Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA DE
SISTEMAS
GRADUAÇÃO
Unicesumar
Reitor
Wilson de Matos Silva
Vice-Reitor
Wilson de Matos Silva Filho
Pró-Reitor de Administração
Wilson de Matos Silva Filho
Pró-Reitor de EAD
Willian Victor Kendrick de Matos Silva
Presidente da Mantenedora
Cláudio Ferdinandi
SEJA BEM-VINDO(A)!
Caro(a) aluno(a), é com grande prazer que lhe escrevo este livro esperando que ele pos-
sa contribuir com sua futura formação.
Nos dias atuais, a informação é de notória relevância para uma organização e funda-
mental para os negócios, por isso, é importante que ela seja adequadamente protegida.
Com o crescimento da interconectividade entre os ambientes de trabalho, a informa-
ção fica exposta a uma grande variedade de ameaças, com isso, as organizações têm
se preocupado cada vez mais em aumentar a segurança e o controle das informações.
Daí a necessidade da segurança da informação, que consiste na proteção da informação
contra os vários tipos de ameaças, minimizando os riscos relacionados com o negócio.
Para obter a segurança da informação, torna-se necessário um conjunto de controles
adequados, com o intuito de garantir que os objetivos do negócio e de segurança da
organização sejam concretizados. Esses controles devem ser alterados e aperfeiçoados
com o passar do tempo, permitindo que as organizações cuidem e se previnam contra
eventuais riscos causados pela falta de segurança.
Outra forma de controle com a segurança da informação ocorre por meio de um proces-
so de auditoria de sistemas, que busca descobrir as irregularidades em tais departamen-
tos ou nos centros de processamento. A auditoria também identifica os pontos que irão
desagradar a alta administração, para que eles possam ser corrigidos.
Este livro visa elucidar o conceito sobre a importância da segurança e auditoria dos sis-
temas de informações, bem como, destacar modelos e normas que podem ser utilizados
para proteger a informação e os cuidados que se deve ter para desenvolver um software
mais seguro. Os temas que serão abordados são detalhados a seguir.
A unidade I irá tratar sobre o tema Sistemas de Informação. Nesta unidade será explicado
o conceito de informação e sistemas de informação. Explicarei sobre as atividades que
compõem um sistema de informação e seus principais componentes. Também serão de-
talhados os diferentes níveis organizacionais de um sistema de informação e seus tipos.
Na unidade II, o assunto será a segurança da informação, muito importante nos dias atu-
ais devido ao grande aumento dos acessos à internet. Explicarei sobre o conceito de se-
gurança da informação e os pilares que devem ser levados em consideração quando se
deseja realizar a segurança da informação. Também será explicado como as informações
são classificadas; o que são vulnerabilidades e como elas são classificadas; quais são as
ameaças da segurança da informação e os tipos de ameaças existentes; quais os riscos,
incidentes e ataques que existem hoje e será ainda citado alguns dos tipos de ataques
que ameaçam a segurança da informação.
Na unidade III, o tema será a segurança informática e será um complemento do capítulo
II. Nessa unidade abordarei os mecanismos de controles que existem para proteger os
sistemas de informação e equipamentos de informática e também a política de segu-
rança da informação que as organizações devem possuir com suas regras e normas de
conduta, a fim de diminuir as ocorrências de incidentes.
APRESENTAÇÃO
Na unidade IV, irei abordar a Auditoria de Sistemas. Será passado o conceito de audi-
toria e auditoria de sistemas, quais as estratégias que podem ser utilizadas no levan-
tamento de informações da auditoria, quais os tipos de auditorias que existem, as
principais áreas da auditoria interna e quais normas e modelos podem ser utilizados
para auxiliar a auditoria de sistemas.
A unidade V irá tratar sobre o Desenvolvimento de Software Seguro. Nela, será abor-
dada a necessidade de se desenvolver um software com segurança desde o ciclo
de vida inicial de um sistema, é evidente que também devemos tomar o mesmo
cuidado com as alterações em um sistema já existente, conhecer quais as atividades
e processos do ciclo de vida para desenvolvimento de software com segurança e
quais os modelos de maturidade que podem ser utilizados para auxiliar no desen-
volvimento de software seguro.
Espero que você possa fazer bom uso deste material. Tenha uma ótima leitura!
UNIDADE I
SISTEMAS DE INFORMAÇÃO
15 Introdução
16 Informação
35 Considerações Finais
41 Gabarito
UNIDADE II
SEGURANÇA DA INFORMAÇÃO
45 Introdução
46 Segurança da Informação
48 Classificações da Informação
50 Vulnerabilidades da Informação
58 Risco
60 Incidente
67 Considerações Finais
72 Gabarito
10
SUMÁRIO
UNIDADE III
SEGURANÇA INFORMÁTICA
75 Introdução
76 Segurança Informática
96 Considerações Finais
102 Gabarito
UNIDADE IV
AUDITORIA DE SISTEMAS
105 Introdução
106 Auditoria
132 Gabarito
11
SUMÁRIO
UNIDADE V
135 Introdução
163 Conclusão
168 Gabarito
Professora Esp. Adriane Joyce Xavier
SISTEMAS DE
I
UNIDADE
INFORMAÇÃO
Objetivos de Aprendizagem
■■ Entender o conceito de Informação e Sistemas de Informação.
■■ Entender o que é um Sistema de Informação e quais os tipos de
sistemas de informações existentes.
■■ Conhecer os sistemas de informação que podem apoiar os processos
de atuação de uma empresa, na tomada de decisões administrativas
e nas estratégias voltadas à vantagem competitiva.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ A Informação
■■ Sistemas de Informação
15
INTRODUÇÃO
Introdução
16 UNIDADE I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock
INFORMAÇÃO
Segundo Beal (2001), informação é o dado modificado da sua forma crua e sem
sentido, permitindo ao gestor uma tomada de decisão assertiva. Chiavenato
(2000), diz que para ser considerada informação, um conjunto de dados precisa
possuir significado, ou seja, um conjunto de dados por si só, não é informação,
só será, se este possuir sentido.
Conforme alerta Beal (2001, p.78), “a informação é um patrimônio, ela agrega
valor à organização”. A partir desse contexto, sendo a informação um bem que
agrega valor a uma empresa ou a um indivíduo, é necessário fazer uso de recur-
sos de TI de maneira apropriada, ou seja, é preciso utilizar ferramentas, sistemas
ou outros meios que façam das informações um diferencial competitivo.
Informação quer dizer dados apresentados em uma forma significativa e útil
para as pessoas. Dados, ao contrário, são sequências de fatos brutos que repre-
sentam eventos que ocorrem nas organizações ou no ambiente físico, antes de
terem sido organizados e arranjados de uma forma que as pessoas possam enten-
dê-los e usá-los.
SISTEMAS DE INFORMAÇÃO
17
para quem as possue, o que torna o cenário dos negócios mais dinâmico e acir-
rado na busca por novos mercados, acordos internacionais, poder e qualidade,
dentre outros, o que gera competitividade e transforma a informação no princi-
pal elemento motriz desse ambiente altamente competitivo, requerendo assim,
proteção especial. Em contrapartida, a ausência da informação, ou a informação
de má qualidade, constitui uma grande ameaça e pode levar empresas à extin-
ção. Tudo isso atribui à informação um relevante valor, transformando-a num
ativo essencial aos negócios de uma organização.
■■ A informação pode existir de várias formas:
■■ Impressa ou escrita em papel.
■■ Armazenada eletronicamente.
■■ Transmitida pelo correio ou por meios eletrônicos.
■■ Mostrada em vídeos.
■■ Verbal.
Informação
18 UNIDADE I
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
todas as organizações de negócios, podendo ter um enorme impacto na estraté-
gia corporativa e no sucesso organizacional.
Os sistemas de informação surgiram antes mesmo da informática. Antes dos
computadores, as organizações se baseavam basicamente em técnicas de arquiva-
mento e recuperação de informação, existia a pessoa responsável em organizar os
dados, registrar, catalogar e recuperá-los quando necessário. Esse método exigia
um grande esforço para manter os dados atualizados e também para acessá-los.
As informações em papel não possibilitavam o cruzamento de informações e
análise de dados, devido a isso, era exigido um grande número de pessoas para
atualizações de determinados processos, o que aumentava a probabilidade de
erros. Com o surgimento da tecnologia da informação, todo esse processo pas-
sou a ser informatizado. “A adoção de TI possibilita às pessoas fazer mais em
menor espaço de tempo, de modo que a eficiência resulte em economia de tempo
que, por sua vez, pode ser reinvestida na eficácia pessoal” (TAPSCOTT, 1997, p.
84). Algumas organizações ainda utilizam o método manual citado, mas como
a maioria das organizações passou a automatizar seus processos, o foco desse
capítulo será sobre os sistemas de informação informatizados.
O Sistema de Informação, tanto manual quanto automatizado, possui 3 ati-
vidades conforme definido na figura 1.
Figura 1 – Atividades de um Sistema de Informação
Sistemas de Informação
Fonte: o autor.
SISTEMAS DE INFORMAÇÃO
19
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
uma organização utiliza, e também a
maneira como as pessoas interagem
com esta tecnologia em apoio dos pro-
cessos de negócio.
Devido à existência de diferentes interesses,
especialidades e níveis dentro de uma organiza-
ção, são necessários diferentes tipos de Sistemas
de Informação, para que possa dessa forma, aten-
der todos os níveis organizacionais em que atuam. Os
diferentes níveis organizacionais são:
■■ Sistemas de Informação em Nível Operacional: esse tipo de sistema dá
suporte aos gerentes operacionais, acompanha atividades e transações da
organização como vendas, compras, depósitos, transação de matéria prima,
entre outros. Fornece informações de fácil acesso, precisas e atualizadas.
■■ Sistemas de Informação em Nível de Conhecimento: auxilia a empresa
a integrar novas tecnologias ao negócio e ajuda a controlar o fluxo de
documentos.
■■ Sistemas de Informação em Nível Administrativo ou Gerencial: atende
as atividades de monitoração, tomada de decisão, controle e procedimentos
administrativos gerenciais. Tem como característica a produção de relató-
rios periódicos acerca das operações e não de informações instantâneas.
■■ Sistemas de Informação em Nível Estratégico: auxilia a gerência a enfren-
tar questões estratégicas e tendências, tanto no ambiente interno quanto
no externo da empresa.
SISTEMAS DE INFORMAÇÃO
21
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Geração de documentos e relatórios: envolve a saída de registros e rela-
tórios. Podem ser impressos em papel ou exibidos através da tela do
computador.
SISTEMAS DE INFORMAÇÃO
23
Todos esses serviços representam um critério que deve ser definido pela empresa
no seu planejamento estratégico. O uso de Sistemas de Processamento de
Transações adequado e bem planejado potencializa a capacidade das empresas
nas mais diversas áreas. Esta potencialidade se reverte em uma vantagem com-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Maior segurança.
■■ Vantagens competitivas.
■■ Menor incidência de erros.
■■ Maior precisão.
■■ Produtos de melhor qualidade.
■■ Maior eficiência.
■■ Maior produtividade.
■■ Administração mais eficiente.
■■ Custos reduzidos.
■■ Maior e melhor controle sobre as operações.
■■ Tomadas de decisões gerenciais superiores.
■■ Aumento da fidelidade do cliente.
SISTEMAS DE INFORMAÇÃO
25
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
num banco de dados precisam satisfazer certos tipos de restrições de
consistência.
■■ Cumprimento de segurança: nem todo usuário do banco de dados
necessita ter acesso a todo o banco de dados, para impor requisitos
de segurança de acesso aos dados.
■■ Cópias de reserva (backup) e recuperação (restore): um computador,
como qualquer outro dispositivo mecânico ou elétrico, está sujeito a
falhas.
■■ Controle de concorrência: se diversos usuários atualizam o banco de
dados concorrentemente, a consistência dos dados pode não ser mais
preservada. Controlar a interação entre usuários simultâneos é outra
atribuição do gerenciador de banco de dados.
■■ Apresentação Gráfica: é um programa que, por meio de slides, apresenta
determinado tema em uma reunião, palestras ou mesmo em cursos, faci-
litando a comunicação.
■■ Navegadores da internet: a finalidade elementar de um navegador é per-
mitir a visualização de conteúdos disponíveis na internet e redes internas.
Para isso, basta que seja informado o endereço ao navegador. Devido à
constante necessidade de oferecer mecanismos de segurança na navega-
ção, estabilidade, interatividade e velocidade na exibição de conteúdo, a
escolha de um navegador passou a representar uma diferença significa-
tiva para os usuários.
SISTEMAS DE INFORMAÇÃO
27
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
cutiva, gestão de pessoas, gestão de projetos e todos os processos informatizados
que permitem que a empresa funcione eficientemente. É um sistema que dispo-
nibiliza a informação certa, para a pessoa certa, no lugar certo, na hora certa, da
forma correta e com o custo certo.
Os SIG’s possuem uma multiplicidade de produtos de informação, que são
apresentados através de relatórios, que ajudam os gerentes com o fornecimento
de dados e informações para a tomada de decisões. Os relatórios oferecidos por
esses sistemas são:
■■ Relatórios programados: estes relatórios são uma forma tradicional de
fornecimento de informações para os gerentes. Exemplos típicos desses
relatórios são os relatórios de vendas diários e semanais ou demonstra-
tivos financeiros mensais.
■■ Relatório de exceção: são casos excepcionais de relatórios nos quais o
gerente pode obter informações específicas. Como exemplo, um gerente
de crédito pode receber um relatório que contém informações apenas
sobre clientes que excedem os limites de crédito.
■■ Informes e respostas por solicitação: este tipo de relatório mostra as
informações sempre que o gerente requisitar. Possibilitam através de suas
estações de trabalho respostas imediatas ou que encontrem e obtenham
respostas imediatas.
■■ Relatórios em pilhas: as informações são empilhadas na estação de tra-
balho em rede do gerente.
SISTEMAS DE INFORMAÇÃO
29
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Abranger todas as fases do processo de decisão: identificação, desenho,
seleção e implementação.
■■ Suportar uma variedade de processos de tomada de decisão.
■■ Devem ser adaptativos ao longo do tempo e devem ser flexíveis, para que
os seus utilizadores possam acrescentar, eliminar ou mudar certos ele-
mentos chave.
■■ Ser de fácil utilização, com fortes capacidades gráficas e com uma inter-
face utilizador-máquina que possa aumentar a sua eficiência.
■■ Melhorar a eficiência das suas decisões (no nível da qualidade, tempo,
exatidão) em vez de se preocupar com o custo dessas decisões.
SISTEMAS DE INFORMAÇÃO
31
VANTAGENS DESVANTAGENS
• Rapidez. • Problema de ação.
• Ultrapassar limites cognitivos (através do • Orientação para escolha.
computador). • Suposição da relevância da res-
• Redução de custos. posta do sistema.
• Qualidade (obtenção do valor ótimo mais • Transferência de poder ao siste-
próximo dos nossos objetivos). ma que não é intencional.
• Decisões mais eficazes. • É mais difícil atribuir responsabi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
O sistema deve ser criado de maneira que sua operação seja intuitiva e dê
legibilidade e compreensão dos resultados de forma instantânea, pois os execu-
tivos que tomam decisões estratégicas não dispõem do tempo necessário para
realizar um treinamento em sistemas desenvolvidos tradicionalmente para usu-
ários de escalões mais baixos.
Este tipo de sistema de informação tem como objetivo primordial ampliar
as possibilidades de alternativas para problemas organizacionais, assim como
permitir a exploração das informações disponíveis que possibilitem ao gestor
traçar novos rumos e comportar-se de maneira proativa face ao ambiente em
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
que se encontra.
Um Sistema de Informação Executiva possui as seguintes características:
■■ Destinam-se a atender às necessidades de informação dos executivos.
■■ Possuem apresentação de dados através de recursos gráficos de alta
qualidade.
■■ Recuperam informações de forma rápida para a tomada de decisão.
■■ Oferecem facilidade de uso, intuitivo, sem necessidade de treinamento
específico em informática.
■■ São desenvolvidos de modo a se enquadrarem na cultura da empresa e
no estilo de tomada de decisão de cada executivo.
■■ Filtram, resumem, acompanham e controlam dados ligados aos indica-
dores de desempenho dos fatores críticos de sucesso.
■■ Utilizam informações do ambiente externo (concorrentes, clientes, for-
necedores, indústrias, governo, tendências de mercado).
■■ Proporcionam acesso a informações detalhadas subjacentes às telas de
sumarização organizadas numa estrutura top-down.
SISTEMAS DE INFORMAÇÃO
33
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
informações informações, apre- geradas pelo SIG informações para
sentando exceções ou SIE como input serem tratadas
e tópicos essenciais (entrada) pelos usuários
Detalhamento Acesso instantâneo Podem ser progra- Inflexibilidade dos
de informações aos detalhes de mados relatórios
qualquer resumo
Banco de Pode ser Essência do sistema Disponível, mas
modelos acrescentado não gerenciável
Desenvolvi- Especialista em Usuários, com trei- Especialistas em
mento sistemas namento oferecido sistemas
pelos especialistas
Fonte: Turban e Schaeffer (1991, p. 353).
SISTEMAS DE INFORMAÇÃO
35
CONSIDERAÇÕES FINAIS
Considerações Finais
36
Para Laudon e Laudon (2001) Tecnologia da Estudos feitos de algumas décadas para
Informação se restringe somente aos aspec- cá, provou que as organizações que inves-
tos técnicos como hardware e software. tiram em tecnologia, aumentaram seus
Laurindo (2002) por sua vez, considera que dados financeiros e aumentaram sua com-
o sucesso da gestão da área de Tecnologia petitividade. A tecnologia da informação
da Informação, desenvolvimento, instala- proporciona a oportunidade de analisar
ção e operação de computadores e ainda dados específicos, comunicações rápidas
sistemas de informação, não dependem e aquisição de inteligência de mercado.
somente da eficiência dos equipamen- A TI também fornece muitas ferramentas
tos e softwares, obtida pelos analistas e que podem resolver problemas complexos,
engenheiros de projetos de tecnologia, ajuda a empresa a melhorar os processos
mas dependem também da eficácia que de negócios, auxiliar no planejamento
compatibiliza os objetivos dos sistemas de futuro nas organizações, a diminuir e o
informação e do uso dos computadores às mais importante, garante que aumentam
necessidades da organização e dos usuários o crescimento das receitas, mantendo uma
finais. A eficácia da Tecnologia da Informa- vantagem competitiva no mercado.
ção depende da empresa e de sua estrutura
organizacional, podendo inspirar na pró- Pode-se afirmar que a busca de vantagens
pria mudança estratégica do negócio. competitivas é o principal motivo pelo qual
as empresas utilizam a TI. Desde o início de
A inovação é o grande caminho para o sua utilização, buscava-se obter essa van-
sucesso na era digital. O caminho da ino- tagem através da redução de custos por
vação nos negócios significa fazer algo meio da automação e aumento da efici-
diferente, mais inteligente, ou melhor, que ência de processos. Em seguida, buscou-se
vai fazer uma diferença positiva em termos a melhoria da qualidade das informações
de valor, qualidade ou produtividade, utili- disponíveis para os gerentes médios, de
zando comprovadas tecnologias do mundo. maneira que pudessem controlar melhor
A tecnologia da informação (TI) mudou as operações. Na etapa seguinte, busca-
drasticamente a vida dos indivíduos e orga- va-se utilizar a TI para gerar diferenciação
nizações. Atualmente compras on-line, competitiva, como a criação de barrei-
marketing digital, redes sociais, comunica- ras de entrada ou elevação dos custos de
ção digital e computação em nuvem, são substituição por meio dos então chama-
os melhores exemplos de mudanças que dos sistemas estratégicos. A redução de
surgiram com a tecnologia da informação. custos, a melhoria no controle dos proces-
sos e a utilização de sistemas estratégicos
O sucesso de qualquer negócio depende estão diretamente ligadas à busca pela
de alguns fatores, por isso, é relevante que melhoria da competitividade da empresa.
seja efetuada uma análise precisa, para que Mais recentemente, a integração das ativi-
se possa escolher a tecnologia certa para o dades da empresa por meio da chamada
sucesso da organização. computação em rede busca melhorias
40
1. E.
2. C.
3. C.
4. D.
5. B.
6. C.
Professora Esp. Adriane Joyce Xavier
SEGURANÇA
II
UNIDADE
DA INFORMAÇÃO
Objetivos de Aprendizagem
■■ Entender o conceito de Segurança de Informação.
■■ Entender como as informações são classificadas para que possamos
analisar o grau de sua importância para a organização.
■■ Entender o que é uma ameaça e quais são as vulnerabilidades da
Segurança da Informação.
■■ Conhecer os riscos que podem ocorrer na segurança da informação e
entender o que significa um incidente.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ Segurança da Informação
■■ Classificação da Informação
■■ Vulnerabilidades da Informação
■■ Ameaças à Segurança da Informação
■■ Risco
■■ Incidente
■■ Ataques a Segurança da Informação
45
INTRODUÇÃO
tivo, que requer, assim, proteção especial. Tudo isso atribui à informação um
importante valor, transformando-a num ativo essencial aos negócios de uma
organização, necessitando ser protegida.
Vale ressaltar que, atualmente, a grande maioria das informações disponíveis
nas organizações encontra-se armazenadas e são trocadas entre os mais varia-
dos sistemas automatizados. Dessa forma, por inúmeras vezes, decisões e ações
tomadas decorrem das informações manipuladas por esses sistemas. Dentro
deste contexto, toda e qualquer informação deve ser correta, precisa e estar dis-
ponível, a fim de ser armazenada, recuperada, manipulada ou processada, além
de poder ser trocada de forma segura e confiável. Por esta razão, a segurança
da informação tem sido uma questão de elevada prioridade nas organizações.
É possível inviabilizar a continuidade de uma instituição se não for dada a
devida atenção à segurança de suas informações. Com a chegada dos computa-
dores pessoais e das redes de computadores, que conectam o mundo inteiro, os
aspectos de segurança atingiram tamanha complexidade que há a necessidade de
desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados.
Para proteger a informação, a empresa precisa ter um processo organiza-
cional de segurança da informação, que tem por objetivo, permitir e possibilitar
que a organização funcione adequadamente, ao depender da informação e dos
recursos de informação.
Introdução
46 UNIDADE II
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
organização ou um indivíduo. Compreende um
conjunto de medidas que buscam proteger e pre-
servar informações e sistemas de informações,
assegurando-lhes a confidencialidade, integridade
e a disponibilidade. Alguns autores ainda incluem
outros aspectos de segurança como o não repúdio e a
autenticidade. Esses elementos constituem os pilares da
segurança da informação (Figura 1) que devem ser leva-
dos em consideração, pois toda ação que venha a comprometer qualquer uma
dessas qualidades estará atentando contra a sua segurança.
Segurança da
Informação
Integridade Confidencialidade
Autencidade Disponibilidade
Não Repúdio
SEGURANÇA DA INFORMAÇÃO
47
Segurança da Informação
48 UNIDADE II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
detecção, reação e reflexo, assentando num conjunto universal de princípios que
garanta o seu equilíbrio e eficiência.
CLASSIFICAÇÕES DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
49
Outra classificação que pode ser feita é com relação ao grau de importância dos
dados para os principais processos de negócios e o custo para a sua recupera-
ção no caso da ocorrência de um evento ou desastre. Esses dados podem ser
classificados em:
■■ Crítico: dados ou documentos que devem ser mantidos por razões legais,
para uso nos processo-chaves dos negócios, ou para uma mínima restau-
ração aceitável nos níveis de trabalho em um evento ou desastre.
■■ Vital: dados ou documentos que devem ser mantidos para uso nos proces-
sos normais, e que representam um investimento substancial de recursos
da companhia, que podem dificultar ou impossibilitar a sua recupera-
ção, mas que podem não ser necessários numa situação de recuperação
de desastre. Informações que necessitam de sigilo especial podem ser
incluídas nessa categoria.
■■ Sensível: dados ou documentos que devem ser necessários nas ope-
rações normais, mas para os quais existem fornecimentos alternativos
disponíveis em um evento de perda. Dados que podem ser reconstruí-
dos rapidamente, por completo, mas que possuem algum custo, podem
ser classificados nessa categoria.
■■ Não crítico: dados ou documentos que podem ser reconstruídos facil-
mente com custo mínimo, ou cópias de dados críticos, vitais e sensíveis,
que não necessitem de pré-requisitos de proteção.
Classificações da Informação
50 UNIDADE II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
teção, e o importante é que seja feita uma classificação que objetive preservar
os requisitos fundamentais estabelecidos pela organização para a segurança das
informações durante o seu ciclo de vida.
VULNERABILIDADES DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
51
©shutterstock
Vulnerabilidades da Informação
52 UNIDADE II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
como:
■■ Naturais: estão relacionadas com as condições da natureza ou do meio
ambiente que podem colocar em risco as informações. Podem ser: locais
sujeitos a incêndios em determinado período do ano, locais próximos
a rios propensos a inundações, terremotos, maremotos, furacões, entre
outros.
■■ Organizacionais: diz respeito a políticas, planos e procedimentos, e a tudo
mais que possa constituir a infraestrutura de controles da organização e
que não seja enquadrado em outras classificações. Podem ser: ausência
de políticas de segurança e treinamento, falhas ou ausência de processos,
procedimentos e rotinas, falta de planos de contingência, recuperação de
desastres e de continuidade, entre outros.
■■ Física: diz respeito aos ambientes em que estão sendo processadas ou
gerenciadas as informações. Podem ser: instalações inadequadas, ausên-
cia de recursos para combate a incêndio, disposição desordenada dos
cabos de energia e de rede, portas destrancadas, acesso desprotegido às
salas de computador, entre outros.
■■ Hardware: possíveis defeitos de fabricação ou configuração dos equipa-
mentos que podem permitir o ataque ou a alteração dos mesmos. Exemplo:
a conservação inadequada dos equipamentos, falta de configuração de
suporte ou equipamentos de contingência, patches ausentes, firmware
desatualizado, sistemas mal configurados, protocolos de gerenciamento
permitidos por meio de interfaces públicas, entre outros.
SEGURANÇA DA INFORMAÇÃO
53
Vulnerabilidades da Informação
54 UNIDADE II
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades,
podem provocar danos e perdas. A norma ISO/IEC 13335-1 define amea-
ças como a causa potencial de um incidente indesejado, que pode resultar
em dano para um sistema ou para a organização.
Sêmola (2003) define ameaças como agentes ou condições que causam inci-
dentes que comprometem as informações e seus ativos, por meio da exploração
de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e
disponibilidade, e, consequentemente, causando impactos aos negócios de
uma organização.
Para Beal (2005), ameaças são expectativas de acontecimento acidental ou
proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo
de informação.
Observa-se que as vulnerabilidades estão relacionadas com situações de fra-
gilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com
um incidente indesejado que, em decorrência dessas vulnerabilidades pode vir
a provocar algum dano.
As ameaças podem ser:
■■ Naturais: são aquelas que se originam de fenômenos da natureza, tais
como terremotos, furacões, enchentes, maremotos, tsunamis.
■■ Involuntárias: são as que resultam de ações desprovidas de intenção para
causar algum dano. Geralmente são causadas por acidentes, erros, ou por
ação inconsciente de usuários, tais como vírus eletrônicos, que são ativa-
dos pela execução de arquivo anexado às mensagens de e-mail.
SEGURANÇA DA INFORMAÇÃO
55
Exemplo de impacto:
■■ Perda de clientes e contratos.
■■ Danos à imagem.
■■ Perda de produtividade.
■■ Aumento no custo do trabalho para conter, reparar e recuperar.
■■ Aumento de seguros.
■■ Penalidade e multas.
Em recente pesquisa realizada pela ESET (2014) sobre o mercado brasileiro, foi
identificado que 65,18% das 224 empresas consultadas, admitem que já tive-
ram problemas com segurança. O mais recorrente deles, citado por 83,56% das
empresas, foi a infecção por códigos maliciosos (malware). Essa porcentagem
representa quase o dobro da contabilizada nos demais países da América Latina,
conforme mostra o quadro 1.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Ataques DdoS 6% 16%
Nenhum 34,82% 25%
Fonte: adaptado de Oliveira (2015, on-line).
SEGURANÇA DA INFORMAÇÃO
57
Das ameaças citadas acima, observa-se que é dispensada uma atenção especial
para os malware (códigos maliciosos). Os principais códigos maliciosos são:
■■ Vírus: um programa ou parte de um programa de computador, o qual se
propaga por meio de cópias de si mesmo, infectando outros programas
e arquivos de computador.
■■ Cavalos de Tróia: um programa que executa funções maliciosas sem o
conhecimento do usuário.
■■ Adware: um tipo de software projetado para apresentar propagandas, seja
por meio de um navegador (browser), seja com algum toutro programa
instalado em um computador.
■■ Spyware: é um software espião que tem como objetivo monitorar ativi-
dades de um sistema e enviar as informações coletadas para terceiros.
■■ Backdoors: são programas que procuram dar a garantia de retorno a um
computador comprometido, sem utilizar novas técnicas de invasão, ou
retornarem ao computador comprometido sem serem notados.
■■ Keyloggers: são programas capazes de capturar e armazenar as teclas
digitadas pelo usuário no teclado de um computador.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
No próximo capítulo do livro será explicado sobre cada uma dessas ameaças e
o que deve ser feito para evitá-las.
RISCO
SEGURANÇA DA INFORMAÇÃO
59
R= C x P
R = risco; C = consequência; e P= frequência.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Essas classificações são efetuadas com base na origem das ameaças e vulnerabi-
lidades e através delas é possível facilitar a compreensão do risco, uma vez que
fica mais clara a sua identificação, tornando mais direta a compreensão do risco
e o estabelecimento de ações para o seu tratamento. É justamente essa capaci-
dade de percepção e de entender os negócios, missão e ativos corporativos, que
torna o processo de gerenciamento de riscos mais eficiente e eficaz.
Risco
60 UNIDADE II
INCIDENTE
Segundo o ITIL, incidente é qualquer evento que não faz parte da operação
padrão de um serviço e que causa, ou pode causar uma interrupção do serviço
ou ainda uma redução da sua qualidade.
Um incidente pode ser definido como qualquer evento adverso, confirmado
ou em suspeita, relacionado à segurança da informação, levando a perda de um
ou mais princípios básicos de Segurança da Informação.
■■ Alguns exemplos de incidentes de segurança:
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Tentativas de ganhar acesso não autorizado a sistemas ou dados.
■■ Ataques de negação de serviço.
■■ Uso ou acesso não autorizado a um sistema.
■■ Modificações em um sistema, sem conhecimento, instruções ou consen-
timento prévio do dono do sistema.
■■ Desrespeito à política de segurança ou à política de uso aceitável de uma
empresa ou provedor de acesso.
SEGURANÇA DA INFORMAÇÃO
61
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
acontece ao conteúdo da informação, envolve apenas monitorar a troca
de informações sem ser percebido. O sistema continua sem a percepção
de ter um invasor na rede.
Vírus
Os ataques a computador mais famosos são os vírus. Eles se instalam nos com-
putadores e se espalham para os outros arquivos do sistema. Muitas vezes se
espalham através de discos rígidos externos, ou através de determinados sites
da Internet ou ainda através de anexos de e-mail. São arquivos maliciosos que
podem replicar-se automaticamente e criar brechas nos computadores invadi-
dos. Disseminam-se por meio de redes sem segurança.
Password Cracking
São programas utilizados para descobrir senhas dos usuários. O método mais
comum utilizado é chamado de ataque brute force, ou força bruta. Um ataque
força bruta consiste em gerar combinações de senhas a cada segundo e testá-
-las em um local, geralmente um site que contenha campos de login e senha,
ou somente senha. As senhas são geradas a partir de um algoritmo e testadas
no momento em que surgem, podendo demorar anos ou até minutos até que a
senha desejada seja encontrada. Quanto mais complexa for a senha, mais tempo
irá demorar para ser descoberta.
SEGURANÇA DA INFORMAÇÃO
63
Cavalo de Tróia
Worms
Espionagem
Um dos tipos mais comuns de ataques cibernéticos são ataques baseados em senha.
Isso significa que seus direitos de acesso a um computador e recursos de rede
são determinados por quem você é, ou seja, o seu nome de usuário e sua senha.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Modificar configurações do servidor e de rede, incluindo controles de
acesso e tabelas de roteamento.
■■ Modificar, redirecionar ou apagar seus dados.
SEGURANÇA DA INFORMAÇÃO
65
Uma das técnicas mais utilizadas para ataque é conhecida como Engenharia
Social. Ela designa a arte de manipular pessoas a fim de coletar informações
com o intuito de descobrir falhas na segurança. As fontes de coletas das infor-
mações podem ser o telefone, correio eletrônico, correspondência tradicional e
até o contato direto.
A Engenharia Social é baseada na utilização da força de persuasão e na explo-
ração da ingenuidade das pessoas. Geralmente, os métodos de engenharia social
ocorrem da seguinte forma:
■■ Vaidade pessoal e/ou profissional: o ser humano costuma ser mais
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Segurança da Informação é como uma corrente cuja força é medida pelo
seu elo mais fraco.
(Furlan, Ivo e Amaral).
SEGURANÇA DA INFORMAÇÃO
67
CONSIDERAÇÕES FINAIS
Nesta unidade, vimos que com o crescente aumento das tecnologias de informa-
ção e com a rápida disseminação dela, cresceu também os crimes relacionados
e surgiu a necessidade de manter as informações das organizações livre de ris-
cos e perigos que possam danificá-la.
As empresas precisam estar um passo à frente das pessoas mal-intenciona-
das e se precaver de forma que seus dados e informações não sejam colocados
em perigo. A segurança da informação deve ser usada como arma estratégica
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Considerações Finais
68
A pesquisa global foi conduzida pelo compliance; 15% com o Chief Information
Ponemon Institute, a pedido da Gemalto, Security Officer (CISO) e 14% com outros
empresa de segurança digital com mais departamentos.
de 3,7 mil profissionais de segurança de TI
em 10 países. O levantamento identificou Na avaliação de 54% dos participantes, a
a expectativa de os pagamentos via dis- segurança dos dados de pagamento não
positivos móveis dobrarem nos próximos é uma das cinco principais prioridades de
dois anos. E ainda a necessidade crítica de segurança para a empresa. E somente um
as organizações melhorarem suas práticas terço (31%) sente que a empresa direciona
de segurança de dados de pagamentos. recursos suficientes para proteger os dados
de pagamento.
De acordo com o estudo, 54% dos entrevis-
tados disseram que sua empresa enfrentou Um dado curioso é que 59% afirmaram que
casos de violação de segurança ou de dados sua empresa permite que terceiros aces-
envolvendo pagamento, em média quatro sem os dados de pagamentos e que desses,
vezes nos últimos dois anos. Isso não é uma somente 34% utilizam a autenticação mul-
surpresa, considerando os investimentos, as tifator para proteger o acesso.
práticas e os procedimentos de segurança
destacados pelos entrevistados. Menos da metade dos entrevistados (44%)
disseram que suas empresas usam cripto-
Mais de 50% dos entrevistados disse- grafia de ponta a ponta para proteger os
ram que não sabiam onde os dados de dados de pagamento desde o ponto de
pagamento estavam armazenados ou venda, até quando eles são armazenados
localizados. A propriedade da segurança e/ou enviados para a instituição financeira.
dos dados de pagamento não é centrali-
zada, e 28% dos entrevistados disseram Grande parte (74%) afirma que suas empre-
que a responsabilidade está com o CIO; sas não cumprem os PCI DSS (Payment Card
26% afimaram que está com uma unidade Industry Data Security Standard) ou cum-
de negócios; 19% com o departamento de prem apenas parcialmente.
Material Complementar
GABARITO
1. A.
2. A.
3. C.
4. B.
5. B.
Professora Esp. Adriane Joyce Xavier
SEGURANÇA
III
UNIDADE
INFORMÁTICA
Objetivos de Aprendizagem
■■ Entender o conceito de Segurança Informática.
■■ Conhecer os ataques que podem ocorrer na informática.
■■ Conhecer quais os mecanismos que podem ser utilizados para
proteger a informação.
■■ Conhecer a importância de ter uma política de segurança da
informação em uma organização.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ Segurança Informática
■■ Mecanismos de Segurança da Informação
■■ Política de Segurança da Informação
75
INTRODUÇÃO
Introdução
76 UNIDADE III
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock
SEGURANÇA INFORMÁTICA
SEGURANÇA INFORMÁTICA
77
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
segurança informática, que são os con-
troles físicos e controles lógicos.
CONTROLES FÍSICOS
Controles físicos são conjuntos de medidas que devem ser tomadas para garantir
a segurança e existência de algum produto contra roubo, espionagem, sabotagem
ou algum outro dano. São barreiras que limitam o contato ou acesso direto à infor-
mação ou à infraestrutura (que garante a existência da informação) que a suporta.
Quando se fala em proteger os recursos a nível físico, se deve levar em conta
vários tipos de ameaças que de acordo com Carneiro (2002), as principais são:
■■ Desastres naturais, incêndios acidentais, trovoadas e inundações.
■■ Ameaças ocasionadas por elementos humanos.
■■ Distúrbios, sabotagens internas e externas deliberadas.
Para evitar tais ameaças e garantir a segurança física, devem ser considerados
vários aspectos entre os quais se destacam:
■■ Localização geográfica das instalações: deve-se levar em consideração a
localização em que será instalado o centro de informática. Deve cuidar
para que não seja instalado próximo a esgotos ou condutas de água, que
seja em local onde possa ser facilmente monitorado, deverá existir sis-
tema de detecção e combate a incendios, entre outros.
SEGURANÇA INFORMÁTICA
79
CONTROLES LÓGICOS
Controle de Acesso
O Controle de acesso é o processo de conceder ou negar direitos a usuários ou
sistemas, definindo quais atividades serão realizadas, desta forma, gerando os
chamados perfis de acesso.
O controle de acesso pode ser um controle físico (permitir acesso a uma sala,
prédio ou propriedade somente à pessoal autorizado), ou controle lógico (per-
mitir acesso ao sistema por meio de senha de acesso, por exemplo).
O controle lógico de acesso é composto pelos processos de autenticação
(quem acessa o sistema), autorização (o que o usuário pode fazer) e auditoria
(o que o usuário fez), assim:
■■ Autenticação: é o meio para se certificar que o usuário ou o objeto remoto
é realmente quem está afirmando ser. É um serviço essencial de segurança,
pois uma autenticação confiável assegura o controle de acesso, determina
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
quem está autorizado a ter acesso à informação, permite trilhas de audi-
toria e assegura a legitimidade do acesso.
■■ Autorização: define os direitos e permissões que um determinado usu-
ário possui. Após autenticado o usuário, o processo determina o que ele
pode fazer no sistema.
■■ Auditoria: refere-se à coleta de informações (registro de eventos – logs)
relacionadas à utilização dos recursos do sistema pelo usuário, podendo
essas informações serem utilizadas para gerenciamentos, planejamen-
tos e cobranças.
SEGURANÇA INFORMÁTICA
81
Firewall
onde a rede interna segura e a rede externa não confiável se cruzam, ponto este
que também é conhecido como ponto de estrangulamento, onde o firewall irá
proteger as informações de uma organização, controlando o acesso entre a rede
interna e a rede externa.
É importante lembrar que o firewall mais adequado para a empresa irá variar
de acordo com as características de navegação de cada usuário e mesmo se o
firewall tiver sido projetado para permitir que somente dados confiáveis pas-
sem a proteger a rede interna contra-ataques externos, um ataque recém-criado
pode penetrar o firewall a qualquer hora. O administrador da rede deve exami-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
nar regularmente os registros de eventos e alarmes gerados pelo firewall.
O trabalho de um firewall pode ser realizado de várias formas. O que define
uma metodologia ou outra são fatores como critérios do desenvolvedor, neces-
sidades específicas do que será protegido, características do sistema operacional
que o mantém, estrutura da rede e assim por diante. Devido a isso, é comum
encontrar mais de um tipo de firewall. A seguir, os dois tipos mais conhecidos:
filtragem de pacotes e servidor Proxy.
Filtragem de Pacotes
SEGURANÇA INFORMÁTICA
83
Internet
Firewall
Dualhomed-Host
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
internes Netz
Figura 1 – Modelo de firewall dual homed system.
Fonte: Desenvolver nova imagem
usuário”
Detector de Intrusos
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
um computador ou a uma rede. Nos últimos anos, a tecnologia de detecção de
intrusão tem se mostrado uma grande aliada dos administradores de segurança.
Basicamente, o que esses sistemas fazem é tentar reconhecer um comportamento
ou uma ação intrusiva por meio da análise das informações disponíveis em um
sistema de computação ou rede, para alertar um administrador e/ou automati-
camente disparar contramedidas.
Para realizar a detecção, várias tecnologias estão sendo empregadas em produtos
comerciais ou em projetos de pesquisas, as tecnologias utilizadas incluem análise esta-
tística, inferência, inteligência artificial, data mining, redes neurais e diversas outras.
O IDS tem como principal objetivo detectar se alguém está tentando entrar
em um sistema ou se algum usuário legítimo está fazendo mau uso do mesmo.
Esta ferramenta é executada constantemente em background e somente gera uma
notificação quando detecta alguma ocorrência que seja suspeita ou ilegal. Os
sistemas em uso podem ser classificados com relação a sua forma de monitora-
ção (origem dos dados) e aos mecanismos (algoritmos) de detecção utilizados.
Existem basicamente dois tipos de implementação de ferramentas IDS:
■■ Host Based IDS (HIDS): são instalados em servidores para alertar e iden-
tificar ataques e tentativas de acesso indevido à própria máquina, sendo
mais empregados nos casos em que a segurança está focada em informa-
ções contidas em um servidor.
SEGURANÇA INFORMÁTICA
85
Antivírus
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Nos dias de hoje com a proliferação de técnicas cada vez mais sofisticadas de
códigos maliciosos, torna-se necessidade em qualquer organização que lida com
os recursos de TI, dispor de mecanismos antivírus no seu sistema informático.
Downing (2001, p. 26) define antivírus como “software que protege o computa-
dor de vírus (modificações destrutivas de software), impedindo as modificações
que um vírus tente efetuar ou ainda detectando, logo que seja possível um vírus
que se introduza no computador”.
Segundo Mamede (2006, p. 150), são diversos os sinais que podem alertar
a existência de vírus em um sistema:
■■ O sistema aparenta ter menos memória do que deveria.
■■ O sistema reinicia sozinho.
■■ Alguns ficheiros ficam corrompidos ou não se comportam como o
esperado.
■■ Alguns ficheiros ou programa desaparecem.
■■ Ficheiros ou programas desconhecidos aparecem no sistema.
■■ Mensagens estranhas aparecem no ecrã entre outros.
Criptografia
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Oliveira (2000, p. 405) define a criptografia como “um conjunto de técnicas que
tornam uma mensagem incompreensível permitindo apenas que o destinatário
que conhece a chave de encriptação consiga desencriptar e ler a mensagem com
clareza”. O objetivo da criptografia, neste caso, é utilizar algoritmos de codifica-
ção e descodificação, permitindo que o conteúdo da mensagem possa ser visto
somente pelo destinatário desejado.
Criptografia é hoje, sem dúvida, a maneira mais segura de se enviar infor-
mações por meio de um canal de comunicação inseguro como, por exemplo, a
Internet.
Existem duas categorias básicas de mecanismos de codificação: criptogra-
fia simétrica ou de chave privada e criptografia assimétrica ou de chave pública.
SEGURANÇA INFORMÁTICA
87
Assinatura Digital
Mamede (2006, p. 88) defende que “uma assinatura digital nada mais é do que
um código digital anexado a uma mensagem transmitida de forma electrônica
e que identifica univocamente o emissor e garante a integridade da mensagem”.
Ou seja, uma assinatura digital tanto garante que a mensagem não foi alterada,
como garante que o remetente é realmente quem diz ser. A assinatura digital
providencia a prova de autenticidade e origem dos dados.
Segundo Mamede (2006, p. 88) uma assinatura digital pode ser feita tanto
com base na criptografia simétrica, como na criptografia assimétrica.
Na assinatura digital com base na criptografia simétrica faz-se necessário
a existência de um árbitro que desempenha o papel central de todo o processo
e partilha com cada utilizador uma chave secreta. O emissor cifra a mensagem
com a chave que partilha com o árbitro e o envia. Este decifra a mensagem e
cifra novamente com a chave que partilha com o receptor e envia ao receptor
juntamente com o certificado de validade. Este, ao receber a mensagem, deci-
fra com a chave que partilha com o árbitro, podendo ver em anexo o certificado
de validade.
Como se pode ver nesse tipo de assinatura digital, o árbitro tem de ser uma
pessoa de confiança para ambas as partes, para não comprometer todo o processo.
No caso da assinatura digital, é inadequado cifrar toda a mensagem ou docu-
mento a ser assinado digitalmente devido ao tempo gasto na criptografia de um
documento utilizando chaves assimétricas.
Qualquer participante pode verificar a autenticidade de uma assinatura digi-
tal, bastando decifrá-la com a chave pública do signatário, a qual todos podem
ter acesso. Se o resultado é significativo, está garantido o uso da chave secreta
correspondente na assinatura, e, portanto, sua autenticidade.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Certificado digital
SEGURANÇA INFORMÁTICA
89
Virtual Private Network (VPN) ou Rede Privada Virtual são túneis de criptogra-
fia entre pontos autorizados, criados através da Internet ou outras redes públicas
e/ou privadas para transferência de informações, de modo seguro, entre redes
corporativas ou usuários remotos.
A segurança é a primeira e mais importante função da VPN. Uma vez que
dados privados serão transmitidos pela Internet, que é um meio de transmissão
inseguro, eles devem ser protegidos de forma a não permitir que sejam modifi-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
cados ou interceptados.
Outro serviço oferecido pelas VPNs é a conexão entre corporações (Extranets)
por meio da Internet, além de possibilitar conexões dial-up criptografadas que
podem ser muito úteis para usuários móveis ou remotos, bem como filiais dis-
tantes de uma empresa.
Uma das grandes vantagens decorrentes do uso das VPNs é a redução de
custos com comunicações corporativas, pois elimina a necessidade de links dedi-
cados de longa distância que podem ser substituídos pela Internet. As LANs
podem, através de links dedicados ou discados, conectar-se a algum provedor de
acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atra-
vés da Internet. Esta solução pode ser bastante interessante sob o ponto de vista
econômico, sobretudo nos casos em que enlaces internacionais ou nacionais de
longa distância estão envolvidos.
A seguir, são apresentadas as três aplicações mais importantes para as VPNs.
■■ Acesso Remoto via Internet: o acesso remoto a redes corporativas atra-
vés da Internet pode ser viabilizado com a VPN através da ligação local
a algum provedor de acesso (Internet Service Provider - ISP). A estação
remota disca para o provedor de acesso, conectando-se à Internet e o sof-
tware de VPN cria uma rede virtual privada entre o usuário remoto e o
servidor de VPN corporativo por meio da Internet.
■■ Conexão de Lans via Internet: uma solução que substitui as conexões
entre LANs através de circuitos dedicados de longa distância é a utiliza-
ção de circuitos dedicados locais interligando-as à Internet. O software
de VPN assegura esta interconexão formando a WAN corporativa. A
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
VPNs possibilitam a conexão física entre redes locais, restringindo aces-
sos indesejados por meio da inserção de um servidor VPN entre elas.
Com o uso da VPN o administrador da rede pode definir quais usuários
estarão credenciados a atravessar o servidor VPN e acessar os recursos
da rede departamental restrita. Adicionalmente, toda comunicação ao
longo da VPN pode ser criptografada assegurando a “confidencialidade”
das informações. Os demais usuários não credenciados sequer enxerga-
rão a rede departamental.
Tunelamento
SEGURANÇA INFORMÁTICA
91
Recrutamento
A segurança dos recursos humanos deverá começar desde a seleção dos can-
didatos, com os melhores requisitos para preencher os postos de trabalho
disponibilizados pela organização. Para os que irão lidar com informações crí-
ticas, as exigências deverão ser acrescidas relativamente a questões de segurança.
P. Silva (2003) afirma que no ato da contratação de um novo colaborador,
este deverá receber todas as informações que lhe permita estar a par do conjunto
das normas, regras e princípios existentes na organização, sobre as suas permis-
sões e o que lhe é proibido fazer. Isso é realizado através de um acordo entre o
colaborador e a organização, o que compromete o cumprimento de ambas as
partes. Esta atitude permite impedir que posteriormente possa surgir afirma-
ções de alegado desconhecimento dos princípios estipulados pela organização.
De acordo com Mamede (2006), a segurança dos recursos humanos apre-
senta os seguintes objetivos:
■■ Reduzir os riscos de erro humano, roubo, fraude ou utilização indevida
de qualquer parte do sistema.
■■ Assegurar que os utilizadores estão sensíveis às ameaças à segurança da
informação e que estão devidamente equipados para suportar a política
de segurança da organização no decurso normal das suas actividades.
Formação/sensibilização
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Mamede (2006, p. 54) afirma que “a formação em segurança deve ser dispo-
nibilizada a todos os colaboradores que concebam, implementem ou efetuem a
manutenção de sistemas de rede, bem como a todos os colaboradores da orga-
nização, sensibilizando-os para os variados problemas”.
É igualmente importante a definição de um plano de carreira e salário capaz
de motivar o colaborador naquilo que ele faz. Convém ressaltar que para além
da remuneração direta (salário), há a remuneração indireta (planos de benefí-
cios: recompensa ou beneficio social como subsídio de férias, abono de família,
entre outros).
Segregação de responsabilidades
P. Silva (2003) defende que se deve evitar atribuir funções vitais a uma única
pessoa, estas devem ser atribuídas pelo menos a duas pessoas. A possibilidade
de falhas ou erros nas organizações podem muitas vezes estar relacionada com
a concentração de atividades ou funções críticas a uma única pessoa. No caso
de ausência destas pessoas ou de ocorrência de algum erro por parte destes, a
organização pode comprometer o seu funcionamento.
SEGURANÇA INFORMÁTICA
93
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada
pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira
desta primeira). A ISO começou a publicar a série de normas 27000, em subs-
tituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO
27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibi-
tiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo
que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:
■■ Disponibilidade: o sistema deve estar disponível de forma que quando
o usuário necessitar possa usar. Dados críticos devem estar disponíveis
ininterruptamente.
■■ Utilização: o sistema deve ser utilizado apenas para os determinados
objetivos.
■■ Integridade: o sistema deve estar sempre íntegro e em condições de ser
usado.
■■ Autenticidade: o sistema deve ter condições de verificar a identidade dos
usuários, e este ter condições de analisar a identidade do sistema.
■■ Confidencialidade: dados privados devem ser apresentados somente aos
donos dos dados ou ao grupo por ele liberado.
SEGURANÇA INFORMÁTICA
95
CONSIDERAÇÕES FINAIS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Com o grande avanço da internet, o ataque aos computadores teve um expressivo
aumento, seja por meio de vírus, worms (vermes), cavalos de Tróia, entre outros.
Esses ataques têm por finalidade causar danos nas máquinas (seja para causar pre-
juízos ou apenas por diversão), ou como tem acontecido nos últimos anos, ser cada
vez mais utilizado para fins lucrativos e maliciosos, como roubo de senhas, roubo de
números de contas bancárias e de cartões de crédito, o que a torna bastante perigoso.
Com hackers e crackers cada vez mais habilidosos criando softwares mais e
mais sofisticados, a internet se tornou um ambiente sem muita segurança, no qual
qualquer um que esteja conectado a ela, tanto o computador quanto o próprio
internauta, estão sujeito a todos os tipos de perigos que é oferecido. Os ataques
a computadores configuram-se em uma área em constante expansão, devendo
o internauta estar bem atento ao que acontece em seu computador.
Existem vários mecanismos de segurança que podem ser utilizados pelas
organizações a fim de manter seus dados seguros. Para isso, devemos levar em
consideração três níveis importantes: segurança lógica, segurança física e segu-
rança de recursos humanos. Enquanto a segurança lógica refere-se ao conjunto
de medidas que devem ser levadas a cabo para proteger os softwares e os dados/
informações, a segurança física destina-se a proteger os recursos físicos. Em para-
lelo aos recursos físicos e lógicos, estão os recursos humanos, fator de extrema
importância na garantia da segurança informática, pois são eles que interagem
diretamente com os recursos de TI, e por isso têm que estar sensibilizados e pos-
suir formação adequada para lidar com questões de segurança. A verdade é que
não se pode afirmar que nenhum dos níveis de segurança é mais importante que
outro, pois todos têm a sua importância e devem funcionar de forma integrada.
SEGURANÇA INFORMÁTICA
97
IV. Blindagem.
V. Detector de Intrusos.
Podemos afirmar que:
a. Somente a afirmativa I está correta.
b. Somente as afirmativas II e III estão corretas.
c. Somente as afirmativas I, II, IV e V estão corretas.
d. Somente as afirmativas I, II, IIII e V estão corretas.
e. Todas as afirmativas estão corretas.
6. Um _________ refere-se aos meios técnicos de descobrir em uma rede de acesos
não autorizados que podem indicar a ação de um cracker ou até mesmo de fun-
cionários mal-intencionados.
a. Antivírus.
b. Firewall.
c. Sistema de Detecção de Intrusão (IDS).
d. Controle de Acesso.
e. Processo de Segurança.
99
Material Complementar
GABARITO
1. E.
2. A.
3. B.
4. D.
5. D.
6. C.
Professora Esp. Adriane Joyce Xavier
AUDITORIA
IV
UNIDADE
DE SISTEMAS
Objetivos de Aprendizagem
■■ Entender o conceito de auditoria.
■■ Entender o conceito de auditoria de sistemas e as formas utilizadas
para levantamento de informações.
■■ Conhecer as normas e ferramentas disponíveis no mercado que
auxiliam no processo de auditoria.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
■■ Auditoria
■■ Auditoria de Sistemas
■■ Normas e ferramentas de apoio à auditoria informática
105
INTRODUÇÃO
Como estudado no capítulo anterior, a segurança informática deve ser vista como
um processo de extrema importância nas organizações, sobretudo, devido às
mudanças que ocorrem constantemente no mundo das tecnologias, que influen-
ciam diretamente o comportamento das organizações.
Essa rápida evolução das tecnologias e a dependência cada vez maior das
mesmas, por parte das organizações, levam a uma necessidade cada vez maior
de controle, já que se trata de informações de vital importância para as empre-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Introdução
106 UNIDADE IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock
AUDITORIA
AUDITORIA DE SISTEMAS
107
AUDITORIA DE SISTEMAS
Auditoria de Sistemas
108 UNIDADE IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
gias e técnicas específicas, mas é preciso também que o auditor disponha tanto
de conhecimentos técnicos como de algumas características como a honesti-
dade, objetividade, aptidão crítica, capacidade de análise e síntese, flexibilidade,
comunicação com clareza, tendência à atualização dos conhecimentos, possi-
bilidade de compreender rapidamente, capacidade de iniciativa e criatividade.
A auditoria de sistemas possui ao menos 4 etapas:
■■ Planejamento e preparação.
■■ Execução da auditoria.
■■ Relatório de auditoria.
■■ Plano de ação.
Essas etapas têm como resultado alguns documentos de grande importância para
a empresa, pois elas contêm informações sobre os riscos encontrados e a avalia-
ção desses riscos, os controles em conformidade ou não com normas, e ainda
recomendações de melhoria. Esses documentos são apresentados à área de TI e
à administração da empresa.
Além do relatório de auditoria funcionar como um “mapa” que mostra a
direção a ser seguida pela área de TI, serve também como um guia para auxiliar
a administração no planejamento estratégico, e na priorização de investimentos.
O levantamento das informações pode ser feito recorrendo a várias estraté-
gias, conforme descritas a seguir.
AUDITORIA DE SISTEMAS
109
ESTRATÉGIAS DA AUDITORIA
Questionário
Entrevista
Auditoria de Sistemas
110 UNIDADE IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Permite a obtenção de dados em profundidade acerca do comportamento
investigado.
■■ Os dados obtidos podem ser classificados e quantificados.
■■ Não exige que o respondente saiba ler ou escrever.
■■ Maior flexibilidade no trabalho de investigação (pode-se explicar o sig-
nificado das perguntas, captar expressões corporais, tonalidade de voz e
ênfase das respostas).
Limitações:
■■ Falta de motivação do entrevistado para responder.
■■ Facilidade de fornecimento de respostas falsas.
■■ Inabilidade ou incapacidade do entrevistado para responder (vocabulá-
rio insuficiente, problemas psicológicos).
■■ Influência exercida pelo aspecto pessoal do entrevistador; Influência das
opiniões do entrevistador sobre as respostas do entrevistado.
■■ Custo do treinamento dos entrevistadores e da aplicação das entrevistas.
AUDITORIA DE SISTEMAS
111
Checklist
Auditoria de Sistemas
112 UNIDADE IV
Para Carneiro (2004) uma auditoria pode ser realizada tanto por recursos inter-
nos, realizadas por funcionários da organização a ser auditada (auditoria interna),
como por consultores externos, que são as entidades que não pertencem à organi-
zação auditada e normalmente se dedicam exclusivamente em firmas de auditoria
(auditoria externa).
Carneiro (2004, p. 8) afirma que a auditoria interna tem por função auxiliar
a equipe de gestão no seu desempenho, enquanto que, a auditoria externa é rea-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
lizada normalmente quando se pretende “uma maior objetividade com relação à
auditoria interna, devido a um maior distanciamento entre auditores e auditados”.
Comparativamente com a auditoria externa, a auditoria interna segundo
Ferreira (2001) apresenta algumas vantagens dentre as quais podemos citar:
■■ Não são tão perceptíveis aos funcionários quanto às auditorias externas.
■■ São mais econômicas, pois neste caso, os auditores já conhecem o sis-
tema a ser analisado.
■■ Atuam muito rapidamente nos casos de emergência.
■■ São fortes fontes de consulta atualizada.
■■ Constituem ponto de apoio e base para as auditorias externas; entre outras.
AUDITORIA DE SISTEMAS
113
Auditoria de Sistemas
114 UNIDADE IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
deverão constar os extintores, alarmes de fogo e intrusão e, ainda deve-
rão verificar se tais equipamentos são regularmente testados.
■■ Nível de monitorização física das localizações: os auditores deverão
verificar a presença de guardas, sistemas de vídeo-vigilância, sensores de
portas e sistemas de registos que permitam controlar as entradas e saídas.
■■ Cablagem e montagem de elementos físicos: verificar em todas as áreas
onde existem equipamentos se os cabos estão montados de forma organi-
zada e com a devida identificação e certificar-se ainda de que os mesmos
encontram-se em locais de acesso controlado, para evitar a indisponibi-
lidade dos serviços.
AUDITORIA DE SISTEMAS
115
Auditoria de Sistemas
116 UNIDADE IV
Para que isso ocorra, Mamede (2006) destaca um conjunto de tarefas a serem
realizadas pelos auditores: localizar os dispositivos que estão visíveis e sujeitos
as tentativas de intrusão e suas vulnerabilidades diretas:
■■ Routers, switches, servidores, entre outros.
■■ Verificar a existência de várias camadas de segurança, se firewall e outros
dispositivos de segurança encontram-se devidamente configurados e atu-
alizados, verificando a sua conformidade com as políticas definidas pela
organização.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Pesquisar pontos de entrada que não sejam conhecidos, por exemplo,
localizar a existência de modems não autorizados na rede da organização.
AUDITORIA DE SISTEMAS
117
Auditoria de Sistemas
118 UNIDADE IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
NORMAS E FERRAMENTAS DE
APOIO A AUDITORIA INFORMÁTICA
Para que a organização não fique exposta aos riscos que podem ocorrer em
seu sistema informático, é necessária a criação de controles que devem esta-
belecer um processo formal para avaliar, identificar e desenvolver respostas
aos riscos analisados pela auditoria. Por conta disso, as organizações devem
demonstrar controles crescentes em
segurança. Para isso, existem nor-
mas e ferramentas (frameworks)
como o CobiT, COSO e normas
ISO, que auxiliam os gerentes de
TI em seus objetivos, alinhados
com os objetivos da organização.
A seguir, serão apresentadas algu-
mas das ferramentas e normas que
podem auxiliar as organizações a
melhorarem o seu ambiente de con-
trole em segurança da informação
dos recursos de TI.
AUDITORIA DE SISTEMAS
119
CobiT
Apesar de essas três audiências estarem interligadas, é sobre esta última que inte-
ressa enfocar nesse capítulo, ou seja, o que se pretende é destacar o CobiT como
um padrão das melhores práticas para a realização de auditorias, constituindo
assim uma ferramenta importante para auxiliar uma organização na gestão con-
trolada das suas TI.
A visão deste modelo, segundo Pedro (2005), “[...] sustenta que a sobrevivência
das organizações depende da gestão efetiva da informação e da tecnologia”. Gestão
essa, que conforme afirma o mesmo autor está associada a quatro problemas:
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Segundo Ferreira (2001), CobiT encontra-se estruturado em quatro domínios:
■■ Planejar e Organizar (PO): a fase do planeamento estratégico das TIC
de acordo com a estratégia da organização.
■■ Adquirir e Implementar (AI): após o planejamento identificam-se as
soluções e procede a sua execução, controlando as mudanças que cons-
tantemente ocorrem.
■■ Produzir e Suportar (DS): o objetivo aqui é fornecer serviços eficien-
tes, mas é importante assegurar que o sistema continue a funcionar a um
nível desejado e de forma contínua, mesmo perante situações de desastre.
■■ Monitorar e Avaliar (ME): consiste na verificação de todos os processos
e na avaliação da adequação dos controles internos.
AUDITORIA DE SISTEMAS
121
eficiente, ter controle sobre toda informação que circula dentro da organi-
zação justamente por uma questão de transparência da informação.
Fonte: o autor.
COSO
a auditoria centrada apenas nos controles, pois o auditor, nesse caso, pode dire-
cionar o seu trabalho diretamente para áreas de maior risco, em vez de identificar
os controles. A finalidade da auditoria baseada em riscos é a de antecipar e preve-
nir riscos, ou seja, há um processo de levantamento da informação que permite
ao auditor identificar os riscos e as formas de mitigar tais riscos.
Existe um relacionamento direto entre os objetivos que uma organização se
empenha em alcançar e os componentes do gerenciamento de riscos corporativos
que representam aquilo que é necessário para o seu alcance. Esse relacionamento
é apresentado na figura 1, por meio de uma matriz tridimensional, em forma de
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
cubo, na qual se apresentam as quatro categorias de objetivos (estratégicos, ope-
racionais, de comunicação e conformidade) que estão representadas nas colunas
verticais. Os oito componentes, nas linhas horizontais, a organização e as uni-
dades de uma organização, na terceira dimensão do cubo.
AUDITORIA DE SISTEMAS
123
De acordo com Pedro (2005) “a gestão de risco empresarial permite aos gestores
lidar eficazmente com a incerteza e risco associado, melhorando a capacidade de
criar valor”. No entendimento de COSO o objetivo de qualquer entidade é criar
valor, mas para isso está sujeito a riscos, pois existem as incertezas. A gestão de
risco capacita uma organização a estar preparada para as incertezas.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
como ISO 17799, mas a partir de 2007, foi
incorporado um novo sistema de numera-
ção e passou a ser conhecida por ISO 27002.
A ISO 27002 tem por objetivo estabele-
cer diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de
segurança da informação em uma organização.
Em outras palavras, significa que esta norma asse-
gura que as informações que são consideradas importantes para a continuidade
e manutenção dos objetivos do negócio estarão protegidas.
Para a concretização dos processos de gestão de segurança da informação,
a norma ISO 27002, encontra-se organizada em onze capítulos com o objetivo
de abranger os diferentes tópicos ou áreas de segurança.
■■ Política de segurança da informação.
■■ Organizando a segurança da informação.
■■ Gestão de ativos.
■■ Segurança em recursos humanos.
■■ Segurança física e ambiental.
■■ Gestão de operações e comunicações.
■■ Controle de acesso.
■■ Gestão de incidentes de segurança da informação.
■■ Gestao de continuidade do negócio.
■■ Conformidade.
AUDITORIA DE SISTEMAS
125
Esta estrutura mostra a abrangência desta norma, o que significa que ela possui
implicações na organização como um todo. Nota-se ainda que a ISO não aponta
medidas específicas para cumprir os requisitos inerentes de segurança, mas for-
nece uma base comum, ou seja, oferece sugestões de segurança que apontam
para níveis de segurança extremamente elevados, os quais devem ser adaptados
às reais necessidades de cada organização.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
CONSIDERAÇÕES FINAIS
Considerações Finais
126 UNIDADE IV
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
pois desta forma, estando a informação protegida, pode ser utilizada como uma
vantagem estratégica, agregando valor para a organização.
Por fim, também vimos que para auxiliar a auditoria interna da empresa,
existem algumas ferramentas e normas como o Cobit, COSO e a norma ISO
27002, os quais são muito úteis para auxiliar o auditor no processo de controle,
avaliação, identificação de problemas e ainda no desenvolvimento de soluções
para possíveis problemas que possam ocorrer nas organizações.
AUDITORIA DE SISTEMAS
127
Por fim, os softwares de controle das ati- parte de hardware quanto de software.
vidades do corpo de funcionários são
utilizados para, além de estabelecer esse Alguns exemplos de softwares para con-
controle sobre as equipes, permitirem o trole de atividades são:
gerenciamento das redes e comunica-
• Suíte Trauma Zer0, que possui recursos
ções, ajudando a evitar que a empresa seja
para realizar descobrimento de softwa-
lesada, por meio de espionagem indus-
res e tipos de arquivos, além de rastrear
trial, engenharia social, de colaboradores
a localização física de recursos, realizar
que podem enviar formulários e/ou cur-
auditorias remotas e bloquear aplicações
rículos, mantendo, assim, contato com
e URL’s, entre outras funções.
concorrentes e, até, com o simples envio
despreocupado de informações estratégi- • MailMarshal Exchange, que controla e
cas da empresa. monitora a troca de mensagens internas
de corporações que fazem uso do Micro-
Fazendo uso desse tipo de ferramenta, você soft Exchange, auxiliando na manutenção
conseguirá: de um ambiente de trabalho seguro e
muito mais produtivo e ainda na prote-
• Rastrear e registrar, automaticamente, as ção contra os incômodos vírus e spams.
mudanças de localização e de configu-
ração de dispositivos, com alertas para • Velop Escudo, que é importante para
cada mudança, criando um rastro mais evitar a perda de produtividade, blo-
do que eficiente. quear spams, prevenir ataques de vírus,
interrupções nos negócios e congestões
• Auditar máquinas de usuários remotos, na rede, além de racionalizar recursos
através de qualquer conexão IP. de computação e minimizar o risco de
• Acessar relatórios que mostrem os níveis infrações legais e de ações judiciais no
de acesso aos computadores, sabendo, trabalho, acompanhando e qualificando
por exemplo, a que horas um usuário fez os resultados, em tempo real.
login ou logout.
Portanto, deve-se estar sempre atento às
• Criar regras de notificação para o caso ferramentas que podem ser muito úteis,
de um sistema de qualquer computa- na hora de realizar uma auditoria em uma
dor, com agente, for alterado, tanto na organização!
Material Complementar
GABARITO
1. B.
2. A.
3. D.
4. B.
5. E.
Professora Esp. Adriane Joyce Xavier
DESENVOLVIMENTO
V
UNIDADE
DE SOFTWARE SEGURO
Objetivos de Aprendizagem
■■ Entender a importância de se desenvolver um software com
segurança.
■■ Conhecer as atividades e processos que podem ser utilizados no
desenvolvimento do software seguro.
■■ Conhecer os modelos de maturidade que podem ser utilizados para
controle e desenvolvimento de um software seguro.
Plano de Estudo
A seguir, apresentam-se o tópico que você estudará nesta unidade:
■■ Desenvolvimento de Software Seguro
135
INTRODUÇÃO
Introdução
136 UNIDADE V
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
■■ Utilização de padrões de código seguro e checklists: define padrões de
códigos seguros e boas práticas de acordo com a linguagem adotada e
ambiente definido pela organização. Cria checklists para verificar as princi-
pais ações durante o desenvolvimento e revisão de segurança do software.
©shutterstock
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
O ciclo de vida faz parte dos controles do projeto e estes são necessários para
reduzir a probabilidade de inserção de defeitos no dispositivo médico (VOGEL,
2011). Então, para mitigar o problema das vulnerabilidades dentro do software, é
essencial indicar atividades de segurança de software a serem aplicadas entre as
fases do ciclo de vida das aplicações. Estas atividades estão relacionadas à iden-
tificação, construção e validação de técnicas que impossibilitem a exploração de
vulnerabilidades na operação do software.
Com a adoção de padrões de construção de software seguro dentro do seu
ciclo de vida, a partir de atividades que garantam a identificação, avaliação, trata-
mento, aplicação e validação de controles de segurança da informação, espera-se
o aumento da qualidade e diminuição máxima das possibilidades de ataque den-
tro das aplicações. O levantamento e o desenvolvimento de checklists com os
controles a serem aplicados pode auxiliar a incorporação de práticas de codifica-
ção defensiva ao longo da construção das aplicações. O tratamento dos aspectos
relacionados à segurança do software não necessariamente representa aumento
do custo no seu ciclo de vida de desenvolvimento, tendo em vista que corrigir
problemas e falhas desta natureza custam mais depois da aplicação pronta e em
produção (MCGRAW, 2006).
A adoção de técnicas de segurança nos dispositivos é esperada porque o
software pode ser executado em diversos tipos de plataformas, dentre elas com-
putadores pessoais e dispositivos móveis computacionais. Toda essa diversidade
de plataformas pode trazer riscos de lesões e do vazamento de informações, dado
que toda informação coletada e transmitida por estes dispositivos é sensível, con-
fidencial ou até pode mudar o funcionamento dos equipamentos.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
segurança perfeita, portanto, os designers devem considerar a possi-
bilidade de haver falhas de segurança. Para minimizar os danos que
ocorrem quando invasores miram nessas falhas restantes, o estado
padrão do software deve aumentar a segurança. Por exemplo, o sof-
tware deve ser executado com o privilégio mínimo necessário e os
serviços e recursos que não sejam amplamente necessários devem ser
desabilitados por padrão ou ficar acessíveis apenas para uma pequena
parte dos usuários.
■■ Seguro na Implantação (Deployment): o software deve conter ferra-
mentas e orientação que ajudem os usuários finais e/ou administradores
a usá-lo com segurança. Além disso, a implantação das atualizações deve
ser fácil.
■■ Comunicações: os desenvolvedores de software devem estar preparados
para a descoberta de vulnerabilidades do produto e devem comunicar-
-se de maneira aberta e responsável com os usuários finais e/ou com os
administradores e, assim, ajudá-los a tomar medidas de proteção (como
instalar patches ou implantar soluções alternativas).
A seguir, uma breve descrição das atividades a serem realizadas ao longo do ciclo
de vida (MCGRAW, 2006):
■■ Casos de abuso: construir casos de abuso é relevante para realizar uma
relação entre os problemas e a análise de risco. É importante observar
neste momento se algum padrão de ataque se encaixa no sistema ou nos
requisitos do software. Este é um bom momento para modelar cenários
de vulnerabilidades que podem ser exploradas nas fases de revisão de
código ou teste de penetração.
■■ Requisitos de segurança: estes precisam cobrir os requisitos funcionais
e de segurança, casos de abuso e levantar a maior quantidade possível de
dados e padrões de ataque. Nesta fase toda a necessidade de segurança
do software precisa ser mapeada para garantir sua correta implementa-
ção. Um bom exemplo de requisito de segurança esta relacionado com o
uso correto de criptografia para proteger dados críticos.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
abuso e pela avaliação dos padrões de ataque.
■■ Revisão de código fonte: após a fase de codificação e antes da fase de
testes, a análise de código fonte é uma boa atividade para garantir que os
requisitos de segurança foram bem implementados e que as vulnerabilida-
des listadas na análise de casos de abuso não estão presentes no software.
A revisão de código pode ser automática e manual e cada estratégia tem
prós e contras. Ferramentas automatizadas não cobrem todos os cenários,
por este motivo a análise manual é sempre necessária (LONG et al., 2012).
■■ Testes de penetração: este é um composto de técnicas e ferramentas utiliza-
das em conjunto para testar dinamicamente um software ou sistema contra
falhas de projeto ou vulnerabilidades. Esta atividade é importante para garan-
tir que a aplicação ou sua infraestrutura não possuam nenhum problema
potencial que possam ser explorados de uma forma particular para alterar o
comportamento da aplicação em tempo de execução (MICROSOFT, 2008).
■■ Operação segura: é importante responsabilizar as atividades do usuário
no momento da utilização do sistema de software. Ainda mais impor-
tante é manter estes dados de forma correta e protegida, para garantir
que o atacante ou atividades de ataque possam ser rastreadas após qual-
quer tentativa, bem sucedida ou não.
■■ Fase de Requisitos.
■■ Fase de Design.
■■ Fase de Implementação.
■■ Fase de Verificação.
■■ Fase de Suporte e Manutenção.
Fase de requisitos
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
serve como um ponto de contato, pesquisa e orientação durante o planejamento.
O supervisor de segurança ajuda a equipe de produto revisando os planos, fazendo
recomendações e garantindo que a equipe de segurança planeje recursos apropriados
para dar suporte ao cronograma da equipe de produto. O supervisor de segurança
aconselha a equipe de produto sobre os marcos de segurança e os critérios de saída
que serão exigidos com base no tamanho, na complexidade e no risco do projeto.
O supervisor de segurança continua sendo o ponto de contato da equipe
de produto com a equipe de segurança, desde o início do projeto até a conclu-
são da Revisão final de segurança e o lançamento do software. O supervisor de
segurança também serve como ponto de contato entre a equipe de segurança
e a gerência da equipe de produto, e aconselha a gerência da equipe quanto ao
controle do elemento de segurança de seus projetos, de forma a evitar surpresas
relacionadas à segurança durante e após o processo.
A fase de requisitos é a oportunidade para a equipe de produto considerar como
a segurança será integrada no processo de desenvolvimento, identificar os objeti-
vos-chave de segurança e maximizar a segurança de software, reduzindo a quebra
de planos e cronogramas. Como parte desse processo, a equipe precisa conside-
rar como os recursos de segurança e as medidas de controle de seu software serão
integradas com outros softwares que provavelmente serão usados com ele. A pers-
pectiva geral da equipe de produto sobre os objetivos, os desafios e os planos de
segurança deve se refletir nos documentos de planejamento produzidos durante
a fase de requisitos. Embora os planos estejam sujeitos a alterações conforme o
andamento do projeto, a articulação precoce desses planos ajuda a garantir que
nenhum requisito seja desconsiderado ou estabelecido na última hora.
Fase de design
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
de segurança, bem como as áreas em que são especialmente necessários
testes de segurança e uma revisão cuidadosa do código. O processo de
modelagem de ameaças deve ter o suporte de uma ferramenta que cap-
ture modelos de ameaças em um formulário legível por máquina para
armazenamento e atualização.
■■ Definir critérios de fornecimento complementar: os critérios básicos de
fornecimento de segurança devem ser definidos no nível da organização,
mas as equipes de produto individuais ou de versões do software podem
ter critérios específicos que devem ser atendidos antes do lançamento do
software. Por exemplo, uma equipe de produto que desenvolva a versão
atualizada de um software fornecido aos clientes e sujeito a ataques exten-
sivos pode solicitar que, por determinado tempo, a nova versão fique livre
de vulnerabilidades relatadas externamente antes de ser considerada pronta
para o lançamento. Ou seja, o processo de desenvolvimento deve locali-
zar e remover as vulnerabilidades antes que elas sejam relatadas, em vez
de a equipe de produto precisar “corrigi-las” depois de serem relatadas.
Fase de Implementação
Fase de verificação
passa por testes beta, a equipe de produto realiza um “esforço de segurança” que
inclui revisões do código de segurança além das concluídas na fase de imple-
mentação, bem como testes de segurança direcionados.
É importante notar que as revisões de código e os testes do código de alta
prioridade (aquele que é parte da “superfície de ataque” do software) são críti-
cos para várias partes do SDL. Por exemplo, essas revisões e esses testes devem
ser exigidos na fase de implementação, para permitir a correção precoce de
quaisquer problemas, além da identificação e da correção da origem desses pro-
blemas. Eles também são críticos na fase de verificação, quando o produto está
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
perto de ser concluído.
MACRO-ATIVIDADE ATIVIDADE
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
MACRO-ATIVIDADE ATIVIDADE
Fornecer Informação Entender e revisar necessidades de informação de
de Segurança segurança.
Determinar considerações e restrições de segurança.
Identificar e analisar alternativas de segurança.
Fornecer orientação de segurança.
Identificar e revisar requisitos de garantia de segurança.
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
Realizar validação de segurança.
Revisar e comunicar resultados de verificação e
validação de segurança.
MODELOS DE MATURIDADE
(SEI, 2010).
Os modelos de maturidade concedem a orientação a ser utilizada no desen-
volvimento de processos efetivos, porém, não são processos ou descrições
de processos. O processo adotado em uma organização depende de inúme-
ros fatores, incluindo seus domínios de aplicações e a estrutura e o tamanho
da organização. Em particular, as áreas de processo de um modelo de maturi-
dade não mapeiam um a um com os processos usados na organização como
um todo (SEI, 2010).
OpenSAMM
A OpenSAMM foi concebida com flexibilidade, de forma que pode ser utilizada
por pequenas, médias ou grandes organizações e que façam uso de qualquer
estilo de desenvolvimento. Esse modelo pode ser aplicado por toda organização,
para uma única linha de negócios ou para um projeto individual (CHANDRA,
2009). Além dessas características, a OpenSAMM foi construída pelos princí-
pios a seguir (CHANDRA, 2009):
■■ Comportamento da organização se modifica lentamente no decorrer do
tempo. Um software de segurança bem-sucedido deve ser especificado
em pequenas interações que entreguem ganhos de garantias tangíveis,
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
enquanto trabalha para objetivos de longo prazo.
■■ Não há uma única receita que funcione para todas as organizações. O
framework de segurança de software deve ser flexível e permitir que as
organizações formem suas escolhas baseado em sua tolerância de riscos
e na direção na qual constrói e usa o software.
■■ Orientação relacionada a atividades seguras devem ser prescritivas. Todos
esses passos na construção e avaliação em um programa de garantia devem
ser simples, bem definidos e mesuráveis. Esse modelo oferece modelos
de roteiros para tipos comuns de organizações.
BSIMM
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
©shutterstock
Existem também as Normas ISO que podem ser utilizadas para auxiliar no
desenvolvimento de software seguro que são:
■■ ISO/IEC 15408: consiste em um framework para especificação de requi-
sitos de segurança para sistemas computacionais, que busca garantir a
implementação dos atributos de segurança dos produtos, é possível tam-
bém fazer avaliações do produto em laboratórios a fim de determinar se
eles realmente satisfazem as reivindicações de segurança.
■■ NBR ISO/IEC 17799: objetiva preservar a confidencialidade, integridade
e disponibilidade das informações por meio da implementação de con-
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
CONSIDERAÇÕES FINAIS
Reprodução proibida. Art. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
os requisitos de segurança.
A segurança em sistemas sempre foi importante e com o aumento do uso
da internet a segurança torna-se o foco principal, uma vez que os sistemas ten-
dem a ficar mais interconectados, facilitando acessos indevidos. Dessa forma, a
segurança será cada vez mais uma preocupação no desenvolvimento de sistemas.
Nenhum software é 100% seguro, mesmo tomando todo o cuidado com
segurança na hora de desenvolvê-lo. A segurança de um software é afetada por-
que se podem executar outros procedimentos que não foram propostos. Se fosse
realizado exatamente o que o sistema foi destinado a fazer, a segurança não seria
uma preocupação. Portanto, existe uma facilidade para invasores investigarem
vulnerabilidades desconhecidas, em contrapartida uma dificuldade dos desenvol-
vedores em garantir que todos os pontos de entrada do sistema estejam protegidos.
Atualmente, é necessário que as empresas de desenvolvimento de sistemas,
façam adaptações em seus processos com a finalidade de atender ao desenvolvi-
mento seguro em todas as fases do ciclo de vida do desenvolvimento, pois, quanto
mais cedo as vulnerabilidades forem identificadas, menores serão os gastos com
o projeto, sendo de extrema importância mensurar a segurança de acordo com
os riscos apresentados.
Observamos neste livro que a informação é algo extreme importância para uma
organização e fundamental para os negócios, sendo necessário que a mesma seja
protegida. Com o aumento do uso da internet, as organizações passaram a se preo-
cupar cada vez mais em controlar e manter as informações seguras.
Diante dessa informação, surgiu à necessidade da segurança da informação, que
se constitui na proteção da informação contra os vários tipos de ameaças e tende
a minimizar os riscos relacionados com o negócio e, maximizar o retorno sobre os
investimentos.
Para obter a segurança da informação, torna-se necessário um conjunto de con-
troles adequados, com o intuito de garantir que os objetivos do negócio e de se-
gurança da organização sejam alcançados. Esses controles têm sido alterados e
aperfeiçoados com o passar do tempo, permitindo que as organizações cuidem e se
previnam contra eventuais riscos causados pela falta de segurança.
Outra forma de manter a segurança da informação é efetuando a auditoria desses
sistemas, sendo possível controlar acessos e informações, de acordo com as infor-
mações proposta na política de segurança da informação.
Para ter um ambiente seguro, é necessário a criação de um conjunto de normas e
recomendações para a gestão da segurança da informação, usado por aqueles que
são responsáveis pela implantação, implementação ou manutenção da segurança
nas respectivas organizações.
Conforme vimos neste livro, existem diversos mecanismos que devem ser utilizados
para manter a segurança da informação, assim como frameworks, normas e mode-
los de maturidade que podem estar auxiliando os gerentes de projetos e auditores
na segurança da informação.
Espero que, por meio deste livro, seja possível obter o conhecimento necessário
para que possamos manter os sistemas de informação cada vez menos vulnerável a
possíveis ameaças e ataques.
Muito sucesso! Um grande abraço!
165
REFERÊNCIAS
AMADO, J. Hackers: técnicas de defesa e ataque. 3. ed. Lisboa: FCA, Editora de In-
formática Lda, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR. ISO/IEC 27002:2005.
Tecnologia da informação. Código de prática para a gestão da segurança da infor-
mação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27001:2006.
Tecnologia da informação. Técnicas de segurança. Sistema de gestão de segurança
da informação - requisitos. Rio de Janeiro: ABNT, 2006.
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção
dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
CARNEIRO, A. Introdução à Segurança dos Sistemas de Informação. Lisboa: FCA,
Editora de Informática Lda, 2002.
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2. ed. Lisboa: FCA –
Editora de Informática, Lda., 2004.
CARNEIRO, A. Auditoria e Controlo de Sistemas de Informação. Lisboa: FCA – Edi-
tora de Informática, Lda., 2009.
CASSARO, A. C. Controles Internos e Segurança de Sistemas. 1. ed. São Paulo: LTR,
1997.
CHIAVENATO, I. Introdução à teoria geral da administração. 6. ed. Rio de Janeiro:
Campus, 2000.
COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. Disponível
em: <http://www.coso.org/documents/coso_erm_executivesummary_portuguese.
pdf>. Acesso em: 22 mar. 2016.
DIAS, C. Segurança e Auditoria da Tecnologia da Informação. 1. ed. Rio de Janei-
ro: Axcel Books, 2000.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governança de TI. Rio de Janei-
ro: Brasport, 2012.
FERREIRA, D. et al. Proposta para uma Política de Segurança de Dados aplica-
da às Secretarias de Receita. 2001. Disponível em: <http://www.scribd.com/do-
c/6841289/298Redes>. Acesso em: 22 mar. 2016.
FURLAN, J. D.; IVO, I. M. da; AMARAL, F. P. Sistema de Informação Executiva: como
integrar os executivos ao sistema informacional das empresas, fornecendo informa-
ções úteis e objetivas para suas necessidades estratégicas e operacionais. São Paulo:
Makron Books, 1994b.
GIL, A. L. de. Auditoria de computadores. 4. ed. São Paulo: Atlas, 1999.
ISACA. Cobit 5 – A business Framework for the Governance and Management of
Enterprise It. Ed. Isaca, 2012.
REFERÊNCIAS
Referências on-line:
1
Em: <http://www.scielo.br/pdf/rac/v9n4/v9n4a07>. Acesso em: 9 abr. 2016.
2
Em: <http://www.gemalto.com/press/Pages/Estudo-da-Gemalto-revela-aumen-
to-dos-riscos-de-seguranca-de-dados-de-pagamentos-e-falta-de-confianca-nos-
-metodos-de-pagamen.aspx>. Acesso em: 10 abr. 2016.
3
Em: <http://www.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e-
-pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-
-informacao-aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf>. Acesso
em: 10 abr. 2016.
4
Em: <https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf>.
GABARITO
1. D.
2. C.
3. B.
4. D.
5. E.