5º MÓDULO - SEGURANÇA DA INFORMAÇÃO

Se a segurança da informação baseia-se em métodos e processos que

permitem proteger uma informação e torná-la acessível somente para aquelas pessoas
que de fato devem ter esse acesso, o que acontece quando ela não é colocada em
prática? Mais ou menos como naqueles casos clássicos de conselho de mãe, como não
falar com estranhos ou carregar o guarda-chuva se está nublado, uma hora ou outra o
usuário vai se dar mal.

Os internautas principiantes são os que mais sofrem. Sim, como em qualquer

aprendizado da vida, usar a internet demanda tempo, disposição e – por que não? –
malícia. Agora visualize quantos internautas brasileiros estão entrando em contato
com a web somente agora e ainda não têm esse conhecimento para preservar a
segurança das próprias informações.

São várias as maneiras de uma informação ser colocada em risco na internet,

mas três definições são fundamentais: fraude, roubo e vazamento. Somente com
tempo e conhecimento é que o usuário começa a identificar e evitar essas situações,
conforme desempenha suas tarefas diárias.

A tentativa de fraude é possivelmente a forma mais simples de ter os dados

roubados. Basta entrar na pasta de spam do seu Gmail (ou serviço similar) para
perceber quantas são as mensagens em nome de bancos, instituições financeiras e até
mesmo organizações sem fins lucrativos!

O phishing é isso: simular ser outra pessoa ou empresa, para forçar o usuário a
realizar alguma ação. No caso dos e-mails falsos da Receita Federal (por exemplo), o

1
simples ato de digitar seu CPF numa página pirata faz os bandidos confirmarem que
esse número de CPF realmente existe e passem a usá-lo para os mais escusos fins.

Existem inúmeros modos de explorar o phishing: desde e-mail falso

confirmando compra de passagem aérea até mensagens em nome de bancos avisando
sobre cobranças que não existem. Inclusive, alguns desses e-mails contém links para
vírus, além de tentar explorar o usuário. Portanto, desconfie de tudo.

Se houvesse níveis de mau caratismo, o roubo certamente estaria acima das

tentativas de fraude. Aí trata-se claramente de caso de polícia: quando você acessa um
site que pede suas informações bancarias, supostamente para acessar a sua conta, e
depois descobre que valores foram transferidos sem o seu consentimento, telefone
para o 190 imediatamente.

Os hackers são implacáveis na sofisticação de suas mensagens, mas sempre vai

haver algo que denuncie aquela ação maliciosa. Por quê? Porque esses bandidos não
te conhecem, então não vão fazer como o seu banco, que manda uma mensagem
especificamente para você (e cabe notar: os bancos têm o hábito de não inserir links
no corpo dos e-mails).

Ainda no campo do roubo, a mesma desconfiança vale na hora de realizar

compras na internet. Procure lojas de confiança, conhecidas, ou pelo menos que
tenham sido recomendadas. Se você não conhece aquela loja que está fazendo um
precinho bem camarada, faça uma pesquisa rápida no Google. Dois minutos de
trabalho pesquisando sobre a loja poderão poupar-lhe de um prejuízo financeiro que
você certamente não quer.

Por fim, o vazamento de informações. É quando o criminoso não se contenta

em ter seus dados, mas faz questão de divulga-los por toda a rede. Geralmente o
objetivo do vazamento, no mundinho negro dos hackers, é provar que ele capaz de
fazê-lo. No pior cenário possível, suas informações permanecerão indefinidamente na
rede, então é bom tomar muito cuidado na hora de fazer downloads de aplicativos
originados não de sites oficiais ou repositórios de software, mas sim de lugares
desconhecidos.

Como você pode ter reparado, boa parte das ameaças à nossa segurança digital
aparecem na caixa de entrada dos nossos e-mails. Talvez as mensagens sejam a forma
mais fácil de enganar os outros (já que não dá para saber se é verídica como no caso
de um website de banco, cujo domínio pode ser facilmente verificado), e por isso é
bom ter atenção redobrada: sempre desconfie de mensagens enviadas por empresas.
Ainda mais se você não for cliente dessa empresa!

2
Se você é correntista do Banco A, por que vai clicar num comunicado enviado pelo
Banco B, informando que a sua conta precisa ser regularizada? Se essa conta corrente
não existe, simplesmente remova o e-mail, sem dó nem piedade.

Basta ter um olhar mais desconfiado para neutralizar a maior parte dos perigos
que a internet nos proporciona.

SEGURANÇA DA INFORMAÇÃO

Segurança da informação diz respeito à proteção de determinados dados, com

a intenção de preservar seus respectivos valores para uma organização (empresa) ou
um indivíduo.

Podemos entender como informação todo o conteúdo ou dado valioso para um

indivíduo/organização, que consiste em qualquer conteúdo com capacidade de
armazenamento ou transferência, que serve a determinado propósito e que é de
utilidade do ser humano.

Atualmente, a informação digital é um dos principais produtos de nossa era e

necessita ser convenientemente protegida. A segurança de determinadas informações
podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo
ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de
roubar, destruir ou modificar essas informações.

Confidencialidade, disponibilidade e integridade são algumas das características

básicas da segurança da informação, e podem ser consideradas até mesmo atributos.

3
 Confidencialidade – Diz respeito à inacessibilidade da informação, que não
pode ser divulgada para um usuário, entidade ou processo não autorizado;

Integridade – A informação não deve ser alterada ou excluída sem autorização;

Disponibilidade – Acesso aos serviços do sistema/máquina para usuários ou

entidades autorizadas.

Toda vulnerabilidade de um sistema ou computador pode representar

possibilidades de ponto de ataque de terceiros.

Esse tipo de segurança não é somente para sistemas computacionais, como

imaginamos. Além de também envolver informações eletrônicas e sistemas de
armazenamento, esse tipo de segurança também se aplica a vários outros aspectos e
formas de proteger, monitorar e cuidar de dados.

OS PILARES DA SEGURANÇA DA INFORMAÇÃO

Ao longo dos últimos anos, o investimento em segurança da informação

tornou-se algo básico para várias áreas. Negócios passaram a lidar com um grande
número de dados digitais e, nesse cenário, proteger-se contra diferentes ameaças é
visto como um fator estratégico.

A política de segurança da informação é um instrumento utilizado por gestores

de TI, para prevenir que eventuais vulnerabilidades do negócio sejam exploradas por
terceiros, através do roubo de dados ou invasões de infraestrutura. Ela é desenvolvida
a partir de um conjunto de diretrizes que devem ser seguidas por todos os membros
da organização, e que são definidas de acordo com o perfil do negócio.

A criação de uma política de segurança digital é um processo complexo. Ela

envolverá todos os setores do negócio e a sua implementação atinge diretamente
diversas equipes e pessoas. Diante disso, é crucial que ela seja desenvolvida por meio
de um modelo abrangente e de conhecimento geral.

Além disso, o negócio também deve contar com um time de profissionais

qualificados, prontos para aplicar as medidas mais adequadas a cada área do negócio.
Técnicos e especialistas em TI precisam estar prontos para garantir que os pilares da
segurança da informação sejam cumpridos continuamente, seja por meio de
indicadores, sistemas de monitoramento ou regras de acesso a recursos digitais.

4
 Assim, sendo integrada diretamente a todos os processos, a política de
segurança da informação garante que o negócio terá uma infraestrutura sólida e
confiável. Independentemente do trabalho que for executado por cada profissional,
ele terá a certeza de que os seus dados estão protegidos contra ameaças externas,
como malwares e scripts de roubo de informações.

PRINCÍPIOS DE SEGURANÇA

As políticas de segurança da informação devem ser baseadas em três

princípios. Eles servem para direcionar as estratégias do negócio, apontando ao gestor
como cada regra pode ser criada e implementada. São eles:

Princípio da Disponibilidade: define que todos os dados e sistemas devem estar

disponíveis para visualização e modificação, a qualquer momento, para as pessoas
certas. Para atingir esse objetivo, uma série de medidas podem ser adotadas, como o
uso de criptografia e a implementação de métodos de exclusão segura de arquivos;

Princípio da Confidencialidade: o acesso a todos os registros e sistemas digitais

deve ser restrito apenas às pessoas certas. Esse conceito inclui não só os aplicativos e
arquivos armazenados digitalmente, mas também os equipamentos de hardware, as
soluções de computação em nuvem e as conexões de rede;

Princípio da Integridade: nenhum dado deve ser modificado indevidamente. Em

outras palavras, a infraestrutura de TI deve estar protegida contra qualquer brecha
que permita a quebra da integridade de um arquivo ou documento. Esse conceito
também é aplicado à integridade de sistemas, que devem funcionar conforme o
esperado pelos usuários.

A compreensão desses fundamentos é crucial para que a política de segurança

digital seja planejada da forma correta. Isso permite que o gestor mensure quais
medidas são mais adequadas ao perfil do negócio, e avalie a melhor forma para
manter uma infraestrutura de TI confiável e robusta.

QUAIS OS PRINCIPAIS TIPOS DE VULNERABILIDADES

As políticas se segurança da informação buscam proteger a empresa contra

uma série de falhas. Para auxiliar o gestor a compreender como cada brecha afeta o
negócio, elas são divididas em categorias. Assim, o negócio pode definir uma
estratégia categorizada de acordo com cada seguimento da sua infraestrutura de TI.

5
 Entre os principais tipos de vulnerabilidades que podem afetar a infraestrutura
de TI do negócio, podemos destacar:

VULNERABILIDADES DE HARDWARE

Não só apenas os softwares que utilizamos no dia a dia apresentam problemas

de segurança digital. Equipamentos de hardware, que mal instalados ou gerenciados,
tornam-se facilmente uma porta de entrada para hackers e malwares.

A abertura a vulnerabilidades de segurança ocorre de diversas formas. Drivers

desatualizados ou uma instalação mal executada, por exemplo, impactam no
desempenho do equipamento e servem de porta de entrada para vários ataques.

Muitos ataques que exploram vulnerabilidades em modens, equipamentos da

Internet das Coisas e em câmeras IP, por exemplo, aproveitam-se do uso de senhas
fracas ou padronizadas, para acessarem os painéis de administração do dispositivo.
Portanto, esteja atento a todas as medidas tomadas durante a instalação e
configuração de um equipamento de hardware.

VULNERABILIDADES DE COMUNICAÇÃO

As vulnerabilidades de comunicação são aquelas que afetam a integridade do

envio e recebimento de arquivos. Diante da flexibilização das políticas operacionais
existentes, elas podem ocorrer tanto internamente quanto fora do ambiente de
trabalho de cada profissional.

Em outras palavras, esse tipo de vulnerabilidade é aquela que permite a

visualização dos pacotes de dados que circulam em uma conexão que, em tese,
deveria ser privada. Isso ocorre, por exemplo, quando redes públicas são acessadas
sem o devido cuidado: qualquer pessoa com conhecimentos técnicos avançados pode
executar um ataque do tipo man in the middle e capturar todas as informações
trocadas pelo usuário.

VULNERABILIDADES DE ARMAZENAMENTO

As vulnerabilidades de armazenamento são as que afetam dispositivos como

SDDs, HDs externos e qualquer outra mídia utilizada pelo negócio para armazenar
informações internas. Nesse tipo, tais brechas podem ser exploradas de diferentes

6
formas, tal como um ataque simples — como os scripts de autorun — ou avançados —
como os ataques de ransomware.

VULNERABILIDADES HUMANAS

As vulnerabilidades humanas são qualquer tipo de ação feita pelo usuário que
possa comprometer a sua segurança, a da sua equipe e a do negócio (com ou sem
intenções de causar dano). Esse tipo de vulnerabilidade pode ser uma de maior
impacto no dia a dia da empresa, uma vez que ela dá a chance para diferentes tipos de
ataque atingirem o seu objetivo.

Vulnerabilidades humanas não intencionais ocorrerem, principalmente, pela

falta de treinamento ou engajamento dos usuários nas políticas de segurança digital do
negócio, levando cada profissional a ter uma rotina que aumente os riscos aos quais
ele está exposto.

Isso pode incluir medidas como o uso de senhas simples (e a sua repetição
entre sistemas), a conexão a redes inseguras e o download de arquivos com scripts
maliciosos. Diante disso, é fundamental que o gestor consiga definir uma estratégia de
segurança digital que incentive os profissionais a integrarem boas práticas no seu dia a
dia.

COMO A TERCEIRIZAÇÃO DA TI PODE OTIMIZAR A SEGURANÇA DA INFORMAÇÃO

Uma das abordagens que podem ser utilizadas para otimizar a gestão das
políticas de segurança digital é a terceirização das rotinas de TI. Nesse caso, a
companhia contratará um time de especialistas, de acordo com a sua necessidade e o
perfil do negócio.

Essa estratégia impactará diretamente em vários processos internos. A

produtividade de cada área será potencializada. Ao mesmo tempo, o negócio
conseguirá otimizar o seu direcionamento de recursos humanos e reduzir gastos
operacionais. Nesse sentido, podemos destacar, como principais impactos causados
pelo investimento no outsourcing em TI:

1 – Suporte feito por especialistas

Empresas de outsourcing em TI possuem um time de profissionais com

conhecimentos multidisciplinares. Eles estão prontos para atenderem a diferentes

7
tipos de demanda e, por isso, podem garantir o máximo de retorno sobre o
investimento para quem adota essa solução.

Nessa lógica, a companhia que opta por terceirizar a sua gestão de segurança
digital terá a certeza de que o time responsável pela tarefa possui uma especialização
profunda na área. Como consequência, o número de erros que surgirão no dia a dia do
negócio será diminuído drasticamente, a médio e longo prazos.

2 – Maior controle da infraestrutura

A contratação de uma empresa de terceirização de TI é acompanhada da

obrigação de relatórios de desempenho e análises periódicas do resultado do
investimento. Dessa forma, o negócio consegue prevenir vulnerabilidades, otimizar as
suas rotinas de gestão e avaliar como cada rotina impacta na rotina do usuário.

Isso é algo crucial para gestores que não pretendem perder o controle sobre os
processos de gestão da infraestrutura de TI com a contratação do serviço de
outsourcing. Sempre que for necessário, o negócio poderá levantar dados sobre o
impacto das medidas de segurança digital adotadas e avaliar se as providências
tomadas atendem as suas expectativas.

3 – Adaptação das políticas de gestão aos padrões do mercado

Para serem eficazes, as políticas de segurança digital devem estar alinhadas aos
padrões do mercado. Desse modo, investir na terceirização facilita esse processo, uma
vez que os profissionais das prestadoras de serviço possuem os seus conhecimentos
atualizados regularmente.

Uma vez implementado, o time terceirizado avaliará todas as medidas já

existentes no negócio e identificará aquelas que precisam de melhoria. Assim, todos os
processos serão alinhados com os objetivos de médio e longo prazos da empresa e do
mercado, garantindo que as políticas de segurança da informação sejam capazes de
otimizar ao máximo o ambiente de trabalho de cada usuário.