Resumo

Com a evolução da tecnologia, as informações passaram de processos manuais para processos

automatizados. Com estas mudanças, a informação necessitava da garantia de ser gerada através
de sistemas e ao mesmo tempo fosse íntegra, confiável e segura. A partir dos momentos em que
uma informação é criada, é de grande importância que esta informação seja protegida. Dentro
das organizações a informação é um dos bens mais valiosos que ela possui e, por esta razão, é
comum enfrentar diversos obstáculos, tais como, ameaças, vulnerabilidades e ataques a este
ativo. Há, então, uma série de mecanismos de segurança e ferramentas que podem ser montadas
como barreira para impedir os elos entre a informação e suas ameaças. O objetivo geral deste
trabalho foi sistematizar os principais tipos de ataques, mecanismos de segurança e ferramentas
relacionados com a quebra de confidencialidade que podem ocorrer dentro de uma organização.
Os resultados deste estudo foram aplicados em uma empresa de pequeno porte a fim de auxiliar
na proteção da confidencialidade dos dados. O estudo de caso mostrou que mesmo em uma
empresa pequena é necessário criar uma cultura de segurança e ferramentas de proteção dos
dados.
Lista de abreviaturas e siglas
ABNT Associação Brasileira de Normas Técnicas

CEF Caixa Econômica Federal

CIA Confidentiality, Integrity and Availability

IDS Intrusion Detection System

CISO Chief Information Security Officer,

CSO Chief Security Officer

SIM Security Information Management

BSI British Standards Institution

SGSI Sistema de Gestão da Segurança da Informação

P Plan

D Do

C Check

A Act

IDS Intrusion Detection Systems

IPS Intrusion Prevention Systems

NBAD Network Behaviour Anomaly Detectors

DDoS Distributed Denial of Service

Índice de figuras
Figura 1.Segurança da Informação - Tríade CIA.........................................................................................10
Figura 2. Vulnerabilidade...........................................................................................................................11
Figura 3. Vulnerabilidade e desafio de segurança contemporânea...........................................................16
Figura 4. Ciclo PDCA...................................................................................................................................21
Índice de Tabela
Quadro 1 .Ameaças (continua)..................................................................................................................10

Índice
1. Introdução............................................................................................................................................6
1.1. Objetivos.........................................................................................................................................6
1.1.1. Objetivos Gerais..........................................................................................................................6
1.1.2. Objetivo específicos.....................................................................................................................6
1.2. Metodologia.....................................................................................................................................7
1.3. Segurança da informação.................................................................................................................8
1.4. Princípios básicos da informação.....................................................................................................9
1.5. Sistemas de computador são tão vulneráveis a destruição, erros e uso indevido..............................9
1.6. Ameaças....................................................................................................................................10
1.6.1. Vírus..........................................................................................................................................13
1.6.2. Worm.........................................................................................................................................13
1.6.3. Trojan........................................................................................................................................13
1.6.4. Hacker.......................................................................................................................................13
1.7. O valor empresarial da segurança e do controle.............................................................................15
1.7.1. A Segurança Empresarial...........................................................................................................15
1.8. Os componentes de uma estrutura organizacional para segurança e controle................................16
1.8.1. Plan............................................................................................................................................19
1.8.2. Do..............................................................................................................................................19
1.8.3. Check.........................................................................................................................................19
1.8.4. Act.............................................................................................................................................19
1.8.5. Gestão da segurança da informação...........................................................................................21
1.8.6. Monitoramento..........................................................................................................................21
1.8.7. Configuração e administração....................................................................................................21
1.8.8. Gestão de identidade..................................................................................................................21
1.9. Ferramentas que permitem a correta identificação de um usuário para lhe conferir acesso de
acordo com seu perfil................................................................................................................................22
1.9.1. Identificação/Autenticação........................................................................................................22
1.9.2. Autorização/Controle de acesso.................................................................................................22
1.9.3. Public Key Infrastructure/Certification Authority......................................................................22
1.9.4. Defesa contra ameaças...............................................................................................................22
1.9.5. Proteção de perímetro................................................................................................................22
1.9.6. Detecção de anomalias e intrusão..............................................................................................22
1.9.7. Proteção contra infecção............................................................................................................23
1.9.8. Identificação de vulnerabilidades...............................................................................................23
1.9.9. Backup/recovery........................................................................................................................23
1.9.10. Criptografia das informações.....................................................................................................24
1.10. As ferramentas e tecnologias mais importantes para salvar e guardar os recursos de informação
25
1.10.1. Tokens.......................................................................................................................................25
1.10.2. Firewall......................................................................................................................................25
1.11. Conclusões.................................................................................................................................27
1.12. Referências Biliográficas...........................................................................................................28
 1. Introdução
É sabido que a facilidade na troca de informação tem evoluído de uma maneira muito rápida,
porém essa facilidade na comunicação mundial gera um problema: o acesso indevido a essas
informações e a falta de confiabilidade dos dados.

Diante desta realidade, a Segurança da Informação tornou-se um assunto muito abordado e

comentado nos últimos tempos e tem sido, mais do que nunca, uma ferramenta primordial para
tomadas de decisões estratégicas em todos os setores da sociedade. Isto se deve, pois, a quebra
de confidencialidade ou a análise equivocada da informação pode tornar-se uma grande vilã para
as organizações quando usada inapropriadamente ou sem autorização.

Como tendência, as organizações deverão mudar seu enfoque em relação a segurança da

informação priorizando, não apenas as ferramentas de prevenção contra-ataques, mas sim os
dados produzidos e coletados dentro da empresa. Segundo um estudo conduzido pelo Instituto
Ponemon em parceria com a Varonis, descobriu-se que 62% dos funcionários afirmam que
possuem acesso a dados que não seriam necessários para realizar suas tarefas diárias. Ainda,
menos de 30% das empresas possuem registros do que seus funcionários estão fazendo com as
informações (COMPUTERWORLD, 2016).

Em agosto de 2013, o Yahoo teve o maior vazamento de dados da história onde afirma que
dados associados a mais de um bilhão de contas de usuários foram roubados, entre eles, nomes,
endereços de e-mail, números telefônicos, datas de nascimento e senhas criptografadas
(COMPUTERWORLD, 2016).

1.1. Objetivos
1.1.1. Objetivos Gerais
O presente trabalho teve como objetivo descrever segurança em sistema de informação;
1.1.2. Objetivo específicos
 Vulnerabilidade dos sistemas e uso indevido;
 Valor empresarial de segurança e de controle;
 Componente de uma estrutura organizacional para segurança e controle;
 As ferramentas e tecnologias mais importantes para salvar e guardar os recursos de
informação;
 1.2. Metodologia
Para a realização deste trabalho, será abordada uma pesquisa bibliográfica, constituído
principalmente de livros, artigos de periódicos e atualmente com material disponibilizado na
internet. Deste modo, visa interpretar, compreender e analisar tais dados e ações através de
recursos e técnicas.

Na segunda etapa será realizado um estudo dos principais problemas de ataques humanos e
tecnológicos que afetam a quebra de confidencialidade no ciclo de vida da informação.

A terceira etapa consiste em unificar quais mecanismos de segurança podem ser utilizados
contra os diversos tipos de ataques no ciclo da informação e a busca de ferramentas que podem
ser utilizadas na implementação dos mecanismos de segurança.

Após, será desenvolvida uma estratégia operacional. Segundo COSTA (2009), é baseado em
técnicas produtivas, técnicas de comunicação e sistemas de informação.

Ainda, de acordo com Ximenes (2000), a estratégia é uma arte militar do planejamento e
execução de operações relativas a pessoas e materiais, garantindo posições vantajosas para
alcançar um objetivo específico.

Por estes conceitos, neste estudo, a tática se dá na preparação de um conjunto de diretrizes para
o ciclo da informação da organização. Diretivas estas que levam em conta a quebra de sigilo das
informações, as vulnerabilidades e as normas de segurança garantindo confidencialidade,
integridade, disponibilidade e autenticidade das informações.

A quarta etapa consiste na seleção de uma organização para aplicar a estratégia operacional
analisada e, após, validar e aprimorar as recomendações desenvolvidas da terceira etapa.

E por fim, a última etapa consiste na análise e avaliação dos resultados obtidos com a
implementação realizada na quarta etapa do estudo de caso, a fim de sugerir melhorias nas
recomendações sobre os problemas com a quebra de confidencialidade definidas.
 1.3. Segurança da informação
A informação sempre foi de grande relevância para a tomada de decisão da organização. Para
Sêmola (2003), informação pode ser um conjunto de dados usados para troca de mensagens
entre máquinas e pessoas. Ela pode estar presente ou pode ser manuseada por vários elementos
deste processo.

Já Audy, Andrade e Cidral (2005), definem a informação como um conjunto de dados

encadeados, o qual foi processado resultando em valor real ou percebido para decisões correntes
e posteriores. Algumas características podem determinar seu valor para a empresa, tal como:
precisa, confiável, relevante, acessível, segura, entre outras.

Na organização, conforme Fontes (2006), a informação é um ativo de grande valor e

importância para a empresa. Com isso, necessita-se estar adequadamente protegida.

Segundo a norma NBR ISO/IEC 27002 (ABNT, 2013), “a segurança da informação é alcançada
pela implementação de um conjunto adequado de controles, incluindo políticas, processos,
procedimentos, estrutura organizacional e funções de hardware e software”. Ainda assim, esses
controles precisam ser estabelecidos, implementados, monitorados, analisados e melhorados
continuamente, para atender os objetivos do negócio e a segurança da informação da
organização.

Ainda, Galvão (2015), afirma que a segurança da informação tem como objetivo a proteção dos
sistemas contra a alteração e invasão dos dados por pessoas não autorizadas. Ela deve prevenir,
detectar, deter e documentar qualquer ameaça aos seus dados e processamento, haja vista que
uma informação incorreta, ou a falta dela, pode ocasionar grandes perdas que comprometam o
funcionamento da organização e seu retorno (FONTES, 2006).

A segurança da informação pode ser classificada em técnicas, conceitos, procedimentos e

mapeamentos que gerenciam as informações de modo a desenvolver um planejamento
estratégico para garantir a proteção das informações.

Entre esses métodos, três deles devem ganhar importância quando se trata de prevenção da
informação: confiabilidade, integridade e disponibilidade.
 1.4. Princípios básicos da informação
A tríade conhecida por cia (confidentiality, integrity and availability) representam os princípios
básicos da segurança da informação, demonstrado na figura 1.

Figura 1.Segurança da Informação - Tríade CIA

Fonte: ABREU (2011).

De acordo com Fontes (2006), a informação apenas deve ser utilizada e acessada
exclusivamente por quem necessita da informação e por quem tem permissão de acesso e uso
dentro das organizações. Para Galvão (2015), confidencialidade representa a garantia que a
informação estará acessível somente para a pessoa autorizada. Se uma pessoa sem autorização
tem conhecimento, ocorre uma violação de privacidade.

1.5. Sistemas de computador são tão vulneráveis a destruição, erros e uso

indevido
Por conta dos avanços nas telecomunicações e em software de computador, acesso não
autorizado, abuso ou fraude, ataque de hackers e recusa de serviço e vírus de computador.

As vulnerabilidades em sistemas ocorrem por erros de programação, instalação inadequada ou

até mesmo alterações não autorizadas, além de quedas de energia e outros desastres naturais que
podem prejudicar os sistemas.
 Figura 2. Vulnerabilidade

Fonte: LAUREANO (2005).

1.6. Ameaças
Ameaças são quaisquer eventos que explorem vulnerabilidades, com potencial de causar
incidentes indesejados, resultando em danos para a organização. As ameaças podem afetar
mais de um ativo, provocando impactos que variam de acordo com o tipo e a importância do
ativo (ABNT NBR ISO/IEC 27005, 2011). As principais ameaças encontradas na literatura
(OLIVEIRA, 2001; ABNT NBR ISO/IEC 27005, 2011; SÊMOLA, 2003; STALLINGS,
2008) são descritas no Quadro 1.

Tabela 1.Ameaças (continua)

Tipos de Ameaça Definição

A informação sofre uma série de tarefas
sequencialmente realizadas com o intuito de produzir
Processamento Ilegal dos Dados
um arranjo determinado de informações a
partir de outras obtidas inicialmente sem autorização.
A informação é processada e divulgada sem autorização
Divulgação Indevida
do proprietário.

Cópia Ilegal A informação é processada e copiada outro local sem


Espionagem Interna e Externa
Dano físico à mídia
Engenharia Social
Modificação de dados
autorização
Ataques baseados em senhas
Acesso não autorizado
informações
Abuso de poder
Espionagem à distância
Comprometimento dos dados
Acesso a links de fontes não Sítios são acessados sem conhecimento da sua origem.
conhecidas ou não confiáveis
Furto de equipamentos
Defeito de Software
Falha de Equipamento
permissão.
Ato ou efeito de espionar, podendo ser de pessoas de
fora ou de dentro da empresa.
Quando o dispositivo ou mídia sofre alguma ação de
prejuízo, acidental ou intencionalmente ocasionando a
perda dos dados e da mídia.
Manipulação psicológica de pessoas para a execução de
ações ou divulgação das informações confidenciais.
sem A informação é alterada/modificada sem autorização do
proprietário.
Um software malicioso realiza a execução de algoritmos
baseados em dicionários de palavras na tentativa de
descobrir a senha original.
das A informação é acessada por pessoas sem permissão.
Membro da organização com posição hierárquica maior
utiliza-se de sua autoridade para obter acesso às
informações sigilosas.
Ato ou efeito de espionar.
A informação sofre algum incidente de tal forma que
perca sua integridade.
Roubo dos equipamentos da organização tornando as
informações dos dispositivos inacessíveis.
O serviço prestado pelo software é desviado do serviço
correto.
Um equipamento (hardware) apresenta problemas de
funcionamento.
 Uso não autorizado do O equipamento é utilizado por pessoas sem autorização.
equipamento
Alguma falha de comunicação entre os protocolos,
Falhas de protocolo
deixando vulnerável a interceptação da informação.
Acesso a informações de fontes Dados são acessados sem conhecimento da sua origem.
não confiáveis
Exploração de vulnerabilidade Falhas de processos que quando exploradas resulta na
violação da segurança das informações.
O sistema possui erros de projetos levando a falhas de
Falhas de Autenticação
autenticação.
Cópia não autorizada dos dados A informação é processada e copiada a outro local sem
permissão.
Software indesejado instalado sem consentimento
Software Malicioso
deixando as informações vulneráveis.
Ataques que visam causar indisponibilidade dos serviços
DDoS / DOS- Ataques de
de um determinado processo através do envio de
Negação de Serviço
simultâneas requisições.
Fonte: Próprio autor.

A maioria das ameaças podem causar incidentes de segurança em todas as etapas do

ciclo de vida da informação: criação, armazenamento, transporte e descarte. Por exemplo,
um ataque de força bruta pode ocorrer e gerar problemas de segurança no momento em que a
informação está sendo criada, armazenada, transportada ou descartada.

As ameaças mais comuns aos sistemas de informação contemporâneos são:

 Cliente: Acesso não autorizado, erros;

 Linhas de Comunicação: Escuta clandestina, alteração de mensagem, roubo e fraude,

radiação;

 Servidores Corporativos: Vírus, Vandalismo, ciberpirataria;

  Sistemas Corporativos: Roubo de dados, cópia/alteração de dados, falha de
hardware/software.

O termo Malware é proveniente do inglês malicious software; é um software destinado a se

infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum
dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan
horses (cavalos de troia) e spywares são considerados malware. Também pode ser considerada
malware uma aplicação legal que por uma falha de programação (intencional ou não) execute
funções que se enquadrem na definição supra citada.

1.6.1. Vírus é um programa de computador malicioso que se propaga infectando, ou seja,

inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de
um computador. O vírus depende da execução do arquivos hospedeiros para que
possa se tornar ativo e continuar o processo infecção;
1.6.2. Worm é um programa capaz de se propagar automaticamente através de redes,
enviando cópias de si mesmo de computador para computador. Diferente do vírus, o
worm não embute cópias de si mesmo em outros programas ou arquivos e não
necessita ser explicitamente executado para se propagar. Sua propagação se dá
através da exploração de vulnerabilidades existentes ou falhas na configuração de
softwares instalados em computadores;
1.6.3. Trojan é um programa que se passa por um "presente" (por exemplo, cartões virtuais,
álbum de fotos, protetor de tela, jogo, etc.)que além de executar funções para as quais
foi aparentemente projetado, também executa outras funções normalmente maliciosas
e sem o conhecimento do usuário;
1.6.4. Hacker é um indivíduo que se dedica, com intensidade incomum, a conhecer e
modificar os aspectos mais internos de dispositivos, programas e redes de
computadores. Graças a esses conhecimentos, um hacker frequentemente consegue
obter soluções e efeitos extraordinários, que extrapolam os limites do funcionamento
"normal" dos sistemas como previstos pelos seus criadores; incluindo, por exemplo,
contornar as barreiras que supostamente deveriam impedir o controle de certos
sistemas e acesso a certos dados. Eles estudam sistemas de computação à procura de
falhas na sua segurança, muitos invadindo o sistema a procura de copiar informações
 importantes, ou implantar um vírus no sistema danificando-o, outros apenas para
mostrar a segurança falha.

O crime por computador pode acarretar danos tanto pessoais como empresariais. Os danos
pessoais são obtidos no envio de mensagens com conteúdo pejorativo, falso ou pessoal em nome
da pessoa, utilizando somente os dados dos e-mails, na movimentação de contas bancárias com o
intuito de fazer transações, saques ou até mesmo pagamento de contas, na utilização de dados de
cartão de crédito para fazer compras e na divulgação de fotos ou imagens com intenção de causar
danos morais. As empresas também sofrem com estas invasões nos seus dados e informações
confidenciais. Os crimes ocasionam não somente danos financeiros, mas também danos
empresariais, visto que as organizações têm que fazer novamente a manutenção das máquinas
danificadas. Podemos categorizar tais crimes em dois tipos básicos: crimes cometidos utilizando
o computador como ferramenta para cometer a infração e aqueles que o crime é cometido contra
o computador em si, o objeto é danificado ou prejudicado de alguma forma. O crime informático
pode ser utilizado sem autorização dos criadores dos produtos ou marcas.

Phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude
eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas,
dados financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em
um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação
eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem
instantânea, SMS, dentre outros. Como o nome propõe (Phishing), é uma tentativa de um
fraudador tentar "pescar" informações pessoais de usuários desavisados ou inexperientes. O
roubo de identidade se tornou um problema contemporâneo grande. Isso se deve ao descuido de
pessoas ao acessarem a rede, onde compartilham informações pessoas sem maiores
preocupações, não protegerem seu sistema.

Em termos estatísticos, a confiabilidade de software é definida como: “a probabilidade de

operação livre de falhas de um programa de computador num ambiente específico durante
determinado tempo”(Musa et al, 1987 in Pressman (1995).
 1.6.5. Confiabilidade de software é uma parte fundamental na qualidade do sistema. O seu
estudo pode ser categorizadas em três partes: a medição, modelagem e
aperfeiçoamento.
1.6.6. Software de modelagem amadureceu a tal ponto que resultados significativos
podem ser obtidos através da aplicação de modelos adequados para o problema. Há
muitos modelos existentes atualmente, mas nenhum modelo pode capturar uma
quantidade necessária das características do software. Suposições e abstrações devem
ser feitas para simplificar o problema. Não existe um modelo único, que é universal a
todas as situações. Confiabilidade de software não pode ser medido diretamente,
então outros fatores relacionados são medidos para estimar a confiabilidade do
software e compará-lo entre os produtos. Processo de desenvolvimento, faltas e falhas
encontradas são todos fatores que garantem a boa qualidade do sistema

Figura 3.1 Vulnerabilidade e desafio de segurança contemporânea

1.7. O valor empresarial da segurança e do controle

1.7.1. A Segurança Empresarial é um conjunto de medidas, capazes de gerar um estado,
no qual os interesses vitais de uma organização estejam livres de interferências e
perturbações alheias aos seus controles. A segurança dentro das empresas, não
depende apenas do departamento de segurança, mas envolve todos os seus setores e
todo o seu pessoal, direta ou indiretamente. Porém, não existe segurança perfeita,
total ou absoluta. O que se procura dentro de uma organização é uma segurança
satisfatória, capaz de retardar ao máximo uma possibilidade de agressão,
 desencadeando forças, no menor espaço de tempo possível, capazes de neutralizar a
agressão identificada. Segundo Teles (2007), Segurança Corporativa ou Segurança
Empresarial são conceitos, normas e procedimentos de segurança que, unidos aos
avanços tecnológicos, possuem a finalidade de garantir valores que uma vez perdidos
ou fragmentados podem prejudicar a organização.

Desta forma, é possível compreender que a Segurança Empresarial é um conjunto de medidas,

normas e tarefas destinadas a proteger os ativos tangíveis e intangíveis de uma empresa,
garantindo, assim, a aplicação eficaz de todos os recursos que são disponibilizados, de forma a
viabilizar o funcionamento integrado dos meios ativos, passivos e de sistemas disponíveis em
função da prevenção de perdas, do gerenciamento de riscos e das crises contra ameaças
decorrentes de ações intencionais ou acidentais, visando garantir a continuidade dos negócios.
Portanto, podemos definir como princípios básicos da Segurança Empresarial: segurança é
prevenção e prevenção é treinamento; o investimento em segurança é proporcional ao risco ao
qual a empresa está exposta; e as medidas de segurança não devem impedir ou dificultar a
atividade normal da empresa.

1.8. Os componentes de uma estrutura organizacional para segurança e controle

Em tempos de grandes fraudes financeiras, que colocaram sob suspeita a credibilidade das
informações contábeis, e de uma crescente dependência da tecnologia da informação nas
empresas, deter uma certificação de segurança da informação é, certamente, um importante
diferencial competitivo, que demonstra ao mercado a preocupação da empresa em manter suas
informações confidenciais, íntegras e disponíveis.

Recentes leis e acordos internacionais, como a Sarbanes-Oxley Act e Basiléia II, demonstram a
preocupação dos governos com fraudes e outros problemas relativos à confiabilidade e
disponibilidade de informações, que podem colocar sob suspeita as ações de empresas. Alguns
requisitos dessas leis referem-se nitidamente à segurança da informação, como a disponibilidade
de informações de sistemas de informação (logs), garantia de não-repúdio de transações,
sistemas menos suscetíveis a fraudes, segregação de funções e controle rígido de acesso.
Novas atribuições profissionais surgiram para suprir essa necessidade, como o CISO – Chief
Information Security Officer, CSO – Chief Security Officer, funções normalmente encarregadas
da gestão da segurança de uma corporação e das atividades de enquadramento das companhias às
regulamentações de mercado. O papel desses profissionais tornou-se muito importante à medida
que os sistemas de informação corporativos tornaram-se críticos e que os gestores da empresa
passaram a ter responsabilidade cível sobre a precisão das informações corporativas.

Dessa maneira, nada mais natural que a busca de um padrão único e reconhecido de práticas para
a segurança da informação e sistemas. A normalização e certificação de sistemas de gestão têm
sido freqüentes e usuais como, por exemplo, as Normas de Qualidade (ISO 9001), Meio
Ambiente (ISO 14001), Segurança do Trabalho (OHSAS 18001), entre diversas outras que
atestam a adequação dos processos de uma empresa em relação aos requisitos de uma norma
específica.

Nessa linha, o mercado reconhece a Norma ISO/IEC 17799 como a principal referência de
melhores práticas para a gestão da segurança da informação. Essa norma teve como origem a BS
7799, da BSI – British Standards Institution, padrão britânico de segurança da informação e, ao
contrário de outras normas ISO, como as séries ISO 9000 e ISO 14000, a ISO/IEC 17799 ainda
não tem um guia de certificação. Atualmente, a certificação de segurança da informação somente
é possível pela Norma BS 7799-2:2002.

Quando uma corporação adota a ISO/IEC 17799 como referência, ela adota naturalmente uma
abordagem orientada para processos, que permite maior eficácia na gestão da segurança. Esse
tipo de abordagem concentra-se nos processos que impactam diretamente os resultados do
negócio, e não apenas em soluções tecnológicas que aumentam o nível de segurança. A
corporação passa a avaliar e gerenciar os riscos inerentes a cada processo de negócio, e a
segurança passa a ser incorporada naturalmente na gestão dos processos.

A ISO/IEC 17799 define o conceito do Sistema de Gestão da Segurança da Informação (SGSI),

que consiste num instrumento de gestão baseada no gerenciamento de risco para estabelecer,
implementar, operar, monitorar de forma proativa, revisar, manter e otimizar a segurança da
informação de uma organização. O SGSI não é uma ferramenta tecnológica, como o nome pode
levar a crer; é um instrumento completo de gestão que inclui, por exemplo, definição da estrutura
organizacional, definição de papéis e políticas de segurança. Há o consenso do mercado de que a
criação de SGSI, por si só, não resolve absolutamente todos os problemas de segurança
existentes na empresa: apenas trata de sistematizar a gestão de riscos e descrever as melhores
práticas para tratá-los.

Considerando esse quadro, a Norma ISO/IEC 17799 tem como principal característica descrever
controles preventivos, em sua grande maioria, evitando a ocorrência de incidentes envolvendo as
informações corporativas. Há também controles de monitoramento, visando reduzir o tempo de
exposição ao risco, que permitem detectar, de maneira mais rápida e efetiva, eventuais violações
às regras do Sistema.

Na documentação de um SGSI, existem três níveis de abstração que definem algumas dimensões
da gestão da segurança: políticas, processos e procedimentos. Uma política deve descrever o
entendimento, diretrizes e objetivos da empresa com relação à segurança da informação. Essa
política deve ser simples o suficiente para ser facilmente compreendida por todos os
colaboradores da empresa, e também genérica para que seja aplicável a toda a corporação.

Uma política normalmente é implementada através de processos que descrevem quais atividades
devem ser executadas para que uma tarefa seja cumprida. Podemos citar como exemplo o
processo de cadastramento de um novo usuário: seria necessário criar uma conta de acesso à
rede, criar uma conta de acesso no servidor de correio, permitir o acesso da pessoa nos ambientes
físicos da empresa, cadastrar as permissões de acesso num determinado repositório da empresa e
também os perfis nos aplicativos que tenha que utilizar.

Já um procedimento descreve os detalhes de uma determinada tarefa. Em geral, são instruções de

trabalho que permitem que qualquer profissional, de formação e conhecimento similar, possa
operacionalizar uma tarefa.

Dessa maneira, a criação de um Sistema de Gestão da Segurança da Informação se torna mais

simples, dividindo as atividades em diferentes camadas, com diferentes níveis de detalhamento.
A revisão de um procedimento de trabalho como, por exemplo, a troca da versão de um
aplicativo, não precisa alterar processos e políticas corporativas. Normalmente, o mercado se
refere ao conjunto de políticas, processos e procedimentos como “Política de Segurança”.
Ao contrário do que se imagina, a ISO/IEC 17799 não descreve apenas práticas para a gestão da
segurança da informação em TI, mas em várias outras áreas, como o controle físico de acesso, a
segurança de equipamentos de escritório (fax, copiadoras etc.), a documentação de processos de
trabalho, os critérios para o aceite de serviços terceirizados e manuseio de documentos, entre
diversas outras.

Dessa maneira, a norma sugere a implantação do Sistema de Gestão da Segurança da Informação

de maneira similar aos já conhecidos Sistemas de Gestão da Qualidade e Meio Ambiente, pelo
ciclo contínuo de aprimoramento do Sistema. Esse ciclo, conhecido como PDCA (Plan – Do –
Check – Act) é implementado da seguinte maneira:

1.8.1. Plan
Estabelecer um Sistema de Gestão de Segurança da Informação

• Definir uma diretriz para a segurança da informação em consonância com os objetivos de

negócio da corporação.

• Realizar um levantamento de todos os ativos de informação contidos na empresa.

• Atribuir um valor para cada ativo, conhecer suas vulnerabilidades e ameaças e o impacto
associado a cada ameaça.

• Definir, de acordo com as práticas da norma, quais controles devem ser introduzidos para
reduzir o risco existente.

1.8.2. Do
Implementar e operar o Sistema de Gestão da Segurança da Informação

• Definir planos de tratamento de riscos, que podem incluir a instalação de ferramentas,

treinamentos, campanhas de conscientização, criação de procedimentos de trabalho, ou transferir
o risco para terceiros (contratação de seguros).

1.8.3. Check
Monitorar e revisar o Sistema de Gestão da Segurança da Informação

• Verificar se, no tratamento dos riscos identificados, os planos delineados foram adequados.
• Verificar se o Sistema está atingindo os objetivos esperados.

1.8.4. Act
Manter e melhorar o Sistema de Gestão da Segurança da Informação

• Verificar a adequação do Sistema de Gestão da Segurança da Informação em relação aos

objetivos iniciais.

• Propor melhorias do Sistema.

• Definir novos objetivos de segurança.

Figura 4 Ciclo PDCA

A Norma ISO/IEC 17799 pode ser aplicada em qualquer processo ou âmbito de uma empresa. A
situa-ção ideal é iniciar a implantação de um Sistema de Gestão da Segurança da Informação
num âmbito reduzido e, com o amadurecer do sistema, expandir sua abrangência para outras
áreas.
A tendência é que a Norma ISO/IEC 17799 tenha rápida expansão, no médio prazo, e que venha
a se tornar uma exigência comum para a contratação de serviços ou até mesmo para a análise do
risco financeiro de uma companhia. Até o final de 2005, mais de 1800 companhias deverão
receber seus certificados e outras dezenas de milhares já estarão trabalhando conforme os
preceitos dessa norma.

Uma nova revisão da ISO/IEC 17799 está em andamento, devendo incluir os requisitos para a
certificação e tendo sua numeração alterada para ISO/IEC 27001. Uma vez que a certificação é
feita somente pela norma britânica BS 7799-2:2002, a disponibilização de uma versão ISO
certamente irá estimular as empresas a certificarem seus sistemas de gestão da segurança da
informação.

Espera-se que essa nova versão não tenha mudanças significativas em relação à versão atual da
norma (ISO/IEC 17799:2005). A transferência dos certificados já emitidos, segundo os critérios
da BS 7799-2:2002, será gradual.

1.8.5. Gestão da segurança da informação

Soluções que permitem a gestão da segurança de maneira centralizada e fazem parte de uma
categoria denominada SIM (Security Information Management). Existem dois grupos de
funcionalidades que podem residir em uma ou em mais ferramentas:

1.8.6. Monitoramento
Realizam a análise e correlação de eventos originados em diversos sistemas através de uma
plataforma única, e permitem a análise forense de incidentes, oferecendo um painel de bordo às
equipes de segurança.

1.8.7. Configuração e administração

Permitem a verificação e a modificação de configuração de diversas plataformas e sistemas de
maneira a garantirem a conformidade com as políticas de segurança. Como exemplos de
atividades realizadas por essas ferramentas podemos citar a modificação de uma regra num
firewall, ou a verificação das versões dos aplicativos, instalados nas estações de trabalho, para
identificar a necessidade de atualizações.
 1.8.8. Gestão de identidade

1.9. Ferramentas que permitem a correta identificação de um usuário para lhe

conferir acesso de acordo com seu perfil.

1.9.1. Identificação/Autenticação
Permitem identificar unicamente um usuário e verificar a autenticidade da sua identidade através
de mecanismos variados, como, por exemplo, senhas pré-definidas, certificados digitais,
biometria ou dispositivos portáteis (tokens, smart cards).

1.9.2. Autorização/Controle de acesso

Possibilitam especificar as ações permitidas e níveis de privilégio diferenciados para cada
usuário através do estabelecimento de políticas de uso.

1.9.3. Public Key Infrastructure/Certification Authority

Realizam a geração e gestão de chaves e certificados digitais que conferem autenticidade aos
usuários ou à informação. Outra aplicação dessa categoria de ferramentas é o fornecimento de
chaves para suportar soluções de criptografia.

1.9.4. Defesa contra ameaças

Diversas soluções atuando, de forma preventiva ou corretiva, na defesa contra ameaças à
segurança de uma corporação.

1.9.5. Proteção de perímetro

Permitem definir uma fronteira, lógica ou física, em torno de um conjunto de ativos de
informação e implementar as medidas necessárias para evitar a troca de informação não
autorizada através do perímetro. Os firewalls representam as soluções mais comuns de proteção
de perímetro, podendo realizar inspeção e filtragem de pacotes de dados, analisando as diversas
camadas até o nível da aplicação. Existem dois tipos de firewalls: os tradicionais appliances de
segurança instalados na rede ou os personal firewalls que podem ser instalados em estações de
trabalho ou servidores.

1.9.6. Detecção de anomalias e intrusão

Realizam o monitoramento de redes, plataformas e aplicações visando a detecção de atividades
não autorizadas, ataques, mau uso e outras anomalias de origem interna ou externa. Empregam
métodos sofisticados de detecção que variam desde o reconhecimento de assinaturas, que
identificam padrões de ataques conhecidos, até a constatação de desvios nos padrões de uso
habituais dos recursos de informação. Os Intrusion Detection Systems (IDS) são as ferramentas
mais utilizadas nesse contexto e atuam de maneira passiva, sem realizar o bloqueio de um
ataque, podendo atuar em conjunto com outros elementos (ex.: firewalls) para que eles realizem
o bloqueio. Uma evolução dos IDS são os Intrusion Prevention Systems (IPS), elementos ativos
que possuem a capacidade de intervir e bloquear ataques. Tanto IDS como IPS podem existir na
forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem
ser instalados nas estações de trabalho e servidores. Outras ferramentas importantes nesta cate-
goria são os Network Behaviour Anomaly Detectors (NBAD) que, espalhados ao longo da rede,
utilizam informações de perfil de tráfego dos diversos roteadores e switches para imediatamente
detectar ataques desconhecidos, ataques distribuídos (Distributed Denial of Service – DDoS) e
propagação de worms.

1.9.7. Proteção contra infecção

Garantem que os sistemas e os recursos de informação neles contidos não sejam contaminados.
Incluem, principalmente, os antivírus e filtros de conteúdo. Os antivírus ganham cada vez mais
sofisticação, realizando a detecção e combate de ameaças que vão além dos vírus, incluindo
trojans, worms, spyware e adware. Os filtros de conteúdo aplicam políticas de utilização da web,
examinando conteúdo consumido durante a navegação (ex.: programas executáveis, plug-ins).
Existem também os filtros de conteúdo voltados para e-mails, chamados ferramentas anti-spam.
As ferramentas de proteção contra infecção são instaladas tipicamente nas estações de trabalho e
servidores, mas já existem versões voltadas para a rede, ou seja, eliminam ameaças antes de
chegarem ao usuário, bloqueando na própria rede os pacotes infectados.
 1.9.8. Identificação de vulnerabilidades
Ferramentas utilizadas pelos profissionais de segurança para identificar vulnerabilidades nos
sistemas existentes (vulnerability scanners). Realizam uma varredura nos sistemas em busca de
falhas de segurança, a partir de uma base de conhecimento de vulnerabilidades existentes em
elementos de rede, sistemas e aplicações.

1.9.9. Backup/recovery
Permitem o backup, de forma automatizada, de informações contidas em estações de trabalho e
servidores. Além disso, possuem funcionalidades de recuperação e restauração de informações
perdidas em caso de incidentes.

1.9.10. Criptografia das informações

Mecanismos que garantem a confidencialidade da informação em diversas camadas, através da
aplicação de algoritmos de criptografia. Variam desde a criptografia das informações gravadas
em dispositivos de memória (ex.: discos rígidos, storage) até criptografia das informações em
trânsito visando à comunicação segura. Os equipamentos mais conhecidos para a comunicação
segura são os chamados concentradores de VPN (Virtual Private Networks), que permitem a
formação de redes virtuais seguras nas quais todo o tráfego trocado (entre dois nós de rede – site-
to-site – ou entre uma estação remota e um nó de rede – client-to-site) é criptografado utilizando
algoritmos como o IPSec ou, mais recentemente, o SSL (Security Socket Layer).

As soluções para segurança experimentam uma fase de intensa inovação tecnológica e de

crescente sofisticação motivadas, principalmente, pelo aumento constante das atividades
maliciosas. É um mercado aquecido, haja vista os crescentes investimentos das corporações em
soluções para aumentar seus níveis de segurança.

O mercado de soluções de segurança é relativamente novo e apresenta um elevado nível de

fragmentação. Nele coexistem diversas empresas, oferecendo soluções para cada uma das áreas
ilustradas, e que se destinam, muitas vezes, apenas parte do problema. Exemplos de soluções
pontuais são os firewalls e antivírus presentes na quase totalidade das corporações. A diversidade
de soluções isoladas representa desafios de interoperabilidade, integração e gerenciamento para
as equipes de segurança.
Com a mudança de sua visão sobre segurança, as corporações começam a demandar soluções
mais abrangentes, com foco na prevenção de ameaças, em vez de soluções pontuais voltadas para
a detecção de ameaças. Além da preocupação com tecnologia, as corporações começam a
incorporar a necessidade de gerenciar processos e pessoas através das ferramentas. Como
resultado das necessidades dos clientes, o mercado de soluções de segurança aponta para sua
consolidação, com o surgimento de empresas que oferecem soluções mais completas e
abrangentes, que passam a visar de forma única e integrada à maior parte das necessidades de
segurança de uma corporação. O intenso movimento de fusões e aquisições no mercado de
segurança é um dos indicadores da consolidação.

Em meio à crescente sofisticação das soluções de segurança, algumas tendências vêm ganhando
destaque e devem marcar os próximos passos do desenvolvimento de novas ferramentas. A
primeira delas é a utilização de ferramentas que congregam diversas funcionalidades de
segurança em um elemento único, os elementos de segurança multifuncionais. A segunda
tendência é a integração da segurança nos elementos de rede. Por último, podemos ressaltar
também a crescente importância de ferramentas de gestão da segurança.

1.10. As ferramentas e tecnologias mais importantes para salvar e guardar os

recursos de informação
1.10.1. Tokens: Funciona como uma chave eletrônica, um conjunto de caracteres (de um
alfabeto, por exemplo) com um significado coletivo. Smart cards: cartão de plástico
com tarja magnética. Possui capacidade de processamento através de um
microprocessador e memória, ambos com sofisticados mecanismos de segurança.
Autenticação biométrica: É feita através de leitura biométrica do usuário.
1.10.2. Firewall: combinação de hardware e software que controla o fluxo de tráfego que
entra ou sai da rede. Sistemas de detecção de invasão monitoram em redes
corporativas para detectar e deter intrusos. Software antivírus e antispyware: verifica
a presença de malware em computadores e frequentemente também é capaz de
eliminá-lo.

Criptografia: Evita o roubo de dados transformando textos comuns ou dados em um texto

cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado.
A certificação digital baseia-se em um sistema de confiança, no qual duas partes confiam
mutuamente em uma CA (Autoridade Certificadora) para verificar e confirmar a identidade de
ambas as partes. E, através dele que é possível assinar documentos digitais com validade
jurídica.

Sistemas de computação tolerantes a falhas são sistemas de computador que continuam a operar
em um nível reduzido, porém aceitável, depois de uma falha do sistema. Computação de alta
disponibilidade é todo o tipo de soluções redundantes de equipamento informático e serviços, no
sentido de manter o funcionamento contínuo desses sistemas e, consequentemente, da empresa.
Plano de recuperação de desastres são estratégias para restaurar os serviços de computação e
comunicação após eles terem sofrido uma interrupção. Plano de continuidade dos negócios é a
análise de cada área da empresa e aponta os locais mais vulneráveis.

Gerenciamento de dados é um problema comum neste ambiente, onde os dados do usuário

devem estar protegidos independentemente do local onde seus arquivos estejam armazenados ou
para onde forem transferidos. Regras de privacidade também devem ser levadas em conta de
acordo com a necessidade dos dados em questão. Outros fatores como, distinção e
armazenamento de dados, criptografia, resposta do provedor em caso de desastre, certificações e
segurança, etc.

As empresas podem utilizar métricas ou testes de software. Métricas são premissas objetivas do
sistema na forma de medidas quantificadas. Os testes em suma, são identificadores de erros, de
forma que estes sejam corrigidos o que contribui para a consistência do software.
 1.11. Conclusões
A informação tornou-se imprescindível dentro das organizações. Os controles que antes eram
realizados manualmente, foram automatizados e sistematizados. Com essa evolução tecnológica
as empresas ficaram dependentes da tecnologia, necessitam proteger suas informações pois elas
se tornaram principal ativo dentro das organizações.

O presente trabalho teve por objetivo analisar os principais tipos de ataques, ameaças,
mecanismos de segurança e ferramentas relacionadas com a quebra de confidencialidade.
Primeiro foi necessário realizar um estudo sobre conceitos de segurança de informação, ciclo de
vida, ameaças, mecanismos e ferramentas de segurança da informação encontradas na literatura.

No decorrer do estudo foi necessário aplicar um questionário aos envolvidos da empresa para
entender a percepção sobre segurança da informação. Neste levantamento ficou visível que a
empresa tem conhecimento e preocupação em relação as informações geridas diariamente,
porém utiliza poucas ferramentas e mecanismos na proteção. Após, uma análise de risco foi
realizada, onde verificou-se que 16% das ameaças estudadas estavam diretamente ligadas aos
ativos humanos. Dentre as origens avaliadas, 22% delas foi constatado que acontece de forma
intencional.

Conclui-se que a organização possui vulnerabilidades e que necessitava de algumas ferramentas

e mecanismos para auxiliá-la na proteção de suas informações. Ainda não foi possível medir os
resultados das ferramentas implantadas, pois nesse período ainda não ocorreram problemas de
segurança. O único resultado concreto foi a maior conscientização dos colaboradores da empresa
em relação a segurança e a importância de ser um profissional ético.
Este trabalho mostra que, na verdade, não é preciso grandes investimentos para que a
informação esteja mais segura. A empresa precisa querer proteger seus dados, efetuar os
investimentos de acordo com sua cultura, necessidade e estrutura. Por fim, conclui-se que as
ferramentas certas implementadas com eficiência minimizam as chances de quebra de
confidencialidade dentro das organizações.

1.12. Referências Biliográficas

ABNT NBR ISO/IEC 27002: Tecnologia de informação: Técnicas de segurança - Código de
prática para controles de segurança da informação. 2 ed. Rio de Janeiro: Abnt, 2013.
ABREU, Leandro Farias dos Santos. A segurança da informação nas redes sociais, 2011.
Disponível em: < http://docplayer.com.br/104810-Faculdade-detecnologia-de-sao-paulo.html>.
Acesso em: 18 de Maco de 2023.
ALBURQUERQUE, Ricardo; RIBEIRO, Bruno. Segurança no desenvolvimento de Software.
Rio de Janeiro: Editora Campus Ltda, 2002.
AUDY, Jorge Luis Nicolas; ANDRADE, Gilberto Keller de; CIDRAL, Alexandre.
Fundamentos de Sistemas de Informação. São Paulo: Artmed Editora S.A., 2005.
COMPUTEREORLD. Yahoo revela novo vazamento de dados que afetou 1 bilhão de
usuários. Dez. 2016. Disponível em: <http://computerworld.com.br/yahoorevela-novo-
vazamento-de-dados-que-afetou-1-bilhao-de-usuarios>. Acesso em: 19 de Marco de 2023