Segurança em Sistemas de Informação: Conceitos Fundamentais

CARLA CORRÊA TAVARES DOS REIS
Segurança em Sistema de Informação
1ª Edição
Brasília/DF - 2020
Ficha catalográfica elaborada pela Bibliotecária Marjorie Gonçalves Andersen Trindade, CRB-1/2704
R375s
Reis, Carla Corrêa Tavares dos

Segurança em sistema de informação / Carla Corrêa Tavares dos Reis. –
Brasília : Unyleya, 2020.
118 p.
Recurso online: e-book
Modo de acesso: world wide web
ISBN 978-65-89227-07-6
1. Sistemas de informação. 2. Segurança da informação. I. Políticas de

segurança. 3. Proteção de dados I. Controle de acesso. II. e-book. III. Título.
CDU 004.056
Autores
Carla Corrêa Tavares dos Reis
Produção
Equipe Técnica de Avaliação, Revisão Linguística e
Editoração
Sumário
Organização do Livro Didático........................................................................................................................................4
Introdução...............................................................................................................................................................................6
Capítulo 1
Introdução à Segurança de Sistemas de Informação........................................................................................9
Capítulo 2
Uso de Controles de Acesso..................................................................................................................................... 39
Capítulo 3
Administração de Segurança................................................................................................................................... 56
Capítulo 4
Auditoria e Testes de Segurança............................................................................................................................ 70
Capítulo 5
Gerenciamento de Riscos e Segurança da Informação.................................................................................. 83
Capítulo 6
Criptografia, Certificação e Gerenciamento de Chaves................................................................................101
Referências.........................................................................................................................................................................118
Organização do Livro Didático
Para facilitar seu estudo, os conteúdos são organizados em capítulos, de forma didática, objetiva e
coerente. Eles serão abordados por meio de textos básicos, com questões para reflexão, entre outros
recursos editoriais que visam tornar sua leitura mais agradável. Ao final, serão indicadas, também,
fontes de consulta para aprofundar seus estudos com leituras e pesquisas complementares.
A seguir, apresentamos uma breve descrição dos ícones utilizados na organização do Livro Didático.
Atenção
Chamadas para alertar detalhes/tópicos importantes que contribuam para a

síntese/conclusão do assunto abordado.
Cuidado
Importante para diferenciar ideias e/ou conceitos, assim como ressaltar para o
aluno noções que usualmente são objeto de dúvida ou entendimento equivocado.
Importante
Indicado para ressaltar trechos importantes do texto.
Observe a Lei
Conjunto de normas que dispõem sobre determinada matéria, ou seja, ela é origem,
a fonte primária sobre um determinado assunto.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa
e reflita sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio.
É importante que ele verifique seus conhecimentos, suas experiências e seus
sentimentos. As reflexões são o ponto de partida para a construção de suas
conclusões.
4
Organização do Livro Didático
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor
conteudista.
Saiba mais
Informações complementares para elucidar a construção das sínteses/conclusões

sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informações relevantes do conteúdo, facilitando o

entendimento pelo aluno sobre trechos mais complexos.
Sugestão de estudo complementar
Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

discussões em fóruns ou encontros presenciais quando for o caso.
Posicionamento do autor
Importante para diferenciar ideias e/ou conceitos, assim como ressaltar para o
aluno noções que usualmente são objeto de dúvida ou entendimento equivocado.
5
Introdução
A Internet transformou-se e evoluiu rapidamente desde as suas origens. Ela passou de
uma pequena quantidade de universidades e agências de governo para uma rede mundial
com mais de dois bilhões de usuários. Enquanto crescia, ela mudou o modo como pessoas
se comunicam e fazem negócios e trouxe muitas oportunidades e benefícios. A Internet
continua a crescer e a se expandir de novas e variadas formas. Ela suporta inovação e novos
serviços. Assim como o espaço exterior, a Internet em amadurecimento é uma nova fronteira.
Não existe um governo ou uma autoridade central na Internet. Ela é cheia de desafios e tem
comportamento questionável.
A Internet, como conhecemos hoje, tem suas raízes em uma rede de computadores chamada
Rede da Agência de Projetos de Pesquisa Avançada (ARPANET — Advanced Research
Projects Agency Network), que o Departamento de Defesa dos Estados Unidos criou
em 1969. Mas o modo como as pessoas a usam é novo. Hoje, pessoas que trabalham no
ciberespaço precisam tratar de ameaças novas e em constante evolução. Cibercriminosos,
terroristas e golpistas inteligentes e agressivos vivem espreitando às escondidas. Conectar
seus computadores ou dispositivos à Internet imediatamente os expõe a ataques, que
resultam em frustração e dificuldades. Qualquer um cujas informações pessoais já tenham
sido roubadas pode atestar isso. Pior ainda, ataques a computadores e dispositivos
em rede são uma ameaça à economia nacional, que depende de comércio eletrônico
(e-commerce). Ainda mais importante, ciberataques ameaçam a segurança nacional. Por
exemplo, atacantes terroristas poderiam desativar redes de eletricidade e interromper
a comunicação militar.
Este livro didático de Segurança de Sistemas de Informação se propõe a apresentar um

conteúdo que traz técnicas e métodos para proteger, controlar o acesso, administrar a
segurança e controlar riscos dos sistemas de informação.
Você pode fazer diferença! O mundo precisa de pessoas que entendam de segurança de
sistemas de computação e que possam proteger computadores e redes contra criminosos
e terroristas. Para começar, este primeiro capítulo oferece uma visão geral de conceitos
de segurança de sistemas de informação e de termos que você deverá entender para
evitar esses ataques.
6
Objetivos
» Apresentar a importância da implementação de modelos de segurança para sistemas

de informação.
» Apresentar os objetivos das normas que regulam a segurança dos sistemas de

informação.
» Descrever as técnicas e métodos de controle de acesso aos sistemas.
» Explicar como operações e administração de segurança criam o alicerce para um

sólido programa de segurança.
» Demonstrar como as auditorias e monitoramentos realizados constantemente

examinam a configuração atual de um sistema de segurança, como se fosse um
instantâneo no tempo, para verificar se está em conformidade com padrões.
» Mostrar como o gerenciamento de riscos se relaciona com a segurança de dados.
» Fundamentar e apresentar conceitos e técnicas de criptografia, certificação e

gerenciamento de chaves digitais.
7
8
CAPÍTULO
INTRODUÇÃO À SEGURANÇA DE
SISTEMAS DE INFORMAÇÃO 1
Introdução
A Internet de hoje é uma rede mundial com mais de dois bilhões de usuários. Ela inclui
quase todo governo, empresa e organização do planeta. Porém, apenas essa quantidade
de usuários na mesma rede não teria sido suficiente para tornar a Internet uma inovação
que mudou completamente o cenário. Esses usuários precisavam de algum tipo de
mecanismo para vincular documentos e recursos entre computadores. Em outras palavras,
um usuário no computador A precisava de um modo fácil de abrir um documento no
computador B. Essa necessidade fez surgir um sistema que define como documentos e
recursos são relacionados entre máquinas na rede: Teia de Alcance Mundial ( WWW —
World Wide Web). Você pode conhecê-la como ciberespaço ou simplesmente como Web.
Pense na Internet desta maneira: ela conecta redes de comunicação entre si. A Web é a
conexão de Web sites, páginas Web e conteúdo digital nesses computadores interligados
em rede. O ciberespaço compreende todos os usuários, redes, páginas Web e aplicativos
que atuam nesse domínio eletrônico de alcance mundial.
Infelizmente, quando se conecta ao ciberespaço, você também abre as portas para muitos
sujeitos maus que querem encontrá-lo e roubar seus dados. Cada computador que se
conecta à Internet está em risco. Todos os usuários precisam defender suas informações
de invasores. Cibersegurança é dever de cada governo que deseje garantir a própria
segurança nacional. É responsabilidade de cada organização que precise proteger as
próprias informações. E é função de cada um proteger os próprios dados. A Figura 1
ilustra essa nova fronteira.
9
CAPÍTULO 1 • Introdução à Segurança de Sistemas de Informação
Figura 1. O Ciberespaço.
Fonte: KIM, D., SOLOMON, G., 2014.
Os componentes do ciberespaço não são automaticamente seguros e incluem cabeamento,

redes físicas, sistemas operacionais e aplicativos de software que computadores usam para
se conectar à Internet. No centro do problema está a falta de segurança do protocolo de
comunicações TCP/IP. Esse protocolo é a linguagem que os computadores normalmente
utilizam quando se comunicam pela Internet (um protocolo é uma lista de regras e métodos
para comunicação). TCP/IP, na realidade, é mais do que apenas um protocolo. Ele consiste
em dois protocolos, Protocolo de Controle de Transmissão (TCP — Transmission Control
Protocol) e Protocolo de Internet (IP — Internet Protocol), que trabalham juntos para
permitir que dois computadores quaisquer se comuniquem usando uma rede. TCP/IP, como
esses dois protocolos são conhecidos coletivamente, desmembra mensagens em pedaços
ou pacotes, para enviar para outro computador em rede. O problema é que os dados são
legíveis dentro do pacote IP. Esse modo legível é conhecido como texto claro e significa que
você precisa esconder ou criptografar os dados enviados dentro de um pacote TCP/IP para
torná-los mais seguros.
Tudo isso levanta a questão: se a Internet é tão insegura, por que todos se conectam a ela tão
rapidamente? A resposta é o imenso crescimento da Web a partir de meados da década de
1990 até o início da década de 2000. A conexão com a Internet deu a qualquer pessoa acesso
instantâneo à Web e a seus muitos recursos. O apelo de fácil conectividade com o mundo inteiro
10
Introdução à Segurança de Sistemas de Informação • CAPÍTULO 1
impulsionou a demanda por conexão, que, junto com o subsequente crescimento, ajudou
a reduzir custos para comunicações de alta velocidade. Residências, empresas e governos
ganharam acesso à Internet de alta velocidade por preços acessíveis. E, como conexões sem
fio se tornaram mais comuns e acessíveis, ficou mais fácil permanecer conectado, a despeito
de onde você esteja.
O crescimento da Internet também foi incentivado pelas diferenças de geração. A cultura

da Geração Y está assumindo o controle, enquanto a geração mais antiga começa a se
aposentar. Essa nova geração se desenvolveu com telefones celulares, smartphones e
acesso à Internet “sempre ligado”. Esses dispositivos oferecem comunicações em tempo
real. As comunicações pessoais de hoje incluem Voz sobre IP ( VoIP — Voice over IP),
mensagens de texto, mensagens instantâneas (IM) ou bate-papo (chatting), além de
áudio e videoconferência.
O ciberespaço é o novo local para se reunir, socializar e compartilhar ideias. Você pode
bater papo com amigos, família, contatos de negócios e pessoas de qualquer lugar. Mas há
um perigo: você não sabe realmente quem é a pessoa na outra ponta. Mentirosos e ladrões
podem facilmente esconder suas identidades. Embora o ciberespaço lhe ofereça acesso na
ponta dos dedos a pessoas e informações, ele também traz consigo muitos riscos e ameaças.
Atenção
Uma guerra de segurança da informação se alastra!
O campo de batalha é o ciberespaço, e os inimigos já estão dentro dos portões. Para piorar, eles estão em toda parte
— tanto na área local quanto no mundo inteiro!
Por causa disso, a TI tem grande necessidade de controles de segurança apropriados. Essa necessidade criou uma
grande demanda por profissionais de segurança da informação. O objetivo é proteger do inimigo tanto a segurança
nacional quanto as informações de negócios.
Objetivos
» Apresentar conceitos fundamentais sobre Sistemas de Informação.
» Apresentar as normas brasileiras sobre segurança da informação.
» Mostrar quais são os princípios da segurança de sistemas de informação.
» Fundamentar os sete domínios de uma infraestrutura típica de TI e suas respectivas

vulnerabilidades.
» Discutir as fragilidades de uma infraestrutura de TI.
11
» Detalhar a adoção de uma política de segurança de TI e o uso de padrões na

classificação de dados.
» Descrever os requisitos da segurança física e lógica de uma rede de computadores
Sistemas de informação
É um tipo especializado de Sistema formado por um conjunto de componentes

inter-relacionados que visam coletar dados e informações, manipulá-los e processá-los
para finalmente dar saída a novos dados e informações. Em um Sistema de Informação,
consideramos que os elementos de entrada e saída são sempre dados e ou informações,
e o conjunto dos procedimentos do processamento não envolve atividades físicas, mas
manipulação, transformação de dados em informação, conforme pode ser observado
na Figura 2, a seguir.
Figura 2. Modelo de Sistema de Informação (SI).
Fonte: David, Solomon, 2014
Na figura anterior, observam-se os diversos componentes de um Sistema de Informação

(Entrada, Processamento e Saída), os mecanismos de armazenamento e controle do sistema,
além dos diversos recursos (Hardware, Redes, Software, entre outros) que oferecem suporte.
Classificação de sistemas de informação
Essa classificação apresenta como critério de categorização o nível organizacional aos quais
os sistemas de informação buscam atender. Assim, são definidas três categorias essenciais:
12
» os Sistemas de Processamento de Transação – SPT, que atendem ao nível operacional

da organização;
» os Sistemas de Informações Gerenciais – SIG, que atendem ao nível gerencial;
» os Sistemas de Apoio à decisão – SAD ou Sistemas de Suporte à Decisão – SSD, que visam
atender às necessidades do nível estratégico da organização.
São exemplos de características desses sistemas:
» manipulação de grandes volumes de dados – a análise de longas séries históricas de

dados é essencial para apoiar análises e decisões eficazes;
» obter e processar dados de fontes diversas – os SADs necessitam de um grande volume

de dados que é retirado a partir de sistemas distintos e de fontes externas e internas; a
sua eficiência depende dessa capacidade de conexão;
» flexibilidade de relatórios e apresentações – para representar, de forma condensada,

grande volume de informações, os relatórios devem permitir representações gráficas
e textuais, assim como manipulações de detalhamento ou generalizações dos dados,
conforme necessidade do executivo;
» análise de simulações por metas – consiste em permitir ao usuário a criação de cenários

hipotéticos, visando construir projeções de novas situações de negócio. Essas simulações
utilizam, entre outros, modelos matemáticos e estatísticos;
» suporte a abordagens de otimização, satisfação e heurística – as abordagens de otimização

correspondem ao emprego de modelos matemáticos determinísticos e estruturados em
que a resposta é facilmente encontrada. A abordagem de satisfação envolve problemas
semiestruturados e modelos de solução probabilísticos em que não existe um valor
único, mas uma faixa de valores que têm a probabilidade de ocorrer. Nas abordagens
de heurística, temos problemas não estruturados, com grande complexidade, em que
o sistema pode encontrar uma boa solução, mas não a melhor.
Importante
A Tecnologia por si só não garante segurança da informação!
Os dois itens mais importantes no momento de manter as informações da empresa em segurança são: a elaboração
de políticas de segurança e o gerenciamento de suporte adequados, seguido do nível de conscientização dos
funcionários. A política de segurança atribui os direitos e responsabilidades às pessoas que lidam com os recursos
computacionais de uma instituição e com as informações neles armazenadas. Ela também define as atribuições de
cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve
prever o que pode ser feito na rede da instituição e o que será considerado inaceitável.
13
Uso das normas
Normas são entendidas como um conjunto de regras ou orientações que visam qualidade
na atuação em uma tarefa. As normas em estudo buscam tornar o ambiente computacional
das empresas mais seguro com relação a mitigar os incidentes computacionais, além de
orientar sobre ações a serem tomadas, quando esses incidentes ocorrerem. Aplicar normas
de segurança em um ambiente computacional é mais do que modismo, é uma forma de
garantir a existência de coerência nas ações dos coordenadores e executores das tarefas
de administração dos ambientes computacionais. Adotar padrões reconhecidamente
eficientes minimiza problemas de incidentes relacionados às operações sustentadas por
computadores.
Observe a lei
A seguir, observe as normas brasileiras, ABNT NBR ISO/IEC 27002 e ABNT NBR ISO/IEC-27001, que regulamentam a
Segurança de Sistemas de Informação.
Entendendo a Norma ABNT NBR ISO/IEC 27002
Segurança para Sistemas de Informações foi um dos primeiros itens a definir padrões. A gerência
de segurança da informação visa identificar os riscos e implantar medidas que, de forma efetiva,
tornem esses riscos gerenciáveis e minimizados. A NBR ISO 27002 é um código de práticas de gestão
de segurança da informação. Sua importância pode ser dimensionada pelo número crescente
de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores.
Objetivos da Norma
O principal objetivo da Norma é estabelecer um referencial para as organizações

desenvolverem, implementarem e avaliarem a gestão da segurança de informação.
Em sua documentação, a norma aborda 11 tópicos principais:
1. política de segurança – descreve a importância e relaciona os principais assuntos que

devem ser abordados numa política de segurança;
2. segurança organizacional – aborda a estrutura de uma gerência para a segurança de

informação, assim como aborda o estabelecimento de responsabilidades incluindo
terceiros e fornecedores de serviços;
3. classificação e controle de ativos de informação – trabalha a classificação, o registro e

o controle dos ativos da organização;
14
4. segurança em pessoas – tem como foco o risco decorrente de atos intencionais ou

acidentais feitos por pessoas. Também é abordada a inclusão de responsabilidades
relativas à segurança na descrição dos cargos, a forma de contratação e o treinamento
em assuntos relacionados à segurança;
5. segurança ambiental e física – aborda a necessidade de definir áreas de circulação

restrita e de proteger equipamentos e infraestrutura de tecnologia de informação;
6. gerenciamento das operações e comunicações – aborda as principais áreas que

devem ser objeto de especial atenção da segurança. Entre essas áreas destacam-se
as questões relativas a procedimentos operacionais e respectivas responsabilidades,
homologação e implantação de sistemas, gerência de redes, controle e prevenção de
vírus, controle de mudanças, execução e guarda de backup, controle de documentação,
segurança de correio eletrônico, entre outras;
7. controle de acesso – aborda o controle de acesso a sistemas, a definição de

competências, o sistema de monitoração de acesso e uso, a utilização de senhas,
entre outros assuntos;
8. desenvolvimento e manutenção de sistemas – são abordados os requisitos de

segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do
desenvolvimento e suporte de sistemas;
9. gestão de incidentes de segurança – incluída na versão 2005, apresenta dois itens:

notificação de fragilidades e eventos de segurança da informação; e gestão de
incidentes de segurança da informação e melhorias;
10. gestão da continuidade do negócio – reforça a necessidade de se ter um plano de

continuidade e contingência desenvolvido, implementado, testado e atualizado;
11. conformidade – aborda a necessidade de observar os requisitos legais, tais como a

propriedade intelectual e a proteção das informações de clientes.
Entendendo a Norma ABNT NBR ISO/IEC-27001
A Norma ABNT NBR ISO/IEC 27001:2005 relaciona os requisitos mandatários na definição

do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a
identificação de ativos e a eficácia dos controles implementados. Essa Norma promove a
adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar,
analisar criticamente, manter e melhorar o Sistema de Gerenciamento da Segurança da
Informação – SGSI de uma organização. Para essa abordagem, a norma orienta à observação
de um conjunto de ações e tarefas. Essas ações devem ser planejadas visando à eficiência
de sua aplicação.
15
Objetivos da Norma
A abordagem de processo para a gestão da segurança da informação apresentada nesta

norma encoraja que seus usuários enfatizem a importância de:
» entendimento dos requisitos de segurança da informação de uma organização e da

necessidade de estabelecer uma política e objetivos para a segurança da informação;
» implantação e operação de controles para gerenciar os riscos de segurança da informação

de uma organização no contexto dos riscos de negócio globais da organização;
» monitoração e análise crítica do desempenho e eficácia do SGSI;
» melhoria contínua baseada em medições objetivas.
Administrar ambientes computacionais implica atender às normas e diretrizes da

organização. A não conformidade às normas ou o descumprimento ou a não observância
implica penalização legal por omissão a essas. A alegação de desconhecimento não tem
valor legal.
Princípios de segurança de sistemas de informação
A maioria das pessoas concorda que informações privadas devem ser seguras. Mas o que
significa realmente “informações seguras”? Elas devem satisfazer três princípios fundamentais
ou propriedades de informação. Se puder garanti-los, você satisfará os requisitos de informações
seguras. Os três princípios são:
» disponibilidade – a informação é acessível por usuários autorizados sempre que a

solicitarem;
» integridade – somente usuários autorizados podem alterar a informação;
» confidencialidade – somente usuários autorizados podem visualizar a informação.
A Figura 3 mostra os três princípios de Segurança de Sistemas de Informação. Ao projetar e

utilizar controles de segurança, você está englobando um ou mais desses princípios.
Ao se deparar com soluções para problemas de segurança, você precisará usar a tríade:
D-I-C. É preciso definir e alcançar os objetivos de sua organização para essa tríade
nos sete domínios típicos de infraestrutura de TI. Uma vez definidos, esses objetivos o
ajudarão a estabelecer controles de segurança, conforme exigidos para seus diferentes
tipos de dados.
16
Figura 3. Os três princípios de segurança de sistemas de informação.
Disponibilidade
Disponibilidade é um termo comum na vida diária. Por exemplo, você provavelmente presta
atenção na disponibilidade do seu serviço de TV por satélite, de telefonia celular ou de um colega
da empresa para uma reunião. No contexto de Segurança de Informação, a disponibilidade
geralmente é expressa como a quantidade de tempo em que um usuário pode usar um sistema,
aplicativo e dados. Medidas comuns de tempo de disponibilidade incluem as seguintes:
1. tempo de utilização — a quantidade de tempo total em que um sistema, aplicativo e

dados ficam acessíveis. O tempo de utilização (ou uptime) normalmente é medido em
unidades de segundos, minutos e horas, dentro de determinado mês;
2. tempo de paralisação — a quantidade de tempo total em que um sistema, aplicativo e

dados não ficam acessíveis. O tempo de paralisação (ou downtime) também é medido
em unidades de segundos, minutos e horas para um mês;
3. disponibilidade — um cálculo matemático no qual D = (tempo de utilização total) /

(tempo de utilização total + tempo de paralisação);
4. tempo médio para falha (MTTF — Mean Time to Failure) — o tempo médio para falha é
a quantidade média de tempo entre falhas para determinado sistema. Semicondutores e
produtos eletrônicos não quebram e possuem um MTTF de muitos anos (por exemplo,
25 anos ou mais). Partes físicas, tais como conectores, cabeamento, ventiladores e fontes
de alimentação possuem um MTTF muito menor (cinco anos ou menos), visto que o
uso e desgaste podem danificá-las;
17
5. tempo médio para reparo (MTTR — Mean Time to Repair) — o tempo médio para
reparo é a quantidade média de tempo necessária para reparar um sistema, aplicativo
ou componente. O objetivo é colocá-lo novamente em atividade o mais rápido possível;
6. objetivo de tempo de recuperação (RTO — Recovery Time Objective) — o objetivo de

tempo de recuperação é a quantidade de tempo necessária para recuperar e tornar um
sistema, aplicativo e dados disponíveis para uso após uma parada. Planos de continuidade
de negócios normalmente definem um RTO para sistemas, aplicativos e acesso a dados
de missão crítica.
Integridade
Integridade lida com a validade e a precisão de dados. Dados que não possuem integridade
— isto é, que não sejam precisos ou válidos — não têm utilidade. Para algumas organizações,
dados e informações são bens de propriedade intelectual. Alguns exemplos são direitos
autorais, patentes, fórmulas secretas e bancos de dados de clientes. Essas informações
podem ter grande valor. Alterações não autorizadas podem acabar com o valor dos dados. É
por isso que integridade é um princípio de segurança de sistemas. A Figura 4 mostra o que
integridade de dados significa e se esses dados são utilizáveis. Sabotagem e corrupção de
integridade de dados são sérias ameaças para uma organização, especialmente se os dados
forem críticos para operações de negócios.
Figura 4. Integridade de dados.
Confidencialidade
Confidencialidade é um termo comum que significa proteger informações de todos, exceto

daqueles que tenham direito a elas. Informações confidenciais incluem:
18
» dados particulares de indivíduos;
» propriedade intelectual de empresas;
» segurança nacional para países e governos;
» as leis de conformidade dos Estados Unidos exigem que organizações tenham controles
para manter dados privados.
Com o crescimento do comércio eletrônico, mais pessoas estão fazendo compras on-line com
cartões de crédito, o que exige que elas insiram dados pessoais nos Web sites de comércio
eletrônico. Os consumidores devem ter o cuidado de proteger sua identidade pessoal e dados
particulares.
As leis exigem que as organizações usem controles de segurança para proteger os dados
particulares dos clientes. Um controle de segurança é uma medida da organização para
ajudar a reduzir riscos. Alguns exemplos incluem:
» realizar treinamentos anuais de conscientização de segurança para funcionários.

Isso ajuda a lembrar do tratamento apropriado de dados particulares e também
incentiva a conscientização da estrutura da organização sobre políticas, padrões,
procedimentos e diretrizes de segurança;
» estabelecer uma estrutura de diretriz de segurança de TI. Esse material é como

um manual de instruções para controles de segurança;
» projetar uma solução de segurança em camadas para uma infraestrutura de TI.

Quanto mais camadas ou compartimentos bloquearem ou protegerem dados
privados e propriedade intelectual, mais difícil será encontrá-los e roubá-los;
» realizar periódicas avaliações de segurança e testes de penetração em Web sites e na

infraestrutura de TI. É assim que profissionais de segurança verificam se instalaram
os controles adequadamente.
» ativar o monitoramento de segurança nos pontos de entrada e saída para a Internet.

É como usar um microscópio para ver o que entra e sai;
» usar estação de trabalho automatizada, antivírus de servidor e proteção contra

software malicioso. Esse é o modo de manter os vírus e software malicioso fora do
seu computador;
» usar controles de acesso mais rigorosos além de um ID e senha de acesso para

sistemas sensíveis, aplicativos e dados. IDs de acesso com senhas são apenas uma
verificação do usuário. O acesso a sistemas mais sensíveis deverá ter um segundo
teste para confirmar a identidade do usuário;
19
» minimizar os pontos fracos do software nos computadores e servidores,

atualizando-os com correções (patches) e reparos de segurança. Esse é o modo
de manter seu sistema operacional e software aplicativo atualizados;
» proteger dados privados é o processo de garantir sua confidencialidade. As

organizações precisam usar controles de segurança apropriados, específicos
para essa questão;
» definir políticas, padrões, procedimentos e diretrizes no âmbito da organização

para proteger dados confidenciais são instruções para como lidar com eles;
» adotar um padrão de classificação de dados que defina como tratá-los por toda
sua infraestrutura de TI. Esse é o roteiro para identificar quais controles são
necessários para manter os dados seguros;
» limitar o acesso a sistemas e aplicativos que hospedem dados confidenciais para

uso somente de usuários autorizados;
» usar técnicas de criptografia para ocultar dados confidenciais e mantê-los invisíveis

aos usuários não autorizados;
» criptografar dados que cruzem a Internet pública;
» criptografar dados armazenados em bancos e dispositivos de armazenamento.
Enviar dados para outros computadores usando uma rede significa que você precisa
tomar medidas especiais para impedir que usuários não autorizados tenham acesso
a dados confidenciais. Criptografia é a prática de ocultar dados e mantê-los longe de
usuários não autorizados. Encriptação é o processo de transformar dados de texto claro
para texto cifrado. Dados em texto claro são aqueles que qualquer um pode ler. Texto
cifrado são os dados misturados que resultam da encriptação de texto claro. Um exemplo
disso está na Figura 5.
Figura 5. Encriptação de texto claro para cifrado.
20
Riscos, ameaças e vulnerabilidades
Este capítulo apresenta os perigos do ciberespaço e discute como lidar com eles, além de
como identificar e combater os mais comuns nos Sistemas de Informação e infraestruturas
de TI. Para entender como tornar computadores mais seguros, primeiramente você precisa
entender riscos, ameaças e vulnerabilidades.
Risco é a probabilidade de que algo ruim aconteça a um bem; a exposição a algum evento
que tenha um efeito sobre um bem. No contexto de segurança da TI, um bem pode ser um
computador, um banco de dados ou uma informação. Alguns exemplos de risco incluem:
» perder dados;
» perder negócios porque um desastre destruiu seu prédio;
» deixar de cumprir leis e regulamentações.
Uma ameaça é qualquer ação que possa danificar um bem. Sistemas de informação
enfrentam ameaças naturais e induzidas por humanos. Ameaças de enchente, terremoto
ou fortes tempestades exigem que as organizações tenham planos para garantir que a
operação da empresa continue e que a organização possa se recuperar. Um plano de
continuidade de negócios (BCP — Business Continuity Plan) dá prioridades às funções
de que uma organização precisa para se manter. Um plano de recuperação de desastre
(DRP — Disaster Recovery Plan) define como uma empresa retoma suas atividades após
um grande desastre, como um incêndio ou um furacão. Ameaças causadas por humanos
a um sistema de computador incluem vírus, código malicioso e acesso não autorizado.
Um vírus é um programa de computador escrito para causar danos a um sistema, um
aplicativo ou dados. Código malicioso ou malware é um programa de computador escrito
para que ocorra uma ação específica, como apagar um disco rígido. Essas ameaças podem
prejudicar um indivíduo, empresa ou organização.
Uma vulnerabilidade é um ponto fraco que permita que uma ameaça seja concretizada
ou que tenha efeito sobre um bem. Para entender o que é uma vulnerabilidade, pense em
um fogo aceso. Acender um fogo não é necessariamente ruim. Se você estiver preparando
um churrasco, terá de acender um na churrasqueira, preparada para contê-lo e que não
deverá impor qualquer perigo se usada corretamente. Por outro lado, acender um fogo em
um centro de dados de computação provavelmente causará danos. Uma churrasqueira não
é vulnerável a incêndio, mas um centro de dados de computação sim. Uma ameaça por si
só nem sempre causa danos; é preciso haver vulnerabilidade para que seja concretizada.
21
Os sete domínios de uma infraestrutura típica de TI
Que papel os três princípios de segurança de sistemas desempenham em uma

infraestrutura típica de TI? Primeiramente, vamos revisar como é uma infraestrutura
típica de TI. Seja em uma pequena empresa, uma grande agência de governo ou uma
corporação pública, a maioria das infraestruturas de TI consiste nos sete domínios
mostrados na Figura 6.
Uma infraestrutura típica de TI normalmente tem esses sete domínios. Cada um exige
controles de segurança apropriados, que precisam atender aos requisitos da tríade
D-I-C. Seguem uma visão geral dos sete domínios e os riscos, ameaças e vulnerabilidades
que você normalmente encontrará nos ambientes de TI de hoje.
Figura 6. Os sete domínios de uma infraestrutura típica de TI.
Domínio do usuário
O Domínio do Usuário define as pessoas que acessam um Sistema de Informação de uma

organização.
Riscos, ameaças e vulnerabilidades do domínio do usuário
O Domínio do Usuário é o elo mais fraco em uma infraestrutura de TI. Qualquer pessoa
responsável por segurança de computador precisa entender o que motiva alguém a comprometer
um sistema, aplicativos ou dados de uma organização. Entre as prováveis ameaças, temos:
falta de conscientização do usuário; apatia do usuário para com as políticas; violações de
política de segurança; destruição pelo usuário de sistemas, aplicativos ou dados; funcionário
descontente ataca a organização ou comete sabotagem etc.
22
Domínio da Estação de Trabalho
É no domínio da estação de trabalho que a maioria dos usuários se conecta à infraestrutura

de TI. Uma estação de trabalho pode ser um desktop, um laptop ou qualquer outro dispositivo
que se conecte à sua rede, como um assistente de dados pessoais (PDA — Personal Data
Assistant), um smartphone ou um terminal com finalidade especial. Você poderá encontrar
mais detalhes sobre dispositivos móveis na seção “Domínio de acesso remoto”.
Riscos, ameaças e vulnerabilidades do domínio da estação de

trabalho
O domínio da estação de trabalho requer controles estritos de segurança e acesso. É aí

que os usuários primeiro acessam sistemas, aplicativos e dados. O domínio da estação de
trabalho requer um ID e senha de acesso para que este seja concedido. Entre as prováveis
ameaças, temos: acesso não autorizado à estação de trabalho; acesso não autorizado a
sistemas, aplicativos e dados; vulnerabilidades de software de sistema operacional de
desktop ou laptop; Vírus, código malicioso ou malware infecta uma estação de trabalho
ou laptop de um usuário; usuário insere Compact Disks (CDs), Digital Video Disks (DVDs)
ou pen drives Universal Serial Bus (USB) em computador da organização; usuário baixa
fotos, música ou vídeos pela Internet etc.
Domínio de LAN
Uma rede local (L AN — Local Area Network) é uma coleção de computadores

conectados uns aos outros ou a um meio comum de conexão. Meios de conexão de
rede podem incluir fios, cabos de fibra ótica ou ondas de rádio. LANs geralmente
são organizadas por função ou departamento. Uma vez conectado, seu computador
poderá acessar sistemas, aplicativos, possivelmente a Internet e dados. O terceiro
componente na infraestrutura de TI é o domínio da LAN.
Riscos, ameaças e vulnerabilidades do domínio da LAN
O domínio de LAN também precisa de rígidos controles de segurança e acesso. Os usuários

podem acessar sistemas, aplicativos e dados corporativos a partir do domínio de LAN.
É nesse ponto que a terceira camada de defesa é exigida, a qual protege a infraestrutura
de TI e o domínio da LAN. Entre as prováveis ameaças, temos: acesso não autorizado à
LAN; acesso não autorizado a sistemas, aplicativos e dados; vulnerabilidades de software
de sistema operacional de servidor de LAN; vulnerabilidades de software aplicativo de
servidor de LAN e atualizações de correções de software; usuários espertalhões em WLANs
ganham acesso não autorizado.
23
Domínio de LAN para WAN
No domínio de LAN para WAN, a infraestrutura de TI se liga a uma rede remota e à Internet.
Infelizmente, conectar-se à Internet é como estender um tapete vermelho para bandidos.
A Internet é aberta, pública e facilmente acessível por qualquer pessoa. A maior parte do
tráfego da Internet é de texto claro, o que significa ser visível e não privado. Aplicativos de
rede utilizam dois protocolos de transporte comuns: Protocolo de Controle de Transmissão
(TCP — Transmission Control Protocol) e Protocolo de Datagrama de Usuário (UDP — User
Datagram Protocol). Tanto TCP quanto UDP utilizam números de porta para identificar o
aplicativo ou a função, que funcionam como canais de TV que indicam a qual estação você
está assistindo. Quando um pacote é enviado por TCP ou UDP, o número de porta aparece no
cabeçalho do pacote — o que basicamente revela que tipo de pacote ele é. É como anunciar
ao mundo o que você está transmitindo.
Alguns exemplos de números de porta TCP e UDP comuns são:
» Porta 80: Protocolo de Transferência de Hipertexto (HTTP — Hyper Text Transfer

Protocol) — é o protocolo de comunicações entre navegadores Web e Web sites com
dados em texto claro.
» Porta 20: Protocolo de Transferência de Arquivos (FTP — File Transfer Protocol) —

é um protocolo para transferir arquivos. FTP usa TCP como transmissão de dados
orientada à conexão, mas em texto claro, isto é, os pacotes individuais são numerados
e têm o recebimento confirmado para aumentar a integridade da transferência.
» Porta 69: Protocolo Trivial de Transferência de Arquivos (TFTP — Trivial File Transfer
Protocol) — é um protocolo para transferir arquivos. TFTP utiliza UDP como
transmissão de dados sem conexão, mas em texto claro. É usado para transferências
rápidas de pequenos arquivos, visto que não garante a entrega de pacotes individuais.
» Porta 23: Rede de Terminal (Telnet — Terminal Network) —é um protocolo de rede

para realizar acesso por terminal remoto a outro dispositivo. Telnet usa TCP e envia
dados em texto claro.
» Porta 22: Ambiente Seguro (SSH — Secure Shell) — é um protocolo de rede para
realizar acesso por terminal remoto a outro dispositivo. SSH criptografa a transmissão
de dados para manter a confidencialidade das comunicações.
Como a família TCP/IP de protocolos não possui segurança, a necessidade de controles

de segurança ao lidar com protocolos nessa família é maior. O domínio de LAN para WAN
representa a quarta camada de defesa para uma infraestrutura típica de TI.
24
O domínio de LAN para WAN inclui tanto as partes físicas quanto o projeto lógico de
mecanismos de segurança. Essa é uma das áreas mais complexas de se proteger dentro da
infraestrutura de TI. Você precisará manter a segurança ao fornecer aos usuários o máximo
de acesso possível. As partes físicas precisam ser administradas para que haja acesso fácil ao
serviço. Os mecanismos de segurança precisam ser configurados logicamente para aderirem
às definições da política.
Isso gerará o máximo de disponibilidade, garantirá a integridade dos dados e manterá a

confidencialidade. Os papéis e tarefas exigidos no domínio de LAN para WAN incluem o
gerenciamento e a configuração de: Roteadores IP; Firewall IP; Zona Desmilitarizada (DMZ
— Demilitarized Zone); Servidores substitutos (proxy) etc.
Riscos, ameaças e vulnerabilidades do domínio da LAN para WAN
O domínio de LAN para WAN precisa de controles rígidos de segurança, dados os riscos e
ameaças de se conectar à Internet. Nesse domínio, todos os dados trafegam para dentro e
fora da infraestrutura de TI. O domínio de LAN para WAN fornece acesso à Internet para a
organização inteira e atua como ponto de entrada/saída para a rede remota (WAN). No domínio
de LAN para WAN, a quarta camada de defesa é exigida. Entre as prováveis ameaças, temos:
sondagem e varredura de porta de rede sem autorização; acesso não autorizado por meio
do domínio de LAN para WAN; vulnerabilidade de software de roteador IP, firewall e sistema
operacional de mecanismo de rede; erros e pontos fracos de arquivos de configuração de
roteadores IP, firewall e mecanismos de rede; usuários remotos podem acessar a infraestrutura
da organização e baixar dados sensíveis etc.
Domínio de WAN
O domínio de Rede Remota (WAN — Wide Area Network) conecta locais remotos. À medida
que os custos de rede diminuem, as organizações podem adquirir conexões mais rápidas
de Internet e WAN.
O domínio de WAN representa o quinto componente na infraestrutura de TI. Serviços de

WAN podem incluir acesso dedicado à Internet e serviços gerenciados para roteadores e
firewalls de clientes. São comuns acordos de gerenciamento para disponibilidade e tempo
de resposta a paralisações. Redes, roteadores e equipamentos exigem monitoramento e
gerenciamento contínuos para manter o serviço de WAN disponível.
Algumas organizações utilizam a Internet pública como infraestrutura de WAN. Embora

seja mais barata, a Internet não garante a entrega ou a segurança de dados. A seguir, vemos
riscos, ameaças e vulnerabilidades da Internet, além de estratégias para redução de riscos.
25
Riscos, ameaças e vulnerabilidades do domínio da WAN (internet)
Provedores de serviços de telecomunicações estão no negócio de fornecer conectividade

de WAN para comunicações fim a fim. Provedores de serviço precisam primeiramente
assumir a responsabilidade de proteger sua infraestrutura de rede. Clientes que assinem
serviços de comunicação de WAN precisam analisar os termos, condições e limitações
de responsabilidade do contrato de serviço. Isso é importante porque as organizações
precisam descobrir onde começam e terminam seus deveres em relação aos gerenciamentos
de roteador e de segurança.
O aspecto mais crítico de um contrato de serviços de WAN é como o provedor fornece

serviços de diagnóstico, gerenciamento de rede e de segurança. No domínio de WAN,
é exigida a quinta camada de defesa. Entre as prováveis ameaças, temos: rede aberta,
pública, facilmente acessível a qualquer um que queira se conectar; a maior parte do
tráfego da Internet é enviada em texto claro; rede vulnerável à bisbilhotagem e aos ataques
maliciosos; rede vulnerável à adulteração de informações e dados; hackers, invasores e
perpetradores enviam livremente cavalos de Troia, vermes (worms) e software malicioso
por e-mail etc.
Domínio de acesso remoto
O domínio de acesso remoto (Remote Access Domain) conecta usuários remotos à

infraestrutura de TI de uma organização. Acesso remoto é crítico para membros de
equipes que trabalhem em campo ou de casa — por exemplo, representantes de vendas
externos, especialistas de suporte técnico ou profissionais da saúde. O acesso global
facilita a conexão com a Internet, e-mail e outros aplicativos de negócios em qualquer
lugar em que você possa encontrar um ponto de acesso (hotspot) fidelidade sem fio ( Wi-
Fi — Wireless Fidelity). É importante que se tenha o domínio de acesso remoto, mas é
perigoso utilizá-lo, pois introduz muitos riscos e ameaças a partir da Internet.
O escopo desse domínio é limitado a acesso remoto via Internet e comunicações IP. A
configuração lógica do domínio de acesso remoto exige engenharia de rede IP e soluções de
VPN. Essa seção aborda acesso remoto individual e em grande escala, para muitos usuários
remotos. O domínio de acesso remoto representa a sexta camada de defesa para uma
infraestrutura típica de TI.
Riscos, ameaças e vulnerabilidades do domínio de acesso remoto
Acesso remoto é perigoso, porém necessário para trabalhadores móveis. Isso

acontece naquelas organizações que contam com uma força de trabalho móvel,
como representantes de vendas, consultores e pessoal de suporte. À medida que as
26
organizações reduzem custos, muitas precisam que seu pessoal trabalhe de casa. A
WAN, nesse caso, é a Internet pública. É importante tornar essas conexões seguras.
Você deverá usar o padrão de classificação de dados estrito da sua organização para
verificar usuários e criptografar dados.
Atenção
Entre as prováveis ameaças, temos: ataques de ID e de senha de usuário por força bruta; múltiplas tentativas
de acesso e ataques a controle de acesso; acesso remoto não autorizado a sistemas de TI, aplicativos e dados;
dados privativos ou dados confidenciais são comprometidos remotamente; vazamento de dados em violação de
padrões de classificação de dados existentes; roubo de notebook de trabalhador móvel.
Ponto frágil na segurança de uma infraestrutura de TI
O usuário representa o ponto de maior fragilidade na segurança. Até mesmo profissionais

de segurança de sistemas de informação podem cometer erros. Erro humano é um risco
importante e uma ameaça a qualquer organização. Nenhum grupo pode controlar totalmente
o comportamento de uma pessoa. Por esses motivos, toda organização precisa estar preparada
para usuários maliciosos, não treinados e descuidados. As estratégias a seguir podem ajudar
a reduzir riscos:
» verifique cuidadosamente a experiência de cada candidato a um cargo;
» faça uma avaliação regular de cada membro da equipe;
» faça um rodízio de acesso a sistemas, aplicativos e dados sensíveis com diferentes

cargos da equipe;
» aplique testes completos de aplicativos e de software e analise sua qualidade;
» reveja planos de segurança regularmente por todos os sete domínios de um sistema

típico de TI;
» realize auditorias anuais de controle de segurança.
Política de segurança de TI
O ciberespaço não pode continuar a crescer sem algumas garantias de segurança de

usuários. Diversas leis agora exigem que as organizações mantenham dados pessoais
privativos. As empresas não podem operar de modo eficaz em uma Internet na qual
qualquer pessoa possa roubar seus dados. Segurança de TI é fundamental para a capacidade
27
de sobrevivência de qualquer organização. Esta seção apresenta uma estrutura de política

de segurança de TI que consiste em políticas, padrões, procedimentos e diretrizes que
reduzem riscos e ameaças.
Definições
Uma estrutura de política de segurança de TI contém quatro componentes principais:
» Política — é uma curta declaração escrita que as pessoas encarregadas de uma

organização definiram como curso de ação ou direção. Uma política vem da gerência
superior e se aplica à organização inteira.
» Padrão — é uma definição escrita detalhada para hardware e software e estabelece

como devem ser usados. Padrões garantem que controles de segurança consistentes
sejam usados por todo o sistema de TI.
» Procedimentos — são instruções escritas de como usar políticas e padrões, e

podem incluir um plano de ação, instalação, teste e auditoria de controles de
segurança.
» Diretrizes — é um curso de ação sugerido para uso da política, dos padrões ou dos
procedimentos. Diretrizes podem ser específicas ou flexíveis em relação ao uso.
Políticas de base de segurança de TI
O foco da estrutura da política de segurança de TI da sua organização é reduzir sua

exposição a riscos, ameaças e vulnerabilidades. É importante relacionar a definição de
política e padrões com requisitos de projeto práticos que aplicarão corretamente os
melhores controles e medidas de segurança. Nesse sentido, as organizações precisam
ajustar sua estrutura de política de segurança de TI ao seu ambiente. Muitas, depois de
realizarem uma avaliação de segurança de sua configuração de TI, alinham as definições
de política a lacunas e exposições. E, normalmente, as políticas exigem gerenciamento
executivo, revisão e aprovação gerais de conselhos jurídicos.
Alguns exemplos de políticas de segurança básicas de TI incluem:
» Política de uso aceitável (AUP — Acceptable Use Policy) — define quais ações são ou
não permitidas com relação ao uso de ativos de TI pertencentes à organização. Essa
política é específica ao domínio do usuário e reduz o risco entre uma organização e
seus funcionários.
» Política de conscientização de segurança — define como garantir que todo o pessoal

esteja consciente da importância da segurança e expectativas de comportamento
28
sob a política de segurança da organização. Essa política é específica do domínio

do usuário e de quando você precisa mudar o comportamento da conscientização
da segurança organizacional.
» Política de classificação de ativo — define um padrão de classificação de dados de

uma organização e informa quais ativos de TI são críticos para a missão da empresa.
Ela normalmente define sistemas, usos e prioridades de dados da organização e
identifica ativos nos sete domínios de uma infraestrutura típica de TI.
» Política de proteção de ativo — ajuda as organizações a definirem uma prioridade

para sistemas e dados de missão crítica de TI, está alinhada à análise de impacto
de negócios (BIA — Business Impact Analysis) de uma organização e é usada para
enfrentar riscos que poderiam ameaçar a capacidade de uma organização de continuar
suas operações após um desastre.
» Política de gerenciamento de ativo — inclui as operações de segurança e o

gerenciamento de todos os ativos de TI nos sete domínios de uma infraestrutura
típica de TI;
» Avaliação e gerenciamento de vulnerabilidade — define uma janela de vulnerabilidade

por toda a organização para software de sistema corporativo e aplicativo. Você
desenvolve padrões, procedimentos e diretrizes de avaliação e gerenciamento de
vulnerabilidade para toda a organização a partir dessa política.
» Avaliação e monitoramento de ameaça — define uma autoridade de avaliação e

monitoramento de ameaça para toda a organização. Você também deverá incluir
detalhes específicos relativos ao domínio de LAN para WAN e conformidade com a
AUP nessa política.
Padrões de classificação de dados
A meta e o objetivo de um padrão de classificação de dados são oferecer uma definição

consistente de como uma organização deve tratar e proteger diferentes tipos de dados.
Controles de segurança fazem isso e estão dentro dos sete domínios de uma infraestrutura
típica de TI. Procedimentos e diretrizes devem definir como tratar dados dentro dos sete
domínios de uma infraestrutura típica de TI para garantir sua segurança.
Para empresas e organizações sujeitas a leis de conformidade recentes, padrões de

classificação de dados normalmente incluem as seguintes categorias gerais:
» privados — dados sobre pessoas que precisam ser mantidos privados. Organizações
precisam usar controles de segurança apropriados para estar em conformidade;
29
» confidenciais — informações ou dados de propriedade da organização.

Propriedade intelectual, listas de clientes, informações de preço e patentes
são exemplos de dados confidenciais;
» apenas de uso interno — informações ou dados compartilhados internamente por
uma organização. Embora informações ou dados confidenciais possam não ser
incluídos, as comunicações não deverão sair da organização.
» de domínio público — informações ou dados compartilhados com o público,
como conteúdo de Web site, informes oficiais etc.
Dependendo do padrão de classificação de dados da sua organização, você pode ter de

criptografar dados de sensibilidade mais alta até mesmo em dispositivos de armazenamento
e discos rígidos. Por exemplo, você pode precisar usar criptografia e tecnologia de VPN ao
usar a Internet pública para acesso remoto. Mas comunicações de LAN internas e acesso a
sistemas, aplicativos ou dados podem não exigir uso de criptografia.
Usuários também podem ser impedidos de chegar a dados particulares de clientes e podem
ser capazes de acessar apenas certas partes de dados. Representantes de atendimento ao
cliente oferecem serviço a eles sem obter todos os seus dados particulares. Por exemplo, eles
podem não conseguir ver os números inteiros de identidade ou conta de cliente; apenas os
quatro últimos dígitos podem estar visíveis.
Segurança física e lógica em redes de computadores
Uma rede de computadores bem planejada e implementada garante à empresa que seus
Sistemas de Informação estarão por muito mais tempo em funcionamento, evitando perdas
de produtividade e lucratividade. Portanto, aspectos de seguranças física e lógica devem ser
observados e constantemente avaliados para suportar os negócios da empresa. A implementação
de segurança em redes de computadores deve ocorrer sob dois aspectos:
» Segurança Física.
» Segurança Lógica.
Segurança física
A segurança física é o primeiro aspecto que deve ser considerado no que se refere à proteção
do hardware de redes de computadores, tendo em vista a proteção de dados e informações.
O nível de segurança física dependerá:
» do tamanho da empresa;
» da importância dos dados;
» dos recursos disponíveis para implementação da segurança.
30
A segurança física deverá contemplar:
» Acesso às instalações da empresa:
› controle de veículos e pessoas;
› controle de pessoas na área de Informática, com registros de acessos, escritos ou

em fitas;
› utilização de equipamentos e tecnologias de segurança de acesso a áreas restritas.
» Sistemas elétricos:
› sistema de aterramento eficiente;
› rede elétrica estabilizada e específica para equipamentos críticos de informática;
› utilização de equipamentos do tipo no-break ou UPS;
› cabeamento elétrico separado do cabeamento de redes de computadores e telefonia;
› utilização de protetores contra surtos elétricos e ruídos.
» Sistemas contra incêndios:
› cofres e salas especiais para armazenar arquivos e equipamentos críticos de

informática;
› identificação e manutenção dos equipamentos contra incêndio;
› sinalização para localização dos equipamentos contra incêndio;
› equipe treinada para situações de emergência.
» Proteção dos cabos de rede:
› utilizar cabeamento e conectores segundo padrão de boa qualidade;
› utilizar protetores adequados para linhas de transmissão de dados e de telefonia;
› utilizar cabeamento estruturado;
› identificar os cabos críticos, principalmente backbones de fibras ópticas.
» Proteção de servidores e redes:
› instalação de servidores em salas apropriadas, longe de condições climáticas e

ambientais que possam danificá-las e com restrição de acessos;
› instalação de firewall (Hardware) nos pontos de conexão externa da rede.
31
Segurança lógica
A segurança lógica é um conjunto de meios e procedimentos para preservar integridade

e controle de acesso às informações e recursos contidos nos servidores e computadores
centrais, sejam armazenados em fitas ou discos, de forma que não sejam manipulados por
pessoas não autorizadas. A segurança lógica deverá contemplar:
» Acesso aos recursos:
› compartilhamento protegido por senhas;
› controle das permissões de acesso em nível individual e de grupo;
› por meio de contas e senhas;
› certificação digital;
› firewall (software) proxy server.
» Acesso aos arquivos:
› implementação e manutenção de software Antivírus;
› criptografia;
› assinaturas digitais;
› controle de permissões em nível de informação;
› SGBD de boa qualidade.
» Proteção dos dados:
› rotinas de BACKUP/RESTORE eficientes, com log das atividades do backup;
› utilização de modernas mídias de armazenamento (DAT, DDS, Mídias Ópticas

etc.);
› renovar constantemente as mídias de backup;
› manter as mídias onde estão os backups fora da área de Informática e,

preferencialmente, mantê-las em cofre contra incêndios;
› contratação de Serviços de Storage remoto (backup por meio de VPN);
› sistema de tolerância a falha.
Esses sistemas protegem os dados, duplicando-os e colocando-os em diferentes fontes

físicas, tais como diferentes partições ou discos. Ambientes com Sistemas tolerantes a
falha nunca devem substituir um bom sistema de backup.
32
Sistemas de proteção e prevenção de intrusão
A segurança deve ser uma preocupação básica ao se elaborar o projeto de uma rede de
computadores. Normalmente a segurança é inversamente proporcional à simplicidade e à
facilidade de uso/configuração da rede. Por exemplo, um servidor da rede pode centralizar
diversos serviços para atender a rede externa (Internet) e a rede privada (interna). Essa
configuração gera problemas de segurança como:
» exposição da rede interna à Internet – os serviços da rede interna (e-mail, por

exemplo) estando localizados na mesma máquina que provê os serviços externos
(web, por exemplo) deixarão os dados do usuário expostos em caso de uma invasão;
» maior fragilidade a vulnerabilidades – o fato de concentrar muitos serviços

em uma única máquina gera esse tipo de problema, pois quanto mais serviços
disponíveis, mais vulnerabilidades podem ser exploradas e, consequentemente,
existe maior grau de exposição e risco de invasão.
Opção pelo firewall

O firewall opera nas camadas de transporte e de rede do modelo TCP/IP, tendo como
principal finalidade a filtragem de pacotes. Ele analisa todos os pacotes que entram ou
saem de todas as interfaces de rede a ele conectadas, ou seja, tanto pacotes destinados
diretamente ao firewall quanto destinados a qualquer host conectado a ele por meio de
alguma de suas interfaces de rede. Sua principal função também é bloquear todas as
portas quem não estejam sendo utilizadas.
Um firewall é uma passagem (gateway) que restringe e controla o fluxo tráfego de dados
entre redes, mais comumente entre uma rede interna e a Internet (Figura 7). O firewall
pode também estabelecer passagens seguras entre redes internas. Implantar um firewall,
com regras rígidas de segurança e que não permita que as máquinas da rede sejam
acessadas por máquinas remotas, é uma grande conquista em termos de segurança.
Por vezes, algumas máquinas da rede precisam receber acessos externos. É o caso de
servidores SMTP e servidores Web, por exemplo. Para permitir que essas máquinas
possam desempenhar suas funções, mas que ao mesmo tempo o restante da rede continue
protegida, muitos firewalls oferecem a opção de criar uma zona onde essa vigilância é
mais fraca, conhecida como DMZ. Nesse caso, o controle de acesso à Internet pode ser
feito por meio de um projeto de DMZ, permitindo que todo o tráfego entre os servidores
da empresa, a rede interna e a Internet passe por um firewall e pelas regras de segurança
criadas para a proteção da rede interna. Assim, o firewall se torna um único ponto de
acesso à rede em que o tráfego poderá ser analisado e controlado por meio de scripts no
firewall que definem o aplicativo, o endereço e os parâmetros de usuário. Esses scripts
ajudam a proteger os caminhos de conectividade para redes e centros de dados externos.
33
Rede de perímetro
O termo rede de perímetro (Figura 8) refere-se a um segmento de rede isolado no ponto em

que uma rede corporativa alcança a Internet. As redes de perímetro destinam-se a criar um
limite que permite a separação do tráfego entre redes internas e externas. Com esse limite, é
possível categorizar, colocar em quarentena e controlar o tráfego da rede de uma empresa. A
segurança de perímetro é proporcionada por um dispositivo de perímetro, como um firewall,
que inspeciona os pacotes e as sessões para determinar se devem ser transmitidos para a
rede protegida ou a partir dela, ou ser abandonados.
Os serviços e servidores que devem interagir com a Internet externa desprotegida são colocados
na rede de perímetro (conhecida como zona desmilitarizada) e na sub-rede filtrada. Isso
ocorre para que, caso invasores consigam explorar vulnerabilidades em serviços expostos,
possam avançar apenas uma etapa no acesso à rede interna confiável.
Figura 7. Rede com firewall e DMZ.
Fonte: <https://criandobits.com.br>.
Zona Desmilitarizada – DMZ
Uma DMZ ou Zona Neutra corresponde ao segmento de rede parcialmente protegido

que se localiza entre redes protegidas e redes desprotegidas e contém todos os serviços
e informações para clientes ou públicos. A DMZ pode também incluir regras de acesso
específico e sistemas de defesa de perímetro para que simule uma rede protegida e
induzindo os possíveis invasores para armadilhas virtuais, de modo a tentar localizar a
origem do ataque.
34
Podemos ter dois tipos de DMZs: a interna, somente processada pelo usuário da rede
interna, e a externa, acessada por qualquer usuário da Internet. Esse conceito, aliado ao de
VLANs, também permite a implantação de DMZs privadas, ou seja, a possibilidade de DMZs
específicas para cada cliente de hosting ou para a hospedagem de servidores.
Figura 8. Rede de Perímetro.
Fonte: <https://www.tecconcursos.com.br>.
As DMZs são sub-redes em que se hospedam os servidores/serviços de um provedor,

protegidos contra ataques da Internet por um firewall. Em geral, é necessário especificar
uma faixa de endereços IP ou informar diretamente os endereços das máquinas que
devem ser incluídas nessa zona.
Implantação da DMZ
O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação
de uma DMZ (Figura 9). Essa DMZ será protegida por um sistema de defesa de perímetro
(Figura 8), em que os usuários de Internet podem entrar livremente para acessar os
servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso
(firewall, switch e servidor de perímetro) filtram todo o tráfego não permitido, como
pacotes de dados que tentam prejudicar o funcionamento do sistema. Ao mesmo tempo,
a rede interna privada está protegida por outro firewall.
A zona desmilitarizada comporta-se como outra sub-rede, atrás de um firewall, em que

temos uma máquina segura na rede externa que não executa nenhum serviço, mas apenas
avalia as requisições feitas a ela e encaminha cada serviço para a máquina destino na
rede interna. No caso de uma invasão de primeiro nível, o atacante terá acesso apenas
ao firewall, não causando problema algum para a rede da empresa. Já em invasões de
segundo nível, o atacante conseguirá passar do firewall para a sub-rede interna, mas
ficará preso na máquina do serviço que ele explorar.
35
Em todos os casos, devem-se analisar com cuidado quais serviços podem ser colocados
dentro da DMZ. Por exemplo, na maioria das situações, o servidor de e-mail é inserido
na DMZ. Nesse caso, em uma invasão ao servidor de e-mail, os únicos dados que poderão
ser comprometidos são os e-mails, e mais nenhum outro. Já a colocação de um servidor
de DNS em uma DMZ não é recomendável para a segurança da rede. Como uma DMZ
permite acesso menos seguro para alguns segmentos da rede, a colocação desse servidor
nessa situação poderia comprometer a segurança dos endereços de todos os servidores
da rede local e roteadores.
Convém salientar que, durante a elaboração do projeto da rede, é recomendável manter

os serviços separados uns dos outros. Assim, será possível adotar as medidas de segurança
mais adequadas para cada serviço.
Figura 9. Rede com DMZ.
Fonte: <https://www.tecconcursos.com.br>.
IDS (Intrusion Detection System)
Uma infraestrutura de segurança de rede mais simples consiste em um firewall

implementado no perímetro. Isso funciona bem quando há uma interação limitada entre
as redes externas e internas, quando os usuários internos são confiáveis, e quando o
valor das informações na rede é limitado. Entretanto, os aplicativos na rede e a interação
entre redes aumentaram significativamente, o nível de confiança nos usuários internos
diminuiu consideravelmente, e o acesso vem se estendendo a um público maior, incluindo
parceiros e funcionários temporários. Os agressores e suas ferramentas estão muito mais
sofisticados. E o mais perigoso: as informações disponíveis em rede se tornaram ainda
mais cruciais para a execução de negócios.
36
Recentemente, várias empresas passaram a aumentar suas infraestruturas de segurança

para acomodar essas mudanças. Por meio de sistemas de detecção de vírus, verificadores
de vulnerabilidades, codificação e sistemas de detecção de intrusões (IDS), as empresas
vêm se esforçando para detectar e prevenir ameaças à segurança de suas redes.
Detecção de anomalias na rede
Uma anomalia é definida como algo diferente, anormal, peculiar ou que não seja facilmente
classificado. Apesar de esse conceito se aplicar a praticamente tudo, estamos interessados
em como se aplica à segurança de computadores. Nesse contexto, uma anomalia pode ser
definida como ações ou dados que não sejam considerados normais por um determinado
sistema, usuário ou rede.
Essa definição abrange ainda uma grande variedade de itens e pode incluir tópicos como
padrões de tráfego, atividades dos usuários e comportamento de aplicativos. Acredita-se
que pelo menos uma significativa porção das ameaças ou condições que causem alarme
deve manifestar-se como anomalias, sendo assim detectáveis.
A maioria dos sistemas de detecção de anomalias que se concentram em segurança

normalmente se enquadra em três categorias gerais: comportamental, padrão de tráfego
ou protocolo.
Segurança integrada
Esse método de segurança combina várias tecnologias de segurança com compatibilidade

de política, gerenciamento, serviço e suporte, e pesquisa avançada para a proteção
completa. Por meio da combinação de várias funções, a segurança integrada pode proteger
com mais eficiência contra uma variedade de ameaças em cada nível para minimizar os
efeitos dos ataques de rede.
As tecnologias de segurança principais que podem ser integradas incluem:
» Firewall – controla todo o tráfego de rede por meio da verificação das informações
que entram e saem da rede (ou parte dela) para ajudar a garantir que nenhum acesso
não autorizado ocorra.
» Detecção de intrusão – detecta o acesso não autorizado e fornece diferentes alertas

e relatórios que podem ser analisados para políticas e planejamento da segurança.
» Filtragem de conteúdo – identifica e elimina o tráfego não desejado de informação.
» Redes Privadas Virtuais ( VPN) – asseguram as conexões além do perímetro,

permitindo que organizações se comuniquem com segurança com outras redes
por meio da Internet.
37
» Gerenciamento de vulnerabilidade – permite a avaliação da posição de segurança

da rede descobrindo falhas de segurança e sugerindo melhorias.
» proteção com programas antivírus – protege contra vírus, worms, Cavalos

de Tróia e outras pragas virtuais.
Individualmente, essas tecnologias de segurança podem ser incômodas para instalar e

geralmente são difíceis e caras de gerenciar e atualizar. Entretanto, quando integradas em
uma solução única, elas oferecem uma proteção mais completa, enquanto a complexidade
e o custo são reduzidos.
Sintetizando
Vimos até agora:
» Uma introdução sobre segurança de sistemas de informação.
» Uma definição comum para uma infraestrutura típica de TI e sobre riscos, ameaças e vulnerabilidades dentro dos
sete domínios.
» Que cada um desses domínios requer o uso de estratégias para reduzir riscos, ameaças e vulnerabilidades.
» Como estruturas de política de segurança de TI podem ajudar organizações a reduzirem riscos definindo políticas
oficiais.
» Que padrões de classificação de dados oferecem às organizações um roteiro de como tratar diferentes tipos de
dados.
» Os principais aspectos de segurança lógica e física de uma rede de computadores.
38
USO DE CONTROLES DE ACESSO
CAPÍTULO
2
Introdução
Controles de acesso são métodos usados para restringir e permitir acesso a certos itens,
como automóveis, casas, computadores ou mesmo telefone celular. Talvez você também use
um código especial para proteger acesso a seu telefone celular. Somente você conhece esse
código, de modo que apenas você pode desbloquear o telefone. Ou talvez certos canais em
sua televisão não possam ser vistos sem um código de segurança.
Controle de acesso é o processo de proteger um recurso de modo que ele seja usado somente
por aqueles com permissão. Eles protegem um recurso contra uso não autorizado. Assim como
os sistemas de fechadura e chave para sua casa ou carro são controles de acesso, também o
são os números de identificação pessoal (PINs — Personal Identification Numbers) do banco
ou de cartões de crédito.
Empresas utilizam controles de acesso para controlar o que funcionários podem ou

não fazer. Controles de acesso definem quem são usuários (pessoas ou processos
computacionais), o que eles podem fazer, quais recursos podem acessar e que operações
podem realizar. Sistemas de controle de acesso utilizam várias tecnologias, incluindo
senhas, geradores de códigos (tokens) de hardware, biometria e certificados. Acesso pode
ser concedido a ativos físicos, como prédios ou salas, e a sistemas computacionais e dados.
Objetivos
» Definir conceitos e tecnologias de controle de acesso.
» Como definir uma política de autorização.
» Fundamentar métodos e diretrizes de identificação.
» Apresentar os processos e requisitos de autenticação.
» Descrever os modelos formais de controle de acesso.
» Conhecer os tipos de ameaças e efeitos de violações ocorrem nos controles de acesso.
39
CAPÍTULO 2 • Uso de Controles de Acesso
Objetivos do controle de acesso
Os controles de acesso, sejam eles físicos ou lógicos, têm como objetivo proteger
equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação
não autorizada.
A proteção dos recursos computacionais baseia-se nas necessidades de acesso de cada

usuário, enquanto a identificação e a autenticação do usuário (confirmação de que o
usuário realmente é quem ele diz ser) são feitas normalmente por meio de um identificador
de usuário (ID) e por uma senha durante o processo de entrada (logon) no sistema (Figura
10). Entretanto, o fato de um usuário ter sido identificado e autenticado não quer dizer
que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição.
Figura 10. Exemplos de controles de acesso logico e físico por biometria.
Fonte: <https://slidex.tips>.
Deve-se utilizar um controle específico, restringindo o acesso dos usuários apenas a

aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na
organização. Esse controle pode ser feito por menus, funções ou arquivos.
Etapas do controle de acesso
As quatro etapas de um controle de acesso são:
» Autorização — quem está aprovado para acessar e o que, exatamente, eles podem usar?
» Identificação — como eles são identificados?
» Autenticação — suas identidades podem ser verificadas?
» Responsabilização — como as ações de um indivíduo são acompanhadas de modo a

garantir que a pessoa que faz mudanças em dados ou sistemas possa ser identificada?
Esse processo de associar ações a usuários para posteriores relatórios e pesquisas é
conhecido como responsabilização.
40
Uso de Controles de Acesso • CAPÍTULO 2
Essas quatro partes são divididas em duas fases:
» Definição de política — essa fase determina quem tem acesso e quais sistemas ou
recursos podem usar. O processo de autorização opera nessa fase.
» Imposição de política — essa fase concede ou rejeita solicitações de acesso com

base nas autorizações definidas na primeira fase. Os processos de identificação,
autenticação e responsabilização operam nessa fase.
Tipos de controle de acesso
As organizações controlam acesso a recursos em, principalmente, dois níveis:
» Controles de acesso físico — controlam entrada em prédios, áreas de

estacionamento e áreas protegidas. Por exemplo, você provavelmente tem
uma chave para a porta de seu escritório, que controla o acesso físico ao lugar.
» Controles de acesso lógico — controlam acesso a um sistema computacional ou

rede. Sua empresa provavelmente exige que você informe um nome de usuário e uma
senha exclusivos para efetuar acesso a computadores da empresa. Eles permitem
que você use o sistema computacional e recursos de rede da organização. Esse é um
exemplo de controle de acesso lógico.
Controle de acesso físico
Um gerente de instalações de uma organização normalmente é responsável pelo controle

de acesso físico. Essa pessoa poderia lhe dar um cartão de segurança (também conhecido
como cartão inteligente — smart card) programado com seu número de identificação de
funcionário. Você pode ter de passar o cartão em uma leitora para abrir uma porta para o
estacionamento e passá-lo no elevador para sair do seu andar. Você também pode ter de
passá-lo para entrar no escritório. Esse cartão permite que você entre nesses locais por ser
funcionário. A política de autorização da organização concede a você, como funcionário,
acesso físico a certos lugares. Pessoas sem um cartão autorizado não poderão passar da
porta da frente. Se sua organização compartilha o prédio comercial com outras empresas,
você poderá ter ainda um segundo cartão que conceda acesso ao prédio após o horário de
expediente. Esses cartões controlam acesso a recursos físicos.
41
Controle de acesso lógico
Gerentes de sistemas de informação utilizam controles de acesso lógico para decidir quem
pode entrar em um sistema e quais tarefas podem realizar. Um gerente de sistemas também
pode usar controles de acesso lógico para influenciar como o pessoal utiliza um sistema.
Alguns exemplos de controles de sistema para um sistema de recursos humanos (RH) incluem:
» decidir que usuários podem entrar em um sistema — por exemplo, funcionários

de RH podem ser os únicos a ter permissão para obter informações confidenciais
armazenadas em um servidor de RH;
» monitorar o que o usuário faz nesse sistema — por exemplo, certos funcionários
de RH podem ter permissão para ver documentos, mas outros podem realmente
editá-los;
» restringir ou influenciar o comportamento do usuário nesse sistema — por

exemplo, uma pessoa de RH que repetidamente tente obter informações restritas
poderá ter acesso negado ao sistema inteiro.
Essas permissões controlam acesso a recursos lógicos (ou de sistema).
A Figura 11 mostra uma solicitação de acesso de um sujeito para um objeto específico —

nesse caso, um arquivo. O monitor de referência intercepta a solicitação de acesso, concedido
de acordo com as regras no banco de dados do núcleo de segurança. Essa base de regras
pode ser uma lista de controle de acesso (ACL — Access Control List), um diretório ou outro
repositório de permissões de acesso. Se as regras permitirem a solicitação, o monitor de
referência permitirá o acesso e criará uma entrada no registro de histórico (log).
Figura 11. Exemplo de situação de controle de acesso.
42
Definindo uma política de autorização
O primeiro passo para controlar acesso é criar uma política para definir regras de autorização,
processo de decidir quem tem acesso a que recursos computacionais e de rede. Na maioria
das organizações, autorização baseia-se em funções de cargos, filtragem de perfil e quaisquer
requisitos de governo. Essas condições ou políticas são decididas principalmente por uma
política de inclusão em grupo ou uma política em nível de autoridade.
Métodos e diretrizes de identificação
Uma vez que tenha definido as regras em uma política de autorização, você poderá
impô-las. Toda vez que um usuário solicitar acesso a um recurso, os controles o
concederão ou negarão, com base na política de autorização.
O primeiro passo ao impor uma política de autorização é a identificação, método que um

sujeito utiliza para solicitar acesso a um sistema ou recurso. Um sujeito pode ser um usuário,
um processo ou alguma outra entidade. Existem vários métodos normalmente utilizados para
identificar sujeitos. O escolhido dependerá dos requisitos de segurança e das capacidades
do ambiente computacional. Na próxima seção, você aprenderá sobre vários métodos e
diretrizes de identificação de um sujeito para um sistema.
Métodos de identificação
Um nome de usuário é o método mais comum para identificar um usuário em um sistema e

pode estar na forma de um ID de usuário, um número de conta ou um número de identificação
pessoal (PIN). Alguns aplicativos identificam um usuário por meio de um cartão inteligente,
que pode ter a forma de um cartão de crédito de plástico. Assim como passa seu cartão de
crédito em uma leitora eletrônica de cartão para fazer uma compra, você pode passar um
cartão inteligente por uma leitora para ter acesso a um estacionamento, prédios e salas.
Biometria é outro método de controle de acesso para identificar sujeitos. É usada

para reconhecimento de pessoas com base em uma ou mais características físicas ou
comportamentais. Alguns exemplos de biometria são impressões digitais, reconhecimento de
face ou de voz, DNA, caligrafia, varreduras de retina e até mesmo odor/fragrância corporal.
Diretrizes de identificação
Para garantir que todas as ações executadas em um sistema computacional possam estar
associadas a um usuário específico, cada usuário precisa ter um identificador exclusivo.
O processo de associar uma ação com usuários para posterior relatório ou análise é
chamado de auditoria (accounting). Você deverá manter atualizados os dados usados
43
para identificar sujeitos e monitorá-los de perto, e deverá desativar os IDs de usuários

que saiam da organização ou que estejam inativos por um período prolongado. Você
deverá ainda aplicar convenções padronizadas de nomeação, sem qualquer relação com
funções de cargos. O processo de emissão de IDs deverá estar documentado e seguro.
Processos e requisitos de autenticação
Até agora, você aprendeu sobre métodos para definir regras de autorização e identificar
usuários. O próximo passo é a autenticação. Nessa parte de controle de acesso, um usuário
valida ou prova a identidade fornecida durante a identificação. A autenticação responde à
pergunta: os usuários são realmente quem dizem ser? A autenticação prova que o sujeito que
solicita o acesso é o mesmo que recebeu direito de acesso. Sem autenticação, você nunca
poderá realmente saber se um usuário é quem diz ser.
Tipos de autenticação
Existem três tipos de autenticação:
» Conhecimento — algo que você saiba, como uma senha, uma frase secreta ou um PIN.
» Propriedade — algo que você tenha, como um cartão inteligente, uma chave, um crachá
ou um token.
» Características — algo exclusivo, como suas impressões digitais, sua retina ou sua
assinatura. Como as características envolvidas normalmente são físicas, esse tipo de
autenticação às vezes é definido como “algo que você é”.
Cada tipo de autenticação pode ser facilmente comprometido por si só. O uso de controles de
apenas uma categoria é conhecido como autenticação de fator único. Sistemas com informações
sensíveis ou críticas deverão usar pelo menos dois dos três fatores. O uso de técnicas de duas
ou mais dessas categorias é chamado de autenticação de fator duplo (TFA — Two-Factor
Authentication) e fornece um nível mais alto de segurança.
Exemplos de autenticação
1. Senhas e Autenticação
A autenticação é o processo de verificar a identidade declarada por uma entidade do sistema,

ou seja, verificar se quem está tentando utilizar o sistema ou ganhar acesso é realmente quem
declara ser.
A definição dada pela RFC n o 4949 (Request for Coments no 4949) para o termo
password (ou senha) é um dado secreto, usualmente composto por uma sequência
44
de caracteres, que é usado como informação para autenticar um usuário ou pessoa.

Esclarece também que normalmente é utilizada em conjunto com uma identificação
do usuário no processo de autenticação, quando da entrada do usuário na rede ou
sistema. O processo de autenticação pode ser dividido em dois passos, conforme
descrito pela mesma RFC:
» Identificação: apresentação de uma identificação ao sistema de segurança. Pode ser o

login de entrada ou o nome da conta.
» Verificação: compara com dados já armazenados previamente se a password e o login

estão corretos, gerando então a informação se a autenticação está correta ou não. Em
caso positivo, o sistema assume que a pessoa ou a entidade que requer o acesso é quem
realmente declara ser e libera as transações permitidas para serem realizadas.
2. Política de Senhas
Uma senha serve para autenticar o usuário, ou seja, a senha garante que determinado
indivíduo que utiliza um serviço é ele mesmo, permitindo o acesso aos vários serviços
disponibilizados em uma rede. A senha, por definição é uma assinatura eletrônica e,
portanto, é pessoal e deve ser mantida em sigilo.
Pode parecer primário, mas muitas pessoas utilizam senhas fáceis de adivinhar, anotando
em agendas, colocando o código em local visível ou simplesmente compartilhando seu
conteúdo com outras pessoas. Se um usuário fornece sua senha para uma outra pessoa,
esta poderá utilizá-la como se fosse o próprio usuário, tendo acesso a informações restritas.
Com o objetivo de dificultar a dedução de senhas por terceiros, algumas recomendações
importantes podem ser seguidas para evitar problemas de segurança:
» evitar anotar as senhas em papéis soltos ou agendas. As senhas são pessoais e devem
ser memorizadas preferencialmente, não escritas;
» nunca utilizar senhas fáceis de identificar, como data de aniversário, placa de carro etc.;
» uma boa senha deve ter pelo menos oito caracteres, preferencialmente alfanumérica
(combinação de letras, números e símbolos), deve ser simples de digitar e fácil de lembrar.
3. Ameaças e ataques
Uma ameaça consiste em uma possível violação de um sistema computacional e pode ser
acidental ou intencional. Uma ameaça acidental é aquela que não foi planejada. Pode ser, por
exemplo, uma falha no hardware (um defeito no disco rígido) ou uma falha de software (bug
do sistema). Já uma ameaça intencional, como o nome diz, está associada à intencionalidade
premeditada. Pode ser desde um monitoramento do sistema até ataques sofisticados, como
aqueles feitos por hackers ou crackers.
45
Algumas das principais ameaças aos sistemas de computadores envolvem destruição de

informações ou recursos, modificação ou deturpação da informação, roubo, remoção ou perda
de informação, revelação de informações confidenciais ou não, chegando até à interrupção
de serviços de rede.
Já um ataque ocorre quando uma ameaça intencional é realizada. Os ataques ocorrem por
motivos diversos. Variam desde a pura curiosidade pela curiosidade, passando pelo interesse
em adquirir conhecimento, pelo teste de capacidade, “vamos ver se eu sou capaz”, até o
extremo, envolvendo ganhos financeiros, extorsão, chantagem de algum tipo, espionagem
industrial, venda de informações confidenciais e, o que está muito na moda, ferir a imagem
de um governo ou uma determinada empresa ou serviço. Quando isso acontece, a notícia de
uma invasão é proporcional à fama de quem sofreu essa invasão e normalmente representa
um desastre em termos de repercussão pública.
Ameaças quanto à sua intencionalidade
» Naturais – fenômenos da natureza (incêndio, terremoto, tempestade etc.).
» Involuntárias – causadas quase sempre pelo desconhecimento (acidentes, erros, falta

de energia etc.).
» Voluntárias – causadas propositalmente por agentes humanos (hackers, espiões, ladrões,

invasores etc.).
Ameaças aos sistemas computacionais
» Vazamento: ocorre quando um usuário legítimo (autorizado) fornece informação para

um ou mais receptores não autorizados. Isso pode ocorrer propositalmente ou não.
» Violação: ocorre quando uma informação legítima sofre alteração não autorizada
(incluindo programas).
» Furto de recursos: ocorre quando alguém não autorizado beneficia-se das facilidades
dos sistemas computacionais.
» Vandalismo: quando alguém não autorizado interfere, causando prejuízo às operações

dos sistemas, sem ganhos próprios.
4. Vulnerabilidade
Ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.
Exemplos de vulnerabilidades:
» físicas – instalações prediais fora do padrão, salas de equipamentos mal planejadas;

falta de sistemas de proteção ambiental;
46
» naturais – incêndios, enchentes, falta de energia, umidade excessiva;
» hardware – falha de recursos, danos em mídias, erros de instalação;
» software – erros na instalação e ou na configuração;
» comunicação – acessos não autorizados ou perda de comunicação;
» humanas – falta de treinamento, erros ou omissão, vandalismo.
As principais ameaças que devem ser tratadas pela da Política de Segurança da Informação
são as seguintes:
» ameaças à integridade: ameaças ambientais (fogo, água, terremoto etc.), erros

humanos, fraudes, falhas de processamento;
» ameaças de indisponibilidade: falhas em sistemas ou nos diversos ambientes

computacionais;
» ameaças de divulgação da informação: divulgação de informações premeditada ou

acidental;
» ameaças por alterações não autorizadas: alteração premeditada ou acidental do

conteúdo das informações do sistema.
São três os aspectos básicos que um sistema de segurança da informação deve atender para
evitar a concretização dessas ameaças.
Prevenção
» Proteção de hardware: normalmente chamado de segurança física, impede acessos

físicos não autorizados à infraestrutura da rede, prevenindo roubos de dados,
desligamento de equipamentos e demais danos possíveis quando se está fisicamente
no local.
» Proteção de arquivos e dados: providenciado por autenticação, controle de acesso

e antivírus. No processo de autenticação, é verificada a identidade do usuário. No
processo de controle de acesso, somente são disponibilizadas as transações realmente
pertinentes ao usuário. O antivírus garante a proteção do sistema contra programas
maliciosos.
» Proteção de perímetro: ferramentas de firewall cuidam desse aspecto, mantendo a

rede protegida contra invasões de usuários não autorizados.
47
Detecção
» Alertas: sistemas de detecção de intrusos (IDS – Intrusion Detection System) alertam

os administradores e responsáveis pela segurança da rede sobre qualquer sinal de
invasão ou mudança suspeita no comportamento da rede que possa significar um
padrão de ataque. Os avisos podem ser via e-mail, via mensagem no terminal do
administrador etc.
» Auditoria: periodicamente, devem-se analisar os componentes críticos do sistema à

procura de mudanças suspeitas. Esse processo pode ser realizado por ferramentas
que procuram, por exemplo, modificações no tamanho dos arquivos de senhas,
usuários inativos etc.
Recuperação
» Cópia de segurança dos dados (Backup): manter sempre atualizados e testados os

arquivos de segurança dos dados em mídia confiável e separado dos servidores.
» Aplicações de Backup: ferramentas que proporcionam a recuperação rápida e

confiável dos dados mais atualizados em caso de perda dos dados originais do
sistema.
» Backup do Hardware: a existência de backup de hardware (servidor reserva, UPS

reserva, linhas de dados reserva etc.) pode ser justificada levando-se em conta o
custo de uma parada do sistema e determinando-se a importância da informática
para a organização.
5. Recomendações contra ameaças
É possível proteger os ativos computacionais de uma organização seguindo algumas

recomendações básicas contra as ameaças oferecidas pelas diversas pragas virtuais que
circulam atualmente pela Internet:
» Atualização do programa antivírus – recomenda-se que os programas de antivírus

sejam atualizados diariamente, principalmente quando um novo vírus for descoberto.
Outra medida importante é efetuar as correções de outros programas utilizados,
pois 90% dos vírus se aproveitam de falhas nesses programas para se disseminar.
» Bloquear arquivos executáveis no gateway – quando uma pessoa deseja enviar um

e-mail com um arquivo executável, ela o faz “zipando” tal arquivo. Somente usuários
específicos têm reais motivos para enviar, via e-mail, arquivos com tais extensões.
» Bloqueio de programas de mensagens instantâneas – os programas de mensagens

instantâneas permitem o compartilhamento de arquivos. Assim, o usuário pode ser
48
infectado ao baixar um arquivo, mesmo possuindo um programa de antivírus e um

controle de firewall.
» Autenticação segura – sempre que se utilizar a Internet para transações comerciais,

verificar se o site visitado pertence a uma instituição conhecida e se utiliza algum
esquema de conexão segura (SSL – Secure Socket Layer). Existem duas maneiras para
verificar se uma conexão é segura ou não. Primeiro por meio do endereço do site, que
deve começar com https://. O “s” antes do sinal de dois-pontos indica que o endereço
em questão é de um site com conexão segura e, portanto, os dados do formulário serão
criptografados antes de serem enviados. Outra forma de indicação é por meio de algum
sinal. O sinal mais adotado nos browsers é o de um desenho de um cadeado fechado.
Se o cadeado estiver aberto, a conexão não é segura.
Outras providências para a segurança dos sistemas dizem respeito especificamente aos
serviços de correio eletrônico. Entre elas, destacam-se:
» Visualização de e-mail – desligar o recurso de visualização do programa de correio

eletrônico. Essa função exibe o conteúdo de uma mensagem eletrônica antes de o
usuário optar por abri-la de fato. Há vários vírus que são ativados pela pré-visualização
da mensagem infectada.
» Arquivos anexos – não abrir arquivos anexados diretamente do programa de e-mail.

Deve-se salvar primeiramente no disco rígido e, em seguida, passar o antivírus.
» E-mails de origem desconhecida – jamais abrir e-mails com arquivos provenientes de

desconhecidos. Além dos possíveis estragos causados pelas pragas virtuais, existe o
perigo de mensagens maliciosas redirecionarem automaticamente para uma página
da web, havendo o risco de um hacker roubar informações pessoais do computador.
» E-mails inesperados de conhecidos – suspeitar de qualquer arquivo inesperado anexado

a um e-mail de algum conhecido. Ele pode ter sido enviado sem o conhecimento da
pessoa, que logicamente está com a máquina infectada.
» Verificar e-mails suspeitos – no caso de receber uma mensagem de um conhecido,

mas que tenha um título ou arquivo anexado estranho, melhor contatar o remetente e
perguntar se ele realmente enviou aquele e-mail.
» Usar criptografia – se a informação que se deseja enviar por e-mail for confidencial
a solução é a utilização de programas de criptografia utilizando chaves e que
somente podem ser abertas por quem possuir a chave para isso. Alguns programas
de criptografia já podem estar embutidos nos programas de e-mails ou podem ser
adquiridos separadamente e ser anexados posteriormente aos programas.
49
6. Principais Tipos de Ataques
Ataques de dicionário
Trata-se de um ataque baseado em senhas que consiste na cifragem das palavras de um

dicionário e posterior comparação com os arquivos de senhas de usuários.
IP spoofing
Figura 12. IP spoofing.
Fonte: <https://pt.wikipedia.org/wiki/IP_spoofing>.
No contexto de redes de computadores, IP spoofing é um ataque que consiste em mascarar

(spoof) pacotes IP utilizando endereços de remetentes falsificados.
Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base

numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino), e
não há verificação do remetente — não há validação do endereço IP nem relação deste com
o router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de
origem por uma manipulação simples do cabeçalho IP. Assim, vários computadores podem
enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa
uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
Ataque de negação de serviços
Os ataques de negação de serviço DoS (Denial of Service) têm como objetivos:
» paralisar um serviço em um servidor;
» gerar uma grande sobrecarga no processamento de dados de um computador, de modo

que o usuário não consiga utilizá-lo;
» gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível,
de modo que qualquer computador dessa rede fique indisponível.
50
Denial of Service (Dos): nesse ataque, apenas uma máquina estranha à rede ataca a
máquina-alvo.
Figura 13. DoS.
Fonte: <http://www.allnetcom.com.br/upload/Seguran%C3%A7a%20em%20Rede%20-%20Tipos%20de%20Ataque.pdf>.
Distributed Denial of Service (DDos): esse ataque utiliza várias máquinas em conjunto
para atacar uma máquina-alvo. O objetivo do ataque é esgotar algum recurso da
máquina alvo.
Figura 14. DDoS.
Vulnerabilidades Exploradas
» Falhas em softwares.
» Falhas de protocolo.
» Esgotamento de recursos.
51
SYN Flood
» Consiste no envio de um grande número de pacotes de abertura de conexão, com um

endereço de origem forjado (IP Spoofing), para um determinado servidor.
» O servidor, ao receber os pacotes, coloca uma entrada na fila de conexões em andamento,

envia um pacote de resposta e fica aguardando uma confirmação da máquina cliente.
» Como o endereço de origem dos pacotes é falso, a confirmação nunca chega ao servidor.
» A fila de conexões no servidor fica lotada e, a partir daí, todos os pedidos de abertura
de conexão são descartados, e o serviço paralisado.
» A paralisação persiste até o tempo para o servidor identificar a demora e remover a

conexão em andamento da lista.
Figura 15. SYN Flood.
Ataque de LOOP
Consiste em mandar para um host um pacote IP com endereço de origem e destino iguais,
ocasionando um loop na tabela de conexões de uma máquina atacada.
Ataques via ICMP
» O protocolo ICMP (Internet Control Message Protocol) é utilizado no transporte de

mensagens de erro e de controle.
» O ICMP não tem garantias de que a informação recebida é verdadeira, e, por esse motivo,
um atacante pode utilizar as ICMP para interromper conexões já estabelecidas.
Ataque de Ping (Smurf Atack)
» Envia pacotes ICMP de echo request para um endereço de broadcast da rede.
52
Figura 16. Ping (Smurf Atack).
Redireciona todas as respostas (por meio de IP Spoofing) para a máquina atacada, causando um
volume grande de conexões de echo reply.
Figura 17. Redirecionamento via ping.
Ataque de Ping of Death
» Consiste em enviar um pacote IP com tamanho maior que o máximo permitido (65.535
bytes) para a máquina atacada. O pacote é enviado na forma de fragmentos (porque
nenhuma rede permite o tráfego de pacotes desse tamanho).
53
» O dano é causado quando uma máquina-destino tenta montar os fragmentos.
7. Engenharia social
A expressão Engenharia Social é muito empregada entre os profissionais das áreas de

segurança e de redes para definir a técnica de obtenção de informações importantes de uma
empresa por meio da manipulação de seus usuários e colaboradores. Essas informações
podem ser obtidas pela ingenuidade ou confiança das pessoas. As investidas dessa natureza
podem ser feitas por telefonemas, envio de mensagens por correio eletrônico, salas de
bate-papo e até mesmo pessoalmente.
Um exemplo típico da utilização da engenhar ia social é quando uma pessoa

desconhecida liga para a empresa/casa de um funcionário e diz ser do suporte técnico
do seu provedor. Nessa ligação, ela convence o funcionário de que sua conexão com a
Internet está problemática e pede sua senha para corrigir o problema. Como sempre,
o bom senso nesses casos é tudo. A providência a adotar nesse tipo de abordagem é
entrar em contato com o help desk do provedor avisando sobre o ocorrido.
Quando falamos de redes corporativas, que são os alvos preferidos desses invasores, o perigo
é ainda maior e pode estar até sentado ao lado. Sabe-se que muitos dos ataques sofridos em
redes partem de funcionários ou ex-funcionários insatisfeitos. Outro exemplo de ataque de
engenharia social diz respeito às entrevistas para emprego, em que muitas vezes o candidato
à vaga passa várias informações da empresa em que trabalha. Pode não existir vaga alguma
para o cargo. Apenas a empresa, que supostamente abriu a vaga, está tentando levantar
informações dos seus concorrentes.
Kevin Mitnick, um famoso hacker, declarou em uma entrevista que nada adianta as
empresas se preocuparem com seus sistemas de segurança se deixarem de lado o principal
perigo: a engenharia social. Mitnick declarou que as empresas ficam expostas aos hackers
porque não têm consciência das técnicas de engenharia social que são usadas pelos
atacantes mais perigosos, por exemplo, a manipulação. “A maioria das pessoas acha que,
por não se considerarem ingênuas, não podem ser manipuladas. Mas nada está mais
longe da verdade do que isto”, afirmou. Em um trecho do livro “O Jogo do Fugitivo”, de
Jonathan Littman – Ed. Rocco, Mitnick descreve como fazia sua engenharia social para
descobrir segredos das empresas que invadia: “Aos 13 anos eu já revirava lixeiras perto
de companhias telefônicas para encontrar manuais técnicos jogados fora”.
Atenção
A tecnologia avança a passos largos, mas a condição humana continua na mesma em relação a critérios éticos e
morais. Enganar os outros deve ter sua origem na pré-história. Portanto, o que mudou foram apenas os meios para
isso. Em redes corporativas, que são alvos prediletos para os invasores, o perigo é ainda maior e pode estar ao lado.
Um colega de trabalho poderia tentar obter sua senha de acesso mesmo tendo uma própria, pois uma sabotagem
feita com sua senha parece bem mais interessante do que com a senha do próprio autor.
54
A melhor maneira de evitar engenharia social é garantir que você treine seu pessoal para
reconhecê-la e para saber como lidar com tais ataques. Seu treinamento de segurança
deverá abordar os tipos mais comuns de ataques de engenharia social, incluindo:
» intimidação — usar ameaças ou assédio para intimidar outra pessoa em busca de

informações;
» menção de nomes — usar os nomes de gerentes ou superiores para convencer

outra pessoa de que uma autoridade mais alta hierarquicamente permitiu acesso à
informação;
» pedido de ajuda — apelar para o sentido de compaixão ou compreensão de uma

pessoa sobre uma situação difícil e talvez absurda. O objetivo do apelo emocional é
evitar procedimentos normais ou obter consideração especial. Quando combinado
com um incentivo, como uma recompensa, esse tipo de engenharia é muito efetivo.
Por exemplo, considere o golpe em que o golpista promete lhe enviar dinheiro se você
o ajudar a transferir dinheiro para uma pessoa em situação desfavorável. Infelizmente,
esse tipo de apelo emocional engana muitas pessoas todo ano;
» phishing — tecnologia funciona muito bem em engenharia social. Considere, por

exemplo, phishing. Em um ataque de phishing, golpistas criam um endereço de e-mail
ou página Web semelhante ao trabalho de uma organização com boa reputação.
Os golpistas querem que você acredite se tratar de uma organização respeitável,
de modo que você compartilhe informações confidenciais com eles, as quais usam
para obter acesso às suas informações financeiras ou para roubar sua identidade.
Um ataque de phishing também pode ter a forma de uma pesquisa com perguntas,
em um esforço para capturar informações confidenciais.
Sintetizando
Vimos até agora:
» Que controles de acesso são formas de permitir ou negar acesso a certos recursos.
» Controles de acesso especificam quem são usuários, o que podem fazer, de que recursos podem dispor e que
operações podem executar.
» Que os sistemas de controle de acesso utilizam diversas tecnologias, incluindo senhas, tokens de hardware,
biometria e certificados.
» Que as quatro partes de controle de acesso são autorização, identificação, autenticação e responsabilização. Essas
partes criam um processo de controle de acesso que pode ser dividido em duas fases: a de definição de política e a
de imposição de política.
» Aspectos dos modelos formais, metodologias e desafios de controle de acesso e os efeitos de brechas nesse
controle.
» Processos de autenticação, políticas de senhas, tipos de ameaças e ataques aos sistemas.
» Abordagem sobre a Engenharia Social.
55
ADMINISTRAÇÃO DE SEGURANÇA
CAPÍTULO
3
Introdução
Assim como um técnico de futebol, você tem um manual de estratégias e precisa mantê-lo
fora do alcance dos adversários. Você também precisará garantir que as estratégias cumpram
as regras e as regulamentações do setor. Para prepará-los para o desafio, você precisará educar
e treinar seus jogadores, que precisam receber as habilidades de que precisam para trabalhar
juntos, como um time, e vencer o jogo.
Se você obtiver sucesso, sua organização funcionará tranquilamente como um time em

um campeonato. Todos entenderão a missão e a forma de trabalhar juntos para realizá-la.
Se você fracassar, seu time parecerá confuso. Cada jogador atuará à sua própria maneira,
independentemente das consequências. Você já sabe o que acontecerá a seguir: informações
de sua organização cairão nas mãos dos adversários. Seus segredos comerciais não serão mais
secretos, sua organização gastará muito dinheiro consertando o que estiver errado, e você e
seus funcionários poderão ficar “no banco de reservas” ou até mesmo ter de procurar outros
empregos.
Neste capítulo, você aprenderá as habilidades de que precisará para desenvolver uma equipe
forte em administração de segurança.
Objetivos
» Conceituar administração de segurança.
» Capacitar profissionais na administração de uma infraestrutura de segurança.
» Conceituar a conformidade e a ética profissional.
» Classificar dados segundo os padrões predefinidos.
» Desenvolver e manter programas de segurança.
» Gerenciar grandes e pequenas mudanças em sistemas.
56
Administração de Segurança • CAPÍTULO 3
» Definir o ciclo de vida de um sistema (SLC) e o ciclo de vida de desenvolvimento de um

sistema (SDLC).
» Abordar como o desenvolvimento de software se relaciona com segurança.
Administração de segurança
Administração de segurança em uma organização é o grupo de indivíduos responsáveis por

planejar, projetar, implementar e monitorar um plano de segurança de uma empresa. Antes
que você possa formar uma equipe administrativa, sua organização precisará identificar seus
ativos de informação. Após a identificação e documentação dos ativos, você deverá atribuir
a responsabilidade de cada um a uma pessoa ou a um cargo. Uma vez que tenha uma lista
de ativos e de responsáveis, você poderá formar a equipe. Essa equipe administrativa, então,
determinará a sensibilidade de cada ativo, de modo que possa planejar como proteger cada
um de modo apropriado.
Controlando acesso
A tarefa principal de uma equipe de administração de segurança de uma organização é

controlar acesso a sistemas ou recursos. Como vimos no capítulo anterior, existem quatro
aspectos de controle de acesso:
» Identificação — afirmações feitas por usuários sobre quem eles são.
» Autenticação — a prova dessa afirmação.
» Autorização — as permissões de um usuário ou processo legítimo no sistema.
» Responsabilização — acompanhamento ou registro do que usuários autenticados e

não autenticados fazem ao acessar o sistema.
A equipe de administração de segurança lidera esses esforços, determinando os melhores

controles de segurança a serem estabelecidos para proteger recursos de sua organização.
Documentação, procedimentos e diretrizes
A equipe de administração de segurança trata do planejamento, projeto, implementação

e monitoramento do programa de segurança de sua organização. Vários tipos de
documentação são necessários para fornecer a entrada de que a equipe precisa para
tomar as melhores decisões para proteger ativos. Os requisitos mais comuns de
documentação são:
57
CAPÍTULO 3 • Administração de Segurança
» O processo de segurança da organização — como tudo isso funciona?
» A autoridade das pessoas responsáveis por segurança — qual administrador é

responsável ou autorizado por quais ativos e ações?
» As políticas, procedimentos e diretrizes adotados pela organização — que informação

precisa ser comunicada, como e quando?
A equipe de administração de segurança reúne todas as partes de um quebra-cabeça para garantir

que sua organização obedeça a políticas estabelecidas. Uma organização precisa estar de acordo
com regras em dois níveis:
» Conformidade regulamentar — a organização precisa cumprir leis e

regulamentações governamentais.
» Conformidade organizacional — a organização precisa cumprir suas próprias

políticas, auditorias, cultura e padrões.
Como resultado, a documentação, os procedimentos e as diretrizes da equipe de

administração de segurança focam conformidade e monitoramento de conformidade.
Eles precisam garantir que a organização siga as diversas regras e regulamentações.
Avaliação e recuperação de desastre
As responsabilidades da equipe de administração de segurança incluem tratar

eventos que afetem computadores e redes. Entre eles estão incidentes, desastres e
outras interrupções.
A equipe de administração de segurança forma uma equipe de resposta a incidente para

lidar com quaisquer incidentes de segurança e é composta de indivíduos responsáveis por
responder a incidentes e investigar brechas de segurança. Outra equipe controlada pela
equipe de administração de segurança é o grupo de operações de emergência, responsável
por proteger dados sensíveis no caso de desastres naturais e falha de equipamento, entre
outras emergências em potencial.
Apesar dos melhores esforços da equipe de resposta a incidente, do grupo de operações

de emergência e dos administradores de sistema, todo sistema está sujeito a falhas ou
ataques. A equipe de administração de segurança garante que uma organização possa
responder a qualquer evento de forma rápida e efetiva.
58
Terceirização de segurança
Muitas organizações contam com empresas externas para lidar com monitoramento e
análise de segurança. Isso significa que você pode precisar monitorar o trabalho da empresa
terceirizada ou trabalhar com ela ao lidar com incidentes. Essa técnica tem vantagens e
desvantagens.
» Vantagens — uma empresa de gerenciamento de segurança tem alto nível de

experiência, pois está focada em segurança — e apenas nela — todo dia. Em termos
simples, ela terá as habilidades e experiências que sua própria organização pode
não ter.
» Desvantagens — terceirização tem duas desvantagens principais. Primeiramente,

a empresa terceirizada pode não conhecer bem sua organização e pode não
possuir conhecimento interno. Além disso, ao terceirizar, você não desenvolverá
capacidade ou talento interno e, portanto, precisará continuar pagando por esses
serviços indefinidamente.
Considerações sobre terceirização
A equipe de administração de segurança precisará trabalhar de perto com uma empresa

externa para garantir que ambas cheguem a um acordo sobre requisitos específicos de
segurança. O pior que pode acontecer para qualquer organização é descobrir que não existe
um plano de resposta para um desastre específico depois que ele acontece. Esse é um tipo
de acordo de nível de serviço (SLA — Service Level Agreement), um contrato formal entre
sua organização e a empresa externa que detalha os serviços específicos que ela fornecerá.
Alguns exemplos de serviços detalhados em um SLA podem incluir:
» como e quando brechas de segurança em potencial são comunicadas;
» como históricos e eventos serão relatados;
» como dados confidenciais serão tratados;
» quais são os requisitos para tempo de ativação de um sistema de segurança (por

exemplo, você pode exigir que todo sistema de segurança crítico tenha confiabilidade
de 99,99%).
O SLA deverá comunicar tanto as expectativas da organização quanto as da empresa

externa e antecipar as necessidades de ambas. Cada membro da equipe de administração
de segurança deverá analisar completamente os riscos de seu departamento. Qualquer
risco não relatado provavelmente poderá custar à sua organização perda de dados ou
custos para repará-lo. Pense nisso como se fosse manter um automóvel: trocas regulares
59
de óleo são mais baratas que juntas de cabeçote estouradas. Fazer manutenção de um
motor é mais barato que consertá-lo.
Conformidade
A política de segurança de sua organização define o tom de como você abordará

atividades de segurança e indica as regras com as quais você deverá estar em
conformidade. Pense em uma política de segurança em termos de leis de trânsito,
que mantêm certo grau de ordem e segurança nas estradas. Se essas leis não forem
impostas, as estradas se tornarão perigosas. Uma política de segurança de informação
não é diferente. Sua política de segurança não terá muito valor se não for imposta. É aí
que a conformidade entra em cena. Quando políticas são impostas, a organização fica
em conformidade com elas. Existem três meios principais de garantir conformidade:
» históricos (logs) de evento de segurança;
» coordenador de conformidade;
» remediação.
Importante
As conformidades são regras que regulamentam uma política de segurança da informação.
Históricos de evento de segurança
Históricos de evento de segurança são registros de dados que seu sistema operacional ou
software aplicativo cria automaticamente. Um histórico de eventos de segurança registra
qual usuário ou sistema acessou dados ou um recurso e quando. Você pode pensar em
históricos de evento de segurança como semelhantes ao sistema que uma biblioteca utiliza
para acompanhar quem retirou livros. Quando um livro está atrasando ou faltando, a
biblioteca verifica os registros para determinar quem retirou o livro por último. Quando
ocorrer uma brecha de segurança de informação em sua organização, um histórico de
evento de segurança ajudará a determinar o que aconteceu com o sistema e quando. Ele
poderá ajudá-lo a rastrear o culpado ou a resolver o problema.
Coordenador de conformidade
À medida que as organizações e as políticas de segurança se tornam maiores e mais

complexas, fica difícil permanecer em conformidade. Um coordenador de conformidade
garante que todo o pessoal esteja ciente das — e em conformidade com as — políticas
60
da organização. Diferentes departamentos em uma organização podem ter diferentes

ideias ou necessidades de segurança. Uma coordenação de conformidade trabalha
com os departamentos para garantir que eles entendam, implementem e monitorem
conformidade e também pode ajudar a entender como incluir segurança de informação
em suas operações do dia a dia.
Remediação
Nos capítulos anteriores, você aprendeu como a atenuação de vulnerabilidades reduz o risco
de ataques contra seus computadores e redes. Em alguns casos, a melhor solução é bloquear
um intruso e negar acesso a um recurso. Em outros, é possível remover a vulnerabilidade.
Remediação envolve consertar algo quebrado ou defeituoso. Em sistemas computacionais,
remediação refere-se a reparar vulnerabilidades de segurança.
Naturalmente, alguns problemas são mais importantes. Você deverá reparar problemas de
alto risco antes dos demais. Quando possível, a melhor opção é remover vulnerabilidades.
Se não for possível removê-la efetivamente, o próximo passo é remover a capacidade de um
atacante explorá-la. Uma forma de fazer isso é por meio de controles de acesso agressivos.
De qualquer maneira, o objetivo é garantir que atacantes não tenham sucesso. Você sempre
deverá projetar políticas de segurança para proteger seus ativos contra ataques. Conformidade
é extremamente importante para sistemas de tecnologia da informação.
Ética profissional
Uma das funções mais importantes que profissionais de segurança assumem é a de um

líder em comportamento compatível. Pessoas não seguirão as regras se não confiarem nos
líderes. Toda profissão respeitada tem seu próprio código de ética e de conduta. Aderir a
ele estimula o respeito entre profissionais de qualquer área. Com a profissão de segurança
não é diferente. É importante que profissionais de segurança tenham um código de ética
definido que conduza seu comportamento. O ISC é um conselho internacional que fornece
um conjunto sólido de diretrizes éticas. Porém, diretrizes não serão efetivas, exceto se você
adotá-las e praticá-las. Aqui estão algumas dicas para praticar uma ética sólida:
» defina o exemplo — demonstre princípios éticos sólidos em suas atividades

diárias. Usuários seguirão sua liderança. Se tratar a questão ética com seriedade,
os usuários seguirão seu exemplo;
» encoraje a adoção de diretrizes e padrões éticos — profissionais de segurança

precisam conhecer seus limites éticos e definir um exemplo aderindo a eles. Isso
normalmente significa tomar decisões difíceis e definir um bom exemplo. Você
61
precisará incentivar a organização para que defina seu código de ética, o que ajudará
o pessoal a operar de modo ético e responsável;
» infor me a usuár ios por meio de treinamento sobre conscientização

de segurança — cuide para que usuár ios estejam cientes e entendam
responsabilidades éticas.
Enganos comuns sobre ética
Simplesmente escrever uma lista de regras orientadas para ética não é o suficiente. É
importante que profissionais de segurança realmente usem ética em suas vidas diárias. O
primeiro passo para aderir a regras éticas é entender as suposições mais comuns que muitos
usuários de computador mantêm e que podem levá-los a um comportamento antiético. Aqui
estão algumas delas:
» usuários pressupõem que computadores devem impedir uso indevido. Se eles

conseguirem obter acesso não autorizado, será falha da organização, não deles;
» usuários acreditam que, em alguns sistemas jurídicos, eles têm o direito de

explorar vulnerabilidades de segurança como forma de liberdade de discurso
ou de expressão;
» usuários pensam que suas ações somente podem causar danos menores e que
pequenos danos não incomodarão ninguém;
» usuários pensam que, se for fácil invadir um sistema, não haverá maiores
consequências;
» usuários pensam que invadir será permitido se os motivos não forem prejudiciais.
Eles acreditam que, se não estiverem ganhando dinheiro ou se promovendo com a
invasão de um sistema, não estarão cometendo um crime;
» usuários pensam que a informação deve ser livre e que não há problema em examinar
um sistema de alguém para obtê-la.
A infraestrutura de uma política de segurança de TI
Toda empresa opera dentro de uma complexa combinação de leis, regulamentações,

requisitos, competidores e parceiros. Além disso, moral, relações de trabalho, produtividade,
custo e fluxo de caixa afetam a operação de uma empresa. Em um ambiente assim, a gerência
precisará desenvolver e publicar uma declaração geral e diretivas gerais de segurança. A
partir do ponto de vista da equipe de segurança, um programa de segurança aborda essas
62
diretivas por meio de políticas e de seus elementos de suporte, como padrões, procedimentos,
linhas de base e diretrizes.
Cada elemento tem um requisito específico para profissionais de segurança. Você está
envolvido com monitoramento de conformidade, conscientização de segurança, treinamento,
controle de acesso, privacidade, resposta a incidente, análise de histórico e outros.
Sua política de segurança definirá o tom e a cultura da organização. Como um profissional

da área, você normalmente terá de aplicar a intenção da política. Você precisa entender
os detalhes da política de segurança de sua organização, a declaração de alto nível de
valores e de direção. Padrões, linhas de base, procedimentos e diretrizes de sua organização
implementam sua política de segurança.
O papel do profissional de segurança é fornecer suporte para esses elementos. Esse

suporte inclui informar o pessoal sobre políticas, treinamento e cumprimento. Você tem
um papel importante em quaisquer atualizações ou mudanças. A Figura 18 mostra uma
hierarquia típica de política de segurança.
Políticas
Políticas de segurança escritas documentam metas e objetivos da gerência e explicam

as necessidades de segurança da empresa e seu comprometimento em atender a essas
necessidades. Uma política de segurança deve se parecer com um resumo de principais
fatos. Se a política for muito complexa, a gerência terá problemas para adotá-la e aprová-la.
Por exemplo, uma boa política de segurança organizacional poderia ser tão simples quanto
“segurança é essencial para o futuro de nossa organização” ou “segurança em nossos
produtos é nossa tarefa mais importante”. Esse tipo de declaração fornece aos gerentes
a orientação de que precisam para tomar uma decisão. A política de segurança também
ajuda sua organização a avaliar até que ponto ela está cumprindo leis, regulamentações
e padrões de cuidado e diligência adequados.
Importante
Políticas não terão muito valor se não forem lidas, impostas, atualizadas ou estiverem disponíveis. Você precisará
afixá-las em um local disponível a todo funcionário.
A políticas devem estar atualizadas, especialmente com novas leis e regulamentações. Você deverá
se reunir com funcionários pelo menos uma vez por ano para garantir que estejam atualizados
com as políticas mais recentes. Mantenha um registro dessa revisão com cada funcionário.
63
Figura 18. Hierarquia da política de segurança.
Fonte: David, Solomon, 2014.
Uma política de segurança ajuda todo funcionário a entender os ativos e os princípios que
a organização valoriza. Com uma política clara, seu pessoal terá mais chances de respeitar
os ativos da organização. Lembre-se de que o pessoal seguirá o exemplo e levará a política
tão a sério quanto a própria organização.
Uma política funcional declara o direcionamento da gerência de uma organização em

relação à segurança em áreas funcionais tão específicas quanto e-mail, acesso remoto e
64
navegação pela Internet. Os departamentos responsáveis por essas políticas funcionais

as escrevem. Por exemplo, recursos humanos, tecnologia da informação, operações e
instalações produzem, cada um, suas próprias políticas funcionais específicas, que deverão
usar uma linguagem forte, como fará e deverá. A maioria das pessoas considera um termo
como deveria simplesmente uma sugestão, não uma ordem. Portanto, evite. Veja a seguir
um exemplo de uma boa política funcional de controle de acesso:
Importante
“Todo usuário autorizado deverá ter permissão para realizar apenas suas tarefas autorizadas. Usuários não
autorizados não terão acesso aos sistemas ou recursos da empresa.”
A política da segurança da informação
A política da segurança da informação é um mecanismo preventivo de proteção dos

dados e processos de uma organização e que define também um padrão de segurança
que deve ser seguido pelo pessoal técnico, gerência e pelos demais usuários (internos e
externos) do sistema de informação. Pode ser usada ainda para definir as interfaces entre
usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas
atuais. Uma de suas preocupações é estabelecer os métodos de proteção, controle e
monitoramento dos recursos de informação. É importante que a política de segurança
defina as responsabilidades das funções relacionadas à segurança e discrimine as principais
ameaças, riscos e impactos envolvidos.
Uma interessante ferramenta para implantação de políticas de informação é o Ciclo

PDCA (Figura 19), uma ferramenta gerencial que possibilita a melhoria contínua de
processos e a solução de problemas.
Conforme sugere a Norma ABNT NBR 27001, uma organização deve identificar e
gerenciar os processos envolvidos em sistemas de gestão e segurança da informação,
bem como reconhecer suas interações. A Norma adota o PDCA (Plan, Do, Check, Act)
para estruturar todos os processos envolvidos.
A política de segurança da informação deve integrar-se às metas de negócio da

organização e ao plano das políticas de informatização, influenciando todos os projetos
de informatização da empresa, tais como o desenvolvimento de novos sistemas, planos
de contingências, planejamento de capacidade, entre outros. É importante lembrar que
a política não envolve apenas a área de tecnologia da informação, mas a organização
como um todo.
65
Figura 19. Ciclo PDCA.
Fonte: <http://www.sobreadministracao.com/wp-content/uploads/2011/06/ciclo-pdca-300x269.jpg>.
O Ciclo de Vida de Sistema (SLC) e o Ciclo de Vida de

Desenvolvimento de Sistema (SDLC)
Uma área de preocupação crítica é software. Atacantes sabem que o processo de

desenvolvimento de software é complexo e que o resultado normalmente é uma aplicação
com falhas. Software seguro pode ser difícil de ser escrito, pois exige atenção de
segurança em cada estágio de um processo estruturado para garantir que o software
faça exatamente o que se espera dele. Existem vários métodos populares para descrever e
controlar o processo de desenvolvimento de sistemas e de software, que precisa ser bem
entendido para que seja possível desenvolver um software com muito poucas falhas. Você
deve estar familiarizado com dois dos métodos mais populares: o ciclo de vida de sistema
– CVS (SLC — System Life Cycle) e o ciclo de vida de desenvolvimento de sistema – CVDS
(SDLC — System Development Life Cycle). As etapas são muito semelhantes, exceto que o
CVS inclui operações e descarte, e o CVDS termina com a transição para produção.
Para algumas organizações, manutenção e novo desenvolvimento são feitos por

desenvolvedores, tornando-os parte do CVDS. Para outras, equipes de manutenção
especializadas tratam de manutenção e de desenvolvimento, tornando-os parte do CVS.
Cada vez mais organizações utilizam o termo CVDS para descrever o processo inteiro de
mudança e manutenção para software aplicativo e de sistema.
66
O Ciclo de Vida de Sistema (CVS)
Esta seção aborda as etapas comuns usadas no CVS. Quanto mais o profissional de
segurança puder estar envolvido em cada etapa, mais provavelmente a segurança necessária
estará embutida no sistema desde o início. A principal justificativa para o CVS — e para
a criação de segurança no início — é reduzir ou evitar custo.
» Consumidores de produtos de software comerciais terão custos menores porque

você precisará entregar menos reparos e correções. Além disso, haverá menos perdas
devido a falhas no software, que atacantes encontram e exploram.
» Vendedores de software comercial terão menores custos porque exigem menos

pessoal de suporte e têm menores custos com garantia e manutenção de produto.
Desenvolvimento de software e segurança
Você aprendeu anteriormente neste capítulo sobre a importância de desenvolver software

seguro. Desenvolvimento de software exige atenção especial de um ponto de vista da
segurança. Aplicativos representam os caminhos mais comuns para usuários, clientes
e atacantes acessarem dados. Isso significa que você precisa construir o software para
impor a política de segurança e garantir compatibilidade com regulamentações, incluindo
a privacidade e a integridade de dados e de processos de sistema. Independentemente
do modelo de desenvolvimento que sua organização adote, você deverá garantir que o
aplicativo realize corretamente as seguintes tarefas:
» verificar autenticação de usuário para o aplicativo;
» verificar autorização (nível de privilégio) de usuário;
» ter verificações de edição, de intervalo, de validade e outros controles semelhantes

para impedir a contaminação de bancos de dados ou de dados de produção;
» ter procedimentos para recuperar integridade de banco de dados em caso de falha

de sistema;
» software desenvolvido internamente terá código-fonte, código-objeto e executáveis

de tempo de execução (runtime). Você precisa gerenciá-los e protegê-los com
políticas, padrões e procedimentos. Por exemplo:
» você deverá proteger código-fonte contra acesso por usuários não autorizados;
» você deverá rastrear mudanças em código-fonte por sistemas de controle de versão,

de modo que a reversão para uma versão anterior esteja livre de erros;
» programadores não deverão poder atualizar sistemas em produção diretamente

(de programação para teste e de teste para produção).
67
Métodos de desenvolvimento de software
Muitos métodos atuais de desenvolvimento de software baseiam seus modelos no modelo

de cascata, processo sequencial para desenvolver software que inclui o CVDS e o CVS, sobre
os quais você aprendeu anteriormente. No modelo de cascata, o progresso flui para baixo.
A essência do modelo de cascata é que nenhuma fase começa até que a anterior termine.
As fases são:
» especificação de requisitos;
» projeto;
» construção;
» integração;
» teste e depuração;
» instalação;
» manutenção.
O modelo de cascata básico originou-se nos setores de manufatura e construção e é um

recurso de ambientes físicos altamente estruturados, em que revisões posteriores são muito
dispendiosas, se não inteiramente proibitivas. Quando Winston W. Royce idealizou esse
modelo, em 1970, não existia nenhum método formal de desenvolvimento de software. Esse
modelo orientado a hardware foi adaptado ao desenvolvimento de software. A Figura 20
mostra o modelo de cascata clássico.
Figura 20. Modelo em Cascata.
Fonte: Kim, Solomon, 2014.
68
Devido a deficiências percebidas nesse modelo, você encontrará modificações no modelo

de cascata. A maior parte dos modelos de desenvolvimento de software utiliza pelo menos
algumas fases semelhantes ao de cascata. A importância do modelo está no foco em garantir
que cada fase esteja completa antes de prosseguir. Embora isso possa ser muito difícil em
grandes ambientes de desenvolvimento, sempre invista tempo para planejar e projetar
adequadamente seu software. Não comece simplesmente a escrever programas!
Sintetizando
Vimos até agora:
» Que profissionais de segurança precisam entender que operações e administração de segurança são a base de
qualquer programa de segurança sólido.
» Como administração de segurança funciona para planejar, projetar, implementar e monitorar um plano de
segurança de uma organização.
» Que a ética profissional é essencial para todo plano de segurança sólido e o que é preciso fazer para garantir que
seu programa de segurança seja compatível.
» Como as políticas, os padrões, as diretrizes e os procedimentos de seu plano trabalham juntos para modelar seu
programa de segurança, e como os padrões de classificação de dados afetam o processo de tomada de decisão.
» O ciclo de vida de sistema (CVS) e o ciclo de vida de desenvolvimento de sistema (CVDS) e como eles reduzem
custos.
» Por que métodos de desenvolvimento de software exigem considerações de segurança especiais.
» Como a conscientização de usuários é fundamental para o sucesso de seu programa de segurança.
69
AUDITORIA E TESTES DE SEGURANÇA
CAPÍTULO
4
Introdução
Quando audita um sistema computacional, você verifica como ele foi executado. Em termos
simples, você verifica se tudo funciona de acordo com o planejado. Auditorias também
constantemente examinam a configuração atual de um sistema, como se fosse instantâneo
no tempo, para verificar se está em conformidade com padrões.
Você pode auditar um sistema manualmente ou por meio de software computacional

automatizado. Testes manuais incluem:
» entrevistar seu pessoal;
» realizar varreduras de vulnerabilidade;
» revisar controles de acesso de aplicativos e de sistema operacional;
» analisar acesso físico aos sistemas.
Com testes automatizados, o sistema cria um relatório de quaisquer mudanças em arquivos

e configurações importantes, que podem se relacionar com o sistema operacional ou com o
software aplicativo. Sistemas podem incluir computadores pessoais, servidores, grande porte
(mainframe), roteadores de rede e switches. Alguns exemplos desses tipos de aplicativos
incluem software associado a acesso à Internet, bancos de dados ou quaisquer recursos
compartilhados por usuários.
Naturalmente, muito antes que possa auditar um sistema, você precisará criar as políticas
e os procedimentos que estabeleçam as regras e os requisitos desse sistema. Ou seja, antes
de determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. Você avalia todos os componentes
de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de
linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do
sistema a suas expectativas de linha de base para ver se tudo funcionou conforme o planejado.
70
Auditoria e Testes de Segurança • CAPÍTULO 4
Objetivos
» Compreender fundamentos de auditoria e análise de segurança.
» Definir planos de auditoria.
» Conhecer padrões de referência de auditoria.
» Aprender métodos de coleta de dados de auditoria.
» Compreender o processo de auditoria.
» Conhecer o papel do Auditor.
Auditoria de sistemas
Existe a necessidade de segurança em sistemas de informação para saber quais ações

foram executadas e quem as executou. Nesse contexto, torna-se necessário um mecanismo
de gravação e recuperação das ações ou eventos que foram realizados no sistema. É de
grande importância que as informações geradas por esse mecanismo sejam precisas, pois
formarão as trilhas de auditoria.
O compartilhamento de recursos e o trabalho em rede tornam a auditoria um processo

bastante complexo e aumentam a sua aplicabilidade nos sistemas de informação. As trilhas
de auditoria possibilitam, também, prover um mecanismo de aperfeiçoamento e proteção
contra as principais ameaças e vulnerabilidades, na correção de “falhas” diagnosticadas,
nas tentativas de acesso e violação do sistema. A geração de trilhas de auditoria, a análise e
a forma de armazenamento são definidas de acordo com a necessidade da aplicação e são
os principais pontos para o planejamento de um sistema de auditoria.
Definindo auditoria
Negócios são suportados por processos que mantêm uma relação de dependência de ativos
físicos, tecnológicos e humanos, que possuem falhas de segurança em algum grau. Estas, por
sua vez, são potencialmente exploradas por ameaças, que, se são bem-sucedidas na investida,
geram impactos nos ativos, estendendo-os aos processos, até que, finalmente, atingem os
negócios. Possuir uma visão integrada dos riscos é fundamental para as empresas que buscam
o desenvolvimento e a continuidade do negócio, e ainda dependem de uma infraestrutura
operacional sob risco controlado (Figura 21). Um problema comum em segurança é identificar
quem ou o que causou algo. Essa identificação é possível pela gravação e manutenção de
uma trilha de ações realizadas no sistema, chamada de trilha de auditoria.
71
CAPÍTULO 4 • Auditoria e Testes de Segurança
Figura 21. Análise de risco no negócio.
Fonte: <https://www.ebah.com.br/content/ABAAAg_RgAJ/analise-risco>.
Auditoria em SI significa uma parte da aplicação ou conjunto de funções do sistema que

viabiliza uma auditoria. Isso ocorre pela gravação e manutenção de uma trilha de ações
realizadas no sistema e, posteriormente, pela análise ou visualização desta, ou seja, o sistema
mantém os registros de tudo o que foi feito nele de forma que, em caso de problema de
segurança, alguém possa identificar o que ou quem o causou. Todo sistema que necessite
de um nível mais alto de segurança, principalmente de controle de acesso, precisa também
de auditoria. É importante acompanhar o desempenho do sistema de segurança e corrigir
eventuais falhas, bem como identificar os usuários maliciosos. Assim, o processo de auditoria
apresenta alguns pontos importantes que devem ser analisados antes de se iniciar um processo
de auditoria propriamente dito.
Ações – quais ações e quais informações dessas ações devem ser registradas? Registrando
tudo, haverá problemas de espaço para o volume de informação, lentidão do sistema e
acúmulo demasiado de informações; registrando pouco, corre-se o risco de não identificar
justamente aquela ação que permitiria desvendar o problema.
Privacidade – alguns sistemas exigem requisitos de privacidade do usuário. A auditoria

pode violar a privacidade. Deve-se ignorar a auditoria para preservar a privacidade?
Análise da trilha – normalmente a trilha somente será analisada em caso de problema de

segurança.
Armazenamento – um arquivo em disco pode ser uma boa opção, mas uma trilha de auditoria
que pode ser apagada pelo atacante detectará apenas os ataques mais simples. Em todos os
modos de armazenamento de trilhas de auditoria existe um limite. Em algum momento, o
espaço acaba. Apagando-se os registros, o sistema estará liberado ao ataque. Excluindo-se
os registros mais antigos, o hacker pode descobrir uma ação lícita que gere muitos registros
de auditoria e usá-la seguidamente para apagar sua última ação. Uma alternativa é bloquear
72
o sistema, impedindo qualquer ação até que o administrador libere mais espaço, sendo a
opção mais segura.
O primeiro ponto que deve ser observado é o objetivo de se utilizar a auditoria.

Desconsiderando-se os objetivos externos à segurança do sistema, os objetivos de auditoria
podem ser:
Segunda linha de proteção – para ser capaz de responsabilizar o usuário em caso de falha
das funções de segurança. Se o ativo é importante, provavelmente já existem mecanismos de
segurança lógicos ou de procedimentos que impedem o usuário de atingir esse ativo.
Melhoria do sistema – deseja-se medir o funcionamento dos mecanismos de proteção e

identificar as falhas na proteção, de forma a definir possíveis pontos de melhoria do sistema.
Aumento de escopo – identificar sequências de ações que, embora válidas isoladamente,

geram prejuízos ou exposição desnecessária de ativos.
Prevenção – necessidade de aviso de tentativas de invasão ou ameaças que tentem

repetidamente fraudar os mecanismos de segurança do sistema. Nesse caso, ocorre um
aumento da segurança das funções normais de segurança do sistema.
Política – atendimento e aplicação à determinação da política de segurança.
O segundo ponto que deve ser observado é que um sistema de auditoria é sempre caro em termos
de custo de implantação e perda de desempenho do software. Um sistema de auditoria deve
apresentar os seguintes objetivos de segurança:
» todo usuário deve ser responsabilizado por seus atos;
» o sistema deve ser capaz de permitir a detecção de ataques não previstos na

especificação original;
» o sistema deve registrar qualquer alteração nos registros de dados;
» o sistema deve permitir a detecção de anormalidades no volume de dados

manipulados pelos usuários a fim de detectar uso anormal e ou abusivo.
Geração de dados da auditoria
O registro de um número muito grande de eventos torna a auditoria bastante completa,

porém, tornando o sistema lento, aumentando a necessidade de armazenamento e
impossibilitando a revisão da trilha de auditoria. O principal ponto é definir o objetivo
do mecanismo de auditoria. Se buscarmos responsabilização e melhoria do sistema
de segurança, o Common Criteria sugere uma série de eventos para auditoria de cada
73
mecanismo de proteção ou atributo de segurança implementado no sistema. Para atender

aos demais objetivos da auditoria, torna-se necessário sempre fazer a análise das ameaças.
Para se atingir os objetivos de aumento do escopo de proteção e prevenção de ataques, a

auditoria é necessária levando em consideração quatro critérios:
» principais mecanismos utilizados pelas ameaças ao sistema;
» ativos mais valiosos;
» agentes mais capacitados;
» itens definidos na política de segurança.
Auditoria e análise de segurança
A finalidade de uma auditoria de segurança é garantir que seus sistemas e controles

funcionem conforme esperado. Quando analisar seus sistemas, você deverá verificar o
seguinte:
» As políticas de segurança são sólidas e apropriadas para a empresa ou atividade?

A finalidade de segurança de informação é dar suporte à missão da empresa
e protegê-la dos riscos que ela enfrenta. As políticas de sua organização e os
documentos de suporte definem os riscos que a afetam. Os documentos incluem
procedimentos, padrões e linhas de base de sua organização. Quando realiza uma
auditoria, você está fazendo a seguinte pergunta: “nossas políticas são seguidas e
compreendidas?”. A auditoria em si não define novas políticas. Auditores, porém,
podem fazer recomendações com base em experiência ou conhecimento de novas
regulamentações.
» Existem controles que apoiam suas políticas? Os controles de segurança estão

alinhados corretamente às estratégias e à missão de sua organização? Eles apoiam
suas políticas e sua cultura? Se você não puder justificar um controle com uma
política, provavelmente deverá removê-lo. Sempre que um controle for explicado
como “por segurança”, mas sem qualquer outra explicação, você deverá removê-lo.
Segurança não é um centro de lucro e nunca deverá existir por conta própria. É um
departamento de suporte cuja finalidade é proteger os ativos e o fluxo de receita da
organização.
» Existem implementação e manutenção efetivas de controles? À medida que sua

organização evolui e ameaças amadurecem, é importante garantir que os controles
ainda façam frente aos riscos que você enfrenta hoje.
74
Se puder responder sim a essas perguntas, então você estará no caminho correto. Caso
contrário, não se preocupe. Você desenvolverá essas habilidades neste capítulo.
Controles de segurança tratam de riscos
Controles de segurança colocam limites em atividades que possam impor risco à sua
organização. Você precisará rever segurança regularmente para garantir que seus controles
se mantenham atualizados e efetivos. Essa revisão inclui as seguintes atividades:
» monitoramento — reveja e meça todos os controles para capturar ações e mudanças

no sistema;
» auditoria — reveja os históricos e o ambiente geral para fornecer análise

independente em relação ao funcionamento da política de segurança e dos
controles;
» aprimoramento — inclua propostas para aprimorar o programa e os controles

de segurança nos resultados da auditoria. Essa etapa se aplica às mudanças
consideradas aceitas pela gerência;
» proteção — garanta que os controles funcionem e protejam o nível de segurança

pretendido.
Embora controles de segurança protejam seus computadores e redes, você deverá garantir
que cada um seja necessário e efetivo. Cada controle deverá proteger sua organização
de uma ameaça específica. Um controle sem uma ameaça identificada é uma camada
de sobrecarga que não torna sua organização mais segura. Garanta cuidadosamente
que todo controle de segurança instalado enfrente ameaças específicas. É aceitável ter
vários controles para a mesma ameaça — basta garantir que cada controle combata pelo
menos uma ameaça.
Importante
Lembre-se de que risco é definido como a probabilidade de que uma ameaça seja realizada.
Você pode calcular a perda esperada multiplicando a probabilidade de risco pelo custo do
ativo. Identificar riscos permite que você meça a validade do controle. Quando utiliza um
controle que custe mais que a perda em potencial, se a ameaça for realizada, você poderá
estar desperdiçando recursos da organização. Uma das melhores maneiras para evitar
desperdício de recursos é seguir o ciclo de revisão de segurança. A Figura 22 mostra como
cada uma das etapas do ciclo de revisão de segurança se encaixa.
75
Figura 22. O ciclo de revisão de segurança.
Definindo seu plano de auditoria
Ao planejar as atividades para uma auditoria, o auditor primeiramente precisará definir

os objetivos e determinar que sistemas ou processos de negócios deverá analisar. Ele
também deverá definir quais áreas de segurança verificar.
Um auditor também precisará identificar o pessoal — tanto da própria equipe como da

organização auditada — que participará da auditoria. Essas pessoas se reunirão e juntarão
informações para conduzir o processo. O auditor precisará estar seguro de que cada um tenha
as habilidades corretas, esteja preparado para contribuir e disponível quando necessário.
Alguns auditores incluem uma revisão de auditorias anteriores para se familiarizar com
problemas do passado. Outros escolhem não rever auditorias anteriores para evitar que
sejam influenciados pelas conclusões.
Definindo o escopo do plano
Você precisará definir os limites da análise no início do projeto. É fundamental determinar

que áreas a auditoria analisará ou não. Você precisará estar seguro de que as áreas não
analisadas dessa vez estarão sujeitas a outra auditoria e terá de definir responsabilidade
para elas. Todos os sistemas e redes precisarão ter um proprietário claramente designado.
Nesse ponto, você precisará decidir quem deverá ter ciência de que uma auditoria está
em andamento. Em muitos casos, se os usuários souberem que você os está auditando,
poderão começar a seguir regras que ignoraram anteriormente. Se um usuário mudar de
comportamento por saber que há uma auditoria em andamento, ela não será precisa. Por
outro lado, tentar realizar uma auditoria sem avisar ao pessoal dificultará a tarefa por conta
76
do acesso limitado a informações críticas. Você precisará considerar esse dilema caso a
caso. A Figura 23 mostra como o escopo de uma auditoria pode se espalhar por todos os sete
domínios na infraestrutura de TI.
Figura 23. O escopo de uma auditoria e os sete domínios da infraestrutura de TI.
Um auditor deverá gastar tempo para planejar uma auditoria de modo apropriado antes
de realizar quaisquer atividades de auditoria. Planejar é bem mais que apenas listar os
arquivos e os documentos a inspecionar. Na verdade, auditores normalmente realizam
um trabalho substancial ao se preparar para uma auditoria. Veja o que você pode esperar
de um auditor no decorrer das fases de planejamento e execução:
» estudar o local — um auditor desejará entender o ambiente e as interconexões

entre sistemas antes de iniciar as atividades de auditoria;
» analisar documentação — um auditor desejará analisar documentação e

configurações de sistema tanto durante o planejamento quanto como parte da
auditoria real;
» analisar resultados de análise de riscos — um auditor desejará entender

classificações de criticidade de sistemas que sejam um produto de estudos de
análise de riscos. Isso ajuda a classificar sistemas na ordem apropriada para atenuar
a fase de relatório;
» analisar históricos de servidores — um auditor pode pedir para examinar históricos

de sistema para procurar mudanças em programas, permissões ou configurações;
» analisar históricos de incidentes — um auditor pode pedir para analisar históricos de

incidentes de segurança para perceber tendências de problemas;
77
» analisar resultados de testes de penetração — quando uma organização realiza

testes de penetração, o testador prepara um relatório com as falhas encontradas.
O auditor precisará analisar esse relatório e garantir que a auditoria trate de todos
os itens.
Padrões de referência de auditoria
Um padrão de referência (benchmark) é o padrão pelo qual seu sistema será comparado
para determinar se está configurado de forma segura. Uma técnica em uma auditoria
é comparar a configuração atual de um computador ou dispositivo com um padrão de
referência para ajudar a identificar diferenças.
Nesta seção, você encontrará maneiras comuns de auditar ou analisar sistemas,

processos de negócios ou controles de segurança. Todos esses exemplos são as melhores
práticas e normalmente são usados como diretrizes para auditar uma empresa ou um
processo de negócios. A gerência de sua organização pode ter adotado formalmente
um dos exemplos a seguir, o que pode ser especialmente verdadeiro se a empresa
estiver sujeita a regulamentação ou legislação governamental. Se esse for o caso, então
o padrão de referência guiará o curso principal de sua auditoria. Caso contrário, o
auditor, com a aprovação da gerência sênior, decidirá como o processo será executado.
» ISO 27002 — é um documento de melhores práticas, que oferece boas diretrizes

para gestão de segurança de informação. Para que uma organização declare
conformidade, ela precisará realizar uma auditoria para verificar se todas as
provisões são satisfeitas.
» NIST SP 800 — NIST SP 800-37 é um padrão publicado pelo governo dos Estados
Unidos especificamente para sistemas computacionais que o governo possua ou
opere e inclui tanto uma seção de melhores práticas quanto de auditoria.
» ITIL — é a Biblioteca de Infraestrutura de Tecnologia de Informação (Information

Technology Infrastructure Library), conjunto de conceitos e políticas para gestão de
infraestrutura, desenvolvimento e operações de tecnologia de informação (TI). ITIL
é publicado em uma série de livros, cada um cobrindo um tópico separado de gestão
de TI. ITIL fornece uma descrição detalhada de uma série de práticas importantes
de TI, com listas de verificação, tarefas e procedimentos abrangentes que qualquer
organização de TI pode ajustar às suas necessidades.
Outras organizações, como ISACA e o Instituto de Auditores Internos (Institute of Internal

Auditors), desenvolveram diretrizes de auditoria comumente utilizadas. Essas organizações
podem desenvolver uma diretriz interna ou personalizar um plano de auditoria usado em outro
78
lugar. Aqui estão dois exemplos desses tipos de diretrizes: COBIT — os Objetivos de Controle
para Informação e Tecnologia Relacionada (COBIT — Control Objectives for Information
and related Technology) são um conjunto de melhores práticas para gestão de TI criado pela
Auditoria de Sistemas de Informação (ISA — Information Systems Audit); e COSO — Comitê de
Organizações Patrocinadoras (COSO — Committee of Sponsoring Organizations), produzido
pelo Instituto de Auditores Internos (IIA — Institute of Internal Auditors) e utilizado por
empresas e outras organizações para avaliar seus sistemas de controle.
Importante
A menos que uma lei ou regulamentação proíba, organizações são livres para escolher quaisquer métodos de
auditoria que façam mais sentido para elas. Elas podem usar um dos documentos mencionados aqui ou diretrizes de
outra organização ou grupo comercial e podem até mesmo desenvolver seu próprio documento. Qualquer que seja o
método que melhor se ajuste a seus requisitos, certifique-se de ter um método de auditoria a seguir antes de realizar a
primeira operação.
Dados de auditoria — métodos de coleta
Antes que possa analisar dados, você precisará identificá-los e coletá-los. Existem muitas
maneiras de coletá-los, incluindo:
» questionários — você pode administrar questionários preparados tanto para gerentes

como para usuários;
» entrevistas — úteis para colher ideias sobre operações de todas as partes. Entrevistas
normalmente se mostram valiosas fontes de informação e de recomendações;
» observação — refere-se à entrada usada para diferenciar os procedimentos teóricos e

os que de fato serão executados;
» listas de verificação — esses documentos preparados ajudam a garantir que o processo

de coleta de informações abranja todas as áreas;
» documentação de revisão — essa documentação avalia atualidade, aderência e

completude;
» configurações de revisão — envolvem avaliar procedimentos de controle de mudança

e a adequação de controles, regras e esquemas;
» política de revisão — envolve avaliar relevância, atualidade e completude de políticas;
» testes de segurança — teste de vulnerabilidade e teste de penetração envolvem reunir

informações técnicas para determinar se existem vulnerabilidades nos componentes,
nas redes e nos aplicativos de segurança.
79
O processo de auditoria
A auditoria tem como verificar se os requisitos para segurança da informação estão

implementados satisfatoriamente, mantendo a segurança nos dados da empresa e verificando
se os seus bens estão sendo protegidos adequadamente (Figura 24). Assim, segurança e
auditoria são interdependentes, ou seja, uma depende da outra para produzirem os efeitos
desejáveis na administração do negócio. Enquanto a segurança tem a função de garantir a
integridade dos dados, a auditoria vem garantir que esses dados estejam realmente íntegros,
propiciando um perfeito processamento, obtendo os resultados esperados.
Figura 24. Processo de Auditoria.
A auditoria é de vital importância para a empresa, já que, por meio desta, os administradores
ditam os rumos do negócio, além de evitar fraudes e garantir o bom desempenho dos setores
auditados. O processo de auditoria é composto por: Pré-Auditoria, Auditoria e Pós-Auditoria.
» Pré-Auditoria – o auditor deve preparar as atividades administrativas necessárias

para a realização da auditoria, definir as áreas a auditar, orientar o grupo de auditores
quanto à estratégia a ser adotada, preparar o documento de anúncio e anunciar o setor
da Auditoria.
» Auditoria – o auditor deve avaliar os controles (como a área auditada funciona);

documentar os desvios encontrados (falhas); validar as soluções, preparar o relatório final
e apresentá-lo para os responsáveis legais. O setor auditado deve prover as informações
necessárias ao trabalho da auditoria, analisar a exposição dos desvios encontrados,
80
entender os desvios encontrados, desenvolver planos de ação que solucionarão os

desvios encontrados.
» Pós-Auditoria – o setor auditado deve solucionar os desvios encontrados pela auditoria,

preparar um relatório, administrar conclusão dos desvios e manter o controle para que
os erros não se repitam e a eficácia seja mantida. O auditor deve distribuir o Relatório
Final, revisar resposta recebida (soluções e justificativas apresentadas), assegurar o
cumprimento e analisar a tendência de correção.
O papel do auditor
O auditor deve revisar o plano aprovado na política de segurança, ou seja, verificar se o método
utilizado para proteção de informações é adequado, ou se necessita de alguma atualização,
sempre relacionando com o esquema de trabalho da área que está sendo auditada. Depois
de terminado o estudo do plano, o auditor deve solicitar os procedimentos que descrevem
as diversas atividades que necessitam de segurança. Esses procedimentos são confrontados
com a realidade do dia a dia, ou seja, é verificado se todos os procedimentos necessários à
segurança são corretamente utilizados.
Na investigação, o Auditor deverá revisar os seguintes itens:
» o proprietário da informação (aquele que tem permissão para acessar certo conjunto
de informações), periodicamente, faz uma revisão em todos os dados a que ele tem
acesso para verificar se houve perdas, alterações, ou outros eventos de qualquer
natureza. A administração da rede deve ser notificada sobre os resultados da revisão
tanto quando eles forem favoráveis (os dados estão corretos) ou quando for encontrada
alguma irregularidade;
» todos os proprietários estão identificados, ou seja, os que possuem acesso a um

conjunto de informações específicas;
» os inventários são realizados periodicamente, conforme requerido e padronizado

pela política de segurança;
» os dados possuem a proteção necessária para garantir sua integridade,

disponibilidade e confidencialidade;
» a documentação dos processos é avaliada pelas áreas competentes, garantindo que

estas demonstrem o que realmente ocorre dentro da área a que está se referindo
a documentação;
81
» quando ocorrem desastres, desde um erro de digitação até a perda total dos
dados de um banco de dados, existem planos de recuperação que são testados
periodicamente;
» os programas críticos estão seguros o suficiente de modo que qualquer tentativa

de fraude não consiga alterar o conteúdo dos dados no sistema;
» um terminal oferece acesso somente às informações inerentes a ele por meio de

uma política de senhas, estando protegido, assim, contra acessos não autorizados;
» o processo de autoavaliação da área auditada foi feito e concluído com sucesso;
» somente os usuários autorizados têm acesso aos sistemas. Pessoas não autorizadas
não poderão manipular, obter ou influenciar os dados do sistema.
Sintetizando
Vimos até agora:
» O que é auditoria de segurança e como ela é usada para ajudá-lo a criar sistemas mais seguros.
» Como definir seu plano de auditoria, incluindo o escopo, e como ele funciona para desenvolver sistemas seguros.
» Padrões de referência (benchmarks) de auditoria e como eles ajudam a criar a base para seu plano de auditoria.
» Métodos de coleta de dados, incluindo como eles o ajudam a colher informações das quais você precisa para
realizar uma auditoria de qualidade.
» Atividades de pré-auditoria, auditoria e pós-auditoria e como elas o ajudam a completar o processo.
» O papel do auditor de sistemas de segurança de SI.
82
CAPÍTULO
GERENCIAMENTO DE RISCOS E
SEGURANÇA DA INFORMAÇÃO 5
Introdução
Organizações precisam constantemente lidar com mudanças. Acionistas exercem novas

pressões. Governos aprovam novas legislações e definem novos padrões. Organizações
precisam manter o vínculo entre cadeias de suprimento e fornecedores e clientes.
Sua organização desenvolve estratégias para cumprir seus objetivos de negócios e
permanecer competitiva. Alterar essas estratégias pode exigir troca de pessoal, alteração
da organização de TI e reorganização de logística. Qualquer uma dessas mudanças
pode aumentar riscos. A estrutura de sua organização também reflete sua cultura. Da
mesma forma, a cultura afeta o comprometimento de sua organização na proteção de
sistemas de informação, além de pessoas, processos, dados e tecnologia.
A maneira pela qual sua organização responde a riscos reflete o valor que atribui aos
próprios ativos. Se o risco considerado não for sério, a empresa provavelmente não gastará
muito para reduzi-lo. A quantia que a empresa está disposta a gastar para proteger dados
confidenciais afeta o risco. Talvez a organização entenda que um risco seja importante,
mas simplesmente não tem verba suficiente para investir na redução de riscos. Ou talvez
ela tenha uma cultura de descartável, o que significa que busca apenas ganhos de curto
prazo e deixará de operar sob adversidades. Nesse caso, ela tomará apenas medidas
essenciais para cumprir padrões mínimos exigidos. Porém, se sua organização estiver
comprometida com sucesso de longo prazo, investirá em planos econômicos para reduzir
riscos. Qualquer uma dessas estratégias pode ser apropriada para determinada organização.
O único erro é não equilibrar os gastos com riscos com a cultura da empresa. Por exemplo,
uma organização descartável não deverá investir em um plano sustentável e vice-versa.
Objetivos
» Definição de risco.
» Como gerenciamento de risco se relaciona com segurança de dados.
83
CAPÍTULO 5 • Gerenciamento de Riscos e Segurança da Informação
» O que é o processo de gerenciamento de riscos.
» O que é uma análise de risco.
» Quais são as diferenças entre as abordagens quantitativa e qualitativa para análise

de risco.
» Como desenvolver uma estratégia para lidar com riscos.
» Quais são os três tipos de controles de atividade, e como eles correspondem ao ciclo
de vida de segurança.
» O que é um plano de continuidade de negócios (BCP), e como organizações o

utilizam para garantir que um desastre não as tire do negócio.
» Que papel cópias de segurança desempenham na recuperação de desastre.
» O que faz um plano de recuperação de desastre (DRP).
Definições de risco
Risco é a possibilidade de que uma ameaça em particular exponha uma vulnerabilidade

que possa prejudicar sua organização. A extensão do dano que uma ameaça pode causar
determina o nível de risco. Para plenamente compreender o risco, você precisará entender
vários termos-chave. A publicação NIST SP 800-30, Risk Management Guide for Information
Technology Systems (Guia de Gerenciamento de Risco para Sistemas de Tecnologia da
Informação), define os termos importantes sobre o assunto.
Ao compreender esses termos, você começará a entender como criar um programa efetivo
de gerenciamento de risco de TI. Como profissional de segurança, você precisa conhecer os
termos a seguir:
» Vulnerabilidade — é uma falha ou deficiência em procedimentos, projeto,

implementação ou controles internos de segurança de sistemas. Atacantes podem
explorar uma vulnerabilidade de forma acidental ou intencional para criar uma
brecha de segurança ou uma violação da política de segurança de um sistema.
» Ameaça — é o potencial de um atacante ou evento explorar uma vulnerabilidade

específica, que também pode ser considerado fonte de ameaça, ou seja, uma
intenção ou método para explorar uma vulnerabilidade. Uma fonte de ameaça
também pode ser uma situação ou método que possa acidentalmente deflagrar uma
vulnerabilidade. Fontes de ameaça comuns são naturais, humanas ou ambientais.
Observe que alguns profissionais de segurança chamam uma fonte de ameaça de
agente de ameaça.
84
Gerenciamento de Riscos e Segurança da Informação • CAPÍTULO 5
» Impacto — refere-se à extensão do dano que pode ser causado por uma ameaça
que explore uma vulnerabilidade. Por exemplo, se um vírus infectar um sistema,
poderá afetar todos os dados.
Sugestão de estudo
Você deverá se familiarizar com a série NIST SP 800 de práticas de segurança que são é o alicerce para o
conhecimento de segurança de informação, a qual pode ser encontrada em: <http://csrc.nist.gov/publications/
PubsSPs.html>.
Alguns riscos são mais prováveis de ocorrer que outros. Possibilidade é a probabilidade
de que uma ameaça em potencial explore uma vulnerabilidade. Por exemplo, existe alta
possibilidade de um vírus ou outro malware infectar um sistema conectado à Internet que
não tenha um software antivírus em execução.
Quando uma ameaça é percebida, a organização experimenta um evento ou um incidente.

Um evento é uma ocorrência mensurável que exerce um impacto sobre a empresa. Alguns
têm pouco efeito; outros poderiam se transformar em incidentes. Um incidente é um evento
que exerce um impacto negativo sobre operações. Incidentes são eventos que justificam uma
contramedida. Por exemplo, roubo em um depósito por um funcionário é um incidente.
Riscos nos negócios
Negócios são suportados por processos que mantêm uma relação de dependência de ativos
físicos, tecnológicos e humanos, que possuem falhas de segurança e, consequentemente,
riscos. O risco é definido como a expectativa de perda expressiva ou a probabilidade de uma
ameaça explorar uma falha de segurança, causando algum resultado prejudicial. As falhas de
segurança, por sua vez, são potencialmente exploradas por ameaças que, se são bem-sucedidas
na investida, geram impactos de primeiro nível nos ativos, estendendo-os aos processos até
que, finalmente, atingem os negócios.
Possuir uma visão integrada dos riscos é fundamental para as empresas que buscam
o desenvolvimento e a continuidade do negócio, mas ainda dependem de uma
infraestrutura operacional sob risco controlado (Figura 25).
85
Figura 25. Ciclo de Segurança da Informação.
Fonte: <https://pt.slideshare.net/profmarcoguimaraes/64441203-seguranca>.
O comportamento das pessoas diante de medidas e contramedidas de segurança faz toda

a diferença. A perenidade dos seres humanos é certa e, apesar de um cenário em que a
tecnologia está cada vez mais presente, o ser humano sempre estará por trás das decisões,
das tecnologias e dos controles dos sistemas. Dessa forma, não é inteligente montar uma
estratégia de segurança exclusivamente baseada na tecnologia, mas uma solução que considere
como peça chave o elemento humano atuante sobre essa tecnologia.
» O que não se conhece não se pode controlar.
» O que não se controla não se pode mensurar.
» O que não se mensura não se pode gerenciar.
» O que não se gerencia não se pode aprimorar.
Métodos de avaliação de riscos
Estabelecer procedimentos em transações corporativas, operar por meio de regras de restrições

e controle de acesso, criar hierarquias de responsabilidades, métodos de reação a eventuais
falhas ou vulnerabilidades e, acima de tudo, ter um padrão no que se refere à segurança da
corporação, entre outras, são as razões que levam à criação de métodos de avaliação de riscos
para redes corporativas. Entre os métodos de avaliação de risco destacam-se:
86
Árvore de decisão de risco
O fator tolerância é determinante para que se definam investimentos compatíveis com o

bem a ser protegido e, principalmente, para que o nível de risco residual esteja dentro da
zona de conforto e compatível com a natureza de cada negócio. Segundo o método, pode-se:
1. Rejeitar o risco: essa opção deve ser considerada quando o risco não está sendo
considerado pela estratégia do negócio, uma vez que o custo do controle, ou da
contramedida, é superior ao risco ou ao bem a ser protegido.
2. Aceitar o risco: essa opção deve ser considerada quando o risco for inerente à
natureza e ao modelo de negócio, fazendo parte das operações normais e, portanto,
tendo sido previsto na estratégia.
A escolha de aceitar o risco gera outro nível de análise:
» evitar: vontade e viabilidade de se eliminar totalmente a fonte de um risco

específico;
» transferir: relação custo-benefício e na viabilidade (disposição e capacidade

financeira) de terceiros para assumir o risco;
» explorar: interesse e possibilidade de se obter vantagens competitivas pelo aumento

da exposição e do grau de risco;
» reter: interesse do negócio, considerados custo e tolerância, de garantir a manutenção

da exposição e do grau de risco;
» mitigar: necessidade do negócio, considerados custo e tolerância, de diversificar,

controlar e reduzir os riscos.
OCTAVE
O OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), desenvolvido

pelo CERT (Computer Emergency Response Team), é um método de avaliação de riscos
autodirecionado que possui os seguintes objetivos:
» fazer um balanço das informações críticas, necessidades do negócio, perigos e

vulnerabilidades;
» comparar as atuais práticas de segurança da organização com os padrões

atualmente conhecidos;
» gerenciar e controlar todas as avaliações de riscos da organização;
87
» desenvolver uma estratégia de proteção, considerando a política de segurança,

gerenciamento administrativo e tecnológico;
» estabelecer uma equipe multidisciplinar que possa desenvolver a segurança da

informação da empresa.
Trata-se de um conjunto de ferramentas, técnicas e métodos para a avaliação de segurança

da informação e planejamento estratégico com base no risco.
O método OCTAVE Allegro é o método mais recentemente desenvolvido e é ativamente

apoiado pela Divisão CERT (Figura 26). Características e vantagens dos métodos OCTAVE
incluem:
» equipes autodirigidas – pequenos grupos organizacionais nas unidades de negócios

e de TI da empresa trabalham em conjunto para atender às necessidades de
segurança da organização;
» método flexível – cada método OCTAVE pode ser adaptado ao ambiente da

organização para análise de risco, objetivos de segurança e resiliência, e nível de
habilidades.
Figura 26. Fluxo OCTAVE Allegro.
88
Grau de Proteção de Recursos (GPR)
Outro método para a definição dos recursos a serem priorizados no planejamento para
situações de contingência é denominado de Grau de Proteção de Recursos (GPR).
Trata-se de uma metodologia mais simples que a anterior e que propõe a pontuação de
determinados itens de segurança.
O GPR possibilita responder, por exemplo, se a empresa deve investir em um backup do

equipamento do estabilizador ou no backup do servidor de arquivos. Para o cálculo do
GPR, são levados em conta três itens considerados de importância relevante para análise,
sendo:
GPR = [(P * 2) + (B * 3) + (I *5)] / 10
Em que:
P – Possibilidade da indisponibilidade do recurso. Possui peso 2. Para P, são as

possibilidades:
» 0 – praticamente impossível;
» 2 – improvável;
» 4 – possível, porém nunca ocorreu;
» 6 – possível e já ocorreu uma vez nos últimos cinco anos;
» 8 – possível e já ocorreu mais de uma vez nos últimos cinco anos;
» 10 – possível e já ocorreu mais de uma vez no último ano.
B – Existência atual de recursos alternativos ou procedimentos alternativos. Possui peso 3.

Para esse item, os valores possíveis são:
» 1 – existe recurso alternativo testado e funcionando;
» 4 – existe recurso alternativo e foi testado/utilizado no último ano;
» 6 – existe recurso alternativo, porém nunca foi testado/utilizado;
» 8 – existe recurso alternativo parcial;
» 10 – não existe recurso alternativo.
89
I – Impacto no ambiente computacional ou no ambiente de negócio. Possui peso 5.
Escala de valores variando em:
» 1 – não impacta usuário final;
» 2 – impacta o ambiente batch e de desenvolvimento;
» 3 – impacta o ambiente batch de apoio. Ex: passagem para a produção;
» 4 – impacta o ambiente on-line de desenvolvimento;
» 6 – impacta o ambiente batch de produção;
» 7 – impacta parcialmente usuários e clientes;
» 10 – impacta grande parte (ou todos) os usuários e clientes.
Gerenciamento de risco e segurança da informação
Gerenciamento de risco é uma preocupação central na área de segurança de informação.

Toda ação que uma organização realiza — ou deixa de realizar — envolve algum grau de
risco. No mundo dos negócios, gerenciamento de risco é a diferença entre uma empresa
bem-sucedida e uma fracassada. Isso não significa que você elimine o risco. Ao contrário, uma
organização busca o equilíbrio entre um nível aceitável de um risco e o custo de reduzi-lo.
Diferentes organizações têm diferentes tolerâncias a risco. Por exemplo, um hospital busca
limitar riscos no grau mais alto possível. Por outro lado, algumas instituições financeiras
aceitam níveis de risco mais altos, pois maior risco pode resultar em maiores retornos.
Como profissional de segurança, você trabalhará em equipe para identificar riscos e

aplicar soluções de gerenciamento de risco. Você precisa se lembrar de dois princípios de
gerenciamento de risco:
» nunca gaste mais para proteger um ativo do que ele vale;
» uma contramedida, sem um risco correspondente, é uma solução que busca um

problema; você nunca poderá justificar o custo.
Você tem uma importante função nos aspectos de risco, resposta e recuperação de segurança
de informação. Você precisa ajudar a identificar riscos sérios. Alguns deles podem colocar
sua empresa fora do negócio. Você também precisa ajudar a criar e/ou manter um plano que
garanta que sua empresa continue a operar perante desastres. Esse é um tipo de plano de
continuidade de negócios (BCP — Business Continuity Plan), conceito importante sobre o
qual você aprenderá neste capítulo.
90
Desastres acontecem. Logo, você deverá esperar que eles também aconteçam em sua
organização. Planejar-se para desastres é parte de seu papel como profissional de segurança.
Você deverá ajudar a desenvolver e manter um plano de recuperação de desastre (DRP —
Disaster Recovery Plan).
Como profissional de segurança, seu objetivo é garantir que seus sistemas rapidamente
se tornem disponíveis aos usuários após uma parada e que você recupere qualquer dado
perdido ou danificado. Porém, você também desempenha um papel importante na garantia
de que tratará corretamente do processo de recuperação.
A equação de risco
Gerenciamento de risco inclui avaliação, mitigação, análise e segurança de risco. Observe que
gerenciamento de risco é um esforço contínuo que inclui avaliação e reavaliação periódica
de risco em todas as três fases do esforço de gerenciamento de risco. A Figura 27 mostra a
equação e as três fases de gerenciamento de risco.
Figura 27. Equação de risco.
O Processo de gerenciamento de risco
A Figura 28 mostra um fluxograma que esboça as etapas do gerenciamento de risco. A

coluna da esquerda esboça a avaliação e o monitoramento de risco, e a da direita aborda
alguns dos detalhes da etapa de avaliação.
91
Como vemos na Figura 28, as etapas do processo de gerenciamento de risco são:
» identificação de risco — o primeiro passo para gerenciar risco é a sua identificação.

O que pode dar errado? Respostas podem incluir incêndio, inundação, terremoto,
relâmpagos, falta de energia elétrica ou de outro serviço, greve e indisponibilidade de
transporte. Você precisa desenvolver cenários para cada ameaça a fim de estimá-la;
Figura 28. Fluxograma do processo de gerenciamento de risco.
» estimativa de risco — naturalmente, você não poderá medir todos os riscos identificados.
Além disso, nem todo risco se aplica a todas as empresas em todos os lugares. Por
exemplo, empresas em Montana ou em Moscou não precisam se preocupar com
furacões. Dos riscos possíveis, o impacto será mais ou menos grave, dependendo do
cenário e do local. A fase de estimativa de risco envolve os três aspectos ou subfases
a seguir:
1. avaliação de diversos tipos de controles para atenuar os riscos identificados;
2. seleção de uma estratégia de controle — considere confiabilidade, escalabilidade, custo,

facilidade de uso e segurança, que eliminarão algumas opções e destacarão outras;
3. justificativa de escolha de controles — compare o custo de todos os controles com o

risco associado. Não é correto gastar $ 100 para proteger $ 10;
» inventário de ativos — crie um inventário de ativos para que você possa estimar perdas
enquanto avalia riscos;
92
» classificação de ativos — classifique ativos de acordo com seu valor para a empresa;
» identificação de ameaças e vulnerabilidades — identifique as ameaças e as

vulnerabilidades para cada ativo e compare-as com os controles propostos para verificar
se (ainda) são apropriados.
Cuidado
É importante evitar riscos “cinematográficos”. Roteiristas podem criar cenários impossíveis e fazê-los parecer
possíveis ou mesmo prováveis. Gastar dinheiro para se proteger contra essas falsas ameaças é um desperdício.
Análise de risco
Uma boa análise de risco explica aos gerentes o ambiente de risco de uma empresa em
linguagem compreensível e determina quais riscos podem impedir a operação de uma
empresa. Às vezes, profissionais de TI ficam tão envolvidos em proteger a estrutura de TI
que esquecem que os respectivos sistemas existem para manter a empresa funcionando.
Durante o processo de análise de risco, permaneça focado em “o que isso significa para a
empresa?” e em “qual é o valor disso para a empresa?”, em vez de “o que isso significa para
meus sistemas e minha infraestrutura?”.
Uma análise de risco identifica e justifica esforços de atenuação de risco:
» atenuação de risco identifica ameaças a processos e sistemas de dados de uma

empresa;
» análise de risco justifica o uso de contramedidas específicas para reduzi-los.
Embora haja muitas opções para redução de um risco, um motivo-chave para estimativa e
análise de risco é fornecer os dados necessários para identificar as melhores escolhas, que
dependem de aspectos como custo, impacto sobre produtividade e aceitação de usuário.
Ameaças emergentes
Você também precisa realizar estimativa de risco sobre ameaças emergentes, que
podem vir de muitas áreas diferentes e tanto de fontes internas como externas. Alguns
exemplos de ameaças emergentes incluem:
» nova tecnologia;
» mudanças na cultura da organização ou do ambiente;
93
» uso não autorizado da tecnologia (por exemplo, tecnologias sem fio, modems piratas,
PDAs, software não licenciado, iPods). Ameaças de PDA incluem roubo de dados
corporativos, controles fracos sobre transmissão e tráfego sem fio, bem como o risco
de múltiplas cópias ou versões de dados em vários dispositivos;
» mudanças em regulamentações e leis;
» mudanças nas práticas de uma empresa (por exemplo, terceirização, globalização).
Você deverá realizar análise de risco periodicamente para encontrar ameaças e

vulnerabilidades emergentes. Um profissional de segurança proativo observa novas
ameaças que podem deflagrar a necessidade de uma nova análise de risco.
Duas abordagens: quantitativa e qualitativa
Você pode abordar análise de risco de duas maneiras:
» análise de risco qualitativa — esse tipo de análise descreve um cenário de risco e

depois descobre que impacto o evento teria sobre as operações de uma empresa.
Para isso, você precisa falar com chefes de divisão que saibam o que aconteceria
se o desastre atingisse sua área. Isso permite que as unidades da empresa e os
especialistas técnicos entendam os efeitos de propagação de um evento sobre outros
departamentos ou operações. O processo de reunir informações desses especialistas
é chamado de técnica Delphi;
» análise de risco quantitativa — esse tipo de análise tenta descrever risco em termos
financeiros e estabelece um valor monetário para todos os elementos de um risco.
Uma desvantagem dessa abordagem é que muitos riscos possuem valores de difícil
mensuração, como a reputação e a disponibilidade de contramedidas. Números
exatos podem ser difíceis de determinar, especialmente o custo do impacto de
eventos futuros.
A análise quantitativa define um valor monetário para riscos, enquanto a qualitativa

define risco por meio de um cenário que o descreva. A Figura 29 compara análises de risco
quantitativa e qualitativa. Nenhuma dessas abordagens é perfeita por si só. Uma estimativa
de risco sólida frequentemente combinará as duas técnicas.
Na maior parte das situações, você poderá combinar as duas metodologias. A análise
qualitativa de risco fornecerá a você um melhor entendimento do impacto geral que um
desastre terá quando os efeitos se propagarem por uma organização. Ela frequentemente
gera melhor comunicação entre departamentos em relação à melhor forma de trabalharem
juntos para reduzir danos. Porém, ela não possui alguns dos sólidos dados financeiros de
94
uma análise quantitativa. Você frequentemente precisará dessa informação de custo para
justificar o custo de contramedidas. Portanto, precisa considerar as duas técnicas.
Figura 29. Análises de risco qualitativa e quantitativa.
Controles e seu lugar no ciclo de vida de segurança
Controles de segurança são as salvaguardas ou as contramedidas que uma organização

utiliza para evitar, combater ou minimizar perda ou indisponibilidade de sistemas.
Conforme definido pelo Escritório Governamental de Responsabilização (Government
Accountability Office):
“O ambiente de controle define o tom de uma organização, influenciando a conscientização

de seu pessoal sobre controle. É o alicerce para todos os outros componentes de controle
interno, fornecendo disciplina e estrutura. Fatores de ambiente de controle incluem a
integridade, valores éticos e competência do pessoal da entidade, filosofia de gerência e
estilo operacional e o modo como a gerência atribui autoridade e organiza e desenvolve
seu pessoal.”
Alguns controles gerenciam a fase de atividade de segurança — o que as pessoas fazem.

São os controles administrativos, que desenvolvem e garantem compatibilidade com
política e procedimentos. Eles tendem a ser as atividades que os funcionários podem
fazer, devem fazer e não devem fazer. Um controle técnico é executado ou gerenciado
por um sistema de computação.
Controles de fase de atividade podem ser administrativos ou técnicos e correspondem ao

ciclo de vida de um programa de segurança da seguinte forma:
» controles de detecção — identificam que uma ameaça paira em seu sistema. Um

sistema de detecção de intrusos (IDS) é um exemplo de um controle de detecção e
pode detectar ataques sobre sistemas, como varreduras de porta que tentem obter
informações sobre um sistema. O IDS, então, registra a atividade em um histórico;
95
» controles preventivos — impedem que ameaças entrem em contato com uma

vulnerabilidade. Um exemplo de um controle preventivo é um sistema de prevenção
de intrusos (IPS). Um IPS é um IDS que você configura para bloquear ativamente um
ataque. Em vez de simplesmente registrar a atividade, ele pode mudar a configuração,
para que a atividade maliciosa seja bloqueada;
» controles corretivos — reduzem os efeitos de uma ameaça. Ao recarregar um

sistema operacional após ter sido infectado com malware, você estará usando um
controle corretivo. Resposta forense e resposta a incidentes são outros exemplos
desse tipo de controle.
Recuperação de um desastre
O que o plano de recuperação de desastre (DRP — Disaster Recovery Plan) faz:
» estabelece um centro de operações de emergência (EOC — Emergency Operations

Center) como local alternativo a partir do qual o plano de continuidade de negócios
(BCP — Business Continuity Plan) /DRP será coordenado e implementado;
» nomeia um gerente de EOC;
» determina quando esse gerente deverá declarar que um incidente é um desastre.
Um DRP permite que você tome decisões críticas com antecedência. Desse modo, você
pode gerenciar e revisar decisões sem a urgência de um desastre real. Se esses planos não
forem criados com antecedência, você e seus gerentes terão de tomar decisões com base em
hipóteses e sob grande pressão.
DRPs são projetos de longo prazo, demorados e caros. O DRP para uma grande empresa
pode custar dezenas de milhões de dólares. É essencial que a alta gerência não apenas
apoie, mas também insista em um DRP efetivo e bem testado.
O processo começa com uma análise de negócios que identifica funções críticas e os
respectivos tempos máximos toleráveis de paralisação. Em seguida, ela identifica estratégias
para lidar com uma grande variedade de cenários que possam disparar o plano. Como
profissional de segurança, você provavelmente será membro das equipes de planejamento
de desastre e de recuperação de desastre.
Principais etapas para recuperação de desastre
As principais etapas para recuperação de desastres (em ordem de importância) são:
96
1. Garantir a segurança de indivíduos.
2. Conter os danos.
3. Avaliar os danos e iniciar operações de recuperação de acordo com o DCP e o BCP.
Ativando o plano de recuperação de desastre
Como profissional de segurança, você desempenhará um papel-chave no restabelecimento

de operações de uma empresa durante uma crise, reconstruindo as redes e os sistemas que o
negócio exigir. O processo de recuperação envolve duas fases principais. A primeira é restaurar
operações da empresa. Em muitos casos, a recuperação pode ser em um local alternativo.
Você pode ter de montar uma rede rapidamente a partir de dados de cópias de segurança
disponíveis, de equipamento reserva e de qualquer outro equipamento de vendedores que
esteja disponível.
A segunda fase é retornar as operações ao seu estado original, anterior ao desastre. Para
isso, você precisará reconstruir o local principal. A transição de volta ao local normal e
o fechamento do local alternativo deverão constar da parte “Retorno ao Local Inicial” do
BCP/DRP.
Acione equipes de salvamento e reparo. Elas farão seu trabalho antes que pessoas e dados
possam retornar ao local principal. Profissionais de segurança normalmente estão na
equipe de reparo para reconstruir as partes danificadas da infraestrutura de rede. Eles
manterão — ou aumentarão — os níveis de segurança anteriores. Se você precisar de
equipamento novo, use essa oportunidade para aprimorar a segurança.
Operando em um ambiente reduzido/modificado
Durante uma crise, muitas das condições normais, como controles, suporte e processos,
podem não estar disponíveis. Você precisa se adaptar rapidamente para garantir a operação
segura de sistemas, incluindo cópias de segurança e reconciliação de erros. Aqui estão
alguns pontos para manter em mente:
» você pode querer suspender processos normais, como separação de tarefas ou

limites de gastos, e deverá compensar com controles adicionais ou por auditoria
adicional. O DRP deverá dar privilégios adicionais ou autoridade para gastos a
certas pessoas ou certas tarefas;
» se diversos sistemas estiverem parados, usuários podem precisar de mais suporte

técnico ou orientação sobre como usar sistemas ou acesso alternativos. As
97
BIAs devem ter identificado recursos mínimos de recuperação como parte das
necessidades de recuperação;
» durante um desastre e recuperação, pode ser útil combinar serviços em diferentes

plataformas de hardware sobre servidores comuns. Isso poderá agilizar uma
recuperação. Porém, você precisará administrar esse processo com cuidado para
garantir que o movimento e a recuperação prossigam tranquilamente;
» enquanto estiver usando o local alternativo, você deverá continuar a fazer cópias
de dados e de sistemas para prevenir novos desastres se o local de recuperação
falhar.
Restaurando sistemas danificados
Você precisará planejar a reconstrução de sistemas danificados e saber onde obter diagramas
de configuração, listas de inventário e aplicativos e dados de cópias de segurança. Precisa
ainda ter listas de controle de acesso para garantir que o sistema somente permita usuários
legítimos. Lembre-se dos seguintes pontos:
» uma vez que a reconstrução comece, o administrador deverá ter o cuidado de

atualizar os sistemas operacionais e aplicativos com as correções mais atuais. Cópias
de segurança ou discos de instalação frequentemente contêm versões mais antigas,
desatualizadas;
» depois de reconstruir o sistema, você deverá restaurar os dados ao RPO, ponto inicial de
recuperação de dados (RPO — Recovery Point Objective), que inclui reconciliar livros
e registros. Você precisa garantir que os sistemas operacionais e os aplicativos estejam
atualizados e seguros;
» muitas organizações ignoram permissões de controle de acesso em planos de

recuperação. Você deverá ativar as regras de controle de acesso, diretórios e sistemas
de acesso remoto para permitir que usuários entrem nos novos sistemas. Quando
estiver criando o plano, certifique-se de que qualquer software de fornecedor possa
ser executado em processadores alternativos. Alguns fornecedores licenciam seus
produtos para que operem somente em determinadas CPUs.
Questões sobre recuperação de desastre
Segue uma curta lista de questões sobre recuperação de desastre que normalmente
passam despercebidas na manutenção e na execução de um DRP.
98
» Geradores — certifique-se de que todo o combustível seja novo e que existam

contratos para garantir o fornecimento de combustível em um momento de
crise. Geradores precisam receber manutenção de rotina e devem ser ligados
periodicamente para estarem prontos para operar e suportar a carga esperada do
sistema.
» Segurança de um local danificado — você precisará proteger o local principal

(danificado) contra mais danos ou roubo.
» Retorno — você precisará examinar o local danificado usando pessoas qualificadas

para determinar se ele é seguro para o retorno do pessoal.
» Transporte de equipamento e de cópias de reserva — o plano deverá fornecer

transporte seguro de pessoas, equipamento e dados copiados de e para o local
alternativo.
» Comunicações e redes — o serviço telefônico normal geralmente falha em uma

crise. Você pode precisar de um método de comunicação alternativo, especialmente
entre os principais membros da equipe.
Alternativas de recuperação
Um coordenador de continuidade de negócios (BC — Business Continuity) considera

a capacidade de cada alternativa de suportar funções críticas de uma empresa, sua
prontidão operacional em comparação com o RTO e o custo associado. Ele examina
especificações para espaço de trabalho, requisitos de segurança, TI e telecomunicações.
Três escolhas normalmente são consideradas se uma empresa (ou parte dela) tiver de ser
movida para recuperação:
» um local dedicado operado pela empresa, como um centro de processamento

secundário;
» uma instalação alugada comercialmente, como um site quente (hot site) ou uma
instalação móvel;
» um acordo com uma instalação interna ou externa.
Provedores comerciais externos oferecem serviços a muitas organizações. Isso significa que,
se houver um desastre, muitos clientes de um provedor comercial poderão ser afetados.
Quais serão suas prioridades se isso acontecer? Conheça suas opções (juntamente com
os preços) para fatores como tempo de teste, declaração, taxas e mínimo/máximo de dias
para recuperação. Cuide para que as especificações de espaço de trabalho, requisitos de
99
segurança, TI e telecomunicações sejam adequadas para as funções críticas da empresa.

Garanta que existam acomodações adequadas para o pessoal, incluindo instalações para
descanso e banho, além de refeições.
Não importa a escolha que sua empresa faça, a tarefa do departamento de TI é garantir que
todo o equipamento necessário esteja disponível no local alternativo. Isso inclui os arquivos
críticos, documentação e outros itens identificados nas categorias de recuperação. Outros
itens podem incluir cabos de emenda (patch) adicionais, unidades USB ou outros itens
comuns que o pessoal de TI pode usar diariamente.
Sintetizando
Vimos até agora:
» O aprendizado sobre os três princípios básicos de segurança de informação: identificar os riscos para a
organização; prevenir danos, o máximo possível, por meio de controles; ter planos e procedimentos prontos para
reagir a incidentes que você não possa impedir.
» O conhecimento sobre os motivos e os processos de gerenciamento de risco, e como um plano de continuidade de

negócios (BCP) o ajuda a garantir que um desastre não tire sua organização do negócio.
» Um estudo sobre análise de risco, incluindo a diferença entre análise quantitativa e qualitativa de risco.
» Os três tipos de controles de atividade e como eles correspondem ao ciclo de vida da segurança.
» Como uma resposta determina a capacidade de sua organização em lidar com desastres, sobre os três tipos de
cópias de segurança (backups) e quais modelos de cópia você pode usar para recuperar-se de um desastre.
» As etapas que precisa seguir para responder a incidentes, e o papel que essas respostas desempenham nos
processos de risco, resposta e recuperação.
» O conhecimento sobre as três etapas principais para se recuperar de um desastre, e os papéis que você
desempenha no decorrer do plano de recuperação.
100
CAPÍTULO
CRIPTOGRAFIA, CERTIFICAÇÃO E
GERENCIAMENTO DE CHAVES 6
Introdução
De acordo com o Dicionário Webster Não Abreviado Revisado ( Webster’s Revised

Unabridged Dictionary), criptografia é “o ato ou a arte de escrever em caracteres
secretos”. O Dicionário Online Gratuito de Computação (Free Online Dictionary
of Computing) diz que criptografia é “codificar dados de modo que só possam
ser decodificados por indivíduos específicos”. Encriptar e decriptar dados é um
criptossistema que normalmente envolve um algoritmo, conhecido como cifra, e
combina os dados originais, conhecidos como texto claro, com uma ou mais chaves.
Uma chave é uma sequência de números ou caracteres conhecidos apenas pelo emissor
e/ou destinatário. A mensagem secreta é texto cifrado.
A segurança de um criptossistema normalmente depende do segredo das chaves, não do da

cifra. Um criptossistema forte tem uma gama de chaves possíveis, o que inviabiliza testar
todas elas em um ataque por força bruta. Além disso, um criptossistema resiste a todo
método anteriormente conhecido de quebra de códigos e também deve produzir texto cifrado
que pareça aleatório a todo teste estatístico-padrão. O processo de quebra de códigos é a
criptoanálise.
Basicamente, a criptografia oculta informações. Você pode encontrar criptografia em

empresas e em governos, bem como em transações pessoais. Essa não é a única maneira
de proteger informações. Na verdade, trata-se de um conjunto de ferramentas para
segurança de TI.
A criptografia cumpre quatro objetivos de segurança:
» confidencialidade;
» integridade;
» autenticação;
» não repúdio.
101
CAPÍTULO 6 • Criptografia, Certificação e Gerenciamento de Chaves
O profissional de segurança de TI utiliza criativamente essas ferramentas criptográficas

para atender aos objetivos de segurança das empresas.
Dessa forma, tendo conhecimento dos métodos de pesquisa e definindo com critério os
índices, é possível construir as consultas de forma que gere mais eficiência.
No escopo deste capítulo, conheceremos alguns métodos de pesquisa para poder gerar
subsídios para construção de consultas que gerem resultados com eficiência e bom
desempenho.
Objetivos
» Definir os conceitos básicos de criptografia.
» Conhecer como a criptografia pode resolver requisitos comerciais e de segurança.
» Mostrar que aplicativos criptográficos são usados em segurança de sistemas de informação.
» Descrever algoritmos simétrico, assimétrico e de hashing.
» Examinar os diversos usos de criptografia.
» Entender os desafios de usos criptográficos.
» Apresentar os princípios de certificados e de gerenciamento de chaves.
Criptografia e esteganografia
A criptografia é muito antiga, existindo na escrita hieroglífica egípcia, utilizada para

codificar os planos de batalha na época do império romano e, na idade média, para proteger
documentos escritos em papiros. No início dos anos 1970, a criptografia foi considerada
uma área de investigação acadêmica e largamente utilizada na segurança de sistemas de
informação computacionais.
A forma mais utilizada para prover a segurança da informação numa rede de

computadores é a utilização da criptografia. A palavra tem origem grega (kriptos =
escondido, oculto e grifo = grafia) e define a arte ou ciência de escrever em cifras ou em
códigos utilizando um conjunto de técnicas que torna a mensagem incompreensível e
chamada comumente de “texto cifrado” por um processo chamado cifragem, permitindo
que apenas o destinatário desejado consiga decodificar e ler a mensagem com clareza.
As mensagens legíveis são chamadas de texto plano ou texto limpo, e as ilegíveis são
chamadas de texto cifrado (Figura 30).
102
Criptografia, Certificação e Gerenciamento de Chaves • CAPÍTULO 6
Figura 30. Criptografia.
Fonte: <https://www.projetoderedes.com.br/>.
A criptografia fornece técnicas para codificar e decodificar informações a fim de que possam
ser armazenadas, transmitidas e recuperadas sem sua alteração ou exposição. Em outras
palavras, as técnicas de criptografia podem ser usadas como um meio efetivo de proteção
do conteúdo das informações suscetíveis a ataques, estejam elas armazenadas em um
computador ou sendo transmitidas pela rede.
A criptografia é o meio primário para oferecer confidencialidade às informações

transmitidas entre as redes locais de computadores ou por meio da Internet. Pode ser
usada para qualquer tipo de informação transmitida, desde um e-mail até um arquivo com
dados confidenciais. Pode-se citar o exemplo dos notebooks, que, ao serem deixados em
um quarto de hotel, poderiam ter as informações acessadas por pessoas não autorizadas.
O processo criptográfico consiste em transformar um texto simples, por meio de uma função
parametrizada por uma chave (senha), em um texto inteligível. A saída desse processo de
criptografia é chamada texto cifrado ou criptograma. Após o processo de criptografia, o texto
é então transmitido ao destinatário. Este conhece o método utilizado para a criptografia e
também conhece a chave, possibilitando a transformação do texto criptografado em texto
simples novamente. Se a mensagem for interceptada por alguém, será necessário descobrir
a chave de criptografia, bem como o seu método, para que se possa utilizar a mensagem
capturada.
Um exemplo de processo criptográfico é o dispositivo conhecido como Criptex (Figura 31),

um cofre de forma cilíndrica, composto por 5 anéis com números e letras do alfabeto que,
uma vez colocados em certa posição, permitem retirar do seu interior um papiro com uma
mensagem secreta. Forçando-se sua abertura, sem alinhar corretamente os anéis (código),
quebra-se uma ampola de vidro contendo vinagre no interior do artefato, o qual danifica o
papiro, tornando a mensagem ilegível.
103
Figura 31. Criptex.
Tipos de criptografia
A criptografia é um mecanismo de segurança que permite a implementação de diversos

serviços (autenticação, não repúdio, integridade, confidencialidade). Para tanto, existem
dois tipos básicos de criptografia: simétrica e assimétrica. Embora a criptografia simétrica
seja menos segura, ela é mais rápida, sendo atualmente utilizada em conjunto com a
criptografia assimétrica para aumentar a eficiência da troca de mensagens seguras. As chaves
são criadas por operações matemáticas de tal forma que, apesar de serem relacionadas, é
virtualmente impossível descobrir a outra, tendo apenas uma delas.
Sistema de chave simétrica
Na criptografia simétrica (ou de chave privada), os usuários envolvidos devem ter prévio
conhecimento da chave (senha). Isso a torna muito vulnerável a falhas de segurança
(Figura 32). Nessa técnica, uma mesma chave (senha) é utilizada para criptografar e
decriptografar uma mensagem, que, portanto, deve ser de conhecimento tanto do emissor
como do receptor da mensagem. Em cifradores simétricos, o algoritmo de criptografia e
decriptografia são os mesmos, mudando apenas a forma como são utilizadas as chaves.
Um exemplo de algoritmo simétrico é o DES (Data Encryption Standard), cuja chave
possui tamanho de 56 bits. Entretanto, algoritmos com chaves maiores estão disponíveis,
resultando em maior segurança.
104
Figura 32. Um exemplo de chave simétrica.
Uma mensagem, para ser enviada, é encriptada pelo emissor com uma chave secreta
compartilhada que é de seu conhecimento. Para o receptor conseguir decifrar essa
mensagem, deve ter a mesma chave secreta utilizada pelo transmissor. Essa chave secreta
compartilhada é então enviada por um canal seguro para o receptor.
Com esse modelo, pode-se garantir a confidencialidade da mensagem, porque somente

o transmissor e o receptor têm conhecimento da chave secreta. O texto cifrado não sofre
alteração quanto ao seu tamanho. É importante salientar também que o texto cifrado não
contém qualquer parte da chave. Existem vários algoritmos que usam chaves simétricas,
como o DES, o IDEA, e o RC.
» DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de chaves de 56
bits. Isso corresponde a 72 quatrilhões de combinações. Em 1997, esse algoritmo foi
quebrado por técnicas de “força bruta” (tentativa e erro) em um desafio promovido
na internet;
» IDEA (International Data Encryption Algorithm): criado em 1991 por James

Massey e Xuejia Lai, o IDEA é um algoritmo que faz uso de chaves de 128 bits
e tem uma estrutura semelhante ao DES;
» RC (Ron’s Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security,
esse algoritmo é muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024
bits. Possui várias versões: RC2, RC4, RC5 e RC6. Essencialmente, cada versão difere
da outra por trabalhar com chaves maiores.
Existem ainda outros algoritmos, como o AES (Advanced Encryption Standard), que é
baseado no DES, o 3DES, o Twofish e sua variante Blowfish, entre outros.
105
Sistema de chave assimétrica
Na criptografia assimétrica (ou de chave pública), existe um par de chaves relacionadas entre
si. Qualquer informação encriptada com uma delas somente poderá ser decriptografada
com a outra. Uma chave é usada para cifrar a informação, e outra chave diferente é usada
para decifrar a informação. O que for encriptado utilizando uma chave somente poderá ser
visualizado com a outra. Entre os algoritmos que usam chaves assimétricas, têm-se o RSA
(o mais conhecido) e o Diffie-Hellman:
» RSA (Rivest, Shamir and Adleman): criado em 1977 por Ron Rivest, AdiShamir e
Len Adleman nos laboratórios do MIT (Massachusetts Institute of Technology).
Dois números primos são multiplicados para se obter um terceiro valor. Porém,
descobrir os dois primeiros números a partir do terceiro (fatoração) é complexo. Se
dois números primos de grande valor forem usados na multiplicação, será necessário
forte processamento para descobri-los, tornando essa tarefa praticamente inviável.
Basicamente, a chave privada no RSA são os números multiplicados, e a chave pública
é o valor obtido;
» ElGamal: criado por Taher ElGamal, esse algoritmo faz uso de um problema
matemático conhecido por “logaritmo discreto” para se tornar seguro. Sua utilização
é frequente em assinaturas digitais.
Existem ainda outros algoritmos de chave assimétrica, tais como o DAS (Digital
Signature Algorithm), o Schnorr (praticamente usado apenas em assinaturas digitais)
e Diffie-Hellman.
A chave pública, como o próprio nome diz, é de conhecimento público e é divulgada em

diversas maneiras. Com a chave pública é possível prover os serviços de confidencialidade,
autenticação e distribuição de chaves. A garantia da confidencialidade é que somente as
pessoas ou organizações envolvidas na comunicação possam ler e utilizar as informações
transmitidas de forma eletrônica pela rede. Já a autenticação é a garantia de identificação
das pessoas ou organizações envolvidas na comunicação.
Em um sistema de chave assimétrica (Figura 33), cada pessoa tem duas chaves: uma chave
pública, que pode ser divulgada, e outra privada, que deve ser mantida em segredo. Mensagens
cifradas com a chave pública somente podem ser decifradas com a chave secreta e vice-versa.
Se duas pessoas quiserem se comunicar secretamente usando a criptografia com chave
assimétrica, elas terão de fazer o seguinte:
» o emissor escreve uma mensagem e a criptografa utilizando a chave pública do

receptor. Essa chave está disponível para qualquer pessoa;
106
» o emissor envia a mensagem por meio de um meio qualquer, por exemplo, a Internet,
para o receptor;
» o receptor recebe a mensagem e a decriptografa utilizando a chave privada que

somente ele conhece;
» o receptor lê a mensagem e, se quiser responder ao emissor, deverá fazer o mesmo

procedimento anterior com a diferença de que dessa vez a chave pública do emissor
é que será utilizada.
Figura 33. Um exemplo de chave assimétrica.
Como apenas o receptor da mensagem tem acesso à sua chave privada, somente ele pode
decifrar a mensagem. A grande vantagem é que não somente emissor pode enviar mensagens
criptografadas para o receptor, mas qualquer pessoa, bastando conhecer a chave pública do
receptor. Além disso, emissor e receptor não precisam combinar chaves antecipadamente.
Pode-se também criar uma assinatura digital com chaves assimétricas. Para isso, basta
inverter o processo: o emissor criptografa a mensagem com sua própria chave privada
e envia ao receptor. Para decriptografar, deve-se usar a chave pública de emissor. Agora,
qualquer pessoa pode ler a mensagem, mas tem-se a certeza de que foi o emissor que a
enviou (acreditando-se que somente ele conhece sua chave privada).
Objetivos da criptografia
A criptografia computacional protege o sistema quanto à ameaça de perda de confiabilidade,

integridade ou não repúdio e é utilizada para garantir:
» Sigilo: somente os usuários autorizados têm acesso à informação.
» Integridade: garantia oferecida ao usuário de que a informação correta, original,

não foi alterada, nem intencionalmente, nem acidentalmente.
107
» Autenticação do usuário: é o processo que permite ao sistema verificar se a pessoa

com quem se está comunicando é de fato a pessoa que alega ser.
» Autenticação de remetente: é o processo que permite a um usuário certificar-se de

que a mensagem recebida foi de fato enviada pelo remetente, podendo-se inclusive
provar perante um juiz que o remetente enviou aquela mensagem.
» Autenticação do destinatário: consiste em se ter uma prova de que a mensagem

enviada foi como tal recebida pelo destinatário.
» Autenticação de atualidade: consiste em provar que a mensagem é atual, não

sendo mensagens antigas reenviadas.
Entretanto, não adianta imaginar que a criptografia solucionará todos os problemas de

segurança de uma rede de comunicação. Existem variáveis que, por melhor que sejam os
processos de criptografia, não se consegue proteger:
» a criptografia não impede um atacante de apagar a informação;
» um atacante pode comprometer o programa de criptografia modificando o

algoritmo para usar uma chave diferente ou gravar as chaves em arquivo para
análise posterior;
» um atacante pode encontrar uma forma de decriptografar a mensagem

dependendo do algoritmo utilizado;
» um atacante pode acessar os arquivos antes de serem criptografados ou após a

decriptação.
Por tudo isso, a criptografia deve fazer parte da estratégia de segurança computacional, mas
não deve ser a única técnica de segurança.
Tipos de cifras
Cifras podem ter duas formas básicas:
» Cifras de transposição — uma cifra de transposição rearruma caracteres ou bits de

dados.
» Cifras de substituição — uma cifra de substituição substitui bits, caracteres ou

blocos de informação por outros.
Cifras de transposição
Uma cifra de transposição simples escreve caracteres em linhas de uma matriz e, então,
lê as colunas como saída. Por exemplo, escreva a mensagem “ATTACK AT DAWN” em uma
matriz de quatro colunas, como mostrado na Figura 34.
108
Em seguida, leia a informação em colunas: ACDTKATAWATN. Esse será o texto cifrado. A

chave será {1,2,3,4}, ordem em que as colunas são lidas. Encriptar com uma chave diferente,
digamos {2,4,3,1}, resultará em um texto cifrado diferente — nesse caso, TKAATNTAWACD.
Observe que, nesse exemplo, o texto cifrado armazena a frequência de letras. Ou seja, as letras
mais comuns no idioma inglês — E, T, A, O e N — aparecem em um número desproporcional
de vezes no texto cifrado de transposição, uma dica para o criptoanalista de que se trata de
uma cifra de transposição.
Cifras de transposição mantêm todos os elementos da mensagem original. Elas

simplesmente misturam a informação de um modo que possa ser remontada depois.
Algumas cifras de transposição digitais básicas trocarão bits por bytes para fazer com
que os dados pareçam ininteligíveis ao leitor casual. Um exemplo de uma cifra de
transposição falada é pig Latin 1.
Figura 34. Um exemplo de Cifra de Transposição.
Cifras de substituição
Uma das cifras de substituição mais simples é a cifra de César. Ela desloca cada letra do
alfabeto por um número fixo de posições, com Z retornando para A. Júlio César usou essa
cifra com um deslocamento de três. O texto a seguir ilustra uma encriptação usando uma
cifra de César:
ATTACK AT DAWN
↓
DWWDFN DW GDZQ
Observe que existem 25 chaves possíveis para uma cifra de César (a 26 a chave mapeia
caracteres de volta neles mesmos). Observe também que essa não é uma cifra de
transposição, porque as letras no texto cifrado não estavam presentes no texto claro.
1 Pig Latin é uma linguagem secreta formada do inglês, movendo as primeiras consoantes para o final das palavras e acrescentando
sílabas “ay” extras (por exemplo, “pig Latin” na linguagem pig Latin é “igpay atinlay”). (N.T.)
109
Uma cifra de substituição popular para crianças foi o anel decodificador Cap’n Crunch. O
anel estava incluído em caixas especialmente marcadas do cereal Cap’n Crunch e consistia
em dois alfabetos (A a Z) escritos em um círculo. O círculo interno não movia, mas você
podia girar o externo. Girando o círculo externo em um valor determinado, você criava um
mapeamento de um para um de um alfabeto para o outro. Para encriptar, você pesquisava o
caractere desejado no círculo interno e o lia no círculo externo. Para decriptar, você revertia
o processo (sim, esta é uma cifra de César!).
Uma cifra alfabética mista de palavra-chave usa um alfabeto de cifra que consiste em uma
palavra-chave, menos duplicatas, seguida pelas letras restantes do alfabeto. Por exemplo, usando
a palavra-chave CRYPTOGRAPHY, esse tipo de cifra geraria o seguinte:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
CRYPTOGAHBDEFIJKLMNQSUVWXZ
Assim, a palavra de texto claro ALPHABET seria criptografada como CEKACRTQ.
Qualquer cifra de substituição usará esses mesmos princípios básicos, independentemente

da complexidade. Para dificultar a quebra desses códigos, você poderá usar múltiplos
esquemas de encriptação em sequência. Por exemplo, você pode encriptar cada letra com
seu próprio esquema de substituição. Trata-se de uma cifra de Vigenère (vee zhen AIR),
que funciona como múltiplas cifras de César, cada uma com seus próprios caracteres de
deslocamento. Por exemplo, você pode usar a palavra PARTY como chave, que usaria cinco
cifras de César. Sabendo que cada caractere do alfabeto tem um valor de 1 a 26, você pode
calcular o caractere encriptado somando o valor do caractere de texto claro ao valor do
correspondente na chave. Se a soma for maior que 26, basta subtrair 26 para achar o valor
final. Para encriptar a mensagem ATTACK AT DAWN TOMORROW2, você obteria o seguinte:
Texto claro: ATTACKATDAWNTOMORROW

Chave (repetida para casar com o comprimento do texto claro): PARTYPARTYPARTYPARTYPA
Texto cifrado (desloque caracteres usando a chave): PTKTAZAKWYLNKHKDRIHU
Esse processo dá mais segurança. A saída parece muito mais aleatória. Aumentar o tamanho
da chave geralmente aumenta a segurança de uma cifra de substituição.
Em vez de transformar cada letra em um número fixo de posições, você pode aumentar
a complexidade de uma cifra de substituição permitindo que qualquer letra mapeie
exclusivamente qualquer outra. Você pode encontrar esse tipo de cifra, chamada de cifra
de substituição simples, em muitos jornais, como um quebra-cabeça chamado criptograma.
Nesse caso, A pode ser mapeado em qualquer uma das 26 letras, B pode ser mapeado em
2 Atacar ao amanhecer amanhã. (N.T.)
110
qualquer uma das 25 letras restantes, C pode ser mapeado em 24 letras e assim por diante.
Assim, existem (26 fatorial) ou 403.291. 461.126.606.000.000.000.000 chaves possíveis que
você pode utilizar. Mesmo assim, resolver esses quebra-cabeças é um trabalho imediato e
ilustra um ponto importante: nunca se deve confundir complexidade com segurança.
Você precisa fazer três coisas para garantir que uma cifra de substituição permaneça
segura. Primeiro, garanta que a chave seja uma sequência aleatória sem repetição. Segundo,
garanta que seja tão longa quanto a informação encriptada. Terceiro, use-a somente uma
vez. Essa cifra é chamada de cifra de chave única (one-time pad). O primeiro uso dessa
estratégia foi em sistemas computacionais baseados em um projeto de um funcionário da
AT&T, chamado Gilbert Vernam. Uma cifra de Vernam cria um fluxo de bits de zeros e uns,
combinado com o texto claro, usando uma função ou exclusivo. A operação ou exclusivo
será verdadeira quando uma e somente uma das entradas for verdadeira. A função ou
exclusivo, representada por ⊕, tem as seguintes propriedades:
» 0 ⊕ 0 = 0
» 0 ⊕ 1 = 1
» 1 ⊕ 0 = 1
» 1 ⊕ 1 = 0
Observe que isso é equivalente à função não igual. Usando essa abordagem, você pode
combinar um fluxo binário de dados com um fluxo binário de chaves (fluxo de caracteres
de uma chave) para produzir texto cifrado. É assim que hardware ou software usa cifras de
substituição modernas.
Assinaturas digitais e funções hash
Para muitos requisitos de empresas, você deverá entender o uso de assinaturas digitais e
funções de hash e que tipos de cifras utilizar.
Funções de hash
Para garantir que os valores de uma mensagem não tenham mudado (deliberadamente ou
por erro de transmissão), você poderá anexar algum resumo de informação que você possa
verificar por meio de um processo repetitivo. Esse resumo é uma soma de verificação. Por
exemplo, para garantir que uma sequência de dígitos não tenha sido alterada em transmissão,
você poderá anexar a soma de todos os dígitos ao final da mensagem. Se o destinatário
somar os dígitos e chegar a um valor diferente, você poderá presumir que houve um erro de
transmissão e solicitar o reenvio.
111
Cartões de crédito possuem um dígito de hash que valida o número do cartão. O algoritmo
para calcular esse dígito é a fórmula LUHN, baseada no ANSI X4.13. Para calcular se um
número de cartão de crédito é válido, siga estas quatro etapas:
1. começando com o segundo dígito à direita, multiplique cada dígito por dois;
2. se o resultado de qualquer dobro for maior que 10 (por exemplo, 8 + 8 = 16), some os
dígitos desse resultado. Some todos os dígitos dobrados;
3. some todos os outros dígitos, com a exceção do último (a soma de verificação), a

esse total;
4. a diferença entre a soma e o próximo múltiplo de 10 será o dígito de verificação.

Por exemplo, o dígito de hash correto para o número de cartão de crédito 5012 3456
7890 123X é 6.
Um hash é como uma soma de verificação, mas opera de modo que uma mensagem forjada
não resulte no mesmo hash que uma legítima. Hashes geralmente têm um tamanho fixo
e atuam como uma impressão digital para os dados. O resultado é um valor de hash.
Autores de mensagem podem publicar um hash como referência para que destinatários
possam ver se a informação mudou. Publicadores de software normalmente fornecem
valores de hash para que clientes possam verificar a integridade do software que
recebem. Para serem efetivos, os hashes geralmente precisam ser grandes o suficiente
para que a criação de uma mensagem alternativa que combine com o valor de hash
consuma muito tempo.
Assinaturas digitais
Assinaturas digitais não são assinaturas digitalizadas (imagens eletrônicas de assinaturas

feitas à mão), mas vinculam a identidade de uma entidade a uma mensagem ou a uma
informação em particular. Elas não fornecem privacidade ou sigilo, mas garantem a
integridade de uma mensagem e verificam quem a escreveu. Assinaturas digitais exigem
criptografia de chave assimétrica. A Figura 35 mostra uma assinatura digital.
Você pode construir uma assinatura digital com uma chave privativa a partir de um par
de chaves assimétricas, e é preciso assinar um hash da mensagem. Essa combinação
oferece dupla garantia — de que uma mensagem se originou a partir de uma entidade
em particular e de que ninguém alterou o conteúdo. Qualquer pessoa com acesso à
chave pública de um assinante poderá verificar a assinatura digital. Porém, apenas
o detentor da chave privativa poderá criá-la. A Figura 36 mostra como funciona uma
assinatura digital.
112
Figura 35. Uma Assinatura Digital.
Fonte: Kim, Solomon 2014.
Figura 36. Operação de uma assinatura digital.
Rivest-Shamir-Adelman (RSA) e o Algoritmo de Assinatura Digital (DSA — Digital

Signature Algorithm) são os algoritmos mais comumente utilizados de assinatura digital.
A patente sobre o RSA expirou em setembro de 2000. Portanto, ele está em domínio
público. O DSA assina o Algoritmo de Hash Seguro (SHA — Secure Hash Algorithm) de
hash da mensagem. Embora a maioria dos sistemas comerciais utilize RSA, o Padrão de
Assinatura Digital (DSS — Digital Signature Standard), o DSA e o SHA são padrões do
governo dos Estados Unidos e os mais prováveis de aparecer em produtos governamentais.
Segurança de redes sem fio
Com o baixo custo de tecnologia de comunicações de alta largura de banda, redes locais sem
fio (WLANs) agora são uma estratégia viável para casas e escritórios que não desejam ligar
cabos a todos os computadores. Porém, essa conveniência reduz a segurança.
Muitos usuários de redes sem fio instalam sua nova tecnologia em um estilo conectar e funcionar
(plug-and-play). Ou seja, eles abrem a caixa, conectam as peças, ligam e executam os assistentes
113
de instalação. Se funcionar, nunca tocarão no manual. Embora produtos sem fio tenham
segurança embutida, a configuração-padrão geralmente não a ativa. Por quê? Porque a
maioria dos consumidores espera que um produto funcione tão logo seja conectado. Como
resultado, a maioria dos vendedores que oferecem segurança solicita que o cliente a ative.
Muitos clientes nunca se importam com isso, o que cria grandes problemas de segurança.
Segurança de rede sem fio 802.11. Os padrões de redes sem fio 802.11, ou Wi-Fi, surgiram
em 1999. Wi-Fi fornece comunicações sem fio em velocidades de transmissão de 11 Mbps
para 802.11b até mais de 150 Mbps para 802.11n. Os diversos padrões da especificação
802.11 transmitem dados usando a banda de 2,4 GHz ou a de 5 GHz. Diz-se que as faixas
de comunicações de dados nessas larguras de banda têm cerca de 100 metros (mais de 200
metros para 802.11n). Apesar disso, hackers têm usado antenas de alto ganho para aumentar
a recepção para vários quilômetros. Um tipo de competição informal está acontecendo no
mundo inteiro para ver quem pode criar a conexão sem fio 802.11 mais longa. Na última
contagem, a Swedish Space Corporation publicou o recorde com um balão estratosférico
flutuando a uma altura de 29,7 km, que conseguiu conexão com uma estação-base a 310
km de distância.
Os protocolos de rede sem fio 802.11 permitem encriptação por meio de privacidade
equivalente com fio (WEP — Wired Equivalent Privacy) ou do mais recente acesso protegido
Wi-Fi (WPA — Wi-Fi Protected Access). Usuários precisam ter um segredo compartilhado que
sirva de chave para iniciar conexões sem fio seguras. Como a maioria dos pontos de acesso
sem fio (WAPs — Wireless Access Points) geralmente não permite encriptação sem fio como
padrão, a maioria das redes sem fio opera sem nenhuma encriptação. Qualquer atacante
pode monitorar e acessar essas redes abertas. Em 2000, Peter Shipley dirigiu em torno da
área da Baía de São Francisco com um equipamento sem fio portátil e descobriu que cerca
de 85% das redes sem fio não eram encriptadas. Das encriptadas, mais da metade usava a
senha-padrão. Embora cada WAP tenha seu próprio identificador de grupo de serviço (SSID
— Service Set Identifier), o qual um cliente precisa conhecer para ter acesso, hackers possuem
ferramentas como NetStumbler, que mostram os nomes de todos os SSIDs dentro do alcance.
O Windows simplesmente se conecta ao primeiro sinal de rede disponível. Como resultado,
encriptação sem fio é um requisito mínimo para garantir segurança em uma rede sem fio.
Atenção
A lição importante a lembrar é que sinais sem fio não são interrompidos no perímetro de um prédio. Portanto, é
importante ter proteção criptográfica para preservar comunicações sem fio de sua organização.
114
O WEP foi o primeiro protocolo de encriptação sem fio em uso generalizado. Porém, há
algumas sérias limitações. Existem falhas de projeto no protocolo, incluindo algumas de
escalonamento de chave na encriptação RC4. Um hacker que use ferramentas como AirSnort
ou WEPcrack poderá obter a chave de encriptação depois de reunir aproximadamente de
5.000.000 a 10.000.000 pacotes encriptados. Para resolver essas falhas, os padrões atuais e o
hardware suportado também oferecem WAP. Para fornecer a melhor proteção para tráfego de
rede sem fio, sempre use WPA, nunca WEP. Habilite filtragem de endereço MAC, que isola PCs
não reconhecidos. Coloque um firewall entre a LAN sem fio e o restante da rede, de modo que
prováveis atacantes não possam ir muito longe.
Esteganografia
A palavra esteganografia vem do grego e significa “escrita coberta”. Trata-se de um ramo

particular da criptografia que consiste, não em fazer com que uma mensagem seja ininteligível,
mas em camuflá-la, mascarando a sua presença.
A esteganografia não é algo novo. Muitas técnicas são conhecidas há milhares de anos. Na
Grécia Antiga, por exemplo, tabletes de madeira cobertos com cera eram utilizados para
escrita e comunicação – as informações eram escritas na cera, e quando elas não eram mais
necessárias, a cera era derretida, e uma nova camada era colocada sobre a madeira. Para
esconder mensagens, utilizava-se um método que consistia em escrever essas mensagens na
madeira e, uma vez que a madeira fosse coberta por uma camada de cera, não seria possível
saber da existência de tais mensagens. Algumas formas de esteganografia:
» marcação de caracteres: utilização de uma tinta com composto diferente que, ao

ser colocada frente à luz, faz com que os caracteres fiquem de forma diferente,
compondo a mensagem secreta;
» tinta invisível: pode-se utilizar uma tinta invisível para a escrita da mensagem em
cima de outra pré-existente, aonde, somente com produtos químicos poderíamos
obter o conteúdo;
» bits não significativos: a moderna esteganografia utiliza o uso de bits não

significativos que são concatenados a mensagem original e faz uso também de
área não usada.
Por exemplo, utilizando-se a técnica do bit menos significativo em uma imagem JPEG,
pode-se mudar a intensidade de um pixel em no máximo 1%.
Isso faz com que a imagem fique praticamente inalterada, principalmente no que diz
respeito à percepção visual do ser humano (Figura 37).
115
Figura 37. Exemplo de esteganografia por bits não significativos.
Além de imagens, arquivos de áudio também podem ser usados para ocultar mensagens, de
maneira que estas não sejam percebidas por quem estiver ouvindo o som. Outros métodos
usam também arquivos de texto, arquivos HTML e pacotes TCP para esconder informações.
Criptografia + esteganografia
Os dois métodos podem ser combinados para aumento da segurança da informação.

Por exemplo, pode-se criptografar uma mensagem e, em seguida, utilizar a técnica de
esteganografia, trocando-se os bits menos significativos de uma imagem digitalizada pelos
bits da mensagem criptografada, e então anexar a imagem. Se a imagem for interceptada,
primeiro será necessário descobrir a mensagem oculta entre os bits da imagem, e, somente
após isso, poderá ocorrer a tentativa de decriptografia. Outro campo para aplicação dos dois
métodos é na confecção de documentos legais como carteiras de identidade, passaportes,
carteiras de motorista (Figura 38).
Figura 38. Aplicação de criptografia + esteganografia.
116
Sintetizando
Vimos até agora:
» Como a criptografia funciona e como ela se aplica à solução de problemas de empresas.
» Importantes termos criptográficos e princípios de negócios, a aplicação da criptografia a esses princípios e como
identificar ferramentas de segurança que recaem em criptografia.
» Tipos de criptografia e as vantagens e desvantagens de cifras simétrica e assimétrica ligadas à criptoanálise.
» Tipos e emprego das cifras.
» Uso de assinaturas digitais e funções hash.
» Definição da esteganografia e uso combinado à criptografia.
117
Referências
ALBERTIN, A. L. Projetos de tecnologia de informação. Atlas, 2015.
DANTAS, M. Segurança da informação – uma abordagem focada em gestão de riscos. Livro Rápido, Pernambuco,
2011.
FONTES, E. Segurança da informação. Saraiva, 2012.
KIM, D., SOLOMON, G. Fundamentos de segurança de sistemas de informação. LTC, 2014.
KROENKE, D. Sistemas de informação gerenciais. Saraiva, 2012.
LYRA, M. R. Segurança e auditoria em sistemas de informação. 2. ed. Ciência Moderna, 2017.
MANUEL, S. Governança de segurança da informação. Brasport, 2014.
SANTOS, H. M. D. Engenharia da segurança de sistemas de informação. <https://repositorium.sdum.uminho.pt/

bitstream/1822/33671/1/ESSI-Relat.pdf>. Universidade de Minho, 2013.
SILVA, P. T., CARVALHO, H., TORRES, C. B. Segurança dos sistemas de informação. CentroAtlântico.PT, Portugal,
2003.
118

Segurança em Sistemas de Informação: Conceitos Fundamentais

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança em Sistemas de Informação: Conceitos Fundamentais

Enviado por

Direitos autorais:

Formatos disponíveis

CARLA CORRÊA TAVARES DOS REIS

Segurança em Sistema de Informação

Reis, Carla Corrêa Tavares dos

1. Sistemas de informação. 2. Segurança da informação. I. Políticas de

Chamadas para alertar detalhes/tópicos importantes que contribuam para a

Indicado para ressaltar trechos importantes do texto.

Informações complementares para elucidar a construção das sínteses/conclusões

Trecho que busca resumir informações relevantes do conteúdo, facilitando o

Sugestão de estudo complementar

Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

Este livro didático de Segurança de Sistemas de Informação se propõe a apresentar um

» Apresentar a importância da implementação de modelos de segurança para sistemas

» Apresentar os objetivos das normas que regulam a segurança dos sistemas de

» Descrever as técnicas e métodos de controle de acesso aos sistemas.

» Explicar como operações e administração de segurança criam o alicerce para um

» Demonstrar como as auditorias e monitoramentos realizados constantemente

» Mostrar como o gerenciamento de riscos se relaciona com a segurança de dados.

» Fundamentar e apresentar conceitos e técnicas de criptografia, certificação e

Fonte: KIM, D., SOLOMON, G., 2014.

Os componentes do ciberespaço não são automaticamente seguros e incluem cabeamento,

O crescimento da Internet também foi incentivado pelas diferenças de geração. A cultura

Uma guerra de segurança da informação se alastra!

» Apresentar conceitos fundamentais sobre Sistemas de Informação.

» Apresentar as normas brasileiras sobre segurança da informação.

» Mostrar quais são os princípios da segurança de sistemas de informação.

» Fundamentar os sete domínios de uma infraestrutura típica de TI e suas respectivas

» Discutir as fragilidades de uma infraestrutura de TI.

» Detalhar a adoção de uma política de segurança de TI e o uso de padrões na

» Descrever os requisitos da segurança física e lógica de uma rede de computadores

É um tipo especializado de Sistema formado por um conjunto de componentes

Figura 2. Modelo de Sistema de Informação (SI).

Fonte: David, Solomon, 2014

Na figura anterior, observam-se os diversos componentes de um Sistema de Informação

Classificação de sistemas de informação

» os Sistemas de Processamento de Transação – SPT, que atendem ao nível operacional

» os Sistemas de Informações Gerenciais – SIG, que atendem ao nível gerencial;

São exemplos de características desses sistemas:

» manipulação de grandes volumes de dados – a análise de longas séries históricas de

» obter e processar dados de fontes diversas – os SADs necessitam de um grande volume

» flexibilidade de relatórios e apresentações – para representar, de forma condensada,

» análise de simulações por metas – consiste em permitir ao usuário a criação de cenários

» suporte a abordagens de otimização, satisfação e heurística – as abordagens de otimização

A Tecnologia por si só não garante segurança da informação!

Uso das normas

Entendendo a Norma ABNT NBR ISO/IEC 27002

O principal objetivo da Norma é estabelecer um referencial para as organizações

1. política de segurança – descreve a importância e relaciona os principais assuntos que

2. segurança organizacional – aborda a estrutura de uma gerência para a segurança de

3. classificação e controle de ativos de informação – trabalha a classificação, o registro e

4. segurança em pessoas – tem como foco o risco decorrente de atos intencionais ou

5. segurança ambiental e física – aborda a necessidade de definir áreas de circulação

6. gerenciamento das operações e comunicações – aborda as principais áreas que

7. controle de acesso – aborda o controle de acesso a sistemas, a definição de

8. desenvolvimento e manutenção de sistemas – são abordados os requisitos de

9. gestão de incidentes de segurança – incluída na versão 2005, apresenta dois itens:

10. gestão da continuidade do negócio – reforça a necessidade de se ter um plano de

11. conformidade – aborda a necessidade de observar os requisitos legais, tais como a

Entendendo a Norma ABNT NBR ISO/IEC-27001

A Norma ABNT NBR ISO/IEC 27001:2005 relaciona os requisitos mandatários na definição

A abordagem de processo para a gestão da segurança da informação apresentada nesta

» entendimento dos requisitos de segurança da informação de uma organização e da

» implantação e operação de controles para gerenciar os riscos de segurança da informação

» monitoração e análise crítica do desempenho e eficácia do SGSI;