Segurança da Informação

Elton Adriano Ribeiro da Silva

Técnico em Informática Subsequente

Palavra do professor-autor

Prezado Aluno!

O objetivo desta apostila é demonstrar e auxiliá-lo da melhor maneira possível a utilizar e compreender
os principais recursos práticos e teóricos da disciplina Segurança da Informação. Por meio deste estu-
do, você poderá absorver e aumentar seu conhecimento através de pesquisas, leitura, práticas e dis-
cussões.

Apresentação da disciplina

No andamento desta disciplina, teremos atividades relacionadas a cada aula estudada, por meio do
nosso Ambiente Virtual de Aprendizagem. Busque participar ativamente e sempre envie suas dúvidas
ao Professor Formador e ao Professor Mediador.

Discutiremos ao longo da disciplina:

· Princípios em segurança da informação.

· Análise de riscos.
· Leis, normas e padrões.
· Ameaças, vulnerabilidades e medidas de proteção.
Entre outros assuntos pertinentes a nossa disciplina.
Minha função é de orientá-lo, apoiá-lo e acompanhá-lo em seu processo de aprendizagem, ajudando-o
em suas necessidades e dúvidas.

Sucesso!

Professor Elton Adriano Ribeiro da Silva

2
Prof. Elton Adriano Ribeiro
Sumário
Palavra do professor-autor .................................................................................................................. 2
Apresentação da disciplina ................................................................................................................. 2
Aula 1 – Princípios em Segurança da Informação.................................................................................. 5
1.1. – O que é segurança da informação ...................................................................................... 5
1.2. Visão Histórica .................................................................................................................... 6
1.3. – Dado ................................................................................................................................ 8
1.4. – Informação ....................................................................................................................... 8
Aula 2 – Leis, normas e padrões. ......................................................................................................... 9
2.1. – Normas .................................................................................................................................. 9
2.1.1. – Normas do International Standardization Organization - ISO ...................................................10
2.1.2. – Normas da Associação Brasileira de Normas Técnicas - ABNT ...............................................10
2.1.3. – Outras Normas Importantes ...............................................................................................11
2.2. – Políticas de Segurança da Informação ....................................................................................11
2.3. – Leis ......................................................................................................................................13
2.3.1. - InfraEstrutura de Chaves Públicas Brasileira .........................................................................14
2.3.2. - O ITI - Instituto Nacional de Tecnologia da Informação............................................................15
2.3.3. - A Internet e os Tribunais .....................................................................................................15
Aula 3 – Análise de Riscos de Segurança da Informação. .....................................................................17
3.1. – Análise de Riscos ..................................................................................................................17
3.2. - Análise de Vulnerabilidade em Aplicação ................................................................................18
3.3. - Análise de Vulnerabilidade de Rede ........................................................................................18
3.4. - Análise de Vulnerabilidade Social ...........................................................................................19
3.5. - Teste de Carga e Stress em Sistemas e Aplicações ..................................................................20
3.6. - Teste de Invasão ....................................................................................................................20
3.6.1. - Macro etapas para o Teste de Invasão .................................................................................21
Aula 4 - Ameaças e Medidas de Proteção ............................................................................................22
4.1. – Ameaças ...............................................................................................................................22
4.1.2. - Detectar vulnerabilidades de hardware e software ..................................................................22
4.1.3. - Cópias de Segurança.........................................................................................................23
4.1.4. - Redundância de Sistemas ..................................................................................................24
4.1.5. - Mecanismos de segurança eficazes .....................................................................................24
4.1.6. - Firewall ............................................................................................................................24

3
Prof. Elton Adriano Ribeiro
 4.1.7. - Assinatura Digital ..............................................................................................................25
4.1.8. Biometria ...........................................................................................................................25
4.1.9. - Estrutura de nuvem pública/privada/híbrida ...........................................................................25
4.2. Medidas de Segurança .............................................................................................................26
4.2.1. Medidas Preventivas............................................................................................................26
Aula 5 – Problemas enfrentados pela Segurança da Informação ...........................................................26
5.1. – Malwares ..............................................................................................................................27
5.2. Vírus de Computador ...............................................................................................................27
5.3. - Cavalo de Tróia ......................................................................................................................28
5.4. Spywares ................................................................................................................................29
Aula 6 – Softwares de SI .....................................................................................................................29
6.1. – Gerenciadores de Senha ........................................................................................................29
6.1.1. - Password Safe ..................................................................................................................30
6.2. – Backup .................................................................................................................................32
6.2.1 – Backup no Computador ......................................................................................................32
6.2.2. – Pendrive ..........................................................................................................................33
6.2.3. – HD Externo ......................................................................................................................33
6.2.4. – Backup em Nuvem ...........................................................................................................33
6.3. – Aplicativos de prevenção, detecção e remoção de vírus. .........................................................33
6.3.1. - Avira Free Antivirus (Gratuito) .............................................................................................34
6.3.2. - AVG AntiVirus Free (Gratuito) .............................................................................................34
6.4. – Firewall .................................................................................................................................34
6.4.1. – Zone Alarm Firewall (Gratuito) ............................................................................................35
6.4.2. - Comodo Firewall (Gratuito) .................................................................................................35
6.5. - Software para recuperação de dados ......................................................................................36
6.5.1. – Recuva (Gratuito) .............................................................................................................36
6.5.2. - Wondershare Data Recovery (Pago) ....................................................................................37
Referências Bibliográficas: .................................................................................................................37

4
Prof. Elton Adriano Ribeiro
Aula 1 – Princípios em Segurança da Informação.

Objetivos:
Conhecer os princípios da Segurança da Informação.

1.1. – O que é segurança da informação

De acordo com o site Web Insider, a informação é o ativo mais valioso para uma organização
ou pessoa é a informação. Este grande diferencial competitivo então deve estar disponível apenas para
as pessoas de direito. Elaborar e garantir critérios que protejam estas informações contra fraudes, rou-
bos ou vazamentos nas empresas são responsabilidades e habilidades dos gestores e analistas de
segurança da informação.
A Segurança da Informação (SI) é o ramo do conhecimento responsável pela preservação e
descarte de um dos bens materiais mais preciosos da história da humanidade: a informação. Nunca na
história havia se produzido tanta informação quanto nos dias atuais. Você já se perguntou o quanto de
informação existe sobre você?
Podemos dizer que a defesa dos dados é feita pela segurança da informação. Ela foi criada
para assegurar que esses dados estejam acessíveis, principalmente para quem somente tem o direito
de acessar o mesmo, como dito acima; imagine uma empresa com projetos em vários setores e partici-
pando de várias licitações governamentais. É natural e saudável que tais dados permaneçam sigilosos,
mas sempre existirá o risco de uma ou outra informação vazar. Quando isso acontece a perda é irrepa-
rável. Em uma empresa, a segurança da informação nada mais é do que as políticas, processos e mé-
todos que devem ser empregados para que a circulação de dados e informações seja segura e contro-
lada, evitando que pessoas indesejadas façam uso ou ao menos tenham acesso a essas informações.
Ter uma equipe qualificada de Tecnologia da Informação (TI) para proteger as informações
de uma empresa é fundamental nos dias atuais. Existem ferramentas que permitem evitar maiores
problemas e garantem a integridade da informação.
A informação estará segura somente quando profissionais de TI e usuários agirem em co-
mum acordo, colocando em práticas as melhores maneiras para evitar riscos futuros. Em termos gerais
a SI é o ramo do conhecimento responsável pela preservação e descarte dos ativos da informação,
seja ela pessoal ou corporativa, através da elaboração de critérios que protejam esses ativos contra o

5
Prof. Elton Adriano Ribeiro
furto, roubo, perda, corrupção ou uso indevido. A SI é considerada um fator de competitividade e so-
brevivência das empresas no atual mundo dos negócios.

1.2. Visão Histórica

Mitch Ratliff diz que um computador permite que você cometa rapidamente mais erros que
qualquer outra invenção na história da humanidade – exceto pelas armas de fogo e pela tequila, possi-
velmente.
Os primeiros relatos da segurança da informação são através das figuras litográficas, na pré-
história, onde em algum momento a humanidade sentiu necessidade de representar seu dia a dia. Tais
relatos eram feitos através de desenhos em rochas, pinturas em cavernas, etc. Como mostra a figura 1.
A invenção da escrita há 6.000 anos permitiu que conceitos abstratos fossem devidamente registrados

Figura 1: Litografia na pré-história. Fonte: SXC

A Segurança da Informação surgiu através dos atos de administração dos governos e das
guerras. A invenção do telégrafo e da codificação Morse, permitiu que mensagens fossem enviadas
rapidamente dentro de um país ou mesmo entre países. Já havia a preocupação com a confidenciali-
dade das mensagens.
É fundamental o uso da criptografia como ferramenta militar durante a Segunda Guerra Mun-
dial. Na década de 1950, os computadores localizavam-se em instalações militares e ocupavam salas
inteiras, andares de prédios, eram conhecidos como mainframes. A SI consistia na proteção física dos
equipamentos e dos meios de armazenamento, garantindo que nada fosse roubado.

6
Prof. Elton Adriano Ribeiro
 Em 1964, surge o Multiplexed Information and Computer Service (MULTICS), um sistema
operacional produzido para permitir a autenticação de segurança através de senhas.
Em 1970, o Departamento de Defesa norte-americano, cria a iniciativa chama “Controles de
Segurança para Sistemas Computacionais”. Entre os principais conceitos contidos neste documento,
existe o reconhecimento da informação como um bem material muito valioso, a importância da verifica-
ção das credenciais de casa usuário, a noção de que a Segurança da Informação é responsabilidade
de todos e não apenas dos gestores de tecnologia.
Em 1980 o uso do computador pessoal é expandido. Consequentemente a segurança da in-
formação se tornou mais relevante. A popularidade permitiu aos usuários o download e o upload de
arquivos, leitura de notícias, troca de mensagens, participação em fóruns de discussão, entre outros.
Em 1982 é noticiado o primeiro programa com características de vírus, o ElkCloner. Em 1984
surge a primeira associação de profissionais de Segurança da Informação.
Saltando um pouco na história e relatando um fato triste e ao mesmo tempo curioso, em 2001
os EUA sofrem o maior ataque terrorista de sua história, as atentados de 11 de setembro. Dois edifícios
foram destruídos e haviam várias empresas instaladas nesses prédios, as mesmas deixaram de existir,
tornando esse evento o pior dia para a Segurança da Informação.
Em 2001 o Brasil se tornou a primeira nação do mundo a ter uma infraestrutura de chaves
públicas prevista em sua legislação.
No decorrer da história, a Segurança da Informação tem se mostrado uma peça chave e a
cada dia mais importante para as pessoas e para os negócios. Nas residências, os computadores es-
tão repletos de documentos, planilhas, correspondências eletrônicas, fotografias, vídeos, declarações
de imposto de renda, entre outros. Nas empresas, a situação é a mesma ou ainda mais complexa.
Servidores armazenam transações eletrônicas, planos, estratégias de negócios, segredos industriais,
informações fiscais e previdenciárias, contratos, etc.
A onipresença da tecnologia da informação é uma realidade irreversível. A humanidade está
cercada e a cada instante cria e consome um volume cada vez maior de informações. E mantê-las
confiáveis custa dinheiro. Afinal, tudo tem valor.
Este é o principal papel da Segurança da Informação no mundo moderno: garantir que os re-
cursos financeiros investidos na criação, conservação, uso, transmissão e descarte das informações
sejam resguardados.

7
Prof. Elton Adriano Ribeiro
1.3. – Dado
Os dados são a menor unidade que compõe a informação. Assim, a construção de qualquer
sistema de informação está estruturalmente fundamentada em dados. Podem ser exemplos de dados:
imagens, gravações, etc. Isoladamente os dados não possuem valor.

1.4. – Informação
A informação é um conjunto de dados, ao qual se atribui valor, utilidade ou interpretação, que
pode representar um grande diferencial para os seus detentores. Atualmente, pode-se dizer que a in-
formação é o bem mais valioso de uma organização, integrando o patrimônio desta.

A informação possui um ciclo de vida composto de três fases: Origem (aquisição e geração),
Aproveitamento (Utilização, Preservação e Retroalimentação) e Destinação (Descarte, Destruição ou
Disseminação). Conforme representa a figura 2.

Figura 2: O ciclo de vida da informação. Fonte: Tech Mundo

Na Origem, os dados e informações são adquiridos. O Aproveitamento responde pela explo-

ração econômica da informação ou dos produtos gerados a partir dela. Um de seus processos mais
importantes é a Preservação, que objetiva manter a informação bem guardada e disponível para seus
detentores.

A terceira fase é a Destinação, que acontece quando a informação não pode ou não precisa
mais ficar sob a tutela exclusiva de seu detentor. A Destinação acontece em três casos: no primeiro, os
direitos do autor caducaram e o detentor não pode mais explorá-la de modo exclusivo (patentes, por
exemplo). Desse modo, a informação deve ser disponibilizada ao público. No segundo caso, a informa-
ção perdeu utilidade para o detentor, porém ainda pode ser valiosa para terceiros mal-intencionados.
Por fim, há o caso em que a informação deve ser transferida de um lugar para o outro, por diversas
razões.
8
Prof. Elton Adriano Ribeiro
 Como exemplo, pode-se citar a necessidade do detentor em expandir a estrutura de armaze-
namento de suas informações, através da troca de um disco rígido por outro maior. Acontece que a
informação não é simplesmente “movida” do HD (Hard Disk) antigo para o disco novo, ela é apenas
“copiada”. Desse modo, se a informação contida no disco rígido antigo não for apropriadamente des-
cartada, ela pode ser obtida novamente, expondo o detentor.

Aula 2 – Leis, normas e padrões.

Objetivos:
Conhecer as leis normas e padrões que regem a segurança da informação.

2.1. – Normas

As normas técnicas determinam regras, diretrizes e características mínimas para atividades

ou resultados. Elas são aprovadas por um organismo reconhecido e as empresas que atendem suas
exigências podem receber uma comprovação de excelência quando auditadas. Em muitos casos, clien-
tes exigem que as companhias possuam determinadas certificações para fecharem negócios, já que
assim eles garantem que serviços e produtos são oferecidos de acordo com boas práticas internacio-
nais, que podem ser de gestão, segurança, inovação ou processo. Para as instituições serem certifica-
das, elas passam por auditorias realizadas por entidades certificadoras, que checam todos os proces-
sos e conformidades. O processo de obtenção do certificado pode variar de acordo com o serviço, pro-
duto ou o porte da companhia, mas geralmente inclui aplicação das diretrizes da norma, análise de
documentação, realização de auditorias internas para verificação de inconformidades, adequação e
auditorias externas.

Existem normas que regem a elaboração e aplicação de um Sistema de Gestão de Seguran-

ça da Informação. Elas têm o objetivo de garantir confidencialidade, integridade e disponibilidades da
informação, fatores essenciais para um sistema corporativo seguro.

Existem várias instituições padronizadoras reconhecidas nacionais e internacionais.

9
Prof. Elton Adriano Ribeiro
 o ISO – International Standardization Organization.
o IEC – International Electrotechnical Comission.
o ABNT – Associação Brasileira de Normas Técnicas.

2.1.1. – Normas do International Standardization Organization - ISO

· ISO 15408 – Foi criada e direcionada para a segurança lógica das aplicações bem como pos-
sui o foco principal no desenvolvimento de aplicações seguras.
· ISO 27000 – Visando reunir as diversas normas existentes de segurança da informação, a ISO
criou a série 27000.
· ISO 27002:2005 – Padrão internacional para a gestão de segurança da informação. Padrão
que substituiu a ISO 17799:2005.
· ISO 27003:2010 – Fornece orientação sobre a implementação de sistemas de informação de
gestão de segurança, incluindo técnicas de segurança. Ele fornece instruções sobre como rea-
lizar um planejamento de um projeto SGSI em organizações de todos os tamanhos.
· ISO 27004:2009 – Padrão referente aos mecanismos de mediação e relatórios para um siste-
ma de gestão de segurança da informação (SGSI).
· ISO 27005:2008 – Gestão de Riscos de Segurança da Informação: fornece diretrizes para o
gerenciamento de informações de risco de segurança da informação.
· ISO 27006:2011 – Estabelece requisitos para auditorias externas em um Sistema de Gerenci-
amento de Segurança da Informação e certificação de sistemas de informação de gestão de
segurança.
· ISO 31000 – Norma que foi criada para tratar de assuntos relacionados à relacionados a ges-
tão de riscos.

2.1.2. – Normas da Associação Brasileira de Normas Técnicas - ABNT

No Brasil as primeiras orientações quanto à segurança física em informática foram definidas

pelas normas técnicas NBR´s. http://www.abnt.org.br/

· NBR 1333, de 12/1990 – Controle de acesso físico a CPDs (Centro de Processamento de Da-
dos).
· NBR 1334, de 12/1990 – Critérios de segurança física para armazenamento de dados.

10
Prof. Elton Adriano Ribeiro
 · NBR 1335, de 07/1991 – Segurança física de microcomputadores e terminais em estações de
trabalho.
· NBR 10842 – Equipamentos para Tecnologia da Informação requisitos de Segurança.

2.1.3. – Outras Normas Importantes

· PCI (Payment Card Industry) – Define um padrão para o manuseio de dados de pagamentos
para todos os comerciantes e fornecedores de serviços que lidam com armazenamento,
transmissão ou processamento de dados de cartões de crédito.
· SOX (Sarbannes-Oxley) – Legislação criada após os problemas apresentados nas contabili-
dades das empresas Enron e WorldCom dentre outras, e que afetava as empresas de comér-
cio público dos Estados Unidos.
· BASEL III ACCORD (BASILEIA III) – Começou fornecendo diretriz para o cálculo de riscos (de
crédito, do mercado e operacionais) de um banco e visava deixar mais eficiente seus esforços
para o gerenciamento dos seus riscos.
· O ITIL (Information Technology Infrastructure Library) é o modelo de referência para ge-
renciamento de processos de TI mais aceito mundialmente. Atualmente se tornou a norma BS-
15000, sendo anexo da ISO 9000:2000. Dentro dele existem itens específicos que abordam o
assunto da Segurança da Informação, principalmente em planos de continuidade de negócios;
· O COBIT (Control Objectives for Information and Related Technology) é um guia de boas
práticas apresentado como framework e mapas de auditoria, conjunto de ferramentas de im-
plementação e guia com técnicas de gerenciamento.

2.2. – Políticas de Segurança da Informação

A informação é o elemento básico para que a evolução aconteça e o desenvolvimento huma-

no se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) “A informação é elemen-
to essencial para todos os processos de negocio da organização, sendo, portanto, um bem ou ativo de
grande valor”.

A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto

de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem
como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem ne-
11
Prof. Elton Adriano Ribeiro
cessárias. É o SGSI - Sistema de Gestão de Segurança da Informação, que vai garantir a viabilidade e
o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar
suas funções dentro da empresa. (FONTES, 2006) Para se elaborar uma Política de Segurança da
Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos
de praticas para a gestão de segurança da informação, onde podem ser encontradas as melhores prá-
ticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma orga-
nização.

Segundo a ISO/IEC 27002:2005(2005), a informação é um conjunto de dados que representa

um ponto de vista, um dado processado é o que gera uma informação. Um dado não tem valor antes
de ser processado, a partir do seu processamento, ele passa a ser considerada uma informação, que
pode gerar conhecimento. Portanto, pode-se entender que informação é o conhecimento produzido
como resultado do processamento de dados. Ainda segundo a ISO/IEC 27002:2005, a informação é
um ativo que, como qualquer outro ativo é importante, é essencial para os negócios de uma organiza-
ção, e deve ser adequadamente protegida. A informação é encarada, atualmente, como um dos recur-
sos mais importantes de uma organização, contribuindo decisivamente para a uma maior ou menor
competitividade. De fato, com o aumento da concorrência de mercado, tornou-se vital melhorar a capa-
cidade de decisão em todos os níveis. Como resultado deste significante aumento da interconectivida-
de, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e
vulnerabilidades.

“Atualmente, a PSI é adotada em grande parte das organizações em todo o mundo, inclusive
no Brasil. Mesmo aquelas empresas que ainda não tem uma política efetiva, reconhecem a necessida-
de de elaborar e implementar uma”. (CAMPOS, 2007, P. 131). A política de segurança da informação
deve estabelecer como será efetuado o acesso as informações de todas as formas possíveis, seja ela
internamente ou externamente, e quais os tipos de mídias poderão transportar e ter acesso a esta in-
formação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser
alocados.

Para Ferreira e Araujo (2008), deve-se formar um comitê de segurança da informação, consti-
tuído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutu-
ra, recursos humanos e outro que for necessário. O comitê será responsável por divulgar e estabelecer

12
Prof. Elton Adriano Ribeiro
os procedimentos de segurança, se reunindo periodicamente, ou a qualquer momento conforme reque-
rido pelas circunstancias, com o objetivo de manter a segurança em todas as áreas da organização.
“Convêm que a política de segurança da informação tenha um gestor que tenha responsabilidade de
gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da infor-
mação”.( ISSO/IEC 27002:2005, 2005. P. 9)

Para que a cultura da empresa seja mudada em relação à segurança da informação, é fun-
damental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de
conscientização, elaboração de guias rápidos de consulta e treinamento direcionado. (FREITAS E
ARAUJO, 2008, P. 47). A política deve ser escrita de forma clara, não gerando qualquer dúvida entre
os usuários. Todos os funcionários da organização, incluindo aqueles que são terciários e prestadores
de serviço, deverão receber um treinamento adequado para que se adequem às mudanças. De acordo
com a NBR ISSO IEC 27002 (2005), os usuários devem estar clientes das ameaças e das vulnerabili-
dades de segurança da informação e estejam equipados para apoiar a política de segurança da infor-
mação da organização durante a execução normal do trabalho. A política de segurança deve contar
com o apoio e comprometimento da alta direção da organização, pois é fundamental para que a mes-
ma seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. No
cenário atual, em que as empresas dependem cada vez mais da tecnologia e da informação, é vital
garantir a segurança adequada deste ativo, considerado estratégico em sua missão de prestar serviços
de qualidade. A solução mais adequada é o estabelecimento de um conjunto de normas e regras que
regulem a utilização dos sistemas das empresas, assim como o acesso a redes sociais e e-mails pes-
soais. As empresas necessitam aliar essa política de segurança da informação ao contrato de trabalho
dos colaboradores. Todo processo de segurança começa no recrutamento. Também é importante lem-
brar que os trabalhadores devem estar cientes do monitoramento das informações.

2.3. – Leis

Consciente da importância das informações processadas nos órgãos e entidades da adminis-

tração, o então Presidente da República, Fernando Henrique Cardoso, editou o Decreto 3.505, de 13
de junho de 2000, por meio do qual foi instituída a política nacional de segurança das informações.
Com esse ato normativo, o governo brasileiro despertou de vez para a necessidade de proteção de
assuntos que mereçam tratamento especial, adotando medidas para prevenir o risco de sua vulnerabi-

13
Prof. Elton Adriano Ribeiro
lidade. A administração pública, em todos os seus níveis e órgãos, processa informações consideradas
"sensíveis", que requerem a proteção contra a intrusão e modificação desautorizadas. Assim, o estabe-
lecimento de uma política de segurança do material informativo que é armazenado e documentado em
seus sistemas de computação é de extrema importância.

A política de segurança da informação nos órgão e entidade da Administração Pública Fede-

ral tem nos termos definidos no Decreto, os seguintes objetivos:

a) Dotá-los de instrumentos e recursos tecnológicos que os capacitem a assegurar a

confidencialidade, a integridade e a autenticidade dos dados e informações classifi-
cadas como “sensíveis”.
b) Eliminar a dependência externa em relação a sistemas e equipamento relacionados a
segurança da informação.
c) Promover a capacitação dos recursos humanos para o desenvolvimento de compe-
tência científico-tecnológica em segurança da informação.
d) Promover a capacitação industrial do país com vistas a sua autonomia no desenvol-
vimento e na fabricação de produtos e serviços relacionados com a segurança da in-
formação.

2.3.1. - InfraEstrutura de Chaves Públicas Brasileira

A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de con-

fiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão. Observa-se
que o modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desem-
penhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e des-
credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

Vinculada à Casa Civil da Presidência da República, o Comitê Gestor da ICP-Brasil tem como
principal competência determinar as políticas que a Autoridade Certificadora-Raiz executará. O comitê
é composto por cinco representantes da sociedade civil, integrantes de alguns setores afetos ao tema e
representantes dos seguintes órgãos: Ministério da Justiça; Ministério da Fazenda; Ministério do De-
senvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Minis-

14
Prof. Elton Adriano Ribeiro
tério da Ciência e Tecnologia; Casa Civil da Presidência da República; Gabinete de Segurança Institu-
cional da Presidência da República.

2.3.2. - O ITI - Instituto Nacional de Tecnologia da Informação

O Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada a Casa

Civil da Presidência da República, é a autoridade Certificadora Raiz das Chaves Públicas Brasileira.
Como tal é a primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e
normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, e tem por competências
emitir, expedir, distribuir, revogar e gerencias os certificados das Autoridades Certificadoras de nível
imediatamente subsequente ao seu; gerenciar a lista de certificados emitidos, revogados e vencidos;
executar atividades de fiscalização e auditoria. Compete ainda ao ITI estimular e articular projetos de
pesquisa científica e de desenvolvimento tecnológicos voltados à ampliação da cidadania digital. Neste
vetor, o ITI tem como sua principal linha de ação a popularização da certificação digital e a inclusão
digital, atuando sobre questões como sistemas criptográficos, software livre, hardware compatíveis com
padrões abertos e universais, convergência digital de mídias, entre outras.

2.3.3. - A Internet e os Tribunais

A legislação brasileira pode e vem sendo aplicada na maioria dos problemas relacionados à
Internet. Para questões específicas e controvertidas, existem projetos de lei em tramitação, os quais
devem objetivar a complementação e adequação como princípios fundamentais, sob pena de uma
inflação legislativa desnecessária. Acrescente-se que diversas nações possuem regulamentação sobre
os temas, destacando-se os Estados Unidos, membros da União Européia, Canadá, Colômbia, Itália,
Alemanha e Portugal. No Brasil destacamos a Lei nº 9.800/99 permite o envio de petições via e-mail ao
Poder Judiciário, observados certos requisitos e a Lei nº 9983/00, que tipifica condutas criminosas
quanto a prejuízos aos sistemas informatizados da Administração Pública. Questão de extrema rele-
vância é a da validade do documento eletrônico. Basta afirmar que uma simples mensagem enviada
por e-mail dificilmente tem plena validade jurídica, equiparando-se a prova oral. Isso porque, em tese,
por meio de recursos técnicos, é possível alterar documentos digitais sem deixar vestígios. Por outro
lado, através da técnica da certificação eletrônica, é possível garantir a autenticidade e a veracidade de
um documento eletrônico e, por consequência, atribuir validade jurídica ao mesmo. A certificação ele-
trônica mais comum é aquela por meio da utilização de chaves públicas (assinatura digital por cripto-

15
Prof. Elton Adriano Ribeiro
grafia assimétrica) é, em síntese, uma codificação, garantida e atribuída por uma terceira pessoa (certi-
ficador), representada por um certificado (software) que identifica a origem e protege o documento de
qualquer alteração sem vestígios. Por isso, aqueles que dispõem da assinatura digital já podem efetuar
troca de documentos e informações pela rede com a devida segurança física e jurídica.

Outro assunto interessante é o recebimento de mensagens indesejadas ou não solicitadas,

mais conhecido como “spam”. O Projeto de Lei nº 1589/99 e o 2358/00 tratam do assunto, dispondo
que aqueles que praticarem essa conduta deverão informar o caráter da mensagem, sob pena de multa
(PL 2358). Os países da União Europeia deverão ter registros específicos para esse tipo de correspon-
dência. Nos Estados Unidos, aquele que proceder como "spamer" poderá ser condenado civil (multas
de US$ 500 a 25,0000) e criminalmente. Independentemente de normas especiais, no Brasil, aquele
que enviar “spam” poderá ser responsabilizado nos termos das leis em vigor, desde que haja a efetiva
demonstração do prejuízo causado.

Outro fator que não pode ser deixado de lado é a problemática da segurança no mundo virtu-
al, que merece atenção destacada. Aproximadamente 1/3 das empresas brasileiras já foram atacadas
por hackers. Os efeitos decorrentes desse aspecto ensejam a busca pela responsabilidade do ato da-
noso, seja na esfera criminal ou na cível, justificando, também, a preocupação com a discussão e de-
bate do assunto, propondo, inclusive, a necessidade de regulamentação complementar.

As relações virtuais e seus efeitos são realidade. A tendência é a substituição gradativa do

meio físico pelo virtual ou eletrônico, o que já ocorre e justifica a adequação, adaptação e interpretação
das normas jurídicas nesse novo ambiente. Na grande maioria dos casos é possível a aplicação das
leis existentes o que geram direitos e deveres que deverão ser exercidos e respeitados. Assim, de rigor
e imprescindível o estudo, orientação e aplicação da internet como ambiente de resultados legais sé-
rios e com enorme potencial de efeitos jurídicos, como, por exemplo, a possibilidade, desde já, da assi-
natura digital de contratos eletrônicos entre as partes com segurança muitas vezes superior àquela
utilizada no meio físico.

16
Prof. Elton Adriano Ribeiro
Aula 3 – Análise de Riscos de Segurança da Informação.

Objetivos:
Identificar os principais riscos para a segurança da informação.

3.1. – Análise de Riscos

A análise de riscos de segurança da informação é um método de identificação de riscos e

avaliação dos possíveis danos que podem ser causados, a fim de justificar os controles de segurança.
A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto
de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da con-
tramedida.

Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de

Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos
de negócios. Para que todos os requisitos de negócios sejam atendidos, a empresa deve alinhar os
objetivos de segurança com os objetivos de negócios. Apenas dessa forma o programa de segurança
será bem sucedido.

A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de seguran-
ça e os componentes de segurança que formam esse programa. Quando a empresa souber o valor dos
ativos e entender as possíveis ameaças a que eles estão expostos, a alta direção poderá tomar deci-
sões inteligentes sobre o quanto investir na proteção desses ativos.

A análise de risco tem como objetivos:

· Identificar ameaças em potencial à segurança de TI (Tecnologia da Informação) e sua probabi-

lidade aproximada.
· Identificar o valor dos ativos, inclusive seu valor indireto, caso sejam danificados ou violados.
· Usar esses valores quantificados para identificar as atividades mais adequadas e econômicas
para proteger o ambiente.
· Definir e gerenciar uma diretiva formal de gerenciamento de riscos de segurança.
· Integrar o gerenciamento de riscos de segurança ao ciclo de vida da infraestrutura de TI.
17
Prof. Elton Adriano Ribeiro
 · Definir processos para aprimorar a especialização em gerenciamento de riscos na empresa por
meio de iterações do ciclo do gerenciamento de riscos.

3.2. - Análise de Vulnerabilidade em Aplicação

As aplicações (softwares e sistemas de computador) são desenvolvidas para automatizar e

viabilizar os processos e negócios da empresa. Certificar que essas aplicações operem com a segu-
rança necessária é fundamental para a viabilidade do próprio negócio. A análise de segurança na apli-
cação consiste em analisar o contexto tecnológico e não tecnológico relacionado na aplicação e identi-
ficar quais os requisitos de segurança que existem ou que deveriam existir na aplicação. Avaliar o nível
de garantia de segurança desses requisitos implementados na aplicação.

Todo o processo de avaliação é realizado em conformidade com a norma ISO/IEC 15408

Common Criteria. E para aplicação web é considerado a lista OWASP TOP 10 e as boas práticas do
OWASP. O resultado final é a documentação da aplicação, o relatório final da avaliação e em caso de
resultado positivo é emitido um Certificado de Segurança para a aplicação. Quando uma empresa dis-
ponibiliza uma aplicação WEB na Internet, Intranet ou Extranet, a imagem da empresa e o seu sistema
estão expostos a diversas ameaças. Para minimizar perdas financeiras, a única solução é identificar as
ameaças e gerenciar os riscos associados. O desenvolvimento desta atividade permite realizar uma
análise e concentrar os recursos nas questões relevantes, maximizando o retorno do investimento e
garantindo a continuidade dos negócios.

Esta fase tem como objetivo identificar e classificar ameaças existentes na aplicação, com
base em um conhecimento de vulnerabilidades das aplicações. O resultado das informações obtidas
nesta fase possibilita tratar as ameaças existentes com as contramedidas apropriadas definindo priori-
dades, ou seja, começando pelas ameaças que apresentam maior risco para a organização.

3.3. - Análise de Vulnerabilidade de Rede

A confiabilidade, integridade e disponibilidade da informação são fundamentais para o bom

andamento dos negócios. Realizar inspeções de segurança para analisar a chance de perda para um
ativo específico possibilita uma estatística das vulnerabilidades existentes e os impactos resultantes. É
uma etapa fundamental para definição correta das medidas de proteção e das necessidades de acerto
18
Prof. Elton Adriano Ribeiro
no ambiente computacional. O resultado final é uma análise do ambiente existente, comparando a situ-
ação atual com o ambiente desejado. São fornecidas recomendações técnicas e administrativas para
minimizar os ricos e proteger os negócios.

Um fato muito comum que podemos encontrar em diversas empresas, é o profissional de TI

acumular diversas tarefas e quase sempre sendo pressionado a realizar suas tarefas da maneira mais
rápida possível e sem causar inconveniências aos usuários. Quando um incidente de segurança acon-
tece, muitos profissionais de TI percebem que a única coisa que têm tempo de fazer é conter a situa-
ção, descobrir as causas e reparar os sistemas afetados no menor tempo possível. A análise de vulne-
rabilidades identifica a raiz do problema e quais recursos são necessários para resolver o problema e
minimizar o risco. A empresa começa a desenvolver uma estratégia reativa de segurança, minimizando
o risco de o ambiente computacional ser explorado por um atacante ou uma ameaça qualquer, a apro-
veitando melhor seus recursos computacionais.

3.4. - Análise de Vulnerabilidade Social

O conceito de "perímetro de segurança" começa a perder sentido com o aumento da mobili-

dade propiciado pelo desenvolvimento das tecnologias de computação móvel como uso de notebooks,
smartphones, PDA's, dispositivos USB, etc. A informação, o bem mais valioso das organizações, passa
a ser acessada remotamente ou copiada para os dispositivos móveis. Mais do que nunca, o fator crítico
para a segurança das informações é o fator humano. O usuário tem que estar consciente da importân-
cia da segurança das informações, dos riscos envolvidos e saber usar adequadamente as tecnologias
de proteção de acordo com as políticas corporativas.

O caminho para atingir esses objetivos é a realização de campanhas de conscientização dos

usuários através de palestras, cartilhas, eventos e uma série de ações para divulgar a política de segu-
rança da informação, os riscos envolvidos e a importância do comportamento seguro. E depois de rea-
lizar todo este trabalho como medir o nível de conscientização dos usuários? Como saber se as cam-
panhas de conscientização estão atingindo aos objetivos propostos?

A AVS (Análise de Vulnerabilidade Social) busca identificar o nível de conscientização dos usuários
através de um sistema de métricas de indicadores obtidos a partir de questionários, simulações e en-

19
Prof. Elton Adriano Ribeiro
trevistas. Com esses indicadores é possível avaliar a eficácia das campanhas de conscientização e
mapear áreas da organização que precisam de maior atenção.

3.5. - Teste de Carga e Stress em Sistemas e Aplicações

O Teste de carga e stress em softwares, sistemas e aplicações refere-se aos testes que colo-
cará uma maior ênfase na robustez, disponibilidade e tratamento de erros sob uma carga pesada, ao
invés do que seria considerado um comportamento correto em circunstâncias normais. Particularmente,
os objetivos desses testes pode ser o de assegurar que o software não deixe de funcionar em condi-
ções de insuficiência de recursos computacionais (como memória ou espaço em disco), em uso simul-
tâneo elevado ou ataques de negação de serviço.

Por exemplo, um servidor web pode ser estressado usando scripts, bots e várias ferramentas de nega-
ção de serviço para observar o desempenho de um site web, durante os picos de carga.

O teste de carga e stress pode ser realizado carregando usuários simultâneos durante o nível e além
do que o sistema pode suportar, com isso é possível identificar o elo mais fraco em todo o sistema.

3.6. - Teste de Invasão

O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança
pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios.
O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.

Atualmente, as organizações estão priorizando o aumento da segurança do seu ambiente

computacional. Alguns fatores que contribuem com a estruturação da área de segurança dentro das
organizações são:

· Os negócios de qualquer organização são desenvolvidos através de uma rede computadores

conectados à Internet.
· Alguns regulamentos obrigam as organizações a manter as informações seguras, tais como:
Sarbanes-Oxley, California Senate Bill 1386 (SB 1386), HIPAA (Health Insurance Portability
and Accountability Act), Resolução 3.380 do Banco Central do Brasil.
· Aumento da proliferação vírus de computador e ataques ao ambiente computacional.
20
Prof. Elton Adriano Ribeiro
O teste de invasão é um conjunto de técnicas e metodologias para testar a conformidade com as regu-
lamentações (nacionais e internacionais), normas internas e diretivas de segurança da informação.

É extremamente recomendado para:

· Detectar vulnerabilidades desconhecidas.

· Restringir a capacidade de hackers acessarem as informações da organização.
· Evitar multas por não estar em conformidade com regulamentos (nacionais ou internacionais).
· Limitar os pontos de exposição das informações da organização.
· Avaliar a eficiência das medidas de segurança implementadas.
· Evitar roubo de propriedade intelectual.
· Evitar indisponibilidade dos negócios da organização.

3.6.1. - Macro etapas para o Teste de Invasão

Conforme demonstrado na Figura 3, a etapas para o Teste de Invasão são:

Figura 3: etapas para o Teste de Invasão. Fonte: Info

1. Coleta de informações, para levantar todo e qualquer tipo de informação disponível sobre a or-
ganização, em especial dados sobre endereços de máquina e redes, nomes de usuários, sis-
temas utilizados, serviços prestados, estrutura organizacional, etc.
2. Mapeamento do ambiente, depois de obtidas as informações iniciais, o especialista através de
técnicas mais agressivas, procura mapear ainda mais a rede da organização. Enquanto na fa-
se de coleta há pouca atividade diretamente realizada contra a rede avaliada, nessa etapa as
máquinas passam a receber tráfego especificamente voltado para o levantamento da rede,
como por exemplo: port scanning, tcp/ip, fingerprinting, consultas sobre versões de aplicativos,
etc.

21
Prof. Elton Adriano Ribeiro
 3. Mapeamento de vulnerabilidades é uma das partes mais importantes do teste de invasão. De
posse do mapeamento do ambiente, o especialista é capaz de mapear vulnerabilidades de um
sistema, através de banco de vulnerabilidades ou baseado em sua experiência. Essas vulnera-
bilidades podem ser tanto operacionais, como usuários com senha trivial, ou vulnerabilidades
de software como uma versão insegura do Sistema Operacional ou seus aplicativos.
4. Exploração/Invasão é a etapa do teste onde o especialista faz uso de ferramentas e técnicas
para explorar as falhas observadas.

Aula 4 - Ameaças e Medidas de Proteção

Objetivos:
Identificar os principais riscos para a segurança da informação.

4.1. – Ameaças
As ameaças são fatores externos capazes de explorar uma ou mais vulnerabilidades, permi-
tindo furto, roubo, perda, corrupção ou uso indevido dos ativos de informação. São exemplos de amea-
ças a invasão de sistemas de informação, as fraudes, o vandalismo contra equipamentos ou meios de
transmissão, os atentados terroristas, as catástrofes naturais, a espionagem industrial ou internacional,
o vírus de computador, o recebimento de spam, entre outros. Não é possível se proteger contra todas
as ameaças, pois elas sempre existirão e sempre estarão por perto. As ameaças podem ser classifica-
das de vários modos, entre elas: ameaças naturais, ameaças de cunho doloso ou intencionais, amea-
ças de cunho culposo ou não intencionais.

4.1.2. - Detectar vulnerabilidades de hardware e software

Os equipamentos de TI — hardwares — e os sistemas e aplicativos — softwares — passam

por uma evolução tecnológica contínua e precisam ser substituídos periodicamente. A sua aquisição
tem que levar em conta os aspectos técnicos e de qualidade, não podendo se nortear apenas pelo
quesito preço. A defasagem tecnológica torna vulnerável toda a infraestrutura e a segurança de TI e
gera consequências como perda de competitividade, ineficiência operacional, insatisfação de colabora-
dores e clientes, morosidade e ineficácia do processo decisório.

22
Prof. Elton Adriano Ribeiro
Os equipamentos estão sujeitos a defeitos de fabricação, instalação ou utilização incorreta, quebra ou
queima de componente e má conservação, o que pode comprometer um ou mais dos princípios da
segurança da informação.

Os softwares estão sujeitos a falhas técnicas e de configurações de segurança, uso equivo-

cado ou negligência na guarda de login e senha de acesso. Devem ser adotadas práticas de segurança
específicas para cada elemento componente da infraestrutura de TI: servidores, computadores, a rede,
os softwares e os componentes de comunicação, entre outros. As práticas de segurança precisam do
suporte de uma arquitetura pensada e estruturada de acordo com o propósito da empresa e os agentes
que interagem no ambiente de TI, oferecendo e sofrendo riscos específicos à segurança da informa-
ção. As soluções de segurança devem ter um design que considera cada elemento componente da
infraestrutura de TI, mas leva em conta a sincronicidade e a interatividade do todo para que não haja
nenhum ponto cego no panorama da segurança da informação. É preciso ainda providenciar treina-
mento e atualização de conhecimentos para a equipe de TI e os usuários dos recursos tecnológicos.
Inabilidade técnica também gera vulnerabilidades de hardware e software.

É imprescindível detectar de forma rápida as possíveis vulnerabilidades de hardware e sof-

tware, para tomar providências imediatas para a sua solução.

4.1.3. - Cópias de Segurança

O tão conhecido backup — ou cópia de segurança — é um mecanismo fundamental para ga-

rantir a disponibilidade da informação, caso as bases onde a informação está armazenada sejam dani-
ficadas ou roubadas. O backup pode ser armazenado em dispositivos físicos — servidores de backup,
CD, pendrive, HD externo — ou em nuvem.

O mais importante é que haja pelo menos duas cópias das bases de dados, guardadas em
locais distintos da instalação original — ou seja, em locais seguros fora do prédio da sua empresa. A
partir do backup é possível recuperar, em curtíssimo espaço de tempo, informações perdidas aciden-
talmente ou em consequência de sinistros (enchentes, incêndio etc.), sabotagens ou roubos. Vale des-
tacar: entre as empresas que funcionavam no World Trade Center na ocasião do atentado de 11 de
setembro de 2001, todas que tinham boas práticas de manutenção de backup sobreviveram à catástro-
fe, voltando a funcionar normalmente em poucos dias.

23
Prof. Elton Adriano Ribeiro
4.1.4. - Redundância de Sistemas

A alta disponibilidade das informações é garantida com a redundância de sistemas, ou seja,

quando a empresa dispõe de infraestrutura replicada — física ou virtualizada. Se um servidor ou outro
equipamento de TI (roteador, nobreak etc.) falhar, o seu substituto entra em operação imediatamente,
permitindo a continuidade das operações, às vezes de forma imperceptível para o usuário.

4.1.5. - Mecanismos de segurança eficazes

Existem mecanismos de segurança da informação físicos, lógicos ou uma combinação des-

tes, apropriados para controle de acesso à informação e para prevenção de perda de dados e de re-
cursos tecnológicos. O mecanismo físico pode ser uma sala de infraestrutura de TI com acesso restrito
e com sistema de câmeras de monitoramento. Outra forma de restrição de acesso é o uso de travas
especiais nas portas, acionadas por senha (misto físico/lógico). As instalações elétricas e o sistema de
refrigeração são imprescindíveis para assegurar condições ideais de funcionamento da infraestrutura
de TI, evitando perda de dados por falta ou sobrecarga de energia ou superaquecimento, que danifi-
cam os equipamentos de informática.

Para garantir o funcionamento contínuo dos recursos de TI, dois equipamentos entram em
cena. O nobreak garante o funcionamento da infraestrutura por tempo suficiente para que nenhuma
informação seja perdida quando ocorre falta de energia elétrica. O equipamento de telemetria detecta
falhas nos equipamentos de processamento de dados e emite alertas automáticos aos responsáveis
por restabelecer o seu funcionamento.

4.1.6. - Firewall

É um mecanismo de controle do tráfego de dados entre os computadores de uma rede inter-

na e destes com outras redes externas. Ele trabalha segundo protocolos de segurança (TCP/IP, IPSec,
HTTP etc.) que garantem o correto funcionamento da comunicação entre as duas pontas, visando im-
pedir intrusões. As intrusões ou invasões são praticadas por pessoas mal-intencionadas. Elas preten-
dem acessar dados confidenciais que permitam apropriação indevida de recursos financeiros de tercei-
ros, a venda de informações privilegiadas, o bloqueio de acesso a dados para cobrança de resgate ou
mesmo para demonstrar sua capacidade destrutiva.

24
Prof. Elton Adriano Ribeiro
4.1.7. - Assinatura Digital

É uma forma de identificação do usuário que está acessando os recursos de TI. Ela dá vali-
dade legal aos documentos digitais, assegurando a autenticidade do emissor da informação.

4.1.8. Biometria

O acesso às informações é liberado somente para a pessoa autorizada, levando em conside-

ração as suas características físicas (impressão digital, voz ou padrões da íris do olho ou do rosto intei-
ro.). Outra faceta importantíssima do controle de acesso é o uso de equipamentos próprios dos colabo-
radores para operação de sistemas e aplicativos empresariais de forma remota (BYOD – Bring Your
Own Device). Como a empresa não tem controle sobre as configurações de segurança e aplicativos
dos dispositivos particulares dos colaboradores, ela tem que reforçar os mecanismos de validação da
autenticidade do usuário e as barreiras contra ataques cibernéticos, para se proteger.

4.1.9. - Estrutura de nuvem pública/privada/híbrida

Uma das formas mais avançadas de garantir a segurança da informação é a decisão pela uti-
lização de uma estrutura de computação em nuvem. Essa estrutura tem três categorias distintas: nu-
vem pública, privada ou híbrida.

Na nuvem pública, toda a infraestrutura de TI, a sua manutenção, os seus mecanismos de segurança e
a atualização são de responsabilidade do provedor do serviço. A instalação é rápida e os recursos são
escalonáveis, de acordo com o perfil de demanda da empresa contratante.

A nuvem privada é de propriedade da companhia e fica instalada em sua área física, requerendo infra-
estrutura de hardware, software, segurança e pessoal próprio para o seu gerenciamento.

Já a nuvem híbrida combina o melhor dos dois tipos anteriores. Com isso, parte dos dados é disponibi-
lizada na nuvem privada — aqueles que exigem sigilo — e outra parte fica na nuvem pública — dados
não confidenciais.

25
Prof. Elton Adriano Ribeiro
 Todos os três tipos de serviço de computação em nuvem respeitam altos padrões de segu-
rança da informação. Basta avaliar qual é o mais adequado para as necessidades e expectativas da
sua organização.

4.2. Medidas de Segurança

São ações que minimizam a existência de riscos e os custos dos impactos, através da redu-
ção e eliminação de vulnerabilidade e de ameaças. O conjunto de medidas de segurança e sua prática
constituem a essência da Segurança da Informação.

Existem três tipos básicos de medida de segurança

4.2.1. Medidas Preventivas

São aquelas planejadas e executadas no intuito de evitar a ocorrência de danos aos ativos de
informação. Buscam reduzir as vulnerabilidades e manter as ameaças sob controle. Aplicam-se às
vulnerabilidades conhecidas e ameaças identificadas.

4.2.2. Medidas Prospectivas

São aquelas planejadas e executadas durante o ciclo normal de atividades da empresa. A
prospecção busca identificar vulnerabilidade e ameaças que estejam ocultas ou que façam parte de
produtos e soluções que a empresa pretende adquirir.

4.2.3. Medidas Corretivas

São aquelas executadas após o dano ao ativo de informação. Buscam eliminar ou minorar os
impactos sofridos, bem como colaborar com a criação de outras medidas de segurança que evitem a
repetição do problema.

Aula 5 – Problemas enfrentados pela Segurança da Informação

Objetivos:
Identificar os principais problemas enfrentados pela SI

26
Prof. Elton Adriano Ribeiro
5.1. – Malwares
Malwares é o termo que designa um grupo de programas de computador desenvolvidos com
três finalidades:

a. Provocar a perda ou corrupção das informações contidas no computador

b. Usar indevidamente informações pessoais do usuário
c. Controlar remotamente o computado do usuário

Os malwares se aproveitam de falhas existentes nos softwares comerciais, da curiosidade e da falta de

cuidado do usuário.

5.2. Vírus de Computador

Os vírus de computador, semelhantes a um vírus da natureza, são desenvolvidos por
programadores com a intenção de infectar sistemas operacionais e espalhar cópias de si mesmos para
outros sistemas. De modo geral, uma infecção por vírus de computador pode diminuir o desempenho
do equipamento, destruir ou furtar informações do usuário e impedir o acesso a serviços de internet.

Os vírus se classificam de acordo com os meios de infecção e propagação, abaixo alguns dos mesmo
de infecção mais comuns:
a. Infecções de programas: Nesse modo o vírus procura incorporar seu código malicioso em pro-
gramas legítimos, assim, sempre que um programa infectado é executado pelo usuário, o códi-
go do vírus também se executa, sem que o usuário perceba, aumentando a infecção do siste-
ma.
b. Infecções de boot: Nesse modo, os vírus de computado procuram incorporar seu código mali-
cioso nos primeiros 512 bytes de um disco rígido. Essa região é conhecida como Master Boot
Sector e é responsável pelo registro e qualificação das partições contidas no disco.
c. Infecções de Macros: Nesse modo, os vírus de computador procuram incorporar seu código
malicioso em arquivos de documentos (textos e planilhas). Certos pacotes de softwares para
escritório oferecem um conjunto de comandos que podem ser executados automaticamente,
chamado macro. Os infectores de macros aproveitam-se do potencial desse tipo de linguagem
para se disseminarem rapidamente, afinal, os documentos tem muito mais mobilidade do que
mídias inteiras. Basta que se abra um documento contaminado para que a infecção se espalhe
pelos demais documentos contidos no computador.

27
Prof. Elton Adriano Ribeiro
 d. Infecções de autorun: São similares as infecções de boot. Exploram uma funcionalidade dos
sistemas operacionais, chamada execução automática, que executa um ou mais programas
assim quem uma mídia (pen drives, cds ou dvds) são inseridas no computador. O autorun é um
recurso que facilita o trabalho do usuário, quando este necessita instalar programas ou execu-
tar recursos multimídias, porém tem sido utilizado para disseminar automaticamente os malwa-
res.
e. Infecções por phishing: o phishing é a técnica que faz o usuário trazer para seu computador um
programa infectado por vírus e instalá-lo em seu próprio sistema. A técnica funciona através do
oferecimento de um conteúdo de interesse do usuário. Ao buscar esse conteúdo, tudo o que o
usuário obtém é a infecção de seu computador. O conteúdo de interesse do usuário pode che-
gar através de e-mails, mensagens instantâneas, redes sociais, páginas web, etc. Em todos os
exemplos o link oferecido aponta para programas que são baixados e executados, infectando o
computador do usuário.

5.3. - Cavalo de Tróia

Os cavalos de troia (trojans) são a segunda das espécies de malwares. São programas apa-
rentemente legítimos que secretamente executam funções prejudiciais ao sistema e por vezes ao usuá-
rio. Os cavalos de troia também podem chegar até o computador do usuário através de infecções por
phishing. Por isso, o usuário tem de ser muito criterioso com os programas que baixa para seu compu-
tador e com os links que recebe. Ao se instalar o cavalo de troia permite:

a. Furtar informações do usuário, tais como fotos, vídeos, documentos.

b. Hospedar arquivos ilegais na máquina invadida, tais como imagens ou vídeos de pe-
dofilia, informações pessoais de outros usuários
c. Apagar ou alterar arquivos do usuário
d. Controlar remotamente via internet o computador do usuário, usando-o como ponte
para ataque de negação de serviço e distribuição de spam
e. Ativar programas spywares para coletar furtivamente informações comportamentais
do usuário, tais como o que ele compra.
f. Programar o envio de spams para milhares de contas de e-mail

28
Prof. Elton Adriano Ribeiro
5.4. Spywares
Os spywares (software espiões) são a terceira das espécies de malwares. São programas
criados com a intenção de coletar informações do usuário, tais como o tipo de websites que visita, pro-
dutos que costuma comprar, assuntos que lhe interessam, horários de acesso, tipo de e-mails que
recebe, etc. e enviá-las para uma entidade externa. E o mais importante: sempre sem o consentimento
ou o conhecimento do usuário espionado.

Existem dois tipos básicos de spywares:

a. Coletor de informações bancárias: especializado em capturar números de conta, senhas de

acesso, dados de cartões de crédito, etc. Seu maior perigo é a exposição do usuário a fraudes
financeiras.
b. Coletor de informações comportamentais: especializado em capturar de site que o usuário visi-
ta, produtos que ele costuma comprar, assuntos que lhe interessam, horários de acesso, tipo
de e-mails que envia e recebe, tipo de pagamento mais usado (cartões de crédito, de débito ou
boleto bancário

É importante saber que nem toda coleta de informações do usuário é ilegal. Algumas empre-
sas disponibilizam serviços na internet (webmails, blogs, redes sociais, etc.) a qualquer pessoa, desde
que essa pessoa aceite os termos de prestação de serviço ou as políticas de privacidade. Nesses do-
cumentos constam cláusulas pelas quais o usuário autoriza expressamente a atividade de coleta de
suas informações.

Aula 6 – Softwares de SI

Objetivos:
Conhecer os principais softwares de proteção para SI

6.1. – Gerenciadores de Senha

São ferramentas que possibilitam ao usuário gerenciar de modo seguro suas senhas. O usuá-
rio não pode ser dar ao luxo de anotar senhas em papel, nem dentro de arquivos do computador, pois
estariam vulneráveis a pessoas mal intencionadas. Outro erro comum é utilizar a mesma senha de
acesso em vários serviços on-line. Os gerenciadores de senhas armazenam de uma mais segura a
29
Prof. Elton Adriano Ribeiro
lista de senhas do usuário. O usuário deve apenas lembrar uma senha mestra que permite acesso ao
gerenciador.

6.1.1. - Password Safe

O Password Safe é uma ferramenta de código. A segurança do Password Safe está no algoritmo de
encriptação.
O link para download é: https://pwsafe.org/
Para cria um banco de dados de senha, execute o software, em seguida clique no botão New. Confor-
me mostra a figura 4.

Figura 4: Criando uma nova base de dados. Fonte: Password Safe

Será abera uma janela do Windows Explorer solicitando que o usuário indique o nome e a localização
de seu banco de dados de senha. Após a definição clique em “Salvar”, conforme a figura 5.

30
Prof. Elton Adriano Ribeiro
 Figura 5: Definindo a localização do bando de dados de senha. Fonte: Password Safe

Em seguida, surgirá uma janela solicitando que o usuário defina a “Safe Combination”, ou seja, a senha
mestre. Essa é a senha que você deverá memorizar com toda atenção. Conforme a figura 6.

Figura 6: Definindo a senha mestre. Fonte: Password Safe

31
Prof. Elton Adriano Ribeiro
Caso o programa considere a senha mestre muito fraca, o usuário tem duas opções: continuar assim
mesmo, clicando no botão “Sim” ou tentar uma nova senha, clicando no botão “Não”. Conforme a figura
7.

Figura 7: Aviso de senha muito fraca. Fonte: Password Safe

Após realizar os passos anteriores podemos adicionar uma entrada, que é um nome para cada senha
salva. Para adicionar uma entrada é necessário clicar no menu “Edit” e em seguida na opção “Add
entry”, como mostrado no figura 8.

Figura 8: Adicionando uma nova entrada no banco de dados. Fonte: Password Safe

6.2. – Backup
Backup é uma cópia de segurança. O termo em inglês é muito utilizado por empresas e pessoas que
guardam documentos, imagens, vídeos e outros arquivos no computador ou na nuvem.

Quem já perdeu informações salvas no PC sabe da importância do backup. Faze-lo regulamente é uma
forma de manter os arquivos da cópia de segurança sempre atualizados com o que há no HD.

6.2.1 – Backup no Computador

32
Prof. Elton Adriano Ribeiro
Uma das formas mais simples e rápidas de fazer um backup é com mídia física, gravando os dados em
CD, DVD e Blu-ray. Porém, dependendo da quantidade de arquivos, será necessário vários CDs, DVDs
e Blu-rays para fazer o backup completo, o que complicará o controle e organização de todos eles.
Além disso, essas mídias podem ser corrompidas ao longo do tempo. O ideal é etiquetar os CDs gra-
vados.

Kit de downloads: Melhores programas para fazer backup no PC com Windows

6.2.2. – Pendrive

Já o pendrive é um dispositivo mais versátil que também pode ser usado para guardar uma cópia de
segurança dos arquivos do seu computador. A ferramenta permite o fácil manuseio dos arquivos, po-
dendo levá-los consigo para qualquer lugar. Porém, se o backup reunir um número grande de dados,
será preciso um pendrive com grande capacidade de armazenamento ou mais de um dispositivo.

Kit de downloads: Programas para fazer backup no pendrive

6.2.3. – HD Externo

Outra forma bem simples é fazer backup dos arquivos com um HD externo. Este, geralmente, possui
um grande espaço de armazenamento, pode ser guardado em um cofre e também se conecta facil-
mente ao computador.

6.2.4. – Backup em Nuvem

Atualmente, existem diversos serviços online que permitem o armazenamento de arquivos na nuvem,
como o Google Drive, Dropbox e OneDrive - todos contam com planos gratuitos. Já os usuários do Mac
podem usar também o iCloud - que também possui um plano grátis - para manter uma cópia de segu-
rança de seus dados.

6.3. – Aplicativos de prevenção, detecção e remoção de vírus.

Estar na internet e não possuir um programa antivírus instalado no computador é algo arriscado e alta-
mente não recomendável. A web é um espaço repleto de coisas interessantes, mas, é claro, nem só de
rosas vive a rede, então é importante ter um aplicativo capaz de proteger seu computador — logo sua

33
Prof. Elton Adriano Ribeiro
segurança e sua privacidade — para evitar grandes complicações. Abaixo, três opções de antivírus
gratuitos e três opções de antivírus pagos.

6.3.1. - Avira Free Antivirus (Gratuito)

De acordo com o site Tech Mundo, o Avira é um dos mais conhecidos sistemas antivírus da atualidade,
o Avira oferece uma excelente versão gratuita para os seus usuários. Ele não tem a mais simples e
compreensível das interfaces, mas apresenta conteúdo de sobra para deixar sua máquina protegida,
monitorando tudo em tempo real, vasculhando o sistema em busca de problemas e tudo mais que um
bom antivírus precisa fazer.

Faça o download no site oficial: http://www.avira.com/pt-br/avira-free-antivirus

6.3.2. - AVG AntiVirus Free (Gratuito)

Se você é um usuário mais antigo da internet, deve ficar um pé atrás quando ouve falar em AVG, mas
isso não é necessário. A empresa evoluiu e seu produto acompanhou este processo, tornando-se uma
opção discreta e robusta para manter o computador protegido. Ele ainda sofre com problemas, como
os banners de propaganda que exibe na tela do próprio antivírus, mas nada que realmente comprome-
ta o seu excelente funcionamento. Faça o download no site oficial: http://www.avgbrasil.com.br/avg-
free-antivirus-gratis

O site Olhar Digital fez um comparativo entre os principais antivírus gratuitos disponíveis no mercado,
clique no link e saiba mais: Saiba Mais sobre Antivírus

6.4. – Firewall
De acordo com o site Tech Tudo, um firewall é, em português, uma parede de fogo. No computador,
mais do que isso, o firewall é o caminho que toda informação de uma rede local precisa passar e ser
fiscalizada antes de entrar ou sair. Sendo assim, o recurso comum em todos os PC tem o objetivo apli-
car uma política de segurança, decidindo o que entra e o que sai, de forma segura para o usuário. Ao
forçar a verificação de toda informação que entra ou sai do computador para a rede, o firewall fecha o
cerco a qualquer tentativa de invasão. Basicamente tranca todas as portas de acesso, que são os ca-
nais por onde os serviços conversam entre si, ao PC e a partir daí somente computadores e portas

34
Prof. Elton Adriano Ribeiro
autorizadas podem ter comunicação. Esses movimentos serão registrados para serem analisados pos-
teriormente. A figura 9 reflete uma analogia ao funcionamento do firewall.

Figura 9: Alusão ao funcionamento de um firewall. Fonte: Assembla

6.4.1. – Zone Alarm Firewall (Gratuito)

O Zone Alarm Firewall protege o Windows da ação de malwares e atividades suspeitas na Internet.
Possui interface objetiva e trabalha no monitoramento da porta de entrada do computador. Ele verifica
aplicativos que acessam conteúdos na Internet para evitar possíveis invasões ou contaminações. São
gerados relatórios com informações sobre os acessos suspeitos bloqueados periodicamente.

Há uma opção que desliga alguns de seus recursos do programa quando o usuário estiver jogando
games online. A versão gratuita apenas impede invasões e atividades de malware, vírus e outros apli-
cativos maliciosos devem ser neutralizados com o auxílio de um bom programa de antivírus.

Faça o download: Zone Alarm

6.4.2. - Comodo Firewall (Gratuito)

O Comodo Firewall utiliza um recurso chamado Default Deny Protection, que atualiza periodicamente a
lista de malware conhecidos e define quais aplicativos e arquivos não podem acessar o PC. O progra-
ma oferece ainda configurações personalizadas e possui interface atraente. O firewall do Comodo inte-
gra a suíte de segurança Comodo Internet Security Pro, que oferece também o monitoramento da rede
Wi-Fi.

35
Prof. Elton Adriano Ribeiro
Faça o download: Comodo Firewall

6.5. - Software para recuperação de dados

O disco rígido (HD) é o principal dispositivo de armazenamento de dados em um computador. Ele pode
armazenar quaisquer tipos de dados, como vídeos, fotos, músicas, documentos e outros arquivos copi-
ados, criados ou baixados. No entanto, existem certos acontecimentos que podem causar a perda de
dados salvos no disco rígido. Por exemplo, a limpeza acidental da Lixeira, ataques de vírus, ação im-
própria, danos na partição, formatação com falha e outros acidentes podem causar a perda de dados.
Nestes casos, você precisará de ferramentas de recuperação de dados do disco rígido, que podem
recuperar os arquivos perdidos. Abaixo lhes apresento duas opções de software para a recuperação do
HD.

6.5.1. – Recuva (Gratuito)

O Recuva, programa de recuperação de discos rígidos gratuito, recupera arquivos excluídos não ape-
nas do computador, mas também de cartões de memória, discos externos e unidades flash. O proces-
so de recuperação é muito simples. Com ele, os usuários podem buscar em pastas e unidades especí-
ficas. Porém, ao contrário dos programas pagos, a ferramenta não possui tudo o que é necessário em
um bom programa de recuperação de dados.

Faça o download no site oficial: https://recuva.br.uptodown.com/windows

O tutorial ilustra a forma de utilização do Recuva: Tutorial - Recuva

A figura 10 mostra a opção de localização dos arquivos, ou seja, onde você deseja que o programa
trabalhe.

36
Prof. Elton Adriano Ribeiro
 Figura 10: Escolha do local para recuperação. Fonte: Recuva

6.5.2. - Wondershare Data Recovery (Pago)

O Wondershare Data Recovery é uma ferramenta paga e que recupera arquivos perdidos do seu com-
putador, como vídeos, fotos, músicas, documentos e outros. A ferramenta também consegue recuperar
dados de outros discos externos e câmeras digitais. Com ele, você pode salvar o resultado da recupe-
ração, o que é uma boa função para os usuários mais detalhistas.

Faça o dowload: Wondershare Data Recovery

O tutorial ilustra a forma de utilização do Wondershare Data Recovery: Tutorial - Wondershare

Referências Bibliográficas:

COURY, C. Hardware, o Guia Definitivo. GDH Press e Sul Editores; 2001.

FONTES, M. G. de Fundamentos de informática. Rio de Janeiro: Brasport, 2006.

CAMPOS. Resolvendo problemas no seu PC: passo a passo. São Paulo: Makron Books, 2007.

JORDÃO, Fábio Roberto Machado. Diagnóstico de hardware. 2008. Disponível em:

<http://www.baixaki.com.br/info/1036-diagnostico-de-hardware.htm>. Acesso em: 18 abr. 2018
37
Prof. Elton Adriano Ribeiro
ANTIVÍRUS. OLHAR DIGITAL Disponível em:
<https://olhardigital.com.br/fique_seguro/video/qual_o_melhor_antivirus_gratuito_veja_nossa_compara
cao/20227> Acesso em: 19 abr. 2018.

BAIXAKI. CPU-Z Disponível em:<http://www.baixaki.com.br/download/cpu-z.htm>. Acesso em: 26 mar.

2018.

ANTIVÍRUS. CANALTECH Disponível em: <https://canaltech.com.br/antivirus/os-melhores-antivirus>

Acesso em: 29 mar. 2018.

38
Prof. Elton Adriano Ribeiro