Segurança da Informação

2. Segurança Física e Lógica da Informação

.1. Introdução
"Uma estratégia de negócios vencedora consiste em operações focadas no mercado, e
suportadas por Tecnologias da Informação e Comunicação e Sistemas de Informação (TIC/SI)
que funcionem com a máxima eficiência e segurança."
Proporcionar segurança física e lógica da informação requer (além da segurança do ambiente
onde as informações que devem ser protegidas circulam) a instalação de uma rede de
comunicação bem planejada e implementada, que garanta a organização que seus sistemas de
informação (SI) estarão muito mais tempo em funcionamento, evitando acesso indevido à dados
e informações, cujas consequências são, dentre outras, a perda de produtividade e lucratividade,
e os riscos de prejuízos para a organização.
A necessidade de investimentos para prover segurança da informação geralmente faz com que
muitos executivos, nas organizações, ignorem ou façam "vista grossa" com relação a esse
assunto. Muitos executivos consideram a segurança da informação como custos para a
organização.
Todavia, observa-se que a preocupação sobre segurança nos ambientes informatizados vem
aumentando na medida que os executivos vem tomando conhecimento sobre a importância
estratégica desse assunto. Para aquele que não conhece, ou ignora os riscos da falta de
segurança, não há preocupação pois sua visão limitada do assunto segurança da informação o
faz pensar que tudo está indo bem.
O maior perigo para uma organização, em relação à proteção de seus dados e informações , é a
falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças,
invasões e ataques visando a informação, é confiar cegamente em uma estrutura que não
seja capaz de impedir o surgimento de problemas relativos a isso.
Quando se fala em dispositivos tecnológicos para proteção de dados e informações, é
necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para suportar
um peso muito maior: a proteção da informação. Esses três pilares são as tecnologias, os
processos e as pessoas. Não adianta fortalecer um deles, se os mesmos não estão
equilibrados.
As ameaças à segurança da informação se concentram em dois pontos: as vulnerabilidades
existentes nos ambientes onde a informação é gerada, processada, armazenada e/ou
compartilhada, e as ameaças externas e internas à segurança da informação nestes ambientes,
incluindo vulnerabilidades de aplicações, banco de dados, rede, sistemas operacionais e
serviços. Diante disso, estamos considerando aspectos físicos e lógicos relacionados com a
vulnerabilidade desses ambientes.
Portanto, tecnologias, processos e pessoas que estão relacionadas com a segurança física e
lógica dos ambiente onde ocorrem algumas ou todas as fases do ciclo de vida da informação,
devem ser observadas e constantemente avaliadas, para suportar os negócios da empresa.
A implementação de normas e procedimentos de segurança da informação em ambientes
organizacionais e em redes de computadores deve iniciar no decurso de criteriosa análise de
riscos sob dois aspectos: Segurança Física e Segurança Lógica.

.2. Principais ameaças à Segurança Física e Lógica

Dentro de uma organização e, principalmente nos ambientes de TI, são inúmeras as ameaças à
segurança física e lógica da informação. Dentre a várias ameaças relacionadas ao ambiente de
TI destacam-se:
 Funcionário utilizando indevidamente equipamentos de TI.
 Funcionário cedendo sua senha de acesso a recursos de rede a outro funcionário não
autorizado.

438395688.docx – Prof. Me. Francisco Bianchi 1

 Segurança da Informação
 Acesso indevido ao ambiente onde estão armazenadas as fitas de backup de
arquivos, banco de dados, aplicativos, etc.
 Desconexão acidental de equipamentos de TI, em produção (por exemplo: switches,
roteadores, servidores, etc.).
 Falta constante de energia elétrica, motivada pela falta de equipamentos geradores ou
mesmo mal dimensionamento de carga elétrica demandada pelos equipamento de TI.
 Sobrecarga do circuito elétrico da área de TI, ou mesmo da empresa, motivada pela
adição de equipamento não previsto ou não planejado.
 Danos causados por água (exemplo: inundações, enchentes, vazamentos, equipamentos
de TI próximos de janelas, etc.).
 Roubo de equipamentos de TI, ou mesmo de aplicativos.
 Falta de manutenção nos equipamentos de TI.

.3. Segurança Física

A segurança física da informação visa a proteção de equipamentos e dispositivos de suporte à
informação e, também, a própria informação contra ameaças internas e/ou externas, e usuários
não autorizados, prevenindo o acesso aos recursos informacionais. Ela deve ser considerada
parte importante da política de segurança da informação da organização. Todavia, muitas das
organizações não entendem sua importância e ficam sujeitas a ameaças de todos os tipos,
colocando em risco suas informações.
A segurança física deve basear-se em perímetros predefinidos e próximos dos recursos
computacionais, podendo ser explícita (exemplo: uma sala-cofre para servidores), ou implícita,
como áreas de acesso restrito (exemplo: portas, ou catracas acessíveis através de senhas ou
controles biométricos).
Segundo a ISO/IEC 27002:2005(2005), "Convém que sejam utilizados perímetros de segurança
para proteger as áreas que contenham informações e instalações de processamento da
informação.".
Para CAMPOS (2007, p. 169), "Apesar de todos os cuidados em se definir os perímetros de
segurança, essa ação não produzirá resultados positivos se os colaboradores não
estiverem sintonizados com a cultura de segurança da informação. Essa cultura deve estar
pulverizada em toda a organização e especialmente consolidada dentro das áreas críticas de
segurança. A informação pertinente ao trabalho dentro dessas áreas deve estar restrita a própria
área e somente durante a execução das atividades em que ela se torna necessária. Essas
atividades sempre deverão ser realizadas sob supervisão para garantir a segurança. Quando
houver atividade, essas áreas devem permanecer fechadas de forma validável, como, por
exemplo, através do uso de lacres de segurança, e supervisionadas regularmente.".

.3.1. Modelo para Segurança Física

Os investimentos em segurança física costumam ser altos e, conforme dito anteriormente, os
executivos das empresas tendem a reduzir bastante esses investimentos (pois enxergam isso
como custos) deixando de lado itens importantes de proteção que a organização precisa.
A segurança física pode ser vista sob dois aspectos: Segurança de Acesso e Segurança
Ambiental. A Segurança Ambiental deve contemplar e prevenir, dentre outros: incêndios,
catástrofes naturais, questões estruturais das instalações, etc., enquanto a Segurança de
Acesso contempla questões relacionadas com o controle de acesso aos recursos informacionais
e mesmo à informação.

A Segurança da Informação está mais relacionada com os controles de acesso,

todavia a segurança ambiental não deve ser deixada de lado.
A figura 2.1 mostra um modelo de segurança física, conhecido como o Modelo da Cebola ou
de soluções em camadas, e é um recurso importante no momento de se planejar a segurança.

438395688.docx – Prof. Me. Francisco Bianchi 2

 Segurança da Informação
Na camada TI/SI, responsável pelo ciclo de vida da informação, temos equipamentos e
profissionais de TIC e SI interagindo.
Nesse modelo, aspectos de segurança devem cobrir tudo que circulam do ambiente externo
para o interno, e vice-versa, e também proteger as comunicações entre uma camada e outra.

.3.1.
Figura 2.1 - Modelo de Segurança Física

2.3.2 Principais itens da Segurança Física

A segurança física deverá, dentre outros itens, contemplar:

 Acesso às instalações da empresa:

 Controle diferenciado (identificação) de pessoas circulando dentro da empresa.
 Controle diferenciado (identificação) de veículos que entram e saem da empresa.
 Controle da circulação e das atividades dos funcionários de empresas terceirizadas.
 Controle de pessoas na área de Informática, com registros de acessos por fotos,
câmeras ou tecnologias RFID.
 Controle através de dispositivos de controle de acesso físico em salas e áreas de
acesso restrito (fechaduras eletrônicas, câmeras de vídeo, alarmes, etc.),
principalmente na área de TI/SI.
 Registros de controle de entrada/saída de materiais e/ou equipamentos da empresa
e/ou de terceiros.
 Registros de devolução de itens de propriedade da empresa, no momento que a pessoa
deixa o ambiente interno da empresa, ou mesmo em casos de demissão de
funcionários.
 Utilização de equipamentos e tecnologias de segurança de acesso a áreas restritas.
 Identificar áreas de acesso restrito a funcionários, ou mesmo, a determinados
funcionários.
 Restringir a circulação de pessoas externas dentro da empresa e, em determinada
situação, exigir o acompanhamento de um funcionário.

 Sistemas elétricos:
 Sistema de aterramento eficiente.
 Rede elétrica estabilizada e específica para equipamentos críticos de informática.
438395688.docx – Prof. Me. Francisco Bianchi 3
 Segurança da Informação
 Utilização de equipamentos do tipo "No-Break" ou UPS (Uninterrupted Power Supplier).
 Cabeamento elétrico separado do cabeamento de redes de computadores e telefonia.
 Utilização de protetores contra surtos elétricos e ruídos.

 Sistemas contra incêndios:

 Cofres e salas especiais para armazenar arquivos e equipamentos críticos de
informática.
 Identificação e manutenção dos equipamentos contra incêndio.
 Sinalização para localização dos equipamentos contra incêndio.
 Equipe treinada para situações de emergência.

 Proteção dos cabos de rede:

 Utilizar cabeamento e conectores padrão de boa qualidade.
 Utilizar protetores adequados para linhas de transmissão de dados e de telefonia.
 Utilizar cabeamento estruturado.
 Identificar os cabos críticos, principalmente Backbones de Fibras óticas.

 Proteção de servidores:
 Instalação de Servidores em salas apropriadas, longe de condições climáticas e
ambientais que possam danificá-las e com restrição de acessos.
 Instalação de Firewall (Hardware) nos pontos de conexão externa da rede.
Muitos itens das recomendações acima referem-se à segurança física da empresa de um
modo geral. Porém se forem implementadas de forma correta certamente irão proteger,
também a INFORMAÇÃO.
Uma sólida Política e investimentos adequados em Segurança Física (notadamente aqueles
relacionados com controle de acessos) adotadas pela empresa estarão diretamente ligadas à
importância de seus ativos. Quanto maior os investimentos em prevenção menor será o prejuízo
em caso de invasões, catástrofes, sinistros, etc. Esses investimentos não devem estar restritos a
aquisição/uso de tecnologia avançada mas, também, à maneira da empresa lidar com a
conscientização dos seus colaboradores.

.4. Segurança Lógica

A segurança lógica é um conjunto de meios e procedimentos (geralmente contidos em
Softwares específicos) para preservar a integridade e controle de acesso às informações e
recursos contidos nos servidores e outros computadores estratégicos (Objetos), sejam os
mesmos armazenados em fitas, discos, ou outros suportes mediáticos, de forma que não
venham a ser manipulados por pessoas não autorizadas (Sujeitos).

 Portanto, pode-se dizer que a segurança lógica é um conjunto de meios e

procedimentos (processo) cujo objetivo principal e impedir que um sujeito ativo
acesse um objeto passivo.
O sujeito é um usuário ou um processo da rede, e o objeto pode ser um arquivo, um banco
de dados, um documento impresso, ou outro recurso de rede (computador cliente,
impressora, disco, etc.).
Pode-se, também, conceituar a segurança lógica como sendo o modo como as informações são
protegidas dentro de um sistema. Por exemplo: a restrição de acesso a um banco de dados
através do uso de login e senha pode ser considerado segurança lógica.

438395688.docx – Prof. Me. Francisco Bianchi 4

 Segurança da Informação
 O objetivo da segurança lógica é, dentre outros, proteger os dados, programas e sistemas
contra tentativas de acessos não autorizados, feitas por usuários ou outros programas.

Para tanto utiliza de um conjunto de medidas e procedimentos, adotados pela empresa ou

intrínsecos aos sistemas utilizados.

.4.1 Segurança Lógica - Proteção

A segurança lógica visa proteger, dentre outros:

 Aplicativos (programas fontes e executáveis).

 Arquivos e Bancos de Dados dos aplicativos específicos.

 Sistema Operacional, programas utilitários e aplicativos genéricos.

 Banco de Senhas.

 Arquivos de Log.

Devendo contemplar:

 Proteção de acesso aos recursos contidos na rede

 Compartilhamento protegido por Senhas.
 Controle das permissões de acesso a nível individual e de grupo, através de
Contas e Senhas.
 Certificação Digital.
 Firewall (Software) – Proxy Server.

 Proteção de acesso aos arquivos

 Implementação e manutenção de software Antivírus.
 Criptografia.
 Assinaturas digitais.
 Controle de permissões em nível de informação.
 SGBD de boa qualidade.

 Proteção dos dados

 Eficientes rotinas de BACKUP/RESTORE, com log das atividades do backup.
 Utilização modernas mídias de armazenamento (DAT, DDS, Mídias Óticas,
etc.).
 Renovar constantemente as mídias de Backup.
 Manter as mídias onde estão os Backups fora da área de Informática e,
preferencialmente mantê-las em cofre contra incêndios.
 Contratação Serviços de Storage remoto (Backup através de VPN).
 Definir e implementar Sistema de Tolerância à Falhas.
Esses sistemas protegem os dados, duplicando-os e colocando-os em diferentes fontes
físicas, tais como: diferentes partições ou discos.

.4.2 Segurança Lógica - Ameaças

As principais ameaças a segurança lógica da informação são:
438395688.docx – Prof. Me. Francisco Bianchi 5
 Segurança da Informação
 Vírus
Assim como um vírus biológico que entra no corpo humano e provoca muitos males até
mesmo a morte de uma pessoa, o vírus de computador é um software que pode se instalar
dentro de um computador, ou mesmo ser transmitido para outros computadores, e executar
alguma tarefa, trazendo malefícios aos aplicativos instalados no computador infectado, tais
como: apagar dados, danificar arquivos, destruir aplicativos, etc.
 Trojans
Vem do termo "Trojans Horse" ou Cavalo de Tróia e, da mesma forma que a contada na
história da guerra de . desse software maléfico é entrar em um computador de forma
inofensiva, e uma vez dentro dele "abrir portas" para que outras ameaças virtuais, inclusive
vírus, entrem no computador. Muitos Trojans tem a função de desabilitar softwares Antivírus
para que ele não localize as ameaças que irá deixar entrar.
 Worms
Da mesma forma que um Vírus, ele se replica dentro do computador e permite transporte de
arquivos tanto de um computador para a internet afora, quanto da internet para dentro do
computador. Enquanto um vírus para infectar um computador necessita de um programa
hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para
se propagar.
"Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além
de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por email."
(Wikipedia)
 Spywares
Programas espiões cuja principal função é coletar informações sobre uma ou mais
atividades realizadas em um computador. Todavia, isto não significa que eles sejam em sua
totalidade programas maus.
 Phishing
Fraude eletrônica, caracterizada por tentativas de adquirir fotos, músicas e outros dados
pessoais ao se fazer passar por uma pessoa confiável ou uma empresa enviando uma
comunicação eletrônica oficial.
 Malware
É um “Software malicioso” indesejado, instalado sem o seu devido consentimento, no
computador. Vírus , Worms e Trojans são exemplos de software mal-intencionado que com
frequência são agrupados e chamados, coletivamente, de Malware.
 Adware
Adware (do inglês, ad = anuncio, software = programa).
São programas que exibem propagandas e anúncios sem a autorização do usuário,
tornando o computador mais lento e a conexão lenta. Normalmente assumem o formato de
pop-up, aquelas janelas incômodas que abrem a todo instante enquanto você navega em
determinado site.
 Keyloggers
São aplicativos ou dispositivos que ficam em execução em um determinado computador
para monitorar todas as entradas do teclado. Dessa forma, aquele que deixou o programa
em execução pode, em outro momento, conferir tudo o que foi digitado durante um
determinado período.
 Usuários mal intencionados.
Geralmente um colaborador descontente com a empresa, ou colaborador sendo subornado
por outras empresas para passar informações confidenciais da empresa onde atua, ou até
mesmo colaborador que percebem que será dispensado.
 Pessoas não controladas pela empresa.
438395688.docx – Prof. Me. Francisco Bianchi 6
 Segurança da Informação
Pessoas que, por algum motivo, não passam por procedimentos de identificação antes de
acessarem as dependências da empresa.

.4.3 Segurança Lógica - Controle de Acesso

Em segurança lógica, o controle de acesso lógico pode ocorrer de duas formas:

 A partir do recurso computacional que se pretende proteger.

Os procedimentos e dispositivos de segurança estão implementados (instalados) no próprio
recurso, ou no ambiente (periferia) onde o mesmo está instalado.

 A partir do usuário a quem se pretende dar privilégios e acesso aos recursos.

Os procedimentos de segurança são implementados através de permissões de acesso aos
recursos tecnológicos (hardware e software), e estão normalmente vinculados à conta do
usuários.

 Os principais mecanismos de controle de acesso, utilizados nos procedimentos de

segurança lógica da informação, são:
 Criptografia - Permitem a transformação reversível da informação de forma a torna-la
ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave
secreta para, a partir de um conjunto de dados não criptografados, produzir uma
sequência de dados criptografados. A operação inversa é a decifração.
 Assinatura digital - Um conjunto de dados criptografados, associados a um
documento do qual são função. Garantem a integridade e autenticidade do documento
associado, mas não a sua confidencialidade.
 Certificação - Atesta a validade de um documento.
 Integridade - Medida em que um serviço/informação é genuíno, isto é, está protegido
contra a personificação por intrusos.
 Protocolos seguros - Garantem um grau de segurança e usam alguns dos
mecanismo já citados.
 Garantia da integridade da informação - através do uso de funções de Hashing ou
de checagem.
Funções de Hashing garantem a integridade de dados compartilhados através de
arquivos, da seguinte forma: ao gerar um arquivo original a ser compartilhado, um
algoritmo de dispersão calcula uma sequência única de letras e números, baseando-
se nos conteúdo do arquivo, e atribui essa sequencia a esse arquivo. Antes do arquivo
começar a ser baixado pelo destinatário, o programa utilizado para isso pede essa
sequência de letras e números para a máquina que está servindo o arquivo. Se essa
sequência for diferente, significa que o arquivo foi modificado e não deve ser baixado.
Caso a sequencia esteja correta, então a transferência do arquivoou pasta é iniciada.
Um algoritmo público de Hash muito utilizado é o SHA1.
 Controle de acesso - Palavras-chave; Sistemas biométricos; Firewalls; Smart Cards.

 Os princípios (elementos) básicos do controle de acesso lógico às informações são:

 Apenas usuários autorizados devem ter acesso aos recursos computacionais.
 Os usuários devem ter acesso apenas aos recursos realmente necessários para
a execução de suas tarefas.
 O acesso aos recursos críticos do sistema deve ser monitorado e restrito.
 Os usuários não podem executar transações incompatíveis com sua função.

438395688.docx – Prof. Me. Francisco Bianchi 7

 Segurança da Informação
Bibliografia
ABNT, NBR ISO/IEC 27002 Tecnologia da informação - Técnicas de segurança - Código de
prática para a gestão da segurança da informação. Rio de Janeiro:Associação Brasileira de
Normas Técnicas, 2005.
CAMPOS, André L. N. Sistemas de segurança da informação. 2 ed. Florianópolis: Visual Books,
2007.
FONTES, Edison. Políticas e normas para a segurança da informação. Rio de
Janeiro:Brasport, 2012, 269p.
GONÇALVES, Luciano. Aspecto de segurança para uma arquitetura web. Disponível em:<
http://www.vivaolinux.com.br/artigo/Aspecto-de-seguranca-para-uma-arquitetura-web?pagina=2>.
Acesso em fev. 2014.
OLIVEIRA, Wilson. “Segurança da Informação”. Portugal:Ed. Centro-Atlântico, 2001.
PINHEIRO, José Maurício S. Material da aula 2: Segurança Física e Segurança Lógica.
Disciplina: Auditoria e Análise de Segurança da Informação - 4º período. Disponível em:
http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_auditoria_e_analise_de_seg
uranca_aula_02.pdf. Acesso em fev. 2014.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2.ed. Rio de
Janeiro:Elsevier, 2014, 171p.
Internet - http://pt.wikipedia.org/wiki/

438395688.docx – Prof. Me. Francisco Bianchi 8