Segurança da Informação X Infraestrutura Tecnológica

ROCHA, Daniel Cruz da [1]

ROCHA, Daniel Cruz da. Segurança da Informação X Infraestrutura Tecnológica. Revista

Científica Multidisciplinar Núcleo do Conhecimento. Ano 02, Vol. 01. pp 613-621, Abril de
2017. ISSN:2448-0959

Contents

RESUMO
INTRODUÇÃO
SEGURANÇA DA INFORMAÇÃO
PERIGOS E AMEAÇAS À SEGURANÇA
CONSIDERAÇÕES FINAIS
REFERÊNCIAS

RESUMO

Quando falamos em Segurança da Informação isso atrai um grande interesse para gerentes,
técnicos e até executivos. O fato ocorre, porque o tema Segurança da informação cobre
várias áreas de atuação como por exemplo: segurança física, infraestrutura tecnológica,
aplicações e conscientização organizacional, cada uma com seus risco e ameaças. Com o
aumento das tecnologias de informação e sua rápida disseminação, cresceu também os
crimes relacionados a ela onde surgiu a necessidade nas empresas e organizações o controle
de seguranças que podem reduzir o nível de exposição ao qual as mesmas estão expostas,
com o objetivo de garantir segurança para o seu principal patrimônio a informação. Com a
preocupação de proteger os dados recorremos a consulta de referências bibliográficas, onde
por meio de análises buscamos sugestões, ideias e argumento que ajudem nesta reflexão.

Palavra-Chave: Segurança da Informação, Segurança Física, Infraestrutura Tecnóloga.

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

INTRODUÇÃO

A segurança da informação se refere à proteção de dados de uma empresa, organização ou

pessoa. Entendemos que toda a informação e o conteúdo ou dado valioso para uma
organização/indivíduo, que consiste em qualquer conteúdo com capacidade de
armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do
ser humano. Hoje em dia, a informação digital é um dos principais produtos de nossa era, e
necessita ser convenientemente protegida.

As seguranças de determinadas informações podem ser afetadas por vários fatores, como os
comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por
pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Quando o
assunto segurança e discutido, as pessoas associa o tema a hackers e vulnerabilidade em
sistemas, onde o principal entendimento e que um bom antivírus, e um firewall, que com
seus “patches” aplicados no ambiente tecnológico resolverão. Pois sim, são questões
importantes porem a segurança da informação não está limitada a somente esses pontos. O
administrador de segurança deve estar atendo em diversos itens por exemplo: processos de
pessoas, ambiente, tecnologia. Onde surgem diversas iniciativas por parte do gestor em
aplicar políticas, normas e procedimentos, controle de acesso (logico/físico), auditorias,
conscientização dos usuários segurança na rede entre outros.

Com o desenvolvimento deste trabalho venho contribuir para à importância da segurança da

informação nas empresas/organizações.

SEGURANÇA DA INFORMAÇÃO

A segurança da informação trata-se a respeito à proteção de determinado dados, assim para

preservar seus valores da informação para uma organização/empresa. “ A informação pode
existir em diversos formatos: impressa, armazenada eletronicamente, falada, transmitida
pelo correio convencional de voz ou eletrônico etc. Seja qual for o formato ou meio de
armazenamento ou transmissão, recomenda-se que ela seja protegida adequadamente,
sendo assim é de responsabilidade da segurança da informação protege-la de vários tipos de
ameaça. ” (Coelho, Araújo e Bezerra, 2014 :2)

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

A segurança das informações pode ser afetada por vários fatores, por exemplo: pelo usuário,
ambiente/infraestrutura, com objetivo de destruir roubar ou modificar essas informações. “ A
proteção da informação e uma responsabilidade da organização e deve se materializar pela
atuação dos gestores dessa organização. A segurança da informação existe para proteger os
recursos de informação, que possibilita a organização atingir os seus objetivos institucionais
e de negócios. “ (Gonçalves, 2015:2).

Em uma organização deve se implantar um projeto de segurança da informação, para isso

deve se seguir algumas diretrizes, por exemplo: ferramenta de proteção e autenticação,
políticas e procedimentos, mecanismos de segurança, custo e benefícios. O nível de
segurança ideal para cada empresa está estreitamente relacionado com o volume de
usuários que acessam os sistemas e ao perfil do negócio. Para cada caso a uma Soluções de
segurança, que têm de ser personalizadas. “A implementação de um Sistema de
Gerenciamento de Segurança da Informação não se resume na instalação de softwares. Sua
abrangência vai além deste tipo de ação “ (MOREIRA, 2001).

PERIGOS E AMEAÇAS À SEGURANÇA

As ameaças podem ocorrer de várias formas: falhas de energia, incêndios, sabotagem, roubo
entre outros. Mais nos últimos anos com o avanço da internet e da intranet nas organizações,
trouxeram várias vulnerabilidades na rede interna. Agora além de se preocupar as
sabotagens, roubo, bugs, as organizações têm que ficar atentas as invasões de hackers, vírus
e outras ameaças que infiltram, através desta nova porta de acesso.

Os bancos de dados, rede de computadores, comunicação e sistema de energia são uns dos
pontos de ameaça. Para a proteção desses itens devemos manter um foco de atenção nos
seguintes elementos:

Segurança no servidor
Segurança na estação (cliente);
Segurança no meio de transporte;
Segurança na Rede Interna.

A segurança do servidor é tão importante quanto a segurança da rede, porque os servidores

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

frequentemente armazenam grande parte das informações vitais de uma

organização/empresa. Se um servidor for comprometido, todo o seu conteúdo pode ficar
disponível para o cracker roubar ou manipular como quiser. Usa-se o serviço de firewall para
controlar os acesos permitido e proteger contra invasões, porém, exige conhecimento da
ferramenta utilizada. Deve ser feito teste de invasão nos servidores para avaliar a segurança
do mesmo. Com este tipo de serviço é possível identificar falhas de segurança nos servidores
e vulnerabilidade. Os responsáveis pelo teste devem informa a organização/empresa e
recomendar ações de melhoria ou correções dos problemas identificados.

A Segurança na estação com uso da internet e intranet, nas estações de trabalho podem
armazenar chaves privadas e informações pessoais, na maioria das vezes sem proteção ou
controle de acesso informações delicadas, tais como dados de cartões de crédito, também
são alvos de crackers de sistemas. Estações de trabalho também podem ser violadas sem o
conhecimento do usuário e utilizadas por atacantes como máquinas “escravas” em ataques
coordenados. Por estas razões, saber das vulnerabilidades de uma estação de trabalho pode
poupar os usuários da “dor de cabeça” de reinstalar o sistema operacional, ou pior, de
recuperar-se do roubo de dados.

Com a Segurança no meio de transporte e possível garantir a segurança das informações

enviada via internet e intranet e manter sua integridade, utilizando alguns meios de
tecnologia: como criptografia, firewalls entre outros. A mais utilizada e a criptografia que com
ela consegue manter a integridade dos dados como mensagens de correios eletrônicos e
qualquer informação.

A Segurança na rede interna deve prever a proteção e controle de acesso. Os ataques podem
ocorrer do lado externo ou interno da organização/empresa. Com estudo feito vemos que os
problemas ocorrem em maior proporção do lado de dentro da organização. Isso ocorre por
falta de uma solução completa de segurança.

Uma solução completa deve abranger.

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

Treinamentos dos colaboradores e capacitações dos técnicos;

Ferramentas específicas dê segurança;
Políticas de segurança cooperativa com normas e diretrizes claras;
Acompanhamento constante da intranet e controle das trilhas de auditoria.

O Gestor de redes após identificar os riscos, deve determinar os níveis de proteção, e quais
as consequências que esse risco podem causar, e aí sim implementar os pontos de controle
para garantir que esse risco seja reduzido, sabendo que não existe total garantia de eliminar
totalmente os riscos na organização/empresa.

Segundo (SANTANDER, 2015) “os principais itens para o gestor analisar são:

1) políticas de Segurança da Informação;

2) organização da segurança;

3) segurança em recursos humanos;

4) gestão de ativos;

5) segurança física e do ambiente;

6) gerenciamento das operações e comunicação;

7) controle de acesso;

8) aquisição, desenvolvimento e manutenção de sistema da informação;

9) gestão de incidentes de segurança da informação;

10) gestão da continuidade do negocio;

11) conformidade”.

A política de segurança da informação consiste num conjunto de regras onde a

implementação deve ser realista, e definir claramente as áreas envolvidas além de abranger

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

as responsabilidades dos recursos humanos da gestão de sistemas e redes e da direção.

Organização na segurança: são medidas tomada pelo gestor da segurança da informação (SI)
para que o processo de segurança na organização/empresa esteja seguro. “As
responsabilidades pela segurança da informação são atribuídas aos funcionários e
colaboradores através de ações realizadas pela área de Recursos Humanos.”
(SANTANDER,2015)

Segurança em recursos humanos é uma parte importantíssima na conformidade em controle

de segurança, é muito importante ter claramente definido na organização/empresa termos
de contratação, como os acordos de confidencialidade, responsabilidade da direção,
controles e processos disciplinares. “As responsabilidades pela segurança da informação são
atribuídas aos funcionários e colaboradores através de ações realizadas pela área de
recursos humanos” (SANTANDER,2015)

Gestão de ativos: são as medidas de controle e prevenção tomadas pelo gestor de segurança
da informação que visa gerir e controlar o acesso de funcionários. “Fazer a gestão adequada
de todos os ativos, especialmente os ativos relacionados à tecnologia, evita desperdícios com
investimentos inapropriados, otimiza as atividades do negócio, permite a aderência a vários
controles de normas de gestão, além de qualidade e segurança, fundamental em alguns
casos para a sobrevivência da empresa em um mercado cada vez mais competitivo” (Souza
2015).

Segurança física e do ambiente: é fundamental ao pensarmos em proteção de informações e

continuidade dos negócios. O objetivo maior é impedir perdas, danos, furto ou
comprometimento de ativos e interrupção das atividades da organização. A missão dos
sistemas de segurança da informação é eliminar o acesso não autorizado às informações e
proteger os ativos contra perdas ou danos.

Gerenciamento das operações e comunicação: é um fator crítico de sucesso para a correta

disseminação das políticas corporativas, já que esta provoca alteração no status de
praticamente todos os colaboradores. “Consequentemente obriga a mudanças na forma de
trabalho e qualquer mudança gera resistência, sendo a comunicação a melhor maneira de
reduzir os conflitos inerentes a ela”. (FERREIRA, ARAÚJO, 2008, 32).

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

Controle de acesso: significa permitir o acesso a propriedades, prédios, salas, entre outros
locais, apenas a pessoas autorizadas. “Hoje, além dos prédios governamentais e indústrias, o
controle de acesso abrange também os condomínios empresariais e residenciais, hospitais,
aeroportos e mais uma gigantesca quantidade de localidades. E para garantir esta
segurança, a tecnologia passou a ser um grande aliado”. (Barbosa 2015)

Aquisição, desenvolvimento e manutenção de sistema da informação: são muitas vezes

relegados a um segundo plano. Nesta forma este assunto e colocado na sua devida
importância, para que a segurança seja parte do sistema de informação desde a sua
concepção.

Gestão de incidentes de segurança da informação: “ O objetivo deste aspecto é garantir que

incidentes e ocorrência similares seja formalmente registrado e deixa uma busca pela efetiva
causa do mesmo com objetivo de corrigir e resolver em tempo aceitável para a realização do
negócio ” (GONSALVES, 2008)

Gestão da continuidade do negócio: tem como objetivo manter a continuidade do processo

da organização/empresa em caso de falhas e danos. ” Estabelecer uma gestão para
continuidade dos negócios que atenda os seguintes requisitos:

Realize uma análise de riscos para o desenvolvimento do plano de continuidade de negócios;

Desenvolva, revise e teste (no mínimo anualmente) o plano de continuidade de negócios de pessoas;
Desenvolva, revise e teste (no mínimo anualmente) o plano de continuidade de negócios de tecnologia.
“ (SANTANDER)

Conformidade: trata –se de “evitar a violação de qualquer lei criminal ou civil, estudos,
regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança é o
objetivo desse item de conformidade. ” (Fontes, 2008)

Uma gestão que previna sobre possíveis erros na organização/empresa não pode ser deixada
de lado, e de grande importância para o sucesso da implementação da segurança na
empresa. A segurança da informação não deve atrapalhar o funcionamento da
organização/empresa, deve se levar em paralelo a segurança e o negócio, de forma que não
prejudique no processo da organização.

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

A organização deve implantar as diretrizes da segurança da informação estabelecidas.

Também tem que qualificar os colaboradores quanto à implantação das diretrizes e como
agir de acordo com as diretrizes implantadas. O gestor tem que conscientizar os
colaboradores quanto as normas da segurança da informação na organização/empresa,
havendo qualquer inconformidade com normas e diretrizes o processo deve ser revisto.

CONSIDERAÇÕES FINAIS

O artigo indica como as empresas devem se posicionar para aumentar a segurança, usando
de métodos e soluções que orientam e previnem contra usuários mal-intencionados. Essas
orientações servem para observar e prevenir a segurança das informações de um modo
geral, pois, os ataques podem ocorrer tanto em usuários comuns, como também em
empresas de pequeno, médio e grande porte, que são os alvos principais dos invasores.

Vimos que os recursos e investimentos em segurança, estão obviamente, relacionados à

importância da informação e ao risco que a mesma está exposta e o processo é semelhante
ao da própria defesa do patrimônio físico, com o agravante que a recuperação da informação
pode ser muito mais onerosa do que do equipamento físico e que na maioria dos casos sua
mensuração é extremamente difícil. Em função destes relatos podemos assumir que mais
importante que escolhermos produtos e ferramentas que prometem níveis de segurança, é
termos políticas aplicáveis a todos ambientes operacionais, e que estes mesmos ambientes
nos permitam ter programas segmentados que auxiliem na aplicação e fácil
operacionalização destas políticas da segurança da informação.

REFERÊNCIAS

EDISON LUIZ GONÇAVES FONTES (gestão da segurança da informação)2008

https://books.google.com.br/books?id=Gh82CgAAQBAJ&printsec=frontcover&hl=pt-BR#v=on
epage&q&f=false acessado 28/12/2015

MOREIRA, NILTON S. (Segurança Mínima – uma visão corporativa da segurança de

informações. Rio de Janeiro, Axcel Books) 2001.

www.nucleodoconhecimento.com.br
 Segurança da Informação X Infraestrutura Tecnológica

SANTANDER. “Principais itens em segurança da informação”. Disponível em:

http://www.santander.com.br/document/gsb/seguranca_parceiros_principais_itens.pdf.
Acessado em: 28/12/2015.

Souza – Gestão de Ativos – A organização nas mãos da TI – Revista Infra Magazine 11

http://www.devmedia.com.br/gestao-de-ativos-a-organizacao-nas-maos-da-ti-revista-infra-ma
gazine-11/27895#ixzz3vcga4erB acessado 31/12/2015

FERREIRA, FERNANDO NICOLAU FREITAS, ARAÚJO, MÁRCIO TADEU. “Políticas de segurança”.

Segurança da informação – Guia prático para elaboração e implementação”. Rio de Janeiro:
Ciência Moderna, 2008.

BARBOSA.
http://www.campograndenews.com.br/artigos/o-mercado-brasileiro-de-controle-de-acesso
acessado 29/12/2015

EDISON LUIZ GONÇAVES FONTES (gestão da segurança da informação)2008

https://books.google.com.br/books?id=Gh82CgAAQBAJ&printsec=frontcover&hl=pt-BR#v=on
epage&q&f=false acessado 28/12/2015

[1] Desenvolvedor de sistemas e Pós-graduando em administração de rede e segurança da

informação pela UNEB-DF – União de Ensino Superior de Brasília – DF.

www.nucleodoconhecimento.com.br