Você está na página 1de 168

SEGURANÇA E

AUDITORIA DE
SISTEMAS

Professora Esp. Adriane Joyce Xavier

GRADUAÇÃO

Unicesumar
Reitor
Wilson de Matos Silva
Vice-Reitor
Wilson de Matos Silva Filho
Pró-Reitor Executivo de EAD
William Victor Kendrick de Matos Silva
Pró-Reitor de Ensino de EAD
Janes Fidélis Tomelin
Presidente da Mantenedora
Cláudio Ferdinandi
NEAD - Núcleo de Educação a Distância
Diretoria Executiva
Chrystiano Mincoff
James Prestes
Tiago Stachon
Diretoria de Graduação
Kátia Coelho
Diretoria de Pós-graduação
Bruno do Val Jorge
Diretoria de Permanência
Leonardo Spaine
Diretoria de Design Educacional
Débora Leite
Head de Curadoria e Inovação
Tania Cristiane Yoshie Fukushima
Gerência de Processos Acadêmicos
Taessa Penha Shiraishi Vieira
Gerência de Curadoria
Carolina Abdalla Normann de Freitas
Gerência de de Contratos e Operações
Jislaine Cristina da Silva
Gerência de Produção de Conteúdo
Diogo Ribeiro Garcia
Gerência de Projetos Especiais
Daniel Fuverki Hey
Supervisora de Projetos Especiais
Yasminn Talyta Tavares Zagonel
Coordenador de Conteúdo
Fabiana de Lima
Design Educacional
C397 CENTRO UNIVERSITÁRIO DE MARINGÁ. Núcleo de Educação a Ana Cláudia Salvadego
Distância; XAVIER, Adriane Joyce.
Iconografia
Segurança e Auditoria de Sistemas. Adriane Joyce Xavier. Amanda Peçanha dos Santos
Reimpressão - 2021. Ana Carolina Martins Prado
Maringá-Pr.: UniCesumar, 2016.
Projeto Gráfico
168 p.
“Graduação - EaD”. Jaime de Marchi Junior
José Jhonny Coelho
1. Segurança. 2. Auditoria. 3. Sistemas EaD. I. Título. Arte Capa
ISBN 978-85-459-0343-7 Arthur Cantareli Silva
Editoração
CDD - 22 ed. 658 José Jhonny Coelho
Qualidade Textual
Hellyery Agda
Ficha catalográfica elaborada pelo bibliotecário Revisão Textual
João Vivaldo de Souza - CRB-8 - 6828
Kaio Vinicius Cardoso Gomes
Impresso por:
Ilustração
Bruno Pardinho
Viver e trabalhar em uma sociedade global é um
grande desafio para todos os cidadãos. A busca
por tecnologia, informação, conhecimento de
qualidade, novas habilidades para liderança e so-
lução de problemas com eficiência tornou-se uma
questão de sobrevivência no mundo do trabalho.
Cada um de nós tem uma grande responsabilida-
de: as escolhas que fizermos por nós e pelos nos-
sos farão grande diferença no futuro.
Com essa visão, o Centro Universitário Cesumar
assume o compromisso de democratizar o conhe-
cimento por meio de alta tecnologia e contribuir
para o futuro dos brasileiros.
No cumprimento de sua missão – “promover a
educação de qualidade nas diferentes áreas do
conhecimento, formando profissionais cidadãos
que contribuam para o desenvolvimento de uma
sociedade justa e solidária” –, o Centro Universi-
tário Cesumar busca a integração do ensino-pes-
quisa-extensão com as demandas institucionais
e sociais; a realização de uma prática acadêmica
que contribua para o desenvolvimento da consci-
ência social e política e, por fim, a democratização
do conhecimento acadêmico com a articulação e
a integração com a sociedade.
Diante disso, o Centro Universitário Cesumar al-
meja ser reconhecido como uma instituição uni-
versitária de referência regional e nacional pela
qualidade e compromisso do corpo docente;
aquisição de competências institucionais para
o desenvolvimento de linhas de pesquisa; con-
solidação da extensão universitária; qualidade
da oferta dos ensinos presencial e a distância;
bem-estar e satisfação da comunidade interna;
qualidade da gestão acadêmica e administrati-
va; compromisso social de inclusão; processos de
cooperação e parceria com o mundo do trabalho,
como também pelo compromisso e relaciona-
mento permanente com os egressos, incentivan-
do a educação continuada.
Seja bem-vindo(a), caro(a) acadêmico(a)! Você está
iniciando um processo de transformação, pois quando
investimos em nossa formação, seja ela pessoal ou
profissional, nos transformamos e, consequentemente,
transformamos também a sociedade na qual estamos
inseridos. De que forma o fazemos? Criando oportu-
nidades e/ou estabelecendo mudanças capazes de
alcançar um nível de desenvolvimento compatível com
os desafios que surgem no mundo contemporâneo.
O Centro Universitário Cesumar mediante o Núcleo de
Educação a Distância, o(a) acompanhará durante todo
este processo, pois conforme Freire (1996): “Os homens
se educam juntos, na transformação do mundo”.
Os materiais produzidos oferecem linguagem dialógica
e encontram-se integrados à proposta pedagógica, con-
tribuindo no processo educacional, complementando
sua formação profissional, desenvolvendo competên-
cias e habilidades, e aplicando conceitos teóricos em
situação de realidade, de maneira a inseri-lo no mercado
de trabalho. Ou seja, estes materiais têm como principal
objetivo “provocar uma aproximação entre você e o
conteúdo”, desta forma possibilita o desenvolvimento
da autonomia em busca dos conhecimentos necessá-
rios para a sua formação pessoal e profissional.
Portanto, nossa distância nesse processo de cresci-
mento e construção do conhecimento deve ser apenas
geográfica. Utilize os diversos recursos pedagógicos
que o Centro Universitário Cesumar lhe possibilita. Ou
seja, acesse regularmente o AVA – Ambiente Virtual de
Aprendizagem, interaja nos fóruns e enquetes, assista
às aulas ao vivo e participe das discussões. Além dis-
so, lembre-se que existe uma equipe de professores
e tutores que se encontra disponível para sanar suas
dúvidas e auxiliá-lo(a) em seu processo de aprendiza-
gem, possibilitando-lhe trilhar com tranquilidade e
segurança sua trajetória acadêmica.
AUTORA

Professora Esp. Adriane Joyce Xavier


Permita-me que eu me apresente. Sou a professora Adriane Joyce Xavier, autora
deste livro. Sou bacharel em Sistemas de Informação pela Faculdade de Apucarana
(FAP) e especialista em Gestão Financeira, Contábil e Auditoria pela INBRAPE/
UNESPAR (Universidade Estadual do Paraná). Trabalho como desenvolvedora
de sistemas utilizando a linguagem de programação Progress na plataforma
OpenEdge. Trabalhei como analista de requisitos em uma empresa desenvolvedora
de sistemas para dispositivos móveis e, como uma das responsáveis pelo setor de
qualidade de uma empresa que desenvolvia sistemas para empresas e indústrias
que desejavam automatizar suas atividades operacionais.
APRESENTAÇÃO

SEGURANÇA E AUDITORIA DE SISTEMAS

SEJA BEM-VINDO(A)!
Caro(a) aluno(a), é com grande prazer que lhe escrevo este livro esperando que ele pos-
sa contribuir com sua futura formação.
Nos dias atuais, a informação é de notória relevância para uma organização e funda-
mental para os negócios, por isso, é importante que ela seja adequadamente protegida.
Com o crescimento da interconectividade entre os ambientes de trabalho, a informa-
ção fica exposta a uma grande variedade de ameaças, com isso, as organizações têm
se preocupado cada vez mais em aumentar a segurança e o controle das informações.
Daí a necessidade da segurança da informação, que consiste na proteção da informação
contra os vários tipos de ameaças, minimizando os riscos relacionados com o negócio.
Para obter a segurança da informação, torna-se necessário um conjunto de controles
adequados, com o intuito de garantir que os objetivos do negócio e de segurança da
organização sejam concretizados. Esses controles devem ser alterados e aperfeiçoados
com o passar do tempo, permitindo que as organizações cuidem e se previnam contra
eventuais riscos causados pela falta de segurança.
Outra forma de controle com a segurança da informação ocorre por meio de um proces-
so de auditoria de sistemas, que busca descobrir as irregularidades em tais departamen-
tos ou nos centros de processamento. A auditoria também identifica os pontos que irão
desagradar a alta administração, para que eles possam ser corrigidos.
Este livro visa elucidar o conceito sobre a importância da segurança e auditoria dos sis-
temas de informações, bem como, destacar modelos e normas que podem ser utilizados
para proteger a informação e os cuidados que se deve ter para desenvolver um software
mais seguro. Os temas que serão abordados são detalhados a seguir.
A unidade I irá tratar sobre o tema Sistemas de Informação. Nesta unidade será explicado
o conceito de informação e sistemas de informação. Explicarei sobre as atividades que
compõem um sistema de informação e seus principais componentes. Também serão de-
talhados os diferentes níveis organizacionais de um sistema de informação e seus tipos.
Na unidade II, o assunto será a segurança da informação, muito importante nos dias atu-
ais devido ao grande aumento dos acessos à internet. Explicarei sobre o conceito de se-
gurança da informação e os pilares que devem ser levados em consideração quando se
deseja realizar a segurança da informação. Também será explicado como as informações
são classificadas; o que são vulnerabilidades e como elas são classificadas; quais são as
ameaças da segurança da informação e os tipos de ameaças existentes; quais os riscos,
incidentes e ataques que existem hoje e será ainda citado alguns dos tipos de ataques
que ameaçam a segurança da informação.
Na unidade III, o tema será a segurança informática e será um complemento do capítulo
II. Nessa unidade abordarei os mecanismos de controles que existem para proteger os
sistemas de informação e equipamentos de informática e também a política de segu-
rança da informação que as organizações devem possuir com suas regras e normas de
conduta, a fim de diminuir as ocorrências de incidentes.
APRESENTAÇÃO

Na unidade IV, irei abordar a Auditoria de Sistemas. Será passado o conceito de audi-
toria e auditoria de sistemas, quais as estratégias que podem ser utilizadas no levan-
tamento de informações da auditoria, quais os tipos de auditorias que existem, as
principais áreas da auditoria interna e quais normas e modelos podem ser utilizados
para auxiliar a auditoria de sistemas.
A unidade V irá tratar sobre o Desenvolvimento de Software Seguro. Nela, será abor-
dada a necessidade de se desenvolver um software com segurança desde o ciclo
de vida inicial de um sistema, é evidente que também devemos tomar o mesmo
cuidado com as alterações em um sistema já existente, conhecer quais as atividades
e processos do ciclo de vida para desenvolvimento de software com segurança e
quais os modelos de maturidade que podem ser utilizados para auxiliar no desen-
volvimento de software seguro.
Espero que você possa fazer bom uso deste material. Tenha uma ótima leitura!

Prof.ª Esp. Adriane Joyce Xavier.


09
SUMÁRIO

UNIDADE I

SISTEMAS DE INFORMAÇÃO

15 Introdução

16 Informação

18 Sistemas de Informação (SI)

35 Considerações Finais

41 Gabarito

UNIDADE II

SEGURANÇA DA INFORMAÇÃO

45 Introdução

46 Segurança da Informação

48 Classificações da Informação 

50 Vulnerabilidades da Informação

54 Ameaças à Segurança da Informação 

58 Risco

60 Incidente

61 Ataques a Segurança da Informação

67 Considerações Finais

72 Gabarito
10
SUMÁRIO

UNIDADE III

SEGURANÇA INFORMÁTICA

75 Introdução

76 Segurança Informática

77 Mecanismos de Segurança da Informação

93 Política de Segurança da Informação

96 Considerações Finais

102 Gabarito

UNIDADE IV

AUDITORIA DE SISTEMAS

105 Introdução

106 Auditoria

107 Auditoria de Sistemas

118 Normas e Ferramentas de Apoio a Auditoria Informática

125 Considerações Finais

132 Gabarito
11
SUMÁRIO

UNIDADE V

DESENVOLVIMENTO DE SOFTWARE SEGURO

135 Introdução

136 Desenvolvimento de Software Seguro

156 Considerações Finais

163 Conclusão

168 Gabarito
Professora Esp. Adriane Joyce Xavier

SISTEMAS DE

I
UNIDADE
INFORMAÇÃO

Objetivos de Aprendizagem
■ Entender o conceito de Informação e Sistemas de Informação.
■ Entender o que é um Sistema de Informação e quais os tipos de
sistemas de informações existentes.
■ Conhecer os sistemas de informação que podem apoiar os processos
de atuação de uma empresa, na tomada de decisões administrativas
e nas estratégias voltadas à vantagem competitiva.

Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■ A Informação
■ Sistemas de Informação
15

INTRODUÇÃO

A informação é um elemento básico para a humanidade desde a sua existên-


cia. Atualmente, a informação consiste em um dos principais patrimônios de
uma organização, pois se trata de um item muito importante para a sobrevivên-
cia das empresas.
A informação viabiliza o sucesso de uma empresa, pois possibilita que através
dela sejam efetuados planejamentos estratégicos e que as atividades operacionais
da empresa sejam realizadas e controladas. Informações que foram adulteradas,
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

que não estejam disponíveis ou que estejam em mãos de pessoas mal-intencio-


nadas ou de concorrentes, podem comprometer significamente o andamento
dos processos institucionais ou a imagem da instituição perante seus clientes.
A Informação pode ser manipulada e visualizada de diversas maneiras, assim,
à medida que a informação circula pelos mais variados ambientes, percorrendo
diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins,
possibilitando que a mesma seja lida, arquivada, modificada, controlada ou até
mesmo apagada, a esse processo damos o nome de Sistemas de informação.
Sistemas de informação são formas utilizadas para manipular dados e gerar
informações, podendo as mesmas serem automatizadas ou não. Desde a inser-
ção do computador como dispositivo que auxilia em variadas atividades, até os
dias atuais, ocorreu uma evolução nos modelos computacionais e nas tecnolo-
gias usadas para manipular, armazenar e apresentar informações. Hoje, muitas
empresas, pequenas ou grandes, usam os sistemas de informação para atingir
importantes objetivos organizacionais, se relacionar melhor com clientes, asse-
gurar a sobrevivência da empresa, promover vantagem competitiva, melhorar a
tomada de decisão e criar novos produtos e serviços.
Neste capítulo estudaremos de forma detalhada o que são sistemas de
informação e como esses sistemas podem ser empregados com sucesso em
um ambiente de negócios.

Introdução
16 UNIDADE I

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock

INFORMAÇÃO

Segundo Beal (2001), informação é o dado modificado da sua forma crua e sem
sentido, permitindo ao gestor uma tomada de decisão assertiva. Chiavenato
(2000), diz que para ser considerada informação, um conjunto de dados precisa
possuir significado, ou seja, um conjunto de dados por si só, não é informação,
só será, se este possuir sentido.
Conforme alerta Beal (2001, p.78), “a informação é um patrimônio, ela agrega
valor à organização”. A partir desse contexto, sendo a informação um bem que
agrega valor a uma empresa ou a um indivíduo, é necessário fazer uso de recur-
sos de TI de maneira apropriada, ou seja, é preciso utilizar ferramentas, sistemas
ou outros meios que façam das informações um diferencial competitivo.
Informação quer dizer dados apresentados em uma forma significativa e útil
para as pessoas. Dados, ao contrário, são sequências de fatos brutos que repre-
sentam eventos que ocorrem nas organizações ou no ambiente físico, antes de
terem sido organizados e arranjados de uma forma que as pessoas possam enten-
dê-los e usá-los.

SISTEMAS DE INFORMAÇÃO
17

Para comparar dados e informação, um exemplo pode ser dado através de


vendas realizadas no caixa de um supermercado. Esses caixas registram milhões
de dados no dia, como o código de barras e quantidade de cada produto. Esses
dados somados podem gerar no fim do dia informações como o total de ven-
das realizadas de um determinado produto, que tipo de marca do produto tem
mais saída, e assim por diante.
Atualmente, tem-se dedicado especial atenção à informação devido a sua
importância para os negócios e para a realização de novos empreendimentos.
Quando se trata de uma boa informação, verdadeiras oportunidades são abertas
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

para quem as possue, o que torna o cenário dos negócios mais dinâmico e acir-
rado na busca por novos mercados, acordos internacionais, poder e qualidade,
dentre outros, o que gera competitividade e transforma a informação no princi-
pal elemento motriz desse ambiente altamente competitivo, requerendo assim,
proteção especial. Em contrapartida, a ausência da informação, ou a informação
de má qualidade, constitui uma grande ameaça e pode levar empresas à extin-
ção. Tudo isso atribui à informação um relevante valor, transformando-a num
ativo essencial aos negócios de uma organização.
■ A informação pode existir de várias formas:
■ Impressa ou escrita em papel.
■ Armazenada eletronicamente.
■ Transmitida pelo correio ou por meios eletrônicos.
■ Mostrada em vídeos.

■ Verbal.

O ato de transferir e pro-


cessar informações ocorre
por meio de um sistema de
informação, mas não neces-
sariamente por um sistema de
TI, como veremos nos próxi-
mos capítulos.

Informação
18 UNIDADE I

SISTEMAS DE INFORMAÇÃO (SI)

Um Sistema de Informação pode ser definido como um conjunto de componentes


inter-relacionados, podendo ser automatizado ou não, que coletam, processam,
armazenam e distribuem informações destinadas a apoiar a tomada de decisões,
a coordenação e o controle de uma organização, auxiliando também os geren-
tes e trabalhadores a analisar problemas, visualizar assuntos complexos e criar
novos produtos.
Um sistema de informação tem um papel fundamental e cada vez maior em

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
todas as organizações de negócios, podendo ter um enorme impacto na estraté-
gia corporativa e no sucesso organizacional.
Os sistemas de informação surgiram antes mesmo da informática. Antes dos
computadores, as organizações se baseavam basicamente em técnicas de arquiva-
mento e recuperação de informação, existia a pessoa responsável em organizar os
dados, registrar, catalogar e recuperá-los quando necessário. Esse método exigia
um grande esforço para manter os dados atualizados e também para acessá-los.
As informações em papel não possibilitavam o cruzamento de informações e
análise de dados, devido a isso, era exigido um grande número de pessoas para
atualizações de determinados processos, o que aumentava a probabilidade de
erros. Com o surgimento da tecnologia da informação, todo esse processo pas-
sou a ser informatizado. “A adoção de TI possibilita às pessoas fazer mais em
menor espaço de tempo, de modo que a eficiência resulte em economia de tempo
que, por sua vez, pode ser reinvestida na eficácia pessoal” (TAPSCOTT, 1997, p.
84). Algumas organizações ainda utilizam o método manual citado, mas como
a maioria das organizações passou a automatizar seus processos, o foco desse
capítulo será sobre os sistemas de informação informatizados.
O Sistema de Informação, tanto manual quanto automatizado, possui 3 ati-
vidades conforme definido na figura 1.
Figura 1 – Atividades de um Sistema de Informação
Sistemas de Informação

Entrada Processamento Saída

Fonte: o autor.

SISTEMAS DE INFORMAÇÃO
19

Entrada: são dados inseridos ou coletados. Exemplo: Nome cliente, ende-


reço, entre outros.
Processamento: converte os dados da entrada em informações mais
significativas.
Saída: transfere as informações processadas às pessoas que as utilizarão. Essas
informações processadas poderão auxiliar o gerente na tomada de decisão
dentro da organização.

Os Sistemas de Informação também requerem um feedback, o qual trata-se da


Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

saída que retorna a determinados membros da organização para avaliar ou cor-


rigir o estágio de entrada.
Um sistema de informação é um sistema composto de pessoas e computa-
dores que processam ou interpretam informação. Um Sistema de Informação
consiste em 6 componentes principais interligados, que dependem um do outro,
e são eles:
■ Recursos de Hardware: são todos os dispositivos físicos e materiais uti-
lizados no processamento das informações. Refere-se às máquinas e
mídias de máquinas, tais como computador, monitor de vídeo, disposi-
tivos de entrada e de saída, dispositivos de armazenagem e dispositivos
de comunicação.
■ Recursos de Software: são programas de computador semelhantes a pro-
gramas de sistemas operacionais, planilhas eletrônicas, programas de
processamento de textos, folhas de pagamentos e procedimentos como
entrada de dados, correção de erros, entre outros.
■ Dados: são fatos que são utilizados por
​​ programas para produzir infor-
mações úteis como descrição de produto, cadastro de cliente, estoque,
entre outros.
■ Recursos de Redes: são mídias de comunicação e apoio de rede, utili-
zados para executar atividades de entrada. Redes de telecomunicações
como a Internet, intranets e extranets tornaram-se essenciais ao sucesso
de operações de todos os tipos de organizações e de seus SI baseados no
computador. Essas redes consistem em computadores, processadores de
comunicações e outros dispositivos interconectados por mídia de comu-
nicação e controlados por software de comunicações.

Sistemas de Informação (SI)


20 UNIDADE I

■ Procedimentos: é um conjunto de instruções e procedimentos, são as


políticas que regem o funcionamento de um sistema de computador.
■ Pessoas: incluem os usuários finais e especialistas em Sistemas de
Informação.

Qualquer sistema de informação específico tem como


objetivo apoiar operações, gestão e tomadas de decisão.
Um sistema de informação é a tecnolo-
gia da informação e comunicação que

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
uma organização utiliza, e também a
maneira como as pessoas interagem
com esta tecnologia em apoio dos pro-
cessos de negócio.
Devido à existência de diferentes interesses,
especialidades e níveis dentro de uma organiza-
ção, são necessários diferentes tipos de Sistemas
de Informação, para que possa dessa forma, aten-
der todos os níveis organizacionais em que atuam. Os
diferentes níveis organizacionais são:
■ Sistemas de Informação em Nível Operacional: esse tipo de sistema dá
suporte aos gerentes operacionais, acompanha atividades e transações da
organização como vendas, compras, depósitos, transação de matéria prima,
entre outros. Fornece informações de fácil acesso, precisas e atualizadas.
■ Sistemas de Informação em Nível de Conhecimento: auxilia a empresa
a integrar novas tecnologias ao negócio e ajuda a controlar o fluxo de
documentos.
■ Sistemas de Informação em Nível Administrativo ou Gerencial: atende
as atividades de monitoração, tomada de decisão, controle e procedimentos
administrativos gerenciais. Tem como característica a produção de relató-
rios periódicos acerca das operações e não de informações instantâneas.
■ Sistemas de Informação em Nível Estratégico: auxilia a gerência a enfren-
tar questões estratégicas e tendências, tanto no ambiente interno quanto
no externo da empresa.

SISTEMAS DE INFORMAÇÃO
21

Para cada nível organizacional citado, existem vários tipos de Sistemas de


Informação que podem ser utilizados nas organizações. Os sistemas foram
classificados de acordo com seus objetivos e tipos de informações que manipu-
lam, mas nada impede que um mesmo Sistema de Informação, encontrado em
alguma organização, esteja classificado em mais de um tipo. No quadro 1 serão
listados os 5 tipos de Sistemas de Informação mais importantes.

Quadro 1 – Nível Operacional x Tipo de Sistemas de Informação

NÍVEL ORGANIZACIONAL TIPO DE SISTEMASDE INFORMAÇÃO


Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Nível Operacional Sistemas de Processamento de Transações (SPT).


Nível de Conhecimento Sistemas de Automação de Escritórios (SAE).
Nível Gerencial Sistemas de Informação Gerenciais (SIG).
Sistemas de Apoio a Decisão (SAD).
Nível Estratégico Sistemas de Informação Executiva (SIE).
Fonte: o autor.

SISTEMAS DE PROCESSAMENTO DE TRANSAÇÕES (SPT).

São sistemas de suporte em nível operacional, utilizados em transações rotinei-


ras, repetitivas e geralmente comuns de negócios, dando apoio à monitoração
e à realização das negociações de uma organização, gerando e armazenando
dados sobre as mesmas.
Os Sistemas de Processamento de Transações são utilizados na automação
de atividades da rotina diária que ocorrem no curso normal dos negócios, são
tarefas repetitivas e transacionais como controle de estoques, cobrança, conta-
bilidade, folha de pagamento, entre outros.
O SPT é o tipo de sistema de informação mais antigo que existe, esse tipo
de sistema deve fornecer respostas rápidas e ser confiável, fornecendo uma base
sólida de operação para que, com base nas informações geradas, a empresa
melhore seus produtos e serviços.

Sistemas de Informação (SI)


22 UNIDADE I

Cada transação do Sistema de Processamento de Transações requer:


■ Entrada e alimentação de dados: processo de coleta de todos os dados
necessários para completar uma ou mais transações. Pode ser executados
de forma manual ou através de equipamentos de coleta como scanners,
dispositivos de ponto de venda, terminais, entre outros.
■ Processamento e armazenamento de dados: processo como execução
de cálculos e outras transformações de dados relacionadas a uma ou mais
transformações empresariais e armazenamento dos dados da transação
em um ou mais bancos de dados. Quando processadas e armazenadas,

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
essas informações podem servir de entrada para outros sistemas como
Sistema de Informação Gerencial e Sistema de Apoio à Decisão.
■ Geração de documentos e relatórios: envolve a saída de registros e rela-
tórios. Podem ser impressos em papel ou exibidos através da tela do
computador.
Com a utilização do Sistema de Processamento de Transações, as empresas não
conseguem mais prezar pela organização de dados sem esse tipo de ferramenta
ao seu alcance. Dentre seus vários objetivos, as organizações esperam obter mais
lucratividade e apoio ao sucesso da organização, através dos seguintes serviços:
Processar os dados gerados pelas transações: capturar, processar e armaze-
nar transações e produzir uma grande variedade de documentos relacionados
às atividades rotineiras da empresa.
Manter alto grau de precisão: consiste na entrada e processamento de dados
sem erros. Antes do início das transações, várias pessoas conferem e veri-
ficam rigorosamente todas as entradas, para assegurar a real situação do
negócio, inibindo erros de processamento.
Assegurar a integridade dos dados e da informação: informações exatas
e atuais antes de serem armazenadas.
Produzir documentos e relatórios em tempo: os sistemas manuais podem
levar dias, semanas e até meses, com o SPT informatizado esse tempo de
resposta foi reduzido. A capacidade de conduzir transações de negócios de
uma forma imediata pode ser muito importante para a operação lucrativa
da organização.
Aumento da eficiência do trabalho: efetuado através de terminais de

SISTEMAS DE INFORMAÇÃO
23

processamento.
Ajuda no fornecimento de mais serviços e serviços melhorados: o SPT
pode ser fundamental no aumento do portfólio das empresas com relação
aos serviços prestados ou no aumento da eficiência dos serviços atualmente
existentes.

Todos esses serviços representam um critério que deve ser definido pela empresa
no seu planejamento estratégico. O uso de Sistemas de Processamento de
Transações adequado e bem planejado potencializa a capacidade das empresas
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

nas mais diversas áreas. Esta potencialidade se reverte em uma vantagem com-
petitiva, centrada principalmente nas seguintes evoluções:
■ Maior qualidade ou produtos melhores.
■ Serviços superiores aos clientes.
■ Melhor agrupamento de informações.
■ Aperfeiçoamento de previsões e planejamento.

Algumas das aplicações dos Sistemas de Processamento de Transações são:


Controle de estoque: controle de produtos armazenados de uma empresa.
Controla a movimentação de entrada e saída dos produtos do estoque.
Logística: responsável em interligar as atividades logísticas de uma empresa.
Responsável pela entrega dos produtos ao menor custo possível. É consti-
tuída por quatro níveis de funcionalidade: transações; controle de gestão;
análise de decisão e planejamento estratégico.
Financeiro: responsável pela gestão de ativos financeiros da empresa, abran-
gendo categorias de processo como Contas a pagar, Contas a receber, Faturas,
Compras, entre outras.
Vendas: a principal característica dessa categoria é obter dados e gerar esta-
tísticas para gerar um melhor planejamento sobre o processo de vendas
da empresa. Dessa maneira, é possível antecipar tendências econômicas e
variações do mercado podendo assim, confrontar dados reais com os pla-
nejamentos, antecipar a decisão, auxiliando deste modo, na melhor medida
a ser tomada.

Sistemas de Informação (SI)


24 UNIDADE I

Compras: o sistema de informação para Compras é relacionado à área de


compras da empresa, podendo ser de produtos ou de serviços terceirizados.
Através dele é possível analisar dados de mercado para um melhor planeja-
mento de compras em longo prazo.

Um Sistema de Informação eficiente pode ter um grande impacto na estratégia


corporativa e no sucesso da organização, podendo beneficiar a organização, os
usuários do sistema de informação e qualquer indivíduo ou grupo que interagir
com o sistema de informação. Dentre os benefícios que as empresas procuram

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
obter através dos sistemas de informação destacam-se:
■ Maior segurança.
■ Vantagens competitivas.
■ Menor incidência de erros.
■ Maior precisão.
■ Produtos de melhor qualidade.
■ Maior eficiência.
■ Maior produtividade.
■ Administração mais eficiente.
■ Custos reduzidos.
■ Maior e melhor controle sobre as operações.
■ Tomadas de decisões gerenciais superiores.
■ Aumento da fidelidade do cliente.

SISTEMAS DE AUTOMAÇÃO DE ESCRITÓRIOS (SAE)

Os Sistemas de Automação de Escritórios (SAE) consistem em um sistema de


nível estratégico de uma organização. Através do SAE é possível reunir dados

SISTEMAS DE INFORMAÇÃO
25

de toda a organização, permitindo que dessa forma, os gerentes possam selecio-


nar e ajustar os dados para os fins necessários.
Automação de escritório é um conceito que envolve o uso de equipamentos
de informática e softwares para criar, coletar, armazenar, manipular e retransmitir
digitalmente informações necessárias para a realização de tarefas e cumprimento
de objetivos em um escritório.
O Sistema de Automação de Escritório permite aos executivos analisar os dados
reunidos de maneira única e padronizada, disponibilizando diversas funções como
processadores de textos, gráficos, agendas eletrônicas, editores de imagens, a pos-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

sibilidade de gerenciamento de diversos tipos de projetos, entre outros.


O Sistema de Automação de Escritório (SAE) auxilia no aumento da produti-
vidade, redução de custos e um resultado de maior qualidade, tendo como foco o
processamento de informações nos escritórios e a automação das atividades que
possibilitam as organizações na busca de informações mais rápidas e confiáveis.
Alguns dos benefícios que o Sistema de Automação de Escritório possui são:
■ Amplia a abrangência de controle da alta administração.
■ Acelera o processo de tomada de decisão.
■ Melhora o desempenho administrativo.

O Sistema de Automação de Escritório (SAEs) ajuda nas atividades de escritório,


tais como preparação e comunicação da correspondência. Exemplos:
■ Processadores de Texto: trata-se de um programa usado para escre-
ver no computador. Com ele é possível criar desde documentos simples
até arquivos profissionais, que são mais complexos, tais como: fax, car-
tas, currículos, ofícios, procurações e apostilas. Um processador de texto
é essencialmente um programa que simula o funcionamento de uma
máquina de escrever, mas com recursos que facilitam e agilizam a pro-
dução, edição e finalização de texto.
■ Planilhas eletrônicas: aplicativo que oferece ferramentas para efetuar cál-
culos através de fórmulas e funções e para a análise desses dados. Algumas
das principais funções das planilhas eletrônicas possibilitam que você
possa armazenar, manipular, calcular e analisar dados tais como números,

Sistemas de Informação (SI)


26 UNIDADE I

textos e fórmulas. Pode acrescentar gráficos diretamente em sua planilha,


elementos gráficos, tais como retângulos, linhas e caixas de texto, entre
outros. Um exemplo de planilha eletrônica é o Excel.
■ Gerenciador de banco de dados: um módulo de um programa que provê
a interface entre os dados de baixo nível armazenados num banco de dados
e os programas de aplicação e as solicitações submetidas ao sistema. É de
vital importância para as empresas. O gerenciador de banco de dados é
responsável pelas seguintes tarefas:
■ Interação com o gerenciamento de arquivos. 

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Cumprimento de integridade: os valores de dados armazenados
num banco de dados precisam satisfazer certos tipos de restrições de
consistência. 
■ Cumprimento de segurança: nem todo usuário do banco de dados
necessita ter acesso a todo o banco de dados, para impor requisitos
de segurança de acesso aos dados.
■ Cópias de reserva (backup) e recuperação (restore): um computador,
como qualquer outro dispositivo mecânico ou elétrico, está sujeito a
falhas.
■ Controle de concorrência: se diversos usuários atualizam o banco de
dados concorrentemente, a consistência dos dados pode não ser mais
preservada. Controlar a interação entre usuários simultâneos é outra
atribuição do gerenciador de banco de dados.
■ Apresentação Gráfica: é um programa que, por meio de slides, apresenta
determinado tema em uma reunião, palestras ou mesmo em cursos, faci-
litando a comunicação.
■ Navegadores da internet: a finalidade elementar de um navegador é per-
mitir a visualização de conteúdos disponíveis na internet e redes internas.
Para isso, basta que seja informado o endereço ao navegador. Devido à
constante necessidade de oferecer mecanismos de segurança na navega-
ção, estabilidade, interatividade e velocidade na exibição de conteúdo, a
escolha de um navegador passou a representar uma diferença significa-
tiva para os usuários.

SISTEMAS DE INFORMAÇÃO
27

Os sistemas de Automação de Escritório exigem uma visão ampla das pessoas,


pois além de saber usar os aplicativos dos escritórios, essas pessoas precisam
saber utilizar o que o aplicativo oferece para criar novas informações.
Após a automação das atividades realizadas nos escritórios, a organização
das informações tornou-se mais rápida e mais confiável. O foco então passou
para a busca e comparação de diversas alternativas para o mesmo problema,
auxiliando o tomador de decisões. Com base nessa necessidade, surgiram os
Sistemas de Apoio à Decisão.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Você sabe a diferença entre Dado, Informação e Conhecimento?


Dado é a informação não tratada. Representa um ou mais significados, que
isoladamente, não podem transmitir uma mensagem ou representar algum
conhecimento.
Informação é um conjunto de dados tratados. É todo o conjunto de dados
devidamente ordenados e organizados de forma a terem significado.
Conhecimento: trata-se de várias informações organizadas de forma lógica e
suficiente para criar um evento e torná-lo possível através do entendimento.
Fonte: o autor.

SISTEMAS DE INFORMAÇÃO GERENCIAIS (SIGS)

Os Sistemas de Informação Gerencial (SIG) são sistemas ou processos que forne-


cem as informações necessárias para gerenciar com eficácia as organizações. Um
SIG gera produtos de informação que apoiam muitas necessidades de tomada de
decisão administrativa e, é o resultado da interação colaborativa entre pessoas,
tecnologias e procedimentos, que ajudam uma organização a atingir suas metas. 

Sistemas de Informação (SI)


28 UNIDADE I

Os sistemas de informações gerenciais estão relacionados às atividades de


gestão, tendo como objetivo fornecer subsídios às diversas áreas funcionais da
organização e oferecer assistência às tomadas de decisões para identificar e cor-
rigir problemas de competência gerencial. Além disso, também auxiliam no
processo de planejamento e controle empresarial, tratando os vários bancos de
dados dos sistemas transacionais.
Um SIG pode incluir um software que auxilia na tomada de decisão, recur-
sos de dados, tais como bancos de dados, o hardware de um sistema de recursos,
sistemas de apoio à decisão, sistemas especialistas, sistemas de informação exe-

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
cutiva, gestão de pessoas, gestão de projetos e todos os processos informatizados
que permitem que a empresa funcione eficientemente. É um sistema que dispo-
nibiliza a informação certa, para a pessoa certa, no lugar certo, na hora certa, da
forma correta e com o custo certo. 
Os SIG’s possuem uma multiplicidade de produtos de informação, que são
apresentados através de relatórios, que ajudam os gerentes com o fornecimento
de dados e informações para a tomada de decisões. Os relatórios oferecidos por
esses sistemas são: 
■ Relatórios programados: estes relatórios são uma forma tradicional de
fornecimento de informações para os gerentes. Exemplos típicos desses
relatórios são os relatórios de vendas diários e semanais ou demonstra-
tivos financeiros mensais. 
■ Relatório de exceção: são casos excepcionais de relatórios nos quais o
gerente pode obter informações específicas. Como exemplo, um gerente
de crédito pode receber um relatório que contém informações apenas
sobre clientes que excedem os limites de crédito. 
■ Informes e respostas por solicitação: este tipo de relatório mostra as
informações sempre que o gerente requisitar. Possibilitam através de suas
estações de trabalho respostas imediatas ou que encontrem e obtenham
respostas imediatas. 
■ Relatórios em pilhas: as informações são empilhadas na estação de tra-
balho em rede do gerente. 

SISTEMAS DE INFORMAÇÃO
29

Todas as funções de gestão, planejamento, organização, direção e controle são


necessárias para o bom desempenho organizacional. Os sistemas de informa-
ção gerenciais são fundamentais para suportar essas funções, especialmente a
de planejamento e controle. 
Os Sistemas de Informação Gerencial são parte integrante das estratégias
empresariais, pois a comunicação e a informação são de grande valor nas orga-
nizações. A qualidade da decisão tomada pelo gerente vai depender da qualidade
e relevância das informações disponíveis. Por isto é muito importante investir
em um SIG para oferecer informações rápidas, precisas e principalmente úteis,
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

que irão garantir uma estruturação de gestão diferenciada, o que resultará em


vantagem competitiva sobre as demais empresas. 

SISTEMAS DE APOIO A DECISÃO (SAD)

Sistemas de Apoio à Decisão (SAD) é um sistema de informação computadori-


zado que apoia as atividades de tomada de decisões organizacionais e de negócios.
Um Sistema de Apoio à Decisão projetado corretamente é um sistema baseado
em software interativo destinado a ajudar os gerentes do nível tático e estraté-
gico de uma organização a compilar informações úteis a partir de dados brutos,
documentos, conhecimento pessoal e/ou modelos de negócios para identificar
e resolver problemas e tomar decisões.
Os SAD são interativos, permitem aos usuários levantar suposições e incluir
novos dados, realizar diferentes perguntas e refinar os rumos das ações a serem
tomadas, constituindo assim o feedback do sistema.
As principais características dos SAD são:
■ Possibilidade de desenvolvimento rápido, com a participação ativa do
usuário em todo o processo.
■ Facilidade para incorporar novas ferramentas de apoio à decisão, novos
aplicativos e novas informações.
■ Flexibilidade na busca e manipulação das informações.

Sistemas de Informação (SI)


30 UNIDADE I

■ Individualização e orientação para a pessoa que toma as decisões, com fle-


xibilidade de adaptação ao estilo pessoal de tomada de decisão do usuário.
■ Real pertinência ao processo de tomada de decisão, ajudando o usuário
a decidir através de subsídios relevantes.
■ Usabilidade, ou seja, facilidade para que o usuário o entenda, use e modi-
fique de forma interativa.

Os Sistemas de Apoio à Decisão também devem permitir várias decisões inde-


pendentes ou sequenciais, como:

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Abranger todas as fases do processo de decisão: identificação, desenho,
seleção e implementação.
■ Suportar uma variedade de processos de tomada de decisão.
■ Devem ser adaptativos ao longo do tempo e devem ser flexíveis, para que
os seus utilizadores possam acrescentar, eliminar ou mudar certos ele-
mentos chave.
■ Ser de fácil utilização, com fortes capacidades gráficas e com uma inter-
face utilizador-máquina que possa aumentar a sua eficiência.
■ Melhorar a eficiência das suas decisões (no nível da qualidade, tempo,
exatidão) em vez de se preocupar com o custo dessas decisões.

Existem algumas vantagens e desvantagens de um SAD, conforme mostra o


quadro 2:

SISTEMAS DE INFORMAÇÃO
31

Quadro 2 – Vantagens e Desvantagens do Sistema de Apoio à Decisão

VANTAGENS DESVANTAGENS
• Rapidez. • Problema de ação.
• Ultrapassar limites cognitivos (através do • Orientação para escolha.
computador). • Suposição da relevância da res-
• Redução de custos. posta do sistema.
• Qualidade (obtenção do valor ótimo mais • Transferência de poder ao siste-
próximo dos nossos objetivos). ma que não é intencional.
• Decisões mais eficazes. • É mais difícil atribuir responsabi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

• Decisões mais eficientes. lidades.


• Melhor comunicação entre os decisores.
• Melhor utilização do processo de aprendi-
zagem.
Fonte: o autor.

Esse sistema dá apoio e assistência em todos os aspectos da tomada de decisões


sobre um problema específico.

SISTEMAS DE INFORMAÇÃO EXECUTIVA (SIE)

Sistemas de Informação Executiva (SIE) são sistemas que combinam muitas


características dos sistemas de informação gerencial e dos sistemas de apoio
à decisão e foram desenvolvidos com o objetivo de atender às necessidades de
informações estratégicas da alta administração. Neste sistema, a informação é
apresentada segundo as preferências dos executivos, as quais enfatizam o uso
de uma interface gráfica com o usuário e exibições gráficas, que possam ser per-
sonalizadas de acordo com as preferências de informação dos executivos que o
utilizam. A ênfase do sistema como um todo é a interface fácil de usar e a inte-
gração com uma variedade de fontes de dados.
Segundo Pozzebon e Freitas (1996, p. 29), o SIE “[...] é uma solução em ter-
mos de informática que disponibiliza informações corporativas e estratégicas
para os decisores de uma organização, de forma a otimizar sua habilidade para
tomar decisões de negócios importantes.”.

Sistemas de Informação (SI)


32 UNIDADE I

O sistema deve ser criado de maneira que sua operação seja intuitiva e dê
legibilidade e compreensão dos resultados de forma instantânea, pois os execu-
tivos que tomam decisões estratégicas não dispõem do tempo necessário para
realizar um treinamento em sistemas desenvolvidos tradicionalmente para usu-
ários de escalões mais baixos.
Este tipo de sistema de informação tem como objetivo primordial ampliar
as possibilidades de alternativas para problemas organizacionais, assim como
permitir a exploração das informações disponíveis que possibilitem ao gestor
traçar novos rumos e comportar-se de maneira proativa face ao ambiente em

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
que se encontra.
Um Sistema de Informação Executiva possui as seguintes características:
■ Destinam-se a atender às necessidades de informação dos executivos.
■ Possuem apresentação de dados através de recursos gráficos de alta
qualidade.
■ Recuperam informações de forma rápida para a tomada de decisão.
■ Oferecem facilidade de uso, intuitivo, sem necessidade de treinamento
específico em informática.
■ São desenvolvidos de modo a se enquadrarem na cultura da empresa e
no estilo de tomada de decisão de cada executivo.
■ Filtram, resumem, acompanham e controlam dados ligados aos indica-
dores de desempenho dos fatores críticos de sucesso.
■ Utilizam informações do ambiente externo (concorrentes, clientes, for-
necedores, indústrias, governo, tendências de mercado).
■ Proporcionam acesso a informações detalhadas subjacentes às telas de
sumarização organizadas numa estrutura top-down.

Para que as organizações continuem competitivas, as informações são neces-


sárias para apoiar decisões e, através dos Sistemas de Informação Executiva,
grandes quantidades de informação são apresentadas aos executivos de forma
compacta e manejável.

SISTEMAS DE INFORMAÇÃO
33

Um SIE é bastante interativo, permitindo ao usuário obter relatórios que


indiquem situações fora dos parâmetros estipulados pelos planos da empresa,
além disso, permite que o executivo antecipe situações que alterem o panorama
de negócios em que a organização atua.
Algumas pessoas se confundem sobre quando utilizar e quem são as pessoas
que devem utilizar os SIE, SAD e o SIG. No quadro 3 consta um comparativo
explicando sobre as diferenças que esses tipos de Sistemas de Informação possuem.

Quadro 3 – Comparativo entre modelos SIE, SAD e SIG


Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

DIMENSÃO SIE SAD SIG


Foco Acesso aos status Análise e apoio à Processamento de
indicadores de decisão informações
desempenho
Usuário Executivos Gerentes interme- Gerentes de nível
típico diários e analistas médio
Objetivo Conveniência Eficácia Eficiência
Aplicação Avaliação de de- Tomada de decisão Controle de pro-
sempenho, acom- operacional dução, projeção de
panhamento de vendas, análise
fatores críticos de de custos, etc.
sucesso
Apoio Indireto, problemas Apoio direto Direto
oferecido à de alto nível e não ou indireto
decisão estruturados
Banco Especial Especial Da empresa
de dados
Tipo de Operações internas, Informação de Relatório das ope-
informação tópicos críticos, apoio para situa- rações internas,
informações exter- ções específicas fluxo estruturado
nas, exceções
Uso principal Acompanhamento Planejamento, Controle
e controle organização e
controle

Sistemas de Informação (SI)


34 UNIDADE I

DIMENSÃO SIE SAD SIG


Adaptação Adaptável ao estilo Permite recursos de Normalmente
ao usuário decisório do exe- simulação, julga- nenhuma
cutivo mento e escolha de
estilos de diálogos
Recursos grá- Essencial Parte integrada de Desejável
ficos muitos SAD
Facilidadecon- Essencial Essencial Desejável
versacional
Tratamento das Filtra e resume Utiliza informações Sumariza e relata

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
informações informações, apre- geradas pelo SIG informações para
sentando exceções ou SIE como input serem tratadas
e tópicos essenciais (entrada) pelos usuários
Detalhamento Acesso instantâneo Podem ser progra- Inflexibilidade dos
de informações aos detalhes de mados relatórios
qualquer resumo
Banco de Pode ser Essência do sistema Disponível, mas
modelos acrescentado não gerenciável
Desenvolvi- Especialista em Usuários, com trei- Especialistas em
mento sistemas namento oferecido sistemas
pelos especialistas
Fonte: Turban e Schaeffer (1991, p. 353).

Os executivos esperam que a informática traga de fato o que precisam de


modo operacionalmente simples e intuitivo, sem a necessidade de treina-
mento especial.
(Furlan, Ivo e Amaral).

SISTEMAS DE INFORMAÇÃO
35

CONSIDERAÇÕES FINAIS

Nessa unidade, ponderamos que com o surgimento da informática, algumas


organizações mudaram em seu aspecto estrutural, funcional, comportamental
e de desempenho e que com isso, as organizações passaram a valorizar um ele-
mento que é primordial para sua sobrevivência, a informação.
Nesse capítulo, estudamos também o significado da informação e como ela
é importante para a sobrevivência de uma organização. Sem a informação não é
possível para o gestor tomar decisões que poderão garantir o futuro da empresa.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Através da informação, as organizações se tornaram cada vez mais competiti-


vas, organizadas e aptas a responder às mudanças exigidas pelo cenário mundial.
Com isso, os sistemas de informação também foram evoluindo de acordo com as
necessidades organizacionais, antes o processo era todo feito de forma manual
e levava dias para se obter uma informação desejada, hoje com a automatiza-
ção dos sistemas de informação, é possível obter as informações desejadas em
tempo real, possibilitando com isso, a tomar as decisões de forma mais rápida
com o mínimo de erro possível.
Foram apresentados nesse capítulo alguns tipos de sistemas de informação
que são mais utilizados pelas empresas, porém, existem vários outros tipos de
sistemas de informação que podem ser utilizados pela organização, de acordo
com a necessidade de cada uma.
Com o surgimento da informatização, devemos tomar várias precauções
para que a informação das empresas não vá parar em mãos erradas ou possa ser
utilizada por outra pessoa de forma que irá prejudicá-la e a seus clientes e forne-
cedores. Devido a isso, existem várias precauções que devem ser tomadas para
garantir a segurança das informações, conforme veremos nos próximos capítulos.

Considerações Finais
36

1. Proporciona benefícios específicos aos gerentes de todos os níveis da organiza-


ção porque os capacita a recuperar, manipular e exibir informações de bancos
de dados integrados para tomar decisões específicas. Essa aplicação do uso da
tecnologia da informação é conhecida como sistema de:
a. Automação de Escritório.
b. Registro de Informações.
c. Informações Executivas.
d. Processamento de Transações.
e. Apoio à decisão.

2. O que pode ser definido tecnicamente como um conjunto de componentes in-


ter-relacionados que coletam, processam, armazenam e distribuem informações
destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma
organização?
a. Tecnologia da informação.
b. Informação.
c. Sistema de informação.
d. Telecomunicações.
e. Processamento de dados.

3. Assinale a alternativa que descreve ordenadamente as funções de um sistema


de informação.
a. Armazenamento, entrada, saída.
b. Entrada, saída, transmissão.
c. Entrada, processamento, saída.
d. Entrada, armazenamento, transmissão.
e. Armazenamento, processamento, saída.

4. Sobre os objetivos organizacionais pelos quais as empresas investem em siste-


mas de informação. Observe as afirmações abaixo:
I. Atingir a excelência operacional (produtividade, eficiência e agilidade).
II. Desenvolver novos produtos e serviços.
37

III. Assegurar a sobrevivência.


IV. Melhorar sua relação com os fornecedores.
V. Promover vantagem competitiva.
Podemos afirmar que:
a. Somente a alternativa I está correta.
b. Somente a alternativa I e II estão corretas.
c. Somente a alternativa I, III e V estão corretas.
d. Somente a altenativa I, II, III e V estão corretas.
e. Todas as alternativas estão corretas.

5. Quais são as três dimensões dos sistemas de informação?


a. Tecnológica, administrativa e informativa.
b. Organizacional, humana e tecnológica.
c. Operacional, organizacional e administrativa.
d. Comunicativa, administrativa e humana.
e. Humana, administrativa e comunicativa.

6. Os _________ são sistemas ou processos que fornecem as informações neces-


sárias para gerenciar com eficácia as organizações, gerando informações que
apoiam na tomada de decisão administrativa. Preencha a lacuna.
a. Sistemas de Informação Executiva (SIE).
b. Sistemas de Apoio à Decisão (SAD).
c. Sistemas de Informação Gerencial (SIG).
d. Sistemas de Automação de Escritório (SAE).
e. Sistemas de Processamento de Transações (SPT).
MATERIAL COMPLEMENTAR

Sistemas de Informação e as decisões


gerenciais na era da Internet
James A. O’Brien
Editora: Saraiva
Sinopse: a obra fornece um conteúdo muito mais abrangente do que os
textos tradicionais, abordando os diversos temas com exemplos, casos
reais e inúmeros exercícios. O objetivo é permitir aos leitores em geral que
compreendam, utilizem e gerenciem a tecnologia da informação para
revitalização e aperfeiçoamento dos processos de tomada de decisão e empresariais como um
todo, conquistando vantagem competitiva.
39

O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NO AMBIENTE DE NEGÓCIOS.

Para Laudon e Laudon (2001) Tecnologia da Estudos feitos de algumas décadas para
Informação se restringe somente aos aspec- cá, provou que as organizações que inves-
tos técnicos como hardware e software. tiram em tecnologia, aumentaram seus
Laurindo (2002) por sua vez, considera que dados financeiros e aumentaram sua com-
o sucesso da gestão da área de Tecnologia petitividade. A tecnologia da informação
da Informação, desenvolvimento, instala- proporciona a oportunidade de analisar
ção e operação de computadores e ainda dados específicos, comunicações rápidas
sistemas de informação, não dependem e aquisição de inteligência de mercado.
somente da eficiência dos equipamen- A TI também fornece muitas ferramentas
tos e softwares, obtida pelos analistas e que podem resolver problemas complexos,
engenheiros de projetos de tecnologia, ajuda a empresa a melhorar os processos
mas dependem também da eficácia que de negócios, auxiliar no planejamento
compatibiliza os objetivos dos sistemas de futuro nas organizações, a diminuir e o
informação e do uso dos computadores às mais importante, garante que aumentam
necessidades da organização e dos usuários o crescimento das receitas, mantendo uma
finais. A eficácia da Tecnologia da Informa- vantagem competitiva no mercado.
ção depende da empresa e de sua estrutura
organizacional, podendo inspirar na pró- Pode-se afirmar que a busca de vantagens
pria mudança estratégica do negócio. competitivas é o principal motivo pelo qual
as empresas utilizam a TI. Desde o início de
A inovação é o grande caminho para o sua utilização, buscava-se obter essa van-
sucesso na era digital. O caminho da ino- tagem através da redução de custos por
vação nos negócios significa fazer algo meio da automação e aumento da efici-
diferente, mais inteligente, ou melhor, que ência de processos. Em seguida, buscou-se
vai fazer uma diferença positiva em termos a melhoria da qualidade das informações
de valor, qualidade ou produtividade, utili- disponíveis para os gerentes médios, de
zando comprovadas tecnologias do mundo. maneira que pudessem controlar melhor
A tecnologia da informação (TI) mudou as operações. Na etapa seguinte, busca-
drasticamente a vida dos indivíduos e orga- va-se utilizar a TI para gerar diferenciação
nizações. Atualmente compras on-line, competitiva, como a criação de barrei-
marketing digital, redes sociais, comunica- ras de entrada ou elevação dos custos de
ção digital e computação em nuvem, são substituição por meio dos então chama-
os melhores exemplos de mudanças que dos sistemas estratégicos. A redução de
surgiram com a tecnologia da informação. custos, a melhoria no controle dos proces-
sos e a utilização de sistemas estratégicos
O sucesso de qualquer negócio depende estão diretamente ligadas à busca pela
de alguns fatores, por isso, é relevante que melhoria da competitividade da empresa.
seja efetuada uma análise precisa, para que Mais recentemente, a integração das ativi-
se possa escolher a tecnologia certa para o dades da empresa por meio da chamada
sucesso da organização. computação em rede busca melhorias
40

na competitividade, beneficiando-se da tal. As empresas têm de suportar um custo


melhor coordenação entre as diversas ati- razoável para alcançar esse sucesso, por-
vidades da empresa. que o uso de uma abordagem inovadora
na estratégia de negócios, empregando
No cenário atual no qual a globalização, o profissionais de TI altamente treinados e
aumento da competitividade e a interliga- tomar decisões certas no momento certo
ção de clientes e fornecedores em cadeias são o pré-requisito do sucesso do negócio.
de suprimento são preponderantes, a uti- Como soluções de TI continuam a aumen-
lização de Tecnologia da Informação pode tar a produtividade, eficiência e eficácia das
ser considerada como fator de sobrevivên- operações de negócios e comunicação, as
cia da organização. empresas continuarão a confiar em Tec-
nologia da Informação para seu sucesso.
Torna-se difícil alcançar o sucesso comercial
de longo prazo, sem alavancar os benefícios
da tecnologia da informação na era digi- Fonte: Borges (2005, on-line)1.
41
REFERÊNCIAS
GABARITO

1. E.
2. C.
3. C.
4. D.
5. B.
6. C.
Professora Esp. Adriane Joyce Xavier

SEGURANÇA

II
UNIDADE
DA INFORMAÇÃO

Objetivos de Aprendizagem
■ Entender o conceito de Segurança de Informação.
■ Entender como as informações são classificadas para que possamos
analisar o grau de sua importância para a organização.
■ Entender o que é uma ameaça e quais são as vulnerabilidades da
Segurança da Informação.
■ Conhecer os riscos que podem ocorrer na segurança da informação e
entender o que significa um incidente.

Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■ Segurança da Informação
■ Classificação da Informação
■ Vulnerabilidades da Informação
■ Ameaças à Segurança da Informação
■ Risco
■ Incidente
■ Ataques a Segurança da Informação
45

INTRODUÇÃO

Conforme estudamos no capítulo anterior, o mundo moderno tem dedicado


especial atenção à informação, devido à sua importância para a manutenção dos
negócios e a realização de novos empreendimentos. A boa informação abre ver-
dadeiras oportunidades para quem a possui, o que torna o cenário dos negócios
mais dinâmico e acirrado em busca de novos mercados, acordos internacionais,
poder e qualidade, dentre outros, e isso gera a competitividade e transforma a
informação no principal elemento motriz desse ambiente altamente competi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

tivo, que requer, assim, proteção especial. Tudo isso atribui à informação um
importante valor, transformando-a num ativo essencial aos negócios de uma
organização, necessitando ser protegida.
Vale ressaltar que, atualmente, a grande maioria das informações disponíveis
nas organizações encontra-se armazenadas e são trocadas entre os mais varia-
dos sistemas automatizados. Dessa forma, por inúmeras vezes, decisões e ações
tomadas decorrem das informações manipuladas por esses sistemas. Dentro
deste contexto, toda e qualquer informação deve ser correta, precisa e estar dis-
ponível, a fim de ser armazenada, recuperada, manipulada ou processada, além
de poder ser trocada de forma segura e confiável. Por esta razão, a segurança
da informação tem sido uma questão de elevada prioridade nas organizações.
É possível inviabilizar a continuidade de uma instituição se não for dada a
devida atenção à segurança de suas informações. Com a chegada dos computa-
dores pessoais e das redes de computadores, que conectam o mundo inteiro, os
aspectos de segurança atingiram tamanha complexidade que há a necessidade de
desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados.
Para proteger a informação, a empresa precisa ter um processo organiza-
cional de segurança da informação, que tem por objetivo, permitir e possibilitar
que a organização funcione adequadamente, ao depender da informação e dos
recursos de informação.

Introdução
46 UNIDADE II

SEGURANÇA DA INFORMAÇÃO

Conforme a norma NBR ISO/IEC 27002, Segurança da Informação é a proteção


da informação quanto a vários tipos de ameaças, de modo a garantir a continui-
dade do negócio, minimizar o risco para o negócio, maximizar o retorno sobre
o investimento e as oportunidades de negócio.
A segurança da informação diz respeito à pro-
teção de determinados dados, com a intenção
de preservar seus respectivos valores para uma

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
organização ou um indivíduo. Compreende um
conjunto de medidas que buscam proteger e pre-
servar informações e sistemas de informações,
assegurando-lhes a confidencialidade, integridade
e a disponibilidade. Alguns autores ainda incluem
outros aspectos de segurança como o não repúdio e a
autenticidade. Esses elementos constituem os pilares da
segurança da informação (Figura 1) que devem ser leva-
dos em consideração, pois toda ação que venha a comprometer qualquer uma
dessas qualidades estará atentando contra a sua segurança.

Segurança da
Informação

Integridade Confidencialidade

Autencidade Disponibilidade

Não Repúdio

Figura 1. 5 Pilares que compõem a Segurança da Informação


Fonte: o autor.

SEGURANÇA DA INFORMAÇÃO
47

■ Confidencialidade: informação que diz respeito ao direito de acesso.


Ocorre a quebra da confidencialidade da informação ao se permitir que
pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da con-
fidencialidade é a perda do segredo da informação. Medidas de segurança
devem garantir que a informação esteja acessível apenas para quem tem
permissão de acesso, evitando assim, revelação não autorizada.
■ Integridade: garantir a integridade é permitir que a informação não
seja modificada, alterada ou destruída sem autorização, que ela seja legí-
tima e permaneça consistente. Ocorre a quebra da integridade quando
a informação é corrompida, falsificada, roubada ou destruída. Medidas
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

de segurança devem garantir que a informação seja alterada somente por


pessoas e/ou ativos associados autorizados e em situações que efetiva-
mente demandem a alteração legítima.
■ Disponibilidade: acesso aos serviços do sistema/máquina para usuários
ou entidades autorizadas. É a garantia de que os usuários autorizados
obtenham acesso à informação e aos ativos correspondentes sempre que
necessário. Ocorre a quebra da disponibilidade quando a informação não
está disponível para ser utilizada, ou seja, ao alcance de seus usuários e
destinatários, não podendo ser acessada no momento em que for neces-
sário utilizá-la. Medidas de segurança devem garantir que a informação
esteja disponível, sempre que necessário, aos usuários e/ou sistemas asso-
ciados que tenham direito de acesso a ela.
■ Autenticidade: diz respeito à certeza da origem da informação. Medidas
de segurança devem garantir que a informação provém da fonte anun-
ciada e que não foi alvo de mutação ao longo de sua transmissão.
■ Não Repúdio: diz respeito à garantia de que o autor de determinada ação
não possa negar tal ação. Medidas de segurança devem garantir meios
que identifique inequivocamente o autor de uma ação.

A preservação da confidencialidade, integridade e disponibilidade da informação


utilizada nos sistemas de informação requer medidas de segurança, que por vezes,
são também utilizadas como forma de garantir a autenticidade e o não repúdio.
Todas estas medidas, independentemente do seu objetivo, necessitam ser implemen-
tadas antes do incidente ocorrer. As medidas de segurança podem ser classificadas,
em função da maneira como abordam as ameaças, em duas grandes categorias:

Segurança da Informação
48 UNIDADE II

■ Prevenção: é o conjunto das medidas que buscam reduzir a probabilidade


de concretização das ameaças existentes. O efeito destas medidas extin-
gue-se quando uma ameaça se transforma num incidente.
■ Proteção: é o conjunto das medidas que buscam dotar os sistemas de infor-
mação com capacidade de inspeção, detecção, reação e reflexo, permitindo
reduzir e limitar o impacto das ameaças quando estas se concretizam.
Naturalmente, estas medidas só atuam quando ocorre um incidente.

Um Programa de Segurança bem estruturado deverá reduzir as vulnerabilida-


des dos sistemas de informação e fazer evoluir as suas capacidades de inspeção,

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
detecção, reação e reflexo, assentando num conjunto universal de princípios que
garanta o seu equilíbrio e eficiência.

CLASSIFICAÇÕES DA INFORMAÇÃO

A classificação da informação contribui para a manutenção das principais carac-


terísticas da informação (confidencialidade, integridade e disponibilidade). A
norma NBR ISO 27002 não estabelece classificação para as informações, ape-
nas recomenda que a informação seja classificada considerando-se o seu valor,
requisitos legais, sensibilidade e criticidade para a organização.
A classificação das informações propostas por Beal (2005), para atender aos
requisitos de Confidencialidade, disponibilidade, integridade e autenticidade,
foram definidas da seguinte forma:
■ Confidencialidade: para os requisitos de confidencialidade são:
■ Confidencial: toda informação cuja divulgação para pessoas não auto-
rizadas pode causar danos graves à organização.
■ Reservada: informações que no interesse da organização devem ser de
conhecimento restrito e cuja revelação não autorizada pode frustrar o
alcance de objetivos e metas.
■ Pública: informações de livre acesso.

SEGURANÇA DA INFORMAÇÃO
49

■ Disponibilidade: orienta que a informação deve ser classificada de acordo


com o impacto que a sua falta pode provocar para a empresa, podendo
ser estabelecidas categorias para o tempo de recuperação (de minutos a
semanas). Exemplifica, classificando-as por tempo de recuperação em:
curto, 18 médio, sem exigência e com exigência (sazonalidade).
■ Integridade: classifica as informações em alta, média e baixa exigência
de integridade.
■ Autenticidade: classifica-as quanto à exigência da verificação da
autenticidade ou não, que podem ser, por exemplo, informações que
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

devem ter a sua procedência confirmada antes da utilização, como


no caso de um pedido de criação de senha de acesso a um sistema
de informação.

Outra classificação que pode ser feita é com relação ao grau de importância dos
dados para os principais processos de negócios e o custo para a sua recupera-
ção no caso da ocorrência de um evento ou desastre. Esses dados podem ser
classificados em:
■ Crítico: dados ou documentos que devem ser mantidos por razões legais,
para uso nos processo-chaves dos negócios, ou para uma mínima restau-
ração aceitável nos níveis de trabalho em um evento ou desastre.
■ Vital: dados ou documentos que devem ser mantidos para uso nos proces-
sos normais, e que representam um investimento substancial de recursos
da companhia, que podem dificultar ou impossibilitar a sua recupera-
ção, mas que podem não ser necessários numa situação de recuperação
de desastre. Informações que necessitam de sigilo especial podem ser
incluídas nessa categoria.
■ Sensível: dados ou documentos que devem ser necessários nas ope-
rações normais, mas para os quais existem fornecimentos alternativos
disponíveis em um evento de perda. Dados que podem ser reconstruí-
dos rapidamente, por completo, mas que possuem algum custo, podem
ser classificados nessa categoria.
■ Não crítico: dados ou documentos que podem ser reconstruídos facil-
mente com custo mínimo, ou cópias de dados críticos, vitais e sensíveis,
que não necessitem de pré-requisitos de proteção.

Classificações da Informação
50 UNIDADE II

Outro esquema de classificação das informações pode ser feito considerando-


-se os níveis estratégico, tático e operacional da empresa. Essa opção poderia
considerar, por exemplo, que as informações do nível estratégico sejam classi-
ficadas como confidenciais (críticas ou vitais), as do nível tático como restritas
(sensíveis), e as do nível operacional como sensível (algumas) e públicas ou
ostensivas (não críticas).
Como visto, a classificação tende a variar de organização para organização,
sejam elas públicas ou privadas e a diferença está no critério a ser adotado. Em
geral, a classificação da informação objetiva assegura um nível adequado de pro-

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
teção, e o importante é que seja feita uma classificação que objetive preservar
os requisitos fundamentais estabelecidos pela organização para a segurança das
informações durante o seu ciclo de vida.

VULNERABILIDADES DA INFORMAÇÃO

Vulnerabilidades são fragilidades que de alguma forma podem vir a pro-


vocar danos. A norma NBR ISO/IEC 27002 define a vulnerabilidade como
uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaças.
Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser
explorada por uma ameaça para concretizar um ataque.
Como verificado, as vulnerabilidades estão relacionadas diretamente com
as fragilidades. Essas fragilidades podem estar nos processos, políticas, equipa-
mentos e nos recursos humanos. Por si só, elas não provocam incidentes, pois
são elementos passivos, necessitando para tanto de um agente causador ou de
condição favorável, já que se trata de ameaças.
Hoje em dia, a internet é um dos principais pontos de invasão, o que demons-
tra que essa tecnologia tem contribuído para o aumento das vulnerabilidades.
Outro ponto que desperta a atenção é que, apesar da evolução da segurança da

SEGURANÇA DA INFORMAÇÃO
51

informação, os ataques ainda permanecem em patamar preocupante, os vírus


permanecem como a principal fonte de grandes perdas financeiras, seguido do
acesso não autorizado.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

©shutterstock

Outro ponto de vulnerabilidade tem relação com os funcionários e prestadores


de serviço. Sabemos que a fuga das informações e a sua exposição involuntária
ocorrem em momentos simples do dia a dia da empresa, o que torna os recur-
sos humanos uma das maiores preocupações para a implementação de políticas
e treinamentos voltados para a proteção das informações. Tudo isso demons-
tra o quanto existe de vulnerabilidade no ambiente de negócios, bem como o
tamanho da preocupação dos especialistas em segurança da informação com o
crescimento da tecnologia. É certo que ela torna a vida mais prática e as informa-
ções mais acessíveis, proporcionando conforto, economia de tempo e segurança,
mas, essa aparente segurança não é motivo de tranquilidade, pois a ausência
de uma cultura da segurança das informações cria um ambiente vulnerável às
informações, pois os mesmos benefícios que a tecnologia oferece, são também
utilizados para a prática de ações danosas às empresas, como visto nos argu-
mentos apresentados acima.

Vulnerabilidades da Informação
52 UNIDADE II

A origem das vulnerabilidades pode advir de vários aspectos como, instalações


físicas desprotegidas contra incêndio, inundações e desastres naturais, material
inadequado empregado nas construções, ausência de políticas de segurança para
RH, funcionários sem treinamento e insatisfeitos nos locais de trabalho, ausên-
cia de procedimentos de controle de acesso e de utilização de equipamentos por
pessoal contratado, equipamentos obsoletos, sem manutenção e sem restrições
para sua utilização, software sem patch de atualização e sem licença de funcio-
namento, entre outros.
Para uma melhor compreensão das vulnerabilidades, podemos classificá-las

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
como:
■ Naturais: estão relacionadas com as condições da natureza ou do meio
ambiente que podem colocar em risco as informações. Podem ser:
locais sujeitos a incêndios em determinado período do ano, locais
próximos a rios propensos a inundações, terremotos, maremotos,
furacões, entre outros.
■ Organizacionais: diz respeito a políticas, planos e procedimentos, e a tudo
mais que possa constituir a infraestrutura de controles da organização e
que não seja enquadrado em outras classificações. Podem ser: ausência
de políticas de segurança e treinamento, falhas ou ausência de processos,
procedimentos e rotinas, falta de planos de contingência, recuperação de
desastres e de continuidade, entre outros.
■ Física: diz respeito aos ambientes em que estão sendo processadas ou
gerenciadas as informações. Podem ser: instalações inadequadas, ausên-
cia de recursos para combate a incêndio, disposição desordenada dos
cabos de energia e de rede, portas destrancadas, acesso desprotegido às
salas de computador, entre outros.
■ Hardware: possíveis defeitos de fabricação ou configuração dos equipa-
mentos que podem permitir o ataque ou a alteração dos mesmos. Exemplo:
a conservação inadequada dos equipamentos, falta de configuração de
suporte ou equipamentos de contingência, patches ausentes, firmware
desatualizado, sistemas mal configurados, protocolos de gerenciamento
permitidos por meio de interfaces públicas, entre outros.

SEGURANÇA DA INFORMAÇÃO
53

■ Software: são constituídos por todos os aplicativos que possuem pontos


fracos que permitem acessos indevidos aos sistemas de computador, inclu-
sive sem o conhecimento de um usuário ou administrador de rede. Os
principais pontos de vulnerabilidade encontrados estão na configuração
e instalação indevida, programas, inclusive o uso de email, que permi-
tem a execução de códigos maliciosos, editores de texto que permitem a
execução de vírus de macro.
■ Meios de armazenamento: são todos os suportes físicos ou magnéticos
utilizados para armazenar as informações, tais como: disquetes, CD ROM,
fita magnética, discos rígidos dos servidores e dos bancos de dados, tudo
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

o que está registrado em papel. As suas vulnerabilidades advêm de prazo


de validade e expiração, defeito de fabricação, utilização incorreta, local
de armazenamento em áreas insalubres ou com alto nível de umidade,
magnetismo ou estática, mofo, entre outros.
■ Humanas: constituem a maior preocupação dos especialistas, já que o
desconhecimento de medidas de segurança é a sua maior vulnerabilidade.
Sua origem pode ser: falta de capacitação específica para a execução das
atividades inerentes às funções de cada um, falta de consciência de segu-
rança diante das atividades de rotina, erros, omissões, descontentamento,
desleixo na elaboração e segredo de senhas no ambiente de trabalho, não
utilização de criptografia na comunicação de informações de elevada cri-
ticidade, quando possuídas na empresa.
■ Comunicação: incluem todos os pontos fracos que abrangem o tráfego
das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas
de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão
relacionados com a qualidade do ambiente que foi preparado para o trá-
fego, tratamento, armazenamento e leitura das informações, a ausência
de sistemas de criptografia nas comunicações, a má escolha dos sistemas
de comunicações para o envio da mensagem, os protocolos de rede não
criptografados, as conexões a redes múltiplas, os protocolos desnecessá-
rios permitidos, a falta de filtragem entre os segmentos da rede.

Vulnerabilidades da Informação
54 UNIDADE II

AMEAÇAS À SEGURANÇA DA INFORMAÇÃO

No ambiente atual, as empresas devem estar sempre atentas para as ameaças


aos negócios corporativos, que, se concretizadas poderão tirá-las desse cená-
rio, encerrando suas atividades para sempre. Com a automação dos sistemas
de processamento e de armazenamento de informações, a própria informação
torna-se mais susceptível às ameaças, uma vez que ela (a informação) está mais
acessível e disponível para usuários de uma forma geral.
Mas, o que são ameaças?

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades,
podem provocar danos e perdas. A norma ISO/IEC 13335-1 define amea-
ças como a causa potencial de um incidente indesejado, que pode resultar
em dano para um sistema ou para a organização.

Sêmola (2003) define ameaças como agentes ou condições que causam inci-
dentes que comprometem as informações e seus ativos, por meio da exploração
de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e
disponibilidade, e, consequentemente, causando impactos aos negócios de
uma organização.
Para Beal (2005), ameaças são expectativas de acontecimento acidental ou
proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo
de informação.
Observa-se que as vulnerabilidades estão relacionadas com situações de fra-
gilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com
um incidente indesejado que, em decorrência dessas vulnerabilidades pode vir
a provocar algum dano.
As ameaças podem ser:
■ Naturais: são aquelas que se originam de fenômenos da natureza, tais
como terremotos, furacões, enchentes, maremotos, tsunamis.
■ Involuntárias: são as que resultam de ações desprovidas de intenção para
causar algum dano. Geralmente são causadas por acidentes, erros, ou por
ação inconsciente de usuários, tais como vírus eletrônicos, que são ativa-
dos pela execução de arquivo anexado às mensagens de e-mail.

SEGURANÇA DA INFORMAÇÃO
55

■ Intencionais: são aquelas deliberadas, que objetivam causar danos, tais


como hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e
furtos de informações, dentre outras.

Fontes de diversas origens apresentam tipos de ameaças à informação, contudo, o


ponto referencial mais confiável refere-se às pesquisas sobre segurança da infor-
mação, as quais apresentam as principais ameaças que permeiam o ambiente das
informações. Seguem alguns exemplos de ameaças e o impacto que elas causam:
Exemplo de Ameaças:
■ Funcionários descontentes ou desmotivados.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

■ Baixa conscientização nos assuntos de segurança.


■ Crescimento do procedimento distribuído e das relações entre profissio-
nais e empresa.
■ Aumento da complexidade e eficácia das ferramentas de hacking e do vírus.
■ E-mail.
■ Inexistência de planos de recuperação a desastres.
■ Desastres (naturais ou não, como incêndio, inundação, terremoto,
terrorismo).
■ Falta de políticas e procedimentos implementados.

Exemplo de impacto:
■ Perda de clientes e contratos.
■ Danos à imagem.
■ Perda de produtividade.
■ Aumento no custo do trabalho para conter, reparar e recuperar.
■ Aumento de seguros.
■ Penalidade e multas.

Em recente pesquisa realizada pela ESET (2014) sobre o mercado brasileiro, foi
identificado que 65,18% das 224 empresas consultadas, admitem que já tive-
ram problemas com segurança.  O mais recorrente deles, citado por 83,56% das
empresas, foi a infecção por códigos maliciosos (malware). Essa porcentagem
representa quase o dobro da contabilizada nos demais países da América Latina,
conforme mostra o quadro 1.

Ameaças à Segurança da Informação


56 UNIDADE II

Quadro 1 - Ranking dos incidentes entre as empresas no Brasil e na América Latina.

BRASIL AMÉRICA LATINA


Infecção por malware 83,56% 44%
Exploração de vulnerabilidades 19% 14%
Phishing 18% 15%
Acesso Indevido 9% 44%
Fraude interna 8% 12%
Indisponibilidade 7% 14%

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Ataques DdoS 6% 16%
Nenhum 34,82% 25%
Fonte: adaptado de Oliveira (2015, on-line).

Os principais incidentes identificados nas organizações são:


■ Vazamento de informações.
■ Mau uso da tecnologia da informação.
■ Perda de informações.
■ Códigos maliciosos.
■ Falhas em equipamentos.
■ Tentativas de invasão.
■ Engenharia social.
■ Acesso não autorizado (lógico e físico).

Pelos dados de pesquisas efetuadas referentes à segurança da informação, obser-


va-se que, apesar da evolução da tecnologia da segurança da informação, as
ameaças ainda permanecem em patamares que demandam bastante atenção,
colocando em foco a eficácia das medidas de proteção ao longo desse período.
Para uma melhor visualização da consolidação dessas ameaças, são apre-
sentadas a seguir, as principais ameaças da segurança da informação:

■ Vírus, worm, cavalo de Tróia (Trojan horse).


■ Phishing, pharming e spyware.
■ Adware, spam.

SEGURANÇA DA INFORMAÇÃO
57

■ Roubo de dados confidenciais da empresa e de cliente, da propriedade da


informação e da propriedade intelectual.
■ Acesso não autorizado à informação.
■ Perda de dados de clientes.
■ Má conduta e acesso indevido à network por funcionários e gerentes, bem
como abuso de seus privilégios de acesso e utilização indevida da rede wireless.
■ Acesso e utilização indevida da internet e dos recursos dos sistemas de
informação.
■ Software de má qualidade, mal desenvolvido e sem atualização.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

■ Fraude financeira e de telecomunicações.


■ Interceptação de telecomunicação (voz ou dados) e espionagem.
■ Sabotagem de dados e da network.
■ Desastres naturais.
■ Ciberterrorismo.

Das ameaças citadas acima, observa-se que é dispensada uma atenção especial
para os malware (códigos maliciosos). Os principais códigos maliciosos são:
■ Vírus: um programa ou parte de um programa de computador, o qual se
propaga por meio de cópias de si mesmo, infectando outros programas
e arquivos de computador.
■ Cavalos de Tróia: um programa que executa funções maliciosas sem o
conhecimento do usuário.
■ Adware: um tipo de software projetado para apresentar propagandas, seja
por meio de um navegador (browser), seja com algum toutro programa
instalado em um computador.
■ Spyware: é um software espião que tem como objetivo monitorar ativi-
dades de um sistema e enviar as informações coletadas para terceiros.
■ Backdoors: são programas que procuram dar a garantia de retorno a um
computador comprometido, sem utilizar novas técnicas de invasão, ou
retornarem ao computador comprometido sem serem notados.
■ Keyloggers: são programas capazes de capturar e armazenar as teclas
digitadas pelo usuário no teclado de um computador.

Ameaças à Segurança da Informação


58 UNIDADE II

■ Worms: é um programa capaz de se propagar automaticamente através


de redes, enviando cópias de si mesmo de computador para computador.
■ Bots: é um programa capaz se propagar automaticamente, explorando
vulnerabilidades existentes ou falhas na configuração de softwares insta-
lados em um computador.
■ Botnets: são as redes formadas por computadores infectados com bots.
■ Rootkits: um conjunto de programas que utiliza mecanismos para escon-
der e assegurar a presença do invasor no computador comprometido.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
No próximo capítulo do livro será explicado sobre cada uma dessas ameaças e
o que deve ser feito para evitá-las.

Você sabe a diferença entre eficiência e eficácia?


A eficiência avalia como se faz, se refere a alguém ou alguma coisa que dá
ou obtém bons resultados. Algo ou alguém produtivo que origna bons re-
sultados com o mínimo de recurso possível. Eficácia se refere à algúem ou
algo que produz o efeito ou resultado esperado. Alguém ou algo capaz, util,
seguro, que realiza aquilo ao qual foi destinado.
Fonte: o autor.

RISCO

O risco é compreendido como algo que cria oportunidades ou produz per-


das. Risco é a possibilidade de determinada ameaça se concretizar em algo que
comprometa a informação por meio de uma vulnerabilidade. É medido pela pos-
sibilidade de um evento vir a acontecer e produzir perdas.
O risco somente irá existir se a probabilidade de uma vulnerabilidade for
explorada e resultar no impacto da segurança da informação. Em decorrência

SEGURANÇA DA INFORMAÇÃO
59

disso, um risco é classificado de acordo com os três seguintes fatores: grau de


importância da vulnerabilidade, probabilidade de exploração dessa vulnerabi-
lidade e o impacto causado devido aos dois outros fatores.
Conforme definido anteriormente, o risco é representado pela combinação
de dois elementos: a consequência e a probabilidade. E essas variáveis podem
ser representadas pela seguinte equação:

R= C x P
R = risco; C = consequência; e P= frequência.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Geralmente, a frequência é estimada em dados históricos ou calculada com base


na possibilidade de combinação de eventos externos, erros humanos e falhas de
equipamentos e sistemas que mais contribuem para a ocorrência do risco. Uma
opção para o auxílio do levantamento desses dados são as pesquisas acerca de
segurança da informação, para que seja possível obter maior confiabilidade.
O risco pode ter várias origens, pode ser oriundo de eventos da natureza,
pode ser decorrente de problemas técnicos, bem como ser o resultado de uma
ação intencional. Entender a sua origem e estabelecer uma classificação é um
ponto facilitador para se compreender o risco.
Os riscos podem ser classificados em 3 categorias:
■ Naturais: são aqueles oriundos de fenômenos da natureza.
■ Involuntários: resultam de ações não intencionais, relacionados com vul-
nerabilidades humanas, físicas, de hardware, de software, dos meios de
armazenamento e das comunicações.
■ Intencionais: são aqueles derivados de ações deliberadas para causarem
danos, e têm sua origem no ser humano.

Essas classificações são efetuadas com base na origem das ameaças e vulnerabi-
lidades e através delas é possível facilitar a compreensão do risco, uma vez que
fica mais clara a sua identificação, tornando mais direta a compreensão do risco
e o estabelecimento de ações para o seu tratamento. É justamente essa capaci-
dade de percepção e de entender os negócios, missão e ativos corporativos, que
torna o processo de gerenciamento de riscos mais eficiente e eficaz.

Risco
60 UNIDADE II

INCIDENTE

Segundo o ITIL, incidente é qualquer evento que não faz parte da operação
padrão de um serviço e que causa, ou pode causar uma interrupção do serviço
ou ainda uma redução da sua qualidade.
Um incidente pode ser definido como qualquer evento adverso, confirmado
ou em suspeita, relacionado à segurança da informação, levando a perda de um
ou mais princípios básicos de Segurança da Informação.
■ Alguns exemplos de incidentes de segurança:

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Tentativas de ganhar acesso não autorizado a sistemas ou dados.
■ Ataques de negação de serviço.
■ Uso ou acesso não autorizado a um sistema.
■ Modificações em um sistema, sem conhecimento, instruções ou consen-
timento prévio do dono do sistema.
■ Desrespeito à política de segurança ou à política de uso aceitável de uma
empresa ou provedor de acesso.

Alguns exemplos de incidentes de acesso não autorizados e tec-


nicamente estimulados incluem:
■ Ataques de estouro de buffer (ou  transbordamento
de dados) para tentar ganhar privilégios de
um usuário específico (ex: administrador).
■ Exploração de  vulnerabilidades de
protocolos. 
■ Outros tipos de tentativas de elevar
privilégios.
■ Falhas em sistemas operacionais.

São situações que representam riscos justamente por abrirem a possibilidade da


existência de ações intencionais de violação do acesso a informação e, portanto,
devem ser observadas. 

SEGURANÇA DA INFORMAÇÃO
61

ATAQUES A SEGURANÇA DA INFORMAÇÃO

Ataque é qualquer tentativa de destruir, expor, alterar, inutilizar, roubar, ganhar


acesso não autorizado ou fazer uso não autorizado de uma informação. É a explo-
ração de uma falha de um sistema informático para fins não conhecidos pelo
explorador dos sistemas e geralmente prejudiciais a organização.
Para enfrentar os ataques é indispensável conhecer os principais tipos de ata-
ques, a fim de recorrer a disposições preventivas. Os motivos dos ataques podem
ocorrer através de diversas finalidades:
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

■ Obter um acesso ao sistema.


■ Roubar informações, como segredos industriais ou propriedades
intelectuais.
■ Recuperar informações pessoais sobre um usuário (utilizador).
■ Roubar dados bancários.
■ Informar-se sobre a organização (dados da empresa).
■ Perturbar o bom funcionamento de um serviço.
■ Utilizar o sistema do utilizador como “salto” para um ataque.
■ Utilizar os recursos do sistema do utilizador nomeadamente quando a
rede sobre a qual está situado possui uma banda corrente elevada.

Os ataques podem ser classificados em 4 tipos, são eles:


■ Interrupção: irá afetar diretamente a disponibilidade da informação,
fazendo com que ela seja inacessível. Seu propósito é meramente preju-
dicar a informação entre as partes interessadas pela informação.
■ Interceptação: irá afetar a confidencialidade da informação, na qual o
invasor irá ler e monitorar o tráfego de informação, antes de a mensa-
gem chegar ao seu destino final.
■ Modificação: irá afetar a integridade da informação. Ocorre a alteração
da mensagem que está sendo transmitida.
■ Fabricação: irá afetar a autenticidade da informação. O atacante se passa
por um usuário do sistema com o objetivo de obter informações e trans-
mitir dados na rede.

Ataques a Segurança da Informação


62 UNIDADE II

Os ataques também podem ser classificados em 2 tipos:


■ Ataques Ativos: o invasor prejudica o sistema atingindo os dados ou
degradando os serviços. Quando as informações são alteradas com a
intenção de danificar ou destruir os dados ou a própria rede. Neste
momento, se faz a utilização dos dados coletados no ataque passivo para,
por exemplo, derrubar um sistema, infestar o sistema com malwares,
realizar novos ataques a partir da máquina-alvo ou até mesmo destruir
o equipamento.
■ Ataques Passivos: leitura ou coleta de informações não autorizada. Nada

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
acontece ao conteúdo da informação, envolve apenas monitorar a troca
de informações sem ser percebido. O sistema continua sem a percepção
de ter um invasor na rede.

Alguns dos tipos mais comuns de ataques são:

Vírus

Os ataques a computador mais famosos são os vírus. Eles se instalam nos com-
putadores e se espalham para os outros arquivos do sistema. Muitas vezes se
espalham através de discos rígidos externos, ou através de determinados sites
da Internet ou ainda através de anexos de e-mail. São arquivos maliciosos que
podem replicar-se automaticamente e criar brechas nos computadores invadi-
dos. Disseminam-se por meio de redes sem segurança.

Password Cracking

São programas utilizados para descobrir senhas dos usuários. O método mais
comum utilizado é chamado de ataque brute force, ou força bruta. Um ataque
força bruta consiste em gerar combinações de senhas a cada segundo e testá-
-las em um local, geralmente um site que contenha campos de login e senha,
ou somente senha. As senhas são geradas a partir de um algoritmo e testadas
no momento em que surgem, podendo demorar anos ou até minutos até que a
senha desejada seja encontrada. Quanto mais complexa for a senha, mais tempo
irá demorar para ser descoberta.

SEGURANÇA DA INFORMAÇÃO
63

Cavalo de Tróia

Conhecido como Trojan, este é um programa disfarçado que executa algumas


tarefas maliciosas. Na lista de ataques informáticos, cavalos de Tróia se classifi-
cam logo após o vírus. Muitas vezes eles se disfarçam em um pedaço de software,
proteção de tela, ou em um jogo, que parece funcionar normalmente. No entanto,
uma vez que eles são copiados para o sistema, eles vão infectar o sistema com
um vírus ou rootkit. Em outras palavras, atuam como portadores de vírus para
infectar o sistema.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Worms

Os worms podem ser chamados de primos de vírus. A diferença entre os vírus


e worms é que os worms infectam o sistema, sem qualquer tipo de assistência
do usuário. São arquivos maliciosos que podem replicar-se automaticamente e
criar brechas nos computadores invadidos. Disseminam-se por meio de redes
sem segurança.

Espionagem

A maioria das comunicações de rede ocorre em um formato inseguro que per-


mite a um invasor interpretar a conversa que ocorre entre dois computadores.
Pode ocorrer em um sistema fechado ou por meio da internet. A capacidade de
um intruso para monitorar a rede é geralmente o maior problema de segurança
que os administradores enfrentam em uma empresa. Sem serviços de criptogra-
fia fortes, os dados podem ser lidos por outras pessoas, uma vez que atravessa
a rede de dados.

Ataques baseados em senha

Um dos tipos mais comuns de ataques cibernéticos são ataques baseados em senha.
Isso significa que seus direitos de acesso a um computador e recursos de rede
são determinados por quem você é, ou seja, o seu nome de usuário e sua senha.

Ataques a Segurança da Informação


64 UNIDADE II

Quando um atacante encontra uma conta de usuário válida, o atacante tem


os mesmos direitos que o usuário real. Portanto, se o usuário tem direitos de
administrador, o invasor também pode criar contas de acesso posterior em um
momento posterior.
Depois de ganhar acesso a sua rede com uma conta válida, um atacante pode
fazer qualquer um dos seguintes:
■ Obter listas de utilizador válido e nomes de computador e ainda infor-
mações de rede.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Modificar configurações do servidor e de rede, incluindo controles de
acesso e tabelas de roteamento.
■ Modificar, redirecionar ou apagar seus dados.

Ataque de negação de serviço

Ao contrário de um ataque baseado na senha, o ataque de negação de serviço


impede o uso normal do computador ou rede por usuários válidos. O atacante
pode não ter necessariamente o acesso à rede, mas assegura que o utilizador não
é capaz de utilizar o sistema. Este é um dos tipos de ataques, que é muito difí-
cil de evitar. Quando ganha acesso à sua rede, o atacante pode fazer qualquer
um dos seguintes:
■ Randomizar a atenção da equipe interna de Sistemas de Informação, para
que eles não vejam a intrusão imediatamente, permitindo dessa forma
que o atacante possa fazer vários ataques enquanto a atenção da equipe
esteja desviada.
■ Enviar dados inválidos para aplicações ou serviços de rede, o que pro-
voca a rescisão ou o comportamento das aplicações ou serviços anormais.
■ Inundar um computador ou toda a rede com tráfego até um desligamento
ocorrer por causa da sobrecarga.
■ Bloquear o tráfego, o que resulta em uma perda de acesso aos recursos
de rede por usuários autorizados.

SEGURANÇA DA INFORMAÇÃO
65

Uma das técnicas mais utilizadas para ataque é conhecida como Engenharia
Social. Ela designa a arte de manipular pessoas a fim de coletar informações
com o intuito de descobrir falhas na segurança. As fontes de coletas das infor-
mações podem ser o telefone, correio eletrônico, correspondência tradicional e
até o contato direto.
A Engenharia Social é baseada na utilização da força de persuasão e na explo-
ração da ingenuidade das pessoas. Geralmente, os métodos de engenharia social
ocorrem da seguinte forma:
■ Vaidade pessoal e/ou profissional: o ser humano costuma ser mais
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

receptivo à avaliação positiva e favorável aos seus objetivos, aceitando


basicamente argumentos favoráveis à sua avaliação pessoal ou profis-
sional ligadas diretamente ao benefício próprio ou coletivo de forma
demonstrativa.
■ Autoconfiança: buscamos transmitir em diálogos individuais ou coletivos
o ato de fazer algo bem, procurando transmitir segurança, conhecimento,
saber e eficiência, bem como criar uma estrutura base para o início de
uma comunicação ou ação favorável a uma organização ou indivíduo.
■ Formação profissional: o ser humano busca valorizar sua formação e
suas habilidades adquiridas na faculdade, buscando o controle em uma
comunicação, execução ou apresentação, seja profissional ou pessoal, e o
reconhecimento pessoal inconscientemente em primeiro plano.
■ Vontade de ser útil: comumente, procuramos agir com cortesia, bem
como ajudar os outros quando necessário.
■ Busca por novas amizades: costumamos agradar a nós mesmos e nos
sentirmos bem quando elogiados, ficando mais vulneráveis e abertos a
ceder informações.
■ Propagação de responsabilidade: trata-se da situação na qual o ser
humano considera que não é o único responsável por um conjunto de
atividades.
■ Persuasão: considerada quase uma arte a capacidade de persuadir
pessoas para obter respostas específicas. Isto é possível porque as
pessoas possuem características comportamentais que as tornam
vulneráveis à manipulação.

Ataques a Segurança da Informação


66 UNIDADE II

Na maioria das vezes, temos a sensação de extrema complexidade e custo para


garantir e manter os pilares da segurança da informação, porém, existem contra-
medidas bastante simples e de fácil implantação que trazem um retorno eficiente
a um custo na maioria das vezes muito baixo.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Segurança da Informação é como uma corrente cuja força é medida pelo
seu elo mais fraco.
(Furlan, Ivo e Amaral).

SEGURANÇA DA INFORMAÇÃO
67

CONSIDERAÇÕES FINAIS

Nesta unidade, vimos que com o crescente aumento das tecnologias de informa-
ção e com a rápida disseminação dela, cresceu também os crimes relacionados
e surgiu a necessidade de manter as informações das organizações livre de ris-
cos e perigos que possam danificá-la.
As empresas precisam estar um passo à frente das pessoas mal-intenciona-
das e se precaver de forma que seus dados e informações não sejam colocados
em perigo. A segurança da informação deve ser usada como arma estratégica
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

para as organizações, pois seguindo as normas da segurança da informação, é


possível manter as informações de forma segura e idônea, reduzindo bastante
os riscos de perda, extravio ou roubo de informações.
Vivemos na sociedade da informação, na qual quem possui maior conheci-
mento ou mais informação, tende a sair na frente, além de que a informação é
uma arma estratégica em todas as empresas, portanto se uma organização almeja
ter suas informações livre de riscos e perigos, deve se precaver usando técnicas
de segurança da informação, como medidas de prevenção contra possíveis ata-
ques à empresa. Dessa forma, a segurança da informação passa a ser mais do
que apenas uma preocupação do pessoal da informática e se torna fundamen-
tal para todos os membros da organização.
É importante salientar que, embora nenhum modelo de segurança seja 100%
seguro, deve-se sempre procurar a excelência de modo que se alcance, pelo menos,
a minimização dos prejuízos causados por invasões. O reconhecimento de que a
proteção é necessária, a identificação de qual tipo e nível de proteção se deseja, a
participação da alta administração e o comprometimento de todos os usuários
são passos essenciais para que as políticas de segurança sejam realmente eficazes.
No próximo capítulo veremos quais os procedimentos devem ser tomados
para prevenir os frequentes ataques e ameaças que ocorrem nas organizações.

Considerações Finais
68

1. A Segurança da Informação (SI) está associada a um conjunto de atributos bá-


sicos que devem ser respeitados na análise e planejamento de mecanismos e
procedimentos para proteção. Considere uma suposta lista desses atributos,
mostrada a seguir.
I. Autenticidade.
II. Confidencialidade.
III. Conformidade.
IV. Integridade.
V. Presteza.
Podemos afirmar que:
a. Somente as alternativas I, II, III e IV estão corretas.
b. Somente as alternativas I, II, III e V estão corretas.
c. Somente a alternativa I está correta.
d. Somente as alternativas I e II estão corretas.
e. Todas as alternativas estão corretas.
2. Assinale a alternativa que nomeia um dos princípios básicos da segurança da in-
formação garantindo que a informação não seja alterada durante seu percurso,
da origem ao seu destino.
a. Integridade. 
b. Disponibilidade.
c. Autenticidade. 
d. Confidencialidade.
e. Não Repúdio.
3. No que diz respeito à classificação da informação é correto afirmar:
a. O proprietário e a classificação da informação devem ser acordados e docu-
mentados para cada um dos ativos de informação. O mesmo nível de proteção
deve ser identificado e aplicado a todos os ativos de informação.
b. Um sistema de classificação da informação deve ser usado para definir um
conjunto apropriado de níveis de proteção e determinar a necessidade de me-
didas especiais de tratamento.
c. A informação deve ser classificada exclusivamente em termos do seu valor,
sensibilidade e criticidade para a organização.
69

d. A responsabilidade de definir a classificação de um ativo, analisá-lo, e assegu-


rar que ele esteja atualizado e no nível apropriado é de todos os funcionários
da organização.
e. A informação nunca deixa de ser sensível ou crítica, mesmo quando se torna
pública.
4. Sobre segurança da informação, considere:
I. Ameaça: algo que possa provocar danos à segurança da informação, prejudi-
car as ações da empresa e sua sustentação no negócio, mediante a exploração
de uma determinada vulnerabilidade.
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o
dano potencial à empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas infor-
mações corrompidas.
Está correto o que consta APENAS em:
a. II e III.
b. I e II.
c. I e III.
d. I.
e. III.
5. No que se refere ao incidente de segurança de informação, é correto afirmar:
a. É a possibilidade de determinada ameaça se concretizar em algo que compro-
meta a informação por meio de uma vulnerabilidade.
b. Pode ser definido como qualquer evento adverso, confirmado ou em suspeita,
que pode levar a perda de um ou mais princípios básicos de Segurança da
Informação.
c. Engloba todos os suportes físicos ou magnéticos utilizados para armazenar as
informações.
d. É constituído por todos os aplicativos que possuem pontos fracos e que per-
mitem acessos indevidos aos sistemas de computador, inclusive sem o conhe-
cimento de um usuário ou administrador de rede.
e. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma
ou mais ameaças.
70

ESTUDO REVELA AUMENTO DOS RISCOS DE SEGURANÇA DE DADOS DE


PAGAMENTOS

A pesquisa global foi conduzida pelo compliance; 15% com o Chief Information
Ponemon Institute, a pedido da Gemalto, Security Officer (CISO) e 14% com outros
empresa de segurança digital com mais departamentos.
de 3,7 mil profissionais de segurança de TI
em 10 países. O levantamento identificou Na avaliação de 54% dos participantes, a
a expectativa de os pagamentos via dis- segurança dos dados de pagamento não
positivos móveis dobrarem nos próximos é uma das cinco principais prioridades de
dois anos. E ainda a necessidade crítica de segurança para a empresa. E somente um
as organizações melhorarem suas práticas terço (31%) sente que a empresa direciona
de segurança de dados de pagamentos. recursos suficientes para proteger os dados
de pagamento.
De acordo com o estudo, 54% dos entrevis-
tados disseram que sua empresa enfrentou Um dado curioso é que 59% afirmaram que
casos de violação de segurança ou de dados sua empresa permite que terceiros aces-
envolvendo pagamento, em média quatro sem os dados de pagamentos e que desses,
vezes nos últimos dois anos. Isso não é uma somente 34% utilizam a autenticação mul-
surpresa, considerando os investimentos, as tifator para proteger o acesso.
práticas e os procedimentos de segurança
destacados pelos entrevistados. Menos da metade dos entrevistados (44%)
disseram que suas empresas usam cripto-
Mais de 50% dos entrevistados disse- grafia de ponta a ponta para proteger os
ram que não sabiam onde os dados de dados de pagamento desde o ponto de
pagamento estavam armazenados ou venda, até quando eles são armazenados
localizados. A propriedade da segurança e/ou enviados para a instituição financeira.
dos dados de pagamento não é centrali-
zada, e 28% dos entrevistados disseram Grande parte (74%) afirma que suas empre-
que a responsabilidade está com o CIO; sas não cumprem os PCI DSS (Payment Card
26% afimaram que está com uma unidade Industry Data Security Standard) ou cum-
de negócios; 19% com o departamento de prem apenas parcialmente.

Fonte: Estudos... (2016, on-line)2.


MATERIAL COMPLEMENTAR

Segurança da Informação - O Usuário Faz a Diferença


Fontes, Edison Luiz Gonçalves
Editora: Saraiva
Sinopse: o livro explica o que é segurança da informação, a razão de sua
existência, e alguns procedimentos básicos e necessários para garanti-
la dentro de uma organização. Repleto de exemplos, modelos e casos
publicados, reúne a experiência do autor em três frentes distintas: o das
corporações, o das consultorias e o da academia.

Material Complementar
GABARITO

1. A.
2. A.
3. C.
4. B.
5. B.
Professora Esp. Adriane Joyce Xavier

SEGURANÇA

III
UNIDADE
INFORMÁTICA

Objetivos de Aprendizagem
■ Entender o conceito de Segurança Informática.
■ Conhecer os ataques que podem ocorrer na informática.
■ Conhecer quais os mecanismos que podem ser utilizados para
proteger a informação.
■ Conhecer a importância de ter uma política de segurança da
informação em uma organização.

Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■ Segurança Informática
■ Mecanismos de Segurança da Informação
■ Política de Segurança da Informação
75

INTRODUÇÃO

A importância da informática nos dias de hoje é indiscutível. Milhões de pes-


soas utilizam diariamente os computadores nas mais variadas áreas e para as
mais variadas funções.
A informática tem cada vez mais importância no dia-a-dia do cidadão comum
e ganhou uma maior importância estratégica no mundo dos negócios. A partir
dos anos 60 até os dias atuais, a informática tem sido aplicada nas organizações,
nos mais diversos setores. As organizações requerem tecnologia de informação
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

cada vez mais complexas e sofisticadas, muito além do simples tratamento de


dados. Desde a informatização, todas as informações de uma determinada área
dentro da organização estão interligadas através dos computadores.
Outra tecnologia muito utilizada hoje pelas organizações é a internet. Com
a utilização de Internet existe a troca interativa de informações, na qual cada
vez mais as organizações abrem o seu sistema de informação a seus parceiros e
fornecedores e, em decorrência dessa prática, torna-se necessário conhecer os
recursos existentes para proteger, controlar o acesso e direitos dos utilizadores
do sistema de informação.
Todas essas tecnologias utilizadas nos dias de hoje, como internet, correio
eletrônico, mensagens instantâneas, entre outros, trazem imensas vantagens para
a organização, porém, é necessário cuidar para que essas informações não sejam
perdidas ou até roubadas e para isso, é necessário que as organizações pensem
na segurança informática.
A segurança informática é uma das etapas mais importantes na informática,
pois através dela é possível reduzir possíveis ataques aos sistemas empresa-
riais e domésticos.
A seguir, tratarei sobre a segurança informática e quais os meios e tecnologias
que devem ser utilizados para manter em segurança a informação e equipamen-
tos de informática de uma organização.

Introdução
76 UNIDADE III

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock

SEGURANÇA INFORMÁTICA

A segurança informática ou Segurança de computadores é responsável pela


proteção da integridade e da privacidade das informações armazenadas num sis-
tema informático. A segurança informática está intimamente relacionada com
a Segurança da Informação, incluindo não apenas a segurança dos dados/infor-
mação, mas também a segurança dos sistemas (softwares) e equipamentos em si.
A segurança informática é sem dúvida uma das áreas mais importantes den-
tro de uma organização, e deve ser vista com a mesma atenção com que se olha
para outros bens da empresa, como documentos, equipamentos, entre outros.
Apesar de muitas organizações pensarem que segurança da informação se
trata apenas de um antivírus ou controle de acesso de usuários, a segurança da
informação é algo muito mais complexo e que abrange diversos aspectos. É neces-
sário pensar na segurança física e lógica de todos os recursos existentes dentro
da organização, em proteção dos equipamentos, sejam eles servidores, compu-
tadores, equipamentos de redes ou meramente dados, e na prevenção de falhas,
seja criando redundância nos sistemas ou por meio de sistemas que facilitem a
recuperação após as falhas ocorridas.

SEGURANÇA INFORMÁTICA
77

De qualquer modo, não existe nenhuma técnica que permita assegurar a


inviolabilidade de um sistema. Um sistema informático pode ser protegido do
ponto de vista lógico, com o desenvolvimento de software, ou físico, em termos
de manutenção elétrica, por exemplo. Além do mais, as ameaças podem vir de
programas maliciosos que se instalam no computador do usuário, como um
vírus, ou chegar por via remota, através de infratores que se ligam à Internet e
entram em diferentes sistemas. Entre as ferramentas mais comuns de segurança
informática, encontram-se os programas antivírus, firewall, a encriptação da
informação e o uso de senhas de acesso (passwords).
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Um sistema seguro deve ser íntegro, e o acesso a mudanças nas informa-


ções somente ser feita por pessoas autorizadas; ser confidencial, onde os dados
têm de ser legíveis apenas para os utilizadores autorizados; ser irrefutável, onde
o utilizador não tem forma de negar as acções que tenha realizado e ter boa dis-
ponibilidade, devendo ser estável. No entanto, como na maioria dos âmbitos de
segurança, o essencial continua a ser a capacitação dos utilizadores. Uma pessoa
que saiba como se proteger das ameaças, saberá usar os seus recursos da melhor
forma possível para evitar ataques ou acidentes.
Em outros termos, pode-se dizer que a segurança informática tem como
objetivo assegurar que os recursos de um sistema de informação possam ser
usados conforme uma organização ou um utilizador o tenha decidido, sem qual-
quer interferência.

MECANISMOS DE SEGURANÇA DA INFORMAÇÃO

Os mecanismos de Segurança da Informação são mecanismos projetados para


detectar, prevenir ou se recuperar de um ataque de Segurança. São responsá-
veis pela concretização das políticas de segurança nos sistemas computacionais.
Desta forma, as políticas de segurança e os comportamentos que recomendam
são implantados por mecanismos de segurança da informação. De acordo com
Lento, Silva e Lung (2006), tais mecanismos exercem os controles físicos e/ou

Mecanismos de Segurança da Informação


78 UNIDADE III

lógicos necessários para garantir que as propriedades de segurança sejam


mantidas em conformidade com as necessidades do negócio.
Os modelos de segurança da informação correspondem a descrições
formais do comportamento de um sistema que atua segundo regras
de uma política de segurança. Segundo Goguen (1982), estes
modelos são representados na forma de um conjunto
de entidades e relacionamentos.
Existem 2 tipos de controles que
podem ser efetuados com relação à

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
segurança informática, que são os con-
troles físicos e controles lógicos.

CONTROLES FÍSICOS

Controles físicos são conjuntos de medidas que devem ser tomadas para garantir
a segurança e existência de algum produto contra roubo, espionagem, sabotagem
ou algum outro dano. São barreiras que limitam o contato ou acesso direto à infor-
mação ou à infraestrutura (que garante a existência da informação) que a suporta.
Quando se fala em proteger os recursos a nível físico, se deve levar em conta
vários tipos de ameaças que de acordo com Carneiro (2002), as principais são:
■ Desastres naturais, incêndios acidentais, trovoadas e inundações.
■ Ameaças ocasionadas por elementos humanos.
■ Distúrbios, sabotagens internas e externas deliberadas.

Para evitar tais ameaças e garantir a segurança física, devem ser considerados
vários aspectos entre os quais se destacam:
■ Localização geográfica das instalações: deve-se levar em consideração a
localização em que será instalado o centro de informática. Deve cuidar
para que não seja instalado próximo a esgotos ou condutas de água, que
seja em local onde possa ser facilmente monitorado, deverá existir sis-
tema de detecção e combate a incendios, entre outros.

SEGURANÇA INFORMÁTICA
79

■ Controle de acesso: permite acesso apenas a pessoas autorizadas.


■ Segurança do equipamento: deve-se definir um conjunto de procedimentos
que permitam manter os recursos informáticos em segurança, particular-
mente os equipamentos que suportam atividades críticas.

Além de todas essas formas de proteção dos equipamentos informáticos, Carneiro


(2002) acrescenta que estes devem ser periodicamente sujeitos a uma verificação
técnica e monitorizado o seu estado de conservação e de limpeza.
Todos estes mecanismos de defesa do controle de acesso físico permitem evi-
tar o arrombamento físico, ou seja, evitar este tipo de ataque que acontece quando
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

há acesso físico não autorizado ao departamento dos recursos de TI, podendo


atentar à integridade física das máquinas. Do mesmo modo que se preocupa em
garantir a segurança física, os dados/informações também devem estar protegi-
dos, daí a importância do controle de segurança lógica.

CONTROLES LÓGICOS

Segundo Carneiro (2002), a segurança lógica refere-se à segurança da utilização


do software, proteção dos dados, dos processos e programas, e do acesso autori-
zado dos utilizadores. Isso mostra que sem a segurança lógica, toda a informação
de uma organização fica exposta aos vários tipos de ataques e, por isso, deverá
ser criado um conjunto de medidas que impeça o acesso indevido a informa-
ções, seja local ou remotamente.
Para garantir a segurança lógica, existem vários aspectos a serem levados
em consideração:
Autenticação e autorização (controle de acesso) e combate a ataques e inva-
sões (firewall, detecção de intrusões, antivírus, criptografia, assinaturas digitais,
certificados digitais, redes privadas virtuais).

Mecanismos de Segurança da Informação


80 UNIDADE III

Controle de Acesso

O Controle de acesso é o processo de conceder ou negar direitos a usuários ou


sistemas, definindo quais atividades serão realizadas, desta forma, gerando os
chamados perfis de acesso.
O controle de acesso pode ser um controle físico (permitir acesso a uma sala,
prédio ou propriedade somente à pessoal autorizado), ou controle lógico (per-
mitir acesso ao sistema por meio de senha de acesso, por exemplo).
O controle lógico de acesso é composto pelos processos de autenticação

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
(quem acessa o sistema), autorização (o que o usuário pode fazer) e auditoria
(o que o usuário fez), assim:
■ Autenticação: é o meio para se certificar que o usuário ou o objeto remoto
é realmente quem está afirmando ser. É um serviço essencial de segurança,
pois uma autenticação confiável assegura o controle de acesso, determina
quem está autorizado a ter acesso à informação, permite trilhas de audi-
toria e assegura a legitimidade do acesso.
■ Autorização: define os direitos e permissões que um determinado usu-
ário possui. Após autenticado o usuário, o processo determina o que ele
pode fazer no sistema.
■ Auditoria: refere-se à coleta de informações (registro de eventos – logs)
relacionadas à utilização dos recursos do sistema pelo usuário, podendo
essas informações serem utilizadas para gerenciamentos, planejamen-
tos e cobranças.

O processo de autenticação está baseado em três métodos distintos:


■ Identificação positiva: o que você sabe. O requerente demonstra o conhe-
cimento de alguma informação utilizada no processo de autenticação, por
exemplo, uma senha.
■ Identificação proprietária: o que você tem. O requerente demonstra
possuir algo a ser utilizado no processo de autenticação, como um car-
tão magnético.
■ Identificação Biométrica: o que você é. O requerente exibe alguma carac-
terística própria, tal como a sua impressão digital.

SEGURANÇA INFORMÁTICA
81

Você sabe o que é log de dados?


Descreve todo o processo de registro de eventos relevantes, realizados por
um usuário dentro de um sistema computacional. Através deles, é possível
identificar a autoria de ações realizadas no sistema, que ações foram realiza-
das e data e horário que essas ações foram realizadas.
Fonte: o autor.

Combate a ataques e invasões


Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Destinados a suprir a infraestrutura tecnológica com dispositivos de software e


hardware de proteção, controle de acesso e consequentemente combate a ataques
e invasões, esta família de mecanismos tem papel importante no modelo de gestão
de segurança, à medida que as conexões eletrônicas e tentativas de acesso indevido
crescem exponencialmente. Nesta categoria, existem dispositivos destinados ao moni-
toramento, filtragem e registro de acessos lógicos, bem como dispositivos voltados
para a segmentação de perímetros, identificação e tratamento de tentativas de ataque.

Firewall

Um firewall é um software que reforça a norma de segurança entre uma rede


interna segura e uma rede não confiável como a Internet. O firewall é responsá-
vel por gerar uma barreira de segurança para o tráfego de dados, criando uma
barreira para as ameaças que podem ocorrer na rede externa, por meio do moni-
toramento das portas do computador.
Os firewalls tendem a serem vistos como uma proteção entre a Internet e a
rede privada. A não utilização de um firewall deixa o computador desprotegido
e vulnerável ao acesso de pessoas e programas mal-intencionados, deixando as
portas de conexão com o computador livre para acesso de qualquer um desses.
Um firewall pode ser um PC, um roteador, um computador de tamanho
intermediário, um mainframe ou a combinação destes que determine qual infor-
mação ou serviços podem ser acessados de fora e a quem é permitido usar a
informação e os serviços de fora. Geralmente, um firewall é instalado no ponto

Mecanismos de Segurança da Informação


82 UNIDADE III

onde a rede interna segura e a rede externa não confiável se cruzam, ponto este
que também é conhecido como ponto de estrangulamento, onde o firewall irá
proteger as informações de uma organização, controlando o acesso entre a rede
interna e a rede externa.
É importante lembrar que o firewall mais adequado para a empresa irá variar
de acordo com as características de navegação de cada usuário e mesmo se o
firewall tiver sido projetado para permitir que somente dados confiáveis pas-
sem a proteger a rede interna contra-ataques externos, um ataque recém-criado
pode penetrar o firewall a qualquer hora. O administrador da rede deve exami-

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
nar regularmente os registros de eventos e alarmes gerados pelo firewall.
O trabalho de um firewall pode ser realizado de várias formas. O que define
uma metodologia ou outra são fatores como critérios do desenvolvedor, neces-
sidades específicas do que será protegido, características do sistema operacional
que o mantém, estrutura da rede e assim por diante. Devido a isso, é comum
encontrar mais de um tipo de firewall. A seguir, os dois tipos mais conhecidos:
filtragem de pacotes e servidor Proxy.

Filtragem de Pacotes

A filtragem de pacotes é uma das primeiras soluções que surgiram, trata-se de


uma tecnologia mais simples, com isso, torna-se mais limitada, embora ofereça
um nível de segurança significativo.
É importante saber que cada pacote possui um cabeçalho com diversas infor-
mações a seu respeito, como endereço IP de origem, endereço IP do destino, tipo
de serviço, tamanho, entre outros. O Firewall analisa estas informações de acordo
com as regras estabelecidas para liberar ou não o pacote (seja para sair ou para
entrar na máquina/rede), podendo também executar alguma tarefa relacionada,
como registrar o acesso (ou tentativa de) em um arquivo de log.
O modelo mais simples de firewall é conhecido como o dual homed system,
ou seja, um sistema que interliga duas redes distintas. Este sistema possui um
servidor com duas placas de rede que faz com que os usuários possam se comu-
nicar entre si. Um exemplo do modelo firewall entre uma Intranet e a Internet,
está de definido na figura 1.

SEGURANÇA INFORMÁTICA
83

Internet

Firewall
Dualhomed-Host
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

internes Netz
Figura 1 – Modelo de firewall dual homed system.
Fonte: Desenvolver nova imagem

Firewall de Aplicação ou Servidor Proxy

Firewall de Aplicação ou apenas servidor Proxy é uma solução de segurança que


atua como intermediária entre uma rede interna e outra externa, normalmente
a internet. Geralmente são instalados em servidores potentes, pois armazenam
uma cópia das páginas mais acessadas para agilizar a abertura delas quando
forem solicitadas novamente. Um Proxy é utilizado em muitos casos como ele-
mento de aceleração de conexão em links lentos.
A figura 2 ajuda a compreender esse conceito. Ao invés de a rede interna se
comunicar diretamente com a internet, há um equipamento entre ambos que
cria duas conexões, entre a rede e o Proxy, e entre o Proxy e a internet.
“ Visão do

usuário”

Proxy Rede exterma


(internet)

Figura 2 – Servidor Proxy


Fonte: Desenvolver nova imagem

Mecanismos de Segurança da Informação


84 UNIDADE III

Detector de Intrusos

Os sistemas de detecção de intrusão ou IDS, de acordo com P. Silva (2003), ofe-


recem visibilidade a uma organização das várias tentativas de intrusão, tanto no
que sucede em seu exterior, quanto no que sucede internamente.
Um IDS refere-se aos meios técnicos de descobrir, em uma rede de acesos
não autorizados, ações de um cracker ou até mesmo de funcionários mal-inten-
cionados existentes na empresa.
Um IDS pode ser instalado de modo a monitorar as atividades relativas a

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
um computador ou a uma rede. Nos últimos anos, a tecnologia de detecção de
intrusão tem se mostrado uma grande aliada dos administradores de segurança.
Basicamente, o que esses sistemas fazem é tentar reconhecer um comportamento
ou uma ação intrusiva por meio da análise das informações disponíveis em um
sistema de computação ou rede, para alertar um administrador e/ou automati-
camente disparar contramedidas.
Para realizar a detecção, várias tecnologias estão sendo empregadas em produtos
comerciais ou em projetos de pesquisas, as tecnologias utilizadas incluem análise esta-
tística, inferência, inteligência artificial, data mining, redes neurais e diversas outras.
O IDS tem como principal objetivo detectar se alguém está tentando entrar
em um sistema ou se algum usuário legítimo está fazendo mau uso do mesmo.
Esta ferramenta é executada constantemente em background e somente gera uma
notificação quando detecta alguma ocorrência que seja suspeita ou ilegal. Os
sistemas em uso podem ser classificados com relação a sua forma de monitora-
ção (origem dos dados) e aos mecanismos (algoritmos) de detecção utilizados.
Existem basicamente dois tipos de implementação de ferramentas IDS:
■ Host Based IDS (HIDS): são instalados em servidores para alertar e iden-
tificar ataques e tentativas de acesso indevido à própria máquina, sendo
mais empregados nos casos em que a segurança está focada em informa-
ções contidas em um servidor.

■ Network Based IDS (NIDS): são instalados em máquinas responsáveis


por identificar ataques direcionados a toda a rede, monitorando o conte-
údo dos pacotes de rede e seus detalhes, como informações de cabeçalhos
e protocolos.

SEGURANÇA INFORMÁTICA
85

Os sistemas NIDS podem monitorar diversos computadores simultaneamente,


todavia, sua eficácia diminui à medida que o tamanho e a velocidade da rede
aumentam, pela necessidade de analisar os pacotes mais rapidamente. A veloci-
dade da rede e o uso de criptografia não são problemas para os sistemas HIDS,
entretanto, como esse sistema é instalado na própria máquina a monitorar, pode
ser desativado por um invasor bem-sucedido. Existem IDS que trabalham de
forma híbrida, ou seja, combinando as duas técnicas citadas anteriormente.

Antivírus
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Nos dias de hoje com a proliferação de técnicas cada vez mais sofisticadas de
códigos maliciosos, torna-se necessidade em qualquer organização que lida com
os recursos de TI, dispor de mecanismos antivírus no seu sistema informático.
Downing (2001, p. 26) define antivírus como “software que protege o computa-
dor de vírus (modificações destrutivas de software), impedindo as modificações
que um vírus tente efetuar ou ainda detectando, logo que seja possível um vírus
que se introduza no computador”.
Segundo Mamede (2006, p. 150), são diversos os sinais que podem alertar
a existência de vírus em um sistema:
■ O sistema aparenta ter menos memória do que deveria.
■ O sistema reinicia sozinho.
■ Alguns ficheiros ficam corrompidos ou não se comportam como o
esperado.
■ Alguns ficheiros ou programa desaparecem.
■ Ficheiros ou programas desconhecidos aparecem no sistema.
■ Mensagens estranhas aparecem no ecrã entre outros.

As soluções de antivírus podem ser baseadas em assinatura ou em comporta-


mentos. A assinatura segundo P. Silva (2003, p. 98) é “um excerto de código
binário único de um vírus, que permite a identificação do vírus em questão por
um simples processo de comparação”. A Assinatura procura características biná-
rias identificativas de código malicioso.

Mecanismos de Segurança da Informação


86 UNIDADE III

O comportamento, segundo P. Silva (2003, p. 99) “inspira-se na detecção


de intrusões e promete um nível superior de eficácia na detecção e contenção
de infecções”.
A atualização é igualmente um aspecto fundamental, independentemente
da TI que irá utilizar, o sistema antivírus deve estar configurado para fazer atu-
alização automática.

Criptografia

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Oliveira (2000, p. 405) define a criptografia como “um conjunto de técnicas que
tornam uma mensagem incompreensível permitindo apenas que o destinatário
que conhece a chave de encriptação consiga desencriptar e ler a mensagem com
clareza”. O objetivo da criptografia, neste caso, é utilizar algoritmos de codifica-
ção e descodificação, permitindo que o conteúdo da mensagem possa ser visto
somente pelo destinatário desejado.
Criptografia é hoje, sem dúvida, a maneira mais segura de se enviar infor-
mações por meio de um canal de comunicação inseguro como, por exemplo, a
Internet.
Existem duas categorias básicas de mecanismos de codificação: criptogra-
fia simétrica ou de chave privada e criptografia assimétrica ou de chave pública.

Simétrica ou de chave privada

Estes são os algoritmos convencionais de criptografia, nos quais a mesma chave


secreta é utilizada tanto para cifrar como para decifrar uma mensagem, devendo
ser conhecida por ambos os lados do processo. A chave deve ser entregue aos par-
ticipantes de modo seguro, e as transações só podem ser realizadas depois disso.
O fato de ambos os lados conhecerem a chave também leva à possibilidade
de repúdio da transação, pois um lado pode sempre alegar que o outro usou a
chave e realizou a transação em seu nome, indevidamente.
Os algoritmos de chave simétrica podem ser divididos em duas categorias:
■ Algoritmos de Bloco: cifram os dados a partir de blocos, ou seja, se
o dado a ser cifrado é um texto, esse texto será dividido em blocos e a

SEGURANÇA INFORMÁTICA
87

criptografia será aplicada em cima de cada bloco. Um problema com essa


cifragem é que se o mesmo bloco de texto simples aparecer em dois luga-
res, ele encriptará o mesmo texto, gerando assim, um padrão de repetição.
■ Algoritmos de Fluxo: cifram os dados byte a byte. O dado a ser cripto-
grafado não é cifrado por blocos, como o anterior, e sim, serialmente. A
informação vai sendo criptografada do início ao fim, sem separações.

Assimétrica ou de chave pública


Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

A criptografia assimétrica ou pública utiliza um par de chaves diferentes, uma


pública que pode ser livremente divulgada e uma privada que é mantida secre-
tamente e deve ficar apenas na posse e uso da pessoa ou entidade a que pertence.
O emissor cifra a mensagem com a chave pública do receptor, este, ao receber a
mensagem, vai decifrar a mensagem com a sua chave privada.

Assinatura Digital

Mamede (2006, p. 88) defende que “uma assinatura digital nada mais é do que
um código digital anexado a uma mensagem transmitida de forma electrônica
e que identifica univocamente o emissor e garante a integridade da mensagem”.
Ou seja, uma assinatura digital tanto garante que a mensagem não foi alterada,
como garante que o remetente é realmente quem diz ser. A assinatura digital
providencia a prova de autenticidade e origem dos dados.
Segundo Mamede (2006, p. 88) uma assinatura digital pode ser feita tanto
com base na criptografia simétrica, como na criptografia assimétrica.
Na assinatura digital com base na criptografia simétrica faz-se necessário
a existência de um árbitro que desempenha o papel central de todo o processo
e partilha com cada utilizador uma chave secreta. O emissor cifra a mensagem
com a chave que partilha com o árbitro e o envia. Este decifra a mensagem e
cifra novamente com a chave que partilha com o receptor e envia ao recep-
tor juntamente com o certificado de validade. Este, ao receber a mensagem,
decifra com a chave que partilha com o árbitro, podendo ver em anexo o cer-
tificado de validade.

Mecanismos de Segurança da Informação


88 UNIDADE III

Como se pode ver nesse tipo de assinatura digital, o árbitro tem de ser uma
pessoa de confiança para ambas as partes, para não comprometer todo o processo.
No caso da assinatura digital, é inadequado cifrar toda a mensagem ou docu-
mento a ser assinado digitalmente devido ao tempo gasto na criptografia de um
documento utilizando chaves assimétricas.
Qualquer participante pode verificar a autenticidade de uma assinatura digi-
tal, bastando decifrá-la com a chave pública do signatário, a qual todos podem
ter acesso. Se o resultado é significativo, está garantido o uso da chave secreta
correspondente na assinatura, e, portanto, sua autenticidade.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Certificado digital

Os certificados digitais permitem ultrapassar o problema existente na assinatura


digital, ou seja, como obter de forma segura a chave pública de um determi-
nado utilizador.
Oliveira (2000, p. 408) afirma que o certificado digital “é o processo de garan-
tir que uma chave pública pertença efetivamente a uma pessoa ou entidade.
[...] é garantido pela assinatura digital de uma pessoa ou entidade confiável, a
Autoridade Certificadora (CA)”. Pode-se dizer, então que os certificados digi-
tais são ficheiros que contêm a chave pública e as informações pessoais do seu
dono, ou seja, associa a identidade do utilizador à sua chave pública correspon-
dente e são assinados digitalmente pela CA.
Para o mesmo autor, existem várias situações em que os certificados podem
ser revogados:
■ Quando estes possuem uma validade previamente definida depois da qual
deixam de produzir efeitos.
■ Quando uma chave é comprometida, pois, torna-se necessário proceder-
-se à sua invalidação.

Compete ao certificado digital, após a revogação, emitir listas de certificados


inválidos e disponibilizar essas listas a toda a comunidade de utilizadores.

SEGURANÇA INFORMÁTICA
89

VPN ou Rede Privada Virtual

Virtual Private Network (VPN) ou Rede Privada Virtual são túneis de criptogra-
fia entre pontos autorizados, criados através da Internet ou outras redes públicas
e/ou privadas para transferência de informações, de modo seguro, entre redes
corporativas ou usuários remotos.
A segurança é a primeira e mais importante função da VPN. Uma vez que
dados privados serão transmitidos pela Internet, que é um meio de transmissão
inseguro, eles devem ser protegidos de forma a não permitir que sejam modifi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

cados ou interceptados.
Outro serviço oferecido pelas VPNs é a conexão entre corporações (Extranets)
por meio da Internet, além de possibilitar conexões dial-up criptografadas que
podem ser muito úteis para usuários móveis ou remotos, bem como filiais dis-
tantes de uma empresa.
Uma das grandes vantagens decorrentes do uso das VPNs é a redução de
custos com comunicações corporativas, pois elimina a necessidade de links dedi-
cados de longa distância que podem ser substituídos pela Internet. As LANs
podem, através de links dedicados ou discados, conectar-se a algum provedor de
acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atra-
vés da Internet. Esta solução pode ser bastante interessante sob o ponto de vista
econômico, sobretudo nos casos em que enlaces internacionais ou nacionais de
longa distância estão envolvidos.
A seguir, são apresentadas as três aplicações mais importantes para as VPNs.
■ Acesso Remoto via Internet: o acesso remoto a redes corporativas atra-
vés da Internet pode ser viabilizado com a VPN através da ligação local
a algum provedor de acesso (Internet Service Provider - ISP). A estação
remota disca para o provedor de acesso, conectando-se à Internet e o sof-
tware de VPN cria uma rede virtual privada entre o usuário remoto e o
servidor de VPN corporativo por meio da Internet.
■ Conexão de Lans via Internet: uma solução que substitui as conexões
entre LANs através de circuitos dedicados de longa distância é a utiliza-
ção de circuitos dedicados locais interligando-as à Internet. O software
de VPN assegura esta interconexão formando a WAN corporativa. A

Mecanismos de Segurança da Informação


90 UNIDADE III

depender das aplicações, também se pode optar pela utilização de circuitos


discados em uma das pontas, devendo a LAN corporativa estar, prefe-
rencialmente, conectada à Internet via circuito dedicado local, ficando
disponível 24 horas por dia para eventuais tráfegos provenientes da VPN.
■ Conexão de Computadores numa Intranet: em algumas organizações,
existem dados confidenciais cujo acesso é restrito a um pequeno grupo
de usuários. Nestas situações, redes locais departamentais são implemen-
tadas fisicamente separadas da LAN corporativa. Esta solução, apesar de
garantir a “confidencialidade” das informações, cria dificuldades de acesso
aos dados da rede corporativa por parte dos departamentos isolados. As

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
VPNs possibilitam a conexão física entre redes locais, restringindo aces-
sos indesejados por meio da inserção de um servidor VPN entre elas.
Com o uso da VPN o administrador da rede pode definir quais usuários
estarão credenciados a atravessar o servidor VPN e acessar os recursos
da rede departamental restrita. Adicionalmente, toda comunicação ao
longo da VPN pode ser criptografada assegurando a “confidencialidade”
das informações. Os demais usuários não credenciados sequer enxerga-
rão a rede departamental.

Tunelamento

As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existên-


cia é anterior as VPNs. Ele pode ser definido como processo de encapsular um
protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo
componente a esta técnica: antes de encapsular o pacote que será transportado,
este é criptografado de forma a ficar ilegível caso seja interceptado durante o seu
transporte. O pacote criptografado e encapsulado viaja através da Internet até
alcançar seu destino no qual é desencapsulado e decriptografado, retornando ao
seu formato original. Uma característica importante é que pacotes de um deter-
minado protocolo podem ser encapsulados em pacotes de protocolos diferentes.
Por exemplo, pacotes de protocolo IPX podem ser encapsulados e transporta-
dos dentro de pacotes TCP/IP.

SEGURANÇA INFORMÁTICA
91

Segurança dos recursos humanos

Quando se fala em segurança informática é necessário levar em consideração


aspectos muito importantes como os recursos humanos, pois são estes que inte-
ragem diretamente com os recursos tecnológicos, com os sistemas e geram a
informação dentro da organização.
Grande parte dos problemas de segurança acontece internamente e na maioria
das vezes são causados (acidental ou intencionalmente) por colaboradores sem a
formação adequada, falta de experiência, negligência, insatisfação entre outros.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Para desenvolvimento deste ponto, alguns subpontos serão objetos de aná-


lise como o recrutamento, a formação e a segregação de responsabilidades.

Recrutamento

A segurança dos recursos humanos deverá começar desde a seleção dos can-
didatos, com os melhores requisitos para preencher os postos de trabalho
disponibilizados pela organização. Para os que irão lidar com informações crí-
ticas, as exigências deverão ser acrescidas relativamente a questões de segurança.
P. Silva (2003) afirma que no ato da contratação de um novo colaborador,
este deverá receber todas as informações que lhe permita estar a par do conjunto
das normas, regras e princípios existentes na organização, sobre as suas permis-
sões e o que lhe é proibido fazer. Isso é realizado através de um acordo entre o
colaborador e a organização, o que compromete o cumprimento de ambas as
partes. Esta atitude permite impedir que posteriormente possa surgir afirma-
ções de alegado desconhecimento dos princípios estipulados pela organização.
De acordo com Mamede (2006), a segurança dos recursos humanos apre-
senta os seguintes objetivos:
■ Reduzir os riscos de erro humano, roubo, fraude ou utilização indevida
de qualquer parte do sistema.
■ Assegurar que os utilizadores estão sensíveis às ameaças à segurança da
informação e que estão devidamente equipados para suportar a política
de segurança da organização no decurso normal das suas actividades.

Mecanismos de Segurança da Informação


92 UNIDADE III

■ Minimizar os danos de incidentes de segurança e mau funcionamento e


ainda aprender com esses mesmos incidentes.

Formação/sensibilização

Para a concretização dos objetivos mencionados, é fundamental a questão de


informação e formação/sensibilização de todos os colaboradores, principalmente
dos que lidam com informações críticas, estes precisam ter um nível mais ele-
vado de sensibilização para as questões de segurança.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Mamede (2006, p. 54) afirma que “a formação em segurança deve ser dispo-
nibilizada a todos os colaboradores que concebam, implementem ou efetuem a
manutenção de sistemas de rede, bem como a todos os colaboradores da orga-
nização, sensibilizando-os para os variados problemas”.
É igualmente importante a definição de um plano de carreira e salário capaz
de motivar o colaborador naquilo que ele faz. Convém ressaltar que para além
da remuneração direta (salário), há a remuneração indireta (planos de benefí-
cios: recompensa ou beneficio social como subsídio de férias, abono de família,
entre outros).

Segregação de responsabilidades

P. Silva (2003) defende que se deve evitar atribuir funções vitais a uma única
pessoa, estas devem ser atribuídas pelo menos a duas pessoas. A possibilidade
de falhas ou erros nas organizações podem muitas vezes estar relacionada com
a concentração de atividades ou funções críticas a uma única pessoa. No caso
de ausência destas pessoas ou de ocorrência de algum erro por parte destes, a
organização pode comprometer o seu funcionamento.

SEGURANÇA INFORMÁTICA
93
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

©shutterstock

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Para Dantas (2001), pode-se definir a política de segurança como um documento


que estabelece princípios, valores, compromissos, requisitos, orientações e res-
ponsabilidades sobre o que deve ser feito para alcançar um padrão desejável de
proteção para as informações. Ela é basicamente um manual de procedimentos
que descreve como os recursos de TI da empresa devem ser protegidos e utilizados
e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas,
ela torna-se inconsistentes e vulnerabilidades podem surgir.
A política tende a estabelecer regras e normas de conduta com o objetivo de
diminuir a probabilidade da ocorrência de incidentes que provoquem, por exem-
plo, a indisponibilidade do serviço, furto ou até mesmo a perda de informações.
As políticas de segurança geralmente são construídas a partir das necessidades
do negócio e eventualmente aperfeiçoadas pela experiência do gestor.
As políticas de segurança devem ter implementação realista e definir
claramente as áreas de responsabilidade dos utilizadores, do pessoal de
gestão de sistemas e redes e da direção. Deve também adaptar-se a altera-
ções na organização.

Política de Segurança da Informação


94 UNIDADE III

As políticas de segurança fornecem um enquadramento para a implementação


de mecanismos de segurança, definem procedimentos de segurança adequados,
processos de auditoria à segurança e estabelecem uma base para procedimentos
legais na sequência de ataques.
O documento que define a política de segurança deve deixar de fora todos
os aspectos técnicos de implementação dos mecanismos de segurança, pois essa
implementação pode variar ao longo do tempo. Deve ser também um documento
de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada
pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira
desta primeira). A ISO começou a publicar a série de normas 27000, em subs-
tituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO
27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibi-
tiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo
que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:
■ Disponibilidade: o sistema deve estar disponível de forma que quando
o usuário necessitar possa usar. Dados críticos devem estar disponíveis
ininterruptamente.
■ Utilização: o sistema deve ser utilizado apenas para os determinados
objetivos.
■ Integridade: o sistema deve estar sempre íntegro e em condições de ser
usado.
■ Autenticidade: o sistema deve ter condições de verificar a identidade dos
usuários, e este ter condições de analisar a identidade do sistema.
■ Confidencialidade: dados privados devem ser apresentados somente aos
donos dos dados ou ao grupo por ele liberado.

SEGURANÇA INFORMÁTICA
95

A política é a materialização da intenção do que se deseja fazer, e essa inten-


ção é transformada em princípios, valores, compromissos, requisitos, objetivos
e orientações sobre o que deve ser feito para alcançar um padrão desejável de
proteção para as informações. Nesse sentido, pode-se definir a política de segu-
rança da informação como: um documento que estabelece princípios, valores,
compromissos, requisitos, orientações e responsabilidades para com a segurança
da informação. A sua forma, escopo e detalhes estão diretamente relacionados
com as atividades de negócios e decisão da organização do nível e padrão de
segurança que se pretende alcançar.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Existem vários tipos de políticas, entretanto a norma ISO 27002:2005, ao


apresentar as diretrizes para uma política de segurança da informação, afirma
que esse documento deve conter:
■ Uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação como um mecanismo que habi-
lita o compartilhamento da informação.
■ Uma declaração de comprometimento da direção, apoiando as metas e
princípios da segurança da informação, alinhada com os objetivos e estra-
tégia de negócios.
■ Uma estrutura para estabelecer os objetivos de controle e quais são esses
controles, incluindo a estrutura de avaliação e gerenciamento de riscos.
■ Breve explanação das políticas, princípios, normas e requisitos de con-
formidade de segurança da informação específicos para a organização.
■ Definição das responsabilidades gerais e específicas na gestão da segu-
rança da informação, incluindo o registro dos incidentes de segurança
da informação.
■ Referências à documentação que possam apoiar a política, por exemplo,
políticas e procedimentos de segurança mais detalhados de sistemas espe-
cíficos ou regras de segurança que os usuários devem seguir.
Essa norma ainda orienta que a política deve ser comunicada a toda a organi-
zação para os usuários, de forma que seja relevante, acessível e compreensível
para o leitor em foco.

Política de Segurança da Informação


96 UNIDADE III

Mesmo com os melhores mecanismos de segurança implementados, a or-


ganização pode estar sujeita a ameaças ou riscos, sendo necessário um bom
plano de segurança que deverá especificar os procedimentos que irão ga-
rantir o funcionamento das atividades críticas e a continuidade de serviço.
(O autor).

CONSIDERAÇÕES FINAIS

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Com o grande avanço da internet, o ataque aos computadores teve um expressivo
aumento, seja por meio de vírus, worms (vermes), cavalos de Tróia, entre outros.
Esses ataques têm por finalidade causar danos nas máquinas (seja para causar pre-
juízos ou apenas por diversão), ou como tem acontecido nos últimos anos, ser cada
vez mais utilizado para fins lucrativos e maliciosos, como roubo de senhas, roubo de
números de contas bancárias e de cartões de crédito, o que a torna bastante perigoso.
Com hackers e crackers cada vez mais habilidosos criando softwares mais e
mais sofisticados, a internet se tornou um ambiente sem muita segurança, no qual
qualquer um que esteja conectado a ela, tanto o computador quanto o próprio
internauta, estão sujeito a todos os tipos de perigos que é oferecido. Os ataques
a computadores configuram-se em uma área em constante expansão, devendo
o internauta estar bem atento ao que acontece em seu computador.
Existem vários mecanismos de segurança que podem ser utilizados pelas
organizações a fim de manter seus dados seguros. Para isso, devemos levar em
consideração três níveis importantes: segurança lógica, segurança física e segu-
rança de recursos humanos. Enquanto a segurança lógica refere-se ao conjunto
de medidas que devem ser levadas a cabo para proteger os softwares e os dados/
informações, a segurança física destina-se a proteger os recursos físicos. Em para-
lelo aos recursos físicos e lógicos, estão os recursos humanos, fator de extrema
importância na garantia da segurança informática, pois são eles que interagem
diretamente com os recursos de TI, e por isso têm que estar sensibilizados e pos-
suir formação adequada para lidar com questões de segurança. A verdade é que
não se pode afirmar que nenhum dos níveis de segurança é mais importante que
outro, pois todos têm a sua importância e devem funcionar de forma integrada.

SEGURANÇA INFORMÁTICA
97

1. É o processo de conceder ou negar direitos a usuários ou sistemas, definindo


quais atividades poderão ser realizadas, desta forma, gerando os chamados per-
fis de acesso. Que tipo de controle de segurança se refere o termo acima?
a. Controle de Autenticação.
b. Controle de Auditoria.
c. Detector de Intrusos.
d. Chave de Acesso.
e. Controle de Acesso.
2. Os firewalls ajudam a impedir que crackers ou softwares mal-intencionados ob-
tenham acesso ao seu computador através de uma rede ou da Internet. Assim, é
correto afirmar que os firewalls:
a. Normalmente comparam os dados recebidos pela rede com as diretivas de
segurança e liberam ou bloqueiam os pacotes.
b. Impedem que os funcionários que trabalham na empresa executem ações
que comprometam o funcionamento da rede interna de computadores.
c. Fazem parte do Sistema Operacional do computador, por isso não podem vir
incorporados a roteadores ou modems de banda larga.
d. Já vêm instalados em todas as versões do Windows, mas não podem ser desa-
bilitados e nem desinstalados.
e. Dispensam a instalação de antivírus, pois bloqueiam automaticamente arqui-
vos suspeitos recebidos pela rede.
3. Alice e Maria são gerentes de uma mesma empresa que possui filial em diversos
estados do país. Maria trabalha no Rio de Janeiro e Alice no Rio Grande do Sul. As
duas manipulam informações de grande valor para a empresa, cuja divulgação
não autorizada pode comprometer os projetos em desenvolvimento na orga-
nização. Maria e Alice costumam criptografar os arquivos que trocam entre si
pela Internet para evitar acessos indevidos a eles. As duas gerentes utilizam uma
chave secreta na origem para codificar o arquivo e uma pública no destino para
decodificar o arquivo. O tipo de criptografia baseado em uso de chave secreta e
pública utilizado por Maria e Alice é:
a. Certificado digital.
b. Chave assimétrica.
c. Hash.
d. Chave simétrica.
e. Assinatura digital.
98

4. A função principal de uma ferramenta de segurança do tipo antivírus é:


a. Monitorar o tráfego da rede e identificar possíveis ataques de invasão.
b. Fazer backup de segurança dos arquivos considerados críticos para o funcio-
namento do computador.
c. Bloquear sítios de propagandas na Internet.
d. Verificar arquivos que contenham códigos maliciosos.
e. Evitar o recebimento de mensagens indesejadas de email, tais como mensa-
gens do tipo spams.
5. Sobre o mecanismo de segurança para controles lógicos. Observe as informa-
ções abaixo:
I. Firewall.
II. Criptografia.

III. Autenticação e Autorização.

IV. Blindagem.

V. Detector de Intrusos.
Podemos afirmar que:
a. Somente a afirmativa I está correta.
b. Somente as afirmativas II e III estão corretas.
c. Somente as afirmativas I, II, IV e V estão corretas.
d. Somente as afirmativas I, II, IIII e V estão corretas.
e. Todas as afirmativas estão corretas.
6. Um _________ refere-se aos meios técnicos de descobrir em uma rede de acesos
não autorizados que podem indicar a ação de um cracker ou até mesmo de fun-
cionários mal-intencionados.
a. Antivírus.
b. Firewall.
c. Sistema de Detecção de Intrusão (IDS).
d. Controle de Acesso.
e. Processo de Segurança.
99

COMPLIANCE NAS ORGANIZAÇÕES

Desde o século passado as sociedades se política interna de uma empresa, é impro-


preocupam em buscar mecanismos para vável que o Departamento de Compliance
obter maior controle sobre suas ativida- seja a unidade mais popular internamente,
des de modo a assegurar a estabilidade mas trata-se de um departamento com
de seus produtos no mercado. Em deter- grande importância na manutenção da
minados momentos, é possível notar que integridade e reputação de uma empresa.
as sociedades capitalistas identificaram a Embora os custos com Compliance sejam
necessidade de implantar regras visando muito altos, os custos pelas não conformi-
à correção dos problemas decorrentes do dades, mesmo que acidental, podem ser
capitalismo, a fim de fortalecer a sua eco- muito maiores para uma organização. O
nomia e desenvolver a credibilidade ao não cumprimento de leis e regulamentos
mercado de capitais. pode levar a pesadas multas monetárias,
sanções legais e regulamentares, além da
A partir dessas regras, surgiu o termo “com- perda de reputação.
pliance”, que advém do verbo “to comply”,
e significa agir de acordo com uma regra, Importante mencionar que as regras legais
uma instrução interna, um comando ou de compliance nasceram nos Estados Uni-
um pedido. dos, a partir de casos como, por exemplo,
a concordata da empresa americana Worl-
Compliance é um conjunto de disciplinas dcom e a falência da empresa Enron. Daí,
destinado a se fazer cumprir as normas e podemos extrair a importância da adoção
regulamentos, as políticas e as diretrizes de compliance para mitigar os riscos legais
estabelecidas para o negócio e para as ati- e de negócios.
vidades da organização, assim como evitar,
detectar e tratar qualquer desvio ou incon- No Brasil, as regras de compliance inicia-
formidade que possa ocorrer. ram-se no âmbito do sistema financeiro,
no qual as instituições financeiras obriga-
A palavra Compliance é basicamente o ram-se a adotar procedimentos rigorosos
atendimento de leis, normas e códigos de controle interno e de gerenciamento
organizacionais e de conduta, assim como de riscos, em consonância com as normas
aos princípios da boa governança corpo- internacionais.
rativa.
As novas exigências do mercado, decorren-
O Departamento de Compliance é o res- tes do crescimento e da profissionalização,
ponsável por garantir o cumprimento de têm obrigado muitas organizações a repen-
todas as leis, regras e regulamentos apli- sar seus modelos de gestão.
cáveis, tendo uma vasta gama de funções
dentro da empresa, como monitoramento Atualmente, as empresas, independente
de atividades, prevenção de conflitos de de estarem ou não sujeitas a determinado
interesses, entre outros. Atuando como a órgão regulador em razão das atividades
100

que desenvolvem, têm buscado adotar todas as áreas da empresa e assegurem o


mecanismos de controle e fiscalização no cumprimento de seus processos internos.
cumprimento de normas legais e regras
de conduta para garantir a adequada É possível perceber que as empresas em
administração de riscos inerentes ás suas compliance possuem maior acesso ao cré-
atividades, e, assim, minimizam tais riscos dito, pois apresentam menores riscos e, por
e por consequência evitam perdas finan- outro lado, conseguem aumentar a atuação
ceiras ou problemas ligados à sua imagem no mercado em que estão inseridas, pois
e reputação. transmitem aos seus clientes e potenciais
clientes maior segurança no cumprimento
No entanto, a compliance deve ir além da de suas obrigações.
simples adoção e verificação da confor-
midade e adequação às leis, deve buscar Aproximadamente entre 70 e 80% dos
inserir na cultura das organizações a consci- investidores está disposto a pagar um valor
ência de que cada indivíduo e colaborador maior no mercado de ações pelas organiza-
necessita conhecer, desenvolver e aplicar ções que praticam Governança Corporativa,
impedindo problemas e desconformidades isso acontece no mundo inteiro indepen-
que possam gerar diversas consequências dentemente do porte das empresas.
negativas.
Compliance é verdadeiramente um dos
Pode-se entender que as regras de com- pilares em que se apoia a Governança
pliance, para serem efetivas e cumprirem Corporativa e sua adoção demonstra clara-
seus objetivos, devem estar inseridas no mente o comprometimento das empresas
dia-a-dia das empresas, inclusive cultural- em fortalecer os seus negócios, através de
mente, de forma que busquem monitorar bases sólidas e sustentáveis.

Fonte: Fernandes e Abreu (2012).


MATERIAL COMPLEMENTAR

Segurança Informática nas Organizações


Henrique São Mamede
Editora: FCA – Editora Informática
Sinopse: a presente obra como principal objetivo fornecer as bases para a
compreensão e desenvolvimento de políticas e mecanismos de segurança
informática, nas suas várias perspectivas.

Material Complementar
GABARITO

1. E.
2. A.
3. B.
4. D.
5. D.
6. C.
Professora Esp. Adriane Joyce Xavier

AUDITORIA

IV
UNIDADE
DE SISTEMAS

Objetivos de Aprendizagem
■ Entender o conceito de auditoria.
■ Entender o conceito de auditoria de sistemas e as formas utilizadas
para levantamento de informações.
■ Conhecer as normas e ferramentas disponíveis no mercado que
auxiliam no processo de auditoria.

Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■ Auditoria
■ Auditoria de Sistemas
■ Normas e ferramentas de apoio à auditoria informática
105

INTRODUÇÃO

Como estudado no capítulo anterior, a segurança informática deve ser vista como
um processo de extrema importância nas organizações, sobretudo, devido às
mudanças que ocorrem constantemente no mundo das tecnologias, que influen-
ciam diretamente o comportamento das organizações.
Essa rápida evolução das tecnologias e a dependência cada vez maior das
mesmas, por parte das organizações, levam a uma necessidade cada vez maior
de controle, já que se trata de informações de vital importância para as empre-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

sas, tornando-se necessário que medidas de controle e de segurança de sistemas


sejam sistematicamente revisadas e avaliadas através de um processo de auditoria.
O processo de auditoria busca descobrir as irregularidades que ocorrem nos
centros de processamento da empresa, por meio de avaliação e adequação das
tecnologias e sistemas de informação utilizados. A auditoria efetua essa avalia-
ção por intermédio de revisão e avaliação dos controles, desenvolvimento de
sistema, procedimentos de TI, infraestrutura, operação, desempenho e segu-
rança da informação, sendo possível assim identificar e avaliar os possíveis riscos
como erros, falhas, irregularidades, ineficiência, que por ventura estejam ocor-
rendo, ou que possam ocorrer, e faz recomendações para correção e melhoria
dos controles internos a fim da diminuição dos riscos levantados.
A Auditoria também identifica os pontos que irão desagradar a alta admi-
nistração, para que estes possam ser corrigidos. Para isso, durante o processo
de auditoria, o auditor deve reunir, agrupar e avaliar evidências que ajudem a
determinar se certo sistema de informação suporta adequadamente um ativo
de negócio, de modo a manter a integridade das informações, e realizar os
objetivos esperados pela alta administração, atendendo as regulamentações e
leis estabelecidas.

Introdução
106 UNIDADE IV

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock

AUDITORIA

Segundo Dias (2000, p. 9), o conceito genérico de auditoria relaciona-se com


o exame das operações, processos, sistemas e responsabilidades gerenciais de
uma entidade ou organização, com o propósito de verificar a sua conformidade
com os objetivos e políticas organizacionais, orçamentos, normas ou padrões.
O termo auditoria esteve vinculado quase que exclusivamente ao campo
contábil, contudo, diversos autores têm um ponto de vista mais amplo e argu-
mentam que ela engloba toda a organização, estendendo seu campo de ação
com a comunidade: clientes, fornecedores, instituições públicas e privadas com
as quais a empresa se relaciona.
Cassaro (1997, p. 32) afirma que cabe à auditoria a responsabilidade de
examinar e avaliar a ocorrência de atos e fatos empresariais, com o objetivo de
assegurar que eles estejam em conformidade com as políticas, diretrizes e nor-
mas da administração.
Segundo Cassaro (1997, p. 32), “a auditoria é uma função de assessoria à
alta administração que, mediante a aplicação de procedimentos de trabalho ade-
quadamente planejados, obedecendo a normas e padrões geralmente aceitos,
contribui para o cumprimento das funções de controle das operações da empresa”.

AUDITORIA DE SISTEMAS
107

AUDITORIA DE SISTEMAS

Carneiro (2004, p. 21) afirma que “a auditoria informática é um conjunto de


procedimentos e de técnicas para avaliar e controlar total ou parcialmente um
sistema informático”.
A Auditoria Informática pode ser definida como um conjunto de procedi-
mentos e técnicas utilizados para avaliar e controlar um sistema informático com
a finalidade de constatar se suas atividades são corretas e de acordo aos regula-
mentos informáticos da organização. Deve avaliar a eficiência e eficácia do uso
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

adequado dos recursos de computação, gerenciamento de dados e se estas têm


fornecido apoio adequado aos objetivos e metas da empresa.
A Auditoria de Sistemas engloba o exame das operações, processos, sistemas
e responsabilidades de uma das áreas mais críticas e dispendiosas das empre-
sas, verifica o retorno dos investimentos em Tecnologia da Informação e exerce
uma função preventiva e saneadora ao confirmar a veracidade e integridade dos
registros e a confiabilidade das informações.
A Auditoria de Sistemas tem como objetivo analisar se as operações da área
de TI estão em conformidade com objetivos, políticas institucionais, orçamentos,
regras, normas, padrões e melhores práticas da empresa. Por meio da Auditoria
de Sistemas, a empresa promove transparência na governança de Tecnologia da
Informação, permite o controle de gastos, identifica a adoção de ferramentas e
sistemas mais adequados e garante melhores controles internos e uma análise
mais apurada dos riscos em TI.
Conforme afirma Mamede (2006, p. 416) “a auditoria faz parte integrante
do processo de segurança na organização, na medida em que permite avaliar
a implementação da política de segurança e identificar lacunas e omissões na
mesma, permitindo a introdução de alterações e ajustes na mesma.”.
A Auditoria Informática deverá avaliar os sistemas de informação de modo
geral desde suas entradas, procedimentos, controles, arquivos, segurança e
obtenção de informação, além disso, deve avaliar todo o ambiente envolvido:
equipamentos, centro de processamento de dados e software.
A auditoria informática segundo Carneiro (2004, p. 17) apresenta os seguin-
tes objetivos:

Auditoria de Sistemas
108 UNIDADE IV

■ Avaliar os meios físicos, as tecnologias adequadas e processamento dos


dados necessários para obter as informações necessárias.
■ Examinar a existência de controles apropriados e avaliar a sua eficácia.
■ Concluir sobre a qualidade e a utilidade da informação obtida.
■ Garantir a montagem e adequação de procedimentos e sistemas de controle
que assegurem a segurança do SI na sua relação direta com os materiais
informáticos (hardware e software).

Contudo, a concretização destes objetivos exige não só a definição de metodolo-

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
gias e técnicas específicas, mas é preciso também que o auditor disponha tanto
de conhecimentos técnicos como de algumas características como a honesti-
dade, objetividade, aptidão crítica, capacidade de análise e síntese, flexibilidade,
comunicação com clareza, tendência à atualização dos conhecimentos, possi-
bilidade de compreender rapidamente, capacidade de iniciativa e criatividade.
A auditoria de sistemas possui ao menos 4 etapas:
■ Planejamento e preparação.
■ Execução da auditoria.
■ Relatório de auditoria.
■ Plano de ação.

Essas etapas têm como resultado alguns documentos de grande importância para
a empresa, pois elas contêm informações sobre os riscos encontrados e a avalia-
ção desses riscos, os controles em conformidade ou não com normas, e ainda
recomendações de melhoria. Esses documentos são apresentados à área de TI e
à administração da empresa.
Além do relatório de auditoria funcionar como um “mapa” que mostra a
direção a ser seguida pela área de TI, serve também como um guia para auxiliar
a administração no planejamento estratégico, e na priorização de investimentos.
O levantamento das informações pode ser feito recorrendo a várias estraté-
gias, conforme descritas a seguir.

AUDITORIA DE SISTEMAS
109

ESTRATÉGIAS DA AUDITORIA

A informação pode vir de diversas formas e fontes, e deve-se levar em conta


uma escolha adequada de estratégias. Neste sentido, Carneiro (2004) destaca as
seguintes estratégias para a realização de uma auditoria:
■ Questionários.
■ Entrevistas.
■ Checklist.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Questionário

Os questionários são técnicas de levantamento de informação e consistem numa


série ordenada de perguntas, podendo ser respondidas sem a presença do audi-
tor. Segundo o pensamento de Gil (1999, p. 70) o questionário “corresponde
à elaboração de um conjunto de perguntas com a finalidade de verificação de
determinado ponto de controle do ambiente computacional”.
De acordo com Carneiro (2004, p. 72) os questionários devem ser “cuidadosa-
mente elaborados em conteúdo ou no que se refere à forma, é muito aconselhável
que estes questionários sejam muito específicos para cada situação”. Tudo isso,
para que seja de fácil entendimento por parte do auditado, podendo assim obter
as respostas que se pretende.
Gil (1999, p. 125) afirma ainda que o fato dos questionários poderem ser aplica-
dos a distância, podem estar sujeitos a interpretações subjetivas, contudo, este tipo
de estratégia possibilita um diagnóstico para depois obter maiores níveis de detalhes,
quando a sua aplicação se faz juntamente com outras técnicas como a entrevista.

Entrevista

A entrevista constitui outro instrumento de levantamento de informação e


se baseia em questões, previamente preparadas, as quais o entrevistado, na
presença do entrevistador, deve respondê-las. Essas entrevistas pordem ser
abertas ou fechadas.

Auditoria de Sistemas
110 UNIDADE IV

A entrevista é uma ferramenta primordial para obter informações sobre con-


troles internos e riscos de fraudes internas. A importância da entrevista para a
auditoria se deve ao fato de que, entre outras questões, os empregados envolvidos
diretamente no processo investigado possuem um conhecimento mais aprimo-
rado e, embora a maioria dos empregados não seja envolvida diretamente em
fraudes, podem originar pistas ou detalhes com relação a um possível suspeito
ou responsável.  A entrevista possui diversas vantagens e limitações, conforme
listadas a seguir.
Vantagens:

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Permite a obtenção de dados em profundidade acerca do comportamento
investigado.
■ Os dados obtidos podem ser classificados e quantificados.
■ Não exige que o respondente saiba ler ou escrever.
■ Maior flexibilidade no trabalho de investigação (pode-se explicar o sig-
nificado das perguntas, captar expressões corporais, tonalidade de voz e
ênfase das respostas).

Limitações:
■ Falta de motivação do entrevistado para responder.
■ Facilidade de fornecimento de respostas falsas.
■ Inabilidade ou incapacidade do entrevistado para responder (vocabulá-
rio insuficiente, problemas psicológicos).
■ Influência exercida pelo aspecto pessoal do entrevistador; Influência das
opiniões do entrevistador sobre as respostas do entrevistado.
■ Custo do treinamento dos entrevistadores e da aplicação das entrevistas.

A fim de conduzir uma entrevista eficiente, o entrevistador deve utilizar um tom


formal, amigável e não ameaçador. Deve seguir uma estrutura predeterminada
e conduzir a um levantamento de informações significativas. O entrevistador
deve ainda preparar um jogo de perguntas indiretas e diretas sobre o processo
analisado e, em complemento, uma indicação introdutória que explique a fina-
lidade da entrevista. Esta preparação ajustará o tom para uma entrevista séria,

AUDITORIA DE SISTEMAS
111

decidida e eficaz. A forma como as perguntas são estruturadas também é um


fator que pode influenciar no resultado da entrevista.
O entrevistador deverá possuir habilidade de criar um clima de confiança
e cooperação mútua por meio de um contato amistoso com o auditado. As
entrevistas devem ser previamente preparadas e o auditor não deve influen-
ciar o sentido das respostas, pois estas se constituem a forma de complementar
a informação fornecida na aplicação dos questionários e, por isso, um dos
momentos em que o auditor obtém informação relevante para o seu pro-
cesso de análise.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Por fim, devemos lembrar que a principal característica do auditor é conse-


guir ser um bom ouvinte e saber extrair informações até mesmo na ausência de
respostas para as perguntas.

Checklist

De acordo com Carneiro (2004) os Checklist são conversas informais ou conjunto


de perguntas de formulação flexível que conduzem o auditor a respostas coeren-
tes que permitem uma correta descrição dos pontos fracos e fortes. Igualmente
como as entrevistas, os checklists complementam as informações fornecidas pelos
questionários. Carneiro (2004, p. 73) ainda afirma que “regra geral, as checklist
devem ser respondidas oralmente, pois podem fornecer conteúdos mais indivi-
dualizados e mais ricos do que as outras formas”.
Apesar da decisão para realizar uma auditoria, depender das circunstân-
cias específicas de cada organização, P. Silva (2003) afirma que se deve escolher
o momento adequado para a realização de uma auditoria de segurança e aponta
algumas possibilidades nomeadamente:
■ Na nomeação do responsável pela segurança.
■ Após a implementação de medidas de segurança.
■ Com regularidade temporal e ainda em outras situações de testes pontuais.

As auditorias realizadas podem ser internas ou externas, conforme serão des-


critas a seguir.

Auditoria de Sistemas
112 UNIDADE IV

AUDITORIA INTERNA E AUDITORIA EXTERNA

Para Carneiro (2004) uma auditoria pode ser realizada tanto por recursos inter-
nos, realizadas por funcionários da organização a ser auditada (auditoria interna),
como por consultores externos, que são as entidades que não pertencem à organi-
zação auditada e normalmente se dedicam exclusivamente em firmas de auditoria
(auditoria externa).
Carneiro (2004, p. 8) afirma que a auditoria interna tem por função auxiliar
a equipe de gestão no seu desempenho, enquanto que, a auditoria externa é rea-

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
lizada normalmente quando se pretende “uma maior objetividade com relação à
auditoria interna, devido a um maior distanciamento entre auditores e auditados”.
Comparativamente com a auditoria externa, a auditoria interna segundo
Ferreira (2001) apresenta algumas vantagens dentre as quais podemos citar:
■ Não são tão perceptíveis aos funcionários quanto às auditorias externas.
■ São mais econômicas, pois neste caso, os auditores já conhecem o sis-
tema a ser analisado.
■ Atuam muito rapidamente nos casos de emergência.
■ São fortes fontes de consulta atualizada.
■ Constituem ponto de apoio e base para as auditorias externas; entre outras.

Apesar de todas as vantagens de auditoria interna mencionadas, Mamede (2006)


afirma que as melhores auditorias são realizadas por auditores externos, sem
quaisquer ligações com ambiente da organização, por estarem menos sujeito a
influência de subjetividade na produção dos resultados do processo.
Tanto na auditoria interna quanto na auditoria externa, segundo
Mamede (2006), é importante que a equipe dos
auditores assuma uma postura imparcial,
ou seja, não deverão existir problemas
de relacionamento pessoal entre os
auditores e os auditados, para não
interferir nos resultados do processo,
podendo dessa forma, traduzir a
realidade da organização.

AUDITORIA DE SISTEMAS
113

PRINCIPAIS ÁREAS DA AUDITORIA INFORMÁTICA

Conforme afirma Carneiro (2004, p. 114) “a auditoria da segurança do sistema


pode referir-se à segurança global de toda a instalação ou à segurança de uma
área particular e denomina-se então segurança específica”. Isto quer dizer que,
de acordo com as necessidades de cada organização se pode fazer uma análise
específica a cada área, ou então, pode ser feita uma análise completa e exaustiva
de todo o sistema informático. Este último, como afirma P. Silva (2003), por ser
mais abrangente, demora mais tempo; é também mais dispendioso, podendo ser
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

bastante volumosos os resultados obtidos com esse tipo de auditoria, contudo,


é importante que sejam resultados úteis. Tendo em mente as diferentes possi-
bilidades de testes e auditorias, podemos promover aqui uma referência a três
áreas principais que, de certa forma, acabam por abranger os recursos (lógicos,
físicos e humanos) que devem ser examinados/analisados no decorrer de uma
auditoria informática.

Auditoria em segurança física

A segurança física possibilita aos auditores verificar a conformidade dos proce-


dimentos, medidas e princípios utilizados, como os especificados pela política
de segurança referente aos recursos físicos. Carneiro (2009, p. 183) afirma que
“esta auditoria avalia as proteções físicas de dados, programas, instalações,
equipamentos, redes e suportes, e considera também a integridade física dos
utilizadores, por exemplo, condições de trabalho, medidas de evacuação, alar-
mes e saídas alternativas”.
Em relação a realização de uma auditoria na segurança física, de acordo
com Mamede (2006) deve ser levado em consideração um conjunto de tarefas,
as quais se destacam:
■ Verificação dos sistemas de energia: deverão verificar se existem siste-
mas de alimentação e proteção adequados. Se os equipamentos críticos
dispõem de sistemas de alimentação ininterrupta de energia elétrica que
suportam o seu funcionamento por um determinado período de tempo.
Se os não críticos estão ligados a estabilizadores de corrente eléctrica.

Auditoria de Sistemas
114 UNIDADE IV

■ Verificação das condições ambientais: devem ser verificadas as condi-


ções ambientais nas salas onde residem os equipamentos informáticos,
ou seja, se existem mecanismos que permitem controlar calor, umidade
e se existem sistemas de alerta em caso de alteração das condições ideais.
■ Verificação dos controles de acesso físico: deverão ser auditados aspectos
como verificar se as salas dos equipamentos informáticos e particular-
mente os dispositivos críticos dispõem de controles de acessos adequados,
permitindo o acesso apenas a pessoas autorizadas.
■ Verificação da existência de equipamentos e de planos de emergência:

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
deverão constar os extintores, alarmes de fogo e intrusão e, ainda deve-
rão verificar se tais equipamentos são regularmente testados.
■ Nível de monitorização física das localizações: os auditores deverão
verificar a presença de guardas, sistemas de vídeo-vigilância, sensores de
portas e sistemas de registos que permitam controlar as entradas e saídas.
■ Cablagem e montagem de elementos físicos: verificar em todas as áreas
onde existem equipamentos se os cabos estão montados de forma organi-
zada e com a devida identificação e certificar-se ainda de que os mesmos
encontram-se em locais de acesso controlado, para evitar a indisponibi-
lidade dos serviços.

Auditoria em segurança lógica

Grande parte dos ataques são realizados em aplicações e dados da empresa,


daí a necessidade de serem verificados periodicamente os aspectos referentes
à manutenção da segurança lógica, ou seja, validar e avaliar se os vários aspec-
tos relacionados a segurança lógica existem e se estão em conformidade com
os procedimentos definidos pela política de segurança da organização. Quando
se pretende efetuar uma auditoria de segurança lógica devem ser considerados
vários aspectos.
O controle de acesso é um dos aspectos importantes que se deve levar em
consideração, é o ponto mais suscetível a falhas. O objetivo do controle de acesso
é proteger dados, programas e sistemas contra tentativas de acesso não autori-
zadas promovidas por usuários ou outros programas.

AUDITORIA DE SISTEMAS
115

Nesse sentido, a auditoria de controle de acesso lógico permite identificar e


reduzir falhas de acesso aos recursos. Alguns procedimentos devem ser levados
em consideração neste tipo de auditoria, tais como: utilizar software de con-
trole de acesso; desabilitar as senhas de ex-funcionários; não armazenar senhas
em log; desabilitar contas inativas. Pode-se afirmar, neste caso, que o auditor
tem a tarefa de analisar como é feita a gestão das contas dos utilizadores desde o
momento da sua criação, respeitando os requisitos de segurança definidos até a
sua desativação, verificando ainda se apenas utilizadores autorizados possuem
acesso ao sistema.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Apesar de serem utilizados outros métodos de autenticação e controle de


acesso, tais como o método de biometria, o método mais utilizado, segundo
Carneiro (2009) é o de password, neste, deverão ser verificadas se as políticas
para a sua definição e utilização estão sendo aplicadas de acordo com as normas
e padrões definidos pela organização. Torna-se assim necessário considerar que
não é suficiente apenas a utilização de sistemas de password, mas é igualmente
importante que numa rede de computadores, as políticas existentes evitem que
os passwords sejam fáceis de descobrir, pois como Mamede (2006, p. 439) argu-
menta, “uma palavra-passe fraca é o suficiente para ultrapassar com sucesso por
todas as configurações seguras de servidores, atualizações de sistemas e regras
de firewall muito apertadas.”.
Para detectar tentativas de acesso não autorizado a um sistema P. Silva (2003)
afirma que devem ser realizados testes de intrusão, podendo ser realizados tanto
do interior da rede da organização, como a partir da organização. O auditor pode,
num cenário mais realista, assumir o papel de hipotético atacante, nesse caso ele
não tem qualquer conhecimento do sistema a testar, ou, pode obter o conheci-
mento completo das características do sistema a analisar e consequentemente
irá detectar maior número de vulnerabilidades.
Mamede (2006) afirma que devem tentar localizar todas as vulnerabilidades
existentes através dos acessos a serviços internos e ressalta que os pontos mais
vulneráveis de acessos a serviços internos são as ligações internet, modems ati-
vos, pontos de acesso sem fio e pontos de acesso através de rede virtual privada.
Desta forma, a auditoria deve ser alargada a todos estes pontos, para evitar que
elementos não confiáveis possuam acessos a recursos internos.

Auditoria de Sistemas
116 UNIDADE IV

Para que isso ocorra, Mamede (2006) destaca um conjunto de tarefas a serem
realizadas pelos auditores: localizar os dispositivos que estão visíveis e sujeitos
as tentativas de intrusão e suas vulnerabilidades diretas:
■ Routers, switches, servidores, entre outros.
■ Verificar a existência de várias camadas de segurança, se firewall e outros
dispositivos de segurança encontram-se devidamente configurados e atu-
alizados, verificando a sua conformidade com as políticas definidas pela
organização.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Pesquisar pontos de entrada que não sejam conhecidos, por exemplo,
localizar a existência de modems não autorizados na rede da organização.

O auditor deve ainda fazer uma auditoria às aplicações de uma organização, ou


seja, verificar se as aplicações dispõem dos requisitos e se são implementados
de acordo com as políticas de segurança vigentes. Assim sendo, alguns aspec-
tos deverão ser analisados, especificamente a política de atualização e a política
de controle de acesso.
Tendo em vista que as aplicações disponibilizem acessos a dados, estas devem
transcorrer de forma mais segura possível, evitando que informações críticas pos-
sam ser acessadas por entidades não autorizadas. Para evitar tal risco, Carneiro
(2004) ressalta a importância de um controle específico que permite que apenas
utilizadores autorizados tenham acesso a funções concretas dentro das aplicações.
O software antivírus é outro aspecto importante a considerar numa audi-
toria de segurança lógica, nesse caso, segundo Mamede (2006) o auditor deve
verificar a sua correta utilização, ou seja, verificar se o antivírus está a executar-
-se normalmente, se o software antivírus é atualizado regular e automaticamente,
se todos os serviços desnecessários estão desativados e se foram aplicadas todas
as atualizações ao sistema operativo.
Carneiro (2009, p. 187), argumenta que a continuidade das operações consti-
tui um aspecto importante que se deve considerar numa auditoria de segurança,
ou seja, além do documento sobre o plano de contingência, o auditor deverá
certificar de que este plano funciona com as garantias necessárias e com idonei-
dade técnica, “se é completo e atualizado, se cobre os diferentes processos, áreas
e plataformas [...]”. Outro ponto fundamental a ser validado numa auditoria

AUDITORIA DE SISTEMAS
117

de segurança, segundo o mesmo autor, é a existência de cópias atualizadas dos


recursos vitais. Essas cópias devem ficar em locais seguros e protegidos de aces-
sos indevidos e devem ainda, possibilitar a reposição de sistemas.

Auditoria em segurança dos recursos humanos

Segundo a norma ISO/IEC 27002 o objetivo da segurança de recursos humanos


é reduzir riscos de erros humanos, roubos, fraudes ou uso indevido das facilida-
des. Importa nesse sentido, referir que a auditoria de recursos humanos numa
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

organização vem no sentido de garantir estes objetivos, cabendo ao auditor fazer


um levantamento exaustivo dos requisitos da segurança de recursos humanos e
verificar se estes estão sendo aplicados.
Um dos aspectos a verificar na auditoria em segurança dos recursos huma-
nos é a possibilidade de ocorrência de ataques tais como a engenharia social. De
acordo com P. Silva (2003, p. 129) “este teste tem como objetivo detectar o grau
de vulnerabilidade da organização a ‘ataques sociais’”. São testes realizados com
simples tentativas de recolher informações pessoalmente, ou por telefone fazen-
do-se passar por terceiros, para ver até que ponto os utilizadores dos recursos
de TI estão sensibilizados com aspectos de segurança.
Faz sentido, considerar situações como a deficiente qualificação, omissões e
descuidos dos recursos humanos, apontadas por Carneiro (2009), como aspectos
a serem analisados numa auditoria. Assim, torna-se necessário ao auditor verifi-
car se estão estipulados nas políticas de segurança da organização programas de
sensibilização e formação e se os mesmos estão sendo realizados, estimulando
atitudes técnicas e de responsabilidade individual.
Mamede (2006) refere à necessidade da auditoria aos administradores dos
sistemas, pois muitas vezes, por existir muita concentração de funções, esta
sobrecarga pode levar a falta de cumprimento de algumas funções referentes a
práticas de segurança da organização.
Convém neste caso, segundo Mamede (2006, p. 429) verificar pontos como,
por exemplo, “criação de novas contas de acesso, alteração de privilégios de
acesso e de palavras-passe, verificar as políticas de gestão de palavras-passe
fracas e por todas as que não estão em conformidade com o estabelecido na

Auditoria de Sistemas
118 UNIDADE IV

política de segurança [...]”. Para Carneiro (2009), outro ponto importante a


ser considerado nesta auditoria é a existência de segregação de funções a fim
de impedir que perante a prática de uma fraude por parte de um colabora-
dor, não lhe seja possível ocultá-la. Carneiro (2009, p. 59) afirma ainda que “a
ausência ou inadequação da segregação de funções aumenta o risco da ocorrên-
cia de transações incorretas, de alterações impróprias e de danos em recursos
computacionais”.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
NORMAS E FERRAMENTAS DE
APOIO A AUDITORIA INFORMÁTICA

Para que a organização não fique exposta aos riscos que podem ocorrer em
seu sistema informático, é necessária a criação de controles que devem esta-
belecer um processo formal para avaliar, identificar e desenvolver respostas
aos riscos analisados pela auditoria. Por conta disso, as organizações devem
demonstrar controles crescentes em
segurança. Para isso, existem nor-
mas e ferramentas (frameworks)
como o CobiT, COSO e normas
ISO, que auxiliam os gerentes de
TI em seus objetivos, alinhados
com os objetivos da organização.
A seguir, serão apresentadas algu-
mas das ferramentas e normas que
podem auxiliar as organizações a
melhorarem o seu ambiente de con-
trole em segurança da informação
dos recursos de TI.

AUDITORIA DE SISTEMAS
119

CobiT

ISACA define CobiT como um conjunto de ferramentas de apoio que permite


aos gestores definir uma política, com base nas boas práticas, para controle de
TI, em outras palavras, ajuda a controlar e compreender benefícios e reduzir os
riscos associados a utilização de TI.
O Cobit (Control Objectives for Information and related Technology) é um
guia de boas práticas dirigido à gestão de Tecnologia da Informação e repre-
senta um consenso de especialistas da área. Tais práticas são fornecidas através
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

de um modelo de domínios e processos e apresenta atividades em uma estru-


tura lógica e gerenciável.
O CobiT foi criado inicialmente para a auditoria de TI e representava uma
compilação de itens a serem verificados na auditoria. À medida que este foi evo-
luindo em suas diversas versões, acabou se tornando um modelo de controle de
governança de TI.
Vale salientar que o CobiT não é um padrão definitivo, ele serve como apoio
para a implementação de controles na governança de TI.
O CobiT está orientado para auxiliar três audiências distintas:
■ Gerentes que necessitam avaliar o risco e controlar os investimentos de
TI em uma organização.
■ Usuários que precisam ter garantias de que seu produto e serviço de TI
estão sendo bem gerenciados.
■ Auditores que podem se apoiar nas recomendações do CobiT para avaliar
o nível da gestão de TI e aconselhar o controle interno da organização.

Apesar de essas três audiências estarem interligadas, é sobre esta última que inte-
ressa enfocar nesse capítulo, ou seja, o que se pretende é destacar o CobiT como
um padrão das melhores práticas para a realização de auditorias, constituindo
assim uma ferramenta importante para auxiliar uma organização na gestão con-
trolada das suas TI.
A visão deste modelo, segundo Pedro (2005), “[...] sustenta que a sobrevivência
das organizações depende da gestão efetiva da informação e da tecnologia”. Gestão
essa, que conforme afirma o mesmo autor está associada a quatro problemas:

Normas e Ferramentas deApoio a Auditoria Informática


120 UNIDADE IV

■ Aumento da dependência das organizações relativamente as Tecnologia


da Informação e Comunicação (TIC).
■ Aumento das vulnerabilidades e ameaças, a que as organizações que lidam
com as TIC estão sujeitas.
■ Escala de custos com o SI (Sistemas de Informação), ou seja, os investi-
mentos cada vez maiores que as organizações de diferentes setores fazem
nas TIC.
■ O grande potencial associado à utilização adequada das TIC em todos os
processos organizacionais.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Segundo Ferreira (2001), CobiT encontra-se estruturado em quatro domínios:
■ Planejar e Organizar (PO): a fase do planeamento estratégico das TIC
de acordo com a estratégia da organização.
■ Adquirir e Implementar (AI): após o planejamento identificam-se as
soluções e procede a sua execução, controlando as mudanças que cons-
tantemente ocorrem.
■ Produzir e Suportar (DS): o objetivo aqui é fornecer serviços eficien-
tes, mas é importante assegurar que o sistema continue a funcionar a um
nível desejado e de forma contínua, mesmo perante situações de desastre.
■ Monitorar e Avaliar (ME): consiste na verificação de todos os processos
e na avaliação da adequação dos controles internos.

Cada domínio é constituído por um conjunto de processos que auxiliam os ges-


tores e auditores no controlo das TIC. Contudo, convém salientar que o CobiT
não é uma solução pronta, devido a sua flexibilidade ele pode ser adaptado con-
forme as necessidades de cada organização, dependendo das atividades sobre as
quais se pretende ter o controle.
O CobiT apresenta inúmeras vantagens entre as quais ISACA destaca os
seguintes:
■ Ajuda os gestores a alinhar os seus objetivos com os da organização.
■ Possibilita aos gestores uma visão mais alargada sobre o papel/impor-
tância das TIC.

AUDITORIA DE SISTEMAS
121

■ Ajuda os gestores na aplicação das melhores práticas, através de um con-


junto de ferramentas que auxiliam uma gestão mais flexível das TIC.
■ Ajuda na redução dos riscos.

Você sabe o que é governança de TI?


É o alinhamento da TI com o negócio da empresa, é ter uma organização
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

eficiente, ter controle sobre toda informação que circula dentro da organi-
zação justamente por uma questão de transparência da informação.
Fonte: o autor.

COSO

COSO (Committee of Sponsoring Organizations of the Treadway Commission) é


uma iniciativa conjunta de cinco organizações do setor privado dedicado a orien-
tações sobre gerencimento de riscos corporativos, controle interno e dissuassão
da fraude, ou seja, orienta as empresas em como prevenir e evitar fraudes nos
procedimentos e processos internos da empresa.
Pedro (2005) afirma que COSO é “um modelo de gestão de risco empre-
sarial [...] que pode ser útil para o desenho e enquadramento da auditoria das
tecnologias de informação e comunicação”. Pode-se então afirmar que este é mais
um método que fornece recomendações de como avaliar e melhorar os sistemas
de controle, tendo por base a gestão dos riscos empresariais, podendo assim, a
organização estar mais capacitada para lidar com as incertezas e ter um sistema
de informação mais fiável.
Segundo Rego et al. (s.d.) o modelo COSO apresenta a grande vantagem
de oferecer uma solução ideal para o processo de gestão de riscos das organiza-
ções, já que este baseia-se na gestão de risco. Este modelo ultrapassa o enfoque
tradicional que baseava na avaliação abrangente dos controles e assenta numa
auditoria baseada em riscos. Uma auditoria centrada em risco é mais eficaz que

Normas e Ferramentas deApoio a Auditoria Informática


122 UNIDADE IV

a auditoria centrada apenas nos controles, pois o auditor, nesse caso, pode dire-
cionar o seu trabalho diretamente para áreas de maior risco, em vez de identificar
os controles. A finalidade da auditoria baseada em riscos é a de antecipar e preve-
nir riscos, ou seja, há um processo de levantamento da informação que permite
ao auditor identificar os riscos e as formas de mitigar tais riscos.
Existe um relacionamento direto entre os objetivos que uma organização se
empenha em alcançar e os componentes do gerenciamento de riscos corporativos
que representam aquilo que é necessário para o seu alcance. Esse relacionamento
é apresentado na figura 1, por meio de uma matriz tridimensional, em forma de

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
cubo, na qual se apresentam as quatro categorias de objetivos (estratégicos, ope-
racionais, de comunicação e conformidade) que estão representadas nas colunas
verticais. Os oito componentes, nas linhas horizontais, a organização e as uni-
dades de uma organização, na terceira dimensão do cubo.

Figura 1 – Cubo tridimensional do COSO


Fonte: Coso (2007, p. 7).

A figura ilustra a capacidade de manter o enfoque na totalidade do gerencia-


mento de riscos de uma organização, ou na categoria de objetivos, componentes,
unidade da organização ou qualquer um dos subconjuntos.

AUDITORIA DE SISTEMAS
123

O gerenciamento de riscos corporativos é constituído de oito componentes


inter-relacionados, que se originam com base na maneira como a administração
gerencia a organização, e que se integram ao processo de gestão. Esses compo-
nentes são os seguintes:
■ Ambiente Interno: o ambiente interno determina os conceitos básicos
sobre a forma como os riscos e os controles serão vistos e abordados pelos
empregados da organização.
■ Fixação de Objetivos: os objetivos devem existir antes que a administração
identifique as situações em potencial que poderão afetar a realização destes.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

■ Identificação de Eventos: os eventos em potencial que podem impac-


tar a organização devem ser identificados, uma vez que esses possíveis
eventos, gerados por fontes internas ou externas, afetam a realização dos
objetivos. Durante o processo de identificação de eventos, estes poderão
ser diferenciados em riscos, oportunidades, ou ambos.
■ Avaliação de Riscos: os riscos identificados são analisados com a finali-
dade de determinar a forma como serão administrados e, depois, serão
associados aos objetivos que podem influenciar. Avaliam-se os riscos
considerando seus efeitos inerentes e residuais, bem como sua probabi-
lidade e seu impacto.
■ Resposta a Risco: os empregados identificam e avaliam as possíveis res-
postas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administração
seleciona o conjunto de ações destinadas a alinhar os riscos às respecti-
vas tolerâncias e ao apetite a risco.
■ Atividades de Controle: políticas e procedimentos são estabelecidos e
implementados para assegurar que as respostas aos riscos selecionados
pela administração sejam executadas com eficácia.
■ Informações e Comunicações: a forma e o prazo em que as informa-
ções relevantes são identificadas, colhidas e comunicadas, permitem que
as pessoas cumpram com suas atribuições.
■ Monitoramento: a integridade do processo de gerenciamento de riscos
corporativos é monitorada e as modificações necessárias são realizadas. O
monitoramento é realizado por meio de atividades gerenciais contínuas,
avaliações independentes ou uma combinação desses dois procedimentos.

Normas e Ferramentas deApoio a Auditoria Informática


124 UNIDADE IV

De acordo com Pedro (2005) “a gestão de risco empresarial permite aos gestores
lidar eficazmente com a incerteza e risco associado, melhorando a capacidade de
criar valor”. No entendimento de COSO o objetivo de qualquer entidade é criar
valor, mas para isso está sujeito a riscos, pois existem as incertezas. A gestão de
risco capacita uma organização a estar preparada para as incertezas.

Norma ISO/IEC 27002

Anteriormente, esta norma era conhecida

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
como ISO 17799, mas a partir de 2007, foi
incorporado um novo sistema de numera-
ção e passou a ser conhecida por ISO 27002.
A ISO 27002 tem por objetivo estabele-
cer diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de
segurança da informação em uma organização.
Em outras palavras, significa que esta norma asse-
gura que as informações que são consideradas importantes para a continuidade
e manutenção dos objetivos do negócio estarão protegidas.
Para a concretização dos processos de gestão de segurança da informação,
a norma ISO 27002, encontra-se organizada em onze capítulos com o objetivo
de abranger os diferentes tópicos ou áreas de segurança.
■ Política de segurança da informação.
■ Organizando a segurança da informação.
■ Gestão de ativos.
■ Segurança em recursos humanos.
■ Segurança física e ambiental.
■ Gestão de operações e comunicações.
■ Controle de acesso.
■ Gestão de incidentes de segurança da informação.
■ Gestao de continuidade do negócio.
■ Conformidade.

AUDITORIA DE SISTEMAS
125

Esta estrutura mostra a abrangência desta norma, o que significa que ela possui
implicações na organização como um todo. Nota-se ainda que a ISO não aponta
medidas específicas para cumprir os requisitos inerentes de segurança, mas for-
nece uma base comum, ou seja, oferece sugestões de segurança que apontam
para níveis de segurança extremamente elevados, os quais devem ser adaptados
às reais necessidades de cada organização.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

O gerenciamento de riscos corporativos não apenas permite identificar, ava-


liar e administrar riscos diante de incertezas, como também integra o pro-
cesso de criação e preservação de valor.
Fonte: Coso (2007, p. 13).

CONSIDERAÇÕES FINAIS

Perante um mundo tecnológico cada vez mais complexo e dinâmico no qual se


vive hoje, torna-se necessária uma mudança de cultura nas organizações, inse-
rindo medidas de controle que garantem a segurança do sistema informático.
Surge daí a importância da prática da auditoria como meio fundamental para
implementar controles adequados, podendo dessa forma, acompanhar este dina-
mismo e reduzir os riscos a ele direcionados. Esta prática é feita tendo por base
vários padrões internacionais, alguns deles destacados neste capítulo.
Pode-se afirmar que a auditoria se resume em um conjunto de procedi-
mentos que permite verificar a aplicação e eficácia de controles apropriados à
organização, ou seja, verificar se uma organização possui as práticas de segu-
rança no seu sistema informático e se as mesmas estão em conformidade com
as regras e procedimentos existentes na política de segurança da organização.

Considerações Finais
126 UNIDADE IV

Apesar de a auditoria ser de grande importância no desempenho de um sistema


informático, suas atividades não devem ser excessivas para não interferir no fun-
cionamento da organização.
Deve-se verificar se existem práticas de segurança adequadas e se os pro-
cedimentos adaptados estão em conformidade com a política de segurança, e
com esta finalidade, são feitas avaliações periódicas com recurso a auditoria de
segurança. Este deve ser um recurso complementar no processo de segurança e
apesar de ser uma prática adaptada na sua grande parte apenas por grandes orga-
nizações, poderá ser também praticada por organizações de qualquer dimensão,

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
pois desta forma, estando a informação protegida, pode ser utilizada como uma
vantagem estratégica, agregando valor para a organização.
Por fim, também vimos que para auxiliar a auditoria interna da empresa,
existem algumas ferramentas e normas como o Cobit, COSO e a norma ISO
27002, os quais são muito úteis para auxiliar o auditor no processo de controle,
avaliação, identificação de problemas e ainda no desenvolvimento de soluções
para possíveis problemas que possam ocorrer nas organizações.

AUDITORIA DE SISTEMAS
127

1. Sobre a auditoria de sistemas é correto afirmar:


a. Refere-se ao exame das operações, processos, sistemas e responsabilidades
gerenciais de uma entidade ou organização, com o propósito de verificar a sua
igualdade com os objetivos e políticas organizacionais, orçamentos, normas
ou padrões.
b. Pode ser definida como um conjunto de procedimentos e técnicas utilizados
para avaliar e controlar um sistema informático com a finalidade de constatar
se suas atividades são corretas e de acordo com os regulamentos informáticos
da organização.
c. Está diretamente relacionada com proteção de um conjunto de informações,
no sentido de preservar o valor que possuem para um indivíduo ou uma or-
ganização.
d. É utilizado para descrever um sistema, seja ele automatizado ou manual, que
abrange pessoas, máquinas e/ou métodos organizados para coletar, proces-
sar, transmitir e disseminar dados que representam informação para o usuário
e/ou cliente.
e. Desenvolve relatórios sobre o desempenho atual da organização, permitindo
monitorar e controlar a empresa e até mesmo prevê seu desempenho futuro.
2. Considerando as definições apresentadas a respeito da auditoria de sistemas, é
correto afirmar que a auditoria de sistemas de informação:
a. Pode ser feita por profissionais internos à empresa proprietária dos sistemas.
b. Não abrange os sistemas de bancos de dados da empresa.
c. Não pode ser feita por profissionais externos à empresa proprietária dos sis-
temas.
d. Não se importa com o tipo de controle existente nos sistemas de informação.
e. Somente deve ser feita uma vez a cada dois anos.
3. Sobre os objetivos referentes à auditoria de sistemas, analise as informações
abaixo:
I. Examinar a existência de controles apropriados e avaliar a sua eficácia.
II. Avaliar os meios físicos, as tecnologias adequadas e processamento dos dados
necessários para obter as informações necessárias.
III. Concluir sobre a qualidade e a utilidade da informação obtida.
IV. Garantir a montagem e adequação de procedimentos e sistemas de controle.
V. Permitir a obtenção de dados em profundidade acerca das informações regis-
tradas.
128

Podemos afirmar que:


a. Somente a afirmativa I está correta.
b. Somente as afirmativas III e V estão corretas.
c. Somente as afirmativas II, III e IV estão corretas.
d. Somente as afirmativas I, II, III e IV estão corretas.
e. Todas as afirmativas estão corretas.
4. O que permite aos auditores verificar a conformidade dos procedimentos, me-
didas e princípios utilizados como os especificados pela política de segurança
referente aos recursos físicos?
a. Auditoria em Segurança Lógica.
b. Auditoria em Segurança Física.
c. Auditoria Interna.
d. Auditoria em Segurança de Recursos Humanos.
e. Auditoria Externa.
5. ______________ é um conjunto de ferramentas de apoio que permite aos ges-
tores definir uma política com base nas boas práticas, para controle de TI, em
outras palavras, ajuda a controlar e compreender benefícios e reduzir os riscos
associados a utilização das TI. Que informação preenche corretamente a lacuna
acima?
a. Auditoria.
b. Auditoria de Sistemas.
c. COSO.
d. Norma ISO 27002.
e. Cobit.
129

FERRAMENTAS PARA AUDITORIA DE SISTEMAS E SUAS VANTAGENS.

Em todo e qualquer trabalho de auditoria nos e detecção de fraudes, além de ler,


interna, as ferramentas que serão utiliza- exibir, manipular e analisar amostras ou
das no seu desenvolvimento devem ser extratos de arquivos de dados, a partir de
baseadas nos instrumentos que foram diversas fontes diferentes (desde main-
desenvolvidos e aplicados na auditoria frames até PCs).
externa. Essas ferramentas serão instrumen-
• Pentana: É um software para realização
tos que o auditor possuirá para conseguir
de planejamento de auditoria e moni-
alcançar suas metas, tal como foram defi-
toramento de recursos, registro de
nidas no planejamento prévio da auditoria,
check-lists, programas de auditoria, dese-
independente do seu caráter. Elas podem
nho e gerenciamento de planos de ação.
ser classificadas como generalistas, de uti-
Muito útil para governança e adequação
lidade geral, ou especializadas.
a leis. Também apresenta resultados em
gráficos coloridos em alta resolução e
As ferramentas classificadas como gene-
produz, automaticamente, documentos
ralistas são os softwares que possuem a
MS Office, com base em relatórios prévios
capacidade de processar, analisar e simular
de auditoria e formulários.
amostras, sumarizar, apontar possíveis dupli-
cidades, gerar dados estatísticos e diversas
As ferramentas de utilidade geral podem
outras funções que o auditor pode desejar.
ser classificadas com softwares utilitários,
próprios para a execução de funções muito
Com esse tipo de ferramenta, você estará
comuns de processamento, como sortear
utilizando softwares que processam vários
arquivos, concatenar, sumarizar e gerar
arquivos ao mesmo tempo, em diferentes
relatórios. Sua grande vantagem está na
formatos e tamanhos, que permitem a
capacidade que possuem de servir como
integração sistêmica com outros tipos de
substitutos na ausência de recursos mais
softwares e hardwares e reduzem a depen-
completos.
dência de auditor quanto ao especialista
de informática.
As ferramentas especializadas são softwares
desenvolvidos para executarem atividades
Alguns exemplos de softwares generalistas
em certos momentos específicos. Podem
são:
ser desenvolvidos pelo auditor, por ter-
• Audit Command Language (ACL): pode ceiros, contratados pelo auditor ou por
auxiliar auditores na realização de tes- especialistas da empresa que está sendo
tes em arquivos de dados, entre outras “auditada”. A grande vantagem desse tipo
funções. de ferramenta é que o auditor pode desen-
• Interactive Data Extraction & Analisys volver um software especializado, em uma
(IDEA): Atua na extração e análise de área muito complexa, utilizando isso como
dados utilizados para controles inter- uma vantagem competitiva.
130

Por fim, os softwares de controle das ati- parte de hardware quanto de software.
vidades do corpo de funcionários são
utilizados para, além de estabelecer esse Alguns exemplos de softwares para con-
controle sobre as equipes, permitirem o trole de atividades são:
gerenciamento das redes e comunica-
• Suíte Trauma Zer0, que possui recursos
ções, ajudando a evitar que a empresa seja
para realizar descobrimento de softwa-
lesada, por meio de espionagem indus-
res e tipos de arquivos, além de rastrear
trial, engenharia social, de colaboradores
a localização física de recursos, realizar
que podem enviar formulários e/ou cur-
auditorias remotas e bloquear aplicações
rículos, mantendo, assim, contato com
e URL’s, entre outras funções.
concorrentes e, até, com o simples envio
despreocupado de informações estratégi- • MailMarshal Exchange, que controla e
cas da empresa. monitora a troca de mensagens internas
de corporações que fazem uso do Micro-
Fazendo uso desse tipo de ferramenta, você soft Exchange, auxiliando na manutenção
conseguirá: de um ambiente de trabalho seguro e
muito mais produtivo e ainda na prote-
• Rastrear e registrar, automaticamente, as ção contra os incômodos vírus e spams.
mudanças de localização e de configu-
ração de dispositivos, com alertas para • Velop Escudo, que é importante para
cada mudança, criando um rastro mais evitar a perda de produtividade, blo-
do que eficiente. quear spams, prevenir ataques de vírus,
interrupções nos negócios e congestões
• Auditar máquinas de usuários remotos, na rede, além de racionalizar recursos
através de qualquer conexão IP. de computação e minimizar o risco de
• Acessar relatórios que mostrem os níveis infrações legais e de ações judiciais no
de acesso aos computadores, sabendo, trabalho, acompanhando e qualificando
por exemplo, a que horas um usuário fez os resultados, em tempo real.
login ou logout.
Portanto, deve-se estar sempre atento às
• Criar regras de notificação para o caso ferramentas que podem ser muito úteis,
de um sistema de qualquer computa- na hora de realizar uma auditoria em uma
dor, com agente, for alterado, tanto na organização!

Fonte: Teruel (on-line)3.


MATERIAL COMPLEMENTAR

Auditoria de Sistemas de Informação


Joshua Onome Imoniana
Editora: Atlas
Sinopse: Auditoria da tecnologia da informação reúne um conjunto de
conhecimentos e práticas empresariais em constante mutação, exigindo dos
profissionais das áreas organizacionais constante atualização.

Material Complementar
GABARITO

1. B.
2. A.
3. D.
4. B.
5. E.
Professora Esp. Adriane Joyce Xavier

DESENVOLVIMENTO

V
UNIDADE
DE SOFTWARE SEGURO

Objetivos de Aprendizagem
■ Entender a importância de se desenvolver um software com
segurança.
■ Conhecer as atividades e processos que podem ser utilizados no
desenvolvimento do software seguro.
■ Conhecer os modelos de maturidade que podem ser utilizados para
controle e desenvolvimento de um software seguro.

Plano de Estudo
A seguir, apresentam-se o tópico que você estudará nesta unidade:
■ Desenvolvimento de Software Seguro
135

INTRODUÇÃO

A cada dia um número maior de computadores está conectado a Internet e conco-


mitante a esta expansão crescem também os ataques aos sistemas informatizados,
colocando softwares, organizações e usuários em grande risco. Mesmo com as
organizações adotando mecanismos de controles e políticas de segurança, o sof-
tware sempre foi e será o vetor de ataques.
Os estudos para o desenvolvimento de software seguro surgiram devido aos
sucessivos ataques às aplicações, que exploraram vulnerabilidades que até então,
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

não tiveram seu grau de periculosidade analisado e avaliado corretamente.


Nos dias atuais, a preocupação com a segurança no desenvolvimento de
Software tornou-se o agente mais importante para a garantia na credibilidade
do uso de um aplicativo, bem como as informações gerenciadas pelo mesmo,
frente aos inúmeros tipos de ameaças as instituições e aplicações em todo mundo.
No desenvolvimento de software, a qualidade do produto está diretamente
relacionada à qualidade do processo de desenvolvimento, sendo comum, por-
tanto, que a busca por um software de maior qualidade passe necessariamente
por uma melhoria nesse processo. (TSUKOMO 1997).
Apesar de grande parte dos sistemas de informação possuir a segurança
como requisito fundamental, constantemente há notícias sobre vulnerabilida-
des e falhas de segurança. Isto se deve principalmente pelo fato deste requisito
ser raramente considerado nos estágios iniciais do desenvolvimento de software
e ser delegado como segundo plano ao longo do mesmo. Portanto, são necessá-
rias novas formas de desenvolver um software seguro, baseadas não somente na
aplicação das teorias existentes, como na adoção de um processo de desenvolvi-
mento que considere os requisitos de segurança como parte integral do projeto
de construção de software. Neste contexto, a utilização de padrões de projeto de
segurança e de uma abordagem orientada a modelos pode auxiliar arquitetos e
projetistas a construir sistemas seguro.

Introdução
136 UNIDADE V

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock

DESENVOLVIMENTO DE SOFTWARE SEGURO

A melhor maneira de desenvolver um software seguro é incorporar a segurança


desde o início do desenvolvimento de software. Além disso, o desenvolvedor
deve conhecer as vulnerabilidades em diferentes artefatos do ciclo de vida do
desenvolvimento do software, para que estes possam ser removidos assim que
possível, pois quanto mais cedo forem identificadas as vulnerabilidades, menores
serão os gastos no projeto, sendo de suma importância que os níveis de segu-
rança de um produto sejam mensurados de acordo com o risco que apresenta. 
É importante conhecer as vulnerabilidades de cada etapa do desenvolvi-
mento, para que as ameaças iminentes possam ser removidas da forma mais
célere possível, eliminando assim, os riscos da má gestão de custos e da desco-
berta de vulnerabilidades já na finalização do software. Quando a empresa sofre
essas ameaças como ataques ou tentativas de ataques, é importante coletar dados
das situações anteriores, a fim de que, esses dados possam ser analisados sem-
pre que um novo sistema for desenvolvido. 

DESENVOLVIMENTO DE SOFTWARE SEGURO


137

Os níveis de segurança de um produto alteram de acordo com o âmbito de


negócio que a empresa possui, logo é importante os stakeholders para propor
quais serão os critérios de avaliação para a implantação da segurança e quais
serão os níveis de segurança.
A segurança em aplicações visa manter a confidencialidade, integridade e
disponibilidade dos recursos de informação a fim de permitir que as operações
de negócios sejam bem sucedidas. Geralmente é mais barato construir software
seguro do que corrigir as vulnerabilidades de segurança após a entrega do software.
Para que os problemas no desenvolvimento de softwares sejam atenuados,
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

é necessário adotar padrões de códigos, normas e manuais de segurança a fim


de que se possam evitar erros no código fonte, além da etapa de testes que será
muito importante a cada nova implementação de levantamento de requisitos.
Normalmente, uma má gestão no processo de desenvolvimento de software
pode levar a um código mal estruturado e por sua vez a problemas de segurança.
Oferecer um software seguro é obrigação do desenvolvedor e para que este
objetivo seja alcançado é necessário avaliar a segurança de todo o ciclo de vida
de desenvolvimento da aplicação. Esta avaliação melhora os produtos de TI, pois
identifica vulnerabilidades ou erros que podem ser corrigidos pelo desenvolvedor,
reduzindo a probabilidade de futuras falhas de segurança, além disso, faz o desen-
volvedor tomar mais cuidado com a estrutura e desenvolvimento do software.
Abaixo, estão relacionadas algumas boas práticas de segurança que auxiliam
no desenvolvimento de softwares:
■ Gerenciamento de código fonte: uma ferramenta para gerenciamento de
código fonte permite organizar a interação entre desenvolvedores, garantir
a integridade e possibilitar o gerenciamento de versões do código, evi-
tando equívocos relacionados à versão colocada em produção.

■ Realização de testes: utilização de teste, desde pequenos trechos de código


por vez (como os testes unitários), até práticas que buscam uma avalia-
ção geral do software.

■ Gerenciamento de correção de bugs: a utilização de uma ferramenta de


Bug Tracking permite manter registro das falhas encontradas no sistema
e facilitar a comunicação entre os envolvidos na identificação e corre-
ção de bugs.

Desenvolvimento de Software Seguro


138 UNIDADE V

■ Utilização de processo de integração contínua: essa prática busca garan-


tir a qualidade no software desenvolvido, automatizando verificações no
processo de build da ferramenta, garantindo assim, que seja possível gerar
um novo release com o mínimo possível de bugs.
■ Documentação do software e da arquitetura que o suporta: uma docu-
mentação clara da arquitetura e código fonte ajuda a aumentar a qualidade
do software desenvolvido. Uma documentação clara, objetiva e bem
estruturada é de fundamental importância para que o software possa ser
expandido de forma sustentável e segura.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■ Utilização de padrões de código seguro e checklists: define padrões de
códigos seguros e boas práticas de acordo com a linguagem adotada e
ambiente definido pela organização. Cria checklists para verificar as princi-
pais ações durante o desenvolvimento e revisão de segurança do software.

Você sabe o que é um Stakeholder?


Trata-se de qualquer pessoa ou organização que tenha interesse ou faça parte
de um determinado projeto. Compreende todos os envolvidos em um pro-
cesso, podendo ter caráter temporário (um projeto) ou duradouro (negócio
da empresa).
Fonte: o autor.

CICLO DE VIDA DO DESENVOLVIMENTO DE SOFTWARE

Um modelo de ciclo de vida organiza as atividades de desenvolvimento de


software e provê um framework para monitorar e controlar o seu projeto de
construção e operação.
Sem a adoção de um modelo é difícil saber em que momento o desenvolvi-
mento e a validação do projeto se encontram e até mesmo como e em que situações
os pontos de controle devem ser aplicados (RAKITIN, 2006; MCGRAW 2006).

DESENVOLVIMENTO DE SOFTWARE SEGURO


139

©shutterstock
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

O ciclo de vida faz parte dos controles do projeto e estes são necessários para
reduzir a probabilidade de inserção de defeitos no dispositivo médico (VOGEL,
2011). Então, para mitigar o problema das vulnerabilidades dentro do software, é
essencial indicar atividades de segurança de software a serem aplicadas entre as
fases do ciclo de vida das aplicações. Estas atividades estão relacionadas à iden-
tificação, construção e validação de técnicas que impossibilitem a exploração de
vulnerabilidades na operação do software.
Com a adoção de padrões de construção de software seguro dentro do seu
ciclo de vida, a partir de atividades que garantam a identificação, avaliação, trata-
mento, aplicação e validação de controles de segurança da informação, espera-se
o aumento da qualidade e diminuição máxima das possibilidades de ataque den-
tro das aplicações. O levantamento e o desenvolvimento de checklists com os
controles a serem aplicados pode auxiliar a incorporação de práticas de codifica-
ção defensiva ao longo da construção das aplicações. O tratamento dos aspectos
relacionados à segurança do software não necessariamente representa aumento
do custo no seu ciclo de vida de desenvolvimento, tendo em vista que corrigir
problemas e falhas desta natureza custam mais depois da aplicação pronta e em
produção (MCGRAW, 2006).
A adoção de técnicas de segurança nos dispositivos é esperada porque o
software pode ser executado em diversos tipos de plataformas, dentre elas com-
putadores pessoais e dispositivos móveis computacionais. Toda essa diversidade
de plataformas pode trazer riscos de lesões e do vazamento de informações, dado
que toda informação coletada e transmitida por estes dispositivos é sensível, con-
fidencial ou até pode mudar o funcionamento dos equipamentos.

Desenvolvimento de Software Seguro


140 UNIDADE V

A experiência da Microsoft com a segurança de software do mundo real


levou a um conjunto de princípios de alto nível para a compilação de um sof-
tware mais seguro. A Microsoft se refere a esses princípios como SD3+C: Seguro
por Design, Seguro por Padrão (Default), Seguro na Implantação (Deployment)
e Comunicações. As definições resumidas desses princípios são:
■ Seguro por Design: a arquitetura, o design e a implementação do software
devem ser executados de forma a protegê-lo e proteger as informações
que ele processa, além de resistir a ataques.
■ Seguro por Padrão (Default): na prática, o software não atingirá uma

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
segurança perfeita, portanto, os designers devem considerar a possi-
bilidade de haver falhas de segurança. Para minimizar os danos que
ocorrem quando invasores miram nessas falhas restantes, o estado
padrão do software deve aumentar a segurança. Por exemplo, o sof-
tware deve ser executado com o privilégio mínimo necessário e os
serviços e recursos que não sejam amplamente necessários devem ser
desabilitados por padrão ou ficar acessíveis apenas para uma pequena
parte dos usuários.
■ Seguro na Implantação (Deployment): o software deve conter ferra-
mentas e orientação que ajudem os usuários finais e/ou administradores
a usá-lo com segurança. Além disso, a implantação das atualizações deve
ser fácil.
■ Comunicações: os desenvolvedores de software devem estar preparados
para a descoberta de vulnerabilidades do produto e devem comunicar-
-se de maneira aberta e responsável com os usuários finais e/ou com os
administradores e, assim, ajudá-los a tomar medidas de proteção (como
instalar patches ou implantar soluções alternativas).

Todos os elementos do SD3+C impõem requisitos no processo de desenvolvi-


mento, mas os dois primeiros elementos, seguro por design e seguro por padrão,
fornecem as maiores vantagens de segurança. Seguro por design determina os
processos que têm por objetivo impedir a introdução de vulnerabilidades em
primeiro lugar, enquanto seguro por padrão requer que a exposição padrão do
software, sua “superfície de ataque”, seja minimizada.

DESENVOLVIMENTO DE SOFTWARE SEGURO


141

Atividades no Ciclo de Vida do Software

Um modo para melhorar a segurança e a qualidade do software é realizar ativi-


dades ou boas práticas de segurança através do ciclo de vida do software. Estas
atividades, que são na realidade boas práticas de segurança de software, são res-
ponsáveis por lidar com as preocupações de segurança e precisam ser aplicadas
dentro das fases do ciclo de vida da aplicação em vez de fazê-lo apenas na fase
de requisitos. Uma correlação entre as fases do ciclo de vida e as atividades pode
ser visualizada na Figura 1 e, foram descritas, de forma geral, para projetos de
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

software por McGraw (2006).

Figura 1 - Atividades de segurança no ciclo de vida do software.


Requisitos de
Análise
Segurança
Testes de estática do Testes de
Revisão segurança código penetração
Casos de Análise de Análise de Brechas de
externa baseados fonte
abuso Riscos Riscos segurança
em risco

Requisistos e Projeto Planos de Codificação Resultado Feedbacks


Casos de Uso Teste dos teste do campo

Fonte: Mcgraw (2004).

A seguir, uma breve descrição das atividades a serem realizadas ao longo do ciclo
de vida (MCGRAW, 2006):
■ Casos de abuso: construir casos de abuso é relevante para realizar uma
relação entre os problemas e a análise de risco. É importante observar
neste momento se algum padrão de ataque se encaixa no sistema ou nos
requisitos do software. Este é um bom momento para modelar cenários
de vulnerabilidades que podem ser exploradas nas fases de revisão de
código ou teste de penetração.
■ Requisitos de segurança: estes precisam cobrir os requisitos funcionais
e de segurança, casos de abuso e levantar a maior quantidade possível de
dados e padrões de ataque. Nesta fase toda a necessidade de segurança
do software precisa ser mapeada para garantir sua correta implementa-
ção. Um bom exemplo de requisito de segurança esta relacionado com o
uso correto de criptografia para proteger dados críticos.

Desenvolvimento de Software Seguro


142 UNIDADE V

■ Análise de risco arquitetural: complementa a análise de riscos orientada


pela ISO 14971 (2007). Esta análise está relacionada com o levantamento
dos riscos de segurança que podem estar presentes na arquitetura da
aplicação que será construída e é uma pequena parte do processo de
gerenciamento de risco que todo fabricante necessita aplicar para garan-
tir aderência à referida norma, de acordo com (IEC 62304, 2006).
■ Teste de segurança baseado em riscos: a estratégia de testes da aplica-
ção precisa cobrir pelo menos dois tópicos principais, que são os testes
dos requisitos de segurança com técnicas de teste para requisitos funcio-
nais e testes de segurança baseados em riscos, levantados pelos casos de

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
abuso e pela avaliação dos padrões de ataque.
■ Revisão de código fonte: após a fase de codificação e antes da fase de
testes, a análise de código fonte é uma boa atividade para garantir que os
requisitos de segurança foram bem implementados e que as vulnerabilida-
des listadas na análise de casos de abuso não estão presentes no software.
A revisão de código pode ser automática e manual e cada estratégia tem
prós e contras. Ferramentas automatizadas não cobrem todos os cenários,
por este motivo a análise manual é sempre necessária (LONG et al., 2012).
■ Testes de penetração: este é um composto de técnicas e ferramentas utiliza-
das em conjunto para testar dinamicamente um software ou sistema contra
falhas de projeto ou vulnerabilidades. Esta atividade é importante para garan-
tir que a aplicação ou sua infraestrutura não possuam nenhum problema
potencial que possam ser explorados de uma forma particular para alterar o
comportamento da aplicação em tempo de execução (MICROSOFT, 2008).
■ Operação segura: é importante responsabilizar as atividades do usuário
no momento da utilização do sistema de software. Ainda mais impor-
tante é manter estes dados de forma correta e protegida, para garantir
que o atacante ou atividades de ataque possam ser rastreadas após qual-
quer tentativa, bem sucedida ou não.

Vale ressaltar que as atividades de segurança descritas podem ser aplicadas a


qualquer tipo de ciclo de vida de software, bem como independem do modelo
de desenvolvimento de software adotado pelos desenvolvedores. Estas atividades
não têm nenhuma ligação direta com o modelo de desenvolvimento de software,
apesar da sua eficácia na melhoria da qualidade das aplicações.

DESENVOLVIMENTO DE SOFTWARE SEGURO


143

Para apoiar a implementação das boas práticas de software, pode-se esta-


belecer a criação de um Grupo de Segurança de Software com pessoas que
possuem experiência real em desenvolvimento de aplicações. Esta é uma
maneira de garantir que estas atividades serão acompanhadas por pessoas
com conhecimento técnico especializado no desenvolvimento de software
seguro (BSIMM, 2012).

Processo do ciclo de vida do


desenvolvimento de software seguro
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

O SDL (Security Development Lifecycle ou ciclo de vida do desenvolvimento


da segurança) é um processo utilizado e proposto pela Microsoft no desenvolvi-
mento de softwares que necessitem resistir a ataques mal-intencionados. Engloba
a adição de uma série de atividades e produtos concentrados na segurança em
cada fase do processo de desenvolvimento de software. Essas atividades e esses
produtos incluem o desenvolvimento de modelos de ameaças durante o design
do software, o uso de ferramentas de verificação de código de análise estática
durante a implementação e a realização de revisões de código e testes de segurança
durante um “esforço de segurança” direcionado. Antes que o software sujeito ao
SDL possa ser lançado, ele deve passar por uma Revisão final de segurança feita
por uma equipe independente de seu grupo de desenvolvimento. Quando com-
parado a um software que não foi sujeitado ao SDL, o software que passou pelo
SDL apresentou uma taxa significativamente reduzida de descobertas externas
de vulnerabilidades de segurança.
Abaixo segue uma visão geral das fases do SDL:

■ Fase de Requisitos.
■ Fase de Design.
■ Fase de Implementação.
■ Fase de Verificação.
■ Fase de Suporte e Manutenção.

Desenvolvimento de Software Seguro


144 UNIDADE V

Fase de requisitos

A necessidade de considerar a segurança “de baixo para cima” é um princípio


fundamental do desenvolvimento de sistemas seguros. Embora vários projetos
de desenvolvimento produzam “outras versões” baseadas nas versões anterio-
res, a fase de requisitos e o planejamento inicial de uma nova versão oferecem a
melhor oportunidade para criar um software seguro.
Durante a fase de requisitos, a equipe de produto entra em contato com a equipe
de segurança central para solicitar a designação de um supervisor de segurança que

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
serve como um ponto de contato, pesquisa e orientação durante o planejamento.
O supervisor de segurança ajuda a equipe de produto revisando os planos, fazendo
recomendações e garantindo que a equipe de segurança planeje recursos apropriados
para dar suporte ao cronograma da equipe de produto. O supervisor de segurança
aconselha a equipe de produto sobre os marcos de segurança e os critérios de saída
que serão exigidos com base no tamanho, na complexidade e no risco do projeto.
O supervisor de segurança continua sendo o ponto de contato da equipe
de produto com a equipe de segurança, desde o início do projeto até a conclu-
são da Revisão final de segurança e o lançamento do software. O supervisor de
segurança também serve como ponto de contato entre a equipe de segurança
e a gerência da equipe de produto, e aconselha a gerência da equipe quanto ao
controle do elemento de segurança de seus projetos, de forma a evitar surpresas
relacionadas à segurança durante e após o processo.
A fase de requisitos é a oportunidade para a equipe de produto considerar como
a segurança será integrada no processo de desenvolvimento, identificar os objeti-
vos-chave de segurança e maximizar a segurança de software, reduzindo a quebra
de planos e cronogramas. Como parte desse processo, a equipe precisa conside-
rar como os recursos de segurança e as medidas de controle de seu software serão
integradas com outros softwares que provavelmente serão usados com ele. A pers-
pectiva geral da equipe de produto sobre os objetivos, os desafios e os planos de
segurança deve se refletir nos documentos de planejamento produzidos durante
a fase de requisitos. Embora os planos estejam sujeitos a alterações conforme o
andamento do projeto, a articulação precoce desses planos ajuda a garantir que
nenhum requisito seja desconsiderado ou estabelecido na última hora.

DESENVOLVIMENTO DE SOFTWARE SEGURO


145

Cada equipe de produto deve considerar os requisitos de recursos de segu-


rança como parte dessa fase. Embora alguns requisitos de recursos de segurança
sejam identificados em resposta à modelagem de ameaças, é provável que os
requisitos do usuário determinem a inclusão de recursos de segurança em
resposta às exigências do cliente. Os requisitos dos recursos de segurança tam-
bém serão definidos de acordo com a necessidade de obedecer aos padrões da
indústria e dos processos de certificação, como os critérios comuns. A equipe
de produto deve reconhecer e refletir esses requisitos como parte de seu pro-
cesso de planejamento normal.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

Fase de design

A fase de design identifica a estrutura e os requisitos gerais do software. Da pers-


pectiva de segurança, os elementos-chave da fase de design são:
■ Definir as diretivas de design e arquitetura de segurança: definir a estrutura
geral do software, tendo como ponto de vista a segurança e, identificar os
componentes cujo funcionamento correto é essencial para a segurança.
Identificar também técnicas de design, como a organização em camadas,
o uso de linguagem com rigidez de tipos, a aplicação de privilégios míni-
mos e a minimização da superfície de ataque, que se aplicam ao software
globalmente. As particularidades dos elementos individuais da arquitetura
serão detalhadas nas especificações individuais de design, mas a arquite-
tura de segurança identifica uma perspectiva geral no design da segurança.
■ Documentar os elementos da superfície de ataque do software: como o
software não atingirá uma segurança perfeita é importante que apenas os
recursos que serão usados pela grande maioria dos usuários sejam expostos
a todos eles por padrão, e que esses recursos sejam instalados com o nível
de privilégio mais baixo possível. A medição dos elementos da superfície
de ataque fornece à equipe de produto uma métrica constante da segurança
padrão e permite que a equipe detecte as instâncias em que o software se
torna mais suscetível a ataques. Algumas instâncias com uma maior superfí-
cie de ataque podem ser justificadas pela usabilidade ou função de produto
avançada, mas é importante detectar e questionar cada uma dessas instân-
cias durante o design e a implementação, de forma a fornecer software com
uma configuração padrão tão segura quanto possível.

Desenvolvimento de Software Seguro


146 UNIDADE V

■ Realizar a modelagem de ameaças: a equipe de produto realiza a modela-


gem de ameaças componente por componente. Usando uma metodologia
estruturada, a equipe do componente identifica os ativos que o software
deve gerenciar e as interfaces pelas quais esses ativos podem ser aces-
sados. O processo de modelagem de ameaças identifica as ameaças que
podem danificar cada ativo e a probabilidade de acontecerem danos (uma
estimativa de risco). A equipe do componente identifica, então, as contra-
medidas que atenuam o risco na forma de recursos de segurança, como
a criptografia, ou na forma de funcionamento adequado do software
que protege os ativos contra danos. Sendo assim, a modelagem de ame-
aças ajuda a equipe de produto a identificar as necessidades de recursos

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
de segurança, bem como as áreas em que são especialmente necessários
testes de segurança e uma revisão cuidadosa do código. O processo de
modelagem de ameaças deve ter o suporte de uma ferramenta que cap-
ture modelos de ameaças em um formulário legível por máquina para
armazenamento e atualização.
■ Definir critérios de fornecimento complementar: os critérios básicos de
fornecimento de segurança devem ser definidos no nível da organização,
mas as equipes de produto individuais ou de versões do software podem
ter critérios específicos que devem ser atendidos antes do lançamento do
software. Por exemplo, uma equipe de produto que desenvolva a versão
atualizada de um software fornecido aos clientes e sujeito a ataques exten-
sivos pode solicitar que, por determinado tempo, a nova versão fique livre
de vulnerabilidades relatadas externamente antes de ser considerada pronta
para o lançamento. Ou seja, o processo de desenvolvimento deve locali-
zar e remover as vulnerabilidades antes que elas sejam relatadas, em vez
de a equipe de produto precisar “corrigi-las” depois de serem relatadas.

Fase de Implementação

Durante a fase de implementação, a equipe de produto gera o código, testa e inte-


gra o software. As etapas seguidas para remover falhas de segurança ou evitar
sua inserção inicial durante essa fase têm um aproveitamento alto; elas reduzem
significativamente a probabilidade de que vulnerabilidades de segurança estejam
presentes na versão final do software que é lançada para os clientes.

DESENVOLVIMENTO DE SOFTWARE SEGURO


147

Os resultados da modelagem de ameaças fornecem uma orientação parti-


cularmente importante durante a fase de implementação. Os desenvolvedores
dedicam atenção especial em corrigir o código de modo a atenuarem as amea-
ças de alta prioridade e os testadores concentram seus testes na garantia de que
essas ameaças estejam de fato bloqueadas ou atenuadas.
Os elementos do SDL que são executados na fase de implementação são:
■ Aplicar padrões de codificação e teste: os padrões de codificação ajudam
os desenvolvedores a evitar a introdução de falhas que podem levar a vul-
nerabilidades de segurança. Por exemplo, a utilização de construções de
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

manipulação de seqüências e de buffer mais consistentes e seguras pode


ajudar a evitar a introdução de vulnerabilidades de saturação do buffer.
As práticas recomendadas e os padrões de testes ajudam a garantir que os
testes se concentrem na detecção de possíveis vulnerabilidades de segu-
rança e não apenas na operação correta de funções e recursos do software.
■ Aplicar ferramentas de testes de segurança, incluindo ferramentas de difu-
são: a “difusão” oferece entradas estruturadas, embora inválidas para APIs
(interfaces de programação de aplicativo) de software e interfaces de rede,
de forma a maximizar a probabilidade de detectar erros que podem levar
a vulnerabilidades de software.
■ Aplicar ferramentas de verificação de código de análise estática: as fer-
ramentas podem detectar alguns tipos de falhas de código que resultam
em vulnerabilidades, incluindo saturações do buffer, de números intei-
ros e variáveis não inicializadas.
■ Realizar revisões de código: as revisões de código complementam os tes-
tes e as ferramentas automatizadas; para isso, elas aplicam os esforços
de desenvolvedores treinados no exame do código-fonte e na detecção
e remoção de possíveis vulnerabilidades de segurança. Constituem uma
etapa essencial no processo de remoção de vulnerabilidades de segurança
do software durante o processo de desenvolvimento.

Fase de verificação

A fase de verificação é o ponto em que o software está funcionalmente conclu-


ído e entra em testes beta por usuários. Durante essa fase, enquanto o software

Desenvolvimento de Software Seguro


148 UNIDADE V

passa por testes beta, a equipe de produto realiza um “esforço de segurança” que
inclui revisões do código de segurança além das concluídas na fase de imple-
mentação, bem como testes de segurança direcionados.
É importante notar que as revisões de código e os testes do código de alta
prioridade (aquele que é parte da “superfície de ataque” do software) são críti-
cos para várias partes do SDL. Por exemplo, essas revisões e esses testes devem
ser exigidos na fase de implementação, para permitir a correção precoce de
quaisquer problemas, além da identificação e da correção da origem desses pro-
blemas. Eles também são críticos na fase de verificação, quando o produto está

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
perto de ser concluído.

Fase de suporte e manutenção

Apesar da aplicação do SDL durante o desenvolvimento, as práticas de desen-


volvimento mais avançadas ainda não dão suporte ao fornecimento de software
completamente livre de vulnerabilidades, e há bons motivos para acreditarmos
que isso nunca acontecerá. Mesmo que o processo de desenvolvimento pudesse
eliminar todas as vulnerabilidades do software fornecido, novos ataques seriam
descobertos e o software que era “seguro” estaria vulnerável. Assim, as equipes
de produto devem se preparar para responder a vulnerabilidades recém-desco-
bertas no software fornecido aos clientes.
Parte do processo de resposta envolve a preparação para avaliar relatórios de
vulnerabilidades e lançar orientações e atualizações de segurança quando preciso.
O outro componente do processo de resposta é a condução de um post-mortem das
vulnerabilidades relatadas e a adoção de medidas, conforme necessário. As medidas
em resposta a uma vulnerabilidade variam de emitir uma atualização para um erro
isolado até atualizar as ferramentas de verificação de código e iniciar revisões do
código dos principais subsistemas. O objetivo durante a fase de resposta é aprender
a partir dos erros e utilizar as informações fornecidas em relatórios de vulnera-
bilidade para ajudar a detectar e eliminar mais vulnerabilidades antes que sejam
descobertas no campo e utilizadas para colocar os clientes em risco. O processo
de resposta também ajuda a equipe de produto e a equipe de segurança a adap-
tar processos de forma que erros semelhantes não sejam introduzidos no futuro.

DESENVOLVIMENTO DE SOFTWARE SEGURO


149

Cada uma dessas fases está dividida em uma sequência de atividades que
devem ser seguidas, além do relacionamento entre as fases.
A partir de padrões e normas de segurança de software, foi proposto um
conjunto de atividades do processo seguro para desenvolvimento do software,
conforme definido no quadro 1.

Quadro 1 - Atividades do processo seguro para desenvolvimento do software.

MACRO-ATIVIDADE ATIVIDADE
Planejar Segurança Definir objetivos de planejamento de segurança e
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

identificar seus mecanismos.


Atribuir responsabilidades de segurança no projeto.
Implementar ambientes de processamento.
Planejar o gerenciamento de incidentes de segurança.

Avaliar Executar métodos de identificação de vulnerabilidade


Vulnerabilidade de segurança.
de Segurança Analisar as vulnerabilidades de segurança identificadas.

Modelar Ameaça Identificar as ameaças de segurança aos ativos críticos.


de Segurança Classificar as ameaças de segurança aos ativos.
Desenvolver estratégias de redução das ameaças de
segurança.

Avaliar Impacto Priorizar processos críticos influenciados pelo sistema.


de Segurança Revisar ativos do sistema que se referem à segurança.
Identificar e descrever impactos de segurança.

Avaliar Risco Identificar exposição de segurança.


de Segurança Avaliar risco de exposição de segurança.
Priorizar riscos de segurança.

Especificar Compreender as necessidades de segurança do cliente.


Necessidades Capturar uma visão de alto nível orientada à segurança
de Segurança da operação do sistema.
Definir requisitos de segurança.
Obter acordo sobre requisitos de segurança.

Desenvolvimento de Software Seguro


150 UNIDADE V

MACRO-ATIVIDADE ATIVIDADE
Fornecer Informação Entender e revisar necessidades de informação de
de Segurança segurança.
Determinar considerações e restrições de segurança.
Identificar e analisar alternativas de segurança.
Fornecer orientação de segurança.
Identificar e revisar requisitos de garantia de segurança.

Verificar e Validar Definir a abordagem de verificação e validação de


Segurança segurança.
Realizar verificação de segurança.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Realizar validação de segurança.
Revisar e comunicar resultados de verificação e
validação de segurança.

Gerenciar Gerenciar e controlar serviços e componentes


Segurança operacionais de segurança.
Gerenciar percepção, treinamento e programa de
educação de segurança.
Gerenciar a implementação de controles de segurança.

Monitorar Analisar registro de evento com impacto na segurança.


Comportamento Preparar a resposta aos incidentes de segurança
de Segurança relevantes.
Monitorar mudanças em ameaças, vulnerabilidades,
impactos, riscos, no ambiente.
Reavaliar mudanças em ameaças, vulnerabilidades,
impactos, riscos e no ambiente.
Revisar o comportamento de segurança do sistema
para identificar mudanças necessárias.
Realizar auditorias de segurança.

Garantir Definir estratégia de manutenção da garantia de segurança.


Segurança Conduzir análise de impacto de segurança das mudanças.
Controlar as evidências da manutenção da garantia de
segurança.

Fonte: Nunes, F. J. B.; Blechior, A. (2006).

DESENVOLVIMENTO DE SOFTWARE SEGURO


151

MODELOS DE MATURIDADE

Um modelo de maturidade é uma representação simplificada do mundo e con-


tém elementos essenciais para a construção de processos efetivos. Modelos
de maturidade focam no melhoramento dos processos em uma organização.
Eles contêm os elementos essenciais para a construção de processos efetivos
para uma ou mais disciplinas e descreve um caminho de melhoria evolu-
cionaria que vai desde processos ad-hoc, seguindo por processos imaturos,
disciplinados e finalizando nos processos maduros com qualidade e efetivi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

dade melhorada (SEI, 2010).


Os modelos de maturidade concedem a orientação a ser utilizada no desen-
volvimento de processos efetivos, porém, não são processos ou descrições
de processos. O processo adotado em uma organização depende de inúme-
ros fatores, incluindo seus domínios de aplicações e a estrutura e o tamanho
da organização. Em particular, as áreas de processo de um modelo de maturi-
dade não mapeiam um a um com os processos usados na organização como
um todo (SEI, 2010).

OpenSAMM

O OpenSAMM (Open Software Assurance Maturity Model) é um framework


aberto para auxiliar organizações a formular e implementar suas estratégias
de segurança de software que são adaptadas aos riscos específicos enfrenta-
dos pela organização. Os recursos oferecidos pela OpenSAMM irão ajudar em
(CHANDRA, 2009):
■ Avaliar as práticas de segurança de software existentes na organização.
■ Construir e equilibrar o programa de garantia de segurança de software
em interações bem definidas.
■ Demonstrar melhoramentos concretos no programa de garantia de
segurança.
■ Definir e mensurar atividades relacionadas à segurança por toda
organização.

Desenvolvimento de Software Seguro


152 UNIDADE V

A OpenSAMM foi concebida com flexibilidade, de forma que pode ser utilizada
por pequenas, médias ou grandes organizações e que façam uso de qualquer
estilo de desenvolvimento. Esse modelo pode ser aplicado por toda organização,
para uma única linha de negócios ou para um projeto individual (CHANDRA,
2009). Além dessas características, a OpenSAMM foi construída pelos princí-
pios a seguir (CHANDRA, 2009):
■ Comportamento da organização se modifica lentamente no decorrer do
tempo. Um software de segurança bem-sucedido deve ser especificado
em pequenas interações que entreguem ganhos de garantias tangíveis,

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
enquanto trabalha para objetivos de longo prazo.
■ Não há uma única receita que funcione para todas as organizações. O
framework de segurança de software deve ser flexível e permitir que as
organizações formem suas escolhas baseado em sua tolerância de riscos
e na direção na qual constrói e usa o software.
■ Orientação relacionada a atividades seguras devem ser prescritivas. Todos
esses passos na construção e avaliação em um programa de garantia devem
ser simples, bem definidos e mesuráveis. Esse modelo oferece modelos
de roteiros para tipos comuns de organizações.

A fundação do modelo é construída sobre o núcleo das funções do negócio de


desenvolvimento de software com práticas seguras associadas a cada função.
Os tijolos da construção do modelo são os três níveis de maturidade, definidos
para cada uma das suas 12 práticas de segurança. Sua definição se dá por uma
vasta variedade de atividades, nas quais a organização pode reduzir os riscos de
segurança e aumentar a garantia de qualidade de software (CHANDRA, 2009).

BSIMM

O BSIMM (Building Security In Maturity Model) é um estudo de iniciativas de


segurança de software existente focado em segurança de software. Quantificando
as práticas de várias organizações distintas, pode-se descrever o solo comum
compartilhado por muitas, e também as variações que fazem cada uma única
(MCGRAW, 2012).

DESENVOLVIMENTO DE SOFTWARE SEGURO


153

O principal objetivo é ajudar o plano comunitário de software seguro a rea-


lizar e medir suas próprias iniciativas. O BSIMM não é um guia de como fazer,
ele é um reflexo do estado da arte do software seguro aplicado às organizações
(MCGRAW, 2012).
O trabalho com o modelo BSIMM mostra que mensurar a iniciativa de
segurança de uma organização é possível e extremamente útil. As mensurações
do BSIMM podem ser utilizadas para planejar, estruturar e executar as evolu-
ções de uma iniciativa de segurança de software (MCGRAW, 2012). O BSIMM
pode ser usado por alguém responsável por criar e executar iniciativas de segu-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

rança de software e traz a confiança do conhecimento das melhores práticas


sobre software seguro para estabelecer um framework de segurança de software
(MCGRAW, 2012).
Durante a criação do modelo BSIMM, foi conduzida uma série de entrevis-
tas com executivos responsáveis por nove iniciativas de software seguro. Nestas
entrevistas, foram identificadas atividades em comum às nove iniciativas ava-
liadas, atividades estas que compõem o framework de segurança de software do
BSIMM (MCGRAW, 2012).
A seguir, foram criados cartões com pontuações que mostravam as atividades
que foram utilizadas para cada uma das nove iniciativas avaliadas (MCGRAW,
2012). A fim de validar o trabalho, foi solicitado para cada participante revi-
sar o framework, as práticas, e os cartões com as pontuações que foram criados
para suas iniciativas.
As 51 organizações participantes foram retiradas de 12 diferentes setores:
serviços financeiros, vendedores independentes de software, empresas de tec-
nologia, computação nas nuvens, mídia, segurança, telecomunicações, seguros,
energia, varejo, saúde e provedores de internet (MCGRAW, 2012).
Em média, os participantes tinham prática com segurança de software por
aproximadamente seis anos. Todas as 51 empresas concordaram que o sucesso
de seus programas ocorreu devido ao seu grupo de segurança de software
(MCGRAW, 2012).
O BSIMM foi criado para instruir a forma como iniciativas de software seguro
fornecem recursos para organizações que procuram constituir ou melhorar suas
próprias iniciativas de software seguro (MCGRAW, 2012).

Desenvolvimento de Software Seguro


154 UNIDADE V

Em geral, qualquer iniciativa de software seguro é criada com alguns obje-


tivos em mente. O BSIMM é apropriado se os objetivos de seu negócio para
segurança de software incluem (MCGRAW, 2012):
■ Decisões de gerenciamento de risco informadas.
■ Clareza no que concerne a coisa certa a fazer para todos envolvidos em
segurança de software.
■ Melhoria da qualidade de código.

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock

Quando se fala em segurança no desenvolvimento de software, também é impor-


tante citar a OWASP (Open Web Application Security Project ou Projeto Aberto
de Segurança em Aplicações Web). Trata-se de uma organização mundial, sem
fins lucrativos, focada em melhorar a segurança de softwares, em especial os
softwares baseados na web. A OWASP elabora uma rica documentação sobre a
segurança de softwares e uma parte desta documentação é composta pelos guias
de desenvolvimento, revisão de código e testes, que vale a pena ser considerada
no desenvolvimento de software.

DESENVOLVIMENTO DE SOFTWARE SEGURO


155

Existem também as Normas ISO que podem ser utilizadas para auxiliar no
desenvolvimento de software seguro que são:
■ ISO/IEC 15408: consiste em um framework para especificação de requi-
sitos de segurança para sistemas computacionais, que busca garantir a
implementação dos atributos de segurança dos produtos, é possível tam-
bém fazer avaliações do produto em laboratórios a fim de determinar se
eles realmente satisfazem as reivindicações de segurança.
■ NBR ISO/IEC 17799: objetiva preservar a confidencialidade, integridade
e disponibilidade das informações por meio da implementação de con-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.

troles, implementação de políticas, práticas ou processos. Esses controles


garantem que os objetivos estabelecidos para a segurança serão atendi-
dos satisfatoriamente.

“Um incidente de segurança da informação é indicado por um simples ou


por uma série de eventos de segurança da informação indesejados ou ines-
perados, que tenham uma grande probabilidade de comprometer as opera-
ções do negócio e ameaçar a segurança da informação”.
(Associação Brasileira de Normas Técnicas)

Desenvolvimento de Software Seguro


156 UNIDADE V

CONSIDERAÇÕES FINAIS

O desenvolvimento de sistemas é uma das áreas mais afetadas pelos aspectos da


segurança. Muitos dos problemas de segurança existentes são devidos a erros de
programação ou de arquitetura. Muitas vezes, para não “perder” muito tempo e
entregar a solução o quanto antes para o cliente, os requisitos de segurança são
deixados de lado. Os clientes, por sua vez, não possuem noção sobre segurança
de um sistema e só aprenderão mais tarde quando é encontrada uma vulnerabi-
lidade. Isso acontece porque poucos analistas preocupam-se em especificar bem

Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
os requisitos de segurança.
A segurança em sistemas sempre foi importante e com o aumento do uso
da internet a segurança torna-se o foco principal, uma vez que os sistemas ten-
dem a ficar mais interconectados, facilitando acessos indevidos. Dessa forma, a
segurança será cada vez mais uma preocupação no desenvolvimento de sistemas.
Nenhum software é 100% seguro, mesmo tomando todo o cuidado com
segurança na hora de desenvolvê-lo. A segurança de um software é afetada por-
que se podem executar outros procedimentos que não foram propostos. Se fosse
realizado exatamente o que o sistema foi destinado a fazer, a segurança não seria
uma preocupação. Portanto, existe uma facilidade para invasores investigarem
vulnerabilidades desconhecidas, em contrapartida uma dificuldade dos desenvol-
vedores em garantir que todos os pontos de entrada do sistema estejam protegidos.
Atualmente, é necessário que as empresas de desenvolvimento de sistemas,
façam adaptações em seus processos com a finalidade de atender ao desenvolvi-
mento seguro em todas as fases do ciclo de vida do desenvolvimento, pois, quanto
mais cedo as vulnerabilidades forem identificadas, menores serão os gastos com
o projeto, sendo de extrema importância mensurar a segurança de acordo com
os riscos apresentados.

DESENVOLVIMENTO DE SOFTWARE SEGURO


157

1. Sobre o Desenvolvimento de software seguro é correto dizer:


a. A melhor maneira de desenvolver software seguro é incorporar a segurança
no final do desenvolvimento de software.
b. Deve-se levar em consideração a segurança na fase inicial dos testes.
c. O desenvolvedor deve conhecer as vulnerabilidades que ocorre no final do
ciclo de vida do desenvolvimento do software, para que estes possam ser re-
movidos antes de chegar ao cliente final.
d. Deve-se incorporar a segurança desde o início do desenvolvimento de softwa-
re Registro de Informações.
2. A _____________ serve para documentar elementos da superfície de ataque do
software. Preencha a lacuna.
a. Fase de implementação.
b. Fase de verificação.
c. Fase de design.
d. Fase de manutenção.
e. Fase de requisitos.

3. Sobre a OpenSAMM é correto afirmar.


a. Seu objetivo é ajudar o plano comunitário de software seguro a realizar e me-
dir suas próprias iniciativas.
b. Auxilia as organizações a formular e implementar estratégias de segurança de
software que são adaptadas aos riscos específicos enfrentados pela organiza-
ção.
c. É um framework para especificação de requisitos de segurança para sistemas
computacionais, que busca garantir a implementação dos atributos de segu-
rança dos produtos.
d. Seu objetivo é preservar a confidencialidade, integridade e disponibilidade
das informações através da implementação de controles, implementação
de políticas, práticas ou processos.
e. Trata-se de um documento sobre a segurança de softwares composto pelos
guias de desenvolvimento, revisão de código e testes, que vale a pena ser con-
siderado no desenvolvimento de software.
158

4. Referente a atividades que devem ser realizadas ao longo do ciclo da vida de um


software seguro, analise as informações abaixo:
I. Requisitos de Segurança.
II. Revisão do Código Fonte.
III. Casos de abuso.
IV. Casos de poder.
V. Acesso autorizado.
Podemos afirmar que:
a. Somente a afirmativa I está correta.
b. Somente as afirmativas I, II, IV e V estão corretas.
c. Somente as afirmativas II, III e IV estão corretas.
d. Somente as afirmativas I, II e III estão corretas.
e. Todas as afirmativas estão corretas.
5. Sobre a fase de verificação é correto afirmar que:
a. A necessidade de considerar a segurança “de baixo para cima” é um princípio
fundamental do desenvolvimento de sistemas seguros.
b. Reduzem significativamente a probabilidade de que vulnerabilidades de se-
gurança estejam presentes na versão final do software que é lançada para os
clientes.
c. Identifica a estrutura e os requisitos gerais do software.
d. A equipe de produto gera o código, testa e integra o software.
e. É o ponto em que o software está funcionalmente concluído e entra em testes
por usuários.
159

OWASP TOP 10 – RISCO DE SEGURANÇA EM APLICAÇÕES


A Open Web Application Security Project (OWASP) é uma organização mundial
sem fins lucrativos focada em melhorar a segurança do software, oferecendo gra-
tuitamente, diversos projetos de segurança de software.
O documento mais conhecido e que mais contribui para a segurança de
software é o OWASP Top 10, um poderoso documento que conscientiza para
a segurança de aplicações web, tendo como objetivo a sensibilização sobre a
segurança em aplicações, identificando os riscos mais graves enfrentados pela
organização.
O OWASP Top 10 contém uma lista dos 10 riscos mais críticos de segurança
em aplicações web. Seu principal objetivo é educar desenvolvedores, projetistas,
arquitetos, gestores e organizações sobre as consequências das mais importan-
tes vulnerabilidades de segurança de aplicações web. O Top 10 fornece técnicas
básicas para se proteger contra essas áreas problemáticas de alto risco e também
fornece orientação de qual caminho seguir.
Os atacantes usam vários caminhos diferentes por meio de uma aplicação
com intuito de causar danos à organização ou a seu negócio. Cada um desses
caminhos representa um risco que pode, ou não, trazer graves consequências
para a organização.
Os nomes dos riscos no Top 10 derivam-se do tipo de ataque, do tipo de vul-
nerabilidade, ou do tipo de impacto causado. Os nomes escolhidos refletem com
precisão os riscos e, quando possível, alinham-se com a terminologia mais pro-
vável para auxiliar na conscientização das pessoas. A seguir, pontuam-se cada
um desses riscos.
A1 – Injeção
As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e
de LDAP, ocorrem quando dados não confiavéis são enviados para um inter-
pretador como parte de um comando ou consulta. Os dados manipulados
pelo atacante podem iludir o interpretador para que este execute comandos
indesejados ou permita o acesso a dados não autorizados.
A2 – Quebra de Autenticação e Gerenciamento de Sessão
As funções de aplicação relacionadas com autenticação e gerenciamento
160

de sessão, geralmente são implementadas de forma incorreta, permitindo


que os atacantes comprometam senhas, chaves e tokens de sessão ou,
ainda, explorem outra falha da implementação para assumir a identidade
de outros usuários.
A3 – Cross-Site Scripting (XSS)
Falhas XSS ocorrem sempre que uma aplicação recebe dados não con-
fiáveis e os envia ao navegador sem validação ou filtro adequado. XSS
permite aos atacantes executarem scripts no navegador da vítima que
podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar
o usuário para sites maliciosos.
A4 – Referência Insegura e Direta a Objetos
Uma referência insegura e direta a um objeto ocorre quando um programa-
dor expõe uma referência à implementação interna de um objeto, como um
arquivo, diretório, ou registro da base de dados. Sem a verificação do controle
de acesso ou outra proteção, os atacantes podem manipular estas referên-
cias para acessar dados não autorizados.
A5 – Configuração Incorreta de Segurança
Uma boa segurança exige a definição de uma configuração segura e imple-
mentada na aplicação, frameworks, servidor de aplicação, servidor web, banco
de dados e plataforma. Todas essas configurações devem ser definidas, imple-
mentadas e mantidas, já que geralmente a configuração padrão é insegura.
Adicionalmente, o software deve ser mantido atualizado.
A6 – Exposição de Dados Sensíveis
Muitas aplicações web não protegem devidamente os dados sensíveis, tais
como cartões de crédito, IDs fiscais e credenciais de autenticação. Os atacan-
tes podem roubar ou modificar esses dados desprotegidos com o propósito
de realizar fraudes de cartões de crédito, roubos de identidade, ou outros
crimes. Os dados sensíveis merecem proteção extra como criptografia no
armazenamento ou em trânsito, bem como precauções especiais quando
trafegadas pelo navegador.
161

A7 – Falta de Função para Controle do Nível de Acesso


A maioria das aplicações web verificam os direitos de acesso em nível de fun-
ção antes de tornar essa funcionalidade visível na interface do usuário. No
entanto, as aplicações precisam executar as mesmas verificações de controle
de acesso no servidor quando cada função é invocada. Se estas requisições
não forem verificadas, os atacantes serão capazes de forjar as requisições, com
o propósito de acessar a funcionalidade sem autorização adequada.
A8 – Cross-Site Request Forgery (CSRF)
Um ataque CSRF força a vítima que possui uma sessão ativa em um navega-
dor a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da
vítima e qualquer outra informação de autenticação incluída na sessão, a uma
aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador
da vítima a criar requisições que a aplicação vulnerável aceite como requisi-
ções legítimas realizadas pela vítima.
A9 – Utilização de Componentes Vulneráveis Conhecidos
Componentes, tais como bibliotecas, frameworks, e outros módulos de
software quase sempre são executados com privilégios elevados. Se um
componente vulnerável é explorado, um ataque pode causar sérias perdas de
dados ou o comprometimento do servidor. As aplicações que utilizam com-
ponentes com vulnerabilidades conhecidas podem minar as suas defesas e
permitir uma gama de possíveis ataques e impactos.
A10 – Redirecionamentos e Encaminhamentos Inválidos
Aplicações web frequentemente redirecionam e encaminham usuários para
outras páginas e sites, e usam dados não confiáveis para determinar as páginas
de destino. Sem uma validação adequada, os atacantes podem redirecionar
as vítimas para sites de phishing ou malware, ou usar encaminhamentos para
acessar páginas não autorizadas.
Existem centenas de problemas que podem afetar a segurança de uma apli-
cação web, por isso não se deve parar apenas nos 10 riscos citados.

Fonte: OWASP... (2013, on-line)4.


MATERIAL COMPLEMENTAR

Segurança no Desenvolvimento de Software


Ricardo Albuquerque, Bruno Ribeiro
Editora: Campus
Sinopse: o objetivo deste livro é auxiliar o desenvolvedor de software a
incluir, melhorar ou simplesmente avaliar os aspectos de segurança da
aplicação em processo de desenvolvimento ou a ser desenvolvido, bem como
do ambiente de desenvolvimento em si.
163
CONCLUSÃO

Observamos neste livro que a informação é algo extreme importância para uma
organização e fundamental para os negócios, sendo necessário que a mesma seja
protegida. Com o aumento do uso da internet, as organizações passaram a se preo-
cupar cada vez mais em controlar e manter as informações seguras.
Diante dessa informação, surgiu à necessidade da segurança da informação, que
se constitui na proteção da informação contra os vários tipos de ameaças e tende
a minimizar os riscos relacionados com o negócio e, maximizar o retorno sobre os
investimentos.
Para obter a segurança da informação, torna-se necessário um conjunto de con-
troles adequados, com o intuito de garantir que os objetivos do negócio e de se-
gurança da organização sejam alcançados. Esses controles têm sido alterados e
aperfeiçoados com o passar do tempo, permitindo que as organizações cuidem e se
previnam contra eventuais riscos causados pela falta de segurança.
Outra forma de manter a segurança da informação é efetuando a auditoria desses
sistemas, sendo possível controlar acessos e informações, de acordo com as infor-
mações proposta na política de segurança da informação.
Para ter um ambiente seguro, é necessário a criação de um conjunto de normas e
recomendações para a gestão da segurança da informação, usado por aqueles que
são responsáveis pela implantação, implementação ou manutenção da segurança
nas respectivas organizações.
Conforme vimos neste livro, existem diversos mecanismos que devem ser utilizados
para manter a segurança da informação, assim como frameworks, normas e mode-
los de maturidade que podem estar auxiliando os gerentes de projetos e auditores
na segurança da informação.
Espero que, por meio deste livro, seja possível obter o conhecimento necessário
para que possamos manter os sistemas de informação cada vez menos vulnerável a
possíveis ameaças e ataques.
Muito sucesso! Um grande abraço!
165
REFERÊNCIAS

AMADO, J. Hackers: técnicas de defesa e ataque. 3. ed. Lisboa: FCA, Editora de In-
formática Lda, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR. ISO/IEC 27002:2005.
Tecnologia da informação. Código de prática para a gestão da segurança da infor-
mação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27001:2006.
Tecnologia da informação. Técnicas de segurança. Sistema de gestão de segurança
da informação - requisitos. Rio de Janeiro: ABNT, 2006.
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção
dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
CARNEIRO, A. Introdução à Segurança dos Sistemas de Informação. Lisboa: FCA,
Editora de Informática Lda, 2002.
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2. ed. Lisboa: FCA –
Editora de Informática, Lda., 2004.
CARNEIRO, A. Auditoria e Controlo de Sistemas de Informação. Lisboa: FCA – Edi-
tora de Informática, Lda., 2009.
CASSARO, A. C. Controles Internos e Segurança de Sistemas. 1. ed. São Paulo: LTR,
1997.
CHIAVENATO, I. Introdução à teoria geral da administração. 6. ed. Rio de Janeiro:
Campus, 2000.
COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. Disponível
em: <http://www.coso.org/documents/coso_erm_executivesummary_portuguese.
pdf>. Acesso em: 22 mar. 2016.
DIAS, C. Segurança e Auditoria da Tecnologia da Informação. 1. ed. Rio de Janei-
ro: Axcel Books, 2000.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governança de TI. Rio de Janei-
ro: Brasport, 2012.
FERREIRA, D. et al. Proposta para uma Política de Segurança de Dados aplica-
da às Secretarias de Receita. 2001. Disponível em: <http://www.scribd.com/do-
c/6841289/298Redes>. Acesso em: 22 mar. 2016.
FURLAN, J. D.; IVO, I. M. da; AMARAL, F. P. Sistema de Informação Executiva: como
integrar os executivos ao sistema informacional das empresas, fornecendo informa-
ções úteis e objetivas para suas necessidades estratégicas e operacionais. São Paulo:
Makron Books, 1994b.
GIL, A. L. de. Auditoria de computadores. 4. ed. São Paulo: Atlas, 1999.
ISACA. Cobit 5 – A business Framework for the Governance and Management of
Enterprise It. Ed. Isaca, 2012.
REFERÊNCIAS

LAUNDON, K. C.; LAUNDON, J. P. Sistemas de Informações Gerenciais. 7. ed. São


Paulo: Pearson Prentice Hall, 2007.
LAURINDO, F.J.B. Tecnologia da Informação: Eficácia nas Organizações. 1. ed. São
Paulo: Futura, 2002.
LIPNER, S.; HOWARD, M. O ciclo de vida do desenvolvimento da segurança de
computação confiável. Disponível em: < https://msdn.microsoft.com/pt-br/li-
brary/ms995349.aspx>. Acesso em: 24 mar. 2016.
MAMEDE, H. S. Segurança Informática nas Organizações. Lisboa: FCA – Editora de
Informática, Lda., 2006.
MOLIN, C. M. Boas Práticas para desenvolvimento de softwares seguros. Dispo-
nível em: <http://micreiros.com/boas-praticas-para-desenvolvimento-de-softwa-
res-seguros/>. Acesso em: 25 mar. 2016.
NUNES, F. J. B.; BLECHIOR, A. D. Um Processo Seguro para Desenvolvimento de
Software. Disponível em: < http://ceseg.inf.ufpr.br/anais/2006/conteudo/artigos/
resumos/19500.pdf>. Acesso em: 25 mar. 2016.
O’BRIEN, J. A. Sistemas de Informação e as decisões gerenciais na era da Inter-
net. 2. ed. São Paulo: Saraiva, 2001.
OLIVEIRA, D. Mais de 65% de empresas brasileiras já registraram incidentes de seguran-
ça. IT Forum 365. Disponível em: <http://itforum365.com.br/noticias/detalhe/117460/
mais-de-65-de-empresas-brasileiras-ja-registraram-incidentes-de-seguranca>.
POZZEBON, M.; FREITAS, H. M. R. Construindo um E.I.S. (enterprise information sys-
tem) da (e para) empresa. Revista de Administração, São Paulo, v. 31, n. 4, out/dez
1996.
PEDRO, J. M. Segurança informática em auditoria. 2005. Disponível em:
http://knowkapital.eu/extra/artigos/Seg_e_Auditoria_IGF.pdf>. Acesso em: 20 mar.
2016.
REGO, A. M. P. S. de et al. A utilização de C.O.S.O. na contralodoria: um estudo no
Brasil. (s.d.). Disponível em: <http://www.intercostos.org/documentos/Passos.pdf>.
Acesso em: 21 mar. 2016.
REGO, B. M.; BROSSO, I. Segurança no Desenvolvimento de Sistemas com Me-
todologia Ágil SCRUM. Disponível em: <http://www.slideshare.net/BrunoMotta-
Rego/segurana-no-desenvolvimento-de-sistemas-com-metodologia-gil-scrum>.
Acesso em: 25 mar. 2016.
SÊMOLA, M. Gestão da segurança da informação: visão executiva da segurança
da informação. Rio de Janeiro: Campus, 2003.
SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança dos Sistemas de Informação -
Gestão Estratégica de Segurança Empresarial. Lisboa: Centro Atlântico, 2003.
167
REFERÊNCIAS

SPANCESKI, F. R. Politica de segurança da informação – Desenvolvimento de um


modelo voltado para instituições de ensino. 2004. Disponível em: <http://www.
mlaureano.org/aulas_material/orientacoes2/ist_2004_francini_politicas.pdf>.
Acesso em: 12 mar. 2016.
STAIR, M. R.; REYNOLDS, G. W. Princípios de Sistemas de Informação. 9. ed. São
Paulo: Cengage Learning, 2011.
TAPSCOTT, D. Economia digital: promessa e perigo na era da inteligência em rede.
São Paulo: Makron Books, 1997.
TURBAN, E.; SCHAEFFER, D. M. Uma comparação entre sistemas de informação para
executivos, DSS e sistemas de informação gerencial. In: SPRAGUE JR., R. H.; WATSON,
H. J. (Org.). Sistemas de apoio à decisão: colocando a teoria em prática. Rio de
Janeiro: Campus, 1991.

Referências on-line:

1
Em: <http://www.scielo.br/pdf/rac/v9n4/v9n4a07>. Acesso em: 9 abr. 2016.
2
Em: <http://www.gemalto.com/press/Pages/Estudo-da-Gemalto-revela-aumen-
to-dos-riscos-de-seguranca-de-dados-de-pagamentos-e-falta-de-confianca-nos-
-metodos-de-pagamen.aspx>. Acesso em: 10 abr. 2016.
3
Em: <http://www.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e-
-pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-
-informacao-aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf>. Acesso
em: 10 abr. 2016.
4
Em: <https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf>.
GABARITO

1. D.
2. C.
3. B.
4. D.
5. E.

Você também pode gostar