INSTITUTO SUPERIOR POLITECNICO DE GAZA

DIVISÃO DE ECONOMIA E GESTÃO

Curso: Gestão de Recursos Humanos

Regime laboral: Nível 2º Ano 2º Semestre

Disciplina: Gestão de Sistema de Infirmação

Tema: Segurança da Informação

Discentes Código
Adélia Matsimbe 20211013

Cíntia Hélio 2021104

Isaac Edinaldo 20201040

Leonel Jacinto 20211021

Samuel Julião 20211012

Docente: Sheila Salieta Mário Cuambe

Lionde, Outubro de 2022

Índice
Introdução....................................................................................................................................3
Objectivo......................................................................................................................................3
SEGURANÇA DA INFORMAÇÃO....................................................................................................4
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO...........................................................................4
Disponibilidade............................................................................................................................4
Integridade...................................................................................................................................5
Autenticidade...............................................................................................................................5
Confidencialidade.........................................................................................................................5
Níveis de confidencialidade..........................................................................................................6
Importância da segurança da informação para as empresas.......................................................7
Conceito de Auditoria de SI..........................................................................................................8
Auditoria tradicional....................................................................................................................8
Gestões de sistemas de informação.............................................................................................9
Ciência informática......................................................................................................................9
Objetivos de uma Auditoria de Sistemas de Informação.............................................................9
Tipos de Auditoria a Sistemas de Informação............................................................................10
Principais ameaças à segurança da informação.........................................................................11
Malware.....................................................................................................................................12
Ransomware..............................................................................................................................12
Spyware......................................................................................................................................12
Phishing......................................................................................................................................13
DDOS..........................................................................................................................................13
Vulnerabilidade de sistema de informaçao................................................................................13
Vulnerabilidade de hardware.....................................................................................................14
Vulnerabilidade de código e criptografia...................................................................................14
Vulnerabilidade humana............................................................................................................14
Conclusao...................................................................................................................................16
Referencias Biblograficas...........................................................................................................17
Introdução
O presente trabalho de pesquisa visa debruçar de uma forma clara acerca segurança,
privacidade e confidencialidade dos sistema de informação, onde ao longo do trabalho
falamos dos tipos de ameaças, princípios da segurança da informação, Evolução
histórica da auditoria aos sistemas de informação onde dissemos que os conceitos
atribuído á auditoria de S.I. não difere muito do atribuído á dita auditoria tradicional,
Para o nosso trabalho temos participação Ron Weber (1999) onde ele define a auditoria
a um S.I. como o processo de recolha e avaliação de evidência para determinar se um
sistema computorizado salvaguarda os bens, mantem a integridade dos dados e permite
atingir os objectivos da organização de forma eficaz e eficiente. Dando continuidade
falamos do surgimento da auditoria de sistema de informação onde surgiu a sua base,
isto é a auditoria foi sofrendo várias alterações e desenvolvimentos durante o desenrolar
da evolução social que ocorreu no mundo, sendo que apenas na segunda metade do
século XIX é que a mesma foi adoptada pelas empresas, muito devido á revolução
industrial ocorrida na Grã-Bretanha. A Vulnerabilidade do sistema de informação é uma
fraqueza de um activo que poderia ser potencialmente explorada por uma ou mais
ameaças. O elemento humano é o elo mais fraco em muitas arquitecturas de segurança
cibernética.

Objectivo
Geral

 Debruçar conteúdos relacionados com a privacidade, vulnerabilidade,

confidencialidade e segurança do sistema de informação.

Especifica

 Citar os métodos de confidencialidade;

 Abordar sobre a importância do sistema de informação;
 Falar dos tipos de sistema de segurança .
SEGURANÇA DA INFORMAÇÃO

A segurança da Informação significa proteger seus dados e sistemas de informação de

acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspecção e
destruição. Isto é, a segurança da informação está relacionado a confidencialidade,
integridade e disponibilidade da informação. Sendo que o conceito de segurança de
processamento está ligado a disponibilidade e operação da infra-estrutura
computacional. Estes conceitos são complementares e asseguram a protecção e a
disponibilidade das informações das organizações.

Para FAGUNDES a firma que impacto de perda de dados ou até mesmo violação de
informações para uma empresa é enorme e pode, em alguns casos, levá-la a falência.
Existem casos reais de empresas que tiveram seus sistemas invadidos por hackers e que
sofreram quedas no valor de suas acções nas bolsas de valores.

Segundo KERDNA( 2006) diz que a informação é todo conteúdo ou dado valioso para
uma organização, que serve a determinado propósito e que é de utilidade do ser
humano. A Segurança da Informação está relacionada com a protecção de um conjunto
de dados, no sentido de preservar o valor que possuem para uma organização.
Actualmente a informação digital é um dos principais produtos de nossa era e necessita
ser protegida. A segurança de determinadas informações pode ser afectada por vários
factores, como os comportamentais e do próprio usuário, pelo ambiente/infra-estrutura
em que ela se encontra armazenada e através de pessoas que tem o objectivo de agir de
má-fé (roubar, destruir ou modificar essas informações).

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Existem quatro (4) princípios básicos da segurança da informação:
Disponibilidade
É ter a certeza de que a informação sempre estará disponível e acessível em qualquer
hora e lugar que o usuário autorizado precisar acossá-las. É importante que os recursos
estejam disponíveis para o usuário e funcionários sempre que os sistemas utilizados para
armazenar e processar os dados estejam sempre funcionando correctamente, porque não
adianta nada ter a informação se a mesma não e entrega ao usuário legitimo quando
requisitado. Dessa forma considerar de a alta disponibilidade permite que as
informações resistam a falha de hardware, software e até mesmo de energia, estando
sempre disponível para o usuário.
Integridade
É a garantia de que a informação estará protegida e completa, da maneira como foi
arquivada, Evitando quaisquer problemas, como alterações indevidas ou de má fé. O
proprietário dos dados deve ser capaz de emitir um documento e o mesmo ser
disponibilizado para o destinatário sem a possibilidade de ter sido alterado proposital
mente ou acidentalmente. A exclusão ou alteração e importante é considerada uma
quebra desse principio, isso acontece quando um vírus e responsável pelas alterações.
Autenticidade
É saber através de Registos apropriados quem teve acesso a tais informações, quem
realizou alterações/exclusões e acima de tudo, se possui autorização do responsável em
todas essas execuções.
Essa garantia pode ser realizada de diversas formas, um exemplo bastante pratico são os
códigos de confirmação que são enviados por email ao SMS, após inserir uma senha.
Temos como um exemplo autenticação biométrica e por senha para ter acesso a uma
sala. Esses são princípios básicos no que diz respeito a segurança no ambiente digital, e
auxiliam a empresa a estruturar os seus serviços e organização a fim de manter os dados
o mais seguro possível.
É a garantia do resguardo das informações dadas pessoalmente em confiança e
protecção contra a sua revelação não autorizada.
Confidencialidade
A confidencialidade é compreendida no domínio da segurança informática como a
protecção de dados e informações trocadas entre um emissor e um ou mais destinatários
contra terceiros. Isto deve ser feito independentemente da segurança do sistema de
comunicação utilizado: de fato, uma questão de grande interesse é o problema de
garantir o sigilo de comunicação utilizado quando o sistema é inerentemente inseguro
(como a Internet).
Em um sistema que garante a confidencialidade, caso um terceiro capture informações
trocadas entre o remetente e o destinatário, não será capaz de extrair qualquer conteúdo
inteligível.
Para garanti-la, utilizam-se mecanismos de criptografia e de ocultação de comunicação.
Digitalmente podem manter a confidencialidade de um documento com o uso de chaves
assimétricas. Os mecanismos de criptografia devem garantir a confidencialidade durante
o tempo necessário para a descodificação da mensagem. Por esta razão, é necessário
determinar quanto tempo a mensagem deve permanecer confidencial. Não existe
nenhum mecanismo de segurança absolutamente seguro.
Confidencialidade demonstrar ao usuário cliente a fidelidade e a boa qualidade da
informação com a qual ele estará trabalhando. Esse princípio engloba a protecção dos
dados dos usuários contra acessos não autorizados a fim de preservar a privacidade dos
mesmos, assim os dados somente podem ser acossados pelos seus usuários legítimos e
de mas pessoas autorizadas.
A confidencialidade não envolve somente dados do cliente, mas também a da própria
empresa, através de autenticações, restringindo o acesso somente a indivíduos que
saibam a senha ou tenha um nível de liberação para acessar tais dados.

Níveis de confidencialidade
Existem quatro tipos de Sistemas de Informação que podem ser aplicados por sectores e
áreas distintas em organizações:

 Operacional: Este tipo de processamento de transacções auxilia gerentes

operacionais, oferecendo respostas rápidas as questões de rotina da organização;

 Conhecimento: Atua nos Sistemas de Trabalhadores de Conhecimento e

Sistemas de Automação de Escritório, responsáveis por possibilitar a integração
de novas tecnologias e informações na empresa;
 Gerencial / Táctico: Se baseia no Sistema de Informações Gerenciais (SIG’s),
como no Sistema de Apoio a Decisão (SAD). A função é produzir relatórios
periódicos sobre procedimentos administrativos dos gerentes de uma indústria;
 Estratégico: Neste nível atua o Sistema de Apoio Executivo (SAEx). Ajuda os
executivos a criarem estratégias a longo prazo para acompanharem as tendências
do mercado.
Importância da segurança da informação para as empresas
Todos os dados das empresas, que vão desde informações a respeito dos produtos ou
serviços oferecidos, nomes e números de documentos particulares de funcionários e
gestores, facturamento, contabilidade, entre outros, estão disponíveis nos sistemas
utilizados. Como são muitas informações, inúmeros empreendedores já estão salvando
esses relatórios na nuvem. Assim, as informações passam a ser armazenadas na internet
e, caso a empresa não tenha uma boa segurança, é possível que ela sofra ataques
cibernéticos. Uma simples falha pode causar um enorme estrago, que vai desde a
exposição dos valores financeiros movimentados durante um período, até a perda de
clientes já que seus nomes e contactos estarão na base de dados e os hackers podem usá-
los para beneficiar a concorrência. Todas as informações são consideradas património
do negócio. Nesse sentido, é de extrema importância que sejam preservadas e mantidas
fora do alcance de pessoas que não façam parte da corporação, para evitar prejuízos e,
inclusive, danos à imagem da sua empresa.

Evolução histórica da auditoria aos sistemas de informação

Num trabalho onde o tema principal é a auditoria praticada em sistema de informação é

necessário antes de mais explicar e apresentar como surgiu a sua base, a auditoria
propriamente dita. A auditoria foi sofrendo várias alterações e desenvolvimentos
durante o desenrolar da evolução social que ocorreu no mundo, sendo que apenas na
segunda metade do século XIX é que a mesma foi adoptada pelas empresas, muito
devido á revolução industrial ocorrida na Grã-Bretanha. Com todas as alterações
sofridas pelas empresas, quer em termos de ferramentas de trabalho como na sua
génese, dado a própria denominação de empresa ter-se alterado assistindo-se ao
desenvolvimento das sociedades anónimas, os responsáveis pelas empresas não
conseguiam obter um controlo interno sobre as acções desenvolvidas e igualmente
manter o foco do seu trabalho de gestão, situação que levou a criação de técnicos
especializados em controlo e em contabilidade, que foram apelidados de auditores. O
crescimento desta prática deveu-se principalmente à colonização da América do Norte,
mais concretamente, Estados Unidos e Canada, por parte da Inglaterra, acontecimento
que permitiu um elevado desenvolvimento dos países em questão e ao aperfeiçoamento
da prática da auditoria.

Conceito de Auditoria de SI
O conceito atribuído á auditoria de S.I. não difere muito do atribuído á dita auditoria
tradicional.
Para Ron Weber (1999) define a auditoria a um S.I. como o processo de recolha e
avaliação de evidência para determinar se um sistema computorizado salvaguarda os
bens, mantem a integridade dos dados e permite atingir os objectivos da organização de
forma eficaz e eficiente. A definição que melhor demonstra o significado de uma
auditoria a um S.I e que melhor foca as principais características é da autoria da
Intevencion General de la Administración del Estado, uma entidade espanhola mais
conhecida como IGAE e que é responsável pela autoridade de auditoria na península
ibérica, em coordenação com a inspecção-geral das finanças de Portugal.

A auditoria informática foi desenvolvida muito por necessidade de controlar os

processos de registo e tratamento da totalidade das transacções das empresas como
também validar as demonstrações financeiras emitidas pelas mesmas, e para isso
ocorrer, foi necessário, segundo Ron Weber (1999) a utilização de quatro disciplinas
que juntas formaram a base de todo o processo:

Auditoria tradicional
Forneceu á auditoria informática o seu Know-how e experiência em avaliação de
controlos internos que foram utilizados para a elaboração dos seus próprios manuais de
auditoria assim como na elaboração de testes e controlos a utilizar nas plataformas
informáticas.

Gestões de sistemas de informação

Ao longo dos anos os investigadores preocuparam-se em definir qual a melhor maneira
de implementar um sistema de informação numa organização, e com a melhoria
alcançada nas técnicas de gestão de projectos, de registo de documentação, orçamentos
e outros esse mesmo objectivo foi alcançado.

 Ciências do comportamento

A utilização dos suportes informáticos por parte dos colaboradores da empresa podem
levar a falhas que os programadores não anteverão, como por exemplo a resistência das
pessoas com mais idade em trabalhar com este tipo de plataformas pode muitas vezes
culminar com erros considerados graves e que minam toda a informação dependente do
desenvolver dos seus trabalhos
Ciência informática
Esta ciência tanto produz benefícios para a empresa como também riscos, visto que
embora não seja necessário duvidar da fiabilidade dos dados provenientes dos
equipamentos informáticos, a verdade é que podem ser manipulados de maneira errada,
situação que o auditor pode ter dificuldade em descortinar.
Objectivos de uma Auditoria de Sistemas de Informação
Segundo Oliveira (2006:23), são objectivos de sistema de informação os seguintes:

 Verificar a existência de medidas de controlo interno aplicáveis, com carácter

generalizado, a qualquer sistema de informação da instituição, ente, organismo
ou qualquer outro objecto da auditoria;
 Avaliar a adequação do sistema de informação às directrizes básicas de uma boa
gestão informática;
 Oferecer uma descrição do sistema de informação com base nas suas
especificações funcionais e nos resultados que proporciona;
 Verificar se o sistema de informação cumpre os normativos legais aplicáveis;
 Verificar se a informação proporcionada pelo sistema de informação é fiável,
integra e precisa;
 Determinar se o sistema de informação atinge os objectivos para os quais foi
desenhado, de forma eficaz e eficiente;
 Propor as recomendações oportunas para que o sistema de informação se adapte
às directrizes consideradas como essenciais para o seu bom funcionamento;

Tipos de Auditoria a Sistemas de Informação

Segundo Oliveira (2006:23), existem 5 critérios com os quais a auditoria a sistemas de
informação pode ser diferenciada:

As auditorias permanentes são as que se realizam de uma forma bastante regular

durante um período específico, ou seja, durante um período definido decorrem diversas
vezes.

As auditorias ocasionais apenas têm lugar quando surge algum acontecimento que não
estava previsto. Só em casos de acções imprevistas, de forma a conseguir corrigir ou
mitigar o problema.

Por fim temos a auditoria de fim de exercício que é a prática mais comum em
Portugal, que consiste na verificação anual ou semestral que tem como finalidade
analisar e verificar se os resultados e informações apresentadas pela entidade espelham
o seu verdadeiro estado e se apresentam uma imagem real e apropriada do valor
financeiro da organização. Por fim as auditorias podem ser definidas com base na sua
extensão e profundidade, dividindo-se neste caso em integrais ou completas e por
provas ou sondagens.

Estrutura de uma auditoria a sistemas de informação em instituições financeiras

O processo de auditoria a sistemas de informação divide-se em quatro fases, todas elas

bastante importantes para o resultado final da mesma:

Planeamento da auditoria – Ponto em que é elaborada a estratégia a utilizar aquando

da verificação da instituição financeira, tudo com base no estudo da natureza da mesma,
nos objectivos e áreas mais importantes, no seu modo de funcionamento e em tudo o
que constitui a organização;

Validação do controlo interno – São elaborados testes, previamente definidos, para

proceder á avaliação e consequente validação dos controlos internos implementados
pela instituição;

Testes substantivos – Elaboração de testes no sentido de validar a informação

proveniente dos sistemas de informação, mas geralmente usados apenas na presença de
falhas na validação dos controlos internos da instituição;

Relatório final – Método de apresentação dos resultados alcançados na elaboração da

auditoria, uma maneira clara e bastante produtiva de apresentar os resultados.

Principais ameaças à segurança da informação

Você verá que os casos de falha na segurança da informação podem trazer grandes
problemas se não tratados com a devida importância. E pode acreditar, esses casos de
falha na segurança da informação são mais comuns do que você imagina.

Ataques direccionados: utilizam-se informações específicas sobre uma empresa e

técnicas de engenharia social para executar um cibar ataque. Essas informações podem
ser cruciais para os criminosos.
Ataques persistentes avançados: é um tipo de ameaça com foco na espionagem online
e essas tentativas de ataque só param quando o objectivo é alcançado.

As principais ameaças à segurança da informação são:

 Malware

 Ransomware

 Spyware

 Phishing

 DDoS

Malware
Malware é a abreviação das palavras em inglês: malicious software. E é o nome que se
dá para um tipo de programa desenvolvido para infectar computadores. Um Malware
pode causar grandes danos se infiltrando nos sistemas de uma empresa e conseguindo
acesso não autorizado a dados sensíveis, para isso ele precisa ser executado dentro do
computador, iniciando assim suas acções. Utilizador deve ter o cuidado com anexos de
email, pen-drives e links desconhecidos deve ser sempre observado. Malware é apenas o
nome que se dá a este tipo de arquivo ele pode trazer diversos tipos de ameaças
diferentes, de acordo com o objectivo do criminoso por trás de sua criação.

A grande parte das ameaças à segurança da informação que vamos falar aqui são tipos
de Malware onde temos os seguintes:

Ransomware
Ransomware é um dos exemplos de riscos de segurança da informação que mais cresce
nos últimos anos.Com Ransomware, hackers se apossam de informações dos
computadores da empresa sem apagar ou movê-los, apenas encriptando todos os seus
dados. Dessa forma você perde acesso aos dados das máquinas atingidas. Esse tipo de
ataque à segurança da informação vem seguido de extorsão, na qual os hackers pedem
um pagamento, em bitcoin, em troca da chave que libera os arquivos.
O melhor caminho, ao invés de pagar aos hackers, é contratar o serviço de empresas de
segurança da informação para que eles possam tentar trazer seus arquivos de volta e
mesmo evitar que eles sejam roubados.

Spyware
Como o próprio nome sugere, o Spyware se encarrega de espionar as actividades de um
sistema. Ou Seja informações de acesso, tráfego de rede e qualquer outro tipo de
informações digitadas ou armazenadas nos computadores de sua empresa. É de extrema
importância que sua empresa tenha sistemas de seguranças que se encarreguem de
minimizar os casos de falha na segurança da informação, para que seus dados não caiam
em mãos erradas.

Em segurança da informação, é muito comum usar o termo minimizar quando se fala

em riscos de ataques à segurança da informação, ao invés falar em evitar. O motivo é a
constante descoberta por brechas de segurança, que é agravada pela evolução da
tecnologia que acaba por trazer também novas falhas de segurança.

Phishing
Phishing é a forma que os hackers usam para enganar os usuários de um sistema ou
serviço, a fim de ter acesso a informações confidenciais como logins, senhas e
informações de cartões de crédito. Este tipo de ataque usa falsos sites que imitam o site
oficial do serviço que eles querem obter as informações, e confunde os usuários fazendo
com que eles entreguem suas informações confidenciais.

Temos como exemplo: já deve ter recebido um email, SMS falso se passando por
algum serviço como um banco, ou empresas em promoções.

DDOS

Os DDOS (Danial of services) que significa negação de serviços os ataques à segurança

da informação por DDoS têm o objectivo de derrubar os serviços de uma máquina ou
rede. Estes tipos ataques DDoS funcionam enviando uma grande quantidade de acessos
simultâneos até que o sistema não aguente e saia do ar.

Vulnerabilidade de sistema de informação

De acordo com a ISO 27000, a ISO da segurança da informação Vulnerabilidade de
sistema de informação é uma fraqueza de um activo que poderia ser potencialmente
explorada por uma ou mais ameaças. O elemento humano é o elo mais fraco em muitas
arquitecturas de segurança cibernética.

Vulnerabilidade de hardware
Quando o armazenamento de informação é realizado de forma física, é preciso levar em
conta que o aparelho está sujeito a certas vulnerabilidades. Uma delas é o acesso por
pessoas indevidas, que possam invadir o computador em questão.

Para evitar esse problema, o ideal é ter uma sala de acesso restrito onde esses
computadores sejam operados. Porém, além de levar em consideração essa questão, há a
própria infra-estrutura tecnológica. Os computadores precisam ser bem conservados
para evitar deteriorações de estrutura. Da mesma forma, é preciso estar atento a
hardwares mal instalados e defeitos de fabricação. Qualquer defeito dessa natureza pode
abrir brecha ao acesso por invasores, então, é muito importante ter certeza de que os
equipamentos estão funcionando tranquilamente.

Vulnerabilidade de código e criptografia

Esse já é um problema mais relacionado ao software do que ao hardware. A elaboração
do código de um app ou software é o primeiro passo para garantir que não haverá
ameaças à segurança da informação. Se um código for mal elaborado ou cheio de
brechas, fica muito mais fácil de ser invadido ou de ele próprio gerar problemas para a
tecnologia de informação.

Isso é particularmente importante com dados que ficam salvos na nuvem. É preciso
investir em bons códigos de protecção, firewalls e medidas que restrinjam o acesso. Por
isso, além de um código que cubra todos os detalhes, é de extrema importância
criptografar as informações. Essa é uma medida de segurança extra que o protegerá
contra essa vulnerabilidade em particular.

Vulnerabilidade humana
Sem hardwares e softwares envolvidos, ainda há a questão dos erros humanos para
levar em consideração. Muitas vezes, isso pode acontecer até mesmo de forma não
intencional, mas é uma vulnerabilidade que deve ser levada em consideração. Isso
envolve o compartilhamento de informações sigilosas com terceiros, por exemplo, o
acesso a links maliciosos dentro do computador da empresa.

Principalmente, um trabalho de conscientização. É preciso que você deixe seus

colaboradores cientes da importância da segurança dessas informações. E é necessário,
a protecção às informações podem ser colocadas em contrato.

A principal maneira de evitar os ataques à segurança de informação é a prevenção. Por

tanto, você precisa contar com apps e softwares de monitoramento, e também de
protecção aos seus dados.
Conclusão
Depois de termos feito o trabalho em causa concluímos que o sistema de informação é
fundamental para salvaguardar diversas informações que não podem mensurados pelos
terceiros. Também que o individuo compartilhe seus dados com que desejar sem
insegurança de invasão a privacidade. Sem hardwares e softwares envolvidos, ainda há
a questão dos erros humanos para levar em consideração. Muitas vezes, isso pode
acontecer até mesmo de forma não intencional, mas é uma vulnerabilidade que deve ser
levada em consideração. Há necessidade de investir em bons códigos de protecção,
firewalls e medidas que restrinjam o acesso. Por isso, além de um código que cubra
todos os detalhes, é de extrema importância criptografar as informações. Essa é uma
medida de segurança extra que o protegerá contra imensas vulnerabilidades do sistema
de informação. Os casos de falha na segurança da informação podem trazer grandes
problemas se não tratados com a devida importância. E pode acreditar, esses casos de
falha na segurança da informação são mais comuns do que se imagina.
Referencias Bibliográficas