Gestao Riscos Freitas PDF

GESTO DE RISCOS
APLICADA A SISTEMAS DE INFORMAO:

SEGURANA ESTRATGICA DA INFORMAO
Eduardo Antnio Mello Freitas
2009
Biblioteca Digital da Cmara dos Deputados

Centro de Documentao e Informao
Coordenao de Biblioteca
http://bd.camara.gov.br
"Dissemina os documentos digitais de interesse da atividade legislativa e da sociedade.
UNIVERSIDADE CANDIDO MENDES

PS-GRADUAO LATO SENSU
PROJETO A VEZ DO MESTRE
GESTO DE RISCOS
Por: Eduardo Antnio Mello Freitas
Orientador
Prof. Koffi Djima Amouzou
Braslia
2009
UNIVERSIDADE CANDIDO MENDES

PS-GRADUAO LATO SENSU
PROJETO A VEZ DO MESTRE
GESTO DE RISCOS
Apresentao
de
monografia
Universidade
Cndido Mendes como condio prvia para a

concluso do Curso de Ps-Graduao Lato Sensu
em Gesto Estratgica e Qualidade
Por: . Eduardo Antnio Mello Freitas
AGRADECIMENTOS
Agradeo a Deus e a minha querida

esposa que me deram determinao
para continuar esta empreitada.
DEDICATRIA
Dedico este trabalho a minha esposa e

filhos que me apoiaram.
RESUMO
O presente estudo aborda um tema sensvel a qualquer empresa
inserida em um mercado competitivo: a Segurana da Informao.
Neste
contexto, a segurana da informao possui posio estratgica tanto para a

garantia do presente, naquilo que a empresa j conquistou, como para o
futuro, naquilo que ela procura conquistar.
Os sistemas de informao so ferramentas importantes na gesto
estratgica do conhecimento das empresas.
Eles normalmente do maior
agilidade, versatilidade e disponibilidade da informao, contudo eles tambm

devem garantir que apenas as pessoas autorizadas tero o acesso
informao e saber quem o responsvel pela informao.
Porm segurana implica em custos de manuteno da informao.
Sistemas que no levam em conta a segurana so mais simples e mais fceis
de manter, porm quanto custa a perda ou a falta de confiabilidade de suas
informaes? Podemos dispor de sistemas mais flexveis, mas sem abrir mo
da auditoria destes. Atravs de modelos como o COBIT e de bibliotecas de
melhores prticas como o ITIL, buscaremos identificar o grau de maturidade da
empresa e o valor da informao na estrutura gerencial e no poder decisrio
nos nveis operacional, ttico e estratgico.
Finalmente, avaliado o papel estratgico da informao, poderemos
mensurar melhor os riscos que estamos dispostos a correr e o quanto
devemos investir em prol da segurana e continuidade de negcios da
empresa. a busca por uma posio de maior conforto para a empresa sem
deixar de lado a qualidade da informao.
METODOLOGIA
Este estudo foi elaborado com o apoio de pesquisa bibliogrfica em

livros, revistas, artigos e multimdia, tanto de Tecnologia da Informao como
de Administrao.
Alm dos os recursos apresentados no curso e do material bibliogrfico

sugerido, fizemos uso de bibliotecas e padres de melhores prticas que no
se limitam gesto de Tecnologia da informao, visto que a segurana da
informao envolve, alm da tecnologia, tambm processos e pessoas. Das
bibliotecas ou padres de melhores prticas destacamos:
ITIL - biblioteca de infraestrutura de Tecnologia da Informao (TI)
PMBOK - conjunto de conhecimentos em gerenciamento de

projetos
COBIT gesto de Tecnologia da Informao (TI)
A ABNT traduziu os documentos ISO 27001 e ISO 27002 e os

denominou como NBR ISO 27001 e NBR ISO 27002, respectivamente.
Foram obtidas informaes a partir de empresas de consultoria e de

pesquisas como o Gartner Group e a Mdulo. Algumas fontes de consulta
foram recomendaes advindas da participao de congressos, tais como o
Congresso Nacional de Auditoria de Sistemas e o congresso de Segurana da
Informao e Governana.
SUMRIO
INTRODUO
CAPTULO I - QUANTO VALE A INFORMAO
10
CAPTULO II O CONTROLE SOBRE A INFORMAO
21
CAPTULO III AMEAAS E VULNERABILIDADES
32
CAPTULO IV INFRAESTRUTURA DE SEGURANA DA INFORMAO 42

CAPTULO V GESTO DE RISCOS
49
CONCLUSO
61
BIBLIOGRAFIA
62
NDICE
69
FOLHA DE AVALIAO
71
INTRODUO
Inicialmente o conhecimento ficava restrito a pessoas ou grupo de

pessoas.
Em muitos casos o conhecimento ficou perdido na histria.
Atualmente, temos de filtrar o que relevante, til e realmente necessrio

nesta enxurrada de informaes a que somos submetidos. Com tecnologias e
sistemas cada vez mais versteis, nossos dados, informaes e conhecimento
so mediados pela Tecnologia da Informao. Se por um lado a grande gama
de recursos e a flexibilidade que a tecnologia nos fornece um atrativo, por
outro ficamos cada vez mais dependentes dela.
Igualmente as organizaes esto cada vez mais dependentes da
Tecnologia da Informao.
A informao um ativo no tangvel da
organizao e assim como os ativos tangveis e financeiros, a organizao

deve dedicar sua ateno segurana deste ativo que a informao que
possuem.
Falhas e desastres em sistemas de informao podem levar a
grandes prejuzos e at falncia de uma empresa.

Cartes de crdito, Internet e globalizao potencializaram as relaes
comerciais entre empresas por meio eletrnico, de forma que a segurana no
apenas uma preocupao da empresa, mas tambm do cliente ou
consumidor. De forma que a prpria segurana pode agregar valor ao negcio
e a segurana da informao passou a ser parte da estratgia do negcio ou
servio, podendo se traduzir em lucro, aumento de competitividade e fator de
reduo de perdas.
A segurana da informao no pode mais se ater
apenas ao nvel operacional, mas deve passar para os nveis estratgicos e

tticos.
A informao, no sentido geral, insumo e produto, material de
consumo e produto, isto porque ela no deve nunca estar desassociada do
todo da atividade do negocio. Esta participao se faz refletir nos sistemas de
informao e devem ser devidamente includos no mtodo de custeio da

organizao.
A preocupao com a anlise de riscos se fez observar no
resultado das pesquisa por segmento, onde as empresas foram solicitadas a

escolher as trs principais medidas em Segurana da Informao de seu
planejamento anual (MDULO, 2006):
Comrcio: Poltica de segurana; Anlise de riscos no ambiente de TI;

Capacitao da equipe tcnica.
Financeiro: Adequao s Normas, Regulamentaes e Legislao;

Anlise de riscos no ambiente de TI; Certificado digital.
Governo:
Campanha
de
sensibilizao
responsabilizao
de
funcionrios; Anlise de riscos no ambiente de TI; Adequao a Normas,

Regulamentaes e Legislao.
Indstria: Anlise de vulnerabilidades; Anlise de riscos no ambiente de TI;

Campanha de sensibilizao e responsabilizao de funcionrios.
Servios: Anlise de riscos no ambiente de TI; Anlise de vulnerabilidades;

Poltica de segurana.
Telecomunicaes:
Adequao
Normas,
Regulamentaes
Legislao; Anlise de riscos no ambiente de TI; Plano de continuidade.

A Tecnologia da Informao deve efetivamente contribuir para
minimizar as perdas e potencializar os investimentos. Por outro lado, a Gesto
de Riscos e seu planejamento deixou de ser apenas tcnica e requer dos
demais gestores o compromisso para com a informao. no trabalho de
equipe, com uma cultura de controle de riscos em todos os nveis da
organizao, que sero encontradas as melhores alternativas para se manter a
segurana da informao de forma compatvel com seu valor dentro da
organizao.
10

"Se voc pensa que segurana
custa
caro,
experimente
um
acidente."
(Stelios Haji-Ioannou)
Quando pensamos em segurana juntamente nos vem a idia de que

algo de valor deve ser guardado ou assegurado. H algo de valor que no se
quer perder e vale a pena investir a fim de se obter esta garantia. Tal qual um
seguro de automvel, podemos selecionar que servios estamos dispostos a
pagar por ele e quanto, assim como podem existir servios que se colocam
como obrigatrios no seguro.
Podemos definir Segurana da Informao como uma
rea do conhecimento dedicada proteo de ativos da
informao contra acessos no autorizados, alteraes
indevidas ou sua indisponibilidade SMOLA (2003, p.43)
Trataremos do valor de forma geral, envolvendo a sensibilidade da
informao e sua criticidade para as operaes do negcio.
1.1.
O valor da informao e o tempo
O valor de uma informao ou conhecimento muda com o tempo e

possui uma validade. Um manual de um software, por exemplo, pode ser de
grande valia e ser bastante utilizado, contudo, em se tornando obsoleto, ele
praticamente passa a no ter valor algum. O referido manual pode ter algum
valor histrico, mas com certeza o custo operacional e o custo dos recursos
despendidos para o seu armazenamento devem ser compensadores.
Em
alguns casos, a definio do tempo em que a informao deve ser mantida se

d por conta de alguma norma ou dispositivo legal.
11
tabela
seguir apresenta
alguns
prazos
em
que
obrigatoriedade de guarda dos documentos por parte da empresa em

conformidade com a Lei n10.406/2002, o Novo Cdigo Civil Brasileiro:
DOCUMENTO
Contratos de seguro em geral
Comprovantes de pagamento de aluguis
Dvidas lquidas oriundas da contratao por meio
instrumento pblico ou particular
Documentos comprobatrios do recolhimento
tributos e tarifas
Comprovante
da
prestao
de
servios
profissionais liberais
Documentao trabalhista relacionada ao vnculo
empregatcio
Documentao trabalhista referente aos encargos
previdncia e FGTS
de
PRAZO
1 ano
3 anos
5 anos
de
5 anos
de
5 anos
5 anos
30 anos
seguradas
35 anos segurados
Tabela I Prazos de Guarda de Documentos - Lei n10.406/2002
da
Pode-se alegar que se tratam de prazos para a guarda dos

documentos originais em papel, contudo se faz necessrio observar que, de
acordo com a Medida Provisria n 2200/2001, um documento digital ou
eletrnico, pblico ou particular,
legais.
deve ser considerado para todos os fins
Assim sendo, documentos assinados eletronicamente atravs de
Certificados Digitais emitidos pelas Autoridades Certificadoras no mbito da

ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira) possuem a mesma
eficcia de uma assinatura de prprio punho. A confirmao da autenticidade
assinatura digital no documento feita pela da informao. O Decreto Federal
n 4.553/2002 define autenticidade como: asseverao de que o dado ou
informao so verdadeiros e fidedignos tanto na origem quanto no destino.
A falta de planejamento do ciclo de vida da informao ir se refletir
em erros na estimativa dos recursos necessrios para a segurana e no
12
armazenamento da informao, o que poder redundar em desgaste da equipe

e prejuzos tanto na aquisio dos equipamentos quanto na manuteno da
informao. Esta estratgia refora ainda mais o ciclo de melhoria continua,
tambm conhecido como ciclo de Deming ou ciclo PDCA (Plan, Do, Check,
Action).
interessante observar que, a depender da arquitetura do sistema de
informao o gerenciamento do armazenamento dos dados, conforme a sua
utilizao, pode vir a ser transparente para os usurios do sistema. Nestes
casos, por exemplo, dados com pouca ou nenhuma atualizao, ou ainda com
utilizao mnima, podem ser mantidos em meios preferencialmente pouco
volteis, seguros, porm menos dispendiosos.
A recuperao da informao
pode ser um pouco mais lenta, porm a periodicidade do acesso justifica a

menor desempenho e os menores gastos com manuteno operacional, desde
que sua criticidade seja baixa. H de se considerar, portanto, em termos de
tempo, no apenas o custo do processamento da informao, mas tambm o
custo de recuperao da mesma e seu impacto no negcio.
Assim, tanto o tempo passado quanto ao futuro podem influenciar a
informao. O tempo passado o tempo a que se refere a informao e o seu
valor no presente.
O tempo futuro o tempo entre a necessidade da
informao e a sua obteno. Se, por exemplo, se um sistema de informao

que apresenta cotaes atualizadas de produtos no mercado fica for a do ar, a
indisponibilidade das informaes pode acarretar prejuzos enormes
empresa e perda de clientes.
Ao tempo passado se costuma designar de
validade da informao; ao futuro, propriamente o valor da informao.

O planejamento da capacidade de armazenamento e gerenciamento
do valor da informao no decorrer do tempo deve levar em contar que, com o
passar do tempo, maior qualidade exigida da informao e menores os
custos de armazenamento. Por outro lado, um volume cada vez maior de
informao e a degradao no acesso por conta da vida til dos servidores
13
exigem um acompanhamento constante da performance e da garantia da

qualidade dos recursos de suporte (CCTA, 2000) .
1.2.
O valor da informao e o pblico-alvo
Diz um ditado que o conhecimento vem da informao, mas que a

sabedoria o seu correto uso. Nem toda a informao possui o mesmo valor
e este valor vai depender de se saber como fazer uso da informao.
O valor da informao tambm pode variar segundo o seu pblico-alvo
dentro e fora da organizao. Dentro da organizao podemos considerar os
trs diferentes nveis de tomada de deciso, quais sejam: operacional, ttico e
estratgico.
Normalmente os dados pontuais do nvel operacional sero
agrupados, filtrados e analisados como informao do nvel ttico e que iro

evoluir para o conhecimento e aporte tomada de decises no nvel
estratgico (RUD, 2001).
Contudo, a nfase em processos horizontais com mais decises sendo
delegadas queles mais voltados ao nvel operacional e ttico da organizao
levou a uma necessidade maior de comprometimento de todas as partes da
organizao. Seja como for, toda a cadeia de transformao por que passa a
informao, de uma forma ou de outra, responsvel por ela.
Somos
responsveis tanto pela informao como pelo uso que fazemos dela. Cada
nvel decisrio tem a sua percepo de valor para a informao. Contudo, a
informao como qualquer outro ativo da organizao deve ter um
responsvel,
um
proprietrio,
conforme
expresso
17799:2005, no captulo sobre Gesto de Ativos.
na
NBR
ISO/IEC
Este proprietrio,
responsvel pela informao, quem ir definir a classificao da informao,

quais os controles necessrios e quais recursos esto associados ela.
14
Uma informao pode ter tal valor estratgico ou papel crtico em uma
organizao que venha a ser classificada de forma tal que apenas o
Presidente, e aqueles que lhe so prximos na organizao, podem tomar
cincia dela. a classificao por hierarquia ou autoridade (VACCA, 2005).
Por tudo isto primordial que as polticas de controle de acesso sejam
bem definidas e contem com o aval e apoio da alta direo. Conflitos entre a
poltica de segurana e as operaes de manuteno contnua e emergncia
que zelem pela continuidade do negcio no devem ser ignorados.
As
polticas de segurana no podem ser incompatveis com a garantia da

disponibilizao do servio.
1.3.
Evoluo do valor da informao
O Gartner Group, equipe especializada em pesquisas de mercado e

consultoria envolvendo a rea de Tecnologia da Informao, atribuiu o termo
Business Intelligence (Inteligncia Empresarial ou de Negcios) para designar
metodologias e ferramentas de gesto que se fazem atravs de software com
o objetivo de estruturar a cadeia de transformao da informao e sua
aplicao nas aes decisrias da empresa.
Relaes entre dados outrora desconhecidas, ao surgirem, mostram
novas contribuies para o conhecimento. Este conhecimento pode contribuir
para diferentes reas dentro da organizao atravs da aplicao destas
ferramentas de gesto. Dentre estas contribuies temos a anlise dos nveis
de risco, que pode incluir diferentes perspectivas, tais como o risco financeiro
na relao com um novo cliente ou na aquisio de uma carteira de aes,
bem como o comportamento inesperado de um sistema. Este ltimo, interesse
da Gesto de Riscos.
15
Atravs de mtodos estatsticos, tais como regresso linear e a

regresso logstica, ou ainda de mtodos no-estatsticos ou mistos, tais como
rvores de classificao, algoritmos genticos, redes neurais e rvores de
deciso (RUD, 2001), de forma a identificar padres de comportamento,
correlacionar os dados, detectar seqncias e tendncias no decorrer do
tempo. Uma destas tcnicas conhecida como Data Mining (prospeco de
dados), extraindo-se comportamentos e conhecimentos do negcio a partir de
grandes bases de dados, os quais, de outra forma, provavelmente
permaneceriam desconhecidos.
Estas novas relaes e comportamentos iro demonstrar a real
necessidade da informao e auxiliar na classificao da informao, tanto do
valor como dos riscos que envolvem a informao. O valor ser maximizado
quando a administrao for capaz de definir estratgias e objetivos para
alcanar a melhor relao entre o seu crescimento, o sucesso qualitativo e a
identificao
dos
riscos
relacionados
(PRICEWATERHOUSECOOPERS,
2004).
1.4.
Segurana da informao agregando valor informao
H uma expresso que diz: Crie uma ratoeira melhor e o mundo

achar o caminho at sua porta. Podemos observar que a Tecnologia da
Informao pode, no apenas dar suporte ao processo de transformao da
informao, mas pode tambm lhe agregar valor.
A biblioteca consolidada de melhores prticas ITIL (Information
Technology Infrastructure Library), em sua segunda verso publicada, teve o
seu foco no alinhamento entre a Tecnologia da Informao e os negcios. J
em sua terceira verso, a biblioteca ITIL passou a ter o foco na integrao de
ambos, visto que a integrao da gesto da Tecnologia da Informao e do
16
negcio da empresa se reflete em mudana nos conceitos das melhores

prticas aplicadas Tecnologia da Informao.
Um dos mais novos conceitos o de Ciclo de Vida de um servio, que
passa desde a sua necessidade, a estratgia e projeto do servio, at a
extino do servio.
O investimento e a manuteno da segurana da
informao se justifica a partir da identificao de sua real da necessidade

estratgica.
Os sistemas de informao devem contribuir para que a
informao traga segurana ao prprio negcio.

No modelo tradicional da publicao da ITIL v.2, representado na
figura a seguir, o Gerenciamento da Segurana, fica posicionado entre o
Gerenciamento do Servio, o Gerenciamento da Infraestrutura de Tecnologia
da Informao e Comunicao e o Gerenciamento da Aplicao (BON, 2006).
Figura 1 Modelo ITIL verso 2

Fonte: Citao de Jan Van Bon ao modelo da biblioteca ITIL, 2006
17
Em termos estratgicos, a segurana da informao pode agregar

valor ao dar maior confiabilidade ao prprio processo de transformao. A
integrao entre o negcio e a tecnologia empregada pode imprimir maior
maturidade e solidez s transaes com o cliente.
A confiabilidade nas
transaes vai se traduzir na idia de maior confiabilidade nos negcios.

Faz-se necessrio que os executivos de negcio (Chief Executive
Officers - CEO) e os de Tecnologia da Informao (Chief Information Officers CIO) tenham uma viso alinhada e integrada para a obteno dos resultados
esperados. Para que haja este alinhamento, o foco da entrega de servios,
incluindo-se a segurana da informao, no deve perder a perspectiva do
negcio. O sucesso desta conscientizao leva maximizao dos benefcios
para o negcio (CARTLIDGE, 2004).
Novas atribuies profissionais surgiram por conta do enfoque em
segurana e na preciso da informao e seu impacto nos negcios, tais como
o CISO Chief Information Security Officer e o CSO Chief Information
Officer.
Para se ter sucesso na integrao e alinhamento entre o negcio e a
Tecnologia da Informao, deve haver integrao e alinhamento a partir do
planejamento estratgico e suas metas (CARTLIDGE, 2007, 4). Como nem os
negcios, nem a tecnologia da informao so estticos, um processo de
melhoria contnua com gesto integrada das mudanas dos negcios de TI a
forma de se garantir a durabilidade do alinhamento e da integrao.
A informtica sempre foi vista como ferramenta de melhoria. Porm,
quando se fala em Segurana da Informao, alguns aspectos so vistos de
forma negativa no processo, tais como aumento de custos, perda de liberdade,
aumento de complexidade, perda de desempenho, etc. primordial que haja
medio e controle da eficincia e da eficcia dos servios de tecnologia da
informao. Tambm no se pode deixar de lado a otimizao dos custos na
18
obteno do resultado final.
Contudo no se pode negar que de fato a
proteo dos ativos informacionais custa dinheiro e que a segurana

naturalmente traz restries.
Por isso a importncia de se classificar a
informao, a fim de que no se adote um nico nvel de segurana no seu

patamar mais alto (BEAL, 2008, 61).
Os gestores de TI devem ser capazes de demonstrar o valor agregado
com a segurana. De fato, nem sempre possvel demonstrar o retorno do
investimento em segurana da informao em termos de lucro, mas atravs da
anlise da classificao da informao e da gesto de riscos ser possvel
demonstrar o quanto se deixou de perder caso algum desastre ocorresse, ou
alguma informao confidencial fosse revelada ou mesmo um sistema crtico
ficasse fora do ar. O custo da segurana da informao nunca deve ser maior
do que o valor da prpria informao!
A segurana da informao deve, portanto, integrar a estratgia do
negcio ou servio, devendo se traduzir em lucro, ganho de competitividade ou
confiabilidade no mercado. Diante da falta de gesto de riscos em TI, deve-se
refletir na afirmao de Bob L. Martin, CEO1 da Diviso Internacional do WallMart, em artigo da Harward Renew de setembro de 1995: os riscos da
Tecnologia da Informao esto cada vez mais entrelaados com os riscos
empresariais.
1.5.
O custeio da Segurana de Informao
A anlise de custo em Tecnologia da Informao s vezes no uma

tarefa simples, ainda mais quando se trata da segurana da informao. Nem
todos os custos so diretos. Um sistema mais seguro, por exemplo, pode
exigir mais passos para o seu acesso, cadastramento, treinamento e
1
Chief Executive Officer Gerente Executivo
19
certificaes. Destacamos dois mtodos de custeio que tm o seu uso em

servios de Tecnologia da Informao: ABC e TCO.
O mtodo de custeio ABC (Activity Based Costing), desenvolvido pelos
professores Robert Kaplan e Robin Cooper, um exemplo de mtodo
bastante til quando se trata de custeio de servio, levando em conta os custos
indiretos de uma atividade. Nele as atividades so as interligaes entre os
insumos e os produtos (NUNES, 1998, p.14). Identificada a atividade, deve-se
quantificar a relao entre as atividades e as informaes que servem de
insumo. Apesar de que em alguns casos a prpria informao o produto. O
ideal que a os responsveis e usurios da informao, bem como a
intensidade de seu uso sejam quantificados.
A que atividades interessa a entrada de dados, seu armazenamento e
a garantia de sua segurana? Pode-se quantificar o custo adicional exigido
para prover a segurana da informao, mais o consumo vigente dos recursos
de infraestrutura, para certa atividade, seja atravs de valor determinado ou de
valor estimado por perodo. J na quantificao da relao entre a atividade e
o produto final, sero necessrios atributos para a atividade, tais como o tempo
de processamento e o volume de transaes.
De qualquer forma, a
identificao dos objetos de custeio e os responsveis pelas atividades ir

proporcionar o detalhamento e o rateio dos custos, o que pode ser aplicado
segurana da informao e dos servios de TI em geral.
A anlise de custos algumas vezes no fcil, porm quanto mais
detalhada puder ser a classificao dos custos, maior ser a identificao das
relaes de valor entre a informao e os agentes do negcio.
Outro modelo, desenvolvido por Bill Kirwin, do Gartner Group, o Total
Cost of Ownership (Custo Total de Propriedade), que tambm leva em conta
os custos diretos e indiretos por perodos de tempo O foco no est no rateio,
mas no custo total da aquisio de um produto ou servio, incluindo hardware,
20
software, treinamento, taxas, imposto, adaptao dos sistemas legados, etc. O

seu aspecto mais interessante o de permitir a avaliao do investimento total
de uma soluo comparando-o com outras solues tambm pelo seu custo
total.
Para isto importante munir-se de benchmarks
fornecidos por
empresas de pesquisa e consultoria na busca da soluo com melhor

desempenho adequado situao em estudo comparativamente com solues
encontradas em outras empresas de reconhecimento no mercado.
O benchmarking se constitui em identificar, otimizar e utilizar o que deu certo em empresas similares.
21

O sucesso de qualquer poltica
medido pelas catstrofes que no
ocorrem. (Parkinson)
Existe um termo que traduzido por rastreabilidade que definido

pela International Organization for Standardization em seu padro ISO
8402/1994 como:
a habilidade de descrever a histria, aplicao, processos
ou eventos e localizao, de um produto, a uma
determinada organizao, por meios de registros e
identificao
Este conceito se aplica muito bem informao enquanto produto que
advm da coleta e armazenamento de dados em direo construo do
conhecimento.
A qualidade da informao ir depender da qualidade dos
dados e dos processos e condies definidos em sua transformao. Quem

alimentou o sistema de informao com aqueles dados?
Por que
transformao ele passou? Quem o responsvel pela informao? Posso

ter certeza de que esta informao correta?
2.1.
Princpios de Segurana da Informao
Conforme a NBR 17799/2003, os princpios bsicos para que uma

informao seja considerada segura, so:
Integridade: propriedade de salvaguarda da exatido e da totalidade do

conjunto de ativos.
22
Disponibilidade: propriedade de estar acessvel e utilizvel sob demanda

por uma entidade autorizada.
Confidencialidade: propriedade de que a informao no esteja disponvel

ou revelada a indivduos, entidades ou processos no autorizados.
Alm destas caractersticas, esto presentes na NBR ISO/IEC

27001:2006 outras, as quais j foram ou sero discutidas no decorrer deste
trabalho, tais como:
Legalidade
Responsabilidade
Autenticidade
Autoridade
No-repdio
Auditoria
2.2.
Qual a origem dos dados?
Para a identificao da origem dos dados deve ser possvel identificar

o usurio. Sistemas que precisam ser abertos ao pblico em que o usurio
annimo devem permitir apenas envio de mensagens ou o acesso necessrio
divulgao ou marketing do produto, conforme o caso. Pode-se achar que,
nestes casos a segurana seria nula, mas na verdade o acesso que deve ser
mnimo. Um usurio annimo, por exemplo, no deve ser capaz de alterar a
pgina da sua empresa na Web.
23
Autenticar verificar se a pessoa quem ela afirma ser.
autenticao faz uso de uma informao que se julga que apenas a pessoa
correta possui (NIZAMUTDINOV, 2005).
Normalmente cada usurio
cadastrado possui individualmente um cdigo e uma senha. Esta senha pode

ser digitada ou pode vir da captura de algum dado biomtrico, tal como voz,
digital, etc. No caso do reconhecimento biomtrico possvel o uso apenas do
dado biomtrico para a autenticao, mas a segurana fica a depender mais
da capacidade de processamento,
qualidade do dado biomtrico e do
algoritmo usado. J a autorizao verificar se um usurio tem o direito de

executar uma determinada ao ou se tem acesso a determinados dados. A
autorizao normalmente precedida por autenticao (NIZAMUTDINOV,
2005).
Identificado ou no o usurio, o sistema de informao deve ser capaz

de estabelecer o controle de acesso a este usurio. Esta a medida mais
importante para a proteo da informao (BEAL, 2008). O ideal que a
prpria existncia do controle de acesso venha a dissuadir o mau uso do
sistema.
O controle de acesso necessrio proteo da confidencialidade,

integridade e disponibilidade informao (STEWART, 2008).
Aqui
disponibilidade a informao representa o direito de acesso informao,

processo ou recurso. Na ISO 17799 existe a premissa de que tudo deve ser
proibido a menos que expressamente permitido.
O controle de acesso algo que deve ser sempre revisto. Seja pelo
proprietrio da informao, como j dissemos, seja pelos responsveis pelo
sistema de informao. Um funcionrio demitido no deve ter mantido seu
cdigo de acesso habilitado. Os papis no sistema devem condizer com os
24
papis no negcio. o que na ISO 17799 se determina de requerimentos do

negcio para o controle de acesso.
Ainda que no seja o proprietrio da informao que d a entrada dos

dados, ele no deve deixar de existir. Devem haver procedimentos formais
previamente definidos que incluam as responsabilidades, o uso devido da
informao, a complexidade de senhas e os papis de cada um (NBR ISO/IEC
27001:2006). Pode ser til a criao a construo de uma matriz de acesso s
operaes ou informaes. Ela permite visualizar o que um usurio ou grupo
de usurios est autorizado a fazer ou acessar.
2.3.
Classificando os Nveis de Segurana
O Departamento de Defesa americano criou o modelo Bell-LaPadula

voltado classificao da informao, definindo diferentes nveis na poltica de
segurana.
As classificaes so similares ao que foi decretado no Brasil,
Decreto n 4.553/2002, quais sejam:
Ostensivo: sem classificao, cujo acesso pode ser franqueado.
Ultra-secreto: dados ou informaes referentes soberania e integridade

territorial nacionais, a planos e operaes militares, s relaes
internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico
e tecnolgico de interesse da defesa nacional e a programas econmicos,
cujo conhecimento no autorizado possa acarretar dano excepcionalmente
grave segurana da sociedade e do Estado
Secreto: dados ou informaes referentes a sistemas, instalaes,

programas, projetos, planos ou operaes de interesse da defesa nacional,
a assuntos diplomticos e de inteligncia e a planos ou detalhes,
25
programas ou instalaes estratgicos, cujo conhecimento no autorizado

possa acarretar dano grave segurana da sociedade e do Estado.
Confidencial: dados ou informaes que, no interesse do Poder Executivo e

das partes, devam ser de conhecimento restrito e cuja revelao no
autorizada possa frustrar seus objetivos ou acarretar dano segurana da
sociedade e do Estado.
Reservado (que corresponde ao restrito nos EUA): dados ou informaes

cuja revelao no autorizada possa comprometer planos, operaes ou
objetivos neles previstos ou referidos.
H de se observar que no Decreto n 4.553/2002 houve reclamaes

de que o ex-presidente Fernando Henrique Cardoso aumentara os prazos do
sigilo para todos os documentos que exigem segurana em relao ao Decreto
n 2.134/1997.
Este fato gerou reclames da sociedade em relao
democratizao das informaes e se refletiu no Decreto n 5.301/2004,

promulgado pelo ento Presidente Lus Incio Lula da Silva.
Este aspecto
est definido para os rgos pblicos, mas vale considerar a questo para a
organizao, ainda que ela no tenha relao com questes de segurana
nacional: Por quanto tempo uma informao classificada como secreta dever
manter o seu sigilo?
As Executive Orders3 12356 e 12958, por Ronald Reagan e Bill

Clinton, respectivamente, resumiram, para fins de segurana nacional apenas
ultra-secretos, secretos e confidencial. Tanto no que se refere aos decretos
supracitados como nas Executive Orders, existe a definio especfica de
algumas autoridades que tratam dos documentos ultra-secretos refora o
envolvimento da alta direo das organizaes na classificao dos nveis
gerais de segurana.
26
O guia de estudo para a certificao CISSP nos apresenta duas

regras gerais de controle de acesso e o nvel de confidencialidade de uma
informao que so obrigatrias no modelo Bell-LaPadula:
usurio que est em um nvel de segurana no pode ter acesso a um nvel

superior de segurana
usurio que est em um nvel de segurana no gravar informao de seu

nvel em um nvel inferior de segurana
Outros modelos foram criados para instituies no militares com foco

na integridade da informao, tal como o modelo Biba, com o foco na
integridade da informao, ao invs da confidencialidade. J o modelo ClarkWilson voltado aplicaes comerciais, fazendo uso de um triplo controle de
acesso: sujeito (ou usurio), programa e objeto, onde o usurio somente pode
ter acesso aos objetos atravs dos programas e o controle vem a partir desta
relao. No se deve confundir a confidencialidade com a privacidade. Um
documento pode ser privativo de pessoa ou grupo de pessoas.
confidencialidade tem mais a ver com o tipo de atividade ou papel hierrquico

decisrio.
2.4.
Segregao de Funes e Redes de Comunicao
Outro modelo de classificao e controle da informao o de Brewer

e Nash, o qual busca identificar as situaes e conflitos de interesses, de
acordo com os papis que o usurio pode ter, sendo de mais difcil controle
quando a base de dados no unificada.
3
4
Ordens o Poder Executivo dos Estados Unidos da Amrica de carter regulatrio.

Certified Information Systems Security Professional
27
Sobre a questo da segregao de funes o Tribunal de Contas da

Unio o define como princpio bsico do sistema de controle interno que
consiste na separao de funes, nomeadamente de autorizao, aprovao,
execuo, controle e contabilizao das operaes. O seu propsito reduzir
as oportunidades de modificao ou uso indevido no autorizado ou no
intencional dos ativos da organizao.
No Manual de Auditoria de Sistemas do TCU5 recomendado que a

segregao de funes exista, inclusive, na equipe de Tecnologia da
Informao. Aqueles que testam o sistema devem ser diferentes daqueles que
o desenvolvem, por exemplo.
Em se tratando dos processos de um rgo pblico, por exemplo, a

liquidao de uma despesa no pode ser feita pelo gestor financeiro ou pelo
ordenador da despesa. O Acrdo n 330/2005 do TCU exige at mesmo que
haja segregao entre a fase de habilitao e a fase de avaliao das
propostas tcnicas em envelopes separados.
A segregao de redes, tal como uma restrio fsica s informaes,

contribui no sentido de prevenir o acesso no autorizado a um servio de rede
e melhor monitorar grupos de usurios e sistemas de informao (NBR
ISO/IEC 27001:2006).
TCU Tribunal de Contas da Unio
28
2.5.
Conscientizao da Importncia da Segurana da Informao
A classificao de nveis de segurana no imutvel, devendo haver

um acompanhamento contnuo dos processos e seus riscos com o passar do
tempo. algo que deve fazer parte da cultura da organizao (BEAL, 2008).
As classificaes contribuem para a percepo dos riscos e valores

envolvidos nos negcios. Aspectos como a criticidade da disponibilizao de
um servio ou informao tambm deve fazer parte da classificao. Sendo
importante a representao numrica na classificao a fim de auxiliar a
gesto de riscos (WESTERMAN & HUNTER, 2008).
Na ITIL, a definio de quo rpido deve ser ou no a restaurao e o

efetivo retorno normalidade de um servio deve ser definido no Acordo do
Nvel de Servio (ANS) que deve ser feito entre o departamento de TI e o
cliente.
A rapidez da resoluo diretamente proporcional ao custo da
soluo.
O envolvimento maior de todos os executivos da organizao tem se

tornado uma exigncia graas ao carter mais normativo que vem assumindo
a segurana da informao, deixando de ser apenas uma questo tcnica,. O
Novo Cdigo Civil traz maior responsabilidade aos administradores das
empresas e autoridades do Governo.
Os gerentes de segurana e riscos
precisam se relacionar cada vez mais com os departamentos de sua

organizao, no apenas com Tecnologia da Informao e Auditoria. H cada
vez mais aspectos jurdicos e de recursos humanos envolvidos.
29
Segundo a 10 Pesquisa Nacional de Segurana da Informao da

Mdulo, empresa especializada em Gesto de Riscos, publicada em 2008, a
falta de conscientizao (55%) citada como o principal obstculo para a
implementao de segurana da informao, seguida da falta de oramento
(28%).
2.6.
Auditoria e Monitoramento da Informao
Os sistemas de informao devem guardar a origem da informao.

Esta informao pode ser nova, modificada ou vir a ser excluda. Ao histrico
destas operaes damos o nome de trilhas de auditoria, contendo basicamente
o usurio, a data da operao, o objeto da operao e o tipo de operao.
Na fase de testes do sistema esperado que o sistema contemple os

requisitos para os quais foi constitudo.
Uma boa prtica desde o
nascedouro prover informaes sobre os processos e o manuseio dos registros

de dados.
Trilhas de auditoria pode se fazer necessrias por algumas razes:
informao relevante ao negcio
responsabilizao
deteco de comportamento que levante suspeitas
A documentao do sistema e o conhecimento da atividade so de

grande relevncia para a avaliao dos sistemas de informao e de sua
segurana. Contudo o acesso s informaes fora dos sistemas tambm deve
30
ser avaliado. Uma informao pode ser privativa pelo sistema, contudo podem
existir vulnerabilidades na base de dados que permitam o acesso direto com
direito de gravao fora da aplicao padro.
Na definio do contedo das trilhas de auditoria deve-se levar em

conta o volume de transaes, pois a incluso de dados de auditoria pode
significar grande consumo de recursos.
O impacto na aplicao deve ser
justificvel diante do impacto e da relevncia do negcio. Porm elas somente

possuem valor se podem se no puderem ser corrompidas.
Se no houver
garantia de que aquele que registra os dados no pode alterar o histrico os

eventos de atualizao sofridos pela informao, esta trilha no confivel. O
sistema de informao em si alvo de auditoria. No caso de teste do sistema,
de acordo com a norma ISO 17799, deve ser provida cpia da trilha de
auditoria do uso das operaes do sistema.
Inclusive, as concesses e
revogaes de contas em sistemas deve ser auditada.
Em alguns casos, recomenda-se a gravao de cpias de arquivos de

logs ou trilhas de auditoria. As trilhas podem ser replicadas em uma base de
dados centralizada ou em um sistema de diretrios centralizado com restries
de acesso.
Freqentemente se pensa em auditoria com referncia a um evento,

mas ela pode tambm dizer respeito a um estado como resultado de um
somatrio de eventos, como o caso de medidas de desempenho, ao que
comumente se chama de monitoramento. Nestes casos so definidos espaos
de tempo para o monitoramento de acordo com as atividades em estudo.
A perda de desempenho de um sistema pode ser o objetivo de uma

invaso externa e pode acarretar em prejuzo para a organizao.
31
Temos, tambm, a necessidade do monitoramento constante da

conformidade do servio de TI com os requisitos do negcio.
Auditorias
podem ser tanto internas como externas. Seja como for, o uso de frameworks
(estruturas)
padronizadas como o COBIT (Controle para a Informao e
Tecnologias Relacionadas) tem sido cada vez mais populares para processos
de TI. Organizaes que esto iniciando em gesto de riscos normalmente o
fazem a partir dos resultados da auditoria (WESTERMAN & HUNTER, 2008).
Por conta disso, recomenda-se a utilizao das melhores prticas aproveitando
o resultado da experincia de outros nesta rea, evitando-se tambm riscos
desnecessrios.
32

" Nenhum trabalho de qualidade
pode ser feito sem concentrao e
auto-sacrifcio, esforo e dvida."
(Max Beerbohm)
O executivo de negcios nem sempre entende as ameaas por quais

passa a informao em um Sistema de Informao.
Este capitulo no se
prope a abordar todos os tipos de ameaas ou vulnerabilidades e seus

correspondentes mecanismos de controle, mas intenta sensibilizar os
responsveis pela necessidade da segurana da informao e da gesto de
riscos.
A auditoria de sistemas um grande aliado na anlise de ameaas e
vulnerabilidades, pois confronta os sistemas de informao com normas
tcnicas de melhores prticas em segurana da informao e analisa os
procedimentos e as trilhas de auditorias dos sistemas.
Os tipos de ameaas e vulnerabilidades iro variar conforme o
ambiente interno e externo da organizao. A infraestrutura de dados e de
comunicao utilizada, a organizao dos processos, a cultura de segurana
dos usurios, o apoio da direo poltica de segurana da informao, a
competitividade do mercado, a visibilidade da organizao, tudo isso so
fatores a serem considerados.
Identificar os riscos importa em identificar as ameaas e as
vulnerabilidades que podem ser aproveitadas por estas aos sistemas de
informao envolvidos e o impacto que as perdas de confidencialidade,
integridade e disponibilidade podem causar aos ativos .
33
3.1.
Identificao das Vulnerabilidades e Ameaas
No existe ambiente totalmente seguro. Independentemente de todo o

aparato tecnolgico, sempre haver o elemento humano.
As melhores
ferramentas at ento conhecidas podem ter sido aplicadas, mas nem todas
as vulnerabilidades so conhecidas em um momento especfico no tempo.
As vulnerabilidades so pontos em que o sistema susceptvel a
ataques. Consideramos aqui tambm, alm das fragilidades do sistema, erros
que nele existam. A identificao das vulnerabilidades tcnicas nem sempre
trivial, requerendo, em geral, profundo conhecimento de Tecnologia da
Informao e de Comunicao.
Houve um perodo de bastante divulgao da existncia de ovos de
pscoa dentro de programas de prateleira como as ferramentas do Microsoft
Office e o sistema operacional Windows 95.
Aps uma seqncia de
comandos era possvel ver uma apresentao programa escondida dentro do

Windows 95 (TABER, 1998). De fato, normalmente a maioria dos usurios
utilizam muito pouco de todas as funcionalidades dos softwares que
adquiriram.
Contudo, diversas so as vulnerabilidades associadas a procedimentos
ou ao comportamento humano. A questo das senhas um bom exemplo.
fcil entender que, quanto mais complexas as senhas, mais difcil se torna a
descoberta delas. Porm, na mesma proporo, mais difcil se torna decorlas. Uma nica senha igual para todos os sistemas facilita a memorizao,
mas por outro lado se traduz em uma vulnerabilidade que afeta todos os
sistemas em questo.
Outra alternativa encontrada por algumas pessoas
quando a senha muito complexa anotar a senha em algum papel.
vulnerabilidade da senha acrescida pela vulnerabilidade do acesso ao papel

com a senha!
34
A exigncia de atualizao de senha, apesar de incmoda, contribui

para com a segurana da informao.
Em alguns casos possvel se fazer passar por outro no sistema sem
o conhecimento, consentimento ou sem que haja falha de procedimento por
parte do usurio, mas sim, por conta da baixa qualidade da segurana do
sistema ou da falta de utilizao de recursos de segurana disponveis. Uma
transao sensvel que no seja atravs de canal ou protocolo de comunicao
seguro uma vtima fcil.
Na figura a seguir vemos a tela de um sniffer executado em meu
computador. Trata-se de um programa que fareja o que passa pela rede.
Com ele possvel interceptar a comunicao ouvida pelo dispositivo
conexo com a rede, normalmente a placa de rede.
Figura 2 Tela do programa SmarSniff v.1.4 da Nir Sof

apresentando dados de meu computador
35
Neste exemplo, usei o Firefox para navegar na Internet, que aparece

identificado como Mozilla no quadro inferior. Fiz pesquisa de imagem no stio
de buscas do Google (protocolo http) e abri uma conexo segura com o de um
banco (protocolo https). Informaes como estas podem estar disponveis a
quem possuir o acesso conexo de rede que se quer analisar ou invadir.
Nas recomendaes Boas Prticas em Segurana da Informao do
TCU, vemos os motivos para o cuidado especial com alguns arquivos. Alm
dos cuidados j citados, destacamos a preocupao com os seguintes
arquivos:
a) Arquivo de Senhas um ponto nevrlgico de qualquer sistema. Minha
prtica tem sido aproveitar a segurana de outros produtos ao sistema a ser
desenvolvido. Por exemplo, se for possvel que cada usurio possua uma
senha no banco de dados, validar este usurio atravs do banco. Outro
exemplo seria aproveitar a validao no sistema operacional para identificar
o usurio.
Outra alternativa deixar como senha uma informao
biomtrica.
b) Arquivos de Log alm de se poder apagar os rastros de um ataque, devese cuidar para que os dados de log no comprometam informaes
sigilosas.
c) Arquivos do Cdigo Fonte o acesso ao cdigo fonte pode servir para que
outros
identifiquem
vulnerabilidades
no
percebidas
pelos
desenvolvedores.
3.2.
Programas de Ataque Segurana da Informao
Quando ocorre o acesso fsico ao computador se torna muito mais fcil

a quebra de segurana. Programas que atuam de forma ilcita divulgando,
alterando ou destruindo informaes alheias so denominados de malwares,
que significa literalmente software malicioso. Neste grupo encontramos:
36
vrus - que, como o nome sugere, um programa que infecta o seu

hospedeiro, um ou mais arquivos, e tende a se multiplicar ou a destruir o
hospedeiro
worm (verme).
eles infesta a rede sobrecarregando recursos, liberando
acessos e realizando operaes remotas sem que o usurio se d conta.

Colabora com a distribuio de listas de e-mails e mensagens falsas.
spywares so os softwares espies, passando informaes do

computador infectado.
cavalo de Tria como o nome sugere, a um programa que debilita as

defesas do hospedeiro se fazendo passar por outro um programa
inofensivo ou gerando informaes falsas.
Pode se instalar como um
servio do sistema operacional ou um certificado, por exemplo.
keyloggers programas que capturam e divulgam o que se tecla. Os alvos

usuais so as senhas. Faz parte de uma das categorias anteriores.
Nem sempre corrupo ou divulgao de informao do usurio do
computador o objetivo de uma invaso. Existem programas cuja inteno

a propaganda de servios ou produtos, tal como ocorre quando janelas
indesejveis surgem em um navegador Internet sem bloqueador.
programas se chamam adwares.
Tais
comum a presena de adwares em
programas do tipo shareware a fim de incentivar a aquisio da licena.
3.3.
Hackers e Crackers
O jornal O Estado de So Paulo apresentou em um artigo a diferena

entre hackers e crakers.
Os hackers so pessoas com bastante conhecimento da tecnologia
que, muitas vezes colocam os seus conhecimentos a servio da sociedade. O
37
software livre um exemplo disso.
Os hackers em geral atuam como
justiceiros por causas que entendem como sendo justas, defendendo a

liberdade de conhecimento, ainda que nem sempre sejam legais. Quem no
olha com certa simpatia para um 'pichador' de sites de empresas que teimam
em pescar baleias?
Quando se trata de atuao criminosa puramente com o fim de tirar
proveito prprio, a denominao usual a de crackers.
O uso de polticas de privacidade, a alterao de senhas de usurios
padres e limpeza de arquivos temporrios, podem evitar que informaes
pessoais fiquem disponveis a outros usurios. Existem usurios previamente
definidos com o controle total do equipamento, so os administradores. No
ambiente Microsoft Windows temos o Administrator (ou sua verso na lngua
escolhida para a instalao). No UNIX temos o root. Equipamentos de rede
configurveis possuem normalmente um gerente denominado admin.
banco de dados Oracle possui um usurio de nome SYS que funciona como
o gerente do banco e assim segue. Alm de usurios padres existem portas
padres. Estas informaes geralmente so de conhecimento dos hackers e
so brechas que podem ser facilmente testadas. Mas nem todas as brechas
so to fceis.
O Gerente de Segurana da Informao deve se manter
sempre atualizado quanto s vulnerabilidades do parque de equipamentos e

programas instalados a fim de minimizar as alternativas de ataques.
3.4.
Sistemas de Verificao de Vulnerabilidades
Sistemas operacionais e demais programas de suporte, tais como o

navegador da Internet, mquina Java, frameworks e players, devem ser
mantidos sempre atualizados.
Normalmente eles possuem algum tipo de
38
controle interno, que
pode ser centralizado, informando ou at mesmo
atualizando de vez o programa.

Incluem-se nesta categoria os programas de proteo, tais como
antivrus e antispywares. Certificados digitais tambm devem ser atualizados.
Quando vencidos, exigem que o usurio libere excees de acesso no
navegador da Internet. A prtica comum pode acabar permitindo com que um
certificado falso venha fazer parte da exceo.
A habilitao da atualizao automtica de programas pode pesar na
rede ou no computador e em alguns casos pode-se considerar uma
atualizao mais espaada no tempo.
Existem ainda sistemas capazes de verificar se alguma porta do
computador est desprotegida e se a configurao do sistema operacional e
da rede est compatvel com os requisitos de segurana at ento conhecidos
(VACCA, 2005).
A execuo destes programas deve ser feita por quem
entende as operaes por ele propostas.

A integrao entre os prprios sistemas da organizao podem prover
maior segurana ao conjunto. Se, por exemplo, um funcionrio est em gozo
de frias, no seria normal que ele viesse a acessar um computador de dentro
da empresa.
3.5.
Principais Ameaas Segurana da Informao
O ataque deriva de uma ameaa inteligente e uma ao deliberada

contra as polticas de segurana do sistema aproveitando-se de uma
vulnerabilidade.
39
O ataques contra a confidencialidade podem ter por resultado a

liberao de informao no autorizada para fins de divulgao ou fraude.
Ataques contra a integridade iro contra a confiabilidade da informao. E
ataques contra a disponibilidade iro contra o suporte ao servio ou a
destruio da informao. Seja como for, com certeza as maiores ameaas
esto dentro da prpria organizao, de forma que um firewall6 pode no ser
suficiente (VACCA, 2005).
Steven M. Bellovin (JAJODIA, 2008), da Universidade de Columbia,
lembra que a questo dos ataques internos no algo novo. Em 1978, Donn
Parker, na inaugurao de seu livro O crime por Computador, estimou que
95% de ataques a computadores foram cometidos por usurios autorizados do
sistema.
Podemos dizer que se tratava de tempos em que o controle de
acesso era incipiente. Porm, a realidade de que nem todos os usurios so

confiveis permanece.
Em 2007, o escritrio de pesquisas das Foras Armadas dos Estados
Unidos da Amrica patrocinou um workshop sobre um workshop sobre ataque
interno.
Participaram convidados incluindo pesquisadores de segurana,
acadmicos, vendedores, tcnicos e representantes de outras organizaes

que perceberam no usurio interno uma grande ameaa. Uma vez que ele j
est dentro da organizao ele j ter pulado algumas restries aos servios.
O mau uso do acesso um dos ataques mais difceis de se identificar.
Um usurio pode ter se autenticado, estar autorizado, e ainda assim ser uma
grande ameaa segurana da informao. Para o sistema ele quem afirma
ser, contudo basta o descuido para com o sistema aberto e qualquer um pode
se fazer passar por aquele usurio, ficando a segurana do sistema fragilizada.
Neste caso teria havido cumplicidade, ainda que passiva, do usurio que
dispe da autorizao.
6
Firewall um dispositivo ou programa que limita o acesso a certos recursos de rede e pode exigir a
autenticao do usurio externo para a liberao do acesso
40
Como alternativa existe a temporizao da inatividade de um sistema

aberto ao usurio. Uma vez que o tempo determinado venha a se extinguir, o
usurio se ver obrigado a se autenticar novamente. Outra alternativa, quando
informaes crticas ou mais sensveis esto para ser acessadas a
confirmao com autenticao biomtrica, inviabilizando ou minimizando a
troca de usurios.
O preparo da defesa contra ataques ao controle de acesso pode ser
mais simples, porm em outros casos, o caminho est primeiramente na
deteco do ataque e at mesmo no alerta sobre a situao. A defesa por
nveis de acesso pode incluir a necessidade de mais de uma autorizao ou
tipo de autorizao.
Em alguns casos a defesa contra os ataques pode
significar perda de certa privacidade do usurio, uma vez que seu perfil e
aes podem estar sendo armazenadas pelo controle.
Apesar de mais difcil, a utilizao de anlise de comportamento do
usurio ou de alterao de padres previstos uma alternativa no caso deste
recurso estar disponvel, porm somente se presta em situaes em que o
perfil do usurio ou da utilizao dos recursos esto mapeados.
Ataques que se aproveitam de vulnerabilidades tcnicas de sistemas
de aplicaes normalmente precisam de algum tipo de ajuda de dentro. Esta
ajuda pode no ser intencional por parte do usurio interno, seja por conta de
comportamento imprprio, seja por conta de curiosidade quanto aos limites de
seus direitos no sistema. Deve fazer parte da poltica e dos procedimentos de
segurana da informao a atualizao constante dos softwares de deteco e
tratamento de ameaas como vrus, cavalos-de-tria, spywares, etc.
Quando possvel para o usurio baixar de programas da Internet, ele
deve estar consciente de que pode estar sendo um portal para ataques. Stios
na Internet que no so confiveis devem fazer parte de lista de bloqueio.
41
A Mdulo apresentou, como resultado de sua pesquisa, quais os

problemas que geraram perdas financeiras para governo e empresas.
Infelizmente nem todos possuem controle das invases e conseqentes
perdas. Os vrus possuem posio de destaque, seguidos dos spams. SPAM
um termo genrico para mensagens enviadas em massa por algum que
geralmente obteve o e-mail do destinatrio sem o seu consentimento. A figura
a seguir apresenta o resultado desta pesquisa:
Figura 3 Problemas que geraram perdas financeiras.

Fonte: Extrado da 10 Pesquisa da Mdulo Nacional de Segurana da Informao
42
CAPTULO IV INFRAESTRUTURA DE SEGURANA DA

INFORMAO
The early bird gets the worm, but it's
the second mouse that gets the
cheese. (Steven Wright)
Neste captulo iremos abordar algumas ferramentas de proteo contra
ataques e reduo das vulnerabilidades.
Tais ferramentas no isentam a
preocupao com qualidade das aplicaes envolvidas nem a necessria

conscientizao do uso de prticas mais seguras.
Kenneth J. Knapp e Franklin Morris, examinando as similaridades entre
as clulas biolgicas e um sistema de rede de computadores defendeu o que
chamou de defense-in-depth, que se trata de fazer uso de mltiplas tcnicas e
camadas a fim de minimizar os riscos quando uma camada fosse
comprometida (TIPTON & KRAUSE, 2008).
A segurana deve ser feita em diferentes camadas, com mais de uma
alternativa de proteo.
Uma vez que uma proteo apresente alguma
vulnerabilidade e seja superada, se esta for a nica proteo, a informao j

fica exposta. A segurana em camadas abrange controles fsicos, lgicos e
manuais. Diante de restries oramentrias, as aes preventivas devem ser
as privilegiadas (BEAL, 2008).
Seja como for, a segurana fsica aos pontos de acesso deve ser uma
preocupao bsica para a garantia das demais camadas. A segurana fsica
no envolve apenas a garantia dos equipamentos instalados, mas tambm a
preveno de que nenhum novo ponto de acesso no autorizado seja
adicionado rede (WILES & ROGERS, 2007)
43
4.1.
Criptografia Simtrica e Assimtrica
um tipo de proteo na codificao da mensagem.
Quando um
canal de rede no seguro, informaes como senhas e dados financeiros

pode ser transmitidos na rede de forma aberta.
Programas denominados
sniffers podem identificar este trfego.

A criptografia tcnica de se escrever em cifra ou cdigo. Sem a
criptografia no existiria comrcio eletrnico (BEAL, 2008).
A criptografia
simtrica exige feita com uma chave, a qual ser usada para a posterior
decodificao e leitura da informao.
Seu uso se faz quando emissor e
receptor possuem uma relao de confiana. Alguns sistemas tm seu cdigo

fonte a estrutura de montagem da chave de criptografia, tornando o cdigo um
forte ponto de vulnerabilidade do sistema.
A criptografia assimtrica possui uma chave pblica e outra privada.
Ambas so diferentes, sendo que uma usada para a codificao da
mensagem e a outra para a decodificao.
A chave privada deve ser do
conhecimento apenas de seu proprietrio. A chave pblica, por outro lado de

conhecimento de ambos, um documento codificado com a chave pblica no
pode ser decodificado por ela, como se fosse uma chave simtrica. Assim, na
codificao com a chave pblica, o proprietrio das chaves confirma a
confidencialidade da informao e a autenticidade (STAMP, 2008).
A decodificao na criptografia assimtrica requer maior poder de
processamento do que na simtrica. Os protocolos TSL e SSL fazem uso dos
dois tipos de criptografia.
O canal seguro garantido inicialmente com a
criptografia assimtrica, por onde a chave para a criptografia simtrica

enviada. Em seguida a comunicao passa a ser criptografada por esta chave
.
44
As anlises matemticas em criptografia tem evoludo muito. Muito

estudo tem sido feito com geradores de chaves e simuladores de ataques. Um
tipo de anlise o de coliso, quando duas partes distintas de um dado
produzem o mesmo resultado aps a criptografia. Este caminho difere do uso
da fora-bruta, onde todas as combinaes possveis dentro de um tamanho
e uma faixa determinada de caracteres so testadas.
Em fevereiro de 2005 foi anunciado que Xiaoyun Wang e outros
colegas da Shandong University, na China, haviam demonstrado a quebra do
algoritmo SHA-1 atravs da anlise de colises em 269
operaes.
Com
forabruta seriam necessrias 280 operaes. importante que, a depender

do uso a quebra era possvel em 233 operaes!
Assim, Xiaoyun Wang
observou que um algoritmo pode apresentar importantes vulnerabilidades,

ainda que empregue funes no-lineares (que so as mais difceis de serem
descobertas e o caso do SHA), por conta da forma de sua utilizao. O uso
adequado das funes reforam a segurana de um algoritmo criptogrfico
(PRENEEL & LOGACHEV, 2008). O tempo esforo consumido ir depender
do tamanho da chave utilizada e dos tipos de combinaes que se fizer.
As organizaes IT Governance Institute e The Office of Government
Commerce alertam em seu trabalho sobre o alinhamento entre COBIT 4.1, ITIL
v.3 e a ISO/IEC 27002 quanto importncia da gesto de chaves de
criptografia de acordo com o seu ciclo de vida (ITGI & OGC, 2008)
4.2.
Certificados digitais e a Infraestrutura de Chaves Pblicas
Na comunicao padro temos o emissor e o receptor.
Quando
falamos em PKI (Public Key Infrastructure) ou Certificao Digital, temos

normalmente
uma
terceira
entidade
responsvel
pela
garantia
da
confiabilidade da mensagem. Algum em que ambos confiam. O transmissor

da mensagem tem sua identidade conferida pela certificadora. O certificado
45
pode assegurar tanto um usurio,
um provedor de informaes ou um
programa. Existem meios de se fazer uma transao interna nos moldes da

certificao digital, porm o normal a existncia de uma entidade
certificadora. Este tipo de soluo vem alcanando cada vez mais espao,
porm, tem sido questionada quanto aos prazos de validade que as
autoridades certificadoras concedem. Outro problema a possibilidade de que
uma autoridade certificadora cesse a sua existncia ou se torne indisponvel.
O negcio ficaria a depender da certificao e a falha indevida pode levar a
prejuzos (GLADNEY, 2007).
A infraestrutura de chave pblica exige uma hierarquizao para
otimizar a comunicao em rede. No Brasil, a Medida Provisria n 2.200/2001
criou um Comit Gestor vinculado Casa Civil da Presidncia da Repblica,
que trata de questes como a validade jurdica e tributria de documento
assinados digitalmente. Os produtos e-CPF e e-CNPJ bastante divulgados
pela Receita Federal e por certificadoras autorizadas so certificados digitais.
A assinatura digital no d privacidade a um documento, ela apenas
assegura a integridade e o no-repdio.
Para que haja privacidade
necessrio que o documento seja criptografado com a chave pblica do

destinatrio e a ele seja enviado, de forma que somente ele poder decodificar
e ler o contedo da mensagem com a chave privada dele (STEWART, 2008).
4.3.
Redes Privadas Virtuais - VPN
A rede virtual privada permite criar uma espcie de tnel, de um ponto

ao outro, dentro de uma rede menos confivel. A maioria das VPNs fazem uso
de criptografia. Atravs da VPN pode-se criar uma conexo entre duas redes
distintas ou dois computadores, sendo de grande utilidade no caso de sistemas
legados que no possuem confiabilidade na comunicao de dados,
46
aproveitando o custo mais baixo do acesso Internet com os potenciais

benefcios de uma rede mais segura (FRAHIM & HUANG, 2008).
Este recurso beneficia no apenas os pontos fixos de rede como
tambm os mveis. Atravs de uma VPN pode-se ter uma conexo segura
com o escritrio de casa, de um hotel ou aeroporto, por exemplo.
O IPsec um dos protocolos mais utilizados em VPN. Sua proteo
feita em um nvel abaixo do SSL (Secure Socket Layer). Ele foi criado a fim de
garantir a integridade dos pacotes de dados, autenticao e criptografia. O
protocolo SSL foi desenvolvido pela Netscape a fim de promover o comrcio
eletrnico na Web e evoluiu para aplicaes de correio eletrnico (FRAHIM &
HUANG, 2008).
A vantagem do SSL para com o IPsec que o SSL mais
simples e todos os navegadores so compatveis.
O IPsec ainda
dependente do sistema operacional (STAMP, 2008). A figura a seguir mostra

estes protocolos em relao s camadas de comunicao de rede.
Figura 4 Protocolos SSL e IPsec

Fonte: Mark Stamp, Information Security, 2008
47
4.4.
Smartcards
Os smartcards so cartes que integram um chip para processamento

de operaes aritmticas. Eles so uma forma conveniente de se guardar a
senha. Os smartcards podem processar dados e tomar decises inteligentes e
mais seguras, como a proteo contra comportamento indesejado.
Uma
alternativa armazenar uma representao eletrnica da impresso digital de

forma a poder verificar se o usurio do carto realmente o seu proprietrio,
em um leitor ou pelo prprio carto. O smartcard pode ainda levar informaes
de certificao ou assinatura digital (BRANDS, 2000).
O acesso memria do smartcard garantida contra acesso no
autorizado e o carto pode se desabilitar aps tentativas de uso de um cdigo
falso. Os cartes tambm podem ser protegidos contra cpias e imune a
vrus ou trojans.
4.5.
Firewall
Um firewall pode ser instalado atravs de software no computador que

se deseja proteger ou como um hardware a parte protegendo toda uma rede.
O firewall funciona como um filtro, podendo determinar o que pode passar de
uma rede para outra, por quais portas, quais protocolos e ainda fazer auditoria
das conexes (ROGER, 1998).
A funcionalidade de restringir o acesso a rede pode ser feito em
conjunto com a configurao de outros dispositivos de rede (roteadores,
switches, etc) e deve ser feita de acordo com o planejamento da segmentao
da rede, potencializando a segurana da rede (KLOSTERBOER, 2008).
48
Um firewall no capaz de detectar todo o tipo de ameaa, contudo

cada vez tem sido incorporadas solues para a preveno e deteco de
invases (BEAL, 2008).
4.6.
Ferramentas de Replicao e Backup
Computadores so equipamentos eletrnicos susceptveis a falhas.

Erros que provoquem a perda da informao necessitam de alternativas de
recuperao a fim de promover a restaurao do servio. Como j fora dito,
deve haver um planejamento destes servios baseando-se na classificao da
informao e na criticidade do sistema.
Pesquisas da Mdulo at 2003
apontavam que os sistemas de backup normalmente faziam parte das medidas

mais implementadas em termos de segurana por empresas, juntamente com
o firewall.
recomendvel que a guarda das mdias de backup se situem
geograficamente distantes do servidor de origem, tal como deve ocorrer no
caso de replicao de recursos para o provimento de um servio, visto que a
indisponibilidade do servio pode ter causas outras que no um defeito comum
em parte do circuito, mas pode ser resultante de desastres como inundaes,
incndios e atos de vandalismo ou terrorismo (TCU, 1998). Simulaes de
recuperao de incidentes devem fazer parte do planejamento da gesto de
riscos e de continuidade do negcio.
Em
investigao
forense
comparao
entre
backups
pode
demonstrar o versionamento da informao, a depender do perodo de

reteno do backup.
Isso chama a ateno para um erro que pode ser
comum: quando a segurana imposta no sistema de informao no mantida

no manuseio do backup, de forma que a confidencialidade do backup venha a
se tornar em uma vulnerabilidade (VOLONINO & ANZALDUA, 2008).
49
Ter sucesso na Gesto de Riscos no significa necessariamente que

no haver riscos, mas que fomos capazes de quantificar o risco e decidir que
riscos estamos dispostos a correr.
Gesto de riscos tomar decises ou
mapear os riscos de forma a contribuir para que estas decises sejam

tomadas.
Em contrapartida iremos considerar o valor da informao no
confronto com os custos da segurana da informao.

No podemos deixar de considerar na anlise de riscos estes trs
aspectos que devem fazer parte de qualquer porjeto de segurana: Pessoas
(cultura, capacitao e conscientizao), Processos (metodologias, normas e
procedimentos) e Tecnologia (ferramentas que comportam os recursos fsicos
e lgicos).
Figura 5 Aspectos a considerar em projetos de segurana.

Fonte de referncia: Portfolio da Mdulo Security
50
Estes trs aspectos so o tema da abordagem por disciplinas que se

divide em (WESTERMAN & HUNTER, 2008):
alicerce base tecnolgica: infraestrutura e aplicaes
processo de governana do risco processo que proporcione viso geral

dos riscos nos diferentes nveis da empresa e permita a administrao da
priorizao e do investimento, bem como a administrao por nveis.
Cultura de conscincia do risco conhecimento amplo e aberto a

discusses como norma.
Uma anlise de riscos que deixe de fora estes aspectos pode ser
fadada ao fracasso.
5.1.
Maturidade da Gesto de Riscos
De acordo com a definio contida no COBIT 4.0 (2005), a gesto dos

riscos requer a conscientizao da alta direo executiva da empresa, um claro
entendimento do risco que a empresa est disposta a correr, compreender os
requisitos normativos envolvidos, transparncia quanto aos riscos significativos
para a empresa e a insero das responsabilidades na administrao de riscos
dentro da organizao.
Seguem os nveis de maturidade segundo em gesto de riscos
segundo o COBIT 4.1:
0) No existente, quando a avaliao de risco para processos e decises de
negcios no ocorre. A organizao no considera os impactos nos
negcios associados s vulnerabilidades de segurana e incertezas no
desenvolvimento de projetos. A gesto de riscos no identificada como
relevante ao se adquirir solues em TI e na entrega de seus servios.
51
1) Inicial/Ad Hoc, quando os riscos de TI so considerados de maneira

informal. Avaliaes informais de riscos de projetos surgem conforme a
situao particular de cada projeto. As estimativas de risco algumas vezes
so identificadas em um planejamento de projeto, mas raramente atribudas
a gerentes especficos que sejam responsveis por elas.
Riscos
especficos de TI, tais como segurana, disponibilidade e integridade, so

considerados ocasionalmente no projeto bsico. Riscos de TI que afetem
operaes do dia-a-dia quase nunca so discutidos nas reunies
gerenciais. Onde os riscos foram considerados, a minimizao dos danos
inconsistente. Existe um entendimento emergente de que os riscos em TI
so importantes e precisam ser considerados.
2) Repetitivo mas intuitivo, quando o desenvolvimento de uma abordagem
de avaliao de risco existe e implementada sob a ponderao dos
gerentes de projeto. A gesto de risco habitualmente tratada em pelos de
escalo superior e tipicamente empregada nos principais projetos ou em
caso de ocorrncia de problemas. Os processos de minimizao de riscos
so implementados onde os riscos so definidos.
3) Definido, quando uma organizao, em uma ampla poltica de gesto de
risco, define quando e como conduzir as estimativas de risco.
administrao do risco segue um processo definido e documentado.

Treinamento em gesto de risco est disponvel para todos os membros da
equipe. Decises para seguir o processo de gesto de risco e receber
treinamento se releva como deciso individual.
A metodologia de
estimativa de risco convincente e slida, e garante que os riscos chaves

do negcio sejam identificados.
Um processo para minimizar os ricos
chaves normalmente institudo assim que os riscos so identificados. As

descries dos cargos consideram as responsabilidades pela gesto dos
riscos.
52
4) Gerenciado e Monitorado, quando a estimativa e o gerenciamento do

risco um procedimento padro. Excees ao processo de gerenciamento
de risco so reportados ao gerente de TI.
Gesto de risco de TI
responsabilidade de um gerente snior. O risco avaliado e minimizado

individualmente no nvel de projeto e tambm regularmente considerado por
toda a operao de TI. Os gestores so avisados em caso de mudanas
no negcio e no ambiente de TI que possam afetar de forma significativa os
cenrios de risco. Os gestores esto habilitados a monitorar a situao do
risco e a decidir se as condies medidas esto em conformidade com o
esperado.
Todos os riscos identificados possuem um proprietrio
designado e tanto a alta direo, como o gerente de TI, determinam os

nveis de risco que a organizao ir tolerar. Gerentes de TI desenvolvem
padres de medidas para estimativas de risco e definem as relaes de
risco/retorno.
H o pressuposto de que a gerencia reavalie os risco
operacionais regularmente. criado uma base de dados de gesto de

riscos, e parte dos processos de gesto de risco comeam a ser
automatizados.
Os gestores de risco de TI cuidam de estratgias de
minimizao de riscos.
5) Otimizado, quando a gesto de risco evoluiu a um estgio em que um
processo estruturado est implantado amplamente na organizao e bem
administrado.
Boas prticas so aplicadas por toda a organizao.
captura, anlise e relatrio dos dados de gesto de riscos esto bastante

automatizados. A orientao tomada por especialistas da rea e a
organizao de TI toma parte em grupos para troca de experincias. A
gesto de riscos realmente integrada a todos os negcios e s operaes
de TI, bem aceita e envolve os usurios dos servios de TI. A direo
detecta e age quando as principais operaes de TI e decises de
investimentos so feitas sem considerar o plano de risco. A direo
continuamente avalia estratgias de minimizao de riscos.
53
5.2.
Atribuindo Responsabilidades para com os Riscos
Segundo o COBIT 4.1 (2007), todo evento que representa um risco

deve ser identificado, analisado e estimado, o que, uma vez realizado, deve
buscar minimizar os seus e comunicar o risco residual, que o risco que se
sabe estar ainda correndo.
A matriz abaixo, denominada de R.A.C.I. (um acrstico do que
identifica) representa uma simplificao do que definido na estrutura do
COBIT 4.1. Ela indica os responsveis (R), quem deve prestar contas (A),
quem deve ser consultado (C) e quem deve ser informado (I). A simplificao
est na gerncia de Tecnologia da Informao, incluindo arquitetura,
desenvolvimento e a gesto de sistemas.
Gestores:
1 CEO Chief Executive Officer Diretor
2 CFO Chief Financial Officer Diretor
3 Executivos da Empresa
4 CIO Diretor
5 Gerentes Seniores
6 Gerentes Operacionais
7 Gerentes de TI (arquitetura, desenvolvimento, administrao)
8 PMO Gerentes de Processos
9 Conformidade, Auditoria, Risco e Segurana em geral.
Atividades / Gestores
Determinar o alinhamento da gesto de risco
R/
A
C
R/
A
R/
A
C
R/
A
Entender estratgias relevantes aos objetivos do

negcio
Entender processos relevantes aos objetivos do
negcio
Identificar objetivos de TI e estabelecer o
contexto do risco
Identificar os eventos associados aos objetivos
do negcio
Estimar os riscos associados aos eventos
C
R/
A
Avaliar e selecionar os responsveis pelo risco
Priorizar e planejar o controle das atividades
A/
C
A/
C
A/
C
A
54
Aprovar e garantir fundos para os planos de

aes de risco
Manter e monitorar os planos de aes de risco
I
C
Tabela 2 - Matriz R.A.C.I.

Fonte: Adaptada do COBIT 4.1, Gerenciamento de Riscos
Trata-se de um modelo que deve ser ajustado nas condies e

caractersticas da organizao.
importante observar que no COBIT os
gestores de riscos, segurana, auditoria e de conformidade com os requisitos

legais participam das outras matrizes RACI como devendo ser consultados.
Esta matriz ir orientar o processo de planejamento dos projetos, mudanas,
gesto e a classificao dos riscos.
5.3.
Gesto de Mudanas e Valor do Negcio
Para se dar incio a esta anlise importante dispor de ferramentas

que apresentem o impacto dos sistemas de informao no negcio.
Toda
mudana deve levar em considerao os riscos envolvidos. No se tratam

apenas de riscos em relao ao sistema, mas tambm as pessoas e o
andamento dos processos. De fato o ideal que as mudanas tenham por
base os riscos que cercam o sistema antigo e os ganhos do sistema novo.
Lucro, maior produtividade, diferenciao competitiva, reduo de riscos e
maior agilidade so fatores positivos em prol de mudanas.
Em momentos de mudana e como justificativa para novos
investimentos, pode-se associar o risco performance da aplicao e seu
respectivo retorno atravs da taxa de Sharpe, que a razo entre o valor
esperado de retorno (a diferena entre o retorno atual e um retorno isento de
risco), pelo desvio padro (LAUBSCH, 1999):
55
O risco em questo deve ser calculando considerando um perodo de

tempo.
Fatores como
adequao do sistema ao nmero de funcionrios,
facilidade de aprendizado, melhor suporte so fatores positivos que dizem

respeito aos recursos humanos. Tais fatores podem se somar a um processo
de melhoria nos procedimentos e de novos requisitos do negcio, fatores que
poderiam no alcanar a eficcia esperada se mantido o sistema antigo. A
figura a seguir ilustra a argumentao proposta e suas tendncias na relao
risco X valor (WESTERMAN & HUNTER, 2008):
Baseado no valor do
negcio
Baseado em mudanas
da estratgia do do
negcio
valor
A migrao melhorar
o desempenho do
negcio
Baseado em riscos de
tecnologia e RH
risco
A tecnologia atual
precisa ser substituda
para dar suporte nova
estratgia
Existe a possibilidade
de riscos catastrficos
Figura 5 Alto Valor, Alto Risco. Administrando o Portfolio Legado

Fonte: Richard Hunter e Dave Aron, Gartner Executive Programs, setembro de 2006.
Um catlogo de servios um recurso til na gesto de mudanas e

na identificao do valor agregado ao negcio. O ideal que as informaes
faam parte de uma base de dados que contenha os itens de configurao de
TI de forma a poder relacion-los aos servios, ao que se chama de CMDB
(Configuration Management Data Base). De posse dos recursos necessrios a
um servio, possvel mensurar os custos de cada servio e posteriormente,
com as mudanas, o rateio do investimento (KLOSTERBOER, 2008).
56
5.4.
Estimando os Riscos
A estimativa de riscos est intimamente ligada ao que em Gesto de

7
Riscos, de modo geral, denominado como apetite pelo risco , que significa
o quanto de risco a alta direo est disposta a correr. As organizaes The
Institute of Risk Management IRM, The Association of Insurance and Risk
Managers AIRMIC e o ALARM, um frum nacional para Gesto de Riscos no
Setor Pblico do Reino Unido, desenvolveram um padro de gesto de riscos
bastante interessante que alinhado com a ISO/IEC Guide 73:2002. Neste
documento o apetite pelo risco, para fins de segurana em sistemas de
informao, melhor situado como tolerncia ao risco, que obtido
avaliando-se:
a probabilidade de que o risco venha ocorrer
a perda potencial ou o impacto financeiro do risco
o valor do risco
Este valor obtido atravs da multiplicao do fator de probabilidade,

ou quantificao do risco, pelo fator correspondente perda potencial ou
impacto financeiro (AIRMIC & IRM & ALARM, 2002).
Devemos identificar os stakeholders, isto , aqueles que so os
responsveis pelos investimentos em tecnologia da informao a fim de
podermos saber as reas de interesse de sua participao.
Em geral os
stakeholder so acionistas da empresa e seus interesses esto em outro nvel

de exigncia, devendo ser traduzidos pela identificao dos value drivers, que
so os elementos potenciais de valor, cujas medidas de eficincia devem ir ao
encontro das demandas dos stakehoders.
Estes elementos devem ser
57
detalhados ao ponto de ser possvel o seu gerenciamento.
O Balanced
Scorecard - BSC, mtodo desenvolvido por Robert S. Kaplan e Robert D.

Norton, til na identificao dos value drivers ao combinar as medidas de
performance e seu alinhamento com os objetivos estabelecidos (SENFT &
GALLEGOS, 2009).
Uma vez que temos o arcabouo necessrio para identificar as
estratgias que criam valor.
Identificaremos os aspectos chaves de risco
diretamente associados ao risco de fracasso na agregao de valor. Estes

elementos de risco devero ser classificados por faixas (CAREY, 2005).
Definidos todos estes elementos, podemos examinar o exemplo de
clculo de tolerncia ao risco apresentado por Mark Carey, CEO da
organizao DelCreo.
Listemos os value drivers e os riscos chaves correspondentes:
Value drivers
Riscos
Aumento do rendimento dos investimentos
Interrupo levando reduo nos lucros
Reduo de custos
Surgimento de custos no previstos
Preveno de Perda de Ativos
Desvalorizao de ativos
Escolhendo o risco de Surgimento de custos no previstos, podemos

atribuir pesos para as faixas de valor de custos que no foram previstos:
1) 0 a 50K
2) 51 a 250K
3) 251K a 1M
4) 1M+
Podemos, tambm, definir os pesos para os itens que indicaro a
probabilidade de que o risco ocorra:
1) baixa
7
Traduo literal de appetite for risk.
58
2) mdia
3) alta
4) j est ocorrendo
De acordo com o resultado da multiplicao dos dois fatores (cujo valor
mximo no exemplo ser 4 x 4 = 16), a tolerncia ao risco ser definida, bem
como as aes a serem tomadas:
Entre 1 e 4 - Gerenciar o risco dentro da unidade de negcio ou
funo.
Entre 5 e 8 - Risco deve ser escalonado para o programa de seguro e
financiamento de riscos.
Entre 9 e 11 - Risco deve ser escalonado tesouraria da corporao.
Entre 12 e 16 - Risco deve ser escalonado gesto de crises ou
gesto executiva da corporao.
Neste exemplo, significa que, se as operaes de investimento
implicarem no risco de surgimento de custos no previstos na ordem de 60K
e probabilidade disto ocorrer for alta, o valor calculado do apetite ou
tolerncia ao risco ser de 2 x 3 = 6, i., entre 5 e 8, de forma que o risco deve
ir esfera do programa de seguro e financiamento de riscos, no podendo ser
tratado apenas dentro da unidade de negcio.
A classificao deve ser to detalhada quanto se julgar necessrio,
podendo ser especfica para cada negcio.
O peso dos riscos ser
normalmente definido por valor monetrio, percentual de recursos, tempo limite

de restaurao de servio, ou seja, o impacto no servio, bens ou nos lucros.
Geralmente os gerentes de TI e os gerentes operacionais so os mais
indicados para mensurar a probabilidade de que um evento ocorra. Contudo,
como foi visto na matriz RACI, sero os gestores de negcio que iro identificar
59
e se responsabilizar pelo peso que ir representar o impacto do risco sobre o

negcio.
5.5.
Relatrios Gerenciais
Os relatrios fazem parte da gesto de riscos. A existncia de uma

poltica que determine a constante avaliao da segurana e dos riscos da
informao ir colaborar com informaes que daro suporte a novos
investimentos ou a identificao de falhas no processo.
No ITIL temos um destaque nos relatrios de auditoria envolvendo:
disponibilidade, incidentes, excees e capacidade de recursos. Variaes no
consumo de recursos, por exemplo, podem indicar a necessidade de estudo
das mudanas que motivaram este comportamento e a necessidade ou no de
novos investimentos (itSMF, 2004).
Alcanar um nvel maior de maturidade COBIT em gesto de riscos
tambm est associado a aspectos de automao dos relatrios. Os relatrios
que mais se destacam so os de log ou incidentes de sistema (monitoramento
e resposta a incidentes)
e os de mtricas de segurana e performance.
Porm importa ressaltar que esto includos relatrios de testes de novas

funcionalidades. Os relatrios devem incluir os pontos chaves de controle tal
que sirva de base para a avaliao da conformidade com os requisitos do
sistema e o ciclo de vida da informao (TURCATO, 2006).
Tal relatrio somente ser possvel se identificados os fatores que
representam um risco para o negcio em questo.
Os relatrios devem conter comparaes entre perodos, destacandose datas em que mudanas ou novas solues foram implementadas. Estas
60
mudanas no devem se restringir a mudanas de TI, mas devem incorporar

mudanas nos processos e no negcio. O foco o alinhamento e a integrao
entre o negcio e TI, em especial, neste caso, os aspectos de segurana e
riscos. Os relatrios tambm devem ser claros e compreensivos (TURCATO,
2006).
Os relatrios de mtricas podem ser classificados em operacionais e
executivos, de acordo com o pblico-alvo. Os relatrios operacionais podem
incluir informaes tais como (BACIK, 2008):
Nmero de violaes ou tentativas de violaes da poltica de riscos.
Nmero de dispositivos fora dos padres de configurao da corporao.
Nmero de contas sem uso ou boqueadas.
Nmero de diferentes tipos de ataques contra a corporao de origem

externa.
Nmero de vrus, worms e Trojans que foram bloqueados

Relatrios executivos incluem informaes tais como as que seguem:
Montante de tempo de indisponibilidade dos servio e custos causados por

falhas de configuraes ou erros de implementao.
Dinheiro gasto acima ou abaixo do estimado pelos projetos de segurana.
Lista de riscos suportados ou acordados.

Questionrios de conformidade tambm podem servir de subsdio a
avaliao comparativos e histrica da evoluo do processo. Os relatrios e

questionrios de avaliao daro o retorno do ciclo PDCA para o processo
contnuo de melhoria.
61
CONCLUSO
Ignorar os riscos no os faz deixar de existir. A informao um ativo

da organizao cuja segurana deve fazer parte de sua gesto. Cada vez
mais as organizaes se tornam dependentes das informaes contidas em
Sistemas de Informao, mas acabam se esquecendo que equipamentos
tambm esto sujeitos falhas e deve haver um planejamento para a
continuidade do negcio.
O valor da informao, a competitividade da empresa, o alinhamento
estratgico iro atuar de forma integrada na justificativa ou no do investimento
em segurana da informao. Para este convencimento, em alguns casos,
no basta saber o TCO, mas se faz necessrio identificar os proprietrios da
informao e os interessados nela, de forma a poder apresentar o seu
impacto nas diferentes reas da organizao.
A
normatizao
contribui
para
envolvimento
maior
dos
administradores, de forma que segurana da informao no se trata mais de

uma cadeira tcnica, mas tambm requer o conhecimento nos negcios e os
reflexos jurdicos envolvidos.
A gesto de riscos em Sistemas de Informao tem a misso de fazer
com que os riscos no venham superar aquele que a alta direo est disposta
a correr. Os riscos dependem do contexto e envolvem pessoas, processos e
tecnologia. As melhores prticas devem ser aplicadas a toda a organizao e
a manuteno das polticas de segurana devem contar com o apoio da alta
direo.
62
BIBLIOGRAFIA
AIRMIC; ALARM; IRM. A Risk Management Standard. London, United

Kingdom: The Association of Insurance and Risk Managers; ALARM The
National Forum for Risk Management in the Public Sector; Institute of Risk
Management, 2002
BACIK, SANDY. Building an Effective Information Security Policy
Architecture. New York, USA: Auerbach Publications, 2008.
BEAL, Adriana. Segurana da Informao: Princpios e Melhores Prticas
para a Proteo dos Ativos da Informao nas Orgnizaes. So Paulo:
Editora Atlas, 2008.
BON, JAN VAN. Fundamento do Gerenciamento de Servios em TI
baseado na ITIL. Amersfoort, Holanda: itSMF, Van Haren Publishing, 2006.
BRANDS, STEFAN A. Rethinking Public Key Infrastructures and Digital
Certificates. London, England: MIT Press, 2000.
BRASIL, ABNT. NBR ISO/IEC 17799. Rio de Janeiro: ABNT, 2005.
BRASIL, ABNT. NBR ISO/IEC 27001:2006. Rio de Janeiro: ABNT, 2006
BRASIL. Decreto n2.134 de 24 de janeiro de 1997. Braslia: Dirio Oficial
da Unio, 1997.
63
BRASIL.
Decreto
n4.553 de 27 de dezembro de 2002. Braslia: Dirio
Oficial da Unio de 06/01/2003.

BRASIL. Decreto n5.301 de 9 de dezembro de 2004. Braslia: Dirio Oficial
da Unio de 10/12/2004.
BRASIL. Lei Federal n10.406 de 10 de janeiro de 2002- Institui o Cdigo
Civil. Braslia: Dirio Oficial da Unio, 11/01/2002.
BRASIL. Medida Provisria n2.200 de 24 de agosto de 2001 - Institui a
Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil. Braslia: Dirio
Oficial da Unio de 27/08/2001.
BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Boas Prticas em
Segurana da Informao. Braslia: Tribunal de Contas da Unio, 2007.
BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Licitaes e Contratos:
Orientaes Bsicas. Braslia: Tribunal de Contas da Unio, 2006.
BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Manual de Auditoria de
Sistemas. Braslia: Tribunal de Contas da Unio, 1998.
BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Tcnica de Auditoria:
Marco Lgico. Braslia: Tribunal de Contas da Unio, 2001.
BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Tcnica de Auditoria:
Benchmarking. Braslia: Tribunal de Contas da Unio, 2000.
CAREY, MARK. 2005. Determining Risk Apetite. Artigo do stio Continuity
Central Em: < http://www.continuitycentral.com/feature0170.htm >. Acessado
em abril de 2009.
64
CARTLIDGE, ALISON. The IT Infrastructure Library: An Introductory

Overview of ITIL - Version 2. Wokingham, United Kingdom: IT Service
Management Forum, 2004.
CARTLIDGE, ALISON; LILLYCROP, MARK. The IT Infrastructure Library: An
Introductory Overview of ITIL - Version 3. Wokingham, United Kingdom: IT
Service Management Forum, 2007.
CHEN, NONG. Personalized Information Retrieval and Access: Concepts,
Methods and Practices. Pennsylvania, USA: Information Science Reference,
2008.
ERBSCHLOE, MICHAEL. Information Warfare: How to Survive Cyber
Attacks. USA: McGraw-Hill, 2001.
ESTADOS UNIDOS DA AMRICA. Executive Order 12356 of April 2, 1982
National Security Information. Washingtn, DC, USA: The White House, 1982.
ESTADOS UNIDOS DA AMRICA. Executive Order 12958 of April 17, 1995
Classified National Security Information. Washingtn, DC, USA: The White
House, 1995.
FARNSWORTH, ROGER.
CISCO Systems: Introduction to Information
Security. Apresentao de Palestra 302 da CISCO, 1998.

FRAHIM, JAZIB; HUANG, QIANG. SSL Remote Access VPNs. Indianapolis,
USA: CISCO Press, 2008.
GLADNEY, HENRY M. Preserving Digital Information. Heidelberg: Springer,
2007.
65
INGLATERRA,
CENTRAL
COMPUTER
AND
TELECOMMUNICATIONS
AGENCY (CCTA). IT Infrastructure Library: Service Support. Her Majestys

Stationery Office, 2000.
ITGI. COBIT 4.0: Objetivos de Control, Directrices Gerenciales, Modelos
de Madurez. Illinois, USA: IT Governance Institute, 2005.
ITGI. COBIT 4.1: Framework, Control Objectives, Management Guidelines,
Maturity Models. Illinois, USA: Information Tecnology Governance Institute,
2007.
ITGI; OFFICE OF GOVERNMENT COMMERCE. Aligning CobiT 4.1, ITIL V3
and ISO/IEC 27002 for Business Benefit. Illinois,USA: IT Governance
Institute, 2008.
JAJODIA, SUSHIL. Insider Attack and Cyber Security: Beyond the Hacker.
Virgnia, USA: Springer Science+Business Media, 2008
KARDEC, Alan; LAFRAIA, Joo. Gesto Estratgica e Confiabilidade. Rio de
Janeiro: QualityMark: ABRAMAN, 2002.
KLOSTERBOER, LARRY. Implementing ITIL Configuration Management.
Massachusetts, USA: IBM Press, 2008.
LAUBSCH, ALAN J. Risk Management: A Pratical Guide. USA: RiskMetrics
Group, 1999.
LAUREANO, MARCOS AURELIO PCHEK; MORAES, PAULO EDUARDO
SOBREIRA. Segurana como Estratgia de Gesto da Informao. Artigo
de Revista Economia & Tecnologia, v. 8, fascculo 3, pp. 38-44. 2005.
66
MANDARINI, MARCOS. Segurana Corporativa Estratgica. Barueri-SP:

Editora Monole, 2005.
NIZAMUTDINOV,
MARSEL.
Hacker
Web
Exploitation
Uncovered.
Pennsylvania, USA: A-LIST Publishing, 2005.

NUNES, MARCOS ALONSO. Custos no Servio Pblico. Braslia: ENAP,
1998.
PRENEEL, BART; LOGACHEV, OLEG A. Boolean Functions in Cryptology
and Information Security. NATO Science for Peace and Security Sub-Series
D: Information and Comunication Security - v.18. Amsterdam, Netherlands: IOS
Press, 2008.
PRICEWATERHOUSECOOPERS. Enterprise Risk Management - Integrated
Framework: Executive Summary. Committee of Sponsoring Organizations of
the Treadway Commission: COSO, 2004.
RANCE, STUART; HANNA, ASHLEY. ITIL 3: Glossary of Terms,Definitions
and Acronyms. OGC-Office of Government Commerce, 2007
RUD, OLIVIA PARR. Data Mining Cookbook: Modeling Data for Marketing,
Risk, and Customer Relationship Management. New York, USA: Wiley
Computer Publishing, 2001.
SALTZER, J. H. 1975. The Protection of Information in Computer Systems.
Em:
<http://web.mit.edu/Saltzer/www/publications/protection/index.html>
Acessado em fevereiro de 2009.

SMOLA, Marcos. Gesto da Segurana da Informao: Uma viso
Executiva. Rio de Janeiro: Ed. Campus, 2003.
67
SENFT, SANDRA; GALLEGOS, FREDERICK. Information Technology

Control and Audit. New York, USA: Auerbach Publications, 2009
SIMO, NUNO. 2008. As Ferramentas de Inteligncia Empresarial. Em:
<http://www.facil.com.br/website/int-bra/noticias.asp?show=4> . Acessado em
fevereiro de 2009.
STAMP, MARK. Information Security: Principles and Practice. Indianapolis,
USA: Wiley Publishing, 2008.
STEWART, JAMES MICHAEL; TITTEL, ED; CHAPPLE, MIKE. Certified
Information Systems Security Professional Study Guide. New Jersey, USA:
John Wiley & Sons Publication, 2008.
TABER, MARK. Maximum Security: Hacker's Guide to Protecting Your
Internet Site and Network. Kansas, USA: SAMS Publishing, 1998.
TIPTON, HAROLD F; KRAUSE, MICKI. Information Security Management
Handbook. New York, USA: Auerbach Publications, v.2, 2008.
TURCATO, LANCE M. Presentation: Integrating COBIT into the IT Audit
Process. San Francisco, USA: ISACA, 2006
VACCA,
JOHN
R.
Computer
Forensics:
Computer
Crime
Scene
Investigation. Massachusetts, USA: Charles River Media, 2005.

VOLONINO, LINDA; ANZALDUA, REYNALDO. Computer Forensics for
Dummies. New Jersey, USA: Wiley Publishing, 2008.
WESTERMAN, George; HUNTER, Richard. O Risco de TI. Convertendo
Ameaas aos Negcios em Vantagem Competitiva. Harvard Business
School Press, 2007. So Paulo: Ed. M.Books do Brasil, 2008.
68
WILES, JACK; ROGERS, RUSS. Techno Securitys Guide to Managing

Risks for IT Managers, Auditors, and Investigators.
Publishing, 2007.
USA: Syngress
69
NDICE
FOLHA DE ROSTO
AGRADECIMENTO
DEDICATRIA
RESUMO
METODOLOGIA
SUMRIO
INTRODUO
10
1.1.
O valor da informao e o tempo
10
1.2.
O valor da informao e o pblico-alvo
13
1.3.
Evoluo do valor da informao
14
1.4.
Segurana da informao agregando valor informao
15
1.5.
O custeio da Segurana de Informao
18
21
2.1.
Princpios de Segurana da Informao
21
2.2.
Qual a origem dos dados?
22
2.3.
Classificando os Nveis de Segurana
24
2.4.
Segregao de Funes e Redes de Comunicao
26
2.5.
Conscientizao da Importncia da Segurana da Informao
28
2.6.
Auditoria e Monitoramento da Informao
29
32
3.1.
Identificao das Vulnerabilidades e Ameaas
33
3.2.
Programas de Ataque Segurana da Informao
35
3.3.
Hackers e Crackers
36
3.4.
Sistemas de Verificao de Vulnerabilidades
37
3.5.
Principais Ameaas Segurana da Informao
38
CAPTULO IV INFRAESTRUTURA DE SEGURANA DA INFORMAO 42

4.1.
Criptografia Simtrica e Assimtrica
43
4.2.
Certificados digitais e a Infraestrutura de Chaves Pblicas
44
4.3.
Redes Privadas Virtuais - VPN
45
70
4.4.
Smartcards
47
4.5.
Firewall
47
4.6.
Ferramentas de Replicao e Backup
48
49
5.1.
Maturidade da Gesto de Riscos
50
5.2.
Atribuindo Responsabilidades para com os Riscos
53
5.3.
Gesto de Mudanas e Valor do Negcio
54
5.4.
Estimando os Riscos
56
5.5.
Relatrios Gerenciais
59
CONCLUSO
61
BIBLIOGRAFIA
62
NDICE
69
FOLHA DE AVALIAO
71
71
FOLHA DE AVALIAO
Nome da Instituio: Universidade Cndido Mendes Projeto A Vez do
Mestre
Ttulo da Monografia: Gesto de Riscos Aplicada a Sistemas de
Informao: Segurana Estratgica da Informao

Autor: Eduardo Antnio Mello Freitas
Data da entrega:
Avaliado por:
Conceito:

Gestao Riscos Freitas PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestao Riscos Freitas PDF

Enviado por

Direitos autorais:

Formatos disponíveis

GESTO DE RISCOS

APLICADA A SISTEMAS DE INFORMAO:

Eduardo Antnio Mello Freitas

Biblioteca Digital da Cmara dos Deputados

UNIVERSIDADE CANDIDO MENDES

Por: Eduardo Antnio Mello Freitas

UNIVERSIDADE CANDIDO MENDES

Cndido Mendes como condio prvia para a

Agradeo a Deus e a minha querida

Dedico este trabalho a minha esposa e

contexto, a segurana da informao possui posio estratgica tanto para a

Eles normalmente do maior

agilidade, versatilidade e disponibilidade da informao, contudo eles tambm

Este estudo foi elaborado com o apoio de pesquisa bibliogrfica em

Alm dos os recursos apresentados no curso e do material bibliogrfico

ITIL - biblioteca de infraestrutura de Tecnologia da Informao (TI)

PMBOK - conjunto de conhecimentos em gerenciamento de

COBIT gesto de Tecnologia da Informao (TI)

A ABNT traduziu os documentos ISO 27001 e ISO 27002 e os

Foram obtidas informaes a partir de empresas de consultoria e de

CAPTULO I - QUANTO VALE A INFORMAO

CAPTULO II O CONTROLE SOBRE A INFORMAO

CAPTULO III AMEAAS E VULNERABILIDADES

CAPTULO IV INFRAESTRUTURA DE SEGURANA DA INFORMAO 42

Inicialmente o conhecimento ficava restrito a pessoas ou grupo de

Em muitos casos o conhecimento ficou perdido na histria.

Atualmente, temos de filtrar o que relevante, til e realmente necessrio

A informao um ativo no tangvel da

organizao e assim como os ativos tangveis e financeiros, a organizao

Falhas e desastres em sistemas de informao podem levar a

grandes prejuzos e at falncia de uma empresa.

A segurana da informao no pode mais se ater

apenas ao nvel operacional, mas deve passar para os nveis estratgicos e

informao e devem ser devidamente includos no mtodo de custeio da

A preocupao com a anlise de riscos se fez observar no

resultado das pesquisa por segmento, onde as empresas foram solicitadas a

Comrcio: Poltica de segurana; Anlise de riscos no ambiente de TI;

Financeiro: Adequao s Normas, Regulamentaes e Legislao;

funcionrios; Anlise de riscos no ambiente de TI; Adequao a Normas,

Indstria: Anlise de vulnerabilidades; Anlise de riscos no ambiente de TI;

Servios: Anlise de riscos no ambiente de TI; Anlise de vulnerabilidades;

Legislao; Anlise de riscos no ambiente de TI; Plano de continuidade.

CAPTULO I - QUANTO VALE A INFORMAO

Quando pensamos em segurana juntamente nos vem a idia de que

O valor da informao e o tempo

O valor de uma informao ou conhecimento muda com o tempo e

alguns casos, a definio do tempo em que a informao deve ser mantida se

obrigatoriedade de guarda dos documentos por parte da empresa em

Pode-se alegar que se tratam de prazos para a guarda dos

deve ser considerado para todos os fins

Assim sendo, documentos assinados eletronicamente atravs de

Certificados Digitais emitidos pelas Autoridades Certificadoras no mbito da

armazenamento da informao, o que poder redundar em desgaste da equipe

pode ser um pouco mais lenta, porm a periodicidade do acesso justifica a

O tempo futuro o tempo entre a necessidade da

informao e a sua obteno. Se, por exemplo, se um sistema de informao

Ao tempo passado se costuma designar de

validade da informao; ao futuro, propriamente o valor da informao.

exigem um acompanhamento constante da performance e da garantia da

O valor da informao e o pblico-alvo

Diz um ditado que o conhecimento vem da informao, mas que a

Normalmente os dados pontuais do nvel operacional sero

agrupados, filtrados e analisados como informao do nvel ttico e que iro