Você está na página 1de 183

Fundamentos de

Segurança da Informação
Rodrigo Gomes Lobo de Faria
Rodrigo Gomes Lobo de Faria

FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Belo Horizonte
Janeiro de 2016
COPYRIGHT © 2016
GRUPO ĂNIMA EDUCAÇÃO
Todos os direitos reservados ao:
Grupo Ănima Educação

Todos os direitos reservados e protegidos pela Lei 9.610/98. Nenhuma parte deste livro, sem prévia autorização
por escrito da detentora dos direitos, poderá ser reproduzida ou transmitida, sejam quais forem os meios
empregados: eletrônicos, mecânicos, fotográficos, gravações ou quaisquer outros.

Edição
Grupo Ănima Educação

Vice Presidência
Arthur Sperandeo de Macedo

Coordenação de Produção
Gislene Garcia Nora de Oliveira

Ilustração e Capa
Alexandre de Souza Paz Monsserrate
Leonardo Antonio Aguiar

Equipe EaD
Conheça o
Autor
Graduado em Ciência da Computação pela
PUC-MG, pós-graduado em Tecnologia e
Segurança de Redes pela UNA-MG, MBA em
Gestão Estratégica de Projetos pela UNA-MG.

Consultor e Desenvolvedor de Sistemas,


Processos e Rotinas de controle de Contact
Center em várias empresas do Brasil,
gerenciando projetos e implantação destes
sistemas.

Especialista em Sistemas de Controle


Imobiliário, prestando consultoria e
gerenciando projetos de automatização em
empresas neste setor.

Professor de disciplinas na área de Tecnologia


da informação.
Apresentação
da disciplina
O assunto “Segurança da Informação” desperta o interesse em todas
as esferas e vários cargos empresariais, sejam executivos, gerentes e
técnicos. O motivo principal é que ela abrange várias áreas (física, lógica,
infraestrutura, aplicativos e treinamento), sendo que cada uma possui
seus respectivos riscos, ameaças, controles e soluções que podem
reduzir o nível de exposição da empresa.

Frequentemente, associamos a segurança da informação a hackers e a


vulnerabilidades. Muitas vezes entendemos que basta um bom antivírus
e um firewall eficiente e a empresa estará protegida. É obvio que são
questões importantes, mas a Segurança da Informação é muito mais
abrangente.

Um Security Officer (Gestor de Segurança da Informação) deve avaliar


e gerenciar diversos itens sejam: tecnologia, pessoas, processos e
ambiente. Obviamente cada um desses pontos está ligado a muitas
iniciativas, exemplo, Normas de controle de Acesso (Físico e Lógico),
Criptografia, Segurança da Rede, treinamentos etc

Veremos que falhas na segurança com o consequente acesso indevido


podem provocar perdas financeiras e de imagem mercadológica o que
se traduz em maiores perdas.
UNIDADE 1  003
Introdução e conceitos básicos de segurança da informação 004
Segurança da Informação  006
Princípios Básicos da Segurança da Informação  009

UNIDADE 2  022
Segurança em redes de computadores, sistemas operacionais
e comercio eletrônico 023
A Importância da Segurança nos Sistemas Operacionais
e Redes de Computadores  025

UNIDADE 3  048
Estudo das normas ISO 27000 – Aplicação de normas, padrões
internacionais e certificação 049
Objetivos e funções - ISO/IEC 27000  051

UNIDADE 4  068
Estudo das normas ISO 27005 e ISO 31000 - Aplicação de
normas e padrões internacionais 069
Conceitos associados  071
Normas ISO / IEC 27005 078
ISO 31000 - Princípios da Gestão de Riscos, princípios e diretrizes 080
UNIDADE 5  093
Estudo da norma ISO 22301 - Aplicação de normas e
padrões internacionais 094
A Norma ISO 22301  096

UNIDADE 6  113
Criptografia, Certificações digitais, Assinatura digital 114
Criptografia  116
Assinaturas digitais 125
Certificação digital 126

UNIDADE 7  133
Segurança em Sistemas da Informação 134
Modelos e mecanismos de segurança dos Sistemas de Informação 144

UNIDADE 8  158
Identificação e Solução de Problema Reais 159
Teste de Invasão e Ferramentas de Segurança 161
Revisão  171

REFERÊNCIAS  175
Introdução e
conceitos básicos
de segurança da
informação
Introdução

As Organizações têm se tornado mais rápidas e eficientes na troca


• Segurança da
de informações e tomadas de decisões estratégicas. Isto se deve, Informação
em grande parte, a evolução da Tecnologia da Informação. • Princípios
Básicos da
Segurança da
Porém, este novo ambiente tornou-se mais complexo, heterogêneo e
Informação
distribuído, dificultando a gestão de questões relativas à segurança
da informação. As ameaças aos ambientes computacionais, tanto
físicos quanto lógicos, passam por uma grande evolução, tanto
em quantidade de equipamentos e bytes transmitidos quanto
em formato. Portanto, novos vírus e formas de ataque, internos e
externos, surgem a cada dia, trazendo riscos às informações das
empresas e/ou de parceiros que estas representem. Sendo assim,
as estatísticas mostram que as fraudes em Informática são um
problema crescente e em escala mundial, exigindo o investimento
de muitos recursos financeiros das organizações.

A evolução é parte inquestionável da vida e o homem é o maior


resultado disto. No campo da TI (tecnologia da informação), a maior
evolução é a Internet.
Desde o seu aparecimento, ocorreram mudanças de paradigmas o
que permitiu a expansão da conectividade e acessibilidade.

Isto influenciou drasticamente como as empresas administram


seus negócios.

Segundo Sêmola (2003), “os computadores tomam conta dos


ambientes de escritório, quebram o paradigma e acesso local
à informação, e chegam a qualquer lugar do mundo através
dos – cada vez mais portáteis –notebooks e da rede mundial de
computadores: a Internet.” (SÊMOLA, 2003, p.3).

Em função disto, a segurança da informação teve que evoluir e saiu


do nível técnico, reservado à TI, onde a única preocupação era ter
um bom antivírus, um firewall bem configurado.

Com a evolução, houve a necessidade de se pensar também no


nível da gestão, investindo e desenvolvendo os processos e as
pessoas. Os aspectos relativos à implantação de uma eficiente
Política de Segurança de Informação vêm evoluindo muito nos
últimos anos. Os procedimentos de segurança da informação têm
evoluído bastante desde o início quando a segurança se resumia à
parte física e a backups. Atualmente, esta segurança é composta de
políticas, padrões, treinamentos, estratégias, softwares e hardwares.

Veremos aqui as mais diversas formas de ataque, desde as mais


simples e visíveis, até as mais complexas e ocultas, no que diz
respeito ao acesso indevido às informações.

Compreenderemos que a segurança da informação engloba vários


pontos onde cada um contribui de uma forma com o objetivo de
manter sistemas, bancos de dados e conhecimentos (tácitos e/ou
explicitas) protegidos.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Segurança da
Informação
Com o aumento da utilização de sistemas de informação,
tecnologia digital e comércio eletrônico, as empresas se viram
obrigadas a pensar na segurança de suas informações para evitar
golpes, acessos não autorizados e ameaças. Assim, essa medida
surgiu para reduzir possíveis ataques aos sistemas empresariais e
domésticos.

A segurança da informação é uma maneira de proteger os sistemas


contra diversos ataques, preservando documentações e arquivos.

A segurança da
Segundo Anna Carolina Aranha, a questão da segurança da informação é uma
informação tornou-se um tema importante na sociedade maneira de proteger
os sistemas contra
contemporânea sendo uma forte aliada de grandes empresas
diversos ataques,
que armazenam e processam em computadores os segredos de preservando
seus negócios; bem como de pessoas que trocam informações documentações
e arquivos.
eletrônicas de caráter pessoal. Todos nós acreditamos que os
dados confiados às máquinas sejam mantidos confidenciais,
intactos e acessíveis apenas às pessoas autorizadas.

Manter os sistemas de computador livre de ataques não é só uma


questão técnica.

Uma regulamentação mais rígida, a educação, a conscientização e


os treinamentos dos usuários tornam o mundo digital mais seguro.

Curiosamente, a questão da segurança da informação é quase


tão remota quanto à humanidade. Da mesma forma, também são
antigas as tentativas de “desmembrar” e ler os códigos secretos
contidos em mensagens.

6
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Colher e ou processar informações de terceiros, sem autorização


sempre constitui um crime, porém, o objetivo do invasor nem
sempre é conseguir algum ganho financeiro. Várias vezes a simples
curiosidade ou a vontade de quebrar regras e padrões que estimula
os infratores. Entender essa peculiaridade é importante tanto para
as organizações como para os cidadãos comuns que se preocupam
com o assunto. Trata-se de um problema cultural/social e não
somente de programação, técnico ou de infra-estrutura de redes e/
ou comunicação.

Mesmo que atualmente exista um bom nível de consciência das


empresas e consumidores em relação aos perigos dos vírus e dos
ataques de hackers, há situações em que as ações para evitar os
problemas não acontecem como deveriam. É bastante frequente
ver empresas que adquirem (por compra ou locação) equipamentos
Os programas
e programas de última geração, porém não os configuram de computador são
adequadamente, ou cometem erros simples na atualização e como equipamentos,
permissão de acesso. Os programas de computador são como pois precisam
de revisões,
equipamentos, pois precisam de revisões, manutenções e cuidados
manutenções e
constantes. Ter um conjunto Software/Hardware de última geração cuidados constantes
e não cuidar adequadamente é o mesmo que um policial comprar
uma arma e deixá-la sem munição. Segundo pesquisas, mais de
80% dos problemas de segurança seriam evitados se os programas
e o hardware estivessem devidamente atualizados e configurados.

Ao divulgar um arquivo de correção, com o objetivo de melhorar a


segurança de determinado produto, a empresa fica exposta, pois,
os hackers imediatamente tentam decodificá-lo para procurar onde
esta a vulnerabilidade que foi corrigida. A partir daí, podem tentar
lançar ameaças contra os computadores não atualizados. Ou seja,
cada atualização é necessária para prevenir um risco em potencial.
Obviamente, para um hacker atento, pode ser uma dica que lhe
estimule explorar o problema.

7
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Especialistas em crimes cibernéticos afirmam que os delitos


virtuais crescem em uma velocidade maior que os convencionais.
Além de mais preparados tecnologicamente, os hackers estão
sendo mais ousados: usam da Engenharia Social para conseguir
efetivar os ataques. Eles se utilizam de mensagens eletrônicas
(e-mails e links) com atrativos, como propostas de trabalho, falsas
atualizações bancárias e até a simulação de e-mails de pessoas
conhecidas. Ao acessar um desses e-mails ou links, o usuário
contamina equipamentos desprotegidos ou mal protegidos. Desta
forma, fica cada vez mais difícil identificar as ameaças em um
ambiente informatizado.

O Brasil é um dos países mais expostos aos problemas de Especialistas em


crimes cibernéticos
segurança da informação. Isto ocorre, pois o crescimento na
afirmam que os
utilização da internet e suas vantagens é muito maior do que delitos virtuais
a melhoria e aplicação dos processos de segurança. Segundo crescem em uma
relatório da Conferência de Comércio e Desenvolvimento das
velocidade maior que
os convencionais.
Nações Unidas (Unctad), o Brasil tem a segunda Internet mais
vulnerável do mundo, perdendo apenas para os Estados Unidos. A
solução não é algo simples e passa por fatores como:

• maior regulamentação por parte do governo;

• estímulo constante e crescente à empresas de tecnologia


no sentido de produzirem recursos de segurança mais
poderosos;

• educação, conscientização e treinamento por parte dos


usuários, sejam técnicos ou leigos.

Desta forma, a utilização de todas as potencialidades do mundo


digital será plena com menor risco a integridade, disponibilidade e
confidencialidade das informações.

8
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Princípios Básicos
da Segurança da
Informação
Disponibilidade

É a garantia de que os sistemas e as informações de um


equipamento e/ou banco de dados estarão disponíveis quando
necessário.

Confidencialidade
É a capacidade de controlar quem pode acessar as informações e
em que condições. Assegurar que a informação só será acessível
por pessoas explicitamente autorizadas, incluindo até IP de origem,
datas e horários para o acesso, identificação pessoal ou biométrica.
Desta forma, é possível minimizar o acesso não autorizado
aumentando a segurança.

Autenticidade
Permite a verificação da identidade de um usuário seja interno ou
agente externo a um sistema ou empresa. Este conceito também
se aplica a confirmação de que uma informação é autêntica ou
verdadeira.

Integridade
Princípio em que as informações e dados serão armazenados e
posteriormente acessados em sua forma original, sem alterações
realizadas por terceiros, exceto com a devida autorização.

9
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Mesmo manipulada, a informação deve manter todas as


características originais estabelecidas pelo seu proprietário.

Auditoria
É a possibilidade de rastrear a informação pelos vários passos pelos
quais a informação “transitou”, bem com o processamento que ela
sofreu, identificando os locais, horários e usuários de cada passo.
Assim é possível avaliar o histórico dos eventos em um sistema e
determinar como ocorreu a falha de segurança.

É possível também, através da análise dos logs, identificar os


usuários que tiveram o contato com a informação.
É possível também,
através da análise
Privacidade dos logs, identificar
os usuários que
É a limitação do acesso às informações. É a garantia à preservação. tiveram o contato
com a informação.

Legalidade
É a garantia de legalidade de uma informação de acordo com a
legislação vigente.

Não Repúdio (Irretratabilidade –


não pode ser desfeito)
Não há como “dizer não” sobre um sistema que foi alterado ou
sobre um dado recebido, ou seja, um usuário não poderá negar
falsamente a autoria de uma informação.

10
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Ameaças
Neste caso, a ameaça ocorre quando há uma ação sobre um
sistema ou sobre um processo utilizando uma determinada
vulnerabilidade e causa um problema ou consequência, tais como:
divulgação indevida, roubo de identidade, prejuízo financeiro e
prejuízo de visibilidade.

As ameaças podem ser:

• De origem natural: ligados a eventos da natureza, como


terremotos, tornados ou enchentes;

• Involuntárias: erro humano causado por pessoas


desconhecidas ou pela falta de energia elétrica;

• Voluntárias: em que hackers acessam sistemas com o


intuito de disseminar de causar danos.

Tipos de Ameaça

• Ameaça Inteligente: Ocorre quando o invasor possui


capacidade técnica e operacional para fazer uso das
vulnerabilidades do sistema.

• Ameaça de Análise: Ocorre após um período de análise


onde são descobertas as possíveis vulnerabilidades e as
respectivas consequências da ameaça a um sistema.

Ataques

Um ataque pode ocorrer a partir de um furto a um sistema de


segurança com o objetivo intuito de invadir sistemas, bancos de
dados e serviços. Ele pode ser dividido em:

11
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• Ativo: onde os dados são alterados.

• Passivo: onde os dados são liberados.

• Destrutivo: onde os dados são destruídos ou o acesso a


eles fica restrito.

• Os ataques ocorrem somente em sistemas vulneráveis.


Neste caso, a vulnerabilidade pode ser física, lógica ou
engenharia social.

Tipos de Ataque

Cavalo de Troia:

O cavalo de troia ou trojan horse é um programa malicioso e vem


disfarçado em outro software. Baixar programas da Internet sem
o devido cuidado é uma ótima maneira de instalar um cavalo de
O cavalo de troia ou
troia. Estes programas instalam o cavalo de troia, que abre uma trojan horse é um
porta do equipamento e que será utilizada para invasão. Eles se programa malicioso
e vem disfarçado
dedicam a roubar senhas e outros dados sigilosos.
em outro software.

São exemplos de trojans: NetBus, Back Orifice e SubSeven.

Quebra de Senha

O cracker é um programa usado pelo hacker para descobrir uma


senha de acesso a um sistema.

O método mais comum consiste em testar sucessivamente várias


sequencias de palavras até encontrar a senha correta.

Denial Of Service (DOS)

Este ataque consiste na sobrecarga de servidor com uma


quantidade excessiva de solicitações de serviços. Há variações,
como os ataques distribuídos de negação de serviço (DDoS).

12
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Neste caso, o invasor ataca muitos computadores e instala neles


um software oculto, como o Tribal Flood Network ou o Trinoo. Estes
programas, quando acionados, bombardeiam o servidor-alvo com
solicitações e este, por sua vez, fica inoperante, em função do
excesso de solicitações.

Mail Bomb

É a técnica de sobrecarregar um computador com e-mails.


Normalmente, o agressor usa um programa para gerar um fluxo
contínuo de e-mails e envia-los uma determinada caixa postal. A
sobrecarga tende a provocar negação de serviço no servidor de
e-mail (mail server). Hoje, o phreaking
é uma atividade
elaborada e que
Phreaking
poucos hackers
dominam.
É o uso não autorizado de linhas telefônicas, fixas ou celulares. Com
o aumento da segurança por parte das companhias telefônicas,
essas técnicas foram se tornando mais complexas e inteligentes.
Hoje, o phreaking é uma atividade elaborada e que poucos hackers
dominam.

Scanners de Portas

Eles são programas que buscam portas TCP abertas, no


computador, por onde é efetuada a invasão. Uma forma de evitar
que o usuário perceba a varredura é testar as portas por vários dias
e em horários aleatórios.

13
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Smurf

É outra forma de ataque de negação de serviço. O agressor envia


uma rápida sequência de solicitações de Ping a um endereço de
broadcast, usando spoofing (técnica de se fazer passar por outro
equipamento). O cracker direciona as mensagens do servidor de
broadcast para o endereço da vítima. Assim o alvo é “derrubado”
pelo excesso de solicitações de Ping.

Sniffing

O sniffer é um programa ou dispositivo que analisa o tráfego da rede.


Eles são muito úteis no gerenciamento de redes, porém, nas mãos O sniffer
de hackers permitem roubar senhas e outras informações sigilosas é um programa
ou dispositivo
não criptografadas.
que analisa o
tráfego da rede.
Spoofing

É a técnica de se fazer passar por outro equipamento da rede com o


objetivo de acessar um sistema. Há variantes, como o spoofing de IP.
O processo consiste em usar um programa que altere o cabeçalho
dos pacotes IP. Desta forma, eles parecem vir de outra máquina.

Scamming

Esta técnica tem o objetivo de colher senhas e números de contas


bancárias através de e-mails falsos oferecendo serviços, simulando
a página do banco.

14
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Controles de Segurança
Autenticar e Autorizar

Autorizar é permitir ou negar acesso a um sistema utilizando


controles de acesso com o objetivo de criar perfis. Com esses perfis,
é possível definir, por exemplo, as tarefas que serão realizadas por
determinado usuário ou grupo de usuários.

Autenticar é a comprovação do acesso de um usuário a um sistema,


ou seja, se está sendo feito por ele mesmo Ela é importante, pois,
limita o controle de acesso e autoriza somente determinadas
pessoas acessarem uma informação.

Processo de Autenticação
Se você
Identificação positiva: Está relacionado a uma informação. Ocorre compartilha seu
computador com
quando o usuário possui uma senha de acesso.
outras pessoas,
crie usuários com
Identificação proprietária: O usuário possui algum instrumento privilégios normais.
durante a etapa de identificação, como um cartão ou um eToken.

Identificação Biométrica: Neste caso, o usuário se identifica através


de uma parte do corpo, como impressão digital, Iris etc.

Em relação às senhas, uma dica importante é que você sempre


crie senhas que possuam pelo menos oito caracteres, com letras,
números e símbolos. Não utilize seu nome, sobrenome, nomes de
animais de estimação, placas de carros, números de telefones ou
datas que possam tenham relação com você. Procure alterá-las
com frequência e faça com que sejam diferentes para cada serviço.
Se você compartilha seu computador com outras pessoas, crie
usuários com privilégios normais.

15
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Vírus
Prevenção:

• Instale e atualize, de preferência diariamente, um programa


de antivírus confiável, assim como as assinaturas deles.

• Configure o antivírus para verificar os arquivos obtidos pela


Internet, discos rígidos (HDs) e unidades removíveis, como
CDs, DVDs e pen drives;

• Desabilite o “auto-execução” de arquivos anexados às


mensagens do seu programa de leitura de e-mails;

• Não execute ou abra arquivos recebidos por e-mail ou por


outras fontes, mesmo que venham de pessoas conhecidas. Não utilize, no
Caso seja necessário abrir o arquivo, certifique-se que ele caso de arquivos
foi analisado pelo programa antivírus; comprimidos,
o formato
• Utilize, na elaboração de documentos, formatos menos executável.
suscetíveis à propagação de vírus, tais como RTF, PDF ou
PostScript;

• Não utilize, no caso de arquivos comprimidos, o formato


executável. Utilize o próprio formato compactado, como,
por exemplo, Zip ou Gzip.

Worms, Bots e Botnets


Prevenção:

• Siga todas as recomendações para prevenção contra vírus;

• Mantenha o sistema operacional e demais softwares


sempre atualizados;

• Aplique todas as correções de segurança (patches)


disponibilizadas pelos fabricantes para corrigir eventuais
vulnerabilidades existentes nos Softwares utilizados;

16
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• Instale um firewall pessoal, que em alguns casos pode


evitar que uma vulnerabilidade existente seja explorada ou
que um worm ou bot se propague.

Incidente de Segurança
e Uso Abusivo na Rede
O incidente de segurança está relacionado a problemas ligados aos
sistemas de computação ou às redes de computadores. Pode ser
identificado por acessos não autorizados, mudanças no sistema
sem prévia autorização ou sem conhecimento da execução,
tentativas de acesso aos dados de um sistema etc. O incidente de
segurança está
relacionado a
O uso abusivo na rede está ligado a características específicas problemas ligados
como envio de spams e correntes, distribuição de documentação aos sistemas
protegida por direito autoral, uso indevido da internet para ameaçar de computação
ou às redes de
e difamar pessoas, ataques a outros computadores etc.
computadores.

Registros de Eventos (logs)


Os logs são registros de tarefas realizados por programas de
computador. Normalmente os firewalls identificam estes logs. Os
logs podem ser detectados no momento em que um invasor tenta
acessar um computador e é impedido pelo firewall. A Verificação
periódica dos logs do firewall e dos IDSs que estejam instalados
no computador é de extrema importância, pois pode evitar ou
minimizar as tentativas de ataques.

17
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Notificações de Incidentes
Consiste em informar, por meio automatizado ou manual, o ataque
a um sistema sejam por um programa ou invasor mal intencionado.

A informação deve conter logs completos com data, horário, fuso


horário, endereço IP de origem, portas envolvidas, protocolo
utilizado e qualquer outra informação que tenha feito parte da
identificação do incidente.

Proposição:

Você foi convidado a elaborar um laudo e propor uma solução de melhoria

para uma empresa na seguinte situação:

• Possui 8 trabalhadores sendo 2 diretores, 1 gerente e 5

operadores de telemarketing.

• Possui 1 PC desktop com configuração para servidor de arquivos,

5 PC desktop, 3 notebooks e 1 impressora com conexão wi-fi.

• Possui 1 roteador e todos os equipamentos se conectam à rede,

via wi-fi.

Além deste cenário, você recebeu as fotos abaixo do ambiente de trabalho.

FIGURA 1 - CPD

Fonte: www.shutterstock.com

18
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 2 - Ponto de Atendimento e sala das PAs

Fonte: www.shutterstock.com

FIGURA 3 - Roteador e conexões

Fonte: www.shutterstock.com

19
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Revisão
A segurança da informação é uma ferramenta fundamental para
todas as organizações. Isto porque a informação bem elaborada
e bem estruturada e o conhecimento disseminado em todos os
setores representa o maior patrimônio que uma empresa possui.

Por isto, é de extrema importância que esta informação seja muito


bem protegida, levando em conta todos os itens que a compõe.

Sem a preservação desses fatores, não podemos afirmar que há


esta garantia.

FIGURA 4

Segurança da Informação
confidencialidade

Disponibilidade

Autenticidade

Não repúdio
Integridade

Negligenciar qualquer um destes pilares é não levar em conta o


grau de importância dos dados e do conhecimento. Isto gera o risco
de perdas financeiras, além de lesar a imagem no mercado.

Você se sentiria confortável em utilizar os serviços de um banco


que sempre é alvo de hackers?

E este banco, por sua vez, o que faz com os prejuízos acumulados
com os ataques?

20
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Por isto devemos ter em mente que investimentos em segurança


da informação são sempre bem vindos, pois minimizam os riscos
das perdas nos mais diversos pontos.

Abaixo estão links e livros que podem ser consultados a respeito do tema:

• DOCUMENTÁRIO Hackers Completo Dublado. Postado por:

Lucas –Ezystep. (49 min 04 seg.): son. Color. Port. Disponível em:

<https://www.youtube.com/watch?v=g1FmSAqNg6U> Acesso

em: 15 jan. 2016.

• ENTREVISTA sobre segurança de redes sem fio wi-fi - www.

defhack.com.brDisponível. Postado por: Marcos Flávio Araújo

Assunção. (11 min 57 seg.): son. Color. Port. Disponível em:

<https://www.youtube.com/watch?v=bwtRBczONI4> Acesso em:

15 jan. 2016.

• PIONTI, Rodrigo. Política de segurança da informação –

conceitos, características e benefícios. Portal Profissionais TI (on-

line). Disponível em: <http://www.profissionaisti.com.br/2013/08/

politica-de-seguranca-da-informacao-conceitos-caracteristicas-e-

beneficios/> Acesso em: 15 jan. 2016.

• REVISTA ESPAÇO ACADÊMICO. nº42, 2004. Disponível em:

<http://www.espacoacademico.com.br/042/42amsf.htm>

Acesso em: 15 jan. 2016.

21
unidade 1
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

22
unidade 1
Segurança
em redes de
computadores,
sistemas
operacionais
e comércio
eletrônico • A Importância
da Segurança
nos Sistemas
Operacionais
e Redes de
Computadores

Introdução

Sistemas operacionais são softwares ou programas (ou um conjunto


deles) que permitem ou proporcionam a comunicação do hardware
com o “mundo exterior” além de gerenciar os recursos deste
equipamento. Existem vários tipos de SO, cada um adequado ao tipo
de equipamento que irá gerenciar. Podem ser mono ou multiusuário,
mono ou multitarefa, funcionar em rede ou com acesso local. Sendo
assim, temos algumas questões a avaliar:

1. Um Sistema Operacional pode ser contaminado ou


atacado?

2. Se sim, o que fazer para prevenir um ataque?

3. Se um ataque ocorrer, como resolver?


4. Há alguma forma eficiente de proteger uma rede de
equipamentos dos ataques?

5. Por que o termo “equipamentos” e não simplesmente


“computadores”?

Muitas vezes este tema não é tratado com a devida importância.


Isto porque vários profissionais, por associarem este assunto a
situações simples do cotidiano, se esquecem que os temas fazem
parte de um conjunto de estruturas complexas que servem às
organizações e seus usuários, sejam eles internos (funcionários) ou
externos (parceiros de negócios).

Por isto é importante a devida atenção e compreensão dos


conceitos e da forma como se relacionam. Veremos a seguir os
principais conceitos e estabelecer uma relação entre eles, de modo
que seja possível identificar fragilidades e tratá-las com a devida
atitude e precisão.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A Importância da
Segurança nos Sistemas
Operacionais e Redes de
Computadores
De modo a compreender melhor este assunto, é importante
introduzir alguns conceitos e o relacionamento entre eles. Vejamos
então:

Kernel: É uma palavra da língua inglesa e significa "núcleo". Na


Informática, o kernel é a parte principal do sistema operacional e
sua função é interligar (fazer a mediação) do software ao hardware,
estabelecendo uma comunicação adequada entre os recursos de
hardware.

A arquitetura do kernel pode ser dos tipos monolítico, híbrido ou


micronúcleo.

No Monolítico, os controladores de dispositivos e as extensões de


núcleo são executadas no espaço de núcleo, com acesso completo
ao hardware. No Híbrido é um micronúcleo que possui um código
na região do núcleo para que as operações sejam executadas mais
rapidamente. Já no Micronúcleo alguns processos são executados
no núcleo e os demais são no espaço do usuário.

Sistema Operacional: É um programa que controla o computador


independente do seu porte ou plataforma. O Sistema Operacional é
responsável por alocar os recursos do hardware e organizar tarefas.
Ele também proporciona uma interface para que o usuário tenha
acesso aos recursos do computador de uma forma “amigável”. Eles
podem ser projetados para funções específicas como controle de
máquinas e sistemas distribuídos, dispositivos portáteis, redes.

25
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

O SO estabelece os critérios de uso e a ordem de acesso dos


recursos, não permitindo a violação de espaço de memória de
processos concorrentes e tentativas de acesso simultâneo a
um mesmo recurso (time sharing), gerenciando a proteção dos
dispositivos. A figura abaixo mostra como o SO está posicionado.

FIGURA 1

Fonte: www.shutterstock.com

Ele se divide em diversos tipos e os principais são:

Sistemas Monotarefas: Capazes de executar apenas uma tarefa de


cada vez.

Sistemas Multitarefas: Permite a realização de diversas tarefas


“simultaneamente” em um processador. O que ocorre, na verdade
é que ele divide o uso do processador entre as necessidades do
sistema, de modo a permitir que todas as tarefas sejam executadas,
compartilhando o tempo entre as tarefas (time sharing).

26
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Sistemas Multiprocessadores: Conjunto formados pela gerência


da combinação de 2 ou mais processadores, melhor adequando a
distribuição dos processos à disponibilidade do sistema.

Sistemas embarcados: São direcionados para equipamentos de


pequeno porte e aparelhos autônomos (computadores de bordo,
centrais multimídia e sondas espaciais). Normalmente de trabalham
com recursos limitados.

Sistema em tempo Real: Normalmente utilizados na indústria,


com rapidez e exatidão em relação ao tempo de resposta e
processamento de tarefas. Esses sistemas não podem falhar, já
que muitos recursos prioritários dependem de seu funcionamento.

Conforme vimos, o Sistema Operacional é um software e por isto é


passível de invasão ou ataque. Algumas dessas formas são:

Bots: Se assemelha a um robô, e pode ser programado para


desempenhar tarefas específicas no computador contaminado. O
invasor se utiliza de um servidor IRC. Já que ele possui controle
sobre o bot que determina rotinas perigosas para o equipamento
contaminado. Dentre os objetivos do Bot podemos citar: Captar
dados bancários e fazer com que o computador dissemine spam
e phishing.

Backdoor: é um recurso usado por vários malwares com o objetivo de


acessar remotamente o sistema ou uma rede infectada, explorando
falhas em programas instalados, firewall e softwares desatualizados,
abrindo portas do roteador.

Alguns backdoors são explorados por sites maliciosos, pelas


vulnerabilidades dos navegadores, garantindo que um cracker tenha
acesso ao sistema, instalando outros malwares ou roubando dados.

27
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Compromised-Key Attack: São ataques realizados em chaves


específicas de registro do SO. Quando o cracker tem acesso a
estas chaves, ele pode gerar logs com a decodificação de senhas
criptografadas e invadir serviços cadastrados e contas de usuários.

Rootkit.: É um software muitas vezes malicioso e que tem por


objetivo esconder ou disfarçar alguns programas ou processos
de métodos usuais de detecção, permitindo acesso exclusivo
a um computador e suas informações. Existem programas que
detectam a presença de rootkits. Alguns destes programas podem
ser instalados gratuitamente de sites da internet. Porém, como todo
problema, a melhor solução é a prevenção.

As ameaças citadas acima podem (e devem) ser evitadas com


medidas simples, a saber:

• Possuir no computador programas de segurança (antivírus,


anti-spyware, anti-rootkit etc);

• Manter os programas (aplicativos, utilitários e o sistema


operacional) atualizados;

• Evitar arquivos de redes ponto a ponto;

• Evitar o download de cracks;

• Instalar, habilitar e configurar um firewall pessoal;

• Executar o sistema com privilégios limitados.

Por isto, a proteção do Sistema Operacional é tão importante


quanto à proteção de outros softwares. Devemos ter todo o
cuidado na prevenção de remoção destas e de outras ameaças.

Redes de Equipamentos: é um conjunto de dois ou mais


equipamentos que utilizam um protocolo (conjunto de regras) em
comum para compartilhar recursos.

28
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Utilizam-se de conexão, podendo ser: por cabo (fibra ótica, coaxial,


ethernet ) ou wi-fi (ondas de rádio).

Qualquer tipo de dispositivo que possa enviar ou receber dados pode


compor uma rede. Sendo assim, quando falamos em componentes
de rede, dizemos que são nós, e não somente computadores.

São exemplos de Redes: Internet (WAN), Rede Local (LAN), Intranet,


Rede Metropolitana (MAN) etc.

As redes locais possuem várias topologias, sendo que cada uma


possui particularidades, vantagens e desvantagens. Abaixo citamos
as principais.

Topologias de redes

Ponto a Ponto: Ela é a mais simples. Une dois computadores


através de um meio de transmissão qualquer. Dela, pode-se formar
novas topologias, incluindo novos nós em sua estrutura.

FIGURA 2 - Ponto a ponto

Fonte: Adaptado do www.shutterstock.com

29
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Barramento

Ela é de fácil expansão. Nela, todos os nós estão conectados a uma


barra que é compartilhada entre todos os processadores, podendo
o controle ser centralizado ou distribuído. O meio de transmissão é
o cabo coaxial.

FIGURA 3 - Barramento

Fonte: Adaptado do www.shutterstock.com

30
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Anel ou Ring

Ela utiliza ligações ponto-a-ponto e transmitem em um único


sentido. O sinal circula no anel até o destino. Ela é pouco tolerável à
falha e a expansão pelo aumento do tempo entre o início e chegada
do sinal ao nó destino.

FIGURA 4 – Anel ou Ring

Fonte: Adaptado do www.shutterstock.com

31
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Estrela

Ela utiliza o switch para conectar e gerenciar a comunicação. Ele é


um dos fatores determinantes na velocidade de transmissão, como
também converte sinais transmitidos por protocolos diferentes.

FIGURA 5 – Estrela

Fonte: Adaptado do www.shutterstock.com

32
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Árvore

Ela é basicamente uma série de barras interconectadas. Equivale


a várias redes estrelas interligadas por meio de seus nós centrais.
Esta topologia é muito utilizada na ligação de switch e repetidores.

FIGURA 6 – Árvore

Fonte: Adaptado do www.shutterstock.com

33
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Híbrida

Ela é bem complexa, pois pode mesclar uma mistura de topologias,


tais como as de anel, estrela, barra, entre outras, que possuem
como características as ligações ponto a ponto e multiponto.

FIGURA 7 – Híbrida

Fonte: Adaptado do www.shutterstock.com

Conforme já foi dito, existem vários tipos de dispositivos em uma


rede. São exemplos: terminais de computadores, impressoras,
computadores, roteadores, pontes, repetidores, celulares, switch,
HUB etc

Cada um dos tipos de redes e dispositivos citados possui


vulnerabilidades que podem ser exploradas por um hacker ou um
usuário mal intencionado.

34
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Alguns tipos de ataques são:

Defacement: Também conhecido como “Deface”. É um tipo de ataque


onde o invasor modifica o conteúdo e a aparência de uma página
ou site da internet ou intranet. Normalmente, são realizados por
hackers iniciantes ou usuários com pouco conhecimento técnico.
As formas mais usadas na realização de um defacement são:

• Explorar vulnerabilidades do servidor Web que hospeda o


site;

• Explorar vulnerabilidades de pacotes/linguagem de


desenvolvimento do site;

• Explorar erros da aplicação Web;

• Capturar login e senha de acesso do servidor Web e


gerenciá-lo de forma remota.

DoS: É um ataque de negação de serviço ou em inglês Denial of


Service. Os principais alvos são servidores web e o objetivo é fazer
com que os recursos do sistema fiquem indisponíveis para os
usuários. Na realidade, não é uma invasão do sistema, mas sim dá
uma indisponibilidade por sobrecarga. Os ataques DoS são feitos
normalmente de duas maneiras, a saber:

• fazer com que o Servidor reinicialize ou então utilizar ao


extremo todos os recursos de processamento e memória.
Sendo assim ele não consegue mais oferecer o serviço;

• fazer com que o meio de comunicação entre o Servidor e os


usuários fique instável ou indisponível. Assim o serviço será
negado.

35
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

DdoS: É um ataque distribuído de negação de serviço ou em inglês


Distributed Denial of Service. Neste tipo de ataque, um computador
Master comanda, por meio de um programa malicioso, muitos
computadores chamados de Zombies. Desta forma, o ataque é
distribuído entre várias máquinas escravizadas.

São exemplos de vírus utilizados para estes tipos de ataque:


"Slammer", "Codered", "MyDoom".

Scanners de Rede: São programas de varredura usados na detecção


de vulnerabilidades em sistemas. São 2 os principais objetivos
em procurar falhas de segurança que são: fortalecer os sistemas
procurando e sanando

Engenharia Social: Este é o tipo, tecnicamente mais simples, pois


qualquer pessoa com o mínimo de noção de configuração técnica
pode executar e, em contrapartida, é muito eficaz, pois atinge
o elo mais fraco da segurança que são as pessoas. Consiste em
explorar a ingenuidade das pessoas para se obter os acessos,
senhas e dados sigilosos. A engenharia social não é uma técnica
exclusiva da tecnologia, pois envolve apenas pessoas. Desta forma,
o treinamento adequado faz a diferença na prevenção a este tipo de
técnica.

Spoofing: É a técnica de se fazer passar por outra pessoa ou outro


equipamento da rede, com o objetivo de acessar um sistema. Há
variantes, como o spoofing de IP. O processo consiste em usar um
programa que altere o cabeçalho dos pacotes IP. Desta forma, eles
parecem estar vindo de outra máquina.

36
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Esta técnica também pode alterar o remetente da mensagem para


que a vítima abra os e-mails infectados por softwares maliciosos.
Isso acontece já que o e-mail infectado chega como se fosse
enviado por alguém conhecido. Uma forma eficiente de evitar a
infecção é não abrir e-mails suspeitos e em caso de dúvidas, passe
o ponteiro do mouse (sem clicar) sobre links que estejam no corpo
do e-mail. Desta forma, é possível visualizar o verdadeiro destino
deste link.

Botnets:. Como o próprio nome já deixa claro, as botnets são


basicamente redes de computadores infectados por bots
semelhantes. Para quem propaga esse tipo de ameaça, ter centenas
de computadores ligados com bots sob o seu comando é a maneira
mais eficaz de espalhar os perigos propostos pelo aplicativo na
tentativa de fraudar e enganar os usuários.

Vandalismo Virtual: Com o objetivo de facilitar o entendimento, é


necessário, primeiramente, definir Vandalismo. Esta palavra significa
hostilidade com as propriedades de terceiros. Normalmente, se
manifesta publicamente com ataques a estas propriedades.

O vandalismo virtual ocorre quando um troll (como é chamado um


vândalo deste tipo) modifica páginas de Internet.

Segurança em comércio eletrônico


O comércio eletrônico tem se mostrado extremamente inovador
e eficiente e já é visto como uma realidade consolidada, além de
apresentar um grande potencial nos processos de negócio nos
muitos setores da economia. Este crescimento, reforçado pelo
aumento da velocidade e eficiência da Internet, tem chamado a
atenção dos profissionais de TI para os aspectos de segurança e
privacidade que são determinantes para a utilização deste tipo de
comércio.

37
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Veremos aqui uma breve história do comércio eletrônico, bem como


a evolução dos métodos de segurança.

Comércio: É o processo de comprar, vender e trocar produtos e


serviços e existe desde os primórdios da civilização. O Comércio
Eletrônico surgiu com a evolução da Internet e tem por objetivo o
complemento das vendas, além de eliminar intermediários. Também
são características deste tipo de comércio o aumento e melhoria da
parceria de negócios e a diminuição de limites geográficos.

Surpreendentemente, o comércio eletrônico não é só pela


internet. Também ocorre por meio de aparelhos celulares e outros
equipamentos eletrônicos. Ele é muito mais abrangente e envolve
diversos tipos de negócios. É a automação das transações
comerciais utilizando tecnologias de telecomunicações e
informática. Sendo que a parte mais exposta deste tipo de comércio
são as lojas virtuais. O Brasil cresceu 23% no último ano. Dentre
as categorias com destaque estão viagens, setor automobilístico,
varejo e classificados.

Tipos de comércio eletrônico


O comércio eletrônico é formado por diversas modalidades. Em
qualquer destes tipos, o processo será on-line, ou seja, o cliente
visualiza e escolhe o produto, coloca no “carrinho de compras” e
efetua o pagamento no caixa.

38
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Os Tipos são:

• Empresa <-> Consumidor (Business to Consumer - B2C);

• Consumidor <–> Consumidor (Consumer to Consumer –


C2C);

• Empresa <-> Empresa (Business to Business – B2B);

• Consumidor <–> Empresa (Consumer to Business – C2B);

• Consumidor <–> Administração (Consumer to


Administration–C2A ou Consumer to Government – C2G);

• Empresa <–> Administração (Business to Administration –


B2A ou Business to Government –B2G);

• Ponto <-> Ponto (Peer to Peer - P2P);

• M-Commerce (Mobile Commerce);

• S-Commerce (Social Commerce);

• Compra coletiva;

• T-Commerce (Television Commerce);

• F-Commerce - Facebook Commerce.

A segurança no comércio eletrônico:

O passo inicial para tratarmos de segurança no comércio eletrônico


é identificar quais os principais tipos de ameaças que podem existir.
Conforme já mencionamos, elas podem ser: acesso não autorizado
(unauthorized access), Alteração de dados (data alteration), exposição
de dados confidencias, monitorização (Monitoring), negação de
serviço (Service Denial), perda ou destruição de dados, repúdio
(Repudiation), spoofing e vulnerabilidade ou erros no software.

39
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Estas ameaças podem ser mitigadas ou reduzidas, adotando


algumas medidas que podem ser: diminuir as informações
necessárias no servidor web e limitar o público alvo e os meios de
acesso às informações, adotando padrões de segurança como, por
exemplo, a autenticação e SSL (Secure Sockets Layer). A atualização
dos sites deve ser constante assim como as atualizações de
software de hospedagem de modo a manter a integridade dos
dados do usuário.

Segundo Rafael Alves Florindo,

A política de segurança é o ato de atribuir direitos e


responsabilidades aos usuários de uma empresa e com
as informações por eles tratadas. Ela também define
as atribuições de cada um em relação à segurança dos
recursos com os quais trabalham, devendo prever o
que pode ou não ser feito na rede da empresa e o que
será considerado inaceitável.

A política de segurança da informação é o conjunto


de diretrizes, normas e procedimentos que devem ser
seguidos que tem por objetivo de dar a noção e orientar
os funcionários, clientes, parceiros e fornecedores
para o uso seguro do ambiente informatizado, com
informações sobre como gerenciar, distribuir e proteger
seus principais ativos. Na política de segurança
também são definidas as penalidades às quais
estão sujeitos aqueles que não cumprirem a política.
(FLORINDO, 2014, portal on-line)

Com base no que foi exposto, entendemos que política de segurança


da informação é um conjunto de ações que envolvem processos,
tecnologia e pessoas, além do relacionamento entre estes três
pilares.

Entre estes pilares, o que deve merecer maior atenção é o que se


refere a pessoas, pois este depende de vários fatores subjetivos de
difícil controle. Pessoas adoecem, têm sentimentos e dificuldades
em lidar com eles, de relacionamentos e na maioria das vezes
permite a interferência de fatores pessoais no ambiente profissional.

40
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Os principais mecanismos de segurança no comércio eletrônico


são:

Firewall, IDS (Intrusion Detect System), Criptografia, Protocolos


Regras de autenticação, Certificados digitais, Assinaturas digitais,
Selos digitais, SSL.

A certificação digital é a tecnologia que provê mecanismos e


segurança que garantem autenticidade, confidencialidade e
integridade das informações eletrônicas. Os certificados digitais
possuem informações como: dados do dono (nome, identificação,
UF); nome da autoridade certificadora emissora do certificado;
número de série do certificado; o período de validade do certificado;
assinatura digital da autoridade certificadora.

Fraudes em Comércio Eletrônico: Os invasores vêm concentrando


na engenharia social, com o objetivo de fraudar o comércio
eletrônico e internet banking já que é bem mais difícil invadir por
quebra de senha e criptografia.

Segundo: o órgão CERT.BR (2014), a quantidade de ataques vem


crescendo muito, ano a ano, conforme o gráfico abaixo.

FIGURA 8 – Total de Incidentes Reportados ao CERT.br por ano

Fonte: www.cert.br

41
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

O Brasil ocupa um dos primeiro lugares no ranking em ataques


sofridos, ocorrendo mais de 30.000 milhões de reportados, sendo
de Womrs e a servidores Web.

O gráfico abaixo, do mesmo órgão, mostra os tipos de ataques


durante os meses do ano de 2014.

FIGURA 9 – Incidentes Reportados ao CERT.br – Janeiro a


Dezembro de 2014

Fonte: www.cert.br

A Internet, pela sua agilidade e abrangência, supera a mídia


tradicional, reduzindo tempo de venda e facilitando acesso a
informações adicionais. Com ela, as vendas cresceram, se utilizando
de ferramentas para vender e comprar.

42
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A questão da segurança é uma das principais preocupações no


desenvolvimento dos sistemas de pagamento virtual, que precisam
assegurá-la sem comprometer a privacidade, pois os hackers estão
constantemente tentando quebrar este tipo de segurança. Por isto,
devemos ter todo o cuidado lembrando é claro da engenharia social,
pois, esta afeta o elo mais fraco da corrente que são as pessoas.

Em função da grande variedade de tipos de ataques, é de


fundamental importância que sejam aplicados métodos de
prevenção e solução de problemas de segurança.

Estes métodos vão desde treinamentos adequados, evitando ou


minimizando a engenharia social, até a instalação de softwares de
proteção, como firewall e antivírus.

A informática em si, assim como os sistemas de informação,


como ferramentas de gestão estratégica nas organizações, são de
extrema importância, pois permitem que estas se tornem cada vez
mais eficientes em um mercado extremamente competitivo.

Fazer com que a TI e seus sistemas estejam alinhados às estratégias


de crescimento da empresa é um desafio. É fundamental salientar
que a segurança é uma aliada fundamental e que, sem ela, todo
esforço da equipe e da empresa pode ser perdido. A situação ideal
é que ela já seja prevista durante o projeto do software, da área (ou
departamento), porém na realidade atual do Brasil, nem sempre isto
é possível. Muitas vezes, é necessário atuar quando a rotina já está
em execução ou o departamento já está atuando.

Trataremos aqui de um tutorial simples para manter a segurança


tanto nos Sistemas Operacionais quanto na rede empresarial. É
importante observar que alguns tópicos são comuns na prevenção.
Isto significa que devem se adequar à modalidade, ao nível e ao
objeto da proteção.

43
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Passo 1: Identificar a área que será tratada conhecendo todos os


relacionamentos dela com as demais na organização.

Passo 2: Identificar, conhecer e cadastrar todos os colaboradores


(internos e externos) que atuam no departamento bem como o nível
de acesso e o conhecimento que eles possuem dos sistemas.

Passo 3: Com as informações dos colaboradores (passo anterior),


identificar aqueles que “tentam” acessar os Sistemas de forma
diferente ou inadequada. É possível saber, através da observação do
trabalho e dos logs de acesso. Verificar se alguma destas tentativas
foi bem sucedida e em que data e hora.

Passo 4: Saber e relacionar quais são as queixas dos usuários em


relação ao acesso aos sistemas (lentidão, queda de conexão, perda
de informação, instabilidades etc)

Passo 5: Para cada um dos problemas identificados nos passos 3 e


4, investigar a veracidade e o motivo do problema. Criar um relatório
completo.

Passo 6: Com base neste relatório, traçar as estratégias de


proteção, corrigindo as falhas que permitiram o erro e/ou a invasão.
Poderão surgir problemas como picos ou falhas de energia, roteador
wi-fi com acesso insuficiente, canal indevido no roteador, senhas
fáceis, falhas de configuração do firewall, colaboradores com níveis
altos de acesso e baixa confiabilidade, interferência de frequências,
portas abertas desnecessariamente no Servidor, controle de acesso
físico aos locais críticos (rack de switch, sala do servidor), etc.

Observação: Todos os passos e pontos devem ser documentados,


de forma clara e objetiva. Assim, o conhecimento sobre o objetivo
proposto é construído e será utilizado na manutenção e melhoria
continua (PDCA).

44
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Proposição:

Você foi convidado para avaliar as condições de segurança da informação

em uma empresa de vendas de suprimentos de informática.

Com base no que vimos nesta unidade, você deverá comparar o cenário

atual da organização com as boas práticas aqui propostas. Após esta

comparação, você deverá propor as soluções de melhoria e documentar

estas soluções, sugerindo avaliações periódicas para manter tudo

conforme sua proposta:

• Possui 15 trabalhadores sendo 2 diretores, 1 gerente de vendas,

1 gerente administrativo, 5 vendedores de balcão, 5 vendedores

para atendimento virtual (comércio eletrônico – website, SMS,

whatsapp) e 1 serviços gerais;

• Possui 1 PC desktop com configuração para servidor de arquivos,

10 PC desktop, 4 notebooks, 1 impressora com conexão wi-

fi e 1 impressora multifuncional sem conexão à rede (ligada ao

servidor);

• Possui 1 roteador e todos os equipamentos se conectam à rede,

via wi-fi.

45
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Revisão
A produção, o armazenamento e a utilização da informação passam
por várias etapas e controles. A segurança da informação deve ser
um ponto de fundamental importância em cada um dos controles
que são elos desta corrente.

Vimos que a porção tecnológica é a base inicial para que a


informação e o conhecimento sejam produzidos. Esta porção foi
representada aqui pelos Sistemas Operacionais e pela Infraestrutura
de Redes.

Observamos que existem várias formas, técnicas e personagens


dedicados ao ataque, à invasão, à negação de serviços e ao roubo
de informações.

A tríade “Processos, Pessoas e Tecnologia” deve sempre ser


monitorada de modo que nada escape ao controle, já que isto
poderia causa perdas incalculáveis, tanto financeiras quanto para a
imagem da organização.

Devemos lembrar que a parte mais frágil desta tríade refere-se


às pessoas, pois, possuem aspectos subjetivos que dificultam o
controle. Neste caso, treinamentos e monitoramentos constantes
fazem a diferença.

A engenharia social é uma das formas poderosas de ameaça, pois


envolve e engana pessoas com o objetivo de obter informações
sigilosas (logins, senhas, relatórios, manuais, acessos etc). Por isto,
é um ponto estratégico a ser fortemente avaliado.

46
unidade 2
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

O comércio eletrônico (e-business), por sua vez, tem se mostrado, de


forma crescente, uma ferramenta poderosa na comercialização de
produtos e serviços. Este tipo de comércio utiliza a internet como
meio principal de chegar aos clientes. Sendo a internet uma rede,
ela também pode ser utilizada como meio de ataques e invasões.
Por isto, procedimentos de segurança têm que fazer parte da rotina
na sua utilização.

Por fim, observamos que as medidas de segurança são bastante


comuns em todos os pontos e etapas na produção do conhecimento,
desde a coleta dos dados, passando pela geração da informação,
chegando ao conhecimento propriamente dito.

Abaixo, estão links e livros que podem ser consultados a respeito do tema.

CIPOLI, Pedro. O que é Engenharia Social? Portal Canaltech (on-line).

Disponível em: http://corporate.canaltech.com.br/o-que-e/seguranca/O-

que-e-Engenharia-Social/. Acesso em: 15 jan.2016.

ENGENHARIA Social (Segurança da Informação). Postado por: Jefferson

Costa. (17 min 53 seg.): son. Color. Port. Disponível em: <https://www.

youtube.com/watch?v=cK1k0NABPhs > Acesso em: 15 jan. 2016

SACCO, Luiz Antônio. Dicas de segurança no comércio eletrônico. Portal

e-commerce Brasil (on-line). Disponível em: https://www.ecommercebrasil.

com.br/artigos/dicas-de-seguranca-comercio-eletronico/. Acesso em: 15

jan. 2016.

47
unidade 2
Estudo das
normas ISO
27000 –
Aplicação de
normas, padrões
internacionais e
certificação
Introdução
• Objetivos e
funções - ISO/IEC
Muitas vezes não tratamos as normas com a devida importância 27000
por entendermos ser algo dispensável. Ledo engano!

As normas são criadas com base em acordos, cooperações,


estudos e avaliações por um órgão com conhecimento e
competência para tal. Elas sugerem um conjunto de boas práticas
para execução e/ou produção em um determinado tema. O objetivo
é fazer que aquilo que será produzido cumpra um padrão de
qualidade e funcionamento. Este produto pode ser um software,
eletrodoméstico, edifício, veículo, seminário, palestra etc.

Diante desse fato, é importante ter a devida atenção e compreensão


dos conceitos que serão mostrados e a forma como se relacionam,
de modo que sejam aplicados da melhor forma.
As normas da série ISO/IEC 27000 tratam do SGSI (Sistema de
Gestão de Segurança da Informação). A segurança da informação
não está exclusivamente associada ao conceito tecnológico, apesar
de muitas pessoas acreditarem que seja desta forma. O SGSI é um
modo de segurança para todos os tipos de dados e informações.
Obviamente, está intimamente associado aos pilares da
segurança da informação que são: confidencialidade, integridade,
disponibilidade e autenticidade, já vistos anteriormente.

A ISO (International Organization for Standardization) e a IEC


(International Electrotechnical Commission compõem um
sistema especializado de normatização mundial. Os organismos
membros da ISO ou da IEC auxiliam no desenvolvimento de
normas internacionais utilizando comitês técnicos definidos pela
organização para tratar de assuntos técnicos. Estes comitês
colaboram em áreas de interesse mútuo.

Outras organizações internacionais, governamentais e ligadas a ISO


e a IEC também podem atuar.

Na área de TI, a ISO e a IEC criaram um comitê associando ISO/ IEC


/ JTC1.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Objetivos e funções -
ISO/IEC 27000
A norma ISO/IEC 27000, na realidade, é um conjunto de normas
com várias séries, e cada uma delas tem uma função (ou objetivo)
específica, porém todas elas tratam da criação, manutenção,
melhoria, revisão, funcionamento e análise de um SGSI.

As normas desta série estão relacionadas à segurança da


informação. Este conceito está além dos pontos puramente ligados
à informática. Ainda assim, estão lado a lado. O SGSI representa
formas para a segurança para todos os tipos de dados, informações
e do conhecimento produzido (ativos de TI).

As diretrizes abrangem desde os primeiros passos na


implementação de um SGSI, até áreas específicas, tais como
orientações para empresas parceiras na certificação ou auditoria
que também queiram implementar um SGSI.

Critérios para certificação


As normas 27001 e 27002 devem ser usadas em conjunto.
Elas são as mais conhecidas da família ISO 27000 sendo que o
certificado da ISO 27002 é para profissionais da área. Seus códigos
e orientações facilitam a obtenção do certificado ISO 27001, que é
direcionado para empresas. Cada norma tem critérios diferentes
para a certificação.

51
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Semelhante às normas ISO 9000 e ISO 14000, a norma 27001


segue o padrão para a certificação de outros sistemas de gestão
da ISO. Além da questão específica do sistema de gestão de
segurança da informação, é necessário atenção ao funcionamento,
monitoramento e melhoria do sistema.

A certificação é realizada em duas partes: sendo que a primeira é


uma revisão documental, a segunda é detalhada, semelhante a uma
auditoria. Veremos mais sobre isto adiante.

A família ISO/IEC 27000 possui


diversas normas relacionadas à SGSI. Semelhante às
As mais conhecidas são: normas ISO 9000
e ISO 14000, a
• ISO/IEC 27000 – São informações básicas sobre as norma 27001 segue
normas desta série (Vocabulários, objetivos e normas). o padrão para a
certificação de
• ISO/IEC 27001 – Bases para a implementação de um outros sistemas de
gestão da ISO.
SGSI em uma organização. Ela mostra a forma adequada
de estabelecer um sistema de gestão de segurança da
informação, avaliado e certificado de forma independente.
Ela trata dos seguintes tópicos:

• compreensão das necessidades e a importância da


política da segurança da informação;

• implantar e manter controles para gestão de riscos;

• acompanhar a performance, eficiência e eficácia da


PSI;

• estimular melhoria contínua. (Ciclo PDCA).

52
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• ISO/IEC 27002 – Certificação profissional traz códigos


de práticas para profissionais. Ela mostra diretrizes para
práticas de gestão de segurança da informação e normas
de segurança da informação para as organizações,
inclusive a seleção, a implementação e o gerenciamento
de controles, levando em conta os ambientes de risco da
segurança da informação da organização. O resultado da
análise de riscos irá determinar quais as ações de controle
mais adequadas na gestão destes riscos. Esta norma está
composta de tópicos e respectivos controles. Estes podem
ou não ser implantados, dependendo do tipo, tamanho e
necessidade da organização. Alguns destes tópicos são:

• organização da segurança da informação;

• gerenciamento de ativos;

• PSI (Política de Segurança da Informação);

• segurança de RH;

• gerenciamento de comunicações e operações;

• segurança física e de acesso;

• aquisição, desenvolvimento e manutenção de sistemas


de informação;

• conformidade;

• gerenciamento de incidentes da segurança da


informação;

• gerenciamento da continuidade de negócios.

• ISO/IEC 27003 – Diretrizes mais específicas para


implementação do SGSI. Nele, concentram-se os aspectos
críticos para a implantação e projeto bem sucedido de um
SGSI, desde a concepção até a preparação da implantação,
incluindo aí o processo de aprovação da direção.

53
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• ISO/IEC 27004 – Normas sobre as métricas e relatórios


do SGSI com o objetivo de avaliar a eficácia do SGSI
implementado, além dos controles e/ou grupos de controles.
É fundamental lembrar que as métricas e as respectivas
avaliações são de extrema importância para conhecer,
controlar e melhorar processos, políticas e procedimentos.
Desta forma, é possível identificar problemas ou falhas de
implantação e execução.

• ISO/IEC 27005 – Norma sobre gestão de riscos do


SGSI. Estabelece diretrizes para o processo de gestão de
riscos de segurança da informação. Deve permitir que o
processo de segurança da informação ocorra de maneira
eficaz, eficiente e sem interrupções ao longo do tempo. É
fundamental que um gestor de riscos tenha uma visão de
topo. Desta forma, a criação de processos integrados na
gestão de riscos será facilitada. Além disso, o foco deve ser
na prevenção. Veremos também que planos alternativos
em caso de sinistro farão toda a diferença para a estratégia
organizacional.

• ISO/IEC 27006 – Norma sobre auditoria e certificação de


SGSI, especificando requisitos e fornecendo orientações
para empresas e/ou órgãos que prestem serviços de
certificação e auditoria em um SGSI. Ela pode ser utilizada
como referência para acreditação1, avaliação de pares
ou outros processos de auditoria. A área de atuação
de auditorias em Sistemas de Gestão de Segurança da
Informação está entre a segurança física e lógica da
informação até a adequação de conformidade com a
legislação vigente e obrigações contratuais.

1
Acreditação é um instrumento para geração de confiança para a atuação de
organizações, em nível mundial, que desempenham tarefas de avaliação da
conformidade.

54
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Não promover auditorias poderá camuflar insuficiências do SGSI.


Dependendo da profundidade destas insuficiências, estas poderão
se converter em deficiências, gerando riscos para os dados e
informações.

Nesta unidade não veremos a ISO/IEC 27005. Ela será vista


posteriormente.

Relacionamento entre as normas da


série ISO/IEC 27000
As Normas da série ISO/IEC 27000 tratam do “percurso” para
o desenvolvimento de um Sistema de Gestão de Segurança da
Informação (SGSI) nas Organizações de qualquer tamanho ou
setor. Isto é muito importante, pois com a velocidade da produção
de informações, é fundamental que o armazenamento e proteção
sejam fatores determinantes ao sucesso das estratégias nestas A informação é um
organizações. Um SGSI abrange todas as atividades de gestão e dos ativos valiosos
que envolvem a
suporte a esta gestão importantes para a segurança da informação.
organização gerando
valor para o negócio.
Na atualidade, informação (gerando conhecimento) é um dos
pilares para o sucesso. Com este aumento crescente, aumenta
também dependência das empresas em relação aos Sistemas e
Tecnologias da Informação. Sabendo do valor da informação, é
fundamental que elas sejam produzidas e armazenadas de forma
segura, eficiente e eficaz.

O SGSI proporciona, dentre outras facilidades, a gestão dos riscos


da segurança da informação garantindo que esta não seja negada,
não se torne indisponível, não se perca (destruída ou danificada),
não seja divulgada sem autorização ou roubada.

A informação é um dos ativos valiosos que envolvem a organização


gerando valor para o negócio. Sendo assim, a proteção desta
informação é de extrema importância, pois interfere diretamente na
estratégia do negócio.

55
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Análise de Risco é um dos instrumentos utilizados para garantir a


segurança da informação. Esta análise deve identificar todos os
riscos, mostrando as possíveis soluções para eliminar, transferir
ou minimizar os riscos. As ameaças são ações, que quando
exploradas, podem gerar vulnerabilidade e permitir ataques,
provocando incidentes e comprometendo as informações, gerando
perda de confidencialidade, disponibilidade e integridade.

As ameaças podem ser classificadas em três tipos:

• ameaças físicas: decorrentes de fenômenos naturais;


Análise de Risco é
um dos instrumentos
• ameaças tecnológicas: provocados por hackers, invasores,
utilizados para
vírus, e também por falhas técnicas (hardware e software); garantir a segurança
da informação.
• ameaças humanas: São as mais perigosas, provocadas
por ladrões e espiões (gerando fraudes e roubos).
Normalmente, passam pela engenharia social mencionada
anteriormente. Segundo Araújo (2005) “(...) o fator humano
é o principal desafio para se ter uma boa e segura conduta
de Segurança da Informação”. (ARAÚJO, 2005, p. 5).

Com a evolução tecnológica e a facilidade de acesso às informações,


é de responsabilidade das organizações adotar e implantar ações
de proteção em relação às ameaças das quais são alvo.

56
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

É o objetivo da Gestão de Segurança de Informação manter


a qualidade das informações tratando adequadamente da
confidencialidade, integridade e disponibilidade. As normas da série
ISO/IEC 27000 foram produzidas de modo a ser o padrão mundial
para a Segurança da Informação. A série ISO 27000 constitui um
padrão de certificação de sistemas de gestão promovido pela ISO,
adequado à produção e implementação de Sistemas de Gestão
de Segurança da Informação (SGSI), estabelecendo políticas
de segurança e controles adequados. Como vimos, cada uma
das normas da série ISO/IEC 27000 possui uma função que se
relacionam. A família de normas da ISO/IEC 27000 possui padrões
que estabelecem os requisitos para um SGSI e para sua certificação,
prestando apoio e orientação aos processos e necessidades do
ciclo PDCA (Qualidade Total). A figura abaixo relaciona o SGSI ao
ciclo PDCA.

As normas da série
FIGURA 1 - Comparativo entre o ciclo PDCA e os passos para ISO/IEC 27000
implementação de um SGSI foram produzidas
de modo a ser o
padrão mundial
para a Segurança da
Informação

Fonte: www.shutterstock.com

57
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Benefícios da Aplicação da Norma


ISO/IEC 27000 e sua série
O volume de informações disponibilizadas às organizações, além
de crescente, é de vital importância estratégica a elas. Visualizar
os benefícios e relacioná-los ao cotidiano das empresas é fator
determinante na implantação dos sistemas de segurança.

Os principais benefícios da norma ISO/IEC 27000 são:

• estabelecer uma metodologia clara de Gestão da


Segurança: é de extrema importância, pois a clareza facilita
o entendimento e a disseminação do conhecimento;

• reduzir o risco de perda, roubo ou alteração da informação: O volume de


já vimos que a informação é o principal ativo de uma informações
disponibilizadas às
organização. Perda de ativo implica em perdas financeiras,
organizações, além
dentre outras; de crescente, é de
vital importância
• acessar as informações por meio de medidas de estratégica a elas.
segurança: isto é fundamental, pois formas corretas e
seguras no acesso à informação evitam que usuários não
autorizados monitorem e/ou acessem indevidamente;

• aplicar a Gestão adequada de pessoas a todos os


envolvidos na organização: já sabemos que o elo mais
fraco no controle e gestão da segurança da informação
é composto por pessoas. A correta gestão é fator
determinante à segurança;

• aumentar a segurança em relação à gestão de processos:


processos mal gerenciados podem gerar falhas e
vulnerabilidades. Isto também implicará no risco de um
acesso não autorizado e perda de informações;

58
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• aplicar a legislação sobre informação pessoal e


propriedade intelectual: a legislação permite que
pendências jurídicas sejam resolvidas aos olhos jurídicos.
Com a devida clareza isto previne ataques por descuido ou
falta de informação;

• controlar e verificar continuamente os riscos e os seus


controles: isto faz parte dos processos de melhoria contínua
que podem ser aplicados a qualquer área do conhecimento.
Verificações constantes implicam em aprimoramento;

• garantir a confidencialidade e a qualidade comercial: o


bom gerenciamento permite que a informação permaneça
confidencial, gerando ótima visibilidade estratégica da
organização.

Dificuldades para Implantação


de um SGSI
Por tudo que vimos, entendemos que é muito importante o
desenvolvimento, implantação e manutenção de um SGSI nas
organizações. Porém não é tão simples quanto parece.

Existem várias dificuldades que devem ser vencidas. Elas serão


descritas abaixo:

• dificuldade na definição no escopo: muitas vezes, pelo


levantamento insuficiente de requisitos e coleta de dados,
a definição do escopo fica inadequada, podendo gerar
revisões e dificuldades desnecessárias. Quando isto
ocorre, tanto o desenvolvimento quanto a implantação do
SGSI ficam prejudicados. Isto irá provocar o retrabalho e
possíveis perdas para a organização;

59
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• dificuldade em desenvolver uma abordagem sistemática,


clara e simples na gestão dos riscos: a gestão dos riscos
é uma área extremamente importante, pois é nela que
os possíveis riscos são identificados e a forma de tratá-
los é definida de acordo com cada caso. Tratar isto com
simplicidade e clareza pode ser a diferença entre o sucesso
ou o fracasso na implantação do SGSI;

• dificuldade em testar os planos de continuidade do


negócio: muitas vezes não há ambientes de simulação
ou, quando existem, não são adequados. Desta forma,
os testes dos planos de continuidade do negócio ficam
incompletos, inconclusivos ou inexistentes, podendo gerar
graves consequências em caso de uma crise;

• designar indevidamente a área de TI no desenvolvimento


do projeto: por falta de definição ou compreensão
por parte das outras, a área de TI fica encarregada do
desenvolvimento do projeto e, como vimos, o SGSI não
é exclusivo na gestão de informações de tecnologia. O
gestor terá que buscar a integração das áreas e pessoas
envolvidas nos processos e procedimentos. Desta forma, o
SGSI será mais completo, coeso e abrangente;

• visão incorreta no estabelecimento dos parâmetros dos


controles definidos na norma: isto ocorre quando a leitura
e/ou interpretação da norma é ineficiente, podendo gerar
retrabalho em fases críticas da implantação do SGSI. O
gestor terá que ficar muito atento neste ponto, pois estudos
mostram que o custo do “retrabalho” normalmente é maior
do que o do próprio trabalho. Além do aumento financeiro,
este retrabalho pode gerar problemas como refugo, custo
de tempo perdido, redução da confiança por parte dos
stakeholders, dentre outros;

60
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• ausência da ação correta ao identificar e usar controles


além da norma: ocorre quando a gestão da implantação não
assume uma visão de topo. Ou seja, “o que será feito com
assuntos e problemas não previstos na norma?”. Muitas
vezes (na maioria dos casos), ocorrem situações não
previstas e/ou definidas nas normas. E aí, como agir? Neste
momento, o gestor terá que utilizar seus conhecimentos
e experiências, além de contar com profissionais que
possuam o conhecimento no problema que será tratado;

• pessoal e Orçamento com limitações: muitas vezes,


principalmente no cenário econômico atual, será necessário
a convivência da necessidade de desenvolver e implantar o
SGSI com as restrições financeiras ou de pessoal. Mesmo
com as adversidades, a equipe de gestão terá que encontrar
soluções adequadas a este cenário. Além disto, sabemos
que no relacionamento humano; por mais profissional
que as pessoas busquem ser, sempre há conflitos e jogos
de interesse. Isto pode dificultar o desenvolvimento e
implantação do SGSI. Caberá ao gestor tratar este ponto,
utilizando técnicas de motivação e de gestão de pessoas.

Cada um destes fatores tem implicações próprias e peculiares


ao tipo e tamanho da organização onde o SGSI será implantado.
Porém, independente da dificuldade, ela deve ser transposta, pois o
objetivo final (Implantação consistente) deve ser cumprido.

61
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Principais melhorias nas organizações


com a implantação de um SGSI
Entendemos que, quando há uma proposta de novas implantações
em uma organização, sejam estas implantações em qualquer área,
elas vão trazer melhorias que justifiquem o projeto. Estas melhorias
podem abranger várias ou todas as áreas da empresa. No nosso
caso, as melhorias irão tratar de um assunto extremamente
estratégico para a empresa, este se refere às informações e ao
conhecimento: ferramentas de evolução e competitividade.

Ao implantar o SGSI, esperam-se as seguintes melhorias:

• cumprimento dos objetivos organizacionais de segurança


da informação;

• satisfação dos requisitos de segurança de clientes e


parceiros de negócios;

• melhoria nos seus planos e atividades de curto e longo


prazos;

• organização e adequação na gestão dos seus ativos de


informação promovendo a melhoria contínua.

62
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Engenharia Social

Sabemos que os parâmetros técnicos para a segurança lógica e física,

quando bem aplicados, minimizam, em muito, várias formas de ataques e

invasões. Desse modo, Aos invasores, restou a ingenuidade das pessoas

para efetivar suas invasões. Normalmente, os invasores são pessoas com

bom conhecimento técnico e boas noções do espaço virtual que tentarão

invadir, seja uma empresa, rede, residência etc.

Engenharia social é a utilização da boa fé das pessoas com o objetivo

de conseguir vantagens para si ou para terceiros. Neste tipo de ataque,

o invasor utiliza de suas habilidades de comunicação e conhecimento

técnico para ludibriar as pessoas e conseguir informações confidenciais

tais como, logins, senhas, documentos físicos e digitais etc.

Este tipo de ameaça é considerada, por muitos profissionais da área de

segurança da informação, uma das piores formas de ataque, pois envolve

a parte mais fraca da tríade “tecnologias, processos e pessoas”.

Como se prevenir?

1. Desconfie de chamadas que solicitem muitas informações pelo

telefone ou e-mails de pessoas perguntando sobre funcionários

e/ou outras informações internas. Caso desconfie, tente verificar

a identidade diretamente com a empresa.

2. Não forneça informações pessoais ou informações sobre sua

empresa, incluindo a estrutura, a menos que você esteja certo

que uma pessoa pode ter essas informações.

3. Não revele informações pessoais ou financeiras em e-mail e

muito cuidado ao responder e-mails com essas solicitações,

sempre procure verificar a veracidade de quem enviou o e-mail.

Isso inclui os links enviados no e-mail, na dúvida, não clique.

63
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

4. Preste atenção na URL de um site. Sites falsos podem parecer

idênticos a um legítimo, mas o endereço no navegador pode usar

uma variação na grafia ou um domínio diferente.

5. Se você não tem certeza se uma solicitação por e-mail é legítima,

tente verificar entrando em contato com a empresa e/ou pessoa

diretamente.

6. Desconfie de e-mails que contenha um conteúdo que você não

solicitou, normalmente esses e-mails possuem um link estranho

ou um arquivo para você executar. Este tipo de e-mail procura

explorar alguns aspectos psicológicos requerendo que você tome

uma atitude, como a curiosidade, senso e urgência ou solicitando

uma ajuda. Fique atento!.

Revisão
A produção, armazenamento e utilização da informação passa por
vários controles, personagens e etapas.

A segurança da informação é um ponto de fundamental


importância em cada uma das etapas que compõe os “dentes
desta engrenagem” e por isto deve ser tratada com toda atenção e
cuidado.

O objetivo é fazer que aquilo que será produzido cumpra um padrão


de qualidade e funcionamento. Este produto pode ser um software,
eletrodoméstico, edifício, veículo, seminário, palestra etc.

As normas da série ISO/IEC 27000 tratam do SGSI. A segurança


da informação não está exclusivamente associada ao conceito
tecnológico. O SGSI é um modo de segurança para todos os tipos
de dados e informações e está associado aos pilares da segurança
da informação (confidencialidade, integridade, disponibilidade e
autenticidade, já vistos anteriormente).

64
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

As normas mais conhecidas são:

• ISO/IEC 27000 – Informações básicas sobre as normas


desta série;

• ISO/IEC 27001 – Bases para a implementação de um SGSI;

• ISO/IEC 27002 – Bases para a Certificação profissional;

• ISO/IEC 27003 – Diretrizes específicas para implementação


do SGSI;

• ISO/IEC 27004 – Normas sobre as métricas e relatórios do


SGSI;

• ISO/IEC27005 – Norma sobre gestão de riscos do SGSI;

• ISO/IEC 27006 – Norma sobre auditoria e certificação de


SGSI.

O SGSI proporciona, dentre outras facilidades, a gestão dos riscos


da segurança da informação garantindo que esta não seja negada,
não se torne indisponível, não se perca (destruída ou danificada),
não seja divulgada sem autorização ou roubada.

As ameaças são ações que, quando exploradas, podem gerar


vulnerabilidade e permitir ataques, provocando incidentes
e comprometendo as informações gerando perda de
confidencialidade, disponibilidade e integridade.

As ameaças podem ser classificadas em três tipos:

• ameaças físicas decorrentes de fenômenos naturais;

• ameaças tecnológicas: provocados por hackers, invasores,


vírus, e também por falhas técnicas (hardware e software) ;

• ameaças humanas: são as mais perigosas, provocadas


por ladrões e espiões (gerando fraudes e roubos), via
“engenharia social”.

65
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Os principais benefícios da norma ISO/IEC 27000 são:

• estabelecer uma metodologia clara de Gestão da


Segurança;

• reduzir o risco de perda, roubo ou alteração da informação;

• acessar as informações por meio de medidas de segurança;

• aplicar a Gestão adequada de pessoas a todos os


envolvidos na organização;

• aumentar a segurança em relação à gestão de processos;

• aplicar a legislação sobre informação pessoal, propriedade


intelectual, etc;

• controlar e verificar continuamente os riscos e os seus


controles;

• garantir a confidencialidade e a qualidade comercial.

Dificuldades para Implantação de um SGSI:

• dificuldade na definição no escopo;

• desenvolver uma abordagem sistemática, clara e simples


na gestão do risco;

• dificuldade em testar os planos de continuidade do negócio;

• designar indevidamente a área de TI no desenvolvimento


do projeto;

• visão incorreta no estabelecimento dos parâmetros dos


controles definidos na norma;

• ausência da ação correta ao identificar e usar controles


além da norma;

• pessoal e orçamento com limitações.

66
unidade 3
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Ao implantar o SGSI, esperam-se as seguintes melhorias:

• cumprimento dos objetivos organizacionais de segurança


da informação;

• satisfação dos requisitos de segurança de clientes e


parceiros de negócios;

• melhoria nos seus planos e atividades de curto e longo


prazos;

• organização e adequação na gestão dos seus ativos de


informação promovendo a melhoria contínua.

Artigos:

CIPOLI, Pedro. O que é Engenharia Social?. Site Corporate Canaltech

(on-line). Disponível em: <http://corporate.canaltech.com.br/o-que-e/

seguranca/O-que-e-Engenharia-Social/>. Acesso em: 27 jan. 2016.

SACCO, Luiz Antônio. Dicas de segurança no comércio eletrônico. 06

dez. 2013. Site E-commerce Brasil (on-line). Disponível em: <https://

www.ecommercebrasil.com.br/artigos/dicas-de-seguranca-comercio-

eletronico/>. Acesso em: 27jan. 2016.

Vídeos:

ENGENHARIA Social (Segurança da Informação). Postado por: Jefferson

Costa (17min 53seg.): son. Color. Port. Disponível em: <https://www.

youtube.com/watch?v=cK1k0NABPhs>. Acesso em: 27jan.2016.

ISO 27001 - Sistema de Gestão de Segurança da Informação. Postado por:

Prof. Rafael Maia (42min 23seg.): son. Color. Port. Disponível em: <https://

www.youtube.com/watch?v=1t6ZMyJ-n1Q>. Acesso em: 27jan.2016.

67
unidade 3
Estudo das
normas ISO 27005
e ISO 31000 -
Aplicação de
normas e padrões
internacionais
Introdução

As Organizações em todos os planos, níveis e esferas, sejam


públicas ou privadas, estão preocupadas com a segurança de
• Conceitos
suas informações. Isto porque as ameaças estão cada vez mais associados
diversificadas e perigosas, comprometendo as informações. A • Normas ISO /
gerência deste ponto é de total prioridade de suas áreas de TI. A IEC 27005
norma ISO 27005 se bem aplicada nas organizações, irá permitir • ISO 31000 -
que as mesmas administrem melhor tais riscos. Princípios da
Gestão de Riscos,
princípios e
As ameaças têm duas vertentes: acidentais ou intencionais. diretrizes
Em ambos os casos, elas têm relação com os aspectos físicos e
ambientais e quanto à aplicação e ao uso dos sistemas de TI. As
ameaças podem ser de diversos tipos (furto de documentos e
equipamentos, espionagem a distância, escuta não-autorizada,
falsidade de identificação digital, fenômenos da natureza, incêndio,
inundação e radiação eletromagnética).
As consequências dessas ameaças podem ser traduzidas por
vários impactos nos negócios das organizações como, por exemplo,
perdas financeiras, paralização de serviços essenciais, perda de
confiança dos clientes, pane no fornecimento de energia e falhas de
telecomunicações.

Conforme já vimos, as normas são criadas com base em


acordos, cooperações, estudos e avaliações, por um órgão com
conhecimento e competência para tal. Logo, é importante a devida
atenção, compreensão e sua correta aplicação.

As normas propõem várias técnicas a serem adequadas à empresa.


Veremos que uma boa política de gestão da infraestrutura com
controles de acessos, físicos e lógicos bem definidos realmente
minimizam grande parte dos riscos. Elas mostram também que
manter a redundância dos dados, informações e conhecimentos,
além de mantê-los o mais restrito possível (dentro das estratégias
do negócio), é uma das boas práticas propostas.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Conceitos associados
Antes de tratarmos das normas, é importante conhecermos alguns
conceitos que são importantes para compreensão dos assuntos
que veremos aqui. É muito importante que os conheçamos, pois
permitirá integrar os conhecimentos e facilitar o entendimento dos
casos onde seja necessário.

Risco: probabilidade de que algo não tenha sucesso ou não fique


de acordo com o proposto ou esperado, por motivos incertos; eles
podem ser provocados ou serem resultado de ocorrências eventuais
/ naturais. Muitas vezes o risco pode ser previsto e tratado de modo
que não ocorra ou tenha uma baixa probabilidade de ocorrência.

Gestão de riscos: atitudes, políticas, processos e procedimentos,


elaborados e coordenados pelas organizações, na figura dos
gestores, de modo que os riscos sejam tratados da melhor forma,
de acordo com as possibilidades e intenções organizacionais.

Estrutura da gestão de riscos: todos os itens onde as organizações


atuam para a elaboração, implantação, observação, análise e
melhoria contínua do gerenciamento de riscos por toda a empresa.
Esta estrutura envolve processos, tecnologias e pessoas.

Política de gestão de riscos: postura organizacional em relação às


diretrizes e intenções em relação à gestão de riscos. Esta política
deverá estar alinhada com as estratégias e possibilidades da
organização. Veremos que em muitos casos, as empresas preferem
correr um determinado risco, a investir no tratamento dele.

Atitude perante o risco: forma de atuação da organização com o


objetivo de avaliar, assumir, buscar (em alguns casos), manter e
afastar-se do risco. Assim como a política de gestão de riscos, a
atitude deve estar alinhada com as estratégias e possibilidades da
organização.

71
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Aversão ao risco: postura onde a organização objetiva afastar-se


dos riscos. Isto nem sempre ocorre, pois há tipos de riscos em que
é melhor aceitar a possibilidade de sua ocorrência do que preveni-lo.

Plano de gestão de riscos: protótipo da estrutura da gestão de


riscos, com a função de detalhar os recursos, a abordagem e os
componentes de gestão que serão aplicados no seu gerenciamento.
Este protótipo deve levar em conta a estratégia de negócios da
empresa, bem como um estudo profundo do impacto de um risco
não tratado.

Atenção ao risco: tipo e quantidade de riscos que uma empresa


tem aptidão para assumir, manter e buscar. É um tópico muito
importante, pois uma avaliação indevida, neste caso, poderá
provocar uma interpretação errada e consequentes perdas
financeiras.

Proprietário do risco: entidade, pessoa ou organização que possui


a autoridade e responsabilidade no gerenciamento do risco. Este
gerenciamento envolve, entre outros pontos, as consequências
da ocorrência de possíveis ameaças previstas e não tratadas
previamente.

Processo de gestão de riscos: fazer com que as práticas,


procedimentos e políticas de gerenciamento sejam aplicados
sistematicamente às atividades de definição do contexto,
comunicação, pesquisa, análise, avaliação, tratamento,
monitoramento dos riscos.

Identificação dos riscos: atitudes e procedimentos de buscar,


reconhecer e descrever os riscos. Esta identificação deve envolver
a todos os interessados da organização, pois por se tratar de uma
das fases iniciais no gerenciamento de riscos, atitudes erradas e/ou
incompletas nesta fase provocarão problemas ligados aos riscos
identificados indevidamente ou não identificados.

72
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Processo de avaliação de riscos: procedimentos gerais de


avaliação dos riscos identificados, bem como sua abrangência,
além de propor diretrizes para o devido tratamento.

Perfil de risco: descrição de um conjunto qualquer de riscos


presentes na organização. Esta descrição também deverá estar
alinhada com as estratégias de negócios da organização.

Análise de riscos: processo pelo qual se busca compreender a


natureza do risco e determinar o nível do mesmo. Deve-se utilizar
toda informação e conhecimento disponível de modo a conhecer,
de forma mais profunda, todos os parâmetros e condições que
poderão interferir nos riscos, a possibilidade, frequência de ocorrer
e os impactos, caso ocorram.

Fonte de risco: qualquer componente que possa originar os riscos,


mesmo que este componente atue em conjunto com outro ou tenha
como origem uma fonte externa em relação à organização.

Critérios de risco: pontos referenciais que objetiva avaliar um


determinado risco. Estes pontos são construídos com base na
organização, suas estratégias, atuação no mercado bem como
projeções para o futuro.

Nível de risco: dimensão de um risco. É composto pela combinação


das probabilidades e consequências da ocorrência de um risco.
Este nível não é um conceito isolado, pois deve levar em conta
outros parâmetros como o mercado, clientes, parceiros e toda a
parte interessada (stakeholders.)

Avaliação de riscos: procedimentos em que são comparados os


resultados da análise de riscos com os critérios de risco. O objetivo
é avaliar se um risco ou sua dimensão está dentro dos padrões
aceitáveis, definidos e aprovados pela organização.

73
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Tratamento de riscos: Conjunto das tarefas, políticas e processos


que unidos têm a função para excluir, alterar, aceitar, transferir ou
mitigar riscos. A decisão de qual opção escolher irá variar de acordo
com parâmetros organizacionais diversos (Situação do mercado,
participação da organização, capacidade de investimento etc.)

Parte interessada: pessoas e/ou organizações que podem afetar,


serem afetadas, ou perceberem–se afetada por uma decisão ou
atividade que envolva a organização. Conhecido também como
stakeholder.

Estabelecimento do contexto: estruturação de um cenário,


levando em conta os parâmetros externos e internos bem como o
gerenciamento dos riscos, e definição do escopo e dos critérios de
risco no seu gerenciamento.

Contexto externo: ambiente externo onde a empresa quer atingir


seus objetivos (mercado, políticas públicas, condições ambientais
etc.).

Contexto interno: ambiente interno (organizacional) onde a empresa


quer atingir seus objetivos. Os objetivos podem ser:

• estratégias, objetivos e políticas implantadas;

• o status organizacional no que se refere ao conhecimento


e aos recursos (sistemas, recursos financeiros, tempo,
processos, pessoas e tecnologias);

• governança, estrutura organizacional, funções e


responsabilidades;

• atuação das partes internas interessadas e o


relacionamento entre elas;

• fluxos e sistemas de informação e influência dos processos


informais e formais na tomada de decisão;

• normas, modelos e diretrizes organizacionais;

74
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• a própria cultura da empresa;

• tipo das relações contratuais sejam formais, explicitas ou


tácitas.

Comunicação e consulta: é tudo o que é feito pela organização,


de forma contínua, no sentido de disseminar e obter informações
relativas ao gerenciamento dos riscos.

Evento: é uma ocorrência. Algo que promove uma alteração em


alguma situação ou conjunto delas.

Consequência: resultado de um evento que altera o percurso ou


objetivos.

Probabilidade: chance de que algum evento aconteça.

Controle: medidas com o objetivo de alterar o risco. Elas podem ser


dispositivos, práticas, processos, políticas, etc. Pode ocorrer de o
controle não exercer o efeito desejado sobre o risco.

Risco residual: é o risco que permanece após o tratamento dos


riscos.

Monitoramento: ato de identificar e acompanhar continuamente


uma determinada situação, com o objetivo de detectar alterações
na performance esperada.

Análise crítica: atividade onde são verificadas a suficiência,


adequação, eficiência e eficácia de um determinado assunto
de modo que os objetivos sejam atingidos. Esta análise pode
ser aplicada ao processo e à estrutura da gestão bem como aos
controles dos riscos conforme descrito abaixo. É importante lembrar
que estes conceitos se interconectam devendo ser avaliados de
forma integrada.

75
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Princípios da Gestão

A gestão de riscos é parte integrante de todos os processos


organizacionais: pois não é uma atividade autônoma separada
dos demais processos e atividades da organização. Esta gestão
compõe as responsabilidades da administração e é parte dos
processos organizacionais, tais como o planejamento estratégico e
os processos de gestão de mudanças e gestão de projetos.

A gestão de riscos aborda explicitamente a incerteza: isto porque


risco e incerteza estão ligados. A incerteza de que algo pode não
funcionar está associada aos próprios riscos.

A gestão de riscos é sistemática, estruturada e oportuna:


ela contribui para a eficiência e para os resultados confiáveis,
consistentes e comparáveis.

A gestão de riscos é parte da tomada de decisões: já que auxilia


os responsáveis pelas decisões a fazer escolhas conscientes,
priorizando ações e escolhendo formas diferentes de agir.

A gestão de riscos baseia-se nas melhores informações


disponíveis: os dados utilizados no gerenciamento de riscos são
fundamentados em fontes de informação, como dados históricos,
observações, previsões, experiências, estudos de especialistas.
Entretanto, é importante que gestores estejam atentos às limitações
ou modelagem dos dados. A possibilidade de divergências entre
pontos de vistas de especialistas é também um fator a ser levado
em conta.

A gestão de riscos é feita sob medida: ela deve estar alinhada à


estratégia organizacional, levando em conta os contextos interno e
externo com o perfil do risco.

76
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A gestão de riscos considera fatores humanos e culturais: ela deve


estar atenta e reconhecer as intenções, percepções e capacidades
do pessoal (interno e externo) Isto porque eles podem dificultar ou
facilitar a realização dos objetivos organizacionais.

O gerenciamento de riscos gerando e protegendo valor: isso ocorre


já que a gestão de riscos proporciona maior facilidade na obtenção
das metas e objetivos, aumentando o desempenho organizacional.

A gestão de riscos é transparente e inclusiva: isso é fundamental


já que as partes interessadas devem estar envolvidas de forma
adequada, em todos os níveis da empresa, fazendo a gestão de
riscos permanecer de acordo com os objetivos organizacionais.
Este fato também proporciona a devida representação das partes
interessadas de modo que possam opinar e atuar corretamente.

A gestão de riscos facilita a melhoria contínua da organização:


melhoria contínua deve ser uma prática constante no cotidiano da
organização, incluindo a gestão de riscos, pois os riscos mudam
tanto em dimensão quanto em tipo.

A gestão de riscos é dinâmica, iterativa e capaz de reagir a


mudanças: Sabemos que as circunstâncias se alteram com muita
frequência em qualquer área do conhecimento. Sendo assim, a
gestão de riscos deve perceber e reagir às mudanças de forma
rápida e eficiente.

77
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Normas ISO / IEC 27005


Norma sobre gestão de riscos do Sistema de Gestão de Segurança
da Informação (SGSI). Estabelecem diretrizes para o processo de
gestão de riscos de segurança da informação. Deve permitir que
o processo de segurança da informação ocorra de maneira eficaz,
eficiente e sem interrupções ao longo do tempo.

Esta norma dá suporte aos conceitos definidos na norma ISO

27001, (norma de requisitos de sistemas de gestão da SI), e auxilia


na implementação e certificação do SGSI.

Apesar desta norma tratar a gestão de riscos de segurança da


informação, ela não trata de um método específico. Por isto é
necessário que cada empresa defina a melhor metodologia, de
acordo com o cenário no qual se encontre.

Segundo esta norma, todas as atividades são compostas por:

• entrada: identifica as informações necessárias para a


execução da atividade;

• ação: descreve a atividade;

• diretrizes: fornece as diretrizes para a implementação das


ações;

• saída: identifica as informações resultantes da atividade.

É fundamental que os tópicos escopo, objetivo, métodos e critérios


(avaliação, impacto e tratamento de risco) além do setor da
organização, que será responsável pelo GRSI (Gerenciamento de
Riscos de Segurança da Informação), sejam definidos de modo que
este gerenciamento seja coeso e eficiente.

78
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

As diretrizes para a implementação desta norma são:

• definição do contexto: definir os limites e o escopo que


servirão de base para a gestão de riscos;

• identificação de riscos: conhecer e relacionar os possíveis


eventos que terão impacto negativo nos negócios da
empresa;

• estimativa de riscos: valorar qualitativamente e/ou


quantitativamente o impacto de um possível risco além de
avaliar a probabilidade que aconteça;

• avaliação de riscos: estabelecer a prioridade de cada risco


por meio de comparações entre os níveis estimado e
aceitável, definidos pela empresa;

• tratamento do risco: criar e implantar controles com o


objetivo de diminuir, reter, evitar e transferir riscos;

• aceitação do risco: os planos de tratamento do risco bem


como os riscos residuais, a respectiva aprovação, devem
ser documentados e aprovados pelas partes interessadas;

• comunicação do risco: a comunicação dos riscos e dos


controles adotados deve ser ampla e abranger a todos os
stakeholders;

• monitoramento e análise crítica de riscos: processo


continuo de verificação dos riscos e respectivas causas,
com o objetivo de perceber possíveis alterações nos
procedimentos, fazendo com que a gestão de riscos de
segurança da informação esteja em conformidade com a
situação organizacional.

79
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

ISO 31000 - Princípios


da Gestão de Riscos,
princípios e diretrizes
Esta norma estabelece estrutura, princípios e um processo para
gerir qualquer tipo de risco, de forma sistemática, transparente
e confiável em qualquer situação. Ela disponibiliza os parâmetros
para a gestão de risco, com os princípios e as diretrizes, além de

auxiliar as empresas a gerir o risco de forma eficaz e eficiente. É


referência mundial em gestão de riscos. Várias normas de gestão,
com o objetivo de abordar o risco com um mesmo padrão, utilizam-
se, como base nesta norma, de seus princípios, diretrizes e estrutura.

A ISO 31000 veio para ser uma referência na prática de gestão de


riscos. Ela pode ser aplicada a qualquer empresa e a qualquer tipo
de risco de qualquer tipo de negócio. Essa norma trata a gestão
de riscos a um nível corporativo e não só no âmbito da Segurança
da Informação, fornecendo detalhes de cálculos de probabilidade,
avaliação de consequências. Ela é uma norma bem ampla,
tratando sobre todos os tipos de risco, sejam eles financeiros,
administrativos, econômicos, de gestão, crises locais e crises
mundiais. Além disso, estabelece bases para que a organização
consiga prever o máximo de riscos possíveis. Com esta previsão,
a organização pode estabelecer políticas internas, aliadas à norma,
de modo a tratar estes riscos com as melhores práticas.

80
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A série ISO 31000 é composta por três normas. As duas primeiras


orientam a organização a construir e manter a sua gestão de
riscos. A terceira (ISO Guia 73) mostra um glossário com termos
pertinentes à gestão de riscos. Portanto a ISO 31000 trata dos
conceitos básicos, diretrizes e princípios para a implantação
da gestão de riscos. Já a ISO/IEC 31010 trata dos métodos de
avaliação e gerência de riscos.

Os principais benefícios da aplicação desta norma são:

• faz com que a governança e a eficiência operacional


tenham ganhos significativos;

• aumenta a confiança dos stakeholders em relação à


organização bem como no uso das técnicas de gestão de
A ISO 31000 veio
risco;
para ser uma
referência na prática
• reduz perdas por meio da aplicação de controles e de
de gestão de riscos.
métodos de gestão para a análise dos riscos;

• aumenta a performance e a resiliência dos processos de


gestão;

• aumenta a resposta em relação às mudanças fazendo com


que fique mais eficiente protegendo a organização no seu
processo de expansão.

Objetivos e aplicações da gestão de


riscos e das normas ISO/IEC 27005 e
ISO 31000

A Gerência de Riscos trata o risco com uma visão estatística


e probabilística de sua ocorrência. As empresas que tratam e
gerenciam os riscos de forma eficiente e eficaz conseguem alto
nível de proteção e estabilidade além de expandir seus negócios
com maior assertividade. Em relação às normas, as organizações
devem integrar as melhores práticas no seu cotidiano operacional,
aplicando-as de forma ampla nas práticas empresariais.

81
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A função da Gestão de Riscos é a de minimizar perdas e seus


efeitos, decorrentes dos riscos inerentes a cada tipo de negócio.
São utilizadas técnicas de análises e inspeções, com o objetivo de
evitar que essas perdas ocorram ou reduzindo a frequência de sua
ocorrência e/ou reduzir os efeitos desses riscos, fazendo com que
fiquem dentro de um valor estipulado pela organização.

Não há uma forma única (ou metodologia padrão) de Gerenciar os


Riscos. Muitas vezes o que é feito é comparar os procedimentos
vigentes com os padrões, avaliando as possíveis alterações.
O Gerenciamento
de Riscos é um
O Gerenciamento de Riscos é um processo contínuo de busca de processo contínuo
possíveis problemas com o objetivo de evitá-los. A avaliação de risco de busca de
trata de várias nuances que podem influenciar a organização. Tais possíveis problemas
com o objetivo de
como financeiro, administrativo, operacional, expansão do negócio,
evitá-los.
limitações por imposições legais. Os riscos devem ser tratados de
acordo com sua prioridade, ou seja, riscos de média probabilidade
de ocorrência e alto impacto financeiro devem ser priorizados em
relação aos riscos com alta probabilidade de ocorrer, porém com
baixo impacto financeiro.

O conhecimento da real dimensão de um risco ocorre a partir do


momento que ele é quantificado e qualificado.

A qualificação é a identificação da qualidade e do tipo de risco.

A quantificação é a determinação do valor da possível perda,


normalmente indicada em percentual ou em valor absoluto.

Tanto o tipo de risco quanto o valor do prejuízo são muito


significativos para a determinação do custo do risco. De acordo
com o custo do risco, é possível elaborar um plano de tratamento
das perdas ou transferir esse risco.

82
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A transferência de um risco não isenta uma organização de todas as


preocupações ou prejuízos, ainda que as perdas sejam reparadas.

Com o objetivo de criar um SGSI eficaz, são necessárias uma


abordagem sistemática no gerenciamento de riscos de segurança
da informação e identificar as necessidades da organização em
relação aos requisitos deste tipo de segurança. É muito importante
que essa abordagem seja adequada ao ambiente organizacional,
além de estar alinhada aos processos de gestão de riscos
corporativos. Além disso, os esforços de segurança devem tratar
os riscos de maneira efetiva e no tempo adequado, sempre que
necessário. É fundamental que a gestão de riscos de segurança da
informação componha as atividades de gestão de segurança da
informação e que seja aplicada na implementação e na operação
cotidiana de um SGSI.

Essa gestão de riscos deve ser um processo contínuo e com


melhoria contínua. Esse processo deve definir os cenários externo e
interno, avaliar os riscos e tratá-los com um plano adequado com o
objetivo de implementar o que foi estabelecido. A gestão de riscos,
antes de decidir o que será ou não feito, também deve analisar os
possíveis acontecimentos e suas consequências, com o objetivo
de manter os riscos a um nível aceitável de acordo com o que foi
proposto.

A recomendação da norma como diretrizes para sua implementação


é basicamente o monitoramento contínuo da ABNT NBR ISO/IEC
27005 como segue:

• novos ativos incluídos no escopo;

• modificações dos valores dos ativos;

• novas ameaças que possam afetar os ativos;

• possíveis novas vulnerabilidades ou ampliação das


existentes;

83
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• as consequências de ameaças, vulnerabilidades e riscos


avaliados em conjunto;

• incidentes relacionados à segurança da informação.

Sendo assim, podemos concluir que o processo de gestão de riscos


de segurança da informação possui uma ampla atuação, podendo
ser aplicado em toda a organização, seja em uma área específica,
aos sistemas, controles etc.

Os principais benefícios das normas ISO/IEC 27005 e ISO/IEC


31000 como guia para a gestão de riscos são:

• facilitar a identificação de riscos;

• melhoria do entendimento, da comunicação, da


possibilidade e das consequências dos riscos;

• adequação na definição e priorização das ações para


reduzir a ocorrência dos riscos;

• avaliar adequadamente os riscos em relação ao negócio


levando em conta a probabilidade de sua ocorrência e as
possíveis consequências;

• facilitar a definição da ordem prioritária no tratamento do


risco;

• melhoria da eficácia e eficiência no monitoramento do


tratamento dos riscos;

• maior engajamento das partes interessadas na tomada de


decisões de gestão de riscos;

• melhoria do fator “comunicação” em toda a organização,


mantendo as partes interessadas informadas sobre os
assuntos da gestão de riscos;

• possibilitar o monitoramento contínuo e análise crítica


periódica dos riscos e do processo de sua gestão;

84
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• permitir a criação de treinamentos adequados dos


colaboradores em todos os níveis em relação aos riscos e
das ações adequadas para cada caso;

• melhorar o foco na coleta de dados e informações com o


objetivo de melhorar a abordagem da gestão de riscos.

Diferenças básicas entre as normas ISO 27005 e ISO 31000

A ISO 27005 trata exclusivamente dos riscos em Segurança da


Informação, direcionando todos os pontos de uma avaliação de
riscos compreendidos entre a análise e o tratamento dos riscos.

Segundo esta norma, os pontos são:

• definição do contexto ou escopo;


Já a ISO 31000 trata
a gestão de riscos a
• identificação dos riscos;
um nível corporativo
e não somente no
• estimativa do risco;
nível da Segurança
• avaliação das estimativas de riscos realizadas;
da Informação.

• tratamento dos riscos;

• monitoramento dos riscos.

Esta norma tem como meta estabelecer um processo de


gerenciamento de riscos de segurança da informação em uma
organização, não impondo uma metodologia específica.

Já a ISO 31000 trata a gestão de riscos a um nível corporativo e


não somente no nível da Segurança da Informação. Esta norma
trata de processos e procedimentos, para gerenciar riscos por meio
da identificação, análise e avaliação. Além disso, avalia se o risco
deverá ser modificado e/ou tratado com o objetivo de atender os
critérios de risco definidos pela empresa.

85
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Ela fornece detalhes de cálculos de probabilidade, avaliação de


consequências.

Existem algumas diferenças em cada uma das normas com relação


a escopo, estrutura, processo e execução do processo.

Em relação escopo, ISO/IEC 31000 se aplica qualquer setor da


organização em várias atividades, enquanto a ISO/IEC 27005 é uma
norma voltada especificamente para a segurança da informação.

Em relação a estrutura, ISO/IEC 31000 apresenta uma visão de alto


nível dos componentes necessários no gerenciamento de riscos, e
o relacionamento entre os mesmos. Já a ISO/IEC 27005 apresenta
uma descrição da estrutura das atividades existentes no processo,
com elementos que estarão presentes em cada uma delas.

Em relação a processo, ambas apresentam um processo dividido


em atividades semelhantes. Porém a ISO/IEC 31000 define sete
atividades, e a ISO/IEC 27005 define seis. As atividades de análise e
avaliação de riscos foram agrupadas em um só conjunto.

Em relação à execução do processo, ISO/IEC 27005 sugere que a


análise, avaliação e tratamento de riscos sejam executadas de forma
iterativa, sendo que em cada iteração haverá maior detalhamento e
aprofundamento, isso não ocorre na ISO/IEC 31000.

Cada uma das normas possui características únicas. Em resumo,


a principal característica da norma ISO/IEC 31000 é fazer com que
a gestão de riscos seja tratada de forma integrada na organização,
aliando-se com outros padrões existentes, e no caso da ISO/IEC
27005, seu principal objetivo é atender aos requisitos exigidos para
um SGSI de acordo com a ISO/IEC 27001. Desta forma, ela está
alinhada à família de normas ABNT NBR ISO/IEC 27000, tratando
exclusivamente da Segurança da Informação.

86
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Comparativos na estrutura, escopo e processo.

Apesar de possuírem focos diferentes, as duas normas têm o


mesmo objetivo, ou seja, a gestão de riscos. Elas são similares na
sua estrutura, escopo e processo. Serão explicadas rapidamente as
etapas contidas em cada uma das figuras.

FIGURA 1 - Processos de Gestão de Riscos

Fonte: Adaptado de ABNT NBR ISO/IEC 31000

87
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 2 - Processos de Gestão de Riscos de Segurança da


Informação

Fonte: Adaptado de ABNT NBR ISO/IEC 27005,2008

Assista com atenção ao vídeo “Gestão do Conhecimento, Inteligência

Organizacional e Governamental”.

Reflita sobre os pontos mais importantes e sua relação com a Segurança

da Informação e com as normas ISO 27005 e ISO 31000.

88
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Revisão
As Ameaças têm duas vertentes: acidentais ou intencionais. Em
ambos os casos, as ameaças têm relação com os aspectos físicos
e ambientais quanto à aplicação e ao uso dos sistemas de TI.

As consequências dessas ameaças podem ser traduzidas por


vários impactos nos negócios das organizações como, por exemplo,
perdas financeiras, paralização de serviços essenciais, perda de
confiança dos clientes, pane no fornecimento de energia e falhas de
telecomunicações.

Norma ISO / IEC 27005: Norma sobre gestão de riscos do SGSI.


Estabelece diretrizes para o processo de gestão de riscos de
segurança da informação.

Segundo esta norma, todas as atividades são compostas por:

• entrada: identifica as informações necessárias para a


execução da atividade;

• ação: descreve a atividade;

• diretrizes: fornece as diretrizes para a implementação das


ações;

• saída: identifica as informações resultantes da atividade.

ISO 31000 - Princípios da Gestão de Riscos, princípios e diretrizes:


essa norma estabelece estrutura, princípios e um processo para
gerir qualquer tipo de risco, de forma sistemática, transparente e
confiável em qualquer situação.

A Gerência de Riscos trata o risco com uma visão estatística e


probabilística de sua ocorrência. A função da Gestão de Riscos é a
de minimizar perdas e seus efeitos, decorrentes dos riscos inerentes
a cada tipo de negócio.

89
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Não há uma forma única (ou metodologia padrão) de Gerenciar os


Riscos. Muitas vezes o que é feito é comparar os procedimentos
vigentes com os padrões, avaliando as possíveis alterações.

O Gerenciamento de Riscos é um processo contínuo de busca de


possíveis problemas com o objetivo de evitá-los.

A qualificação é a identificação da qualidade e do tipo de risco.

A quantificação é a determinação do valor da possível perda,


normalmente indicada em percentual ou em valor absoluto.

De acordo com o custo do risco, é possível elaborar um plano de


tratamento das perdas ou transferir este risco.

A recomendação da norma, como diretrizes para sua


implementação, é basicamente o monitoramento contínuo da ABNT
NBR ISO/IEC 27005 como segue:

• novos ativos incluídos no escopo;

• modificações dos valores dos ativos;

• novas ameaças que possam afetar os ativos;

• possíveis novas vulnerabilidades ou ampliação das


existentes;

• as consequências de ameaças, vulnerabilidades e riscos


avaliados em conjunto;

• incidentes relacionados à segurança da informação.

90
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Os principais benefícios da norma ISO/IEC 27005 como guia para


a gestão de riscos são:

• facilitar a identificação de riscos;

• melhoria do entendimento, da comunicação, da


possibilidade e das consequências dos riscos;

• adequação na definição e priorização das ações para


reduzir a ocorrência dos riscos;

• avaliar adequadamente os riscos em relação ao negócio,


levando em conta a probabilidade de sua ocorrência e as
possíveis consequências;

• facilitar a definição da ordem prioritária no tratamento do


risco;

• melhoria da eficácia e eficiência no monitoramento do


tratamento dos riscos;

• maior engajamento das partes interessadas na tomada de


decisões de gestão de riscos;

• melhoria do fator “comunicação” em toda a organização,


mantendo as partes interessadas informadas sobre os
assuntos da gestão de riscos;

• possibilitar o monitoramento contínuo e análise crítica


periódica dos riscos e do processo de sua gestão;

• permitir a criação de treinamentos adequados dos


colaboradores em todos os níveis em relação aos riscos, e
das ações adequadas para cada caso.

• melhorar o foco na coleta de dados e informações com o


objetivo de melhorar a abordagem da gestão de riscos.

91
unidade 4
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

LEITE, Tácito Augusto S. Segurança física e lógica rumo à segurança

integral. Site It fórum 365 (online). Disponível em: <http://itforum365.com.

br/noticias/detalhe/117886/seguranca-fisica-e-logica-rumo-a-seguranca-

integral> Acesso em: 01 fev. 2016.

TORRES, Sthefane. 6 Casos Reais de falhas de segurança em grandes

empresas. Site Trust Sign (on-line). Disponível em: <https://www.trustsign.

com.br/portal/blog/6-casos-reais-de-falhas-de-seguranca-em-grandes-

empresas/> Acesso em: 01. fev. 2016.

92
unidade 4
Estudo da norma
ISO 22301 -
Aplicação de
normas e padrões
internacionais
Introdução

No início, quando a tecnologia da informação se aliou mais


fortemente a sua segurança, as organizações passaram a
compreender a importância do cuidado com preservação da
• A Norma ISO
informação nos seus pilares básicos (integridade, disponibilidade, 22301
autenticidade, confidencialidade). O ambiente computacional era
restrito e com maior facilidade de controlar. Isso gerava um quadro
maior de segurança para a informação.

Nos dias de hoje, com a expansão tecnológica e de conhecimentos,


esse cenário tornou-se mais competitivo e complexo. Desta forma,
o risco de acesso indevido à informação aumentou na mesma
proporção. E, como sabemos, a informação é ativo de maior
importância estratégica organizacional. Sendo assim, a atenção às
vulnerabilidades é fundamental, pois reduz o risco de ameaças e de
consequentes perdas financeiras.
Assim, aumentou-se a preocupação das empresas com a
continuidade de seus negócios. Essa preocupação tornou-se ainda
maior com o ocorrido em 11 de setembro de 2001 (ataque terrorista
às torres gêmeas nos Estados Unidos), exigindo que normas e
procedimentos relacionados à segurança da informação, fossem
revistos, reformulados e até criados. O objetivo dessa mudança de
cenário foi fazer com que as organizações estivessem protegidas
contra atividades que pudessem tornar inacessíveis os seus ativos
de informação.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Os negócios das organizações, normalmente, baseiam-se em


níveis fundamentais, nas informações e nos recursos e serviços da
Tecnologia da Informação (TI). Nesse cenário, devemos entender
e avaliar como a TI trata os problemas associados que afetam o
funcionamento organizacional em si.

Com isso, podem surgir algumas perguntas pertinentes: como


esta área se preparou para prever, lidar e reagir a sinistros que
prejudiquem o funcionamento da empresa? Caso ocorram, o que
será impactado? A empresa irá parar?

Com apenas esses pontos, podemos entender a importância de um


plano de gestão de continuidade no negócio. É esta compreensão
que a norma ISO 22301 irá nos auxiliar a ter. A seguir, estão descritos
os principais pontos e sugestões dessa norma e a forma adequada
de aplicação.

A Norma ISO 22301


Antes de tratarmos da Norma ISO 22301, é importante salientar
que esta norma deriva da NORMA BS 25999-1. Ela foi criada em
2007, com o objetivo de estabelecer e sugerir as melhores práticas
para que os gestores das organizações entendam, desenvolvam
e implementem procedimentos e rotinas para a continuidade dos
negócios.

96
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Os fundamentos da Gestão da Continuidade de Negócios são:

• aprimorar a resiliência da Empresa em relação a problemas


e interrupções de sua capacidade de produzir e/ou entregar
serviços e atingir seus principais objetivos;

• proporcionar recursos e métodos para que produza ou


ofereça serviços, dentro de um nível aceitável;

• adquirir uma sólida capacidade de gestão a ser aplicada em


uma interrupção na organização, resguardando a reputação
da empresa.

A norma descreve alguns elementos chaves que o PGCN (Plano de


Gestão de Continuidade de Negócios) deve conter, a saber:

• entender o cenário dos processos operacionais da empresa;

• entender as barreiras ou possíveis interrupções na entrega


de produtos ou processo pela organização;

• entender os produtos e processos críticos que a empresa


disponibiliza;

• compreender como a empresa continuará a produzir no


caso de um sinistro;

• entender como a empresa disponibilizará uma resposta


rápida e quais as rotinas para recuperação;

• fazer com que a parte interessada compreenda as próprias


funções e responsabilidades no caso de um sinistro;

• criar juntamente com toda a parte interessada a


implementação, execução e a manutenção da continuidade
nos negócios;

• fazer com que a organização internalize todas as rotinas da


gestão da continuidade do negócio.

97
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A Gestão da continuidade do negócio (GCN) deve ser definida


dentro da organização e estar relacionada com a estratégica
organizacional e com a gestão de risco.

A elaboração do GCN irá resultar na criação de um ou mais Planos


de Continuidade de Negócios (PCN).

Ciclo de vida da Gestão da


continuidade do negócio (GCN)
O ciclo de vida se constitui de seis etapas fundamentais para o
entendimento, desenvolvimento e implementação do GCN.

A figura abaixo esboça o ciclo de vida da gestão de continuidade de


negócios.

FIGURA 1 - Ciclo de vida da gestão de continuidade de negócios

Fonte: Do próprio autor.

98
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Etapas do Ciclo de vida da Gestão da


continuidade de negócios (GCN)
Em nível Brasil, a GCN é algo relativamente recente e tem por
objetivo restaurar o ambiente de produção, mesmo que ocorrências
diversas (físicas, sabotagem, invasões, softwares, processos,
pessoas, infra-estrutura, hardware) suspendam suas operações.

Os processos associados a GCN não são estáticos. Na realidade,


estão em constante alteração. Sendo assim, são necessárias
mudanças no tratamento do atendimento às especificações de
continuidade e a devida atenção aos procedimentos de resposta.
Em situações de crise, pode provocar grande impacto nos negócios
da organização.

Hoje em dia no Brasil, os procedimentos ligados à continuidade dos


negócios estão lamentavelmente restritas as empresas em que os
negócios estejam intimamente ligados à Tecnologia da Informação,
bem como as que possuem as sedes em outros países, onde
a atenção às atividades da continuidade dos negócios é mais
evoluída. Infelizmente, a maior parte das organizações brasileiras
ainda não se deram conta da economia embutida nas metodologias
e melhores práticas para o desenvolvimento da GCN.

A garantia de que o negócio não irá parar proporciona a diminuição


de perdas financeiras como multas, penalidades legais, perda
de mercado e visibilidade, já que a empresa continua a atender o
cliente em função da GCN.

99
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A seguir, estão os principais benefícios da implantação de um


sistema de gestão da continuidade de negócios (GCN):

• proteção de valor para os stakeholders;

• maior entendimento da organização, obtido por meio da


análise e identificação dos riscos;

• resiliência organizacional em relação às suas operações,


reduzindo os riscos;

• identificação e implementação de soluções e procedimentos


alternativos. Assim, o tempo de inatividade é reduzido;

• proteção e manutenção das informações representadas


por documentos e registros;

• eficiência e eficácia operacional são aprimoradas utilizando


a reengenharia de processos de negócios e TI;

• garantia da continuidade da prestação de serviços e


produção de bens;

• aprimoramento da segurança organizacional.

Como exercitar os planos de


continuidade de negócios (PCN)
Os exercícios, em âmbito geral, são procedimentos elaborados
com o objetivo de avaliar a capacidade de reação (parceiros e
colaboradores), recuperação e continuação eficaz na execução
de suas funções na organização, no caso, problemas que gere
interrupção. É importante que a empresa utilize de exercícios
e dos respectivos resultados para garantir que seus planos de
continuidade de negócios são eficazes, estáveis e seguros.

100
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Cada um desses exercícios deve possuir objetivos e metas definidos


de forma clara e, tenham por base, o cenário mais próximo de uma
situação real. Isso porque eles devem antecipar um resultado e
permitir o desenvolvimento de soluções inovadoras. Além disto,
esses exercícios devem ser planejados em acordo com todos os
stakeholders, com o objetivo de reduzir o risco de interrupção a
níveis mínimos.

É fundamental que o exercício ocorra em um ambiente controlado


e isolado para não interferir na rotina organizacional. Além disso, é
muito importante que a empresa projete cenários que atendam aos
objetivos, usando as ameaças enumeradas na avaliação de risco e
nos demais eventos adequados a este fim.

A eficácia e a eficiência dos processos e procedimentos da GCN


exigirá que algumas pessoas que exerçam posições específicas
possuam habilidades, conhecimentos e compreensões. Eles
devem ser posicionados antes do exercício, proporcionando aos
participantes a aplicação destes às simulações e aos cenários
importantes.

Os exercícios devem ser projetados e conduzidos com o objetivo de:

• verificar se o RTO (Tempo Objetivado para Recuperação)


está em conformidade com o ideal;

• verificar a atualização das informações exigidas pelas


atividades;

• melhorar a compreensão das interdependências de


continuidade dos negócios e fornecedores e demais
stakeholders;

• aumentar a consciência do contexto e prioridades da


empresa;

• melhorar o entendimento da utilização e do conteúdo dos


processos e procedimentos de continuidade de negócios;

101
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• melhorar a confiabilidade na resposta a incidentes;

• gerar oportunidades das capacidades gerais da


organização;

• propor avaliações da utilidade e aplicabilidade das


estratégias de continuidade de negócios;

• propor a documentação adequada das capacidades


desenvolvidas e alocação de recursos não documentados
anteriormente;

• identificar e documentar as práticas e necessidades


anteriores de um sinistro ou interrupção não documentadas;

• gerar oportunidades para identificar outras insuficiências


nos procedimentos de continuidade de negócios;

• garantir que os procedimentos de continuidade de negócios


podem ser implementados;

• melhorar a confiança dos stakeholders em relação ao


cumprimento dos requisitos de governança propostos, em
níveis contratuais.

Os exercícios normalmente variam de forma e aplicação. Quem


define a forma adequada em relação aos objetivos e aplicação do
exercício é a GCN, além, é claro, da disponibilidade orçamentárias
dos participantes e da capacidade da empresa relativa à possível
interrupção operacional em função do exercício.

102
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Etapas fundamentais para o


entendimento, desenvolvimento e
implementação do GCN

Entendendo a organização: realizar uma análise de impacto


no negócio criando um mapeamento dos produtos e serviços
fundamentais. Além disso, deve-se identificar as atividades que
suportam a entrega dos produtos e serviços, estimando o tempo
para recuperação no caso de sinistro. Identificar e avaliar as
ameaças mais importantes e a forma correta de tratar os riscos.

Determinando a estratégia da continuidade de negócios: a


empresa necessita definir as estratégias para a GCN. Para isto, é
importante analisar e escolher entre as possibilidades em relação
às estratégias disponíveis usando parâmetros como tempo, custo
e os recursos necessários, tais como: instalações, tecnologia,
informação, pessoas e suprimentos.

Desenvolvendo e implementando uma resposta de GCN: após


a definição da estratégia, a organização precisa criar um plano
de resposta para os incidentes. Esse plano deve atender às
expectativas dos stakeholders e estar de acordo com o que foi
avaliado na análise de impacto do negócio. Esse plano deve conter
itens como: o objetivo, responsabilidade dos envolvidos, forma
e data de ativação, definição do responsável por manter, alterar e
atualizar o plano e o tipo de comunicação dos fatos com a mídia e
stakeholders da organização.

103
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Testando, mantendo e analisando os preparativos de GCN: após


as etapas anteriores, a empresa necessita implantar os testes do
GCN. Esse programa de testes deverá possuir: a definição do nível
de complexidade do teste e o que cada envolvido deve fazer. Além
disso, deve-se realizar uma análise dos resultados, a manutenção
do programa de testes e a definição das auditorias que irão verificar
as conformidades do GCN com os demais parâmetros (legislação,
padrões e guias).

Plano de Continuidade de negócios


tendo a área de TI como aliada
Muitas organizações se sentem preparadas por apenas possuírem
um plano de contingência. Porém, como fica a questão da
continuidade do negócio (lembrando que são conceitos distintos).
A contingência é uma das providências a serem tomadas no caso
da ocorrência de um problema. Já a continuidade do negócio
está ligada ao tempo necessário para que a empresa retome as
atividades após a ocorrência do problema. E como este objetivo
é atingido? O PCN é um plano e, como tal, é construído a partir
de informações da organização, com o objetivo de enumerar e
descrever os procedimentos que envolvem o PCN constituído por
Plano de Gerenciamento de Crise, Plano de Emergência, Plano
de Contingência e Plano de Retorno, é necessário seguir alguns
passos:

1. entender e identificar todos os componentes de TI que


embasam operações de negócio em todos os níveis;

2. analisar o ambiente que consiste, além de outros processos,


em produzir uma matriz de risco que localize os riscos mais
críticos no ambiente físico e lógico;

104
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

3. analisar o impacto no negócio, fornecendo o pleno


entendimento de quanto a TI pode interferir na operação
de negócio, avaliando quanto custa uma "parada de
operação" ao longo do tempo. Essa informação, facilita o
entendimento do quanto deve ser investido em TI de modo
a dar o devido suporte a continuidade do negócio;

4. definir as estratégias de continuidade. Aqui a organização


se preocupa com as soluções de contingência, pensando
também na continuidade;

5. elaborar os documentos do Plano de Continuidade de


Negócio. Essa etapa é o momento onde a organização vai
reunir todo o conhecimento sobre a relação TI x Negócio e
elaborar as ações que devem ocorrer para:

• identificar uma crise;

• organizar a tomada de decisão no caso de crise;

• organizar as pessoas adequadas para a execução das


atividades que atenderão a empresa no momento da
crise;

• definir e documentar o conhecimento técnico específico


para que a TI possa restabelecer, o quanto antes, a
operação do negócio (contingência) e, posteriormente,
voltar ao ambiente normal de produção (retorno).

Além do que foi exposto, serão definidas muitas atividades que


serão executadas antes que uma crise ocorra, com o objetivo de
melhorar e atualizar o PCN continuamente e de maneira organizada
e consistente. A figura abaixo sintetiza os pontos avaliados.

105
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 2 – Pontos determinantes na gestão de continuidade de


negócios

Fonte: Do próprio Autor.

“PCN – Empresa de remoção de doentes”

Você foi procurado, para elaborar um laudo técnico, por uma empresa de

remoção de doentes, com as seguintes características:

• a empresa possui 2 sócios e 4 colaboradores, sendo 3 motoristas

de ambulância e um encarregado de serviços gerais;

• toda a parte financeira é feita por uma sócia que também cuida da

folha de pagamento, compra de materiais, gestão de manutenção

das ambulâncias e contratação de pessoal;

• possui 2 computadores (sendo um servidor) conectados por uma

rede wi-fi.

• o servidor contém todas as informações, sistemas e planilhas de

controles.

• não há política de backup.

Com base no que vimos até aqui, avalie o cenário descrito, indique os

pontos críticos e proponha as devidas soluções.

106
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Revisão
Plano de Continuidade de Negócios (PCN): seu objetivo principal
é possibilitar que a organização funcione em um nível aceitável em
situações de problemas onde exista indisponibilidade dos recursos
de informação.

Gestão da Continuidade de Negócios (GCN): deve ser definida


dentro da organização e estar relacionada com a finalidade
estratégica organizacional e com a gestão de risco.

Ciclo de vida da GCN: o ciclo de vida é composto pelas


etapas a seguir e estas são necessárias para o entendimento,
desenvolvimento e implementação do GCN, a saber:

• Entendendo a organização;

• Determinando a estratégia da continuidade de negócios;

• Desenvolvendo a estratégia;

• Implementando uma resposta de GCN;

• Testando;

• Mantendo GCN.

Componentes de um plano de continuidade de negócios: o objetivo


do PCN é documentar um planejamento de ações a ser executadas
no caso de acontecer uma situação de crise. Seus principais
componentes são:

• Plano de administração / gerenciamento de crise;

• Plano de continuidade/resposta empresarial;

• Plano de recuperação de desastre.

107
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

NORMA BS 25999-1: criada em 2007 para estabelecer e sugerir


as melhores práticas para que os gestores das organizações
entendam, desenvolvam e implementem procedimentos e rotinas
para a continuidade dos negócios.

Os fundamentos da Gestão da Continuidade de Negócios são:

• aprimorar a resiliência da Empresa em relação a problemas


e interrupções de sua capacidade de produzir e/ou entregar
serviços e atingir seus principais objetivos;

• proporcionar recursos e métodos para que produza ou


ofereça serviços, dentro de um nível aceitável;

• adquirir uma sólida capacidade de gestão a ser aplicada em


uma interrupção na organização, resguardando a reputação
da empresa.

A norma descreve alguns elementos chaves que o PGCN deve


conter, a saber:

• entender o cenário dos processos operacionais da Empresa;

• entender as barreiras ou possíveis interrupções na entrega


de produtos ou processo pela organização;

• entender os produtos e processos críticos que a empresa


disponibiliza;

• compreender como a empresa continuará a produzir no


caso de uma sinistro;

• entender como disponibilizar uma resposta rápida e quais


as rotinas para recuperação;

• fazer com que a parte interessada compreenda as próprias


funções e responsabilidades no caso de um sinistro;

108
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• criar juntamente com toda a parte interessada a


implementação, execução e o manutenção da continuidade
nos negócios;

• fazer com que a organização internalize todas as rotinas da


gestão da continuidade do negócio.

A GCN deve ser definida dentro da organização e estar relacionada


com a finalidade estratégica organizacional e com a gestão de risco.

A elaboração do GCN irá resultar na criação de um ou mais Planos


de Continuidade de Negócios (PCN).

Ciclo de vida da GCN

O ciclo de vida se constitui de seis etapas fundamentais para o


entendimento, desenvolvimento e implementação do GCN.

Principais benefícios da implantação de um sistema de gestão da


continuidade de negócios:

• proteção de valor para os stakeholders;

• maior entendimento da organização, por meio da análise e


identificação dos riscos;

• resiliência organizacional em relação às suas operações,


reduzindo os riscos;

• identificação e implementação de soluções e procedimentos


alternativos;

• proteção e manutenção das informações representadas


por documentos e registros;

• a eficiência e eficácia operacional são aprimoradas


utilizando a reengenharia de processos de negócios e TI.

109
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• garantia da continuidade da prestação de serviços e


produção de bens;

• aprimoramento da segurança organizacional.

A empresa deve usar exercícios e os respectivos resultados para


garantir que seus planos de continuidade de negócios são eficazes,
estáveis e seguros.

Que o exercício ocorra em um ambiente controlado e isolado.

A eficácia e a eficiência dos processos e procedimentos da GCN


exigirão habilidades, conhecimentos e compreensões específicas.

Os exercícios devem ser projetados e conduzidos com o objetivo de:

• verificar se o RTO (Tempo Objetivado para Recuperação)


está em conformidade com o ideal;

• verificar a atualização das informações exigidas pelas


atividades;

• melhorar a compreensão das interdependências de


continuidade dos negócios e fornecedores e demais
stakeholders;

• aumentar a consciência do contexto e prioridades da


empresa;

• melhorar o entendimento da utilização e do conteúdo dos


processos e procedimentos de continuidade de negócios;

• melhorar a confiabilidade na resposta a incidentes;

• gerar oportunidades das capacidades gerais da


organização;

• propor avaliações da utilidade e aplicabilidade das


estratégias de continuidade de negócios;

110
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• propor a documentação adequada das capacidades


desenvolvidas e alocação de recursos não documentados
anteriormente;

• identificar e documentar as práticas e necessidades


anteriores de um sinistro ou interrupção não documentadas;

• gerar oportunidades para identificar outras insuficiências


nos procedimentos de continuidade de negócios;

• garantir que os procedimentos de continuidade de negócios


podem ser implementados;

• melhorar a confiança dos stakeholders em relação ao


cumprimento dos requisitos de governança propostos, em
níveis contratuais.

Entendendo a organização: realizar uma análise de impacto


no negócio, criando um mapeamento dos produtos e serviços
fundamentais. Além disso, deve-se, identificar as atividades que
suportam a entrega dos produtos e serviços, estimar o tempo para
recuperação. Identificar e avaliar as ameaças mais importantes e a
forma correta de tratar os riscos.

Determinando a estratégia da continuidade de negócios: a


empresa necessita definir as estratégias para a GCN.

Desenvolvendo e implementando uma resposta de GCN: a


organização precisa criar um plano de resposta para os incidentes.

Testando, mantendo e analisando os preparativos de GCN: após


as etapas acima, a empresa necessita implantar os testes do GCN.

Principais tendências para garantir a continuidade dos negócios:


Virtualização, Cloud computing, Consumerização e redes sociais.

111
unidade 5
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Passos para o desenvolvimento de um PCN:

1. Entender e identificar todos os componentes de TI;

2. Analisar o Ambiente que consiste;

3. Analisar o Impacto no Negócio;

4. Definir as Estratégias de Continuidade;

5. Elaboração dos documentos do Plano de Continuidade de


Negócio estando associado a:

• identificar uma Crise;

• organizar a tomada de Decisão no caso de Crise;

• organizar as pessoas adequadas para a execução das


atividades que atenderão a empresa no momento da
crise;

• definir e documentar o conhecimento técnico


específico para que a TI possa restabelecer a operação
do negócio (contingência) e voltar ao ambiente normal
de produção (retorno).

ALEVATE, William. Gestão da continuidade de negócios. Rio de Janeiro: Ed.

Campus, 2013

BLOG QUALIDADE ON-LINE. Disponível em: <https://qualidadeonline.

wordpress.com> Acesso em: 14 fev. 2016.

RISCOS DE PLANO DE CONTINUIDADE DE NEGÓCIOS. Site Guia de

Negócios (on-line). Disponível em: <http://www.improverts.com/riscos-de-

plano-de-continuidade-de-negocios.html> Acesso em 14 fev.2016.

112
unidade 5
Criptografia,
Certificações
digitais,
Assinatura digital
Introdução

Conforme tratamos anteriormente, a Segurança da Informação é


tratada de várias maneiras aliadas entre si, de modo que todas as
nuances e variações de ataques possíveis estejam contempladas.

Além disso, há muitos procedimentos, processos e políticas para


assegurar que a Segurança da Informação seja estável e coesa • Criptografia
no que se refere aos pilares da SI (integridade, confidencialidade, • Assinaturas
digitais
disponibilidade e autenticidade). Cada um desses pilares representa
uma característica necessária à Segurança da Informação. • Certificação
digital

Os assuntos que trataremos aqui compõem aspectos da segurança


da informação, já que a certificação digital é uma comprovação
mútua de autenticidade, a criptografia é um conjunto de regras de
leitura e escrita da informação e a assinatura digital é um método
de validação digital. Com isso, trataremos a informação por esses
três tópicos, no que se refere aos seus pilares básicos.

Há muitas maneiras de preparar senhas, tipos de acesso e formas


de trocar informações. A diferença estará no nível de segurança que
existirá nessa troca de informações.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Conteúdo teórico

Conforme já vimos, a sequência: “dados, informações e


conhecimentos”, corresponde ao maior ativo que uma empresa
possui. Sendo assim, a sua segurança pode representar a diferença
entre o crescimento e o fracasso de uma empresa, ou ainda a
confiança ou não dos stakeholders e/ou acionistas. Existem muitas
formas de ataque e necessidade de defesa por meio de técnicas
para gerenciar riscos e a continuidade dos negócios.

Os pontos que trataremos nesta unidade são de fundamental


relevância para a gestão da Segurança da Informação. Cada
um deles (criptografia, certificações digitais e assinatura digital)
representa uma parte da Segurança da Informação e a atuação
desses três pontos garante uma segurança muito maior.

Apesar de serem tópicos independentes, com as suas respectivas


regras, aplicações, vulnerabilidades, vantagens e desvantagens,
todos se relacionam e se completam.

Apesar de todo o esforço na utilização desses métodos para


aumentar a segurança, eles são passíveis de ataques e quebras
por ameaças como “força bruta”, engenharia social, etc. Contudo,
diminui o risco de que as informações caiam em mãos erradas,
sendo violadas de alguma forma, por métodos semelhantes aos
apresentados ou complementares.

115
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Criptografia
É uma palavra formada pela junção de duas palavras gregas:
kryptós, "escondido ou camuflado"e gráphein, "escrita". Em termos de
segurança da informação, é uma técnica que consiste na conversão
da informação da sua forma original para outra que somente possa
ser lida por “alguém” que tenha a chave de leitura. Dessa forma,
alguém não autorizado terá maior dificuldade de ler a informação.

Os primeiros métodos de criptografia utilizavam um único


algoritmo de codificação. Dessa maneira, era necessário que tanto
o emissor quanto o receptor da informação conhecesse esse
algoritmo. Porém, se um invasor conhecer esse algoritmo decifrará
a mensagem, caso a intercepte.

Há duas formas principais de se fazer a criptografia, a saber:

• criptografia por códigos. O objetivo é “esconder” o conteúdo


da mensagem utilizando códigos predeterminados e de
conhecimento entre as partes envolvidas na troca das
mensagens. Sendo assim, se a mensagem for lida por
pessoas não autorizadas, nada terá significado coerente.
Porém, nesse tipo de solução, com o uso constante dos
códigos, eles podem ser decifrados de forma mais fácil;

• criptografia por cifras. É uma técnica na qual o conteúdo


da mensagem é cifrado pela substituição ou mistura (ou
ambos) dos caracteres da mensagem original (plain text).
A decodificação ocorre, fazendo o procedimento inverso
à “cifragem”. Esse método é implementado com o uso
de algoritmos associados a chaves, que determinarão o
formato do texto criptografado.

116
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Abaixo estão descritos os principais tipos de cifras.

• Cifras de Transposição: nesse caso, o conteúdo da


mensagem é o mesmo (em quantidade de bytes), mas
a ordem dos bytes não é a mesma. (Exemplo: LIVRO ->
RLVIO).

• Cifras de Substituição: já nesse caso, cada byte ou


grupo deles é trocado de acordo com uma tabela de
substituição.

Esse método pode ser dividido em:

1. cifra de César (cifra mono alfabética de substituição


simples): aqui cada byte da mensagem é trocada por
outro, obedecendo uma tabela que pode seguir um
deslocamento do byte em relação aos caracteres
possíveis na tabela. O motivo pelo qual pode ser
chamada de Cifra de César é que este imperador
romano quando trocava mensagens com seus
generais, alterava a ordem das letras onde cada uma
estava três posições à frente no alfabeto;

2. cifra de substituição polialfabética: é semelhante


à cifra de César, porém, mais elaborada, pois utiliza
mais de uma cifra de substituição simples, em que os
bytes são trocados seguidamente, assumindo valores
diferentes;

3. cifra de substituição de polígramos: consiste na troca


de um grupo de bytes e não de apenas um;

117
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

4. cifra de substituição por deslocamento: nesse caso,


a troca dos bytes não ocorre utilizando um valor fixo.
Cada byte é associado a um valor usado na troca por
meio de uma regra. E como seria isso? Vejamos neste
exemplo: imagine se quiséssemos cifrar a palavra
"JATO" utilizando o critério de rotação "035", seria
substituir "J" pela letra que está 0 (zero) posições no
início do alfabeto, o "A" pela letra que está 3 posições a
frente. Esse procedimento é repetido até que a cifragem
seja concluída.

A principal vantagem do método das cifras em relação ao dos A principal vantagem


códigos é que não há limite para as mensagens que serão trocadas. do método das
O método das cifras também é mais seguro em relação ao dos cifras em relação ao
dos códigos é que
códigos.
não há limite para
as mensagens que
Com a evolução da criptografia, começou a se utilizar o conceito serão trocadas.
de chaves, Dessa forma, pode-se usar o mesmo algoritmo (método)
para vários receptores. Isso ocorrerá se cada um receber uma
chave diferente. E ainda, se um receptor perder ou ter a segurança
da chave quebrada, ela poderá ser trocada e o algoritmo será o
mesmo.

Chave de criptografia: chave é um parâmetro (ou uma parte de


informação), com o objetivo de controlar o algoritmo de criptografia.
A variação dessa chave interfere no funcionamento do algoritmo;

Plain text (texto claro): é a informação original, não criptografada;

118
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Chave simétrica: nesse tipo de chave, o emissor e o receptor utilizam


a mesma, ou seja, é uma única chave para codificar e decodificar
a informação. Há vários algoritmos que utilizam chaves simétricas
tais como: o IDEA (International Data Encryption Algorithm), DES
(Data Encryption Standard) e o RC (Ron's Code ou Rivest Cipher).

• DES (Data Encryption Standard): algoritmo criado pela IBM


em 1977 que utiliza chaves de 56 bits o que equivale a 72
quatrilhões de combinações. É um valor muito grande de
combinações, porém já foi quebrado. Ocorreu em 1997 por
meio de um desafio promovido na internet, usando uma
técnica chamada de "força bruta" (por tentativa e erro).

• IDEA (International Data Encryption Algorithm): Algoritmo


criado em 1991 por James Massey e Xuejia Lai. Ele utiliza
de chaves de 128, com estrutura parecida com a do DES.
Porém, em nível de software o IDEA é mais fácil de ser
implementado do que o DES.

• RC (Ron's Code ou Rivest Cipher): este algoritmo foi criado


por Ron Rivest na empresa RSA Data Security, utilizado
em e-mails, utilizao chaves que variam de 8 a 1024 bits.
Foi lançado em várias versões, cuja principal diferença é o
tamanho das chaves.

Existem outros algoritmos tais como 3DES, o AES (Advanced


Encryption Standard) baseado no DES - o Twofish e sua variante
Blowfish.

As chaves simétricas possuem algumas desvantagens. Por


exemplo, não devem ser utilizadas nos casos em que a informação
tenha maior valor. Isso porque a quantidade de usuários interfere
diretamente na quantidade de chaves. Além disso, como o emissor
e o receptor conhecem e transmitem a mesma chave, em algum
momento da transmissão, ela pode ser rastreada por pessoas não
autorizadas.

119
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Chave assimétrica ou "chave pública": este tipo de chave na


realidade trabalha com duas chaves, sendo uma pública e outra
privada. Funciona da seguinte forma: um emissor cria uma chave
de codificação e a envia ao receptor. Essa é a chave pública. A
chave privada é criada para decodificar e, por isso, é secreta. Ou
ainda, o emissor cria uma chave pública e a envia a outros sites.
Quando houver necessidade de algum site enviar informações
criptografadas ao emissor, deverão fazê-lo usando a chave pública
dele. Quando a informação chegar ao emissor, ela somente poderá
ser descriptografada (decodificada) com o uso da sua chave
privada. Tanto o emissor quanto receptor alternam os papéis,
alternando também a utilização das chaves pública e privada.

FIGURA 1 - Processo de criptografia por chave pública

Fonte: www.shutterstock.com

Os principais algoritmos que utilizam as chaves assimétricas são:


RSA (Rivest, Shamir and Adleman), Diffie-Hellman, ElGamal, DSA
(Digital Signature Algorithm) e Schnorr.

• RSA (Rivest, Shamir and Adleman): criado por Adi


Shamir, Ron Rivest e Len Adleman nos laboratórios do
MIT (Massachusetts Institute of Technology) em 1977.
É um dos algoritmos mais utilizados no trato da chave
assimétrica. Nele, a chave privada corresponde a dois
números primos muito grandes, que são multiplicados e a
chave pública é o resultado obtido.

• ElGamal: foi criado por Taher ElGamal, do "logaritmo


discreto" como padrão de segurança. Ele é bastante usado
em assinaturas digitais.

120
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• Criptografia Hash: nesse tipo, através de uma string


(conjunto de caracteres), é calculado um identificador
digital de tamanho fixo. Esse valor é chamado de hash.
Esse resultado pode ser formado por tamanhos que variam
entre 16 e 512 bytes.

As principais características da função hash são:

• o valor de entrada pode ser de qualquer tamanho;

• possui valor de saída com tamanho fixo;

• é de processamento relativamente fácil para qualquer


valor de entrada;

• é uma função “one-way” (não aceita lógica reversa);

• é livre de colisão (duas funções hash não apresentam o


mesmo valor).

Tipos combinados de chaves


Já que as Chaves Assimétrica e Simétrica possuem vantagens
e desvantagens, criou-se um método com o objetivo de associar
as vantagens de cada uma, excluindo as desvantagens. Alguns
protocolos como o TLS (Transport Layer Security) e SSL (Secure
Sockets Layer) se originaram dessa junção.

121
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

E como funciona essa combinação? Como a implementação


da chave simétrica gera problemas como a necessidade de
haver códigos secretos pré-definidos e grande capacidade de
processamento, foi criada uma forma em que na primeira etapa
(handshake) é usada a chave assimétrica, autenticando os pontos e
usando posteriormente uma chave secreta na criptografia simétrica.
Já que o algoritmo de chave pública utiliza um canal mais seguro
na negociação, evitando a necessidade de mudança constante
da chave, todo o restante do processo passa a ser feito usando A criptografia
algoritmos de chave simétrica, reduzindo muito a necessidade quântica nasce
com o objetivo
da alta capacidade computacional, possibilitando a utilização em
de aprimorar a
comunicações intensas. confiabilidade.

A criptografia quântica nasce com o objetivo de aprimorar a


confiabilidade. Ela se utiliza das leis da física para garantir o sigilo
das mensagens trocadas. Ela se baseia em uma lei natural que é
o princípio da incerteza de Heisenberg. Isto é, duas mensagens
são transmitidas em uma única transmissão quântica e o receptor
somente pode ler uma mensagem de cada vez. É dessa incerteza
natural que a criptografia quântica se aproveita.

122
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Ataques e segurança
A análise da segurança dos algoritmos conclui que a segurança
está na dificuldade ou facilidade que alguém pode decodificar
mensagens sem conhecer a chave de decodificação (ou quebrar
o código). Essas investidas são conhecidas como ataques, sendo
que a mais simples e conhecida, nesse caso, é o ataque por força
bruta, isto é, uma tentativa e erro com o intuito de decifrar o código).
Apesar de simples, ela é pouco eficiente, e em alguns casos não
pode ser implementada. Em grande parte dos ataques, utiliza-
se um mix composto de equipamentos robustos e matemática
computacional com o objetivo de decodificar. Esse conceito é
chamado de criptoanálise. São três os tipos de análise que usam
esse método, a saber:

• ataque por texto conhecido: em que o atacante utiliza dois


textos, sendo um plain text e o outro é a criptografia do
primeiro. Dessa forma, ele analisa os textos para descobrir
a chave de criptografia para aplicar nas futuras mensagens;

• ataque por texto escolhido: aqui, é possível para o atacante


escolher o plain text e conseguir o seu correspondente
criptografado;

• criptoanálise diferencial: esse método é uma variante


do método de ataque por texto escolhido. O objetivo é
criptografar vários documentos semelhantes e avaliar os
seus efeitos.

Todos os sistemas criptográficos possuem níveis diferentes de


segurança, dependendo da facilidade ou dificuldade com que são
quebrados. Só haveria um sistema realmente seguro se ele fosse
“teoricamente” inquebrável, ou seja, não importaria a quantidade de
texto normal ou codificado que ele nunca teria informação suficiente
para quebrar as cifras ou deduzir as chaves que foram usadas.

123
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A situação ideal de uma criptografia, é que ela não seja fundamentada


em algoritmos de criptografia, mas sim, na dimensão das chaves
usadas. Um algoritmo deve passar por todos os tipos de testes e por
todas as formas de ataques possíveis com o objetivo de assegurar
a sua resistência às ameaças. Um algoritmo é tão robusto quanto a
sua resistência em relação à quebra de seu código.

Uma das formas de avaliar a força de um algoritmo é divulgar


sua descrição, permitindo que sua eficiência seja discutida por
muitas pessoas, em relação aos seus métodos. Sistemas que
utilizam algoritmos proprietários normalmente não publicam
sua especificação. Isso porque poderá mostrar os pontos fracos
desse algoritmo. Sendo assim, a situação ideal é que um sistema
criptografado seja tão forte e seguro, que nem o seu criador possa
decifrar uma mensagem sem a chave.

Atualmente, as chaves de criptografia correspondem a grandes


sucessões de bits. Lembrando que um bit pode assumir apenas
dois valores (0 ou 1), ou seja, uma chave de quatro dígitos
oferecerá 16 (24) valores distintos para a chave. Portanto, o grau
de confidencialidade da mensagem é diretamente proporcional ao
tamanho da chave.

Verificação de integridade e
autenticação comum
O Código de Autenticação de Mensagem (Message Authentication
Code - MAC) são dispositivos digitais de criptografia, que atuam
com sistemas de criptografia simétrica, cujo objetivo é proteger
a informação. Quando utilizado em relação à informação, esse
método cria um valor (pequena porção de dados). Essa porção atua
como código para o documento.

Se um atacante alterar o MAC (assim como pode alterar os dados),


sem saber qual foi a chave utilizada na criação do MAC, a alteração
da informação fica inviável, aumentando a segurança.

124
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Assinaturas digitais
É um tipo específico de MAC criado por criptografia assimétrica.
A assinatura de uma mensagem consiste na utilização de um
procedimento chamado Message Digest (MD) que é utilizado
para processar o documento. Assim como o MAC, ele gera uma
pequena parte de dados conhecida como hash. A MD é uma função
matemática que condensa toda a informação da mensagem em
uma parte de dados com tamanho fixo. Além disso, deve haver
a garantia que não houve alteração da mensagem durante a
transmissão.

A assinatura digital
A assinatura digital é o resultado desse procedimento sendo uma é o resultado desse
procedimento sendo
garantia que a mensagem recebida corresponda integralmente à
uma garantia que a
original. A principal razão para utilização de funções MD refere-se mensagem recebida
ao tamanho do bloco de dados que será criptografado na obtenção corresponda
da assinatura. Em ambos os casos, o objetivo é possibilitar que integralmente à
original.
a informação trafegue de um ponto a outro, e o receptor deve
comprovar que a mensagem realmente veio do remetente que
confirma o seu envio.

No momento em que o atacante tem acesso à chave privada


que quem assinou o arquivo, a adulteração no documento e/ou
assinatura digital não é percebida.

Outro ponto positivo da assinatura digital é que as informações em


um sistema de computador podem ser assinadas e serem testadas
a sua autenticidade independente da segurança do sistema de
armazenamento.

125
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Sendo assim, podemos dizer que assinatura digital é um tipo de


checksum criptográfico (checksum é um tipo de algoritmo cuja
função é encontrar erros de conteúdo de dados em relação à
origem e o destino) que tem por objetivo perceber ataques iniciados
por fontes acidentais ou intencionais, que alterem o conteúdo de
mensagens.

Certificação digital
É um método digital que possibilita provar e/ou certificar que um
arquivo digital foi realmente produzido por alguma entidade ou
pessoa. Isso acontece já que o emitente da mensagem fornece
uma chave pública para certificar a origem. Já o receptor se utiliza
dessa chave pública digital que fica “anexada” ao arquivo eletrônico.
Portanto, qualquer tentativa de alteração (proposital ou acidental)
provoca sua invalidação.

• Autoridade certificadora (CA ou AC): é uma entidade, privada


ou pública, ligada a ICP-Brasil, cujas responsabilidades são:
emitir, revogar, renovar, distribuir e gerenciar certificados
digitais.

Há muitas autoridades certificadoras e cada uma delas


possui seus certificados, métodos, formas e passos para
certificação.

126
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Uma das aplicações da criptografia é seu uso em ambientes em que

a segurança é importante para o projeto. Um exemplo são os sistemas

dedicados à web. Nesse caso, as informações trafegam em um meio

público. Por isso, há um risco maior de serem interceptadas, podendo

gerar prejuízos para a empresa. A utilização das técnicas de criptografia

não é muito complicada desde que o conhecimento esteja fundamentado.

Aplicações e conexões seguras via web usam o método de criptografia de

chave única implementado pelo protocolo SSL (Secure Socket Layer). O

navegador de internet informa ao site qual será a chave única a ser usada

na conexão segura, antes do início da transmissão das informações.

Dessa forma, o navegador recebe a chave pública do certificado da

organização que mantém o site. Essa chave pública é usada na codificação

e envio de uma mensagem para o site. Essa mensagem contém a chave

única que será usada na conexão segura. O site então utiliza sua chave

privada na decodificação da mensagem e identificação da chave única a

ser usada.

A partir daí, o navegador e o site passam a transmitir os dados, de maneira

segura, através do uso da forma de criptografia de chave única. Essa chave

é alterada em intervalos de tempo pré-definidos, por meio da repetição dos

procedimentos já descritos, melhorando o nível de segurança de todos os

procedimentos.

Em relação aos certificados digitais, um exemplo é a utilização em internet

banking. No momento em que um cliente acessa a própria conta corrente

utilizando a web, certificados digitais são utilizados com o objetivo de

assegurar que o cliente esteja realizando operações financeiras com o

seu banco. O próprio navegador de internet pode exibir mais detalhes em

relação ao certificado. Caso algum problema ocorra com ele, por exemplo,

prazo de validade expirado, o navegador irá exibir uma mensagem.

127
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

No caso das assinaturas digitais, são vários os exemplos de aplicações

da assinatura digital. Na área do governo, temos processos judiciais e

administrativos em meio eletrônico, assinatura da DIRPF (Declaração de

Imposto de Renda de Pessoa Física), DIRPJ (Declaração de Imposto de

Renda de Pessoa Jurídica) e demais serviços prestados pela Secretaria da

Receita Federal, etc.

No âmbito da iniciativa privada a assinatura pode ser utilizada em

contratos, procurações, e-mails, formulários da web, mandatos,

notificações, balanços, relatórios, imagens, declarações, resultados de

exames, laudos e prontuários médicos, etc.

Em termos legais, a Medida Provisória 2.200-2 de 24 de agosto de 2001,

garantiu a validade jurídica de documentos eletrônicos e o consequente

uso de certificados digitais para conferir autenticidade e integridade

aos documentos. Isso fez com que a assinatura digital se tornasse um

instrumento válido juridicamente.

Conforme vimos, tanto a criptografia, quanto o certificado e assinatura

digital são amplamente utilizadas no meio digital. Isso já é uma realidade

e vem se tornando uma exigência em muitos casos sendo o objetivo

principal o aumento da segurança da informação, bem como o seu trafego.

128
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Revisão
A segurança da informação não é tratada de uma única forma ou
é vista de apenas um ângulo, pois há vários processos, políticas e
procedimentos.

A criptografia, certificados digitais e assinaturas digitais são


suscetíveis a quebras por ataques de “força bruta” e também por
engenharia social. Porém, reduzem o risco de que as informações
caiam em mãos erradas.

• Criptografia: É uma palavra formada pela junção de


duas palavras gregas: kryptós, "escondido ou camuflado"
e gráphein, "escrita". É uma técnica de conversão da
informação da sua forma original para outra que somente
possa ser lida por “alguém” que tenha a chave de leitura.

• Criptografia por códigos: o objetivo é “esconder” o conteúdo


da mensagem utilizando códigos predeterminados e de
conhecimento entre as partes.

• Criptografia por cifras: aqui o conteúdo da mensagem


é cifrado pela substituição ou mistura (ou ambos) dos
caracteres da mensagem original (plain text).

129
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Este método é implementado com o uso de algoritmos associados


às chaves, que determinarão o formato do texto criptografado.

• Cifras de Transposição: o conteúdo da mensagem é o


mesmo (em quantidade de bytes), mas a ordem dos bytes
não é a mesma. (Exemplo: LIVRO -> RLVIO).

• Cifras de Substituição: já nesse caso, cada byte ou grupo


deles é trocado de acordo com uma tabela de substituição.
Esse método pode ser dividido em:

1. cifra de César (cifra mono alfabética de substituição


simples): cada byte é trocado por outro, obedecendo
uma tabela que pode seguir um deslocamento do byte
em relação aos caracteres possíveis na tabela;

2. cifra de substituição polialfabética: utiliza mais de


uma cifra de substituição simples, em que os bytes são
trocados seguidamente, assumindo valores diferentes;

3. cifra de substituição de polígramos: consiste na troca


de um grupo de bytes e não de apenas um;

4. cifra de substituição por deslocamento: cada byte é


associado a um valor usado na troca por meio de uma
regra.

A principal vantagem do método das cifras em relação ao dos


códigos é que não há limite para as mensagens que serão trocadas
e é mais seguro em relação ao dos códigos.

Chave de criptografia: chave é um parâmetro para controlar o


algoritmo de criptografia. A variação dessa chave interfere no
funcionamento do algoritmo.

Plain text (texto claro): é a informação original, não criptografada.

Chave simétrica: nesse tipo de chave, o emissor e o receptor


utilizam a mesma chave. São exemplos: o IDEA, DES e o RC.

130
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Chave assimétrica: ou "chave pública" trabalha com duas chaves,


sendo uma pública e outra privada, em que um emissor cria uma
chave de codificação e a envia ao receptor. Essa é a chave pública.
A chave privada é criada para decodificá-la e, por isto, é secreta.

Criptografia Hash: por meio de um conjunto de caracteres, é


calculado um identificador digital de tamanho fixo. Este valor é
chamado de hash e pode ser formado por tamanhos que variam
entre 16 e 512 bytes.

As principais características da função hash são:

• o valor de entrada pode ser de qualquer tamanho;

• possui valor de saída com tamanho fixo;

• é de processamento relativamente fácil para qualquer valor


de entrada;

• é uma função “one-way” (não aceita lógica reversa);

• é livre de colisão (duas funções hash não apresentam o


mesmo valor).

Certificação digital: é um meio digital que permite certificar (ou


provar) que um documento digital foi gerado por alguma entidade
ou pessoa.

Autoridade certificadora (CA ou AC): é uma entidade, privada ou


pública, ligada a ICP-Brasil, cujas responsabilidades são emitir,
revogar, renovar, distribuir e gerenciar certificados digitais.

Assinaturas digitais: é um tipo específico de MAC criado por


criptografia assimétrica. A assinatura é a utilização de um
procedimento chamado Message Digest (MD) utilizado para
processar o documento. Ele gera uma pequena parte de dados
conhecida como hash.

131
unidade 6
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

CARTILHA de segurança para a internet. Centro de Estudos, Resposta e

Tratamento de Incidentes de Segurança no Brasil. Disponível em: <cartilha.

cert.br/criptografia/>. Acesso em: 24 fev. 2016.

CERTISIGN. Institucional. Disponível em: <icp-brasil.certisign.com.br>.

Acesso em: 23 fev. 2016.

INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Institucional.

Disponível em: <www.iti.gov.br/icp-brasil/96- perguntas-frequentes/1743-

sobre-certificacao-digital>. Acesso em: 24 fev. 2016.

MACHADO, Robson Carvalho. Certificação Digital: Os Caminhos do

Documento Eletrônico no Brasil. Rio de Janeiro: Ed. Impetus, 2010.

TERADA, Routo. Segurança de Dados: Criptografia em Rede de Computador.

2.ed. São Paulo: Ed. Blucher, 2008.

132
unidade 6
Segurança em
Sistemas da
Informação
Introdução

Recentemente o advento da internet e seus serviços e crescimento


dos sistemas vêm conquistando um grande e crescente volume
de usuários. Com isso, muitas vulnerabilidades são reportadas
e exploradas diariamente, o que exige das organizações e seus
colaboradores, especialmente os ligados à área de SI, uma atenção
mais que especial. Isso porque a segurança da informação
atualmente é um quesito fundamental à manutenção e ao
crescimento das empresas. • Modelos e
Mecanismos
de Segurança
A internet é uma potencial porta de entrada de ameaças para as dos Sistemas de
Informação
organizações. Enquanto esse recurso não estiver pautado nas
normas, políticas e mecanismos de segurança, a empresa estará
em risco iminente.

A segurança da informação quando adequadamente aplicada


tem o objetivo de blindar a informação, ativo fundamental
de grande utilização nas empresas. Blindar o ambiente de
informações adotando e aplicando procedimentos de segurança
minimiza os riscos. Conforme já vimos, não é possível atingir a
absoluta segurança. Além disso, os investimentos normalmente
são altos e lamentavelmente muitos gestores não dão a devida
atenção a essa necessidade.
Outro ponto a se observar são os ataques internos, promovidos
pelos “insiders”, isto é, colaboradores da organização que por
inocência ou malícia, exploram as vulnerabilidades e atacam as
informações e sistemas.

Os modelos e mecanismos de segurança devem abranger todos os


pontos possíveis que possam gerar vulnerabilidades, pois caso isso
não ocorra, estas poderão permitir as invasões e, consequentemente,
perdas nos mais diversos níveis organizacionais.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Conteúdo teórico
Os sistemas de informação são responsáveis por preservar o
funcionamento da organização, no que se refere ao controle e
aplicação do ativo “conhecimento/informação”. Esses sistemas
recebem a influência de diversos fatores, sejam eles físicos,
humanos e tecnológicos. Sendo assim, é fundamental que recebam
toda a proteção necessária em um ambiente controlado, com o
objetivo de garantir a qualidade das informações.

Parece um contrassenso, mas em termos de vulnerabilidades,


os armazenamentos manuais são mais seguros em relação aos
eletrônicos. Isso porque os dados e informações tendem a ficar
menos expostos.

As políticas em sistemas de segurança da informação devem levar


em conta fatores como:

• ações humanas;

• invasão de terminais;

• incêndios;

• problema de fornecimento de energia elétrica;

• falhas de hardware;

• mudanças de programas;

• problemas de telecomunicações;

• falhas de software;

• roubos de dados, de serviços e de equipamentos;

• erros dos usuários.

136
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A segurança da informação não deve ser tratada de uma única


forma ou vista de apenas um ângulo; há vários processos, políticas
e procedimentos com o objetivo de garantir que a informação esteja
segura e ancorada nos pilares que representam esta informação.

A proteção da informação deve abranger as informações e


conhecimentos organizacionais, bem como estar atenta às
possíveis falhas e às quebras da segurança evitando que o ativo
“informações <-> conhecimentos” sejam danificados e/ou furtados.

Faz parte do conjunto de procedimentos e políticas, um plano de


contingência bem preparado com implantação e execução garantida.

A segurança da informação deve ser tratada de maneira integrada,


considerando todos os pontos de vista, sejam eles no âmbito
pessoal (áreas técnica, de gestão, operacional, etc.), como também
em relação às necessidades e estratégias organizacionais, além das
especificidades de todos os setores e colaboradores envolvidos.

As políticas ligadas à segurança da informação agregam diversos


objetivos que elegem a SI como opção estratégica, pois traz
consequências positivas à organização em todos os níveis.
Algumas são:

• implementar um sustentáculo de confiabilidade e proteção


sobre o qual as diversas atividades ligadas à informação
são elaboradas;

• mostrar que a organização se preocupa com a conservação


e integridade dos seus ativos em todos os níveis
(informação, produtos, processos, etc.);

• demonstrar que a empresa se dedica em cuidar dos


objetivos dos clientes, colaboradores e parceiros,

• deixar claro que os fornecedores e clientes representam o


foco de quaisquer aplicações nesse ponto.

137
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Nos últimos anos, as aplicações organizacionais ligadas aos


sistemas e tecnologias da informação evoluíram de sistemas
fechados e internos para sistemas abertos e distribuídos, nos
quais as empresas possuem reduzidos controle e conhecimento,
se comparado ao primeiro cenário. Isso alterou a forma de solução
de problemas de segurança, já que o foco mudou da maneira
puramente tecnológica para algo muito mais amplo.

Há fatores que influenciam diretamente na SI e não devem ser vistos


de maneira independente e, sim, de uma forma holística, integrada e
sempre alinhada às estratégias de negócios da organização.

São eles:

• concentração: Segundo este princípio, é necessário


aprimorar a eficiência e a eficácia do gerenciamento
dos critérios de proteção, diminuindo as duplicidades
necessárias quando são utilizados preceitos iguais
de proteção para resguardar repositórios distintos de
informação estratégica;

• consistência: segundo esse princípio, os procedimentos


de proteção em relação aos ativos com nível equivalente
de importância também deverão se equivaler. Isto significa
que a forma de proteção deverá ser homogênea em relação
à importância dos ativos protegidos;

• proteção em camadas: este tipo de proteção sugere que os


ativos e os respectivos métodos de proteção (tanto lógicos,
quanto físicos) sejam organizados de maneira concêntrica,
sendo que os mais importantes estrategicamente fiquem
no centro e os menos na periferia;

• relação custo/benefício: essa relação indica a necessidade


de assegurar que os gastos ligados à implementação de
políticas de segurança e o retorno desse investimento (ROI)
seja traduzido em proteção e prevenção;

138
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• redundância: esse fator reforça a necessidade de utilizar


mais de uma maneira de proteção para o mesmo tópico
com o objetivo de preservar um ativo. Isso é fundamental,
pois garante que, em caso de perda do recurso principal de
segurança, um recurso secundário atue aumentando assim
a segurança.

Preservar a integridade, confidencialidade e disponibilidade da


informação contida em sistemas que tratam desse ativo exige
políticas de segurança, que muitas vezes asseguram o não repúdio
e a autenticidade.

A prevenção é o conjunto das medidas que visa reduzir a


probabilidade de concretização das ameaças existentes. O efeito
dessas medidas extingue-se quando uma ameaça se transforma
em um incidente. A prevenção é
o conjunto das
A proteção refere-se às atitudes que visam munir os sistemas de medidas que
visa reduzir a
informação com algumas capacidades como inspeção, detecção,
probabilidade de
reação e reflexo, proporcionando a diminuição bem como a contenção concretização das
das consequências das ameaças quando elas aconteçam. ameaças existentes.

Principais papéis na segurança da informação:

• direção/administração: esse setor, assim como os


colaboradores por ela designados, é e/ou representa os
donos do conhecimento e da informação utilizados pela
organização na comercialização e produção de seus bens,
produtos e serviços, além do relacionamento com os
clientes e parceiros;

• usuários: são todos os que utilizam os sistemas de


informação, independentemente dos níveis de acesso
que tenham. Suas habilidades e conhecimentos técnicos
variam de acordo, basicamente, com dois fatores: a faixa
etária e o tipo de atividade desempenhada;

139
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• pessoal técnico: o software, hardware e outros recursos


e insumos ligados à TI (redes, dispositivos de redes, etc.)
precisam de gerenciamento contínuo. Essas tarefas de
gestão ficam a cargo de colaboradores (contratados ou
terceirizados). Normalmente, independentemente da sua
função, o pessoal da área de TI possui conhecimentos
mais profundos e específicos, de acordo com sua atuação
na área (redes, manutenção, desenvolvimento, suporte,
etc.) se comparado aos usuários leigos. Um treinamento
insuficiente ou inadequado pode abrir brechas para
uma possível ameaça colocando em risco os ativos de
informação e conhecimento;

• parceiros: são as entidades externas que cooperam de


alguma forma com os negócios da organização, nos mais
diversos níveis. Esses personagens podem participar, ou
até gerenciar as políticas de SI na empresa.

Podemos concluir que em função da grande variedade de tipos,


tamanhos, áreas de atuação e evolução nas organizações, há
normalmente, alterações nesses papéis, podendo haver mais
personagens e com atuações diferenciadas.

Os modelos de segurança da informação devem possuir os


seguintes princípios:

• envolvimento: fazer com que a organização tenha uma


visão holística da segurança da informação, já que a
implementação de algumas soluções exige que o panorama
seja do contexto geral do negócio;

• exposição: deixar claro que nenhum ponto relativo à


informação está livre de ataques, fato que estimula à
atenção constante;

• emergência: integrar todos os componentes


organizacionais a SI.

140
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• eiversidade: diversificar as estratégias de prevenção,


proteção e recuperação. É o famoso “Plano B”;

• contexto: propor soluções tecnológicas fundamentadas no


ambiente organizacional e na forma correta de utilização
dos sistemas.

A internet oferece um paradoxo, pois tenta estabelecer o equilíbrio


entre a fácil acessibilidade e a restrição de acesso, ou seja, o
acesso deve ser fácil e rápido aos usuários autorizados e o mesmo
acesso deve ser seguro e robusto para os usuários indevidos. É
fundamental compreender, que o triunfo das organizações está
ligado diretamente à segurança e ao controle das informações.
Isso porque, conforme vimos, as falhas de segurança estão em
constante crescimento, aumentando também os riscos das
empresas, no que se refere à perda e/ou furto das informações. As
empresas necessitam de controles para detecção e prevenção de
falhas de segurança. Porém, é fundamental que isso seja efetuado
de maneira organizada e assertiva controlando as responsabilidades
por toda a organização.

A utilização de sistemas de informação exige dos gestores uma


prévia garantia de estabilidade, segurança e confiabilidade. Dessa
forma, todas as providências necessárias para garantir esses
pontos, devem ser tomadas. O objetivo é evitar (ou minimizar) que
fatores internos e externos (falhas de comunicação, acessos não
autorizados, erros de hardware e de software, treinamentos indevidos,
vírus, sinistros naturais) provoquem um mau funcionamento ou
interrupção dos serviços que dependam da informação. Com esse
objetivo, são muitos os desafios que os gestores devem encarar.
Podemos citar alguns:

• elaborar programas e sistemas com níveis equilibrados de


controle, nem em excesso e nem em falta, pois ambos são
prejudiciais. O excesso do controle desencoraja a utilização
dos usuários, enquanto a falta gera vulnerabilidades;

141
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• utilizar as melhores práticas para o projeto e


desenvolvimento dos sistemas;

• tornar os sistemas (software / hardware / pessoas) mais


resistente a falhas;

• criar políticas e estratégias para continuidade do negócio;

• dedicar atenção à segurança da rede, interna e externa,


pois é uma porta, em potencial, que se não estiver segura,
permitirá o acesso não autorizado.

É importante que o gestor defina regras para realizar reuniões com


o objetivo de avaliar e classificar as possíveis ameaças e impactos.
Algumas dessas regras podem incluir:

• a participação de todos os stakeholders, item fundamental;

• foco no assunto, adequando-o ao tempo;

• coleta ampla de ideias, em que todas devem ser igualmente


válidas;

• os assuntos dever ser debatidos o mínimo possível;

• a objetividade deve ser um pré-requisito.

Outro ponto de extrema importância é a forma como a


organização deve reagir no caso de um desastre, pois este
pode gerar consequências, às vezes incalculáveis. A resiliência
organizacional estabelece a capacidade de sobrevivência, além
de demonstrar o quão preparada está a organização e a atenção
que foi dedicada ao caso.

A preparação e implementação de um plano de reação aos


sinistros, com todas as suas variáveis, não é uma empreitada
simples e necessita do empenho de todos na organização. Isso
porque, a criação dessas medidas de segurança poderá garantir a
continuidade da organização, caso o pior aconteça.

142
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

As características do programa de segurança da informação


são únicas, em função da sua abrangência e importância. Exige
análises profundas em todos os pontos e sob todos os prismas.
Tratar de um programa desses sem a devida atenção poderá gerar
desvios extremamente prejudiciais para a organização. Portanto,
todos os participantes do processo devem estar alinhados aos
conhecimentos gerados e às estratégias a serem utilizadas na
preparação e implementação desse programa de segurança.

Dois outros fatores de sucesso são: a escolha adequada da equipe


e a comunicação do programa a toda empresa. Dessa forma, é
possível garantir que todos os objetivos fiquem alinhados a toda
parte interessada (stakeholders).

O controle eficiente de todas as atividades durante todo o programa


proporcionará a pró-atividade na solução das dificuldades
e problemas, bem como avaliar a eficiência e eficácia das
metodologias adotadas e implementadas.

Em muitos casos, lamentavelmente, o valor dos sistemas de SI


(Sistemas de Informação), só são percebidos quando ocorre um
problema, pois as perdas decorrentes de sua falta podem variar
entre o “desagradável” e o “desastroso”.

Atualmente, muitos sistemas e aplicações envolvendo sistemas


de informação, são utilizados por toda a sociedade moderna.
Alguns exemplos são os sistemas de companhias aéreas,
sistemas bancários, comércio eletrônico, etc. Sendo assim, é fácil
perceber que esses sistemas devem possuir alta disponibilidade,
desempenho e estabilidade, pois problemas implicam em prejuízos.
O principal objetivo da segurança em Sistemas de Informação se
relaciona com a proteção e controle do ambiente computacional,
garantindo a da segurança de informação.

143
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Portanto, o objetivo essencial das políticas organizacionais de


SI é evitar e/ou minimizar incidentes de segurança sejam eles
intencionais ou não.

Modelos e Mecanismos
de Segurança dos
Sistemas de Informação
Um Sistema de Informação é um agrupamento de elementos
que se interrelacionam, com o objetivo de captar, processar,
armazenar e disponibilizar dados e informações de modo que
possam dar apoio à gestão e ao processo de tomada de decisões,
além de facilitar o controle organizacional. Esses sistemas
podem conter informações sobre locais, pessoas, procedimentos
e demais informações importantes para a organização ou seu
ambiente (interno e/ou externo).

Esses sistemas devem abranger todos os elementos e fatores


úteis à direção dos negócios. Esses elementos normalmente
contemplam das atividades corriqueiras até o conhecimento que foi
produzido pela empresa.

Eles devem ser projetados a se ajustarem às organizações e


às suas estratégias, gerando as informações e conhecimentos
necessários e importantes ao andamento de suas atividades.
Portanto, a empresa deve estar atenta às interações geradas pelo
Sistema de Informação, ajustando a maneira de atuação, de acordo
com fatores como: influência do mercado, estratégias do negócio,
mudanças de legislação, dentre outros.

144
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A importância da informação e do conhecimento é responsável pelo


empenho na criação e manutenção dos Sistemas de Informação
com o objetivo de garantir sua proteção, segurança e a consequente
continuidade dos negócios da organização.

Metodologia para garantir a segurança


nos sistemas de informação
Uma metodologia básica e inicial compreende algumas etapas:

1. avaliar os riscos e possíveis impactos que podem expor os


sistemas de informação;

2. definir, com base nas estratégias e possibilidades da


empresa, os níveis de segurança desejáveis e essenciais
aos sistemas;

3. efetuar a devida comparação entre os níveis de segurança


desejados e atingidos;

4. avaliar todas as técnicas disponíveis e possíveis, que


tenham por objetivo a segurança dos sistemas;

5. desenvolver, implementar e implantar as técnicas


escolhidas com base nos itens anteriores;

6. testar essas técnicas de modo a garantir a sua eficiência e


eficácia.

Sendo assim, os principais objetivos da segurança nos sistemas de


Informação são:

a. diminuir probabilidade de que incidentes de segurança


ocorram;

b. reduzir os possíveis danos causados pelos incidentes;

c. garantir a recuperação organizacional, caso aconteçam


falhas de segurança.

145
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Em resumo, a segurança da informação começa com o


estabelecimento de uma política organizacional de segurança
ampla e, em seguida, pela análise e gestão dos riscos inerentes,
incluindo controles de acesso lógico e físico aos sistemas e
recursos de informação, lembrando, obviamente dos treinamentos
e da conscientização dos colaboradores. Contudo, não pode
deixar de existir planos de contingência, recuperação de sinistros e
continuidade do negócio.

A presença e o devido suporte da direção são fundamentais para


o sucesso da política e dos sistemas de segurança de informação.
Esse suporte não se baseia apenas no nível financeiro, mas
principalmente na elevação da segurança de informação a um
patamar de alta prioridade.

As atitudes para garantir a SI devem ser planejadas e implantadas


nas etapas incipientes do desenvolvimento do sistema, dessa forma,
todos os mecanismos de proteção estarão implantados, juntamente
com os sistemas reduzindo o risco e aumentando a eficiência.

Mecanismos de segurança
da informação
Estes mecanismos abrangem controles como:

• físico: evita o acesso indevido às instalações e ao ambiente


computacional;

• lógico: controla o acesso aos sistemas, por meio de


autenticações, além das permissões por níveis de acesso;

• humano: nesse caso, os treinamentos de colaboradores e


parceiros são fundamentais, pois aumentam a eficiência
evitando erros de operação, além de reduzir o risco por
ataques por meio da engenharia social.

Os softwares (básicos e aplicativos), bancos de dados, sistema

146
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

operacional, arquivos de senha e histórico de utilização por


constituírem o maior foco dos ataques, também representam o
principal objeto de proteção.

Há várias formas em nível de software e hardware que são utilizados,


na preservação da Segurança de Informação. Conforme já vimos,
assinatura digital, certificados digitais, criptografia, segurança
física, planos de gestão de riscos e da continuidade de negócios
(PCN), controle de invasões, softwares e políticas contra intrusos
virtuais (antivírus, anti-spyware) são alguns dos mecanismos para a
segurança da informação.

Eles podem ser agrupados em três grupos:

• segurança na comunicação: visa proteger os dados e as


informações no momento em que estão sendo trocadas ou
compartilhadas por meio de uma rede local (LAN), intranet
ou mesmo internet. Vimos em outras unidades, algumas
das formas de implementar esse tipo de segurança:
criptografia (e suas diversas formas), certificados digitais e
assinaturas digitais;

• sontroles de acesso lógico: esses controles são elaborados


usando conjuntos de hardware e software, adequadamente
configurados, de modo que os usuários não autorizados
não consigam usar os recursos computacionais. Além
disso, no caso de serem usuários, eles possuem níveis de
acesso de acordo com a função. Dessa forma, só veem e
acessam o que lhes for autorizado;

• controles de acesso físico: visa proteger a


estrutura física na qual a parte lógica está instalada.
Isso é feito de algumas formas: autorização formal de
acesso às dependências da empresa, nos locais onde
se encontram os equipamentos (servidores, switch,
equipamentos de rede) que devem permanecer trancados
e protegidos. Além disso, deve-se manter uso constante

147
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

de crachás ou credenciais nessas áreas.

Lamentavelmente, não existem mecanismos com 100% de eficácia


na proteção dos sistemas de informação. Por isso, todos esses
possíveis mecanismos devem atuar em conjunto.

Sendo assim, é muito importante a existência de planos que


minimizem o impacto no caso de sinistros. São eles:

• plano de recuperação de desastres: nesse ponto, após


a ocorrência de um sinistro, os recursos de TI que foram
prejudicados são substituídos por outros adequadamente
preparados, agilizando a restauração total ou a um nível
aceitável. Esse plano recomenda que uma organização
mantenha seu funcionamento mesmo após a ocorrência
de problemas. Um plano de recuperação de desastres visa
solucionar dois problemas: primeiro, a forma de restaurar as
operações após a ocorrência de um incidente e o segundo,
como se comportar durante a recuperação de um primeiro
sinistro, se um outro ocorrer. Isso deixa claro que o plano de
recuperação de desastres também deve levar em conta as
prioridades e as respectivas resoluções dos conflitos;

• plano de contingência: o objetivo desse plano é manter o


funcionamento dos sistemas mesmo que tenha havido um
sinistro. Ele é composto de 4 fases:

• análise preliminar: aqui são realizados os estudos


iniciais avaliando e detectando recursos e funções
críticos, além de deixar claro para a gestão
organizacional e para os colaboradores, a necessidade
da empresa possuir um plano de contingência;

• análise de impacto: nessa fase, são avaliados os


impactos sobre a organização no caso de um sinistro.
Essa análise abrange a avaliação de tempo de parada e
o custo correspondente de cada atividade envolvida;

148
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• análise das opções para recuperação: nesse caso,


são produzidos estudos sobre o que é possível fazer
para recuperar os sistemas e serviços e/ou mantê-los
funcionando;

• criação do plano de contingência: aqui o plano é


definido e detalhado e os recursos diversos são
estabelecidos. Essa fase considera algumas etapas
para a recuperação de um sinistro, são elas: detectar e
entender o problema; restringir os prejuízos (financeiros
ou não); conter e/ou solucionar o problema; identificar
as perdas; restabelecer o funcionamento dos sistemas
e, por fim, extinguir os motivos de modo a evitar nova
ocorrência do sinistro.

Outro ponto fundamental é disseminar a cultura da segurança da


informação, pois como vimos, ela é composta de vários pilares
e vista de várias formas. Sendo assim, é importante que exista
um plano para conscientizar toda a organização para que todos
os envolvidos, em todos os níveis (operação, desenvolvimento,
manutenção, redes, etc.) recebam os devidos treinamentos de
modo que possam participar ativamente de todos os processos
associados à Segurança de Informação. Os treinamentos devem
ser constantes, com o objetivo de manter todo o quadro de
colaboradores em sintonia entre si e com as normas, treinamentos
e conceitos, além do comprometimento com os procedimentos
para garantir a Segurança de Informação.

Toda a equipe do projeto deve estar preparada para transmitir


credibilidade ao longo da implementação da Segurança de
Informação.

Todas as diretrizes e normas devem ser divulgadas de forma


intensiva por toda a empresa. É necessário que essas normas e
diretrizes descrevam o que será protegido, bem como atitudes que
serão tomadas no caso de problemas de segurança.

149
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

É fundamental salientar que os problemas que interferem em um ou


mais pilares de SI podem provocar consequências, como a redução
e/ou perda negócios e de confiabilidade em relação aos clientes e
parceiros. Adotando as medidas e procedimentos aqui vistos, isso
sempre deve ser evitado.

Toda organização, seja de qual tamanho for, necessita de controles que

lhe proporcionarão um funcionamento e crescimento seguros. Esses

controles são representados por sistemas informatizados que abrangem

todas as áreas, tais como: CPR (contas a pagar e receber), folha de


Todas as diretrizes
pagamento, controle de clientes, controle de estoques, contabilidade,
e normas devem ser
controle financeiro e sistemas específicos adequados ao negócio e às divulgadas de forma
estratégias da organização. Lembrando que existem sistemas integrados intensiva por toda a
empresa.
e divididos em módulos em que cada módulo contém uma das funções

citadas acima.

Adquirir equipamentos confiáveis de fornecedores certificados é um

ponto muito importante, pois representa a garantia de que o hardware

estará mais estável. Também é fundamental possuir “cópias” desses

equipamentos, com a mesma configuração e estrutura física. Isso garante

que uma pane de hardware seja resolvida com uma simples troca.

Quanto aos sistemas, há dois caminhos: a compra e o desenvolvimento.

A compra implica em customização do software, adaptação da empresa

ou ambos. Além do custo da compra, há também a manutenção mensal

que muitas empresas cobram para manter os softwares atualizados e em

funcionamentos.

Já o desenvolvimento implica em contratações de analistas e

desenvolvedores, mas reduz o custo com manutenções avulsas e mensais,

além do software ficar “mais” próximo da organização.

O cuidado com a rede elétrica deve ser levado em conta, pois picos

ou instabilidades podem provocar danos ao hardware. O uso de

estabilizadores e/ou nobreaks pode minimizar esse risco. Dado que há

casos em que não podem ocorrer paradas, a utilização de geradores de

150
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

energia se faz necessária.

O banco de dados é o ponto mais importante a ser protegido. Essa

proteção está no nível de invasão e de corrupção da base. A prevenção e

a proteção são feitas por meio das cópias de segurança que reduzirão o

tempo de parada e evitará a perda de dados e informações.

O acesso físico à empresa é outro ponto importante. Ele deve ser feito por

meio de controles de entrada de visitantes na organização, bem como do

acesso dos funcionários a locais não autorizados.

A empresa deve possuir programas de proteção como antivírus e

antispyware, além de treinamentos para evitar que colaboradores sejam

vítimas de ataques por engenharia social.

Os roteadores e demais equipamentos de rede devem ser adequadamente

configurados para evitar o acesso a sites maliciosos e não permitir a

invasão de hackers.

E, finalmente, a organização deve possuir uma equipe responsável para

dar cumprimento a todas as medidas citadas acima, buscando a melhoria

contínua e a tolerância zero.

Revisão
A segurança da informação deve ser tratada sob o ângulo de vários
processos, políticas e procedimentos com o objetivo de garantir que
a informação esteja segura e ancorada nos pilares que representam
essa informação.

A proteção da informação deve abranger as informações e


conhecimentos organizacionais sempre atenta às falhas e às
quebras da segurança.

Faz parte do conjunto de procedimentos e políticas um plano de


contingência bem preparado, com implantação e execução garantida.

151
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Algumas consequências positivas das políticas de segurança da


informação:

• implementação de confiabilidade e proteção para a


informação e atividades relacionadas;

• conservação e integridade dos seus ativos organizacionais


(informação, produtos, processos, etc.);

• demonstração de que a empresa se dedica em cuidar dos


objetivos dos clientes, colaboradores e parceiros;

• mostra que os fornecedores e clientes representam o foco


de quaisquer aplicações nesse ponto.

Há fatores que influenciam diretamente na SI e devem ser vistos de


maneira holística, integrada e alinhada às estratégias de negócios
da organização. São eles:

• concentração: é necessário aprimorar a eficiência e a


eficácia do gerenciamento dos critérios de proteção,
diminuindo as duplicidades necessárias e usando preceitos
iguais de proteção em repositórios distintos de informação;

• consistência: os procedimentos de proteção dos ativos com


nível equivalente de importância devem ser equivalentes;

• proteção em camadas: os ativos e respectivos métodos de


proteção são organizados de maneira concêntrica, com os
mais importantes no centro e os menos na periferia;

• relação custo/benefício: indica a garantia de que os gastos


com a implantação de políticas de segurança e o retorno
desse investimento (ROI) seja traduzido em proteção e
prevenção;

• redundância: necessidade de utilizar mais de uma maneira


de proteção para o mesmo tópico. Isso garante que, em
caso de perda do recurso principal de segurança, um
secundário atue.

152
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

A prevenção é o conjunto das medidas para reduzir a probabilidade


de concretização das ameaças existentes.

A proteção refere-se às atitudes que visam munir os sistemas de


informação com algumas capacidades como inspeção, detecção,
reação e reflexo.

Principais papéis na segurança da informação:

• direção/administração: são e/ou representam os donos


do conhecimento e da informação na organização, na
confecção e venda de seus bens, produtos e serviços, e do
relacionamento com os clientes e parceiros;

• usuários: são os que usam os sistemas. Suas habilidades


e conhecimentos técnicos variam de acordo com a faixa
etária e o tipo de atividade desempenhada;

• pessoal técnico: são os responsáveis pela gestão dos


recursos e insumos de TI. Podem ser contratados ou
terceirizados. Esse pessoal possui conhecimentos mais
profundos e específicos se comparados aos usuários
leigos;

• parceiros: são as entidades externas que cooperam com


os negócios da organização. Eles podem participar, ou até,
gerenciar as políticas de SI na empresa.

Podemos concluir que o tamanho, tipo, áreas de atuação e a forma


de evolução das organizações alteram ou interferem nesses papéis.

Os modelos de segurança da informação devem possuir os seguintes


princípios: envolvimento, exposição, emergência e diversidade.

Implantar um modelo com essas características melhorará a


resistência, o reconhecimento e recuperação de erros.

Abaixo estão níveis de maturidade de programas de SI nas organizações:

153
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

1. definição de políticas e normas de segurança;

2. definição da estrutura dos processos da segurança;

3. implantação dos procedimentos de suporte à inspeção,


proteção, detecção e reação às falhas de segurança;

4. realização de ações de conscientização e de formação em


segurança;

5. realização periódica de auditorias e testes à segurança;

6. implantação de processos de resposta rápida;

7. validação do modelo de proteção e da sua implementação.

As políticas em sistemas de segurança da informação devem levar


em conta fatores como:

• ações humanas;

• invasão de terminais;

• incêndios;

• problema de fornecimento de energia elétrica;

• falhas de hardware;

• mudanças de programas

• problemas de telecomunicações;

• falhas de software;

• roubos de dados, de serviços e de equipamentos;

• erros dos usuários.

Uma metodologia básica e inicial compreende algumas etapas, são


elas:

1. avaliar os riscos e possíveis impactos que podem expor os


sistemas de informação;

154
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

2. definir, com base nas estratégias e possibilidades da


empresa, os níveis de segurança desejáveis e essenciais
aos sistemas;

3. efetuar a devida comparação entre os níveis de segurança


desejados e atingidos;

4. avaliar todas as técnicas disponíveis e possíveis, que


tenham por objetivo a segurança dos sistemas;

5. desenvolver, implementar e implantar as técnicas


escolhidas com base nos itens anteriores;

6. testar essas técnicas de modo a garantir a sua eficiência e


eficácia.

Principais objetivos da segurança nos sistemas de informação são:

a. diminuir a probabilidade de que incidentes de segurança


ocorram;

b. reduzir os possíveis danos causados pelos incidentes;

c. garantir a recuperação organizacional, caso aconteçam


falhas de segurança.

É importante que o gestor defina regras básicas para realizar


reuniões de avaliação e classificação de ameaças e impactos:

• a participação de todos os stakeholders é fundamental;

• foco no assunto, adequando-o ao tempo;

• coleta ampla de ideias, em que todas devem ser igualmente


válidas;

• os assuntos dever ser debatidos o mínimo possível;

• a objetividade deve ser um pré-requisito.

Os mecanismos de SI abrangem controles como:

155
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

• físico: evitando o acesso indevido às instalações e ao


ambiente computacional;

• lógico: controlando o acesso aos sistemas, por meio de


autenticações, além das permissões por níveis de acesso;

• humano: com treinamentos de colaboradores e parceiros


para aumentar a eficiência e reduzir erros de operação e
riscos de ataques por engenharia social.

Eles podem ser agrupados em três grupos:

• segurança na comunicação: proteção dos dados e


informações durante a troca ou compartilhamento na rede
local (LAN), intranet ou internet;

• controles de acesso lógico: utilizam conjuntos de hardware


e software para inibir a utilização indevida dos recursos
computacionais;

• controles de acesso físico: proteção da estrutura física que


“hospeda” a parte lógica como por exemplo: autorização
formal de acesso e proteção dos equipamentos (servidores,
switch, equipamentos de rede, etc.).

É muito importante a existência de planos que minimizem o impacto


no caso de sinistros. São eles:

• plano de recuperação de desastres: após a ocorrência


de um sinistro, os recursos de TI prejudicados devem ser
substituídos;

• plano de contingência: manter o funcionamento dos


sistemas mesmo que tenha havido um sinistro. Ele é
composto de 4 fases:

• análise preliminar: estudos iniciais para identificar os


recursos e funções críticos;

• análise de impacto: avaliação dos impactos sobre a

156
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

organização no caso de um sinistro (tempo de parada e


o custo correspondente de cada atividade envolvida);

• análise das opções para recuperação: produção de


estudos sobre a recuperação e/ou manutenção dos
sistemas e serviços;

• criação do plano de contingência: definição detalhada


do plano e dos recursos estabelecidos.

Assim é importante haver plano de conscientização de todos os


envolvidos, com treinamentos adequados e a participação ativa
garantindo a segurança de informação.

MOREIRA, N.S. Segurança Mínima: Uma Visão Corporativa da Segurança

de Informação. Rio de Janeiro: Axcel Books, 2001.

SECRETARIA DA TECNOLOGIA DA INFORMAÇÃO DO ESTADO DE SÃO

PAULO. Institucional. Disponível em: <www.sisp.gov.br>. Acesso em: 28 fev.

2016.

TI: ESPECIALISTAS DESENVOLVENDO IDEIAS. Institucional. Disponível em:

<www.tiespecialistas.com.br>. Acesso em: 28.fev. 2016.

157
unidade 7
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

158
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Identificação
e Solução de
Problemas Reais
Introdução

Os estudos e técnicas associados à segurança da informação têm


um único objetivo que é o esforço em preservar a organização
de ataques que venham a colocar em risco as informações
organizacionais.

Vimos que apesar desses esforços, vários ataques vêm ocorrendo • Testes de Invasão
de forma contínua, ano após ano. Uma simples busca em sites e Ferramentas de
Segurança
mostra vários casos de ataques bem sucedidos a organizações e
• Revisão
governos ao redor do mundo. Na grande maioria dos casos, isso
ocorreu por vulnerabilidades dos softwares e serviços e também
por falhas humanas. Lembrando que os softwares são escritos e
desenvolvidos por pessoas, o que eleva a níveis altos as causas por
motivos de falhas humanas. Os sites, que retornam as pesquisas
mencionadas, normalmente mostram estudos de institutos
internacionais demonstrando as fragilidades, as formas de ataque e
as respectivas consequências.

Vulnerabilidades sejam elas de tecnologias, de processos ou de


pessoas abrem brechas para falhas. Quando elas permitem que
um ataque ocorra são gerados problemas para a organização,
que podem variar entre prejuízos financeiros à redução ou quebra
de credibilidade e de visibilidade de mercado. Várias grandes
empresas ao redor do mundo são vítimas de constantes tentativas
de ataques em que, muitas vezes, as pequenas vulnerabilidades

159
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

proporcionaram os grandes ataques.

Por isso, é reforçada a necessidade de levantamento e solução


de todos os pontos de vulnerabilidade. Sempre com o objetivo
de minimizar os riscos de invasões, furtos de informações e
consequentes perdas.

Após toda a estrutura de defesa pronta, é fundamental elaborar os


testes e colocá-los em prática de modo a assegurar que a estrutura
seja eficaz e eficiente ao SI.

Mostraremos algumas estatísticas e trataremos aqui os principais


testes de invasão e ferramentas de segurança.

160
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Testes de Invasão
e Ferramentas de
Segurança
Conforme mencionado, uma simples busca em sites de pesquisa
mostra vários casos de ataques bem sucedidos a organizações e
governos ao redor do mundo.

Isso é tão sério que transmite a sensação de total insegurança,


pois grandes organizações internacionais e governos de países
desenvolvidos parecem impotentes diante da realidade apresentada.

No Brasil, isso tão ou até mais preocupante do que no cenário


mundial. O país está entre os cinco mais atacados por invasores
virtuais. O país está entre os
cinco mais atacados
por invasores
A seguir, veremos um estudo contendo os principais incidentes de
virtuais.
2014, mês a mês, bem como as causas, consequências e atitudes
necessárias para evitá-los e/ou minimizá-los. Esse estudo, sem as
causas e metodologias de tratamento foi feito pela empresa ESET
(empresa especializada em SI) em relação aos principais incidentes
de SI em 2014.

Janeiro de 2014

Causa: envio de e-mails falsos convidando os usuários do WhatsApp


a baixarem nova versão desse aplicativo. Os e-mails possuíam um
cavalo de troia com o objetivo de roubar dados bancários.

Consequência: nesse caso, os ataques foram bem sucedidos,


pois os invasores contaram com três fatores ligados aos usuários:
ingenuidade, falta de conhecimento e falta de interesse em buscá-
lo. Conforme vimos em unidades anteriores, vários atacantes usam
essa técnica já ciente do despreparo de usuários.

161
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Atitude: a proposta de prevenção de novos ataques com essas


características passam invariavelmente por treinamentos
ostensivos, de modo a deixar claro aos usuários, que ele é o principal
responsável direto pela segurança das próprias informações. Sendo
assim, instruções e testes constantes farão a diferença nesse caso.

Fevereiro de 2014

Causa: uma provável falha de segurança que, possibilitou o desvio


de aproximadamente 750 mil bitcoins, ao longo do tempo. Isso
fez com que a MtGox, uma grande casa de câmbio de bitcoin,
terminasse suas atividades, provocando a perda total do dinheiro
dos investidores nesse tipo de moeda.

Consequência: aqui, os pontos de vulnerabilidades do sistema não


foram adequadamente verificados, solucionados e nem a solução
foi testada. Dessa forma, o atacante encontrou essa vulnerabilidade
e promoveu o ataque.

Atitude: a prevenção desse tipo de ataque é feita através da


avaliação completa dos insumos de tecnologia de modo que
as vulnerabilidades nesse ponto sejam eliminadas. Lembrando
que essas atitudes devem ser contínuas e evolutivas de modo
que acompanhe a evolução das formas de ataque bem como do
conhecimento dos invasores.

Março de 2014

Causa: vários links de internet anunciavam que poderiam mostrar


cenas do incidente com o voo da Malaysia Airlines. Esse link, na
realidade, apontava para sites maliciosos. Além de infectar os
computadores de cerca de 500 mil em todo o mundo.

Consequência: nesse caso, o invasor usou a curiosidade, além dos


fatores citados no item de janeiro de 2014. Ou seja, usou um fato
citado na mídia mundial para atrair os usuários despreparados.

162
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Atitude: aqui as estratégias de prevenção se constituem por rotinas


de instruções e treinamentos constantes. Isso fará com que o
usuário fique mais atento, não permitindo que invasores se utilizem
de sua curiosidade, ingenuidade e despreparo para promover
ataques.

Abril de 2014

Causa: nesse período ocorreu o Heartbleed, uma das piores


vulnerabilidades já conhecidas após o advento da internet. Essa
vulnerabilidade presente em algumas variantes do OpenSSL
proporcionou o acesso de cibercriminosos a milhares de servidores
pelo mundo conectados à web.

Consequência: nesse caso, a vulnerabilidade era do serviço


OpenSSL. Ocorreu por motivos semelhantes aos citados acima no
mês de fevereiro de 2014.

Atitude: vulnerabilidades de softwares são resolvidas com a devida


atenção às “portas abertas”. Os primeiros pontos de acesso mal
intencionado a ser observados pelos hackers são as tais portas.
A avaliação completa e contínua de possíveis vulnerabilidades
minimiza muito esse tipo de invasão.

Maio de 2014

Causa: nesse caso, alguns criminosos virtuais adquiriram


credenciais de acesso com alguns colaboradores dos sites eBay
e Spotify. Isso prejudicou bases de dados que possuíam senhas
criptografadas além de informações financeiras.

Consequência: aqui dois fatores podem ter contribuído para a


invasão: o primeiro é a participação consciente dos colaboradores,
e o segundo é pela engenharia social em que o invasor usa da boa
fé do colaborador. Ambos permitem conhecer as credenciais de
acesso.

163
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Atitude: nesse caso, a ingenuidade deve ser tratada com


treinamentos adequados de modo que o colaborador perceba a
importância da discrição e da sua responsabilidade em relação
às informações organizacionais. Já a má fé deve ser tratada
pelos meios legais e de forma exemplar de modo a inibir futuras
ocorrências.

Junho de 2014

Causa: semelhante ao que ocorreu com o voo da Malaysia Airlines,


os criminosos virtuais utilizaram as notícias relativas à Copa do
Mundo para espalhar e-mails e links maliciosos com o objetivo de
criarem ataques e infectar usuários.

Consequência: assim como o que ocorreu em março de 2014, o


invasor usou a curiosidade e despreparo dos usuários, além dos
fatores citados no item de janeiro de 2014.

Atitude: nesse caso, o ponto forte será o treinamento adequado,


intenso e contínuo, pois dessa forma o usuário se tornará mais apto
no cuidado com as informações a ele ligadas.

Julho de 2014

Causa: uma erro de segurança encontrado no módulo de


autenticação da versão móvel do PayPal (sistema de pagamentos)
permitiu um ataque em que os invasores tiveram acesso às 143
milhões de contas da empresa.

Consequência: aqui, a vulnerabilidade era do software da versão


móvel que não foi adequadamente verificado e testado. Dessa
forma, o atacante encontrou a vulnerabilidade e promoveu o ataque.

Atitude: assim como no item de abril de 2014, os softwares podem


apresentar vulnerabilidades que são exploradas pelos hackers
como primeira opção. Elas devem ser resolvidas com a devida

164
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

manutenção no software e, se isso não for possível, o programa e/


ou serviço deve ser substituído.

Agosto de 2014

Causa: nesse mês, ocorreram vários casos de roubo de informações


confidenciais. Falhas nos filtros de segurança de 76 mil contas da
Mozilla Foundation. Isso permitiu que cibercriminosos da Rússia
furtassem aproximadamente 1,2 milhões de senhas de usuários
de mais de 500 milhões de endereços de e-mail. Houve também
o caso do ataque a UPS (uma das maiores empresas de logística
e transporte no mundo). Ela passou por um ataque em que foram
furtadas informações bancárias dos seus clientes em cerca de 50
escritórios nos EUA. Detalhe, essa operação levou aproximadamente
sete meses.

Consequência: nesse caso, em ambas as situações, os ataques


ocorreram por falhas nos procedimentos de configuração das
estruturas de software e hardware, permitindo que os atacantes
utilizassem vulnerabilidades já presentes nas estruturas das
organizações.

Atitude: avaliar de forma mais profunda e contínua todas as


possíveis vulnerabilidades da estrutura de proteção, fechando
portas e resolvendo as falhas de segurança. Em muitos casos, isso
significa refazer procedimentos e alterar rotinas implicando em
novos custos à organização.

Setembro de 2014

Causa: nesse mês, o foco dos ataques foram as pessoas famosas


de diversos países, principalmente dos Estados Unidos. Muitos
deles que guardavam fotos em serviços de nuvem (cloud) viram
seus conteúdos ficarem disponíveis a quem quisesse ver.

Consequência: aqui dois fatores podem ter influenciado o ataque:

165
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

a vulnerabilidade não tratada e a engenharia social, isso porque em


ambos os casos são necessários login e senha para acessar os
dados no ambiente de nuvem.

Atitude: o treinamento aliado à verificação das rotinas, processos,


procedimentos e políticas de segurança poderão minimizar as
chances de que novos ataques ocorram - a atenção nesses pontos
é fundamental.

Outubro de 2014

Causa: uma vulnerabilidade chamada de “Poodle” foi descoberta no


SSL 3.0 (Secure Sockets Layer, ferramenta de criptografia de sites,
que autentica as partes), fazendo com que esse serviço perdesse
ainda mais credibilidade. Nota: o serviço citado ainda era muito
utilizado, apesar dos seus 15 anos de existência.

Consequência: nesse caso, a vulnerabilidade era do software,


semelhante aos motivos citados nos itens de fevereiro e julho de
2014.

Atitude: falhas de software são resolvidas com a devida manutenção


nos programas, porém, quando os softwares são de propriedade
de terceiros e não há como promover ou solicitar os ajustes, é
necessário a sua substituição.

Novembro de 2014

Causa: aqui várias ameaças como o Wirelurker, um malware,


direcionadas aos sistemas operacionais Windows e Mac OS foram
disseminadas no ambiente virtual. O objetivo era furtar informações
de dispositivos com o Sistema Operacional iOS (tablets e iPhones).

Consequência: mesmo que uma ameaça semelhante a essa esteja


ao alcance do usuário, ela somente irá infectar o sistema, se for
acessada por links e/ou e-mails. Dessa forma, é instalada uma

166
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

ameaça nos sistemas operacionais.

Atitude: políticas de treinamentos contínuos e abrangentes irão


reduzir drasticamente esse tipo de ataque, pois os usuários estarão
mais conscientes, protegendo os sistemas e as informações sob a
sua responsabilidade.

Dezembro de 2014

Causa: nesse mês, o principal foco do ataque foi a Sony Pictures.


Cibercriminosos ligados à Coréia do Norte tiveram acesso a
informações importantes como e-mails dos executivos. Isso
ocorreu em protesto ao lançamento do filme “A Entrevista”, que
gerou conflito entre aquele país e os Estados Unidos.

As formas de tratar
Consequência: nesse caso, dois fatores podem ter proporcionado as vulnerabilidades
o ataque: a vulnerabilidade não tratada e a engenharia social, isso que permitiram as
porque em ambos os casos são necessários login e senha para invasões tendem a
seguir um padrão.
acessar os e-mails.

Atitude: assim como em março de 2014, os treinamentos adequados


e contínuos deverão cuidar no que se refere à ingenuidade dos
usuários. Dessa forma, o usuário irá perceber de forma mais clara
a importância da discrição e das informações organizacionais. Já a
vulnerabilidade deverá ser resolvida usando os meios adequados a
cada caso, isso reduzirá futuras ocorrências.

Conforme vimos, as formas de tratar as vulnerabilidades que


permitiram as invasões tendem a seguir um padrão. Sempre
“esbarrando” no fator humano em itens como engenharia
social, configuração indevida de serviços, softwares com falhas
de funcionamento, dentre outros. É por esses motivos que
reforçamos a tese defendida por vários estudiosos e pesquisadores,
demonstrando que o ponto mais fraco no controle da informação
são as pessoas. Abaixo vemos um gráfico demonstrando essa
situação.

167
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 1 - Incidentes de SI mais frequentes em 2014

Fonte: Arquivo Institucional.

Esses testes têm por objetivo detectar ameaças e vulnerabilidades,


executando simulações de ataque aos ativos, insumos,
equipamentos e softwares.

No decorrer desse processo, as vulnerabilidades, fraquezas e


deficiências técnicas são avaliadas, evidenciando as avaliações de
confidencialidade, disponibilidade e integridade das informações
organizacionais.

São documentadas todas as informações relativas aos testes, sejam


elas os parâmetros pré-definidos e os resultados colhidos durante
os testes. Toda atividade também é documentada com informações
de data, hora e endereços IP de origem e destino, interno e externo,
bem como todas as metodologias e ferramentas utilizadas. Além
disso, a área técnica com representantes da área administrativa
deve compor o quadro de colaboradores responsáveis.

Existem diversas técnicas que podem ser utilizadas nos testes


dos sistemas de segurança e de sua estrutura. Lembrando que as

168
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

aplicabilidades apresentadas pelos sistemas de testes utilizam as


mesmas possibilidades exploradas pelos invasores.

Antes do início dos testes propriamente ditos, é necessária uma


etapa prévia conhecida como Preparação e Planejamento. Essa
etapa consiste em um levantamento prévio com o objetivo de criar
um modelo e/ou padrão para os testes. Aqui, são verificados itens
como: recursos, equipamentos, infraestrutura, ataques e formas de
atuação. São definidos também os termos de confidencialidade das
informações que serão usadas nos testes.

Abaixo estão informados alguns desses métodos.

• Sondagem e mapeamento
Esse método promove a varredura pelos hosts (“nós da Antes do início dos
rede”) ativos, identificando as regras do firewall, efetuando testes propriamente
ditos, é necessária
o mapeamento de topologia e detectando os serviços de
uma etapa prévia
rede que estejam em execução. conhecida como
Preparação e
• Força bruta Planejamento.
Nesse caso, são analisados os serviços e os controle
de acesso e de autenticação vulneráveis a ataques por
tentativa e erro em relação às senhas.
Além disso, a qualidade e a implementação da política de
senhas também são avaliadas.

• Avaliação de servidores web


Procura as principais fragilidades em serviços e servidores
web, manejando as requisições com o objetivo de prejudicar
a segurança de serviços web.

• Análise de tráfego de rede


O tráfego de rede é analisado com o objetivo de identificar
e obter informações críticas (login, senha, tipos de acesso,
etc.) por meio do manuseio do tráfego de redes.

• Identificação e exploração de vulnerabilidades


Após a detecção das fragilidades, os códigos maliciosos

169
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

são inseridos para sondar as vulnerabilidades detectadas.

• Injeção de código
Tem o objetivo de explorar softwares cujas entradas de
informações por parte dos usuários não são tratadas
de forma adequada. Assim um invasor insere códigos
que serão tratados pelo servidor. Essa inserção pode ser
feita por meio de cookies, endereços de sites (internos
e externos), formulários e parâmetros e tem o objetivo
de provocar um funcionamento indevido no servidor,
expondo ou alterando dados e informações.
Podemos concluir que é fundamental que os testes
de invasão e de segurança sejam parte integrante das
políticas de segurança da informação. Há várias maneiras
de gerenciar a segurança dos sistemas, redes e aplicações
organizacionais, e esses testes representam apenas
uma das possíveis ferramentas, entretanto, são as que
demonstram resultados mais próximos da realidade. É
fundamental estar alerta para a relevância das auditorias
preventivas, entendendo as necessidades relativas à
prevenção da exposição dos ativos de TI aos riscos
associados.

Nada melhor para ilustrar uma teoria do que compreendê-la na prática.

O filme “Hackers 3: antitrust” mostra de forma objetiva e bem realista

os assuntos e todo o contéudo vistos nesta unidade. Dessa forma, é

fundamental que o aluno assista a esse filme com muita atenção e avalie

as questões abaixo.

1. Qual é a principal motivação dos comportamentos dos hackers

nesse filme?

2. Identifique as principais vulnerabilidades que foram exploradas.

3. Proponha soluções para o que foi identificado no item 2 acima.

170
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

HACKERS 3: antitrust. Filme. Direção: Peter Howitt. Produção: David

Hoberman, Ashok Amritraj, C.O. Erickson,

Julia Chasman. EUA. 2001. DVD (110 min).

Revisão
Vulnerabilidades sejam elas de tecnologias, de processos ou de
pessoas abrem brechas para falhas que permitem que ataques
ocorram, gerando problemas para a organização: de prejuízos
financeiros à redução ou quebra de credibilidade e de visibilidade
de mercado. Várias grandes empresas ao redor do mundo são
vítimas de constantes tentativas de ataques e, muitas vezes, são as
pequenas vulnerabilidades que proporcionam grandes ataques.

Os principais problemas de SI entre as pequenas e médias empresas


são:

1. vírus e worms: estudos mostram que atualmente 75%


das pequenas e médias empresas em nível global foram
atacadas por essas ameaças, pelo menos uma vez no
ano de 2014. Esses tipos de ataques, quando eficazes,
trazem como conseqüências: bases danificadas, clientes
insatisfeitos, prejuízos financeiros, retrabalho, dentre outras;

2. furto de informações: quando essa ameaça se torna


efetiva, é muito proveitosa para os cibercriminosos, pois
nessas empreitadas podem ser furtadas informações
como números e senhas de cartões de crédito e de
seguro-desemprego, etc. Os invasores vêm nas pequenas
e médias empresas, alvos mais fáceis em relação às
grandes. Isso ocorre, pois as grandes organizações tendem
a possuir mais recursos e sistemas de segurança ligados
à informação. Nesse caso, muitos delitos ocorrem com o
auxílio de profissionais da própria empresa. Esse tipo de

171
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

problema causa perda de credibilidade, além de prejuízos


financeiros;

3. disponibilidades dos serviços: esse tipo de ataque visa


“derrubar” os serviços on-line da empresa. Ele pode
interromper o funcionamento de sites, comércio eletrônico
e até servidores locais que não estejam devidamente
protegidos. Novamente, a credibilidade da empresa fica
prejudicada se esse tipo de ataque vier a público. Qual
cliente ou comprador gostaria de saber que a empresa
sofreu esse tipo de ataque?

4. falta de domínio de novas tecnologias e sistemas: todas


as vezes que uma nova tecnologia é disponibilizada,
muitos invasores se aproveitam disto para enviar códigos
maliciosos e/ou arquivos infectados. Isso ocorreu, por
exemplo, no início do funcionamento de “mensageiros
instantâneos”, como o WhatsApp.

A área de segurança da informação é bastante abrangente no que


se refere às possibilidades de atuação profissional, pois oferece
diversos cargos, cada um com suas peculiaridades, pontos de
atuação e nível salarial.

Áreas como auditorias em sistemas, sites, infraestrutura, análise de


vulnerabilidade e testes de intrusão, gerenciamento da segurança
da informação (análise de risco, desenvolvimento de políticas,
procedimentos e normas), configuração e manutenção de firewalls,
atuação na central de serviços com foco de resolução de incidentes
e problemas relacionados à segurança da informação, entre outras.

Os estudos e técnicas associados à segurança da informação têm


um único objetivo que é o esforço em preservar a organização
de ataques que venham a colocar em risco as informações
organizacionais.

Vimos que apesar desses esforços, vários ataques vêm ocorrendo

172
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

de forma contínua, ano após ano. Uma simples pesquisa em


sites de busca mostra vários casos de ataques bem sucedidos a
organizações e governos ao redor do mundo. Na grande maioria dos
casos, isso ocorreu por vulnerabilidades dos softwares e serviços e
também por falhas humanas. Lembrando que os softwares foram
escritos e desenvolvidos por pessoas, o que eleva a níveis altos as
causas por motivos de falhas humanas.

As formas de tratar as vulnerabilidades que permitiram as invasões


tendem a seguir um padrão. Sempre “esbarrando” no fator humano
em itens como engenharia social, configuração indevida de
serviços, softwares com falhas de funcionamento, dentre outros.
São por esses motivos que reforçamos a tese defendida por vários
estudiosos e pesquisadores que demonstram que o ponto mais
fraco no controle da informação são as pessoas.

Os testes de invasão têm por objetivo detectar ameaças e


vulnerabilidades, executando simulações de ataque aos ativos,
insumos, equipamentos e softwares.

Existem diversas técnicas que podem ser utilizadas nos testes


dos sistemas de segurança e de sua estrutura. Lembrando que as
aplicabilidades apresentadas pelos sistemas de testes utilizam as
mesmas possibilidades exploradas pelos invasores.

A etapa de preparação e planejamento ocorre antes dos testes e


consiste em um levantamento prévio com o objetivo de criar um
modelo e/ou padrão para os testes. São verificados itens como
recursos, equipamentos, infraestrutura, ataques e formas de
atuação. São definidos também os termos de confidencialidade das
informações que serão usadas nos testes. Veja alguns métodos de
testes.

• Sondagem e mapeamento: promove a varredura pelos


hosts (“nós da rede”) ativos, identificando as regras
do firewall, efetuando o mapeamento de topologia e

173
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

detectando os serviços de rede que estejam em execução.

• Força bruta: verifica se os serviços de controle de acesso e


de autenticação são vulneráveis a ataques por tentativa e
erro em relação às senhas.

• Avaliação de servidores web: procura as principais


fragilidades em serviços e servidores web, manejando as
requisições com o objetivo de prejudicar a segurança de
serviços web.

• Análise de tráfego de rede: o tráfego de rede é analisado


com o objetivo de identificar e obter informações críticas
(login, senha, tipos de acesso, etc.) por meio do manuseio
do tráfego de redes.

• Identificação e exploração de vulnerabilidades: após a


detecção das fragilidades, os códigos maliciosos são
inseridos para sondar as vulnerabilidades detectadas.

• Injeção de código: explora softwares cujas entradas de


informações por parte dos usuários não são tratadas de
forma adequada.

Podemos concluir que é fundamental que os testes de invasão e


de segurança sejam parte integrante das políticas de segurança
da informação. Há várias maneiras de gerenciar a segurança
dos sistemas, redes e aplicações organizacionais, e esses testes
representam apenas uma das possíveis ferramentas, entretanto, é a
que demonstra resultados mais próximos da realidade.

LAUNE, Fernanda. Invasão e fraude em sistema de votação. Diário da

Manhã. Disponível em: <http://www.dm.com.br/cotidiano/2015/12/

invasao-e-fraude-em-sistema-de-votacao.html>. Acesso em: 29 fev.

2016.

174
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

HACKERS 3: antitrust. Filme. Direção: Peter Howitt. Produção: David

Hoberman, Ashok Amritraj, C.O. Erickson,

Julia Chasman. EUA. 2001. DVD (110 min).

MOREIRA, N.S. Segurança Mínima: uma visão corporativa da segurança de

informação. Rio de Janeiro: Axcel Books, 2001.

POLÍCIA Federal combate crimes cibernéticos no DF e em Goiás. EBC

Agência Brasil. Disponível em: <http://agenciabrasil.ebc.com.br/geral/

noticia/2015-12/policia-federal-combate-crimes-ciberneticos-no-df-e-

em-goias>. Acesso em: 29 fev. 2016.

TI ESPECIALISTAS: DESENVOLVENDO IDEIAS. Institucional. Disponível em:

<www.tiespecialistas.com.br>. Acesso em: 29 fev. 2016.

175
unidade 8
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Referências
AURICCHIO, Jocelyn. ESET aponta os principais incidentes com
segurança da informação de 2014. BIT Magazine. Disponível em: <http://
www.bitmag.com.br/2015/01/eset-aponta-os-principais-incidentes-
com-seguranca-da-informacao-de-2014/>. Acesso em: 29 fev. 2016.

BLOG DO RICARDO LEOCÁDIO PLACE. Disponível em: <https://eltiger.


wordpress.com/>. Acesso em: 28 fev. 2016.

BRASILIANO, Antônio Celso R. Guia prático para gestão de continuidade


de negócios. São Paulo: Ed. Sicurezza, 2014. Disponível em: <www.abnt.
org.br> Acesso em 14 fev.2016.

CAMPOS, André. Sistema de Segurança da Informação: Controlando os


Riscos. Florianópolis: Visual Books, 2014.

CARVALHO, Daniel Balparda de. Seguranca de Dados com Criptografia.


São Paulo: Ed. Book Express, 2001.

DIAS, C. Segurança e Auditoria da Tecnologia da Informação. Rio de


Janeiro: Axcel Books, 2000.

FERREIRA, Fernando N.; ARAUJO, Marcio T. Política de Segurança da


Informação: Guia prático para elaboração e implementação. Rio de
Janeiro: Ciência Moderna, 2006.

FERREIRA, Fernando Nicolau; ARAUJO, Marcio Tadeu de. Política de


Segurança da Informação: Guia prático para elaboração e implementação.
Rio de Janeiro: Ed. Ciência Moderna, 2014.

FLORINDO, Rafael A. Portal ESPWEB Especialização em Web e Mobile


(on-line). Disponível em: <www.espweb.uem.br>. Acesso em: 15 jan.

176
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

2016.

FONTES, Edison. Políticas e normas para Segurança da Informação


Cism, Cisa, Crisc. Rio de Janeiro: Brasport, 2014. Disponível em: <www.
abnt.org.br>. Acesso em: 01. fev. 2016.

INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Institucional.


Disponível em: www.iti.gov.br/icp-brasil. Acesso em: 28 fev. 2016.

LANDIM, Wikerson. 12 principais incidentes de segurança da


informação. Tecmundo. Disponível em: <http://www.tecmundo.
com.br/seguranca/73110-12-principais-incidentes-seguranca-
informacao-2014.htm>. Acesso em: 29 fev. 2016.

MANN, Ian – Engenharia Social. São Paulo: Blucher, 2011.

MATERA SYSTEMS. Institucional. Disponível em: <www.matera.com>.


Acesso em: 24 fev. 2016.

MENEZES, Josué das Chagas. Gestão da Segurança da Informação. –


São Paulo: Ed. J.H Mizuno, 2006.

MITNICK, Kevin D. & Simon, William L. A arte de invadir. São Paulo:


Prentice Hall, 2005.

PROFISSIONAIS TI. Institucional. Disponível em: <www.profissionaisti.


com.br/>. Acesso em: 28 fev. 2016.

SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão


executiva. Rio de Janeiro: Módulo, 2013.

TRIBUNAL REGIONAL DO TRABALHO (4ª REGIÃO, RIO GRANDE DO


SUL). Institucional. Disponível em: <www.trt4.jus.br/>. Acesso em: 24 fev.
2016.

177
www.animaeducacao.com.br