Segurança no Software

Nos dias de hoje quase não é possível passar um momento da nossa vida sem que, de um
modo ou de outro, sejamos afetados pelo que se passa no mundo digital. Desde o
smartphone até aos mais discretos sensores, as probabilidades de algum aspeto da nossa
vida estar a ser acompanhado por um sistema informático são cada vez mais próximas dos
100%. De forma em todos os lugares, estes sistemas estão presentes em todos os aspetos
da nossa vida e acompanham-nos ao longo desta. Tendo este panorama em mente, o
desenvolvimento de software de forma segura assume uma relevância cada vez maior –
embora invisível – na vida dos indivíduos, na operação das organizações e no
funcionamento das sociedades.
Dispositivos médicos, automóveis, navios, aeronaves, satélites, redes de distribuição
elétrica, centros de comando e controlo ou sistemas de comunicações são alguns
exemplos de sistemas cujo funcionamento afeta diretamente a nossa vida. Redes sociais
e sistemas de comunicações podem apoiar a recuperação de regiões afetadas por
desastres e o desenvolvimento de zonas carenciadas. Redes de sensores monitorizam de
forma contínua ofornecimento de energia, água, gás e outros recursos – como alimentos e
roupa – a cidades e países. E todos estes elementos têm como característica comum
executar software que controla o modo como operam, pelo que assegurar que esta
operação é feita de forma confiável e segura é um objetivo tão importante quanto a
velocidade de operação ou as funcionalidades oferecidas. É obrigatório que o software
que controla os sistemas informá- ticos que fazem parte da nossa vida cumpra com
padrões rígidos de qualidade e, sempre, de segurança.

Nas últimas duas décadas, o termo “Internet” entrou no dicionário de toda a

humanidade. Do meio restrito da investigação academica e do Departamento de Defesa
americanos, a rede de redes passou a instrumento de uso pessoal e componente central
na economia mundial.
Como todas as realidades humanas, esta comunidade virtual sofre dos bens e males da
nossa condição. No espaço e no tempo crescentes que a comunicação social dedica
à Internet, desde há muito que começam a ter um lugar significativo novas formas de
comportamento malicioso tornadas possíveis por esta tecnologia.
Uma das formas mais antigas deste tipo de comportamentos é o vandalismo perpetrado
através de vermes (worms) que se propagam automaticamente pela rede, levando à para-
lisia de computadores e comunicação. O primeiro exemplo conhecido é o Morris worm de
1988, mas depois muitos outros foram notícia, como o Code Red,o Sasser,o Stuxnet eo
Conficker .
O cibercrime com o objetivo de obtenção de lucro é outra destas realidades, tendo se
multiplicado ao longo do tempo as formas de o cometer. Delas são exemplo o roubo de
números de cartão de crédito ou de credenciais de acesso a bancos on-line e a extorsão
através de software que cifra dados das vítimas, que têm de pagar um resgate para os
reaverem (chamado, com algum humor, de ransomware). Outra forma de cibercrime são
os ataques de negação de serviço que deixam as vítimas (por exemplo, sítios de empre-
sas ou governamentais) inacessíveis aos seus utilizadores legítimos. O caso que tornou
notícia este tipo de ataque deu-se em fevereiro de 2000, tendo sítios como Yahoo!, eBay
e Amazon.com ficado inacessíveis durante várias horas. Em 2014, um ataque deste tipo
alegadamente gerou 400 Gigabits por segundo de tráfego.
O ciberterrorismo e a ciberguerra são atividades ainda pouco conhecidas, mas das quais
existem casos pontuais. Em maio de 2007, agosto de 2008 e início de 2014, a Estónia, a
Geórgia e a Ucrânia foram, respetivamente, vítimas de atos que se inserem numa des-
tas categorias, embora seja difícil discernir exatamente qual. Ataques oriundos da vizinha
Rússia deixaram inúmeros serviços de e-government e comerciais indisponíveis. Se
foram atos de terrorismo ou guerra, depende de quem os realizou – pessoas
individualmente ouum Estado –, o que permanece um mistério.
 Apesar da inegável importância deste tipo de criminalidade, é enganoso pensar que é
uni- camente o seu impacto económico e psicológico que está em causa. De facto, o
cibercrime pode ter um efeito muito mais devastador. A série de filmes Die Hard tem-se
caracterizado por apresentar crimes de grandes e improváveis proporções, sempre
resolvidos in extre- mis e a contragosto pelo polícia John McClane, representado pelo
ator Bruce Willis. No quarto filme da série, um bando de malfeitores resolve lançar a
América numa nova idade da pedra, destruindo a infraestrutura de produção e
distribuição de eletricidade do país. Para o efeito, executam uma série de ataques
através da Internet, dirigidos aos computa-dores que controlam essas infraestruturas, e
tentam concluir o processo com uma intrusão física numa central de distribuição
particularmente crítica.
Entre 2006 e 2009 desenvolvemos com colegas de várias instituições europeias investi-
gação em segurança (informática) de infraestruturas críticas, sobretudo da infraestrutura
elétrica, no âmbito do projeto Critical Utility InfrastructurAL Resilience (CRUTIAL) [88, 36]2. O
filme pode parecer mera ficção, mas o que o nosso trabalho mostrou é que um ata-
que exclusivamente informático na vida real seria, muito provavelmente, suficiente para
concluir o ataque com sucesso (com a vantagem de deixar os terroristas a salvo de John
McClane). Notícias recentes referem que ciberataques contra centrais elétricas na
Ucrânia terão deixado largos setores da população desse país sem energia durante o
Natal de 2015 [179].
Este tipo de ataques pode ter não apenas um efeito económico radical – destruir toda a
economia de um país, no caso do referido filme –, como também causar a perda de
vidas humanas, por exemplo, no caso de um ataque a uma central nuclear. Aliás, este
último exemplo nem sequer é fruto da nossa imaginação, uma vez que em janeiro de
2003 ojá referido verme Sasser invadiu a rede da central nuclear de Davis-Besse (EUA),
tendo deixado os sistemas de supervisão de parâmetros críticos de um dos reatores da
central inoperacionais durante algumas horas.

Conheça os Fundamentos Essenciais de Segurança da Informação

Importância dos Fundamentos Essenciais de Segurança da Informação

A segurança da informação na era digital

A segurança da informação é um tema cada vez mais relevante na era digital em que
vivemos. Com a crescente quantidade de dados armazenados e compartilhados online, é
fundamental garantir a proteção dessas informações contra ameaças e ataques
cibernéticos. Nesse contexto, os fundamentos essenciais de segurança da informação
desempenham um papel crucial na proteção dos dados e na mitigação de riscos.
Conhecendo os fundamentos essenciais de segurança da informação
Conhecer e compreender os fundamentos essenciais de segurança da informação é de
extrema importância para empresas, organizações e até mesmo para indivíduos que
desejam proteger suas informações pessoais. Esses fundamentos são os pilares sobre os
quais a segurança da informação é construída, fornecendo diretrizes e práticas que visam
garantir a confidencialidade, integridade e disponibilidade dos dados.
Benefícios da aplicação dos fundamentos essenciais
Um dos principais benefícios de conhecer os fundamentos essenciais de segurança da
informação é a capacidade de identificar e avaliar os riscos associados à proteção de
dados. Com uma compreensão clara dos conceitos e princípios de segurança da
informação, é possível identificar vulnerabilidades e implementar medidas preventivas para
minimizar os riscos de ataques cibernéticos.

Além disso, os fundamentos essenciais de segurança da informação também permitem a

implementação de políticas e práticas adequadas de segurança. Isso inclui a definição de
políticas de acesso aos dados, a implementação de controles de segurança adequados e
a conscientização dos usuários sobre boas práticas de segurança. Essas medidas ajudam
a criar um ambiente seguro para o armazenamento e o compartilhamento de informações
sensíveis.

Principais conceitos de segurança da informação

Os conceitos de segurança da informação estão diretamente relacionados aos

fundamentos essenciais mencionados anteriormente. Esses conceitos são baseados em
princípios que visam garantir a segurança dos dados e a proteção contra ameaças e
ataques cibernéticos. A seguir, apresentaremos os principais conceitos de segurança da
informação:

Confidencialidade

O conceito de confidencialidade envolve a proteção das informações contra acessos não

autorizados. Isso inclui a implementação de mecanismos de autenticação, como senhas e
controles de acesso, para garantir que apenas pessoas autorizadas possam acessar os
dados.

Integridade

A integridade dos dados refere-se à sua precisão e à sua consistência ao longo do tempo.
Garantir a integridade dos dados envolve a implementação de mecanismos de controle
para prevenir alterações não autorizadas e garantir que os dados permaneçam íntegros e
confiáveis.

Disponibilidade

A disponibilidade dos dados diz respeito à capacidade de acessá-los quando necessário.

Isso envolve a implementação de medidas que garantam a disponibilidade contínua dos
sistemas e dos dados, como backups regulares e a utilização de infraestrutura redundante.

Autenticidade

A autenticidade está relacionada à verificação da identidade dos usuários e da origem dos

dados. Através da autenticação, é possível garantir que as informações sejam provenientes
de fontes confiáveis e que os usuários sejam realmente quem afirmam ser.
Não-repúdio
O conceito de não-repúdio visa evitar que uma pessoa negue ter realizado uma
determinada ação. Isso é alcançado através do uso de métodos que garantam a
rastreabilidade das ações realizadas, como registros de logs e assinaturas digitais.
Benefícios da Aplicação dos Fundamentos Essenciais de Segurança da Informação
A aplicação dos fundamentos essenciais de segurança da informação traz uma série de
benefícios para as organizações e indivíduos que lidam com o armazenamento e o
compartilhamento de informações sensíveis. Além de garantir a proteção dos dados, esses
benefícios incluem:
1. Proteção contra ameaças cibernéticas: A implementação dos fundamentos
essenciais de segurança da informação ajuda a proteger as informações contra
ameaças cibernéticas, como hackers, malware e ataques de phishing. Isso minimiza
o risco de perda de dados e danos financeiros.
 2. Conformidade com regulamentações: Muitos setores possuem regulamentações
específicas relacionadas à segurança da informação. Ao aplicar os fundamentos
essenciais, as organizações podem garantir a conformidade com essas
regulamentações e evitar penalidades legais.

3. Preservação da reputação: A violação da segurança da informação pode prejudicar

seriamente a reputação de uma organização. Ao implementar os fundamentos
essenciais, as empresas demonstram comprometimento com a proteção dos dados
e fortalecem sua imagem perante clientes e parceiros.

4. Melhoria da eficiência operacional: A aplicação dos fundamentos essenciais de

segurança da informação pode levar a uma melhoria na eficiência operacional. Isso
inclui a redução de tempo e recursos gastos na recuperação de dados perdidos,
além de minimizar interrupções causadas por ataques cibernéticos.

5. Consciência de segurança: Ao conhecer e aplicar os fundamentos essenciais de

segurança da informação, os usuários se tornam mais conscientes dos riscos e das
melhores práticas de segurança. Isso ajuda a criar uma cultura de segurança dentro
da organização, aumentando a proteção dos dados.
Implementação dos Fundamentos Essenciais de Segurança da Informação
A implementação dos fundamentos essenciais de segurança da informação envolve uma
série de etapas e práticas que visam garantir a proteção dos dados e a mitigação dos riscos.
Algumas das principais medidas a serem consideradas são:

1. Avaliação de riscos: Realizar uma avaliação de riscos é o primeiro passo para

identificar as vulnerabilidades e os pontos fracos dos sistemas e dos processos. Isso
permite a implementação de medidas específicas para mitigar esses riscos.

2. Controles de acesso: Implementar controles de acesso adequados é essencial para

garantir que apenas pessoas autorizadas possam acessar os dados. Isso inclui a
utilização de senhas fortes, autenticação em dois fatores e a definição de permissões
de acesso adequadas.

3. Monitoramento contínuo: O monitoramento contínuo dos sistemas e dos dados ajuda

a identificar atividades suspeitas e a responder a incidentes de segurança de forma
rápida e eficaz. Isso inclui a implementação de sistemas de detecção de intrusões e
a análise regular dos logs de segurança.

4. Conscientização dos usuários: A conscientização dos usuários sobre boas práticas

de segurança é fundamental para garantir a proteção dos dados. Isso pode ser feito
através de treinamentos regulares, campanhas de conscientização e políticas claras
de segurança.

5. Atualizações e patches: Manter os sistemas e os softwares atualizados é essencial

para corrigir vulnerabilidades conhecidas e garantir a segurança dos dados. Isso
inclui a aplicação de patches de segurança, atualizações de software e a utilização
de sistemas de gerenciamento de vulnerabilidades.
Ao implementar essas medidas, as organizações podem garantir a proteção dos dados e a
mitigação dos riscos associados.