Scribd Logo

Idioma

Fazer o upload

Bem-vindo(a) ao Scribd!

Aula 1

Enviado por

Paulo Profeta Do Amaral
4 visualizações10 páginas
Aula 1

Direitos autorais

© © All Rights Reserved

Você considera este documento útil?

Este conteúdo é inapropriado?

Denunciar este documento
Aula 1

Direitos autorais:

© All Rights Reserved
Sinalizar o conteúdo como inadequado
4 visualizações10 páginas

Aula 1

Enviado por

Paulo Profeta Do Amaral
Aula 1

Direitos autorais:

© All Rights Reserved
Sinalizar o conteúdo como inadequado
de 10

SISTEMAS DE

INFORMAÇÕES
GERENCIAIS

Cristiano Barbosa
Segurança da informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:

„„ Relacionar o conceito de segurança da informação e os principais


tipos de ameaças e ataques.
„„ Reconhecer a importância e os mecanismos de proteção da
informação.
„„ Identificar itens que contemplam uma política de segurança da
informação.

Introdução
Em um mundo cada vez mais conectado, é necessário manter atenção
constante no que se refere à segurança. É preciso ter alguns cuidados
quando se utiliza aparelhos eletrônicos, como notebook, computador,
smartphone, etc.
Atualmente, embora a tecnologia de proteção e defesa tenha avan-
çado consideravelmente, todo cuidado é pouco, pois existem pessoas
especialistas somente em ataques e roubos de informações por meio
de subterfúgios tecnológicos.
Neste capítulo, você entenderá o conceito de segurança da informa-
ção e os principais tipos de ameaças e ataques, bem como compreenderá
a importância e os mecanismos de proteção da informação, além de rela-
cionar itens que contemplam uma politica de segurança da informação.

Conceito
Quando falamos em segurança da informação em uma empresa, pensamos que
se trata de uma competência exclusiva do setor de tecnologia da informação
(TI). Entretanto, a segurança da informação vai muito além do setor de TI,
sendo formada por todas as ferramentas e acessórios responsáveis por proteger
e manter, de forma segura e sigilosa, toda e qualquer informação.
2 Segurança da informação

A segurança da informação possui três grandes pilares:

„„ Confidencialidade: impedir o acesso a informações sigilosas e críticas


por pessoas não autorizadas.
„„ Integridade: impedir que os dados possam ser manipulados, excluídos
ou modificados de uma forma não permitida pela política do fluxo de
dados da empresa.
„„ Disponibilidade: segurar o acesso de forma integra e disponível, sempre
que necessário, para as pessoas autorizadas a visualizar e acessar os
dados desejados.

Os três pontos juntos (Figura 1) fornecem a base para a criação e a imple-


mentação de uma política de segurança da informação. Essa política engloba
não somente ataques virtuais, como, vírus, spywares, malwares em geral,
como também usabilidade, acessos, contratos e restrições a informações,
tanto virtual como fisicamente.

Figura 1. Ilustração dos pilares que sustentam a segurança da informação.


Fonte: Deb SolutionsTI (2015).
Segurança da informação 3

Existem outros pilares da segurança da informação aos quais você deve estar atento.
„„ Identificação: exigir identificação do usuário que deseja acessar determinada
informação.
„„ Autenticação: fazer uma verificação para saber se o usuário é realmente quem diz ser.
„„ Autorização: dar permissão para que um usuário realize determinada ação.
„„ Não repúdio: registrar logs de acesso para evitar que um usuário negue as ações
que tenha realizado.

Principais ameaças à segurança da informação


A segurança da informação possui inúmeras ameaças, conforme evoluem os
sistemas de segurança, infelizmente, também evoluem os sistemas de ataques e
ameaças. Confira, a seguir, as principais ameaças à segurança da informação.

„„ Scan: o intruso ao conseguir acesso à rede por meio de backdoors


(brechas implantadas na estrutura da rede) ou de alguma outra forma
ilícita, efetua uma varredura na rede a procura de serviços e máquinas
vulneráveis para explorar essas falhas e conseguir o acesso a infor-
mações de forma ilegal. A melhor forma de evitar esse tipo de ataque
é manter os dispositivos com firmwares sempre atualizados e utilizar
firewalls e políticas de segurança bem elaboradas.
„„ Fraude: pode-se considerar fraude ou scan vários tipos de ataques,
o mais comum deles é o PHISHING, em que o criminoso cria um
site falso oriundo de um site verdadeiro e envia um link falso para a
vítima que, ao acessar o link pensando ser o site verdadeiro, insere os
dados reais, permitindo o acesso a informações sigilosas por pessoas
mal-intencionadas. Para evitar esse tipo de ataque é necessário uma
conscientização dos usuários para não abrirem e-mails e nem links
estranhos.
„„ Worm: worms, ou vírus, são softwares desenvolvidos especialmente
com o intuito de causar algum dano ao computador, smartphone, tablet,
etc. da vítima. São criados para monitoramento, espionagem, roubo
de informações e outras infinitas possibilidades. A melhor forma de
prevenção é utilizar um antivírus atualizado e aplicar políticas de não
acesso a programas estranhos.
4 Segurança da informação

Política de segurança
A política de segurança é um documento com uma série de normas e proce-
dimentos cujo intuito é nortear como devem ser acessados e manipulados os
dados em uma organização para mantê-los seguros contra ameaças.
Existe inclusive uma norma internacional, chamada ISO 27001, que é
responsável por estabelecer um modelo padrão de implementação, operação
e análise, chamado de sistema de gestão de segurança da informação (SGSI).

Implementação de uma boa política de segurança


Para montar uma boa política de segurança é preciso seguir quatro passos,
conforme você verá a seguir.

„„ Passo 1 — planejamento: é preciso fazer inicialmente um levantamento


de todos os dados e informações que devem ser protegidos, envolvendo
alguns funcionários para o correto entendimento de todo o fluxo da
informação. É importante também que a diretoria seja notificada e
possa acompanhar o andamento da política de segurança.
„„ Passo 2 — elaboração: nessa fase, são elaboradas as normas e as proi-
bições. São desenvolvidas as normas de acessos à internet, utilização de
softwares, acessos a e-mails e aos mais variados recursos tecnológicos.
Nessa fase também são definidos os tipos de bloqueios e restrições ao
acesso à internet.
„„ Passo 3 — aprovação: nessa fase o documento é enviado ao departa-
mento de recursos humanos (RH), para que seja analisado se as normas
desrespeitam algum aspecto legal. É também nessa fase que os líderes
e gestores da empresa analisam o documento para aprovação.
„„ Passo 4 — aplicação e treinamento das equipes: após a aprovação
é necessário criar canais de comunicação para a correta aplicação da
política de segurança, por meio de treinamentos práticos e teóricos.
É importante deixar uma cópia da política com cada usuário, para a
conscientização sobre a importância da aplicação das normas contidas
na política de segurança.

A Figura 2 apresenta uma ilustração sobre os princípios da elaboração da


política de segurança.
Segurança da informação 5

Figura 2. Ilustração em forma de pirâmide dos principais itens de elabo-


ração da política de segurança.
Fonte: Adaptada de Dodt (2011).

Mecanismos de segurança
Mecanismos de segurança são medidas preventivas utilizadas para evitar que
os dados e as informações sejam acessados de forma indevida por pessoas não
autorizadas. Esses mecanismos funcionam de forma física e lógica. Na forma
física, encontram-se toda a infraestrutura responsável pelo fluxo da informa-
ção e a interação dos usuários com essas informações; já na estrutura lógica
encontram-se as medidas para manter a integridade dos dados, impedindo
sua manipulação, a alteração e a exclusão por acessos indevidos. Você pode
ver a seguir alguns exemplos de mecanismos de segurança.

„„ Criptografia: a criptografia é o meio de conversão no qual a informação


é transformada em um formato indecifrável, a conversão para o formato
normal ocorre por meio de uma chave, que somente a ponta que deverá
realmente ter acesso as informações possuem.
„„ Assinatura digital: a assinatura digital é um meio pelo qual a in-
formação é criptografada e continua sendo legível, mas não pode ser
modificada.
6 Segurança da informação

„„ Certificação: trata-se de um mecanismo que autentica um arquivo


como uma espécie de atestado de autenticidade.

Tipos de vulnerabilidade
Existem inúmeros tipos de vulnerabilidades, algumas delas serão listadas a
seguir.

„„ Vulnerabilidade de hardware: os hardwares, embora de maneira mais


difícil, podem sofrer ataques, pois alguns hardwares podem vir com
falhas de fabricação, tornarem-se obsoleto ou até mesmo sofrerem
com a má conservação, possibilitando, assim, a exploração de algumas
dessas características.
„„ Vulnerabilidade de comunicação: ocorre quando, por meio de um
meio de comunicação dos dados, o invasor consegue achar uma bre-
cha e a explora, permitindo o acesso não autorizado a determinadas
informações.
„„ Vulnerabilidade no armazenamento: é fundamental que no local em
que as informações fiquem armazenadas o acesso e a manipulação sejam
restritos, entretanto, pode existir brechas nessa segurança, permitindo
o roubo e o acesso das informações de maneira não autorizada.
„„ Vulnerabilidades humanas: ninguém está 100% seguro quando lida
com informações em meios tecnológicos, pois falhas humanas podem
ocorrer quando um usuário acessa um link suspeito, abre um e-mail
indevido ou, até mesmo de forma intencional, causa uma quebra de
segurança. Sendo intencional ou não, é preciso estar atento para evitar
falhas humanas.

Para saber mais sobre técnicas de invasão e vulnerabilidades, leia o livro Testes de
Invasão, escrito em 2014 por Georgia Weidman.
Segurança da informação 7

CONHEÇA a ISO 27000: a família de normas que abordam a segurança da informação.


Deb SolutionsTI, 21 jul. 2015. Disponível em: <https://debsolutionsti.com/iso-27000/
iso-27000/>. Acesso em: 14 fev. 2018.
DODT, C. Transformando sua política de segurança da informação em um ativo estra-
tégico. GRC: governança, risco e conformidade, 29 jun. 2011. Disponível em: <https://
claudiododt.wordpress.com/2011/06/29/transformando-sua-politica-de-seguranca-
-da-informacao-em-um-ativo-estrategico/>. Acesso em 8 mar. 2018.

Leituras recomendadas
ENTENDA o que é Segurança da Informação e reduza riscos na empresa. Alerta
Security, 8 ago. 2016. Disponível em: <https://www.alertasecurity.com.br/blog/117-
-entenda-o-que-e-seguranca-da-informacao-e-reduza-riscos-na-empresa>. Acesso
em: 13 fev. 2018.
POLÍTICA de segurança da informação: como implementá-la na empresa? Alerta
Security, 10 nov. 2016. Disponível em: <https://www.alertasecurity.com.br/blog/176-
-politica-de-seguranca-da-informacao-como-implementa-la-na-empresa>. Acesso
em: 13 fev. 2018.
SEGURANÇA da informação: entenda as principais ameaças. Alerta Security, 27 jan.
2017. Disponível em: <https://www.alertasecurity.com.br/blog/188-seguranca-da-
-informacao-entenda-as-principais-ameacas>. Acesso em: 12 fev. 2018.

Você também pode gostar