UNIVERSIDADE FEDERAL RURAL DO PERNAMBUCO

UNIDADE ACADMICA DE SERRA TALHADA UAST

FRANCISCO BEZERRA DA SILVA

ARTIGO CIENTIFICO APRESENTADO NA MATRIA

DE METODOLOGIA DE EXPRESSO TCNICA E CIENTFICA
PROFESSOR: MAXIMILIANO W. C. DA CUNHA
OBJETIVO

Apresentar informaes de forma geral sobre a segurana da informao hoje e

sua legislao.

PALAVRAS CHAVES:

Segurana
Informao
Conscientizao
Legislao e Normas

2
INTRODUO

O presente trabalho tem por objetivo realizar uma anlise bibliogrfica e referencial, a
partir do conceito da segurana da informao, observando sua utilizao e os principais
riscos encontrados, enfatizando o mais frequente e suas consequencias para as
informaes que devem ser protegidas. Partindo do pressuposto que um estudo terico-
metodolgico fundamental no auxilio do desenvolvimento de aes decisivas.
necessrio ratificar que a partir do conceito e dos motivos que norteiam suas causas
pode-se encontrar a soluo para os entraves ocorrentes, proporcionando o
conhecimento do risco omo fator preventivo. Elucidar de forma clara e objetiva os
aspectos gerais da segurana da informao. Nortear-se-a por quatro tpicos principais,
os quais esto intrinsecamente ligados:consideraes histricas da necessidade de
proteo de informaes trocadas; conceitos fundamentais e evoluo da
conscientizao da proteo de informaes; surgimento e evoluo de textos modelos e
normas principais; e surgimento, evoluo e explanao da legislao competente a esse
segmento.
Histrico e Normas

Desde o incio da civilizao humana h uma preocupao com as informaes e com

os conhecimentos atrelados a elas. Inicialmente, esta ateno especial pode ser
observada no processo de escrita de alguns povos, como o caso da antiga civilizao
egpcia, na qual somente as castas "superiores" da sociedade tinham acesso aos
manuscritos da poca, e menos pessoas ainda ao processo
de escrita dos mesmos. Assim a escrita, por meio de hieroglifos do Egito antigo,
representa uma das vrias formas utilizadas pelos antigos de protegerem e, ao mesmo
tempo, perpetuarem o seu conhecimento.
Contudo, somente na sociedade moderna, com o advento do surgimento dos primeiros
computadores, houve uma maior ateno para a questo da segurana das informaes.
De incio, esta preocupao era ainda muito rudimentar, porm com o passar do tempo
este processo mudou.
A questo da segurana no mbito dos computadores ganhou fora com o surgimento
das mquinas de tempo compartilhado (time-sharing), as quais permitiam que mais de
uma pessoa, ou usurio, fizesse uso do computador ao mesmo tempo. O time-sharing
permitiu que vrios usurios pudessem acessar as mesmas informaes, contudo este
acesso no gerenciado poderia gerar efeitos indesejveis. Logo, nasce a necessidade da
implementao de ferramentas que minimizem problemas de compartilhamento de
recursos e informaes de forma insegura. Em outubro de 1967, nasceu nos Estados
Unidos o primeiro esforo para solucionar tal situao. Isto se deu com a criao de uma
"fora tarefa", que resultou em um documento entitulado "Security
Control for Computer System: Report of Defense Science Boad Task Force on computer
Security". Representou o incio do processo oficial de criao de um conjunto de regras
para segurana de computadores, que mais tarde chegaria ao seu cume com a publicao
da uma norma internacional de segurana da informao no ano de 2000. Porm, este
esforo no se deu somente por parte do Departamento de Defesa dos Estados Unidos
(United States Department of Defese DoD), tendo o apoio da Agncia Central de
Inteligncia (Central Inteligency Agency) que iniciou o desenvolvimento do primeiro
Sistema Operacional que implementasse as polticas de segurana do DoD, que foi o
ADEPT-50. Em outubro de 1972, J. P. Anderson escreve um relatrio tcnico
denominado: "Computer Security Technologs Planning Study", no qual ele descreve de
modo geral os problemas envolvidos no processo de se fornecer os mecanismos
necessrios para salvaguardar a segurana de computadores.
Este documento, combinado com os materiais produzidos por D.E. Bell e por L. J. La
Padula, e denominados "Secure Computer Systems: Mathematical Fundations",
"Mathemathical Model" e "Refinament of Mathematical Model", deram origem ao que
ficou conhecido como "Doctrine", esta por sua vez seria a base de vrios trabalhos
posteriores na rea de segurana. Paralelamente o Coronel Roger R. Schell, da Fora
Area americana, que na poca trabalhava
na Diviso de Sistemas Eletrnicos - EDS (Eletronic System Division - Air Force
Systems Command) iniciou o desenvolvimento de vrias tcnicas e experimentaes
que levariam ao surgimento do que
ficou conhecido como "Security Kernels", que nada mais do que os componentes
principais para o desenvolvimento de um Sistema Operacional "Seguro". Em 1977, o
Departamento de Defesa dos Estados Unidos formulou um plano sistemtico para tratar
do Problema Clssico de Segurana, o qual daria origem ao "DoD Computer Security
Initiative", que, por sua vez, desenvolveria a um "centro" para avaliar o quo seguro
eram as solues disponibilizadas. A construo do "Centro" gerou a necessidade da
criao de um conjunto de regras a serem utilizadas no processo de avaliao. Este
conjunto de regras ficaria conhecido informalmente como "The Orange Book", e o
Coronel Roger Shell foi o primeiro diretor deste centro. O processo de escrita do
"Orange Book", conhecido oficialmente como "Trusted Computer Evaluation Criteria -
DoD 5200.28-STD", teve o seu incio ainda no ano de 1978. No mesmo ano, a
publicao da primeira verso "Draft", ou rascunho, deste manual, entretanto somente
no dia 26 de dezembro de 1985 foi publicada a verso final e atual deste documento.
Graas s operaes e ao processo de criao do Centro de Avaliao e do "Orange
Book" foi possvel a produo de uma larga quantidade de documento tcnicos, que
representaram o primeiro
passo na formao de uma norma coesa e completa sobre a segurana de computadores.
A srie de documentos originados pelo esforo conjunto dos membros do centro
reconhecida pelo nome de "The Rainbow Serie", cujos documentos continuam sendo
atualizados largamente, tais documentos so
distribudos gratuitamente pela internet. Mesmo que o "Orange Book" seja considerado,
atualmente, um documento ultrapassado, podemos consider-lo como o marco inicial de
um processo mundial e contnuo de busca de um conjunto de medidas que permitam a
um ambiente computacional ser qualificado como seguro. Com a classificao realizada
pelo "Centro" ficou mais fcil comparar as solues fornecidas pela indstria, pelo
mercado e pelo meio acadmico de uma forma geral. Outro fator a ser lembrado que o
"Orange Book", dentro de sua formalidade, permite, de uma maneira simples e coesa,
especificar o que deve ser implementado e fornecido por um software, para que ele seja
classificado em um dos nveis de segurana pr-estipulados, permitindo assim que este
tambm seja utilizado como fonte de referncia para o desenvolvimento de novas
aplicaes e para o processo de atualizao ou refinamento de aplicaes j existentes e
em uso. A existncia de uma norma permite o usurio tomar conhecimento do quo
protegidas e seguras
estaro as suas informaes, possibilitando ao mesmo uma ferramenta que ir auxiliar a
escolha de uma soluo. Do ponto de vista dos profissionais tcnicos, eles passaro a
possuir uma ferramenta comum de trabalho, evitando assim que cada equipe tenha para
si um padro desconexo das demais equipes, dificultando aos clientes a melhor escolha.
O "The Orange Book" representou o marco "zero", do qual nasceram vrios padres de
segurana, cada qual com a sua filosofia e mtodos proprietrios, contudo visando uma
padronizao
mundial. Houve um esforo para a construo de uma nova norma, mais atual e que no
se detivesse somente na questo da segurana de computadores, mas sim na segurana
de toda e qualquer forma de informao. Este esforo foi liderado pela "International
Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado
desse esforo foi apresentado, que a norma internacional de Segurana da Informao
"ISO/IEC-17799:2000", a qual j possui uma verso aplicada aos pases de lngua
portuguesa, denominada "NBR ISO/IEC-17799".

Referencia bibliogrficas: www.nmap.org

Caractersticas Pontuais

Dentro da rea de segurana da informao lidamos com um contedo altamente tcnico

e conceitual, havendo assim a necessidade do conhecimento de diversas reas e assuntos
para uma compreenso e sucesso profissional aceitvel e a capacidade tcnica tem um
fator de importncia crucial.

Ativo:Qualquer coisa que manipule direta ou indiretamente uma informao.

Vulnerabilidade: Ponto pelo qual algum pode ser atacado, molestado ou ter
suas informaes corrompidas, alteradas ou comprometidas.

Ameaa: Algo que possa provocar danos segurana da informao, prejudicar

as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade, expondo ou
roubando determinadas informaes.

Risco: medido pela probabilidade de uma ameaa acontecer e o dano

potencial empresa. Existem algumas maneiras de se classificar o grau
de risco no mercado de segurana, mas de uma forma simples,
poderamos tratar como alto, mdio e baixo risco.

Confidencialidade: No significa informao isolada ou inacessvel a todos,

mas sim a informao que deve ser acessada a quem lhe de direito, pois o seu
acesso se dar apenas a pessoas especifica.
Integridade: Diferente do que pode parecer, o conceito de integridade est
ligado ao estado da informao no momento de sua gerao e resgate. Ela estar
ntegra se em tempo de resgate, estiver fiel ao estado original. A Integridade no
se prende ao contedo, que pode estar errado, mas a variaes e alteraes entre
o processo de gerao e resgate.
Disponibilidade: Este conceito tem despertado maior interesse depois que os
negcios passaram a depender mais da informao para serem geridos. Afinal,
de nada adiantar uma completa infra-estrutura tecnolgica, com recursos que
garantam a integridade e confidencialidade das informaes, se quando por
preciso acess-la, a mesma no estiver disponvel.

Autenticidade: Defini-se pela veracidade do emissor e receptor de informaes

trocadas. Existem algumas tecnologias que permitem identificar os emissores e
receptores de forma confivel, mesmo num lugar to incuo como o mundo
virtual.

Legalidade: Trata-se do embasamento legal as operaes que se utilizam das

tecnologias de informtica e telecomunicao.
 Referncia bibliogrfica: linuxsecurity.com e
securityinformationnews.wordpress.com

Legislao

A legislao competente segurana da informao desenvolveu-se tendo como base os

textos modelos e padres normatizadores. Adotou-se as referncias de normas j
instituidas por Orgos Oficiais, as quais criam o ambiente pertinente a aplicao da
legislao, desta maneira h a possibilidade de adequao mais afinada dos modelos
juridicos realidade do campo virtual.

A Internet trouxe uma novo pensamento, um novo comportamento no cenrio mundial.

o que segundo alguns juristas denominam de sociedade da informao, na qual existe
reflexo da necessidade da existncia de um marco jurdico que permita a livre
circulao de bens e servios, alm de garantir a
liberdade dos cidados. Na Unio Europia (UE) vrias batalhas esto sendo travadas
para se atingir um denominador comum nas polticas de novas tecnologias de
informao, a qual s pode ser assegurada por leis que
permitam a regulamentao de cada pas, a regulamentao entre empresas privadas e
pblicas e inclusive a regulamentao entre as pessoas fsicas. Como a ttulo de
exemplo o Conselho da Europa apresentou a ltima verso de um documento sobre
crimes virtuais, trata-se de um inventrio com sanses penais e um dispositivo inspirado
na legislao francesa. Existe uma diretiva europia sobre o comrcio eletrnico, a qual
reconhece a assinatura digital,
alm da proteo de dados pessoais, est ganhando dimenso internacional num esforo
para proteger o indivduo. Foi criada uma certificao digital comprovando que o
usurio estava realmente praticando determinado ato com sua prpria identidade. Trata-
se de uma verificao feita em um banco de dados especifco, com a aplicao da
Public Key Infrastructure (PKI). Teve incio em 1997 com conferncias e iniciativas no
comrcio eletrnico atravs da Organization for Economic Co-operation and
Development (OECD Organizao para Cooperao e Desenvolvimento Econmico e
da General Usage for International Digitally Ensured Commerce (GUIDEC).

A utilizao da chave pblica obedece aos seguintes padres internacionais: ISO 9796,
ANSI X9.31, ITU-T x509, PACS, SWIFT.

Pases que ainda esto criando as normatizaes e legislaes tendem a exigir tipos
especficos de tecnologias para seguirem padres j existente, desta maneira alcanam
uma homogeneidade e compatibilidade com os demais pases. Tomando-se tais
atititudes, cria-se um ambiente propicio a eliminao de obstculos para que os
certificados sejam reconhecidos em outras naes e as negociaes possam ter
realmente amparo judicial legal perante o comrcio internacional. De forma geral o
mundo est consciente da real importncia da elaborao de legislaes especficas a
tais ambientes e encontram-se tramites de projetos em diversos pases, havendo de tal
forma uma perspectiva altamente positiva para que num futuro breve tenhamos um
sistema legislador
especifico e eficiente.
CONCLUSO

O tema segurana da informao mostra-se atualmente altamente abrangente e

importante para a sociedade como um todo, congregando diversas reas da informtica.
Alia no s a gesto e planejamento da informao, alm de dispositivos sociais e
tecnolgicos, chegando inclusive ao mbito da legislao para que haja tipicidade
definida pela lei. Sendo extremamente complexo em um simples e bsico artigo
conseguir abranger tudo de informao sobre o tema, sendo assim, mostramos alguns
tpicos que achamos importantes e incitamos o leitor a buscar maiores informaes para
saciar e aprimorar sua sede de conhecimento neste assunto to intrigante e interessante
como a Segurana da Informao.

REFERNCIA BIBLIOGRFICA
http://nmap.org
http://www.modulo.com.br
http://linuxsecurity.com
http://securityinformationnews.wordpress.com
http://www.firewalls.com.br