SERPRO 2023 Analista Tecnologia Amostra-1

PDF 2023
DOMI
NA CONCURSOS
CONCURSO
APOSTI
LA
TOTALMENTE ELABORADA DE ACORDO COM O EDI

TAL
NÍ
VELSUPERI
OR
W W W.
DOMI
NACONCURSOS.
COM.
BR
QUEM SOMOS
A Domina Concursos, especialista há 8 anos no desenvolvimento e

comercialização de apostilas digitais e impressas para Concurso Públicos, tem
como foco tornar simples e eficaz a forma de estudo. Com visão de futuro,
agilidade e dinamismo em inovações, se consolida com reconhecimento no
segmento de desenvolvimento de materiais para concursos públicos. É uma
empresa comprometida com o bem-estar do cliente. Atua com concursos
públicos federais, estaduais e municipais. Em nossa trajetória, já
comercializamos milhares de apostilas, sendo digitais e impressas. E esse
número continua aumentando.
MISSÃO
Otimizar a forma de estudo, provendo apostilas de excelência, baseados nas

informações de editais dos concursos públicos, para incorporar as melhores
práticas, com soluções inovadoras, flexíveis e de simples utilização e
entendimento.
VISÃO
Ser uma empresa de Classe Nacional em Desenvolvimento de Apostilas para

Concursos Públicos, com paixão e garra em tudo que fazemos.
VALORES
• Respeito ao talento humano

• Foco no cliente
• Integridade no relacionamento
• Equipe comprometida
• Evolução tecnológica permanente
• Ambiente diferenciado
• Responsabilidade social
PROIBIDO CÓPIA
Não é permitida a revenda, rateio, cópia total ou parcial sem autorização da

Domina Concursos, seja ela cópia virtual ou impressa. Independente de manter
os créditos ou não, não importando o meio pelo qual seja disponibilizado: link
de download, Correios, etc…
Caso houver descumprimento, o autor do fato poderá ser indiciado conforme

art. 184 do CP, serão buscadas as informações do responsável em nosso banco
de dados e repassadas para as autoridades responsáveis.
Conhecimentos específicos
“Camuflar um erro seu é
anular a busca pelo
conhecimento. Aprenda
com eles e faça novamente
de forma correta.”
Nara Nubia Alencar
SEGURANCA DA INFORMACAO
Segurança da Informação
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preser-
var seus respectivos valores para uma organização (empresa) ou um indivíduo.
Podemos entender como informação todo o conteúdo ou dado valioso para um indivíduo/organização,
que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a
determinado propósito e que é de utilidade do ser humano.
Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenien-
temente protegida. A segurança de determinadas informações pode ser afetadas por vários fatores,
como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por
pessoas que têm o objetivo de roubar, destruir ou modificar essas informações.
Confidencialidade, disponibilidade e integridade são algumas das características básicas da segurança

da informação, e podem ser consideradas até mesmo atributos.
• Confidencialidade – Diz respeito à inacessibilidade da informação, que não pode ser divulgada para
um usuário, entidade ou processo não autorizado;
• Integridade – A informação não deve ser alterada ou excluída sem autorização;
• Disponibilidade – Acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas.
Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ata-

que de terceiros.
Esse tipo de segurança não é somente para sistemas computacionais, como imaginamos. Além de
também envolver informações eletrônicas e sistemas de armazenamento, esse tipo de segurança tam-
bém se aplica a vários outros aspectos e formas de proteger, monitorar e cuidar de dados.
Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de

preservar o valor que possuem para um indivíduo ou uma organização. São características básicas
da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não es-
tando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas
de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O
conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com
o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também
a dos sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005,
influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram
reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao tra-
balho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como
17799:2005 para fins históricos.
Conceitos
A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada

empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-
se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou
pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de
segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da
situação de segurança existente. A segurança de uma determinada informação pode ser afetada por
fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca
ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.
A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibili-

dade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a im-
plementação da segurança para um determinado grupo de informações que se deseja proteger. Outros
WWW.DOMINACONCURSOS.COM.BR 1
atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio electrónico e

da sociedade da informação, a privacidade é também uma grande preocupação.
Os atributos básicos (segundo os padrões internacionais) são os seguintes:
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legíti-
mas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as caracterís-
ticas originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia
do seu ciclo de vida (nascimento,manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida
pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível de-
sejado seja perseguido e mantido.
Para a montagem desta política, deve-se levar em conta:
• Riscos associados à falta de segurança;
• Benefícios;
• Custos de implementação dos mecanismos.
Mecanismos de Segurança
O suporte para as recomendações de segurança pode ser encontrado em:
• Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estru-
tura (que garante a existência da informação)que a suporta. Existem mecanismos de segurança que
apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc...
• Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambi-
ente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada
por elemento mal intencionado.
• Existem mecanismos de segurança que apóiam os controles lógicos:
• Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la

ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir
de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A ope-
ração inversa é a decifração.
• Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são

função, garantindo a integridade do documento associado, mas não a sua confidencialidade.
• Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checa-

gem, consistindo na adição.
• Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteli-

gentes.
• Mecanismos de certificação. Atesta a validade de um documento.
• Integridade. Medida em que um serviço/informação é genuino, isto é, esta protegido contra a perso-
nificação por intrusos.
• Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker,
de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar
que esteja de fato explorando uma vulnerabilidade daquele sistema.
Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança.
Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-
spam, fuzzers, analisadores de código, etc.
O tema Segurança da Informação desperta muito interesse em várias audiências desde executivos e
gerentes até técnicos. Isto ocorre, principalmente, porque a segurança cobre diversas áreas, tais como:
segurança física, infraestrutura tecnológica, aplicações e conscientização organizacional, cada uma
delas com seus próprios riscos, ameaças potenciais, controles aplicáveis e soluções de segurança que
podem minimizar o nível de exposição ao qual a empresa está exposta, com o objetivo de garantir
segurança para o seu principal patrimônio: a informação.
Normalmente, quando o assunto segurança é discutido, as pessoas associam o tema a hackers e vul-
nerabilidades em sistemas, onde o principal entendimento é de que a empresa precisa de um bom
antivírus, um firewall e ter todos os seus “patches” aplicados no ambiente tecnológico. Não há dúvida
de que são questões importantes, porém a Segurança da Informação não está limitada a somente
esses pontos.
Um Gestor de Segurança da Informação (Security Officer), deve estar atento a itens como: ambiente,
tecnologia, processos e pessoas. Em cada uma dessas vertentes surgem diversas iniciativas, por
exemplo, Políticas, Normas e Procedimentos, Controle de Acesso (Físico e Lógico), Auditoria, Ques-
tões Legais, Continuidade de Negócios, Criptografia, Gerenciamento de Incidentes, Segurança da
Rede, Conscientização dos Usuários, dentre outros.
Fundamentos e Conceitos da Segurança da Informação
Fundamentalmente a Segurança da Informação está calcada em três princípios básicos: Confidencia-

lidade, Integridade e Disponibilidade.
Confidencialidade, diferente de ser um segredo ou algo inacessível, é um conceito no qual o acesso à

informação deve ser concedido a quem de direito, ou seja, apenas para as entidades autorizadas pelo
proprietário ou dono da informação.
Já o conceito de Integridade está ligado à propriedade de manter a informação armazenada com todas
as suas características originais estabelecidas pelo dono da informação, tendo atenção com o seu ciclo
de vida (criação, manutenção e descarte).
E por fim, o conceito de Disponibilidade deve garantir que a informação esteja sempre disponível para
uso quando usuários autorizados necessitarem.
O estabelecimento de um Programa de Segurança da Informação em sua empresa deve passar sem-

pre por ações que norteiem esses princípios. Tal modelo deve estar amparado por um Sistema de
Gestão de Segurança da Informação que precisa ser planejado e organizado, implementado, mantido
e monitorado.
Muitas organizações não seguem esta abordagem no desenvolvimento, implementação e manutenção

de seu programa de gestão de segurança. Isso é porque talvez não conheçam, ou entendam que essa
abordagem é de difícil implementação ou uma perda de tempo.
A política de segurança da informação nada mais é que um conjunto de práticas e controles adequados,
formada por diretrizes, normas e procedimentos, com objetivo de minimizar os riscos com perdas e
violações de qualquer bem. Se aplicada de forma correta ajudam a proteger as informações que são
consideradas como um ativo importante dentro da organização.
Informação
Informação é um conjunto de dados, que processados ganham significado e tornam possível sua com-
preensão e interpretação. As informações constituem um dos objetos de grande valor para as empre-
sas.
A ISO/IEC 13335-1/2004 caracteriza como ativo qualquer coisa que tenha valor para a organização. É
considerado como ativo de informação todo bem da empresa que se relaciona com informação e que
tenha valor para a organização, pode ser um componente humano, tecnológico, físico ou lógico que
realize processos de negócio dentro da empresa.
Classificação da Informação
A classificação das informações norteia-se mediante ao impacto que causaria a sua perda, alteração
ou uso sem permissão. Ferreira afirma que “quanto mais estratégica e decisiva para a manutenção ou
sucesso da organização maior será sua importância”. (FERREIRA, 2008, p. 78)
Entre os níveis mais utilizados na classificação de informação estão: informação pública, informação
interna e informação confidencial.
Segurança da Informação
Os princípios da segurança da informação abrangem basicamente os seguintes aspectos: confidenci-

alidade, integridade e disponibilidade (CID), toda ação que possa comprometer um desses princípios
pode ser tratada como atentado a sua segurança.
• Confidencialidade: É a garantia de que a informação é acessível somente por pessoas autorizadas a

terem acesso.
• Integridade: É a preservação da exatidão da informação e dos métodos de processamento
• Disponibilidade: É a Garantia de que os usuários autorizados obtenham acesso à informação e aos

ativos correspondentes sempre que necessário.
As informações estão sujeitas a ameaças e riscos devido suas vulnerabilidades. A ABNT ISSO/IEC
27002,2005 define risco como a combinação da probabilidade de um evento e de suas consequências.
Moreira (2001) aponta a vulnerabilidade como sendo o ponto onde qualquer sistema é suscetível a um
ataque, condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção.
Adachi (2004), que estudou a gestão da segurança em Internet Banking, agrupou os aspectos envolvi-
dos na segurança da informação em três camadas: física, lógica e humana. Logo, se torna essencial
que haja segurança em cada uma das três camadas.
A segurança física tem como objetivo proteger equipamentos e informações contra usuários não auto-
rizados e prevenção de danos por causas naturais.
A segurança lógica aplica-se em casos onde um usuário ou processo da rede tenta obter acesso a um
objeto que pode ser um arquivo ou outro recurso de rede (estação de trabalho, impressora, etc.), sendo
assim, um conjunto de medida e procedimentos, adotados com objetivo de proteger os dados, progra-
mas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas.
Todos colaboradores da empresa fazem parte do fator humano, principalmente os que têm acesso
direto aos recursos de T.I. Trata-se do fator mais difícil de se gerenciar e avaliar riscos.
Políticas de Segurança da Informação
A política de segurança define normas, procedimentos, ferramentas e responsabilidades às pessoas

que lidam com essa informação, para garantir o controle e a segurança da informação na empresa. É
formalmente o documento que dita quais são as regras aplicadas dentro da empresa para uso de re-
cursos tecnológicos e descarte de informações.
A grosso modo, pode-se afirmar que com a implantação de uma política de segurança da informação é
significativa a redução da probabilidade de ocorrência de quebra da confidencialidade, da integridade
e da disponibilidade da informação, tal como a redução de danos causados por eventuais ocorrências.
A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a segurança, ou
depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas legais como para
documentar a aderência ao processo de controle de qualidade. (FERREIRA;FERNANDO, 2008, p.36)
Características e Benefícios
Para seu efetivo funcionamento, a política deve ter certas peculiaridades, tais como: ser verdadeira,
ser válida para todos, ser simples, contar com o comprometimento dos gestores da empresa e outras.
De nada adianta implantar uma política que não é coerente com as ações executadas pela empresa,
pois isso impossibilita seu cumprimento.
Ferreira afirma que a curto prazo pode-se notar a prevenção de acessos não autorizados, danos ou
interferências no andamento do negócio, além de já se conseguir maior segurança nos processos do
negócio. Em médio prazo surge a padronização dos procedimentos, a adaptação já de forma segura
de novos processos e a qualificação e quantificação de respostas a incidentes. E, a longo prazo, obtém-
se o retorno do investimento, por meio da diminuição de problemas relacionados a incidentes de segu-
rança da informação.
Considerações Finais
Nem sempre se pode ter o controle sobre as ameaças que geralmente originam-se de agentes exter-
nos, portanto, é essencial a redução das vulnerabilidades existentes para se minimizar o risco.
Existem diversas medidas de segurança que podem ser adotadas pelas empresas com o intuito de
proteger suas informações, por isso, as políticas de segurança da informação são tão importantes, são
elas que nortearão os colaboradores a como agir baseados em procedimentos pré-estabelecidos.
Conceitos de Segurança
A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada

empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-
se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou
pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de
segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da
situação de segurança existente. A segurança de uma determinada informação pode ser afetada por
fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca
ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.
A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibili-

dade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a im-
plementação da segurança para um determinado grupo de informações que se deseja proteger. Outros
atributos importantes são a irretratabilidade, a autenticidade e a conformidade. Com a evolução do
comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação.
Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os

seguintes:
Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legíti-
mas, ou seja, àquelas autorizadas pelo proprietário da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas as característi-
cas originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garan-
tia do seu ciclo de vida (nascimento,manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legí-
timo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que
não foi alvo de mutações ao longo de um processo.
Irretratabilidade - propriedade que garante a impossibilidade de negar a autoria em relação a uma
transação anteriormente feita
Conformidade: propriedade que garante que o sistema deve seguir as leis e regulamentos associados
a este tipo de processo.
Para a montagem desta política, deve-se levar em conta:
Riscos associados à falta de segurança;

Benefícios;
Custos de implementação dos mecanismos.
Mecanismos de segurança
O suporte para as recomendações de segurança pode ser encontrado em:
Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura
(que garante a existência da informação) que a suporta.
Existem mecanismos de segurança que apoiam os controles físicos:
Portas / trancas / paredes / blindagem / guardas / etc ..
Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambi-
ente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada
por elemento mal intencionado.
Existem mecanismos de segurança que apóiam os controles lógicos:
Mecanismos de cifração ou encriptação: Permitem a transformação reversível da informação de forma

a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta
para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados cripto-
grafados. A operação inversa é a decifração.
Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são fun-
ção, garantindo a integridade e autenticidade do documento associado, mas não a sua confidenciali-
dade.
Mecanismos de garantia da integridade da informação: Usando funções de "Hashing" ou de checagem,
é garantida a integridade através de comparação do resultado do teste local com o divulgado pelo autor.
Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões inteligen-
tes.
Mecanismos de certificação: Atesta a validade de um documento.

Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personi-
ficação por intrusos.
Honeypot: É uma ferramenta que tem a função de propositalmente simular falhas de segurança de
um sistema e colher informações sobre o invasor enganando-o, fazendo-o pensar que esteja de fato
explorando uma vulnerabilidade daquele sistema. É um espécie de armadilha para invasores. O Ho-
neyPot não oferece nenhum tipo de proteção.
Protocolos seguros: Uso de protocolos que garantem um grau de segurança e usam alguns dos me-
canismos citados aqui.
Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança.
Alguns exemplos são os detectores de intrusões, os antivírus, firewalls, firewalls locais, filtros anti-spam,
fuzzers, analisadores de código etc.1
Ameaças à Segurança
As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 ca-
racterísticas principais, quais sejam:
Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação
(ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações
restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por
uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o con-
trole do proprietário (corporativo ou privado) da informação.
Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem neces-
sita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que
aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma
falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não auto-
rizada de pessoas com ou sem má intenção.
No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos,
muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a
encontrar possíveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários moti-
vos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa ela-
borada pelo Computer Security Institute ([1]), mais de 70% dos ataques partem de usuários legítimos
de sistemas de informação (Insiders) -- o que motiva corporações a investir largamente em controles
de segurança para seus ambientes corporativos (intranet).
Invasões na Internet
Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um
conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem
permissão. A segurança é usada especificamente para referência do problema genérico do assunto, já
os mecanismos de proteção são usados para salvar as informações a serem protegidas. A segurança
é analisada de várias formas, sendo os principais problemas causados com a falta dela a perda de
dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por algumas
razões: fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de causas natu-
rais; Erros de hardware ou de software: falhas no processamento, erros de comunicação, ou bugs em
programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um
disco. Para evitar a perda destes dados é necessário manter um backup confiável, guardado longe
destes dados originais.
Exemplos de Invasões
O maior acontecimento causado por uma invasão foi em 1988, quando um estudante colocou na inter-
net um programa malicioso (worm), derrubando milhares de computadores pelo mundo, que foi identi-
ficado e removido logo após. Mas até hoje há controvérsias de que ele não foi completamente removido
da rede. Esse programa era feito em linguagem C, e não se sabe até hoje qual era o objetivo, o que se
sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse programa se auto-
copiava em todos os computadores em que o estudante invadia. Essa “brincadeira” não durou muito,
pois o estudante foi descoberto pouco tempo depois, processado e condenado a liberdade condicional,
e teve que pagar uma alta multa.
Um dos casos mais recentes de invasão por meio de vírus foi o do Vírus Conficker (ou Downup, Downa-
dup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional Microsoft
Windows, e que foi primeiramente detectado em outubro de 2008. Uma versão anterior do vírus propa-
gou-se pela internet através de uma vulnerabilidade de um sistema de rede do Windows 2000, Windows
XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows
Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês. O vírus bloqueia o acesso a
websites destinados à venda, protegidos com sistemas de segurança e, portanto, é possível a qualquer
usuário de internet verificar se um computador está infectado ou não, simplesmente por meio do acesso
a websites destinados a venda de produtos dotados de sistemas de segurança.
Em janeiro de 2009, o número estimado de computadores infectados variou entre 9 e 15 milhões. Em

13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em recompensa
para qualquer informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou
distribuição do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para
corrigir a vulnerabilidade MS08-067, através da qual o vírus prevalece-se para poder se espalhar. As
aplicações da atualização automática se aplicam somente para o Windows XP SP2, SP3, Windows
2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas não são mais suportados. Os
softwares antivírus não-ligados a Microsoft, tais como a BitDefender, Enigma Software, Eset,F-Secure,
Symantec, Sophos, e o Kaspersky Lab liberaram atualizações com programas de detecção em seus
produtos e são capazes de remover o vírus.
Através desses dados vemos que os antivírus devem estar cada vez mais atualizados, estão surgindo
novos vírus rapidamente, e com a mesma velocidade deve ser lançado atualizações para os bancos
de dados dos antivírus para que os mesmos sejam identificados e excluídos. Com a criação da internet
essa propagação de vírus é muito rápida e muito perigosa, pois se não houver a atualização dos anti-
vírus o computador e usuário estão vulneráveis, pois com a criação da internet várias empresas come-
çarão a utilizar internet como exemplo empresas mais precisamente bancos, mas como é muito vulne-
rável esse sistema, pois existem vírus que tem a capacidade de ler o teclado (in/out), instruções privi-
legiadas como os keyloggers. Com esses vírus é possível ler a senha do usuário que acessa sua conta
no banco, com isso é mais indicado utilizar um teclado virtual para digitar as senhas ou ir diretamente
ao banco.
Nível de Segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a
estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível
de segurança devem ser quantificados os custos associados aos ataques e os associados à implemen-
tação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
Segurança Física
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, algo que
possa danificar a parte física da segurança, acesso indevido de estranhos, forma inadequada de trata-
mento e manuseio do veículo.
Segurança Lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, viola-
ção de senhas, furtos de identidades, etc.
Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de aplica-
ção. Normalmente é considerada como proteção contra ataques, mas também significa proteção de
sistemas contra erros não intencionais, como remoção acidental de importantes arquivos de sistema
ou aplicação.
Políticas de Segurança
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num
conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as áreas de respon-
sabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também
adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para
a implementação de mecanismos de segurança, definem procedimentos de segurança adequados,
processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência
de ataques.
O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de
implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do
tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de
segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR
ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000,
em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi
publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expres-
samente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:
A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa
usar. Dados críticos devem estar disponíveis ininterruptamente.
A Legalidade.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condi-
ções de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao
grupo por ele liberado.
Políticas de Senhas
Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou password é a mais
controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por
outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais
graves o colaborador anota a senha no monitor.
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é
a conscientização dos colaboradores quanto ao uso e manutenção das senhas.
Senha com data para expiração
Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o
colaborador ou usuário a renovar sua senha.
Inibir a Repetição
Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que
60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos carac-
teres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais
diferentes.
Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos
Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:
1s4e3u2s posicional os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes alfabéticos

por exemplo: 1432seus.
Criar um conjunto com possíveis senhas que não podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exem-
plo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose
ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais como:
@#$%&*
Proibição de senhas que combinam com o formato de datas do calendário, placas , números de tele-
fone, ou outros números comuns
Proibição do uso do nome da empresa ou uma abreviatura
Uma senha de Meio Ambiente, da seguinte forma: consoante, vogal, consoante, consoante, vogal,
consoante, número, número (por exemplo pinray45). A desvantagem desta senha de 8 caracteres é
conhecida a potenciais atacantes, o número de possibilidades que precisam ser testados é menos do
que uma senha de seis caracteres de nenhuma forma.
Outros sistemas de criar a senha para os usuários ou deixar que o usuário escolha um de um número
limitado de opções exibidas.
A Gestão de Riscos unida à Segurança da Informação
A Gestão de Riscos, por sua vez, fundamental para garantir o perfeito funcionamento de toda a estru-
tura tecnológica da empresa, engloba a Segurança da Informação, já que hoje a quantidade de vulne-
rabilidades e riscos que podem comprometer as informações da empresa é cada vez maior.
Ao englobar a Gestão da Segurança da Informação, a Gestão de Riscos tem como principais desafios
proteger um dos principais ativos da organização – a informação – assim como a reputação e a marca
da empresa, implementar e gerir controles que tenham como foco principal os objetivos do negócio,
promover ações corretivas e preventivas de forma eficiente, garantir o cumprimento de regulamenta-

ções e definir os processos de gestão da Segurança da Informação. Entre as vantagens de investir na
Gestão de Riscos voltada para a Segurança da Informação estão a priorização das ações de acordo
com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados.
A ISO/IEC 17799 1 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de
Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em
2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999.
No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar e absorver uma quanti-
dade considerável de informação, principalmente através dos meios de comunicação e da internet.
Informação significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a transmis-
são de notícia e/ou conhecimentos, uma instrução’ (Dicionário WEB). Quando levamos em considera-
ção as organizações, a informação toma uma dimensão extremamente importante, pois decisões im-
portantes são tomadas com base na mesma.
Assim, neste ambiente de empresas interligadas e extremamente competitivas, a informação se torna

um fator essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida. A
segurança da informação é a forma encontrada pelas organizações para proteger os seus dados, atra-
vés de regras e controles rígidos, estabelecidos, implementados e monitorados constantemente. É sa-
bido que muitos sistemas de informação não foram projetados para protegerem as informações que
geram ou recebem, e essa é uma realidade tanto do setor Público como Privado.
A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam

o controle e a segurança do acesso, isso porque a computação distribuída acaba se tornando um em-
pecilho à implementação eficaz de um controle de acesso centralizado. O sucesso da implementação
de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como:
comprometimento de todos os níveis gerenciais; requisitos de segurança claros e objetivos; política de
segurança que reflita o negócio da organização; processo eficaz de gestão dos incidentes da segurança
da informação que possam acontecer, dentre outros.
De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da infor-
mação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com
os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça
uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com
a segurança da informação por meio da publicação e manutenção de uma política de segurança da
informação para toda a organização".
Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da orga-
nização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais
responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores
e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos
os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá di-
recionar e identificar as necessidades para a consultoria de um especialista interno ou externo em
segurança da informação, analisando e coordenando os resultados desta consultoria por toda a orga-
nização.
O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal

para aqueles que querem criar, implementar e manter um sistema.
A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processa-
mento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de In-
formática (CE-21:2-4.01) integra uma família de normas de sistema de gestão de segurança da infor-
mação SGSI que inclui normas sobre requisitos de sistema de gestão da segurança da informação,
gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família de normas adota
um esquema de numeração usando a série de números 27000 em sequência.
A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implemen-
tar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser
utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da
organização.
Seções
A Norma ABNT NBR ISO/IEC-17799 foi elaborada em 11 seções, sendo elas apresentadas a seguir:
Política de Segurança da Informação;

Organizando a Segurança da Informação;
Gestão de Ativos;
Segurança em Recursos Humanos;
Segurança Física e do Ambiente;
Gestão das Operações e Comunicações;
Controle de Acesso;
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
Gestão de Incidentes de Segurança da Informação;
Gestão da Continuidade do Negócio;
Conformidade.
Cada seção apresenta o seu objetivo. A seção se subdivide em categorias, e estas apresentam Con-
trole, Diretrizes para implementação e Informações adicionais
Seção 0:
A introdução visa esclarecer os conceitos básicos sobre o que é segurança da informação, porque a
segurança da informação é necessária, como estabelecer os requisitos de segurança da informação,
como analisar e avaliar os riscos, as seleções de controle, o ponto de partida para segurança da infor-
mação, os fatores críticos de sucesso e desenvolvendo suas próprias diretrizes.
Seção 6: Organizando a Segurança da Informação
6.1 Infra estrutura da segurança da informação. É necessário uma estrutura de gerenciamento para
controlar a segurança dentro da organização. E que a direção coordene e analise criticamente toda
implementação da segurança da informação.
6.1.1 Comprometimento da direção com a segurança da informação. A direção precisa demonstrar total
apoio a segurança da informação dentro da organização, definindo atribuições de forma clara e reco-
nhecendo as responsabilidades da segurança da informação.
6.1.2 Coordenação da segurança da informação. As atividades de segurança da informação devem ser

coordenadas por representantes de diferentes partes da organização. A participação e cooperação de
gerentes, usuários, administradores, desenvolvedores, auditores, pessoal de segurança é essencial.
6.1.3 Atribuição de responsabilidades para a segurança da informação. Todas as
responsabilidades envolvendo esse papel devem ser explícitas. A atribuição da segurança da informa-
ção deve está em conformidade com a política de segurança da informação (Ver seção 5). Convém
que estas responsabilidades sejam mais detalhadas para diferentes locais e recursos de processamen-
tos. Pessoas com responsabilidades definidas podem delegar as tarefas de segurança da informação
para outros usuários assim como verificar se as tarefas delegadas estão sendo executadas correta-
mente.
6.1.4 Processo de autorização para os recursos de processamento da informação. A gestão de autori-

zação para novos recursos de processamento da informação deve ser implementada. Diretrizes consi-
deradas no processo de autorização: a) Os novos recursos devem ter a autorização pela parte admi-
nistrativa e que essa autorização seja feita juntamente ao gestor responsável pela segurança da infor-
mação. b) Hardware e software sejam verificados afim de garantir compatibilidade com o sistema. c) O
uso de novos recursos de informação, pessoais ou privados, exemplos: notebooks, palmtop e etc. po-
dem inserir vulnerabilidades, sendo necessário a identificação e controle dos mesmos.
6.1.5 Acordos de confidencialidade. Convém que acordos de não divulgação que assegurem a proteção
da organização sejam identificados e analisados criticamente. Tais acordos de confidencialidade e de
não divulgação devem está em conformidade com as leis e regulamentações para a qual se aplicam
(Ver 15.1.1) Requisitos para esses acordos de confidencialidade e de não divulgação devem ser ana-
lisados criticamente e periodicamente. Existem possibilidades de uma organização usar diferentes for-
mas de acordos de confidencialidade irá depender das circunstâncias.
6.1.6 Contato com autoridades. Controle – Contactar com as autoridades Diretrizes para implementa-
ção – Saber quando e quais autoridades devem sercontatadas e se a lei foi violada, devem ser violada
em tempo hábil. Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de
telecomunicações). Informações adicionais - Objetivo: Assegurar que um enfoque consistente e efetivo
seja aplicado à gestão de incidentes de segurança da informação. Convém que responsabilidades e
procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e
fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contí-
nua seja aplicado às respostas,monitoramento, avaliação e gestão total deincidentes de segurança da
informação. Convém que onde evidências sejam exigidas, estas sejam coletadas para assegurar a
conformidade com as exigências legais.
6.1.7 Contato com grupos especiais. Controle - Convém que sejam mantidos contatos apropriados com
grupos de interesses especiais ou outros fórunsespecializados de segurança da informação e associ-
ações profissionais. Informações adicionais - Acordos de compartilhamento de informações podem ser
estabelecidos para melhorar a cooperação e coordenação de assuntos de segurança da informação.
Convém que tais acordos identifiquem requisitos para a proteção de informações sensíveis.
6.1.8 Análise crítica independente de segurança da informação. Controle - Convém que o enfoque da
organização para gerenciar a segurança da informação e a sua implementaçãoseja analisado critica-
mente, de forma independente, a intervalos planejados,ou quando ocorreremmudanças significativas
relativas à implementação da segurança da informação. Diretrizes para implementação - Convém que
a análise crítica independente seja iniciada pela direção. E que a análise crítica seja executada por
pessoas independentes da área avaliada. Os resultados tem que ser registrados e relatados para a
direção que iniciou a análise e que esses registros fiquem mantidos. Tomar ações corretivas, se a
análise crítica entender que sim. Informações adicionais - Convém que as áreas onde os gerentes
regularmente fazem a análise críticapossam também ser analisadas criticamente de forma indepen-
dente.
6.2 Partes externas. Objetivos: Manter a segurança dos recursos de processamento da informação e
da informação da organização, que são acessados,processados, comunicados ou gerenciados por par-
tes externa.
6.2.1 Identificação dos riscos relacionados com partes externas. Controle - Convém que os riscos para
os recursos de processamento da informação e da informação da organização oriundos de processos
do negócio que envolva as partes externas sejam identificados e controles apropriadosimplementados
antes de se conceder o acesso. Diretrizes para implementação -Análise e avaliação de riscos sejam
feitas para identificar quaisquer requisitos de controles específicos.
6.2.2 Identificando a segurança da informação, quando tratando com os clientes. Controle - Convém
que todos os requisitos de segurança da informação identificados sejam considerados antes de conce-
der aos clientes o acesso aos ativos ou às informações da organização.
6.2.3 Identificando segurança da informação nos acordos com terceiros. Controle - Cobertura de todos
os requisitos de segurança da informação relevantes. Diretrizes para implementação - Convém que o
acordo assegure que não existe mal-entendido entre a organização e o terceiro. Convém que as orga-
nizaçõesconsiderem a possibilidade de indenização de terceiros. Entretanto, é importante que a orga-
nização planeje e gerencie a transição para um terceirizado e tenha processos adequados implantados
para gerenciar as mudanças e renegociar ou encerrar os acordos. Acordos com terceiros podem tam-
bém envolver outras partes
De um modo geral os acordos são geralmente elaborados pela organização. A organização precisa
assegurar que a sua própria segurança da informação não é afetada desnecessariamente pelos requi-
sitos do terceiro, estipulados no acordo imposto.
Seção 7: Gestão de Ativos
Responsabilidade pelos ativos. O objetivo e alcançar e manter a proteção adequada dos ativos da
organização. Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.
Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade
pela manutenção apropriada dos controles.
Proprietário dos ativos. Convém que todas as informações e ativos associados com os recursos de
processamento da informação tenham um proprietário designado por uma parte definida da organiza-
ção. As tarefas de rotina podem ser delegadas, por exemplo, para um custo diante que cuida do ativo
no dia-a-dia, porém a responsabilidade permanece com o proprietário. Em sistemas de informação
complexos pode ser útil definir grupos de ativos que atuem juntos para fornecer uma função particular,
como serviços. Neste caso, o proprietário do serviço é o responsável pela entrega do serviço, incluindo
o funcionamento dos ativos, que provê os serviços.
Classificação da informação. Objetivo: Assegurar que a informação receba um nível adequado de pro-
teção. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível
esperado de proteção quando do tratamento da informação. A informação possui vários níveis de sen-
sibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento
especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto
apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.
Recomendações para classificação. Que a informação seja classificada em termos do seu valor, requi-
sitos legais, sensibilidade e criticidade para a organização. E seus respectivos controles de proteção
levem em consideração as necessidades de compartilhamento ou restrição de informações e os res-
pectivos impactos nos negócios, associados com tais necessidades. Cuidados sejam tomados com a
quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas exces-
sivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis.
O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade

da informação, Em geral, a classificação dada à informação é uma maneira de determinar como esta
informação vai ser tratada e protegida.
Seção 10: Gerenciamento das operações e comunicações

Documentação dos procedimentos de operação
Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis

a todos os usuários que deles necessitem.
Gestão de Mudanças
Convém que modificações nos recursos de processamento da informação e sistemas sejam controla-
das. como:
a) identificação e registro de mudanças significativas; b) planejamento e testes das mudanças; c) ava-

liação de impactos potenciais, incluindo impactos de segurança, de tais mudanças; d) procedimento
formal de aprovação das mudanças propostas; e) comunicação dos detalhes das mudanças para todas
as pessoas envolvidas; f) procedimentos de recuperação, incluindo procedimentos e responsabilidades
pela interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos ines-
perados.
Entrega de Serviços
Convém que seja garantido que os controles de segurança, as definições de serviços e os níveis de
entrega incluídos no acordo de entrega de serviços terceirizados sejam implementados, executados e
mantidos pelo terceiro.
Mídias em Trânsito
Temos que proteger melhor as Mídias contra acesso de pessoas não autorizadas , para que não façam
uso impróprio ou que não mudem ou façam alterações durante o transporte de alguma informação.
• Métodos de proteção:
• Meio de transporte que sejam confiáveis;
• Definir seus gestores;
• Estabelecer procedimentos para verificação;
• Adotar controles para proteger o conteúdo entre outros.
Mensagens Eletrônicas
Colocar uma segurança boa no seu computador ou dispositivo móvel para que não acha problemas
com hackers .
São consideradas de segurança da informação as seguintes:
• Proteção contra acesso não permitido; • Verificar endereço da mensagem; • Confiar no serviço geral;
• Aprovação para o uso de serviços públicos e etc.
Mensagens eletrônicas como correio eletrônico cumpre um papel cada vez mais importante nas comu-
nicações do negócio. Tem seus riscos, mas não se compara com a comunicação de documentos.
Sistemas de informações do negócio
Temos que desenvolver e implantar para proteger as informações associadas com a conexão de dados
sobre os negócios sócios ou organizacionais.
A segurança e implementação das conexões de sistemas tem os seguintes:
• Facilidades de acesso das informações de sistemas administrativos, pois são compartilhados em di-
ferentes setores; • Política e controles apropriados para gerenciar o compartilhamento de informações;
• Restrição de categorias e documentos secretos; • Restrição ao relacionamento com indivíduos espe-
cíficos; • Restrição aos recursos selecionados para cada categoria ou usuário; • Identificação das per-
missões dos usuários; • Proibição de copias de qualquer arquivo de segurança entre outros.
Esse sistema de escritório trás uma oportunidade de rápida disseminação para compartilha informa-
ções, documentos, computadores, celulares, redes sem fio, entre outros.
Serviços de Comércio Eletrônico
Papel: Garantir a segurança de serviços de comércio eletrônico e sua utilização segura.
As implicações de segurança associadas ao uso do comercio eletrônico, tem transições.
On-line, ela tem que ter controles e que sejam bem controladas.
Comércio Eletrônico
As informações envolvidas no comercio eletrônico , sendo usadas em conexões publicas , disputam

problemas e modificações não autorizadas.
• Comércio eletrônico é vulnerável a inúmeras ameaças de rede que podem resultar em atividades
fraudulentas, disputas contratuais, e divulgação ou modificação de informação. • Comércio eletrônico
pode utilizar métodos seguros de autenticação, como, por exemplo, criptografia de chave pública e
assinaturas digitais para reduzir os riscos. Ainda, terceiros confiáveis podem ser utilizados onde tais
serviços forem necessários.
Transações On-Line
Elas tem que ser protegidas para prevenir roubo de dados ou perda, que por algum motivo venha a ser
alterada prejudicado seus usuários.
Considerações Seguintes são:
• Uso de assinaturas eletrônicas; • Credenciais dos usuários; • Transação confidencial; • Privacidade

dos envolvidos sobre os dados; • Protocolos para comunicação entre usuários entre outros.
A extensão dos controles adotados precisará ser proporcional ao nível de risco associado a cada forma
de Transação on-line pode ser: Transações podem precisar estar de acordo com leis, regras e regula-
mentações na jurisdição em que a Transação é gerada, processada, completa ou armazenada.
Monitoramento
• Detectar atividades não autorizadas.
• Os sistemas devem ser monitorados e que sejam registrados se houver alguma mudança.
• As organizações estejam de acordo com todos os requisitos legais relevantes aplicáveis para suas
atividades de registro e monitoramento.
O monitoramento do sistema seja utilizado para checar a eficácia dos controles adotados e para verifi-
car a conformidade com o modelo de política de acesso.
Proteção das informações dos registros
Os recursos e informações de registros sejam protegidos contra falsificação e acesso não autorizado.
Os controles implementados objetivem a proteção contra modificações não autorizadas e problemas

operacionais com os recursos dos registros, tais como:
• Alterações dos tipos de mensagens que são gravadas;
• Arquivos de registros sendo editados ou excluídos;
• Capacidade de armazenamento da mídia magnética do arquivo de registros excedida, resultando

em falhas no registro de eventos ou sobreposição do registro de evento anterior.
• De sistema normalmente contêm um grande volume de informações e muitos dos quais não dizem
respeito ao monitoramento da segurança
• Ajudar a identificar eventos significativos para propósito de monitoramento de segurança convém que
a cópia automática dos tipos de mensagens para a execução de consulta seja considerada e/ou o uso
de sistemas utilitários adequados ou ferramentas de auditoria para realizar a racionalização e investi-
gação do arquivo seja considerado.
Controles Contra Códigos Móveis
Controla a autorização de códigos móveis para que os não autorizados sejam impedidos.
Adicional: Código móvel é um código transferido de um computador a outro executando automatica-
mente e realizando funções específicas com pequena ou nenhuma interação por parte do usuário.
Para proteger contra ação não autorizada são adotadas algumas ações como, a execução de códigos
móveis em locais isolados logicamente, e bloqueios de recebimento de códigos móveis;
É importante notar que é sempre recomendável ter cópias de segurança de todo conteúdo;
E que a gerencia tenha total controle sob mídias removíveis e rede, para protege-la de ameaças, e
impedir a divulgação não autorizada, ou para usos indevidos;
Também convém que as mídias ao serem descartadas, estejam devidamente protegidas;
Mantendo também total controle nas trocas de informações;
Sincronização dos relógios
Os relógios de todos os sistemas de processamento da informação relevantes, dentro da organização

ou do domínio de segurança.
Um computador ou dispositivo de comunicação tiver a capacidade para operar um relógio de tempo

real, convém que o relógio seja ajustado conforme o padrão acordado. A interpretação correta do for-
mato data/hora é importante para assegurar que o timestamp reflete a data/hora real.
O estabelecimento correto dos relógios dos computadores é importante para assegurar a exatidão dos
Registros de auditoria, que podem ser requeridos por investigações ou como evidências em casos
legais ou disciplinares. Registros de auditoria incorretos podem impedir tais investigações e causar
danos à credibilidade das evidências. Um relógio interno ligado ao relógio atômico nacional via trans-
missão de rádio pode ser utilizado como relógio principal para os sistemas de registros.
Seção 12: Aquisição, Desenvolvimento e Manutenção de Sistema de Informação
Análise e especificação dos requisitos de segurança. Convém que sejam especificados os requisitos
para controles de segurança nas especificações de requisitos de negócios, para novos sistemas de
informação ou melhorias em sistemas existentes.
Processamento Correto nas Aplicações.
Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informa-
ções em aplicações.
Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em apli-
cações sejam identificados e os controles apropriados sejam identificados e implementados.
Diretrizes para implementação. Convém que seja efetuada uma análise/avaliação dos riscos de segu-
rança para determinar se a integridade das mensagens é requerida e para identificar o método mais
apropriado de implementação.
Controles Criptográficos.
Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios

criptográficos. Convém que uma política seja desenvolvida para o uso de controles criptográficos. Con-
vém que o
Controle de software operacional. Convém que procedimentos para controlar a instalação de software
em sistemas operacionais sejam implementados. Convém que acessos físicos e lógicos sejam conce-
didos a fornecedores, quando necessário, para a finalidade de suporte e com aprovação gerencial.
Convém que as atividades do fornecedor sejam monitoradas. Os softwares para computadores podem
depender de outros softwares e módulos fornecidos externamente, os quais convém ser monitorados
e controlados para evitar mudanças não autorizadas, que podem introduzir fragilidades na segurança.
Informações adicionais. Convém que sistemas operacionais sejam atualizados quando existir um re-
quisito para tal, por exemplo, se a versão atual do sistema operacional não suportar mais os requisitos
do negócio. Convém que as atualizações não sejam efetivadas pela mera disponibilidade de uma ver-
são nova do sistema operacional. Novas versões de sistemas operacionais podem ser menos seguras,
com menor estabilidade, e ser menos entendidas do que os sistemas atuais.
Seção 13: Gestão de Incidentes de Segurança da Informação
Notificação de eventos de segurança da informação. Trabalha com ações preventivas.
Controle - Qualquer incidente deve ser relatado imediatamente aos responsáveis capacitados por in-
terceptá-los através de canais confiáveis e de integridade inquestionável.
Diretrizes para implementação - Consiste na elaboração de ferramentas para tornar qualquer incidente
visível às pessoas responsáveis por resolvê-los; - É criado um padrão de notificações de modo que
nenhuma pessoa tome uma decisão precipitada ou por si só, mas que todos estejam cientes e prepa-
rados para resolver o problema de acordo com duas funcionalidades.
Gestão de incidentes de sistema de informação e melhorias.
Foco numa precisa e consistente gestão de incidentes. Gerir com base em melhorias requer atenção
total.
Controle - Com precisão detalhada e ordenada devem ser estabelecidas responsabilidades e procedi-
mentos.
Diretrizes para implementação - Se faz necessária aplicação de ferramentas de verificação de vulnera-

bilidade tanto dos dados quando da parte física (hardware e meios de transmissão).
Seção 14: Gestão da Continuidade do Negócio
14.1 Aspectos da Gestão da continuidade do negócio, relativos a segurança da informação.
Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos , e assegurar a sua retomada em tempo hábil , se for o
caso . Este processo deve identificar os processos críticos e que integre a gestão da segurança da
informação com as exigências da gestão da continuidade do negócio com outros requisitos de conti-
nuidade relativo e tais aspectos como operações , funcionários , materiais , transporte e instalações ,
todas as partes de uma empresa .
14.1.1 Incluindo Segurança da Informação no Processo de gestão da continuidade de negócio.
Desenvolver e manter um processo de gestão para assegurar a continuidade do negócio por toda a
organização e que contemple os requisitos de segurança da informação necessários para a continui-
dade do negócio da organização .
14.1.2 Continuidade de negócios e análise/avaliação de riscos.
Identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade
e impacto de tais interrupções e as consequências para a segurança de informação.
14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informa-

ção .
Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das opera-
ções e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo reque-
rida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.
14.1.4 Estrutura do plano de continuidade do negócio.
Manter uma estrutura básica dos planos de continuidade do negócio para assegurar que todos os pla-
nos são consistentes, para alcançar os requisitos de segurança da informação e para identificar as
prioridades para testes e manutenção.
14.1.5 Testes , manutenção e reavaliação dos planos de continuidade do negócio.
Os Planos de continuidade do negócio devem ser testados e atualizados regulamente , de forma a

assegurar sua permanente atualização e efetividade .
Seção 15: Conformidade
15.1 Conformidade e seus requisitos legais. Tem como objetivo principal: evitar a violação de qualquer
lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de
segurança da informação.
15.1.1 Identificação da legislação vigente. Convém que todos os requisitos estatuários, regulamentares
e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, sejam explicita-
mente definidos, documentados e mantidos atualizados para cada sistema de informação da organiza-
ção.
15.1.2 Direitos de propriedade intelectual. Convém que as seguintes diretrizes sejam consideradas para
proteger qualquer material que possa ser considerado como propriedade intelectual:
divulgar uma política de conformidade como os direitos de propriedade intelectual que defina o uso
legal de produtos de software e de informação;
Adquirir software somente por meio de fonte conhecidas e de reputação, para assegurar que o direito
autoral não está sendo violado;
Manter conscientização das políticas para proteger os direitos de propriedades intelectual e notificar a
intenção de tomar ações disciplinares contra pessoas que violarem essas políticas;
Manter de forma adequada os registros ativos e identificar todos os ativos com requisitos para prote-
ger os direitos de propriedade intelectual;
Manter provas e evidencias da propriedade de licenças, discos-mestre, manuais etc.;

Implementar controles para assegurar que o número máximo de usuários permitidos não excede o
número de licenças adquiridas;
Não duplicar, converter para outro formato ou extrair de registros comercias (filmes, áudios) outros
que não os permitidos pela lei de direito autoral;
Não copiar, no tolo ou em partes, livros, artigos, relatórios ou outros documentos, além daqueles per-
mitidos pela lei de direito autoral.
Direitos de propriedade intelectual incluem direito de software ou documento, direito de projeto, mar-
cas, patentes e licenças de código-fonte.
15.1.3 Proteção de registros organizacionais. Para atender aos objetivos de proteção de registros,
convém que os seguintes passos sejam tomados dentro da organização:
Emitir diretrizes gerais para retenção, armazenamento, tratamento e disposição de registros e infor-
mações;
Elaborar uma programação para retenção, identificando os registros essenciais e o período que cada
um deve ser mantido;
Manter um inventario das fontes de informação-chave;
Implementar controles apropriados para proteger registros e informações contra perda, destruição e
falsificação.
15.1.4 Proteção de dados e privacidade de informações pessoais. A conformidade com esta política e
todas as legislação e regulamentações relevantes de produtos de dados necessita de uma estrutura
de gestão e de controles apropriados. Geralmente isto é melhor alcançado através de uma pessoa
responsável, como por exemplo, um gestor de proteção de dados, que deve fornecer orientações ge-
rais para gerentes, usuários e provedores de serviço sobre as responsabilidades de cada um e sobre
quais procedimentos específicos recomenda-se seguir. Convém que a responsabilidade pelo trata-
mento das informações pessoais e a garantia da conscientização dos princípios de proteção dos da-
dos sejam tratados de acordo com as legislações e regulamentações relevantes. Convém que medi-
das organizacionais e técnicas apropriadas para proteger as informações pessoais sejam implemen-
tadas.
15.1.5 Prevenção de mau uso de recursos de procedimentos da informação. Convém que todos os
usuários estejam conscientes de escopo preciso de suas permissões de acesso e da monitoração re-
alizada para detectar o uso não autorizado. Isto pode ser alcançado pelo registro das autorizações dos
usuários por escrito, convém que a cópia seja assinada pelo usuário e armazenada de forma segura
pela organização. Convém que os funcionários de uma organização, fornecedores e terceiros sejam
informados de que nenhum acesso é permitido com exceção daqueles que foram autorizados.
15.1.6 Regulamentação de controles de criptografia. Convém que os seguintes itens sejam considera-
dos para conformidade com leis, acordos e regulamentações relevantes:
Restrições à importação e/ou exportação de hardware e software de computador para execução de

funções criptográficas;
Restrições à importação e/ou exportação de hardware ou software de computador que foi projetado
para ter funções criptográficas embutidas;
Restrições no uso de criptografia;
Métodos mandatários ou discricionários de acesso pela autoridades dos países à informação cifrada
por hardware ou software para fornecer confidencialidade ao conteúdo.
15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica.
Convém que tais analises críticas sejam executadas com base na políticas de segurança da informa-
ção apropriadas e que as plataformas técnicas e sistemas de informação sejam auditados em confor-
midade com as normas de segurança da informação implementadas pertinentes e com os controles
de segurança documentados.
15.2.1 Conformidade com as políticas e normas de segurança da informação. Controla que os gestores
garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabi-
lidade estão senso executados corretamente para atender à conformidade com as normas e políticas
de segurança da informação.
15.2.2 Verificação da conformidade técnica. Se o teste de invasão ou avaliações de vulnerabilidades

forem usados, convém que sejam tomadas precauções, um vez que tais atividade podem conduzir a
um comprometimento da segurança do sistema. Convém que tais testes sejam planejados, documen-
tados e repetidos, convém que qualquer verificação de conformidade técnica somente seja executada
por pessoas autorizadas e competentes, ou sob a supervisão de tais pessoas.
15.3 Considerações quanto à auditoria de sistemas de informação. Tem como objetivo maximizar a
eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação, convém que
existam controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as
auditorias de sistemas de informação.
15.3.1 Controle de auditoria de sistema de informação. Convém que requisitos e atividade de auditoria
envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para
minimizar os riscos de interrupção dos processos de negócio. Convém que as seguintes diretrizes se-
jam verificadas:
Requisitos de auditoria sejam acordados com o nível apropriado da administração;

A verificação esteja limitada ao acesso somente para leitura de software e dados;
Outros acesso diferentes de apenas leitura sejam permitidos somente através de copias isoladas dos
arquivos do sistema, e sejam apagados ao final da auditoria, ou dada proteção apropriada quando
existir uma obrigação para guarda tais arquivos como requisitos da documentação da auditoria;
Todos os procedimentos, requisitos e responsabilidade sejam documentados.
15.3.2 Proteção de ferramentas de auditoria de sistema de informação. Convém que o acesso às fer-
ramentas de auditoria de sistema de informação seja protegido, para prevenir qualquer possibilidade
de uso improprio ou comprometimento, as ferramentas de auditoria de sistemas de informação, por
exemplo, software ou arquivos de dados, sejam separados de sistemas em desenvolvimento e em
operação e não sejam mantidos em fitas de biblioteca ou áreas de usuários, a menos que seja dado
um nível apropriado de proteção adicional.
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
CRIPTOGRAFIA
Criptografia
O que é Criptografia:
Criptografia é um mecanismo de segurança e privacidade que torna determinada comunicação (textos,

imagens, vídeos e etc) ininteligível para quem não tem acesso aos códigos de “tradução” da mensa-
gem.
Nas comunicações digitais, a criptografia auxilia na proteção de todos os conteúdos transmitidos entre
duas ou mais fontes, evitando a intercepção por parte de cibercriminosos, hackers e espiões, por exem-
plo.
Atualmente, a maioria dos sites na internet utilizam comunicações criptografadas, principalmente em

locais onde dados bancários, passwords e arquivos pessoais estejam armazenados.
Além de prevenir que pessoas não-autorizadas tenham acesso aos dados e informações trocadas na
rede online, a criptografia também impede que backups sejam acessados por usuários indevidos.
Etimologicamente, o termo “criptografia” se originou a partir do grego, formado pela união dos elemen-
tos kruptós, que significa “secreto” ou “oculto”, e graphía, que quer dizer “escrita”. Assim, o significa
literal de criptografia é “escrita secreta”.
No cotidiano, sistemas de criptografia são utilizadas pelos usuários de aplicativos e softwares de troca
de mensagens instantâneas, como o Whatsapp, por exemplo.
Tipos de Criptografia
Nas comunicações feitas através de dispositivos eletrônicos, o método mais utilizado de criptografia
são as chamadas “chaves critptográficas”.
As chaves criptográficas consistem em conjuntos de algoritmos que codificam uma mensagem publi-
camente legível em um texto cifrado, ou seja, composto por valores secretos que só podem ser deci-
frados com o código de acesso correto.
Existem dois principais tipos de chaves criptográficas, estudadas através do ramo da Matemática co-
nhecido por Criptologia: as simétricas e as assimétricas.
Simétrica
Também conhecida por “criptografia de chave única” ou “criptografia de chave privada”, este modelo
utiliza apenas um conjunto de algoritmos responsáveis tanto pela cifragem de determinada operação,
assim como a sua decifragem.
Neste caso, o pressuposto da confiabilidade entre os interlocutores deve ser total, visto que ambos
partilham de uma única chave de criptografia, tanto para codificar como para descodificar uma mensa-
gem, por exemplo.
Assimétrica
Também conhecido como “criptografia de chave pública”, este é um sistema de protocolos criptográfi-
cos que requer a formação de duas chaves, sendo uma privada (usada para descodificar) e a outra
pública (utilizada para codificar e autenticar assinaturas digitais, por exemplo).
Com a criptografia assimétrica, qualquer pessoa pode enviar uma mensagem criptografada usando a
chave pública, mas apenas os receptores com a chave privada conseguem descodifica-la. O segredo
da informação consiste em manter em sigilo o código da chave privada, por exemplo.
Em linhas gerais, criptografia é o nome que se dá a técnicas que transformam informação inteligível
em algo que um agente externo seja incapaz de compreender. De forma mais simples, a criptografia
funciona como códigos: sem ela, um criminoso poderia interceptar a sua senha de e-mail durante o
login.
CRIPTOGRAFIA
Com a criptografia, caso ele intercepte seu acesso, mas não tenha a chave correta, verá apenas uma
lista desordenada e aparentemente confusa de caracteres, que não leva a lugar nenhum.
A criptografia é um método de proteção e privacidade de dados muito importante e cada vez mais
presente. Do ponto de vista prático para quem usa Internet e dispositivos que oferecem proteção crip-
tográfica, há tipos ou termos, que é preciso conhecer: criptografia simétrica e assimétrica (ou de ponta
a ponta).
Criptografia Simétrica
O tipo de criptografia simétrica é o mais comum e pressupõe que uma mesma chave usada para ocultar
informação precisa ser aplicada para revela-la na outra ponta. É o tipo de criptografia usada na época
da Segunda Guerra Mundial, por exemplo, e protagonista da história da invenção do computador, como
conhecemos hoje.
Criptografia Assimétrica ou de Ponta-a-Ponta
Atualmente, os dois protocolos mais usados para proteção de dados na Internet, o SSL (Secure Sockets
Layer) e o TLS (Transport Layer Security) utilizam a criptografia simétrica para proteger os dados trans-
mitidos e armazenados.
No entanto, a criptografia simétrica possui um desafio conceitual importante e impossível de ser resol-
vido. Como combinar uma chave secreta entre duas pessoas que querem se comunicar através da
Internet de forma que ela não possa ser obtida por um invasor? Essa pergunta não teve solução até a
década de 1970.
A solução foi dada pela criptografia assimétrica, na qual utiliza-se duas chaves distintas, mas que se
complementam. Por essa propriedade, dá-se o nome de par de chaves, que é composto pela chave
pública e pela chave privada. A chave pública é liberada para todos que desejam se comunicar com o
emissor da chave enquanto a chave privada fica em poder de quem a emitiu.
O algoritmo de criptografia mais usado atualmente é o RSA, denominado pelas iniciais dos seus cria-
dores, Ronald Rivest, Adi Shamir e Leonard Adleman. Uma desvantagem dos algoritmos de criptografia
assimétrica existentes é o seu desempenho, que são mais lentos que os métodos simétricos.
Sendo assim, na prática, a criptografia assimétrica é utilizada para definir uma chave de sessão, que
será usada na criptografia simétrica durante a comunicação. Esse é o funcionamento dos protocolos
SSL e TLS, usados largamente na Internet.
Na criptografia assimétrica, as chaves públicas podem ser forjadas, fazendo com que o emissor não
obtenha a chave pública correta do destinatário. Para solucionar esse problema, os engenheiros da
Internet criaram a figura da Autoridade Certificadora, que funciona como um cartório, autenticando as
chaves públicas das pessoas.
É essa autenticação da chave pública do seu banco, por exemplo, que faz o seu navegador exibir o
singelo cadeado de segurança, fazendo com que você saiba que o site é mesmo do banco e não de
um criminoso.
Esses aplicativos de mensagens oferecem a criptografia de ponta-a-ponta, que pressupõe proteção de

conteúdo das mensagens trocadas entre os usuários numa mecânica em que nem mesmo o próprio
administrador dos aplicativos pode ler o conteúdo.
Ponta-a-ponta é um sinônimo para o tipo assimétrico, e no caso específico desses aplicativos, se refere
ao fato de que cada usuário dentro dessas redes possui uma chave de criptografia específica que é
combinada com a de seus contatos durante a troca de mensagens. Dessa forma, o conteúdo trocado
entre duas pessoas pelos mensageiros só é visível por elas.
Criptografia no Computador e no Celular
Ainda é muito comum associar o uso da criptografia diretamente com a proteção de dados na Internet:
com a técnica, é muito mais difícil o criminoso descobrir seu login e senha de qualquer site e seus
dados bancários são protegidos a cada compra.
CRIPTOGRAFIA
Mas a criptografia tem aplicações que vão além disso. No computador, caso você decida criptografar
seus dados, o windows ou macOS aplicarão uma chave criptográfica que protegerá todo o conteúdo
armazenado na máquina de forma que só se torne visível por quem possua a chave, no caso o seu
PIN, senha de usuário na máquina, ou qualquer tipo de autenticação biométrica oferecida pelo Win-
dows, por exemplo.
Para celulares android e iPhone (iOS) a mesma coisa é válida. Ao criptografar os dados no aparelho,
você os torna essencialmente inacessíveis a um invasor.
Níveis de Segurança
A critpografia depende da aplicação e do nível de segurança exigido, mas em linhas gerais, uma critpo-
grafia de 128 bits é muito mais segura do que uma de 56 bits, por exemplo.
Uma chave de 56 bits oferece 72 quatrilhões de possibilidades de troca de caracteres para ocultar uma
mensagem (parece absurdo, mas computadores já podem fazer bilhões de operações por segundo,
então 56 bits pode não ser tão seguro assim se o hacker possuir um aplicativo que tenta milhões de
alternativas para quebrar a critpografia a cada segundo).
Para comparar, uma chave de 128 bits tem 339,000,000,000,000,000,000,000,000,000,000,000 de

possibilidades (arredondando, há uns trilhões a mais)
Criptografia
A criptografia é uma técnica utilizada há anos que com o passar do tempo evoluiu a ponto de oferecer
soluções eficazes no que diz respeito à segurança da informação. Hoje, ela é uma ferramenta de se-
gurança amplamente utilizada nos meios de comunicação e consiste basicamente na transformação
de determinado dado ou informação a fim de ocultar seu real significado.
Este artigo apresenta os conceitos sobre criptografia, seus tipos, aplicabilidade e como ela é empre-
gada no .NET por meio do namespace System.Security.Cryptography. Ao final do artigo será desen-
volvida uma aplicação para criptografar dados usando um algoritmo simétrico. Além disso, iremos criar
uma DLL contendo a classe de criptografia implementada, que poderá ser reutilizada em outros proje-
tos.
Em que Situação o Tema é Útil
A criptografia pode ser utilizada em aplicações e ambientes cuja segurança das informações é algo
relevante para o projeto, principalmente em sistemas WEB, onde o dado trafega em um meio público
correndo um risco maior de ser interceptado, fato este que pode gerar prejuízos enormes para uma
organização. O domínio das técnicas de criptografia não é algo complexo quando estamos trabalhando
com o paradigma orientado a objetos, sendo essencial para a criação de aplicações seguras.
Há pouco tempo, quando a tecnologia ainda não era muito presente em nosso cotidiano, as informa-
ções e grande parte dos processos organizacionais eram geridos basicamente no papel, sendo arma-
zenados em armários ou cofres protegidos por cadeados ou senhas.
Atualmente este paradigma mudou, pelo menos para uma parcela significativa da sociedade. As infor-
mações são processadas e armazenadas em meios digitais, criando uma forte dependência entre os
sistemas de informação e as organizações. Com o advento da internet, os dados trafegam em meios
públicos, podendo ser interceptado por qualquer um que esteja mal intencionado. Neste cenário, uma
falha na segurança destes conteúdos pode acarretar em enormes prejuízos para uma corporação.
Então, o que fazer para garantir tal segurança? Existem diversos meios de proteção e um deles é o
uso da criptografia. Ela não vai impedir que uma determinada informação seja interceptada, mas tem o
objetivo de dificultar a compreensão do dado capturado. Mas como isso é feito? Há vários algoritmos
de criptografia que cumprem este papel, cada um com suas particularidades, porém a ideia central é a
mesma: modificar a informação de forma que apenas o destinatário consiga compreender a que foi
transmitido.
Vale ressaltar que a criptografia não é aplicada apenas quando um dado é enviado de um local a outro,
ela é utilizada também em dispositivos de armazenamento de dados (ex: discos rígidos, pen drives,
CRIPTOGRAFIA
storages), que são alvos de ataques e roubos. Ou seja, de uma forma geral, a criptografia vai garantir
a confidencialidade da informação. Nos próximos tópicos, veremos alguns conceitos relacionados a
esta técnica.
Criptografia Simétrica
A criptografia simétrica foi o primeiro tipo de criptografia criado. Os algoritmos que a utilizam têm como
característica principal o uso de uma mesma chave criptográfica (Nota do DevMan 1) para criptografar
ou descriptografar uma informação, por isso o adjetivo “simétrico” dá nome a esta técnica. Exemplifi-
cando um pouco este conceito, quando um emissor cifra uma mensagem com um algoritmo de cripto-
grafia simétrico, ele utiliza uma chave, que é representada por uma senha ou um conjunto de bits para
codificar os dados. O receptor então faz uso do algoritmo para descriptografar a mensagem e aplica a
mesma chave que foi utilizada pelo emissor para voltar à mensagem em sua forma original. Sem a
mesma, não é possível decifrar a informação recebida.
Nota do DevMan 1
Chave criptográfica é um conjunto de caracteres formando uma sequência de bits que trabalhando em
conjunto com um algoritmo de criptografia irão determinar o resultado final do processo de cifragem e
decifragem da mensagem. O nível de segurança da codificação depende tanto do algoritmo quanto do
tamanho da chave escolhida (total de bits que ela possui).
Uma forma muita utilizada por invasores para descobrir esta chave é utilizando a força bruta, onde são
utilizadas inúmeras combinações de caracteres na tentativa de uma delas ser a chave do algoritmo.
Veja na Figura 1 o processo de criptografia simétrica. Observe que a mesma chave é utilizada nos
algoritmos para cifragem e decifragem do texto.
Figura 1. Processo de criptografia simétrica.
Como vantagens deste método podemos citar a simplicidade na sua implementação, uma vez que é
utilizada uma única chave no processo de cifragem e decifragem do dado, além da velocidade deste
processo em relação à criptografia assimétrica, que veremos nos próximos tópicos, possibilitando as-
sim que uma grande quantidade de dados seja encriptada em pouco tempo.
Por outro lado este modelo de criptografia apresenta algumas falhas que estão relacionadas à geração
e compartilhamento das chaves: no primeiro caso uma chave muito simples pode ser facilmente que-
brada utilizando um algoritmo de força bruta. Já na segunda situação deve-se atentar para a forma
como as chaves são compartilhadas entre os interessados na informação, a fim de evitar que a mesma
seja obtida por um invasor.
Alguns algoritmos de criptografia simétrica bem conhecidos são: DES (Data Encryption Standart), Triple
DES, AES (Advanced Encryption Standard), IDEA (International Data Encryption Algorithm), Blowfish,
RC4.
Criptografia Assimétrica
CRIPTOGRAFIA
A criptografia assimétrica, também denominada como criptografia de chave pública, possui como ca-
racterística básica o uso de duas chaves ao invés de uma, sendo elas:
Chave pública: Chave que pode ser distribuída para outros usuários.
Chave privada. Chave que deve ser mantida em segredo.
A criptografia diz respeito a conceitos e técnicas usadas para codificar uma informação, de tal forma
que somente seu real destinatário e o emissor da mensagem possam acessá-la, com o objetivo de
evitar que terceiros interceptem e entendam a mensagem.
Atualmente, as técnicas de criptografia mais conhecidas envolvem o conceito das chaves criptográfi-
cas, que são um conjunto de bits, baseados em um algarismo capaz de interpretar a informação, ou
seja, capaz de codificar e decodificar. Se a chave do receptor não for compatível com a do emissor, a
informação então não será extraída.
O termo criptografia surgiu da fusão das palavras gregas "kryptós" e "gráphein", que significam "oculto"
e "escrever", respectivamente. Trata-se de um conjunto de conceitos e técnicas que visa codificar uma
informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso
consiga interpretá-la. Para isso, uma série de técnicas são usadas e muitas outras surgem com o pas-
sar do tempo.
Na computação, as técnicas mais conhecidas envolvem o conceito de chaves, as chamadas chaves

criptográficas. Trata-se de um conjunto de bits baseado em um determinado algoritmo capaz de codi-
ficar e de decodificar informações. Se o receptor da mensagem usar uma chave incompatível com a
chave do emissor, não conseguirá extrair a informação.
Existem dois tipos de chave: a chave pública e a chave privada.
A chave pública é usada para codificar as informações, e a chave privada é usada para decodificar.
Assim, na pública, todos têm acesso, mas para 'abrir' os dados da informação, que aparentemente são
sem sentido, é preciso da chave privada, que só o emissor e receptor originais têm.
Atualmente, a criptografia pode ser considerada um método 100% seguro, ou seja, quem a utiliza para
mandar e-mails e proteger seus arquivos, estará protegido contra fraudes e tentativas de invasão.
Os termos 'chave de 64 bits' e 'chave de 128 bits' são usados para expressar o tamanho da chave,
assim, quanto mais bits forem utilizados, mais segura será essa criptografia. Um exemplo disso é se
um algoritmo usa uma chave de 8 bits, por exemplo, apenas 256 chaves poderão ser utilizadas para
decodificar essa informação, porque 2 elevado a 8 é igual a 256. Assim, um terceiro pode tentar gerar
256 tentativas de combinações e decodificar a mensagem, que mesmo sendo uma tarefa difícil, não é
impossível. Por isso, quanto maior o número de bits, mais segura será a criptografia.
Existem dois tipos de chaves criptográficas, as chaves simétricas e as chaves assimétricas.
Chave Simétrica
É um tipo de chave simples, que é usada para a codificação e decodificação. Entre os algoritmos que
usam essa chave, estão:
DES (Data Encryption Standard): Faz uso de chaves de 56 bits, que corresponde à aproximadamente
72 quatrilhões de combinações. Mesmo sendo um número absurdamente alto, em 1997, conseguiram
quebrar esse algoritmo através do método de 'tentativa e erro', em um desafio na internet.
RC (Ron's Code ou Rivest Cipher): É um algoritmo muito utilizado em e-mails e usa chaves de 8 a 1024
bits, além de possuir várias versões que se diferem uma das outras pelo tamanho das chaves.
EAS (Advanced Encryption Standard): Hoje em dia é um dos melhores e mais populares algoritmo de
criptografia existente. Voce pode definir o tamanho da chave como sendo de 128bits, 192bits ou
256bits.
IDEA (International Data Encryption Algorithm): É um algoritmo que usa chaves de 128 bits, parecido
com o DES. Seu ponto forte é a fácil implementação de software.
CRIPTOGRAFIA
As chaves simétricas não são totalmente seguras quando se trata de informações muito valiosas, prin-
cipalmente pelo fato de que o emissor e o receptor têm que conhecer a mesma chave. Assim, a trans-
missão pode não ser segura e o conteúdo chegar a terceiros.
Chave Assimétrica
A chave assimétrica utiliza duas chaves: a privada e a pública. Elas se resumem da seguinte forma: a
chave pública para codificar e a chave privada para decodificar, levando-se em consideração que a
chave privada é secreta.
Entre os algoritmos utilizados, estão:
RSA (Rivest, Shamir and Adleman): É um dos algoritmos de chave assimétrica mais utilizados, em que
dois números primos (aqueles que só podem ser divididos por 1 e por eles mesmos) são multiplicados
para a obtenção de um terceiro valor. Para isso, é preciso fazer fatoração, que é descobrir os dois
primeiros números a partir do terceiro, que é um cálculo trabalhoso. Assim, se números grandes forem
utilizados, será praticamente impossível descobrir o código. A chave privada do RSA são os números
que são multiplicados e a chave pública é o valor que será obtido.
O termo criptografia surgiu da fusão das palavras gregas "kryptós" e "gráphein", que significam "oculto"
e "escrever", respectivamente. Trata-se de um conjunto de conceitos e técnicas que visa codificar uma
informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso
consiga interpretá-la.
Para isso, uma série de técnicas são usadas e muitas outras surgem com o passar do tempo.
Na computação, as técnicas mais conhecidas envolvem o conceito de chaves, as chamadas chaves

criptográficas. Trata-se de um conjunto de bits baseado em um determinado algoritmo capaz de codi-
ficar e de decodificar informações. Se o receptor da mensagem usar uma chave incompatível com a
chave do emissor, não conseguirá extrair a informação.
Os primeiros métodos criptográficos existentes usavam apenas um algoritmo de codificação. Assim,

bastava que o receptor da informação conhecesse esse algoritmo para poder extraí-la. No entanto, se
um intruso tivesse posse desse algoritmo, também poderia efetuar um processo de decifragem, caso
capturasse os dados criptografados.
Há ainda outro problema: imagine que a pessoa A tivesse que enviar uma informação criptografada à
pessoa B. Esta última teria que conhecer o algoritmo usado. Imagine agora que uma pessoa C também
precisasse receber uma informação da pessoa A, porém a pessoa C não poderia descobrir qual é a
informação a ser enviada à pessoa B. Se a pessoa C capturasse a informação enviada à pessoa B,
também conseguiria decifrá-la, pois quando a pessoa A enviou sua informação, a pessoa C também
teve que conhecer o algoritmo usado. Para a pessoa A evitar esse problema, a única solução seria
utilizar um algoritmo diferente para cada receptor.
Com o uso de chaves, um emissor pode usar o mesmo algoritmo (o mesmo método) para vários re-
ceptores. Basta que cada um receba uma chave diferente. Além disso, caso um receptor perca ou
exponha determinada chave, é possível trocá-la, mantendo-se o mesmo algoritmo.
Você já deve ter ouvido falar de chave de 64 bits, chave de 128 bits e assim por diante. Esses valores
expressam o tamanho de uma determinada chave. Quanto mais bits forem utilizados, mais segura será
a criptografia. Explica-se: caso um algoritmo use chaves de 8 bits, por exemplo, apenas 256 chaves
poderão ser usadas na decodificação, pois 2 elevado a 8 é 256. Isso deixa claro que 8 bits é inseguro,
pois até uma pessoa é capaz de gerar as 256 combinações (embora demore), imagine então um com-
putador! Porém, se forem usados 128 ou mais bits para chaves (faça 2 elevado a 128 para ver o que
acontece), teremos uma quantidade extremamente grande de combinações, deixando a informação
criptografada bem mais segura.
Chaves Simétricas e Assimétricas
Há dois tipos de chaves criptográficas: chaves simétricas e chaves assimétricas. Ambas são abordadas
a seguir:
CRIPTOGRAFIA
Chave Simétrica
Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem uso da mesma chave, isto
é, uma única chave é usada na codificação e na decodificação da informação. Existem vários algoritmos
que usam chaves simétricas, como o DES, o IDEA, e o RC:
- DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de chaves de 56 bits. Isso corres-
ponde a 72 quatrilhões de combinações. É um valor absurdamente alto, mas não para um computador
potente. Em 1997, esse algoritmo foi quebrado por técnicas de "força bruta" (tentativa e erro) em um
desafio promovido na internet;
- IDEA (International Data Encryption Algorithm): criado em 1991 por James Massey e Xuejia Lai, o
IDEA é um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES.
Sua implementação em software é mais fácil do que a implementação deste último;
- RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security, esse algo-
ritmo é muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024 bits. Possui várias versões:
RC2, RC4, RC5 e RC6. Essencialmente, cada versão difere da outra por trabalhar com chaves maiores.
Há ainda outros algoritmos conhecidos, como o AES (Advanced Encryption Standard) - que é baseado
no DES - , o 3DES, o Twofish e sua variante Blowfish, entre outros.
O uso de chaves simétricas tem algumas desvantagens, fazendo com que sua utilização não seja ade-
quada em situações onde a informação é muito valiosa. Para começar, é necessário usar uma grande
quantidade de chaves caso muitas pessoas ou entidades estejam envolvidas. Ainda, há o fato de que
tanto o emissor quanto o receptor precisam conhecer a mesma chave. A transmissão dessa chave de
um para o outro pode não ser tão segura e cair em "mãos erradas".
Chave Assimétrica
Também conhecida como "chave pública", a chave assimétrica trabalha com duas chaves: uma deno-
minada privada e outra denominada pública. Neste método, um emissor deve criar uma chave de co-
dificação e enviá-la ao receptor. Essa é a chave pública. Uma outra chave deve ser criada para a
decodificação. Esta, a chave privada, é secreta.
Para melhor compreensão, imagine o seguinte: O InfoWester criou uma chave pública e a enviou a
vários outros sites. Quando qualquer desses sites quiser enviar uma informação criptografada ao Info-
Wester deverá utilizar a chave pública deste. Quando o InfoWester receber essa informação, apenas
será possível extraí-la com o uso da chave privada, que só o InfoWester tem. Caso o InfoWester queira
enviar uma informação criptografada a outro site, deverá obter uma chave pública fornecida por este.
Entre os algoritmos que usam chaves assimétricas, têm-se o RSA (o mais conhecido) e o Diffie-Hell-
man:
CRIPTOGRAFIA
RSA (Rivest, Shamir and Adleman): criado em 1977 por Ron Rivest, Adi Shamir e Len Adleman nos
laboratórios do MIT (Massachusetts Institute of Technology), é um dos algoritmos de chave assimétrica
mais usados. Nele, números primos (número primo é aquele que só pode ser dividido por 1 e por ele
mesmo) são utilizados da seguinte forma: dois números primos são multiplicados para se obter um
terceiro valor.
Porém, descobrir os dois primeiros números a partir do terceiro (ou seja, fazer uma fatoração) é muito
trabalhoso. Se dois números primos grandes (realmente grandes) forem usados na multiplicação, será
necessário usar muito processamento para descobrí-los, tornando essa tarefa praticamente inviável.
Basicamente, a chave privada no RSA são os números multiplicados e a chave pública é o valor obtido;
ElGamal: criado por Taher ElGamal, esse algoritmo faz uso de um problema matemático conhecido por
"logaritmo discreto" para se tornar seguro. Sua utilização é freqüente em
Existem ainda outros algoritmos, como o DSA (Digital Signature Algorithm), o Schnorr (praticamente
usado apenas em assinaturas digitais) e Diffie-Hellman.
Certificação Digital
Um recurso conhecido por certificação digital é muito utilizado com chaves públicas. Trata-se de um
meio que permite, por exemplo, provar que um certo documento eletrônico foi mesmo emitido por uma
determinada entidade ou pessoa. O receptor da informação usará a chave pública fornecida pelo emis-
sor para se certificar da origem. Além disso, a chave fica integrada ao documento de forma que qual-
quer alteração por terceiros imediatamente a invalide.
Criptografia (do grego kryptos, oculto, e graphein, escrever) é o nome dado a um conjunto de regras
que visa codificar a informação a de maneira que só o emissor e o receptor consiga decifrá-la.
A troca de informações sigilosas é uma prática antiga, existente há centenas de anos, e que até bem
pouco tempo era predominante em meio aos livros e documentos. O surgimento da internet e a facili-
dade que esta proporciona de transmitir dados de maneira precisa e extremamente rápida fez de tal
prática um recurso essencial para permitir que apenas emissor e receptor obtenham acesso livre à
informação tratada.
A criptografia segue quatro princípios básicos: confidencialidade, autenticação, integridade da informa-

ção e não repudiabilidade (ou seja, o remetente não pode negar o envio da informação). Apesar de ser
recurso importante na transmissão de informações pela internet, a criptografia não é capaz de garantir
total segurança, pois sempre existe alguém que consegue desenvolver uma maneira de "quebrar" o
código. Assim, as técnicas são constantemente aperfeiçoadas e tantas outras são criadas, como por
exemplo a "criptografia quântica".
A primeira técnica utilizava apenas um algoritmo de decodificação. Assim, bastava o receptor do algo-
ritmo para decifrá-la, mas caso um intruso conhecesse esse mesmo algoritmo, ele poderia decifrar a
informações se interceptasse os dados criptografados. Hoje, entre as técnicas mais conhecidas há o
conceito de chaves, ou então chaves criptográficas, no qual um conjunto de bits baseado em um de-
terminado algoritmo é capaz de codificar e de decodificar informações.
Há dois tipos de chaves, a simétrica e a assimétrica, ou chave pública. Caso o receptor da mensagem
resolva usar uma chave incompatível com a chave do emissor, a informação não será compartilhada.
Há ainda outros conceitos envolvidos na área da criptografia, como a Função Hashing, usada em assi-
naturas digitais para garantir integridade, e as aplicações, como a certificação digital.
O avanço das técnicas de invasão e interceptação de dados forçou a consequente evolução da cripto-
grafia, que adotou codificações de 256, 512 e até 1024 bits. Isso significa que são geradas 21024com-
binações diferentes de chaves para cada mensagem enviada, sendo que apenas uma é correta, de
conhecimento apenas do emissor e do receptor.
Com a intenção de ajudar na defesa da liberdade individual nos Estados Unidos e no mundo inteiro,
Philip Zimmermman desenvolveu o PGP (Pretty Good Privacy) em 1991. Disponibilizado gratuitamente,
o PGP se tornou um dos meios de criptografia mais conhecidos, principalmente na troca de e-mails,
utilizando chaves assimétricas. O software pode realizar também um segundo tipo de criptografia atra-
vés de uma "chave de sessão" método que representa um tipo de chave simétrica.
CRIPTOGRAFIA
Consiste em cifrar um arquivo ou mensagem usando um conjunto de cálculos. O arquivo cifrado (ou
encriptado) torna-se incompreensível até que seja desencriptado. Os cálculos usados para encriptar
ou desencriptar o arquivo são chamados de chaves. Apenas alguém que tenha a chave poderá ler o
arquivo criptografado.
Existem basicamente dois sistemas de uso de chaves. No primeiro são usadas chaves simétricas, onde
as duas partes possuem a mesma chave, usada tanto para encriptar quanto para desencriptar os ar-
quivos. No segundo sistema temos o uso de duas chaves diferentes, chamadas de chave pública e
chave privada. A chave pública serve apenas para encriptar os dados e pode ser livremente distribuída,
a chave privada por sua vez é a que permite desencriptar os dados.
Neste sistema o usuário A, interessado em enviar um arquivo para o usuário B encriptaria o arquivo
utilizando a chave pública do usuário B, distribuída livremente, e ao receber o arquivo o usuário B
utilizaria sua chave privada, que é secreta para desencriptar o arquivo e ter acesso a ele. Ninguém
mais além do usuário B poderia ter acesso ao arquivo, nem mesmo o usuário A que o encriptou.
Existem vários níveis de criptografia e inclusive sistemas que utilizam vários níveis, encriptando várias
vezes o mesmo arquivo utilizando chaves diferentes. Em geral, quanto mais complexo, for o sistema,
mais seguro.
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
ASSINATURA E CERTIFICADO DIGITAL
Assinatura E Certificado Digital
Qual é a diferença entre assinatura eletrônica, assinatura digital e certificado digital?
Certificado digital é um arquivo eletrônico contendo um conjunto de informações que identificam um

agente.
Assinatura eletrônica é o gênero referente a todos os métodos utilizados para assinar um documento
eletrônico. É semelhante à assinatura no papel, porém no meio eletrônico. Para ter valor legal, a as-
sinatura eletrônica é composta por três elementos essenciais: comprovação da integridade do docu-
mento assinado, identificação e autenticação do autor da assinatura e registro da assinatura.
A Clicksign resguarda a integridade, autenticidade e não repúdio em contratações online. Foi desen-
volvida para reforçar a validade de documentos e assinaturas eletrônicas e é compatível com as prin-
cipais normas internacionais de assinatura eletrônica.
Assinatura digital é uma espécie de assinatura eletrônica, resultante de uma operação matemática
que utiliza criptografia e permite aferir a origem e a integridade do documento. A assinatura digital fica
de tal modo vinculada ao documento eletrônico, que caso seja feita qualquer alteração, a assinatura
se torna inválida.
Assinatura eletrônica x assinatura digital: você sabe quais as diferenças?
As transições em papel estão sendo eliminadas. A necessidade de fechar negócios de forma mais
segura e com a garantia de total monitoramento, armazenamento, aumentar o compliance e agilidade
fez surgir alternativas mais confiáveis para suprimir processos desnecessários, cortar custos e ampli-
ar lucros. Duas formas que surgiram para gerar economia e ampliar a confiança foram as assinaturas
eletrônica e digital.
Apesar de terem nomes similares e valor jurídico, elas não são a mesma coisa e nem são usadas
para os mesmos fins. Como parte fundamental da transformação digital de uma empresa, entender
como elas funcionam ajuda a aplicá-las da forma correta.
Assinatura Eletrônica
Este é o tipo mais comum de assinatura e é o mais utilizado no dia a dia. Qualquer pessoa pode as-
sinar qualquer tipo de documento eletronicamente com facilidade, rapidez e segurança. A DocuSign
oferece o serviço de Digital Transaction Management (DTM), categoria de software criada para ge-
renciar digitalmente transações com base em documentos, através da assinatura eletrônica de for-
mas variadas como token, SMS, GPS, usuário e senha, código, dentre outros. Recentemente, os
serviços prestados renderam a terceira colocação no ranking Cloud 100, da revista Forbes, como
uma das melhores empresas em nuvem.
Nas funções diárias, as assinaturas eletrônicas podem ser aplicadas nos mais variados tipos de do-
cumentos. Por possuírem valor jurídico, elas podem ser usadas para fechar contratos de aluguel,
seguros, planos de saúde, formulários de RH, contratos de compra e venda com fornecedores, assi-
natura de serviços como TV a cabo, operações bancárias, notificações jurídicas, contratação de pla-
nos de saúde, além de outras funcionalidades. A adoção deste formato agiliza a finalização das eta-
pas, além de garantir a integridade e autenticidade das partes.
Assinatura Digital
Para assinar digitalmente um documento, é necessário ter um certificado digital. O documento, que
desde julho deste ano é obrigatório para empresas com mais de cinco funcionários, pode ter validade
variando entre um e três anos, de acordo com a necessidade de cada negócio. O certificado é neces-
sário para uma série de procedimentos, como emitir a nota fiscal eletrônica (NF-e).
Dentre as opções oferecidas pela DocuSign, as assinaturas digitais podem ser feitas através de en-
dereço de e-mail, certificados digitais ICP Brasil, tokens certificados de selo de hora brasileira, conta
da DocuSign, Federado/SSO, código de acesso, SMS, telefone/voz, identificação social, identificação
de terceiro, Certificados digitais DocuSign e autenticação em pessoa. Esta assinatura pode ser apli-
cada em todo tipo de documento, mas a maioria deles não precisa deste tipo de autenticação, sendo
a assinatura eletrônica o suficiente para validar os contratos.
Um documento colocado na plataforma da DocuSign é criptografado e pode ser assinado tanto ele-
tronicamente quanto digitalmente, de acordo com a demanda. Todo o processo é registrado para
garantir a transparência e assegurar aos signatários de que todas as alterações feitas serão gravadas
em um histórico, impossibilitando que qualquer modificação seja ocultada. Desta forma, é mantida a
integridade em todas as fases. Ajudando a eliminar a burocracia, a utilização de papel e aumentando
a confiabilidade nos processos que envolvem a administração de uma empresa, as assinaturas ele-
trônica e digital são a aposta certa para quem quer eliminar custos.
Com o rápido avanço tecnológico da atualidade, as tecnologias envolvidas nas criações de assinatu-
ras eletrônicas continuam evoluindo para garantir a segurança dos usuários, sejam empresas ou pes-
soas físicas. As formas criptográficas, cada vez mais complexas, asseguram que a autenticidade dos
documentos seja ratificada. Além disso, a legislação nacional exige a certificação pela ICP-Brasil a
fim de aumentar a qualidade do serviço e garante que a DocuSign está de acordo com todas as de-
mandas de atuação. Com o crescimento da procura por ambas as ferramentas, a necessidade de
evitar fraudes e garantir que quem utiliza terá acesso a um recurso confiável e permanente fica cada
vez maior e segue sendo prioridade.
Assinatura eletrônica e assinatura digital são a mesma coisa?
Com certeza você já deve ter ouvido algo sobre os termos assinatura eletrônica e assinatura digi-
tal. Este assunto está se tornando comum nas empresas que buscam praticidade, segurança e lega-
lidade nas informações.
Se olharmos para a terminologia das palavras eletrônica e digital, elas parecem sinônimos, mas na
verdade não são. E aí surgem as dúvidas. Qual a diferença entre elas? Qual a segurança? Como
compará-las entre si e decidir qual é a melhor opção para o seu caso? Vamos explicar a diferença
que existe entre os dois termos e fazer uma análise do que se trata cada um deles.
Diferença Entre Assinaturas
Assinatura eletrônica é o termo utilizado para qualquer tipo de assinatura em meio eletrônico, en-
quanto a assinatura digital é uma das espécies do gênero assinatura eletrônica. Para facilitar a com-
preensão, podemos considerar que a assinatura eletrônica é uma floresta com vários tipos de árvo-
res, enquanto a assinatura digital é uma das espécies de árvore desta floresta.
No contexto da formalização digital a característica mais importante que se deve identificar entre as
espécies de assinatura é a eficácia probatória, que se trata da capacidade que se tem de provar que
uma determinada assinatura foi feita pela pessoa que se diz ser. Esta característica é a base para
entendermos melhor as diferenças de cada tipo de assinatura eletrônica, alguns exemplos de assina-
tura eletrônica:
Senha: Código secreto previamente acordado entre as partes como forma de reconhecimento. Utili-
zado fortemente em transações bancárias de todos os níveis.
Assinatura digitalizada: É a reprodução da assinatura de próprio punho como imagem (grafia) obtida
por um equipamento tipo escâner. Dica Importante: Não confunda assinatura eletrônica digitalizada,
com assinatura digitalizada, que é quando uma pessoa assina um documento fisicamente e depois
digitaliza o mesmo tornando-o eletrônico. Esse tipo de assinatura só tem validade no papel, apresen-
tando o documento original assinado, ou seja, não tem valor nenhum no meio eletrônico.
Assinatura digital: Como o próprio nome diz, serve para assinar qualquer documento eletrônico. Tem
validade jurídica inquestionável e equivale a uma assinatura de próprio punho. É uma tecnologia que
utiliza a criptografia e vincula o certificado digital ao documento eletrônico que está sendo assinado.
Assim, dá garantias de integridade e autenticidade.
Com ela, sua empresa ou o seu departamento elimina o processo manual de coleta de assinaturas, a
remessa física de documentos, o reconhecimento de firmas e a gestão de documentos físicos, redu-
zindo custos, simplificando os processos e agilizando substancialmente a formalização dos documen-
tos.
A validade legal da assinatura digital é garantida pelo artigo 10 da MP nº 2.200-2, que instituiu a In-
fraestrutura de Chaves Públicas Brasileiras (ICP-Brasil), conferindo veracidade jurídica em relação as
assinaturas nas declarações constantes dos documentos em forma eletrônica.
É importante ressaltar que entre todas as espécies de assinatura eletrônica, as legislações mundo
afora escolheram apenas a assinatura digital (Infraestrutura de Chaves Públicas) como substituto
legal da assinatura de próprio punho.
As Características Inerentes À Assinatura Digital
Quando falamos em assinatura digital, quatro tópicos se fazem importantes, sendo:
Autoria: é garantida pelo uso da certificação digital; Certificação digital é o ato de autenticar e com-
provar não só a autoria de um documento digital, mas também o seu teor.
Integridade: qualquer alteração no documento eletrônico faz com que a assinatura seja invalidada,
garantindo assim o princípio da inalterabilidade.
Autenticidade: o autor da assinatura digital utiliza sua chave privada para cifrá-lo de modo a garantir a
autoria em um documento eletrônico. Esta autenticidade só é obtida porque a chave privada é aces-
sível exclusivamente por seu proprietário.
Não-repúdio ou Irretratabilidade: quando uma pessoa assina digitalmente, utiliza sua chave privada
para cifrar o documento. Assim, ela é impedida de negar a autenticidade da mensagem.
Estes 4 itens de integridade são garantidos pelo software de Gestão de Documentos da Digitaldoc,
que além de realizar a gestão eletrônica de documentos, ainda conta com a funcionalidade de assinar
documentos pelo sistema utilizando um certificado digital A1 ou A3. Abaixo é possível ver o fluxo da
assinatura digital proporcionado pelo software de Gerenciamento Eletrônico de Documentos Digital-
doc.
Certificado digital A1: é o arquivo digital gerado e armazenado no próprio computador pessoal do
usuário, com validade de 1 ano. Não necessita de token ou cartão. É instalado no computador do
usuário.
Certificado digital A3: disponível em token ou cartão, pode ser utilizado em qualquer computador, com
validade de 1 a 3 anos.
Quer saber mais sobre organização documental, assinatura digital e eletrônica de documentos?
Acesse nosso site e fale com nossos especialistas!
Assinatura Eletrônica é o gênero para designar todas as espécies de identificação de autoria de do-
cumentos ou outros instrumentos elaborados por meios eletrônicos, enquanto a assinatura digital é
uma das espécies do gênero assinatura eletrônica. Como analogia, podemos considerar que a assi-
natura eletrônica diz respeito à floresta com os seus vários tipos de árvores, enquanto a assinatura
digitaldiz respeito a uma das espécies de árvore desta floresta.
No contexto da formalização digital a característica mais importante que se deve identificar entre as
espécies de assinatura é a força probante ou eficácia probatória que é a capacidade que se tem de
provar que uma determinada assinatura foi feita pela pessoa que se diz ser.
Esta característica é a base para entendermos melhor as diferenças de cada tipo de assinatura ele-
trônica, alguns exemplos:
Senhas Código secreto previamente acordado entre as partes como forma de reconhecimento.
Assinatura digitalizada É a reprodução da assinatura de próprio punho como imagem (grafia) obtida
por um equipamento tipo escâner.
Aceite Digital É um acordo em forma digital. Pode ser um “clique no botão, De Acordo, Confirmar,
etc.”, o que significa uma concordância aos termos de um documento.
Assinatura Digital Resultado de uma operação matemática que utiliza algoritmos de criptografia assi-
métrica (padrão x509 v3) que permite aferir com segurança a autoria e não repúdio da assinatura e a
integridade do documento.
A espécie senha é largamente utilizada pela maioria das pessoas para operações bancárias e aces-
sos a diversas fontes de informação, aplicativos e outros. Devido a maior facilidade de memorização,
elas normalmente não são complexas, são repetidas para vários acessos, o que as tornam mais sus-
cetíveis a fraude. Ainda assim, comparativamente, a senha tem maior eficácia probatória do que a
espécie assinatura digitalizada, uma vez que esta última é meramente uma representação gráfica de
uma assinatura de próprio punho e, portanto, de fácil reprodução.
A espécie Aceite Digital, largamente utilizado no meio eletrônico, é decorrente da ação de “clicar em
um botão de aceitar, OK ou similar”, onde se concorda com os termos e condições de um serviço ou
produto proposto. Um exemplo são os aplicativos em dispositivos móveis que condicionam o downlo-
ad à concordância de utilização de seus dados e outros recursos do dispositivo.
Na medida em que se obtém evidências técnicas do momento e local do ato do aceite digital, como a
temporalidade, IP e outras informações que criam evidências de autoria também, aumenta-se a eficá-
cia probatória.
Contudo, estas espécies possuem menor nível de comprovação de autoria (eficácia probatória) se
comparadas à assinatura digital.
A assinatura digital (padrão x509 v3) utiliza o conceito de criptografia assimétrica que é composto por
um par de chaves criptográficas (pública e privada) que se complementam entre si. A chave privada,
que é de posse e responsabilidade exclusiva de seu proprietário, é utilizada para assinar digitalmente
um documento eletrônico e a chave pública é utilizada por qualquer pessoa para comprovar a autoria
da assinatura.
Podemos afirmar que entre todas as espécies de assinatura eletrônica, as legislações mundo afora
escolheram apenas a assinatura digital (Infraestrutura de Chaves Públicas, (2)) como substituto legal
da assinatura de próprio punho.
O Brasil possui uma legislação específica desde 2001 que instituiu a Infraestrutura de Chaves Públi-
cas Brasileira (ICP-Brasil) e equiparou a assinatura digital à assinatura de próprio punho (o art.10, §
1º, da Medida Provisória 2.200-2 de 24 de agosto de 2001,).
As características inerentes à assinatura digital são: autoria, não repúdio e integridade:
Autoria é garantida pelo uso da certificação digital: “Certificação digital é o ato de autenticar e com-
provar não só a autoria de um documento digital, mas também o seu teor. Esse ato se concretiza por
meio de um programa informático que funciona como uma espécie de chave eletrônica codificada
(criptografada), que é fornecida para os usuários por entidades credenciadas (Autoridades Certifica-
doras) que no Brasil compõem a ICP-Brasil (Infraestrutura Brasileira de Chaves Públicas). “ (Fonte
ITI)
Não Repúdio: “No âmbito da ICP-Brasil, a assinatura digital possui autenticidade, integridade, confia-
bilidade e não repúdio – seu autor não poderá, por forças tecnológicas e legais, negar que seja o
responsável por seu conteúdo. ” (Fonte ITI)
Integridade: O documento eletrônico é submetido à chave criptográfica do certificado digital criando

assim uma vinculação entre o documento e o signatário (proprietário do certificado digital).
Desta forma, caso seja feita qualquer alteração no documento, a assinatura se torna inválida. A técni-
ca permite não só verificar a autoria do documento, como estabelece também uma “imutabilidade
lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de
mais um espaço entre duas palavras, invalida a assinatura”.
Estas características somadas à legislação e políticas da Infraestrutura de Chaves Públicas Brasileira,

torna a assinatura digital realizada com o certificado padrão ICP- Brasil a mais segura forma de assi-
nar documentos eletrônicos no Brasil.
Diante dos diferentes graus de eficácia probatória entre as diversas espécies de assinatura eletrôni-
ca, cabe a cada um avaliar os riscos e escolher a melhor solução para cada caso.
Assinatura Digital: Utilização Dos Certificados Digitais
Para definirmos o que é assinatura digital, precisamos primeiro compreender o que é uma assinatura
eletrônica. Segundo o documento Visão Geral sobre Assinaturas Digitais na ICP-Brasil (DOC-ICP-15):
“Uma assinatura eletrônica representa um conjunto de dados, no formato eletrônico, que é anexado
ou logicamente associado a um outro conjunto de dados, também no formato eletrônico, para confe-
rir-lhe autenticidade ou autoria.
A assinatura eletrônica, portanto, pode ser obtida por meio de diversos dispositivos ou sistemas, co-
mo login/senha, biometria, impostação de Personal Identification Number (PIN) etc.
Um dos tipos de assinatura eletrônica é a assinatura digital, que utiliza um par de chaves criptográfi-
cas associado a um certificado digital. Uma das chaves – a chave privada – é usada durante o pro-
cesso de geração de assinatura e a outra – chave pública, contida no certificado digital – é usada
durante a verificação da assinatura.”
A Assinatura Digital é, portanto, um tipo específico de assinatura eletrônica que possui grande robus-
tez. Por esse motivo, a MP 2.200-2 dá presunção de legitimidade a esse tipo de assinatura:
Art. 10º Consideram-se documentos públicos ou particulares, para todos os fins legais, os documen-
tos eletrônicos de que trata esta Medida Provisória.
1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de

processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos
signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 – Código Civil.
Ciclo De Vida
A Assinatura Digital possui um ciclo de vida, que é composto das seguintes fases, segundo o DOC-
ICP-15 [BRASIL, 2012c]:
Criação – processo de criação de um resumo criptográfico logicamente associado a um conteúdo

digital e a chave criptográfica privada do signatário;
Verificação Inicial – processo de verificação quanto à validade de uma ou mais assinaturas digitais
logicamente associadas a um conteúdo digital;
Armazenamento – processo que trata da guarda da assinatura digital. Compreende, pelo menos,
cuidados para conversão dos dados para mídias mais atuais, sempre que necessário;
Revalidação – processo que estende a validade do documento assinado, por meio da reassinatura
dos documentos ou da aposição de carimbos do tempo, quando da expiração ou revogação dos certi-
ficados utilizados para gerar ou revalidar as assinaturas, ou ainda quando do enfraquecimento dos
algoritmos ou tamanhos de chave utilizados.
Verificação Final Ou Litígio
Para Blanchette [BLANCHETTE, 2006], existe ainda mais uma etapa do ciclo de vida da assinatura
digital: a Verificação Final ou Litígio, na qual o documento é apresentado como evidência para um juiz
e a assinatura é novamente verificada, para se obter informações sobre a identidade do signatário e a
integridade do documento.
A Verificação Inicial pode ocorrer segundos, minutos ou dias depois da etapa de Criação, ao passo
que a Verificação Final pode acontecer anos depois da criação da assinatura, e já no contexto de um
documento arquivado.
Uma pergunta que se impõe é: como fazer a Verificação Final da assinatura no longo prazo, depois
de expirado o certificado digital utilizado em sua criação?
Este é um assunto que vem sendo estudado em todo o mundo. Na ICP-Brasil, um passo importante
para que se realize uma verificação final confiável foi a criação dos Padrões Brasileiros de Assinatura
Digital, que permitem a guarda, de forma estruturada, de todos os dados que serão necessários para
a verificação da assinatura no longo prazo.
Nos próximos artigos vamos estudar quais são os padrões brasileiros de assinatura e como eles po-
dem contribuir para manter a validade jurídica de um documento assinado digitalmente, mesmo de-
pois de expirado o certificado digital utilizado na criação da assinatura.
Utilização Da Assinatura Digital
Assinar um documento eletrônico com uma assinatura digital é um processo de dois passos: o arqui-
vo de computador que contém o documento eletrônico é primeiramente submetido a um algoritmo de
embaralhamento com perda, o que produz um valor conhecido por hash ou resumo criptográfico. Na
segunda etapa, esse hash é então cifrado com a chave privada do signatário. O resultado dessa ope-
ração é a assinatura digital, que se constitui em um objeto digital separado do documento eletrônico
em si, mas que fica associado a ele, para futura validação.
O documento eletrônico, juntamente com a assinatura digital, é apresentado para a terceira parte,
que confirma sua validade ao decifrar a assinatura digital com a chave pública do signatário, obtida
no certificado digital. O resultado da decifração é o valor hash do documento eletrônico, conforme
gerado pelo signatário. A seguir, a terceira parte realiza, ela própria, um novo cálculo do va-
lor hash do documento e o compara com o valor hash que recebeu junto com o documento. Se forem
iguais, significa que o documento eletrônico está íntegro e que é possível identificar o signatário por
meio do certificado digital. Caso contrário, a assinatura digital é inválida.
Por si só, uma assinatura digital não diz nada sobre a verdadeira identidade do signatário. Para a
verificação de uma assinatura digital, a ligação entre o signatário e sua chave pública deve ser evi-
denciada a partir de um certificado digital. Na ICP-Brasil, o certificado digital deve ser criado por uma
autoridade certificadora credenciada, o que lhe confere um alto grau de confiabilidade.
Chave Pública
O certificado digital contém a chave pública e informações sobre a identidade do titular do certificado
(proprietário da chave), o período de validade, o algoritmo de assinatura, o número de série do certifi-
cado e o nome da autoridade certificadora, entre outras informações. Os certificados digitais têm um
prazo de validade limitado, mas também podem ser revogados antes do término desse período. O
titular do certificado pode pedir a revogação do certificado em diversas situações, como roubo ou
perda da chave privada, alteração nas informações contidas no certificado etc.
Para permitir que se verifique a confiabilidade dos certificados de titulares finais, eles são assinados
com a chave privada da autoridade certificadora. Para verificar se a assinatura realizada pela autori-
dade certificadora é válida, deve-se obter sua chave pública. Essa chave pública, por sua vez, está
contida num certificado digital, emitido por outra autoridade certificadora de nível mais alto, que o
assina digitalmente. Esse processo se repete até chegar-se a um certificado auto assinado, emitido
por uma AC considerada confiável. No caso da ICP-Brasil, essa entidade é a AC-Raiz, operada pelo
Instituto Nacional de Tecnologia da Informação (ITI).
Assim, para a verificação de uma assinatura digital, é necessária a validação de toda uma cadeia de
entidades. Não é suficiente apenas arquivar o documento e a assinatura digital, se se deseja validar
um documento eletrônico assinado digitalmente, no futuro. Isso significa que, além dos processos de
assinatura, é necessário realizar ações complementares, tais como obter de carimbos de tempo para
confirmar o momento da assinatura, anexar todos os certificados da cadeia e as respectivas LCRs
etc.
Documentos assinados digitalmente têm, muitas vezes, uma vida muito maior do que as chaves crip-
tográficas e as tecnologias empregadas na geração da assinatura digital. Isso ocorre porque a valida-
de das chaves é intencionalmente curta, uma vez que elas podem ser comprometidas. Podem tam-
bém, futuramente, ser descobertos métodos de criptoanálise que permitam obter com facilidade a
chave privada, a partir da chave pública correspondente [STAPLETON, 2005]. Como verificar, daqui a
uma dezena de anos, se o certificado digital correspondente à chave privada que assinou o documen-
to não estava expirado ou revogado, no momento da assinatura? Ou ainda, como precisar o momen-
to em que foi realizada a assinatura?
Para tentar solucionar essa questão, podem ser utilizados carimbos do tempo, que registram data e
hora no resumo criptográfico (hash) do documento digital e/ou da assinatura digital. Essa medida,
todavia, remete de volta à questão inicial, uma vez que o carimbo do tempo é, ele mesmo, um conjun-
to de dados assinado digitalmente. Como provar, daqui a dezenas de anos, que a chave privada da
Autoridade de Carimbo do Tempo não foi comprometida, ou que o carimbo não foi forjado, de alguma
maneira, dada a evolução tecnológica dos computadores e o avanço na solução de problemas mate-
máticos hoje insolúveis?
Para responder a essas questões, foram criados, na ICP-Brasil, os padrões brasileiros de assinatura
digital, a partir da publicação, em 2008, dos regulamentos:
DOC-ICP-15 – Visão Geral Sobre Assinaturas Digitais na ICP-Brasil
DOC-ICP-15.01 – Requisitos Mínimos para Geração e Verificação de Assinaturas Digitais na ICP-

Brasil
DOC-ICP-15.02 – Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil
DOC-ICP-15.03 – Requisitos das Políticas de Assinatura Digital na ICP-Brasil
Assinatura Digital E Assinatura Digitalizada São A Mesma Coisa?
Em um mundo no qual informações sigilosas são enviadas cada vez mais através de meios eletrôni-
cos, é fundamental que novas formas de segurança sejam utilizadas para que a mensagem chegue
até o seu destinatário com total integridade.
Para os mais leigos, um método simples seria utilizar a assinatura de próprio punho, também conhe-
cida como assinatura digitalizada. Por outro lado, usuários mais avançados utilizam a assinatura digi-
tal, uma solução adotada por empresas e indivíduos que precisam enviar e receber documentos com
validade jurídica dentro do meio virtual.
As pessoas acabam fazendo certa confusão com todos esses termos. Qual o mais eficiente? Como
posso fazer para utiliza-lo? No artigo de hoje pretendemos simplificar todas essas termologias e en-
tender as diferenças entre assinatura digital e assinatura digitalizada. Vamos lá?
Denominação
Apesar de nomes razoavelmente semelhantes, na prática, essas atividades não têm nada a ver uma
com a outra. Quando alguém faz uma assinatura digitalizada, está basicamente escrevendo sua assi-
natura a punho em um papel e a digitalizando através de uma câmera fotográfica digital ou aparelho
do tipo scanner. Como esse método pode ser facilmente copiado, ele não possui nenhum valor jurídi-
co. Basta imaginar a situação em que uma pessoa má intencionada poderia copiar a assinatura de
uma pessoa e inseri-la em outro documento. Segurança zero.
Por outro lado, quando falamos sobre a assinatura digital, colocamos em pauta uma forma muito efi-
ciente de garantir integridade de documentos, além de total valor jurídico. Eles funcionam da seguinte
forma: através do uso de criptografia, o documento carrega uma validação digital de que foi emitido
pelo proprietário/emitente original e que pode ser oficialmente aberta apenas pelo destinatário – que
recebe autorização para tal. Caso o documento seja alterado de alguma forma antes de chegar ao
seu destino, seja a troca de uma palavra ou a adição de um simples espaço entre palavras, ele perde
a sua validade.
Utilizando A Assinatura Digital
Para utilizar uma assinatura digital, é necessário que o indivíduo possua uma certificação digital, ou
e-CPF, processo esse que passa a ser a sua identidade virtual. Com esse certificado, ele passa a ser
capaz de enviar e receber documentos de forma rápida e segura através da internet. Abaixo infor-
mamos o que é necessário para conseguir emitir uma assinatura digital.
Certificado Digital
É um documento eletrônico que agrega diversos dados sobre o emissor de um documento e o seu
titular (imagine aqui uma empresa e o seu representante legal). A função desse certificado é fazer a
ligação de uma pessoa ou empresa a uma chave pública de identificação. Se a pessoa pretende ad-
quirir uma certificação digital, ela deve procurar uma Autoridade de Registro onde deve apresentar
uma série de documentos pessoais, como carteira de identidade, CPF, título de eleitor, etc. É impor-
tante salientar que não é possível o uso de representantes, mesmo que utilizando procuração. Como
essa é a nova identificação eletrônica de uma pessoa, ela própria precisa estar presente no ato de
criação.
Certificação ICP-Brasil
Estamos falando aqui da Infraestrutura de Chaves Públicas Brasileiras, uma cadeia que emite e con-
trola a emissão de certificações digitais de forma a identificar o cidadão eletronicamente. Essa certifi-
cação é extremamente necessária, já que sem ela a pessoa não consegue utilizar uma assinatura
digital. Ligado ao Instituto Nacional de Tecnologia da Informação (ITI), uma autarquia federal vincula-
da à Casa Civil, esse órgão tem o poder de registrar e desvincular os participantes de toda a cadeia
de registros.
Quando desejar utilizar uma assinatura digital, não deixe de checar se a certificadora que você está
utilizando é realmente credenciada no ICP-Brasil para emitir certificados.
Assinatura Eletrônica
A assinatura eletrônica é o termo utilizado para entender todo o método eletrônico de assinatura,
podendo ser válido juridicamente, ou não. Ou seja: você pode estar falando tanto de assinatura digital
e de assinatura digitalizada, ambas se enquadram como uma assinatura eletrônica. Se esse termo
passar na sua frente, fique atento aos nomes, pois mesmo que parecidos, têm significados comple-
tamente diferentes.
Como As Empresas Podem Se Resguardar
Todas as empresas estão suscetíveis a uma série de perigos nos dias de hoje. Estamos falando de
golpes financeiros capazes de pegar de surpresa os funcionários mais desatentos. É preciso lembrar
do valor simbólico de um documento carregando a assinatura do presidente de empresa, mas que na
verdade pode estar disfarçando um golpe bem certeiro de pessoas má intencionadas.
Graças à assinatura eletrônica e à certificação digital, essas surpresas diminuem drasticamente, já

que a segurança dos documentos gerados e recebidos entra em um novo nível. Com a adoção de
novos métodos eletrônicos por parte das empresas, se reduz (e muito) as chances de documentos
impressos e sigilosos passarem nas mãos de pessoas que não deveriam. Sem falar que as chances
de se perderem por aí se reduzem a zero.
Identificações Digitais
Em alguns casos, uma pessoa pode começar a fazer um uso mais constante de mensagens assina-
das digitalmente e, dependendo do tipo de trabalho, o processo pode ser um pouco cansativo. De
forma a facilitar o dia a dia, pode ser uma boa alternativa começar a fazer uso de e-mails e navegado-
res web que ofereçam identificação digital. Dessa forma, a sua identificação fica automática e muito
mais fácil. Seria como utilizar a internet normalmente, com a vantagem de que todas as suas ativida-
des (corporativas ou não) já estejam assinadas.
Como você pôde ver, quando falamos sobre assinatura digitalizada e assinatura digital, as semelhan-
ças ficam apenas no nome, já que os processos são totalmente diferentes, bem como o nível de se-
gurança. Não deixe de adotar o uso de uma assinatura digital para a sua empresa ou mesmo peque-
no negócio. Estamos falando não apenas de uma forma de agilizar processos, mas na segurança dos
seus documentos, principalmente com o aumento de transações em meios eletrônicos.
Vale lembrar que a assinatura digital diminui muito a produção de papel junto a elaboração de docu-
mentos, o que não deixa de ser uma boa ajuda para o meio ambiente e uma nova bandeira defendida
pelo seu negócio.
Certificado Digital: Principais Riscos E Cuidados De Uso
O certificado digital é uma assinatura com validade jurídica que garante as transações eletrônicas e
outros serviços realizados pela internet. Essa assinatura permite que empresas e pessoas físicas
sejam identificadas digitalmente de qualquer lugar do mundo, de forma inequívoca e segura.
Ele possui o nome, um número público que é exclusivo (denominada chave pública) e outras informa-
ções que comprovam e identificam o seu dono para o sistema. As principais utilizações de certificado
digital para empresas são:
Assinar e enviar documentos através da internet;
Assinar NFe, CTe e MDFe;
Enviar declarações de Imposto de Renda para a Receita Federal;
Logar-se em sites seguros;
Realizar transações bancárias;
Assinar escriturações fiscais e contábeis.
Todas as pessoas jurídicas estão obrigadas a utilizar certificado digital válido, para a apresentação de
declarações e de demonstrativos de fatos geradores anteriores à Receita Federal, com exceção da-
quelas optantes pelo regime fiscal do Simples Nacional.
Uma das grandes vantagens do certificado digital é sua praticidade, pois basicamente é um arquivo
digital e permite transações online.
Além disso, ele é validado por uma autoridade certificadora (integrante da ICP-Brasil, como Serasa e
Certisign), o que faz com que a identidade do portador seja criptografada e acessada somente por
softwares especializados. Os certificados podem ser divididos em tipos, dependendo da forma como
serão usados.
Abordaremos alguns riscos e cuidados de uso, como perda do certificado digital, para que você saiba
como agir em cada situação:
1) Perda Do Certificado Digital
Primeiramente, é comum ocorrer a perda do certificado digital. Mas, ao acontecer isso, é necessário
revogá-lo imediatamente.
Entre em contato com a autoridade certificadora responsável pela emissão do certificado e comuni-
que a perda.
Dependendo da autoridade certificadora responsável pela emissão, é possível fazer a revogação do

cartão pela internet.
Importante: é necessário revogar o certificado também se for necessária a alteração de qualquer in-
formação constante no mesmo, roubo, comprometimento do dispositivo ou acesso suspeito.
2) Certificado Digital Clonado
Há risco de uma pessoa com acesso às senhas ou tokens do certificado da empresa realizar contra-
tos ou transações bancárias em nome do titular do certificado sem autorização.
Ou ainda, utilizar de forma indevida o certificado digital da empresa para fornecer informações inverí-
dicas à órgãos tributários e cometer fraudes, gerando riscos e responsabilização da empresa e seus
administradores.
A legislação brasileira estabelece que: declarações constantes dos documentos eletrônicos produzi-
dos a partir de um certificado digital (ICP-Brasil) são tidos como verdadeiros em relação aos assinan-
tes.
A empresa e seus administradores podem ter bastante dificuldade para se isentar das responsabili-
dades e obrigações decorrentes da utilização indevida de seu certificado digital.
A guarda do certificado digital e o que for assinado por ele é responsabilidade do titular conforme art.
10, § 1o, da Medida Provisória no 2.200-02, de 24/8/2001.
Neste caso, apesar de a empresa poder não conseguir se isentar da responsabilidade, ela ainda po-
de informar a autoridade certificadora que emitiu o certificado e revogá-lo.
3) Inutilização Do Certificado Digital
A seguir falaremos sobre a inutilização dos certificados tipo A1 e A3, que são os mais comuns entre
empresas. Veja:
O Certificado Digital A3 será inutilizado nas situações abaixo:
Após três tentativas incorretas de digitação do PIN, seguido de três tentativas incorretas de digitação
do PUK;
Esquecimento do PIN e do PUK;
Perda do cartão inteligente;
Formatação do cartão inteligente;
Apagamento da chave privada.
O Certificado Digital A1 será inutilizado nas situações abaixo:
Apagamento da chave primária;
Formatação do disco rígido.
4) Renovação Do Certificado Digital
A renovação nada mais é que uma atualização do Certificado Digital por meio de uma nova emissão.
Os dados informados no Certificado Digital a ser renovado devem ser os mesmos ativos na Receita
Federal do Brasil.
A recomendação é que a solicitação da renovação seja feita com 45 dias de antecedência. Caso a
empresa queira aproveitar ao máximo os últimos dias de validade do Certificado Digital a ser renova-
do, é possível realizar todo o processo de renovação e emitir o novo Certificado Digital somente pró-
ximo à data de expiração.
Mesmo que o Certificado Digital esteja expirado, o titular deve iniciar o processo de renovação e in-
formar que está expirado.
Quem Pode Revogar E Renovar O Certificado Digital
Esse processo depende da autoridade que emitiu o certificado, mas é interessante que seja o titular
do certificado ou, no caso de uma empresa, um funcionário ou servidor. Além da própria autoridade
certificadora responsável por sua emissão.
Cuidados Ao Lidar Com Certificados Digitais
A chave privada não deve ser deixada em locais públicos, pois ela funciona como uma espécie de
senha pessoal. Se alguém obtiver a chave privada, essa pessoa poderá se passar pelo dono do certi-
ficado em transações na internet.
Em casos nos quais os prestadores de serviços precisam transmitir informações em nome de uma
empresa para a Receita Federal, o administrador não precisa disponibilizar a chave privada.
Baixar XML Sem Certificado Digital, Atenção Aos Riscos
Baixar Notas Fiscais sem a presença do certificado digital, precisa de uma atenção extra pois, é im-
portante garantir a validade jurídica do seu documento fiscal. Muitos softwares criam um XML falso,
usando apenas as informações básicas da NFe.
Com o Arquivei, é necessária a presença do Certificado Digital, apesar da consulta ser feita sem a
necessidade da chave de acesso, a plataforma conecta-se direto a Secretaria da Fazenda, garantin-
do a validade jurídica. Teste gratuitamente a plataforma do Arquivei.
Portanto, não exponha seu certificado em qualquer site da internet, mas também não exponha seus
dados de documentos fiscais.
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
CONTROLE DE ACESSO
Controle de Acesso
Autenticação
Autenticação por meio mais comum, acesso com usuário e senha.
Autenticação é um processo que busca verificar a identidade digital do usuário de um sistema no mo-
mento em que ele requisita um login (acesso) em um programa ou computador. O processo é reali-
zado por meio de comparação das credenciais apresentadas pelo usuário com outra já pré definidas
no sistema. A autenticação em regra, depende de um ou mais modos ou fatores de autenticação a
seguir:
Algo que o usuário é: geralmente são usados meios biométricos, como impressão digital, padrão de
retina, padrão de voz, reconhecimento de assinatura ou reconhecimento facial.
Algo que o usuário tem: usa-se objetos específicos como cartões de identificação, smart cards, to-
kens ou USB.
Algo que o usuário conhece: são utilizadas senhas fixas, one-time passwords, sistemas de desafio-
resposta.
Onde o usuário está: quando o acesso a sistemas só pode ser realizado em uma máquina específica,
cujo acesso é restrito.
Autorização
A autorização verifica as credenciais do usuário e verifica qual recursos estão liberados.
Esse processo ocorre após a autenticação e tem a função de diferenciar os privilégios atribuídos ao
usuário que foi autenticado. Os atributos de autorização normalmente são definidos em grupos manti-
dos em uma base de dados centralizada. Sendo que cada usuário herda as características do grupo
que ele pertence.
CONTROLE DE ACESSO
Auditoria
Auditoria armazenas todas as alterações que o usuário faz no sistema.
Esse processo ocorre a todo o momento que o usuário está autenticado no sistema, pois ela coleta
informações sobre a atividade do usuário e as envia para o servidor de autenticação, esse processo é
realizado por meio de um equipamento na rede que implementa uma política de acesso (accounting
client).
A arquitetura AAA (Autenticação, Autorização e Auditoria) define uma forma estrutura para integração
dessas três funcionalidades. Então podemos resumir os protocolos desta forma:
Autenticação: Tem a função de responder a questão “Quem é o usuário?”.

Autorização: Tem a função de definir o que o usuário já autenticado tem permissão para fazer.
Auditoria: Está relacionado com a questão “o que o usuário fez”.
Controle de Acesso Baseado em Papéis
Controle de Acesso Baseado em Papeis—RBAC
O conceito de controle de acesso baseado em papeis (role-based access control—RBAC) surgiu com
os primeiros sistemas computacionais multiusuários interativos, no inıcio da década de 70. A ideia cen-
tral do RBAC e que permissões de acesso são associadas a papeis, e estes papeis s ´ ao associados
a usuários. Papeis são criados de acordo com os diferentes cargos ou funções em uma organização,
e os usuários são associados a papeis de acordo com as suas responsabilidades e qualificações. Os
usuários podem ser facilmente remanejados de um papel para outro. Mudanças no ambiente compu-
tacional, como instalação de novos sistemas e remoção de aplicações antigas, modificam apenas o
conjunto de permissões atribuídas aos diferentes papeis, sem envolver diretamente o conjunto de usu-
ários.
O gerenciamento de acesso para recursos de nuvem é uma função crítica para qualquer organização
que esteja usando a nuvem. O controle de acesso baseado em funções (RBAC) ajuda a gerenciar
quem tem acesso aos recursos do Azure, o que pode fazer com esses recursos e a quais áreas tem
acesso.
O RBAC é um sistema de autorização baseado no Azure Resource Manager que fornece gerencia-
mento de acesso refinado dos recursos do Azure.
O que posso fazer com o RBAC?
Aqui estão alguns exemplos do que você pode fazer com o RBAC:
• Permitir que um usuário gerencie máquinas virtuais em uma assinatura e outro usuário gerencie redes
virtuais
• Permitir que um grupo de DBA gerencie bancos de dados SQL em uma assinatura
CONTROLE DE ACESSO
• Permitir que um usuário gerencie todos os recursos em um grupo de recursos, como máquinas virtu-
ais, sites e sub-redes
• Permitir que um aplicativo acesse todos os recursos em um grupo de recursos
Melhor prática para uso do RBAC
Com o RBAC, você pode separar as tarefas dentro de sua equipe e conceder somente a quantidade
de acesso que os usuários precisam para realizar seus trabalhos. Em vez de apresentar todos irrestrito
permissões em sua assinatura do Azure ou recursos, você pode permitir apenas determinadas ações
para um escopo específico.
Ao planejar sua estratégia de controle de acesso, uma melhor prática é conceder aos usuários o privi-
légio mínimo para realizarem seus trabalhos. O diagrama a seguir mostra um padrão sugerido para o
uso de RBAC.
Autenticação Forte
A autenticação de dois fatores (2FA) é um tipo de autenticação multi-fator que verifica um usuário com
base em algo que ele têm e algo que ele sabe.
O método mais popular de 2FA atualmente em uso é o código do token, que gera um código de auten-
ticação em intervalos fixos. Geralmente, o usuário informa o seu login e sua senha mais o código gerado
no token.
O suporte para 2FA está aumentando pois prestadores de serviços e instituições bancárias veem o
benefício na prestação de um método de autenticação mais forte para os clientes.
Por exemplo, a Apple lançou recentemente o iOS 9 e o OSX El Capitan com suporte para autenticação
de dois fatores e o Windows 10 já possui suporte nativo para dois fatores.
É importante distinguir a diferença entre autenticação de dois fatores e autenticação em dois passos,
pois os termos tendem a ser confundidos, apesar das diferenças significativas:
1. Autenticação de dois fatores: Algo que o usuário possui (um código de token) e algo que ele sabe
(uma senha ou PIN.) Este é um verdadeiro método de autenticação multi-fator.
2. Autenticação em dois passos: Algo que o usuário sabe (uma senha ou PIN) e algo que o usuário-
possui (um código de um tempo enviado para um telefone inteligente via SMS ou a uma conta de e-
mail). O código enviado para o utilizador é considerado uma credencial. Existem problemas comcódi-
gos enviados via SMS pois são vulneráveis a ataques. Códigos enviados via e-mail também pode
ser bisbilhotados via spyware, por exemplo.
As empresas têm utilizado 2FA durante anos como uma solução segura para os funcionários acessa-
rem recursos, seja para acesso remoto via VPN ou voltado para o público nos servidores de e-mail.
Agora considere alavancar sua solução de dois fatores existente como um método de autenticação
para o acesso administrativo para ambientes críticos.
O uso da autenticação de fator único para acesso de administrador em sistemas sensíveis, proporciona
um vetor de ataque extremamente amplo em toda a empresa.
Vamos usar um exemplo: um invasor obtém uma de suas credenciais de administrador de fator único,
seja a partir de um servidor exposto por heartbleed ou através de um backdoor. O invasor, agora
com acesso a sua rede, tem as chaves do reino que lhes garantem o acesso de administrador em
qualquer um dos seus servidores de fator único: firewalls, sistemas DLP, servidores proxy, etc.
Faça um inventário dos servidores que prestam vários serviços críticos dentro da sua infraestrutura e
você provavelmente vai encontrar muitos deles fornecendo acesso de administrador usando autentica-
ção de fator único.
É um grave cenário que deve ser levado a sério por profissionais de Segurança da Informação. O
acesso administrativo em servidores de rede deve usar 2FA.
CONTROLE DE ACESSO
Mitigar vulnerabilidades de acesso de fator único requer o mínimo de esforço e reduz muito o vetor de
ataque.
Single Sign-On-SSO
O logon único (SSO) é um sistema que permite que os usuários se autentiquem com segurança em
vários aplicativos e sites, fazendo login apenas uma vez - com apenas um conjunto de credenciais
(nome de usuário e senha). Com o SSO, o aplicativo ou site que o usuário está tentando acessar confia
em um terceiro confiável para verificar se os usuários são quem eles dizem ser.
Como funciona a autenticação sem SSO?
Sem o logon único, cada site mantém seu próprio banco de dados de usuários e suas credenciais. É o
que acontece quando você tenta fazer login em um aplicativo ou site:
1. O site primeiro verifica se você já foi autenticado. Se você tem, dá acesso ao site.
2. Se você não tiver, ele pede que você faça o login e verifica seu nome de usuário e senha com
relação às informações contidas no banco de dados do usuário.
3. Após o login, o site passa os dados de verificação de autenticação conforme você se movimenta
pelo site para verificar se você está autenticado cada vez que você acessa uma nova página.
Os dados de verificação de autenticação geralmente são passados como cookies com dados da sessão
ou como tokens, que não rastreiam a sessão e são mais rápidos de serem processados.
Usuário solicita acesso
O usuário recebe acesso e, em seguida, solicita acesso a um novo site
Como funciona o SSO?
A autenticação com SSO depende de uma relação de confiança entre domínios (sites). Com o logon
único, é isso que acontece quando você tenta fazer login em um aplicativo ou site:
1. Primeiro, o site verifica se você já foi autenticado pela solução de SSO e, nesse caso, oferece
acesso ao site.
CONTROLE DE ACESSO
2. Se você não tiver, ele enviará você para a solução SSO para efetuar login.
3. Você insere o nome de usuário / senha únicos que você usa para acesso corporativo.
4. A solução de SSO solicita autenticação do provedor de identidade ou sistema de autenticação que

sua empresa usa. Ele verifica sua identidade e notifica a solução de SSO.
5. A solução de SSO passa os dados de autenticação para o site e retorna para esse site.
6. Após o login, o site passa os dados de verificação de autenticação com você enquanto você percorre
o site para verificar se você está autenticado cada vez que você acessa uma nova página.
No SSO, os dados de verificação de autenticação assumem a forma de tokens.
Usuário Solicita Acesso
O site redireciona o usuário para o site da SSO para efetuar login. O usuário efetua login com um único
nome de usuário e senha.
O site do SSO verifica a identidade do usuário com um provedor de identidade, como o Active Directory.
O usuário recebe acesso e, em seguida, solicita acesso a um novo site
Quando o usuário tenta acessar um site diferente, o novo site verifica com a solução SSO. Como o
usuário foi autenticado, ele verifica a identidade do usuário no novo site sem exigir um login adicional.
O que faz um verdadeiro sistema SSO?
É importante entender a diferença entre o logon único e o armazenamento de senhas, que às vezes é
chamado de SSO. Com o armazenamento de senhas, você pode ter o mesmo nome de usuário e
senha, mas precisa inseri-lo sempre que for para outro aplicativo ou site.
Com o SSO, depois de efetuar login por meio da solução SSO, você pode acessar todos os aplicativos
e sites aprovados pela empresa sem precisar fazer login novamente. Isso inclui aplicativos em nuvem
CONTROLE DE ACESSO
e on-prem que geralmente estão disponíveis por meio de um portal de SSO (também chamado de portal
de login). O SSO usa um conceito chamado federação para fornecer o SSO federado.
O que é SSO federado?
As soluções de SSO que usam federação permitem o logon único verdadeiro aproveitando o provedor
de identidade (IP) da organização, como o Microsoft Active Directory (AD) ou o Azure AD (Azure Active
Directory). O provedor de identidade geralmente atua como servidor de autenticação e armazena a
identidade e as informações do usuário, como nome de usuário, senha, domínios aos quais o usuário
tem acesso e até mesmo quais atividades o usuário pode fazer em cada site ou em cada aplicativo. (A
verificação das atividades que o usuário tem permissão para fazer é chamada de autorização. Por
exemplo, um usuário pode ter acesso aos relatórios do Salesforce, mas pode não ter permissão para
editar os registros do cliente.)
Para o verdadeiro SSO, a solução de SSO é incorporada ao provedor de identidade ou a solução de

SSO usa um ou mais provedores de identidade para autenticar o usuário.
Solicitações de autenticação e informações são passadas usando protocolos padrão e seguros,

como SAML ou OAuth. Os sites que solicitam autenticação têm uma relação de confiança com a solu-
ção de SSO e existem relações de confiança entre a solução de SSO e os provedores de identi-
dade. Uma relação de confiança significa que um domínio confia nas informações de outra pessoa so-
bre identidades de usuários, dispositivos e privilégios de acesso.
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
REFERÊNCIAS
Os links citados abaixo servem apenas como referência. Nos termos da lei
brasileira (lei nº 9.610/98, art. 8º), não possuem proteção de direitos de autor: As
ideias, procedimentos normativos, sistemas, métodos, projetos ou conceitos
matemáticos como tais; Os esquemas, planos ou regras para realizar atos
mentais, jogos ou negócios; Os formulários em branco para serem preenchidos
por qualquer tipo de informação, científica ou não, e suas instruções; Os textos
de tratados ou convenções, leis, decretos, regulamentos, decisões judiciais e
demais atos oficiais; As informações de uso comum tais como calendários,
agendas, cadastros ou legendas; Os nomes e títulos isolados; O aproveitamento
industrial ou comercial das ideias contidas nas obras.
Caso não concorde com algum item do material entre em contato com a
Domina Concursos para que seja feita uma análise e retificação se necessário
A Domina Concursos não possui vínculo com nenhuma banca de concursos,
muito menos garante a vaga ou inscrição do candidato em concurso. O material
é apenas um preparatório, é de responsabilidade do candidato estar atento aos
prazos dos concursos.
A Domina Concursos reserva-se o direito de efetuar apenas uma devolução
parcial do conteúdo, tendo em vista que as apostilas são digitais, isso, [e, não há
como efetuar devolução do material.
A Domina Concursos se preocupa com a qualidade do material, por isso todo

conteúdo é revisado por profissionais especializados antes de ser publicado.
WWW.DOMINACONCURSOS.COM.BR
contato@dominaconcursos.com.br
Rua São José, nº 645, sala 01, Pavimento

Térreo, Ed. Jardim Germânica - Criciúma/ SC –
Brasil/ CEP 88801-520
WhatsApp (48) 9.9695-9070

SERPRO 2023 Analista Tecnologia Amostra-1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SERPRO 2023 Analista Tecnologia Amostra-1

Enviado por

Direitos autorais:

Formatos disponíveis

PDF 2023

TOTALMENTE ELABORADA DE ACORDO COM O EDI

A Domina Concursos, especialista há 8 anos no desenvolvimento e

Otimizar a forma de estudo, provendo apostilas de excelência, baseados nas

Ser uma empresa de Classe Nacional em Desenvolvimento de Apostilas para

• Respeito ao talento humano

Não é permitida a revenda, rateio, cópia total ou parcial sem autorização da

Caso houver descumprimento, o autor do fato poderá ser indiciado conforme

Confidencialidade, disponibilidade e integridade são algumas das características básicas da segurança

• Integridade – A informação não deve ser alterada ou excluída sem autorização;

• Disponibilidade – Acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas.

Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ata-

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada

A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibili-

atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio electrónico e

Os atributos básicos (segundo os padrões internacionais) são os seguintes:

Para a montagem desta política, deve-se levar em conta:

• Riscos associados à falta de segurança;

• Custos de implementação dos mecanismos.

O suporte para as recomendações de segurança pode ser encontrado em:

• Existem mecanismos de segurança que apóiam os controles lógicos:

• Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la

• Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são

• Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checa-

• Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteli-

• Mecanismos de certificação. Atesta a validade de um documento.

Fundamentos e Conceitos da Segurança da Informação

Fundamentalmente a Segurança da Informação está calcada em três princípios básicos: Confidencia-

Confidencialidade, diferente de ser um segredo ou algo inacessível, é um conceito no qual o acesso à

O estabelecimento de um Programa de Segurança da Informação em sua empresa deve passar sem-

Muitas organizações não seguem esta abordagem no desenvolvimento, implementação e manutenção

Os princípios da segurança da informação abrangem basicamente os seguintes aspectos: confidenci-

• Confidencialidade: É a garantia de que a informação é acessível somente por pessoas autorizadas a

• Integridade: É a preservação da exatidão da informação e dos métodos de processamento

• Disponibilidade: É a Garantia de que os usuários autorizados obtenham acesso à informação e aos

Políticas de Segurança da Informação

A política de segurança define normas, procedimentos, ferramentas e responsabilidades às pessoas

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada

A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibili-

Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os

Para a montagem desta política, deve-se levar em conta:

Riscos associados à falta de segurança;

O suporte para as recomendações de segurança pode ser encontrado em:

Existem mecanismos de segurança que apoiam os controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc ..

Existem mecanismos de segurança que apóiam os controles lógicos:

Mecanismos de cifração ou encriptação: Permitem a transformação reversível da informação de forma

Mecanismos de certificação: Atesta a validade de um documento.

Em janeiro de 2009, o número estimado de computadores infectados variou entre 9 e 15 milhões. Em

Os elementos da política de segurança devem ser considerados:

Senha com data para expiração

Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos

Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:

1s4e3u2s posicional os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes alfabéticos

A Gestão de Riscos unida à Segurança da Informação

promover ações corretivas e preventivas de forma eficiente, garantir o cumprimento de regulamenta-

Assim, neste ambiente de empresas interligadas e extremamente competitivas, a informação se torna

A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam

O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal

Política de Segurança da Informação;

Seção 6: Organizando a Segurança da Informação

6.1.2 Coordenação da segurança da informação. As atividades de segurança da informação devem ser