
somados totalizam vinte e cinco questões. Essas questões também são abertas,
mistas e fechadas, e pedem as seguintes informações, que estão sintetizadas: o
objetivo da biblioteca ao se inserir na Web 2.0; os recursos mais utilizados; o porquê
da escolha de tais recursos; conhecimento sobre perfis não oficiais; os serviços
disponibilizados pela Web 2.0; a quantidade de responsáveis pelos perfis oficiais; a
formação dos responsáveis pelos perfis; treinamento dos responsáveis; uso de
termo de responsabilidade bem como os elementos desse termo; a existência de
política de segurança da informação; a existência de gestão da segurança da
informação; monitoramento dos perfis oficiais bem como sua frequência; restrição de
acesso; ameaças sofridas bem como o fato e as medidas tomadas; e a análise da
própria biblioteca sobre sua atuação na Web 2.0.
Esse questionário foi elaborado online através do aplicativo Google Docs18
pela praticidade e facilidade de envio, realizada através de um link, e resposta, que
fornece ao informante caixas de texto, que após serem respondidas e validadas são
enviadas diretamente para a conta do requerente.
18 O Google Docs é um serviço gratuito para visualização e edição de textos, planilhas, apresentações, desenhos e formulários.
Para ser o estudo de caso da pesquisa, pensou-se inicialmente na Fundação
Biblioteca Nacional (FBN), por ser a biblioteca mais importante do país, a maior
biblioteca da América Latina e estar entre as dez maiores bibliotecas nacionais do
mundo. O primeiro contato foi realizado no dia 10 de outubro de 2011 através do site
da FBN. Após a troca de inúmeros e-mails com responsáveis de diversos setores, o
questionário ficou sob a responsabilidade da assessoria de imprensa, que é o único
setor responsável por responder a este tipo de questionário. Porém, com o passar
das semanas, e após inúmeros contatos via e-mail e telefone, e mesmo com a
confirmação de que o questionário seria respondido, no dia 22 de novembro de
2011, o responsável pela assessoria de imprensa informou que não seria mais
possível responder ao questionário devido à falta de tempo.
Mesmo com as respostas positivas da FBN, no dia 07 de novembro foi
realizado o primeiro contato com a Biblioteca Nacional de Brasília (BNB), que após
três semanas, mais precisamente no dia 29 de novembro de 2011, respondeu ao
questionário enviado. Assim sendo, o estudo de caso foi realizado com a Biblioteca
Nacional de Brasília.
5.1 A Biblioteca Nacional de Brasília (BNB)
Os primeiros passos para a criação da BNB foram dados em 27 de abril de
1962, quando o presidente do Conselho de Ministros, ministro Tancredo Neves,
publica o Decreto do Conselho de Ministros nº 927-A, constituindo a comissão para
estudar medidas necessárias à criação, organização e instalação da Biblioteca
Nacional de Brasília, pois como capital da república deveria dispor de serviços de
uma biblioteca nacional.
Entretanto, a Biblioteca Nacional de Brasília só foi aberta à comunidade em
12 de dezembro de 2008. A BNB é uma instituição pública vinculada à estrutura
administrativa da Subsecretaria de Patrimônio Histórico, Artístico e Cultural da
Secretaria de Estado de Cultura do Governo do Distrito Federal (SC/GDF) e que tem
como parceiros os Ministérios de Ciência e Tecnologia (MCT), da Cultura (MinC) e
da Educação (MEC).
A BNB adotou o modelo híbrido e, devido a isso, disponibiliza a informação
nos formatos físico e digital. O prédio da BNB oferece aos usuários salões de leitura
e estudo, espaços multimídia, rede wireless em todo o prédio e acesso livre e
gratuito a 51 computadores conectados a Internet banda larga.
A política de armazenamento da BNB organiza as obras em duas grandes
coleções: a Popular, que é formada por obras das mais diversas áreas do
conhecimento, e a Brasiliana, que reúne, preserva e disponibiliza, apenas para
pesquisadores, obras sobre temas brasileiros que tenham sido publicadas no Brasil
e no exterior. Porém, a partir de 2012 os acervos digitais e as coleções Popular e
Brasiliana estarão abertos à comunidade.
O acervo atual da BNB foi formado a partir de doações de instituições
governamentais, não-governamentais e de coleções particulares de pessoas físicas
e jurídicas, totalizando, aproximadamente, 100 mil exemplares. Devido a problemas
político-institucionais, o acervo da BNB ainda não está disponível aos usuários,
porém os mesmos têm frequentado os salões de estudo, acessado a internet e
usufruído, gratuitamente, dos eventos culturais e das atividades educativas
oferecidas à comunidade.
O prédio da BNB está localizado na Esplanada dos Ministérios, entre o Setor
Bancário Sul e a rodoviária do Plano Piloto e integra o Conjunto Cultural da
República juntamente com o Museu da República.
FIGURA 1- Prédio da Biblioteca Nacional de Brasília
Fonte: BIBLIOTECA NACIONAL DE BRASÌLIA. Imagens institucionais. Disponível em:
<http://www.bnb.df.gov.br/index.php/conheca-a-bnb/galeria-imagens/category/2 -imagens-institucionais>. Acesso em: 10 dez. 2011.
5.1.2 Caracterização do Informante
O questionário foi respondido pela funcionária da BNB Flávia Marta
Camarano Salim, que está entre a faixa etária de 41 anos, é graduada em
Comunicação Social e Especialista em Gestão de Comunicação nas Organizações.
Flávia Salim é analista de Políticas Públicas e Gestão Governamental na Biblioteca
Nacional de Brasília, onde trabalha a menos de cinco anos.
7 ESTUDO DE CASO: BIBLIOTECA NACIONAL DE BRASÍLIA (BNB)
O estudo de caso realizado com a Biblioteca Nacional de Brasília (BNB) tem o
intuito de conhecer os objetivos da BNB ao se inserir nas ferramentas da Web 2.0
bem como analisar se foram adotados procedimentos de gestão da segurança da
informação para a sua atuação nessas ferramentas. Para isso, as perguntas
realizadas no questionário foram baseadas em todo o referencial teórico utilizado
neste trabalho.
A primeira questão visava entender qual é o objetivo da Biblioteca Nacional
de Brasília (BNB) ao se inserir na Web 2.0. Para essa questão, a resposta obtida foi
que o objetivo da biblioteca é utilizar as ferramentas tecnológicas para estabelecer,
manter e potencializar o diálogo da instituição com os seus diversos públicos.
Complementando essa resposta, a informante explicou que:
A Web proporciona a democratização do acesso à informação e garante a entes públicos a divulgação de seus trabalhos, projetos e serviços com custos reduzidos. É uma biblioteca extra-muros. Aliado a isso, é importante ressaltar que a BNB é uma biblioteca que adotou o modelo híbrido, ou seja, trabalhar com a informação em todos os seus formatos – físicos, digitais – além de ser uma instituição altamente tecnológica que nasceu na sociedade da informação.
A BNB informou ter perfil oficial na rede social Facebook, no microblog
Twitter, e no site de compartilhamento de vídeos You Tube, os quais são utilizados
para divulgação de eventos, cursos, novas aquisições e para esclarecer dúvidas dos
usuários. Com base nessas respostas vê-se que a principal finalidade da BNB, ao
usar essas ferramentas, é o e-marketing.
Logo abaixo, estão ilustrados os perfis oficiais da BNB:
FIGURA 2- Perfil oficial da BNB no Facebook
Fonte: FACEBOOK. Biblioteca Nacional de Brasília. Disponível em:
<http://pt-br.facebook.com/people/Biblioteca-Nacional-de- Bras%C3%ADlia/100001346522311>. Acesso em: 10 dez. 2011.
FIGURA 3- Perfil oficial da BNB no Twitter
Fonte: TWITTER. Biblioteca Nacional. Disponível em:
<http://twitter.com/BNBnacional>. Acesso em: 10 dez. 2011.
FIGURA 4- Perfil oficial da BNB no You Tube
Fonte: YOU TUBE. Biblioteca Nacional de Brasília. Disponível em:
<http://www.youtube.com/bnbbrasilia>. Acesso em: 10 dez. 2011.
Quando perguntado o porquê de terem criado perfis da BNB nessas
ferramentas específicas, a informante respondeu que:
As mídias sociais favorecem a transmissão da informação bem como estimula a interação e participação da sociedade na vida da instituição. Além da gratuidade das ferramentas e a velocidade de transmissão, esta foi a forma que encontramos para a BNB se comunicar com seus públicos, multiplicando a informação, ao mesmo tempo em que consolida a sua imagem, tendo em vista a falta de orçamento para utilização das mídias tradicionais (jornal, rádio, TV...).
Em relação à existência de perfis não oficiais, a informante respondeu que a
BNB não tem conhecimento a cerca disso. Entretanto, ao realizar uma pesquisa
simples em algumas ferramentas, foram identificadas, na rede social Orkut, algumas
subcomunidades sobre a Biblioteca Nacional de Brasília.
Essas subcomunidades serão ilustradas a seguir.
FIGURA 5- Subcomunidade Biblioteca Nacional - Brasília
Fonte: ORKUT. Biblioteca Nacional – Brasília. Disponível em:
<http://www.orkut.com.br/Main#Community?cmm=32450552>. Acesso em: 10 dez. 2011.
FIGURA 6- Subcomunidade Biblioteca Nacional - SG
Fonte: ORKUT. Biblioteca Nacional – SG. Disponível em:<http://www.orkut.
com.br/Main#Community?cmm=90102167>. Acesso em: 10 dez. 2011.
Em relação às imagens 4 e 5, qualquer usuário que pesquise sobre a
Biblioteca Nacional de Brasília no Orkut, e que não observe quem é o dono da
subcomunidade, poderia acreditar que elas se tratam de perfis oficiais da BNB. Além
dessas, existem outras subcomunidades que também estão relacionadas com a
imagem da biblioteca, são elas:
FIGURA 7- Subcomunidade Galera da Biblioteca Nacional
Fonte: ORKUT. Galera da Biblioteca Nacional. Disponível em:
<http://www.orkut.com.br/Main#Community?cmm=99143381>. Acesso em: 10 dez. 2011.
FIGURA 8- Subcomunidade Galera da BNB
Fonte: ORKUT. Galera da BNB. Disponível em: <http://www.orkut.com.br/
Main#Community?cmm=52065308>. Acesso em: 10 dez. 2011.
Essas subcomunidades, não só envolvem diretamente a imagem da BNB,
como ainda realizam pesquisas sobre problemas relacionados ao funcionamento da
biblioteca (FIGURA 7). Independente da quantidade de membros que cada
subcomunidade reúna e a frequência de acesso dos mesmos, é importante que a
BNB monitore, periodicamente, os assuntos que estão sendo abordados por elas,
pois em algum devido momento, essas subcomunidades podem disseminar
informações que não condizem com a política da BNB, o que pode acarretar em
prejuízos para a sua imagem.
Ao ser questionada sobre a quantidade de responsáveis pelos perfis oficiais
da BNB, a informante respondeu que os mesmos estão sob a responsabilidade de
dois a quatro profissionais, os quais são graduados em Comunicação Social. Tendo
em vista que o objetivo da BNB é consolidar a sua imagem, seria interessante que
ela disponibilizasse também serviços de referência, entre outros que
caracterizassem a Biblioteca 2.0, e que, consequentemente, tivesse a presença de
bibliotecários.
Quando questionada a respeito, a informante indicou que as senhas desses
perfis são de conhecimento exclusivo de todos os responsáveis, porém, nessa
questão não ficou definido se os perfis estão sob a responsabilidade de todos os
responsáveis, ou se cada um deles é responsável por um perfil diferente. Mas,
independentemente da resposta, é importante que a biblioteca saiba identificar o
funcionário caso haja algum incidente voluntário ou involuntário, pois, segundo
Fontes (2000, p. 22) “quando um usuário utiliza ou envia uma informação, deve-se
garantir que ele não possa negar sua responsabilidade pelo uso ou envio da
mesma”.
Ainda no que se refere aos responsáveis pelos perfis oficiais, foi informado
também que nenhum deles passou por treinamento referente à segurança da
informação antes de assumirem tal responsabilidade, como também não assinaram
nenhum termo de responsabilidade referente à sua atuação como representantes da
BNB. Através disso, vê-se que é necessário que a BNB realize treinamento e adote
o uso do termo de responsabilidade, pois ambos são muito importantes, uma vez
que um conscientiza e o outro inibe a atuação indevida de um profissional. O
representante que atua na Web 2.0, que não tem consciência e/ou responsabilidade
afirmada, estará mais susceptível a causar incidentes involuntários com os perfis
oficiais.
Porém, segundo a informante, existe alguém responsável avaliando,
diariamente, a atuação da BNB nas ferramentas da Web 2.0. Entretanto, mesmo que
o avaliador detecte alguma ação indevida e tome atitudes para solucioná-la, a
disseminação da informação nessas mídias ocorre de forma instantânea e envolve
um grande número de pessoas, o que, consequentemente, poderá ser propagado na
rede. No caso de uma instituição de grande porte como a Biblioteca Nacional de
Brasília, isso poderá vir a ser divulgado, inclusive, pelas mídias jornalísticas.
É possível que esses procedimentos não tenham sido adotados pelo fato de a
BNB não possuir Política de Segurança da Informação (PSI) voltada à sua atuação
nas ferramentas da Web 2.0. Em relação a isso, a informante justificou que utilizam
a PSI adotada pelo Núcleo de Informática e Inclusão Social da BNB e que a mesma
não está voltada apenas para as redes sociais, mas para todo o sistema de
informação da instituição, com monitoramento em tempo integral. Porém, pela
resposta, é possível supor que tanto essa PSI como o monitoramento são voltados,
unicamente, para questões técnicas de gerenciamento de rede.
Apesar de não possuir política de segurança da informação, a informante diz
que a BNB realiza Gestão da Segurança da Informação por ser uma usuária da
Rede Nacional de Ensino e Pesquisa (RNP)19, ligada ao Ministério de Ciência e
Tecnologia, que garante a segurança da informação em todo o sistema (rede
wireless e rede com fio). Através dessa resposta, confirma-se a suposição
mencionada na questão anterior, onde os controles e monitoramento de segurança
da BNB são voltados apenas a questões técnicas. Segundo Sêmola (2003), é um
erro dar a responsabilidade de segurança da informação ao departamento de
informática, pois os procedimentos que envolvem o fator humano são uma questão
gerencial e não técnica.
19A RNP atua na detecção, resolução e prevenção de incidentes de segurança na rede através de seu Centro de Atendimento a Incidentes de Segurança (CAIS).
Segundo a informante, os perfis da BNB na Web 2.0, até o momento, só
sofreram ameaças externas (hackers, vírus) através de ataques de spams, ataques
rotineiros nas contas de e-mails para infiltração de vírus. Para corrigir e prevenir
esses problemas que foram detectados, a BNB realizou banimento do IP20 que
atacou a rede, alteração de senhas, orientação aos usuários sobre os acessos e
links duvidosos e o monitoramento constante dos riscos.
Hoje, a BNB analisa a sua atuação na Web 2.0 em relação à Segurança da
Informação como muito satisfatória devido ao monitoramento e controle realizado
pela Rede Nacional de Ensino e Pesquisa, por meio do Centro de Atendimento a
Incidentes de Segurança (CAIS).
Com base em todas as respostas fornecidas pela informante, vê-se que a
Biblioteca Nacional de Brasília está muito bem amparada pela RNP em relação a
questões técnicas e as ameaças externas, no que se refere aos vírus. Esses
procedimentos de segurança técnica são de suma importância para o bom
funcionamento das redes, as quais serão o meio de acesso da biblioteca com o
mundo virtual e social da Web 2.0.
Entretanto, em relação às questões de gestão, onde está implicado o fator
humano, vê-se que há poucos procedimentos direcionados para isso. Nesse caso,
para que a BNB reduza os riscos referentes a esse aspecto, sugere-se que a BNB
realize uma Gestão de Segurança da Informação na qual seja compreendida a
criação de uma política de segurança, que preveja treinamento para os responsáveis
pelo perfil e a assinatura de um termo de responsabilidade dos profissionais
diretamente envolvidos com a presença da biblioteca na Web 2.0.
20 Internet Protocol é a identificação exclusiva de um computador na Internet.
8 CONSIDERAÇÕES FINAIS
A pesquisa realizada trabalhou com uma temática ainda não explorada
diretamente no âmbito da biblioteconomia. Mas, mesmo assim, através do
referencial teórico utilizado, foi possível analisar os procedimentos de segurança
voltados à atuação da biblioteca na Web 2.0.
Nesta pesquisa foram caracterizados todos os objetivos e aspectos
essenciais da segurança da informação bem como a aplicabilidade dos mesmos nas
bibliotecas. Isso serviu para fundamentar a pesquisa como também a elaboração do
questionário e a análise das respostas provenientes do mesmo, de forma eficiente.
Também foi possível analisar quais as principais características da Biblioteca 2.0,
através dos conceitos referentes à Web 2.0 e suas ferramentas e a aplicabilidade
das mesmas nas bibliotecas. Para complementar foi caracterizado também o
Bibliotecário 2.0. Outro objetivo atingido durante a elaboração do trabalho foi a
identificação dos riscos e as ameaças à segurança da informação mais comuns na
Web 2.0. Com isso, foi possível compreender também quais os impactos
decorrentes deles e a sua implicação na atuação da biblioteca na Web 2.0.
Após essa etapa, foi possível identificar também estratégias para evitar e/ou
minimizar os riscos e ameaças à Segurança da Informação na Web 2.0, inclusive no
que se refere à divulgação de informações confidenciais de forma deliberada,
visando uma atuação da biblioteca na Web 2.0 de forma segura e responsável.
Através das respostas fornecidas pela informante da Biblioteca Nacional de
Brasília, foi possível analisar, sob a perspectiva de segurança da informação, como
a BNB atua na Web 2.0. Essa análise baseou-se nos objetivos e serviços que a BNB
oferece por meio dos seus perfis oficiais e através dos procedimentos adotados pela
BNB em relação ao gerenciamento da Segurança da Informação.
Com base nisso, pode-se dizer que os objetivos propostos inicialmente nesse
trabalho foram alcançados com êxito, uma vez que, através deles, foram
identificadas necessidades reais da aplicabilidade de alguns procedimentos que
foram sugeridos no desenvolver da pesquisa.
Considerando os resultados obtidos na pesquisa, conclui-se que a atuação da
Biblioteca Nacional de Brasília na Web 2.0 em relação à Segurança da Informação,
ainda não é satisfatória, pois, apesar de ainda não ter ocorrido nenhum incidente de
segurança referente ao fator humano, a BNB não possui uma política de segurança
da informação na qual o aspecto humano esteja incorporado. Como visto no
desenvolvimento do trabalho, o fator humano é responsável por cerca de 70% dos
incidentes de segurança em uma organização e, devido a isso, ele precisa ser
contemplado com política de segurança, gerenciamento e monitoramento.
Entretanto, para que isso mude, é necessário, primeiramente, que a BNB
associe o fator humano ao conceito de segurança da informação. Pois, como visto,
todas as medidas de proteção tomadas pela BNB, em relação à segurança, têm sido
voltadas unicamente aos aspectos técnicos, como é o caso do gerenciamento de
rede.
Tendo em vista que esta pesquisa compreendeu os vários aspectos da
segurança da informação, é difícil exprimir com precisão as falhas existentes que
interferem na eficiência de cada objetivo da segurança da informação dos perfis
oficiais da BNB na Web 2.0. Devido a isso, recomenda-se que sejam realizadas
outras pesquisas que explorem exaustivamente cada objetivo da segurança da
informação na atuação não só da Biblioteca Nacional de Brasília como também de
outras bibliotecas, sejam elas públicas ou privadas.
REFERÊNCIAS
AFONSO, Rodrigo. Segurança com Web 2.0 é preocupação para 63% das organizações. 25 maio 2009. Disponível em: <
http://cio.uol.com.br/tecnologia/2009/05/25/seguranca-com-web-2-0-e-preocupacao-para-63-das-organizacoes/>. Acesso em: 05 dez. 2011. BEAL, Adriana. Gestão Estratégica da Informação: como transformar a informação e a tecnologia da informação em fatores de crescimento e de alto desempenho nas organizações. São Paulo: Atlas, 2004. ISBN 8522437645
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. ISBN 8522440859 BEUREN, Ilse Maria. O Papel da Informação na Elaboração da Estratégia Empresarial. p. 41-57. In: _____. Gerenciamento da informação: um recurso estratégico no processo de gestão empresarial. 2. Ed. São Paulo: Atlas, 2000. BLOGGER. O que é?. 2002. Disponível em: <http://blogger.globo.com/br/about.jsp>; Acesso em: 07 dez. 2011. BORBA, Maria do Socorro de Azevedo. Prefácio. In: SILVA, Eliane F. da. Segurança da Informação: temas para uma prática. Natal: EDUFRN, 2008. ISBN 9788572733977 CAMPOS, Fernando; SIGNORINI NETO, Nery; CANTO, Wagner F. Web 2.0 Sob a Perspectiva da Segurança. São Paulo: [s.n.], 2008. 11 p. Disponível em: <http://fernandocampos.pro.br/artigos/Web%202.0%20Sob%20a%20Perspectiva%20da%20Seguran%C3%A7a.pdf>. Acesso em: 05 dez. 2011. CAPURRO, Rafael; HJORLAND, Birger. O conceito de informação. In: Perspect. Ciênc. Inf. v.12, n.1, Belo Horizonte, Jan./Abr., 2007. ISSN 1413-9936. Disponível em: < http://dx.doi.org/10.1590/S1413-99362007000100012 >. Acesso em: 15 out. 2011. CAIS/RNP. Segurança em redes sociais: recomendações gerais. 2009. Disponível em: < http://www.rnp.br/_arquivo/disi2009/rnp-disi-2009-cartilha.pdf>. Acesso em: 08 dez. 2011. CARUSO, Fabiano de Sousa. Biblioteca 2.0: consultoria em serviços de informação digitais e competência informacional na Fundação Certi. Florianópolis: UFSC, ago. 2006. 60 p. Disponível em: <http://fabianocaruso.com/docs/caruso.pdf>. Acesso em: 20 abr. 2011. CARVALHO, Andréa Vasconcelos. Comunidades virtuales y producción de inteligencia económica y competitiva. Inteligencia y Seguridad: revista de análisis y prospectiva, v. 3, p. 13-45, 2007. Disponível em: <http://repositorio.ufrn.br:8080/jspui/handle/1/3150>. Acesso em 05 dez. 2011.
CAVALCANTI, Marcos; NEPOMUCENO, Carlos. O conhecimento em rede: como implantar projetos de inteligência coletiva. Rio de janeiro: Elsevier, 2007. CORDEIRO, Luiz Eduardo Roncato; ZUBEN, Miriam Von. Segurança em Redes Sociais. Defensis Prodesp, 2011, Sao Paulo – 24 e 25 de maio de 2011 – p. 1/28. Disponível em: <http://www.cert.br/docs/palestras/certbr-prodesp2011.pdf>. Acesso em 09 dez. 2011. COSMO, Maria C.G. et al. A Segurança da Informação a favor do Serviço de Arquivo Médico. In: SILVA, Eliane F. da. Segurança da Informação: temas para uma prática. Natal: EDUFRN, 2008. 117 p. ISBN 9788572733977 DRUCKER, Peter. Além da revolução da informação. 2000. Disponível em: <http://www.facensa.com.br/paginapessoal/rinaldom/files/Teoria_da_Administracao/alem_da_revolucao_da_informacao.pdf>. Acesso em: 15 out. 2011.
DUDZIAK, Elisabeth Adriana. Information literacy: princípios, filosofia e prática. São Paulo. In: Ci. Inf., Brasília, v.32, n.1, p. 23-35, jan./abr. 2003. Disponível em: <http://www.scielo.br/pdf/ci/v32n1/15970.pdf>. Acesso em: 16 out. 2011.
FONTES, Edison. Vivendo a Segurança da Informação: orientações práticas para pessoas e organizações. 1.ed. São Paulo: Sicurezza: Brasiliano & Associados, 2000. GARCÍA, Thais Xavier; VIERA, Angel Freddy Godoy. Biblioteca 2.0: levantamento do seu uso em bibliotecas. Ciencias de la Información, v. 41, n.2, p. 17-26, maio/ago., 2010. Disponível em: cinfo.idict.cu/index.php/cinfo/article/download/177/165. Acesso em: Acesso em: 08 dez. 2011. GONÇALVES, Aline Lima; CONCEIÇÃO, Maria Imaculada da; LUCHETTI, Sonia Marisa. Web 2.0 e o Caso da Biblioteca Florestan Fernandes. In: Anais... XVI SEMINÁRIO NACIONAL DE UNIVERSITÁRIAS, Rio de Janeiro, 2010. Disponível em: < http://www.google.com.br/#hl=pt-BR&cp=28&gs_id=34&xhr=t&q=gon%C3%A7alves+luchetti+florestan&pf=p&sclient=psy>. Acesso em: 09 dez. 2011. GREGO, Maurício. Redes Sociais. Exame.com, 30 nov. 2011. Disponível em: <http://exame.abril.com.br/tecnologia/noticias/linkedin-ja-tem-6-milhoes-de-usuarios-no-brasil>. Acesso em: 04 dez. 2011 HASHIMOTO, Alberto Nobuyuki. Dado, Informação e Conhecimento. 25 set. 2009. Disponível em: <http://kmol.online.pt/artigos/2009/09/25/dado-informacao-conhecimento>. Acesso em: 15 out. 2011. JULIEN, Pierre-André. A informação: uma primeira condição necessária para reduzir a incerteza e a ambigüidade. In: _____. Empreendedorismo regional e economia do conhecimento. São Paulo: Saraiva, 2010. p. 191-212. KENDZERSKI, Paulo Roberto. WEB Marketing ou Marketing Digital. 23 MAR. 2005. Disponível em: < http://www.wbibrasil.com.br/artigo/afinal-o-que-e-web-marketing-/15/ >. Acesso em: 06 dez. 2011.
LE COADIC, Yves-François. A Ciência da Informação. Brasília: Briquet de Lemos, 1997. 124 p. ISBN 8585637080. MACHADO, Guilherme Lourenço. Uso das ferramentas de Web 2.0 pelos usuários da Biblioteca Central da Universidade de Brasília. Brasília, 2010. Trabalho de conclusão de curso (Monografia). Universidade de Brasília – UnB. Disponível em: <http://bdm.bce.unb.br/bitstream/10483/1115/1/2010_GuilhermeLouren%C3%A7o.pdf>. Acesso em: 07 dez. 2011. MANESS, Jack. M. Teoria da Biblioteca 2.0: Web 2.0 e suas implicações para as bibliotecas. In: Inf. & Soc.: Est., João Pessoa, v. 17, n. 1, p.43-51, jan./abr., 2007. Disponível em: < http://periodicos.ufpb.br/ojs2/index.php/ies/article/view/831/1464>. Acesso em: 07 dez. 2011. MARGAIX ARNAL, Dídac. Conceptos de web 2.0 y biblioteca 2.0: origen, definiciones y retos para las bibliotecas actuales. Valência: [s.n.], 2007.12 p. In: El profesional de la información, mar./abr., v. 16, n. 2, p. 95-106. 2007. Disponível em: <http://www.oei.es/tic/kx5j65q110j51203.pdf>. Acesso em: 08 DEZ. 2011. PEREIRA, Ana Paula. O que é Hash?. Mar. 2009. Disponível em: < http://www.tecmundo.com.br/1663-o-que-e-hash-.htm>. Acesso em: 04 dez. 2011.
POTENGY, Romualdo. A importância da Informação. 2010. Disponível em: <http://www.codeplan.df.gov.br/cipa/importanciadainformacao.html>. Acesso em: 15 out. 2011.
PRESCOTT, Roberta. Fator humano: um dos pilares da segurança da informação. set., 2007.Disponível em: <http://itweb.com.br/noticias/index.asp?cod=41990>. Acesso em: 30 nov. 2011. PROTESTE. Redes Sociais: divertidas e úteis, mas não sem riscos. In:_____. Estudo de Cenário, Rio de janeiro, n. 106, p. 12-14, set. 2011. Disponível em: <http://www.proteste.org.br/tecnologia/redes-sociais-uteis-mas-com-riscos-s548201.htm>. Acesso em: 08 dez. 2011. RIBEIRO, Ana Cláudia; GARCIA, Daniel Xavier. A importância da leitura para os futuros Profissionais da Informação. Santa Catarina, UFSC, 2008. 7 p. In: ENCONTRO REGIONAL DE ESTUDANTES DE BIBLIOTECONOMIA, DOCUMENTAÇÃO, CIÊNCIA DA INFORMAÇÃO E GESTÃO DA INFORMAÇÃO DA REGIÃO SUDESTE E CENTRO-OESTE (EREBD), 10., 2009, Goiás. Anais... Goiás, 2009. Disponível em: <http://www.ufg.br/this2/uploads/files/74/A_import_ncia_da_leitura_para_os_futuros_profissionais.pdf>. Acesso em: 18 set. 2011. SANTANA, Ana Lucia. História do Facebook. 23 mar. 2011. Dispoível em: <http://www.infoescola.com/internet/historia-do-facebook/>. Acesso em: 05 dez. 2011.
SANTOS, Cleone Francisco; SILVA, Deverton Santana; GOUVÊA, João Paulo Hora. Ameaças à Segurança da Informação: os riscos humanos como fator prevenção. Jul. 2010. Disponível em: <http://www.artigos.etc.br/ameacas-a-seguranca-da-informacao-os-riscos-humanos-como-fator-prevencao.html>. Acesso em 30 nov. 2011 SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Campus, 2003. ISBN 8535211918 SETZER, Valdemar W. Dado, Informação, Conhecimento e Competência. [S. l.]: [s. n.], fev. 1999. In: DataGramaZero. n.0, dez. 1999. Disponível em: <http://www.ime.usp.br/~vwsetzer/datagrama.html>. Acesso em: 15 out. 2011.
SILVA, Abílio F. da. et al. Segurança da Informação: o elo mais fraco. p. 13-32. In: SILVA, Eliane F. da. Segurança da Informação: temas para uma prática. Natal: EDUFRN, 2008. 117 p. ISBN 9788572733977 SILVA, Abílio F. da; SILVA, Eliane F. da. Políticas de Segurança da Informação: fundamentos para uma prática. In: SILVA, Eliane F. da. Segurança da Informação: temas para uma prática. Natal: EDUFRN, 2008. 117 p. ISBN 9788572733977 SOUZA, Rodrigo. Desafios da segurança da informação na web 2.0 e no ambiente corporativo. [S.l]: Malima, 10 out. 2010. Disponível em: <http://www.malima.com.br/article_read.asp?id=761>. Acesso em: 04 dez. 2011. TARGINO, Maria das Graças. Novas Tecnologias e Produção Científica: uma relação de causa e efeito ou uma relação de muitos efeitos?. In: DataGramaZero- Revista de Ciência da Informação- v. 3, n. 6, dez. 2002. Disponível em: <http://www.dgz.org.br/dez02/Art_01.htm>. Acesso em: 30 out. 2011. TWITTER. Twitter é a melhor forma para descobrir as novidades do seu mundo. Disponível em: < http://twitter.com/about>. Acesso em: 06 dez. 2011. VEJA. Redes Sociais. 16 set. 2011. Disponível em: <http://veja.abril.com.br/noticia/vida-digital/orkut-e-facebook-sobrevivem-juntos-no-pais-%E2%80%93-por-certo-tempo>. Acesso em: 05 dez. 2011.
VIEIRA, David Vernon; CARVALHO, Eliane Batista; LAZZARIN, Fabiano Aparecido. Uma proposta de modelo baseado na Web 2.0 para as bibliotecas das Universidades Federais. Anais...: IX Diversidade Cultural e políticas de informação ENANCIB. São Paulo: USP, 2008. Disponível em: <http://www.ancib.org.br/media/dissertacao/2053.pdf>. Acesso em: 06 dez. 2011.
YAMASHITA, Marina Mayumi; FAUSTO, Sibele S. Serviços de informação: tecnologias web 2.0 aplicadas às bibliotecas. Disponível em: <http://www.followscience.com/library_uploads/abd7fd2d127090df4225d630b2ff55bc/129/servicos_de_informacao_tecnologias_web_20_aplicadas_as_bibliotecas.pdf>. Acesso em: 08 dez. 2011.
APÊNDICE
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS
DEPARTAMENTO DE BIBLIOTECONOMIA CURSO DE GRADUAÇÃO EM BIBLIOTECONOMIA
PESQUISA
Este instrumento de coleta de dados está vinculado à pesquisa “A Biblioteca 2.0 sob a ótica da Gestão da Segurança da Informação” realizado pela discente Rayssa Lara Oliveira de Andrade. Destina-se à elaboração de um Trabalho de Conclusão de Curso (TCC), realizado no Curso de Graduação em Biblioteconomia da Universidade Federal do Rio Grande do Norte sob a orientação da Profª Dra. Andréa Vasconcelos Carvalho.
Caracterização do Informante 1)Nome completo: ___________________________________________________ 2) Cargo ou função na BNB: ___________________________________________ 3) Faixa etária: ( ) De 20 a 25 anos ( ) De 26 a 30 anos ( ) De 31 a 36 anos ( ) De 37 a 40 anos ( ) Mais de 41 anos 4) Há quanto tempo trabalha na BNB? ( ) Entre 0 e 5 anos ( ) Entre 6 e 10 anos ( ) Entre 11 e 16 anos ( ) Há mais de 17 anos 5) Qual é a sua Graduação? ( ) Biblioteconomia ( ) Comunicação Social ( ) Marketing ( ) Administração ( ) Outra: _________________________ 6) Possui formação acadêmica em nível de Pós-graduação? ( ) Sim ( ) Não 6.1) Em caso afirmativo, informe qual: __________________________________
Atuação da Biblioteca na Web 2.0
7) Qual é o objetivo da BNB ao se inserir na Web 2.0? _____________________ 8) Em quais dos recursos da Web 2.0 citados abaixo, a BNB possui perfil oficial? ( ) Orkut ( ) Facebook ( ) Twitter ( ) Flickr ( ) Linkedin ( ) Blog ( ) Outro: ________ 8.1) Por que a BNB decidiu criar perfis nas ferramentas indicadas acima? ___________________________________________________________________ 9) A BNB tem conhecimento da existência de perfis não oficiais? ( ) Sim ( ) Não 9.1) Em caso afirmativo, a BNB faz monitoramento desses perfis? ___________ 9.2) Por quê? ________________________________________________________ 10) Quais são os serviços disponibilizados pela BNB nas Redes Sociais? ( ) Folksonomia ( ) Fóruns e Chats ( ) RSS ( ) Tags – etiquetas ( ) Serviços de Referência ( ) Comentários sobre novas aquisições ( ) Divulgação de eventos, cursos e novas aquisições ( ) Esclarecimentos de dúvidas dos usuários 11) Quantas pessoas são responsáveis pelos perfis da BNB? ( ) Um profissional ( ) De dois a quatro profissionais ( ) Cinco ou mais profissionais 12) Qual é a formação do(s) responsável(is) pelos perfis da BNB? ( ) Biblioteconomia ( ) Comunicação Social ( ) Marketing ( ) Administração ( ) Outra: ____________ 13) O(s) responsável(is) pelas Redes Sociais participou (participaram) de algum tipo de treinamento referente à Segurança da Informação antes de assumir (assumirem) esta responsabilidade? ( ) Sim ( ) Não 13.1) Em caso positivo, indique qual (is): ________________________________ 14) O(s) responsável(is) pelos perfis da BNB nas Redes Sociais assinou (assinaram) algum termo de responsabilidade referente à sua atuação como representante(s) da BNB? ( ) Sim ( ) Não
14.1) Em caso positivo, indique quais são os principais elementos deste termo: ___________________________________________________________________ 15) A BNB possui Política de Segurança da Informação (PSI) voltada à sua presença nas Redes Sociais? ( ) Sim ( ) Não 15.1) Justifique sua resposta: ___________________________________________________________________ 15.2) Em caso afirmativo, indique em que momento a PSI foi adotada pela BNB. ( ) Antes da inserção na Web 2.0 ( ) Após a inserção na Web 2.0 16) A BNB realiza Gestão da Segurança da Informação? ( ) Sim ( ) Não 16.1) Por quê? _______________________________________________________ 17) Existe alguém responsável por avaliar a atuação da BNB nas Redes Sociais? ( ) Sim ( ) Não 17.1) Em caso positivo, indique qual é a frequência da avaliação: ___________ 18) As senhas dos perfis da BNB nas Redes Sociais são de conhecimento exclusivo do(s) responsável(is)? ( ) Sim ( ) Não 19) Os perfis da BNB na Web 2.0 já sofreram alguma ameaça física (mudanças ambientais, falhas em sistemas, etc), interna (funcionários) e/ou externa (hackers, vírus) que comprometessem sua integridade e/ou disponibilidade? ( ) Sim ( ) Não 19.1) Em caso positivo, explique o que ocorreu: __________________________ 19.2) Em caso positivo, que medidas foram tomadas para corrigir e prevenir esses problemas? ___________________________________________________ 20) Hoje, como a BNB analisa a sua atuação na Web 2.0 em relação à Segurança da Informação? ___________________________________________ _________________________________________________________________________________________________________________________________________________________________________________________________________
top related