Escolar Documentos
Profissional Documentos
Cultura Documentos
Prezado Aluno!
O objetivo desta apostila é demonstrar e auxiliá-lo da melhor maneira possível a utilizar e compreender
os principais recursos práticos e teóricos da disciplina Segurança da Informação. Por meio deste estu-
do, você poderá absorver e aumentar seu conhecimento através de pesquisas, leitura, práticas e dis-
cussões.
Apresentação da disciplina
No andamento desta disciplina, teremos atividades relacionadas a cada aula estudada, por meio do
nosso Ambiente Virtual de Aprendizagem. Busque participar ativamente e sempre envie suas dúvidas
ao Professor Formador e ao Professor Mediador.
Sucesso!
2
Prof. Elton Adriano Ribeiro
Sumário
Palavra do professor-autor .................................................................................................................. 2
Apresentação da disciplina ................................................................................................................. 2
Aula 1 – Princípios em Segurança da Informação.................................................................................. 5
1.1. – O que é segurança da informação ...................................................................................... 5
1.2. Visão Histórica .................................................................................................................... 6
1.3. – Dado ................................................................................................................................ 8
1.4. – Informação ....................................................................................................................... 8
Aula 2 – Leis, normas e padrões. ......................................................................................................... 9
2.1. – Normas .................................................................................................................................. 9
2.1.1. – Normas do International Standardization Organization - ISO ...................................................10
2.1.2. – Normas da Associação Brasileira de Normas Técnicas - ABNT ...............................................10
2.1.3. – Outras Normas Importantes ...............................................................................................11
2.2. – Políticas de Segurança da Informação ....................................................................................11
2.3. – Leis ......................................................................................................................................13
2.3.1. - InfraEstrutura de Chaves Públicas Brasileira .........................................................................14
2.3.2. - O ITI - Instituto Nacional de Tecnologia da Informação............................................................15
2.3.3. - A Internet e os Tribunais .....................................................................................................15
Aula 3 – Análise de Riscos de Segurança da Informação. .....................................................................17
3.1. – Análise de Riscos ..................................................................................................................17
3.2. - Análise de Vulnerabilidade em Aplicação ................................................................................18
3.3. - Análise de Vulnerabilidade de Rede ........................................................................................18
3.4. - Análise de Vulnerabilidade Social ...........................................................................................19
3.5. - Teste de Carga e Stress em Sistemas e Aplicações ..................................................................20
3.6. - Teste de Invasão ....................................................................................................................20
3.6.1. - Macro etapas para o Teste de Invasão .................................................................................21
Aula 4 - Ameaças e Medidas de Proteção ............................................................................................22
4.1. – Ameaças ...............................................................................................................................22
4.1.2. - Detectar vulnerabilidades de hardware e software ..................................................................22
4.1.3. - Cópias de Segurança.........................................................................................................23
4.1.4. - Redundância de Sistemas ..................................................................................................24
4.1.5. - Mecanismos de segurança eficazes .....................................................................................24
4.1.6. - Firewall ............................................................................................................................24
3
Prof. Elton Adriano Ribeiro
4.1.7. - Assinatura Digital ..............................................................................................................25
4.1.8. Biometria ...........................................................................................................................25
4.1.9. - Estrutura de nuvem pública/privada/híbrida ...........................................................................25
4.2. Medidas de Segurança .............................................................................................................26
4.2.1. Medidas Preventivas............................................................................................................26
Aula 5 – Problemas enfrentados pela Segurança da Informação ...........................................................26
5.1. – Malwares ..............................................................................................................................27
5.2. Vírus de Computador ...............................................................................................................27
5.3. - Cavalo de Tróia ......................................................................................................................28
5.4. Spywares ................................................................................................................................29
Aula 6 – Softwares de SI .....................................................................................................................29
6.1. – Gerenciadores de Senha ........................................................................................................29
6.1.1. - Password Safe ..................................................................................................................30
6.2. – Backup .................................................................................................................................32
6.2.1 – Backup no Computador ......................................................................................................32
6.2.2. – Pendrive ..........................................................................................................................33
6.2.3. – HD Externo ......................................................................................................................33
6.2.4. – Backup em Nuvem ...........................................................................................................33
6.3. – Aplicativos de prevenção, detecção e remoção de vírus. .........................................................33
6.3.1. - Avira Free Antivirus (Gratuito) .............................................................................................34
6.3.2. - AVG AntiVirus Free (Gratuito) .............................................................................................34
6.4. – Firewall .................................................................................................................................34
6.4.1. – Zone Alarm Firewall (Gratuito) ............................................................................................35
6.4.2. - Comodo Firewall (Gratuito) .................................................................................................35
6.5. - Software para recuperação de dados ......................................................................................36
6.5.1. – Recuva (Gratuito) .............................................................................................................36
6.5.2. - Wondershare Data Recovery (Pago) ....................................................................................37
Referências Bibliográficas: .................................................................................................................37
4
Prof. Elton Adriano Ribeiro
Aula 1 – Princípios em Segurança da Informação.
Objetivos:
Conhecer os princípios da Segurança da Informação.
5
Prof. Elton Adriano Ribeiro
furto, roubo, perda, corrupção ou uso indevido. A SI é considerada um fator de competitividade e so-
brevivência das empresas no atual mundo dos negócios.
6
Prof. Elton Adriano Ribeiro
Em 1964, surge o Multiplexed Information and Computer Service (MULTICS), um sistema
operacional produzido para permitir a autenticação de segurança através de senhas.
Em 1970, o Departamento de Defesa norte-americano, cria a iniciativa chama “Controles de
Segurança para Sistemas Computacionais”. Entre os principais conceitos contidos neste documento,
existe o reconhecimento da informação como um bem material muito valioso, a importância da verifica-
ção das credenciais de casa usuário, a noção de que a Segurança da Informação é responsabilidade
de todos e não apenas dos gestores de tecnologia.
Em 1980 o uso do computador pessoal é expandido. Consequentemente a segurança da in-
formação se tornou mais relevante. A popularidade permitiu aos usuários o download e o upload de
arquivos, leitura de notícias, troca de mensagens, participação em fóruns de discussão, entre outros.
Em 1982 é noticiado o primeiro programa com características de vírus, o ElkCloner. Em 1984
surge a primeira associação de profissionais de Segurança da Informação.
Saltando um pouco na história e relatando um fato triste e ao mesmo tempo curioso, em 2001
os EUA sofrem o maior ataque terrorista de sua história, as atentados de 11 de setembro. Dois edifícios
foram destruídos e haviam várias empresas instaladas nesses prédios, as mesmas deixaram de existir,
tornando esse evento o pior dia para a Segurança da Informação.
Em 2001 o Brasil se tornou a primeira nação do mundo a ter uma infraestrutura de chaves
públicas prevista em sua legislação.
No decorrer da história, a Segurança da Informação tem se mostrado uma peça chave e a
cada dia mais importante para as pessoas e para os negócios. Nas residências, os computadores es-
tão repletos de documentos, planilhas, correspondências eletrônicas, fotografias, vídeos, declarações
de imposto de renda, entre outros. Nas empresas, a situação é a mesma ou ainda mais complexa.
Servidores armazenam transações eletrônicas, planos, estratégias de negócios, segredos industriais,
informações fiscais e previdenciárias, contratos, etc.
A onipresença da tecnologia da informação é uma realidade irreversível. A humanidade está
cercada e a cada instante cria e consome um volume cada vez maior de informações. E mantê-las
confiáveis custa dinheiro. Afinal, tudo tem valor.
Este é o principal papel da Segurança da Informação no mundo moderno: garantir que os re-
cursos financeiros investidos na criação, conservação, uso, transmissão e descarte das informações
sejam resguardados.
7
Prof. Elton Adriano Ribeiro
1.3. – Dado
Os dados são a menor unidade que compõe a informação. Assim, a construção de qualquer
sistema de informação está estruturalmente fundamentada em dados. Podem ser exemplos de dados:
imagens, gravações, etc. Isoladamente os dados não possuem valor.
1.4. – Informação
A informação é um conjunto de dados, ao qual se atribui valor, utilidade ou interpretação, que
pode representar um grande diferencial para os seus detentores. Atualmente, pode-se dizer que a in-
formação é o bem mais valioso de uma organização, integrando o patrimônio desta.
A informação possui um ciclo de vida composto de três fases: Origem (aquisição e geração),
Aproveitamento (Utilização, Preservação e Retroalimentação) e Destinação (Descarte, Destruição ou
Disseminação). Conforme representa a figura 2.
A terceira fase é a Destinação, que acontece quando a informação não pode ou não precisa
mais ficar sob a tutela exclusiva de seu detentor. A Destinação acontece em três casos: no primeiro, os
direitos do autor caducaram e o detentor não pode mais explorá-la de modo exclusivo (patentes, por
exemplo). Desse modo, a informação deve ser disponibilizada ao público. No segundo caso, a informa-
ção perdeu utilidade para o detentor, porém ainda pode ser valiosa para terceiros mal-intencionados.
Por fim, há o caso em que a informação deve ser transferida de um lugar para o outro, por diversas
razões.
8
Prof. Elton Adriano Ribeiro
Como exemplo, pode-se citar a necessidade do detentor em expandir a estrutura de armaze-
namento de suas informações, através da troca de um disco rígido por outro maior. Acontece que a
informação não é simplesmente “movida” do HD (Hard Disk) antigo para o disco novo, ela é apenas
“copiada”. Desse modo, se a informação contida no disco rígido antigo não for apropriadamente des-
cartada, ela pode ser obtida novamente, expondo o detentor.
Objetivos:
Conhecer as leis normas e padrões que regem a segurança da informação.
2.1. – Normas
9
Prof. Elton Adriano Ribeiro
o ISO – International Standardization Organization.
o IEC – International Electrotechnical Comission.
o ABNT – Associação Brasileira de Normas Técnicas.
· ISO 15408 – Foi criada e direcionada para a segurança lógica das aplicações bem como pos-
sui o foco principal no desenvolvimento de aplicações seguras.
· ISO 27000 – Visando reunir as diversas normas existentes de segurança da informação, a ISO
criou a série 27000.
· ISO 27002:2005 – Padrão internacional para a gestão de segurança da informação. Padrão
que substituiu a ISO 17799:2005.
· ISO 27003:2010 – Fornece orientação sobre a implementação de sistemas de informação de
gestão de segurança, incluindo técnicas de segurança. Ele fornece instruções sobre como rea-
lizar um planejamento de um projeto SGSI em organizações de todos os tamanhos.
· ISO 27004:2009 – Padrão referente aos mecanismos de mediação e relatórios para um siste-
ma de gestão de segurança da informação (SGSI).
· ISO 27005:2008 – Gestão de Riscos de Segurança da Informação: fornece diretrizes para o
gerenciamento de informações de risco de segurança da informação.
· ISO 27006:2011 – Estabelece requisitos para auditorias externas em um Sistema de Gerenci-
amento de Segurança da Informação e certificação de sistemas de informação de gestão de
segurança.
· ISO 31000 – Norma que foi criada para tratar de assuntos relacionados à relacionados a ges-
tão de riscos.
· NBR 1333, de 12/1990 – Controle de acesso físico a CPDs (Centro de Processamento de Da-
dos).
· NBR 1334, de 12/1990 – Critérios de segurança física para armazenamento de dados.
10
Prof. Elton Adriano Ribeiro
· NBR 1335, de 07/1991 – Segurança física de microcomputadores e terminais em estações de
trabalho.
· NBR 10842 – Equipamentos para Tecnologia da Informação requisitos de Segurança.
· PCI (Payment Card Industry) – Define um padrão para o manuseio de dados de pagamentos
para todos os comerciantes e fornecedores de serviços que lidam com armazenamento,
transmissão ou processamento de dados de cartões de crédito.
· SOX (Sarbannes-Oxley) – Legislação criada após os problemas apresentados nas contabili-
dades das empresas Enron e WorldCom dentre outras, e que afetava as empresas de comér-
cio público dos Estados Unidos.
· BASEL III ACCORD (BASILEIA III) – Começou fornecendo diretriz para o cálculo de riscos (de
crédito, do mercado e operacionais) de um banco e visava deixar mais eficiente seus esforços
para o gerenciamento dos seus riscos.
· O ITIL (Information Technology Infrastructure Library) é o modelo de referência para ge-
renciamento de processos de TI mais aceito mundialmente. Atualmente se tornou a norma BS-
15000, sendo anexo da ISO 9000:2000. Dentro dele existem itens específicos que abordam o
assunto da Segurança da Informação, principalmente em planos de continuidade de negócios;
· O COBIT (Control Objectives for Information and Related Technology) é um guia de boas
práticas apresentado como framework e mapas de auditoria, conjunto de ferramentas de im-
plementação e guia com técnicas de gerenciamento.
“Atualmente, a PSI é adotada em grande parte das organizações em todo o mundo, inclusive
no Brasil. Mesmo aquelas empresas que ainda não tem uma política efetiva, reconhecem a necessida-
de de elaborar e implementar uma”. (CAMPOS, 2007, P. 131). A política de segurança da informação
deve estabelecer como será efetuado o acesso as informações de todas as formas possíveis, seja ela
internamente ou externamente, e quais os tipos de mídias poderão transportar e ter acesso a esta in-
formação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser
alocados.
Para Ferreira e Araujo (2008), deve-se formar um comitê de segurança da informação, consti-
tuído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutu-
ra, recursos humanos e outro que for necessário. O comitê será responsável por divulgar e estabelecer
12
Prof. Elton Adriano Ribeiro
os procedimentos de segurança, se reunindo periodicamente, ou a qualquer momento conforme reque-
rido pelas circunstancias, com o objetivo de manter a segurança em todas as áreas da organização.
“Convêm que a política de segurança da informação tenha um gestor que tenha responsabilidade de
gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da infor-
mação”.( ISSO/IEC 27002:2005, 2005. P. 9)
Para que a cultura da empresa seja mudada em relação à segurança da informação, é fun-
damental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de
conscientização, elaboração de guias rápidos de consulta e treinamento direcionado. (FREITAS E
ARAUJO, 2008, P. 47). A política deve ser escrita de forma clara, não gerando qualquer dúvida entre
os usuários. Todos os funcionários da organização, incluindo aqueles que são terciários e prestadores
de serviço, deverão receber um treinamento adequado para que se adequem às mudanças. De acordo
com a NBR ISSO IEC 27002 (2005), os usuários devem estar clientes das ameaças e das vulnerabili-
dades de segurança da informação e estejam equipados para apoiar a política de segurança da infor-
mação da organização durante a execução normal do trabalho. A política de segurança deve contar
com o apoio e comprometimento da alta direção da organização, pois é fundamental para que a mes-
ma seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. No
cenário atual, em que as empresas dependem cada vez mais da tecnologia e da informação, é vital
garantir a segurança adequada deste ativo, considerado estratégico em sua missão de prestar serviços
de qualidade. A solução mais adequada é o estabelecimento de um conjunto de normas e regras que
regulem a utilização dos sistemas das empresas, assim como o acesso a redes sociais e e-mails pes-
soais. As empresas necessitam aliar essa política de segurança da informação ao contrato de trabalho
dos colaboradores. Todo processo de segurança começa no recrutamento. Também é importante lem-
brar que os trabalhadores devem estar cientes do monitoramento das informações.
2.3. – Leis
13
Prof. Elton Adriano Ribeiro
lidade. A administração pública, em todos os seus níveis e órgãos, processa informações consideradas
"sensíveis", que requerem a proteção contra a intrusão e modificação desautorizadas. Assim, o estabe-
lecimento de uma política de segurança do material informativo que é armazenado e documentado em
seus sistemas de computação é de extrema importância.
Vinculada à Casa Civil da Presidência da República, o Comitê Gestor da ICP-Brasil tem como
principal competência determinar as políticas que a Autoridade Certificadora-Raiz executará. O comitê
é composto por cinco representantes da sociedade civil, integrantes de alguns setores afetos ao tema e
representantes dos seguintes órgãos: Ministério da Justiça; Ministério da Fazenda; Ministério do De-
senvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Minis-
14
Prof. Elton Adriano Ribeiro
tério da Ciência e Tecnologia; Casa Civil da Presidência da República; Gabinete de Segurança Institu-
cional da Presidência da República.
A legislação brasileira pode e vem sendo aplicada na maioria dos problemas relacionados à
Internet. Para questões específicas e controvertidas, existem projetos de lei em tramitação, os quais
devem objetivar a complementação e adequação como princípios fundamentais, sob pena de uma
inflação legislativa desnecessária. Acrescente-se que diversas nações possuem regulamentação sobre
os temas, destacando-se os Estados Unidos, membros da União Européia, Canadá, Colômbia, Itália,
Alemanha e Portugal. No Brasil destacamos a Lei nº 9.800/99 permite o envio de petições via e-mail ao
Poder Judiciário, observados certos requisitos e a Lei nº 9983/00, que tipifica condutas criminosas
quanto a prejuízos aos sistemas informatizados da Administração Pública. Questão de extrema rele-
vância é a da validade do documento eletrônico. Basta afirmar que uma simples mensagem enviada
por e-mail dificilmente tem plena validade jurídica, equiparando-se a prova oral. Isso porque, em tese,
por meio de recursos técnicos, é possível alterar documentos digitais sem deixar vestígios. Por outro
lado, através da técnica da certificação eletrônica, é possível garantir a autenticidade e a veracidade de
um documento eletrônico e, por consequência, atribuir validade jurídica ao mesmo. A certificação ele-
trônica mais comum é aquela por meio da utilização de chaves públicas (assinatura digital por cripto-
15
Prof. Elton Adriano Ribeiro
grafia assimétrica) é, em síntese, uma codificação, garantida e atribuída por uma terceira pessoa (certi-
ficador), representada por um certificado (software) que identifica a origem e protege o documento de
qualquer alteração sem vestígios. Por isso, aqueles que dispõem da assinatura digital já podem efetuar
troca de documentos e informações pela rede com a devida segurança física e jurídica.
Outro fator que não pode ser deixado de lado é a problemática da segurança no mundo virtu-
al, que merece atenção destacada. Aproximadamente 1/3 das empresas brasileiras já foram atacadas
por hackers. Os efeitos decorrentes desse aspecto ensejam a busca pela responsabilidade do ato da-
noso, seja na esfera criminal ou na cível, justificando, também, a preocupação com a discussão e de-
bate do assunto, propondo, inclusive, a necessidade de regulamentação complementar.
16
Prof. Elton Adriano Ribeiro
Aula 3 – Análise de Riscos de Segurança da Informação.
Objetivos:
Identificar os principais riscos para a segurança da informação.
A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de seguran-
ça e os componentes de segurança que formam esse programa. Quando a empresa souber o valor dos
ativos e entender as possíveis ameaças a que eles estão expostos, a alta direção poderá tomar deci-
sões inteligentes sobre o quanto investir na proteção desses ativos.
Esta fase tem como objetivo identificar e classificar ameaças existentes na aplicação, com
base em um conhecimento de vulnerabilidades das aplicações. O resultado das informações obtidas
nesta fase possibilita tratar as ameaças existentes com as contramedidas apropriadas definindo priori-
dades, ou seja, começando pelas ameaças que apresentam maior risco para a organização.
A AVS (Análise de Vulnerabilidade Social) busca identificar o nível de conscientização dos usuários
através de um sistema de métricas de indicadores obtidos a partir de questionários, simulações e en-
19
Prof. Elton Adriano Ribeiro
trevistas. Com esses indicadores é possível avaliar a eficácia das campanhas de conscientização e
mapear áreas da organização que precisam de maior atenção.
O Teste de carga e stress em softwares, sistemas e aplicações refere-se aos testes que colo-
cará uma maior ênfase na robustez, disponibilidade e tratamento de erros sob uma carga pesada, ao
invés do que seria considerado um comportamento correto em circunstâncias normais. Particularmente,
os objetivos desses testes pode ser o de assegurar que o software não deixe de funcionar em condi-
ções de insuficiência de recursos computacionais (como memória ou espaço em disco), em uso simul-
tâneo elevado ou ataques de negação de serviço.
Por exemplo, um servidor web pode ser estressado usando scripts, bots e várias ferramentas de nega-
ção de serviço para observar o desempenho de um site web, durante os picos de carga.
O teste de carga e stress pode ser realizado carregando usuários simultâneos durante o nível e além
do que o sistema pode suportar, com isso é possível identificar o elo mais fraco em todo o sistema.
O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança
pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios.
O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.
1. Coleta de informações, para levantar todo e qualquer tipo de informação disponível sobre a or-
ganização, em especial dados sobre endereços de máquina e redes, nomes de usuários, sis-
temas utilizados, serviços prestados, estrutura organizacional, etc.
2. Mapeamento do ambiente, depois de obtidas as informações iniciais, o especialista através de
técnicas mais agressivas, procura mapear ainda mais a rede da organização. Enquanto na fa-
se de coleta há pouca atividade diretamente realizada contra a rede avaliada, nessa etapa as
máquinas passam a receber tráfego especificamente voltado para o levantamento da rede,
como por exemplo: port scanning, tcp/ip, fingerprinting, consultas sobre versões de aplicativos,
etc.
21
Prof. Elton Adriano Ribeiro
3. Mapeamento de vulnerabilidades é uma das partes mais importantes do teste de invasão. De
posse do mapeamento do ambiente, o especialista é capaz de mapear vulnerabilidades de um
sistema, através de banco de vulnerabilidades ou baseado em sua experiência. Essas vulnera-
bilidades podem ser tanto operacionais, como usuários com senha trivial, ou vulnerabilidades
de software como uma versão insegura do Sistema Operacional ou seus aplicativos.
4. Exploração/Invasão é a etapa do teste onde o especialista faz uso de ferramentas e técnicas
para explorar as falhas observadas.
Objetivos:
Identificar os principais riscos para a segurança da informação.
4.1. – Ameaças
As ameaças são fatores externos capazes de explorar uma ou mais vulnerabilidades, permi-
tindo furto, roubo, perda, corrupção ou uso indevido dos ativos de informação. São exemplos de amea-
ças a invasão de sistemas de informação, as fraudes, o vandalismo contra equipamentos ou meios de
transmissão, os atentados terroristas, as catástrofes naturais, a espionagem industrial ou internacional,
o vírus de computador, o recebimento de spam, entre outros. Não é possível se proteger contra todas
as ameaças, pois elas sempre existirão e sempre estarão por perto. As ameaças podem ser classifica-
das de vários modos, entre elas: ameaças naturais, ameaças de cunho doloso ou intencionais, amea-
ças de cunho culposo ou não intencionais.
22
Prof. Elton Adriano Ribeiro
Os equipamentos estão sujeitos a defeitos de fabricação, instalação ou utilização incorreta, quebra ou
queima de componente e má conservação, o que pode comprometer um ou mais dos princípios da
segurança da informação.
O mais importante é que haja pelo menos duas cópias das bases de dados, guardadas em
locais distintos da instalação original — ou seja, em locais seguros fora do prédio da sua empresa. A
partir do backup é possível recuperar, em curtíssimo espaço de tempo, informações perdidas aciden-
talmente ou em consequência de sinistros (enchentes, incêndio etc.), sabotagens ou roubos. Vale des-
tacar: entre as empresas que funcionavam no World Trade Center na ocasião do atentado de 11 de
setembro de 2001, todas que tinham boas práticas de manutenção de backup sobreviveram à catástro-
fe, voltando a funcionar normalmente em poucos dias.
23
Prof. Elton Adriano Ribeiro
4.1.4. - Redundância de Sistemas
Para garantir o funcionamento contínuo dos recursos de TI, dois equipamentos entram em
cena. O nobreak garante o funcionamento da infraestrutura por tempo suficiente para que nenhuma
informação seja perdida quando ocorre falta de energia elétrica. O equipamento de telemetria detecta
falhas nos equipamentos de processamento de dados e emite alertas automáticos aos responsáveis
por restabelecer o seu funcionamento.
4.1.6. - Firewall
24
Prof. Elton Adriano Ribeiro
4.1.7. - Assinatura Digital
É uma forma de identificação do usuário que está acessando os recursos de TI. Ela dá vali-
dade legal aos documentos digitais, assegurando a autenticidade do emissor da informação.
4.1.8. Biometria
Uma das formas mais avançadas de garantir a segurança da informação é a decisão pela uti-
lização de uma estrutura de computação em nuvem. Essa estrutura tem três categorias distintas: nu-
vem pública, privada ou híbrida.
Na nuvem pública, toda a infraestrutura de TI, a sua manutenção, os seus mecanismos de segurança e
a atualização são de responsabilidade do provedor do serviço. A instalação é rápida e os recursos são
escalonáveis, de acordo com o perfil de demanda da empresa contratante.
A nuvem privada é de propriedade da companhia e fica instalada em sua área física, requerendo infra-
estrutura de hardware, software, segurança e pessoal próprio para o seu gerenciamento.
Já a nuvem híbrida combina o melhor dos dois tipos anteriores. Com isso, parte dos dados é disponibi-
lizada na nuvem privada — aqueles que exigem sigilo — e outra parte fica na nuvem pública — dados
não confidenciais.
25
Prof. Elton Adriano Ribeiro
Todos os três tipos de serviço de computação em nuvem respeitam altos padrões de segu-
rança da informação. Basta avaliar qual é o mais adequado para as necessidades e expectativas da
sua organização.
São aquelas planejadas e executadas no intuito de evitar a ocorrência de danos aos ativos de
informação. Buscam reduzir as vulnerabilidades e manter as ameaças sob controle. Aplicam-se às
vulnerabilidades conhecidas e ameaças identificadas.
Objetivos:
Identificar os principais problemas enfrentados pela SI
26
Prof. Elton Adriano Ribeiro
5.1. – Malwares
Malwares é o termo que designa um grupo de programas de computador desenvolvidos com
três finalidades:
Os vírus se classificam de acordo com os meios de infecção e propagação, abaixo alguns dos mesmo
de infecção mais comuns:
a. Infecções de programas: Nesse modo o vírus procura incorporar seu código malicioso em pro-
gramas legítimos, assim, sempre que um programa infectado é executado pelo usuário, o códi-
go do vírus também se executa, sem que o usuário perceba, aumentando a infecção do siste-
ma.
b. Infecções de boot: Nesse modo, os vírus de computado procuram incorporar seu código mali-
cioso nos primeiros 512 bytes de um disco rígido. Essa região é conhecida como Master Boot
Sector e é responsável pelo registro e qualificação das partições contidas no disco.
c. Infecções de Macros: Nesse modo, os vírus de computador procuram incorporar seu código
malicioso em arquivos de documentos (textos e planilhas). Certos pacotes de softwares para
escritório oferecem um conjunto de comandos que podem ser executados automaticamente,
chamado macro. Os infectores de macros aproveitam-se do potencial desse tipo de linguagem
para se disseminarem rapidamente, afinal, os documentos tem muito mais mobilidade do que
mídias inteiras. Basta que se abra um documento contaminado para que a infecção se espalhe
pelos demais documentos contidos no computador.
27
Prof. Elton Adriano Ribeiro
d. Infecções de autorun: São similares as infecções de boot. Exploram uma funcionalidade dos
sistemas operacionais, chamada execução automática, que executa um ou mais programas
assim quem uma mídia (pen drives, cds ou dvds) são inseridas no computador. O autorun é um
recurso que facilita o trabalho do usuário, quando este necessita instalar programas ou execu-
tar recursos multimídias, porém tem sido utilizado para disseminar automaticamente os malwa-
res.
e. Infecções por phishing: o phishing é a técnica que faz o usuário trazer para seu computador um
programa infectado por vírus e instalá-lo em seu próprio sistema. A técnica funciona através do
oferecimento de um conteúdo de interesse do usuário. Ao buscar esse conteúdo, tudo o que o
usuário obtém é a infecção de seu computador. O conteúdo de interesse do usuário pode che-
gar através de e-mails, mensagens instantâneas, redes sociais, páginas web, etc. Em todos os
exemplos o link oferecido aponta para programas que são baixados e executados, infectando o
computador do usuário.
28
Prof. Elton Adriano Ribeiro
5.4. Spywares
Os spywares (software espiões) são a terceira das espécies de malwares. São programas
criados com a intenção de coletar informações do usuário, tais como o tipo de websites que visita, pro-
dutos que costuma comprar, assuntos que lhe interessam, horários de acesso, tipo de e-mails que
recebe, etc. e enviá-las para uma entidade externa. E o mais importante: sempre sem o consentimento
ou o conhecimento do usuário espionado.
É importante saber que nem toda coleta de informações do usuário é ilegal. Algumas empre-
sas disponibilizam serviços na internet (webmails, blogs, redes sociais, etc.) a qualquer pessoa, desde
que essa pessoa aceite os termos de prestação de serviço ou as políticas de privacidade. Nesses do-
cumentos constam cláusulas pelas quais o usuário autoriza expressamente a atividade de coleta de
suas informações.
Aula 6 – Softwares de SI
Objetivos:
Conhecer os principais softwares de proteção para SI
O Password Safe é uma ferramenta de código. A segurança do Password Safe está no algoritmo de
encriptação.
O link para download é: https://pwsafe.org/
Para cria um banco de dados de senha, execute o software, em seguida clique no botão New. Confor-
me mostra a figura 4.
Será abera uma janela do Windows Explorer solicitando que o usuário indique o nome e a localização
de seu banco de dados de senha. Após a definição clique em “Salvar”, conforme a figura 5.
30
Prof. Elton Adriano Ribeiro
Figura 5: Definindo a localização do bando de dados de senha. Fonte: Password Safe
Em seguida, surgirá uma janela solicitando que o usuário defina a “Safe Combination”, ou seja, a senha
mestre. Essa é a senha que você deverá memorizar com toda atenção. Conforme a figura 6.
31
Prof. Elton Adriano Ribeiro
Caso o programa considere a senha mestre muito fraca, o usuário tem duas opções: continuar assim
mesmo, clicando no botão “Sim” ou tentar uma nova senha, clicando no botão “Não”. Conforme a figura
7.
Após realizar os passos anteriores podemos adicionar uma entrada, que é um nome para cada senha
salva. Para adicionar uma entrada é necessário clicar no menu “Edit” e em seguida na opção “Add
entry”, como mostrado no figura 8.
Figura 8: Adicionando uma nova entrada no banco de dados. Fonte: Password Safe
6.2. – Backup
Backup é uma cópia de segurança. O termo em inglês é muito utilizado por empresas e pessoas que
guardam documentos, imagens, vídeos e outros arquivos no computador ou na nuvem.
Quem já perdeu informações salvas no PC sabe da importância do backup. Faze-lo regulamente é uma
forma de manter os arquivos da cópia de segurança sempre atualizados com o que há no HD.
32
Prof. Elton Adriano Ribeiro
Uma das formas mais simples e rápidas de fazer um backup é com mídia física, gravando os dados em
CD, DVD e Blu-ray. Porém, dependendo da quantidade de arquivos, será necessário vários CDs, DVDs
e Blu-rays para fazer o backup completo, o que complicará o controle e organização de todos eles.
Além disso, essas mídias podem ser corrompidas ao longo do tempo. O ideal é etiquetar os CDs gra-
vados.
6.2.2. – Pendrive
Já o pendrive é um dispositivo mais versátil que também pode ser usado para guardar uma cópia de
segurança dos arquivos do seu computador. A ferramenta permite o fácil manuseio dos arquivos, po-
dendo levá-los consigo para qualquer lugar. Porém, se o backup reunir um número grande de dados,
será preciso um pendrive com grande capacidade de armazenamento ou mais de um dispositivo.
6.2.3. – HD Externo
Outra forma bem simples é fazer backup dos arquivos com um HD externo. Este, geralmente, possui
um grande espaço de armazenamento, pode ser guardado em um cofre e também se conecta facil-
mente ao computador.
Atualmente, existem diversos serviços online que permitem o armazenamento de arquivos na nuvem,
como o Google Drive, Dropbox e OneDrive - todos contam com planos gratuitos. Já os usuários do Mac
podem usar também o iCloud - que também possui um plano grátis - para manter uma cópia de segu-
rança de seus dados.
Estar na internet e não possuir um programa antivírus instalado no computador é algo arriscado e alta-
mente não recomendável. A web é um espaço repleto de coisas interessantes, mas, é claro, nem só de
rosas vive a rede, então é importante ter um aplicativo capaz de proteger seu computador — logo sua
33
Prof. Elton Adriano Ribeiro
segurança e sua privacidade — para evitar grandes complicações. Abaixo, três opções de antivírus
gratuitos e três opções de antivírus pagos.
De acordo com o site Tech Mundo, o Avira é um dos mais conhecidos sistemas antivírus da atualidade,
o Avira oferece uma excelente versão gratuita para os seus usuários. Ele não tem a mais simples e
compreensível das interfaces, mas apresenta conteúdo de sobra para deixar sua máquina protegida,
monitorando tudo em tempo real, vasculhando o sistema em busca de problemas e tudo mais que um
bom antivírus precisa fazer.
Se você é um usuário mais antigo da internet, deve ficar um pé atrás quando ouve falar em AVG, mas
isso não é necessário. A empresa evoluiu e seu produto acompanhou este processo, tornando-se uma
opção discreta e robusta para manter o computador protegido. Ele ainda sofre com problemas, como
os banners de propaganda que exibe na tela do próprio antivírus, mas nada que realmente comprome-
ta o seu excelente funcionamento. Faça o download no site oficial: http://www.avgbrasil.com.br/avg-
free-antivirus-gratis
O site Olhar Digital fez um comparativo entre os principais antivírus gratuitos disponíveis no mercado,
clique no link e saiba mais: Saiba Mais sobre Antivírus
6.4. – Firewall
De acordo com o site Tech Tudo, um firewall é, em português, uma parede de fogo. No computador,
mais do que isso, o firewall é o caminho que toda informação de uma rede local precisa passar e ser
fiscalizada antes de entrar ou sair. Sendo assim, o recurso comum em todos os PC tem o objetivo apli-
car uma política de segurança, decidindo o que entra e o que sai, de forma segura para o usuário. Ao
forçar a verificação de toda informação que entra ou sai do computador para a rede, o firewall fecha o
cerco a qualquer tentativa de invasão. Basicamente tranca todas as portas de acesso, que são os ca-
nais por onde os serviços conversam entre si, ao PC e a partir daí somente computadores e portas
34
Prof. Elton Adriano Ribeiro
autorizadas podem ter comunicação. Esses movimentos serão registrados para serem analisados pos-
teriormente. A figura 9 reflete uma analogia ao funcionamento do firewall.
O Zone Alarm Firewall protege o Windows da ação de malwares e atividades suspeitas na Internet.
Possui interface objetiva e trabalha no monitoramento da porta de entrada do computador. Ele verifica
aplicativos que acessam conteúdos na Internet para evitar possíveis invasões ou contaminações. São
gerados relatórios com informações sobre os acessos suspeitos bloqueados periodicamente.
Há uma opção que desliga alguns de seus recursos do programa quando o usuário estiver jogando
games online. A versão gratuita apenas impede invasões e atividades de malware, vírus e outros apli-
cativos maliciosos devem ser neutralizados com o auxílio de um bom programa de antivírus.
O Comodo Firewall utiliza um recurso chamado Default Deny Protection, que atualiza periodicamente a
lista de malware conhecidos e define quais aplicativos e arquivos não podem acessar o PC. O progra-
ma oferece ainda configurações personalizadas e possui interface atraente. O firewall do Comodo inte-
gra a suíte de segurança Comodo Internet Security Pro, que oferece também o monitoramento da rede
Wi-Fi.
35
Prof. Elton Adriano Ribeiro
Faça o download: Comodo Firewall
O disco rígido (HD) é o principal dispositivo de armazenamento de dados em um computador. Ele pode
armazenar quaisquer tipos de dados, como vídeos, fotos, músicas, documentos e outros arquivos copi-
ados, criados ou baixados. No entanto, existem certos acontecimentos que podem causar a perda de
dados salvos no disco rígido. Por exemplo, a limpeza acidental da Lixeira, ataques de vírus, ação im-
própria, danos na partição, formatação com falha e outros acidentes podem causar a perda de dados.
Nestes casos, você precisará de ferramentas de recuperação de dados do disco rígido, que podem
recuperar os arquivos perdidos. Abaixo lhes apresento duas opções de software para a recuperação do
HD.
O Recuva, programa de recuperação de discos rígidos gratuito, recupera arquivos excluídos não ape-
nas do computador, mas também de cartões de memória, discos externos e unidades flash. O proces-
so de recuperação é muito simples. Com ele, os usuários podem buscar em pastas e unidades especí-
ficas. Porém, ao contrário dos programas pagos, a ferramenta não possui tudo o que é necessário em
um bom programa de recuperação de dados.
A figura 10 mostra a opção de localização dos arquivos, ou seja, onde você deseja que o programa
trabalhe.
36
Prof. Elton Adriano Ribeiro
Figura 10: Escolha do local para recuperação. Fonte: Recuva
Referências Bibliográficas:
CAMPOS. Resolvendo problemas no seu PC: passo a passo. São Paulo: Makron Books, 2007.
38
Prof. Elton Adriano Ribeiro