Escolar Documentos
Profissional Documentos
Cultura Documentos
Material Teórico
Fundamentos da Segurança
Revisão Textual:
Prof. Me. Luciano Vieira Francisco
Fundamentos da Segurança
• Introdução em Segurança;
• Tecnologias de Segurança;
• Ser Humano;
• Processo – Normas;
• Segurança Física.
OBJETIVOS DE APRENDIZADO
• Conhecer como foi feito e a evolução dos ataques aos sistemas de informação, o elo mais
fraco da segurança e onde são encontradas e geradas as principais vulnerabilidades;
• Estudar a base para manter a rede de computadores e o sistema de informação mais
seguros e algumas técnicas e recursos empregados para aumentar os bloqueios de
aceso indevido à rede de computadores;
• Entender os riscos que uma infraestrutura de tecnologia da informação oferece e
como podem ser tratados para evitar vulnerabilidades e, consequentemente, acesso
a informações sigilosas.
Orientações de estudo
Para que o conteúdo desta Disciplina seja bem
aproveitado e haja maior aplicabilidade na sua
formação acadêmica e atuação profissional, siga
algumas recomendações básicas:
Conserve seu
material e local de
estudos sempre
organizados.
Aproveite as
Procure manter indicações
contato com seus de Material
colegas e tutores Complementar.
para trocar ideias!
Determine um Isso amplia a
horário fixo aprendizagem.
para estudar.
Mantenha o foco!
Evite se distrair com
as redes sociais.
Seja original!
Nunca plagie
trabalhos.
Não se esqueça
de se alimentar
Assim: e de se manter
Organize seus estudos de maneira que passem a fazer parte hidratado.
da sua rotina. Por exemplo, você poderá determinar um dia e
horário fixos como seu “momento do estudo”;
No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e
sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão
sua interpretação e auxiliarão no pleno entendimento dos temas abordados;
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e
de aprendizagem.
UNIDADE Fundamentos da Segurança
Introdução em Segurança
Nos primórdios da humanidade a necessidade de se comunicar sempre esteve
presente e a informação era, de algum modo, estabelecida sob diversas formas. O ser
humano buscava registrar os seus costumes, a sua contabilidade e os hábitos recor-
rendo a diversas técnicas que pudessem ser utilizadas pelo indivíduo e coletividade.
8
Os fatos citados até aqui e outros motivos fazem da segurança da informação
um desafio para todos que usam TI, pois esse fenômeno afeta diretamente os
negócios empresariais.
A princípio, quando as redes de computadores ainda não eram tão usadas, sur-
giram os primeiros vírus digitais, cuja finalidade era principalmente danificação e,
consequentemente, destruição das informações armazenadas. A disseminação de
vírus entre os computadores nessa época era mais lenta, pois eram transmitidos
pelos disquetes infectados e inseridos nas máquinas.
Os focos desses primeiros vírus eram os arquivos com extensões .exe, .bat e .com,
usados nos sistemas operacionais DOS e Windows. Command.com foi o arquivo
preferido de contaminação pelos crackers, afinal, uma vez infectado, qualquer outro
arquivo aberto era automaticamente comprometido, de modo que se fossem levados
e abertos em outros computadores considerados “limpos”, a proliferação da contami-
nação era certa.
9
9
UNIDADE Fundamentos da Segurança
Spy significa espião, tendo como principal objetivo obter informações de usuários
ou organizacionais sem prévia autorização. Os computadores podem ser contamina-
dos pelos spywares de diversas formas, seja por meio de cavalo de Troia, verme ou
vírus, todos adquiridos, principalmente, pela internet.
Por sua vez, steal significa roubo, agindo sobre os links patrocinados apresen-
tados em sites da internet. Seu propósito é fazer com que os valores monetários
que deveriam ser dados ao site que divulga determinado produto ou serviço sejam
desviados para outra conta. Um exemplo corresponde aos links patrocinados pelo
Google, de modo que um administrador de website que tenha um site e deseja
disponibilizar um espaço para propaganda, poderá fazê-lo por meio de um simples
cadastro no mencionado Google. Assim, pelas informações que os robôs colhem
do referido site, são automaticamente disponibilizadas propagandas de acordo com
o ramo de atuação do mesmo. O valor monetário é, então, depositado em uma
conta bancária informada pelo dono do site após atingir determinado patamar, de
modo que os stealwares agem justamente nesse trâmite financeiro, ou seja, des-
viando tais valores para outra conta bancária.
10
Para que uma rede seja considerada segura, deve oferecer mecanismos que ga-
rantam integridade, confidencialidade, autenticidade, disponibilidade e não repúdio,
cujos significados de cada termo são os seguintes:
• Integridade: as mensagens trocadas entre emissor e receptor devem estar
providas de mecanismos que garantam que não serão alteradas durante o seu
trajeto, ou seja, a mesma mensagem que foi transmitida será entregue ao re-
ceptor sem alteração por pessoas mal-intencionadas. As assinaturas digitais e
funções hash são mecanismos que fornecem integridade aos dados;
• Confidencialidade: a rede deve manter mecanismos que garantam que a in-
formação será conhecida apenas pela pessoa à qual foi transmitida, de modo
que nenhum outro indivíduo terá conhecimento dessa informação; ou seja, é
confidencial, cabendo somente ao destinatário ter conhecimento sobre a qual
– um método usado para manusear informações confidenciais é a criptografia;
• Autenticidade: trata-se de verificar se a mensagem foi enviada pela pes-
soa que realmente ficou de fazê-lo, ou seja, certificar-se de que não foi
emitida por outra pessoa. Isto pode ser aplicado por um indivíduo mal-
-intencionado que venha a forjar um endereço de e-mail, obtendo sucesso
na comunicação entre as partes, passando-se por outra pessoa e obtendo
as informações desejadas;
• Disponibilidade: a rede deve ser capaz de manter e, de certa forma, tornar
fácil o acesso às informações, mesmo em situação de perda, garantindo plena,
rápida e confiável recuperação por meio de backups ou até mesmo usando o
esquema de contenção. Comumente os ataques Denial of Service (DoS) são
usados para prejudicar os serviços disponibilizados por servidores, nos quais
diversas solicitações são simultaneamente formuladas, causando sobrecarga
no processamento e, consequentemente, sua paralisação;
• Não repúdio: está relacionado a uma das partes negar a participação em de-
terminado evento ou comunicação, sendo que houve, de fato, a participação.
Para melhor exemplificar, imagine a seguinte situação: você comprou deter-
minado produto pela internet, pagando pelo qual, mas a empresa não lhe
entrega tal produto, alegando que não houve o pagamento, ou seja, nega uma
participação que, neste caso, seria o pagamento do produto.
Esses cinco itens quando aplicados juntos são considerados essenciais para uma
rede mais segura e podem ser obtidos pelos softwares e hardwares disponíveis no
mercado, de modo que alguns procedimentos podem ser executados para melhorar
a segurança em redes de computadores, por exemplo:
• Forte uso de criptografia;
• Educação dos funcionários em relação ao acesso à internet, intranet e aos
recursos de informática da empresa;
• Usar tecnologias que possibilitem certo grau de segurança, ou seja, que este-
jam de acordo com a importância que a organização dá às suas informações;
• Ter um planejamento estratégico em relação a treinamentos e administração
da segurança;
• Usar mecanismos que permitam identificar e alertar ataques e ameaças.
11
11
UNIDADE Fundamentos da Segurança
Há certa distinção entre ataque e ameaça, embora pareçam ter o mesmo sentido,
dado que na prática se diferem nos seguintes aspectos: em uma ameaça não há invasão,
mas sim a ação para parar determinado serviço, operação, disponibilidade, integridade
da rede ou do sistema; já no ataque a rede ou o computador é invadido por vulnerabili-
dades encontradas.
Assim, a empresa deve, como primeira ação para garantir maior segurança,
desenvolver um planejamento em que os riscos sejam levantados e analisados
para estarem isentos de vulnerabilidades.
Seja qual for a decisão em relação ao grau de segurança a se aplicar, pelo menos
três passos devem ser seguidos: primeiro, deve-se avaliar as ações a serem execu-
tadas para prevenir uma invasão ou roubo de informações; segundo, necessita-se
obter mecanismos para detectar uma invasão ou roubo de informações; e terceiro,
deve-se ter planejado o que será realizado caso a rede seja invadida ou os dados
roubados, ou seja, necessita-se ter uma política de recuperação das informações
caso esta seja destruída, além de metodologias para identificar onde está a vulnera-
bilidade com o objetivo de corrigi-la.
Tecnologias de Segurança
As tecnologias para segurança de redes atualmente disponíveis são capazes de
evitar a grande maioria de ataques realizados, de modo que algumas organizações
têm áreas específicas para pesquisar as formas de ataques e ameaças a fim de
desenvolverem equipamentos e softwares para ajudar a combater estas novas téc-
nicas de invasão.
12
Quanto mais segurança uma empresa exigir, mais afetará a usabilidade da rede
e maior será o custo com equipamentos e softwares; de modo que o ideal é reali-
zar um planejamento para alcançar um equilíbrio entre tecnologias de segurança,
usabilidade e custo. Talvez seja necessário sacrificar um pouco da usabilidade ou do
custo para ter um equipamento que evite o roubo das informações, chegando-se
à conclusão de que isto é necessário em detrimento da segurança da informação,
então deverá ser aplicado e os usuários precisarão se adequar às novas condições.
Para que seja possível começar a definir as tecnologias de segurança que uma em-
presa precisará, esta deverá identificar alguns itens por meio das seguintes perguntas:
• A rede possui um único ponto de firewall ou apenas usa o firewall do sis-
tema operacional?
• O firewall consiste em um equipamento ou software instalado no servidor, ou
em uma ou mais máquinas?
• Há algum método de detecção de invasão virtual ou biométrico?
• Qual tipo de antivírus é usado? Cobre os requisitos necessários de um
bom antivírus?
• É usada rede wireless? Se sim, estão configurados os principais pontos de
segurança para torná-la protegida?
• A rede conta com detector de anomalias, ou seja, há alguma técnica usada
para detectar mudança de padrões na rede?
• Há necessidade de gerenciador de identidade, ou seja, de técnicas que garantam
a manutenção de acesso a recursos e sistemas?
• Em qual local se encontram os equipamentos estratégicos da empresa e, em
linhas gerais, quem está autorizado a acessá-los?
• A empresa permite que funcionários, parceiros e clientes acessem a rede
corporativa remotamente? Se sim, como são validados e controlados estes
acessos remotos?
• Há configurada uma Rede Desmilitarizada (DMZ) na empresa? Se sim, está,
realmente, separada da rede interna?
• Qual técnica é empregada para separar a rede interna da DMZ?
13
13
UNIDADE Fundamentos da Segurança
Como a tecnologia evolui muito rápido, deve-se estruturar a rede atual para
comportar os novos recursos, ou seja, necessita-se considerar equipamentos que
pelas atualizações, de preferência de software, forneçam possibilidades de me-
lhoria da rede. Portanto, mesmo que a organização não tenha intenções de im-
plantar determinado recurso, deve considerar a troca total do equipamento, pois
se planejada, tal ação pode trazer economia à empresa em um futuro próximo.
Ademais, por se tratar de tecnologia, muitas vezes não é possível estabelecer um
planejamento futuro acima de três anos, mas pode-se considerar equipamentos
modulares e atualizações por software.
De acordo com os itens aqui listados, algumas soluções devem ser tomadas, de
modo que veremos determinadas ações e até equipamentos que podem ser usados
para proteger a rede e, consequentemente, as informações:
• Use firewalls que separam de forma eficiente a rede da empresa da rede
internet. Prefira aqueles que monitoram e controlam o tráfego desejado com
base em um conjunto de regras sobre o tráfego permitido, as aplicações do
dia a dia, tais como correio eletrônico, navegadores da web e mensagens
instantâneas, consideradas neste conjunto de regras. O firewall deve ser a
primeira linha de defesa em qualquer organização, sendo esta e as demais
compatíveis com a política de segurança estabelecida na empresa;
• Use técnicas e equipamentos que permitam comunicações protegidas. As Virtual
Private Network (VPN) empregam técnicas de encriptação das informações antes
de serem enviadas; por meio de chaves pública e privada, autentica os usuários,
protegendo as informações. A encriptação das informações deve ser usada por
usuários, parceiros e fornecedores ao acessarem a rede remotamente;
• Os sistemas de prevenção de intrusões previnem e impedem invasões e ata-
ques, de modo que a sua função é pesquisar a rede à procura de comporta-
mentos fora do padrão de tráfego. Alguns recursos efetuam ações corretivas a
ataques e na ocorrência dos quais ainda informam os administradores de rede;
• O gerenciamento de acesso dos usuários também deve ser considerado, pois
evita que pessoas não cadastradas possam acessar a rede;
• Quando há redes wireless, deve-se dar preferência a sistemas e equipamentos
que trabalhem de forma integrada, fornecendo escalabilidade, segurança e mo-
bilidade. Os protocolos de segurança devem ser configurados para fornecer al-
goritmos criptográficos confiáveis, tal como o Advanced Encryption Standard
(AES) usado no protocolo WPA2;
14
• Para evitar a contaminação da rede por vírus, spyware, spam, stealware e
cavalo de Troia, deve-se usar antivírus conceituados no mercado.
Muitos administradores de redes acabam se identificando com determinado
produto e seguem usando mesmo que no mercado existam melhores opções.
Portanto, sempre pesquise e estude as características de outros antivírus e, caso
seja necessário, mude para aquele mais adequado.
As empresas desenvolvedoras de equipamentos de rede projetam opções
cada vez mais sofisticadas, isto é uma resposta à evolução dos ataques e amea-
ças. Assim, alguns equipamentos já utilizam bancos de dados centralizados para
capturar formas de ataques, enquanto que outros equipamentos espalhados pelo
mundo podem acessar esses bancos de dados e automaticamente considerar tal
ataque ou ameaça para defender a rede. Tratam-se de equipamentos considera-
dos adaptativos, ou seja, não precisam de configuração prévia para responder a
um ataque específico. Muitas pesquisas e estudos são realizados em universida-
des e organizações a fim de contribuir na evolução de equipamentos e softwares
inteligentes, chegando a empregar métodos de inteligência artificial para identi-
ficar, controlar, filtrar e eliminar arquivos maliciosos.
É certo que essas soluções levarão um tempo para atingir pequenas e médias
empresas devido ao custo inicial, mas com o decorrer do tempo será possível ter
tais recursos a um custo satisfatório.
Ser Humano
O maior problema entre os recursos necessários para implantar a segurança está
no ser humano, pois somos passíveis de falhas e instáveis no decorrer do tempo.
Não importa o grau de educação, religião, credo ou cor, em algum momento poderá
ocorrer situações geradoras de insatisfação e, por este ou outros motivos, acabando
por permitir que informações importantes “caiam em mão alheias”.
Não devemos levar isto como regra geral, mas nunca sabemos o que se passa
pela cabeça de um ser humano. Já houve casos em que um engenheiro insatisfeito
com a demissão formatou o Hard Disk (HD) onde estavam gravados desenhos em
AutoCAD que ainda não tinham sido enviados à documentação, trazendo signifi-
cativos prejuízos para a empresa.
Em determinados locais informações sigilosas são vendidas livremente, as quais,
certamente, com envolvimento humano, ou seja, em que algum funcionário da or-
ganização teve acesso ao banco de dados e copiou tais informações, repassando-as
à venda ilícita.
Não se tratam dos únicos fatores que credenciam o ser humano como o elo
mais fraco dos recursos de segurança de uma rede de computadores, de modo que
outros aspectos, tais como passar informações sigilosas em uma conversa infor-
mal, acessar sites impróprios e que tenham scripts, abrir arquivos em e-mails com
conteúdo suspeito, atender a solicitações tentando ser gentil podem ser também
consideradas atitudes perigosas e praticadas pelo ser humano – mesmo que não
sejam intencionais.
15
15
UNIDADE Fundamentos da Segurança
Nota-se que a engenharia social tem como foco o recurso mais fraco dentro
daqueles usados em segurança de rede, o ser humano. Por este motivo, cada in-
divíduo deve ser considerado como parte do planejamento de segurança da rede
de uma empresa, carecendo de frequente treinamento, além da adoção de uma
clara política de uso dos recursos de informática, certificando-se de sua ciência e
concordância ao exposto, assim como auditorias devem ser realizadas para tentar
identificar pontos vulneráveis e, com isto, evitar potenciais problemas.
Processo – Normas
As informações seguem um fluxo dentro da empresa, de modo que há processos
implementados que auxiliam no funcionamento da organização pelas informações
que trafegam pela qual. Analisando esses processos há como identificar os elos
mais fracos, assim como aqueles que oferecem maior vulnerabilidade em relação
às informações corporativas.
Logo, o modelo de segurança de rede de uma empresa não pode estar volta-
do apenas aos equipamentos que serão usados, mas em um conjunto que inclua
processos e metodologias que garantam disponibilidade, confiabilidade e integridade
das informações. Deve-se atentar também aos métodos e às técnicas empregadas à
transmissão e recepção dos dados, ao armazenamento, processamento e a qualquer
outra situação passível de acidentes.
Dependendo do tamanho da empresa, novas áreas podem surgir para melhor ges-
tão dos recursos, dos riscos e da avaliação de performance. Dessa forma, a possibilida-
de de atingir os objetivos aumenta, afinal, as políticas determinadas pela alta gerência,
diretoria e presidente se tornam alcançáveis de maneira íntegra e eficiente.
16
Com o aumento da importância e necessidade de implantar controles de se-
gurança relativos à informação, foram originadas várias associações cujo objetivo
passou a ser mais amplo que apenas disciplinar profissionais, alertando-os sobre
todos os conceitos associados à governança de TI e segurança da informação. Com
isto, o conhecimento das melhores práticas geradas por essas associações deve ser
revertido em processos na empresa, auxiliando-a a receber certificações mundial-
mente reconhecidas.
Entre alguns órgãos criados para tratar itens como segurança da informação, des-
tacam-se o Instituto de Governança da Tecnologia da Informação e a Associação
de Auditoria e Controle de Sistemas de Informações, esta que criou os Objetivos de
Controle para Informação e Tecnologias relacionadas (CobiT), o qual fornece uma
fonte de conhecimento ao desenvolvimento de políticas claras e melhores práticas
aos controles de TI das organizações. Ademais, divide os conceitos de segurança da
informação em quatro domínios, onde cada um é triado em vários processos, estes
que ainda são desmembrados em subprocessos onde é apresentada toda a base de co-
nhecimento para implantação de controles no ambiente da tecnologia da informação.
Para que você tenha ideia sobre como as regras descritas no CobiT podem aju-
dar na definição de estratégias à segurança da informação, veja os exemplos des-
critos a seguir e como os pontos relacionados ao CobiT podem ser referenciados.
Os aparelhos móveis usando sistemas operacionais Windows, Móbile Symbian,
Android e outros têm crescido significativamente dentro das empresas e passa-
ram a ser ameaças corporativas devido aos vários recursos disponíveis, tais como
acessar e-mail corporativo. Pelo fato de ser uma tecnologia relativamente nova,
há ainda vulnerabilidades que são exploradas por crackers, de modo que já foram
identificados vírus e malwares que afetaram dispositivos portáteis. Ademais, como
tais aparelhos ficam expostos a diversas ameaças, a rede corporativa também es-
tará em risco no momento em que o gadget do funcionário for sincronizado ao
servidor exchange.
É certo que a utilização de dispositivos móveis é uma tendência e não pode ser
completamente evitada ou minimizada, porém, a importância da análise de riscos
se torna evidente nesse ponto; de modo que uma vez realizada, é possível ter um
banco de dados de riscos relacionados exclusivamente ao uso de gadgets pessoais
e/ou corporativos. Com tal banco pode-se gerenciar os riscos e, em conjunto, pro-
mover treinamentos para prover melhores instruções sobre o uso de equipamentos
portáteis na rede corporativa. A função da organização é bem definida e cabe aos
funcionários seguir os procedimentos e utilizar os recursos de maneira segura. Para
este caso os itens que se aplicam ao CobiT são os seguintes:
• Manage IT human resources – PO07: práticas de treinamento dos funcioná-
rios em relação ao uso de dispositivos portáteis dentro do ambiente corporativo;
• Assess and manage IT risk – PO09: analisar e gerenciar riscos relaciona-
dos ao uso de portáteis e utilizá-los como base ao desenvolvimento de treina-
mento que endereça e esclareça os problemas;
• Educate and train users – DS07: aplicação dos treinamentos, de forma
que os usuários tenham o devido conhecimento provido pelo material desen-
volvido no tópico Manage IT human resources.
17
17
UNIDADE Fundamentos da Segurança
Como você pode perceber, as normas estabelecidas não descrevem como fazer,
mas o que fazer; dessa forma, uma empresa poderá criar critérios específicos para
eliminar os problemas.
https://goo.gl/PwxzB1.
A matéria relata o roubo de um laptop cujo conteúdo não estava criptografado – embora
todos os dados eram protegidos por senhas. Aqui constatamos que criptografia de dados é
essencial em qualquer ambiente empresarial, visto que frequentemente lida-se com infor-
mações sensíveis – como as citadas nesse exemplo –, ou mesmo secretas, tais como novos
projetos ou planos de lançamento. Assim, a perda de informações dessa natureza reflete em
significativo impacto para qualquer corporação.
Deve-se clarificar que a criptografia, por si, não evita determinados acontecimen-
tos e não bloqueia definitivamente o acesso a informações criptografadas, porém,
dificulta consideravelmente essa condição.
Na verdade, não há modelo único que funcione para todas as empresas, logo,
podendo variar em relação ao tamanho da organização e como esta considera
as suas informações; o que se pode fazer é apresentar algumas possibilidades.
Seguir uma norma é essencial para que a empresa trate a sua individualidade ao
seu modo, conforme a sua identidade. Por exemplo, não importa como tratará
a questão de criptografia, mas necessitará apresentar soluções que sejam viáveis
para que as mensagens sejam criptografadas – mesmo que desenvolva uma técnica
própria para isto.
18
Segurança Física
No aspecto físico, deve-se avaliar as vulnerabilidades de acesso a equipamentos
físicos e possíveis falhas que possam disponibilizar os dados para pessoas não auto-
rizadas. Geralmente, para evitar acesso a áreas restritas, a biometria pode ser usada,
esta que objetiva o estudo das características físicas ou comportamentais; portanto,
toda característica comportamental ou fisiológica relacionada ao ser humano é con-
siderada uma biometria.
19
19
UNIDADE Fundamentos da Segurança
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Livros
Fundamentos em segurança da informação
Ademais, o seguinte livro trata da segurança da informação: GALVÃO, M. C.
Fundamentos em segurança da informação. São Paulo: Pearson Education do
Brasil, 2015.
Vídeos
Invasores (Vírus, Malware, Spyware...)
Assista ao vídeo desenvolvido pelo Comitê Gestor de Internet no Brasil sobre vírus,
spyware, worm e outros.
https://youtu.be/BoLjhqbx35g
Segurança da Informação nas Empresas | Eventos ComSchool
Você entenderá mais sobre segurança da informação e algumas técnicas para proteger
a rede de computadores.
https://youtu.be/feix-BlbfOg
Webinar: A Importância do Sistema de Informação para a Gestão de Empresas
Finalmente, este vídeo discorre sobre a importância do sistema de informação para a
gestão da empresa, o bem mais valioso que uma organização possui.
https://youtu.be/DyRAGeEFeeY
20
Referências
DOURADO, L. Um estudo sobre os habilitadores do CobiT 5 sob perspectiva da
segurança da informação. [20--]. Disponível em: <https://lmdourado.wordpress.
com>. Acesso em: 26 jul. 2018.
21
21