CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

Conceitos de Segurança da Informação

Segurança da Informação

Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as

empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e
golpes. Assim, a segurança da informaçãosurgiu para reduzir possíveis ataques aos sistemas
empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os
sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos.

Princípios Básicos da Segurança da Informação

Disponibilidade

É a garantia de que os sistemas e as informações de um computador estarão disponíveis quando

necessário.

Confidenciabilidade

É a capacidade de controlar quem vê as informações e sob quais condições. Assegurar que a

informação só será acessível por pessoas explicitamente autorizadas.

Autenticidade

Permite a verificação da identidade de uma pessoa ou agente externo de um sistema. É a

confirmação exata de uma informação.

Integridade

Princípio em que as informações e dados serão guardados em sua forma original evitando possíveis
alterações realizadas por terceiros.

Auditoria

É a possibilidade de rastrear os diversos passos que o processo realizou ou que uma informação foi
submetida, identificando os participantes, locais e horários de cada etapa. Exame do histórico dos
eventos dentro de um sistema para determinar quando e onde ocorreu violação de segurança.

Privacidade

Capacidade de controlar quem viu certas informações e quem realizou determinado processo para
saber quem participou, o local e o horário.

Legalidade

É a garantia de legalidade de uma informação de acordo com a legislação vigente.

WWW.DOMINACONCURSOS.COM.BR 1
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

Não Repúdio

Não há como "dizer não" sobre um sistema que foi alterado ou sobre um dado recebido.

Ameaças

Uma ameaça acontece quando há uma ação sobre uma pessoa ou sobre um processo utilizando
uma determinada fraqueza e causa um problema ou consequência. Sendo assim, são caracterizados
como divulgação ruim, usurpação, decepção e rompimento. As ameaças podem ter origem natural,
quando surgem de eventos da natureza, como terremotos ou enchentes; podem ser involuntárias,
como falta de energia ou erros causados por pessoas desconhecidas; ou se tratam de ameaças
voluntárias em que hackers e bandidos acessam os computadores no intuito de disseminar vírus e
causar danos.

Tipos de Ameaça

Ameaça Inteligente: Situação em que seu adversário possui capacidade técnica e operacional para
fazer uso de algo vulnerável no sistema;

Ameaça de Análise: Após uma análise poderão descobrir as possíveis consequências da ameaça a
um sistema.

Principais Ameaças ao Sistema de Informação: incêndio, problemas na eletricidade, erros no

hardware e software, alterações em programas, furto de dados, invasão ao terminal de acesso,
dificuldades de telecomunicação, etc.

Ataques

Um ataque pode ser decorrente de um furto a um sistema de segurança no intuito de invadir sistemas
e serviços. Ele pode ser dividido em ativo, passivo e destrutivo;o ativo muda os dados, o passivo
libera os dados e o destrutivo proíbe qualquer acesso aos dados. Para que um ataque seja
considerado bem sucedido o sistema atacado deve estar vulnerável.

Tipos de Ataque

Cavalo de Troia

O cavalo de troia ou trojan horse, é um programa disfarçado que executa alguma tarefa maligna. Um
exemplo:o usuário roda um jogo que conseguiu na Internet. O jogo secretamente instala o cavalo de
troia, que abre uma porta TCP do micro para invasão. Alguns trojans populares são NetBus, Back
Orifice e SubSeven. Há também cavalo de troia dedicado a roubar senhas e outros dados sigilosos.

Quebra de Senha

O quebrador, ou cracker, de senha é um programa usado pelo hacker para descobrir uma senha do
sistema. O método mais comum consiste em testar sucessivamente as palavras de um dicionário até
encontrar a senha correta.

Denial Of Service (DOS)

Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de
serviços. Há muitas variantes, como os ataques distribuídos de negação de serviço (DDoS). Nessa
variante, o agressor invade muitos computadores e instala neles um software zumbi, como o Tribal
Flood Network ou o Trinoo. Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam
o servidor-alvo, tirando-o do ar.

Mail Bomb

É a técnica de inundar um computador com mensagens eletrônicas. Em geral, o agressor usa um

script para gerar um fluxo contínuo de mensagens e abarrotar a caixa postal de alguém. A sobrecarga
tende a provocar negação de serviço no servidor de e-mail.

WWW.DOMINACONCURSOS.COM.BR 2
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

Phreaking

É o uso indevido de linhas telefônicas, fixas ou celulares. Conforme as companhias telefônicas foram
reforçando a segurança, as técnicas tornaram-se mais complexas. Hoje, o phreaking é uma atividade
elaborada, que poucos hackers dominam.

Scanners de Portas

Os scanners de portas são programas que buscam portas TCP abertas por onde pode ser feita uma
invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de
um computador durante muitos dias, em horários aleatórios.

Smurf

O Smurf é outro tipo de ataque de negação de serviço. O agressor envia uma rápida seqüência de
solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um
endereço de broadcast. Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe
as respostas não para o seu endereço, mas para o da vítima. Assim, o computador-alvo é inundado
pelo Ping.

Sniffing

O sniffer é um programa ou dispositivo que analisa o tráfego da rede. Sniffers são úteis para
gerenciamento de redes. Mas nas mãos de hackers, permitem roubar senhas e outras informações
sigilosas.

Spoofing

É a técnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema.
Há muitas variantes, como o spoofing de IP. Para executá-lo, o invasor usa um programa que altera o
cabeçalho dos pacotes IP de modo que pareçam estar vindo de outra máquina.

Scamming

Técnica que visa roubar senhas e números de contas de clientes bancários enviando um e-mail falso
oferecendo um serviço na página do banco.

Controles de Segurança

Autenticar e Autorizar

Autorizar um usuário é conceder ou negar acesso ao sistema utilizando controles de acesso no intuito
de criar perfis de acesso. Com esses perfis é possível definir que tarefa será realizada por
determinada pessoa. Autenticar é a comprovação de que uma pessoa que está acessando o sistema
é quem ela diz ser. Ela é importante, pois limita o controle de acesso e autoriza somente
determinadas pessoas o acesso a uma informação.

Processo de Autenticação

Identificação positiva: quando o usuário possui alguma informação em relação ao processo, como
acontece quando ele possui uma senha de acesso.

Identificação proprietária: o usuário tem algum material para utilizar durante a etapa de identificação
como um cartão.

Identificação Biométrica: casos em que o usuário se identifica utilizando alguma parte do corpo como
a mão ou impressão digital.

WWW.DOMINACONCURSOS.COM.BR 3
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

Prevenção de Riscos e Códigos Maliciosos (Malware)

Contas e Senhas

Elabore sempre uma senha que contenha pelo menos oito caracteres, compostos de letras, números
e símbolos e jamais utilize como senha seu nome, sobrenomes, números de documentos, placas de
carros, números de telefones, datas que possam ser relacionadas com você ou palavras que façam
parte de dicionários.

Utilize uma senha diferente para cada serviço e altere com frequência. Além disso, crie tantos
usuários com privilégios normais, quantas forem as pessoas que utilizam seu computador.

Vírus

• Instale e mantenha atualizado um bom programa antivírus e atualize as assinaturas do antivírus,

de preferência diariamente;

• Configure o antivírus para verificar os arquivos obtidos pela Internet, discos rígidos (HDs) e
unidades removíveis, como CDs, DVDs e pen drives;

• Desabilite no seu programa leitor de e-mails auto-execução de arquivos anexados às mensagens;

• Não execute ou abra arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de
pessoas conhecidas. Caso seja necessário abrir o arquivo, certifique-se que ele foi analisado pelo
programa antivírus;

• Utilize na elaboração de documentos formatos menos suscetíveis à propagação de vírus, tais

como RTF, PDF ou PostScript;

• Não utilize, no caso de arquivos comprimidos, o formato executável. Utilize o próprio formato
compactado, como por exemplo Zip ou Gzip.

Worms, Bots e Botnets

• Siga todas as recomendações para prevenção contra vírus;

• Mantenha o sistema operacional e demais softwares sempre atualizados;

• Aplique todas as correções de segurança (patches) disponibilizadas pelos fabricantes, para corrigir
eventuais vulnerabilidades existentes nos Softwares utilizados;

• Instale um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente
seja explorada ou que um worm ou bot se propague.

Incidente de Segurança e Uso Abusivo na Rede

O incidente de segurança está relacionado a qualquer problema confirmado ou não e tem relação
com redes de computadoresou sistemas de computação. Pode ser caracterizado por tentativas de
acesso aos dados de um sistema, acessos não autorizados, mudanças no sistema sem prévia
autorização ou sem conhecimento da execução, etc.

O uso abusivo na rede é um conceito mais difícil de ser definido, mas possui características
específicas como envio de spams e correntes, distribuição de documentação protegida por direito
autoral, uso indevido da internet para ameaçar e difamar pessoas, ataques a outros computadores,
etc.

Registros de Eventos (logs)

Os logs são registros de tarefas realizados com programas de computador e geralmente são
detectados por firewalls. Os logs podem ser acusados no momento em que uma pessoa tenta entrar
em um computador e é impedido pelo firewall. Verifique sempre os logs do firewall pessoal e de IDSs

WWW.DOMINACONCURSOS.COM.BR 4
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

que estejam instalados no computador e confira se não é um falso positivo, antes de notificar um
incidente.

Notificações de Incidentes

Muitas vezes um computador é atacado por um programa ou pessoa mal intencionada. Caso seja um
ataque proveniente de um computador, avise aos responsáveis pela máquina para que sejam
tomadas medidas necessárias. No entanto, caso esse ataque venha de uma pessoa que invadiu seu
sistema com um computador é importante avisá-lo de tal atitude para que tome as medidas cabíveis.

Incluia logs completos com data, horário, time tone (fuso horário), endereço IP de origem, portas
envolvidas, protocolo utilizado e qualquer outra informação que tenha feito parte da identificação do
incidente. Além disso, envie a notificação para os contatos da rede e para os grupos de segurança
das redes envolvidas; manter cert@cert.br na cópia das mensagens.

A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de

preservar o valor que possuem para um indivíduo ou uma organização. São características básicas
da segurança da informação os atributos
deconfidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita
somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O
conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito
de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de
Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a
dos sistemas em si.

Atualmente o conceito de Segurança da Informação está padronizado pela

norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de
normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação,
incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua
sendo considerada formalmente como 17799:2005 para fins históricos.

Conceitos de Segurança

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada

empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-
se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou
pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de
segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da
situação de segurança existente. A segurança de uma determinada informação pode ser afetada por
fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a
cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal
informação.

A tríade CIA (Confidentiality, Integrity and Availability) —

Confidencialidade, Integridade e Disponibilidade — representa os principais atributos que,
atualmente, orientam a análise, o planejamento e a implementação da segurança para um
determinado grupo de informações que se deseja proteger. Outros atributos importantes são
a irretratabilidade e a autenticidade. Com a evolução do comércio eletrônico e da sociedade da
informação, a privacidade é também uma grande preocupação.

Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os

seguintes:

• Confidencialidade – propriedade que limita o acesso a informação tão somente às entidades

legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

• Integridade – propriedade que garante que a informação manipulada mantenha todas as

características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

WWW.DOMINACONCURSOS.COM.BR 5
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

• Disponibilidade – propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

• Irretratabilidade – propriedade que garante a impossibilidade de negar a autoria em relação a uma

transação anteriormente feita

Para a montagem desta política, deve-se levar em conta:

• Riscos associados à falta de segurança;

• Benefícios;

• Custos de implementação dos mecanismos.

Mecanismos de Segurança

O suporte para as recomendações de segurança pode ser encontrado em:

• Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a
infraestrutura (que garante a existência da informação) que a suporta.

Existem mecanismos de segurança que apóiam os controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc ..

• Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em
ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não
autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

• Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-

la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a
partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados.
A operação inversa é a decifração.

• Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são

função, garantindo a integridade e autenticidade do documento associado, mas não a sua
confidencialidade.

• Mecanismos de garantia da integridade da informação. Usando funções de “Hashing” ou de

checagem, consistindo na adição.

• Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões

inteligentes.

• Mecanismos de certificação. Atesta a validade de um documento.

• Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a

personificação por intrusos.

• Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um

cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o,
fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.

• Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos
mecanismos citados aqui

Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer
segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais,
filtros anti-spam, fuzzers, analisadores de código, etc.

WWW.DOMINACONCURSOS.COM.BR 6
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

Ameaças à Segurança

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3

características principais, quais sejam:

• Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada

informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas
informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.

• Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio
por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o
controle do proprietário (corporativo ou privado) da informação.

• Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem
necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa,
que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou
uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não
autorizada de pessoas com ou sem má intenção.

No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes

maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois
tentam ajudar a encontrar possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade
por vários motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo
com pesquisa elaborada pelo Computer Security Institute ([1] ), mais de 70% dos ataques partem de
usuários legítimos de sistemas de informação (Insiders) — o que motiva corporações a investir
largamente em controles de segurança para seus ambientes corporativos (intranet).

Invasões na Internet

Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um
conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem
permissão. A segurança é usada especificamente para referência do problema genérico do assunto,
já os mecanismos de proteção são usados para salvar as informações a serem protegidas. A
segurança é analisada de várias formas, sendo os principais problemas causados com a falta dela a
perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por
algumas razões: fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de
causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicação,
ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou
perda de um disco. Para evitar a perda destes dados é necessário manter um backup confiável,
guardado longe destes dados originais.

Exemplos de Invasões

O maior acontecimento causado por uma invasão foi em 1988, quando um estudante colocou na
internet um programa malicioso (worm), derrubando milhares de computadores pelo mundo. Sendo
identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi completamente
removido da rede. Esse programa era feito em linguagem C, e não se sabe até hoje qual era o
objetivo, o que se sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse
programa se auto-copiava em todos os computadores em que o estudante invadia. Essa “brincadeira”
não durou muito, pois o estudante foi descoberto pouco tempo depois, processado e condenado a
liberdade condicional, e teve que pagar uma alta multa.

Um dos casos mais recentes de invasão por meio de vírus foi o do Vírus Conficker (ou Downup,
Downadup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional
Microsoft Windows, e que foi primeiramente detectado em outubro de 2008. Uma versão anterior do
vírus propagou-se pela internet através de uma vulnerabilidade de um sistema de rede do Windows
2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e
do Windows Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês. O vírus
bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança e, portanto,
é possível a qualquer usuário de internet verificar se um computador está infectado ou não,
simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas

WWW.DOMINACONCURSOS.COM.BR 7
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

de segurança. Em janeiro de 2009, o número estimado de computadores infectados variou entre 9 e

15 milhões.

Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em

recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da
criação e/ou distribuição do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de
emergência para corrigir a vulnerabilidade MS08-067, através da qual o vírus prevalece-se para
poder se espalhar. As aplicações da atualização automática se aplicam somente para o Windows XP
SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas não são
mais suportados. Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender, Enigma
Software, Eset,F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram atualizações com
programas de detecção em seus produtos e são capazes de remover o vírus. A McAfee e o AVG
também são capazes de remover o vírus através de escaneamentos de discos rígidos e mídias
removíveis.

Através desses dados vemos que os anti-vírus devem estar cada vez mais atualizados, estão
surgindo novos vírus rapidamente, e com a mesma velocidade deve ser lançado atualizações para os
bancos de dados dos anti-vírus para que os mesmos sejam identificados e excluídos. Com a criação
da internet essa propagação de vírus é muito rápida e muito perigosa, pois se não houver a
atualização dos anti-virus o computador e usuário estão vulneráveis, pois com a criação da internet
várias empresas começarão a utilizar internet como exemplo empresas mais precisamente bancos,
mas como é muito vulnerável esse sistema, pois existem vírus que tem a capacidade de ler o teclado
(in/out), instruções privilegiadas como os keyloggers. Com esses vírus é possível ler a senha do
usuário que acessa sua conta no banco, com isso é mais indicado ir diretamente ao banco e não
acessar sua conta pela internet.

Nível de segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a
estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível
de segurança devem ser quantificados os custos associados aos ataques e os associados à
implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um
ataque.

Segurança física

Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, acesso

indevido de pessoas, forma inadequada de tratamento e manuseio do material.

Segurança lógica

Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados,
violação de senhas, etc.

Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de

aplicação. Normalmente é considerada como proteção contra ataques, mas também significa
proteção de sistemas contra erros não intencionais, como remoção acidental de importantes arquivos
de sistema ou aplicação.

Políticas de segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num
conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma
organização.

As políticas de segurança devem ter implementação realista, e definir claramente as áreas de

responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve
também adaptar-se a alterações na organização. As políticas de segurança fornecem um
enquadramento para a implementação de mecanismos de segurança, definem procedimentos de
segurança adequados, processos de auditoria à segurança e estabelecem uma base para
procedimentos legais na sequência de ataques.

WWW.DOMINACONCURSOS.COM.BR 8
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de
implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do
tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de
segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a
NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas
27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001,
foi publicada em 2005.

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é
expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

• A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar,
possa usar. Dados críticos devem estar disponíveis ininterruptamente.

• A Legalidade

• A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.

• A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter
condições de analisar a identidade do sistema.

• A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou
ao grupo por ele liberado.

Políticas de Senhas

Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou password é a

mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso,
por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em
casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental
é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

• Senha com data para expiração

Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias,
obrigando o colaborador ou usuário a renovar sua senha.

• Inibir a repetição

Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais
que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60%
dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres
“s” “e” os demais diferentes.

• Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos

Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:

1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4

subseqüentes alfabéticos por exemplo: 1432seus.

• Criar um conjunto com possíveis senhas que não podem ser utilizadas

Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso, como por
exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome
como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4

WWW.DOMINACONCURSOS.COM.BR 9
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

• Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais
como: @ # $ % & *

2º texto retirado do site tutomania Segurança da Informação ( comportamento do usuário )

Segurança da Informação (comportamento do usuário).

O Ser Humano frente à Segurança da Informação

A comunidade de segurança da informação recentemente deu-se conta de que o comportamento do
usuário desempenha um papel importante em incidentes de segurança.

1.0 O ser humano como ‘elo’ mais fraco do sistema

Sistemas de segurança da informação são freqüentemente comparados a uma corrente com muitos
elos representando os componentes envolvidos, tais como equipamento, software, protocolos de
comunicação de dados, e outros, incluindo o usuário humano.

Na literatura sobre segurança da informação, o usuário humano é freqüentemente referenciado como

o elo mais fraco (Sasse etal., 2001). Entretanto, além de culpar o usuário, pouco tem sido feito para
identificar os fatores que levam a comportamentos potencialmente inseguros e menos ainda para
tentar resolver tais problemas.

2.0 Prejuízos às organizações frente a utilização de senhas

Corporações já gastaram milhões de dólares em firewalls, encriptação e dispositivos de acesso
seguro.
Recursos que talvez tenham sido desperdiçados, uma vez que os usuários desses sistemas ainda
são humanos, com todas as suas limitações humanas e, portanto, ainda o elo mais fraco.

Em 2006, as fraudes virtuais custaram ao Brasil cerca de 300 milhões de reais, de acordo com o
Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI). Muitas deles podem ter sido
ocasionadas com a falta de cuidados na criação de senhas. Gastos com TI subiram de 2003 para
2004 30%, e parte destes gastos são relativos a criação de mecanismos de segurança do sistema.

Em relação a gastos com Segurança em TI, observe os argumentos utilizados por um site de
consultoria em Segurança da Informação:

“A maioria das empresas ainda não considera

a segurança de suas informações um investimento
prioritário – embora, curiosamente, geralmente
dependam totalmente dela para operar e sobreviver”

“Segurança da informação não gera receita,

reduz custos ou traz inovações e para a maioria dos
projetos nessa área é simplesmente impossível
quantificar antecipadamente um ROI financeiro”

“Infelizmente, a maioria das empresas que

investem em segurança da informação gastam seu
orçamento em medidas corretivas e táticas – ao invés
de aplicá-lo em medidas preventivas e estratégicas”

3.0 Memória Humana

Há uma série de características que impactam o projeto e o uso de sistemas de senhas. Entre essas
características, uma das principais é a memorabilidade. Existe uma vasta gama de pesquisas em
Psicologia da memória, que poderia ser usada para auxiliar na melhor compreensão do que está
acontecendo de fato na mente humana ao ter que lembrar várias senhas no dia-a-dia. Os critérios
para gerar senhas fortes fazem com que seja difícil para seres humanos mantê-las na memória,
especialmente quando se tem várias senhas para lembrar.

Um artigo interessante publicado no site da UFRGS – Universidade Federal do Rio Grande do Sul
incluía a explicação do professor Geraldo Fernando Xavier a respeito do funcionamento da memória.

WWW.DOMINACONCURSOS.COM.BR 10
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

“Temos uma estrutura neurológica de complexidade extremamente elevada e, por isso, conseguimos
arquivar as memórias”, afirma Geraldo Fernando Xavier, professor do Departamento de Fisiologia do
Instituto de Biociências. Uma experiência marcante faz conjuntos de células de o sistema nervoso
entrar em intensa atividade elétrica, o que pode desencadear reações bioquímicas e, assim, alterar a
conexão entre os neurônios. Isso ocorre em vários pontos do cérebro, criando circuitos relacionados
à representação da experiência original.

Existem muitas técnicas para treinar a memória. O primeiro a estudá-las foi o jesuíta italiano Mateo
Ricci no século XVI. Ele se imaginava andando por um palácio que conhecia muito bem e guardando
informações em lugares conhecidos, como gavetas e outros objetos. “A estratégia é manter as
informações num contexto conhecido e ensaiá-las por mais tempo”, revela Xavier. Essa é a base de
todos os métodos ditos modernos, métodos de associação.

4.0 O que, então, as pessoas fazem?

Há vários “maus hábitos”, amplamente difundidos, que já foram identificados (Brown etal., 2004, Yan
et al., 2004). Tais maus hábitos incluem escrever as senhas em papel e armazená-los em locais
óbvios, como o monitor do computador ou sob o mouse pad, ou utilizar a mesma senha
repetidamente, ou ainda, escolher palavras simples ou nomes que são muito fáceis de adivinhar.

Maus hábitos no uso de senhas significam que políticas de segurança, que foram cuidadosamente
elaboradas, não estão sendo observadas. Na verdade, esses maus hábitos se materializam em
vulnerabilidades de sistemas de informação, tais como senhas fracas, senhas comuns ou senhas
visíveis. A seguir segue uma resumida lista de dicas para criação de senhas retirado do site da O
CESUP-RS que é um Centro Nacional de Supercomputação, localizado na Região Sul do Brasil, em
Porto Alegre, RS.

4.1 Sugestões para a Criação e Proteção de Senhas

A senha de uma conta é um elemento crítico na segurança dos sistemas informatizados.
O CESUP-RS sugere aos seus usuários trocar periodicamente suas senhas (no máximo de 2 em 2
meses) e que estas sejam diferentes nas diversas máquinas que ele estiver autorizado a usar.
A seguir, o CESUP-RS faz algumas considerações de como manter a privacidade de uma senha,
como “inventar” uma senha e outras sugestões. Estas considerações foram retiradas da literatura e
divulgadas no site da Artic Region Supercomputing Center.

1) Tente memorizar sua senha e evite escrevê-la. Se necessitar escrever sua senha, lembre-se:

a. Não a identifique como sendo uma senha;

b. Não escreva, junto à ela, nome da conta (username) e/ou máquina que está cadastrada;

c. Escreva-a diferente do que ela é, misturando caracteres extras, rearranjando os caracteres de

forma que possa ser lembrada;

d. Não a armazene em teclas de comando de sua máquina, macros ou “scripts”.

2) Invente um método privado de gerar senhas. Evite senhas que tenham algum significado como
datas comemorativas pessoais ou não, endereços, nomes, palavras que possam ser encontradas em
dicionário, etc.

3) Misture letras maiúsculas, minúsculas e caracteres especiais na senha.

4) Não passe sua conta/senha para outras pessoas. Se por alguma razão você precisar compartilhar
sua conta/senha nunca envie via e-mail, mesmo se criptografada, pois alguns algoritmos são capazes
de quebrar as senhas. Não use telefone celular.

5) Tenha a certeza de que ninguém esteja observando-o quando estiver digitando sua senha.

6) Não reutilize senhas antigas.

Segundo Patrick H. Wood e Stephen G. Kochan, “a melhor senha é aquela que tem, no mínimo, seis
caracteres, não tem significado pessoal, e possui caracteres não alfabéticos na sua formação”.

WWW.DOMINACONCURSOS.COM.BR 11
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

O CESUP-RS sugere o seguinte método para criação de senhas:

1 Pense numa frase;

2 Retire as primeiras letras das palavras desta frase;

3 Misture letras maiúsculas, minúsculas e caracteres especiais.

O exemplo a seguir ilustra a criação de uma senha:
“A saudade é uma cadeira de balanço embalando sozinha.” Mário Quintana

A senha formada poderia ser: scbes.MQ

5.0 Pesquisa de Brown sobre hábitos na criação de senhas

Dentre os muito poucos estudos que têm investigado a criação e o uso de senhas, Brown e
colaboradores (2004) entrevistaram 218 estudantes de graduação para avaliar a geração e o uso de
senhas. Com base em um levantamento prévio, 19 itens foram incluídos no questionário, como conta
bancária ou email. Para cada item, os participantes deveriam descrever o tipo de informação usada
para criar ou lembrar da senha. Os resultados mostraram que dois terços das senhas foram geradas
em torno de características pessoais dos usuários e a maioria das senhas restantes se relacionava à
família, amigos ou relacionamentos amorosos. Nomes próprios e aniversários compunham
aproximadamente metade de todas as senhas levantadas.

O estudo ainda encontrou suporte empírico para os maus hábitos mencionados acima. Quase todos
os entrevistados reusavam senhas e mais da metade deles mantinha uma cópia escrita de suas
senhas. O estudo de Brown e colegas corroboram achados de estudos anteriores, menos
abrangentes, mas que também detectaram alguns maus hábitos e onde apenas um pequeno
percentual de senhas foi criado de acordo com as diretrizes de segurança. Por exemplo, Carstens e
colaboradores (2004) encontraram que indivíduos com oito a onze senhas corriam maiores risco de
não conseguir lembrá-las. Com a proliferação de websites que requerem autenticação, e-mails
pessoais e profissionais, contas bancárias, etc., possuir múltiplas senhas não é incomum nos dias de
hoje. Entretanto, fora do mundo tecnológico, pouca atenção tem sido dada a problemas
especificamente relacionados ao uso de senhas.
RESUMO DA PESQUISA:

· 2/3 das senhas geradas em torno de características pessoais.

· Maioria das senhas criadas relacionava-se com amigos, família, relacionamentos amorosos.
· Quase todos reusavam e mantinham cópia escritas das senhas.
· Pequeno percentual seguia as diretrizes seguras para criação de senhas.

6.0 Psicologia no auxílio da Segurança da Informação

Embora periódicos de tecnologia e administração (e.g. Ives et al., 2004; asse et al., 2001; Sieberg,
2005; Smith, 2002) tenham tratado de alguns aspectos pragmáticos da segurança de senhas, tais
como maus hábitos e perdas de produtividade associadas ao esquecimento de senhas, na literatura
psicológica ou da área de Interação Humano-Computador pouco foi dito sobre os aspectos cognitivos
da criação, uso e esquecimento de senhas. Todos os maus hábitos mencionados acima, bem como
as falhas de memória no uso de senhas, acontecem simplesmente porque, na impossibilidade de
memorizar suas senhas, as pessoas desenvolvem estratégias não seguras. Os estudos da Psicologia
Cognitiva, que têm estudado o funcionamento da memória, têm mostrado consistentemente que:

• guardar informações literais, ou detalhes superficiais como a exata ordem em que os caracteres
aparecem em uma senha, é uma coisa difícil (Reyna e Brainerd,1995);

• as pessoas tendem a ter facilidade de lembrar de coisas que têm significado (Tulving e Craik, 2000)
– o que geralmente não é o caso das senhas aleatórias ou geradas pelo sistema;

• com a falta de uso e a passagem do tempo, traços literais, como a estrutura da senha ou a fonte,
tendem a se perder;

• o fato de processar informações de natureza semelhante interfere no registro mnemônico dessas

informações (Teoria da Interferência, Pergher e Stein, 2003; Dempster e Brainerd, 1995), acarretando
perda de parte ou de toda a informação. Assim sendo, a indústria da segurança da informação, em

WWW.DOMINACONCURSOS.COM.BR 12
 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

seus esforços para tornar a autenticação por meio de senhas um mecanismo mais viável, poderia
considerar o vasto arcabouço de conhecimento que a Psicologia da memória possui.

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

WWW.DOMINACONCURSOS.COM.BR 13