Universidade Estadual Paulista

Faculdade de Cincias
Campus de Bauru

Artigo Cientfico:
Segurana da Informao

Gustavo Dobkowski Longo

Artigo Cientfico apresentado na Disciplina de

Lngua Portuguesa I
do curso de graduao
Bacharelado em Sistemas de Informao
SEGURANA DA INFORMAO

OBJETIVO

Apresentar aspectos gerais da segurana e legislao da informao.

PALAVRAS CHAVES:
Segurana
Informao
Normas
Legislao Pontual

RESUMO
Analisando nosso presente momento histrico, nos encontramos com um complexo e, de certo
modo, eficiente mundo da informao. Entretanto como sendo complexo e quantitativo mostra-se ,
tambm com o decorrer do tempo e a evoluo das tecnologias, altamente inseguro. As preocupaes
com segurana da informao torna-se cada vez mais primordiais, levando empresas, executivos e
inclusive pessoas fsicas a obterem conhecimentos no mnimo de conceitos bsicos de segurana da
informao.

Com o decorrer do tempo foram criados textos modelos e referncias gerais para instrues e
precaues bsicas no ambiente tecnolgico, com a evoluo dessas atitudes criaram-se, atravs de
rgos e instituies pblicas normas mais especifcas, afim de padronizar o sistema de informao em
geral.

Posteriormente e/ou paralelamente a esta fase de normatizao, surgiu a elaborao e aplicao

de modelos legislativos especifcos aos sistemas de informao, levando em conta conceitos e modelos
da segurana da informao.
INTRODUO

Esse artigo vem elucidar de forma clara e objetiva os aspectos gerais da segurana da
informao. Nortear-se-a por quatro tpicos principais, os quais esto intrinsecamente ligados:
consideraes histricas da necessidade de proteo de informaes trocadas; conceitos fundamentais e
evoluo da concientizao da proteo de informaes; surgimento e evoluo de textos modelos e
normas principais; e surgimento, evoluo e explanao da legislao competente a esse segmento.

Histrico e Normas

Desde o incio da civilizao humana h uma preocupao com as informaes e com os

conhecimentos atrelados a elas. Inicialmente, esta ateno especial pode ser observada no processo de
escrita de alguns povos, como o caso da antiga civilizao egpcia, na qual somente as castas
"superiores" da sociedade tinham acesso aos manuscritos da poca, e menos pessoas ainda ao processo
de escrita dos mesmos. Assim a escrita, por meio de hierogrifos do Egito antigo, representa uma das
vrias formas utilizadas pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu
conhecimento.

Contudo, somente na sociedade moderna, com o advento do surgimento dos primeiros

computadores, houve uma maior ateno para a questo da segurana das informaes. De incio, esta
preocupao era ainda muito rudimentar, porm com o passar do tempo este processo mudou.

A questo da segurana no mbito dos computadores ganhou fora com o surgimento das
mquinas de tempo compartilhado (time-sharing), as quais permitiam que mais de uma pessoa, ou
usurio, fizesse uso do computador ao mesmo tempo.

O time-sharing permitiu que vrios usurios pudessem acessar as mesmas informaes, contudo
este acesso no gerenciado poderia gerar efeitos indesejveis. Logo, nasce a necessidade da
implementao de ferramentas que minimizem problemas de compartilhamento de recursos e
informaes de forma insegura.

Em outubro de 1967, nasceu nos Estados Unidos o primeiro esforo para solucionar tal situao.
Isto se deu com a criao de uma "fora tarefa", que resultou em um documento entitulado "Security
Control for Computer System: Report of Defense Science Boad Task Force on computer Security".
Representou o incio do processo oficial de criao de um conjunto de regras para segurana de
computadores, que mais tarde chegaria ao seu cume com a publicao da uma norma internacional de
segurana da informao no ano de 2000.
 Porm, este esforo no se deu somente por parte do Departamento de Defesa dos Estados
Unidos (United States Department of Defese DoD), tendo o apoio da Agncia Central de Inteligncia
(Central Inteligency Agency) que iniciou o desenvolvimento do primeiro Sistema Operacional que
implementasse as polticas de segurana do DoD, que foi o ADEPT-50.

Em outubro de 1972, J. P. Anderson escreve um relatrio tcnico denominado: "Computer

Security Technologs Planning Study", no qual ele descreve de modo geral os problemas envolvidos no
processo de se fornecer os mecanismos necessrios para salvaguardar a segurana de computadores.

Este documento, combinado com os materiais produzidos por D.E. Bell e por L. J. La Padula, e
denominados "Secure Computer Systems: Mathematical Fundations", "Mathemathical Model" e
"Refinament of Mathematical Model", deram origem ao que ficou conhecido como "Doctrine", esta por
sua vez seria a base de vrios trabalhos posteriores na rea de segurana.

Paralelamente o Coronel Roger R. Schell, da Fora Area americana, que na poca trabalhava
na Diviso de Sistemas Eletrnicos - EDS (Eletronic System Division - Air Force Systems Command)
iniciou o desenvolvimento de vrias tcnicas e experimentaes que levariam ao surgimento do que
ficou conhecido como "Security Kernels", que nada mais do que os componentes principais para o
desenvolvimento de um Sistema Operacional "Seguro".

Em 1977, o Departamento de Defesa dos Estados Unidos formulou um plano sistemtico para
tratar do Problema Clssico de Segurana, o qual daria origem ao "DoD Computer Security Initiative",
que, por sua vez, desenvolveria a um "centro" para avaliar o quo seguro eram as solues
disponibilizadas.

A construo do "Centro" gerou a necessidade da criao de um conjunto de regras a serem

utilizadas no processo de avaliao. Este conjunto de regras ficaria conhecido informalmente como
"The Orange Book", e o Coronel Roger Shell foi o primeiro diretor deste centro.

O processo de escrita do "Orange Book", conhecido oficialmente como "Trusted Computer

Evaluation Criteria - DoD 5200.28-STD", teve o seu incio ainda no ano de 1978. No mesmo ano, a
publicao da primeira verso "Draft", ou rascunho, deste manual, entretanto somente no dia 26 de
dezembro de 1985 foi publicada a verso final e atual deste documento.

Graas s operaes e ao processo de criao do Centro de Avaliao e do "Orange Book" foi

possvel a produo de uma larga quantidade de documento tcnicos, que representaram o primeiro
passo na formao de uma norma coesa e completa sobre a segurana de computadores. A srie de
documentos originados pelo esforo conjunto dos membros do centro reconhecida pelo nome de "The
Rainbow Serie", cujos documentos continuam sendo atualizados largamente, tais documentos so
distribudos gratuitamente pela internet.

Mesmo que o "Orange Book" seja considerado, atualmente, um documento ultrapassado,

podemos consider-lo como o marco inicial de um processo mundial e contnuo de busca de um
conjunto de medidas que permitam a um ambiente computacional ser qualificado como seguro.
 Com a classificao realizada pelo "Centro" ficou mais fcil comparar as solues fornecidas
pela indstria, pelo mercado e pelo meio acadmico de uma forma geral.

Outro fator a ser lembrado que o "Orange Book", dentro de sua formalidade, permite, de uma
maneira simples e coesa, especificar o que deve ser implementado e fornecido por um software, para
que ele seja classificado em um dos nveis de segurana pr-estipulados, permitindo assim que este
tambm seja utilizado como fonte de referncia para o desenvolvimento de novas aplicaes e para o
processo de atualizao ou refinamento de aplicaes j existentes e em uso.

A existncia de uma norma permite o usurio tomar conhecimento do quo protegidas e seguras
estaro as suas informaes, possibilitando ao mesmo uma ferramenta que ir auxiliar a escolha de uma
soluo. Do ponto de vista dos profissionais tcnicos, eles passaro a possuir uma ferramenta comum
de trabalho, evitando assim que cada equipe tenha para si um padro desconexo das demais equipes,
dificultando aos clientes a melhor escolha.

O "The Orange Book" representou o marco "zero", do qual nasceram vrios padres de
segurana, cada qual com a sua filosofia e mtodos proprietrios, contudo visando uma padronizao
mundial. Houve um esforo para a construo de uma nova norma, mais atual e que no se detivesse
somente na questo da segurana de computadores, mas sim na segurana de toda e qualquer forma de
informao.

Este esforo foi liderado pela "International Organization for Standardization (ISO). No final do
ano de 2000, o primeiro resultado desse esforo foi apresentado, que a norma internacional de
Segurana da Informao "ISO/IEC-17799:2000", a qual j possui uma verso aplicada aos pases de
lngua portuguesa, denominada "NBR ISO/IEC-17799".

Caractersticas Pontuais

Dentro da rea de segurana da informao lidamos com um contedo altamente tcnico e

conceitual, havendo assim a necessidade do conhecimento de diversas reas e assuntos para uma
compreenso e sucesso profissional aceitvel. Abaixo cita-se pontualmente e concisamente boa parte
desse contedo, tendo os termos agrupados conforme a correlao dos assuntos, e no em ordem
alfabtica:

Ativo:Qualquer coisa que manipule direta ou indiretamente uma informao.

Vulnerabilidade: Ponto pelo qual algum pode ser atacado, molestado ou ter suas
informaes corrompidas.
 Ameaa: Algo que possa provocar danos segurana da informao, prejudicar as aes da
empresa e sua sustentao no negcio, mediante a explorao de uma determinada
vulnerabilidade.

Risco: medido pela probabilidade de uma ameaa acontecer e o dano potencial empresa.
Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de
uma forma simples, poderamos tratar como alto, mdio e baixo risco.

Confidencialidade: No significa informao isolada ou inacessvel a todos, mas sim a

informao que deve ser acessada a quem lhe de direito.

Integridade: Diferente do que pode parecer, o conceito de integridade est ligado ao estado
da informao no momento de sua gerao e resgate. Ela estar ntegra se em tempo de
resgate, estiver fiel ao estado original. A Integridade no se prende ao contedo, que pode
estar errado, mas a variaes e alteraes entre o processo de gerao e resgate.

Disponibilidade: Este conceito tem despertado maior interesse depois que os negcios
passaram a depender mais da informao para serem geridos. Afinal, de nada adiantar uma
completa infra-estrutura tecnolgica, com recursos que garantam a integridade e
confidencialidade das informaes, se quando por preciso acess-la, a mesma no estiver
disponvel.

Autenticidade: Defini-se pela veracidade do emissor e receptor de informaes trocadas.

Existem algumas tecnologias que permitem identificar os emissores e receptores de forma
confivel, mesmo num lugar to incuo como o mundo virtual.

Legalidade: Trata-se do embasamento legal as operaes que se utilizam das tecnologias de

informtica e telecomunicao.

C.I.D.A.L.: conceito base de segurana da informao, o qual congrega os cinco itens

anteriormente citados: confidencialidade, integridade, disponibilidade, autenticidade e
legalidade.

PCN (Plano de Continuidade de Negcios): Uma srie de documentos que so elaborados

com o propsito de se definir que aes sero tomadas em situaes de crise e de
emergncia. Devem abordar desde a administrao de crise, contingncia operacional e
recuperao situao normal de funcionamento da empresa dentro do contexto do negcio
do qual ela faz parte.
Legislao

A legislao competente segurana da informao desenvolveu-se tendo como base os textos

modelos e padres normatizadores. Adotou-se as referncias de normas j instituidas por Orgos
Oficiais, as quais criam o ambiente pertinente a aplicao da legislao, desta maneira h a
possibilidade de adequao mais afinada dos modelos juridicos realidade do campo virtual.

A Internet trouxe uma novo pensamento, um novo comportamento no cenrio mundial. o que
segundo alguns juristas denominam de sociedade da informao, na qual existe reflexo da necessidade
da existncia de um marco jurdico que permita a livre circulao de bens e servios, alm de garantir a
liberdade dos cidados.

Na Unio Europia (UE) vrias batalhas esto sendo travadas para se atingir um denominador
comum nas polticas de novas tecnologias de informao, a qual s pode ser assegurada por leis que
permitam a regulamentao de cada pas, a regulamentao entre empresas privadas e pblicas e
inclusive a regulamentao entre as pessoas fsicas. Como a ttulo de exemplo o Conselho da Europa
apresentou a ltima verso de um documento sobre crimes virtuais, trata-se de um inventrio com
sanses penais e um dispositivo inspirado na legislao francesa.

Existe uma diretiva europia sobre o comrcio eletrnico, a qual reconhece a assinatura digital,
alm da proteo de dados pessoais, est ganhando dimenso internacional num esforo para proteger o
indivduo.

Foi criada uma certificao digital comprovando que o usurio estava realmente praticando
determinado ato com sua prpria identidade. Trata-se de uma verificao feita em um banco de dados
especifco, com a aplicao da Public Key Infrastructure (PKI). Teve incio em 1997 com conferncias
e iniciativas no comrcio eletrnico atravs da Organization for Economic Co-operation and
Development (OECD Organizao para Cooperao e Desenvolvimento Econmico e da General
Usage for International Digitally Ensured Commerce (GUIDEC).

A utilizao da chave pblica obedece aos seguintes padres internacionais: ISO 9796, ANSI
X9.31, ITU-T x509, PACS, SWIFT.

Pases que ainda esto criando as normatizaes e legislaes tendem a exigir tipos especficos
de tecnologias para seguirem padres j existente, desta maneira alcanam uma homogeneidade e
compatibilidade com os demais pases. Tomando-se tais atititudes, cria-se um ambiente propicio a
eliminao de obstculos para que os certificados sejam reconhecidos em outras naes e as
negociaes possam ter realmente amparo judicial legal perante o comrcio internacional.

De forma geral o mundo est consciente da real importncia da elaborao de legislaes

especficas a tais ambientes e encontram-se tramites de projetos em diversos pases, havendo de tal
forma uma perspectiva altamente positiva para que num futuro breve tenhamos um sistema legislador
especifico e eficiente.
CONCLUSO
O tema segurana da informao mostra-se atualmente altamente abrangente, congregando
diversas reas da informtica. Alia gesto e planejamento da informao, alm de dispositivos sociais e
tecnolgicos, chegando inclusive ao mbito da legislao.

Desta forma mostra-se extremamente complexo em um simples artigo conseguir abranger tudo,
sendo assim, mostramos alguns tpicos e incitamos o leitor a buscar maiores informaes para saciar
sua sede de conhecimento neste assunto to intrigante e interessante como a Segurana da Informao.

SOBRE O AUTOR:
Gustavo Dobkowski Longo Diretor de Suporte e Hardware da empresa Firewalls, sendo
conhecedor de Linux h dois anos e especialista em cabeamento estruturado, sendo integrador oficial
dos produtos 3M (VIP Volition Integrator Professional).
Para dvidas, crticas e sugestes, contacte-o atravs do email: gustavo@firewalls.com.br.
Informaes sobre a empresa Firewalls podem ser obtidas atravs do site:
http://www.firewalls.com.br.

REFERNCIA BIBLIOGRFICA

http://www.modulo.com.br
http:/www.firewalls.com.br