Você está na página 1de 11

FUNDAMENTOS DE

SEGURANÇA DA
INFORMAÇÃO

Aline Zanin
Conceitos básicos de
segurança da informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:

 Identificar a importância da utilização da segurança da informação


no contexto organizacional.
 Diferenciar as categorias de ativos existentes em uma empresa.
 Conceituar vulnerabilidade e ameaças dos ativos.

Introdução
A segurança da informação assume papel fundamental nas empresas,
especialmente naquelas cujas informações representam diferenciais
competitivos e, portanto, possuem valor próprio. A segurança da in-
formação é responsável por garantir a confidencialidade, a integridade
e a disponibilidade dos ativos de informação da empresa, afastando
os riscos de ataques. As empresas devem sempre estar atentas às suas
vulnerabilidades e ter conhecimento das ameaças existentes.
Neste capítulo, você vai verificar a importância da segurança da in-
formação no contexto organizacional, analisando motivos que levam
as empresas a implementarem esse tipo de proteção. Você também vai
estudar as diferentes categorias de ativos das empresas e vai analisar as
vulnerabilidades e ameaças presentes no contexto das organizações.

Segurança da informação no contexto


organizacional
O armazenamento de informações surgiu da necessidade de registrar hábitos,
costumes e intenções nos mais diversos meios, de forma que esses registros
possam ser utilizados e compreendidos futuramente pelo autor da informação
e por outras pessoas. São exemplos de registros pré-históricos de informação
2 Conceitos básicos de segurança da informação

os petróglifos, ou gravuras rupestres, que eram feitos nas pedras pelos nossos
antepassados do período neolítico.
Atualmente, as informações se constituem como objetos de valor para as
empresas. Quando se fala em informação e, especialmente, em armazenamento
e transporte de informações, o pensamento é remetido naturalmente para a
tecnologia da informação e todas as facilidades que esta proporciona. No
contexto organizacional, a informação pode estar relacionada, por exemplo,
com os dados armazenados em software e o uso eficiente destes. Segundo
Correa Junior (2011), estratégias de extração de dados podem ser utilizadas,
por exemplo, para identificar um perfil de consumidor e, com isso, persona-
lizar o negócio de uma empresa, estabelecendo um diferencial competitivo
em relação à concorrência.
Dessa forma, o conhecimento e a informação são pontos-chave nas or-
ganizações, sendo necessário atentar para mecanismos que garantam a sua
segurança. A segurança da informação tem como propósito proteger os ativos
de informação. De acordo com Correa Junior (2011), um ativo de informação
é qualquer objeto que retém partes da informação da empresa, nas suas mais
diversas formas de representação e armazenamento: impressas em papel,
armazenadas em discos rígidos de computadores, armazenadas na nuvem ou,
até mesmo, retidas em pessoas.
Segundo Correa Junior (2011) e a ABNT (2005), a segurança da informação
tem como base os seguintes aspectos, denominados pilares da segurança da
informação (Figura 1):

 Confidencialidade (confidentiality): capacidade de um sistema de im-


pedir que usuários não autorizados “vejam” determinada informação
que foi delegada somente a usuários autorizados a vê-la.
 Integridade (integrity): atributo de segurança que garante que a in-
formação seja alterada somente de forma autorizada, sendo mantida,
assim, correta e completa.
 Disponibilidade (availability): indica a quantidade de vezes que o sistema
cumpriu uma tarefa solicitada sem falhas internas, para um número de
vezes em que foi solicitado a fazer a tarefa.
Conceitos básicos de segurança da informação 3

Confidencialidade

Segurança
da
Informação

Integridade Disponibilidade

Figura 1. Pilares da segurança da informação.


Fonte: Adaptada de Dodt (2011).

Por que se preocupar com a segurança da informação?


Existem diversos motivos para que as empresas se atentem à segurança de
suas informações. Vamos falar sobre alguns deles.
Roubo de dados e informações: para muitas empresas, o seu maior capital
é a regra de negócios da empresa, isto é, o conhecimento retido por ela quanto
ao “fazer negócio”. Por exemplo: imagine uma empresa que fábrica molhos de
tomate e que tem um faturamento anual bem acima dos concorrentes, devido
ao sabor diferenciado do molho. Em um dado momento, a receita do molho é
descoberta pelos seus concorrentes, que começam a fabricar o mesmo molho.
Dessa forma, essa empresa perde seu principal diferencial competitivo, apenas
por ter perdido uma informação importante para a empresa.
Impacto na operacionalização da empresa: muitas empresas dependem
de seus sistemas computadorizados para o seu funcionamento. Imagine que
uma invasão nos servidores de uma empresa tire seus sistemas do ar e faça
com que a empresa pare de trabalhar por 24 horas. Tal fato certamente causará
transtornos financeiros, operacionais e de confiança dos clientes.
Sequestro de dados: nos casos em que os dados dos servidores de uma
empresa são vitais para o seu funcionamento, é preocupante o risco de sequestro
de dados, em que um invasor captura as informações da base de dados da
empresa e cobra valores significativamente altos pelo seu resgate.
4 Conceitos básicos de segurança da informação

Vazamento de dados confidenciais de clientes: quando uma empresa


armazena dados pessoais de clientes, por exemplo, documentação e dados
financeiros, ela assume com o cliente um compromisso de responsabilidade
com esses dados. Deixar o sistema vulnerável viola esse compromisso de
responsabilidade, uma vez que os dados podem ser capturados direto do
servidor se houver uma falha de segurança.
Danos à imagem da empresa: todos os problemas citados acima causam
uma quebra de confiança entre a empresa e seus clientes, o que pode causar
perda de clientes e graves danos financeiros para a empresa.

Mantenha sempre os softwares que utiliza nos computadores de sua casa ou empresa
atualizados, inclusive o sistema operacional. É comum os fabricantes de software
identificarem falhas de segurança e disponibilizarem aos seus clientes novas versões
com as falhas corrigidas.

Ativos de uma empresa


Utiliza-se a palavra ativos para denominar tudo aquilo que possui valor para
uma empresa e, por isso, precisa ser protegido (ABNT, 2005). Os ativos são
elementos fundamentais da segurança da informação e a razão da existência
dessa preocupação. O valor de um ativo pode estar no próprio ativo, como um
servidor, ou no uso que se faz dele, como em um banco de dados, conforme
leciona Correa Junior (2011).
Os ativos de informação podem ser divididos nas seguintes categorias:

 Informações: toda e qualquer informação que a empresa possui, digi-


talizada ou não.
 Software: esse grupo de ativos contém todos os programas de compu-
tador utilizados nos processos de acesso, leitura, transmissão e arma-
zenamento das informações de uma empresa.
 Hardware: todos os elementos físicos que apresentam valor importante
para uma empresa no que diz respeito à informação; por exemplo,
computadores e servidores.
Conceitos básicos de segurança da informação 5

 Organização: nesse grupo, estão incluídos os aspectos que compõem


a estrutura física e organizacional das empresas.
 Usuários: engloba os indivíduos que lidam com as informações no seu
dia a dia de trabalho.

De acordo com a norma ABNT NBR ISO/IEC 27002:2005:

A segurança da informação é obtida a partir da implementação de


um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e
hardware. Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, onde necessário,
para garantir que os objetivos do negócio e de segurança da organização
sejam atendidos. Convém que isto seja feito em conjunto com outros
processos de gestão do negócio (ASSOCIAÇÃO BRASILEIRA DE
NORMAS TÉCNICAS, 2005, documento on-line).

Vulnerabilidade e ameaças a ativos


O termo vulnerabilidade diz respeito à condição que torna um ativo um
alvo mais predisposto a sofrer ameaças e invasões. Fazendo uma analogia,
ao deixar a porta de sua casa aberta, você está deixando sua casa vulnerável
a furtos e roubos. Isso não quer dizer que, obrigatoriamente, quando a porta
estiver aberta, os ativos de sua casa serão furtados; contudo, indica que, com
a porta aberta, o roubo ou furto é facilitado. O mesmo acontece em empresas
com relação aos ativos de informação: ao não tomar os devidos cuidados com
hardware ou software, os sistemas se tornam mais vulneráveis a ataques.
Alguns exemplos de vulnerabilidades são listados a seguir, com base em
Dantas (2011):

 Área física e do ambiente: diz respeito à vulnerabilidade na estrutura


física da empresa; por exemplo, portas ou janelas desprotegidas, ins-
tabilidade da energia, localização em área susceptível à inundação.
6 Conceitos básicos de segurança da informação

 Hardware: susceptibilidade a problemas que podem danificar os equi-


pamentos; por exemplo, variação de voltagem, de temperatura, poeira,
umidade, radiação eletromagnética, falta de controle de mudança de
configuração.
 Software: diz respeito às falhas em um software que facilitam a invasão
ou a danificação do software e dos dados; por exemplo, falta de meca-
nismo de identificação e autenticação, tabelas de senhas desprotegidas,
alocação errada de direitos de acesso, falta de documentação, falta de
backup.
 Comunicações: linhas de comunicações desprotegidas, falta de iden-
tificação e autenticação de emissor e receptor, gestão inadequada da
network, conexões de rede pública desprotegidas.
 Documentação: arquivo desprotegido, falta de controle para cópias,
falta de cuidado na disponibilização da documentação.
 Pessoal: falta de pessoal, treinamento de segurança insuficiente, ausên-
cia de conhecimento de segurança, utilização incorreta de software e
hardware, falta de mecanismo de monitoramento, ausência de políticas
para a utilização correta de mídia e de mensagens, procedimento ina-
dequado para seleção.

Os sistemas, em geral, precisam ser protegidos dessas vulnerabilidades,


porque, quando elas são exploradas, podem causar diversos problemas para
as empresas. Uma vulnerabilidade é geralmente explorada por uma ameaça.
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades,
podem provocar danos e perdas.
Ameaças podem ser naturais, involuntárias ou intencionais, conforme le-
ciona Dantas (2011). Uma ameaça natural é aquela que se origina de fenômenos
da natureza, como terremotos, furacões, enchentes, maremotos, tsunamis, etc.
Uma ameaça involuntária é aquela que resulta de ações não intencionais,
mas que causam algum dano; geralmente são causadas por acidentes, erros,
ou pela ação inconsciente de usuários, como é o caso de vírus eletrônicos que
são ativados pela execução de arquivos anexados às mensagens de e-mail. Já
uma ameaça intencional é aquela que tem por objetivo causar danos, como
ataques de hackers, fraudes, vandalismos, sabotagens, espionagens, invasões
e furtos de informações, dentre outras.
Dantas (2011) aponta as principais ameaças a ativos apresentadas em pes-
quisas sobre segurança da informação:
Conceitos básicos de segurança da informação 7

 vírus, worm, cavalo de tróia (trojan horse);


 phishing, pharming e spyware;
 adware, spam;
 roubo de dados confidenciais da empresa e de clientes, da propriedade
da informação e da propriedade intelectual;
 acesso não autorizado à informação;
 perda de dados de clientes;
 roubo de laptop, dispositivo portátil e hardware;
 má conduta e acesso indevido à network por funcionários e gerentes,
bem como abuso de seus privilégios de acesso e utilização indevida
da rede wireless;
 ataque de negação de serviço, invasão de sistemas e da network;
 acesso e utilização indevida da internet e dos recursos dos sistemas
de informação;
 degradação da performance, destruição e/ou desfiguramento da network
e do website;
 software de má qualidade, mal desenvolvido e sem atualização;
 fraude financeira e de telecomunicações;
 interceptação de telecomunicação (voz ou dados) e espionagem;
 sabotagem de dados e da network;
 desastres naturais;
 ciberterrorismo.

É importante que as empresas conheçam as principais ameaças à segurança


da informação, bem como as vulnerabilidades a elas associadas, para que seja
possível evitar os transtornos causados pela concretização de uma ameaça.
Nesse processo de análise, adentra-se no estudo do risco, que envolve entender
como as ameaças ocorrem, verificar as vulnerabilidades a que a empresa está
sujeita e analisar a probabilidade de concretização de ataques. Dessa forma, é
possível efetuar um tratamento mais adequado aos riscos, de acordo com as
reais condições da organização, conforme leciona Dantas (2011).
8 Conceitos básicos de segurança da informação

A cartilha “Segurança da Informação para Empresas — Soluções


simples, grandes resultados”, elaborada pela Fecomércio SP
(2014), aborda o tema da segurança da informação e traz dicas
sobre escolha e aquisição de equipamentos, gerenciamento e
guarda de informações, planejamento e outros cuidados, bem
como informações sobre engenharia social, um tipo de ataque
cada vez mais comum relacionado ao roubo de informações.
Acesse a cartilha clicando no link ou código a seguir:

https://goo.gl/T3VHHA

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002. Tecnologia da


informação: técnicas de segurança: código de prática para a gestão da segurança da
informação. Rio de Janeiro, 2005. Disponível em: <http://www.fieb.org.br/download/
senai/NBR_ISO_27002.pdf>. Acesso em: 20 ago. 2018.
CORREA JUNIOR, H. E. Segurança de sistemas: conceitos básicos: material adaptado da
Academia Latino-Americana de Segurança - Microsoft. 2011. Disponível em: <https://
pt.scribd.com/document/84971695/aula1>. Acesso em: 20 ago. 2018.
DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos.
Olinda, PE: Livro Rapido, 2011.
DODT, C. Transformando sua política de segurança da informação em um ativo estratégico.
2011. Disponível em: <https://claudiododt.wordpress.com/2011/06/29/transformando-
-sua-politica-de-seguranca-da-informacao-em-um-ativo-estrategico/>. Acesso em:
20 ago. 2018.
FEDERAÇÃO DO COMÉRCIO DE BENS E DE SERVIÇOS DO ESTADO DE SÃO PAULO
(FECOMÉRCIO-SP). Segurança da informação para empresas: soluções simples – grandes
resultados. São Paulo: Fischer2, 2014. Disponível em: <http://www.coaliza.org.br/wp-
-content/uploads/2014/05/Cartilha-Seguran%C3%A7a-da-Informa%C3%A7%C3%A3o-
-para-pequenas-empresas.pdf>. Acesso em: 20 ago. 2018.
Conteúdo: