UNIVERSIDADE DE SANTO AMARO

CURSO DE GRADUAÇÃO TECNOLOGICA EM

GESTÃO DE TECNOLOGIA DA INFORMAÇÃO

PROJETO INTEGRADOR
SEGURANÇA EM SISTEMA DA INFORMAÇÃO
EMILIO TELES DO NASCIMENTO

POLO: ADOLFO PINHEIROS

São Paulo
2018
 EMÍLIO TELES DO NASCIMENTO

SEGURANÇA DA INFORMAÇÃO E SUA UTILIZAÇÃO NAS

ORGANIZAÇÕES

Trabalho de Projeto Integrador do

Curso de Graduação em (Gestão de
Tecnologia da Informação).
Área de Concentração: Segurança
em Sistema da Informação.
Orientadora: Prof.ª: Clausia Mara
Antoneli.

POLO: ADOLFO PINHEIROS

2018
 RESUMO

Este trabalho, apresenta uma pesquisa literária de caso sobre segurança da

informação. Onde seja aplicada juntamente com o sistema da informação, dentro
de uma organização, analisando a expansão das fronteiras da segurança e
definir estratégias, juntamente com a governança em TI, evitando prejuízos
financeiros e qualquer outro prejuízo que possa acontecer.
Diante da grande evolução da tecnologia e da Internet, a segurança da
informação e extremamente vital, deve-se conscientizar os executivos das
organizações, o porquê que os mesmos devem investir em segurança da
informação, sistema da informação e sim o que eles perderam em não investir,
na governança em TI, na segurança e no sistema da informação.
Palavras chaves: Segurança da informação; sistema da informação, governança
em TI.
 SUMÁRIO

RESUMO .......................................................................................................... 3

1- Introdução ..................................................................................................... 5

2- Objetivo ........................................................................................................ 5

3 - Questão da Pesquisa ................................................................................... 5

4 - Segurança da Informação ............................................................................ 6

4.1 - Os ataques ocorrem de diversas formas: .................................................. 9

4.2 - Os Pilares principais da Segurança da Informação ................................. 11

4.3 - Plano de segurança da Informação......................................................... 14

Conclusão ....................................................................................................... 18

Referência Bibliográficas ................................................................................ 19

4
1- Introdução

Discorrer sobre o sistema da informação e de suma importância em

relação ao mundo que vivemos hoje, com a globalização e praticamente tudo
viver em torno da internet, as empresas cada vez mais utilizam essa ferramenta
para negócios (Promon;2005), alertar usuários comuns e empresas sobre os
perigos, sobre o mundo digital, no mundo competitivo das organizações onde a
informação é vital e procuram sempre ter disponível as informações rápidas,
integra e confiável e a TI faz isto com sistema da informação (Rizzo;2018,
UNISA), para que tudo funcione é necessário além da tecnologia, uma
governança onde contará com a conscientização de pessoas voltada a
segurança (Carneo;2018,UNISA), A segurança da informação é um assunto que
deve ser pautado a todo instante em toda organização, não sendo um assunto
que tenha que ser discutido somente pela área de TI, este ativo busca ver alguns
conceitos sobre segurança da informação e o que pode ser feito para haja danos.

2- Objetivo
Ter um conhecimento sobre segurança da informação e fundamentos,
sobre risco em uma organização.

3 - Questão da Pesquisa
Uma revisão literária, sobre o que as novas tecnologias que se
desenvolveram, sobre riscos de equipamentos que possam ser ameaças à
segurança da informação de uma organização.

5
4 - Segurança da Informação
Ao falar de segurança da informação, o que vem mente do que está se
falando, pois bem trata- se da evolução da humanidade suas vidas, comunidade
e a necessidade em fazer representar o seu dia à dia, seja pelo convívio na
comunidade, religiosidade e a si próprio, e com isto eram escritas e criadas
registros, mas com o passar do tempo estes registros eram perdidos, ao passar
o tempo foram percebidos a necessidade em preservar estes registros, e com
isso houve a evolução da segurança da informação.
Quando se trata da segurança da informação, o que realmente estamos
querendo proteger e preservar, são os dados, arquivos, de uma forma geral, tudo
que realmente é importante, então temos que saber o que é segurança da
informação, como ela age, e como devemos implanta-la e gerenciá-la, o fato é
que com avanço da tecnologia, a segurança da informação é de extrema
importância vital, seja no ambiente domiciliar, ou empresarial ou de
organizações, trata-se de um processo irreversível e que só tem a evoluir, seja
em casa (residencial), onde há uma rede que é praticamente pequena porém
estão configurada cabeada e com wireless, e nessa rede tem um ou mais pc’s,
com acréscimo de notebooks, tabletes e smartphones, e nesses equipamentos
contenham informações importantes e particulares, como planilhas eletrônicas,
inúmeras correspondências eletrônicas, (e-mails) fotografias, vídeos e
documentos pessoais, como exemplo declaração de imposto de renda. Nas
empresas o assunto é mais complicado, porém não tão diferente, pois há os
servidores que realizam transações eletrônicas, planos estratégicos para
negócios, contém sigilos industriais, contratos, o banco de dados, informações
fiscais e previdenciário, ou demais informações extremamente importantes
dependendo do ramo da empresa, ou organização, seja como for são dados,
que devem ser protegidos, pois casos sejam violados, alterados, roubados ou
corrompidos causaram enorme prejuízo.
A segurança da informação pode ser definida como o conhecimento
responsável pela preservação ou descarte de ativos da informação seja ela,
pessoal ou empresarial, corporativa, os critérios para as preservações dos dados
ou descartes devem ser elaborados, de forma que protejam contra furtos,
roubos, adulterações, corrupções indevidas. No que tange as empresas e
organizações, para sua sobrevivência é vital a necessidade de implantar a TI

6
forte, com gestores que atendam às necessidades da organização, e para que
haja um resultado satisfatório, a governança em TI, o sistema da informação e a
segurança da informação devem estar alinhadas, e trabalhar juntamente com os
demais setores da organização, pois a questão não é o porquê que uma
organização deva investir em TI, mas sim o que ela perderá se não investir, ao
investir em TI fatores logo aparecem de imediato, como redução de custos, e
aumento da competitividade e sobrevivência da empresa. Como dito a evolução
tecnológica evoluiu muito, e continua a evoluir a cada dia a cada momento, foi-
se o tempo como na era dos mainframes, que a comunicação era realizada
somente por fitas dats, magnéticas e ainda seu envio, pelos correios, ou quando
a segurança da informação era resumida em apenas em segurança física dos
equipamentos dos meios de armazenamentos externos e desta forma garantir
que nada haveria de ser roubados, danificados, ou adulterados sem autorização.
“ A Segurança em TI é como trancar sua casa ou seu carro – não
vai impedir os bandidos, mas se a tranca for boa o bastante eles podem
preferir buscar um alvo – mais fácil. ”
Paul Herbka
A evolução que ocorreu aos longos dos anos, levou as empresas a
dependerem cada vez mais da Internet, e do sistema de informação para
realização de negócios e comércios como, e-business (negocio eletrônico) e o,
e-commerce (comercio eletrônico), consequentemente a implantação da
segurança da informação, falaremos um pouco sobre o sistema da informação e
governança em TI e ir para o nosso objetivo que é a segurança da informação.
Mas o que é o sistema da informação
O que é um sistema, sistema, pode ser definido em um raciocínio logico
como um conjunto de partes que interagem entre si, integrando com a finalidade
em atingir um objetivo ou um resultado, mas sobre o sistema da informação,
como se agrega o seu conceito. Nas empresas são constituídas de uns sistemas
que por sua vez constitui vários sub- sistemas, como funciona ex. a entrada
dependendo do ramo da organização são as matérias primas que após serem
processadas geram um produto final ou serviço, nos sub – sistemas desta
organização são seus respectivos departamentos, contábeis, financeiros,
recursos humanos, departamentos de compras, administrativos e etc.... e cada
um desses departamentos tem sua entrada e saída, onde a saída de uns

7
departamentos são entradas para outros e para que isso funcione são
necessários três partes, (Organização, tecnologia e pessoas).
O sistema de informação está relacionado diretamente na organização,
ela será responsável e para que a empresa ande, trabalhará em saber se um
empresa e rígida ou flexiva, no sistema de informação estará alojado fatores de
como a empresa compra ou vende seus produtos, como contrata, como
gerencia, seus valores em fim estará relacionado em conjunto com toda a
empresa, Tecnologia e de total importância para a infraestrutura da empresa,
pois se a empresa se dispuser de uma boa área tecnologia atingira seus
objetivos mais facilmente, porém de nada será útil se as pessoas, que trabalhem
nesta empresa, não forem capacitadas para realizarem cada tarefas dos
componentes ao qual forem destinadas. Nas empresas são classificadas em três
níveis (Estratégico, Tático e operacional).
 Operacional funciona o SPT. (Sistema de Processamento de
Transações), onde a maioria das informações do banco de dados são
armazenadas, responsável por ações corriqueiras do dia a dia.
 SIG. (Sistema de Informação Gerencial) recebem informações do SPT,
onde os gerentes conseguem obter as informações necessárias,
geralmente através de gráficos, e assim conseguem tomar decisões
sobres faturamento, metas a serem atingidas, e assuntos sobre o
gerenciamento.
 Estratégico - SAD (Sistema de apoio a Decisão) está no topo da pirâmide,
são os gestores de níveos sênior, são os que tomam as decisões mais
serias, ou estratégicas, ex. se uma rede de supermercado deseja abrir
uma filial em determinado bairro, através de uma pesquisa, tomaram uma
decisão, sobre qual o tipo de cliente, produtos mais comercializados, o
que poderá ser feito para atingir um público alvo, o que fazer para atingir
o objetivo entre outros aspectos, tomam decisões na empresa embasado
as vezes pelo SPT e o SIG.
Governança em TI. Em um resumo rápido é um procedimento que envolve
toda a tecnologia da informação. Para uma empresa ou organização, constitui
em, políticas, processos, normas e procedimentos, assim assegurar a empresa
ou a organização, que venha à atingir seus objetivos, manter uma boa estrutura,
efetuar processos , e buscar a eficiência a eficácia e o fundamental a efetividade,
8
pois há casos de empresas antigas que mantém uma certa relutâncias em
investir em TI, e implantar conforme o mercado pede um sistema de informação,
bem sucedido e vem a fechar suas portas, como também existem empresas que
abre suas portas, mas com receio do custo da TI, e não fazem o investimento
adequado, e consequentemente não obtém êxito no mercado e não se efetivam,
o que se busca quando o assunto é governança em TI. E obter um alinhamento
estratégico, obter a gestão de risco, a entrega de valores, conter a gestão de
recursos e a mensuração de desempenho, para atingir estes recursos podemos
usar com auxilio frameworks, como (Cobit, Itil, PMBOK), são ferramentas que
que auxiliam as melhores práticas na governança em TI.
Segurança da Informação.
Ao implantar a TI, obviamente que temos a tecnologia, onde nela está
presente sua parte física e logica, física estão os hardwares, (hosts, roteadores,
switch, impressoras, os servidores, notebooks, e se a política da empresa
permitir os smartphones, etc....) na parte logica estão os sistemas que sejam
necessários para cada departamento, os sistemas operacionais sejam,
( Linux, Windows, IOS), e é justamente isto que deve ser protegido seja por
hackers, espiões industriais, funcionários mal intencionados, ou ex
- funcionários insatisfeitos a política sobre a segurança da informação irá
depender do tamanho da empresa que estamos protegendo , seja pequena ou
de grande porte, pois que é de real importância e é proteger e preservar as
informações e dados.
Uma observação, o termo hacker é usado no mundo da tecnologia,
como quem proferem crimes cibernéticos, mas esquecem de falarem
em crackes, na realidade hackers são pessoas com alto conhecimento
de sistema operacional, protocolos e tecnologia, onde atuam em
empresas, organizações ou corporações na área de segurança da
informação, ex, profissionais que atuam, em empresas de antivírus
como Norton, Avg, Avast, já os crackes tem as mesmas habilidades,
porém usam suas habilidades para cometerem crimes cibernéticos, ex:
simples a quebra de senha de softwares proprietários como Windows,
Nero, ou ataques, mas como o termo hacker é que e usados no mundo
então cada vez que for necessário será usado este termo, mas
sabendo a diferença entre um e outro.(MORAES;2010, Segurança em
Redes Fundamentos)

4.1 - Os ataques ocorrem de diversas formas:

DoS – (Denial of Service): Ataques de negação de serviço. São
realizados por um conjunto de computadores contra uma rede com o
objetivo de tornar indisponível o serviço oferecido por aquela rede.

9
 Invasão: Uma tentativa de acesso indevida bem-sucedida.
Normalmente ocorre uma invasão quando o hacker consegue alcançar
seus objetivos.
Web: Ataques direcionados a alguma aplicação Web, ou que tentam
fraudar usuários com páginas falsas e infectadas.
Scan; Técnica na qual o hacker busca identificar computadores e
aplicações disponibilizadas por eles. A ideia do scanning é identificar
alvos e serviços vulneráveis que podem ser explorados.
Fraude: Agir de má- fé com objetivo de tirar vantagem de uma vítima.
Worm: Código malicioso que tem a capacidade de se autoduplicar e
que se propaga de forma automática e muito rapidamente pela rede.
Cavalo de Troia: É um aplicativo que parece legitimo e trazer algum
tipo de benefício, mas na verdade esconde um código malicioso que
pode ser utilizado em fraudes financeiras
Páginas Falsas: Páginas fraudulentas que se passam por serviços
legítimos. (Moraes, 2010, Segurança em Redes fundamentos, 1ª
Edição, Págs. 17,18)

Na segurança da informação e a eficácia, tem os pilares que que devemos

implanta-la para um resultado significativo: Integridade, Confidencialidade,
Identificação, Disponibilidade, Não repudio e Auditoria. Além das ameaças de da
segurança da informação por parte de funcionários que possam a ser
corrompidos para espionagem industrial ou descontente com a empresa, há os
ex-funcionários que possam querer vingança por ex. e as invasões por hackers,
pois com a Internet e fato que as organizações mundiais usam com ferramentas
para os seus negócios e os motivos maiores que levam um hacker a invadir um
sistema em uma empresa são:
Acessos de recursos adicionais: quando para ele o ataque é
considerado um desafio a ser quebrado para conseguir acessos
adicionais à rede.
Vantagens competitivas: este é o caso que envolve normalmente
espionagem industrial, em que um hacker é contratado para tentar
roubar informações e dados confidenciais de um concorrente.
Econômico: ocorre a todo momento, principalmente fraudes com
números de cartão de créditos ou sistemas da internet banking.
Políticos: hackers com alguma ideologia política atacam sites de
importantes organizações para deixar a sua mensagem.
Descontentamento pessoal, vingança: normalmente é a motivação de
ex- funcionários que desejam vingar-se da empresa, invadindo-a.
Usam acessos e contas que foram esquecidas no sistema.
Cyber terrorismo: é o uso da tecnologia da informação para desfechar
um ataque pela Internet. O objetivo muitas vezes é tornar a
infraestrutura da Internet de país indisponível.
Curiosidade: quando alguém sem intenção de causa prejuízos usam
uma ferramenta de hacking sem conhecimento e acaba causando
grandes estragos.

10
 Prejuízos: quando alguém quer definitivamente causar algum dano a
alguém.
Diversão: ó o caso dos scripts kids, adolescentes que atacam as redes
puramente por diversão e atenção. (MORAES, 2010, Segurança em
Redes fundamentos,1ª Edição Pág. 21).

4.2 - Os Pilares principais da Segurança da Informação

Ao implantar uma rede de computadores, e ao implantar a TI, com um

sistema de informação implantar a governança da TI, o sistema de segurança
deverá conter além dos pilares, também deveram conter os seguintes
componentes: (Equipamentos de redes, sistemas de autenticação, sistemas de
segurança e sistemas de auditoria).
Confidencialidade: e garantir que as informações do sistema sejam
disponíveis somente para pessoas autorizadas, também como forma de
privacidade. A confidencialidade pode estar comprometida quando há atividades
não autorizadas, quando usuários não autorizados venham a ter acesso e
corromper arquivos, por meio de downloads não autorizados em que
informações confidencias venham a ser removidas do local, vírus e trojans,
tráfego na rede sem uma segurança adequada, como criptografia, uma
engenharia social quando uma pessoa ou hacker se faz passar por pessoa
confiável e obtém êxito em ter acesso às informações.
Integridade: garantir que as informações não venham a ser alteradas
sejam por acidentes ou deliberadamente, mantendo assim suas características
originais do proprietário, a integridade pode ser comprometida por hackers,
usuários mal intencionados, por trojans e vírus. Existem três procedimentos
básicos quanto se manter a integridade. A troca constante de pessoas em cargos
de chefia e manipulação de dados e ter backup constantes, outra forma é que
se os usuários não precisam saber, não precisam ter acesso, muito usado em
conceitos militares, e implantados agora nas organizações somente pessoas que
realmente necessitem sejam dos dados, informações e programas terão acesso,
e a divisão de responsabilidade entre duas ou mais pessoas assim não ficara de
todo não mão de uma única pessoa.
Existe uma técnica que atualmente é muito usada para integridade,
trata-se da função Hashing, resultado de uma função matemática, o
cálculo dos dados transmitidos ou armazenados, quando processadas
na origem calcula-se o hashing e em seguida é enviada para
mensagem de destino, quando receber se calcula o hashing de origem
e de destino, se se o hashing tiver tamanho diferente ouve alteração

11
 dos dados, como tem tamanho fixo, tamanho unidirecional, e livres de
colisão por estes motivos que seu uso é muito usados. (MORAES.
2010, Segurança em Redes Fundamentos, 1ª Edição).

Disponibilidade: Garantir que o sistema estará sempre à disposição

quando um usuário requisita- ló, propiciar que esteja sempre disponível,
acessível, o que pode provocar que um sistema não esteja disponível são
ataques, ao servidor de negação de serviços ou catástrofes naturais como fogo,
enchentes, terremotos ou casos humanos propositais, por isso a necessidade de
efetuar constantemente backup.
Não Repudio ou irretratabilidade: Trata –se dá garantia de que a pessoa
ou usuário, não venha negar a criação ou ter efetuado assinatura da informação.
Autenticidade: Dentro da autenticidade estão também a identificação e
a autorização, nesse processo exige Pré- requisitos, onde deverá fornecer uma
senha, ou frase secreta, um certificado, ou PIN, a biometria para garantir a
autenticidade, nesse processo ocorreu a identificação e logo após, ocorrer este
processo terá a autorização, onde após ser verificado a identificação e a
autenticidade é que dará os privilégios para que este usuário possa ter acesso,
geralmente está permissão está em uma matriz. No sistema de segurança temos
os sistemas de autenticação , (biometria, assinatura digital e certificado
digital), Sistema de segurança na rede (criptografia, e firewalls), sistema de
auditoria. Sendo que o serviço de auditoria de extrema importância, neste
processo e possível verificar os registros as atividades ações que ocorreram, se
ocorreram problemas e se caso houver problemas, quando e o que foi afetado.
Vulnerabilidade no sistema e a expansão continua das fronteiras da segurança.
Com o grande desenvolvimento da Internet, e as empresas fazendo uso
desta ferramenta, principalmente para negócios, aguçou os ataques de hackers,
mas não é somente os hackers os responsáveis em tirar o sono dos executivos,
gestores de TI, e gerentes de redes quando o assunto e segurança da
informação, as vulnerabilidades estão presentes nos sistemas operacionais de
servidores, e pela parte interna das empresas, pelos usuários internos ou ex-
usuários que fazem parte externa mas ainda conheçam alguma forma de burlar
a segurança por contas esquecidas, o problema é que com o avanço da
tecnologia, funcionários incorporam essas tecnologias no ambiente de trabalho,
em países desenvolvidos como na Europa e norte americana há uma política

12
mais rígida em relação ao seu uso e a segurança da informação, onde é exposto
aos funcionário, no Brasil essa política ainda não é assegurada por lei, as
empresas obrigam os usuários a assinarem um termo, porém a um
imparcialidade sobre o assunto por se considera inconstitucional e não sua
regulamentação sobre leis de crimes cibernéticos, o fato é que os usuários
utilizam equipamentos que tornam possível uma grande falha na segurança
como, Telefones celulares com câmeras – Smartphones, todo mundo tem um
smartphone, seja mais sofisticado ou não mas todos fazem fotos e vídeos com
precisão, tem comunicação com Wi-fi, então qualquer pessoa, seja ela mal
intencionada ou corrompida poderá fazer facilmente uso desta tecnologia para
tirar fotos de documentos sigiloso caso tenha acesso. O uso de laptops,
notebooks, com suas conexões de wi-fi por sua grande facilidade de
configuração de redes torna vulnerável o sistema, os pendrives são pequenos
e hoje tem com um grande espaço de armazenamento, fácil de ser utilizado e
difícil de ser notado, pois são pequenos, outra grande ferramenta para o uso
criminoso de pessoas mal intencionadas, pode citar ainda outras formas como
mensagens instantâneas e aplicações remotas, na realidade é que a
vulnerabilidade é a condição de quando um atacante venha explorar uma brecha
no sistema e seu objetivo e obter êxito na violação seja um atacante interno ou
externo, e consequentemente os riscos se dá devido a vulnerabilidade quando o
assunto e um determinado ativo ao alvo que buscam comprometer a segurança.
Para conter estes problemas e necessárias pessoas, pois são pessoas
responsáveis pelo desempenho da organização, realizam tarefas de segurança
é preciso manter uma política de conscientização. Processo e ferramentas, nos
processos são visualizados a política da empresa, estratégias quanto a
segurança e procedimentos de controles e as ferramentas agem de acordo com
os processos, existem várias ferramentas framework para gerenciar e monitorar
a segurança, também para os gestores TI , com citado neste documentos, há
ferramentas como PMBOK, ITIL, COBIT, não só para segurança da informação,
como para Governança em TI, Outro fator que está sendo muito usado é que,
do que adianta ter uma boa tecnologia, política de segurança se não há pessoas
capacitadas para administra- lá , diante disto e está sendo muito comum as
empresas terceirizarem os serviços outsourcing serviço este onde a organização
contrata uma empresa terceirizada para gerenciar um departamento ou todo, o

13
que proporciona grande vantagem em recursos humanos e tecnológicos, uma
vez que todo o serviço será realizado, por terceiros e não haverá a necessidade
no comprometimento de funcionários, terem que fazer grande desenvolvimento
nas tecnologias que forem implantadas, mas há riscos como por exemplo o
contrato de outsourcing , ser mais alto que a organização esperava, ou o
outsourcing não conhecer a política da empresa e ter que se adaptar para
exercer um resultado satisfatório, esses fatores tem que ser levados em
consideração, mas no geral é uma boa opção.
4.3 - Plano de segurança da Informação
O plano de segurança para ser realizado, e necessário primeiro uma
análise de risco, estará relacionado a este procedimento as ações que deveram
ser tomadas, seja pelo grau do risco se é grande mínimo ou se o risco não
oferece perigo, pois o comprometimento da segurança terá que ser analisado e
identificar perdas e roubos de dados e documentos, o comprometimento da
confidencialidade, o fato é que não dá para informa que uma rede está
totalmente segura, todo dia hackers criam milhares de métodos para tentar
invadir sistemas, não dá para proteger algo que ainda não se tenha
conhecimento, no ano de 2002 o provedor Yahoo informou na rede que naquele
momento tinha conseguido implantar em seus servidores o sistema mais seguro
do mundo e desafiaram os hackers, conclusão não demorou meio dia para o
seus servidores serem derrubados e ficaram dois dias fora do ar, imagine o
prejuízo que isto causou, detalhe as informações que foram disponibilizadas na
época pela Internet, que os responsáveis pela invasão dos servidores da Yahoo
e consequentemente deixarei fora do ar foram dois brasileiros, não foi informado
se estavam no Brasil, ou no exterior. O que pode ser feito é tomar providencias
para minimizar os problemas como:
 Controles de usuários
 Sistemas de criptografia
 Segurança física e backup (tanto física quanto em nuvens), sobre os
backups existem empresas exclusivamente especializadas em realizar
este serviço, onde os backups são feitos fora da organização com alto
sistema de segurança, principalmente da segurança de pessoas, no local
onde são guardados os backups das organizações são uma verdadeira
fortaleza.
14
Existem várias formas de se fazer uma análise porém há duas que devem ser
mais apreciadas.
Analise Quantitativa
A análise quantitativa está diretamente relacionada com o lado
financeiro e a estimativa de custo e valores ligados à ameaça e à
proteção. Ela consiste em medir, mesmo que na maioria das vezes
sejam um processo complexo, o custo da perda, o qual é difícil de ser
levantado, pois muitas vezes incorporam valores intangíveis. Como o
tempo para levantar esses custos é grande, muitas vezes, quando os
valores são finalmente calculados, não são validos, pois o ambiente
operacional da empresa já mudou.
Analise Qualitativa
É a técnica mais usada na análise de risco, em que dados
probabilísticos não são analisados, e sim apenas uma estimativa da
perda é utilizada. A maior parte das abordagens de análise de risco
trabalha com esse método. (MORAES, 2010, Segurança em redes
fundamentos, Págs. 33,34, 1ª edição)
Em relação ao controle há métodos como controle efetivo a fim de diminuir
a ameaça, controle preventivos constantes, correção, procurar descobrir forma
de ataques e se caso houver um evento a recuperação da ao quadro normal.
Criptografia, e a forma de proteger os dados no trafego da rede, e existe vários
métodos de criptografia seja no disco rígido, storage, como uma rede VPN, uma
rede virtual privada, um exemplo é comum pessoas utilizarem Wi-Fi livre, seja
em aeroportos ou restaurantes, agora pense nas possibilidades dos seus
equipamentos particulares com tabletes, laptops e notebooks, com um imenso
armazenamento de dados importantes da sua empresa que você utiliza no seu
serviço e também pessoais, sem uma proteção, se não configurar no seu sistema
uma VPN estará totalmente vulnerável, a qualquer um que tenha conhecimento
em invasão e esteja disposto a fazê-lo, a VPN pode ser configurada entre dois
nós, ou entre uma estação e um nó, os dados poderão ser criptografados com
algoritmos como IPSec. Ou outra criptografia mais recente que é a SSL, essa
criptografia é muito usada na configuração do MS Outlook, Em uma forma
resumida a criptografia trata-se das finalidades de autenticar e identificar
usuários, manter segurança em transações bancarias e principalmente a
proteção da confidencialidade, o sigilo das comunicações pessoais e comerciais.
Ferramentas de segurança
Não basta simplesmente uma empresa pensar que ao utilizar um firewall
estará protegido, infelizmente para os executivos que não dispõem de um
conhecimento em tecnologia, para ele, isto será o necessário, mas para os

15
gestores os mesmos dispõem de uma imensa variedade de ferramentas que
auxiliam na preservação, prevenção e monitoramento de redes, gerenciadores
de senha, estudo de casos, appliance que faz a multifuncional da rede, firewall,
antivírus, anti-spyware, são várias ferramentas à disposição, mas precisam ser
analisadas constantemente, pois se não fizer a verificação dos logs, para saber
sobre a vulnerabilidade, se houve uma tentativa de ataque , se houve uma
violação, se precisa ser revista a política de segurança, são procedimentos
constantes, costuma –se dizer que nunca dorme, pois as ameaças não dão
trégua, implantar ferramentas com (SIM), da categoria Security Information
Management , controlam diversos eventos em relação à segurança, juntamente
com Scanners de vulnerabilidade. Outra forma também com dito é a
terceirização do serviço, um serviço relativamente novo, porém já está sendo
muito usado na Europa e Norte Americana, com monitoramento de 24 horas
constante, configuração de componentes, sobre a prevenção de incidentes e as
frequentes analises de vulnerabilidade, existem empresas como< Pure- Players,
exclusivamente em segurança, empresas de consultoria de segurança e
integração de sistemas, fornecedores de segurança, como firewall, antivírus,
IDS, e o outsources de TI, que cuida da infra - estrutura de segurança e que mais
faz parte dos contratos de terceirização. . Principais vantagens:
 Aumento no nível de segurança
 Redução de custo
 Foco de atividades principais
 Conformidade reguladora
Desvantagens:
 Para as organizações o acesso de terceiros, a senhas de servidores e
consequente as informações confidencias trazem alguma indagação.
 Dependência de terceiros irá diminuir o controle sobre o sistema de
segurança.
 Se a empresa terceirizada, não estiver familiar, com a política da empresa
terá que se adaptar para atingir o resultado satisfatório.
 Como os contratos são mensais ou dependendo da forma do contrato, o
custo poderá não ser o que a empresa estava pensando em investir o
custo poderá ficar alto.

16
 A segurança da informação na realidade não trata-se de uma simples
regra, ou uma lista, pessoas, equipamentos mais sim tem que seja definida como
um planejamento total por um grupo onde todos deveram ter como objetivo a sua
real finalidade, com consciência, profissionalismo e onde o objetivo e a vitalidade
da empresa, o usuário final, a confidencialidade, a integridade e a
disponibilidade.

17
 Conclusão

Este trabalho teve como princípio, uma abordagem sobre a segurança da

informação e sua real importância, tanto para um ambiente residencial, como
corporativo, pois com a globalização do mundo digital praticamente se faz tudo
pela Internet, não se trata de desmotivar o seu uso e sim de orienta-la à faze-la
de forma segura e consciente.
E natural que pessoas, utilizem seus equipamentos pessoais, tanto no
ambiente corporativo como domiciliar, mesmo até para dar continuidade ao
serviço prestado na empresa, e por este motivo que se faz necessário a
conscientização da segurança, seja usando a Internet ou extranet, mas também
dos riscos para organização como as ameaças não estão simplesmente
externas mas sim internas.
A segurança da informação não deverá ser considerada um fim mas sim
um meio, para que as decisões sejam tomadas para isto conta com gestores, e
com governança em TI. Sistema da Informação de forma que os dados e
informações sejam certas, e assim dar continuidade do negócio.
Ter um ambiente totalmente seguro e poder afirmar esse conceito é
praticamente impossível, porém seja no ambiente corporativo ou residencial, o
objetivo principal é prevenir as ameaças e armadilhas ao utilizar a Internet e o
sistema da informação, não somente com a proteção de hardware e software,
mas a conscientização de pessoas e que para um resultado positivo, trata-se de
um conjunto onde todos deveram estar totalmente empenhados.

18
Referência Bibliográficas

Livro: MORAES, Alexandre F. Segurança em redes fundamentos.1. ed. 2010

Editora Érica, São Paulo: Minha biblioteca, Universidade Santo Amaro,
disponível
<https://integrada.minhabiblioteca.com.br/#/books/9788536522081/cfi/1!/4/4@0
.00:4.21>. Acesso em 01 nov. 2018.
RIZZO, Olinda N P. Fundamentos de sistema da informação, Universidade Santo
Amaro, aula EAD, 2018.
CARNEO, Carlos R. Fundamentos de Governança em TI. Universidade Santo
Amaro, aula EAD, 2018.

Site: Segurança da informação, um diferencial determinante na competitividade

das corporações. Tutorial da Promon Business & Technology Review. São
Paulo, 2005. Disponível em:
<http://www.teleco.com.br/promon/pbtr/Seguranca_4WEB.pdf> Acesso em 05
nov.2018
HOEPERS, C; STEDING, K. Fundamentos da segurança da informação.
Palestra da EGI. Escola de governança da internet no Brasil, 2014. Disponível
em:
<https://www.cert.br/docs/palestras/certbr-egi2014.pdf>. Acesso em 05 nov.
2018.

19