Você está na página 1de 5

Contextualizao

A sempre crescente demanda por prestao de mais e melhores servios pblicos tornou
necessrio disponibilizar meios de processamento de dados e de comunicao para troca de
informaes, bem como para permitir a interaco entre as organizaes e os clientes.
(Fernandes & Rodrigues, 2011)

A auditoria cria condies tcnicas para investigar e emitir um juzo sobre as evidncias
encontradas, de modo a se antecipar ante os possveis riscos de violao de um patrimnio
precioso: os activos de informao. Esses activos correspondem quelas informaes e todos
os recursos associados que tm alto valor para o negcio pblico ou privado. Consideram-se
como activos de informao os processos organizacionais e processuais (procedimentos,
roteiros, actividades), itens fsicos (instalaes, equipamentos, cabeamento) e lgicos
(programas, sistemas, estruturas de dados), que devem ser auditados continuamente.

Segundo Fernandes & Rodrigues (2011), importante auditar a segurana da informao


porque ajuda a testar se os controles de segurana em prtica so eficientes e eficazes. Tal
evita exposies da organizao a riscos que podem provocar danos, se concretizados.

Numa organizao o incremento de controlo evita:

Manter registos de informao que esto errados;


Contabilizar informaes que no so aceitveis;
Interromper o negcio;
Decidir erroneamente sobre gerenciamento; e dentre outras razes
Fraudes.

No ambiente desregulado dos sistemas de informao expostos Internet, tambm im-


portante destacar que os controles evitam que a organizao esteja sujeita a ataque de
hackers.
Princpios bsicos da segurana de informao

Sendo que a segurana da informao busca proteger os activos de uma empresa ou


indivduo, ela baseia-se em de 4 princpios bsicos:
Integridade - propriedade que garante que a informao manipulada mantenha todas
as caractersticas originais estabelecidas pelo proprietrio da informao.
Confidencialidade - propriedade que limita o acesso a informao, sendo apenas
permitida s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da
informao;

Disponibilidade - propriedade que garante que a informao esteja sempre disponvel


para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da
informao;
Autenticidade - propriedade que garante que a informao proveniente da fonte
anunciada e que no foi alvo de mutaes ao longo de um processo;

Segurana Fsica

A segurana fsica tem como objectivo proteger equipamentos e informaes contra usurios
no autorizados, prevenindo o acesso a esses recursos. (Pinheiro, 2009)
A segurana fsica feita nas imediaes da empresa e leva em considerao a preveno de
danos causados por desastres locais ou ambientais, como terramotos, inundaes e incndios.
Alm disso, ela trata de mtodos para evitar o acesso de pessoas no autorizadas a reas em
que se encontram dados e informaes crticas da empresa.

Em suma a segurana fsica pode ser abordada sob duas formas:


Segurana de acesso - trata das medidas de proteco contra o acesso fsico no
autorizado;
Segurana ambiental trata da preveno de danos por causas naturais.
Segurana lgica

Esse tipo de proteco controla o acesso a aplicativos, dados, sistemas operacionais, senhas e
arquivos de log por meio de firewalls de hardwares e softwares, criptografia, antivrus e
outras aplicaes contra hackers e possveis invases s fontes internas da empresa. A
segurana lgica permite que o acesso seja baseado nas necessidades especficas de cada
usurio para realizar suas tarefas.

A segurana lgica compreende os mecanismos de proteco baseados em softwares:


Senhas
Listas de controlo de acesso - ACL
Criptografia
Firewall
Sistemas de deteco de intruso IDS IPS
Redes virtuais privadas VPN
A falta de segurana lgica numa organizao gera uma quebra dos princpios bsicos acima
citados

Resposta ao questionrio

1. Pessoalmente trabalho numa empresa de aluguer de equipamentos de construo e


construo de edifcios, as medidas/procedimentos de segurana fsica assim como lgica
no so seguidos na totalidade. Existem algumas medidas adoptadas pela empresa, mas
atendendo e considerando avanos que a tecnologia tem vivido nos ltimos anos, existem
varias formas de invadir em uma rede oque torna a nossa informao cada vez mais
vulnervel.

2.1. Requisitos que faltam para a garantia da segurana fsica na minha empresa:
A empresa no possui sistemas de proteco e vigilncia do tipo cameras.
No existe restrio (dentro da empresa), do acesso a computadores e impressoras que
possam conter dados confidenciais
2.2.Requisitos que faltam para a garantia da segurana lgica:

A empresa no possui detectores de intruso (Intrusion Detection Systems):


responsveis por analisar o comportamento de uma rede ou sistema em busca de
tentativas de invaso, importante ter esse requisito pois hoje em dia a prestao de
servios competitivo, ou seja com muitos concorrentes qualquer falha na segurana
nas informaes crucial.
A falta de um Firewall instalado, o termo Firewall uma analogia a uma parede corta-
fogo (traduo) que impedir o acesso a indevido a um sistema. Sendo que o firewall
deve ser instalado sempre em um ponto de entrada/sada da rede interna e este ponto
de deve ser nico, a falta deste facilita a invaso nos sistemas de informao da
empresa. (Magalhaes, 2002)
Os computadores usados no esto equipados com sistemas que atravs das suas
configuraes possibilitam o bloqueio de servios, portas, endereos, aumentando
assim a segurana. D-se como exemplo desses sistemas o Linux e o Free BSD que
normalmente so utilizados como servidores em uma rede com estaes Windows.

3. Caso Ministrio da agricultura

No meu entender o ministrio da Agricultura subestimou os riscos de ocorrncia de desastre,


(nesse caso o incndio) e no investiu em um PRD (Plano de Recuperao de Desastres).
Sabendo que muitas vezes imagina-se que por ter algo que garanta que os dados mais
importantes no se percam, como por exemplo, uma sala de Backup, no-breaks, dentre
outros, nunca ir ocorrer algo to catastrfico que venha a interromper sua funcionalidade.

No caso do Ministrio da Agricultura poderia at ter equipamentos ou salas de backup mas


eles ficavam no mesmo sitio ou seja num ambiente fsico, e desta forma havendo um incndio
no puderam garantir a recuperao de informao perdida.

A melhor forma de criar um plano de recuperao de desastres adquirir um ambiente seguro


e equipamentos redundantes e alternativos, aces essenciais para qualquer organizao que
trabalha com muitos dados, pois a possibilidade de que equipamentos comecem a falhar ou
que at mesmo sejam destrudos grande nesse caso foi um incndio. Seriam exemplos
destes: equipamentos das reas de voz e comunicao de dados, processamento de dados, de
gerao de energia, etc. Adquirir tambm um centro de emergncia para ser utilizado caso as
instalaes originais estejam sendo restabelecidas.

Bibliografia
Fernandes, R., & Rodrigues, R. W. (2011). Auditoria e Conformidade Seguranca da
Informacao. Brasil: CEGSIG.

Magalhaes, M. V. (2002). Seguranca de sistemas. Brasil: UFMG.

Pinheiro, J. M. (2009). Auditoria e Analise de Serguranca da Informacao . Brasil.