Política de Segurança Da Informação PDF

CURSO DE ADMINISTRAO
POLTICA DE SEGURANA DA INFORMAO
ALINE MORAIS DE LEMOS
Rio de Janeiro, 2 Semestre de 2001.
ALINE MORAIS DE LEMOS
Trabalho apresentado Universidade

Estcio de S como requisito parcial para
obteno
do
Administrao
ORIENTADOR: GILBERTO CORRA LUCAS JUNIOR
grau
de
Bacharel
em
Trabalho apresentado Universidade

Estcio de S como requisito parcial para
obteno
do
grau
Administrao
Aprovado em ____/____/_____
Banca Examinadora:
_____________________________________________
Gilberto Corra Lucas Junior
Professor Orientador
Universidade Estcio de S
_____________________________________________
M. Sc. Clvis de Oliveira Paradela
Professor
_____________________________________________
M. Sc. Attila de Mattos Ferreira Junior
Professor
de
Bacharel
em
A minha famlia que me

incentivou e apoiou em
todos os momentos dessa
caminhada.
A todos que me auxiliaram
durante meu trabalho.
AGRADECIMENTOS
Ao professor Gilberto Corra Lucas Junior, pela orientao e pacincia na elaborao

desta monografia.
SUMRIO
RESUMO
INTRODUO
1. POLTICA DE SEGURANA DA INFORMAO ?
2. DIRETRIZES
3. OS RESULTADOS
4. CLASSIFICAO DA INFORMAO
11
4.1. NVEIS DE CLASSIFICAO
13
4.2. RESPONSABILIDADES
14
4.3. IMPLEMENTAO
16
5. SEGURANA FSICA
5.1. ANLISE DE RISCOS
6. SEGURANA LGICA
6.1. SENHAS
7. PLANO DE CONTINGNCIA
7.1. EQUIPES DE CONTINGNCIA
8. VRUS
8.1. COMO ATUAM
18
23
26
28
31
40
52
53
9. BACKUP
56
10. LEGISLAO VIGENTE
58
11. AUDITORIA DE SISTEMAS
61
CONCLUSO
64
BIBLIOGRAFIA
69
RESUMO
O tema Poltica de Segurana da Informao apresenta-se para as empresas e, de

maneira geral a todo pblico interessado, como uma forma de preveno a invases de
sistemas, de privacidade e de segurana no acesso e na manipulao de informaes.
A poltica de segurana define o conjunto de normas, mtodos e procedimentos
utilizados para a manuteno da segurana da informao, devendo esta ser definida em
documento, cujo contedo dever ser do conhecimento de todos os usurios que fazem uso da
informao.
Deve-se utilizar a viso metdica e criteriosa, com acompanhamento de ampla base
tcnica, de forma que possam ser sugeridas alteraes na configurao de equipamentos,
escolha de tecnologia, definio de responsabilidades e, por fim, elaborao de uma poltica
de segurana com o perfil da empresa e dos negcios que ela pratica.
Desta forma, este trabalho apresenta em seu conjunto, um estudo sobre a viso do
mercado atuante a respeito de segurana fsica e lgica, bem como poltica de acesso, suas
concesses e contingncias.
INTRODUO
Poltica de Segurana da Informao um conceito de idias definidas e estudadas,
transcritas para o papel a fim de efetuar a conscientizao dos funcionrios da organizao, ou
melhor, de todos os usurios da informao, para que esta no seja exposta indevidamente por
falta de conhecimento e evitando fraudes.
Nossa atual realidade presa informao como sendo o bem de maior valia para as
organizaes independentemente do ramo de atuao desta, sendo ela comrcio, indstria ou
financeira, a informao nos abre novos horizontes e mercados para que possamos expandir
nossos anseios em busca de maiores lucros e perspectivas. As respostas a essas questes so
fundamentais ao bom funcionamento das organizaes, independente do seu ramo de
atividade e a falta dessas respostas nos momentos adequados, ou a obteno de respostas
incorretas, certamente influenciar negativamente o desenvolvimento dos negcios e poder
gerar prejuzos financeiros ou de imagem.
A globalizao que transforma a informao recente em ultrapassada apresenta
sociedade um novo momento em que os profissionais devem buscar se atualizar para no
serem ultrapassados no mercado e ao mesmo tempo desenvolver procedimento de segurana
para as informaes vitais, em que as organizaes se transformaram. Visto que atualmente
no existe mais a empresa que valoriza seu imobilizado e toda a sua estrutura fsica e sim a
organizao que valoriza a informao de que constituda toda a sua riqueza, lucro e
potencialidade de desenvolvimento futuro e atual. Alguns conceitos relacionados a segurana
da informao devem ser estabelecidos, tais como a importncia da informao.
As organizaes contemporneas so entidades dinmicas, interligadas ao meio em que
atuam por uma rede de relaes, sejam com clientes, fornecedores ou outros segmentos da
prpria organizao. O rpido desenvolvimento de vrias tecnologias modernas tem feito
com que essas relaes na atualidade, tenham uma abrangncia muito ampla, podendo atingir
todo o planeta.
Para garantir sua sobrevivncia, essas organizaes necessitam
essencialmente de informaes.
Aos administradores dessas novas organizaes, integradas aos mercados em que atuam,
so apresentadas com freqncia, questes semelhantes as que aparecem abaixo:
Qual o perfil dos nossos clientes?
Quanto faturamos, por produto ou servio?
Quanto aplicamos em investimentos financeiros?
Como anda a execuo do oramento da organizao?
Quem so nossos fornecedores e qual o valor dos seus crditos?
Quem so nossos devedores e quanto devemos cobrar?
Como anda a concorrncia? Os nossos produtos ou servios so competitivos?
Quanto devemos de tributos e impostos?
Quais os nossos objetivos estratgicos?
Qual o valor da nossa folha de pagamentos?

Muitos so os motivos que levam uma organizao a proteger as suas informaes. Em
primeiro lugar devesse considerar que criar, encontrar ou armazenar informaes custa
dinheiro, portanto a sua perda resulta em prejuzo. Por outro lado, a informao importante
para a organizao e seus negcios, assim como tambm importante para os seus
concorrentes, o que a torna alvo preferido para sabotadores, espies industriais e vrios tipos
de golpistas e ou hackers.
Considerando que, cada vez mais, a realizao de transaes econmicas depende da
informao, fica claro que a sua indisponibilidade acarreta prejuzo financeiro e faz dela,
talvez, o bem mais valioso da organizao e, por isso mesmo, precisa ser preservado,
garantido e bem gerenciado.
Atentando para que, um ambiente sem padro, organizao ou controle de suas
informaes e, principalmente com usurios no comprometidos com o sigilo e a segurana,
altamente propcio perda de informaes e fraudes. Mesmo que no sejam anunciadas em
jornais, fraudes acontecem a do prejuzos! Quando eventualmente vm a pblico,
desacreditam a organizao vitimada perante seus clientes e parceiros comerciais.
Desta forma, apresenta-se este estudo sobre Poltica de Segurana da Informao, que
tem como objetivo identificar padres de segurana existentes no mercado e seguidas pelas
organizaes de acordo com a sua atuao no mercado e seu porte, atentando para medidas de
proteo no acesso s informaes.
1. POLTICA DE SEGURANA DA INFORMAO ?

So normas que definem as melhores prticas para o manuseio, armazenamento, transporte
e descarte das informaes, sendo a Poltica de Segurana da Informao uma ferramenta para a
preveno e proteo da informao, de forma a restringir acessos e salva-guardar a sua
manipulao por pessoas no autorizadas.
A definio de Segurana da Informao pode ser analisada, como uma fonte de poder, pois
no mundo moderno quem possui a informao, possui o poder. Se no, vejamos:
A segurana da informao , sem dvida, uma das grandes preocupaes das
empresas sintonizadas com o seu tempo.
Na medida em que os diversos mercados mundiais se aproximam com
extrema rapidez, o significado da expresso Informao Poder, tem adquirido
novas dimenses no ambiente econmico.
(Loss Control, 2001).
As organizaes investem em tecnologia, na maioria das vezes buscando emparelhar com a

tecnologia da concorrncia, mas atualmente nossa realidade espelha segurana, para a tomada de
deciso das organizaes o que implica em sua sobrevivncia e na minimizao de riscos, como
podemos observar abaixo:
H algum tempo, era comum o departamento de TI1 usar como argumento
para justificar o investimento em tecnologia a necessidade de acompanhar o
ritmo da concorrncia. Hoje a tarefa ainda mais rdua. A taxa de retorno
dos investimentos (ROI2) passou a ser a mtrica para executivos e empresrios
nos processos de tomada de decises. Baseando-se em variveis de reduo de
custos, prejuzos, viabilidade de aplicaes e projees, a ferramenta
apontada como o caminho mais indicado no momento de decidir por um
investimento, principalmente os de grande soma.
(Haical, 2001, www.modulo.com.br)
Contudo as organizaes se questionam com relao ao custo a ser investido em tecnologia

das informaes, para o melhor desenvolvimento e alcance da eficincia e eficcia, pela qual as
empresas buscam, como podemos analisar abaixo:
1
2
Tecnologia da Informao
Return on investiment (Retorno sobre investimento)
Custo ou Investimento? Esse sempre foi o dilema de quem gasta com

tecnologia da informao. Pergunte aos diretores de informtica e todos
garantiro que impossvel viver sem computadores no mundo moderno. E
tero razo. Mas, se o computador um conforto, ele tambm custa dinheiro.
E saber quanto se gasta para manter a estrutura tecnolgica apenas o
primeiro passo para avaliar sua eficcia e sua eficincia. Sem isso, fica
impossvel dimensionar se o computador traz ou no o retorno desejado.
(Gurovitz, 2001, pg. 40).
A Poltica de Segurana deve ser vista, como um ponto de forte importncia e impacto,
como podemos observar:
No se deve encarar uma poltica de segurana como mais um modismo
passageiro que freqentemente aparece em todas as reas de atividades. Antes
de mais nada, poltica de segurana um conjunto de diretrizes gerais
destinadas a governar a proteo a ser dada a ativos de informao.
(Caruso, Steffen, 1991, pg 15)
A compreenso da tecnologia da informao abrange trs pilares principais, sendo:

segurana lgica, segurana fsica e segurana tcnica. A segurana fsica desempenha to
importante quanto a demais, devido ser a base para a proteo de todo e qualquer investimento
feito pela empresa. Atentando para o fato de que investir em diferentes aspectos de segurana
sem apreciar suas prioridades, pode ocasionar em perda de recursos em conseqncia de falhas
nos sistemas mais vulnerveis. Em nossa atual realidade, as organizaes realizam projetos de
continuidade de negcios a fim de analisar seus investimentos de uma forma mais abrangente e
planejar seus investimentos em segurana fsica, lgica e tcnica, com o objetivo de garantir
integridade, disponibilidade e confidencialidade de suas informaes. (Barbosa, 2001,
www.modulo.com.br)
Alm dos elementos citados acima, dois atributos devem estar presentes. Primeiramente a
transparncia, devendo-se demonstrar claramente os mecanismos adotados para garantir o nvel
de segurana do sistema. E segundamente o controle que permite a auditabilidade por meio dos
registros de utilizao da informao, identificando que fez o que e quando.
(Nery, 2001, www.modulo.com.br)
O avano tecnolgico apresenta vrios questionamentos as organizaes, tais como:

Como podemos assegurar a Segurana da Informao?
Porque as empresas devem se preocupar com este assunto?
Como a logstica pode ser influenciada e implementada?
Profissionais capacitados?
Investimentos? Custo?
Quando a hora de investir?
Qual a realidade e a necessidade da organizao?
Indicadores de desempenho? At que ponto investir?
Desenvolver sistemas de segurana ou contrat-los? Vantagem competitiva?
Como se defender de vrus e como se adequar poltica de segurana da empresa em que
trabalha?
A viso da Segurana da Informao a partir do prisma do empreendedor?
Avaliao de empresas, oportunidades de retorno sobre investimento, riscos para os
negcios?
2. DIRETRIZES
A Poltica de Segurana da Informao possui diretriz, a fim de determinar a estrutura da
segurana da informao e a orientao necessria ao desenvolvimento do trabalho. Essas
sistemticas visam determinar o nvel de segurana de uma rede, sua funcionalidade e a
facilidade de uso, sendo reunidas em um documento formal com regras pelas quais as pessoas
devero aderir para ter acesso informao e tecnologia da informao.
Tornando-se
necessrio conhecer os objetivos, para depois poder medi-los, as polticas variam de organizao
para organizao.
Como podemos observar abaixo, as diretrizes tendem a ser claras, de forma a orientar a sua
aplicabilidade de maneira simples e compreensvel.
A Poltica de Segurana da Informao composta por diretrizes e
orientaes gerais que evitam, tanto quanto possvel, referir-se a detalhes e
mincias, especialmente aquelas relacionadas tecnologia ou s ferramentas
utilizadas na sua implementao.
As diretrizes, to claras quanto possveis, permitem que todos os integrantes
da organizao sejam capazes de compreend-las e aplica-las corretamente.
(Loss Control, 2001)
O conhecimento das regras de acesso, bem como a responsabilidade sobre a manipulao

deve ser permanentemente atualizada e conhecida pelos usurios, assim como a existncia de
regras e de contratos definindo estas, para o cumprimento dos requisitos da Poltica de
Segurana, tanto para o quadro funcional interno, como para prestadores de servios.
Poltica de Segurana: os sistemas informatizados precisam ter uma poltica
de segurana que informe como o sistema deve ser usado. So regras que
definem as melhores prticas para o manuseio, armazenamento, transporte e
descarte das informaes...
(Nery, 2001, www.modulo.com.br)
As diretrizes representam o caminho como as pessoas devem tomar conhecimento destas

normas, a fim de minimizar eventuais danos.
As conseqncias de uma poltica de segurana implementada e
corretamente seguida podem ser resumidas em trs aspectos:
- Reduo da probabilidade de ocorrncia.
- Reduo dos danos provocados por eventuais ocorrncias.
- Criao de procedimentos para se recuperar de eventuais danos.
3. OS RESULTADOS
Os resultados so visualizados mediante o correto cumprimento das normas estabelecidas
pela poltica de Segurana da Informao, como podemos observar abaixo:
A existncia e o correto cumprimento da Poltica de Segurana da
Informao permite s organizaes um significativo ganho de produtividade
devido padronizao das atividades e a reduo do retrabalho e dos
prejuzos financeiros decorrentes da perda de informaes. (Loss Control,
2001).
A conscientizao resulta que o trabalho no se perca e que a Poltica de Segurana, seja

implanta com xito.
Estabelea uma poltica educacional com relao segurana, para
convencer e obter apoio, antes de introduzir medidas de segurana. Lembrese: segurana encarada, antes de mais nada, como a maneira de se impedir a
bisbilhotice alheia e no a nossa. Onde os canais formais se revelarem
ineficientes, use os canais informais que toda organizao possui; procure
convencer o lder nato dentro de uma estrutura, se o mesmo no fizer parte da
estrutura formal; entretanto, seja hbil para no ferir suscetibilidades.
(Caruso, Steffen, 1991, pg. 21)
Pontos a considerar ao se estabelecer uma Poltica de Segurana:

-
Servio oferecido X Segurana proporcionada todo servio representa um risco

a mais para a segurana, sendo necessrio considerar se a perda proporcionada
pelo risco da segurana vai compensar os ganhos com o servio oferecido.
Facilidade de uso X Segurana toda prtica impe dificuldade de uso para os

usurios, como por exemplo, o uso de senhas impe que o usurio tenha de mantlas seguras e apresent-las quando solicitado. Deve-se considerar se o esquema de
segurana que se pretende adotar no impe uma carga excessiva de dificuldade
para o usurio.
Custo da segurana X Risco de perda no ter segurana nenhuma envolve um

risco grande de perda, pois a segurana mxima imprime um custo para mant-la.
Desta forma, torna-se necessrio encontrar um ponto de equilbrio, em que o custo da

segurana compense as possveis perdas, como por exemplo:
Custos aquisio de software e hardware, treinamento, pessoal, perda de

desempenho do sistema, finalidade de uso, etc.
Perdas
privacidade,
dados,
sabotagem,
uso
indevido
de
servios
computacionais, negao de servios, etc.

Em uma pesquisa recente realizada nos Estados Unidos, o Computer Security Institute
(CSI) entrevistou 538 profissionais de segurana da informao em organizaes norteamericanas, rgos governamentais, instituies financeiras, mdicas e universidades. Obtendo o
seguinte resultado: 35% (186 profissionais) foram capazes de quantificar as perdas financeiras
que tiveram, esses profissionais informaram 377 milhes de dlares em perdas financeiras,
contrastando com as perdas de 249 profissionais em 2000 somaram 265 milhes de dlares. O
total anual comum durante os trs anos anteriores a 2000 era de 120 milhes de dlares. Como
nos anos anteriores, as perdas financeiras mais relevantes ocorreram por roubo de informao
proprietria (34 profissionais informaram 151 milhes de dlares) e fraude financeira (21
profissionais informaram 92 milhes de dlares).
(Maia, 2001, www.modulo.com.br)
Assim como, a 6 e a 7 Pesquisa Nacional Mdulo refora mais uma vez o crescimento da
Tecnologia da Informao nos negcios, comparando-se aos anos anteriores.
A segurana
apresenta-se como um elo de suma importncia entre a tecnologia e a competitividade na nova

economia, integrando de forma segura a gesto e os negcios das empresas. As pesquisas
elaboradas sobre o tema Segurana da Informao descrevem que o Brasil possui uma longa
jornada pela frente rumo a segurana eletrnica das informaes, uma vez que a presena das
empresas brasileiras na web representativa, assim como as ameaas e as vulnerabilidades que
tendem a crescer, representando riscos e exigindo maiores nveis de segurana e
conseqentemente a capacitao, a responsabilidade dos funcionrios passa a ser observada como
item fundamental, para a proteo das informaes estratgicas.
(Mdulo Security Solutions, 2000, www.modulo.com.br)
Observando-se o avano da tecnologia da informao e a globalizao do mercado, como

fatores que influenciam diretamente o modo como as empresas devem compelir, a palavra
segurana passou a ser sinnimo de credibilidade.
Desta forma, podemos analisar que a
segurana da informao da organizao deve ser includa no plano de retorno sobre os

investimentos (ROI), pois como observamos a segurana viabiliza e agrega valor aos negcios e
aplicaes; aumentando sua participao no mercado, garantindo a satisfao dos seus clientes,
elevando a produtividade dos seus colaboradores, reduzindo os riscos provocados pelas ameaas
e mantendo a integridade da imagem que a empresa construiu no mercado.
(Maia, 2001, www.modulo.com.br)
10
4. CLASSIFICAO DA INFORMAO
A informao pode ser classificada conforme o grau que ela representa para a empresa,
relacionando a nossa realidade seu grau de sigilo e teor crtico, que se reverter em valor, pois de
acordo com a forma, como a informao manipulada pelos sistemas as informaes podem ficar
mais sensveis e o seu grau de proteo conseqentemente aumentar.
Nos dias atuais a informao vista como o principal ativo da organizao, devendo ser
tratada de modo adequado e para isso deve-se classific-la de acordo com o seu grau de sigilo e
seu teor crtico. (Loss Control, 2001).
A informao possui valor intrnseco, podendo ser avaliada em funo de sua importncia
e/ou utilidade e/ou valor financeiro, permitindo-nos classific-la de acordo com critrios de
proteo, tais como: destruio e revelao. A poltica de classificao e informaes est
subordinada a poltica de segurana da organizao, baseando no valor das informaes que esto
sendo protegidas e no custo da proteo. Analisando-se o valor que esta informao representa
para a companhia e o custo dela. De forma que se este for proibitivo ou ultrapasse o valor desta
informao para a organizao, deve-se analisar se esta informao deve permanecer sendo
considerada como sigilosa ou sua importncia para a continuidade do negcio, sendo conveniente
fazer uma anlise de todo o processo de manuseio do fluxo desta informao. Sendo a poltica de
classificao de informaes importante, principalmente pela vulnerabilidade tcnica, diversidade
humana e as influncias externas e/ou internas. (Caruso, Steffen, 1991, pg 29 e 31)
Devendo-se informar aos usurios, funcionrios e gerentes das exigncias obrigatrias para
proteger seu patrimnio tecnolgico e de informaes, especificando os mecanismos atravs dos
quais essas exigncias podem ser cumpridas, tais como:
-
Emitir diretrizes para aquisio, configurao e auditoria de sistemas e redes de

computadores para atende poltica;
Explicitar quais usurios podem e no podem fazer nos vrios componentes do

sistema, incluindo o tipo de trfego permitido nas redes;
Evitar ambigidades e mal entendidos.
11
Definido-se na poltica, quem deve se envolver com a segurana:

-
Administrador de segurana do site3;
Pessoal de informtica;
Administradores de grupos grandes de usurios, tais como: diviso de negcios,

departamento de cincia da computao de uma universidade, etc;
Brigada de segurana (equipe de emergncia acionada em caso de invaso);
Representantes dos grupos de usurios afetados pela poltica de segurana;
Gerncia responsvel;
Departamento jurdico, caso seja apropriado;
Auditoria.
O mesmo que localidade, um servidor de dados.
12
4.1. NVEIS DE CLASSIFICAO

Os nveis de classificao so definidos conforme o grau de sigilo e teor crtico, cada grau
determina a proteo que cada informao deve possuir e os procedimentos necessrios para sua
proteo. Sendo definidos as formas a serem adotadas de proteo relacionadas criao,
divulgao, transporte, armazenamento e destruio da informao. (Loss Control, 2001).
A informao deve ser analisada cuidadosamente, pois as facilidades de cruzamento de
dados nos sistemas, podem gerar informaes mais sensveis que as originais, desta forma a
classificao das informaes relacionadas ao grau de proteo contra destruio importante
para a continuidade operacional dos negcios da organizao, assim como a classificao quanto
ao grau de sigilo de suma importncia para a estratgia dos negcios. Desta forma podemos
classificar as informaes atravs de uma questo de grau. (Caruso, Steffen, 1991, pg 29)
13
4.2. RESPONSABILIDADES
Existem fatores para os quais devem ser atentados, pois o sucesso de uma Poltica de
Segurana depende de:
-
Ser implementvel pelos procedimentos administrativos de sistema;
Ser aplicvel e sancionvel pelas ferramentas de segurana;
Definir responsabilidades dos usurios, administradores e gerncia.
Tendo como componentes:

-
Diretrizes de aquisio de informtica;
Poltica de privacidade, tal como monitorao de correio eletrnico, registro de

digitao e acesso a arquivos de usurios;
Definio dos direitos e dos privilgios de acesso;
Poltica de responsabilidades para os usurios, equipe operacional e gerncia,

devendo-se especificar mtodos de auditoria;
Poltica de autenticao;
Esquema de disponibilidade do sistema;
Poltica de manuteno da rede e dos sistemas, permitindo ou no acesso remoto e

definindo seu controle.
Poltica de registro e aviso de violaes;
Informaes de suporte;
Exigncias regulamentares, como monitoramento de linha.
A poltica de classificao das informaes deve estabelecer a distribuio da

responsabilidade de todas as reas envolvidas no manuseio das informaes, assim como onde
for necessrio o atendimento a requisitos especficos e como isso deve ser feito. Definidas
regras, tais como:
14
Responsabilidade;
Regras de identificao e classificao;
Regras gerais;
Regras especficas;
Regras especiais.
Observando e analisando o cumprimento das regras, utilizando bom senso para situaes
novas que no tenham sido cogitadas na poltica, solicitando sua devida justificativa. (Caruso,
Steffen, 1991, pg 32, 33 e 34)
As pessoas devem estar envolvidas com a proteo das informaes, atravs de
conscientizao e divulgao para os colaboradores das responsabilidades do seu relacionamento
com a informao classificada.
A informao pode ser manuseada por trs categorias distintas, tais como:
-
O gestor;
O custodiante e
O usurio.
Atentando para as organizaes que possuem auditoria interna e disponham de servios de

autoria externa, no correto cumprimento das normas especificadas. (Loss Control, 2001).
A utilizao dos servios da auditoria de sistemas implica em certificar-se que:
-
As informaes estejam corretas;
Existncia de um processamento adequado das operaes;
As informaes estejam protegidas contra fraudes;
Existncia de proteo das instalaes e equipamentos;
Existncia de proteo contra situaes de emergncia.
De modo geral, necessrio ter conhecimento se a invaso em curso na rede est sendo
utilizada para invadir outras redes, caso isso seja confirmado, se torna importante avisar aos
administradores das redes envolvidas de forma a demonstrar uma poltica de cooperao mtua
em busca da origem da invaso.
15
4.3. IMPLEMENTAO
Existem dois extremos basicamente, no que se refere ao modelo de segurana, que se pode
adotar.
O modelo de negao total, em que a premissa bsica : O que no permitido
proibido, aquele em que a princpio todos os servios possveis so negados e que todas as
restries possveis so aplicadas. proporo, que houver necessidade de liberao de servio
e concesso de permisso, vai-se concedendo. o modelo que apresenta maior eficincia em
termos de segurana, porm maior grau de dificuldade de implementao, j que todas as brechas
possveis de segurana tm que ser identificadas e fechadas.
O modelo de permisso total exatamente o oposto.
Apresentando um mnimo de
segurana aplicvel, medida que vo surgindo problemas relativos segurana, vo sendo

implementadas restries, este modelo mais fcil de implementar, porm mais frgil em
segurana.
Estes modelos so aplicveis a sistemas de seguranas, sendo utilizado conforme o nvel de
segurana que se queira aplicar ao ambiente. O cuidado deve ser tomado na opo destes,
evitando-se aplicar o mesmo modelo para necessidades de segurana diferente, ao mesmo tempo
evitar que servidores com um tipo de modelo no venham a comprometer a segurana e a
operao de servidores com outro tipo de modelo.
Assim como, a implementao da classificao das informaes visa a melhor identificao
dos acessos, de acordo com a mdia em que a informao armazenada, conforme o definido na
classificao das informaes, favorecendo a localizao e a definio de acesso de forma rpida
e atentando para a poltica de classificao da informao.
No caso de informaes em meio magntico4, o nvel de classificao
diferencia os diversos nveis de acesso para leitura, sendo que a alterao da
informao deve permanecer, sempre, sob responsabilidade do gestor.
A fim de que no haja possibilidade de exposio indevida, os meios de
armazenamento devem ser manipulados de acordo com os procedimentos
estabelecidos para as informaes neles armazenadas que estiverem
classificadas com o maior nvel. (Loss Control, 2001).
So recursos utilizados para a alocao de informaes, tais como: disquete, cd, fitas, etc.
16
A poltica de classificao estruturada para atender as necessidades de segurana da

informao dentro da organizao, preparando uma poltica detalhada ou dirigida para ambientes
especficos se torna mais difcil de ser entendida ou seguida por usurios, que no possuam
acesso autorizado. Geralmente, as pessoas no se sentem responsveis por regulamentos que
no digam respeito a situaes que manuseiem como porte de suas tarefas funcionais (Caruso,
Steffen, 1991, pg 34). Podendo a poltica de classificao da informao ser utilizada por toda e
qualquer organizao, adaptando-a conforme a necessidade dos diferentes padres culturais.
17
5. SEGURANA FSICA
O Controle de acesso fsico visa impedir que pessoas estranhas ao ambiente tenham acesso
as dependncias, protegendo os equipamentos que tratam ou armazenam as informaes, atravs
da implementao de acessos restritos a esses ambientes, buscando a preveno de possveis
perdas, roubos ou vazamentos de informaes.
A segurana fsica tem como principais
objetivos: garantir a continuidade das rotinas; assegurar a integridade dos ativos; manter a
integridade e confidencialidade das informaes.(Fontes, 1991, pg 21).
Um ponto normalmente negligenciado por quem pensa em segurana o acesso fsico a
terminais e outros dispositivos da rede. Manter cpias de backup5 seguras contra roubo, alm dos
cuidados normais para manter a integridade do backup, assim como, notebooks e outros terminais
portteis tambm representam riscos em caso de roubo ou acesso no autorizado. Deve-se ter
cuidado em relao aos dados armazenados nos discos rgidos e memrias desses terminais,
outros lugares a serem protegidos so os armrios de distribuio de cabos, servidores, roteadores
e servidores de nomes.
Assim como, o acesso pblico projetado para oferecer comodidade aos usurios, que
desejam se conectar com a rede distncia, quer seja por um terminal estabelecido pela empresa
ou um ponto de rede para conexo de equipamentos portteis. Este tipo de acesso permite o uso
de IPs6 falsos, rastreamento de pacotes, etc. Caso seja necessrio oferecer este tipo de servio ao
pblico, torna-se interessante execut-lo separadamente da rede interna da empresa, assim como
se deve vigiar escritrios vazios e desconect-lo fisicamente do quadro de distribuio de cabos,
monitorando toda tentativa de conexo no autorizada.
A preveno na segurana de acesso evita problemas de integridade ou at mesmo
confidencialidade violada. Um dos pontos fundamentais da segurana fsica o controle de
acesso. Ele est baseado no fato de que nem todas as pessoas devem ou precisam ter acesso a
todas as reas da organizao.(Loss Control, 2001).
Backup: rotina de salvar dados para um ou outro local/mdia, com o objetivo de recuperao em caso de danos aos
dados no local original.
6
Internet Protocol. Juntamente com o TCP, o protocolo em que se baseia o funcionamento da Internet.
18
A poltica e o investimento no controle de acesso fsico adotada pela empresa

estar diretamente ligada importncia de seus ativos, observando sempre a
relao dos modelos de segurana do que apenas o uso de tecnologia. Nesse
sentido, fundamental a anlise do perfil de cada empresa para a definio de
uma poltica de controle de acesso fsico que se encaixe nas necessidades do
cliente. Quanto maior o investimento em preveno menor ser o prejuzo em
caso de Sinistro. O investimento em questo no se refere apenas ao uso de
tecnologia avanada, mas forma como a empresa lida com a conscientizao
de seu quadro de funcionrios.
O controle de acesso fsico pode ser implantado de diversas formas, tais como:
-
Grades e muros: Estabelece limites com o objetivo de inibir a presena de

curiosos. As grades devem possuir ter alarmes ou estarem sob vigilncia de
guardas, cachorros ou monitores de TV;
Guardas: Devem ficar posicionados na entrada das instalaes consideradas

estratgicas, a fim de controlar o acesso e permitir a entrada somente de pessoal
autorizado;
Crachs: A travs deste mtodo, funcionrios e visitantes so obrigados a us-lo

para obterem acesso ao ambiente desejado. Esse sistema no est diretamente
envolvido com tecnologia e sim relacionado ao seguimento de procedimentos.
So recomendadas que os crachs possuam poucas informaes, devendo ser
evitados assinaturas e detalhes por escrito. A identificao pode ser feita atravs
de cdigos de barra, cdigos, cores, nmero de srie, leitura tica, sendo a
instalao dos leitores programados para permitir a entrada somente de pessoas
autorizadas, facilitando a deteco de intrusos;
Sistemas com portas duplas: Sistema utilizado para identificao de pessoas, que
desejem ter acesso ao ambiente. Este tipo de sistema conveniente para prevenir
a entrada de intrusos, em reas restritas;
Travas e chaves: Devido p controle de cpias de chaves ser bastante falho, o

sistema cipher locks (combinao de travas com botes que abrem a porta aps a
digitao de uma seqncia) tm sido utilizado em muitas instalaes. Nesse
processo, deve-se ocultar a digitao do cdigo de acesso sob pena de invalid-lo;
19
Controle de acesso biomtrico, como: verificao de digitais, geometria das mos,

padro de voz, leitura de retinas, leitura de ris, padres de assinatura,
reconhecimento facial, etc.
Esta lista tem como finalidade apresentar os principais itens a serem avaliados num trabalho
de diagnstico, para que os responsveis pelas decises da organizao, aps o check-list7 tenham
condies para escolher sobre onde e quanto investir na segurana fsica, com uma viso mais
clara de suas vulnerabilidades:
Itens a pontos a serem avaliados:
-
Exposio ao fogo;
Materiais utilizados na construo do prdio e na instalao interna

(combustilidades);
Localizao do estoque de papis e materiais inflamveis;
Local de armazenamento de meios magnticos (fitoteca);
Vedao contra passagem de fogo e gases entre ambientes;
Condies de conservao e limpeza do piso elevado e do forro;
Existncia de janelas;
Uso de carpetes, cortinas e mveis combustveis;
Dispositivos de deteco, alarme e combate ao fogo (localizao,

quantidade, qualidade, condies de funcionamento);
Dispositivos de desligamento de energia em caso de emergncia

(existncia e localizao);
Portas e paredes corta-fogo;
Iluminao de emergncia e sinalizao;
Treinamento do pessoal de brigada e exerccios de abandono em

todos os turnos de trabalho, etc.
Consiste em uma srie de itens a serem verificados antes, durante ou aps um determinado procedimento/operao.
20
Danos pela gua:

-
Condies do subsolo;
Condies de telhados e lajes;
Condies dos materiais utilizados nas tubulaes;
Localizao adequada das tubulaes;
Drenagens sob o piso elevado e proteo em relao ao piso superior;
Riscos de enchentes (localizao), etc.
Climatizao:
-
Exclusividade do sistema;
Dimensionamento adequado do equipamento;
Redundncias (e reservas);
Material de isolamento dos dutos e filtros;
Rotina de manuteno do sistema;
Localizao de aberturas externas (troca de ar);
Existncia de dampers corta-fogo e gases no interior dos dutos;
Controle e registro de temperatura e umidades, etc.
Eletricidade:
-
Qualidade das instalaes (cabos, transformadores, estabilizadores e

no-breaks8);
Exclusividade das instalaes eltricas;
Qualidade do fornecimento (energia comercial);
Dimensionamento, qualidade e testes do conjunto de energia

alternativa;
Existncia de pra-raios e distncia do local de risco;
Condies do aterramento, etc.
Equipamento ligado rede eltrica para em caso de queda ou interrupo do fornecimento de energia, manter o
funcionamento, por um tempo pr-determinado, de computadores e outros recursos (equipamento de rede, etc.). Um
no-break constitudo por baterias eletroqumicas (acumuladores) e um circuito conversor de corrente contnua em
corrente alternada.
21
Controle de acesso, monitoramento e sensoriamento:

-
Adequao do tipo de controle;
Treinamento do pessoal de segurana e usurios;
Sensoriamento de portas, janelas, duros e superviso predial;
Existncia de sala central de controle de segurana e sua localizao;
Meios de identificao e registro do pessoal autorizado;
Avaliao do permetro e reas externas ao prdio;
Riscos de vizinhana.
Pessoal:
-
Sistema de admisses e demisses;
Pessoal treinado em outras funes (em caso de contingncia);
Procedimentos em caso de greves;
Procedimentos na ocasio do dispensa de funcionrio;
Informao e treinamento quanto Poltica de Segurana;
Treinamento em situaes de emergncia, primeiros socorros, planos

de abandono, procedimento fora de expediente, etc.
Meios de arquivo:
-
Fitoteca de segurana existncia, localizao, procedimentos de

envio e retirada, controle de acesso, segurana contra incndio,
isolamento;
Procedimentos de destruio de dados confidenciais;
Procedimentos e meios de transporte e armazenagem de mdia

magntica;
Procedimentos sobre o controle de verses mantidas em segurana;
Testes peridicos de recuperao de sistemas (contingncia), etc.
(Caruso, 2000, www.modulo.com.br)
22
5.1. ANLISE DE RISCOS

Ao se investir em segurana fsica, deve ser realizada uma anlise de riscos e
vulnerabilidades fsicas a que a organizao possa ser exposta. Costuma-se julgar, que a forma
mais adequada de se obter a anlise de riscos, por meio de especialistas no assunto, por
possurem profundo conhecimento na rea e experincia de situaes e ocorrncias anteriores,
priorizando-se os prestadores de servios externos a empresa, a fim de evitar conflitos
relacionados a projetos propostos no passado que obtiveram ou no xito.
Um guia contendo elementos necessrios para estruturao da segurana
de empresas, que traz desde informaes sobre a segurana fsica do ambiente
at formas de como contratar servios terceirizados, passando pela
classificao de dados e a abordagem da segurana no trato com pessoas.
Parece bom? Pois a isso e a muito mais a que a ISSO/IEC/ 17799-1, baseada
na norma britnica BS 7799 se prope.
Criada pelo British Standard Institution (BSI) em 1995 para orientar as
empresas locais, a norma ganhou aceitao entre pases europeus como
Sua, Sucia e Polnia - que em dezembro de 1999 foi submetida aos
organismos internacionais de padres International Organization for
Standardization (ISSO) e ao International Electrotechnical Commission (IEC).
Depois das consideraes dos pases integrantes, entre eles o Brasil, em
setembro de 2000 a norma ganhou status internacional, passando a se chamar
oficialmente de ISSO/IEC/ 17799-1 em dezembro do mesmo ano.
(Modulo e-Security News, 2001, www.modulo.com.br)
A anlise de riscos deve retratar as principais deficincias da empresas e os pontos a serem

melhorados, assim como sugestes para melhorar ou manter o nvel de segurana fsica e no
como uma crtica ao que foi feito ou no no passado.
Destacando aspectos tais como:
localizao, segurana com contra fogo, ar condicionado, energia eltrica, energia alternativa,
controle de acesso, sensoriamentos e monitorao instalao da fitoteca de segurana, transporte
das mdias para a fitoteca de segurana, concluso a respeito do resultado dos levantamentos e as
tendncias registradas nos CPD9s europeus norte-americanos.
(Caruso, Steffen, 1991, pg 114 a 118)
Centro de Processamento de Dados
23
... a segurana fsica, apesar de seu conceito tradicional estar ligado

solidez e estabilidade, precisa ser flexvel e capaz de absorver as diferentes
tecnologias que surgem ao longo do tempo.
Empresas precisam estar
constantemente revisando e reorganizando seus componentes e processos de

segurana fsica.
(Barbosa, 2001, www.modulo.com.br)
Os principais riscos apresentados, atravs da no priorizao da segurana fsica, podem ser

representados por fatores, tais como:
-
Emprego de materiais comburentes no piso, teto, decorao,

divisrias e mobilirio;
Ausncia de cuidados indispensveis ao sistema eltrico, como:

instalaes adaptadas, m distribuio de cabos, fios descobertos,
suportes de alumnio para o piso falso, etc.
Ausncia de blindagem adequada na passagem de cabos e dutos por

paredes ou pisos;
Dutos de ar-condicionado revestidos com materiais comburentes, ou

que geram gases txicos;
Irregularidades,
ou
impropriedades,
nos
pisos
elevados
ou
rebaixados;
-
Falta de sistema alternativo de fornecimento de energia;
Inexistncia de sistema de monitorao de acesso;
Falta de pra-raios;
Rede de comunicao vulnervel;
Os setores no so separados por porta corta-fogo;
Os funcionrios desconhecem os procedimentos recomendados para

casos de sinistros.
(Fontes, 1991, pg 21).
24
A 6 Pesquisa Nacional sobre Segurana da informao, apresenta uma estatstica sobre as

principais ameaas as informaes da empresa, destacando- se que dos executivos entrevistados
Apenas 24% responderam que o nvel de adeso poltica alto, revelando que o desafio atual
aumentar
participao
dos
funcionrios
(Mdulo
Security
Solutions,
2000,
www.modulo.com.br). Enquanto:
Aproximadamente 47% dos executivos dos executivos entrevistados
afirmam que o principal obstculo na implementao da poltica de segurana
a falta de conscincia dos funcionrios, que muitas vezes apresentam resistncia
em adotas tais prticas.
Os funcionrios continuam sendo os principais responsveis pelos
problemas de segurana computados. Porm, o resultado deste ano (33%) est
dois pontos percentuais abaixo do apontado no ano anterior (35%).
Aps a anlise de riscos fsicos, pelos profissionais responsveis pelos levantamentos das
informaes inerentes a segurana fsica, adquire-se o conhecimento sobre os recursos a serem
disponibilizados como: equipamentos de monitorao, energia, climatizao, ambientes de
segurana para os equipamentos crticos, poltica de segurana de acesso fsico s informaes e
ambientes distintos da organizao, dentre os diversos componentes e processos que devem ser
envolvidos num projeto de segurana fsica. Sendo a implementao deste um complemento de
projeto maior de continuidade de negcios. Aps realizar os investimentos e implementar o
plano, a empresa dever estar constantemente revendo o plano e modificando o que for
necessrio,
que
demonstra
ser
um
plano
contnuo
360.(Barbosa,
2001,
www.modulo.com.br)
25
6. SEGURANA LGICA
A segurana lgica tem por finalidade proteger as informaes, essa proteo tem como
meta impedir a alterao, divulgao ou destruio, intencional ou no, atentando para os
cuidados que devem ser tomados na criao e utilizao de senhas. Seu uso deve ser concedido
apenas as pessoas que necessitem dela, para o desempenho de suas atividades.
O relatrio da Comisso Especial 21 de Proteo de Dados, da SEI, assim
define: Segurana lgica consiste de um conjunto de mtodos e procedimentos
automatizados destinados a proteger os recursos computacionais contra a sua
utilizao indevida ou desautorizada, intencional ou no. Compreende o
controle de consultas, alteraes, inseres e excluses de dados e o controle
do uso de programas e outros recursos.
(Fontes, 1991, pg 25).
Podendo-se entender segurana lgica, de maneira a estabelecer os controles de acesso a

informao, objetivando a integridade e a manuteno da confidencialidade da informao
protegida. Definindo-se as permisses de acesso a aqueles previamente autorizados e negando o
acesso daqueles que no gozem dos mesmo direitos, principalmente em ambientes que
concentrem um percentual elevado de informaes, como exemplo, as redes de comunicao ou
os grandes centros de processamento de informaes das organizaes.(Loss Control, 2001).
As organizaes devem possuir regras claras, para seus funcionrios quanto ao sigilo e a
privacidade das informaes, a fim de preservar a imagem da empresa perante o mercado atuante,
pois uma informao mal interpretada por terceiros, pode dar incio a boatos ocasionando srios
prejuzos instituio.
Em primeiro lugar, deve ser estabelecido que o campo de abrangncia do
sigilo envolve tanto a organizao em si, com seus negcios, polticas e
estratgias cuja publicidade seja indesejada, quanto s pessoas e demais
organizaes com as quais ela se relacione e sobre as quais no possa divulgar
qualquer informao, seja por fora de lei ou de acordos e contratos comerciais.
Por outro lado, a privacidade do cidado , sem dvida, um de seus valores
mais caros, de modo que nenhuma organizao deve descuidar de qualquer
informao pessoal que lhe seja confiada. (Loss Control, 2001).
26
Quanto maior for a utilizao do processamento eletrnico de dados, maior ser o aumento
de sua vulnerabilidade, sendo desta forma necessrio a utilizao de meios de segurana mais
eficientes para a proteo dos dados manuseados.
O estabelecimento de controles para
segurana lgica dos dados deve ser avaliada pelo aspecto custo/benefcio... (Fontes, 1991, pg
25), pois a reduo dos riscos s informaes aumenta em contra partida a confiabilidade dos
dados, assim como, aumenta a sobrecarga dos computadores, alongando os tempos de resposta e
os custos.
Segundo Donn Parker, a segurana de um sistema de proteo mede-se por
seu ponto mais fraco, que no caso e o elemento humano. O computador um
a mquina programvel, que executa as instrues recebidas: se for programada
para errar e roubar, ele errar e roubar. Os programas, chamados software, so
desenvolvidos por pessoas comuns, sujeitas s mesmas falhas que ns. Se a
empresa no contar com pessoal de confiana e capaz, todas as demais medidas
de segurana sero inteis.
(Fontes, 1991, pg 26).
Primeiramente, os mecanismos de segurana utilizavam as senhas como medida de controle

de acesso, mas as senhas se revelaram um mecanismo muito frgil e atualmente o papel dela
baseiam-se em autenticar a identidade dos usurios que esto tentando acessar determinado
ambiente protegido. O acesso passou a ser controlado por mecanismos de listas de acesso, que
descrevem os usurios que possuem permisso de acesso e o nvel permitido.
A segurana de acesso no est relacionada diretamente a rea de informtica, pois este est
submetido s atividades de controle e a auditoria, normalmente existente nas organizaes que
adotam a poltica de segurana da informao. (Caruso, Steffen, 1991, pg 45)
27
6.1. SENHAS
Representa o controle de acesso mais antigo, utilizado pelo homem visando impedir o
acesso de pessoas no autorizadas. Elas foram e so utilizadas para controlar os acessos de
recursos, entretanto este meio de segurana apresenta riscos de revelao.
Os mtodos de
controles atuais tendem a utilizar as senhas como mecanismo de autenticao de identidade de

usurios, atravs da atribuio de senha individual para cada chave de acesso, sendo esta senha
pessoal e intransfervel.
(Caruso, Steffen, 1991, 48).
Atualmente, grande parte das pessoas possui uma quantidade variada de senhas, como a
senha bancria, de acesso Internet, do logon10 na rede da empresa onde trabalhamos, na caixa
postal do celular e etc. Contudo, devem ser tratadas da maneira mais adequada e com a devida
seriedade, pois a senha ou password constituda por uma seqncia de caracteres que em
conjuntos com um cdigo de identificao ou logon, que faculta o acesso individual a algum
servio ou informao, uma vez concedido formalmente e de acordo com as necessidades de suas
tarefas.
As senhas no devem ser compartilhadas, por que caso contrrio no existe tecnologia
capaz de proteger seus sistemas.
Observando a necessidade de uma boa senha, que a
ferramenta de maior importncia capaz de garantir 90% de segurana de seus sistemas. Pode-se
classific-la como de boa qualidade ou facilmente decifrvel, sendo:
Boas Senhas
-
Devem ter caracteres maisculos e minsculos;
Dgitos e/ou caracteres de pontuao;
Fceis de lembrar;
Ter no mnimo 7 caracteres.
10
Seqncia de operaes para acesso a um sistema em que o usurio conecta-se, identificando-se com um user e
uma senha prpria.
28
Senhas Ruins
-
So aquelas fceis de descobrir;
Baseadas em informaes pessoais;
Com poucos dgitos;
Nomes prprios;
Palavras em qualquer lngua;
Combinaes de teclado (exemplo: qwerty);
Todas as anteriores de trs para frente;
Recomendaes bsicas para senhas

-
Os usurios devem poder mudar suas senhas;
As senhas iniciais devem ser geradas automaticamente e devem ser

trocadas logo no primeiro acesso;
Bloqueie o acesso as senhas criptografadas;
Force mudanas regulares de senhas;
Contas com data de expirao ou force a sua renovao peridica;
No imponha regras extremamente rgidas, seno os usurios

anotaro a senha em papel;
Tente quebrar suas prprias senhas;
No use a mesma senha em ambientes distintos;
Remova senhas inativas;

(Machado, 2000, www.modulo.com.br)
A Comisso de Economia, Indstria e Comrcio da Cmara dos Deputados

aprovou o projeto de lei 2.310/00, de autoria do deputado Themstocles
Sampaio (PMDB-PI), que obriga o uso de senha para efetuar compras com
carto de crdito. A idia tornar o uso do carto mais seguro.
Para o relator do projeto, deputado Rubem Medina (PFL-RJ), a senha ou
qualquer outro meio eletrnico de identificao uma garantia adicional que
vai dar mais segurana s operaes com carto de crdito, favorecendo o
usurio e as prprias administradoras do carto. O projeto seguir para a
Comisso de Defesa do Consumidor, Meio Ambiente e Minorias.
(Agncia Cmara, 2001, www.modulo.com.br)
29
Esta forma de identificao exige sigilo absoluto, uma vez que permite que o usurio seja
identificado. Devendo atentar para a sua efetividade e a periodicidade obrigatria para a sua
troca, assim como a obrigatoriedade de sua definio pelo prprio usurio. (Loss Control, 2001).
30
7. PLANO DE CONTINGNCIA
O Plano de Contingncia visa a continuidade das atividades necessrias organizao, para
a continuidade dos negcios permitindo superar com xito qualquer situao adversa. Estando
toda e qualquer instalao sujeita a hiptese de desastres de diversas naturezas, sendo estas
ameaas de origem natural ou acidental. A ocorrncia de um desastre pode proporcionar a
paralisao total ou parcial dos ambientes tecnolgicos, ocasionando perda de informao e
vulnerabilidade, assim como perda financeira para a empresa sinistrada. Desta forma, se faz
necessria elaborao de um plano que garanta a continuidade, segurana do tratamento e a
disponibilidade das informaes em caso de sinistro.
Os planos de recuperao mais freqentes, alm de se preocuparem com a
continuidade do negcio de produo e vendas, so muito focados para
enfrentarem desastres que podem atingir seus sistemas em computador. Com o
advento da Internet e os crescentes ataques de hackers e invasores, a
preocupao aumentou...
Uma pesquisa nos Estados Unidos com 1500 empresas, publicada no
jornal USA Today, demonstra os tipos de planos de recuperao mais focados
pelas empresas americanas:
- Plano de recuperao de sistemas em computados 61%
- Linhas de comunicao (telefonia, redes e satlites) 13%.
- Recuperao de negcios 12%
- Apenas procedimentos de evacuao de funcionrios 9%
- Outros 5
(Caruso, 2001, www.modulo.com.br)
O planejamento de segurana pode ser resumido, como:

-
Descobrir como aconteceu o incidente de segurana;
Descobrir como evitar a explorao da mesma vulnerabilidade;
Evitar a escalada de mais acidentes;
Avaliar o impacto e os danos do incidente;
Recuperar-se do incidente;
Atualizar as polticas e procedimentos conforme a necessidade;
Descobrir quem fez (se apropriado e possvel).
31
Conforme o plano de ao estabelecido, para os casos de invases pode-se negar acesso ao

servidor do invasor ou a todos os usurios que venham de fora da rede, ou travar todas as contas
de usurios ou chegar a ponto de matar todos processos de usurios e rebootar11 os servidores.
Ao se desenhar o plano de contingncia em caso de incidentes de segurana, os
administradores podem deparar-se como alguns dilemas. Do tipo, se um sistema considerado
como crtico e deve permanecer no ar, ao restaur-lo, por exemplo, recuperando um backup,
pode-se apagar os eventos que poderiam ajudar na anlise posterior do incidente. Portanto,
necessrio no s considerar tais ocorrncias como determinar as vrias prioridades dentro do
plano de contingncia.
As prioridades variam de organizao para organizao, mas como exemplo podemos
sugerir:
-
Proteger a vida humana e a integridade fsica das pessoas;
Proteger dados sigilosos;
Proteger dados tais como dados proprietrios, cientficos e

gerenciais;
Impedir danos aos sistemas;
Minimizar a indisponibilidade de recursos computacionais.
Providncias imediatas devem ser tomadas em casos de sinistros, analisando os

procedimentos de recuperao dos sistemas corporativos, observado o tempo de espera previsto
para o restabelecimento da atividade definidos pelos Gestores das informaes, conforme a
criticidade da informao, pois cada sistema corporativo, possui hierarquicamente seu grau
crtico de processamento, devendo possuir previso de tempo de paralisao e aes subseqentes
para o seu restabelecimento. (Loss Control, 2001).
O objetivo deste plano de contingncia manter em funcionamento as
atividades administrativas necessrias para a continuidade do negcio da
organizao, atravs do seguinte:
- Reduzir o impacto de desastres;
- Restaurar as condies operacionais normais;
- Retornar normalidade.
11
Rebootar os servidores = reiniciar os servidores
32
O plano de recuperao de desastres ou plano de contingncia deve ser desenvolvido e

testado com freqncia mnima de duas vezes ao ano, simulando condies emergenciais
definido-se a equipe responsvel por inspecionar os itens da poltica, assim como examinar o
cumprimento das rotinas especificadas relatando administrao o resultados dos testes, caso o
plano de recuperao de desastres apresente falhas detectadas no decorrer das inspees, estas
devero ser corrigidas de forma breve atendendo as necessidades da poltica de segurana da
organizao. (Fontes, 1991, pg 303 e 304).
A Metodologia do Plano de Contingncia apresenta um leque de projetos capazes de
disponibilizar, para a organizao requisitos mnimos de Segurana da Informao:
Definio: qualquer evento calamitoso, ou sucesso de eventos que
coloque em risco processos vitais para a consecuo dos objetivos da
Empresa.
Sistemas Crticos: so sistemas cuja inoperabilidade implica em perdas
irreversveis de cunho financeiro, jurdico ou de imagem da Empresa e sua
atividade produtiva deve acontecer em at 24 horas aps a ocorrncia do
desastre.
Desastre: a ocorrncia de qualquer tipo de anormalidade que impea ou

impacte a atividade de produo dos sistemas crticos.
Recuperao: o restabelecimento da atividade produtiva dos sistemas
crticos, mesmo que paleativa ou parcialmente, no caso do desastre se
efetivar.
Ativao e Desativao do Plano de Contingncia: O Plano de
Contingncia ativado e desativado pelos Executivos da Empresa
consubstanciados pelas informaes prestadas pelo Gerente do CPD e
pelas Equipes de Contingncia.
33
Pontos Bsicos: Para a elaborao do Plano de Contingncia, necessrio

que sejam levantados alguns itens, tais como:
Quais so os sistemas crticos que garantem a continuidade do
negcio da empresa:
- Anlise de Impacto nos Negcios;
- Anlise de Riscos para os principais Negcios;
- Homologao dos sistemas crticos por parte dos Executivos da
Empresa.
De que recursos de hardware, software e infraestrutura tais
sistemas dependem:
- Software12:
-
Configurao;
Verso/Release13;
Nvel de atualizaes;
Customizaes;
Fornecedores.
- Hardware14:
-
Configurao;
Up-Grade15;
12
Qualquer programa que nos possibilite tirar proveito dos recursos do computador
Em geral o release uma verso dentro da verso. Na prtica, o nmero da verso e do realease formam um
nmero decimal adotados para identificar a atualizao de um software. Exemplo: Netscape 4.1. Nesse caso temos o
release 1 da verso 4 do software (browse) navegador da Internet.
14
toda a parte fsica do computador, material. Exemplo: monitor, teclado, mouse e o prprio computador.
15
A expresso tanto pode se referir a uma verso de um hardware ou software, quanto ao ato de moderniza-lo.
Fazer Up-grade no comprar um novo programa ou novo computador, mas sim modernizar aquele que temos em
mos.
13
34
Espao em disco para o sistema operacional e

sistemas crticos;
MIPS16 utilizado;
Memria;
CPU17;
Controladora de Discos;
Controladora de Mdia Magntica;
Mdias Magnticas;
Fornecedores.
- Ambincia:
16
17
Definio de carga de refrigerao;
Temperatura;
Umidade;
Alimentao de energia eltrica;
No-Break;
Gerador de energia;
Bateria de energia;
PABX e telefonia em geral;
Prdios inteligentes e elevadores.
Milhes de informaes por segundo

Central Processing Unit: Unidade Central de Processamento
35
Levantamento e atualizao da documentao dos sistemas muito

crticos:
- Objetivos do sistema;
- Analistas responsveis;
- Usurios Gestores e usurios Finais;
- Backup dirio, semanal, mensal, semestral e anual - Reteno de
arquivos;
- Fases do sistema e sua descrio;
- Relao de programas utilizados - Batch18 - Cdigo e descrio;
- Relao de programas utilizados On line - Cdigo e descrio;
- Interfaces:
-
Interna - Arquivos de entrada;
Interna - Arquivos de sada;
Externa - Arquivos de entrada;
Externa - Arquivos de sada.
- Identificao dos servios crticos dentro dos sistemas prioritrios programas e tabelas;
- O que deve ser retido no perodo de contingncia para recuperao
dos sistemas no crticos;
18
So programas de computador que so executados no necessariamente de imediato. Por exemplo, em grandes

companhias, h o processamento batch na madrugada, onde os dados foram fornecidos durante todo o dia e ao
final de um determinado momento noite ou madrugada, estes programas so executados e processados.
36
- Servios que devem ser considerados crticos j que so essenciais

para recuperao de sistemas no crticos;
- Quais so os componentes crticos dos sistemas crticos.
Backup:
- Tamanho em Bytes19 dos dados necessrios para funcionamento
dos sistemas crticos;
- Volume de mdias magnticas que fazem atualmente o Backup
externo dos sistemas crticos;
- Espao fsico, estimado, para guarda do Backup externo dos
sistemas crticos;
- Forma de criao do backup externo (link20 especfico / transporte);
- Relao do backup dos sistemas crticos;
- Hierarquia a ordem cronolgica de baixa dos backups.
Definio do backup-site:
- Definio do Modelo de Backup_site (espelhamento, transmisso
remota...).
- Cold-Site 21prprio;
- Cold-Site de Terceiros;
- Hot-Site 22prprio;
19
Um conjunto de 8 (oito) bits. Um byte uma unidade que determina uma informao, que pode ser um caractere
ou um cdigo para um desenho na tela. Exemplo: 00010111
20
Elemento de uma pgina html que leva a uma nova localizao na mesma pgina ou em outra pgina inteiramente
diferente.
21
Cold site - instalao que oferece infra-estrutura bsica (local adequado, cabeamento eltrico, dispositivos de
resfriamento de gua, ar condicionado, piso falso etc.) No caso de um desastre, o cliente s precisa deslocar seus
equipamentos para o local preparado. Em comparao com o hot site, esta alternativa mais barata, porm pode
levar um tempo maior para ser ativada com todos os equipamentos necessrios, uma vez que o cliente precisa
deslocar seus equipamentos para este local.
37
- Hot-Site de terceiros;
- Hot-Site prprio compartilhado.
- Forma de atualizao dos dados no Site Backup.
Decises Ps-Desastre para a Recuperao:
- Evitar novos danos, executando os procedimentos de emergncia;
- Identificar os hardwares e os materiais que podem ser salvos;
- Auxiliar a equipe de logstica na movimentao de recursos salvos;
- Informar as equipes de telecomunicao e de hardware do
andamento dos trabalhos de salvamento;
- Avaliao do desastre no aspecto de estrutura fsica;
- Laudo e estimativa de recuperao da estrutura fsica;
- Avaliao do desastre no aspecto de parque computacional;
- Laudo e estimativa de substituio do parque computacional;
- Deciso quanto localidade e formas de processamento psdesastre dos sistemas crtico;
- Deciso quanto localizao e forma de processamento psdesastre dos demais sistemas.
Plano de Retorno:
- Definio de datas e procedimentos para retorno s atividades
normais;
- Retorno do CPD e estrutura bsica;
22
Hot site - instalao (empresa) que oferece servios de restaurao de sistemas de informtica. Oferecem salas
equipadas, compatveis com os recursos computacionais do cliente, para operar em substituio instalao original.
Provem ainda suporte tcnico e servios de telecomunicao.
38
- Definio de estrutura de apoio;

- Definio das datas de retorno;
- Criao de relatrios histricos.
(Plano de Contingncia, 1999, www.modulo.com.br)
39
7.1. EQUIPES DE CONTINGNCIA

A Equipe de Contingncia ou Grupo de Coordenao selecionada, a fim de favorecer o
gerenciamento do plano de contingncia em caso de sinistro, administrando e promovendo o
restabelecimento da normalidade dos processamentos dos sistemas crticos da organizao
durante e depois do sinistro. (Loss Control, 2001).
Nomeados os integrantes da equipe
responsvel, estes responderam integralmente pela eficincia do Plano.(Fontes, 1991, pg 304).

Conforme consultas ao site da Mdulo Segurana da Informao, pode-se definir e
segregas as equipes de contingncia, da seguinte forma:
1) Equipe Executiva / Coordenao
Misso:
Garantir que a restaurao do processamento ocorra dentro do prazo
estipulado no Plano de Contingncia conforme criticidade de cada
sistema.
Exercer a coordenao geral do Plano.
Tarefas Pr-Desastre
Avaliar
aprovar
gastos
financeiros
necessrios
ao
desenvolvimento e manuteno do Plano;

Definir local do Centro de Operaes Alternativo com o apoio da
Equipe de Hardware;
Definir local do Centro de Comando em caso de desastre;
Estabelecer as polticas e diretrizes do Plano;
Definir recursos necessrios ao Plano;
40
Designar lderes, seus substitutos e demais membros das outras

equipes;
Distribuir cpias do Plano e normas a todos os envolvidos no
Plano;
Reviso e atualizao peridica do Plano;
Coordenar as atividades das demais equipes;
Organizar e coordenar a execuo de testes do Plano;
Definir e montar a estrutura de retorno normalidade.
Dar apoio a todos os envolvidos.
Tarefas Durante o Desastre
Avaliar a situao posicionando aos Executivos da Empresa para
deciso sobre ativao do Plano;
Coordenar a ativao do Plano;
Ativar local do Centro de Operaes Alternativo;
Coordenar as atividades do Plano e das demais equipes;
Estabelecer diretrizes para situaes no previstas;
Acionar
as
pessoas-chave
para
recuperao
do
ambiente
operacional;
Acionar as providncias para recuperao do ambiente operacional;
Emitir relatrio situacional aos Executivos da Empresa;
Realizar reunies peridicas com os coordenadores das demais
equipes de forma a manter integrado o grupo de recuperao de
desastres e manter atualizado o Plano.
41
Tarefas Ps-Desastre
Coordenar as atividades de retorno normalidade.
2) Equipe de Salvamento e Rescaldo
Misso:
Combater o sinistro;
Prestar os primeiros socorros;
Salvar o que puder ser salvo;
Avaliar a extenso dos danos s instalaes, equipamentos e
recursos humanos;
Prover a EQUIPE EXECUTIVA de informaes.
Tarefas Pr-Desastre
Manter documentao, fora da instalao, de plantas, desenhos e
especificaes da mesma. (hidrulicas, eltricas, ar, etc.);
Manter relao de todos os hardwares existentes na instalao.
Executar os procedimentos de emergncia (evacuao dos
ambientes, desligamento de equipamentos e quadros, etc.);
Combate do sinistro e prestao dos primeiros socorros s vitimas
encaminhando-as ao atendimento especializado;
Estabelecer a segurana na instalao que sofreu o desastre;
Emitir RELATRIO DE OCORRNCIAS completo a EQUIPE
EXECUTIVA;
Efetuar a limpeza do ambiente e descartar o entulho;
Identificar hardware e materiais a serem salvos;
42
Fornecer suporte logstico para a mudana do equipamento salvo

para a nova instalao;
Manter
informadas
as
equipes
de
COMUNICAES
HARDWARE sobre o andamento dos trabalhos;

Emitir RELATRIO DE PROVIDNCIAS.
Tarefas Ps-Desastre
Executar os procedimentos necessrios recuperao das
instalaes fsicas.
3) Equipe de Logstica (Apoio Administrativo / Instalaes Fsicas)
Misso:
Assegurar a disponibilidade de recursos necessrios, de servios
administrativos e de comunicaes para as demais equipes,
imediatamente aps a ocorrncia do desastre e da deciso de ativar
o Plano;
Assegurar que as instalaes onde ser recuperado, em definitivo, o
Centro de Processamento (incluindo as reas administrativas)
estejam prontas para receber pessoas e equipamentos quando
necessrio.
Tarefas Pr-Desastre
Manter atualizados os meios de comunicao dos envolvidos no
Plano (nmeros de telefone, fax, bips etc.);
Manter lista de facilidades (fornecedores, contatos de emergncia,
usurios, etc.);
Manter atualizada a relao de todos os hardwares existentes na
instalao;
Manter atualizada a relao de todos os softwares disponveis na
instalao, identificando sua utilizao;
43
Manter lista de suprimentos necessrios em caso de desastre;

Garantir que qualquer suprimento que demore mais de 24 horas
para ser obtido tenha um estoque guardado fora da instalao;
Manter
procedimentos
para
prover
recursos
necessrios
(Transportes, alojamento, compras, etc.);

Interagir com as Seguradoras ou com a rea responsvel pelo
seguro dos equipamentos e da instalao;
Colaborar com a Equipe Executiva nas providencias para
reconstruo do Centro de Processamento.
Coordenar com a Equipe de Salvamento a mudana de
equipamentos resgatados para uma instalao provisria para
guarda;
Supervisionar os servios de eletricidade, telefonia, cabeamento
lgico, instalao fsica de hardware e mobilirios da Instalao
Alternativa, efetuando os ajustes necessrios ao incio do
processamento dos sistemas crticos;
Fornecer meios de transporte s pessoas, equipamentos e materiais;
Fornecer alojamento, alimentao e suprimentos bsicos aos
empregados e contratados;
Providenciar recursos humanos temporrios, quando necessrio;
Prover meios alternativos para comunicaes pessoais. (bips,
telefone celular etc.);
Emitir relatrio de OCORRNCIA DE SINISTRO ao setor
competente para incio do processo de indenizao;
44
Manter Equipe Executiva informada.

Tarefas Ps-Desastre
Prestar todo apoio administrativo e tcnico necessrio restaurao
do CPD e no retorno do processamento normalidade.
4) Equipe de Hardware / Software

Misso:
Identificar o hardware mnimo necessrio para processamento dos
sistemas muito crticos e crticos;
Garantir a disponibilidade do software bsico e de apoio
necessrios a operacionalidade.
Tarefas Pr-Desastre
Fornecer Equipe de Logstica os dados necessrios para manter
atualizada a relao de hardwares / softwares;
Pesquisar um Centro de Processamento de Dados alternativo com
caractersticas necessrias contingncia;
Definir configurao similar na impossibilidade de se obter uma
igual existente na ocasio do desastre;
Contatar principais fornecedores envolvendo-os no Plano no que se
refere ao fornecimento de materiais e prestao de servios
emergenciais;
Criar e manter atualizado um sistema operacional para o
equipamento alternativo, se for o caso;
Identificar o software a ser disponibilizado no site-backup;
Manter esquema de copias de contingncia para todos os softwares
que faro parte do Plano de Desastre;
45
Assegurar que todos os softwares rodem no ambiente alternativo;

Manter conjunto de manuais essenciais atualizados e guardados a
salvo.
Ativar o site-backup junto com a Equipe de Salvamento tornando-o
operacional;
Ativar o sistema operacional e os softwares de contingncia na
instalao alternativa;
Tarefas Ps-Desastre
Requisitar manuteno / substituio de equipamentos danificados;
Providenciar a reinstalao dos equipamentos na instalao
danificada ou em novo local;
Trabalhar junto com a Equipe de Salvamento e Logstica na
movimentao e na instalao dos equipamentos salvos e dos
novos;
Coordenar com a Equipe de Desenvolvimento as mudanas no
planejadas necessrias para acomodar o novo hardware / software;
Dar suporte e resolver situaes imprevistas relacionadas aos
hardwares / softwares.
5) Equipe de Comunicaes
Misso:
Garantir que os equipamentos de comunicaes e as linhas
telefnicas estejam prontos.
Tarefas Pr-Desastre
46
Manter atualizada a relao de todas as linhas de comunicao,

softwares de comunicao, hardware necessrios e perifricos da
instalao;
Manter documentao da configurao atual, incluindo caminhos,
velocidades, protocolos (topologia da rede);
Saber a importncia das aplicaes criticas na Rede de TP;
Manter relao de principais fornecedores de linhas, links23 de
satlites, telefones celulares, etc;
Viabilizar rotas alternativas para as linhas de comunicao do CPD
e testa-las. (Pr-requisito: definio do site-backup);
Traar planos junto Cia de Telecomunicao para estar apto a
estabelecer a comunicao de dados. (Pr-requisito: definio do
site-backup);
Requisitar linhas de comunicaes e equipamentos necessrios;
Providenciar a instalao de linhas de comunicao para o local
onde se processara a contingncia;
Manter o conjunto de manuais necessrios a salvo mais acessvel
em caso de desastre.
Ativar a configurao alternativa de telecomunicao;
Auxiliar a Equipe de Logstica em mudanas nos procedimentos
relacionados a teleprocessamento;
Ativar servios de teleprocessamento;
Manter a Equipe Executiva informada.
23
Ligao. Em Internet, consiste de ligaes automticas de uma pgina para outra.
47
Tarefas Ps-Desastre
Restaurar os servios de telefonia;
Restabelecer a comunicao de dados.
6) Equipe de Planejamento / Produo
Misso:
Assegurar que os processamentos dos sistemas crticos possam ser
retomados to logo os dados, os equipamentos e as comunicaes
necessrias estejam disponveis.
Tarefas Pr-Desastre
Desenvolver as rotinas destinadas aos servios crticos;
Garantir que os backups armazenados fora da instalao estejam
seguros e possam ser facilmente recuperados pelas pessoas
autorizadas;
Definir e manter os procedimentos de recuperao das aplicaes e
dos dados crticos;
Prover todo o material de backup, inclusive documentao,
conforme definido no procedimento de recuperao cada aplicao;
Analisar e definir alternativas para o processamento das funes
criticas;
Manter atualizadas e em lugar seguro copias da documentao dos
sistemas aplicativos;
Prever e desenvolver rotinas para atender a todas as condies de
retorno normalidade.
48

Preparar o ambiente de produo.
Processar os sistemas crticos de acordo com os procedimentos e
rotinas previamente estabelecidos.
Efetuar comunicao com os usurios informando-os sobre a
situao de suas aplicaes.
Tarefas Ps-Desastre
Executar os procedimentos de recuperao das aplicaes criticas,
recuperando-as de forma coordenada.
Operar as rotinas necessrias para restaurar os arquivos para o
retorno normalidade.
Efetuar comunicao com os usurios informando-os sobre a
situao de suas aplicaes.
7) Equipe de Desenvolvimento
Misso:
Apoiar as demais equipes para que toda a aplicao considerada
critica sejam recuperadas dentro do prazo estabelecido, sem perda
de dados / informaes e de acordo com suas especificaes.
Tarefas Pr-Desastre
Identificar aplicaes e sistemas crticos para os negcios.
Informar aos demais envolvidos no Plano quanto s atualizaes
sofridas pelos sistemas quanto sua criticidade.
Manter um canal de comunicao permanentemente aberto com os
gestores, de forma a estar sempre informado de quais so os dados
e as aplicaes criticas.
49

Manter os usurios informados sobre a situao de suas aplicaes.
Tarefas Ps-Desastre
Dar apoio ao grupo do CPD nas rotinas de retorno normalidade.
8) Equipe de Segurana
Misso:
Participar da criao do Plano, determinando polticas de segurana
e garantindo que um nvel mnimo de segurana seja observado
durante o processo, visando manter os nveis de servios pactuados
com os usurios.
Tarefas Pr-Desastre
Definir diretrizes / critrios para segurana fsica e para acesso
lgico
Definir critrios para transporte de material classificado como de
alto risco (fitas backup do sistema e dos dados).
Participar dos testes do Plano de Desastre.
Manter um canal de comunicao com o site-backup, mantendo o
nvel de compatibilidade entre os dois ambientes.
Participar da avaliao da situao do desastre.
Acompanhar a execuo dos procedimentos de segurana para
situaes de desastre.
Manter a Equipe Executiva informada.
50
Tarefas Ps-Desastre
Acompanhar a volta normalidade
Garantir que no sejam deixados no site-backup, aps o retorno
normalidade,
nenhuns
resduos
de
informaes
dados
manipulados durante a contingncia.

(Plano de Contingncia, 1999, www.modulo.com.br)
51
8. VRUS
Em nosso dia a dia, usamos o computador como uma ferramenta indispensvel e estamos
sujeitos ao ataque dos vrus, entendo que estes so programas que se encaixa nos arquivos da
mquina alvo. Durante a anexao, o cdigo original do vrus anexado nos arquivos da vtima.
Esse procedimento denominado infeco, aps a infeco, este se converte em um arquivo
comum portador, da em diante o arquivo infectado tem a possibilidade de infectar os demais
arquivos sadios. Processo esse denominado replicao, atravs da replicao o vrus pode
alastrar-se por todo o disco rgido, podendo ocasionar problemas de software e de hardware.
(www.modulo.com.br)
Um vrus biolgico costuma introduzir-se num organismo, apossando-se das
clulas e obrigando-as a reproduzir milhares de cpias do vrus original.
O vrus do computador, imitando o da natureza, atua de maneira semelhante:
trata-se de um pequeno programa (conjunto de instrues) cujo objetivo, alm
de instalar-se, reproduzir-se e dominar o organismo que o aloja.
Os vrus so programas geralmente so pequenos e invisveis, para a deteco do sistema

operacional, eles no so referenciados em nenhuma parte dos seus arquivos e no costumam
exibir-se antes do ataque. Em linhas gerais, um vrus completo (entenda-se por completo o vrus
que usa todas as formas possveis de contaminar e se ocultar) chega at a memria do
computador de duas formas.
A primeira e a mais simples so a seguinte: em qualquer disco (tanto
disquete, quanto HD) existe um setor que lido primeiro pelo sistema
operacional quando o computador o acessa. Este setor identifica o disco e
informa como o sistema operacional (SO) deve agir. O vrus se aloja
exatamente neste setor, e espera que o computador o acesse.
A partir da ele passa para a memria do computador e entra na segunda
fase da infeco. Mas antes de falarmos da segunda fase, vamos analisar o
segundo mtodo de infeco: o vrus se agrega a um arquivo executvel (fica
pendurado mesmo nesse arquivo!). Acessar o disco onde este arquivo est no
o suficiente para se contaminar. preciso executar o arquivo contaminado.
O vrus se anexa, geralmente, em uma parte do arquivo onde no interfira no
seu funcionamento (do arquivo), pois assim o usurio no vai perceber
nenhuma alterao e vai continuar usando o programa infectado.
(www.anti-hackers.com.br)
52
8.1. COMO ATUAM

Os vrus atuam de forma discreta, anexando-se aos arquivos e aps a execuo destes,
ficam armazenados na memria do computador infectando todos os discos ligados a esta
mquina, alojando-se no setor de boot24, pois desta forma, toda vez que o computador for
reiniciado e a rea de boot for acionada automaticamente o vrus ser ativado e estar pronto para
infectar todos os discos rgidos utilizados nesta mquina, desta forma o vrus ir se alastrar. Os
vrus em alguns casos contaminam o mesmo arquivo vrios vezes, que este passa a ocupar um
espao maior que o devido, em contra partida outros, se encondem entre os espaos do programa
original para no ser detectado.(www.anti-hackers.com.br)
Cada vrus possui sua particularidade e maneira de ataque, como exemplo:
-
Arquivos apagados;
Travamentos no sistema operacional;
Documentos no salvos;
Mensagens inofensivas;
Estragos irreparveis no disco rgido;
Ataque por data, como exemplo: o vrus mais famoso Sexta-Feira 13

e um dos mais temidos Chemobil (Win.CIH) dia 26 de todos os
meses e mais maldoso dia 26 de abril;
Dentre outros.
24
BOOT o processo bsico que o microcomputador realiza para carregar qualquer tipo de sistema operacional,
geralmente.
53
Uma outra espcie de vrus, chamados de "Vrus de Macro", no

contaminam arquivos executveis, mas sim documentos de aplicativos que
possuem linguagem de programao, como o Word, da Microsoft. Nestes
aplicativos, possvel escrever programinhas para automatizar uma srie de
tarefas, e os vrus consistem em programas que alteram as caractersticas do
aplicativo, retirando opes dos menus, salvando arquivos vazios ou com
nomes errados, etc. Mesmo estes vrus, que se escondem dentro de documentos,
precisam ser abertos (ou lidos) no aplicativo que o criou para que a
contaminao seja feita. Aps contaminado, o aplicativo faz uma cpia do
vrus para todos os documentos abertos aps a contaminao, alastrando
ainda mais o problema. Dependendo do grau de "liberdade" que a linguagem
macro contida nestes aplicativos possui, um vrus de macro pode at mesmo
apagar todos os seus arquivos. Os antivrus mais novos detectam e corrigem
arquivos com estes vrus.
(www.anti-hackers.com.br)
Os vrus podem utilizar-se de vrias formas de infestao, sendo:

-
Criao: um programa desenvolvido com objetivo de inserir-se em

outros programas, proliferando-se e executando as tarefas a que est
programado em um dado momento;
Disseminao: quanto um vrus fica atrelado a um software que se

torna seu cavalo de tria, propagando-se toda vez que o usurio do
software troca softwares com outros usurios por meio de redes
pblicas ou disquetes;
Contgio: quanto mais o programa hospedeiro se propaga, mais o

vrus se reproduz e logo est se difundindo com outros usurios;
Ataque: quando o vrus programado para funcionar, atravs de

poca determinada, o pode vir do relgio/calendrio interno que os
computadores utilizam para controlar seu processamento, para
comear a atacar o computador.
(Caruso, Steffen, 1991, pg 92 e 93)
54
Atualmente, estamos sofrendo ataques de vrus polimrficos, estes so vrus so chamados

de polimrficos quando no podem ser detectados com as chamadas mscaras de vrus - as partes
do cdigo especfico do vrus no modificvel.
Isso feito de duas formas, atravs da
criptografia do cdigo principal do vrus com uma chave no constante, constituda de conjuntos
aleatrios de comandos de descriptografia ou pela modificao do cdigo executvel do vrus.
Existindo outros exemplos poucos exticos de polimorfismo, por exemplo: o vrus de DOS
Bomber no criptogrado, mas a seqncia de instrues que passa o controle para o corpo do
vrus totalmente polimrfica. (AVP, 2000, www.modulo.com.br)
Atualmente no mercado, se encontram disponveis dois tipos de programas antivrus, os que
possibilitam a deteco de vrus j instalados em um sistema e os que evitam a instalao dos
vrus, independente de serem ou no conhecidos. Os softwares que identificam a existncia de
vrus acusam sua presena desde que faa parte de uma lista pr-existente de assinaturas de vrus.
Enquanto os que procuram evitar a instalao do vrus, o fazem verificando a ocorrncia de
comportamentos tpicos de vrus de computador, esses antivrus no aceitam mudanas em
arquivos de programas, solicitam ao usurio autorizao quando um software tenta ficar residente
na memria, assim como no permite a execuo de um programa que no esteja numa lista de
aplicaes previamente testada e aprovada. Devido a isso, aconselhvel a utilizao de um
antivrus reconhecido pela sua eficincia e eficcia. (Loss Control, 2001).
Conforme informaes da 6 Pesquisa Nacional sobre a Segurana da Informao:
Os vrus (75%) permanecem como a maior ameaa segurana da
informao nas empresas. Apesar de 93% das corporaes afirmarem j
adotar sistemas de preveno contra vrus, 48% sofreram contaminao nos
ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca
ter sido infectadas.
(Modulo Security Solutions, 2000, www.modulo.com.br)
55
9. BACKUP
Backup um termo ingls utilizado para gerar cpia da informao gerada, por motivo de
segurana. Tendo como objetivo preservar as informaes contra danos causados por acidentes
ou no, informaes estas que podem significar horas ou meses de trabalho. A falta de cpias de
segurana pode ocasionar prejuzos com a recuperao das informaes danificadas ou perdidas,
assim como acarretar a paralisao das operaes da organizao.
A finalidade do Backup permitir a pronta recuperao de dados em caso de
perdas acidentais ou intencionais e, desse modo, necessrio que toda
informao fundamental ao funcionamento da organizao tenha a sua cpia
de segurana, guardada em local adequadamente protegido.
Segundo informaes da 6 Pesquisa nacional sobre Segurana da Informao. Entre as

medidas de segurana mais adotadas esto: a preveno contra vrus (93%), o sistema de backup
(915) e o firewall (89%). (Modulo Security Solutions, 2000, www.modulo.com.br)
Assim como, em recente pesquisa divulgada pela empresa Iomega (fabricante de Zipdrivers
e Zipdisks) 25% dos usurios de PCs tiveram problemas de perda de dados, podendo ser por
causa de vrus ou de crackers25, a mesma pesquisa informa que mais de dois teros dos
entrevistados admitem ter receio de perder dados importantes pelo mesmo motivo, problemas
com energia tambm foram indicados como causador de perda de informaes. Conforme
informaes da pesquisa, usurios domsticos e corporativos no tm o hbito de fazer backups
de suas informaes e so constantemente surpreendidos por intrusos e pragas digitais, como
podemos observar abaixo:
-
41% no fazem backup de seus dados;
69% dos usurios domsticos fazem backup esporadicamente;
46% dos usurios corporativos fazem mensais, quando lembram.

(Iomega, 2001, www.modulo.com.br)
56
Um Backup bem feito, testado e corretamente armazenado, constitui o meio

mais eficiente e seguro para minimizar as conseqncias de uma eventual
perda de informaes, seja por acidente ou outro motivo qualquer.
Os vrus de computador alteraram a maneira e as razes pelas quais os backups so feitos.

Antigamente os backups eram feitos, em funo da preocupao de uma falha no disco rgido
pudesse destruir os arquivos, e apenas os dados novos que tivessem sido inseridos recentemente
seriam perdidos, os backups eram feitos freqentemente para que a perda fosse mnima.
Atualmente, os backups so feitos com a preocupao de se restaurar as informaes em caso de
ataque de vrus de computador, alm das preocupaes de falhas de hardware. Uma outra razo
para fazer backup ajudar os Administradores de Rede a recuperarem os dados que um usurio
eliminou por acidente. (Ximenes, 1993, pg 231)
25
Pessoas que se esforam para quebrar a segurana de um sistema pelo simples prazer de conseguir, quando comea
a fazer pr maldade, para roubar ou enganar, este deixa de ser um cracker e passa a ser um hacker.
57
10. LEGISLAO VIGENTE

A questo da segurana da informao na legislao vigente tem sua devida importncia na
medida em que os sistemas de informao evoluem cada vez mais. E a necessidade de se manter
uma legislao que iniba e penalize a prtica de delitos torna-se uma realidade no momento em
que crimes so cometidos atravs da Internet, por agressores, que no necessitam sair d suas
casas para execut-los, estes crimes podem ser praticados no estrangeiro assim como no Brasil,
pois estamos vulnerveis a estes ataques. A Internet nos deixa vulnervel a incidncia de crimes
virtuais, sem uma punio estabelecida em lei vigente.
A Internet , tambm, um caminho eficaz para diversos tipos de estelionato,
lavagem de dinheiro, pornografia infantil, violaes a direitos autorais,
divulgao de informaes sobre preparo de drogas, confeco de armas,
propagandas ou comportamentos ilegais ou que violem direitos fundamentais,
entre outras modalidades de crime.
(Pannunzio, 2000, www.modulo.com.br)
Na tentativa de regularizar o uso dos sistemas de proteo da informao existem projetos

de lei j em andamento no Congresso Nacional, que tratam das questes prticas em relao ao
uso da Internet.
Art. 1 Os provedores de acesso a redes de computadores destinados ao uso
pblico inclusive a Internet devero manter controle dos usurios de
seus sistemas e registros das transaes efetuadas nos termos da lei.
Art. 2 Consideram-se provedores de acesso para os efeitos desta lei:
I.
As empresas e instituies autorizadas a prestar servios de
acesso Internet;
II.
Os estabelecimentos educacionais, as instituies de ensino e
pesquisa e demais entidades, que ofeream servios de acesso,
interconexo ou rateamento de trfego de rede de
computadores, destinada a uso pblico, inclusive a Internet;
III.
Os rgos e entidades da administrao pblica direta e
indireta que estejam interconectados a rede de computadores
destinados ao uso pblico, inclusive a Internet.
Art. 3 obrigatrio o registro de cada transao iniciada ou recebida pelo
provedor de acesso, devendo conter a identificao da origem da
transao e do seu destinatrio, o horrio de incio e concluso e a
quantidade de dados enviados ou recebidos.
58
Art. 4 Os provedores de acesso devero manter cadastro de seus usurios

permanentes e eventuais, atualizados periodicamente incluindo nome
ou razo social, endereo, nmero de registro no cadastro de
pessoas fsicas ou no cadastro geral de contribuintes da secretaria
da receita federal e, quando for o caso, identificao da linha
telefnica usualmente utilizada para o acesso discado a rede.
Art. 5 Para cada conexo efetuada por um usurio, o provedor de acesso
registrar o endereo de rede correspondente, o horrio de incio e
trmino da conexo e a origem da chamada.
Art. 6 As informaes de que trata esta lei devero permanecer em arquivo,
podendo ser requeridas pela autoridade judiciria...
(Projeto de lei n 3016, 2000, www.modulo.com.br)
O projeto de lei 3016 de 2000, ao tratar do registro de transaes de acesso a redes de

computadores vem possibilitar o conhecimento daqueles que por ventura venham a praticar um
crime atravs do uso dessa rede de informaes, ou seja, a segurana da informao estabelece a
segurana de todo o sistema.
Novas legislaes vem por uma necessidade da sociedade do Governo acompanhar a
evoluo dessa nova era e sobre os aspectos de privacidade e segurana temos o Decreto-Lei n
3.505, de 13 de junho de 2000.
Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e
nas entidades da Administrao Pblica Federal, que tem como
pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas,
inviolabilidade da sua intimidade e ao sigilo da correspondncia e
das comunicaes, nos termos previstos na Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informao, com o
domnio de tecnologias sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade de
segurana da informao;
VI - capacitao cientfico-tecnolgica do Pas para uso da
criptografia na segurana e defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Administrao
Pblica Federal sobre a importncia das informaes processadas e
sobre o risco da sua vulnerabilidade...
(Decreto-Lei n 3.505, de 13 de junho de 2000, www.modulo.com.br)
59
Existe tambm em relao legislao penal o projeto de reforma do Cdigo Penal

Brasileiro, que inclui em sua pauta de discusso os crimes virtuais, no que diz respeito
informao, o furto de dados, violao e ataque virtual.
Deve-se levar em considerao tambm que j existe na legislao vigente o direito de
autoria nos softwares, o que impede de certa forma a violao da propriedade intelectual de
programa de computadores e sua comercializao no pas. Neste sentido a lei 9.609 de 19 de
fevereiro de 1998 vem respaldar este direito.
Art. 12 Violar direitos de auto de programa de computador:
-
Pena deteno, de seis meses a dois anos ou multa.

Pargrafo 1 - Se a violao consistir na reproduo, por qualquer
meio, de programa de computador, no todo ou em
parte, para fins de comrcio, sem a autorizao
expressa, do autor ou de quem o represente:
- Pena recluso de um a quatro anos e multa...

(Lei 9.609, 1998).
60
11. AUDITORIA DE SISTEMAS

A Auditoria de Sistemas objetiva promover a adequao e recomendaes, para o
aprimoramento dos controles internos nos sistemas de informao da empresa, bem como na
utilizao dos recursos humanos, materiais e tecnolgicos envolvidos nos processamentos dos
mesmos. A auditoria de sistemas deve atuar em qualquer sistema de informao da empresa,
quer no nvel estratgico, gerencial ou operacional.(Arima, 1994, pg 23).
A funo do auditor de sistemas zelar para que as providncias planejadas estejam sendo
desempenhadas conforme o previsto e planejado, analisando-se aspectos como o de atendimento
aos recursos orados, sigilo das informaes a dados processados pelos sistemas de informaes
empresariais, manuteno do processo de produo de software em bons termos, conforme
planos empresariais, cuidando para que sua funo seja desempenhada no mximo sigilo,
discrio, responsabilidade, compreenso dos envolvidos e atualizada nos termos tcnicos que
dizem respeito produo de software.
Trocando em midos, o auditor, quando lidando com a produo de
software, um profissional que, obedecendo a um plano de auditoria
empresarial, avalia o processo de produo e seus desdobramentos, cuidando
para que esteja sendo seguido e criticado ativamente pela empresa,
promovendo sua alterao quando necessrio, mas nunca da aderncia aos
padres instrudos. Ele realizar seu trabalho de verificaes, uso de mtricas
de software, criao de mecanismos de gesto de riscos e treinamento em
esferas diversas (gerenciais, operacionais, usurios, etc).
(Jamil, Developers abril 2001, pg 44).
Englobando algumas etapas, a execuo de uma auditoria de sistemas, tais como:

-
Planejamento: dividindo-se em planejamento geral e planejamento dos trabalhos

em campo;
Levantamentos iniciais;
Elaborao do programa de trabalho;
Execuo do programa de trabalho;
Relatrios de auditoria;
Concluso do trabalho.
(IBRACON, 1999, pg 93 a 101).
61
Etapas estas que envolvem o desenvolvimento da auditoria dos sistemas de informao,

implicando na validao e avaliao do controle do sistema de informaes em processamento
eletrnico de dados, atentando para;
-
Fidelidade da informao em relao ao dado;
Segurana fsica;
Segurana lgica;
Confidencialidade;
Segurana ambiental;
Obedincia legislao em vigor;
Eficincia;
Obedincia s polticas da alta administrao.
A auditoria coleta dados que devem incluir qualquer tentativa de acessar um nvel de
segurana diferente por qualquer pessoa, processo ou outra entidade da rede. Isso inclui login,
logout, acesso de super usurio ou administrador, ou qualquer mudana de nvel de permisso.
de especial importncia observar acessos anonymous ou guest a servidores pblicos.
H trs meios bsicos de armazenagem de dados de auditoria:
- O primeiro em arquivos comuns em disquetes ou discos rgidos em servidores;
- O segundo em mdia apenas de leitura e
- O terceiro em papel impresso.
Obviamente, o meio mais inseguro em mdia magntica, j que o invasor pode apagar seu
rastro durante uma invaso. Por outro lado o meio mais barato e permite anlise de dados por
programas de auditoria. Desta ltima vantagem tambm goza a mdia apenas de leitura. O
problema est no custo da mdia e do espao necessrio para sua armazenagem. Assim tambm
o caso do papel impresso, porm para todos os meios imperativo manter segura conexo entre o
dispositivo que propriamente realiza o registro dos dados e o que os armazena.
Para que os dados coletados sejam de utilidade em caso de demandas judiciais,
aconselhvel procurar orientao legal para saber que dados coletar. Se esses dados no forem
definidos adequadamente antes de um incidente, isso pode resultar em falta de recursos para
defesa em caso de um incidente.
62
Toda empresa que mantm dados de auditoria deve estar consciente de que muitos desses
dados podem conter informaes pessoais cuja visualizao, mesmo em caso de uma pesquisa de
rotina pelo sistema de segurana, pode representar um caso de invaso de privacidade.
63
CONCLUSO
Como dito anteriormente Poltica de Segurana da Informao, um conjunto de normas
que tem como finalidade informar aos usurios da informao a maneira adequada de utiliz-la e
proteg-la, afim de que sejam evitadas fraudes e possveis invases, gerenciando, protegendo e
distribuindo suas informaes e recursos.
A Poltica de Segurana apresentada-se sob os seguintes aspectos:
-
Poltica baseada em regras as regras deste tipo de poltica indicam o tipo de

acesso que pode ser efetuado, como no caso de uma rede de computadores, os
dispositivos que implementam os canais de comunicao, quando permitido
transmitir dados nesses canais, etc.
Poltica baseada em segurana o objetivo deste tipo de poltica permitir a

implementao de um esquema de controle que possibilite especificar o que cada
usurio pode ler, modificar ou usar para desempenhar suas funes na
organizao.
Envolver a rea de gesto e de tecnologia antes de conhecer qualquer sistema de informao

fundamental, pois o sistema deve gerar confiana entre os usurios.
Ao contrrio, do que
comprar um sistema pronto e implant-lo sem conhecer as necessidades da empresa o mesmo

que montar uma rede de gesto da informao sem atribuir claramente os deveres e direitos de
cada usurio.
Desta forma, pode-se assegurar a segurana da Informao, orientando aos
usurios sobre a importncia e a necessidade de utiliz-la e respeit-la.

Em nosso cenrio tecnolgico, financeiro, enfim mercadolgico esperar acontecer para
comear a se preocupar, pode significar a perda da diferena competitiva, ou seja, permitir que o
concorrente tenha seu maior bem, a informao, e esta pode ser fornecida por usurios internos
ou externos, atravs de espionagens, invases ou falta de prudncia, respondendo assim o porque,
das empresas se preocuparem com este assunto to importante. Segundo Strassmann, ex-CIO do
Pentgono: Tecnologia como munio numa guerra.
64
Conforme Strassmann, ex-CIO26 do Pentgono, 10 dicas so sugeridas aos administradores

para uma melhor anlise e aproveitamento da Tecnologia da Informao:
1. Faa uma anlise estratgica. Compare sua posio com
a dos concorrentes e verifique como o computador pode
fortalec-la.
2. Se um concorrente investe em algo, no significa que voc
deva faz-lo. Se voc for forte, no vale a pena copiar o
fraco. Se for fraco, no tem o mesmo flego.
3. Nunca decida gastar baseado apenas em questes
tecnolgicas.
4. Nos clculos, no atribua tecnologia ganhos que podem
ser obtidos por mudanas em processos estabelecidos.
5. Crie indicadores numricos precisos baseados nos
objetivos estratgicos (como fatia de mercado ou taxa de
crescimento).
6. Use tcnicas de justificativa que traduzam custos e
benefcios em moeda corrente. Mas cuidado: no esquea
indicadores estratgicos.
7. No esconda os custos recorrentes ao longo do projeto e
faa uma anlise de riscos.
8. Cuidado com os mtodos dos vendedores em geral ele
tm distores para favorecer a venda.
9. o presidente quem deve pedir rea de tecnologia o que
for necessrio, no o contrrio.
10. Computadores no passam de plstico, vidro e metal. S
as pessoas so importantes.
(Teixeira JR, Negcios Exame, Setembro 2001, pg 20).
Comentrios como os de Adjarma Azevedo, presidente da Alcoa latino-americana:

Investimos horrores num sistema que prometia economizar em estoque e aumentar o capital de
giro. Nada se comprovou. Estvamos no caminho errado. Gastamos a fundo perdido. So
depoimentos de empresrios como este citado, que demonstra a importncia da integrao com os
fornecedores, assunto de suma importncia para que a organizao cumpra com seus prazos e
compromissos.
26
Chief Information Officer diretor de tecnologia e informao. o responsvel pela implantao e gerenciamento
de sistemas, muitas vezes o CIO tambm cuida do site de comrcio eletrnico da empresa.
65
A logstica, assim como os demais departamentos possuem sua importncia na organizao,

porm se destaca devido agregar valor ao estoque, distribuio do produto, enfim ao
planejamento da empresa, esta pode ser influenciada e implementada pela TI (Tecnologia da
Informao), atravs de sistemas que interligam empresas e seus fornecedores, planejam a
produo e controlam estoques, para o ganho de produtividade e de tempo na fbrica, dando
maior eficincia administrao, porm ressalta lembrar que a anlise se torna fundamental em
qualquer momento, devido a prazo e comprometimento, assim como podemos analisar o
comentrio a seguir. Tentamos comprar material de escritrio em mercados eletrnicos, na
Web, mas desistimos. A demora na entrega no compensou os bons preos. Helio Durigan,
diretor de materiais da Furukawa no Brasil.
O departamento de marketing, a relao cliente X fornecedor, as campanhas promocionais e
conseqentemente as vendas, que geram receita. Esbarram em um assunto delicado para os
executivos conhecido como: investimento e custo, assunto este, que deve ser analisado e
ponderado, porm sem muita demora, devido o avano da concorrncia a novos horizontes e
maiores fatias do mercado atual e prspero. Os sistemas para anlise de dados dos clientes,
gerao e controle de campanhas de marketing, devem possuir uma base de dados unificada que
centralize as informaes dos diversos sistemas da empresa, para chegar a obter essencialmente
bons resultados, comeando primeiramente com campanhas pequenas permitindo avaliar sua
eficincia e servindo de aprendizado para projetos melhores e maiores. Ao invs, de campanhas
abrangentes sem segmentao dos clientes, alm de custar caro, tm pouco sucesso, assim como,
campanhas isoladas na empresa, que no envolvam equipes de marketing, vendas e atendimento,
tm mais chances de fracassar.
Como observamos, o planejamento se faz necessrio em qualquer momento da existncia
da organizao, para auxiliar nesta tarefa a Tecnologia da Informao, prezando o maior ativo da
empresa, a informao, disponibiliza aos administradores instrumentos para melhor gerenciar
este bem, com sistemas que centralizam e gerenciam todos os canais de comunicao do cliente
com a empresa, como exemplo: telefone, fax, e-mail e web. Identificando os clientes, o perfil, as
necessidades, para oferecer o melhor atendimento de forma diferenciada e gil, garantindo a
qualidade e a rentabilidade, atravs de sites e telefones de auto-atendimento poupando tempo do
cliente e reduzindo custos para a empresa.
66
Por falar em reduzir custos, as invases, as espionagens e os famosos e-mails de correntes e

piadas, tem por hbito congestionar a rede, o que impede a chegada de pedidos e atrapalha o
fechamento de negcios, dentre outros assuntos corporativos, para amenizar este tipo de situao
a Tecnologia da Informao, disponibiliza ferramentas de filtragem de contedo, tais como
Firewall, que impedem o acesso a sites inadequados e bloqueiam e-mail de correntes de piadas,
assim como funciona literalmente como uma porta corta-fogo contra tentativas de invaso da rede
interna da empresa, conseqentemente reduzindo custos e possibilitando o aumento da receita.
A implantao da Poltica de Segurana exige a necessidade de um consultor ? Qual a
necessidade da empresa ? At que ponto deve-se investir ? Possumos profissionais capacitados
para o assunto ? Estes so questionamentos que os executivos se fazem antes de ceder aos
encantos de uma consultoria, mas qual deve ser nossa posio antes de contratar qualquer
consultor ?
Primeiramente devemos descobrir o que a empresa precisa, j diminui o gasto em
horas com a consultoria, pois muitas organizaes desconhecem sua real necessidade,
posteriormente conhecer a capacidade dos profissionais que esto sendo contratados para efetuar
o servio, analisando experincias passadas e verificando o quanto estes entendem do negcio da
empresa contratante, sendo interessante analisar experincias passadas, pois o custo se torna
maior, uma vez que se utiliza profissionais da prpria organizao, que no esto atualizados com
o resultado buscado pela empresa, que demandaria demora nas pesquisas e nos resultados, devido
a isto a consultoria se torna mais rentvel, mesmo porque o consultor vive esta realidade e possui
experincias anteriores de diversas organizaes, o que implica em um resultado mais enxuto e
eficaz. Deve-se acompanhar todos os passos da consultoria, negando o controle do projeto ao
consultor, o que pode ser o primeiro passo para o fracasso. Deve-se definir e tornar as todas as
regras bem claras antes de assinar qualquer contrato de prestao de servios, definindo as
medidas de retorno sobre o investimento at o perfil do consultor que executar o projeto.
Assim como, os servios de terceirizao, se a empresa no tem experincia com
terceirizao, essencial criar projetos pilotos para aprender a medir resultados. Nos contratos
de terceirizao, de grande valia se precaver para garantir que, no caso de insatisfao, uma
desistncia seja indolor e barata, pois um nvel elevado de pessoal terceirizado, pode fazer a
empresa perder funcionrios estratgicos, o que nos leva a ponderar se vale pena prosseguir.
67
O planejamento, como dito anteriormente a alma de qualquer empresa, principalmente

quando estamos nos referindo a atualizao de equipamentos e programas. Sem deixar que o
parque fique defasado, prolongue ao mximo sua vida til, isso pode ser feito, por exemplo,
reaproveitando micros mais antigos em reas menos crticas da empresa.
Ao contrrio de
depreciar os equipamentos no balano de modo enganoso, ou seja, considerar sem valor o que
ainda est funcionando ou dar valor quilo que j sucata, devendo-se considerar equipamentos e
programas apenas como despesas.
Pesquisando preos e tipos de servios, testando todas as tecnologias possveis, esse o
nico jeito de descobrir qual o servio ideal para a empresa. Caso, o negcio dependa de
agilidade da informao, no hesite: alugue uma rede de dados e um link para Internet.
Ao
contrrio, de pagar interurbanos para filiais e escritrios da empresa, pois sai mais barato ter uma
rede de voz, e exagerar na capacidade de transmisso da rede pode ocasionar custo, pois rede
ociosa sinnimo de prejuzo.
68
BIBLIOGRAFIA
ALVIM, Paulo. Enterprise Information Portals: integrando Aplicaes na Web.
Developers. Ano 5 - n 56. Abril/2001.
COZER, Alberto. Existem Solues Viveis para um Mundo Pequeno. Developers. Ano 5 n 56. Abril/2001.
ERNSBERGER, Richard. EMERSON, Tony. The Shadowy World of SOFTWARE PIRACY.
Newsweek. April 9, 2001.
GUROVITZ, Helio. Falta de medida. Exame. 18 de abril de 2001.
JAMIL, George Leal. Auditor de Segurana/Sistemas: Xerife em Cena. Developers. Ano 5
- n 56. Abril/2001.
LOSS CONTROL Consultoria e Assessoria Ltda Autotreinamento em Segurana da
Informao em CD-ROM da LOSS CONTROL
MEIRELES, Andrei. PEDROSA, Mino. O painel do senado confirma S FALTA CASSAR.
ISTO . 25 de Abril/2001 n 1647.
MOLINARI, Leonardo. Security & Network Testing: a Fronteira Final de uma Rede.
Developers. Ano 5 - n 56. Abril/2001.
SANTOS, Manoel Antnio dos. Combate ao software pirata chega ao usurio domstico.
PC WORLD. Abril 2001. n 106.
TEIXEIRA JR, Srgio. D para se defender do desperdcio? Negcios Exame. Ano 2 N 9
Edio 12.
VERGARA, Sylvia Constant. Relatrio de Projetos de Pesquisa em Administrao. So Paulo:
Atlas, 1999.
WANGENHEIM, Aldo Von. KRECHEL, Dirk. JR BARROS, Euclides. BIASI, Herculano de.
RIBEIRO, Leonardo Andrade. Integrando Servios de Radiologia Atravs de um Portal
de BDs. Developers. Ano 5 - n 56. Abril/2001.
BRASIL, Decreto-Lei n 3.505, de 13 de junho de 2000.
Institui a Poltica de Segurana da Informao nos rgos e entidades da administrao
Pblica Federal. Dirio Oficial [da Repblica Federativa do Brasil], 14 jun. 2000.
69
BRASIL, Lei n 9.609, de 19 de fevereiro de 1998.

Dispe sobre a proteo da propriedade intelectual de programa de computador, sua
comercializao no pas e d outras providncias. Organizador: Luiz Flvio Gomes. So
Paulo: editora Revista dos Tribunais, 1999 (RT mini cdigos).
WWW.ABES.ORG.BR
WWW.DEVELOPERS.COM.BR
WWW.SUNSOFTWARE.COM.BR
WWW.MODULO.COM.BR
70

Política de Segurança Da Informação PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Política de Segurança Da Informação PDF

Enviado por

Direitos autorais:

Formatos disponíveis

CURSO DE ADMINISTRAO

POLTICA DE SEGURANA DA INFORMAO

ALINE MORAIS DE LEMOS

Rio de Janeiro, 2 Semestre de 2001.

POLTICA DE SEGURANA DA INFORMAO

ALINE MORAIS DE LEMOS

Trabalho apresentado Universidade

ORIENTADOR: GILBERTO CORRA LUCAS JUNIOR

Rio de Janeiro, 2 Semestre de 2001.

POLTICA DE SEGURANA DA INFORMAO

Trabalho apresentado Universidade

Rio de Janeiro, 2 Semestre de 2001.

A minha famlia que me

Ao professor Gilberto Corra Lucas Junior, pela orientao e pacincia na elaborao

4.1. NVEIS DE CLASSIFICAO

10. LEGISLAO VIGENTE

11. AUDITORIA DE SISTEMAS

O tema Poltica de Segurana da Informao apresenta-se para as empresas e, de

Para garantir sua sobrevivncia, essas organizaes necessitam

Qual o perfil dos nossos clientes?

Quanto faturamos, por produto ou servio?

Quanto aplicamos em investimentos financeiros?

Como anda a execuo do oramento da organizao?

Quem so nossos fornecedores e qual o valor dos seus crditos?

Quem so nossos devedores e quanto devemos cobrar?

Como anda a concorrncia? Os nossos produtos ou servios so competitivos?

Quanto devemos de tributos e impostos?

Quais os nossos objetivos estratgicos?

Qual o valor da nossa folha de pagamentos?

1. POLTICA DE SEGURANA DA INFORMAO ?

As organizaes investem em tecnologia, na maioria das vezes buscando emparelhar com a

Contudo as organizaes se questionam com relao ao custo a ser investido em tecnologia

Custo ou Investimento? Esse sempre foi o dilema de quem gasta com

A compreenso da tecnologia da informao abrange trs pilares principais, sendo:

O avano tecnolgico apresenta vrios questionamentos as organizaes, tais como:

O conhecimento das regras de acesso, bem como a responsabilidade sobre a manipulao

As diretrizes representam o caminho como as pessoas devem tomar conhecimento destas

A conscientizao resulta que o trabalho no se perca e que a Poltica de Segurana, seja

Pontos a considerar ao se estabelecer uma Poltica de Segurana:

Servio oferecido X Segurana proporcionada todo servio representa um risco

Facilidade de uso X Segurana toda prtica impe dificuldade de uso para os

Custo da segurana X Risco de perda no ter segurana nenhuma envolve um

Desta forma, torna-se necessrio encontrar um ponto de equilbrio, em que o custo da

Custos aquisio de software e hardware, treinamento, pessoal, perda de

computacionais, negao de servios, etc.

apresenta-se como um elo de suma importncia entre a tecnologia e a competitividade na nova

Observando-se o avano da tecnologia da informao e a globalizao do mercado, como

Desta forma, podemos analisar que a

segurana da informao da organizao deve ser includa no plano de retorno sobre os

Emitir diretrizes para aquisio, configurao e auditoria de sistemas e redes de

Explicitar quais usurios podem e no podem fazer nos vrios componentes do

Evitar ambigidades e mal entendidos.

Definido-se na poltica, quem deve se envolver com a segurana:

Administrador de segurana do site3;

Administradores de grupos grandes de usurios, tais como: diviso de negcios,

Brigada de segurana (equipe de emergncia acionada em caso de invaso);

Representantes dos grupos de usurios afetados pela poltica de segurana;

Departamento jurdico, caso seja apropriado;

O mesmo que localidade, um servidor de dados.

4.1. NVEIS DE CLASSIFICAO

Ser implementvel pelos procedimentos administrativos de sistema;

Ser aplicvel e sancionvel pelas ferramentas de segurana;

Definir responsabilidades dos usurios, administradores e gerncia.