Escola de Administração e Negócios

Disciplina: Tecnologia da Informação

Professor: Camilo Mussi

Ariádina Mirele Serra

SEGURANÇA DA INFORMAÇÃO

Brasília
10 de novembro de 2010
 INDICE

1. Definição 2

2. Características 3

3. Mecanismos de Segurança 4

4. Legislação de Segurança da Informação 5

5. Aplicação da SI na Caixa Econômica Federal 7

6. Bibliografia 10
1. DEFINIÇÃO

Em tempos em que a informação é um produto valioso, fazem-se

presente dois fatores: a busca constante por todos os tipos de informações, com a
finalidade de agir de forma ilícita e danosa; e por outro lado, estão as constantes
buscas para exterminar ou minimizar esses danos.

Neste contexto, está presente a Segurança da Informação, que

consiste em criar mecanismos para proteger um conjunto de dados e informações
contra o acesso de pessoas não autorizadas. Essa proteção envolve dados
valiosos a uma pessoa ou empresa.

A Segurança da Informação envolve mais do que um antivírus eficiente

e um firewall poderoso. Ela está ligada principalmente com a proteção de dados
dos clientes e contra a invasão de suas privacidades. Dessa forma, a Segurança
da Informação é um processo que envolve vários passos a serem adotados.

O primeiro passo nesse processo deve ser a Análise da Segurança e

Risco, que consiste em uma análise da situação atual do sistema para que sejam
apontadas as quais riscos o negócio está exposto, quais são as suas ameaças e
quais são as providências a serem tomadas para corrigir sua vulnerabilidade.
Com base nessa análise, o passo seguinte é a definição das regras de segurança
a serem adotadas. Casos estas regras já existam, elas dever revisadas e
atualizadas.

Uma vez que as regras já tenham sido definidas, o próximo passo é a

implementação dessas regras; elas deverão ser repassadas ao quadro de
pessoal da empresa e colocadas em prática. Isso torna necessário o próximo
passo que é a administração da segurança. Esta consiste no monitoramento para
verificar a utilização dessas regras. E por fim, vem a auditoria que é a verificação
do cumprimento das regras estabelecidas.

Fonte: HTTP://www.bradescoseguranca.com.br

Uma vez que todos os passos tenham sido seguidos, se o prejuízo à

segurança ainda persistir, vale nova análise para verificar a eficácia e a eficiência
das regras.

2. CARACTERÍSTICAS

As características fundamentais da Segurança da Informação são:

Confidencialidade, Integridade e Disponibilidade.

A confidencialidade diz respeito ao que é secreto. Essa característica é

a propriedade que limita o acesso a informação somente às entidades autorizadas
por seu proprietário.

A integridade é a característica daquilo que mantém todas as partes de

um objeto. Ela garante que a informação mantenha todas as suas características
originais, estabelecidas pelo proprietário da informação.

A disponibilidade é a propriedade que garante que as informações

estejam disponíveis para uso, desde que autorizados pelo dono da informação.

Essa tríade orienta a adoção dos passos inerentes à SI, citados

anteriormente.
3. MECANISMOS DE SEGURANÇA

Atualmente existe uma infinidade de mecanismos projetados para

detectar, prevenir ou recuperar de ataques de segurança. Eles se dividem em
dois tipos de controle: o físico e o lógico.

Todo evento passível de destruir ou corromper o objeto, o material é

considerada uma ameaça física. São exemplos de ameaças físicas incêndios,
desabamentos e outros. Mas o mais comum nos dias atuais é o acesso direto de
pessoas não autorizadas à infra-estrutura que contém as informações (o
computador, HD, pendrives...), seja para roubar ou para destruir. Para esses
eventos existem os controles físicos que são barreiras que impedem esse acesso.
Exemplos desses controles são salas trancadas, guardas, cofres lacrados e
outros.

Do outro lado, existem as ameaças lógicas. As principais ameaças na

segurança lógicas estão ligadas aos acessos indevidos, erros provocados
intencionalmente, ou mesmo involuntários e a perda de dados decorrentes desses
erros, falhas na rede provocadas por software estranho, fraudes e sabotagens,
provocadas por colaboradores insatisfeitos.

Para essas ameaças existem os controles lógicos que, em ambiente

controlado, são barreiras que limitam e até impedem o acesso às informações.
Seguem alguns exemplos de controles lógicos utilizados:

• Criptografia – é a transformação da informação em caracteres

incompreensíveis a terceiros. Os sistemas de criptografia usam de algoritmos
para transformar dados não criptografados em dados criptografados. Essa
transformação é reversível e esse processo é conhecido como decifração.

• Firewall – serve como uma porta que filtra a entrada e a saída de

tráfego de rede em uma máquina, permitindo ou negando, conforme o que está
determinado na configuração.
 • Anti-vírus – software que tenta identificar, remover e eliminar vírus
de computador e outros softwares maliciosos. Exemplos de anti-vírus são: AVG,
McAfee e Norton.

• Anti-spyware – software que tem como função, bloquear softwares

maliciosos como cavalos de tróia (trojans), seqüestradores de browser e
componentes de rastreamento, que sejam instalados em seu computador sem o
seu conhecimento.

O número de controles possíveis para impedir ameaças é numeroso. O

mais importante na hora da escolha, é analisar aquele que melhor se adéqüe ao
negócio pretendido. Outro fator importante é a atualização dessa metodologia.
Uma vez que as ameaças estão sempre sendo atualizadas e sempre vem
surgindo novas ameaças, é fundamental também que os mecanismos de
proteção estejam sempre atualizados.

4. LEGISLAÇÃO DE SEGURANÇA DA INFORMAÇÃO

Com a crescente necessidade de gerenciar a segurança da

informação, em vista das diferentes ameaças, o British Standard Institute (BSI)
criou a norma BS7799. Essa norma orienta sobre boas práticas em gestão da
segurança da informação orientando a implementação de controles e
procedimentos. Em dezembro de 2000, a parte 1 da BS7799 se tornou a norma
oficial da ISO sob o código ISO/IEC 17799.

A NBR ISO/IEC 17799 é a versão brasileira da norma ISO,

homologada pela ABNT sob uma série de numeração ISO/IEC 27000. Essa série
de normas possui um conjunto de recomendações para a boa prática da gestão
de Segurança da Informação, alinhada a uma série de outros tópicos, incluindo
gestão de qualidade (ISO9000) e gestão ambiental (ISO14000).

Como é uma série de normas, aliada a ela foram desenvolvidas outras

normas. Em outubro de 2005 foi publicada a ISO 27001 e substituiu a norma
BS7799-2 para certificação de sistema de gestão de segurança da informação. A
norma ISO 17799 foi renomeada para ISO 270002 e basicamente descreve
centenas de controles e mecanismos de controle em potencial, que podem ser
aplicadas, em tese, sujeitos à orientação dada na ISO 27001.

A ISO 27003 abordará a gestão de risco, contendo recomendações

para a definição e implementação de um sistema de gestão de segurança da
informação. Tinha previsão para ser publicada em 2006, mas só foi publicada em
2010 e dá conselhos que serão úteis para todos os tipos de organizações
preocupadas com segurança, independentemente da sua dimensão,
complexidade e riscos. Ela é destinada a ser utilizada em conjunto com a
ISSO/IEC 27001:2005 e ISO/IEC 27002:2005. Não se destina a alterar e/ou
reduzir os requisitos especificados em qualquer um.

Publicada em dezembro de 2009, a ISO 27004 fornece orientações

sobre o desenvolvimento e a utilização de medidas para a avaliação da eficácia
de um sistema implementado de gestão de informações e controles de
segurança, conforme especificado na norma ISO 27001. O apêndice do
documento também sugere métricas que foram selecionados para alinhar com a
norma ISO 27002.

A ISO 27005, publicada em 2008, fornece diretrizes para a gestão de

riscos de segurança (ISRM) em uma organização. Mais especificamente, serve
para apoiar os requisitos de um sistema de gerenciamento de informações de
segurança definidas pela norma ISO 27001.

A ISO 27006 é o padrão que oferece diretrizes para o credenciamento

das organizações que oferecem certificação e registro com relação a um SGSI.
Ela foi criada para atender às demandas de mercado para um melhor suporte a
ISO 27001.

Além de toda essa definição da ABNT, existe no Brasil uma legislação

específica relacionada à segurança da informação, que serve para subsidiar
trabalhos de operadores, técnicos e juristas da área de segurança da informação.
Segue a relação de algumas delas:
 • Artigo 5.º, inciso X da Constituição Federal: Direito à privacidade.
Como uma das características da SI é a confidencialidade, esse artigo protege as
informações relacionadas à privacidade do indivíduo.

• Artigo 5.º, inciso XXXIII da Constituição Federal: Direito à informação

e ao acesso aos registros públicos. Outra característica da SI é a disponibilidade
de informações, que é garantida por este artigo.

• Lei nº 7.232, de 29 de outubro de 1984, que dispõe sobre a Política

Nacional de Informática, e dá outras providências.

• Lei nº 9.507, de 12 de novembro de 1997, que regula o direito de

acesso a informações e disciplina o rito processual do habeas data.

• Lei nº 11.111, de 05 de maio de 2005, que regula o direito à

informação e ao acesso aos registros públicos.

• Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de

Segurança da Informação nos órgãos e entidades da Administração Pública
Federal.

Na relação de leis citadas acima, foram colocadas aquelas que têm

maior relação com a Segurança da Informação. Entretanto, existe uma série de
outras leis que estão relacionadas à SI como um todo. Essas leis podem ser
encontradas no sítio do Palácio do Planalto.

5. APLICAÇÃO DA SEGURANÇA DA INFORMAÇÃO NA CAIXA ECONÔMICA

FEDERAL

O desenvolver deste trabalho todo foi sobre a Segurança da

Informação. Neste tópico, aproveito para fazer a conclusão do meu estudo,
fazendo uma associação de tudo o que foi dito com a instituição em que trabalho:
Caixa Econômica Federal.
 Assim como todas as organizações estão preocupadas com o sigilo de
suas informações, uma instituição bancária precisa estar profundamente
protegida. Ela trabalha com informações que são de extrema importância para si
e para seus clientes. Portanto, precisa estar cada vez mais ligada às questões
referentes à Segurança da Informação.

Apesar de ter citado anteriormente vários itens da legislação

relacionados à SI, um especificamente foi deixado para o final, em função de sua
ligação com a organização usada para o exemplo. A Lei Complementar 105, de
10 de janeiro de 2001, que dispõe sobre o sigilo das operações de instituições
financeiras e dá outras providências.

A Caixa Econômica Federal está cercada de procedimentos que

buscam a segurança em todos os seus setores, desde a alta administração até o
atendimento ao público. Citarei abaixo, alguns canais de atendimento e quais
ações foram tomadas com o propósito de manter essa segurança.

• Internet Banking – o acesso ao internet banking Caixa é protegido

alguns códigos de segurança. O primeiro deles, a senha de acesso, somente é
utilizado pra acesso ao IBCaixa. A senha é utilizada somente para acesso, não
permitindo fazer transações. Em nenhum outro lugar do site ela é solicitada. Para
o cadastro dessa senha é necessária a confirmação de alguns dados pessoais e
a digitação, em teclado virtual, da senha do cartão. Ela é escolhida pelo cliente,
mas possui alguns critérios de segurança.

• Assinatura eletrônica – é a senha que permite fazer movimentações,

uma vez que a conta já foi acessada. Essa senha é cadastrada na agência
detentora da conta e deve ser trocada pelo cliente dentro de 5 dias. Ela é
composta apenas por números e digitadas em um teclado virtual, cuja numeração
é apresentada de forma aleatória.

• Senha do cartão de débito – ao usar o cartão de débito, são

solicitadas duas senhas: a numérica e o código de letras. Ao fazer qualquer
consulta ou transação pelo terminal de auto-atendimento, é solicitada a senha
numérica, cadastrada na agência detentora da conta. Logo em seguida, é
solicitada a digitação de uma seqüência de letras, que mudam de posição a cada
vez que algum dado for digitado.

Além dos métodos citados, existem normativos internos que orientam

os empregados sobre a forma mais segura de desenvolverem suas atividades e
de prestarem atendimento ao público. Dessa forma, a CEF vem, ao longo do
tempo, se estruturando de forma a manter cada vez mais a segurança de suas
informações e proteção de seus clientes.
BIBLIOGRAFIA:

• Silva, Pedro Tavares; Carvalho, Hugo; Torres, Catarina Botelho. Segurança

dos Sistemas de Informação – Gestão Estratégica da Segurança Empresarial.
1.ª edição. Lisboa: Centro Atlântico, 2003.

• Segurança da Informação. Disponível em

<http://www.bradescoseguranca.com.br/default.asp>. Acesso em 08 de
novembro de 2010.

• CLESIO, Flávio. Segurança da Informação – Básico. Disponível em

<http://info.abril.com.br/forum/viewtopic.php?f=122&t=371>. Acesso em 09 de
novembro de 2010.

• OLIVEIRA, Sebastião Sidnei Vasco; SOUZA, Hamilton Edson Lopes.

Segurança de Informações: Ameaças Virtuais. Revista Eletrônica Lato Sensu –
Ano 2, nº1, julho de 2007. Disponível em <http://www.unicentro.com.br>.
Acessado em 09 de novembro de 2010.

• WEISZFLOG, Walter. In: Michaelis Moderno Dicionário Da Língua Portuguesa.

Disponível em <http://michaelis.uol.com.br/>. Acesso em 09 de novembro de
2010.

• Vieira, Tatiana Malta. Quadro da Legislação Relacionada á Segurança da

Informação. Disponível em <http://www.planalto.gov.br/gsi/cgsi/legislacao.htm>.
Acesso em 10 de novembro de 2010.

• Sobre o CGI.br. Disponível em <http://www.cgi.br/sobre-cg/index.htm>. Acesso

em 10 de novembro de 2010.

• Legislação Específica Relacionada à Segurança da Informação. Disponível em

<http://dsic.planalto.gov.br/legislacaodsic/54>. Acesso em 10 de novembro de
2010.

• Araújo, Wagner Junqueira de. Gestão da Segurança da Informação – Uma

breve introdução. WRCO. Postado em 09/08/2010. Disponível em
<http://dci.ccsa.ufpb.br/wrco/?p=107>. Acesso em 10 de novembro de 2010.

• Autoria livre. Segurança da informação. Disponível em <http://pt.wikipedia.org>.

Acesso em 10 de novembro de 2010.

• NBR ISO 27000. Disponível em <www.abnt.org.br>. Acesso em 10 de

novembro de 2010.

• Uma introdução à ISO 27000. Disponível em <http://www.27000.org/>. Acesso

em 10 de novembro de 2010.

• ISO e IEC ajudar a reforçar os sistemas de informação de gestão de

segurança. Disponível em
 <http://www.iso.org/iso/pressrelease.htm?refid=Ref1302>. Publicado em 16 de
março de 2010. Acesso em 10 de novembro de 2010.

• Qual é o X da questão com segurança? Disponível em

<http://www.caixa.gov.br/seguranca/index.asp>. Acesso em 10 de novembro de
2010.