Escolar Documentos
Profissional Documentos
Cultura Documentos
COMISSÃO DE JÚRI
_______________________________________
(Presidente)
_______________________________________
(1º Vogal)
___________________________________________
(2º Vogal)
I
Agradecimento
Primordialmente, agradeço ao supremo criador de todas as coisas, pelo fôlego de vida e pela
capacidade que me concedeu para culminar este trabalho.
Nada seria possível sem a transmissão de conhecimento por parte de algumas pessoas muito
especiais na minha vida académica, que sempre deram-me conselhos que muito contribuíram
para a minha formação académico, aos professores e ao orientador vai o meu estendido muito
obrigado.
À toda minha família, em especial aos meus pais e a todos que não citei também vai o meu
muito obrigado.
II
Epígrafe
(Amir Klink).
III
Resumo
O presente trabalho tem como objectivo propor o uso de Mecanismos de Defesa contra
Ameaças à Segurança da Informação para a Empresa KM-Services no Município de Luanda,
Província de Luanda. A segurança da informação é fundamental para assegurar o bom
funcionamento dos sistemas, bem como as redes de comunicação que os interliga, elas obtida
a partir da implementação de mecanismos de segurança, que podem ser métodos, técnicas,
procedimentos e ferramentas tecnológicas que ajudam a reduzir as ameaças que possam
explorar vulnerabilidades de forma intencional ou acidental, para obter, danificar ou destruir
as informações e os seus activos. O inquérito dirigido aos funcionários permitiu obter
resultados que atestam a hipótese da investigação. Dentre os funcionários inquiridos, cerca de
72% afirmam que o uso de mecanismos de segurança na empresa KM-Services é importante.
Quanto ao uso de ferramentas de criptografia dos 13 funcionários inquiridos 85% que
corresponde a 11 funcionários afirmam que esta solução ajudará a reduzir a perda e a
alteração não autorizada de documentos na empresa. Verificou-se também que 77% dos
funcionários dizem que uso de mecanismos de segurança não dificultaria a realização das
actividades de tradução e interpretação de documentos na empresa. O estudo mostrou que os
mecanismos de segurança asseguram a redução e eliminação de potenciais vulnerabilidades e
ameaças que podem causar danos às informações, activos de informação, desta feita, torna-se
possível minimizar os danos e maximizar o retorno dos investimentos e oportunidades de
negócios.
IV
Abstrat
The present work aims to propose the use of Defense Mechanisms against Threats to
Information Security for KM-Services Company in the Municipality of Luanda, Province of
Luanda. Information security is essential to ensure the proper functioning of systems, as well
as the communication networks that interconnect them, obtained from the implementation of
security mechanisms, which can be methods, techniques, procedures and technological tools
that help to reduce threats that may intentionally or accidentally exploit vulnerabilities to
obtain, damage or destroy information and its assets. The survey aimed at employees allowed
to obtain results that attest to the hypothesis of the investigation. Among the employees
surveyed, about 72% say that the use of security mechanisms in the company KM-Services is
important. Regarding the use of encryption tools by the 13 employees surveyed, 85%, which
corresponds to 11 employees, say that this solution will help reduce the loss and unauthorized
alteration of documents in the company. It was also verified that 77% of the employees say
that the use of security mechanisms would not make it difficult to carry out the translation and
interpretation of documents in the company. The study showed that security mechanisms
ensure the reduction and elimination of potential vulnerabilities and threats that can cause
damage to information, information assets, in this way, it becomes possible to minimize
damage and maximize the return on investments and business opportunities.
V
Lista de Figuras
VI
Lista de Abreviaturas e Siglas
CD-ROM - Compact Disc Read Only Memory / Memória somente leitura de disco compacto.
TI - Tecnologia de Informação.
VII
Lista de Gráficos
VIII
ÍNDICE
INTRODUÇÃO .......................................................................................................................... 1
CAPÍTULO 1. NOÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO ......................... 6
1.1 Dados e Informação ..................................................................................................... 6
1.1.1 Dados .................................................................................................................... 6
1.1.2 Informação ............................................................................................................ 6
1.2 Activos de Informação ................................................................................................. 7
1.3 Classificação da Informação ........................................................................................ 7
1.4 Ciclo de vida da Informação ........................................................................................ 8
1.5 Segurança da Informação ............................................................................................. 9
1.5.1 Conceitos Chaves ................................................................................................. 9
1.5.2 Segurança Física ................................................................................................... 9
1.5.3 Segurança Lógica ............................................................................................... 10
1.5.4 Ciclo da Segurança da Informação ..................................................................... 11
1.5.5 Importância da Segurança da Informação .......................................................... 11
1.6 Princípios da Segurança da Informação ..................................................................... 12
1.6.1 Confidencialidade ............................................................................................... 12
1.6.2 Integridade .......................................................................................................... 12
1.6.3 Disponibilidade................................................................................................... 13
1.7 Problemas de Segurança da Informação .................................................................... 13
1.7.1 Vulnerabilidades ................................................................................................. 14
1.7.2 Ameaças.............................................................................................................. 14
1.7.3 Riscos ................................................................................................................. 15
1.8 Tipos de Malware ...................................................................................................... 16
CAPÍTULO 2. MECANISMOS DE SEGURANÇA ............................................................... 19
2.1 Conceitos ................................................................................................................... 19
2.2 Medidas de Segurança ............................................................................................... 19
2.3 Mecanismos de Acesso Lógico .................................................................................. 20
2.3.1 Autenticação ....................................................................................................... 20
2.3.2 Antivírus ............................................................................................................. 21
2.3.3 Anti-malware ...................................................................................................... 22
2.3.4 Controlo do Acesso Lógico ................................................................................ 22
2.3.5 Criptografia......................................................................................................... 22
2.4 Mecanismos de Gerência ........................................................................................... 24
2.4.1 Plano de Continuidade dos Negócios ................................................................. 24
2.4.2 Backups .............................................................................................................. 25
2.4.3 Actualizações de Software.................................................................................. 25
2.5 Mecanismos de Tráfego de Rede ............................................................................... 26
2.5.1 Firewall ............................................................................................................... 26
2.5.2 IDS ...................................................................................................................... 27
2.5.3 VPN .................................................................................................................... 28
2.5.4 SSL ..................................................................................................................... 29
CAPÍTULO 3. RESULTADOS E DISCUSSÃO ..................................................................... 30
3.1 Caracterização da Entidade ........................................................................................ 30
3.1.1 Papel da Empresa KM-Services ............................................................................. 30
3.1.2 Visão....................................................................................................................... 30
3.1.3 Missão .................................................................................................................... 30
3.1.4 Princípios e Valores ............................................................................................... 30
3.1.5 Localização............................................................................................................. 30
3.1.6 Estrutura Orgânica.................................................................................................. 31
3.1.7 Rede de Computadores da Instituição .................................................................... 31
3.2 Fontes e dificuldades ................................................................................................. 32
3.2.1 Fontes ................................................................................................................. 32
3.2.2 Dificuldades ........................................................................................................ 32
3.3 Teste de usabilidade ................................................................................................... 32
3.4 Análise e interpretação dos resultados ....................................................................... 32
3.4.1 Questões dirigidas ao Director da Empresa ........................................................ 33
3.4.2 Questões dirigidas aos Funcionários da Empresa .............................................. 33
Conclusão ................................................................................................................................. 36
Sugestões .................................................................................................................................. 37
Referências Bibliográficas ........................................................................................................ 38
Apêndices ................................................................................................................................. 41
INTRODUÇÃO
O presente trabalho tem como tema "Proposta de uso de Mecanismos de Defesa contra
Ameaças à Segurança da Informação para a Empresa KM-Services no Município de Luanda,
Província de Luanda".
Segundo Carvalho (2017), algumas décadas atrás viveu-se a era da agricultura, a sociedade
evoluiu para a era industrial e actualmente vivencia-se a era do conhecimento, o que
aumentou o grau de importância das informações. Antes as empresas utilizavam papéis para
registar as informações, os documentos eram armazenados em pastas e guardados em
armários, porém, com o advento dos computadores, a tecnologia chegou nas empresas com o
objectivo de melhorar os processos de trabalho.
Diante deste facto, a segurança da informação passou a ser um assunto muito abordado nos
últimos tempos e tem sido, mais do que nunca, um tema bastante pertinente para as empresas,
visto que (Júnior & Santos, 2012, p. 10) “a informação é um elemento importante no processo
de tomada de decisões”, por esse motivo, precisa ser devidamente protegida, pois com a
expansão da tecnologia, as informações estão cada vez mais expostas a vulnerabilidades e
ameaças.
A segurança da informação tem deixado de ser tratada meramente como um assunto técnico
da área de informática, e vem sendo considerada uma real necessidade nas empresas, logo, o
uso de mecanismos de segurança tornou-se fundamental para a redução de situações
prejudiciais como o acesso e o uso indevido das informações, o que pode ser o suficiente para
garantir a protecção das informações, minimizando os danos e maximizando o retorno dos
investimentos e oportunidades de negócios.
1
Situação problemática
Alguns documentos traduzidos, no momento de serem impressos e entregues aos clientes, não
são encontrados e outros chegam a conter informações incertas. Este cenário fragilizou a
relação entre a empresa e a sua clientela, motivando alguns clientes a não voltar a confiar e
solicitar os serviços prestados pela KM-Services, pondo em risco a continuidade dos negócios
e a existência da empresa.
Quais mecanismos de segurança a empresa KM-Services pode adoptar para impedir a perda e
a alteração não autorizada de documentos?
Objecto de investigação
Segurança da Informação.
Campo de investigação
Mecanismos de Segurança.
Hipótese do estudo
Objectivo Geral
2
Objectivos específicos
Metodologia
Segundo Silva e Meneses (2005), a metodologia quantitativa considera que tudo pode ser
quantificável, e visa traduzir em números as opiniões e informações que as pessoas de uma
determinada população compartilham, para analisá-las e explicá-las através de técnicas
estatísticas.
Método
Durante a realização deste estudo foi empregue o método dedutivo, conceituado como o
método que parte de uma ordem de ideias gerais, devidamente reconhecidas como verdadeiras
e, a seguir, chega a conclusões particulares em virtude única da sua lógica.
Técnicas
A observação é uma técnica de colecta de dados para conseguir informações e utiliza os
sentidos na obtenção de determinados aspectos da realidade. Não consiste apenas em ver e
ouvir, mas também em examinar factos ou fenómenos que se desejam estudar.
3
Resultados esperados
Relevância social
O estudo possui um elevado valor teórico e metodológico, sendo que o mesmo servirá de
material de consulta para futuras investigações, o leitor vai puder conhecer as mais eficientes
maneiras de proteger os activos de informação contra ameaças, quer a nível individual como a
nível empresarial, contra indivíduos conhecidos ou desconhecidos, que de forma intencional
ou não, tentam corromper, adquirir, recuperar ou utilizar indevidamente as informações.
Actualidade e novidade
Estrutura do trabalho
Este trabalho foi desenvolvido em forma de capítulos, com o intuito de torná-lo mais
organizado e, assim facilitar a leitura e compreensão do tema abordado, onde:
4
informação, bem como os princípios da segurança da informação e os malwares mais comuns
que afectam as redes de dados e os dispositivos de computação;
5
CAPÍTULO 1. NOÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO
1.1.1 Dados
Muitas vezes ocorre uma confusão entre dados e informação, e ainda são comuns os casos em
que se acredita que ambos os conceitos são iguais. Ressalta-se que dados são conceitos que
não levam ao alcance de uma compreensão. Cada palavra inserida num sistema é um dado,
porém, os dados só fazem sentido quando são agrupados e podem ser analisados como
informação, (Perini, 2011, p. 12).
Conforme Perez (2018, p. 4), “dados correspondem a um atributo, uma característica, uma
propriedade de um objecto que, sozinho, sem um contexto, não tem significado”.
Pode-se entender que dados são elementos quaisquer soltos, não conectados e, que por si só,
não conduzem a compreensão de um determinado facto ou situação.
1.1.2 Informação
Segundo Novo (2010, p. 27), “informação é um conjunto de dados, ao qual se atribui valor,
utilidade ou interpretação, que pode representar um grande diferencial para os seus
detentores”.
Na perspectiva de Perez (2018, p. 4), “informação são os dados, presentes num contexto,
carregados de significados e entregues à pessoa adequada”.
Para Fontes (2006, p. 2), “informação é um recurso com valor para a organização e deve ser
bem gerida e utilizada, garantindo que ela esteja a ser disponibilizada apenas para as pessoas
que precisam dela para o desempenho das suas actividades profissionais”.
Podemos então dizer que a informação é um conjunto de dados, presentes num contexto e
carregados de significados, que, como qualquer outro activo importante no quotidiano das
pessoas e organizações, possui um valor mensurável, por isso, precisa ser protegida de forma
adequada.
6
1.2 Activos de Informação
Qualquer coisa que tenha valor para um indivíduo ou uma organização, tal como: a
informação imprensa ou digital, o hardware do computador, equipamento de rede, software,
habilidade de produzir um produto ou fornecer um serviço é chamado activo.
É habitual a ideia de que apenas a informação constitui um activo, no sentido de ser bem
valorizado e preservado. Entretanto, o foco deste trabalho vai mais além, não dando
importância somente para as informações, mas também, para os activos de informação, que de
acordo com Marciano (2006, p. 46) “compreendem o conjunto de indivíduos, componentes
tecnológicos e processos envolvidos em alguma das etapas do ciclo de vida da informação”.
Conforme Tsunoda (2003, p. 4) “toda categoria de documento de uma corporação, deve exibir
de maneira clara, o respectivo grau de acessibilidade, ou seja, o seu grau de sigilo, o que
requer classificar todas as informações segundo o seu grau de criticidade”.
De acordo com Spanceski (2004, pp. 19-20), “a classificação mais comum actualmente é
aquela dividida em quatro níveis: secreta, confidencial, interna e pública”. O autor
anteriormente citado, conceituou os quatro níveis da seguinte maneira:
Secreta: estas informações devem ser acessadas por um número restrito de pessoas e o
controlo sobre tais informações deve ser total. São informações essenciais para a
empresa, portanto, a sua integridade deve ser preservada. O acesso interno ou externo
por pessoas não autorizadas a essa categoria de informação é extremamente crítico
para a instituição.
7
Confidencial: estas informações devem ficar restritas ao ambiente da empresa, o
acesso a essas informações é feito segundo a sua estrita necessidade, ou seja, os
utilizadores só podem acessá-las se estes forem fundamentais para o desempenho
satisfatório das suas funções na instituição. O acesso não autorizado há estas
informações podem causar danos financeiros ou perdas da fatia do mercado para o
concorrente.
Interna: essas informações não devem sair do âmbito da instituição, porém, se isto
ocorrer as consequências não serão críticas, no entanto, podem denegrir a imagem da
instituição ou causar prejuízos indirectos não desejáveis.
Públicas: informações que podem ser divulgadas para o público, incluindo clientes,
fornecedores, imprensa, não possuem restrições para divulgação.
Segundo o Manoel (2014, p. p2), “as informações devem ser protegidas durante todo o seu
ciclo de vida”. De acordo com o autor acima exposto, as etapas do ciclo de vida das
informações são as seguintes:
Em cada etapa do ciclo de vida da informação deve-se garantir as três principais propriedades
da informação, nomeadamente, a confidencialidade, integridade e disponibilidade, além dos
aspectos, autenticidade e a legalidade, que complementam as principais propriedades.
Todavia Manoel (2014, p. 4), alerta-nos o seguinte: “se uma das principais propriedades for
desrespeitada em alguma etapa do ciclo de vida da informação, isso significa uma quebra da
segurança da informação”.
8
1.5 Segurança da Informação
A Segurança da Informação é um tema bastante discutido não somente nas salas de aula,
como também por profissionais de TI e pelas organizações, por tratar-se de assegurar a
protecção das informações, tanto pessoais como organizacionais, que uma vez lidas ou até
mesmo distribuídas, poderão ocasionar transtornos à vítima.
A segurança pode ser considerada, de forma geral, como o estado, qualidade ou condição de
quem, ou do que está livre de perigos, incertezas, assegurado de danos e riscos eventuais.
Na visão de Alves (2006, p. 15), a segurança da informação “visa proteger a informação para
garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos
investimentos e as oportunidades de negócios”.
Baseando-se nos conceitos acima citados, podemos definir a segurança da informação como o
ramo fundamental do saber, que visa proteger as pessoas e organizações contra uma vasta
gama de ameaças capazes de explorar as vulnerabilidades nos activos de informação, afim de
acessar e utilizar indevidamente as informações.
Segundo Silva, Carvalho e Torres (2003), o ambiente físico onde a empresa opera pode
constituir um dos mais importantes elementos no que diz respeito à salvaguarda das
informações. A escolha errada da localização e da sua divisão interna, contribui
decisivamente para a construção de ambientes não seguros, estes erros são fruto do
9
condicionamento do espaço e aplicação de estratégias de protecção física inadequadas, que
podem fragilizar a capacidade de protecção da informação.
Também podemos conceituar a segurança física como a aplicação de barreiras físicas que
servem para restringir o acesso directo à informação ou infraestrutura, para garantir a
existência da informação e os meios que as suportam.
A segurança do pessoal é um aspecto muito importante dado que são as pessoas que
interagem diariamente com os sistemas, têm acesso às informações contidas nos
sistemas, muitas vezes essas pessoas são tidas como as principais ameaças, por isso, é
importante que o funcionário após ser contratado, receba um treino adequado sobre os
seus deveres na empresa, o que contribui para a redução de ameaças e erros
provocados pelo pessoal da organização.
A segurança dos equipamentos visa a protecção do hardware computacional e outros
equipamentos, as interligações e fornecimento de energia. Ao elaborar-se as
directrizes de segurança de uma empresa, não deve ser considerada somente a
localização e disposição física dos equipamentos, mas também a protecção contra
acessos não autorizados, a salvaguarda e descartes de ficheiros, manutenção e
aquisição de novos equipamentos, além da cablagem e toda a infraestrutura utilizada.
A segurança das instalações permite garantir uma segurança adequada a localização
e a estrutura das instalações de equipamentos informáticos, considerando o conjunto
de normas internacionalmente estipuladas para a localização de uma instalação
informática, estes devem ficar em lugares adequados para ir em consonância com a
própria palavra segurança.
De acordo com Sousa (2006, p. 54), a segurança lógica “envolve aspectos de prevenção
contra interceptação e modificação de informações, sigilo no tráfego dos dados na rede,
alterações de softwares, acessos não autorizados à informação e os demais aspectos
relacionados ao acesso e a manipulação de informações digitais”.
10
Segundo Santos (2007, p. 5), a segurança lógica “visa proteger as informações, com a
finalidade de impedir a alteração, divulgação ou destruição das informações, seja ela
intencional ou não, dando maior atenção à criação e utilização de senhas”.
A segurança lógica assenta no controlo das autorizações para o acesso aos recursos humanos,
na identificação e autenticação das informações e dados na rede. Ela assegura que cada
utilizador trabalhe sem modificar nem os programas, nem os ficheiros que não correspondem
aos seus domínios de trabalho.
11
Todavia, Drago(2004, p. 1), reforça a sua ideia, dizendo que a segurança da informação tem
deixado de ser tratada meramente como um assunto técnico da área de informática, e vem
sendo considerada uma real necessidade nas organizações, visto que a informação é um dos
activos mais valioso de uma empresa e, em função desta realidade, a segurança passou a ser
um requisito estratégico, que interfere na capacidade das organizações de realizarem negócios
e no valor dos seus produtos e serviços no mercado.
Segundo Abreu (2011), a protecção da informação é vital para o bom funcionamento de uma
empresa, no campo da segurança da informação ela é caracterizada pela trilogia CID, ou seja,
confidencialidade, integridade e disponibilidade, que são as três principais propriedades da
segurança da informação. Nos três subtítulos abaixo encontram-se a descrição da tríade CID
feita pelo referido autor.
1.6.1 Confidencialidade
Além disso, os funcionários devem receber um treino para entender as melhores práticas de
protecção das informações confidenciais para a sua segurança e da empresa, usando
mecanismos de segurança, tais como: criptografia, senha do utilizador, autenticação, etc.
1.6.2 Integridade
12
As permissões e o controlo do acesso dos utilizadores podem impedir o acesso não autorizado
aos ficheiros. Um exemplo, vamos supor que um gerente de uma empresa determina aumento
de salário de 2% aos funcionários, para isso, utilizou o seu email para o departamento
financeiro. Alguém interceptou e alterou de 2% para 20% o aumento, isso implicaria prejuízos
financeiros para a empresa. O controlo de versão pode ser usado para evitar alterações feitas
por indivíduos autorizados ou não autorizados, os backups devem estar disponíveis para
restaurar quaisquer documentos danificados.
1.6.3 Disponibilidade
Actualmente entre boa parte das empresas é bastante comum e recorrente o surgimento de
problemas de segurança da informação que podem causar prejuízos inestimáveis, como a
perda de equipamentos, fuga ou roubo de informações sigilosas ou até mesmo a
descontinuidade dos negócios.
Dentre os problemas mais comuns de segurança da informação nas empresas e não só,
destacam-se as vulnerabilidades, ameaças e riscos.
13
1.7.1 Vulnerabilidades
De acordo com Sêmola (2003), “as vulnerabilidades são fragilidades associadas aos activos
relacionados às etapas do ciclo de vida das informações, que quando exploradas por uma
ameaça, expõem as informações ao furto, roubo, perda ou ao uso indevido”.
Logo para Marciano (2006), uma vulnerabilidade representa um ponto potencial de falha, ou
seja, um elemento relacionado à informação que é susceptível de ser explorado por alguma
ameaça que tenta concretizar um ataque, pode ser um servidor ou sistema computacional, uma
instalação física ou, ainda, um utilizador ou um gestor de informações.
1.7.2 Ameaças
Segundo Galvão (2015), “ameaça é algo que pode provocar danos à informação e aos seus
activos, prejudicar às acções da empresa ou de uma pessoa, mediante a exploração de alguma
vulnerabilidade”.
14
Zanella (2017), afirma que, as ameaças podem ser entendidas como qualquer evento,
acontecimento ou entidade que possa agir de forma indesejável contra as informações e os
seus activos, por meio da exploração de vulnerabilidades, provocando perda de
confidencialidade, integridade e disponibilidade, o que pode causar impactos negativos à vida
de um indivíduo ou aos negócios de uma organização.
Segundo Novo (2010), as ameaças podem ser classificadas de vários modos, mas as mais
comuns são as seguintes:
Efectivamente um estudo sobre ameaças levado a cabo por Bitencourt (2018), permitiu
chegar a seguinte conclusão: as ameaças surgem das mais diversas formas, podendo ser
acidental ou intencional, mas quanto as intencionais, as mais decorrentes são a destruição de
informações ou recursos, modificação ou deturpação da informação, furto, remoção ou perda
da informação e a revelação de informações confidenciais.
Moraes (2003), revela que muitas das organizações se preocupam e estão focalizadas nos
problemas de segurança da informação que podem ocorrer, resultante dos acessos externos,
como a Internet, que é o caso de uma ameaça externa, no entanto, a maior parte das ameaças é
resultante de invasores que na verdade a empresa já contratou ou pelos funcionários da
própria organização, essa categoria de ameaça é conhecida como ameaça interna.
1.7.3 Riscos
Relativamente a este assunto Valcy (2013), elucida que, “no campo da segurança da
informação, o risco pode ser entendido como a probabilidade de ameaças explorarem
vulnerabilidades de um determinado activo de modo a comprometer a sua segurança”.
15
É de salientar que Novo (2010), frisa que praticamente, quase toda empresa ou utilizador
doméstico usa o computador conectado a uma rede local ou a rede global, e esta ferramenta
possibilita facilidades e oportunidades tanto profissionais como de entretenimento e lazer,
seria muito difícil para estas pessoas viverem sem ela. Infelizmente, para aproveitar todos
esses recursos, são necessários certos cuidados, pois os riscos são inúmeros.
De qualquer forma, Novo (2010), reforça a sua ideia ao dizer que, para as empresas todo
activo apresenta algum risco, podendo gerar um impacto grande ou pequeno aos negócios,
para isso, é necessário fazer um levantamento dos activos e classificá-los quanto aos riscos, de
forma a facilitar a implementação de medidas de segurança mais eficientes.
Spyware: termo utilizado para se referir a uma categoria de software que tem o
objectivo de monitorar actividades de um sistema e enviar as informações colectadas
para terceiros. Dessa forma, o spyware objectiva invadir o sistema, interceptando
informações do utilizador, além disso, pode capturar logins e senhas de acesso e
verificar os sites acessados, enviando todas as informações colectadas sem a
percepção do utilizador;
Adware: é um tipo de software projectado para apresentar propagandas, seja através
de um navegador ou através de algum outro programa instalado em um computador. O
adware causa enormes transtornos aos utilizadores, uma vez que abre janelas do
browser de forma involuntária, interrompendo o seu trabalho e podendo até mesmo
gerar conflitos entre os demais programas;
Vírus: é um código executável malicioso que modifica ou exclui informações,
também anexado a outros ficheiros, muitas vezes programas legítimos. A maioria dos
vírus necessita de activação do utilizador final e pode ser activado numa hora ou data
específica.
Cavalo de Tróia: é um malware que realiza operações maliciosas sob o pretexto de
uma operação desejada. Esse código malicioso explora os privilégios do utilizador que
o executa. Muitas vezes, os cavalos de tróia são encontrados em ficheiros de imagem,
16
ficheiros de áudio ou jogo. Um cavalo de tróia difere de um vírus porque está
vinculado aos ficheiros não executáveis;
Worm: programa capaz de se propagar autonomamente através da rede de
comunicação de dados, enviando cópias de si mesmo de um computador para outro
computador. Esse tipo de malware se dissemina de forma rápida e em grande
quantidade, contaminando uma rede rapidamente e dificultando a sua exterminação,
deixando a rede mais lenta;
Keylogger: programa capaz de capturar e armazenar as teclas digitadas pelo utilizador
no teclado de um computador;
Bot: é um malware projectado para executar automaticamente a acção, geralmente
online. Enquanto a maioria dos bots (Internet robots ou robôs da Internet) é
inofensivo, uma utilização progressiva de bots maliciosos são os botnetes (conjunto de
bots). Vários computadores estão infectados com bots programados para esperar
calmamente os comandos fornecidos pelo invasor.
Rootkit: este malware é projectado para modificar o sistema operativo e criar uma
porta de fundo. Os invasores usam a porta de fundo para acessar o computador
remotamente. A maioria dos rootkit utilizam as vulnerabilidades do software para
escalonar privilégios e modificar ficheiros do sistema operativo.
Ransomware: é um malware que se propaga através de um ficheiro baixado ou
alguma vulnerabilidade de software, ele é projectado para manter preso o dispositivo
computacional ou as informações incluídas nele, até que o pagamento seja feito. O
ransomware normalmente encripta os ficheiros no computador com uma chave
desconhecida ao utilizador.
Scareware: é um tipo de malware projectado para persuadir o utilizador a executar
uma acção específica com base no medo. O scareware simula janelas pop-up que se
assemelham às janelas de diálogo do sistema operativo, transmitindo mensagens
falsificadas que afirmam que o sistema está em risco ou precisa da execução de um
programa específico para retornar à operação normal.
De acordo com a Cisco (2020), “na sua plataforma de ensino virtual Netacad,
independentemente do tipo de malware que infecta um sistema, os sintomas mais comuns da
presença de malware” são:
17
O computador trava frequentemente;
Diminuição da velocidade de navegação na Internet;
Problemas inexplicáveis com conexões de rede;
Ficheiros são modificados;
Ficheiros são excluídos;
Presença de ficheiros, programas ou ícones de desktop desconhecidos;
Processos desconhecidos em execução;
Programas que se desligam ou reconfiguram sozinhos;
Envio de emails sem o conhecimento ou consentimento do utilizador.
Concordando com a ideia acima descrita, podemos aqui reter que tais cuidados podem
impedir a concretização dos objectivos para os quais os malwares foram criados, como
provocar a perda ou corrupção das informações contidas nos computadores, usar
indevidamente informações pessoais do utilizador, controlar ou danificar remotamente o
computador do utilizador ou a rede de comunicação que as interliga.
18
CAPÍTULO 2. MECANISMOS DE SEGURANÇA
2.1 Conceitos
Segundo Fia (2018), “um mecanismo de segurança é uma acção, técnica, método ou
ferramentas estabelecidas com o objectivo de preservar o conteúdo sigiloso e crítico de um
indivíduo ou uma empresa”.
Para Sêmola (2003), “os mecanismos de segurança são práticas, procedimentos e mecanismos
usados para a protecção das informações e seus activos, prevenindo contra as ameaças e
impedindo que estas explorem vulnerabilidades”.
Na visão de Zanella (2017), “os mecanismos de segurança são técnicas ou métodos que
limitam o acesso à informação e a infraestrutura que a suporta, reduzindo o risco da
ocorrência de crimes digitais e cibernéticos”.
Fernandes (2021) afirma que “os mecanismos de segurança são amplos e utilizados em
diversos campos da segurança da informação. Eles são fundamentais na ampliação da
protecção das redes empresariais, para que, dentro de cada cenário, essas redes sejam mais
seguras e resilientes”.
Diante desta ordem de ideias, é possível aqui retermos que os mecanismos de segurança não
são apenas ferramentas tecnológicas, também são práticas, técnicas, métodos e procedimentos
relacionados, que visam proteger as informações e seus
Novo (2010, pp. 35-36) na sua obra “Softwares de Segurança da Informação” descreve três
tipos de medida de segurança existentes, que são:
19
vulnerabilidades e manter as ameaças sob controlo”. Como exemplo, podemos citar as
palestras para a consciencialização dos utilizadores, ferramentas como firewall e
antivírus.
Medidas prospectivas: são aqueles mecanismos planeados e executados durante o
ciclo normal das actividades da empresa, buscando identificar vulnerabilidades e
ameaças que estejam ocultas que façam parte das informações e seus activos”. Como
exemplo temos os IDS, câmaras de vigilância e alarmes.
Medidas correctivas: são aqueles mecanismos executados após o dano à informação
ou ao activo de informação. Buscam eliminar ou minimizar os impactos sofridos, bem
como colaborar com a criação de outras medidas de segurança que evitem a repetição
do problema”. Exemplos de medidas correctivas são os backups, plano de
continuidade operacional e o plano de recuperação de desastres.
2.3.1 Autenticação
De acordo com Novo (2010), o processo de autenticação ocorre quando os utilizadores sabem
que estão a acessar as informações desejadas no servidor correcto, que os dados enviados
chegaram ao destino e não sofreram mudanças, onde somente o receptor poderá ler as
informações. Em contrapartida, o servidor precisa garantir que a comunicação está a ser feita
com o utilizador certo e que o conteúdo da mensagem e a identidade do emissor estão
correctos.
20
A autenticação é realizada entre as partes envolvidas por meio de uma assinatura digital, que
consiste num conjunto de códigos digitais (has) que é associado a uma mensagem transmitida
por meio electrónico, permitindo verificar a entidade de quem está a enviar a informação,
comprovar que realmente é quem diz ser, garantindo a integridade da informação.
Quando a mensagem chegar ao destinatário, o receptor deverá utilizar sua chave privada para
desencriptar o documento, gerando um novo resumo a partir da mensagem que está
armazenada, para em seguida, comparar com a assinatura digital.
Caso o documento tenha sido alterado, a chave privada não vai conseguir descodificar o
ficheiro, a assinatura é corrompida, o documento não é reconhecido, ou seja, se o hash
original não for igual ao hash gerado na recepção do documento, a mensagem não está
íntegra.
2.3.2 Antivírus
Os antivírus, como o próprio nome diz, são programas de protecção de computadores que
detectam e eliminam os vírus, assim como impedem a sua instalação e propagação.
Silva, Carvalho e Torres (2003), afirmam que actualmente poucas são as organizações que
não utilizam de forma mais ou menos coordenada, qualquer mecanismo antivírus nos seus
sistemas. De facto, com a actual proliferação dos códigos maliciosos e de ferramentas
destinadas a criar vírus através da rede mundial de computadores, é quase “suicídio” criar
uma ligação entre dois sistemas sem pensar em qualquer tipo de protecção contra estas
ameaças.
Segundo Porto ( 2011), os antivírus podem ser divididos em duas categorias: gratuitas e por
assinatura, e para melhor efectividade do antivírus, são necessário constantes actualizações,
pois todos os dias são criados novos vírus. Portanto, é essencial que o utilizador seja
devidamente treinado para prevenir e reconhecer possíveis ataques, não bastando apenas a
instalação dessas ferramentas de segurança.
21
2.3.3 Anti-malware
A visão de Cortê (2014), reforça o conceito acima descrito, segundo o autor, embora os
termos malware e vírus sejam frequentemente usados de forma intercambiável,
historicamente, eles não se referem à mesma coisa, pois um vírus é um tipo de malware, mas
nem todas as formas de malware são vírus.
Segundo Sousa (2006), o controlo do acesso lógico envolve aspectos de prevenção contra
interceptação e modificação de informações, alterações de softwares, invasões em sistema,
acessos não autorizados a informação e demais aspectos relacionados ao acesso e
manipulação das informações da empresa.
Neste sentido, Fernandes (2014), afirma que: os mecanismos mais utilizados são os de
autenticação, os mais conhecidos são os logins e senhas, neste caso, o utilizador terá uma
identidade para todos serviços, conhecido como modelo centralizado de acesso, que libera o
acesso ao sistema para o utilizador uma única vez no servidor que, a partir daí, poderá utilizar
os seus privilégios por um tempo determinado.
2.3.5 Criptografia
Segundo Marciano (2006), a Internet é um dos maiores recursos tecnológicos que oferece a
oportunidade de realizar várias actividades que vão desde compras, operações bancárias até
serviços virtuais, só que a segurança também deve ser eficiente, devido a dimensão dos
serviços ofertados, que envolvem informações pessoais, profissionais e financeiras, sendo
estes motivos de preocupação.
Novo (2010), afirma categoricamente que, controlar acessos a partir de senhas já não é tão
seguro, sendo assim, a criptografia surge como uma ferramenta que fornece técnicas para
22
codificar e descodificar informações, para que os mesmos não possam ser recuperados,
transmitidos e alterados por pessoas não autorizadas.
Cifra simétrica: também chamada de cifra de chave secreta, neste algoritmo, tanto
quem envia e quem recebe a mensagem, devem possuir a mesma chave. Essa operação
acontece através da utilização de uma chave secreta, no entanto, há sempre risco de
descoberta da chave por parte de terceiros, utilizando métodos de força bruta.
Cifra assimétrica: ao contrário da simétrica, este modo baseia-se na utilização de
duas chaves, uma chave privada e a correspondente chave pública, ou seja, quando
uma mensagem é codificada usando a chave pública só pode ser descodificada com a
chave privada correspondente.
A criptografia, segundo Murçula, Filho, e Armando (2007), ocorre em fases, iniciando sua
transformação antes da transmissão ao destinatário, recebendo uma chave para ser
descaracterizada; na segunda fase, a mensagem é transmitida, caso seja interceptada não
poderá ser descodificada, pois só será possível com uma chave de criptografia e, por fim, na
terceira fase, a mensagem chega no seu destino e para ser descodificada utiliza-se a chave
usada para codificar a mensagem (criptografia simétrica) ou a correspondente chave privada
(criptografia assimétrica).
De acordo com Novo (2010), “a criptografia digital é aplicada através de ferramentas que
possibilitam ao utilizador trabalhar com criptografia de dados, garantindo que as informações
serão mantidas confidenciais. Existem basicamente três tipos de ferramentas de criptografia”,
que são:
Zanella (2017), por sua vez, salienta que informação orgânica não está mais contida apenas
em suportes convencionais, como o papel, se fazendo presente cada vez mais os documentos
em suporte digital, contribuindo para o acelerado aumento do volume documental. Em meio a
essa gama de informações diárias, é necessária a selecção daquelas que realmente são
importantes para a organização e dispor de mecanismos para preservá-las a longo prazo,
torná-las acessíveis a tempo e hora e a quem de direito.
Concordando com a lógica do pensamento do autor, podemos entender que o desafio está em
definir mecanismos de gerência adequados que garantam a segurança da informação
electrónica e dos seus activos de tal forma que não sejam degradados ou fiquem indisponíveis
para os utilizadores devidamente autorizados.
Segundo Lopes (2014), o plano de continuidade dos negócios, “são práticas ou procedimentos
que facilitam e permitem a gerência de contingência e recuperação, realizando melhoria
contínua da gerência dos incidentes”.
Ao passo que na humilde visão de Drago (2004), no âmbito do plano de continuidade dos
negócios são definidos os procedimentos para a protecção das operações da organização, e
não somente seus sistemas computacionais, afinal sem o pessoal, procedimentos em
funcionamento e conectividade, não faz sentido restaurar os sistemas.
De qualquer forma, Drago (2004), reforça a sua ideia afirmando que, outra área de
intervenção do plano de continuidade dos negócios é a reconstituição das informações
perdidas, que poderá ser conseguida, caso necessário, através de procedimentos de
recuperação dos mesmos junto dos funcionários e terceiros, como por exemplo, os clientes e
fornecedores.
Podemos aqui reter que, a perda da informação e a inoperabilidade ou danificação da rede que
conecta os sistemas pode causar perda monetária, e ao mesmo tempo, põem em risco a
24
expansão e o crescimento da empresa, logo, todos estes factos tornam o plano de continuidade
dos negócios uma ferramenta indispensável para empresas que dependem das TICs para a
realização das suas actividades.
2.4.2 Backups
Segundo Fernandes (2014), dentre os vários tipos de ameaças existentes, algumas que têm a
capacidade de atacar os dispositivos computacionais fazendo a eliminação de ficheiros, é por
esse motivo que existem os backups (cópia de segurança), criados e armazenados em locais
separados para que seja possível recuperá-los diante da perda de algum ficheiro ou
danificação dos sistemas ou da infraestrutura que os suporta.
Ao meu entender, o backup deve ser feito periodicamente (diário, semanal, quinzenal ou
mensal) de forma que, se algum incidente de segurança ocorrer, as informações possam ser
imediatamente recuperadas sem nenhum dano.
Segundo Spanceski (2004), as actualizações nem sempre são vistas com bons olhos pelos
utilizadores das mais variadas tecnologias actuais utilizadas com tanta frequência. Parece
óbvio, mas as actualizações são muito importantes para manter um funcionamento estável e
seguro dos softwares e aplicações que usamos diariamente.
O mesmo autor, realça que de forma quase automática, a medida em que uma notificação de
actualização surge, o utilizador procura pelo botão “actualizar mais tarde”. O problema é que
este “mais tarde” vai ficar cada vez mais distante e essa acção simples continuará sendo
adiada, em sua maioria, de grande valor.
25
recém-descobertas, o que as torna responsáveis por corrigir os erros de software e manter o
funcionamento seguro dos dispositivos computacionais.
Relativamente a este assunto, Porto (2011), elucida que, “apesar dessas actualizações de
software parecerem um incómodo, recomenda-se aceitá-las como uma medida preventiva para
a correcção de falhas de software, desta feita, assegurar-se-á o bom funcionamento do
dispositivo computacional e a protecção das informações lá existentes”.
Segundo Valcy (2013), os mecanismos de tráfego de rede têm como finalidade proteger os
dispositivos computacionais, as redes de computadores e os dados que trafegam pela rede,
fazendo a análise do fluxo de dados entre a rede privada e a rede externa, controlando,
restringindo ou permitindo o tráfego de dados que obedecem as regras preestabelecidas pela
gerência de TI da organização.
2.5.1 Firewall
Segundo Moreno (2012, p. 60), a segurança da rede é assegurada por vários mecanismos, mas
nenhum garante uma segurança total das ameaças que os sistemas estão sujeitos. As
tecnologias de criptografia ajudam a garantir transmissões segura de informações privadas
sobre uma rede pública, porem isso não provê nenhuma maneira de evitar que o tráfego
indesejável abranja a rede. É neste contexto que entra o firewall (parede de fogo) como um
meio para garantir a segurança dos sistemas e da rede.
26
Firewall corporativo: é aquele desenvolvido com o intuito de proteger o tráfego de
dados entre uma rede de dados empresarial e a Internet. Oferece muitas opções de
configuração, necessitando de profissionais qualificados para operá-lo. Pode ser
software livre ou software comercial proprietário.
Firewall de software: são programas de computador que executam actividades de
firewall comuns. Podem ser instalados na máquina do utilizador ou na borda externa
de uma rede de dados. Têm a desvantagem de consumir recursos de processamento e
memória do computador onde está instalado;
Firewall de hardware: são equipamentos dedicados a executar actividades de
desempenho de firewall mais avançados, no entanto, são mais caros que as soluções
em software, além de necessitar de alimentação eléctrica.
Todavia, Fernandes (2014, p. 52), alerta-nos de que “o facto de se ter instalado um sistema de
firewall na organização não significa que a rede esteja totalmente protegida contra invasões,
eles protegem apenas contra os ataques externos, ficando inertes contra os ataques que partem
de dentro da própria empresa”.
Para que a implementação tenha êxito, é importante fazer o levantamento do perfil da empresa
no qual será aplicado esse mecanismo de segurança e, a partir daí, seleccionar as funções que
ele desempenhará na rede.
2.5.2 IDS
O IDS é um dispositivo de rede dedicado, que colhe e analisa dados, buscando detectar os
tráfegos maliciosos.
Quando um tráfego de dados malicioso é detectado, o IDS regista a detecção e cria um alerta
para o administrador da rede. Ele não age quando ocorre a detecção, então não impede as
ameaças, o trabalho do IDS é apenas detectar, registar e relatar.
Segundo Novo (2010, p. 33), os IDS permitem os administradores das redes de computadores
saber sobre as invasões que estão ocorrendo ou mesmo as tentativas de invasão a rede, sendo
capazes também de identificar possíveis ataques feitos internamente, ou seja, ocorridos na
própria empresa, pois essas invasões o firewall não detecta.
27
A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se
prevenir contra o atraso da rede, o IDS é geralmente colocado off-line, separado do tráfego
regular da rede, os dados são espalhados pelo Switch e então encaminhados para o IDS para a
detecção off-line.
2.5.3 VPN
A VPN é uma tecnologia de rede pública como a Internet, designa um conjunto de nós que
comunicam entre si numa rede privada virtual, utilizando a encriptação, de modo que as suas
mensagens não possam ser interceptadas nem compreendidas por utilizadores não
autorizados.
As redes privadas virtuais ou Virtual Private Networks, são constituídas por tecnologias que,
através da utilização de vários protocolos, criam canais seguros de comunicação em
ambientes públicos, como a Internet. Todos os dados transmitidos através destes canais ou
“túneis”, são cifrados e possuem controlo de integridade, o que significa que, caso sejam
alterados em trânsito, são rejeitados pelo destinatário e retransmitidos pelo emissor.
A seguir são apresentadas as três aplicações das VPNs consideradas como as mais
importantes:
Em resumo, as VPNs podem constituir uma alternativa segura para a transmissão de dados
através de redes públicas ou privadas, uma vez que já oferecem recursos de autenticação e
28
criptografia com níveis variados de segurança, possibilitando eliminar os links dedicados de
longa distância e de altos custos na conexão de WANs.
2.5.4 SSL
De acordo com o Cortê (2014), o protocolo SSL torna a comunicação cliente-servidor segura
actuando entre as camadas transporte e a aplicação, actuando entre as aplicações Web da
seguinte maneira: a mensagem enviada pelo cliente a partir de um aplicativo Web, é
fragmentada em blocos e comprimida, posteriormente autenticada, encriptada e o resultado é
transmitido, e quando a mensagem chega ao destinatário acontece o processo inverso, ela é
desencriptada, verificada, descomprimida, recomposta e repassada para a camada aplicação.
Prover segurança criptográfica para estabelecer uma conexão segura entre dois pontos;
Prover interoperabilidade de forma que programadores independentes sejam aptos a
desenvolver aplicações capazes de trocar dados com outros códigos que também o
utilizem;
Extensibilidade, ou seja, possibilitar de forma flexível a implementação de novos
métodos criptográficos ou protocolos sem a necessidade de mudança das suas bases
estruturais;
29
CAPÍTULO 3. RESULTADOS E DISCUSSÃO
3.1.2 Visão
3.1.3 Missão
3.1.5 Localização
30
3.1.6 Estrutura Orgânica
Presidência
Secretaria
A KM-Services utiliza uma rede local de computadores de topologia híbrida para realizar as
actividades de tradução e interpretação de documentos, pós alguns computadores estão
ligados a rede via cabo e outros sem cabo (Wifi).
31
3.2 Fontes e dificuldades
3.2.1 Fontes
Para a elaboração desta monografia utilizou-se conteúdos de fontes de pesquisa como artigos
científicos, livros, monografias e teses, estes materiais possibilitaram interpretar e explicar o
tema, de igual modo foi utilizada a empresa KM-Services, onde foram recolhidas algumas
informações.
3.2.2 Dificuldades
As dificuldades fazem parte de qualquer estudo de cunho científico e o presente trabalho não
ficou isento desta realidade, foi difícil encontrar e ter acesso às obras literárias credíveis para
elaboração deste trabalho, do mesmo modo houve dificuldades no processo de colecta de
dados na empresa relacionada a este estudo, pois algumas instituições têm pouca cultura de
fornecer dados aos investigadores ou estudantes.
O Teste de usabilidade em informática é definido como uma técnica que tem como objectivo,
observar os utilizadores reais que utilizam ou utilizarão um determinado produto para
descobrir problemas e pontos de melhoria. O produto, que pode ser um site, uma aplicação
Web ou um produto físico.
32
3.4.1 Questões dirigidas ao Director da Empresa
1- No seu ponto de vista, quais são os benefícios que o uso de Mecanismos de Defesa
contra Ameaças à Segurança da Informação pode proporcionar a Empresa KM-
Services?
O gráfico abaixo nos mostra que 72% correspondente a 10 funcionários dos 13 submetidos ao
inquérito (questionário), afirmam que o uso de mecanismos de segurança na empresa KM-
Services é importante, ao passo que 14% disse não e outro 14% ficou na indecisão e ninguém
se absteve, o que me levou a perceber que será uma acção positiva.
33
0%
Gráfico da 1ª Questão
14%
14%
72%
Conforme ilustra o gráfico da segunda questão, dos 13 funcionários inquiridos 85% que
corresponde a 11 funcionários afirmam que o uso de ferramentas de criptografia vai reduzir a
perda e a alteração não autorizada de documentos na empresa, enquanto 15% correspondente
a 2 funcionários afirmaram que o uso de ferramentas de criptografia não vai reduzir a perda e
a alteração não autorizada de documentos.
Portanto, convém aqui dizer que a maioria dos funcionários da empresa KM-Service acredita
que o uso de ferramentas de criptografia vai reduzir a perda e a alteração não autorizada de
documentos, conforme mostra as respostas dos funcionários inquiridos afirmando sim com
85%.
Gráfico da 2ª Questão
15%
85%
Sim Não
34
Realização das actividades de tradução e interpretação de documentos
Gráfico da 3ª Questão
8%
15%
77%
35
Conclusão
36
Sugestões
Este estudo permitiu descobrir as dificuldades vivenciadas pela empresa KM-Services no que
tange a prestação dos serviços de tradução e interpretação de documentos, dificuldades
causadas pela perda e alteração não autorizada dos documentos. Para a resolução dos
problemas mencionados, sugiro a aplicação dos seguintes mecanismos de segurança:
3. Por último, também é preciso elaborar um plano de continuidade dos negócios a fim
de impedir a interrupção das actividades do negócio, face ao surgimento de falhas de
segurança (que pode ser resultante de, por exemplo, desastres naturais, acidentes,
falhas de equipamentos e acções intencionais) através da combinação de acções de
prevenção e recuperação que permitam proteger tanto as informações como a
infraestrutura de comunicação.
37
Referências Bibliográficas
Abreu, L. F. (2011). A segurança da informação nas redes socias. São Paulo, Brasil:
Faculdade de Tecnologia de São Paulo.
Alves, G. (2006). Segurança da Informação: uma visão inovadora da. Rio de Janeiro, Brasil:
Ciência Moderna Ltda.
Fontes, E. (2006). Segurança da Informação: o usuário faz a diferença (1ª ed.). São Paulo,
Brasil: Saraiva.
Gerhardt, T. E., & Silveira, D. T. (2009). Métodos de Pesquisa (1ª ed.). Porto Alegre, Rio
Grande do Sul, Brasil: Universidade Federal do Rio Grande do Sul.
38
Manoel, S. S. (2014). Governança de segurança da informação: Como criar oportunidades
para seu negócio. São Paulo, Brasil: Brasnorte.
Murçula, M., Filho, B., & Armando, P. (2007). Informática: conceitos e aplicações (2ª ed.).
São Paulo, Brasil: Érica.
Nakamura, E. T., & Geus, P. L. (2007). Segurança de redes em ambientes cooperativos. São
Paulo, Brasil: Novatec.
39
Silva, E. R. (2006). Redes Universitárias Segurança e Auditoria. Cidade da Praia, Santiago,
Cabo Verde: Universidade Jean Piaget Cabo Verde.
Silva, P. T., Carvalho, H., & Torres, C. B. (2003). Segurança dos Sistemas de Informação (1º
ed.). Lísboa, Portugal: Centro Atlântico, Lda.
Sousa, B. L. (2006). TCP/IP Básico Conectividade em Redes, Dados (3ª ed.). São Paulo,
Brasil: Érica Ltda.
40
Apêndices
Sim
Não
1.2 A empresa tem uma visão clara dos riscos que cercam as suas informações?
Sim
Não
1.3 A empresa planifica de forma integrada a gestão da informação através do seu ciclo de
vida (criação, armazenamento, transporte e descarte)?
Sim
Não
1.4 A tecnologia da informação é vista como um dos recursos que trazem eficiência e
eficácia às actividades da empresa?
Sim Não
41
1.5 A empresa investe em segurança da informação?
A empresa investe
2.1 São priorizados investimentos para a formação dos funcionários no que tange a
segurança da informação?
Sim
Não
3.1 O acesso não autorizado às informações é uma das ameaças que afectam a empresa?
Sim
Não
3.3 Medias como notebook, pendrive, disco duro, etc., têm sido danificados?
42
Apêndice B - Questionário final de recolha de dados
Após a aplicação do primeiro questionário que teve como objectivo analisar as preocupações
da KM-Services em relação as informações que a empresa gerencia diariamente, no final da
investigação do presente estudo surgiu a necessidade de se aplicar um segundo questionário
com o intuito de descobrir e entender o grau de aceitabilidade e relevância do uso de
mecanismos de segurança da informação na referida empresa. Marque com X a opção
fundamental que vai de encontro a sua apreciação:
Sim
Não
Talvez
Abstenções
2.1 Acreditas que com o uso de ferramentas de criptografia vai reduzir a perda e a
alteração não autorizada de documentos na empresa KM-Services?
Sim
Não
3.1 Achas que o uso de mecanismos de segurança dificultaria a realização das actividades
de tradução e interpretação de documentos na empresa KM-Services?
Sim
Não
Talvez
43