universidade federal do rio grande do norte · 1. segurança da informação – monografia. 2....
TRANSCRIPT
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE
CENTRO DE CIÊNCIAS SOCIAIS APLICADAS
DEPARTAMENTO DE CIÊNCIA DA INFORMAÇÃO
CURSO DE GRADUAÇÃO EM BIBLIOTECONOMIA
RENATO FONSECA DE ASSIS CUNHA SEGURANÇA DA INFORMAÇÃO EM BIBLIOTECAS DIGITAIS: UM ESTUDO DE
CASO NA BDTD/UFRN
NATAL – RN JUNHO – 2016
RENATO FONSECA DE ASSIS CUNHA SEGURANÇA DA INFORMAÇÃO EM BIBLIOTECAS DIGITAIS: UM ESTUDO DE
CASO NA BDTD/UFRN
Monografia apresentada ao Curso de Graduação em Biblioteconomia do, Departamento de Ciência da Informação, do Centro de Ciências Sociais Aplicadas, da Universidade Federal do Rio Grande do Norte, como requisito parcial para obtenção do grau de Bacharel em Biblioteconomia. Orientador: Prof. Me. Francisco de Assis Noberto Galdino de Araújo
NATAL – RN JUNHO – 2016
Catalogação da Publicação na Fonte.
UFRN / Biblioteca Setorial do CCSA
Cunha, Renato Fonseca de Assis.
Segurança da informação em bibliotecas digitais: um estudo de caso na BDTD/UFRN/ Renato Fonseca de Assis Cunha. – Natal, RN, 2016.
62f. : il.
Orientador: Prof. Me. Francisco de Assis Noberto Galdino de Araújo.
Monografia (Graduação em Biblioteconomia) – Universidade Federal do Rio Grande do Norte. Centro de Ciências Sociais Aplicadas. Departamento de Ciência da Informação.
1. Segurança da informação – Monografia. 2. Bibliotecas digitais - Monografia. 3. Bibliotecas Digital de Teses e Dissertações (BDTD/UFRN) - Monografia. I. Araújo, Francisco de Assis Noberto Galdino de. II. Universidade Federal do Rio Grande do Norte. III. Título.
RN/BS/CCSA CDU 004.56:027
RENATO FONSECA DE ASSIS CUNHA SEGURANÇA DA INFORMAÇÃO EM BIBLIOTECAS DIGITAIS: UM ESTUDO DE
CASO NA BDTD/UFRN
Monografia apresentada ao Curso de Graduação em Biblioteconomia do, Departamento de Ciência da Informação, do Centro de Ciências Sociais Aplicadas, da Universidade Federal do Rio Grande do Norte, como requisito parcial para obtenção do grau de Bacharel em Biblioteconomia.
Data de Aprovação: ____/____/_____.
BANCA EXAMINADORA
____________________________________________
Professor Mestre Francisco de Assis Noberto Galdino de Araújo – Orientador Universidade Federal do Rio Grande do Norte
_____________________________________________ Professora Mestre Jacqueline de Araújo Cunha – Membro Interno
Universidade Federal do Rio Grande do Norte
_____________________________________________ Professora Doutora Luciana Moreira Carvalho – Membro Interno
Universidade Federal do Rio Grande do Norte
Dedico este trabalho a todos que contribuíram de forma direta ou indireta
para minha formação, que me apoiaram e me ajudaram nesta trajetória árdua e ao
mesmo tempo prazerosa.
AGRADECIMENTOS
Considero o reconhecimento como algo de inestimável valor que supera
qualquer expectativa alheia.
Por isso, venho primeiramente agradecer a DEUS por me conceder mais uma
oportunidade nesta minha trajetória de vida, onde explano meus conhecimentos
através da ajuda dEle. Que por meio de sua misericórdia me incumbiu desta
atividade singela diante da sua magnitude.
Também agradeço a meus pais ZÉLIO CUNHA e CRISTIANE FONSECA DE
ASSIS CUNHA, que diante das dificuldades da vida, souberam ter paciência e me
orientaram a um caminho de vitórias. Que sem a ajuda deles eu não teria chegado
aonde cheguei.
Sou grato a minha esposa SIMONE DE QUEIROZ MENDONÇA por suportar
as minhas diferenças e por me apoiar nas muitas situações de nossa relação, bem
como, pela vida de nosso querido filho LEVI ELIONAI MENDONÇA FONSECA, uma
benção em nossa vida e que muito nos alegra.
Agradeço o apoio dado por minhas irmãs RAFAELLA FONSECA DE ASSIS
CUNHA e REBECA SIMEI FONSECA DE ASSIS CUNHA, por meu irmão ESDRAS
DANIEL FONSECA DE ASSIS CUNHA, por minhas maravilhosas avós MARIA
SELMA FONSECA DE ASSIS e ARLINDA FERNANDES DA CUNHA, por meus
avôs já falecidos dos quais tenho muitas saudades ARLINDO CUNHA e
FRANCISCO DE ASSIS e por todos aqueles que fazem parte da MINHA FAMÍLIA,
por meu sogro ADEWAL MENDONÇA DA SILVA e minha sogra ANDRÉIA DÓRIA
DE QUEIROZ MENDONÇA, por meu cunhado EWERTON SOARES MEDINO e
minha cunhada RITA DE CÁSSIA QUEIROZ MENDONÇA.
Assim como, a todos que compõem o setor de Repositórios Digitais,
principalmente a CLEDIANE GUEDES, ANIOLLY QUEIROZ e ELISÂNGELA
MOURA, que com exemplos de sabedoria e de profissionais que são me ensinaram,
diretamente e indiretamente, lições de vida no período em que fui bolsista do setor.
A todos os professores do Departamento de Ciência da Informação – DECIN,
especialmente, ao professor Francisco de Assis Noberto Galdino de Araújo que me
orientou neste trabalho com sugestões e críticas pela busca de uma pesquisa de
qualidade, bem como, as professoras que me dão a honra de fazer parte da banca
avaliadora deste estudo, Jacqueline de Araújo Cunha e Luciana Moreira Carvalho,
companheiras e solidárias em outras horas.
Agradecer é o mínimo que posso fazer para retribuir tudo o que fizeram por
mim até aqui. Que o Senhor Jesus Cristo continue ajudando vocês e concedendo
bênçãos segundo a vontade dEle.
“Porque Deus amou o mundo tanto, que deu o seu único filho, para
que todo aquele que nele crer não morra, mas tenha a vida eterna”
(BÍBLIA SAGRADA - NT, 2000, p. 78).
RESUMO
Apresenta o tema Segurança da Informação em Bibliotecas Digitais. Considera a informação como ativo importante que necessita ser gerenciado por processos e controles tratados na Segurança da informação, a fim de instituir a devida proteção, uma vez que, a informação está susceptível às vulnerabilidades internas e externas ao ambiente que esteja. Realiza um estudo de caso sobre Segurança da Informação em Bibliotecas Digitais, especialmente na Biblioteca Digital de Teses e Dissertações da Universidade Federal do Rio Grande do Norte. Objetiva comprovar a aplicabilidade da Segurança da Informação na referida biblioteca como ferramenta de gestão para a prevenção de riscos e proteção de seus ativos. Atesta a importância das informações como ativo essencial ao funcionamento das bibliotecas digitais, examinando o papel da Segurança da Informação na proteção destas informações e, configurando a Gestão da Segurança da Informação como meio para a efetivação da proteção das informações na BDTD/UFRN. Utiliza como procedimento metodológico uma pesquisa com abordagem qualitativa, com coleta de dados efetuada através de entrevista não-estruturada, dada em única etapa, por meio da gravação de áudios, que por sua vez, foram transcritos e analisados qualitativamente. Conclui apresentando resultados e análises dos dados coletados considerando a realidade da BDTD/UFRN em termos de segurança da informação. Palavras-chave: Segurança da informação. Bibliotecas digitais. Bibliotecas digital de teses e dissertações. BDTD.
ABSTRACT
Considers information as important asset that needs to be managed by processes
and controls approached in Information Security, in order to establish the protection
owed, because the information is susceptible to internal and external vulnerabilities to the environment that is. Thus, it was necessary to carry out a case study about Information Security in digital libraries, especially in the Brazilian Digital Library of Thesis and Dissertations from the Federal University of Rio Grande do Norte. To answer these questions, the research aimed to demonstrate the applicability of IS in the library quoted as a management tool for the prevention of risks and protection of their assets. In this way, stating the importance of information as active essential to the functioning of digital libraries, examining the role of IS in the protection of such information and, configuring the management of information security as a means for the realization of information protection in BDTD/UFRN. This is a qualitative research, with data collection made through non-structured interview, amended in single step, by means of recording audio, which in turn were transcribed and analyzed qualitatively. Finally, it presents the results and analysis of the collected data considering the reality of BDTD/UFRN as regards of information security.
Keywords: Information security. Digital libraries. Digital libraries of theses and
dissertations. BDTD.
LISTA DE ABREVIATURAS E SIGLAS
ABNT – Agência Brasileira de Normas Técnicas
BCZM – Biblioteca Central Zila Mamede
BDB – Biblioteca Digital Brasileira
BDTD – Biblioteca Digital Brasileira de Teses e Dissertações
CAPES – Coordenação de Aperfeiçoamento de Pessoal de Nível Superior
CIA – Central Intelligence Agency
CNPq – Conselho Nacional de Desenvolvimento Científico e Tecnológico
DECIN – Departamento de Ciência da Informação
DELTCI – Dicionário Eletrônico de Terminologia em Ciência da Informação
FEBRABAN – Federação Brasileira dos Bancos
FINEP – Financiadora de Estudos e Pesquisas
GSI – Gestão da Segurança da Informação
IBICT – Instituto Brasileiro de Informação em Ciência e Tecnologia
IEC – International Engineering Consortium
ISO – International Organization for Standardization
MEC – Ministério da Educação
MTD/BR – Padrão Brasileiro de Metadados para Teses e Dissertações
NBR – Norma Brasileira
PSI – Política de Segurança da Informação
PUC/RIO – Pontifícia Universidade Católica do Rio de Janeiro
SESU – Secretaria de Educação Superior
SI – Segurança da Informação
SINFO – Superintendência de informática
TCU – Tribunal de Contas da União
TIC – Tecnologia de Informação e Comunicação
UFBA – Universidade Federal da Bahia
UFRN – Universidade Federal do Rio Grande do Norte
UFSC – Universidade Federal de Santa Catarina
USP – Universidade de São Paulo
SUMÁRIO
1 INTRODUÇÃO .......................................................................................................13
2 INFORMAÇÃO ..................................................................................................... 16
2.1 Segurança da Informação ............................................................................... 21
2.2 Gestão da Segurança da Informação ............................................................. 26
3 BIBLIOTECAS DIGITAIS ..................................................................................... 31
3.1 Conceitos e Características da Biblioteca Digital ......................................... 33
3.2 Segurança da Informação em Bibliotecas Digitais ....................................... 36
4 METODOLOGIA ................................................................................................... 42
4.1 Natureza da Pesquisa ...................................................................................... 43
4.2 Universo da Pesquisa ...................................................................................... 44
4.3 Procedimento de Coleta de Dados ................................................................. 45
5 BIBLIOTECAS DIGITAIS DE TESES E DISSERTAÇÕES DA UFRN ................. 46
6 ANÁLISES E RESULTADOS ............................................................................... 48
7 CONSIDERAÇÕES FINAIS .................................................................................. 54
REFERÊNCIAS ........................................................................................................ 56
APÊNDICE A .......................................................................................................... 61
13
1 INTRODUÇÃO
A informação sempre foi considerada ativo importante para a tomada de
decisões, bem como, elemento primordial para estratégias de negócios dentro das
organizações ou fora delas. Atualmente transita em fluxos cada vez maiores
possuindo capacidade de mutualidade ao sofrer e permitir transformações. Está
disposta em diversos suportes sob diferentes formas na sociedade e nas
instituições, inclusive em bibliotecas que armazenam documentos em formatos
digitais.
Susceptíveis às vulnerabilidades dos espaços físicos, das pessoas, das
tecnologias e da internet, a informação necessita de processos e controles de
segurança adequados para que a proteção contra as mais variadas ameaças seja
garantida, pois, do mesmo modo que a capacidade de mutação da informação traz
relevantes contribuições para as organizações, também oportuniza a fragilidade e os
riscos que estão sujeitos os sistemas, os usuários e a própria informação.
A adequada proteção dessas informações é trabalhada na SI - Segurança da
Informação, através da GSI – Gestão da Segurança da Informação que se dedica à
proteção de ativos da informação contra acessos não autorizados, alterações
indevidas ou indisponibilidade informacional. A SI é necessária para o bom
funcionamento das organizações sendo essencial no ponto de equilíbrio e fruição de
suas atividades rotineiras, devendo ser apoiada por uma gestão e por processos
apropriados.
Associadas a esses quesitos, as bibliotecas digitais, consideradas um novo
molde das bibliotecas tradicionais, são mantenedoras e provedoras de informações
que também estão sujeitas as causas de vulnerabilidade e riscos internos ou
externos à unidade informacional. Sabe-se ainda, que as informações alocadas
nessas bibliotecas são comumente acessadas em meio acadêmico, sendo bastante
relevantes para o avanço das ciências, formação intelectual dos usuários e
consequentemente para a evolução social. Por isso, essas informações requerem
medidas de proteção adequadas com vistas a otimização de produtos e serviços
prestados por estas bibliotecas.
Apesar da importância da proteção dessas informações em bibliotecas
14
digitais, assim como sua adequada gestão, pouco se apresenta na literatura
científica documentos bibliográficos que discutem a interseção entre segurança da
informação e bibliotecas digitais, o que pode demonstrar que tal relação é de caráter
singular e que ela pode trazer inúmeras contribuições para a ciência com o
surgimento de novos estudos, bem como, para a sociedade que se utilizará dos
serviços prestados pelas bibliotecas digitais oriundos ou aperfeiçoados por estes
estudos.
Neste sentido, faz-se necessário realizar um estudo de caso sobre SI em
Bibliotecas Digitais, especialmente na Biblioteca Digital Brasileira de Teses e
dissertações da Universidade Federal do Rio Grande do Norte – BDTD/UFRN
orientado pelos seguintes questionamentos: A BDTD/UFRN possui controles de
proteção e gerenciamento de seus ativos? Caso existam, estes controles estão
envolvidos na temática SI? Eles realmente proporcionam segurança para os ativos
informacionais da BDTD/UFRN?
Para responder a estas indagações a pesquisa tentará comprovar a
aplicabilidade da SI na referida biblioteca como ferramenta de gestão para a
prevenção de riscos e proteção de seus ativos. Para este fim, será necessário
atestar a importância das informações como ativo essencial ao funcionamento das
bibliotecas digitais, examinar o papel da SI na proteção destas informações e,
configurar a GSI como meio para a efetivação da proteção das informações na
BDTD/UFRN.
Este estudo será desenvolvido estruturalmente em partes que melhor
representem as etapas descritas acima, constituindo-se por capítulos que
determinarão à compreensão da proposta desta pesquisa.
Assim, estabelecendo prosseguimento aos elementos introdutórios, o
segundo capítulo apresentará de forma aprofundada os conceitos relativos à
informação, bem como, a sua importância para as organizações. Também, serão
discutidos os conceitos referentes a SI sob a ótica literária, assim como, as questões
relacionadas à sua relevância para a proteção dos ativos informacionais nas
instituições, especialmente para aquelas que manipulam informação digital. Ainda,
este mesmo capítulo abordará conceitos sobre GSI tratados na norma ABNT
NBR/IEC 27002:2007, a qual define um código de prática ou boas práticas que
15
estabelece controles e processos para a efetivação da SI.
No capítulo seguinte, será realizada uma sumária caracterização sobre
bibliotecas digitais com a maioria dos vieses que envolvem esta temática, além dos
princípios e aspectos de sua existência. Igualmente, serão descritos os processos
de gestão que permitem uma boa administração da SI em bibliotecas digitais.
O quarto capítulo explanará a metodologia utilizada neste estudo. Nele
serão assinalados os métodos e técnicas, delineados a natureza e o universo da
pesquisa, bem como, a enunciação do procedimento de coleta de dados.
Por sua vez, o quinto capítulo corresponderá à caracterização do processo
originário da BDTD/UFRN, como também, da observância do contexto em que a
mesma se insere, além da sua importância para a comunidade acadêmica.
Em sequência, o sexto capítulo apontará para os resultados e análises dos
dados coletados, e por fim, no último capítulo serão feitas as considerações finais
pertinentes ao prosseguimento desta atividade.
Em síntese será exposta a atual realidade da segurança da informação em
bibliotecas digitais, especificamente, na BDTD/UFRN através da sua efetiva gestão
conforme revelará o estudo aplicado.
16
2 INFORMAÇÃO
Para melhor elucidar o cenário de abordagens da SI em bibliotecas digitais, é
preciso em um primeiro momento tratar de alguns conceitos introdutórios que levem
ao leitor o pleno envolvimento com o tema. Esses conceitos iniciais tornarão
entendível a apresentação de múltiplas definições posteriormente abordadas.
Como ponto de partida, far-se-á de forma aleatória uma breve diferenciação
entre dado, informação e conhecimento, atendendo assim, os interesses deste
estudo.
Sob o panorama da literatura, é possível inferir que dado compreende a um
estágio antecessor à informação e que por si só, os dados não possuem propósito
nem relevância. Ainda se analisa que eles “[...] São sinais que não foram
processados, correlacionados, integrados, avaliados ou interpretados [...]”
(TERAPANOFF, 2001, p.117 apud MAIA, 2009).
Podem ser considerados elementos improdutivos, sem uma significação e
distante da realidade, mas se tratados corretamente, podem gerar ativos valoráveis.
Os dados são considerados matéria-prima da informação, ou seja, a
informação é composta por um conjunto de dados que geram significados.
(ANGELONI, 2003). No entanto, para que essa transformação ocorra, é preciso que
alguém acrescente esse significado por meio de tratamentos adequados. Isso pode
ser concretizado por meio de métodos de contextualização, categorização, cálculo,
correção e condensação (DAVENPORT, 1998, p.05).
O processamento de dados permite a geração de informações, que por
consequência, servirão como elementos para tomada de decisões diante de um
determinado problema. Segundo Davenport (1998), a finalidade da informação é dar
nova perspectiva ao modo em que o receptor analisa as coisas, além de, exercer
alguma influência em seus paradigmas. Ela requer mediação humana para ser
transmitida e, ao ser refletida e sintetizada na mente do ser humano, é transformada
em conhecimento.
O conhecimento está intimamente ligado ao indivíduo, ele “É uma abstração
interior, pessoal, de alguma coisa que foi experimentada por alguém” (SETZER,
1999, p.03). E que de acordo com Angeloni (2003, p.18);
17
[...] Não pode ser desvinculado do indivíduo; ele está estritamente relacionado com a percepção do mesmo, que codifica, decodifica, distorce e usa a informação de acordo com suas características pessoais, ou seja, de acordo com seus modelos mentais.
Sendo assim, é possível concluir que o conhecimento permite a aplicação dos
significados e constitui um saber, produz ideias e experiências que as informações
por si só não são capazes de revelar.
Visto a diferenciação entre dado, informação e conhecimento faz-se oportuno
apresentar os conceitos de informação que é um dos elementos primordiais à
formação síncrona aos outros conceitos que levam ao tema desta pesquisa.
Antes de sair conceituando informação é preciso enunciar que não é possível
encontrar uma definição exata para este termo. Por isso, será apresentado o que na
literatura os teóricos consideram como informação.
Na ciência a Informação é exposta sob diversas maneiras. Ela pode ser
considerada como todas as notícias, dados e fatos possíveis em mudar o
pensamento de um indivíduo quando este atribui um significado a mensagem
recebida. Também pode ser considerada um conjunto de dados que ordenados
concebem um significado e constitui conhecimento para quem os recebe, além de,
poder ser representada por seres e objetos.
De acordo com o Dicionário Eletrônico de Terminologia em Ciência da
Informação – DELTCI, do Observatório de Ciência da Informação da Universidade
do Porto, a informação é derivada de funções individuais e sociológicas pré-
determinante para a efetivação do diálogo entre as pessoas, ela:
Refere-se a um fenômeno humano e social que compreende tanto o dar forma a ideias e a emoções (informar), como a troca, a efetiva interação dessas ideias e emoções entre seres humanos (comunicar). E identifica um objeto científico, a saber: conjunto estruturado de representações mentais e emocionais codificadas (signos e símbolos) e modeladas com/pela interação social, passíveis de serem registradas em qualquer suporte material [...] e, portanto, comunicadas de forma assíncrona e multidirecionada.
Pinheiro (2004, p.01) classifica a informação em substanciais variações. Para
a autora, a informação:
Tanto pode estar num diálogo entre cientistas, em comunicação informal, numa inovação para indústria, em patente, numa fotografia ou objeto, no registro magnético de uma base de dados ou em biblioteca virtual ou repositório, na Internet.
18
Barreto (2006, p.13) faz uma abstração e amplia o potencial da informação ao
descrever que:
A informação sintoniza o mundo. Como onda ou partícula, participa na evolução e da revolução do homem em direção à sua história. Como elemento organizador, a informação referencia o homem ao seu destino; mesmo antes de seu nascimento, através de sua identidade genética, e durante sua existência pela sua competência em elaborar a informação para estabelecer a sua odisseia individual no espaço e no tempo.
A informação pode ser considerada um patrimônio cultural característico de
um povo e capaz de ser transmitida de geração para geração, podendo ainda ser
chamada de patrimônio hereditário. Ela é armazenada nos variados suportes
materiais como também no cognitivo de cada indivíduo. Possui valoração única e
carece de ser conservada (SILVA, 2006). Como mostra o trecho a seguir, o mesmo
autor caracteriza a informação como objeto, mencionando suas propriedades e
atributos.
Estruturação pela ação (humana e social): o ato individual e/ou coletivo funda e modela estruturalmente a informação; Integração dinâmica: o ato informacional está implicado ou resulta sempre tanto das condições e circunstâncias internas, como das externas do sujeito da ação; Pregnância: enunciação (máxima ou mínima) do sentido ativo, ou seja, a ação fundadora e modeladora da informação; Quantificação: a codificação linguística, numérica, figurativa é valorável ou mensurável quantitativamente; Reprodutividade: a informação é reprodutível sem limites, possibilitando a subsequente retenção/memorização; Transmissibilidade: a (re)produção informacional é potencialmente transmissível ou comunicável (SILVA, 2006, p. 25).
Infere-se que a informação como objeto retratado acima se refere a tudo o
que oferece um significado e a tudo que constitui matéria de ciência, que do latim
inform a caracteriza como uma variável utilizada numa operação de raciocínio. Por
conseguinte, o autor acredita que os atributos mencionados cooperam para
compreender o significado de informação.
A partir daí, observa-se a circunscrição que a informação é capaz de atingir,
estabelecendo diálogos e promovendo sentido aos signos, sendo considerada:
[...] um fenômeno tão amplo que abrange todos os aspectos da vida
19
em sociedade; que pode ser abordado por diversas óticas, seja a comunicacional, a filosófica, a semiótica, a sociológica, a pragmática e outras (OLIVEIRA, 2005, p.11).
Ainda segundo a mesma autora, “A informação é um objeto complexo,
flexível, mutável, de difícil apreensão, sendo que sua importância e relevância estão
ligadas ao seu uso”.
Percebe-se que nas definições atribuídas pelos especialistas do assunto,
características em comum são dadas a informação. Tanto no aspecto da
comunicação, da construção e de uso.
De acordo com Pinheiro (1997), a informação possui as seguintes
características:
Tem o efeito de transformar ou reforçar o que é conhecido, ou julgado
conhecido, por um ser humano;
É utilizada como coadjuvante da decisão;
Possibilita a liberdade da escolha que se tem ao selecionar uma mensagem;
Torna-se algo necessário quando se enfrenta uma escolha (a quantidade de
informação requerida depende da complexidade da decisão a tomar);
É matéria-prima de que deriva o conhecimento;
Trocada com o mundo exterior, e não meramente recebida;
Pode ser definida em termos de seus efeitos no receptor.
No contexto digital, a informação apesar de suas peculiaridades e
especificidades, também tem contribuído para o avanço das ciências. Já se pode
dizer que ela faz parte do patrimônio intelectual e cultural.
Não é difícil de perceber os benefícios significativos da informação para os
usuários, ainda mais com advento da internet que possibilita grandes fluxos de
informações no ciberespaço, isso a qualquer hora e em qualquer lugar, desde que
se esteja em linha, como afirma (AQUINO, 2004, p.09) ao dizer que:
A velocidade do processamento de conteúdo, as facilidades de armazenamento, a presença de multimídias e telecomunicações possibilitam o acesso aos recursos informacionais em todo o mundo [...] em qualquer espaço e em tempo real.
20
Atualmente a informação digital está cada vez mais crescente e em
velocidade vertiginosa, sendo armazenada em grandes quantidades, facilitando o
surgimento de novos formatos de documentos, combinando textos, imagens,
gráficos, vídeos, áudio, hiperlinks, e muitos outros usos tecnológicos.
Esses benefícios estão atrelados às características específicas referentes à
sua forma de produção, organização, administração, distribuição, acesso e
preservação, bem como aos suportes de armazenamento (GRÁCIO, 2012, p. 52).
Diferentemente da informação registrada em papel, a informação digital surge
com novas características, entre elas a possibilidade de dissociação entre o suporte
e a informação registrada, pois nesse novo ambiente a informação pode ser
transferida de um suporte digital para o outro. Essa característica possibilita uma
difusão maior da informação, como nunca se havia presenciado, mas também torna
possível sua perda ou modificação do conteúdo original nessa transferência,
atribuindo à informação disponível no formato digital maior fragilidade de integridade
em relação informação disponível em papel.
A informação precisa ser tratada como um bem relevante a todos os
processos sociais. Ela é o próprio processo de significação que envolve códigos dos
quais se categorizam para formar novas mensagens, está nas diversas áreas da
sociedade e se apresenta sob diversas maneiras, possibilitando o multiplicar do
conhecimento humano.
É com base em informações que decisões exponenciais são tomadas nas
organizações. É por meio delas que estratégias são delineadas com vistas a
concretização de objetivos. Sua capacidade de mutação transpõe significados,
permite-se ser expandida, ser completada, ser substituída, ser transportada,
possibilita a difusão e o compartilhamento. “Não se deprecia e é disponível
livremente, tem um valor que cresce com a reutilização e a sua apresentação sob
outra forma e é extremamente difícil de controlar” (TARAPANNOF, 2000, p.92).
A medida que a capacidades da informação e a constante expansão da
internet traz relevantes contribuições para as organizações, também oportuniza a
fragilidade e os riscos que estão sujeitos os sistemas e os usuários desses sistemas.
No entanto, a integração organizacional por meio da informática associada a
crescente utilização dos recursos informacionais e a possibilidade de descontrole
21
das informações nas organizações, despertam um estudo aprofundado sobre SI em
bibliotecas digitais, em especial, na biblioteca digital de teses e dissertações da
UFRN, afim de, contribuir para a diminuição de riscos inerentes as valiosas
informações disponíveis na mesma.
2.1 Segurança da Informação
O crescente uso das Tecnologias de Informação e Comunicação – TIC em
esfera global tem contribuído de maneira exaustiva para o crescimento de ações
ofensivas, exploratórias e não autorizadas a inúmeros sistemas de informação, bem
como, a diversas redes de comunicação públicas e privadas onde são constatados
grandes riscos tecnológicos através de ataques cibernéticos com incidentes de
fraudes e roubo de dados.
Os meios de comunicação noticiam de maneira corrente os ataques
cibernéticos, acessos a websites falsos, spams, phishing e fraudes de boletos, que
levam a roubo de dados pessoais e coorporativos, vazamento de informações
bancárias, divulgação não consensual da intimidade, entre inúmeros outros eventos
que afetam a segurança tanto física quanto virtual de milhares de pessoas e
organizações.
Ataques cibernéticos são frequentemente realizados com o intuito no roubo e
destruição de dados ou manipulação de equipamentos. De acordo com uma
pesquisa realizada pela ESET, empresa especializada em segurança de
informações na América Latina, e mencionada no site Convergência Digital um dos
agregados do portal UOL, 65,18% das companhias brasileiras que fizeram parte da
pesquisa admitiram que já tiveram problemas com segurança da informação. A
mesma pesquisa mostrou que 64% das empresas estudadas têm uma política de
segurança definida, contudo, investimentos em controles de gestão são inferiores a
30% e que 80% das empresas brasileiras não possuem um plano definido após
ataques cibernéticos.
Ainda de acordo com o mesmo site, um levantamento realizado pela
consultoria Grant Thornton por meio de uma pesquisa efetuada em 2014 com 2,5 mil
executivos em 35 países, ataques cibernéticos causaram um déficit de
22
aproximadamente 315 bilhões de dólares a organizações em todo o mundo naquele
ano. Não obstante, o jornal Estadão divulgou dados da FEBRABAN – Federação
Brasileira dos Bancos, que registraram prejuízos de 1,8 bilhões de reais em 2015
devido a fraudes eletrônicas no país.
Segundo uma das maiores empresas comerciante de softwares de proteção
para computadores, Kapersky, além de organizações financeiras, também tem sido
alvo de fraudes e invasões as instituições de tecnologias da informação, indústrias,
hospitais, empresas aéreas e até órgãos governamentais de todo o mundo.
Recentemente casos de espionagem foram divulgados pela organização de
fins não lucrativos wikileaks, que publica com periodicidade, postagens de fontes
anônimas com informações confidenciais vazadas de governos e empresas. O portal
de notícias na internet G1.com divulgou uma matéria onde à organização denuncia
através do ex-agente da CIA - Central de Inteligência Norte Americana, Edward
Snowden, o acesso a informações sigilosas pertencentes ao governo brasileiro por
parte do governo norte americano, além de outras nações mundiais que foram
espionadas.
Situações similares são realizadas em todo o mundo com vistas a
apropriação indevida de informações para a obtenção de vantagens de todos os
tipos.
Como se sabe, a informação é um ativo de suma importância na atualidade,
às organizações que o digam, pois trabalham com ela diariamente. A informação
também é um ativo muito valioso em seu determinado contexto, mas por si só não
produz proteção, é necessário criar um conjunto de medidas de proteção a mesma.
A International Organization for Standardization/International Engineering
Consortium - ISO/IEC (17799, 2005, p.09) confirma a necessidade da SI ao
descrever que: “seja qual for a forma apresentada ou o meio através do qual a
informação é compartilhada ou armazenada, é recomendado que ela seja sempre
protegida adequadamente”.
Essa proteção adequada é trabalhada na SI, com o objetivo de coibir os
vários tipos de ameaças com o intuito de assegurar a continuidade das operações
institucionais, diminuir os riscos e aumentar as chances de obtenção dos resultados
esperados. “A Segurança da Informação pressupõe a identificação das diversas
23
vulnerabilidades e a gestão dos riscos associadas aos diversos ativos
informacionais de uma corporação” (ZAPATER; SUZUKI, 2005, apud CÔRTE, 2014,
p. 71).
A falta de SI não é um problema recente das instituições públicas ou
privadas, sua narrativa transcorre séculos. No mundo atual onde as informações
transitam em fluxos cada vez maiores, essas instituições necessitam de processos e
controles de segurança para garantir e preservar as informações das mais variadas
ameaças.
Para o Tribunal de Contas da União – TCU, em seu manual intitulado “Boas
Práticas em Segurança da Informação”, é notório a importância desses processos e
controles diante da valoração das informações. Para o Tribunal;
A informação é um ativo muito importante para qualquer instituição, podendo ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, não disponíveis, sob conhecimento de pessoas de má-fé ou de concorrentes podem comprometer significativamente, não apenas a imagem da instituição perante terceiros, como também o andamento dos próprios processos institucionais (BRASIL, 2012, p.10).
Partindo do pressuposto que “Ativo é qualquer coisa que tenha valor para a
organização” ISO/IEC (17799, 2005, p.01), é possível inferir que os ativos presentes
nas organizações também são fatores importantes na GSI, pois, possuem uma
valoração para o processo de negócio das mesmas. Vale frisar que o termo “Ativo”
se refere ao que é dinâmico. De acordo com o Dicionário on-line Priberam da língua
portuguesa é “Aquilo que exerce ação, que age, que tem sentido ativo (Atividade)”.
Existem vários ativos pertinentes ao gerenciamento eficiente das
corporações, eles podem ser ativos de informação, de software (prefere-se aqui
chama-los de tecnológicos), ativos físicos, intangíveis (que diz respeito à imagem,
reputação e credibilidade da organização), além de ativos de serviços e de pessoas
com suas qualificações, habilidades e experiências (SILVA, 2009). No entanto, é
necessário analisar o contexto que a organização está inserida e identificar quais
são os melhores ativos para gerenciá-los seguramente.
Adiante serão apresentados de maneira sucinta pontos importantes, ora
denominados de ativos ora nomeados de fatores, aqui atribuídos pela segunda
terminologia, que se bem gerenciados potencializam as chances de SI, são eles:
tecnológicos, físicos e humanos.
24
Fator Tecnológico: Deve-se instituir instrumentos destinados a
analisar e identificar falhas de computadores, redes e sistemas.
Fator Físico: As organizações devem projetar suas instalações para
reduzir os riscos de ataques às informações;
Fator Humano: É necessário gerenciar os processos controlados por
pessoas, uma vez que, a informação sofre riscos inerentes à situação
psicológica dos indivíduos dentro das organizações.
A SI é multidisciplinar e está inserida em várias áreas do conhecimento, não
está direcionada apenas para os sistemas de armazenamento, nem aos sistemas
computacionais e de informações eletrônicas, mas tudo que configura dado e
informação. É considerada a “Área do conhecimento dedicada à proteção de ativos
da informação contra acessos não autorizados, alterações indevidas ou sua
indisponibilidade” (SÊMOLA, 2014, p. 66).
Para tal proteção, é necessário, por meio de um conjunto de controles, criar
medidas contra ameaças aos sistemas informacionais, e assim, garantir a sua
integridade, disponibilidade e confidencialidade.
Termos assim definidos pela ISO/IEC (27001, 2006, apud CÔRTE, 2014,
p.70):
Confidencialidade: propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou processos não
autorizados;
Integridade: propriedade de salvaguarda da exatidão e completeza de
ativos;
Disponibilidade: propriedade de estar acessível e utilizável sob demanda
por uma entidade autorizada.
Sêmola (2014) apresenta os mesmos termos sob ótica diferente, muito
embora com intenções de conceituação similares;
Confidencialidade: Toda informação deve ser protegida de acordo com o
grau de sigilo de seu conteúdo, visando a limitação de seu acesso e uso
25
apenas às pessoas a quem é destinada.
Integridade: Toda informação deve ser mantida na mesma condição em
que foi disponibilizada pelo seu proprietário, visando protegê-la contra
alterações indevidas, intencionais ou acidentais.
Disponibilidade: Toda informação gerada ou adquirida por um indivíduo
ou instituição deve estar disponível aos seus usuários a qualquer
momento, independente de sua finalidade.
De forma geral, nas duas assertivas a confidencialidade diz respeito a
restrição ou limitação de acesso das informações as pessoas ou ao grupo delas,
afim de promover a segurança. Quanto à integridade, é notório a concordância entre
as definições de que as informações devem se manter inalteradas para serem
acessadas de forma adequada sem prejuízo da veracidade. No quesito
disponibilidade, as informações devem estar acessíveis sempre que requeridas
pelos usuários independentemente dos propósitos de sua utilização.
Laureano (2005), ainda relata que de acordo com alguns autores, para um
sistema de SI ser considerado preparado a ataques é necessário também verificar
os critérios de autenticidade, não repúdio, legalidade, privacidade e auditoria.
Autenticidade: Atesta a inviolabilidade da informação desde a sua origem.
Testifica por meio de medidas a veracidade das mesmas;
Não repúdio: Identifica a autoria de uma determinada informação através de
ações necessárias à sua autorização no sistema. Não permite à negação do
autor a referida informação;
Legalidade: Afirma que o sistema age de forma legal por meio das normas
jurídica, atendendo a toda legislação vigente, interna a organização ou
externa a ela, respeitando a quesitos nacionais e/ou internacionais;
Privacidade: Caracteriza a informação como objeto de propriedade
particular, impedida de ser transferida a outra organização ou pessoa.
Somente o autor tem o poder de visualizar, ler e modificar a mesma;
Auditoria: Preocupa-se em rastrear o modo que as informações foram
acessadas ou obtidas, seguindo um histórico de etapas que revelam a
autoria, o horário, local e data.
26
Com relação a sua importância, a SI é necessária para o bom funcionamento
das organizações sendo essencial no ponto de equilíbrio e fruição de seus
processos rotineiros. Além do mais, “As organizações, seus sistemas de informação
e redes de computadores são expostos a diversos tipos de ameaças à segurança da
informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo,
incêndio e inundação” (ISO/IEC 17799, 2005, p.09). À vista disso, é pertinente
salientar que a maioria dos sistemas informacionais não tiveram suas projeções com
vistas a SI. Dessa maneira, a SI deve ser apoiada por uma gestão e por processos
apropriados.
Para determinar os controles a serem utilizados em uma organização, é
preciso fazer um planejamento minucioso.
No próximo tópico serão abordadas quais as práticas de GSI são necessárias
para a implementação da SI em sistemas informacionais.
2.2 Gestão da Segurança da Informação
A NBR 27002 (2007) que define boas práticas para a GSI e utilizada para
elucidação deste tópico, contém seções, agrupamentos e controles que representam
toda estrutura com pontos relevantes à gestão de tal segurança.
A norma é dividida em onze seções que interpretam um conjunto de
medidas a serem adotadas na construção e implementação de uma gestão de
segurança eficiente. Estruturalmente interpretando a norma em estudo, as seções
sinalizam para a elaboração e execução de:
a) Política de Segurança da Informação;
b) Organização a Segurança da Informação;
c) Gestão de Ativos;
d) Segurança em Recursos Humanos;
e) Segurança Física e do Ambiente
f) Gestão das Operações e Comunicações;
g) Controle de Acesso;
h) Aquisição, Manutenção e Desenvolvimento de Sistemas de
27
Informação;
i) Gestão de Incidentes de Segurança da Informação;
j) Gestão da Continuidade do Negócio;
k) Conformidade.
Após a exposição estrutural dos principais pontos alocados na norma em
estudo, faz-se necessário tratar da objetividade crucial da GSI. Segundo a (ABNT,
2006 apud RIBEIRO, 2015, p. 59):
A gestão da segurança da informação visa estabelecer, implementar, operar, monitorar, analisar criticamente a decisão estratégica de uma organização. [...] Visa ainda a melhoria contínua da segurança da informação e representa as várias atividades diárias que são necessárias para um programa de segurança eficaz e ativo.
Silva (2008, p.48), diz que a gestão da SI;
[...] é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantêm em expectativa os objetivos do negócio e as expectativas do cliente.
Para que o processo de gerenciamento de SI de uma determinada
organização atinja bons índices, é imprescindível que no princípio de qualquer
gestão, a própria organização detecte seus requisitos de SI. De acordo com a norma
27002 (2007), são três fontes principais de requisitos:
Análise/Avaliação;
Materiais Normativos;
Princípios, Objetivos e Requisitos do negócio.
Os três pontos descritos acima representam de forma resumida as três fontes
de requisitos apresentadas pela norma. Em primeiro lugar deve ser realizada uma
análise e avaliação. Isso possibilitará a identificação de potenciais riscos e
vulnerabilidade dos ativos, além do levantamento de estatísticas das ocorrências de
ameaças e impacto na organização. Logo após é preciso reunir todos os
documentos que nortearão de forma legal a organização durante a GSI, inclusive
28
aqueles referentes aos seus colaboradores. E por fim, se basear nos princípios que
direcionam e apoiam as operações da organização.
Juntas, essas fontes permitem a identificação sistemática dos riscos de SI.
De acordo com a norma, esse processo ajudará tanto no direcionamento quanto nas
prioridades de ações gerenciais adequadas, e também, na implementação dos
controles selecionados para a proteção contra os riscos. A norma ainda sugere uma
avaliação periódica para a averiguação de possíveis mudanças influenciáveis aos
resultados.
Após a definição do estabelecimento dos requisitos, da identificação dos
riscos à segurança e das decisões para o tratamento dos riscos, é preciso
selecionar os controles apropriados à organização. Os controles podem ser
definidos por meio da NBR 27002, ou a partir de outros conjuntos de controles,
contanto que obedeçam as normas legais.
As práticas na GSI, diz respeito, a seleção dos controles relevantes as
instituições e essa seleção depende das decisões das mesmas.
A NBR 27002 aponta que os controles para a GSI podem ser baseados na
própria norma ou em outros controles que contribuam com as necessidades
especificas das organizações, contudo, sempre apontando para os critérios de
aceitação, opções de tratamento e gestão de riscos.
Dentre o extenso número de controles existentes, a NBR 27002 considera
como básicos alguns deles que podem ser aplicados na maioria das gestões de SI,
muito embora, a mesma indica que as instituições se baseiem na análise/avaliação,
pois os resultados apontarão para a realidade da organização. Os controles
considerados básicos são:
Do ponto de vista legal:
Proteção de dados e privacidade de informações pessoais;
Proteção de registros organizacionais;
Direitos de propriedade intelectual.
Do ponto de vista prático à segurança da informação:
Documento da política de segurança da informação;
Atribuição de responsabilidades da segurança da informação;
29
Conscientização, educação e treinamento em segurança da
informação;
Processo correto nas aplicações;
Gestão de vulnerabilidade técnica;
Gestão da continuidade do negócio, e;
Gestão de incidentes de segurança da informação e melhorias.
Ainda, para a elaboração da GSI, a norma NBR 27002 relata que
experiências em SI mostram que alguns fatores são cruciais para o sucesso das
organizações. Esses fatores são:
Política de segurança da informação, objetivos e atividades, que
reflitam os objetivos do negócio;
Uma abordagem e uma estrutura para implementação, manutenção,
monitoramento e melhoria da segurança da informação que seja
consistente com a cultura organizacional;
Comprometimento e apoio visível de todos os níveis gerenciais;
Um bom entendimento dos requisitos de segurança da informação, da
análise/avaliação de riscos e da gestão de risco;
Divulgação eficiente da segurança da informação para todos os
gerentes, funcionários e outras partes envolvidas para alcançar a
conscientização;
Distribuição de diretrizes e normas sobre a política de segurança da
informação para todos os gerentes funcionários e outras partes
envolvidas;
Provisão de recursos financeiros para as atividades da gestão de
segurança da informação;
Provisão de conscientização, treinamento e educação adequados;
Estabelecimento de um eficiente processo de gestão de incidentes de
segurança da informação e,
Implementação de um sistema de medição, que seja usado para
avaliar o desempenho da gestão da segurança da informação e
obtenção de sugestões para a melhoria.
30
Após o estabelecimento dos requisitos de SI, da identificação dos riscos e das
decisões para o tratamento destes, da seleção dos controles e da observância dos
fatores que conduzem á mudanças positivas nas organizações, é importante que se
desenvolvam diretrizes próprias em SI, uma vez que, é preciso considerar que a
norma estudada é apenas o ponto de partida á elaboração de diretrizes específicas
no ambiente em que o plano de GSI será desenvolvido.
31
3 BIBLIOTECA DIGITAL
Desde a pré-história o homem sempre sentiu a necessidade de expressar
suas idéias e ações por diversos meios. A fim de perpetuar a memória, o homem
procurou representar os símbolos de comunicação em pedras, madeira, pele de
animais e materiais vegetais. Concomitante a isso, passou a registrar mais
informações e logo surgiu a necessidade de locais apropriados para o
armazenamento destes suportes. Foi a partir daí que apareceram as primeiras
bibliotecas que ao longo dos tempos marcaram épocas.
As primeiras coleções surgiram quando o homem passou a relacionar a
produção da informação num determinado suporte com a organização, esta
vinculação brotou a noção básica de biblioteca (MILANESI, 2002).
Segundo consta na literatura, as bibliotecas sempre marcaram suas épocas,
cada qual, com suas finalidades e especificidades. Na antiguidade, existiram duas
grandes bibliotecas consideradas para o momento o maior acontecimento do
mundo, foram elas: a biblioteca da Síria e de Alexandria. Esta última destacando-se
por ocupar um lugar de centro literário científico-cultural com posição importante na
cultura grega, compondo um acervo com cerca de setecentos mil rolos de papiro,
um tipo de papel confeccionado a partir de plantas subaquáticas que eram
encontradas as margens do rio Nilo (AQUINO, 2004). Contudo, do mesmo modo que
centenas de bibliotecas desapareceram ao decorrer da história humana, esta
biblioteca também foi destruída completamente por volta do século VII d.C.
(MILANESI, 2002).
Na idade média, algumas bibliotecas se desenvolveram nos centros religiosos
outras em universidades, bem como, em espaços particulares. Neste período, as
bibliotecas monacais, aquelas localizadas em mosteiros ou monastérios, eram
geridas por ordens religiosas que consideravam a informação como algo muito
sagrado e não permitiam seu acesso a qualquer pessoa. “Ler e escrever eram
habilidades quase exclusivas dos religiosos e não se destinavam a leigos”
(MILANESI, 2002, p.22).
Segundo o mesmo autor, ainda na idade média, mas a caminho da
renascença, surgiram as primeiras universidades e consequentemente as primeiras
bibliotecas universitárias, onde mesmo que amparadas pelas ordens religiosas sob
aspectos arquitetônicos e costumeiros, caminhavam para a laicização, melhor
32
dizendo, para a revelação dos conteúdos considerados sagrados à sociedade. “As
bibliotecas universitárias pré-renascentistas convergiriam para práticas que dariam a
biblioteca um ar de liberdade e conhecimento”. Com acervos normalmente doados
por particulares da época, estas bibliotecas foram responsáveis por decidir o destino
de toda a civilização (MARTINS, 2001).
No tocante, segundo ainda relata Martins (2001), as bibliotecas particulares,
eram mantidas por imperadores e grandes senhores, que por sua vez, empregavam
diversos copistas encarregados de reproduzir os manuscritos das bibliotecas
bizantinas de um modo geral. Em período renascentista, os acervos deste tipo de
biblioteca aumentaram expressivamente, de modo que, contribuíram para o
surgimento de novas atividades biblioteconômicas e significativa evolução da cultura
ocidental.
Com o passar dos tempos as bibliotecas foram assumindo alguns papéis que
contribuíram para o seu pleno desenvolvimento, e com isso, foram surgindo outras
modalidades de suporte e disponibilização de informações.
As convencionais, aquelas voltadas para acervos impressos, são datadas
após o surgimento da prensa de tipos móveis por volta de 1440 (CUNHA, 1999).
Este evento, responsável pelo barateamento dos livros e pela multiplicação do
conhecimento, provocou a necessidade de ampliação e criação de bibliotecas. De
acordo com Milanese (2002), “Em menos de duzentos anos passou-se da escassez
ao excesso”. Diante deste cenário renascentista atrelado ao multiplicar de livros, as
bibliotecas buscaram novas formas de dispor a informação. Somando-se a este
período, poucos séculos depois seriam necessários para uma nova explosão
informacional.
Consequencia da revolução industrial, o desenvolvimento tecnológico
contribuiu para o aparecimento de novos suportes de armazenamento e
disseminação da informação, surgiram então os primeiros computadores e tantos
outros aparatos suplementares ao desenvolvimento da biblioteca.
O surgimento dos novos suportes tecnológicos atrelados à internet, provocou
diversas mudanças na maneira das bibliotecas proverem produtos e serviços,
exigiram novas metodologias de atendimento aos usuários e trouxeram diversas
possibilidades de acesso a informação.
Com extensa variedade de materiais disponíveis a qualquer momento e
acessíveis remotamente sob velocidade impetuosa, além da capacidade de
33
armazenamento em massa de informações, outros pontos se somaram a essa
perspectiva. Agora, com a possibilidade de troca constante de informações através
de canais de comunicação em massa, propiciou-se o surgimento de bibliotecas em
linha, as Bibliotecas Digitais.
Atualmente essas bibliotecas são uma das maiores realidades da nossa
sociedade. São extremamente úteis para o avanço das ciências e formação
intelectual dos usuários. Contudo, a possibilidade imediata de acesso e a
recuperação de informações em rede, contribuíram para o surgimento de pontos de
vulnerabilidade nos sistemas informacionais.
É por causa da importância da informação em bibliotecas digitais e dos riscos
que tais informações correm que serão discutidos seus conceitos e características,
bem como, dialogadas medidas de proteção relacionada a SI.
3.1 Conceitos e Características da Biblioteca Digital
O final do século XIX representou para as bibliotecas o início de grandes
mudanças no que se refere a representação das informações com a introdução dos
catálogos sob forma de fichas. No século seguinte, grande parte das bibliotecas do
mundo todo, [...] “passaram a implantar catálogos em linha, acessar banco de
dados, iniciar o uso de periódico eletrônico e o acesso de textos completos de
artigos de periódicos” (CUNHA, 2008, p.05), permitindo então, uma maior
disponibilização de informações. Estes eventos promoveram numerosas
transformações nas relações de comunicação e de negócios estabelecidos entre as
organizações, e consequentemente, não foi diferente nas bibliotecas.
Tal acontecimento foi possível devido à utilização em larga escala de
computadores e o surgimento da grande rede de comunicação mundial, a internet,
que interliga por meio de pulsos elétricos essas máquinas. A aparição da internet
causou mudanças na forma de acessar e recuperar a informação,
concomitantemente, as bibliotecas modificaram seus sistemas e serviços de
atendimento institucionais.
A integração do uso das tecnologias com a rede mundial de computadores
ligado a disponibilidade em massa de documentos digitais, permitiram o surgimento
das bibliotecas digitais. Locais de gerenciamento apropriado, de armazenamento,
34
de tratamento e de disseminação de informações on-line.
Essas bibliotecas, por meio dos recursos tecnológicos, direcionam seus
objetivos a atender as necessidades reais de seus usuários a partir de documentos
em formatos digitais disponíveis em uma determinada base de dados.
Ao que se trata da conceituação de biblioteca digital, torna-se de fato
necessário analisar as variadas assertivas presentes na literatura, pois “não se tem
um consenso estável do que seja exatamente uma biblioteca digital [...]” (SAYÃO,
2009, p.08). Isto pode estar relacionado com a existência de outros termos como
“Biblioteca Eletrônica” e “Biblioteca Virtual”. Mas também pode haver ligação com o
recente surgimento deste modelo de biblioteca (CUNHA, 2008).
As possíveis definições de biblioteca digital estão ligadas diretamente aos
conceitos da biblioteca tradicional, com a sua missão de organizar coleções
impressas e outros artefatos, de operar serviços e sistemas que facilitem o acesso
físico e intelectual. Face ao exposto, Sayão (2009, p.13) averba que, “A biblioteca
digital, num primeiro momento, espelha-se na biblioteca tradicional, para em seguida
expandir esse conceito já consagrado através da apropriação e uso das tecnologias
disponíveis”. Neste sentido, é possível compreender a biblioteca digital como um
ambiente de proximidade estreita com os usuários que outrora usufruíam dos
serviços disponíveis presencialmente e agora dispõem também destes recursos de
forma remota por meio de recursos tecnológicos.
Uma das definições apresentadas na literatura está no livro “Biblioteca
digitais: saberes e práticas”, que define biblioteca digital como uma:
Biblioteca que tem como base informacional conteúdos em texto completo em formatos digitais - livros, periódicos, teses, imagens, vídeos e outros que estão armazenados e disponíveis para acesso, segundo processos padronizados, em servidores próprios ou distribuídos e acessados via rede de computadores em outras bibliotecas ou redes de bibliotecas da mesma natureza. (MARCONDES et al., 2005, p.16).
Fujita (2005) considera a biblioteca digital como um ambiente que armazena
documentos em formatos personalizados, acessível a todos ao mesmo tempo e
estruturada em um sistema multiusuários. Alencar (2004, p.208), na tentativa de
convergir diversos conceitos citados na literatura para um único ponto, descreve
que:
35
A Biblioteca Digital é um ambiente digital presente na web ou em redes locais suportada por profissionais que realizam a busca, recuperação, tratamento, indexação e digitalização de acervos em diversos formatos (vídeo, áudio, imagem e texto), combinando serviços da biblioteca tradicional tais como indexação e organização da informação, associando esses serviços aos recursos e serviços digitais, servindo a uma comunidade, seja ela mundial ou específica, e possibilitando interações entre os seus usuários.
As conceituações anteriormente referidas permitem a observância de que a
biblioteca digital é um espaço dinâmico, composto de informações eletrônicas
disponíveis em variados suportes por meio de diversos serviços digitais a fim de
atender a comunidade usuária da informação.
Posteriormente às conceituações de biblioteca digital, faz-se necessário,
mesmo que de forma sumária, abordar algumas características pertinentes à
compreensão dessa vertente. Cunha (1999), a partir de diversas observações feitas
por outros autores, expõe essas características de modo a simplificar as opiniões
dos mesmos, assim, contribuindo para uma melhor compreensão da função da
biblioteca digital nas condições de disponibilidade, acesso e uso da informação.
Assim sendo, as bibliotecas digitais são qualificadas com as seguintes
características:
a) Acesso remoto pelo usuário, por meio de um computador conectado a uma
rede;
b) Utilização simultânea do mesmo documento por duas ou mais pessoas;
c) Inclusão de produtos e serviços de uma biblioteca ou centro de informação;
d) Existência de coleções de documentos correntes onde se pode acessar
não somente a referência bibliográfica, mas também o seu texto completo.
e) Provisão de acesso em linha a outras fontes externas de informação
(bibliotecas, museus, bancos de dados, instituições públicas e privadas);
f) Utilização de maneira que a biblioteca local não necessite ser proprietária
do documento solicitado pelo usuário;
g) Utilização de diversos suportes de registro da informação tais como texto,
som, imagem e números;
h) Existência de unidade de gerenciamento do conhecimento, que inclui
sistema inteligente ou especialista para ajudar na recuperação de
informação mais relevante.
36
De modo geral, as bibliotecas digitais oferecem acesso à informação de forma
direta, dispondo de estruturas organizacionais unificadas com pontos consistentes
para acesso as informações. Não compreendem unidade única, elas podem
oferecer acesso a materiais digitais e recursos de outras bibliotecas digitais.
Também permitem a relação entre links que ligam diversas fontes de informação de
maneira rápida e eficiente. Possibilitam o acesso remoto às informações, caso o
usuário esteja em rede, não desprezam tempo nem espaço, estão sempre
disponíveis e não delimitam o número de usuários simultâneos.
3.2 Segurança da Informação em Bibliotecas Digitais
Estabelecer SI seja ela em organismos públicos, privados, universidades,
empresas ou até mesmo na vida intima de uma pessoa, é uma preocupação do
mundo atual. Em se tratando de bibliotecas digitais não é diferente, pois, para seu
funcionamento normalizado, estas bibliotecas necessitam manter seus ativos
protegidos e organizados por meio de processos de segurança que garantam a
demanda da recuperação de informações realizada pela comunidade a que se
destina.
Como já foi mencionado, a biblioteca digital processa grandes quantidades de
dados em formatos digitais que são acessados de forma imediata e a distância por
um ou mais usuários. Também possibilita a utilização de documentos de forma
simultânea por meio da recuperação em fontes externas, como bibliotecas, museus,
banco de dados e instituições onde dados são transferidos pela internet, que por sua
vez, precisa ser monitorada continuamente.
Além de serem organizações que disponibilizam recursos, incluindo pessoal
especializado para selecionar, estruturar, oferecer acesso intelectual e interpretar
informações, as bibliotecas digitais também são responsáveis por preservar a
integridade e assegurar a longevidade de coleções de trabalhos digitais (SAYÃO,
2009), onde o objetivo maior é proteger, organizar e distribuir os recursos
informacionais (CHOI; RASMUSSEM, 2006 apud CUNHA, 2008).
Nestas bibliotecas a proteção e o gerenciamento dos ativos devem existir a
37
fim de evitar que as informações estejam disponíveis a pessoas de má índole que
objetivam adulterá-las, comprometendo a reputação e os processos necessários ao
funcionamento destas unidades de informação. Essas operações determinam que
as informações não estejam acessíveis a pessoas ou a entidades não autorizadas,
que a exatidão dos ativos seja mantida e que seja disponibilizado apenas aquilo que
a instituição deseja tornar público.
Fundamental também é conhecer as vulnerabilidades e fraquezas que possam existir, se são internas ou externas, quais as possíveis consequências e as melhores ferramentas e práticas a adotar para as reduzir ou pelo menos prevenir e, caso se concretizem, ter um plano de contingência que permita uma rápida atuação e minimize as suas consequências (PEREIRA, 2005, p. 67).
Para isso, é importante criar medidas contra ameaças ao sistema que
garantam a confidencialidade, integridade e a disponibilidade das informações,
prevendo a identificação das vulnerabilidades e fazendo uma gestão eficiente dos
riscos que intentam contra os ativos, como instalações, pessoas, equipamentos,
tecnologias e o principal deles, a informação.
Falha humana, fraude e roubo são situações de riscos ligados a perspectiva
do pessoal. Para evitar problemas deste porte é necessário tratar com cuidado a
seleção e recrutamento dos recursos humanos, apoiar os colaboradores em
manuais e normas internas, promover sensibilização e motivação, e direcioná-los a
política de SI.
Quanto aos equipamentos, deve ser levado em consideração tudo aquilo que
equipa a unidade de informação, que podem ser sistemas de controle de acesso
físico, sistemas de detecção e combate a incêndios, controle de temperatura e
umidade, armazenamento, suprimento energético, computadores, servidores de
dados, infra-estruturas de rede, bem como, a manutenção referente a esses
equipamentos.
Com respeito as instalações, elas devem ser arquitetadas visando a proteção
dos ativos mais importantes, que devem estar no centro do sistema que gere e
armazena a informação. Para a redução do risco é necessário definir a localização,
38
verificar o estado de conservação do edifício, analisar as possibilidades de
inundações, de infiltrações e acessos indevidos.
No que trata as ferramentas tecnológicas, torna-se, indispensável a utilização
de artifícios que mantenham as informações preservadas a longo prazo. Algumas
delas pode ser a criação de senhas de acesso, atualização de softwares de forma
regular, utilização de programas de criptografia e criação de cópias de segurança.
Neste último ponto é importante também realizar testes de recuperação dessas
cópias, iniciar e manter a rotatividade e escolha de suportes e atribuir um
responsável para a realização desta atividade.
Uma vez realizada a identificação de potenciais riscos e vulnerabilidades dos
ativos apoiada por um levantamento estatístico das ocorrências de ameaças e
impactos na biblioteca, é necessário reunir os documentos que vão orientar a
instituição durante a GSI, realizando uma gestão com base nos valores e interesses
da mesma. Esta aferição, diz respeito à detecção dos requisitos de segurança, que
é uma das principais ocorrências da GSI estabelecidas pela NBR 27002, seguida da
seleção de controles apropriados, da observância dos fatores críticos de sucesso e
definições das diretrizes específicas a organização.
Com relação aos controles, a norma menciona vários deles para uma GSI
eficiente, muito embora, o estabelecimento de todos eles não seja necessário a
todas as instituições, é importante escolhe-los de acordo com a realidade das
mesmas. Todavia, também são descritos controles básicos pertinentes a maioria das
instituições que devem ser introduzidos no plano de GSI.
A seguir, buscar-se-á apresentar os controles básicos da GSI conforme a
NBR 27002 e relaciona-los com a realidade das bibliotecas digitais. Tais relações
objetivam explanar as ferramentas e práticas a serem adotadas por estas
bibliotecas.
No que diz respeito aos controles baseados em critérios legais, são
considerados como essenciais, aqueles voltados á Proteção de Dados e Privacidade
de Informações Pessoais, Proteção de Registros Organizacionais e Direitos de
Propriedade Intelectual.
O primeiro orienta a criação, desenvolvimento e implementação de uma
política de privacidade e proteção de dados da organização. Aconselha-se que a
39
gestão apropriada deste controle seja realizada por uma única pessoa e responsável
por transmitir as orientações gerais para seus colaboradores, provedores de
serviços e usuários da unidade de informação, que neste caso, pode ser realizada
pela gerencia superior da biblioteca digital por meio dos trâmites legais, legislações
e regulamentos.
O segundo sugere que os registros importantes sejam protegidos contra
perda, destruição e falsificação. Aconselha ainda que estes registros sejam
categorizados de acordo com seus tipos de suportes, com datas estabelecidas para
sua retenção e descarte, bem como, os tipos de mídia que permitirão o acesso as
informações enquanto estiverem alocados na biblioteca. Cuidados com a
deterioração das mídias também devem ser levados em consideração, sempre
observando os procedimentos de armazenamento e manuseio. Quando se tratar de
mídias eletrônicas, deve-se adotar procedimentos que permitam o acesso dos dados
mesmo que haja mudanças nas tecnologias.
Já o terceiro alerta para o uso adequado de documentos, softwares
proprietários, projetos, marcas, patentes e licenças protegidas por direitos autorais.
Estas ações incluem a criação, divulgação e conscientização de uma política de
propriedade intelectual, garantias de aquisição e instalação de softwares a partir de
fontes seguras, alocação adequada dos materiais protegidos por direitos autorais e
a condução das unidades de informação através das legislações, regulamentos e
requisitos contratuais.
Do lado prático da GSI, o Documento da Política de Segurança da
Informação é o primeiro controle a ser adotado para o exercício da SI. A
implementação deste controle deve ser apoiada pela direção da qual a biblioteca
digital faz parte, se assim for, ela deve mostrar comprometimento com a SI por meio
da publicação e manutenção de uma Política de Segurança da Informação - PSI. A
PSI pode ser parte de uma política geral e deve ser analisada criticamente em
intervalos planejados ou quando mudanças significativas acontecerem, como
aquelas que possam afetar o rumo da gestão, incluindo mudanças no ambiente
organizacional, circunstâncias de negócio, disponibilidade dos recursos, além dos
aspectos técnicos e legais.
40
A Atribuição de Responsabilidade para a Segurança da Informação
recomenda atribuições de atividade claramente definida e de acordo com a PSI.
Este controle sugere que pessoas sejam incumbidas de gerenciar e delegar as
tarefas de SI, e consequentemente fiscalizar as atividades delegadas. Para isso, é
preciso que as áreas, os ativos, as atribuições e os níveis de autorização que as
pessoas estão sujeitas, estejam bem delineadas e documentadas na PSI.
Para o uso regular e utilização adequada da PSI, é preciso que todos os
colaboradores estejam cientes de suas responsabilidades e do que deve ser feito
em determinadas circunstâncias, para isso, treinamentos apropriados e regulares
devem ser realizados a fim de promover a capacitação dos mesmos. Para esse fim,
é recomendado estabelecer o controle de Conscientização, Educação e
Treinamento em Segurança da Informação. Com ele é possível determinar que as
pessoas detectem os problemas e os incidentes de SI no sistema, a fim de que
medidas de proteção sejam tomadas. É importante que durante os treinamentos
sejam abordados pontos relacionados aos requisitos de SI, responsabilidades
legais, processo disciplinar e controles adotados na PSI, além do uso correto dos
recursos de processamento da informação.
Outro controle recomendado é chamado de Processamento Correto nas
Aplicações. Ele envolve critérios de validação de dados de entrada e de saída, de
controle de processamento interno, voltado a checagem de corrupção de
informações e da integridade das mensagens, preocupado em garantir a
autenticidade das mesmas. Este controle objetiva a prevenção de erros, perdas,
modificações não autorizadas ou mau uso de informações em aplicações.
Para combater as modificações não autorizadas e o mau uso das
informações em aplicações, é necessário introduzir o controle de Gestão de
Vulnerabilidade Técnica com o intuito de reduzir os riscos a estas ações. Por meio
dele é possível implementar o monitoramento dos mais variados softwares no
sistema, assim como, suas versões, seus distribuidores ou fornecedores. Isso
poderá ser realizado através de inventários dos ativos de informação e registros de
auditorias de todas as atividades realizadas no sistema.
A Gestão de Continuidade do Negócio é o controle que propõe o
prosseguimento das atividades em SI ou a retomada em tempo hábil caso haja
41
interrupção. É importante que ele seja implementado para diminuir o impacto de
dados perdidos, consequentes de desastres naturais, acidentes, falhas de
equipamentos e ações maliciosas. Também é importante que a unidade de
informação faça rotineiramente análise de impacto e vulnerabilidades para
assegurar que as atividades essenciais do sistema sejam retomadas com rapidez.
O último controle inserido na categoria de instrumentos básicos para a GSI, é
a Gestão de Incidentes de Segurança da Informação e Melhorias. Com ele é
possível definir procedimentos apropriados em diferentes eventos motivados pela
fragilidade do sistema, atribuindo responsabilidade às circunstâncias diversas a
cada colaborador. Por ele se pode delegar pessoas a gerir problemas causados por
falhas de sistema de informação, códigos maliciosos, erros, violações, uso impróprio
do sistema de informação, análise e identificação da causa do incidente,
implementação de ações corretivas e outros.
Definidos os controles apropriados a unidade de informação, se faz
necessário atentar para a observância dos fatores críticos de sucesso, ou seja,
aqueles que sinalizam para o progresso da organização quando se trata de GSI, e
por fim, criar diretrizes específicas que atendam os interesses da instituição na qual
se deseja estabelecer a proteção de ativos.
42
4 METODOLOGIA
Para se fazer ciência todo trabalho acadêmico precisa ser orientado sob
processos metodológicos que determinem o melhor caminho para se alcançar
resultados concretos, neste sentido, a ciência caracteriza-se como o fim e o método
como o meio de alcançá-la. Foi no princípio desta natureza que se realizou a busca
pelos instrumentos sistêmicos apropriados que qualificará esta pesquisa.
Convém ressaltar que a ciência é o modo de compreender e analisar o campo
teórico por meio de um conjunto de procedimentos (CERVO; BERVIAN, 2002, p.16),
sendo ela uma forma de entender os fenômenos que ocorrem e capaz de fornecer
respostas dignas de confiança. Na verdade, ela é constituída pela observação dos
fatos de onde se extraem resultados que passam a ser avaliados, como afirma
(OLIVEIRA, 2002, p. 47):
Trata-se do estudo, com critérios metodológicos, das relações existentes entre causa e efeito de um fenômeno qualquer no qual o estudioso se propõe a demonstrar a verdade dos fatos e suas aplicações práticas. É uma forma de conhecimento sistemático dos fenômenos [...] para se chegar a um conjunto de conclusões verdadeiras, lógicas, exatas, demonstráveis por meio da pesquisa e dos testes.
Chegada às conclusões verídicas através do estudo sistemático se obtém
como resultado deste processo, o conhecimento científico, que por sua vez, não é
considerado algo pronto, acabado e definitivo, nele se busca constantemente
explicações, soluções, revisões e reavaliações de seus resultados (CERVO;
BERVIAN, 2002), julgando ainda os autores, que isto se dá pelo fato da ciência ser
um processo em construção.
Diante disso, parece claro afirmar que não há ciência sem que haja o
emprego sistemático de métodos científicos, nem tão pouco, apontamentos que
revelem a verdade dos fatos experimentados e sua aplicação prática. Isso confere
ao método o meio, sine qua non, no processo de busca da explicação ou da
elaboração de previsões, em relação a questões ou problemas científicos. É o que
afirma Gil (2008, p. 08) ao definir o método “Como caminho para se chegar a
determinado fim”.
43
Para (LAKATOS; MARCONES, 2003, p. 83), o método “é um conjunto das
atividades sistemáticas e racionais que, com maior segurança e economia, permite
alcançar o objetivo – conhecimentos válidos e verdadeiros –, traçando o caminho a
ser seguido, detectando erros e auxiliando as decisões do cientista”.
Face ao exposto, foi possível verificar a necessidade de estabelecer um
método que se adequasse a este trabalho, então, julgou-se como apropriado a esta
pesquisa utilizar o método científico indutivo.
Levando em consideração que o método indutivo parte da enumeração de
experiência ou casos particulares, para chegar a conclusões de ordem universal
(LAKATOS; MARCONES, 2003), pretende-se analisar em suas particularidades a
BDTD/UFRN para explicar uma possível verdade, que é a de haver uma aplicação
da GSI para a devida proteção dos ativos informacionais. Comprovada a aplicação,
será possível inferir sobre as demais bibliotecas da rede BDTD, e assim, averiguar
em pesquisas futuras a existência da GSI nas mesmas.
Como método de procedimento foi adotado o estudo de caso, que para Gil
(2008), é caracterizado pelo estudo profundo e exaustivo de um ou de poucos
objetos, onde sua principal finalidade, segundo Lakatos e Marcones (2003), é obter
generalizações. Neste contexto será realizada a pesquisa, cuja resposta
generalizável resultará da análise das premissas.
4.1 Natureza da Pesquisa
O presente trabalho foi articulado sob a perspectiva da pesquisa qualitativa,
estimada como o método de abordagem que visa a construção da realidade
analisada indutivamente, considerando os dados como fonte direta do ambiente
externo e o pesquisador como instrumento principal na coleta e tradução desses
dados (GODOY, 1995, p. 62).
Neste sentido, Flick (2009, p. 16), descreve que a análise qualitativa:
[...] consiste em um conjunto de práticas interpretativas e materiais que torna o mundo visível, fazendo dele uma série de representações, incluindo notas de campo, entrevistas, conversas, fotografias, gravações e anotações pessoais. Nesse nível, a pesquisa qualitativa envolve uma postura interpretativa e naturalística diante do mundo. Isso significa que os pesquisadores
44
desse campo estudam as coisas e seus contextos naturais, tentando entender ou interpretar os fenômenos em termos dos sentidos que as pessoas lhe atribuem.
Do ponto de vista de seus objetivos, a pesquisa qualitativa pode denominar-
se exploratória, onde;
Visa proporcionar maior familiaridade com o problema com vistas a torná-lo explícito ou a construir hipóteses. Envolve levantamento bibliográfico; entrevistas com pessoas que tiveram experiências práticas com o problema pesquisado; análise de exemplos que estimulem a compreensão. Assume, em geral, as formas de Pesquisas Bibliográficas e Estudos de Caso (SILVA, 2005, p. 21).
Segundo Gil (1995, p. 44), a pesquisa exploratória tem como principal
finalidade desenvolver, esclarecer e modificar conceitos e ideias, direcionando-se
para a formulação dos problemas mais precisos ou aberturas para pesquisas
posteriores.
Neste limiar houve análise e interpretação dos dados coletados de forma
qualitativa, durante este processo foi necessário inferir sobre a realidade dos fatos a
fim de compreender e evidenciar a relação entre o que é apresentado na literatura
em termos de segurança da informação e o que foi coletado sistematicamente.
4.2 Universo da Pesquisa
O campo de execução da pesquisa foi Setor de Repositórios Digitais da
Biblioteca Central Zila Mamede (BCZM/UFRN). O motivo que levou a escolha deste
ambiente está relacionado ao setor mencionado, o qual é o responsável por
gerenciar todas as questões pertinentes a BDTD da referida universidade.
Como amostra foi selecionada para esta representatividade a responsável
pelo Setor de Repositórios Digitais. A razão pela qual orientou esta preferência, foi
pela mesma estar envolvida no processo de implantação e desenvolvimento da
BDTD/UFRN deste seu início o que permite inferir sobre a possibilidade de
aproximação com o sujeito da pesquisa.
Por sua vez, a BDTD/UFRN como sujeito da pesquisa, foi selecionada por
representar uma parcela das bibliotecas digitais de teses e dissertações distribuídas
45
nacionalmente, inseridas em um universo onde todas elas possuem características
de operação similar.
4.3 Procedimento de Coleta de Dados
Sabe-se que para a realização de uma pesquisa, é necessário uso de
técnicas adequadas que possibilitem coletar dados suficientes, de modo que deem
conta dos objetivos traçados.
Assim, o instrumento de procedimento prático utilizado para a coleta de
dados no Setor de Repositórios Digitais foi a entrevista não-estruturada. Nesse tipo
de entrevista, o entrevistador tem liberdade para desenvolver cada situação em
qualquer direção que considere ser adequada. Ele pode explorar mais amplamente
uma questão, aplicando perguntas abertas que podem ser respondidas a partir de
uma conversação informal (LAKATOS; MARCONES, 2003).
A partir disso, a elaboração das questões aplicadas por meio da referida
entrevista partiu da observação da problemática deste estudo, com a finalidade de
garantir o êxito na coleta dos dados e atingir os objetivos pretendidos por esta
pesquisa.
As questões introdutórias dizem respeito ao processo de implementação da
BDTD/UFRN que servirá para comprovar o que será descrito no capítulo seguinte, já
as demais questões trataram dos controles básicos considerados pela NBR 27002
comuns a maioria das organizações que desejam gerir seus ativos de modo seguro
e eficaz.
A efetivação da entrevista ocorreu no período de uma semana, tendo como
entrevistada a responsável pelo Setor de Repositórios Digitais da BCZM.
A aplicação da técnica de coleta de dados se deu através da gravação de
áudios, que por sua vez, foram transcritos e analisados qualitativamente.
46
5 BIBLIOTECAS DIGITAIS DE TESES E DISSERTAÇÕES DA UFRN
Ao tratar da BDTD/UFRN nesta pesquisa, faz-se necessário apresentar o
contexto a qual ela pertence, sua origem e sua importância para a comunidade
acadêmica, afim de melhor representá-la como parte integrante de uma rede de
bibliotecas.
De modo similar, é fundamental entender o que é, como funciona a BDTD e
qual é a sua relação com a BDTD/UFRN. Além de ser uma biblioteca digital em
âmbito nacional, seu objetivo é reunir em um só portal de busca, as teses e
dissertações defendidas em todo país ou por brasileiros no exterior. Concebida e
mantida pelo IBICT, recebe ajuda da Financiadora de Estudos e Pesquisas - FINEP
tendo seu lançamento oficial no final do ano de 2002.
Para definição do projeto de criação e de sua efetivação através do
Programa Digital Brasileira – BDB, foi criado um comitê consultivo formado por
representantes do IBICT, do FINEP, do Conselho Nacional de Desenvolvimento
Científico e Tecnológico – CNPq, do Ministério da Educação – MEC representado
pela Coordenação de Aperfeiçoamento de Pessoal de Nível Superior – CAPES, da
Secretaria de Educação Superior - SESU, e das três universidades que participaram
do grupo de trabalho e do projeto-piloto, Universidade de São Paulo – USP,
Pontifícia Universidade Católica do Rio de Janeiro - PUC-RIO e a Universidade
Federal de Santa Catarina - UFSC. Dentre as atribuições do grupo, o comitê apoiou
o desenvolvimento e aprovou o Padrão Brasileiro de Metadados para Teses e
Dissertações - MTD-BR (IBICT, 2016).
Ainda segundo o (IBICT, 2016), a BDTD segue os preceitos da Iniciativa de
Arquivos Abertos – OAI, se baseando em padrões de interoperabilidade. Apresenta-
se como uma rede distribuída de sistemas de informação que gerencia teses e
dissertações com texto completo a partir de um provedor de dados que administra o
depósito e publicação, expondo os metadados para a coleta automática e outro
provedor de serviços que fornece serviços de informação com base nos metadados
coletados junto aos provedores de dados.
Assim, as instituições de ensino e pesquisa atuam como provedoras de
dados e o IBICT opera como agregador coletando os metadados das teses e
dissertações dos provedores/instituições, fornecendo serviços de informação sobre
esses metadados e os expondo para a coleta destinando-os a outros provedores de
47
serviços. (IBICT, 2016).
No que tange a BDTD/UFRN, sua origem e atividades são iniciadas em
2006 com o objetivo de dispor através da internet as teses e dissertações
produzidas no âmbito universitário, dando assim, maior percepção a estes
documentos em circunscrições geográficas além-fronteiras e a democratização de
seu acesso.
Nesse contexto, a BDTD/UFRN integra-se ao conjunto de bases de dados
ligadas nacionalmente à BDTD coordenada pelo IBICT e internacionalmente à Rede
de Bibliotecas Digitais de Teses e Dissertações sob o comando da Universidade de
Tecnologia da Virgínia, EUA.
Recentemente a BDTD/UFRN, que funcionava na plataforma TEDE, foi
migrada para o DSpace, sendo incorporada ao Repositório Institucional - RI da
UFRN. Atualmente, o RI reúne a produção intelectual da comunidade universitária,
incluindo, docentes, técnicos e alunos de pós-graduação. Tendo por missão,
armazenar, preservar e disponibilizar na Internet, textos completos de acesso livre.
Atualmente o RI em conjunto com o Portal de Periódicos e a Biblioteca Digital
de Monografias – BDM, formam o Setor de Repositórios Digitais que está
subordinado à BCZM, onde, juntamente com a Superintendência de informática -
SINFO da universidade, tem a responsabilidade pela manutenção do sistema e
alimentação do banco de dados da BDTD/UFRN.
Por tudo isso, pode-se dizer que tanto as BDTD’s quanto a BDTD/UFRN são
instrumentos valiosos a todos que carecem e têm necessidade de obter informações
recentes sobre tópicos ainda não incluídos em fontes secundárias, ou sobre
tendências em um determinado campo de conhecimento, permitindo acesso a dados
a respeito de temas e linhas de pesquisa, área de concentração, quantidade de
trabalhos produzidos pelos programas de pós-graduação, informações sobre
orientadores, assim como, a estatísticas sobre produtividade dos programas por
comparação.
De modo geral, as bases de dados bibliográficas de dissertações e teses,
produzidas e mantidas pelas bibliotecas das universidades são fontes
imprescindíveis resultantes da produção, reflexão e geração do conhecimento.
48
6 ANÁLISES E RESULTADOS
Os dados mostram que o processo de implantação da BDTD/UFRN iniciou no
ano de 2005 encerrando-se no ano seguinte quando a base recebeu os primeiros
metadados referente a três programas de pós-graduação da universidade. De
acordo com os dados colhidos, “para que houvesse a implantação, o edital exigia no
mínimo trinta documentos entre dissertações e teses no período de até três meses,
no entanto, a universidade lançou mais que o número mínimo sendo a primeira do
Nordeste a implantar as informações” (Entrevistada).
Em sequência, foi questionado se haveria preocupação com a proteção dos
ativos informacionais pertencentes ao setor Repositórios Digitais, e sucedeu que tal
indagação foi confirmada quando mencionada ser uma das missões do setor, que já
articula a guarda e a atualização dos softwares que processam esses ativos.
Após se perceber a relevância dada a proteção dos ativos de informação
representada anteriormente pelos dados sinalizados, apresentar-se-á se o que é
dado como enunciado pode ser traduzido em atividades práticas que levam a
configuração dos controles apropriados para a efetivação da GSI.
Para que o processo de GSI de uma determinada organização atinja bons
índices, é imprescindível que no princípio de qualquer gestão, a própria organização
detecte seus requisitos em SI. Não obstante, após a definição desses requisitos é
preciso selecionar os controles apropriados à organização.
Em observação a esses controles, descritos por meio da NBR 27002 e
considerados como básicos a maioria das organizações, este capítulo tratará de
correlacioná-los aos dados coletados a fim de responder aos questionamentos da
problemática desta pesquisa, por meio da análise, que tem justamente como
objetivo, “[...] Organizar e sumariar os dados de forma tal que possibilitem o
fornecimento de respostas ao problema proposto para investigação” (GIL, 2008, p.
156).
Assim sendo, é importante descrever os dados coletados e mostrar se
existem controles de SI na BDTD/UFRN, tal como, verificar se eles proporcionam
segurança para os ativos informacionais da base. Para isso, se terá como suporte
os dez controles indicados pela NBR 27002 que são subdivididos em dois grupos:
os do ponto de vista legal e os do ponto de vista prático.
49
Do Ponto de Vista Legal:
O primeiro controle baseado em critérios legais refere-se à “Proteção de
Dados e Privacidade de Informações Pessoais”. Como já foi dito no referencial
teórico, este controle orienta a criação, desenvolvimento e implementação de uma
política de privacidade e proteção de dados da organização. Neste quesito, a
BDTD/UFRN não é contemplada, uma vez que, o setor repositório digital não possui
uma política expressamente elaborada que objetive a promoção da privacidade e
proteção dos dados, sendo realizada apenas a proteção dos ativos de forma não
documentada.
O segundo controle denominado “Proteção de Registros Organizacionais,”
sugere que os registros importantes sejam protegidos contra perda, destruição e
falsificação. Aconselha ainda que estes registros sejam categorizados de acordo
com seus tipos de suportes, com datas estabelecidas para sua retenção e descarte,
bem como, os tipos de mídia que permitirão o acesso as informações enquanto
estiverem alocados na biblioteca. Para isso, cuidados com a deterioração das
mídias também devem ser levados em consideração, sempre observando os
procedimentos de armazenamento e manuseio. Quando se tratar de mídias
eletrônicas, deve-se adotar procedimentos que permitam o acesso dos dados
mesmo que haja mudanças de recursos tecnológicos. Quanto a perda, destruição e
falsificação, a base de dados de teses e dissertações está amparada no momento
em que existem cópias de backups em outras bases de dados da rede, o que
confere o direito de resgate das informações sempre que necessário. Sob esse
controle, a BDTD/UFRN está amparada em sua completeza, uma vez que, nem
todos os parâmetros existentes no controle seja adequado a todas as organizações.
Se tratando dos recursos tecnológicos, diagnosticou-se a preocupação com a
manutenção dos mesmos a partir das mencionadas atualizações dos softwares e
manutenção da base através de comandos dados pelo setor de informática da
BCZM.
O terceiro controle, diz respeito aos “Direitos de Propriedade Intelectual”,
alerta para o uso adequado de documentos, softwares proprietários, projetos,
marcas, patentes e licenças protegidas por direitos autorais. Estas ações incluem a
criação, divulgação e conscientização de uma política de propriedade intelectual,
garantias de aquisição e instalação de softwares a partir de fontes seguras,
50
alocação adequada dos materiais protegidos por direitos autorais e a condução das
unidades de informação através das legislações, regulamentos e requisitos
contratuais. Ao inferir que para a BDTD/UFRN os direitos de propriedade intelectual
se referem aqueles relacionados ao que deve ser divulgado no site da base entre
teses e dissertações, notou-se por meio dos dados coletados que a inserção dos
trabalhos científicos só é autorizada mediante a permissão total ou parcial da obra,
isso é feito por escolha do usuário que utiliza o sistema. Desse modo, a
BDTD/UFRN também está contemplada no controle em questão.
Do Ponto de Vista Prático:
Do lado prático da GSI, o documento da “Política de Segurança da
Informação” é o primeiro controle a ser adotados para o exercício da SI. A
implementação deste controle deve ser apoiada pela direção da qual a biblioteca
digital faz parte, se assim for, ela deve mostrar comprometimento com a SI por meio
da publicação e manutenção de uma PSI.
A PSI pode ser parte de uma política geral e deve ser analisada criticamente
em intervalos planejados ou quando mudanças significativas acontecerem, como
aquelas que possam afetar o rumo da gestão, incluindo mudanças no ambiente
organizacional, circunstâncias de negócio, disponibilidade dos recursos, além dos
aspectos técnicos e legais.
Com relação a este controle a BDTD/UFRN ainda não está amparada, pois a
instituição sob a qual está subordinada não apresenta uma Política de Segurança da
Informação estabelecida, existindo no setor Repositório Institucional apenas
iniciativas que de certo modo, não proporcionam o monitoramento dos riscos em sua
amplitude. No entanto, há um reconhecimento da necessidade desta política por
parte da chefia do setor que considera estar no caminho certo para a implementação
dessa política.
Por sua vez, o controle de “Atribuição de Responsabilidade para a Segurança
da Informação” recomenda atribuições de tarefas claramente definida e de acordo
com a PSI. Nele é sugerido que pessoas sejam incumbidas de gerenciar e delegar
as tarefas de SI, bem como, fiscalizar as atividades delegadas. Para isso, é preciso
que as áreas, os ativos, as atribuições e os níveis de autorização que as pessoas
estão sujeitas, estejam bem delineadas e documentadas na PSI. Sabendo que a PSI
51
deve fazer parte da política geral, que deve ser apoiada pela direção a qual a
BDTD/UFRN está subordinada, este controle não pode ser analisado, nem tão
pouco feito associações, uma vez que, a instituição não possui uma PSI
expressamente documentada.
Para o uso regular e utilização adequada da PSI, é preciso que todos os
colaboradores estejam cientes de suas responsabilidades e do que deve ser feito
em determinadas circunstâncias, para isso, treinamentos apropriados e regulares
devem ser realizados a fim de promover a capacitação dos mesmos. Para esse fim,
é recomendado estabelecer o controle de “Conscientização, Educação e
Treinamento em Segurança da Informação”. Com ele é possível determinar que as
pessoas detectem os problemas e os incidentes de SI no sistema, a fim de que
medidas de proteção sejam tomadas. É importante que durante os treinamentos
sejam abordados pontos relacionados aos requisitos de SI, responsabilidades
legais, processo disciplinar e controles adotados na PSI, além do uso correto dos
recursos de processamento da informação. Nesta questão, a equipe do setor
Repositório Digital está em busca constante por atualizações quanto às
necessidades de melhorias para o referido setor, no entanto, não foi apresentado
com exatidão a aplicação regular referente a capacitação em segurança da
informação.
Outro controle recomendado é chamado de “Processamento Correto nas
Aplicações”. Ele envolve critérios de validação de dados de entrada e de saída, de
controle de processamento interno, voltado a checagem de corrupção de
informações e da integridade das mensagens, preocupado em garantir a
autenticidade das mesmas. Este controle objetiva a prevenção de erros, perdas,
modificações não autorizadas ou mau uso de informações em aplicações. Em
análise deste trecho, bem como, dos dados colhidos foi possível verificar que para
se ter acesso a base de dados da BDTD/UFRN é necessário atender primeiro a
requisitos de segurança como logar-se no sistema por meio de login e senha. Em
sequência, a comunicação por troca de informações entre usuário e sistema é feita
por certificados, onde os dados são criptografados. Isso permite entender que esse
controle é aplicado corretamente no gerenciamento da base de dados.
Para combater as modificações não autorizadas e o mau uso das
informações em aplicações, é necessário introduzir o controle de “Gestão de
Vulnerabilidade Técnica” com o intuito de reduzir os riscos a estas ações. Por meio
52
dele é possível implementar o monitoramento dos mais variados softwares no
sistema, assim como, suas versões, seus distribuidores ou fornecedores. Isso
poderá ser realizado através de inventários dos ativos de informação e registros de
auditorias de todas as atividades realizadas no sistema. Pelo que se pôde
comprovar por meio dos dados analisados, até o presente momento a BDTD/UFRN
não realizou nenhum levantamento ou auditorias que visasse combater
modificações não autorizadas ou o mau uso dos dados da base.
A “Gestão de Continuidade do Negócio” é o controle que propõe o
prosseguimento das atividades em SI ou a retomada em tempo hábil caso haja
interrupção. É importante que ele seja implementado para diminuir o impacto de
dados perdidos, consequentes de desastres naturais, acidentes, falhas de
equipamentos e ações maliciosas. Também é importante que a unidade de
informação faça rotineiramente análise de impacto e vulnerabilidades para
assegurar que as atividades essenciais do sistema sejam retomadas com rapidez.
A BDTD/UFRN já foi alvo de ações maliciosas em abril de 2014 quando o
sistema foi invadido e a base ficou suspensa por quatro dias. Não foi mencionada a
busca por resolver este problema através de um plano devidamente elaborado para
a retomada das atividades, no entanto, segundo a entrevistada a retomada das
atividades se deu em tempo hábil, onde se recorreu aos backups para a
recuperação da base. A partir desse fato, foram tomadas algumas medidas
relacionadas a manutenção do sistema por meio de atualização de softwares,
mudança de plataforma, além da busca em realizar backups em mais de um local.
O sétimo controle inserido na categoria de instrumentos básicos para a GSI, é
a “Gestão de Incidentes de Segurança da Informação e Melhorias”. Com ele é
possível definir procedimentos apropriados em diferentes eventos motivados pela
fragilidade do sistema, atribuindo responsabilidade as circunstâncias diversas a
cada colaborador. Por ele se pode delegar pessoas a gerir problemas causados por
falhas de sistema de informação, códigos maliciosos, erros, violações, uso impróprio
do sistema de informação, análise e identificação da causa do incidente,
implementação de ações corretivas e outros.
Analisada as informações colhidas, é possível inferir que neste controle a
equipe responsável pela gestão da BDTD/UFRN juntamente com os técnicos se
preocupa em manter a segurança da informação, mas percebe-se que não há uma
53
clara definição do tratamento de problemas. Muito embora tenha se declarado um
engajamento para promover melhorias e resolver as problemáticas, que por sua vez,
servem de estimulo para o desenvolvimento de procedimentos apropriados na
resolução destes.
54
7 CONSIDERAÇÕES FINAIS
Após visualizar os fundamentos teóricos do tema e observar na prática,
através do setor Repositórios Digitais da Biblioteca Central Zila Mamede (UFRN), foi
possível constatar que os resultados desta pesquisa se mostraram satisfatórios ao
revelar o empenho, a preocupação, o reconhecimento e a necessidade de proteger
os ativos informacionais por parte da gestão do Setor Repositórios Digitais, mas de
certa forma desfavoráveis no que concerne à aplicabilidade da Segurança da
Informação como ferramenta de gestão para a prevenção de riscos e proteção dos
ativos pertinentes à BDTD/UFRN.
Ficou evidenciado que quando analisados os controles do ponto de vista
legal, a BDTD/UFRN está envolvida por dois controles de três apresentados pela
literatura, o que caracteriza uma representatividade positiva. Enquanto isso, quando
retratada a aplicabilidade prática da GSI pelos demais controles, foi possível verificar
um resultado não satisfatório, sendo um controle atendido completamente, três
parcialmente e outros três não contemplados.
Na perspectiva legal da aplicação dos controles, pôde-se averiguar a não
utilização do controle denominado “Proteção de Dados e Privacidade de
Informações Pessoais”, diante da inexistência de uma política documentada. Por
outro lado, constatou-se o emprego do controle “Proteção de Registros
Organizacionais”, ao diagnosticar que os registros importantes para a BDTD/UFRN
se enquadram nos requisitos de proteção contra perda, destruição e falsificação,
bem como, do controle “Direito de propriedade Intelectual” ao contemplar a
utilização adequada dos documentos com propriedade intelectual.
No que tange a perspectiva prática da aplicação dos controles, ficou
evidenciado a não utilização dos controles intitulados “Documento da Política de
Segurança da Informação”, “Atribuição de Responsabilidade da Segurança da
Informação” e “Gestão de Vulnerabilidade Técnica”. Também ficou comprovado a
aplicação parcial dos controles “Conscientização, Educação e Treinamento em
Segurança da Informação”, “Gestão de Continuidade do Negócio” e, “Gestão de
Incidentes de Segurança da Informação e Melhorias”. Podendo ser visto, que
apenas o controle “Processo Correto nas Aplicações” é utilizado na sua completude
para o exercício da Segurança da Informação na BDTD/UFRN.
55
Os resultados mostraram ainda que para a efetivação da Gestão da
Segurança da Informação na BDTD/UFRN seria necessário a implementação dos
controles que não foram identificados no processo de gestão dos ativos pertinentes
à base de dados.
Com isso, fica evidente que apesar dos esforços empreendidos pela gestão
do Setor Repositórios Digitais em implementar medidas de proteção sobre seus
ativos, os controles existentes correspondem apenas a um terço daqueles sugeridos
e considerados como básicos à Gestão da Segurança da Informação pela NBR
27002, e que ainda, parecem estar involuntariamente inseridos na temática
Segurança da informação, uma vez, que não há uma política de proteção dos ativos
efetivamente instituída.
Assim, ficou demonstrado a necessidade da implementação dos controles
necessários a uma gestão eficiente em Segurança da informação, afim de garantir
maior proteção aos ativos pertencentes a BDTD/UFRN.
Dada a relevância deste trabalho, assim como, as poucas investigações
sobre a temática Segurança da Informação em Bibliotecas Digitais, convém dá
prosseguimento a essa pesquisa com estudos que possam contribuir para o
crescimento da ciência e o aperfeiçoamento dos serviços a serem prestados pelas
bibliotecas digitais, uma vez que a utilização da Segurança da Informação como
ferramenta de gestão promove a efetiva segurança dos dados dos sistemas e de
quem utiliza esses sistemas.
.
56
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISSO/IEC 17799. Código de prática para a gestão da segurança da informação. 120 p. Rio de Janeiro, 2005.
ALENCAR, Anderson Fernandes de. Bibliotecas digitais: uma nova aproximação. Revista Informação & Sociedade, João Pessoa, v. 14, n. 1, p. 201-220.
ANGELONI, Maria Terezinha. Elementos intervenientes na tomada de decisão. Ciência da Informação, Brasília, v. 32, n. 1, p. 17-22, jan./abr. 2003. Disponível em: <www.scielo.br/pdf/ci/v32n1/15969.pdf>. Acesso em: 15 dez. 2015.
AQUINO, Miriam de Albuquerque. Metamorfoses da cultura: do impresso ao digital, criando novos formatos e papéis em ambientes de informação. Rev. Ciência da Informação, Brasília, v. 33, n. 2, p. 7-14, maio/ago, 2004. Disponível em: <http://www.scielo.br/pdf/ci/v33n2/a01v33n2.pdf>. Acesso em: 23 dez. 2015.
BARRETO, Aldo de Albuquerque. Para entender a ciência da informação. Lídia Maria Batista Brandão Toutain (Org.). Sala de aula 6. Salvador: EDUFBA, 2007. Disponível em: <https://repositorio.ufba.br/ri/bitstream/ufba/145/1/Para%20entender%20a%20ciencia%20da%20informacao.pdf>. Acesso em: 22 dez. 2015.
BCZM. Biblioteca digital de teses e dissertações da UFRN. Disponível em: <http://www.sisbi.ufrn.br/bczm/pagina.php?a=bdtd#.V0Wd6aP-Ra8>. Acesso em: 2 maio 2016.
BDTD. O que é?. Disponível em: <http://bdtd.ibict.br/vufind/Contents/Home?section=what>. Acesso em: 2 maio 2016.
BDTD. Como funciona?. Disponível em: <http://bdtd.ibict.br/vufind/Contents/Home?section=how>. Acesso em: 2 maio 2016.
BÍBLIA. Portugês. Bíblia sagrada: nova tradução na linguagem de hoje. São Paulo: Sociedade Bíblica do Brasil, 2000.
CERVO Amado Luiz; BERVIAN Pedro Alcino. Metodologia científica. 5. ed. São Paulo: Prentice Hall, 2002.
57
CÔRTE, Kelson. Segurança da informação baseada no valor da informação e nos pilares tecnologia, pessoas e processos. Disponível em: <http://repositorio.unb.br/handle/10482/16748>. Acesso em: 16 dez. 2015.
CUNHA, Murilo Bastos da. Das bibliotecas convencionais às digitais: diferenças e convergências. 2008. Disponível em: <http://www.scielo.br/pdf/pci/v13n1/v13n1a02.pdf>. Acesso em: 7 jan. 2016.
CUNHA, Murilo Bastos da. Desafios na construção de uma biblioteca digital. Revista Ciência da Informação, Brasília, v. 28, n. 3, p. 257-268, set./dez. 1999.
DAVENPORT, Thomas. H. Conhecimento empresarial: como as organizações gerenciam o seu capital intelectual. 14 Ed. Rio de Janeiro: Elsevier, 2003.
DELTCI. Observatório de ciência da Informação. Disponível em: <https://paginas.fe.up.pt/~lci/index.php/1725>. Acesso em: 22 dez. 2015.
ESTADÃO. Cibercrimes faz bancos perderem 1,8 bilhão. Disponível em: <http://blogs.estadao.com.br/link/cibercrime-faz-bancos-perderem-r-18-bilhao/ >. Acesso em: 28 dez. 2015.
FLICK, Uwe. Desenho da pesquisa qualitativa. Coleção pesquisa qualitativa. Porto Alegre: ARTMED, 2009.
FUJITA, Mariângela S. L. Aspectos evolutivos das bibliotecas universitárias em ambiente digital na perspectiva da rede de bibliotecas da UNESP. Revista Informação & Sociedade, João Pessoa, v. 15, n. 2, p. 97-112, jul. /dez. 2005.
GIL, Antônio Carlos. Métodos e técnicas de pesquisa social. 4. ed. São Paulo: Atlas, 1995. GIL, Antônio Carlos. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2008.
GRÁCIO, José Carlos Abbud. Preservação digital na gestão da informação: um modelo processual para as instituições de ensino superior. São Paulo: Cultura Acadêmica, 2012.
GODOY, Arllda Schmidt. Introdução à pesquisa qualitativa e suas possibilidades. SCIELO. Disponível em: <http://www.scielo.br/pdf/rae/v35n2/a08v35n2.pdf>. Acesso em: 4 maio 2016.
58
G1. EUA grampearam Dilma, ex-ministros e avião presidencial, revela wikiLeaks. Disponível em: <http://g1.globo.com/politica/noticia/2015/07/lista-revela-29-integrantes-do-governo-dilma-espionados-pelos-eua.html>. Acesso em: 3 jan. 2016.
KAPERSKY LAB. Os cinco ciberataques mais inovadores e maliciosos de 2015. Disponível em: <http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/ultimas-noticias/2015/idg-now-especial-os-5-ciberataques-mais-inovadores-e-maliciosos-de-2015>. Acesso em: 3 jan. 2016.
LAKATOS, Eva Maria. MARCONI, Marina de Andrade. Fundamentos de metodologia científica. 5. ed. São Paulo, Atlas, 2003.
LAUREANO, Marcos Aurélio Pchek. Gestão de segurança da informação. Disponível em: <http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf>. Acesso em: 29 dez. 2015.
MAIA, Maria Aniolly Queiroz. Metadado e indexação: o caso da biblioteca digital de teses e dissertações da universidade federal do Rio Grande do Norte. Disponível em: <http://monografias.ufrn.br/jspui/handle/1/129>. Acesso em: 10 dez. 2015.
MARCONDES, Carlos H. et al. Bibliotecas digitais: saberes e práticas. Salvador (BA): EDUFBA; Brasília (DF): IBICT, 2005.
MILANESI, Luís. Biblioteca. São Paulo: Ateliê Editorial, 2002.
NBR 6023:2002 – Informação e documentação – Referências – Elaboração.
NBR 17799:2005 – Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação
NBR 27002:2005 – Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação
OLIVEIRA, Marlene de. Origens e evolução da Ciência da Informação. In: ______. (Coord.). Ciência da Informação e Biblioteconomia: novos conteúdos e espaços de atuação. Belo Horizonte: Editora UFMG, 2005. Cap. 1. p. 9-28.
OLIVEIRA, Silvio Luiz de. Tratado de metodologia científica: projetos de pesquisa, TGI, TCC, monografias, dissertações e teses. São Paulo: Pioneira Thomson Learning, 2002. 320 p.
59
PEREIRA, Pedro Jorge Fernandes. Segurança da informação digital. Cadernos BAD, 2005. Disponível em: <http://bad.pt/publicacoes/index.php/cadernos/article/view/822/821>. Acesso em: 10 jan. 2016.
PINHEIRO. L. V. R. A ciência da informação entre a sombra e luz: domínio epistemológico e campo interdisciplinar. Tese (Doutorado em Comunicação) - ECO. Universidade Federal do Rio de Janeiro, Rio de Janeiro;Instituto Brasileiro de Informação em Ciência e Tecnologia. 1997.
PINHEIRO, L. V. R. Informação: esse obscuro objeto da ciência da informação. v. 3, n.4, 2004. Disponível em: <http://www.seer.unirio.br/index.php/morpheus/article/view/4108/3759>. Acesso em: 22 dez. 2015.
PRIBERAM. Dicionário de língua portuguesa. Disponível em: <https://www.priberam.pt/DLPO/ativo>. Acesso em: 5 jan. 2016.
RIBEIRO, Hallisson Ricardo Sampaio. Governança da segurança da informação. Maurício Rocha Lyra (Org.). Cap. 6, p. 59. Disponível em: <http://mauriciolyra.pro.br/livro_governanca.pdf>. Acesso em: 2 jan. 2016.
SAYÃO, Luiz Fernando. Afinal, o que é biblioteca digital?. Revista USP, São Paulo, n. 80, p. 6-17, dez./fev. 2008 -2009.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: ELSEVIER, 2014.
SETZER, Valdemar W. Dado, informação, conhecimento e competência. DataGramaZero - Revista de Ciência da Informação, Paraná, v. 0, n. 0, dez 1999. Disponível em: <
http://www.brapci.ufpr.br/brapci/index.php/article/view/0000009680/c0b410d13c8c2aa9de90f1135f51a2c8 >. Acesso em: 18 dez. 2015.
SILVA, Armando Malheiro da. A informação: da compreensão do fonómeno e construção do objecto científico. 1044. ed. Porto(PT): Edições Apontamentos, 2006.
SILVA, Claudete Aurora. Gestão da segurança da informação: um olhar a partir da ciência da informação. Disponível em: <http://www.bibliotecadigital.puc-campinas.edu.br/tde_arquivos/2/TDE-2009-07-15T053257Z-1515/Publico/Claudete%20Aurora%20da%20Silva.pdf>. Acesso em: 3 jan. 2016.
60
SILVA, Edna Lúcia da. Metodologia da pesquisa e elaboração de dissertação. 4. ed. Florianópolis: UFSC, 2005. 138p.
TARAPANOFF, Kira. Sociedade da informação e inteligência em unidades de informação. Rev. Ciência da Informação, Brasília, v. 29, n. 3, p. 91-100, set./dez. 2000. Disponível em: <http://www.scielo.br/pdf/ci/v29n3/a09v29n3>. Acesso em: 23 dez. 2015.
TCU. Boas práticas em segurança da informação. 4. ed. Brasília (DF): TCU, 2012.
UOL. Portal de notícias. Disponível em: <http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=40905&sid=18>. Acesso em: 28 dez. 2015.
UOL. Portal de notícias. Disponível em: <http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=40971&sid=18>. Acesso em: 28 dez. 2015.
WILSON, Martins. A palavra escrita: história do livro, da imprensa e da biblioteca. 3. ed. São Paulo: Editora Ática, 2001.
61
APÊNDICE A – ENTREVISTA
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE
CENTRO DE CIÊNCIAS SOCIAIS APLICADAS
DEPARTAMENTO DE CIÊNCIA DA INFORMAÇÃO
CURSO DE GRADUAÇÃO EM BIBLIOTECONOMIA
ENTREVISTA
1 – Como se deu a implantação da BDTD na UFRN?
2 – Você considera que o Setor Repositórios Digitais se preocupa com a proteção
dos ativos informacionais? O que o(a) leva a esta afirmativa?
3 – O Setor Repositórios Digitais dispõe de uma política que objetive promover
privacidade e proteção dos dados da BDTD/UFRN?
4 – Em sua opinião, os registros considerados importantes para a BDTD/UFRN
estão protegidos contra perda, destruição e falsificação? Quanto aos recursos
tecnológicos que armazenam esses registros, há uma preocupação com a
manutenção destes?
5 – Quanto à propriedade intelectual, há um cuidado em garantir os direitos
relacionados aos softwares, licenças, patentes ou qualquer outro recurso que o
exija?
6 – O Repositório Digital possui uma Política de Segurança da Informação que
possa regulamentar o processo de gestão e consequentemente promover a
62
proteção da BDTD/UFRN? Caso não exista, o que motiva a não existência da
mesma?
7 – No referido setor há atribuições de responsabilidade para o gerenciamento das
atividades pertinentes a política de Segurança da informação? (Essa questão só
deverá ser respondida caso a anterior tenha sido confirmada).
8 – Para que a proteção dos ativos seja garantida a BDTD/UFRN enquanto
instituição realiza conscientização e treinamento de seus colaboradores?
9 – O sistema tecnológico do setor exige autenticação ou certificação dos usuários
no momento de acesso destes?
10 – Em algum momento já foi realizado levantamentos ou auditorias dos ativos
relacionados a BDTD/UFRN na intenção de combater modificações não autorizadas
ou o mau uso das informações?
11 – Sabendo que a gestão de continuidade do negócio visa o prosseguimento das
atividades em segurança da informação ou a retomada das atividades em tempo
hábil caso haja algum sinistro na organização, responda: existe algum plano que
possibilite a retomada das atividades relacionadas à BDTD/UFRN? Já houve algo do
gênero? Caso o tenha, que medidas foram tomadas?
12 – De modo geral, as pessoas que colaboram para o funcionamento da
BDTD/UFRN se preocupam com a segurança dos ativos pertinentes ao portal? Eles
se dispõem a minimizar os problemas causados por falhas de sistema, códigos
maliciosos, erros, violações, uso impróprio do sistema dentre outros riscos que o
sistema possa sofrer?