Pós-Graduação em Gestão Industrial

Tecnologia da Informação
Trabalho – Segurança da Informação

SEGURANÇA DA INFORMAÇÃO

Segurança de informação está relacionada com métodos de proteção aplicados

sobre um conjunto de dados no sentido de preservar o valor que possui para
um indivíduo ou uma organização. São características básicas da segurança
da informação os aspectos de confidencialidade, integridade e disponibilidade,
não estando restritos somente a sistemas computacionais, informações
eletrônicas ou sistemas de armazenamento. O conceito aplica-se a todos os
aspectos de proteção de informações e dados.

Todas as informações possuem valores e usos que são diferenciados, por isso
precisam ser classificados e recebem diferentes graus de proteção. Classificar
a informação é muito importante para evitar o desperdício de investimento na
proteção das informações.

Propriedade da Informação

Toda a produção produzida por uma companhia, ou por ela adquirida, é

considerada de sua propriedade, sendo parte do seu patrimônio, não
importando a forma de apresentação ou armazenamento. Esta informação
deve ser adequadamente protegida.

As informações devem ser utilizadas exclusivamente para fins relacionados

diretamente ao negócio da organização observando as orientações contidas
nas políticas de segurança da informação de cada empresa.

Política da Segurança da Informação

Conjunto de diretrizes que definem formalmente as regras e os direitos dos

colaboradores e prestadores de serviços, visando à proteção adequada dos
ativos da informação.

Classificação das Informações

Classificação da Informação é o processo de identificar e definir níveis e

critérios adequados de proteção das informações que garantam a sua
confidencialidade, integridade e disponibilidade de acordo com a importância
para a organização.

Segundo a descrição do item 5.2 da ISO/IEC 17799:2005, o objetivo da

Classificação da Informação é assegurar que os ativos da informação recebam
um nível adequado de proteção. A informação deve ser classificada para
indicar a importância, a prioridade e o nível de proteção. A informação possui
vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um
nível adicional de proteção ou tratamento especial. Um sistema de
classificação da informação deve ser usado para definir um conjunto
apropriado de níveis de proteção e determinar a necessidade de medidas
especiais de tratamento.

Pág. 1/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

A Classificação da Informação deve atender à política de segurança das

empresas, que - invariavelmente - diz que somente é permitido o uso de
recursos homologados e autorizados pela empresa, identificados e
inventariados, protegidos, com documentação atualizada e estando de acordo
com as cláusulas contratuais e a legislação em vigor.

A classificação deve tratar a informação durante todo o seu ciclo de vida, com
níveis e critérios para sua criação, manuseio, transporte, armazenamento e
descarte.

A classificação das informações deve ser revista periodicamente, pois seu valor
e impacto para a organização, bem como a aquisição de novos ativos e/ou
manipulação de novas informações, podem mudar a prioridade de
implementação dos controles de segurança.

Segurança Física

A segurança física visa proteger o ativo da informação utilizando se de

barreiras físicas como portas, cadeados, senhas para acessos a salas, etc. A
maneira mais simples é definir um perímetro de segurança.

Segurança Lógica

Tão importante quanto à segurança física é a segurança lógica, ou seja, o

controle de acesso, nesse caso menos é mais, se um empregado não precisa
de acesso ao arquivo X o mesmo não pode ter acesso a ele, aumentando
assim a segurança dos dados.

Computação Móvel

A computação móvel vem surgindo como uma nova proposta de paradigma

computacional advinda da tecnologia de rede sem fio e dos sistemas
distribuídos. Nela o usuário, portando os dispositivos móveis como palmtops e
notebooks tem acesso a uma infra-estrutura compartilhada independente da
sua localização física.

Com a utilização da computação móvel os problemas de segurança

aumentaram, uma maneira encontrada para aumentar a segurança é a
utilização da Virtual Private Network – VPN- através desta tecnologia você
pode interligar de forma segura duas redes locais como estivessem no mesmo
escritório, mesmo estando a quilômetros de distância. A VPN utiliza uma rígida
camada de criptografia para trafegar informações de forma segura através de
meio público.

Gestão de Pessoas

A gestão de pessoas é um ponto fundamental na segurança da informação, eu

diria crucial, geralmente constituem o elo mais fraco da segurança da
informação em ambiente corporativo, não adianta nada ter uma equipe bem
treinada tomando conta dos servidores, se o resto dos funcionários estiverem

Pág. 2/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

suscetíveis a ataques como os de engenharia social, que são comuns nestes

casos, na gestão de pessoas deve se estabelecer todo um processo disciplinar
e conscientização que deve atingir a empresa como um todo desde o dono da
empresa até o faxineiro, usando metodologias diferentes para lidar com cada
nível da hierarquia.

OPERAÇÃO DO AMBIENTE COMPUTACIONAL

Operação dos recursos de Processamento das Informações

Conexões de Rede
A conexão de quaisquer equipamento à rede interna da empresa deve ser
realizda somente após a aprovação da Área deTI, assim como deve ser por ela
conduzida.

Equipamentos conectados a rede devem ter antivírus com a data da última

atualização não superior a três dias.A empresa poderá auditar os
equipamentos de fornecedores para garantir a segurança geral de seu
ambiente computacional.

Senhas

A senha é pessoal e intransferível, devndo obedecer aos padrões divulgados

pela empresa.O colaborador é responsável por todas as transações realizadas
no sistemas disponibilizados.A senha não deve, sob hipótese alguma, ser
compartilhada com outras pessoas.O usuário não deve armazenar senha em
arquivos de computador e tampouco escrevê-la em papéis ou outro tipo de
mídia.

As senhas devem ser elaboradas de acordo com os aspectos definido na

empresa. Tais como: conter 8 caracteres, validade de 35 dias, possuir letras
maiúsculas e minúsculas, ser criptografadas quando transmitidas ou
armazenadas.

Alterações de Configurações

As configurações de hardwares e softwares dos computadores disponibilizados

pela empresa não devem ser alteradas. Caso haja necessidade o Service Desk
deverá ser acionado.

Internet

A internet é uma ferramenta de trabalho utilizada pelos colaboradores como

apoio ao desenvolvimento de suas atividades e competências.

É proibido utilizar a Internet para acesso a websites de conteúdo considerando

impróprio pela empresa. É considerado impróprio o conteúdo que não está em
conformidade com as regras legais, a moral, a integridade e bons costumes

Pág. 3/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

tais como, relativos à pornografia, discriminação racial, jogos, cópias de

músicas, sala de conversação e outros.

Proteção contra software Malicioso

O software de proteção contra vírus deve ser instalado, tivado e atualizado com
todos os computadores ligados à rede de dados da empresa.

Copia e Segurança (backup)

Cabe à Área de TI realizar regularmente a cópia dos dados e informações

mantidas nos equipamentos de armazenagem nos servidores da
empresa.Arquivos de conteúdo impróprio não devem ser armazenados nos
computadores da empresa.

Tratamento de Mídia

Não é permitido realizar cópia ou divulgar informações estritamente

confidenciais, inernas para uso pessoal ou de terceiros.

As informações estritamente confidenciais, internas devem ser armazenadas

de forma segura e totalmente destruídas, quando não mais forem necessárias.

Troca de Informações

O correio é uma ferramenta de trabalho utilizada pelos usuários como apoio ao

desenvolvimento de suas atividades profissionais.

Não é permitido utilizar o correio para envio de mensagens ou arquivos de

conteúdo considerado impróprio pela empresa.

Práticas recomendadas para utilização do e-mail:

• Envie e-mails apenas para destinatários que realmente precisam da
informação.
• Seja educado, não escreva nada que não diria pessoalmente.

Uso de criptografia
Somente é permitida a utilização de mecanismo de criptografia homologados
pela empresa.

Softwares e Recursos de Informática

Somente é permitida a utilização de softwares devidamente homologado,

licenciado, instalado e controlado pela Área da TI.

A instalação, controle, movimentação e manutenção de recursos

computacionais de propriedade da empresa são de responsabilidade exclusiva
da Área da TI.

Pág. 4/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

Controle de Acesso

Controlar o acesso, na raiz do termo, significa restringir o acesso às

informações. Este é um dos primeiros pontos a ser considerado de forma
ampla e estratégica pelas organizações quando estiverem desenvolvendo um
plano para proteção dos seus sistemas.

• Cada usuário de recursos computacionais da empresa deve possuir uma

identificação (ID), a qual será utilizada como conta de acesso a todos
Sistemas e Redes da empresa.

Como etapa inicial “em busca da rede segura”, é necessário que seja
formalizada uma política de controle de acesso. Esta política deve considerar
alguns tópicos como:
• requisitos de segurança de aplicações do negócio;
• identificação da informação referente às aplicações do negócio;
• classificação da informação conforme critérios de confidencialidade;
• legislação aplicável, obrigações contratuais, perfil dos usuários e
gerenciamento dos direitos de acesso.

Sistema de Gerenciamento de Usuários

OBJETIVO: documentar todos os acessos lógicos e os privilégios que os

usuários possuem no sistema;
O gestor poderá, periodicamente, conduzir uma análise crítica dos direitos e
privilégios dos usuários para garantir que acessos não autorizados sejam
registrados nos sistemas
O sucesso de um controle de acesso eficaz passa pela cooperação dos
usuários que fazem parte da organização.

De que forma participa a área de informática?

Sua participação é máxima. A área de informática deve proteger os serviços de
rede através da implementação de controles, garantindo que usuários com
acessos às redes e seu serviços não comprometam a segurança dos mesmos

Alguns controles de rede que devem ser considerados são:

• rota de rede obrigatória, que serve para controlar o caminho entre o
termirnal do usuário e o serviço de rede;
• a autenticação para conexão de usuário externo.

A proteção aos sistemas operacionais deve ser efetuada através das

funcionalidades pré-existentes nos próprios sistemas, utilizadas para a
restrição dos acessos não autorizados. O administrador de rede, deve
configurar os sistemas para que o processo de entrada nos sistemas (logon)
seja realizado através de um processo seguro ;

Pág. 5/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

Mas não é somente nos domínios da organização que dados podem ser
violados. Deve ser tomado um cuidado especial com a computação móvel e o
trabalho remoto. Convém que seja adotada uma política formal levando em
conta os riscos de trabalhar com estes recursos. Esta política deve conter os
requisitos para proteção física, controles de acesso, criptografia e etc. É
necessário que os usuários que se beneficiam deste recurso recebam
treinamento específico;

Importante que os sistemas sejam monitorados para detectar divergências

entre a política de controle de acesso e os registros de eventos monitorados,
fornecendo evidências no caso de incidentes de segurança.

Registro de eventos de segurança relevantes e mantidas por um período de

tempo para auxiliar em investigações futuras ;

FERRAMENTAS UTILIZADAS PELA TI PARA SEGURANÇA DA

INFORMAÇAO

1 - WEBSENSE

99% das empresas utilizam software antivírus; 78% foram afetadas por
vírus, worms, etc.

(Pesquisa sobre Crime e Segurança em Informática, CSI/FBI, 2004).

"As perdas mundiais com ataques cibernéticos aumentarão de US$ 3,3

bilhões em 1997 para um valor estimado de US$ 16,7 bilhões no fim de
2004."
(Computer Economics, 2004)

As ameaças baseadas na Internet que as empresas enfrentam atualmente

estão aumentando em quantidade, complexidade e custo. Produtos de
segurança como antivírus e firewalls, têm uma função significativa no combate
a essas ameaças de segurança; porém, apresentam falhas inerentes de tempo
e tecnologia, que deixam as organizações vulneráveis. O Websense Web
Security Suite complementa os produtos de segurança existentes para criar
uma solução de segurança abrangente que protege a sua organização contra
ameaças baseadas na Internet – tanto internas como externas à sua rede.

2 - CRIPTOGRAFIA

Trata-se de um conjunto de conceitos e técnicas que visa codificar uma

informação de forma que somente o emissor e o receptor possam acessá-la,
evitando que um intruso consiga interpretá-la.

Existem dois tipos de chaves: simétricas e assimétricas. Ambas são vistas a

seguir.

Pág. 6/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

Chave simétrica

Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem uso
da mesma chave, isto é, uma única chave é usada na codificação e na
decodificação da informação. Existem vários algoritmos que usam chaves
simétricas, como o DES, o IDEA, e o RC:

O uso de chaves simétricas tem algumas desvantagens, fazendo com que sua
utilização não seja adequada em situações onde a informação é muito valiosa.
Para começar, é necessário usar uma grande quantidade de chaves caso
muitas pessoas estejam envolvidas. Ainda, há o fato de que tanto o emissor
quanto o receptor precisa conhecer a chave usada. A transmissão dessa chave
de um para o outro pode não ser tão segura e cair em "mãos erradas".

Chave assimétrica

Também conhecida como "chave pública", a chave assimétrica trabalha com

duas chaves: uma denominada privada e outra denominada pública. Nesse
método, uma pessoa deve criar uma chave de codificação e enviá-la a quem
for mandar informações a ela. Essa é a chave pública. Uma outra chave deve
ser criada para a decodificação. Esta - a chave privada - é secreta.

Para entender melhor, imagine o seguinte: O InfoWester criou uma chave

pública e a enviou a vários outros sites. Quando qualquer desses sites quiser
enviar uma informação criptografada ao InfoWester deverá utilizar a chave
pública deste. Quando o InfoWester receber a informação, apenas será
possível extraí-la com o uso da chave privada, que só o InfoWester tem. Caso
o InfoWester queira enviar uma informação criptografada a outro site, por
exemplo, o Viva o Linux, deverá conhecer sua chave pública.

3 - FIREWALL

Dispositivo de uma rede de computadores que tem por função regular o tráfego
de rede entre redes distintas e impedir a transmissão e/ou recepção de dados
nocivos ou não autorizados de uma rede a outra.

Filtros de Pacotes

Estes sistemas analisam individualmente os pacotes à medida em que estes

são transmitidos, verificando o acoplamento entre camada de enlace (camada
2 do modelo ISO/OSI) com a camada de rede (camada 3 do modelo ISO/OSI).

As regras podem ser formadas estabelecendo os endereços de rede (origem e

destino) e as portas TCP/IP envolvidas na conexão. A principal desvantagem
desse tipo de tecnologia para computação é a falta de controle de estado do
pacote, o que permite que agentes maliciosos possam produzir pacotes
simulados (IP Spoofing) fora de contexto ou ainda para serem injetados em
uma sessão válida. Esta tecnologia foi amplamente utilizada nos equipamentos

Pág. 7/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

de 1a.Geração (incluindo roteadores), não realizando nenhum tipo de

descodificação do protocolo ou análise criteriosa na camada de aplicação.

Proxy Firewall

Os conhecidos "bastion hosts" foram introduzidos por Marcus Ranum em 1995.

Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha
recebendo o fluxo de conexão e originando um novo pedido sob a
responsabilidade do mesmo firewall (non-transparent proxy). A resposta para o
pedido é analisada antes de ser entregue para o solicitante original.

Os gateways para circuitos e aplicações conectam as redes corporativas à

Internet através de estações seguras rodando aplicativos especializados para
filtrar dados. Estes gateways permitem que usuários se comuniquem com os
sistemas seguros através de um Proxy, o qual esconde os arquivos e os
servidores da ação dos hackers.

Desvantagens

Para cada novo serviço que aparece na internet, o fabricante deve desenvolver
o seu correspondente agente de Proxy. O que pode demorar meses, tornando
o cliente vulnerável enquanto o Fabricante não liberta o Agente. A instalação,
manutenção e actualização dos agentes do Proxy requerem serviços
especializados de gestão do firewall e podem ser bastante caros;

Os proxies introduzem perda de desempenho na rede, já que as mensagens

devem ser processadas duas vezes, pelo gateway e pelo agente do Proxy. Por
exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP, que
por sua vez fala com o servidor FTP interno para completar o pedido;

A tecnologia atual permite que o custo de implementação seja bastante

reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como
sistemas operacionais abertos (Linux), porém, exige-se manutenção específica
para assegurar que seja mantido nível de segurança adequado (ex: aplicação
de correções e configuração adequada dos servidores).

4 – MICROSOFT ACTIVE DIRECTORY (AD)

O Microsoft Active Directory é uma infra-estrutura global de gerenciamento de

identidades e acesso. Além disso, o AD conta com funções gerais de diretório e
extensibilidade que os desenvolvedores de aplicativos podem e devem usar
quando forem necessárias funções de diretório em um aplicativo em
desenvolvimento. O uso das funções do AD centraliza e simplifica a
administração dos diretórios. O AD também reduz os custos de
desenvolvimento e aumenta a compatibilidade dos dados. Por exemplo, o uso
da interoperabilidade do serviço de autenticação e autorização do AD em um
aplicativo atinge dois objetivos. Elimina a necessidade de criar mais um banco
de dados de segurança e simplifica o gerenciamento da segurança corporativa.

Pág. 8/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

5 – PLANO DE RECUPERAÇÃO DE DESASTRES

Em uma organização moderna, a informatização e a digitalização de rotinas de

uma empresa fizeram com que informações essenciais para o negócio
passassem a estar somente disponíveis através de computadores. Contratos,
memorandos, cadastro de clientes armazenados digitalmente são somente
alguns exemplos de que a informação eletrônica é hoje vital para as
organizações.

Nenhuma empresa pode cogitar hoje ficar dias, horas e até minutos com um
sistema informatizado fora do ar. Isto pode causar danos irreparáveis ao
desenvolvimento da organização, principalmente se esta instabilidade for
seguida de perda de arquivos e documentos digitais. Nada como uma
fatalidade ou um desastre neste armazenamento para demonstrar o quanto
vulnerável e despreparadas nossas empresas podem estar.

De acordo com uma pesquisa da Ontrack Data Recovery, mais da metade dos
dados perdidos em uma empresa são por causa de problemas em hardware ou
então nos sistemas operacionais. Apenas 2% dos arquivos perdidos estão
ligados a desastres naturais. 9% dizem respeito a softwares mal programados
que causam corrompimento de dados e, de acordo com a mesma pesquisa,
25% estão relacionados a erros de funcionários ou usuários. E se documentos
eletrônicos são tão essenciais para o seu negócio, está na hora de você cuidar
mais do seu servidor.

Confira algumas dicas para a implementação de um bom plano de recuperação

de desastres na sua empresa:

• Faça backups regularmente e de preferência de forma automática.

Escolha um bom software para backup e garanta que todos os
procedimentos de armazenamento dos dados estão sendo seguidos;
• Armazene os backups e as senhas de sistemas em um outro local que
não seja o mesmo servidor e até mesmo no mesmo espaço físico. Caso
aconteça algum desastre, você terá os dados a salvo em outro lugar;
• Documente tudo! Tenha certeza que todo o processo de recuperação
para ter seu sistema novamente ao ar esteja documentado. Assim, é
possível verificar os locais e pontos restaurados a cada ocorrência;
• Tenha documentado também o seu plano de recuperação de desastres.
Uma equipe deve ser treinada para atuar prontamente quanto eles
ocorrerem. Busque auxílio com uma empresa especializada para definir
seu plano;
• Tenha sempre um bom estoque de mídias e discos rígidos para garantir
o armazenamento do backup. Isso evita surpresas quando a capacidade
estiver quase no limite;
• Teste o seu plano de recuperação de desastres trimestralmente ou até
mais. Isto não só qualifica sua equipe específica para atuar no plano,

Pág. 9/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

como também faz com que novos funcionários se familiarizem com a

rotina. Isto garante também que sua estratégia para desastres de TI se
mantenha sempre atualizada, mesmo com novos softwares ou
equipamentos;
• Uma estratégia de organização do arquivamento de fitas magnéticas,
CDs e DVDs é importantíssima. Aquelas fitas utilizadas diariamente
devem ser trocadas entre seis e nove meses para evitar perda de dados.
Há algumas que podem ser trocadas com menos freqüência,
dependendo do quanto é usada. Há soluções no mercado que
dispensam o uso de fitas, que no geral são muito caras (uma unidade de
fita custa em torno de R$ 4 mil);
• É essencial garantir o constante fornecimento de energia para não
interromper seus serviços de TI. Busque bons no-breaks e tenha sempre
uma bateria extra para urgências;
• Não esqueça de proteger seus equipamentos, principalmente
servidores, de roubos, vandalismo e até mesmo empregados mal-
intencionados. Isto pode ser mais desastroso de qualquer outra
ocorrência. Esteja certo de que a porta da sua sala de servidores ou de
processamento de dados esteja sempre trancada, seja de dia ou de
noite;
• Uma porta automática contra incêndios para esta sala também é
essencial para garantir que, em caso de incêndio, o fogo não se alastre
e também que proteja contra a fumaça.

AUDITORIA EM SISTEMAS DE GESTÃO ELETRÔNICOS (SGE)

Objetiva promover a adequação e recomendações, para o aprimoramento dos

controles internos nos sistemas de informação da empresa, bem como na
utilização dos recursos humanos, materiais e tecnológicos, envolvidos nos
processamentos dos mesmos.
A auditoria de sistemas deve atuar em qualquer sistema de informação da
empresa, quer no nível estratégico, gerencial ou operacional.

COMPONENTES DO GRUPO DE TRABALHO

Emanuel Brito Rodrigues

Jaifer da Cunha Pinho

Julia Fonseca

Pág. 10/10
9/2/yyyy
 Pós-Graduação em Gestão Industrial
Tecnologia da Informação
Trabalho – Segurança da Informação

Leonardo Teixeira

Ronildo Vaz de Freitas

Pág. 11/10
9/2/yyyy