Segurança da Informação

Material Teórico
Fundamentos da Segurança

Responsável pelo Conteúdo:

Prof. Me. Vagner da Silva

Revisão Textual:
Prof. Me. Luciano Vieira Francisco
 Fundamentos da Segurança

• Introdução em Segurança;
• Tecnologias de Segurança;
• Ser Humano;
• Processo – Normas;
• Segurança Física.

OBJETIVOS DE APRENDIZADO
• Conhecer como foi feito e a evolução dos ataques aos sistemas de informação, o elo mais
fraco da segurança e onde são encontradas e geradas as principais vulnerabilidades;
• Estudar a base para manter a rede de computadores e o sistema de informação mais
seguros e algumas técnicas e recursos empregados para aumentar os bloqueios de
aceso indevido à rede de computadores;
• Entender os riscos que uma infraestrutura de tecnologia da informação oferece e
como podem ser tratados para evitar vulnerabilidades e, consequentemente, acesso
a informações sigilosas.
 Orientações de estudo
Para que o conteúdo desta Disciplina seja bem
aproveitado e haja maior aplicabilidade na sua
formação acadêmica e atuação profissional, siga
algumas recomendações básicas:
Conserve seu
material e local de
estudos sempre
organizados.
Aproveite as
Procure manter indicações
contato com seus de Material
colegas e tutores Complementar.
para trocar ideias!
Determine um Isso amplia a
horário fixo aprendizagem.
para estudar.

Mantenha o foco!
Evite se distrair com
as redes sociais.

Seja original!
Nunca plagie
trabalhos.

Não se esqueça
de se alimentar
Assim: e de se manter
Organize seus estudos de maneira que passem a fazer parte hidratado.
da sua rotina. Por exemplo, você poderá determinar um dia e
horário fixos como seu “momento do estudo”;

Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma

alimentação saudável pode proporcionar melhor aproveitamento do estudo;

No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e
sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão
sua interpretação e auxiliarão no pleno entendimento dos temas abordados;

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e
de aprendizagem.
UNIDADE Fundamentos da Segurança

Introdução em Segurança
Nos primórdios da humanidade a necessidade de se comunicar sempre esteve
presente e a informação era, de algum modo, estabelecida sob diversas formas. O ser
humano buscava registrar os seus costumes, a sua contabilidade e os hábitos recor-
rendo a diversas técnicas que pudessem ser utilizadas pelo indivíduo e coletividade.

A informação é considerada o bem mais valioso que uma empresa possui, de

modo que a manter em segurança para que outros não tenham acesso tornou-se
um desafio tão grande quanto à sua própria importância. Com o avanço da tecno-
logia observamos um novo cenário em que os bens mais valiosos de uma empresa
foram convertidos em bits e bytes armazenados.

Antes mesmo da digitalização das informações, as empresas já se preocupavam

com as quais, mas as técnicas empregadas para mantê-las seguras eram diferentes
das atualmente utilizadas.

Na época em que a digitalização das informações e a rede de computadores

não eram ainda usadas pelas organizações, as preocupações ficavam a cargo das
práticas de espionagem industrial. Assim, todo o cuidado era necessário para que
tais informações não “caíssem em mãos erradas”, pois os espiões poderiam se
beneficiar e até prejudicar a empresa na competitividade que acontecia em cada
área de negócio.

Muitos são os casos de organizações que se beneficiaram das informações antie-

ticamente obtidas, sendo o episódio mais popular na área de tecnologia aquele que
envolveu a Microsoft e a Apple, cuja negligência de Steve Jobs acabou por ceder in-
formações para Bill Gates acerca da interface gráfica dos sistemas operacionais que
ambas as empresas desenvolviam. Por ter acesso a essas informações, a Microsoft
saiu na frente e atualmente domina as vendas de sistemas operacionais.

Há muitos outros exemplos no mundo, pois onde há competição figuram inte-

resses em saber o que os concorrentes fazem; desta forma, a empresa poderá se
manter no mercado ou até mesmo ganhar grande parte desse – tal como ocorreu
com a Microsoft.

Os computadores, ao longo do tempo, foram ficando mais acessíveis, as empresas

foram investindo na área de Tecnologia da Informação (TI), as informações foram di-
gitalizadas e as redes de computadores foram se tornando cada vez mais importantes.

Com tais facilidades, as informações foram se multiplicando e um novo formato foi

dado ao armazenamento e à recuperação das quais, portanto, o que anteriormente
era registrado em papel, agora é, em sua grande maioria, digitalizado e mantido em
arquivos no computador, ou armazenado em mídia eletrônica. Consequentemente,
devido à forma como as informações são agora armazenadas, são proporcionadas
grandes facilidades para que pessoas impróprias possam obtê-las.

8
 Os fatos citados até aqui e outros motivos fazem da segurança da informação
um desafio para todos que usam TI, pois esse fenômeno afeta diretamente os
negócios empresariais.

A princípio, quando as redes de computadores ainda não eram tão usadas, sur-
giram os primeiros vírus digitais, cuja finalidade era principalmente danificação e,
consequentemente, destruição das informações armazenadas. A disseminação de
vírus entre os computadores nessa época era mais lenta, pois eram transmitidos
pelos disquetes infectados e inseridos nas máquinas.

Os focos desses primeiros vírus eram os arquivos com extensões .exe, .bat e .com,
usados nos sistemas operacionais DOS e Windows. Command.com foi o arquivo
preferido de contaminação pelos crackers, afinal, uma vez infectado, qualquer outro
arquivo aberto era automaticamente comprometido, de modo que se fossem levados
e abertos em outros computadores considerados “limpos”, a proliferação da contami-
nação era certa.

Com o avanço da tecnologia, os computadores foram se conectando uns aos

outros pelas redes, de modo que os vírus se aproveitaram das conexões físicas
entre as máquinas para efeito de disseminação; desta forma, um computador in-
fectado poderia contaminar outras máquinas a esse conectadas – bastava ter um
computador com arquivo infectado na rede e este ser aberto em outro computa-
dor para que a epidemia acontecesse.

A internet possibilitou a contaminação por meio de vírus em escala mundial,

tornando-se mais fácil disseminar vírus entre as máquinas, pois a rede ficou global,
portanto, não mais restrita às Local Area Network (LAN) das empresas.

O vírus Melissa foi um dos primeiros que se tem notícias de disseminação em

nível global, manifestando-se por e-mail, comumente enviado como anexo, em
um arquivo .doc que, ao ser aberto, além de contaminar as máquinas, enviava
para cerca de cinquenta outros e-mails da lista de contatos o mesmo arquivo. Essa
característica fez com que tal vírus rapidamente se disseminasse pelo mundo, cau-
sando sérios problemas aos servidores de e-mail pela quantidade de mensagens
disparadas em curtíssimo espaço de tempo, ou seja, os servidores não conseguiam
dar conta de enviar todas as mensagens solicitadas. Assim, o objetivo desse vírus
foi contaminar o arquivo .dot das versões 97 e 2000 do Windows, pois uma vez
contaminado, qualquer outro arquivo com o aplicativo Office Word criado seria
igualmente comprometido, afinal, o arquivo .dot é usado como padrão de forma-
tação dos novos criados.

Os vírus foram tomando outras formas no decorrer do tempo, a tecnologia foi se

aperfeiçoando e novas funcionalidades, aplicativos e serviços foram implementados
nos sistemas operacionais; em consequência disto, os ataques foram se desenvol-
vendo no mesmo ritmo, aproveitando as vulnerabilidades encontradas nesses siste-
mas operacionais, nos serviços e aplicativos.

9
9
UNIDADE Fundamentos da Segurança

Novas denominações foram criadas aos arquivos com intenção de destruir os

computadores e seus dados, ou até mesmo buscando obter informações sigilosas,
portanto, além dos vírus temos o termo malware, que é dividido em duas caracte-
rísticas: vermes – worm – e cavalo de Troia.

Malware é a denominação de arquivos criados para obter informações das má-

quinas onde estão armazenados. Há duas formas diferentes de agir, sendo que uma
diz respeito à ação de contaminar computadores interconectados à rede e restringir
os recursos de hardware e de sistemas operacionais, deixando as redes com baixo
desempenho e agindo em servidores de forma a fazer com que neguem os serviços
solicitados – a este tipo de malware denominamos vermes.

O outro tipo é chamado de cavalo de Troia e o seu objetivo é causar danos às

máquinas e até aos softwares instalados. Alguns enviam ao monitor mensagens
em tempos aleatórios, provocando alterações na configuração do computador.
Embora possam parecer inofensivos às máquinas, alguns podem trazer consequ-
ências desastrosas aos usuários, pois informações sigilosas podem ser obtidas por
pessoa má intencionada por meio de portas abertas por esses malwares a fim de
facilitar a execução remota de comandos.

Em decorrência da evolução da tecnologia, aplicativos e serviços com novas

vulnerabilidades foram surgindo e com isto apareceram os spywares, adwares e
stealwares, todos estes se beneficiando da internet como meio para dissemina-
ção e realização de ataques.

Spy significa espião, tendo como principal objetivo obter informações de usuários
ou organizacionais sem prévia autorização. Os computadores podem ser contamina-
dos pelos spywares de diversas formas, seja por meio de cavalo de Troia, verme ou
vírus, todos adquiridos, principalmente, pela internet.

Já ad é a abreviação de advertisement, traduzido como anúncio, tendo surgido

com a finalidade de apresentar propagandas embutidas, geralmente em softwares
freewares ou sharewares, no entanto, foram adaptados para propósitos ilegais,
tais como obter informações dos usuários por meio de aplicativos da web que pos-
suem vulnerabilidades.

Por sua vez, steal significa roubo, agindo sobre os links patrocinados apresen-
tados em sites da internet. Seu propósito é fazer com que os valores monetários
que deveriam ser dados ao site que divulga determinado produto ou serviço sejam
desviados para outra conta. Um exemplo corresponde aos links patrocinados pelo
Google, de modo que um administrador de website que tenha um site e deseja
disponibilizar um espaço para propaganda, poderá fazê-lo por meio de um simples
cadastro no mencionado Google. Assim, pelas informações que os robôs colhem
do referido site, são automaticamente disponibilizadas propagandas de acordo com
o ramo de atuação do mesmo. O valor monetário é, então, depositado em uma
conta bancária informada pelo dono do site após atingir determinado patamar, de
modo que os stealwares agem justamente nesse trâmite financeiro, ou seja, des-
viando tais valores para outra conta bancária.

10
 Para que uma rede seja considerada segura, deve oferecer mecanismos que ga-
rantam integridade, confidencialidade, autenticidade, disponibilidade e não repúdio,
cujos significados de cada termo são os seguintes:
• Integridade: as mensagens trocadas entre emissor e receptor devem estar
providas de mecanismos que garantam que não serão alteradas durante o seu
trajeto, ou seja, a mesma mensagem que foi transmitida será entregue ao re-
ceptor sem alteração por pessoas mal-intencionadas. As assinaturas digitais e
funções hash são mecanismos que fornecem integridade aos dados;
• Confidencialidade: a rede deve manter mecanismos que garantam que a in-
formação será conhecida apenas pela pessoa à qual foi transmitida, de modo
que nenhum outro indivíduo terá conhecimento dessa informação; ou seja, é
confidencial, cabendo somente ao destinatário ter conhecimento sobre a qual
– um método usado para manusear informações confidenciais é a criptografia;
• Autenticidade: trata-se de verificar se a mensagem foi enviada pela pes-
soa que realmente ficou de fazê-lo, ou seja, certificar-se de que não foi
emitida por outra pessoa. Isto pode ser aplicado por um indivíduo mal-
-intencionado que venha a forjar um endereço de e-mail, obtendo sucesso
na comunicação entre as partes, passando-se por outra pessoa e obtendo
as informações desejadas;
• Disponibilidade: a rede deve ser capaz de manter e, de certa forma, tornar
fácil o acesso às informações, mesmo em situação de perda, garantindo plena,
rápida e confiável recuperação por meio de backups ou até mesmo usando o
esquema de contenção. Comumente os ataques Denial of Service (DoS) são
usados para prejudicar os serviços disponibilizados por servidores, nos quais
diversas solicitações são simultaneamente formuladas, causando sobrecarga
no processamento e, consequentemente, sua paralisação;
• Não repúdio: está relacionado a uma das partes negar a participação em de-
terminado evento ou comunicação, sendo que houve, de fato, a participação.
Para melhor exemplificar, imagine a seguinte situação: você comprou deter-
minado produto pela internet, pagando pelo qual, mas a empresa não lhe
entrega tal produto, alegando que não houve o pagamento, ou seja, nega uma
participação que, neste caso, seria o pagamento do produto.
Esses cinco itens quando aplicados juntos são considerados essenciais para uma
rede mais segura e podem ser obtidos pelos softwares e hardwares disponíveis no
mercado, de modo que alguns procedimentos podem ser executados para melhorar
a segurança em redes de computadores, por exemplo:
• Forte uso de criptografia;
• Educação dos funcionários em relação ao acesso à internet, intranet e aos
recursos de informática da empresa;
• Usar tecnologias que possibilitem certo grau de segurança, ou seja, que este-
jam de acordo com a importância que a organização dá às suas informações;
• Ter um planejamento estratégico em relação a treinamentos e administração
da segurança;
• Usar mecanismos que permitam identificar e alertar ataques e ameaças.

11
11
UNIDADE Fundamentos da Segurança

Há certa distinção entre ataque e ameaça, embora pareçam ter o mesmo sentido,
dado que na prática se diferem nos seguintes aspectos: em uma ameaça não há invasão,
mas sim a ação para parar determinado serviço, operação, disponibilidade, integridade
da rede ou do sistema; já no ataque a rede ou o computador é invadido por vulnerabili-
dades encontradas.

As ameaças acontecem por meio de falhas de segurança, das vulnerabilidades

quer seja em aplicativos ou hardwares, devendo ser identificadas e corrigidas ao
máximo para evitar que as informações “caiam em mãos alheias”.

Mesmo implantando todos esses mecanismos não se garantirá segurança total.

Na verdade, a execução das técnicas descritas dificultará ao máximo uma invasão,
mas poderá trazer sérios problemas, visto que a motivação para uma invasão está,
na maioria das vezes, vinculada à dificuldade para se infiltrar em determinada rede,
computador ou servidor.

Assim, a empresa deve, como primeira ação para garantir maior segurança,
desenvolver um planejamento em que os riscos sejam levantados e analisados
para estarem isentos de vulnerabilidades.

De qualquer forma, não é fácil dimensionar como e quais equipamentos deverão

ser usados para criar os obstáculos a um ataque ou uma invasão, de modo que cada
organização deverá decidir em conjunto com um especialista o que deve ser feito.

Seja qual for a decisão em relação ao grau de segurança a se aplicar, pelo menos
três passos devem ser seguidos: primeiro, deve-se avaliar as ações a serem execu-
tadas para prevenir uma invasão ou roubo de informações; segundo, necessita-se
obter mecanismos para detectar uma invasão ou roubo de informações; e terceiro,
deve-se ter planejado o que será realizado caso a rede seja invadida ou os dados
roubados, ou seja, necessita-se ter uma política de recuperação das informações
caso esta seja destruída, além de metodologias para identificar onde está a vulnera-
bilidade com o objetivo de corrigi-la.

No geral, sendo a empresa de pequeno, médio ou grande porte, deve-se iden-

tificar os focos relacionados à segurança da informação e aplicar uma análise de
riscos em todos os ativos includentes à segurança, considerando tecnologias, seres
humanos, processos e estruturas físicas.

Tecnologias de Segurança
As tecnologias para segurança de redes atualmente disponíveis são capazes de
evitar a grande maioria de ataques realizados, de modo que algumas organizações
têm áreas específicas para pesquisar as formas de ataques e ameaças a fim de
desenvolverem equipamentos e softwares para ajudar a combater estas novas téc-
nicas de invasão.

12
 Quanto mais segurança uma empresa exigir, mais afetará a usabilidade da rede
e maior será o custo com equipamentos e softwares; de modo que o ideal é reali-
zar um planejamento para alcançar um equilíbrio entre tecnologias de segurança,
usabilidade e custo. Talvez seja necessário sacrificar um pouco da usabilidade ou do
custo para ter um equipamento que evite o roubo das informações, chegando-se
à conclusão de que isto é necessário em detrimento da segurança da informação,
então deverá ser aplicado e os usuários precisarão se adequar às novas condições.

Todas as empresas, sejam pequenas, médias ou grandes, deverão adotar um

planejamento de segurança, pois as informações estão, em sua grande maioria,
no formato mídia e devem ser tomadas todas as precauções para que não caiam
em mãos erradas. É certo que quanto maior a organização, maior deverá ser o
investimento em segurança, pois pela sua importância perante os concorrentes,
trará preocupações que exigirão tal precaução; no entanto, as pequenas e médias
empresas deverão ter equivalente cuidado, afinal, quase sempre terão concorren-
tes diretos que estarão interessados em suas informações.

Para que seja possível começar a definir as tecnologias de segurança que uma em-
presa precisará, esta deverá identificar alguns itens por meio das seguintes perguntas:
• A rede possui um único ponto de firewall ou apenas usa o firewall do sis-
tema operacional?
• O firewall consiste em um equipamento ou software instalado no servidor, ou
em uma ou mais máquinas?
• Há algum método de detecção de invasão virtual ou biométrico?
• Qual tipo de antivírus é usado? Cobre os requisitos necessários de um
bom antivírus?
• É usada rede wireless? Se sim, estão configurados os principais pontos de
segurança para torná-la protegida?
• A rede conta com detector de anomalias, ou seja, há alguma técnica usada
para detectar mudança de padrões na rede?
• Há necessidade de gerenciador de identidade, ou seja, de técnicas que garantam
a manutenção de acesso a recursos e sistemas?
• Em qual local se encontram os equipamentos estratégicos da empresa e, em
linhas gerais, quem está autorizado a acessá-los?
• A empresa permite que funcionários, parceiros e clientes acessem a rede
corporativa remotamente? Se sim, como são validados e controlados estes
acessos remotos?
• Há configurada uma Rede Desmilitarizada (DMZ) na empresa? Se sim, está,
realmente, separada da rede interna?
• Qual técnica é empregada para separar a rede interna da DMZ?

13
13
UNIDADE Fundamentos da Segurança

Um ponto importante a ser considerado em um planejamento de segurança

de rede corresponde aos riscos e sobre os níveis que serão dados aos quais; em
consequência, pode-se definir as ações a serem tomadas caso ocorram. Esse pro-
cedimento evita que ações sejam tomadas aleatoriamente caso tenha alguma ocor-
rência, de modo que para facilitar na decisão na tomada de ação, uma metodologia
sobre os procedimentos deve estar definida e documentada. Assim, todos os pon-
tos levantados, principalmente aqueles que envolvem falhas humanas, necessitam
estar bem estabelecidos entre o administrador ou responsável pela rede e os res-
ponsáveis pela empresa.

Como a tecnologia evolui muito rápido, deve-se estruturar a rede atual para
comportar os novos recursos, ou seja, necessita-se considerar equipamentos que
pelas atualizações, de preferência de software, forneçam possibilidades de me-
lhoria da rede. Portanto, mesmo que a organização não tenha intenções de im-
plantar determinado recurso, deve considerar a troca total do equipamento, pois
se planejada, tal ação pode trazer economia à empresa em um futuro próximo.
Ademais, por se tratar de tecnologia, muitas vezes não é possível estabelecer um
planejamento futuro acima de três anos, mas pode-se considerar equipamentos
modulares e atualizações por software.

De acordo com os itens aqui listados, algumas soluções devem ser tomadas, de
modo que veremos determinadas ações e até equipamentos que podem ser usados
para proteger a rede e, consequentemente, as informações:
• Use firewalls que separam de forma eficiente a rede da empresa da rede
internet. Prefira aqueles que monitoram e controlam o tráfego desejado com
base em um conjunto de regras sobre o tráfego permitido, as aplicações do
dia a dia, tais como correio eletrônico, navegadores da web e mensagens
instantâneas, consideradas neste conjunto de regras. O firewall deve ser a
primeira linha de defesa em qualquer organização, sendo esta e as demais
compatíveis com a política de segurança estabelecida na empresa;
• Use técnicas e equipamentos que permitam comunicações protegidas. As Virtual
Private Network (VPN) empregam técnicas de encriptação das informações antes
de serem enviadas; por meio de chaves pública e privada, autentica os usuários,
protegendo as informações. A encriptação das informações deve ser usada por
usuários, parceiros e fornecedores ao acessarem a rede remotamente;
• Os sistemas de prevenção de intrusões previnem e impedem invasões e ata-
ques, de modo que a sua função é pesquisar a rede à procura de comporta-
mentos fora do padrão de tráfego. Alguns recursos efetuam ações corretivas a
ataques e na ocorrência dos quais ainda informam os administradores de rede;
• O gerenciamento de acesso dos usuários também deve ser considerado, pois
evita que pessoas não cadastradas possam acessar a rede;
• Quando há redes wireless, deve-se dar preferência a sistemas e equipamentos
que trabalhem de forma integrada, fornecendo escalabilidade, segurança e mo-
bilidade. Os protocolos de segurança devem ser configurados para fornecer al-
goritmos criptográficos confiáveis, tal como o Advanced Encryption Standard
(AES) usado no protocolo WPA2;

14
 • Para evitar a contaminação da rede por vírus, spyware, spam, stealware e
cavalo de Troia, deve-se usar antivírus conceituados no mercado.
Muitos administradores de redes acabam se identificando com determinado
produto e seguem usando mesmo que no mercado existam melhores opções.
Portanto, sempre pesquise e estude as características de outros antivírus e, caso
seja necessário, mude para aquele mais adequado.
As empresas desenvolvedoras de equipamentos de rede projetam opções
cada vez mais sofisticadas, isto é uma resposta à evolução dos ataques e amea-
ças. Assim, alguns equipamentos já utilizam bancos de dados centralizados para
capturar formas de ataques, enquanto que outros equipamentos espalhados pelo
mundo podem acessar esses bancos de dados e automaticamente considerar tal
ataque ou ameaça para defender a rede. Tratam-se de equipamentos considera-
dos adaptativos, ou seja, não precisam de configuração prévia para responder a
um ataque específico. Muitas pesquisas e estudos são realizados em universida-
des e organizações a fim de contribuir na evolução de equipamentos e softwares
inteligentes, chegando a empregar métodos de inteligência artificial para identi-
ficar, controlar, filtrar e eliminar arquivos maliciosos.
É certo que essas soluções levarão um tempo para atingir pequenas e médias
empresas devido ao custo inicial, mas com o decorrer do tempo será possível ter
tais recursos a um custo satisfatório.

Ser Humano
O maior problema entre os recursos necessários para implantar a segurança está
no ser humano, pois somos passíveis de falhas e instáveis no decorrer do tempo.
Não importa o grau de educação, religião, credo ou cor, em algum momento poderá
ocorrer situações geradoras de insatisfação e, por este ou outros motivos, acabando
por permitir que informações importantes “caiam em mão alheias”.
Não devemos levar isto como regra geral, mas nunca sabemos o que se passa
pela cabeça de um ser humano. Já houve casos em que um engenheiro insatisfeito
com a demissão formatou o Hard Disk (HD) onde estavam gravados desenhos em
AutoCAD que ainda não tinham sido enviados à documentação, trazendo signifi-
cativos prejuízos para a empresa.
Em determinados locais informações sigilosas são vendidas livremente, as quais,
certamente, com envolvimento humano, ou seja, em que algum funcionário da or-
ganização teve acesso ao banco de dados e copiou tais informações, repassando-as
à venda ilícita.
Não se tratam dos únicos fatores que credenciam o ser humano como o elo
mais fraco dos recursos de segurança de uma rede de computadores, de modo que
outros aspectos, tais como passar informações sigilosas em uma conversa infor-
mal, acessar sites impróprios e que tenham scripts, abrir arquivos em e-mails com
conteúdo suspeito, atender a solicitações tentando ser gentil podem ser também
consideradas atitudes perigosas e praticadas pelo ser humano – mesmo que não
sejam intencionais.

15
15
UNIDADE Fundamentos da Segurança

A engenharia social é uma técnica de manipulação de pessoas empregada para

obter informações sigilosas com o objetivo de cometer fraudes; restringe-se a uma
boa conversa com o indivíduo-alvo. Geralmente, as pessoas que aplicam esse tipo de
artifício estudam e colhem o máximo de informações para poder convencer ou até
obter o que desejam; investigam não apenas a rotina da pessoa-alvo, mas também
tudo que a cerca; assim, obtêm meios de planejar e colocar em prática o “ataque”.

Nota-se que a engenharia social tem como foco o recurso mais fraco dentro
daqueles usados em segurança de rede, o ser humano. Por este motivo, cada in-
divíduo deve ser considerado como parte do planejamento de segurança da rede
de uma empresa, carecendo de frequente treinamento, além da adoção de uma
clara política de uso dos recursos de informática, certificando-se de sua ciência e
concordância ao exposto, assim como auditorias devem ser realizadas para tentar
identificar pontos vulneráveis e, com isto, evitar potenciais problemas.

Processo – Normas
As informações seguem um fluxo dentro da empresa, de modo que há processos
implementados que auxiliam no funcionamento da organização pelas informações
que trafegam pela qual. Analisando esses processos há como identificar os elos
mais fracos, assim como aqueles que oferecem maior vulnerabilidade em relação
às informações corporativas.

A avaliação dos processos inclui também as pessoas e os níveis de acessibilidade

às informações que possuem, o que garantirá que pessoas e equipamentos estejam
configurados conforme o que foi definido pela instituição.

Logo, o modelo de segurança de rede de uma empresa não pode estar volta-
do apenas aos equipamentos que serão usados, mas em um conjunto que inclua
processos e metodologias que garantam disponibilidade, confiabilidade e integridade
das informações. Deve-se atentar também aos métodos e às técnicas empregadas à
transmissão e recepção dos dados, ao armazenamento, processamento e a qualquer
outra situação passível de acidentes.

Devido ao crescimento da área de TI houve a necessidade de organizar comitês

para padronização e metodologias, onde o mais importante é o de governança de
TI, tendo como função o alinhamento de objetivos de negócios da empresa com a
tecnologia da informação; ou seja, deve-se ter conhecimento das metas dos negócios
empresariais e fazer com que sejam definidas as melhores estratégias para que a TI
atenda às suas necessidades e ajude a atingir os seus objetivos.

Dependendo do tamanho da empresa, novas áreas podem surgir para melhor ges-
tão dos recursos, dos riscos e da avaliação de performance. Dessa forma, a possibilida-
de de atingir os objetivos aumenta, afinal, as políticas determinadas pela alta gerência,
diretoria e presidente se tornam alcançáveis de maneira íntegra e eficiente.

16
 Com o aumento da importância e necessidade de implantar controles de se-
gurança relativos à informação, foram originadas várias associações cujo objetivo
passou a ser mais amplo que apenas disciplinar profissionais, alertando-os sobre
todos os conceitos associados à governança de TI e segurança da informação. Com
isto, o conhecimento das melhores práticas geradas por essas associações deve ser
revertido em processos na empresa, auxiliando-a a receber certificações mundial-
mente reconhecidas.
Entre alguns órgãos criados para tratar itens como segurança da informação, des-
tacam-se o Instituto de Governança da Tecnologia da Informação e a Associação
de Auditoria e Controle de Sistemas de Informações, esta que criou os Objetivos de
Controle para Informação e Tecnologias relacionadas (CobiT), o qual fornece uma
fonte de conhecimento ao desenvolvimento de políticas claras e melhores práticas
aos controles de TI das organizações. Ademais, divide os conceitos de segurança da
informação em quatro domínios, onde cada um é triado em vários processos, estes
que ainda são desmembrados em subprocessos onde é apresentada toda a base de co-
nhecimento para implantação de controles no ambiente da tecnologia da informação.
Para que você tenha ideia sobre como as regras descritas no CobiT podem aju-
dar na definição de estratégias à segurança da informação, veja os exemplos des-
critos a seguir e como os pontos relacionados ao CobiT podem ser referenciados.
Os aparelhos móveis usando sistemas operacionais Windows, Móbile Symbian,
Android e outros têm crescido significativamente dentro das empresas e passa-
ram a ser ameaças corporativas devido aos vários recursos disponíveis, tais como
acessar e-mail corporativo. Pelo fato de ser uma tecnologia relativamente nova,
há ainda vulnerabilidades que são exploradas por crackers, de modo que já foram
identificados vírus e malwares que afetaram dispositivos portáteis. Ademais, como
tais aparelhos ficam expostos a diversas ameaças, a rede corporativa também es-
tará em risco no momento em que o gadget do funcionário for sincronizado ao
servidor exchange.
É certo que a utilização de dispositivos móveis é uma tendência e não pode ser
completamente evitada ou minimizada, porém, a importância da análise de riscos
se torna evidente nesse ponto; de modo que uma vez realizada, é possível ter um
banco de dados de riscos relacionados exclusivamente ao uso de gadgets pessoais
e/ou corporativos. Com tal banco pode-se gerenciar os riscos e, em conjunto, pro-
mover treinamentos para prover melhores instruções sobre o uso de equipamentos
portáteis na rede corporativa. A função da organização é bem definida e cabe aos
funcionários seguir os procedimentos e utilizar os recursos de maneira segura. Para
este caso os itens que se aplicam ao CobiT são os seguintes:
• Manage IT human resources – PO07: práticas de treinamento dos funcioná-
rios em relação ao uso de dispositivos portáteis dentro do ambiente corporativo;
• Assess and manage IT risk – PO09: analisar e gerenciar riscos relaciona-
dos ao uso de portáteis e utilizá-los como base ao desenvolvimento de treina-
mento que endereça e esclareça os problemas;
• Educate and train users – DS07: aplicação dos treinamentos, de forma
que os usuários tenham o devido conhecimento provido pelo material desen-
volvido no tópico Manage IT human resources.

17
17
UNIDADE Fundamentos da Segurança

Como você pode perceber, as normas estabelecidas não descrevem como fazer,
mas o que fazer; dessa forma, uma empresa poderá criar critérios específicos para
eliminar os problemas.

Vejamos outro caso:

Uma situação típica e preocupante de roubo de informações foi descrita no link:

Explor

https://goo.gl/PwxzB1.
A matéria relata o roubo de um laptop cujo conteúdo não estava criptografado – embora
todos os dados eram protegidos por senhas. Aqui constatamos que criptografia de dados é
essencial em qualquer ambiente empresarial, visto que frequentemente lida-se com infor-
mações sensíveis – como as citadas nesse exemplo –, ou mesmo secretas, tais como novos
projetos ou planos de lançamento. Assim, a perda de informações dessa natureza reflete em
significativo impacto para qualquer corporação.

Nesse sentido e de acordo com o descrito, os seguintes tópicos podem ser

referenciados:
• Ensuresystems security – DS05: assegura que as informações são protegidas
de acordo com a sua necessidade, por meio dos devidos controles;
• Manage data – DS11: para a apropriada identificação dos dados e, com
base nas definições do DS05 – Ensure systems security –, implementação
dos devidos controles.

Nesse caso é evidente a necessidade de criptografia de dados, que é uma das

possibilidades de controle, podendo ser estabelecida sobre a operação de armaze-
namento de informações.

Deve-se clarificar que a criptografia, por si, não evita determinados acontecimen-
tos e não bloqueia definitivamente o acesso a informações criptografadas, porém,
dificulta consideravelmente essa condição.

Igualmente é possível adotar outros tópicos do CobiT que em conjunto provêm

concreta base de conhecimento para gerenciar e proteger informações corporati-
vas de maneira eficaz e segura.

Na verdade, não há modelo único que funcione para todas as empresas, logo,
podendo variar em relação ao tamanho da organização e como esta considera
as suas informações; o que se pode fazer é apresentar algumas possibilidades.
Seguir uma norma é essencial para que a empresa trate a sua individualidade ao
seu modo, conforme a sua identidade. Por exemplo, não importa como tratará
a questão de criptografia, mas necessitará apresentar soluções que sejam viáveis
para que as mensagens sejam criptografadas – mesmo que desenvolva uma técnica
própria para isto.

As auditorias realizadas para certificação da organização verificarão, então, as ações

tomadas e se estão de acordo com as normas implantadas, de modo que se a solução
resolver os problemas, então essa empresa corresponderá à segurança desejada.

18
Segurança Física
No aspecto físico, deve-se avaliar as vulnerabilidades de acesso a equipamentos
físicos e possíveis falhas que possam disponibilizar os dados para pessoas não auto-
rizadas. Geralmente, para evitar acesso a áreas restritas, a biometria pode ser usada,
esta que objetiva o estudo das características físicas ou comportamentais; portanto,
toda característica comportamental ou fisiológica relacionada ao ser humano é con-
siderada uma biometria.

Em segurança da informação, a biometria é empregada para restringir acesso

físico a determinados locais pela identificação ou autenticação. Portanto, as salas,
os laboratórios, cofres e determinados locais da empresa que exijam controle de
acesso físico podem usar a biometria para permitir somente percurso às pessoas
que têm esse direito.

Ademais, há várias outras formas de garantir acesso a áreas específicas, tais

como por aquilo que o indivíduo:
• Possui, por exemplo, crachá, cartão magnético ou matrícula;
• Sabe, por exemplo, senha ou frase secreta;
• É ou faz, por exemplo, características biométricas como impressão digital ou
dinâmica da assinatura.

Ademais, algumas técnicas de biometria, tais como impressão digital, geometria

da mão e leitura da íris, são bem antigas, de modo que foram aperfeiçoadas con-
forme a evolução tecnológica.

19
19
UNIDADE Fundamentos da Segurança

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

 Livros
Fundamentos em segurança da informação
Ademais, o seguinte livro trata da segurança da informação: GALVÃO, M. C.
Fundamentos em segurança da informação. São Paulo: Pearson Education do
Brasil, 2015.

 Vídeos
Invasores (Vírus, Malware, Spyware...)
Assista ao vídeo desenvolvido pelo Comitê Gestor de Internet no Brasil sobre vírus,
spyware, worm e outros.
https://youtu.be/BoLjhqbx35g
Segurança da Informação nas Empresas | Eventos ComSchool
Você entenderá mais sobre segurança da informação e algumas técnicas para proteger
a rede de computadores.
https://youtu.be/feix-BlbfOg
Webinar: A Importância do Sistema de Informação para a Gestão de Empresas
Finalmente, este vídeo discorre sobre a importância do sistema de informação para a
gestão da empresa, o bem mais valioso que uma organização possui.
https://youtu.be/DyRAGeEFeeY

20
Referências
DOURADO, L. Um estudo sobre os habilitadores do CobiT 5 sob perspectiva da
segurança da informação. [20--]. Disponível em: <https://lmdourado.wordpress.
com>. Acesso em: 26 jul. 2018.

GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson

Education do Brasil, 2015.

MITNICK, K. D. A arte de enganar: ataques de hackers. São Paulo: Pearson

Makron Books, 2006.

STALLINGS, W. Network security essentials: applications and standards. 2rd ed.

New Jersey: Pearson Education, 2003.

WADLOW, T. A. Segurança de redes: projeto e gerenciamento de redes seguras.

Rio de Janeiro: Campus, 2000.

21
21