Proposta de Uso de Mecanismos de Defesa Contra Ameaças À Segurança Da Informação para A Empresa KM-Services No Município de Luanda, Província de Luanda

REPÚBLICA DE ANGOLA
MINISTÉRIO DO ENSINO SUPERIOR, CIÊNCIA, TECNOLOGIA E INOVAÇÃO

INSTITUTO SUPERIOR POLITÉCNICO DE NDALATANDO
DEPARTAMENTO DE ENSINO E INVESTIGAÇÃO DE ENGENHARIAS E
TELECOMUNICAÇÕES
Proposta de uso de Mecanismos de Defesa contra Ameaças à

Segurança da Informação para a Empresa KM-Services no
Município de Luanda, Província de Luanda
Monografia de Licenciatura em Informática de Gestão
Autor: Diakuako Diombo Paulo, 11871.
Orientador: PhD. Cristóvão João Zua
Ndalatanto, Agosto de 2022

INSTITUTO SUPERIOR POLITÉCNICO DE NDALATANDO
DEPARTAMENTO DE ENSINO E INVESTIGAÇÃO DE ENGENHARIAS E
TELECOMUNICAÇÕES

Autor: Diakuako Diombo Paulo, 11871.
Trabalho de Monografia de Licenciatura

apresentado ao Instituto Superior Politécnico de
Ndalatando como parte dos requisitos para
obtenção do grau académico de Licenciado em
Informática de Gestão.
Orientador: PhD. Cristóvão João Zua
Ndalatanto, Agosto de 2022

DIAKUAKO DIOMBO PAULO

Trabalho de Monografia apresentado ao Instituto Superior Politécnico de Ndalatando como

requisito para obtenção do grau de Licenciado em Informática de Gestão.
COMISSÃO DE JÚRI
_______________________________________
(Presidente)
_______________________________________
(1º Vogal)
___________________________________________
(2º Vogal)
NDALATANDO AOS QUINZE DE AGOSTO DE DOIS MIL E VINTE DOIS

Eu, Diakuako Diombo Paulo, dedico este
trabalho aos meus queridos pais que de
forma incondicional, tudo fizeram para a
conclusão desta etapa da minha formação
e sem esquecer o apoio dado pelos
colegas durante todo o processo de
formação.
I
Agradecimento
Primordialmente, agradeço ao supremo criador de todas as coisas, pelo fôlego de vida e pela
capacidade que me concedeu para culminar este trabalho.
Nada seria possível sem a transmissão de conhecimento por parte de algumas pessoas muito
especiais na minha vida académica, que sempre deram-me conselhos que muito contribuíram
para a minha formação académico, aos professores e ao orientador vai o meu estendido muito
obrigado.
À toda minha família, em especial aos meus pais e a todos que não citei também vai o meu
muito obrigado.
II
Epígrafe
"O valor não está na forma como você

conquista, mas sim na habilidade de
manter o que você conquistou".
(Amir Klink).
III
Resumo
O presente trabalho tem como objectivo propor o uso de Mecanismos de Defesa contra
Ameaças à Segurança da Informação para a Empresa KM-Services no Município de Luanda,
Província de Luanda. A segurança da informação é fundamental para assegurar o bom
funcionamento dos sistemas, bem como as redes de comunicação que os interliga, elas obtida
a partir da implementação de mecanismos de segurança, que podem ser métodos, técnicas,
procedimentos e ferramentas tecnológicas que ajudam a reduzir as ameaças que possam
explorar vulnerabilidades de forma intencional ou acidental, para obter, danificar ou destruir
as informações e os seus activos. O inquérito dirigido aos funcionários permitiu obter
resultados que atestam a hipótese da investigação. Dentre os funcionários inquiridos, cerca de
72% afirmam que o uso de mecanismos de segurança na empresa KM-Services é importante.
Quanto ao uso de ferramentas de criptografia dos 13 funcionários inquiridos 85% que
corresponde a 11 funcionários afirmam que esta solução ajudará a reduzir a perda e a
alteração não autorizada de documentos na empresa. Verificou-se também que 77% dos
funcionários dizem que uso de mecanismos de segurança não dificultaria a realização das
actividades de tradução e interpretação de documentos na empresa. O estudo mostrou que os
mecanismos de segurança asseguram a redução e eliminação de potenciais vulnerabilidades e
ameaças que podem causar danos às informações, activos de informação, desta feita, torna-se
possível minimizar os danos e maximizar o retorno dos investimentos e oportunidades de
negócios.
Palavras-chave: Segurança da Informação, Informação, Mecanismos de Segurança.
IV
Abstrat
The present work aims to propose the use of Defense Mechanisms against Threats to
Information Security for KM-Services Company in the Municipality of Luanda, Province of
Luanda. Information security is essential to ensure the proper functioning of systems, as well
as the communication networks that interconnect them, obtained from the implementation of
security mechanisms, which can be methods, techniques, procedures and technological tools
that help to reduce threats that may intentionally or accidentally exploit vulnerabilities to
obtain, damage or destroy information and its assets. The survey aimed at employees allowed
to obtain results that attest to the hypothesis of the investigation. Among the employees
surveyed, about 72% say that the use of security mechanisms in the company KM-Services is
important. Regarding the use of encryption tools by the 13 employees surveyed, 85%, which
corresponds to 11 employees, say that this solution will help reduce the loss and unauthorized
alteration of documents in the company. It was also verified that 77% of the employees say
that the use of security mechanisms would not make it difficult to carry out the translation and
interpretation of documents in the company. The study showed that security mechanisms
ensure the reduction and elimination of potential vulnerabilities and threats that can cause
damage to information, information assets, in this way, it becomes possible to minimize
damage and maximize the return on investments and business opportunities.
Key-words: Information Security, Information, Security Mechanisms.
V
Lista de Figuras
Figura 1 - Ciclo da Segurança da informação .......................................................................... 11
Figura 2 - Estrutura orgânica da empresa ................................................................................. 31
Figura 3 - Infraestrutura de rede da empresa ............................................................................ 31
VI
Lista de Abreviaturas e Siglas
CD-ROM - Compact Disc Read Only Memory / Memória somente leitura de disco compacto.
CID - Confidencialidade, Integridade e Disponibilidade.
CPU - Central Processing Unit / Unidade Central de Processamento.
EFS - Encrypting File System / Sistema de Arquivos com Criptografia.
IDS - Intrusion Detection System / Sistema de Detecção de Intrusão.
ISP - Internet Service Provider / Provedor de Serviço Internet.
LAN - Local Area Network / Rede Local de Computadores.
MIREX - Ministério das Relações Exteriores.
SSL - Secure Sockets Layer / Camada de Soquete Seguro.
TI - Tecnologia de Informação.
TICs - Tecnologias de informação e comunicação.
SSD - Solid State Drives / Unidade de Estado Sólido.
VPN - Redes Privadas Virtual / Virtual Private Networks.
WAN - Wide Area Network / Rede de Longa Distância.
VII
Lista de Gráficos
Gráfico 1 - Respostas obtidas na primeira questão dirigida aos funcionários .......................... 34
Gráfico 2 - Respostas obtidas na segunda questão dirigida aos funcionários .......................... 34
Gráfico 3 - Respostas obtidas na terceira questão dirigida aos funcionários ........................... 35
VIII
ÍNDICE
INTRODUÇÃO .......................................................................................................................... 1
CAPÍTULO 1. NOÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO ......................... 6
1.1 Dados e Informação ..................................................................................................... 6
1.1.1 Dados .................................................................................................................... 6
1.1.2 Informação ............................................................................................................ 6
1.2 Activos de Informação ................................................................................................. 7
1.3 Classificação da Informação ........................................................................................ 7
1.4 Ciclo de vida da Informação ........................................................................................ 8
1.5 Segurança da Informação ............................................................................................. 9
1.5.1 Conceitos Chaves ................................................................................................. 9
1.5.2 Segurança Física ................................................................................................... 9
1.5.3 Segurança Lógica ............................................................................................... 10
1.5.4 Ciclo da Segurança da Informação ..................................................................... 11
1.5.5 Importância da Segurança da Informação .......................................................... 11
1.6 Princípios da Segurança da Informação ..................................................................... 12
1.6.1 Confidencialidade ............................................................................................... 12
1.6.2 Integridade .......................................................................................................... 12
1.6.3 Disponibilidade................................................................................................... 13
1.7 Problemas de Segurança da Informação .................................................................... 13
1.7.1 Vulnerabilidades ................................................................................................. 14
1.7.2 Ameaças.............................................................................................................. 14
1.7.3 Riscos ................................................................................................................. 15
1.8 Tipos de Malware ...................................................................................................... 16
CAPÍTULO 2. MECANISMOS DE SEGURANÇA ............................................................... 19
2.1 Conceitos ................................................................................................................... 19
2.2 Medidas de Segurança ............................................................................................... 19
2.3 Mecanismos de Acesso Lógico .................................................................................. 20
2.3.1 Autenticação ....................................................................................................... 20
2.3.2 Antivírus ............................................................................................................. 21
2.3.3 Anti-malware ...................................................................................................... 22
2.3.4 Controlo do Acesso Lógico ................................................................................ 22
2.3.5 Criptografia......................................................................................................... 22
2.4 Mecanismos de Gerência ........................................................................................... 24
2.4.1 Plano de Continuidade dos Negócios ................................................................. 24
2.4.2 Backups .............................................................................................................. 25
2.4.3 Actualizações de Software.................................................................................. 25
2.5 Mecanismos de Tráfego de Rede ............................................................................... 26
2.5.1 Firewall ............................................................................................................... 26
2.5.2 IDS ...................................................................................................................... 27
2.5.3 VPN .................................................................................................................... 28
2.5.4 SSL ..................................................................................................................... 29
CAPÍTULO 3. RESULTADOS E DISCUSSÃO ..................................................................... 30
3.1 Caracterização da Entidade ........................................................................................ 30
3.1.1 Papel da Empresa KM-Services ............................................................................. 30
3.1.2 Visão....................................................................................................................... 30
3.1.3 Missão .................................................................................................................... 30
3.1.4 Princípios e Valores ............................................................................................... 30
3.1.5 Localização............................................................................................................. 30
3.1.6 Estrutura Orgânica.................................................................................................. 31
3.1.7 Rede de Computadores da Instituição .................................................................... 31
3.2 Fontes e dificuldades ................................................................................................. 32
3.2.1 Fontes ................................................................................................................. 32
3.2.2 Dificuldades ........................................................................................................ 32
3.3 Teste de usabilidade ................................................................................................... 32
3.4 Análise e interpretação dos resultados ....................................................................... 32
3.4.1 Questões dirigidas ao Director da Empresa ........................................................ 33
3.4.2 Questões dirigidas aos Funcionários da Empresa .............................................. 33
Conclusão ................................................................................................................................. 36
Sugestões .................................................................................................................................. 37
Referências Bibliográficas ........................................................................................................ 38
Apêndices ................................................................................................................................. 41
INTRODUÇÃO
O presente trabalho tem como tema "Proposta de uso de Mecanismos de Defesa contra
Província de Luanda".
Segundo Carvalho (2017), algumas décadas atrás viveu-se a era da agricultura, a sociedade
evoluiu para a era industrial e actualmente vivencia-se a era do conhecimento, o que
aumentou o grau de importância das informações. Antes as empresas utilizavam papéis para
registar as informações, os documentos eram armazenados em pastas e guardados em
armários, porém, com o advento dos computadores, a tecnologia chegou nas empresas com o
objectivo de melhorar os processos de trabalho.
Logo para Zanella (2017), o surgimento das tecnologias de informação e comunicação,

impulsionou a evolução do processo de troca de informação de uma maneira muito rápida, por
conseguinte, essa facilidade na comunicação mundial gerou um problema, o acesso indevido
às informações digitais.
Diante deste facto, a segurança da informação passou a ser um assunto muito abordado nos
últimos tempos e tem sido, mais do que nunca, um tema bastante pertinente para as empresas,
visto que (Júnior & Santos, 2012, p. 10) “a informação é um elemento importante no processo
de tomada de decisões”, por esse motivo, precisa ser devidamente protegida, pois com a
expansão da tecnologia, as informações estão cada vez mais expostas a vulnerabilidades e
ameaças.
A segurança da informação tem deixado de ser tratada meramente como um assunto técnico
da área de informática, e vem sendo considerada uma real necessidade nas empresas, logo, o
uso de mecanismos de segurança tornou-se fundamental para a redução de situações
prejudiciais como o acesso e o uso indevido das informações, o que pode ser o suficiente para
garantir a protecção das informações, minimizando os danos e maximizando o retorno dos
investimentos e oportunidades de negócios.
1
Situação problemática
A KM-Services é uma empresa prestadora de serviços de tradução e interpretação de

documentos, utiliza uma rede local de computadores apenas de conexão à Internet para
realizar as suas actividades empresariais. Apesar desta vantagem tecnológica, a perda e a
alteração não autorizada de documentos armazenados nos computadores tem sido recorrente,
o que consequentemente causa a perda das informações contidas nestes documentos.
Alguns documentos traduzidos, no momento de serem impressos e entregues aos clientes, não
são encontrados e outros chegam a conter informações incertas. Este cenário fragilizou a
relação entre a empresa e a sua clientela, motivando alguns clientes a não voltar a confiar e
solicitar os serviços prestados pela KM-Services, pondo em risco a continuidade dos negócios
e a existência da empresa.
De acordo as dificuldades acima expostas, a presente investigação tenciona dar resposta ao

seguinte problema científico:
Quais mecanismos de segurança a empresa KM-Services pode adoptar para impedir a perda e
a alteração não autorizada de documentos?
Objecto de investigação
Segurança da Informação.
Campo de investigação
Mecanismos de Segurança.
Hipótese do estudo
O uso de ferramentas de criptografia vai reduzir a perda e a alteração não autorizada de

documentos, garantindo que somente o administrador da rede ou o utilizador que encriptou
um determinado documento tenham acesso ao ficheiro.
Objectivo Geral
Propor o uso de Mecanismos de Defesa contra Ameaças à Segurança da Informação para a

Empresa KM-Services no Município de Luanda, Província de Luanda.
2
Objectivos específicos
 Apresentar teorias sobre a segurança da informação;

 Descrever os diversos tipos mecanismos de segurança existentes;
 Elaborar sugestões de mecanismos de segurança a serem usados pela empresa KM-
Services.
Metodologia
Na presente investigação, optou-se pela utilização da metodologia de triangulação. A

triangulação é o conjunto de duas metodologias, isto é, a quantitativa e a qualitativa.
Segundo Silva e Meneses (2005), a metodologia quantitativa considera que tudo pode ser
quantificável, e visa traduzir em números as opiniões e informações que as pessoas de uma
determinada população compartilham, para analisá-las e explicá-las através de técnicas
estatísticas.
Diferente da metodologia quantitativa, a metodologia qualitativa na perspectiva de Gerhardt e

Silveira (2009), “preocupa-se em entender profundamente o fenómeno em estudo de forma
não quantificável e exprimir o que convém ser feito para a resolução de um determinado
problema científico”.
Método
Durante a realização deste estudo foi empregue o método dedutivo, conceituado como o
método que parte de uma ordem de ideias gerais, devidamente reconhecidas como verdadeiras
e, a seguir, chega a conclusões particulares em virtude única da sua lógica.
Técnicas
A observação é uma técnica de colecta de dados para conseguir informações e utiliza os
sentidos na obtenção de determinados aspectos da realidade. Não consiste apenas em ver e
ouvir, mas também em examinar factos ou fenómenos que se desejam estudar.
Podemos definir questionário como a técnica de investigação composta por um conjunto de

questões submetidas às pessoas com o propósito de obter informações sobre conhecimentos,
crenças, sentimentos, valores, interesses, expectativas, aspirações, temores, comportamento
presente ou passado, etc.
3
Resultados esperados
A utilização de mecanismos de segurança da informação permitirá a KM-Services proteger as

informações dos seus clientes contra o acesso não autorizado ou uso prejudicial, fazendo com
que os clientes passem a ter mais confiança nos serviços que lhes são prestados, o que ajudará
a empresa a construir relações de negócios mais sólidas e duradouras.
Relevância social
O estudo realizado vai incentivar a KM-Services e outras empresas que manipulam,

armazenam e compartilham informações digitais, a salvaguardar a reputação e o bem-estar
dos seus clientes e parceiros de negócios, de modo a proteger as suas informações contra o
acesso e uso indevido por parte de pessoas descuidadas ou mal intencionadas.
Valor teórico/ metodológico
O estudo possui um elevado valor teórico e metodológico, sendo que o mesmo servirá de
material de consulta para futuras investigações, o leitor vai puder conhecer as mais eficientes
maneiras de proteger os activos de informação contra ameaças, quer a nível individual como a
nível empresarial, contra indivíduos conhecidos ou desconhecidos, que de forma intencional
ou não, tentam corromper, adquirir, recuperar ou utilizar indevidamente as informações.
Actualidade e novidade
Poucos trabalhos de fim do curso já defendidos, pertencentes ao curso Informática de Gestão,

tiveram como objecto de investigação a Segurança da Informação, mesmo fazendo parte das
linhas de investigação do curso em questão. Portanto, esta realidade influenciou-me a realizar
uma investigação do referido objecto de investigação, pois a pretensão é incentivar os
estudantes do curso de Informática de Gestão, que tencionam defender a licenciatura, a
explorar outras linhas de investigação para os seus trabalhos de fim do curso e,
consequentemente, diversificar as suas habilidades, no que tange as tecnologias de informação
e comunicação.
Estrutura do trabalho
Este trabalho foi desenvolvido em forma de capítulos, com o intuito de torná-lo mais
organizado e, assim facilitar a leitura e compreensão do tema abordado, onde:
O Capítulo 1 – Noções gerais de segurança da informação: apresenta quadro teórico, que

descreve os termos e conceitos de segurança da informação, os problemas de segurança da
4
informação, bem como os princípios da segurança da informação e os malwares mais comuns
que afectam as redes de dados e os dispositivos de computação;
O Capítulo 2 – Mecanismos de segurança: refere-se aos diversos tipos de mecanismos de

segurança da informação existentes que podem ser adoptados para assegurar a protecção das
informações e dos seus activos.
Por fim, o Capítulo 3 – Resultados e discussão: descreve o universo e a amostra da pesquisa, a

análise e interpretação dos resultados, considerações finais, sugestões e apresentações das
referências bibliográficas.
5
CAPÍTULO 1. NOÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO
No capítulo ora exposto apresentam-se os fundamentos da segurança da informação, desde os

conceitos sobre dados e informação, conceitos chaves sobre a segurança da informação, sua
importância, princípios e problemas de segurança da informação, bem como os principais
malware que afectam as informações.
1.1 Dados e Informação
1.1.1 Dados
Muitas vezes ocorre uma confusão entre dados e informação, e ainda são comuns os casos em
que se acredita que ambos os conceitos são iguais. Ressalta-se que dados são conceitos que
não levam ao alcance de uma compreensão. Cada palavra inserida num sistema é um dado,
porém, os dados só fazem sentido quando são agrupados e podem ser analisados como
informação, (Perini, 2011, p. 12).
Conforme Perez (2018, p. 4), “dados correspondem a um atributo, uma característica, uma
propriedade de um objecto que, sozinho, sem um contexto, não tem significado”.
Pode-se entender que dados são elementos quaisquer soltos, não conectados e, que por si só,
não conduzem a compreensão de um determinado facto ou situação.
1.1.2 Informação
Segundo Novo (2010, p. 27), “informação é um conjunto de dados, ao qual se atribui valor,
utilidade ou interpretação, que pode representar um grande diferencial para os seus
detentores”.
Na perspectiva de Perez (2018, p. 4), “informação são os dados, presentes num contexto,
carregados de significados e entregues à pessoa adequada”.
Para Fontes (2006, p. 2), “informação é um recurso com valor para a organização e deve ser
bem gerida e utilizada, garantindo que ela esteja a ser disponibilizada apenas para as pessoas
que precisam dela para o desempenho das suas actividades profissionais”.
Podemos então dizer que a informação é um conjunto de dados, presentes num contexto e
carregados de significados, que, como qualquer outro activo importante no quotidiano das
pessoas e organizações, possui um valor mensurável, por isso, precisa ser protegida de forma
adequada.
6
1.2 Activos de Informação
Qualquer coisa que tenha valor para um indivíduo ou uma organização, tal como: a
informação imprensa ou digital, o hardware do computador, equipamento de rede, software,
habilidade de produzir um produto ou fornecer um serviço é chamado activo.
É habitual a ideia de que apenas a informação constitui um activo, no sentido de ser bem
valorizado e preservado. Entretanto, o foco deste trabalho vai mais além, não dando
importância somente para as informações, mas também, para os activos de informação, que de
acordo com Marciano (2006, p. 46) “compreendem o conjunto de indivíduos, componentes
tecnológicos e processos envolvidos em alguma das etapas do ciclo de vida da informação”.
É comum dar-se especial atenção para as informações, considerando desprezíveis os demais

activos, por serem de baixo custo ou abundante, mas quanto mais intensa for a participação de
um activo no ciclo de vida da informação, maior é o grau de segurança que lhe deve ser
atribuído. Deste modo, pessoas, sistemas, equipamentos e os próprios fluxos de circulação das
informações, devem ser considerados importantes no processo de planificação da segurança
da informação.
1.3 Classificação da Informação
A classificação da informação é uma maneira de assegurar que a informação receba

tratamento e protecção adequada, aplicando-lhe um nível de protecção equivalente ao seu
custo e importância que tem para a continuidade dos negócios de uma empresa.
Conforme Tsunoda (2003, p. 4) “toda categoria de documento de uma corporação, deve exibir
de maneira clara, o respectivo grau de acessibilidade, ou seja, o seu grau de sigilo, o que
requer classificar todas as informações segundo o seu grau de criticidade”.
De acordo com Spanceski (2004, pp. 19-20), “a classificação mais comum actualmente é
aquela dividida em quatro níveis: secreta, confidencial, interna e pública”. O autor
anteriormente citado, conceituou os quatro níveis da seguinte maneira:
 Secreta: estas informações devem ser acessadas por um número restrito de pessoas e o
controlo sobre tais informações deve ser total. São informações essenciais para a
empresa, portanto, a sua integridade deve ser preservada. O acesso interno ou externo
por pessoas não autorizadas a essa categoria de informação é extremamente crítico
para a instituição.
7
 Confidencial: estas informações devem ficar restritas ao ambiente da empresa, o
acesso a essas informações é feito segundo a sua estrita necessidade, ou seja, os
utilizadores só podem acessá-las se estes forem fundamentais para o desempenho
satisfatório das suas funções na instituição. O acesso não autorizado há estas
informações podem causar danos financeiros ou perdas da fatia do mercado para o
concorrente.
 Interna: essas informações não devem sair do âmbito da instituição, porém, se isto
ocorrer as consequências não serão críticas, no entanto, podem denegrir a imagem da
instituição ou causar prejuízos indirectos não desejáveis.
 Públicas: informações que podem ser divulgadas para o público, incluindo clientes,
fornecedores, imprensa, não possuem restrições para divulgação.
1.4 Ciclo de vida da Informação
Segundo o Manoel (2014, p. p2), “as informações devem ser protegidas durante todo o seu
ciclo de vida”. De acordo com o autor acima exposto, as etapas do ciclo de vida das
informações são as seguintes:
 Elaboração: momento quando a informação é produzida;

 Manuseio: a informação é manipulada, como, por exemplo, num banco de dados,
anotações no papel ou ficheiro digital;
 Armazenamento: é onde a informação é guardada, seja em servidor, banco de dados
ou em um CD-ROM depositado dentro de uma gaveta com chave;
 Transporte: momento quando a informação é conduzida ou transportada, como, por
exemplo, seja por um dispositivo de armazenamento externo, correio electrónico, no
diálogo entre pessoas ou imprensa em papel;
 Descarte: é o momento quando a informação é descartada, excluída ou inutilizada,
como, por exemplo, quando um registo, um ficheiro electrónico é excluído.
Em cada etapa do ciclo de vida da informação deve-se garantir as três principais propriedades
da informação, nomeadamente, a confidencialidade, integridade e disponibilidade, além dos
aspectos, autenticidade e a legalidade, que complementam as principais propriedades.
Todavia Manoel (2014, p. 4), alerta-nos o seguinte: “se uma das principais propriedades for
desrespeitada em alguma etapa do ciclo de vida da informação, isso significa uma quebra da
segurança da informação”.
8
1.5 Segurança da Informação
A Segurança da Informação é um tema bastante discutido não somente nas salas de aula,
como também por profissionais de TI e pelas organizações, por tratar-se de assegurar a
protecção das informações, tanto pessoais como organizacionais, que uma vez lidas ou até
mesmo distribuídas, poderão ocasionar transtornos à vítima.
1.5.1 Conceitos Chaves
A segurança pode ser considerada, de forma geral, como o estado, qualidade ou condição de
quem, ou do que está livre de perigos, incertezas, assegurado de danos e riscos eventuais.
Na visão de Alves (2006, p. 15), a segurança da informação “visa proteger a informação para
garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos
investimentos e as oportunidades de negócios”.
Logo para Fontes (2006, p. 172), “segurança da informação é o conjunto de orientações,

normas, procedimentos, políticas e demais acções que têm por objectivo proteger o recurso
informação, possibilitando que o negócio da organização seja realizado, e a sua missão seja
alcançada”.
Na perspectiva de Valcy (2013, p. 2), a segurança da informação é o “processo de protecção

das informações contra uma vasta gama de ameaças que podem explorar vulnerabilidades dos
activos de informação”.
Sêmola (2003, p. 160), conceitua a segurança da informação como “a área do conhecimento

dedicada à protecção das informações e dos seus activos contra acessos não autorizados,
alterações indevidas ou a sua indisponibilidade”.
Baseando-se nos conceitos acima citados, podemos definir a segurança da informação como o
ramo fundamental do saber, que visa proteger as pessoas e organizações contra uma vasta
gama de ameaças capazes de explorar as vulnerabilidades nos activos de informação, afim de
acessar e utilizar indevidamente as informações.
1.5.2 Segurança Física
Segundo Silva, Carvalho e Torres (2003), o ambiente físico onde a empresa opera pode
constituir um dos mais importantes elementos no que diz respeito à salvaguarda das
informações. A escolha errada da localização e da sua divisão interna, contribui
decisivamente para a construção de ambientes não seguros, estes erros são fruto do
9
condicionamento do espaço e aplicação de estratégias de protecção física inadequadas, que
podem fragilizar a capacidade de protecção da informação.
Na perspectiva de Silva (2006), a segurança física “refere-se aos procedimentos de controlo e

aos mecanismos de segurança das redes de processamento de dados, bem como os meios de
acesso remoto, executados para preservar o hardware e os meios de armazenamento de
dados”.
Também podemos conceituar a segurança física como a aplicação de barreiras físicas que
servem para restringir o acesso directo à informação ou infraestrutura, para garantir a
existência da informação e os meios que as suportam.
Na perspectiva de Silva (2006), a classificação da segurança física é a seguinte:
 A segurança do pessoal é um aspecto muito importante dado que são as pessoas que
interagem diariamente com os sistemas, têm acesso às informações contidas nos
sistemas, muitas vezes essas pessoas são tidas como as principais ameaças, por isso, é
importante que o funcionário após ser contratado, receba um treino adequado sobre os
seus deveres na empresa, o que contribui para a redução de ameaças e erros
provocados pelo pessoal da organização.
 A segurança dos equipamentos visa a protecção do hardware computacional e outros
equipamentos, as interligações e fornecimento de energia. Ao elaborar-se as
directrizes de segurança de uma empresa, não deve ser considerada somente a
localização e disposição física dos equipamentos, mas também a protecção contra
acessos não autorizados, a salvaguarda e descartes de ficheiros, manutenção e
aquisição de novos equipamentos, além da cablagem e toda a infraestrutura utilizada.
 A segurança das instalações permite garantir uma segurança adequada a localização
e a estrutura das instalações de equipamentos informáticos, considerando o conjunto
de normas internacionalmente estipuladas para a localização de uma instalação
informática, estes devem ficar em lugares adequados para ir em consonância com a
própria palavra segurança.
1.5.3 Segurança Lógica
De acordo com Sousa (2006, p. 54), a segurança lógica “envolve aspectos de prevenção
contra interceptação e modificação de informações, sigilo no tráfego dos dados na rede,
alterações de softwares, acessos não autorizados à informação e os demais aspectos
relacionados ao acesso e a manipulação de informações digitais”.
10
Segundo Santos (2007, p. 5), a segurança lógica “visa proteger as informações, com a
finalidade de impedir a alteração, divulgação ou destruição das informações, seja ela
intencional ou não, dando maior atenção à criação e utilização de senhas”.
A segurança lógica assenta no controlo das autorizações para o acesso aos recursos humanos,
na identificação e autenticação das informações e dados na rede. Ela assegura que cada
utilizador trabalhe sem modificar nem os programas, nem os ficheiros que não correspondem
aos seus domínios de trabalho.
1.5.4 Ciclo da Segurança da Informação
Segundo Novo (2010), o ciclo da segurança da informação “é um processo que obedece a

uma série de actividades encadeadas, onde o resultado de um passo é o valor de entrada do
passo seguinte, em que as vulnerabilidades são pontos fracos que permitem o surgimento de
ameaças. As ameaças no que lhe concerne são tudo aquilo que pode explorar um ponto fraco.
Já o risco é o grau de exposição à ameaça. Os impactos são os prejuízos potenciais e as
medidas de segurança buscam minimizar esses problemas.
Figura 1 - Ciclo da Segurança da informação
1.5.5 Importância da Segurança da Informação
De acordo as pesquisas de Drago (2004), desde o surgimento das Tics, a segurança da

informação passou a ter uma grande importância para as empresas que utilizam as redes de
comunicação de dados nos seus processos diários de tomada de decisão, tornando-se num
elemento chave que envolve aspectos técnicos, humanos e organizacionais, fundamentais para
a definição e existência de uma política efectiva de protecção das informações.
11
Todavia, Drago(2004, p. 1), reforça a sua ideia, dizendo que a segurança da informação tem
deixado de ser tratada meramente como um assunto técnico da área de informática, e vem
sendo considerada uma real necessidade nas organizações, visto que a informação é um dos
activos mais valioso de uma empresa e, em função desta realidade, a segurança passou a ser
um requisito estratégico, que interfere na capacidade das organizações de realizarem negócios
e no valor dos seus produtos e serviços no mercado.
Seguindo o raciocínio supracitado, a realização dos trabalhos que levam à implementação da

prática de segurança da informação na organização, deve partir da consciencialização dos
funcionários, colaboradores, fornecedores e principalmente dos gestores, para que entendam a
importância e a necessidade do engajamento de todos com a prática efectiva da segurança da
informação.
1.6 Princípios da Segurança da Informação
Segundo Abreu (2011), a protecção da informação é vital para o bom funcionamento de uma
empresa, no campo da segurança da informação ela é caracterizada pela trilogia CID, ou seja,
confidencialidade, integridade e disponibilidade, que são as três principais propriedades da
segurança da informação. Nos três subtítulos abaixo encontram-se a descrição da tríade CID
feita pelo referido autor.
1.6.1 Confidencialidade
Outro nome para confidencialidade seria privacidade. As políticas da empresa devem

restringir o acesso às informações ao pessoal autorizado e verificar se apenas os indivíduos
autorizados visualizam essas informações. As informações podem ser divididas conforme a
segurança ou nível de confidencialidade da informação. Por exemplo, um funcionário que
ocupa apenas o cargo de programador em linguagem Java, não deve ter acesso às informações
financeiras da empresa.
Além disso, os funcionários devem receber um treino para entender as melhores práticas de
protecção das informações confidenciais para a sua segurança e da empresa, usando
mecanismos de segurança, tais como: criptografia, senha do utilizador, autenticação, etc.
1.6.2 Integridade
A integridade é a precisão, a consistência e a confiabilidade das informações durante todo o

seu ciclo de vida. As informações devem permanecer inalteradas durante o armazenamento e
o transporte, e não modificados por entidades não autorizadas.
12
As permissões e o controlo do acesso dos utilizadores podem impedir o acesso não autorizado
aos ficheiros. Um exemplo, vamos supor que um gerente de uma empresa determina aumento
de salário de 2% aos funcionários, para isso, utilizou o seu email para o departamento
financeiro. Alguém interceptou e alterou de 2% para 20% o aumento, isso implicaria prejuízos
financeiros para a empresa. O controlo de versão pode ser usado para evitar alterações feitas
por indivíduos autorizados ou não autorizados, os backups devem estar disponíveis para
restaurar quaisquer documentos danificados.
1.6.3 Disponibilidade
A disponibilidade é a qualidade de tornar disponível a informação e os meios que a suportam

para os utilizadores autorizados de acordo com seu nível de acesso, sempre que necessário e
para uma determinada finalidade.
A manutenção e reparo dos equipamentos, actualização dos softwares e sistemas operativos,

uso de firewalls, criação de backups e outras medidas de segurança, garantem a
disponibilidade da rede e das informações para os utilizadores. As medidas de segurança
devem estar implantadas para a recuperação rápida contra catástrofes naturais ou danos
provocados pelo homem.
Além da trilogia CID, existem outros princípios complementares da segurança da informação,

são eles:
Legalidade: garantia de que a informação foi produzida em conformidade com a lei;
Autenticidade: garantia de que num processo de comunicação os remetentes sejam

exactamente o que dizem ser e que a mensagem ou informação não foi alterada após o seu
envio.
1.7 Problemas de Segurança da Informação
Actualmente entre boa parte das empresas é bastante comum e recorrente o surgimento de
problemas de segurança da informação que podem causar prejuízos inestimáveis, como a
perda de equipamentos, fuga ou roubo de informações sigilosas ou até mesmo a
descontinuidade dos negócios.
Dentre os problemas mais comuns de segurança da informação nas empresas e não só,
destacam-se as vulnerabilidades, ameaças e riscos.
13
1.7.1 Vulnerabilidades
De acordo com Sêmola (2003), “as vulnerabilidades são fragilidades associadas aos activos
relacionados às etapas do ciclo de vida das informações, que quando exploradas por uma
ameaça, expõem as informações ao furto, roubo, perda ou ao uso indevido”.
Logo para Marciano (2006), uma vulnerabilidade representa um ponto potencial de falha, ou
seja, um elemento relacionado à informação que é susceptível de ser explorado por alguma
ameaça que tenta concretizar um ataque, pode ser um servidor ou sistema computacional, uma
instalação física ou, ainda, um utilizador ou um gestor de informações.
Novo (2010), na sua obra Software de Segurança da Informação, classifica as

vulnerabilidades da seguinte maneira:
 Vulnerabilidades ambientais são aquelas falhas relacionadas ao meio ambiente e a

área geográfica do local onde a infraestrutura das tecnologias de informação da
empresa está instalada;
 Vulnerabilidades de infraestrutura são aquelas restritas ao ambiente que abriga a
infraestrutura das tecnologias de informação da empresa.
 Vulnerabilidades de armazenamento são aquelas relacionadas com os meios físicos,
também conhecidos como dispositivos de armanezamento, onde a informação é
armazenada.
 Vulnerabilidades de transmissão são aquelas relacionadas aos aspectos da
comunicação de dados, abrangindo os meios físicos de transmissão (cablagem, ondas
de rádio, micro-ondas, etc.), os meios onde estes estão assentes (postes, tubulações,
etc.) e os protocolos de comunicação;
 Vulnerabilidades de hardware são aquelas relacionadas a falha de fabrico, má
utilização e desgaste dos equipamentos;
 Vulnerabilidades de softwares são aquelas relacionadas as falham de
desenvolvimento e implantação dos softwares;
 Vulnerabilidades humanas são aquelas decorrentes da falta de treino, erros ou
omissões, sabotagens, greve, vandalismo, roubo, etc.
1.7.2 Ameaças
Segundo Galvão (2015), “ameaça é algo que pode provocar danos à informação e aos seus
activos, prejudicar às acções da empresa ou de uma pessoa, mediante a exploração de alguma
vulnerabilidade”.
14
Zanella (2017), afirma que, as ameaças podem ser entendidas como qualquer evento,
acontecimento ou entidade que possa agir de forma indesejável contra as informações e os
seus activos, por meio da exploração de vulnerabilidades, provocando perda de
confidencialidade, integridade e disponibilidade, o que pode causar impactos negativos à vida
de um indivíduo ou aos negócios de uma organização.
Segundo Novo (2010), as ameaças podem ser classificadas de vários modos, mas as mais
comuns são as seguintes:
 Ameaças naturais: são aquelas decorrentes de fenómenos da natureza, como incêndio

naturais, enchentes, terramotos, tempestades electromagnéticas, maremotos,
aquecimento, poluição, etc.
 Ameaças de cunho doloso ou intencional: são aquelas decorrentes da actividade
consciente, com o propósito de furtar, roubar, destruir, corromper ou usar
indevidamente as informações e os seus activos.
 Ameaças de cunho culposo ou não intencionais: são as ameaças inconscientes,
quase sempre causadas pelo utilizador do ambiente das tecnologias de informação, por
exemplo, a falta de treino para evitar acidentes e o desconhecimento no uso dos
activos de informação, falta de energia, entre outros.
Efectivamente um estudo sobre ameaças levado a cabo por Bitencourt (2018), permitiu
chegar a seguinte conclusão: as ameaças surgem das mais diversas formas, podendo ser
acidental ou intencional, mas quanto as intencionais, as mais decorrentes são a destruição de
informações ou recursos, modificação ou deturpação da informação, furto, remoção ou perda
da informação e a revelação de informações confidenciais.
Moraes (2003), revela que muitas das organizações se preocupam e estão focalizadas nos
problemas de segurança da informação que podem ocorrer, resultante dos acessos externos,
como a Internet, que é o caso de uma ameaça externa, no entanto, a maior parte das ameaças é
resultante de invasores que na verdade a empresa já contratou ou pelos funcionários da
própria organização, essa categoria de ameaça é conhecida como ameaça interna.
1.7.3 Riscos
Relativamente a este assunto Valcy (2013), elucida que, “no campo da segurança da
informação, o risco pode ser entendido como a probabilidade de ameaças explorarem
vulnerabilidades de um determinado activo de modo a comprometer a sua segurança”.
15
É de salientar que Novo (2010), frisa que praticamente, quase toda empresa ou utilizador
doméstico usa o computador conectado a uma rede local ou a rede global, e esta ferramenta
possibilita facilidades e oportunidades tanto profissionais como de entretenimento e lazer,
seria muito difícil para estas pessoas viverem sem ela. Infelizmente, para aproveitar todos
esses recursos, são necessários certos cuidados, pois os riscos são inúmeros.
De qualquer forma, Novo (2010), reforça a sua ideia ao dizer que, para as empresas todo
activo apresenta algum risco, podendo gerar um impacto grande ou pequeno aos negócios,
para isso, é necessário fazer um levantamento dos activos e classificá-los quanto aos riscos, de
forma a facilitar a implementação de medidas de segurança mais eficientes.
1.8 Tipos de Malware
A palavra malware é a abreviação das palavras Malicious Software (software malicioso). O

malware é qualquer software desenvolvido com a finalidade de roubar ou destruir as
informações, danificar os sistemas ou a infraestrutura que suporta os sistemas.
Abaixo, estão alguns tipos de malware:
 Spyware: termo utilizado para se referir a uma categoria de software que tem o
objectivo de monitorar actividades de um sistema e enviar as informações colectadas
para terceiros. Dessa forma, o spyware objectiva invadir o sistema, interceptando
informações do utilizador, além disso, pode capturar logins e senhas de acesso e
verificar os sites acessados, enviando todas as informações colectadas sem a
percepção do utilizador;
 Adware: é um tipo de software projectado para apresentar propagandas, seja através
de um navegador ou através de algum outro programa instalado em um computador. O
adware causa enormes transtornos aos utilizadores, uma vez que abre janelas do
browser de forma involuntária, interrompendo o seu trabalho e podendo até mesmo
gerar conflitos entre os demais programas;
 Vírus: é um código executável malicioso que modifica ou exclui informações,
também anexado a outros ficheiros, muitas vezes programas legítimos. A maioria dos
vírus necessita de activação do utilizador final e pode ser activado numa hora ou data
específica.
 Cavalo de Tróia: é um malware que realiza operações maliciosas sob o pretexto de
uma operação desejada. Esse código malicioso explora os privilégios do utilizador que
o executa. Muitas vezes, os cavalos de tróia são encontrados em ficheiros de imagem,
16
ficheiros de áudio ou jogo. Um cavalo de tróia difere de um vírus porque está
vinculado aos ficheiros não executáveis;
 Worm: programa capaz de se propagar autonomamente através da rede de
comunicação de dados, enviando cópias de si mesmo de um computador para outro
computador. Esse tipo de malware se dissemina de forma rápida e em grande
quantidade, contaminando uma rede rapidamente e dificultando a sua exterminação,
deixando a rede mais lenta;
 Keylogger: programa capaz de capturar e armazenar as teclas digitadas pelo utilizador
no teclado de um computador;
 Bot: é um malware projectado para executar automaticamente a acção, geralmente
online. Enquanto a maioria dos bots (Internet robots ou robôs da Internet) é
inofensivo, uma utilização progressiva de bots maliciosos são os botnetes (conjunto de
bots). Vários computadores estão infectados com bots programados para esperar
calmamente os comandos fornecidos pelo invasor.
 Rootkit: este malware é projectado para modificar o sistema operativo e criar uma
porta de fundo. Os invasores usam a porta de fundo para acessar o computador
remotamente. A maioria dos rootkit utilizam as vulnerabilidades do software para
escalonar privilégios e modificar ficheiros do sistema operativo.
 Ransomware: é um malware que se propaga através de um ficheiro baixado ou
alguma vulnerabilidade de software, ele é projectado para manter preso o dispositivo
computacional ou as informações incluídas nele, até que o pagamento seja feito. O
ransomware normalmente encripta os ficheiros no computador com uma chave
desconhecida ao utilizador.
 Scareware: é um tipo de malware projectado para persuadir o utilizador a executar
uma acção específica com base no medo. O scareware simula janelas pop-up que se
assemelham às janelas de diálogo do sistema operativo, transmitindo mensagens
falsificadas que afirmam que o sistema está em risco ou precisa da execução de um
programa específico para retornar à operação normal.
De acordo com a Cisco (2020), “na sua plataforma de ensino virtual Netacad,
independentemente do tipo de malware que infecta um sistema, os sintomas mais comuns da
presença de malware” são:
 Aumento do uso da CPU;

 Diminuição da velocidade de processamento do computador;
17
 O computador trava frequentemente;
 Diminuição da velocidade de navegação na Internet;
 Problemas inexplicáveis com conexões de rede;
 Ficheiros são modificados;
 Ficheiros são excluídos;
 Presença de ficheiros, programas ou ícones de desktop desconhecidos;
 Processos desconhecidos em execução;
 Programas que se desligam ou reconfiguram sozinhos;
 Envio de emails sem o conhecimento ou consentimento do utilizador.
Segundo Novo(2010), as empresas devem se preocupar em instalar softwares de segurança,

cuidar para que os sistemas estejam sempre actualizados, também deve ser feito varreduras
periódicas contra os malwares, evitar o uso de medias removíveis de terceiros, instruir os
utilizadores que devem apenas acessar e baixar ficheiros de sites confiáveis e pensar antes de
clicar num link de origem desconhecida.
Concordando com a ideia acima descrita, podemos aqui reter que tais cuidados podem
impedir a concretização dos objectivos para os quais os malwares foram criados, como
provocar a perda ou corrupção das informações contidas nos computadores, usar
indevidamente informações pessoais do utilizador, controlar ou danificar remotamente o
computador do utilizador ou a rede de comunicação que as interliga.
18
CAPÍTULO 2. MECANISMOS DE SEGURANÇA
No presente capítulo, apraz-me abordar objectivamente sobre os diversos mecanismos mais

adoptados para a segurança das informações, tanto a nível individual como empresarial.
2.1 Conceitos
Segundo Fia (2018), “um mecanismo de segurança é uma acção, técnica, método ou
ferramentas estabelecidas com o objectivo de preservar o conteúdo sigiloso e crítico de um
indivíduo ou uma empresa”.
Para Sêmola (2003), “os mecanismos de segurança são práticas, procedimentos e mecanismos
usados para a protecção das informações e seus activos, prevenindo contra as ameaças e
impedindo que estas explorem vulnerabilidades”.
Na visão de Zanella (2017), “os mecanismos de segurança são técnicas ou métodos que
limitam o acesso à informação e a infraestrutura que a suporta, reduzindo o risco da
ocorrência de crimes digitais e cibernéticos”.
Na perspectiva de Nakamura e Geus (2007), mecanismos de segurança “são ferramentas,

tecnologias e protocolos utilizados no processo de segurança da informação”.
Fernandes (2021) afirma que “os mecanismos de segurança são amplos e utilizados em
diversos campos da segurança da informação. Eles são fundamentais na ampliação da
protecção das redes empresariais, para que, dentro de cada cenário, essas redes sejam mais
seguras e resilientes”.
Diante desta ordem de ideias, é possível aqui retermos que os mecanismos de segurança não
são apenas ferramentas tecnológicas, também são práticas, técnicas, métodos e procedimentos
relacionados, que visam proteger as informações e seus
2.2 Medidas de Segurança
Conforme mencionado anteriormente, um mecanismo de segurança é usado para o alcance de

um determinado objectivo, e as medidas de segurança podem ser entendidas como o propósito
pelo qual os mecanismos de segurança são aplicados.
Novo (2010, pp. 35-36) na sua obra “Softwares de Segurança da Informação” descreve três
tipos de medida de segurança existentes, que são:
 Medidas preventivas: “são aqueles mecanismos planeados e executados no intuito de

evitar a ocorrência de danos às informações e seus activos. Buscam reduzir as
19
vulnerabilidades e manter as ameaças sob controlo”. Como exemplo, podemos citar as
palestras para a consciencialização dos utilizadores, ferramentas como firewall e
antivírus.
 Medidas prospectivas: são aqueles mecanismos planeados e executados durante o
ciclo normal das actividades da empresa, buscando identificar vulnerabilidades e
ameaças que estejam ocultas que façam parte das informações e seus activos”. Como
exemplo temos os IDS, câmaras de vigilância e alarmes.
 Medidas correctivas: são aqueles mecanismos executados após o dano à informação
ou ao activo de informação. Buscam eliminar ou minimizar os impactos sofridos, bem
como colaborar com a criação de outras medidas de segurança que evitem a repetição
do problema”. Exemplos de medidas correctivas são os backups, plano de
continuidade operacional e o plano de recuperação de desastres.
2.3 Mecanismos de Acesso Lógico
Sem a existência de mecanismos de acesso lógico, a informação em suporte digital ficaria

totalmente exposta às ameaças. Algumas destas ameaças são passivas, na medida em que
apenas capturam os dados, sem os alterar, enquanto outras são activas, afectando a
informação com o intuito de a corromper ou destruir.
Os mecanismos de acesso lógico assentam na protecção na identificação e autenticação das

informações e dados na rede, ela assegura que nenhum programa malicioso ou invasor
danifique ou altere as informações, os dados e os equipamentos da rede, e ao mesmo tempo,
garante que cada utilizador trabalhe sem modificar nem os programas, nem os ficheiros que
não correspondem aos seus domínios de trabalho.
2.3.1 Autenticação
Conforme descrito no capítulo anterior, a autenticidade é a garantia de que num processo de

comunicação os remetentes sejam exactamente o que dizem ser e que a mensagem não foi
alterada durante o seu envio.
De acordo com Novo (2010), o processo de autenticação ocorre quando os utilizadores sabem
que estão a acessar as informações desejadas no servidor correcto, que os dados enviados
chegaram ao destino e não sofreram mudanças, onde somente o receptor poderá ler as
informações. Em contrapartida, o servidor precisa garantir que a comunicação está a ser feita
com o utilizador certo e que o conteúdo da mensagem e a identidade do emissor estão
correctos.
20
A autenticação é realizada entre as partes envolvidas por meio de uma assinatura digital, que
consiste num conjunto de códigos digitais (has) que é associado a uma mensagem transmitida
por meio electrónico, permitindo verificar a entidade de quem está a enviar a informação,
comprovar que realmente é quem diz ser, garantindo a integridade da informação.
Segundo Novo (2010) a autenticação ocorre da seguinte maneira:
Para assinar digitalmente um documento, é necessário que o documento primeiramente seja

digitalizado, em seguida, a partir de um programa específico, o documento será encriptado de
acordo com uma chave pública para que se possa enviar o documento, gerando um resumo do
mesmo tamanho que será encriptado, denominado hash, garantindo autenticidade.
Quando a mensagem chegar ao destinatário, o receptor deverá utilizar sua chave privada para
desencriptar o documento, gerando um novo resumo a partir da mensagem que está
armazenada, para em seguida, comparar com a assinatura digital.
Caso o documento tenha sido alterado, a chave privada não vai conseguir descodificar o
ficheiro, a assinatura é corrompida, o documento não é reconhecido, ou seja, se o hash
original não for igual ao hash gerado na recepção do documento, a mensagem não está
íntegra.
2.3.2 Antivírus
Os antivírus, como o próprio nome diz, são programas de protecção de computadores que
detectam e eliminam os vírus, assim como impedem a sua instalação e propagação.
Silva, Carvalho e Torres (2003), afirmam que actualmente poucas são as organizações que
não utilizam de forma mais ou menos coordenada, qualquer mecanismo antivírus nos seus
sistemas. De facto, com a actual proliferação dos códigos maliciosos e de ferramentas
destinadas a criar vírus através da rede mundial de computadores, é quase “suicídio” criar
uma ligação entre dois sistemas sem pensar em qualquer tipo de protecção contra estas
ameaças.
Segundo Porto ( 2011), os antivírus podem ser divididos em duas categorias: gratuitas e por
assinatura, e para melhor efectividade do antivírus, são necessário constantes actualizações,
pois todos os dias são criados novos vírus. Portanto, é essencial que o utilizador seja
devidamente treinado para prevenir e reconhecer possíveis ataques, não bastando apenas a
instalação dessas ferramentas de segurança.
21
2.3.3 Anti-malware
De acordo Rosencrance (2021), diferente do antivírus, o “anti-malware é um tipo de programa

criado para proteger sistemas e as redes de comunicação de dados contra contra vários tipos
de softwares maliciosos. Os programas anti-malware fazem a varredura do sistema dos
computadores para detectar e remover malwares”.
A visão de Cortê (2014), reforça o conceito acima descrito, segundo o autor, embora os
termos malware e vírus sejam frequentemente usados de forma intercambiável,
historicamente, eles não se referem à mesma coisa, pois um vírus é um tipo de malware, mas
nem todas as formas de malware são vírus.
2.3.4 Controlo do Acesso Lógico
Segundo Sousa (2006), o controlo do acesso lógico envolve aspectos de prevenção contra
interceptação e modificação de informações, alterações de softwares, invasões em sistema,
acessos não autorizados a informação e demais aspectos relacionados ao acesso e
manipulação das informações da empresa.
Neste sentido, Fernandes (2014), afirma que: os mecanismos mais utilizados são os de
autenticação, os mais conhecidos são os logins e senhas, neste caso, o utilizador terá uma
identidade para todos serviços, conhecido como modelo centralizado de acesso, que libera o
acesso ao sistema para o utilizador uma única vez no servidor que, a partir daí, poderá utilizar
os seus privilégios por um tempo determinado.
Já os mecanismos utilizados para acessar os sistemas fora da empresa contam com os

firewalls, justamente por garantir a protecção da rede de comunicação de dados contra ataques
provenientes de fora da empresa.
2.3.5 Criptografia
Segundo Marciano (2006), a Internet é um dos maiores recursos tecnológicos que oferece a
oportunidade de realizar várias actividades que vão desde compras, operações bancárias até
serviços virtuais, só que a segurança também deve ser eficiente, devido a dimensão dos
serviços ofertados, que envolvem informações pessoais, profissionais e financeiras, sendo
estes motivos de preocupação.
Novo (2010), afirma categoricamente que, controlar acessos a partir de senhas já não é tão
seguro, sendo assim, a criptografia surge como uma ferramenta que fornece técnicas para
22
codificar e descodificar informações, para que os mesmos não possam ser recuperados,
transmitidos e alterados por pessoas não autorizadas.
Na óptica de Tanado (2002), a criptografia é a arte ou ciência de escrever em cifra ou em

códigos, utilizando um conjunto de técnicas que torna a mensagem ilegível, chamado de texto
cifrado, de forma a permitir que apenas o destinatário desejado consiga desencriptar e ler a
mensagem com clareza.
Segundo o autor acima mencionado, existem duas categorias de criptografia:
 Cifra simétrica: também chamada de cifra de chave secreta, neste algoritmo, tanto
quem envia e quem recebe a mensagem, devem possuir a mesma chave. Essa operação
acontece através da utilização de uma chave secreta, no entanto, há sempre risco de
descoberta da chave por parte de terceiros, utilizando métodos de força bruta.
 Cifra assimétrica: ao contrário da simétrica, este modo baseia-se na utilização de
duas chaves, uma chave privada e a correspondente chave pública, ou seja, quando
uma mensagem é codificada usando a chave pública só pode ser descodificada com a
chave privada correspondente.
A criptografia, segundo Murçula, Filho, e Armando (2007), ocorre em fases, iniciando sua
transformação antes da transmissão ao destinatário, recebendo uma chave para ser
descaracterizada; na segunda fase, a mensagem é transmitida, caso seja interceptada não
poderá ser descodificada, pois só será possível com uma chave de criptografia e, por fim, na
terceira fase, a mensagem chega no seu destino e para ser descodificada utiliza-se a chave
usada para codificar a mensagem (criptografia simétrica) ou a correspondente chave privada
(criptografia assimétrica).
De acordo com Novo (2010), “a criptografia digital é aplicada através de ferramentas que
possibilitam ao utilizador trabalhar com criptografia de dados, garantindo que as informações
serão mantidas confidenciais. Existem basicamente três tipos de ferramentas de criptografia”,
que são:
 Softwares para criptografia de ficheiros: encriptam um ficheiro ou um conjunto de

ficheiros, para o envio através das redes de comunicação de dados;
 Softwares para criptografia de unidades de armazenamento: encriptam partições
de discos rígidos ou pendrives, protegendo todos os ficheiros contidos na unidade;
 Softwares para criptografia para transmissão de dados: encriptam comunicações
do utilizador, conexões de dados, acesso remoto, etc.
23
É importante que os utilizadores utilizem softwares que tenham algoritmos de criptografia
reconhecidamente seguros de acordo com as normas estabelecidas pela comunidade científica.
2.4 Mecanismos de Gerência
Segundo Fontes (2006), nesta era da globalização, “o sucesso e a competitividade das

organizações dependem da informação, enquanto activo importante para as organizações, ela
precisa ser adequadamente gerida e protegida”.
Zanella (2017), por sua vez, salienta que informação orgânica não está mais contida apenas
em suportes convencionais, como o papel, se fazendo presente cada vez mais os documentos
em suporte digital, contribuindo para o acelerado aumento do volume documental. Em meio a
essa gama de informações diárias, é necessária a selecção daquelas que realmente são
importantes para a organização e dispor de mecanismos para preservá-las a longo prazo,
torná-las acessíveis a tempo e hora e a quem de direito.
Concordando com a lógica do pensamento do autor, podemos entender que o desafio está em
definir mecanismos de gerência adequados que garantam a segurança da informação
electrónica e dos seus activos de tal forma que não sejam degradados ou fiquem indisponíveis
para os utilizadores devidamente autorizados.
2.4.1 Plano de Continuidade dos Negócios
Segundo Lopes (2014), o plano de continuidade dos negócios, “são práticas ou procedimentos
que facilitam e permitem a gerência de contingência e recuperação, realizando melhoria
contínua da gerência dos incidentes”.
Ao passo que na humilde visão de Drago (2004), no âmbito do plano de continuidade dos
negócios são definidos os procedimentos para a protecção das operações da organização, e
não somente seus sistemas computacionais, afinal sem o pessoal, procedimentos em
funcionamento e conectividade, não faz sentido restaurar os sistemas.
De qualquer forma, Drago (2004), reforça a sua ideia afirmando que, outra área de
intervenção do plano de continuidade dos negócios é a reconstituição das informações
perdidas, que poderá ser conseguida, caso necessário, através de procedimentos de
recuperação dos mesmos junto dos funcionários e terceiros, como por exemplo, os clientes e
fornecedores.
Podemos aqui reter que, a perda da informação e a inoperabilidade ou danificação da rede que
conecta os sistemas pode causar perda monetária, e ao mesmo tempo, põem em risco a
24
expansão e o crescimento da empresa, logo, todos estes factos tornam o plano de continuidade
dos negócios uma ferramenta indispensável para empresas que dependem das TICs para a
realização das suas actividades.
2.4.2 Backups
Segundo Fernandes (2014), dentre os vários tipos de ameaças existentes, algumas que têm a
capacidade de atacar os dispositivos computacionais fazendo a eliminação de ficheiros, é por
esse motivo que existem os backups (cópia de segurança), criados e armazenados em locais
separados para que seja possível recuperá-los diante da perda de algum ficheiro ou
danificação dos sistemas ou da infraestrutura que os suporta.
Bitencourt (2018), alerta-nos que, à medida que aumenta a capacidade de armazenamento

disponível e cresce a complexidade dos sistemas de processamento de informação, o volume
das informações armazenadas segue esta tendência, atingindo proporções significativas, desta
feita, as empresas deparam-se cada vez mais com a necessidade de protecção de um conjunto
complexo de informações, felizmente, as soluções de backup actuais acompanharam esta
evolução e oferecem níveis de desempenho e de protecção amplamente satisfatórios.
Ao meu entender, o backup deve ser feito periodicamente (diário, semanal, quinzenal ou
mensal) de forma que, se algum incidente de segurança ocorrer, as informações possam ser
imediatamente recuperadas sem nenhum dano.
2.4.3 Actualizações de Software
Segundo Spanceski (2004), as actualizações nem sempre são vistas com bons olhos pelos
utilizadores das mais variadas tecnologias actuais utilizadas com tanta frequência. Parece
óbvio, mas as actualizações são muito importantes para manter um funcionamento estável e
seguro dos softwares e aplicações que usamos diariamente.
O mesmo autor, realça que de forma quase automática, a medida em que uma notificação de
actualização surge, o utilizador procura pelo botão “actualizar mais tarde”. O problema é que
este “mais tarde” vai ficar cada vez mais distante e essa acção simples continuará sendo
adiada, em sua maioria, de grande valor.
As actualizações estão disponíveis para os sistemas operacionais e para os softwares

aplicação; a realização dessas actualizações implanta várias revisões no computador, como a
adição de novos recursos, remoção de recursos desactualizados, actualização de drivers,
distribuição de correcções de bugs e, o mais importante, a correcção de falhas de segurança
25
recém-descobertas, o que as torna responsáveis por corrigir os erros de software e manter o
funcionamento seguro dos dispositivos computacionais.
De acordo com Galvão (2015), os criminosos cibernéticos exploram as falhas de segurança,

desenvolvendo um código malicioso para atacar as vulnerabilidades de software. Essas
explorações podem infectar o computador, sem que seja necessária qualquer medida da parte
do utilizador, a não ser que acesse um site, abra uma mensagem comprometida ou utilize uma
media infectada.
Relativamente a este assunto, Porto (2011), elucida que, “apesar dessas actualizações de
software parecerem um incómodo, recomenda-se aceitá-las como uma medida preventiva para
a correcção de falhas de software, desta feita, assegurar-se-á o bom funcionamento do
dispositivo computacional e a protecção das informações lá existentes”.
2.5 Mecanismos de Tráfego de Rede
Segundo Valcy (2013), os mecanismos de tráfego de rede têm como finalidade proteger os
dispositivos computacionais, as redes de computadores e os dados que trafegam pela rede,
fazendo a análise do fluxo de dados entre a rede privada e a rede externa, controlando,
restringindo ou permitindo o tráfego de dados que obedecem as regras preestabelecidas pela
gerência de TI da organização.
2.5.1 Firewall
Segundo Moreno (2012, p. 60), a segurança da rede é assegurada por vários mecanismos, mas
nenhum garante uma segurança total das ameaças que os sistemas estão sujeitos. As
tecnologias de criptografia ajudam a garantir transmissões segura de informações privadas
sobre uma rede pública, porem isso não provê nenhuma maneira de evitar que o tráfego
indesejável abranja a rede. É neste contexto que entra o firewall (parede de fogo) como um
meio para garantir a segurança dos sistemas e da rede.
Os firewalls são softwares ou equipamentos que têm a finalidade de controlar ou filtrar

tráfego de dados, definindo quais dados podem ser partilhados entre um computador e uma
rede ou entre redes, bloqueando qualquer recepção não autorizada de informações.
De acordo com Novo (2010, p. 95), a classificação dos firewalls é a seguinte:
 Firewall pessoal: é aquele desenvolvido com o intuito de proteger o tráfego de dados

entre um computador pessoal e a Internet, em geral, oferece poucas opções de
configuração;
26
 Firewall corporativo: é aquele desenvolvido com o intuito de proteger o tráfego de
dados entre uma rede de dados empresarial e a Internet. Oferece muitas opções de
configuração, necessitando de profissionais qualificados para operá-lo. Pode ser
software livre ou software comercial proprietário.
 Firewall de software: são programas de computador que executam actividades de
firewall comuns. Podem ser instalados na máquina do utilizador ou na borda externa
de uma rede de dados. Têm a desvantagem de consumir recursos de processamento e
memória do computador onde está instalado;
 Firewall de hardware: são equipamentos dedicados a executar actividades de
desempenho de firewall mais avançados, no entanto, são mais caros que as soluções
em software, além de necessitar de alimentação eléctrica.
Actualmente o firewall é considerado pelos especialistas em segurança da informação, como

um dos recursos de protecção de redes mais importante, pois além de controlar também
monitora o acesso aos softwares e aos computadores da organização, filtrando a passagem de
dados entre as redes.
Todavia, Fernandes (2014, p. 52), alerta-nos de que “o facto de se ter instalado um sistema de
firewall na organização não significa que a rede esteja totalmente protegida contra invasões,
eles protegem apenas contra os ataques externos, ficando inertes contra os ataques que partem
de dentro da própria empresa”.
Para que a implementação tenha êxito, é importante fazer o levantamento do perfil da empresa
no qual será aplicado esse mecanismo de segurança e, a partir daí, seleccionar as funções que
ele desempenhará na rede.
2.5.2 IDS
O IDS é um dispositivo de rede dedicado, que colhe e analisa dados, buscando detectar os
tráfegos maliciosos.
Quando um tráfego de dados malicioso é detectado, o IDS regista a detecção e cria um alerta
para o administrador da rede. Ele não age quando ocorre a detecção, então não impede as
ameaças, o trabalho do IDS é apenas detectar, registar e relatar.
Segundo Novo (2010, p. 33), os IDS permitem os administradores das redes de computadores
saber sobre as invasões que estão ocorrendo ou mesmo as tentativas de invasão a rede, sendo
capazes também de identificar possíveis ataques feitos internamente, ou seja, ocorridos na
própria empresa, pois essas invasões o firewall não detecta.
27
A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se
prevenir contra o atraso da rede, o IDS é geralmente colocado off-line, separado do tráfego
regular da rede, os dados são espalhados pelo Switch e então encaminhados para o IDS para a
detecção off-line.
2.5.3 VPN
A VPN é uma tecnologia de rede pública como a Internet, designa um conjunto de nós que
comunicam entre si numa rede privada virtual, utilizando a encriptação, de modo que as suas
mensagens não possam ser interceptadas nem compreendidas por utilizadores não
autorizados.
As redes privadas virtuais ou Virtual Private Networks, são constituídas por tecnologias que,
através da utilização de vários protocolos, criam canais seguros de comunicação em
ambientes públicos, como a Internet. Todos os dados transmitidos através destes canais ou
“túneis”, são cifrados e possuem controlo de integridade, o que significa que, caso sejam
alterados em trânsito, são rejeitados pelo destinatário e retransmitidos pelo emissor.
A seguir são apresentadas as três aplicações das VPNs consideradas como as mais
importantes:
 Acesso remoto via Internet: o acesso remoto a redes corporativas utilizando a

Internet pode ser viabilizado com a tecnologia VPN através da ligação local a um
provedor de acesso (Internet Service Provider - ISP). A estação remota disca para o
provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede
virtual privada entre o utilizador remoto e o servidor de VPN corporativo através da
Internet.
 Conexão de LANs via Internet: uma solução que substitui as conexões entre LANs
através de circuitos dedicados de longa distância é a utilização de circuitos dedicados
locais interligando-as à Internet. O Software de VPN assegura esta interconexão
formando a WAN corporativa.
 Conexão de computadores numa intranet: em algumas organizações, existem dados
confidenciais cujo acesso é restrito a um pequeno grupo de utilizadores. Nestas
situações, redes locais departamentais são implementadas fisicamente separadas da
LAN corporativa.
Em resumo, as VPNs podem constituir uma alternativa segura para a transmissão de dados
através de redes públicas ou privadas, uma vez que já oferecem recursos de autenticação e
28
criptografia com níveis variados de segurança, possibilitando eliminar os links dedicados de
longa distância e de altos custos na conexão de WANs.
2.5.4 SSL
Sousa (2006), define o SSL como um protocolo de comunicação em servidores Web e

navegadores, que estabelece uma conexão segura entre dois pontos de uma rede,
implementando um túnel para comunicação de aplicações na Internet, garantindo por meio de
criptografia, o tráfego seguro dos dados na Internet.
De acordo com o Cortê (2014), o protocolo SSL torna a comunicação cliente-servidor segura
actuando entre as camadas transporte e a aplicação, actuando entre as aplicações Web da
seguinte maneira: a mensagem enviada pelo cliente a partir de um aplicativo Web, é
fragmentada em blocos e comprimida, posteriormente autenticada, encriptada e o resultado é
transmitido, e quando a mensagem chega ao destinatário acontece o processo inverso, ela é
desencriptada, verificada, descomprimida, recomposta e repassada para a camada aplicação.
O objectivo primário do protocolo é prover privacidade e autenticação entre duas aplicações

que se comunicam entre si. Os objectivos específicos podem ser descritos como abaixo:
 Prover segurança criptográfica para estabelecer uma conexão segura entre dois pontos;
 Prover interoperabilidade de forma que programadores independentes sejam aptos a
desenvolver aplicações capazes de trocar dados com outros códigos que também o
utilizem;
 Extensibilidade, ou seja, possibilitar de forma flexível a implementação de novos
métodos criptográficos ou protocolos sem a necessidade de mudança das suas bases
estruturais;
A aplicabilidade do protocolo SSL é bastante extensa, podendo ser implementado de forma

flexível, permitindo a comunicação segura dos softwares desenvolvidos para rodar em
plataformas diferentes (Ios, Windows, Linux, etc.), sendo funcional em sistemas de
comunicação distintos como serviços de comércio electrónico, e-mail e redes privadas
virtuais.
29
CAPÍTULO 3. RESULTADOS E DISCUSSÃO
3.1 Caracterização da Entidade
3.1.1 Papel da Empresa KM-Services
A empresa KM-Services é um estabelecimento que opera no mercado de trabalho terciário,

prestando serviços de tradução e interpretação de documentos de excelência à sua clientela,
através de uma vasta equipa de profissionais qualificados dedicada e zelosa, que
eficientemente, manipula as informações dos clientes de forma integra e segura. A empresa
em questão foi fundada aos 07 de Setembro de 2017, reconhecida pelo Ministério das
Relações Exteriores (MIREX) e pelos Cartórios Notariais.
3.1.2 Visão
Tornar a empresa, num estabelecimento de referência e alternativa para a cobertura de défices

dos serviços de tradução e interpretação de documentos existentes na comunidade onde se
encontra localizada, e expandir o negócio para as demais províncias do mercado de trabalho
angolano.
3.1.3 Missão
Por meio de um atendimento humanizado e especializado, melhorar os serviços prestados à

população e assegurar que ao cliente seja disponibilizado serviços de alta qualidade que
satisfação as suas necessidades.
3.1.4 Princípios e Valores
 Qualidade e segurança no atendimento;

 Ética e deontologia profissional;
 Valorização, capacitação e desenvolvimento dos recursos humanos;
 Disciplina laboral e responsabilidade individual;
 Pontualidade e assiduidade;
 Respeito pela diferença.
3.1.5 Localização
A empresa KM-Services encontra-se localizada na província de Luanda, no município de

Luanda, concretamente no distrito urbano da Ingombota.
30
3.1.6 Estrutura Orgânica
Presidência
Secretaria
Auxiliar de Tradutores Agentes de Área

Limpeza Campo Técnica
Figura 2 - Estrutura orgânica da empresa
3.1.7 Rede de Computadores da Instituição
A KM-Services utiliza uma rede local de computadores de topologia híbrida para realizar as
actividades de tradução e interpretação de documentos, pós alguns computadores estão
ligados a rede via cabo e outros sem cabo (Wifi).
Os componentes informáticos constituem a rede de computadores: 15 computadores, 1

switch, 1 router, 1 modem alcatel (Unitel), 2 impressora, 1 scaneadora ligado a cabo e cabo
par trançado.
Figura 3 - Infraestrutura de rede da empresa
31
3.2 Fontes e dificuldades
3.2.1 Fontes
Para a elaboração desta monografia utilizou-se conteúdos de fontes de pesquisa como artigos
científicos, livros, monografias e teses, estes materiais possibilitaram interpretar e explicar o
tema, de igual modo foi utilizada a empresa KM-Services, onde foram recolhidas algumas
informações.
3.2.2 Dificuldades
As dificuldades fazem parte de qualquer estudo de cunho científico e o presente trabalho não
ficou isento desta realidade, foi difícil encontrar e ter acesso às obras literárias credíveis para
elaboração deste trabalho, do mesmo modo houve dificuldades no processo de colecta de
dados na empresa relacionada a este estudo, pois algumas instituições têm pouca cultura de
fornecer dados aos investigadores ou estudantes.
3.3 Teste de usabilidade
O Teste de usabilidade em informática é definido como uma técnica que tem como objectivo,
observar os utilizadores reais que utilizam ou utilizarão um determinado produto para
descobrir problemas e pontos de melhoria. O produto, que pode ser um site, uma aplicação
Web ou um produto físico.
Segundo Moresi (2005), população ou universo é a totalidade de indivíduos que possuem as

mesmas características definidas para um determinado estudo. Já a amostra é parte da
população ou do universo, seleccionada de acordo com uma regra ou plano.
A população do presente estudo é de 18 funcionários, para a realização do teste de usabilidade

foi extraída uma amostra de 13 funcionários de forma intencional. A amostra estudada é
composta por funcionários pertencentes ao nível operacional dos serviços de tradução ou
interpretação de documentos da empresa.
3.4 Análise e interpretação dos resultados
Chegando a fase de conclusão do processo de investigação do presente estudo, surgiu a

necessidade de se realizar um inquérito ao Director e aos funcionários da empresa KM-
Services, com o intuito de descobrir e entender o grau de aceitabilidade e relevância do uso de
mecanismos de segurança da informação para referida empresa.
32
3.4.1 Questões dirigidas ao Director da Empresa
1- No seu ponto de vista, quais são os benefícios que o uso de Mecanismos de Defesa
contra Ameaças à Segurança da Informação pode proporcionar a Empresa KM-
Services?
R: Do meu ponto de vista, o uso de Mecanismos de Defesa contra Ameaças à Segurança da

Informação pode proporcionar vários benefícios a Empresa KM-Services, tais como tornar o
armazenamento de documentos mais seguro, restringindo o acesso dos mesmos de modo que
apenas os funcionários autorizados tenham acesso aos documentos e somente durante o
período laboral.
2- De modo prático, qual é a definição da Segurança Informação que se enquadra a

cultura organizacional da Empresa KM-Services?
R: A KM-Services de acordo a sua cultura organizacional define a segurança da informação

como um conjunto de medidas que se constituem basicamente de controlos e política de
segurança, tendo como objectivo a protecção das informações dos clientes e da empresa,
controlando o risco de revelação ou alteração por pessoas não autorizadas.
3.4.2 Questões dirigidas aos Funcionários da Empresa
Importância do uso de mecanismos de segurança - Funcionários
1- De acordo o teu entender, é importante usar mecanismos de segurança na empresa

KM-Services?
O gráfico abaixo nos mostra que 72% correspondente a 10 funcionários dos 13 submetidos ao
inquérito (questionário), afirmam que o uso de mecanismos de segurança na empresa KM-
Services é importante, ao passo que 14% disse não e outro 14% ficou na indecisão e ninguém
se absteve, o que me levou a perceber que será uma acção positiva.
33
0%
Gráfico da 1ª Questão
14%
14%
72%
Sim Não Talvez Abstenções
Gráfico 1 - Respostas obtidas na primeira questão dirigida aos funcionários
Uso de ferramentas de criptografia
2- Acreditas que com o uso de ferramentas de criptografia vai reduzir a perda e a

alteração não autorizada de documentos na empresa KM-Services?
Conforme ilustra o gráfico da segunda questão, dos 13 funcionários inquiridos 85% que
corresponde a 11 funcionários afirmam que o uso de ferramentas de criptografia vai reduzir a
perda e a alteração não autorizada de documentos na empresa, enquanto 15% correspondente
a 2 funcionários afirmaram que o uso de ferramentas de criptografia não vai reduzir a perda e
a alteração não autorizada de documentos.
Portanto, convém aqui dizer que a maioria dos funcionários da empresa KM-Service acredita
que o uso de ferramentas de criptografia vai reduzir a perda e a alteração não autorizada de
documentos, conforme mostra as respostas dos funcionários inquiridos afirmando sim com
85%.
15%
85%
Sim Não
Gráfico 2 - Respostas obtidas na segunda questão dirigida aos funcionários
34
Realização das actividades de tradução e interpretação de documentos
3- Achas que o uso de mecanismos de segurança dificultaria a realização das actividades

de tradução e interpretação de documentos na empresa KM-Services?
No que se refere a questão relacionada a dificuldade de realizar as actividades de tradução e

interpretação de documentos em função do uso de mecanismos de segurança, nota-se que
77% (10 funcionários) afirmaram que uso de mecanismos de segurança não dificultaria a
realização das actividades de tradução e interpretação de documentos, e 15% (2 funcionários)
dos inquiridos dizem que o uso de tais mecanismos causaria algumas dificuldades, enquanto
8% (1 funcionário) ficou na incerteza.
8%
15%
77%
Sim Não Talvez
Gráfico 3 - Respostas obtidas na terceira questão dirigida aos funcionários
35
Conclusão
O objectivo fundamental desta investigação é propor o uso de Mecanismos de Defesa contra

Província de Luanda. Os resultados desta investigação revelam que a informação se tornou
num recurso imprescindível e valioso que, como outros importantes recursos de negócios, tem
valor tanto para pessoas singulares como para as organizações e, por conseguinte, precisa ser
protegido adequadamente.
De acordo os funcionários inquiridos da empresa vinculada ao estudo, o uso de mecanismos

de segurança é importante, pois proporcionará vários benefícios a empresa KM-Services, os
mesmos afirmam que não teriam dificuldades em realizar as actividades de tradução e
interpretação de documentos em função do uso de mecanismos de segurança na empresa e
que o uso de ferramentas de criptografia ajudaria a reduzir a perda e a alteração não
autorizada dos documentos. De acordo com o gráfico da segunda questão, ficou aqui aprovada
a hipótese deste estudo.
Tendo como base os resultados obtidos nesta investigação e os diversos conceitos

apresentados sobre segurança da informação e mecanismos de segurança, concluiu-se que, na
actual era da tecnologia, as informações e as redes de comunicação de dados têm sido
expostas as ameaças, sendo que, algumas vezes, estas ameaças podem resultar em prejuízos
para as empresas, diante desta situação, é vital implementar soluções que garantam segurança
à informação e seus activos, desta forma, as empresas poderão construir relações de negócios
mais sólidas e duradouras.
36
Sugestões
Este estudo permitiu descobrir as dificuldades vivenciadas pela empresa KM-Services no que
tange a prestação dos serviços de tradução e interpretação de documentos, dificuldades
causadas pela perda e alteração não autorizada dos documentos. Para a resolução dos
problemas mencionados, sugiro a aplicação dos seguintes mecanismos de segurança:
1. Realizar formação sobre segurança da informação, com o intuito de instruir e

assegurar que os funcionários estão cientes das suas responsabilidades diante à
manipulação das informações relacionadas as tarefas quotidianas que lhes competem,
de modo a capacitá-los com conhecimento sobre procedimentos adequados de
segurança e o uso correcto das instalações de processamento das informações, de
forma a evitar o surgimento de possíveis ameaças.
2. A empresa em questão, possui uma rede de computadores utilizada apenas para a

distribuição do sinal de Internet, a aplicação de um servidor de arquivo e impressão
juntamente com um mecanismo de controlo do acesso lógico como o Windows Server,
vai possibilitar a centralização da gerência do acesso do utilizador e a utilização dos
documentos, solução esta que permitirá combater a perda e a alteração não autorizada
dos documentos. O Windows Server fornece suporte a criptografia de pastas e
ficheiros através do EFS, este recurso garante que somente o administrador da rede ou
utilizador que encriptou um determinado ficheiro tenham acesso ao mesmo.
3. Por último, também é preciso elaborar um plano de continuidade dos negócios a fim
de impedir a interrupção das actividades do negócio, face ao surgimento de falhas de
segurança (que pode ser resultante de, por exemplo, desastres naturais, acidentes,
falhas de equipamentos e acções intencionais) através da combinação de acções de
prevenção e recuperação que permitam proteger tanto as informações como a
infraestrutura de comunicação.
37
Referências Bibliográficas
Abreu, L. F. (2011). A segurança da informação nas redes socias. São Paulo, Brasil:
Faculdade de Tecnologia de São Paulo.
Alves, G. (2006). Segurança da Informação: uma visão inovadora da. Rio de Janeiro, Brasil:
Ciência Moderna Ltda.
Bitencourt, J. (2018). GESTÃO DA SEGURANÇA DA INFORMAÇÃO: DESAFIOS E

PERSPECTIVAS. Araranguá, Brasil: UNIVERSIDADE FEDERAL DE SANTA
CATARINA.
Carvalho, E. T. (2017). Controles de segurança da informação: estudo de caso em uma

empresa de médio. São Paulo, Brasil: Universidade Estadual do Norte Paraná.
Cisco. (12 de Julho de 2020). Netacad. Obtido de Netacad: https://www.netacad.com/courses/
Cortê, K. (2014). Segurança da informação baseada no valor da informação e nos pilares

tecnologia, pessoas e processos. Brasília, Brasil: Biblioteca Central da Universidade
de Brasília.
Drago, I. (2004). Segurança da Informação: Estudo exploratório em Organizações de Grande

porte do Município de Curitiba. Curitiba, Paraná, Brasil: Sector de Ciências Sociais
Aplicadas, da Universidade Federal do Paraná.
Fernandes, M. (Março de 2021). Obtido em 13 de 11 de 2021, de Starti:

https://blog.starti.com.br/mecanismos-da-seguranca/
Fernandes, N. C. (2014). Segurança da Informação. Cuiabá, Rodônia, Brasil: Instituto

Federal de Educação, Ciência e Tecnologia de Rondônia/RO.
Fia. (16 de Outubro de 2018). Tecnologia. Obtido em 13 de Novembro de 2021, de Fia:

https://fia.com.br/blog/seguranca-da-informacao/
Fontes, E. (2006). Segurança da Informação: o usuário faz a diferença (1ª ed.). São Paulo,
Brasil: Saraiva.
Galvão, M. C. (2015). Fundamentos da Segurança da Informação. São Paulo, São Paulo,

Brasil: Person Education do Brasil.
Gerhardt, T. E., & Silveira, D. T. (2009). Métodos de Pesquisa (1ª ed.). Porto Alegre, Rio
Grande do Sul, Brasil: Universidade Federal do Rio Grande do Sul.
Júnior, A., & Santos, E. M. (2012). Segurança da Informação em Hospitais: : A Percepção

da Importância de Controles para Gestores e Profissionais de TI (Vol. IV). São
Paulo, Brasil: Revista Gestão & Saúde.
Lopes, T. O. (2014). Segurança de dados e rede. Brasília, Brasil: Nt Editora.
38
Manoel, S. S. (2014). Governança de segurança da informação: Como criar oportunidades
para seu negócio. São Paulo, Brasil: Brasnorte.
Marciano, J. L. (2006). Segurança da Informação - uma abordagem social. Brasília, Brasil:

Universidade de Brasília.
Moraes, A. (2003). Redes de Computadores da Ethernet a Internet: Tecnologias e padrões;

Wireless Lan protocolos; Segurança na internet; Arquitectura cliente/servidor. São
Paulo, São Paulo, Brasil: Erica.
Moreno, N. K. (2012). Projecto de Rede de Computadores Edifício D da UniPiaget. Cidade

da Praia, Santiago, Cabo Verde: Universidade Jean Piaget de Cabo Verde.
Moresi, E. (2005). Metodologia da Pesquisa. Brasília, Brasil: Universidade Católica de

Brasília .
Murçula, M., Filho, B., & Armando, P. (2007). Informática: conceitos e aplicações (2ª ed.).
São Paulo, Brasil: Érica.
Nakamura, E. T., & Geus, P. L. (2007). Segurança de redes em ambientes cooperativos. São
Paulo, Brasil: Novatec.
Novo, J. P. (2010). Softwares de segurança da informação. Manaus, Amazonas, Brasil:

Centro de Educação Tecnológica do Amazonas.
Perez, Y. G. (2018). Fascículo sistema de informação. Ndalatando, Cuanza Norte, Angola:

Instituo Superior Politécnico de Ndalatando.
Perini, L. C. (2011). Administração de sistemas de informação. São Paulo, Brasil: Pearson

Prentice Hall.
Porto, L. A. (2011). Segutança da Informação: Um Estudo de caso na Universidade Federal

de São João Del-Rei. Lavras, Minas Gerais, Brasil.
Rosencrance, L. (Março de 2021). searchsecurity/definition/antimalware. Obtido em 18 de

Novembro de 2021, de techtarget:
https://www.techtarget.com/searchsecurity/definition/antimalware
Santos, R. C. (2007). Aspectos da Segurança da Informação: Sua Importância para as

Organizações. São Paulo, Brasil: Universidade Presidente Antônio Carlos.
Sêmola, M. (2003). Gestão da Segurança da Informação, uma viasão Executiva. Rio de

Janeiro, Brasil: Elsevier.
Silva, E. L., & Meneses, E. M. (2005). Metodologia da Pesquisa e Elaboração de

Dissertação (4ª ed.). (D. A. Silva, & R. Tapado, Edits.) Santa Catarina, Florianópolis,
Brasil: Universidade Federal de Santa Catarina.
39
Silva, E. R. (2006). Redes Universitárias Segurança e Auditoria. Cidade da Praia, Santiago,
Cabo Verde: Universidade Jean Piaget Cabo Verde.
Silva, P. T., Carvalho, H., & Torres, C. B. (2003). Segurança dos Sistemas de Informação (1º
ed.). Lísboa, Portugal: Centro Atlântico, Lda.
Sousa, B. L. (2006). TCP/IP Básico Conectividade em Redes, Dados (3ª ed.). São Paulo,
Brasil: Érica Ltda.
Spanceski , R. F. (2004). Politica de segurança da informação. París, França: Boucher.
Tanado, Y. (2002). Assinatura Digital e Validação Jurídica de Documentos Electrónicos.

Cuiabá, Mato Grosso, Brasil.
Tsunoda, D. F. (2003). Segurança de informações. Curitíba, Paraná, Brasil: Universidade

Federal do Paraná.
Valcy, I. (2013). Segurança e Auditoria de Sistemas de Informação. São Paulo, Brasil:

Universidade Federal da Baiha.
Zanella, T. (2017). Estudo sobre a Quebra de Confidencialidade da Informação e

Mecanismos de Segurança. Caxias do Sul, Brasil: Universidade de Caxias do Sul.
40
Apêndices
Apêndice A - Questionário inicial de recolha de dados
Prezados funcionários da KM-Services:
Sou o Diakuako Diombo Paulo, estudante do Instituto Superior Politécnico de Ndalatando,

sob orientação do Professor PhD Cristóvão João Zua, estou a realizar a investigação científica
sobre o seguinte tema "Proposta de uso de Mecanismos de Defesa contra Ameaças à
Segurança da Informação para a Empresa KM-Services no Município de Luanda,
Província de Luanda" de forma a obter o grau de licenciado em Informática de Gestão.
O presente questionário será aplicado no início do estudo aos funcionários pertencentes ao

nível operacional dos serviços de tradução ou interpretação de documentos e tem por intuito
analisar as preocupações da empresa em relação às informações que a empresa gerência
diariamente. Marque com X a opção fundamental que vai de encontro a sua apreciação:
Secção I - Costumes necessários para prover e sustentar a gerência adequado da

informação
1.1 A informação é reconhecida como um recurso estratégico para a empresa e de grande

importância para seus clientes?
Sim
Não
1.2 A empresa tem uma visão clara dos riscos que cercam as suas informações?
Sim
Não
1.3 A empresa planifica de forma integrada a gestão da informação através do seu ciclo de
vida (criação, armazenamento, transporte e descarte)?
Sim
Não
1.4 A tecnologia da informação é vista como um dos recursos que trazem eficiência e
eficácia às actividades da empresa?
Sim Não
41
1.5 A empresa investe em segurança da informação?
A empresa investe
A empresa não investe
Secção II - Geridos da informação
2.1 São priorizados investimentos para a formação dos funcionários no que tange a
segurança da informação?
Não são priorizados
São pouco priorizados
São fortemente priorizados
2.2 Os activos de informação são geridos de acordo o seu ciclo de vida?
Sim
Não
2.3 Existem normas implantadas para mitigar o acesso indevido às informações

electrónicas e em papel?
Existem normas implantadas
Não existem normas implantadas
Secção III – Ameaças que cercam a empresa
3.1 O acesso não autorizado às informações é uma das ameaças que afectam a empresa?
Sim
Não
3.2 A empresa tem sofrido ataques de modificação não autorizada de documentos?
Sim, tem sofrido
Não tem sofrido
3.3 Medias como notebook, pendrive, disco duro, etc., têm sido danificados?
Têm sido danificados
Não têm sido danificados
42
Apêndice B - Questionário final de recolha de dados
Após a aplicação do primeiro questionário que teve como objectivo analisar as preocupações
da KM-Services em relação as informações que a empresa gerencia diariamente, no final da
investigação do presente estudo surgiu a necessidade de se aplicar um segundo questionário
com o intuito de descobrir e entender o grau de aceitabilidade e relevância do uso de
mecanismos de segurança da informação na referida empresa. Marque com X a opção
fundamental que vai de encontro a sua apreciação:
Secção I - Importância do uso de mecanismos de segurança
1.1 De acordo o teu entender, é importante usar mecanismos de segurança na empresa

KM-Services?
Sim
Não
Talvez
Abstenções
Secção II - Uso de ferramentas de criptografia
2.1 Acreditas que com o uso de ferramentas de criptografia vai reduzir a perda e a
alteração não autorizada de documentos na empresa KM-Services?
Sim
Não
Secção III - Realização das actividades de tradução e interpretação de documentos
3.1 Achas que o uso de mecanismos de segurança dificultaria a realização das actividades
de tradução e interpretação de documentos na empresa KM-Services?
Sim
Não
Talvez
Obrigado pela colaboração
43

Proposta de Uso de Mecanismos de Defesa Contra Ameaças À Segurança Da Informação para A Empresa KM-Services No Município de Luanda, Província de Luanda

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Proposta de Uso de Mecanismos de Defesa Contra Ameaças À Segurança Da Informação para A Empresa KM-Services No Município de Luanda, Província de Luanda

Enviado por

Direitos autorais:

Formatos disponíveis

REPÚBLICA DE ANGOLA

MINISTÉRIO DO ENSINO SUPERIOR, CIÊNCIA, TECNOLOGIA E INOVAÇÃO

Proposta de uso de Mecanismos de Defesa contra Ameaças à

Monografia de Licenciatura em Informática de Gestão

Autor: Diakuako Diombo Paulo, 11871.

Orientador: PhD. Cristóvão João Zua

Ndalatanto, Agosto de 2022

Proposta de uso de Mecanismos de Defesa contra Ameaças à

Autor: Diakuako Diombo Paulo, 11871.

Trabalho de Monografia de Licenciatura

Orientador: PhD. Cristóvão João Zua

Ndalatanto, Agosto de 2022

Proposta de uso de Mecanismos de Defesa contra Ameaças à

Trabalho de Monografia apresentado ao Instituto Superior Politécnico de Ndalatando como

NDALATANDO AOS QUINZE DE AGOSTO DE DOIS MIL E VINTE DOIS

"O valor não está na forma como você

Palavras-chave: Segurança da Informação, Informação, Mecanismos de Segurança.

Key-words: Information Security, Information, Security Mechanisms.

Figura 1 - Ciclo da Segurança da informação .......................................................................... 11

Figura 2 - Estrutura orgânica da empresa ................................................................................. 31

Figura 3 - Infraestrutura de rede da empresa ............................................................................ 31

CID - Confidencialidade, Integridade e Disponibilidade.

CPU - Central Processing Unit / Unidade Central de Processamento.

EFS - Encrypting File System / Sistema de Arquivos com Criptografia.

IDS - Intrusion Detection System / Sistema de Detecção de Intrusão.

ISP - Internet Service Provider / Provedor de Serviço Internet.

LAN - Local Area Network / Rede Local de Computadores.

MIREX - Ministério das Relações Exteriores.

SSL - Secure Sockets Layer / Camada de Soquete Seguro.

TICs - Tecnologias de informação e comunicação.

SSD - Solid State Drives / Unidade de Estado Sólido.

VPN - Redes Privadas Virtual / Virtual Private Networks.

WAN - Wide Area Network / Rede de Longa Distância.

Gráfico 1 - Respostas obtidas na primeira questão dirigida aos funcionários .......................... 34

Gráfico 2 - Respostas obtidas na segunda questão dirigida aos funcionários .......................... 34

Gráfico 3 - Respostas obtidas na terceira questão dirigida aos funcionários ........................... 35

Logo para Zanella (2017), o surgimento das tecnologias de informação e comunicação,

A KM-Services é uma empresa prestadora de serviços de tradução e interpretação de

De acordo as dificuldades acima expostas, a presente investigação tenciona dar resposta ao

O uso de ferramentas de criptografia vai reduzir a perda e a alteração não autorizada de

Propor o uso de Mecanismos de Defesa contra Ameaças à Segurança da Informação para a

 Apresentar teorias sobre a segurança da informação;

Na presente investigação, optou-se pela utilização da metodologia de triangulação. A

Diferente da metodologia quantitativa, a metodologia qualitativa na perspectiva de Gerhardt e

Podemos definir questionário como a técnica de investigação composta por um conjunto de

A utilização de mecanismos de segurança da informação permitirá a KM-Services proteger as

O estudo realizado vai incentivar a KM-Services e outras empresas que manipulam,

Valor teórico/ metodológico

Poucos trabalhos de fim do curso já defendidos, pertencentes ao curso Informática de Gestão,

O Capítulo 1 – Noções gerais de segurança da informação: apresenta quadro teórico, que

O Capítulo 2 – Mecanismos de segurança: refere-se aos diversos tipos de mecanismos de

Por fim, o Capítulo 3 – Resultados e discussão: descreve o universo e a amostra da pesquisa, a

No capítulo ora exposto apresentam-se os fundamentos da segurança da informação, desde os

1.1 Dados e Informação

É comum dar-se especial atenção para as informações, considerando desprezíveis os demais

1.3 Classificação da Informação

A classificação da informação é uma maneira de assegurar que a informação receba

1.4 Ciclo de vida da Informação

 Elaboração: momento quando a informação é produzida;

1.5.1 Conceitos Chaves

Logo para Fontes (2006, p. 172), “segurança da informação é o conjunto de orientações,

Na perspectiva de Valcy (2013, p. 2), a segurança da informação é o “processo de protecção

Sêmola (2003, p. 160), conceitua a segurança da informação como “a área do conhecimento