1

GESTÃO DA SEGURANÇA
DA INFORMAÇÃO

Coordenação Pedagógica – IPEMIG

 2

SUMÁRIO

INTRODUÇÃO .......................................................................................... ……………....... 03

1 GESTÃO DA SEGURANÇA DA INFORMAÇÃO: CONCEITOS E FINALIDADES ...... 05

2 A AMEAÇAS E ATAQUES .......................................................……...…………............ 10

3 VULNERABILIDADE ...........................................................................……………….... 12

4 CICLO PDCA .........................................................................…...…..……………...….. 17

5 BARREIRAS DE SEGURANÇA ...........................................……….…….………....….. 19

6 TECNOLOGIA DA INFORMAÇÃO ..........................................……….…….………...... 21

7 A SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO .....…….…….……...…....….. 24

REFERÊNCIAS CONSULTADAS ……….………………………………….……………....… 28

 3

INTRODUÇÃO

Presado aluno,

Nos esforçamos para oferecer um material condizente com a graduação e

consequente capacitação daqueles que se candidataram à está Pós-Graduação,
procurando referências atualizadas, embora saibamos que os clássicos são indispensáveis
ao curso.

As ideias aqui expostas, como não poderiam deixar de ser, não são neutras, afinal,
opiniões e bases intelectuais fundamentam o trabalho dos diversos institutos educacionais,
mas deixamos claro que não há intenção de fazer apologia a esta ou aquela vertente,
estamos cientes e primamos pelo conhecimento científico, testado e provado pelos
pesquisadores.

Apesar de o curso possuir objetivos claros, positivos e específicos, nos colocamos

abertos para críticas e para opiniões, pois somos conscientes que nada está pronto e
acabado e com certeza críticas e opiniões só irão acrescentar e melhorar nosso trabalho.

Como os cursos baseados na Metodologia da Educação a Distância, você é livre

para estudar do melhor modo que possa. Este arranjo preserva a sua individualidade
impondo, uma responsabilidade imperativa. Organize-se, lembrando que: aprender
sempre, refletir sobre a própria experiência se somam, e que a educação é demasiado
importante para nossa formação e para o bem-estar dos pacientes.

A presente apostila tem como proposito oferecer um conteúdo abrangente de

gestão da segurança da informação partindo de sua conceituação, passando apresentação
das ameaças, ataques vulnerabilidades até a conceituação do ciclo PDCA bem como sua
caracterização.

Neste intuito apresentamos um compendio de conhecimento necessários à uma

visão clara e objetiva a respeito dos principais conceitos, finalidades e princípios da gestão
da segurança da informação. Oferecemos, ainda, concisa dissertação sobre a segurança
 4

junto à tecnologia da informação, ou seja, como as duas caminham lado a lado

corretamente superando dificuldades.

A apostila agrupa de maneira ordenada a síntese do pensamento de vários autores

cuja obra que entendemos serem as mais importantes para a disciplina. Sendo fruto de
exaustiva pesquisa bibliográfica, cujas fontes são colocadas ao fim da apostila
possibilitando ao aluno, conforme sua necessidade e disposição, o amplio de seus
conhecimentos.
 5

1 GESTÃO DA SEGURANÇA DA INFORMAÇÃO: CONCEITOS E

FINALIDADES

A informação é um fator bastante importante em nosso dia-a-dia, pois a todo

instante somos bombardeados por dados e informações vastas, que, se soubermos usar,
enriqueceremos nossos conhecimentos e fornecemos subsídios para não cairmos em
nenhuma armadilha virtual. Deste modo, a informação é obtida e repassada de forma que
a mesma seja disseminada corretamente e segura sem danos ou interferências. Com isto,
iremos abordar. Sendo assim, o objetivo deste artigo é avaliar estes riscos e trazer
conhecimentos a respeito da segurança para que se tenham possíveis soluções.
No mundo atual existe um ambiente repleto de inter-relações que se permeiam em
constante estado de mutação, e neste contexto destacamos que informação e
conhecimento representam patrimônios cada vez mais valiosos e necessários para se
 6

compreenderem e responderem as mudanças de perigos que possam abater os mesmos.

Com o crescente aumento das tecnologias de informação e com a rápida disseminação
dela, cresceram também os crimes relacionados à mesma, surgindo então, a necessidade
de se manterem as informações empresariais e pessoais livres de riscos e perigos que
possam danificá-la, para que haja uma informação confiável.
A segurança precisa ser obtida dentro de um nível hierárquico da informação aos
quais são: o dado, a informação e conhecimento. Entretanto, é necessário que se tenham
noções de segurança da informação, pois os mesmos poderão ter ruídos ou serem
danificados até que se cheguem ao destino final.
Os conceitos desses três níveis hierárquicos (dado, informação e conhecimento)
sofrem variações, mas existem explicações com o mesmo contexto, ou seja, um conjunto
de dados não produz necessariamente uma informação, nem um conjunto de informações
representa necessariamente um conhecimento. Em síntese, um dado pode ser entendido
como registros ou fatos em sua forma primária, não necessariamente física; e quando
esses fatos e registros são organizados ou que tenham uma combinação significativa eles
se transformam em uma informação. Assim pode se dizer que informação é um conjunto
de dados, que processados ganham significado e tornam possível sua compreensão e
interpretação. As informações constituem um dos objetos de grande valor para as
empresas.
Assim como a informação é produzida a partir de dados, o conhecimento também
tem como origem a informação, quando as mesmas são agregadas com outros elementos.
O conhecimento costuma ser classificado como explícito ou tácito; o explícito é aquele que
pode ser transformado em documentos, roteiros e treinamentos e o conhecimento tácito é
difícil de registrar, documentar e de difícil transmissão.

Nota-se que normalmente as pessoas são o elo mais frágil quando o

assunto é segurança da informação, as soluções técnicas não
contemplam totalmente sua segurança, desta forma torna-se necessário
que os conceitos pertinentes a segurança sejam compreendidos e
seguidos por todos dentro da organização, inclusive sem distinção de
níveis hierárquicos. (MOREIRA, 2008).
 7

Conceitos

A segurança da informação consiste na forma de gerenciar e administrar as

informações veiculadas na sociedade atual. São características básicas da segurança da
informação os atributos de confidencialidade, integridade e disponibilidade, fazendo com
que esta segurança esteja restrita somente a sistemas computacionais, informações
eletrônicas ou sistemas de armazenamento.
A confidencialidade tem como princípio o acesso das informações apenas pelos
usuários autorizados. (Fontes, 2000, pag. 21). Mencionado por Campos (2006, pag. 6), a
confidencialidade é respeitada quando apenas as pessoas explicitamente autorizadas
podem ter acesso à informação, ou seja, a informação no ambiente organizacional requer
essa atenção por parte dos gestores da informação em designar as pessoas certas no que
diz respeito à guarda das informações para que não haja quebra da confidencialidade.
A integridade é fator primordial para que a organização tenha destaque e
referência no tratamento das informações, ao qual é ressaltado por Campos (2006, pag.
6): o princípio da integridade é respeitado quando a informação acessada está completa,
sem alterações e, portanto, confiável. Ou seja, quando a informação é alterada ou
chegada de forma incorreta ao seu destino, isto faz com que a integridade se quebre.
No que diz respeito à disponibilidade, este fator tem como principal finalidade a
garantia de que as informações sejam passadas levando a empresa a atingir o nível de
segurança adequado ao seu negócio, de forma correta para os usuários, com a
participação dos associados na organização.
É importante salientar que o conceito de segurança propriamente dito se aplica a
todos os aspectos de proteção de informações e dados. O conceito denominado
 8

Segurança Informática ou Segurança de Computadores está intimamente relacionada com

o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação,
mas também a dos sistemas em si, pois sabemos que os mesmos são os controles físicos,
tecnológicos e humanos personalizados com o objetivo de viabilizar a redução e
administração dos riscos.
Segundo Greewood, referido por Cautela e Polioni (1982), "A informação é
considerada como o ingrediente básico do qual dependem os processos de decisão".
Entretanto, se por um lado, uma empresa não funciona sem informação, por outro, é
importante saber usar a informação e apreender novos modos de visualizar o recurso
informação para que a empresa funcione melhor, isto é, para que esta se torne mais
eficiente.

A Segurança da Informação se refere à proteção existente sobre as

informações de uma determinada empresa ou pessoa, isto é, aplicam-se
tanto as informações corporativas quanto as pessoais. Entende-se por
informação todo e qualquer conteúdo ou dado que tenha valor para alguma
organização ou pessoa. Ela pode estar guardada para o uso restrito ou
exposta ao público para consulta ou aquisição. (ARAUJO, 2008).

Para Wilson (1989), a gestão da informação é entendida como a gestão eficaz de

todos os recursos de informação relevantes para a organização, tanto de recursos gerados
internamente como os produzidos externamente e fazendo apelo, sempre que necessário,
à tecnologia de informação. No passado a questão segurança da informação era muito
mais simples, pois os arquivos contendo inúmeros papéis podiam ser trancados
fisicamente; porém, com a chegada das tecnologias da informação e comunicação esse
fator ficou bem mais complexo.
Atualmente a maioria dos computadores conecta-se a internet e
consequentemente a internet conecta-se a eles; além disto, sabemos que dados em
formato digital são portáteis, fator este que fez com que estes ativos tornassem atrativos
para ladrões. Mas isto não é tudo, pois existem inúmeras situações de insegurança que
podem afetar os sistemas de informação tais como: incêndios; alagamentos; problemas
elétricos; fraudes; uso inadequado dos sistemas; engenharia social, entre outros.
A política de segurança da informação nada mais é que um conjunto de práticas e
controles adequados, formada por diretrizes, normas e procedimentos, com objetivo de
minimizar os riscos com perdas e violações de qualquer bem. Se aplicada de forma
correta ajudam a proteger as informações que são consideradas como um ativo importante
 9

dentro da organização.

Finalidades

A classificação das informações norteia-se mediante ao impacto que causaria a sua

perda, alteração ou uso sem permissão. Ferreira afirma que “quanto mais estratégica e
decisiva para a manutenção ou sucesso da organização maior será sua importância”.
(FERREIRA, 2008, p. 78)
A informação organizacional possui quatro pilares importantes vinculadas a ela, as
quais são denominadas de: pública, interna, confidencial e secreta.
A informação pública é de uso livre, sem qualquer restrição; já a interna é marcada
pela integridade por se tratar da quantidade e qualidade de informações; a confidencial
assemelha-se à interna, a única diferença é que esse tipo de informação é de caráter
principalmente empresarial, fazendo com que esta fique restrita ao grupo empresarial;
por fim, a secreta é mais restrita nas organizações, pois apenas poucas pessoas devem
ter conhecimento desta, a fim de garantir a confidencialidade na própria instituição.
 10

2 AMEAÇAS E ATAQUES

Assim como todo indivíduo vive sujeito a ameaças de todas as formas, as

organizações também passam por estes riscos que podem ser combatidos. As ameaças
organizacionais podem ser classificadas como: naturais, involuntárias ou voluntárias. A
ameaça natural acontece através de fenômenos da natureza e outro fator natural como o
próprio nome sugere; as ameaças involuntárias ocorrem por meio de acidente, geralmente
pela falta de conhecimento em determinado sistema ou problemas de natureza elétrica;
entretanto, as ameaças voluntárias acontecem com o propósito de destruir a própria
informação, fator este que pode ser causado por pessoas tais como hackers, ladrões,
 11

fraudadores, espiões, entre outros. Segundo Campos (2006, p.13) a ameaça é um agente
externo ao ativo de informação, se aproveitando das vulnerabilidades da informação
suportada ou utilizada por ele.
Ataque pode ser considerado como o ato de prejudicar algo ou alguém, fator este
que também interfere na própria informação. É importante ressaltar que existem ataques
de várias formas, tanto humanas como tecnológicas; porém será dado destaque ao ataque
tecnológico, que pode ser por meio de interceptação, que se trata do acesso à informação
sem autorização organizacional; através de interrupção, podendo definir como uma forma
de atrapalhar a chegada da mensagem; modificação, na qual toda a informação é
modificada sem autorização alguma e, por fim, a personificação, que trata da entidade que
se passa por outra, tendo acesso à informação.
Os cinco tipos mais comuns são: scan (que não deve ser confundido com scam),
fraude, ataques a servidores web, worms, e DoS. As invasões de computadores, que
costumam ser o tipo de ataque mais temido, representaram menos de 1%. A seguir estão
detalhados os principais:

Scan

É um ataque que quebra a confidencialidade com o objetivo de analisar detalhes

dos computadores presentes na rede (como sistema operacional, atividade e serviços) e
identificar possíveis alvos para outros ataques. A principal forma de prevenção é a
manutenção de um firewall na empresa e uma configuração adequada da rede.

Fraude

A fraude, ou o scam (com "m"), abrange uma quantidade ampla de tipos de ataque.
Um dos mais comuns deles é o phishing, que, para obter informações do usuário, usa de
estratégias como a cópia da interface de sites famosos e envio de e-mails ou mensagens
falsas com links suspeitos. O principal meio de evitar fraudes é a conscientização dos
usuários por meio de treinamentos sobre cuidados na rede.

Worm

Worms são alguns dos malwares mais comuns e antigos. Malware são softwares
com o intuito de prejudicar o computador “hospedeiro”. Essa categoria engloba tanto os
vírus quanto os worms, entre diversos outros tipos de programas maliciosos. Os worms são
 12

perigosos devido à sua capacidade se espalhar rapidamente pela rede e afetar arquivos
sigilosos da empresa. O principal meio de prevenção é a manutenção de antivírus e
treinamentos de conscientização.

3 VULNERABILIDADE

As informações estão sujeitas a ameaças e riscos devido suas vulnerabilidades. A

ABNT ISSO/IEC 27002,2005 define risco como a combinação da probabilidade de um
evento e de suas consequências. Moreira (2001) aponta a vulnerabilidade como sendo o
ponto onde qualquer sistema é suscetível a um ataque, condição causada muitas vezes
pela ausência ou ineficiência das medidas de proteção
A vulnerabilidade pode ser considerada um ponto crucial na informação, na qual
toda a informação armazenada corre o risco de ser alterada de acordo com os fatores
tecnológicos e humanos. É impreterível o cuidado de identificar as vulnerabilidades em
determinado sistema, podendo livrar a organização de qualquer desastre.

Vulnerabilidade são fraquezas presentes nos ativos de informação, que

podem causar, intencionalmente ou não, a quebra de um ou mais dos três
princípios de segurança da informação: confidencialidade, integridade e
 13

disponibilidade. (CAMPOS, 2006, pag. 11)

Vulnerabilidades são fragilidades que de alguma forma podem vir a provocar

danos. A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de um
ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser
explorada por uma ameaça para concretizar um ataque.
Para Sêmola (2003), as vulnerabilidades são fragilidades presentes ou associadas
a ativos de informação, que, ao serem exploradas, permitem a ocorrência de incidente
na segurança da informação.
Dantas (2003) afirma que vulnerabilidades são fragilidades que podem provocar
danos decorrentes da utilização de dados em qualquer fase do ciclo de vida das
informações.
As vulnerabilidades se relacionam diretamente as fragilidades. Essas fragilidades
podem estar nos processos, políticas, equipamentos e nos recursos humanos. Por si só,
elas não provocam incidentes, pois são elementos passivos, necessitando para tanto de
um agente causador ou de condição favorável, já que se trata de ameaças.
A mesma é relacionada a vários ambientes, como o ambiente tecnológico em que
se pode citar, por exemplo, os computadores sem atualização de antivírus e rede local,
ou seja, rede acessível por senha, padrão ou pública; outro fator que causa a
vulnerabilidade e sérios danos empresariais e pessoais deve-se ao fato da ausência de
uma política institucional de segurança e pessoas especializadas sobre segurança da
informação no trabalho, sem que haja um grupo de especialistas e procedimentos para o
tratamento contra a vulnerabilidade e ataques indesejáveis ao sistema organizacional.
Outro ponto de vulnerabilidade apresentado nas pesquisas sobre segurança da
informação tem relação com os funcionários e prestadores de serviço. Sabemos que a
fuga das informações e a sua exposição involuntária ocorrem em momentos simples do
dia a dia da empresa, o que torna os recursos humanos uma das maiores preocupações
para a implementação de políticas e treinamentos voltados para a proteção das
informações.
Tudo isso demonstra o quanto existe de vulnerabilidade no ambiente de negócios,
bem como o tamanho da preocupação dos especialistas em segurança da informação
com o crescimento da tecnologia.
É certo que ela torna a vida mais prática e as informações mais acessíveis,
 14

proporcionando conforto, economia de tempo e segurança. Mas, essa aparente

segurança não é motivo de tranquilidade, pois a ausência de uma cultura da segurança
das informações cria um ambiente vulnerável às informações, porque os mesmos
benefícios que a tecnologia oferece são também utilizados para a prática de ações
danosas às empresas, como pôde ser visto nos argumentos apresentados acima.
Origem das vulnerabilidades
As vulnerabilidades podem advir de vários aspectos: instalações físicas
desprotegidas contra incêndio, inundações e desastres naturais; material inadequado
empregado nas construções; ausência de políticas de segurança para RH; funcionários
sem treinamento e insatisfeitos nos locais de trabalho; ausência de procedimentos de
controle de acesso e de utilização de equipamentos por pessoal contratado;
equipamentos obsoletos, sem manutenção e sem restrições para sua utilização; software
sem patch de atualização e sem licença de funcionamento, etc.
Para uma melhor compreensão das vulnerabilidades, podemos classificá-las
como: naturais, organizacionais, físicas, de hardware, de software, nos meios de
armazenamento, humanas e nas comunicações.

Naturais

As vulnerabilidades naturais estão relacionadas com as condições da natureza ou

do meio ambiente que podem colocar em risco as informações. Podem ser: locais
sujeitos a incêndios em determinado período do ano; locais próximos a rios propensos a
inundações; áreas onde se verificam manifestações da natureza, como terremotos,
maremotos e furacões; falha geológica, zonas de inundação, áreas de desmoronamento
e avalanches.
Organizações situadas nessas áreas vulneráveis devem manter um excelente
gerenciamento de continuidade de negócios, uma vez que esses eventos independem
de previsibilidade e da vontade humana.

Organizacional

As vulnerabilidades de origem organizacional dizem respeito a políticas, planos e

procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da
organização e que não seja enquadrado em outras classificações. Podem ser: ausência
de políticas de segurança e treinamento; falhas ou ausência de processos,
 15

procedimentos e rotinas; falta de planos de contingência, recuperação de desastres e de

continuidade; ausência ou deficiência da CIPA (Comissão Interna de Prevenção de
Acidentes), etc.

Física

As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo

processadas ou gerenciadas as informações. Podem ser: instalações inadequadas;
ausência de recursos para combate a incêndio; disposição desordenada dos cabos de
energia e de rede; não identificação de pessoas e locais; portas destrancadas; acesso
desprotegido às salas de computador; sistema deficiente de combate a incêndio;
edifícios mal projetados e mal construídos; material inflamável utilizado na construção e
no acabamento; janelas destrancadas; paredes suscetíveis a um assalto físico; paredes
que não vão até o teto (meia parede).

Hardware

Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de

fabricação ou configuração dos equipamentos que podem permitir o ataque ou a
alteração dos mesmos. Como exemplo desse tipo de vulnerabilidade, temos: a
conservação inadequada dos equipamentos; a falta de configuração de suporte ou
equipamentos de contingência; patches ausentes; firmware desatualizado; sistemas mal
configurados; protocolos de gerenciamento permitidos por meio de interfaces públicas.

Software

As vulnerabilidades de software são constituídas por todos os aplicativos que

possuem pontos fracos que permitem acessos indevidos aos sistemas de computador,
inclusive sem o conhecimento de um usuário ou administrador de rede. Os principais
pontos de vulnerabilidade encontrados estão na configuração e instalação indevida,
programas, inclusive o uso de e- mail, que permitem a execução de códigos maliciosos,
editores de texto que permitem a execução de vírus de macro.

Meios de armazenamento

Os meios de armazenamento são todos os suportes físicos ou magnéticos

utilizados para armazenar as informações, tais como: disquetes; CD ROM; fita
 16

magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está
registrado em papel.
As suas vulnerabilidades advêm de prazo de validade e expiração, defeito de
fabricação, utilização incorreta, local de armazenamento em áreas insalubres ou com
alto nível de umidade, magnetismo ou estática, mofo, etc.

Humanas

As vulnerabilidades humanas constituem a maior preocupação dos especialistas,

já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade.
Sua origem pode ser: falta de capacitação específica para a execução das
atividades inerentes às funções de cada um; falta de consciência de segurança diante
das atividades de rotina; erros; omissões; descontentamento; desleixo na elaboração e
segredo de senhas no ambiente de trabalho; não utilização de criptografia na
comunicação de informações de elevada criticidade, quando possuídas na empresa.

Comunicação

Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que

abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica,
ondas de rádio, telefone, internet, wap, fax, etc.).
Os principais aspectos estão relacionados com: a qualidade do ambiente que foi
preparado para o tráfego, tratamento, armazenamento e leitura das informações; a
ausência de sistemas de criptografia nas comunicações; a má escolha dos sistemas de
comunicações para o envio da mensagem; os protocolos de rede não criptografados; as
conexões a redes múltiplas; os protocolos desnecessários permitidos; a falta de filtragem
entre os segmentos da rede.
 17

4 CICLO PDCA

Este ciclo é denominado PDCA devido às palavras inglesas: plan (planejar), do

(executar), check (verificar) e action (agir). É importante esse ciclo na informação porque
uma depende da outra, ou seja, ao se definir metas, ao mesmo instante deve-se tomar
iniciativa ao desenvolver o sistema; vendo então os resultados, deve ser feita uma
análise acurada da informação a fim de que estes correspondam aos testes feitos
anteriormente, identificando com o fator agir (action), vendo se necessita de alguma
melhoria.
Na fase de planejamento (P) ocorre a definição do escopo do gerenciamento, a
escolha do método de análise e o processo geral de avaliação de riscos; na fase de
execução (D), temos o tratamento de risco, com a implementação dos controles
relacionados para prevenir, detectar, evitar, aceitar e transferir os riscos; na fase de
 18

verificação (C), ocorrem as atividades de monitoramento e revisão desse processo; na

fase da ação (A) ocorrem as ações para que o sistema possa ser mantido e melhorado
continuamente, dando origem às ações preventivas e corretivas.
Ao se realizar um planejamento de qualidade é preciso desenvolver o plano de
gerenciamento do projeto e a qualidade: definir as metas que o projeto deverá atingir e
os métodos que poderão ser utilizados, coletar todos os requisitos necessários para a
execução do mesmo, estimar os custos, desenvolver o cronograma e indicar o tempo
estimado para cada fase; entre outros requisitos que devem ser estudados.
Na a execução do projeto, toda a equipe deve ser gerenciada, educada e
treinada, fornecendo ferramentas e conhecimentos para que nenhuma execução saia do
controle. As informações devem ser distribuídas, conduzindo as aquisições, coletando
dados para possíveis correções e melhorias, buscando a garantia da qualidade.
É importante checar o atingimento das metas, os resultados esperados, controle o
escopo, cronograma, custos e, principalmente, a qualidade, não olvidando o
monitoramento dos riscos.
A ação corretiva que tem por objetivo a eliminação da causa de não conformidade
ou alguma situação indesejável, ação preventiva (visa eliminar uma possível não
conformidade, ou alguma situação que possa tornar-se indesejável) ou ação de melhoria
(se houver necessidade de melhorar os processos e/ou atividades). Se necessário, pode
se alterar o escopo, o cronograma, analisando cuidadosamente todas as causas de não
conformidade, alterar o orçamento, aplicando a melhor ação para cada situação.
O PDCA também possui várias ferramentas de qualidade, que merecem – e
devem ser vistas, estudadas e utilizadas –, como os ERP’s, BPM’s, que servem de apoio
para os processos da empresa, com foco no momento presente; o Business Intelligence,
CRM’s, para analisar os processos da empresa, com foco no passado; e as Gestões
Estratégicas, Orçamentárias e Análises de Riscos, para planejar como alcançar os
objetivos da empresa, com foco no futuro.
Como Deming definiu: “Qualidade consiste no atendimento às necessidades
atuais e futuras dos clientes. Necessidades evoluem; Qualidade é definida por quem
avalia”. Considerando que uma organização possui clientes internos (colaboradores) e
externos (clientes), são eles que irão avaliar a qualidade, e esta, deve evoluir conforme
suas necessidades. PMBOK® (2008): “Qualidade é o grau com que um conjunto de
características inerentes atende os Requisitos (ISO 9000, 2005)”.
 19

5 BARREIRAS DE SEGURANÇA
 20

Fonte: slide player

Esta etapa tem por finalidade impedir que algo ruim aconteça na instituição, ou
seja, proteger contra-ataques. Na gestão da segurança da informação as principais
barreiras dividem-se em:

 desencorajar, no qual é vinculado ao fator dificultar, tendo por objetivo

desmotivar e dificultar qualquer operação tanto humana como tecnológica;
 discriminar, que tem por função primordial a identificação e a gerência de
determinado acesso;
 detectar, que é mais uma barreira de cunho tecnológico por se tratar da
segurança propriamente dita;
 deter, fator este que pretende impedir algo desastroso em qualquer lugar;
e,
 diagnosticar, que trata justamente da análise de riscos, visando à
identificação dos pontos de riscos a que a informação está exposta,
identificando, desta maneira, quais os pontos que necessitam de maior
empenho em proteção.
 21

6 TECNOLOGIA DA INFORMAÇÃO

A tecnologia da informação (T.I.) pode ser definida como todo recurso tecnológico
e computacional destinado à coleta, manipulação, armazenamento e processamento de
dados ou informações dentro de uma organização. Também é possível defini-la como
todas as atividades e soluções providas por recursos computacionais.
 22

“Tecnologia da Informação (TI) é a infraestrutura organizada de hardware,

software, banco de dados e redes de telecomunicações, que permite
manipular, gerar e distribuir dados e informações ao longo dos seus
usuários (empresas ou pessoas).” Afrânio Miglioli (2007)

Como a tecnologia da informação pode abranger e ser usada em vários contextos,

a sua definição pode ser bastante complexa e ampla. A tecnologia é usada para fazer o
tratamento da informação, auxiliando o utilizador a alcançar um determinado objetivo.
Outra definição sobre a TI é como sendo o uso de recursos computacionais para o
desenvolvimento de sistemas de informação. Seus componentes essenciais são
hardware e software, e também seus recursos de telecomunicação.
Hardware- Dispositivos físicos digitais, com função de receber, armazenar e
processar dados.

Software- programas de computador, que tem como função dirigir, organizar e

controlar o hardware, fornecendo-lhe instruções e comandos de funcionamento.
(NORTON, 1996).

Telecomunicações- são transmissões eletrônicas de Sinais para comunicações,

inclusive meios como telefone, rádios, televisão. A arquitetura é formada por
computadores que fazem a recepção e o envio de dados através de meios de
comunicação, com fios telefônicos ou ondas de rádio.

As comunicações de dados são um subconjunto especializado de

telecomunicações que se referem à coleta, processamento e distribuição
eletrônica de dados, normalmente entre os dispositivos de hardware de
computadores (STAIR, 1998).

5 componentes da Tecnologia da Informação

A infraestrutura da tecnologia da informação é composta de cinco componentes. A

seguir estão representados de maneira bem simples cada um destes componentes da
TI:
 23

Hardware

É a parte física do sistema computacional. De modo simples, podemos dizer que é

tudo o que é palpável. Ex.: teclado, monitor, mouse, gabinete, pente de memória,
processador, etc.

Software

É a parte lógica do sistema, também conhecida como a “alma” do sistema. De

modo também simples, podemos dizer que é tudo o que não é palpável. Ex.: aplicativos,
sistema operacional, BIOS, Sistemas de Informação, etc.

Banco de dados

Também conhecido como base de dados, é um conjunto de registros dispostos

em estrutura regular que possibilita a reorganização destes registros e produz
informação.

Redes de telecomunicações

Conjunto de acessórios e componentes responsáveis pela troca de dados e

informações entre as diferentes partes, ou seja, pela viabilização das telecomunicações.
 24

(BATISTA, 2004; REZENDE e ABREU, 2003). Ex.: rede local, intranet, extranet, internet

Pessoas

Conhecidas em inglês como humanware ou peopleware. São os usuários e os

profissionais que utilizam a tecnologia da informação. Ex: operadores, digitadores,
administradores de rede, analistas de sistemas, gestores de ti

7 A SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO

 25

Existem dois tipos de segurança envolvendo a tecnologia da informação, tendo

como pré-requisito a necessidade de se conseguir estratégias. Para sair dessas
armadilhas, os fatores promover boas estratégias de fuga dos perigos são o fator
humano e o computacional ou do sistema, que é a segurança física dos equipamentos
de informática e a lógica, ao qual se explana um pouco sobre as mesmas a seguir.

Segurança física- São danos que podem ser causados por descuidos, acidentes até
mesmo criminais, ou também por fatores naturais, falta de manutenção dos
equipamentos ou servidores. Quando existem esses erros de segurança, os prejuízos
para uma organização são grandes, prejuízos estes que podem ser a perda de mercado,
desgaste na sua imagem e desmotivação de funcionários, aos quais são bastante
relevantes a serem estudados, e não somente os prejuízos computacionais que estes
são percebidos imediatamente. A responsabilidade do gestor de informática é avaliar e
apresentar os riscos, verificar os possíveis danos e sugerir soluções para as situações.

Segurança lógica – Esta segurança é feita por softwares que se constitui de dois níveis:
o controle e o nível de acesso à informação.

O controle de aceso às informações pode ser elaborado por meio de

senhas (passwords) específicas para cada cliente e/ou usuário, as quais
 26

devem ser alteradas com certa regularidade. Sua principal função é permitir
ou não, o acesso a um sistema. (RESENDE, 2000).

Um sistema de segurança seguro dentro de uma organização é o software

firewall, pois ele possibilita um ambiente seguro com outros softwares que fazem
criptografia. Estes mecanismos de criptografia permitem a transformação reversível da
informação de forma a torná-la identificáveis a terceiros. Utiliza-se para tal, algoritmos
determinados e uma chave secreta para, a partir de um conjunto de dados não
criptografados, produzir uma sequência de dados criptografados.

O firewall deve estar adequadamente configurado a fim de bloquear com

eficácia as informações que entram e saem da rede, sem que isso
represente transtornos de queda de performance a redução de flexibilidade
que acarretam na inoperância ou indisponibilidade de informações
(SÊMOLA, 2001).

A segurança os avanços tecnológicos

Há alguns anos, as informações eram acessadas apenas dentro da empresa e o

departamento de TI possuía mais controle sobre os dados corporativos. Hoje, as
informações podem ser acessadas a partir dos mais diferentes dispositivos e em
qualquer lugar. A evolução da tecnologia oferece vantagens como maior agilidade nos
negócios e melhor relacionamento entre as empresas e seus públicos. Por outro lado, as
organizações precisam ter cuidado e atenção redobrados com seus dados críticos.
Cada vez mais, os funcionários usam seus próprios dispositivos móveis para
acessar dados corporativos, uma tendência conhecida como “consumerização da TI”.
Com base na pesquisa Symantec Consumerization of IT Smartphone End User Survey,
realizada recentemente pela Symantec, confira as principais dicas de segurança para
serem compartilhadas com funcionários e garantir a segurança das informações
corporativas:

1. - Utilize senhas: por norma, todos os funcionários devem proteger seus dispositivos
móveis com senha e devem ser instruídos a alterá-la com frequência para dificultar
o acesso dos hackers a informações confidenciais.
2. - Criptografe os dados nos dispositivos móveis: informações da empresa e mesmo
pessoais armazenadas em dispositivos móveis são, muitas vezes, confidenciais.
Criptografar esses dados é uma obrigação. Se o dispositivo for perdido e o cartão
SIM roubado, o ladrão não será capaz de acessar os dados se a tecnologia de
 27

criptografia apropriada estiver aplicada no dispositivo.

3. - Certifique-se de que o software está atualizado: os dispositivos móveis devem ser
tratados como PCs, que sempre usam softwares atualizados, especialmente o de
segurança. Isso vai proteger o equipamento contra novas variantes de malware e
vírus que ameaçam informações críticas das empresas.
4. - Desenvolva e aplique políticas de segurança fortes para o uso de dispositivos
móveis: é importante aplicar políticas de download de aplicações e gerenciamento
de senhas para gerentes e funcionários. O uso de senhas fortes ajuda a proteger os
dados armazenados no telefone, nos casos em que o aparelho for perdido ou
invadido.
5. Autenticação: a maioria das redes corporativas exige um nome e uma senha para
identificar os usuários, porém os mesmos podem ser violados. Usando uma
tecnologia de autenticação dupla, ou de segundo fator, é possível ter maior de
segurança quando os funcionários se conectarem à rede corporativa a partir de
aparelhos portáteis.
6. - Evite abrir mensagens de texto inesperadas de remetentes desconhecidos: assim
como acontece com e-mails, os invasores podem usar mensagens de texto para
espalhar malware, golpes de phishing e outras ameaças entre os usuários de
dispositivos móveis. O mesmo cuidado que se tem com e-mails deve ser aplicado à
abertura de mensagens de texto não solicitadas.
7. - Controle do acesso à rede: soluções de gerenciamento móvel que incluem
recursos de controle do acesso à rede podem ajudar a garantir o cumprimento das
políticas de segurança de uma empresa e assegurar que apenas dispositivos
seguros, compatíveis com as normas, acessem as redes corporativas e os
servidores de e-mail.
8. - Clique com cuidado: Os usuários não devem abrir links não identificados em redes
sociais, nem bater papo com pessoas estranhas ou visitar sites desconhecidos.
9. - Atenção a quem está em volta ao acessar informações confidenciais: ao digitar
senhas ou visualizar dados confidenciais, os usuários devem ter cuidado com quem
possa enxergar por cima dos seus ombros.
10. - Saiba o que fazer se o dispositivo for perdido ou roubado: em caso de perda ou
roubo, os funcionários e seus gerentes devem saber o que fazer em seguida.
Devem ser tomadas medidas para desativar o dispositivo e proteger as informações
contra invasão. Há produtos que automatizam essas medidas para que pequenas
 28

empresas possam respirar aliviadas se tais incidentes ocorrerem.

REFERÊNCIAS CONSULTADAS
 29

ABNT - Associação Brasileira de Normas Técnicas. NBR 14724; informação e

documentação – trabalhos acadêmicos - apresentação. Rio de Janeiro, 2005.

Alecrim, Emerson. O que é Tecnologia da Informação (TI)? 2011. Disponível

em:<http://www.infowester.com/ti.php>. Acesso em: 11 de dez. de 2011.

ALECRIM, Emerson. O que é tecnologia da informação (TI)? Disponível em <

http://www.infowester.com/ti.php>. Acesso em: 08 de novembro de 2015.

Araujo, Nonata Silva. Segurança da Informação (TI). Disponível em:<

http://www.administradores.com.br/informe-se/artigos/seguranca-da-informacao-ti/23933/>.
Acesso em 11 de dez. de 2011

AUDY, Jorge Luís Nicolas; ANDRADE, Gilberto Keller de; CIDRAL, Alexandre.
Fundamentos de sistemas de informação. Porto Alegre: Bookman, 2005.

Beal, Adriana. Introdução à gestão de tecnologia da informação. 2011. Disponível

em:<http://2beal.org/ti/manuais/GTI_INTRO.PDF>. Acesso em: 11 de dez. de 2011.

Burson-Marsteller/Symantec. 10 dicas de segurança para os avanços tecnológicos.

Disponível em:< http://www.added.com.br/noticia/10-dicas-de-seguranca-para-os-avancos-
tecnologicos.html>. Acesso em 11 de Nov. de 2011.

CAMPOS, André L. N. Sistema de Segurança da Informação: Controlando os Riscos.

Florianópolis: Visual Books, 2006.

CHIAVENATO, Idalberto. Introdução à teoria geral da administração: uma visão

abrangente da moderna administração das organizações. 7ª ed. rev. atual. Rio de Janeiro:
Elsevier, 2003.

CRC – Conselho Regional de Contabilidade – MA. Sistema cadastral: relatório estatístico.

Maranhão, CRC, 2015.

FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas

e organizações. São Paulo: Sicurezza, 2000.

Furtado, Vasco. Tecnologia e gestão da informação na segurança pública. 2002.

 30

GIL, A. C. Métodos e técnicas de pesquisa social. 5ª ed. São Paulo: Atlas, 2007.

Laureano, Marcos Aurelio Pchek. Gestão de Segurança da Informação.2005 Disponível

em:< http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf>. Acesso em:
11de dez. de 2011.

MIGLIOLI, Afrânio apud LEITE, Luis marcos. Tecnologia da informação: qual o melhor
conceito? Disponível em <http://ogestor.eti.br/tecnologia-da-informacaomelhor-conceito/>.
Acesso em: 08 de novembro de 2015.

Moreira, Ademilson. A importância da segurança da informação. 2008. Disponível em:<

http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_informacao>.

O’BRIEN, James A. Sistema de informação e as decisões gerenciais na era da internet. 2ª

ed. São Paulo: Saraiva, 2004.

OLIVEIRA, Jayr Figueiredo de. Sistema de informação: um enfoque gerencial inserido no

contexto empresarial e tecnológico. 5ª ed. rev. e atual. São Paulo: Érica, 2007.

Projetos e TI, Execução do Projeto – Realizar a garantia da qualidade. Disponível em:

http://projetoseti.com.br/gestao/gerencia-de-projetos-pmp/gp-qualidade/execucao-do-
projeto-realizar-a-garantia-da-qualidade/

Projetos e TI, Índice Guia PMBOK®: http://projetoseti.com.br/indice-pmbok/

Projetos e TI, Monitoramento e Controle: Realizar o controle da Qualidade

Projetos e TI, Planejamento: Planejar a Qualidade. Disponível em:

http://projetoseti.com.br/gestao/gerencia-de-projetos-pmp/gp-qualidade/planejamento-
planejar-a-qualidade/

REZENDE, Denis Alcides; ABREU, Aline França. Tecnologia da informação aplicada a

sistemas de informação empresariais: o papel estratégico da informação e dos sistemas de
informação nas empresas. 9ª ed. São Paulo: Atlas, 2013.

ROSINI, Alessandro Marco; PALMISANO Ângelo. Administração de sistemas de

Informação e a gestão do conhecimento. São Paulo: Pioneira Thomson Learning, 2003.

SANTOS, Ademar de Araújo. Informática na empresa. 5ª ed. São Paulo: Atlas, 2009.
 31

TURBAN, Efraim; RAINER, Jr. R. Kelly; POTTER, Richard E. Rio de Janeiro: Elsevier,
2007.

VELLOSO, Fernando de Castro. Informática: conceitos básicos. 7ª ed. ver. atualizada. Rio
de Janeiro: Elsevier, 2004.
 32

AVALIAÇÃO
1) Fazem parte dos quatro pilares informação organizacional, exceto:

A ( ) pública,

B ( ) especifica,

C ( ) interna,

D ( ) confidencial.

2) Os mecanismos de ____________ permitem a transformação reversível da informação

de forma a torná-la identificáveis a ______________.

A ( ) tecnologia, sistemas.

B ( ) Worms, softwares.

C ( ) criptografia, terceiros

D ( ) estratégia, hardware

3) São aspectos de onde podem vir as vulnerabilidades, exceto:

A ( ) instalações físicas desprotegidas contra incêndio, inundações e desastres naturais;

B ( ) software com patch de atualização e licença de funcionamento;

C ( ) material inadequado empregado nas construções;

D ( ) ausência de políticas de segurança para RH.

 33

4) De acordo com o que foi estudado, assinale V (verdadeiro) ou F (falso):

A ( ) As ameaças organizacionais podem ser classificadas como: naturais, involuntárias ou

voluntárias.

B ( ) As ameaças involuntárias ocorrem por meio de acidente, geralmente pela falta de

conhecimento em determinado sistema ou problemas de natureza elétrica.

C ( ) A as ameaças voluntárias acontecem com o propósito de destruir a própria

informação, fator este que pode ser causado por pessoas tais como hackers, ladrões,
fraudadores, espiões, entre outros.

D ( ) A ameaça é um agente interno ao ativo de informação, se aproveitando das

vulnerabilidades da informação suportada ou utilizada por ele.

A( ) F, V, V, V

B( ) V, F, V, V

C( ) V, V, F, F

D( ) V, V, V, F

5) São tipos comuns de ataque aos sistemas de informação, exceto:

A ( ) scan,

B ( ) worms,

C ( ) DoS,

D ( ) criptografia.
 34

6) Sobre as principais barreiras na gestão da segurança da informação, assinale

corretamente:

I. Desencorajar, tem por objetivo desmotivar e dificultar qualquer operação tanto

humana como tecnológica;

II. Detectar, é mais uma barreira de cunho tecnológico tratando-se da segurança

propriamente dita.

III. Diagnosticar, que pretende impedir algo desastroso em qualquer lugar;

A ( ) As opções I e II estão corretas.

B ( ) Somente a opção I está correta.

C ( ) Todas as opções estão erradas.

D ( ) Todas as opções estão corretas.

7) A informação é considerada como o ingrediente básico do qual dependem...

A ( ) os possíveis defeitos de fabricação ou configuração dos equipamentos

B ( ) os processos de decisão.

C ( ) os principais pontos de vulnerabilidade

D ( ) os processos da empresa.
 35

8) Sobre PDCA responda corretamente:

I. No planejamento (P) ocorre a definição do escopo do gerenciamento, a escolha do

método de análise e o processo geral de avaliação de riscos.

II. Na fase de verificação (C), acontecem atividades de monitoramento e revisão desse

processo.

III. Na fase da ação (A) ocorrem as ações para que o sistema possa ser mantido e
melhorado continuamente.

A ( ) A opção I está correta.

B ( ) A opção II está correta.

C ( ) Todas as opções estão erradas.

D ( ) Todas as opções estão corretas.

9) São componentes da infraestrutura da tecnologia da informação, exceto:

A ( ) marcas e patentes.

B ( ) Banco de dados.

C ( ) rede de telecomunicações.

D ( ) Gerenciamento da Disponibilidade.
 36

10) O ___________ deve estar adequadamente configurado a fim de _________com

eficácia as informações que entram e saem da rede.

A( ) firewall, bloquear

B( ) antivírus, analisar.

C( ) software, rastrear

D ( ) hardware, articular