SEG - Seguran-A Da Tecnologia Da Informacao

SEGURANÇA EM TECNOLOGIA
DA INFORMAÇÃO
Prof. João Falcão
Escola Tecnológica Paes de Carvalho
Curso Técnico em Informática
Ano: 2024
Prof. João Falcão – Segurança da Informação – Curso Técnico em Informática - Ano: 2024 1
O PAPEL DA INFORMAÇÃO E A SEGURANÇA
NO MUNDO VIRTUAL
Prof. João Falcão – Segurança da Informação – Curso Técnico em Informática - Ano: 2024 2/158
O Papel da Informação
▪ A informação nos tempos atuais é vista de forma diferente do que
era há cerca de dez anos.
▪ Antigamente, a informação era analisada basicamente a partir de
aspectos como: a forma de armazenamento (disco, fita), o espaço que
ocupava ao ser armazenada, quanto tempo ficaria disponível, quem
era responsável pela sua manutenção.
▪ Mas, atualmente, a informação já é um dos recursos mais
importantes de uma organização.
▪ Nas últimas décadas, a informação passou a ser reconhecida como
“bem intangível”.
▪ É algo que não é físico, não pode ser tocado.
▪ A era da informação mudou o conceito de bem econômico, primeiro
porque classificou como “patrimônio” uma coisa que não pode ser
tocada e depois porque entendeu que a informação é dinâmica:
quanto mais você a utiliza, mais ela cresce e se propaga.
▪ Ela vai se aperfeiçoando com o uso.
Não adianta guardar a informação em cofres.

Ela é um bem que desconhece as fronteiras e
tende a transitar em alta velocidade.
▪ Muitas empresas e profissionais não reconhecem a informação como um
ativo e, por isso, deixam de ser competitivas.
▪ Na era da informação, o patrimônio das empresas deixou de ser composto
apenas de bens tangíveis (computadores, mesas, cadeiras etc.), mas também
por aquilo que a companhia representa junto à sociedade e todo
conhecimento nela existente.
▪ Mas afinal, o que é o "ativo de uma empresa" e qual o verdadeiro valor do
"saber fazer"?
▪ Ativos de uma empresa
✓ Chamamos genericamente de “ativo” o conjunto de bens, valores e direitos
que formam o patrimônio de uma empresa ou pessoa.
✓ Em termos empresariais, ativo pode ser definido como o capital em circulação
em determinado momento, sempre avaliado pela ótica dos respectivos custos.
✓ É também o contrário do passivo empresarial, que consome recursos sem
gerar faturamento.
▪ Saber fazer
✓ O bem mais importante de uma organização não é o produto ou o serviço em si.
✓ São os conhecimentos de como se produz, quais são as competências e as
habilidades exigidas para isso.
✓ Sem informação, a empresa, independentemente de seu ramo de atuação, não
realiza seu negócio e não se mantém no mercado.
Questão de Segurança
▪ Educação e conscientização são fatores-chave para a segurança da informação.
▪ A segurança da informação tem um valor inestimável para as empresas.
▪ Costumamos dizer que o grau de risco à segurança da informação é resultado
do conhecimento da instituição sobre as ameaças e quanto isto representa de
vulnerabilidade.
▪ Ou seja, quanto menos se conhece sobre as ameaças, maior a sua
vulnerabilidade.
▪ A segurança depende de vários fatores: o meio de transmissão, a forma de
armazenamento e processamento, as medidas de segurança (tecnologias,
políticas e procedimentos) e, principalmente, da conscientização de todos os
envolvidos.
▪ É importante lembrar também que não existe risco zero: os riscos sempre vão
existir em qualquer meio.
▪ A segurança da informação não aumentará apenas com uso de tecnologias ou
com a criação de leis.
▪ É fundamental compreender o problema e mudar a forma tanto de usar quanto
de desenvolver a tecnologia.
▪ Em que nível a segurança da informação deve ser aplicada em sua empresa?
▪ A resposta é: em muitos!
▪ A informação se torna invulnerável não apenas quando o computador está
conectado à internet.
▪ Também devemos tomar cuidado com atividades e tarefas do dia a dia que não
usam recursos de tecnologia da informação, mas que podem aumentar o risco de
roubo e manipulação de dados.
▪ Exemplos de controle de informação:
Sistemas de
Equipamentos de Identificação dos
monitoramento, com
controle de acesso, funcionários, com o
o uso de câmeras e
como catracas e uso de crachás e
pessoas responsáveis
cancelas. uniformes.
pela segurança.
▪ Em que nível a segurança da informação deve ser aplicada em sua empresa?
▪ A resposta é: em muitos!
▪ A informação se torna invulnerável não apenas quando o computador está
conectado à internet.
▪ Também devemos tomar cuidado com atividades e tarefas do dia a dia que não
usam recursos de tecnologia da informação, mas que podem aumentar o risco de
roubo e manipulação de dados.
▪ Exemplos de controle de informação:
Sistemas de
Equipamentos de Identificação dos
monitoramento, com
controle de acesso, funcionários, com o
o uso de câmeras e
como catracas e uso de crachás e
pessoas responsáveis
cancelas. uniformes.
pela segurança.
Segurança Física
e
Segurança Lógica
Segurança Física
▪ A segurança física tem como objetivo proteger equipamentos e informações
contra usuários não autorizados, prevenindo o acesso a esses recursos.
▪ A segurança física deve se basear em perímetros predefinidos nas imediações
dos recursos computacionais, podendo ser explícita como uma sala-cofre, ou
implícita, como áreas de acesso restrito.
▪ A segurança física pode ser abordada sob duas formas:
✓ Segurança de acesso - trata das medidas de proteção contra o acesso físico não
autorizado;
✓ Segurança ambiental – trata da prevenção de danos por causas naturais.
Segurança Física
▪ Recomendações para o controle do acesso físico:
✓ Deve-se instituir formas de identificação capazes de distinguir funcionários
de visitantes e categorias diferenciadas de funcionários, se for o caso.
✓ Solicitar a devolução de bens de propriedade da empresa (crachás, chaves,
etc), quando o visitante se retira ou quando o funcionário é retirado de suas
funções.
✓ No caso de visitantes, restringir a circulação destes nas dependências da
empresa e, se necessário, acompanhá-los até o local de destino.
✓ Instalar sistemas de proteção e vigilância 24 x 7.
✓ Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção
predial, vigilância, etc).
✓ Não instalar em áreas de acesso público equipamentos que permitam o acesso
✓ à rede interna da corporação.
Segurança Física
▪ Política de Segurança Física:
✓ A política e o investimento no controle de acesso físico adotada pela empresa
estará diretamente ligada à importância de seus ativos, observando sempre a
relação dos modelos de segurança do que apenas o uso de tecnologia.
✓ É fundamental a análise do perfil da empresa para definir a política de
controle de acesso físico que se encaixe nas necessidades dos usuários.
✓ Quanto maior o investimento em prevenção menor será o prejuízo em caso de
Sinistro.
✓ O investimento não se refere apenas ao uso de tecnologia avançada, mas à
forma como a empresa lida com a conscientização de seus funcionários.
Segurança Física
✓ Itens de avaliação para riscos:
• Incêndios;
• Treinamento de pessoal;
• Danos pela água;
• Climatização;
• Eletricidade;
• Controle de acesso.
Segurança Física
✓ Solução em níveis ou “Modelo da cebola”:
Mundo Externo
Visitantes
❖ Mundo Externo – Área não controlada ao
Funcionários redor das instalações;
TI
❖ Visitantes – Área de espera para entrada de
visitantes;
Segurança ❖ Funcionários – Área de funções comerciais
normais;
❖ TI – Materiais e equipamentos críticos à
atividade comercial.
Segurança Lógica
▪ A segurança lógica é um processo em que um sujeito ativo deseja acessar um
objeto passivo.
▪ O sujeito é um usuário ou um processo da rede e o objeto pode ser um arquivo
ou outro recurso de rede (estação de trabalho, impressora, etc).
▪ A segurança lógica compreende um conjunto de medida e procedimentos,
adotados pela empresa ou intrínsecos aos sistemas utilizados.
▪ O objetivo é proteger os dados, programas e sistemas contra tentativas de
acessos não autorizados, feitas por usuários ou outros programas.
▪ O objetivo é proteger os dados, programas e sistemas contra tentativas de
acessos não autorizados, feitas por usuários ou outros programas.
✓ Aplicativos (Programas fonte e objeto);

✓ Arquivos de senha;
✓ Arquivos de dados;
✓ Arquivos de log;
✓ Utilitários e Sistema Operacional;
Segurança Lógica
A proteção dos recursos

computacionais baseia-se na
necessidade de acesso de cada
usuário.
A identificação e autenticação do
usuário é feita normalmente por uma
identificação (userID) e uma senha
durante o processo de logon.
Segurança Lógica
▪ Elementos básicos de controle do acesso lógico:
✓ Apenas usuários autorizados devem ter acesso aos recursos computacionais;
✓ Os usuários devem ter acesso apenas aos recursos realmente necessários para
a execução de suas tarefas;
✓ O acesso aos recursos críticos do sistema deve ser monitorado e restrito;
✓ Os usuários não podem executar transações incompatíveis com sua função.
Segurança
Digital
Segurança Digital
▪ A informação, principalmente quando conectada à internet, fica muito mais
vulnerável, uma vez que os dados são colocados em rede e podem ser
compartilhados facilmente e em massa, como no caso das redes sociais e páginas
pessoais.
▪ A internet potencializa os riscos na segurança da informação.
▪ Passe o mouse sobre as imagens na animação ao lado e veja alguns dos
principais riscos a que estão expostas as informações no meio digital.
Segurança Digital – Internet
▪ VULNERABILIDADES
✓ defeitos de software;
✓ falhas de configuração;
✓ uso inadequado;
✓ fraquezas advindas da complexidade
dos sistemas.
▪ AGENTES
✓ agentes com intenções suspeitas;
✓ espionagem e invasão social;
✓ interesses e golpes políticos.
▪ RISCOS
✓ indisponibilidade de serviços;
✓ furtos de dados;
✓ perdas financeiras;
✓ danos à imagem;
✓ risco pessoal;
✓ perda de confiança na tecnologia.
Segurança Digital
▪ Veja abaixo alguns riscos comuns à segurança na internet.
▪ Indisponibilidade
▪ Quando não se tem acesso à internet, ao serviço de telefonia, ou quando
os sites preferidos estiverem fora do ar.
Segurança Digital
▪ Furto de dados
▪ Acesso indevido a dados pessoais na rede social, à senha do banco, aos
extratos bancários e às movimentações financeiras. Ou, ainda, ao site da
escola que possibilite a divulgação do histórico escolar de um colega na
internet.
Segurança Digital
▪ Perdas financeiras
▪ Acesso indevido à conta bancária, transferência dos recursos para outra
conta ou saque dos valores (um dos riscos mais comuns).
Segurança Digital
▪ Riscos pessoais
▪ Acesso indevido aos dados de um paciente, alterando seu prontuário e
prescrevendo remédios que podem levá-lo a óbito, ou ataque virtual que
provoque a queda do sistema do hospital, impedindo o acesso à
medicação prescrita aos pacientes, por exemplo.
Segurança Digital
▪ Vale lembrar que o mundo digital também pode apresentar algumas
vulnerabilidades, entre elas podemos destacar:
✓ defeitos de software: software pirata, falta de manutenção ou atualização,
falta de conhecimento em como utilizá-lo;
✓ falhas na configuração: não ler o manual, não se importar em se informar
sobre as características do produto.
▪ Um exemplo sobre ataque de criminosos virtuais aconteceu em 13/01/2010 com
a Google, por criminosos virtuais Chineses.
▪ A empresa ameaçou até encerrar as atividades na China.
▪ Confira a matéria abaixo:
https://g1.globo.com/Noticias/Mundo/0,,MUL1444773-5602,00-
GOOGLE+AMEACA+ENCERRAR+OPERACOES+NA+CHINA+APOS+ATAQUE+HACKER.html#:~:
text=%2D%20A%20gigante%20da%20internet%20Google,em%20um%20blog%20da%20companhia.
Classificação da Informação
▪ Já parou para pensar sobre quais informações pessoais você gosta de divulgar?
▪ O mundo empresarial funciona de forma semelhante.
▪ Veja abaixo a classificação da informação:
✓ Pública
• A informação que pode vir a público sem consequências danosas ao
funcionamento normal da organização e cuja integridade não é vital.
✓ Interna
• O acesso a esse tipo de informação deve ser evitado, embora as
consequências do uso desautorizado não sejam por demais sérias.
• Sua integridade é importante, mas não é vital.
✓ Confidencial
• A informação restrita aos limites da organização, cuja divulgação ou perda
pode levar ao desequilíbrio operacional e, eventualmente, a perdas
financeiras ou de confiabilidade perante o cliente externo, além de permitir
vantagem expressiva ao concorrente.
✓ Secreta
• A informação crítica para as atividades da empresa, cuja integridade deve
ser preservada a qualquer custo e cujo acesso deve ser restrito a um número
bastante reduzido de pessoas.
• A manipulação desse tipo de informação é vital para a companhia.
Segurança da Informação, riscos,
ameaças e ataques virtuais
Segurança da Informação
▪ As normas estabelecidas pela segurança da informação, com procedimentos
formalmente definidos a todos os funcionários e prestadores de serviço,
possibilitam que o negócio da organização seja realizado conforme seus
objetivos.
▪ Mesmo assim, problemas podem acontecer.
▪ Mas não é preciso ficar neurótico, achando que a todo o momento você pode ser
atacado e ter seus dados copiados e divulgados.
▪ Para isso, há ações que visam a gestão da segurança da informação.
▪ Considere, sempre, que toda informação deve ser protegida para que não seja
indevidamente alterada, acessada ou destruída.
Segurança da Informação
▪ Nas referências a seguir, você pode aprofundar um pouco mais os seus estudos
sobre Segurança da Informação nos seguintes endereços:
✓ Departamento de Segurança da Informação e Comunicações: <http://dsic.planalto.gov.br>.
✓ Cartilha de Segurança para Internet do CGI: <http://cartilha.cert.br>.
Gestão da Segurança
▪ Acompanhe abaixo três cenários que exemplificam alguns dos perigos virtuais que
apresentamos aqui.
▪ O que fazer nesses casos?
▪ Na próxima tela você verá algumas ações da gestão da segurança da informação.
✓ Cenário 01:
• Imagine que você copiou um arquivo para seu pen drive na escola, depois
chegou em casa e o transferiu para seu computador.
• É um procedimento bem comum, não é mesmo?
• No entanto, esse ato pode infectar seu computador com um vírus que, por
exemplo, transforma todos os diretórios (pastas) em atalhos e você não
consegue mais acessar os seus dados.
• E agora?
✓ Cenário 02:
• Você achou um site bem interessante com jogos e baixou um que procurava há
meses.
• Maravilha, não?
• É, mas dias depois de instalar o jogo você repara que seu computador começa a
ficar lento, a desligar de repente e, quando acessa o navegador, são abertas
várias páginas indesejadas.
• Isso indica que ao baixar o jogo, você ganhou também um “presentinho”, um
Cavalo de Troia, que bagunçou sua máquina.
• Já imaginou?
✓ Cenário 03:
• Você entrou num site de compra virtual e se cadastrou, informando seus
dados e e-mail.
• Horas depois, a caixa de entrada do seu e-mail começa a receber várias
mensagens de produtos que você nem sabia que existiam.
• O que houve?
• Você acaba de se juntar ao grupo de usuários que é incomodado por uma das
piores ameaças da internet: spam!
▪ A gestão de segurança da informação prevê uma série de ações que podem ser
classificadas em três naturezas diferentes.
✓ Preventiva:
• As ações preventivas são as mais conhecidas e baratas de se implementar.
• Sua finalidade é evitar que o problema aconteça, ou seja, que as informações
importantes saiam (ou entrem) de maneira indesejada.
✓ Detectiva:
• As ações detectivas visam detectar ou identificar se um problema ocorreu.
• Elas normalmente são tomadas porque as ações preventivas não foram
realizadas.
• Quanto mais cedo detectar o problema, mais rápida e baratas serão as ações
corretivas.
▪ A gestão de segurança da informação prevê uma série de ações que podem ser
classificadas em três naturezas diferentes.
✓ Corretiva:
• As ações corretivas são executadas quando determinado problema já ocorreu,
foi detectado e precisa ser corrigido para que a organização ou o indivíduo
retorne as suas atividades do dia a dia.
Riscos, Ameaças e Ataques
▪ Agora que você já estudou a importância de ter uma política constante de
segurança, vamos conhecer os principais riscos a serem prevenidos e combatidos.
▪ As ameaças são representadas por qualquer meio ou mecanismo que possa violar a
informação, como os vírus.
▪ Essas ameaças visam a modificação, a perda ou o roubo da informação e até mesmo
a paralisação dos serviços que estão sendo executados.
▪ O problema está em detectá-las, já que a maioria dos invasores trabalham
escondidos, sem que saibamos quem são e como estão nos atacando.
▪ Chamamos de ataque a ocorrência de uma ou várias dessas ameaças a um sistema
de informação.
▪ Esse ataque pode ocorrer de forma acidental (curiosidade) ou intencional,
envolvendo casos de extorsão, uso de informação privilegiada e espionagem, entre
outros motivos.
▪ Ainda que nem todas as brechas de informação sejam de fato condenáveis, os
ataques virtuais intencionais praticados por meio da internet são crimes e já
dispõem de legislação própria.
▪ O chamado “crime virtual” se tornou tão comum que já faz parte do Código Penal
Brasileiro.
▪ A Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann, tipifica como
crime uma série de condutas no ambiente virtual.
▪ Seguem alguns tipos de vírus e códigos maliciosos feitos para se apropriar
indevidamente de informações no mundo virtual.
✓ Vírus:
• É um programa que se instala no computador sem o consentimento do usuário.
• Ele tem como finalidade danificar o computador, apagando as informações
necessárias para seu funcionamento.
• Os vírus são altamente destrutivos e podem contaminar seu computador
disfarçados de jogos, programas, anexos em e-mails.
• A forma de ataque mais comum é se multiplicar para vários computadores com
rapidez.
✓ Spyware:
• É um programa oculto que se instala no computador e recolhe informações
sobre o usuário, como senhas e dados pessoais, enviando-as para outros
computadores por meio da internet.
• Instala-se por meio de arquivos anexos em e-mails, sites, programas gratuitos
como jogos e aplicativos, entre outros.
✓ Cavalo de Tróia:
• Também conhecido como Trojan horse, é um programa que pode ser
considerado um vírus e se instala no computador disfarçado em jogos e
aplicativos baixados na internet.
• Este programa abre as portas do computador para que os vírus e spywares
possam invadi-lo.
• Depois dos vírus, é a ameaça mais comum.
✓ Span:
• Propaganda enviada em grande quantidade por e-mail, lotando a caixa de
entrada.
• Em muitos casos, se apresenta como empresa, solicitando dados pessoais e
senhas.
• Quando isso acontece, essa ação pode ser caracterizada como “phishing”.
✓ Keylogger:
• Ameaça que se instala no computador normalmente por meio de anexos
enviados no e-mail.
• O programa monitora as teclas digitadas e as grava em um arquivo escondido,
que futuramente será enviado por e-mail para o criminoso cibernético.
✓ Adware:
• São ameaças que ficam exibindo propagandas de produtos e serviços no
computador, principalmente nos navegadores de internet, alterando as suas
configurações.
• Tratam-se de ameaças que não causam danos graves, mas que incomodam
demais os usuários e são das mais difíceis de ser removidas.
• Nesta categoria também existem o Hijacker.
Meios de Proteção
▪ Diante de tantas ameaças que põem em risco as informações protegidas em um
computador, cabe ao profissional de segurança da informação saber lidar com cada
uma delas.
▪ Um caminho fundamental é instalar e configurar mecanismos de proteção
específicos para essas ameaças.
▪ Confira os principais mecanismos do mercado atual:
Comece pelo básico: instale um programa

antivírus no seu computador e o mantenha
atualizado frequentemente.
Meios de Proteção
Instale um programa de firewall. Ele é uma

barreira para que acessos externos não autorizados
sejam realizados no seu computador.
A maioria dos sistemas operacionais, como o
Windows, já disponibiliza este aplicativo.
Instale um programa anti-spam e, quando receber um e-

mail de destinatário desconhecido, apague-o.
Outra dica é nunca clicar em links para arquivos anexos
de procedência suspeita, pois eles são portas de entrada
para vírus e cavalos de Troia.
Meios de Proteção
Não guarde as senhas em arquivos no computador e
não utilize senhas com dados pessoais, nome de animais
de estimação, data de nascimento etc.
Procure alterar as senhas pelo menos uma vez a cada
seis meses e não use a mesma senha para mais de um
serviço. Para definir uma senha misture números, letras
maiúsculas e minúsculas.
Dispositivos removíveis são mecanismos de

disseminação de vírus.
Antes de utilizá-los no seu computador, sempre realize
uma varredura com programas antivírus e anti-spyware.
Meios de Proteção
Tome cuidado ao baixar arquivos de sites desconhecidos

e procure ver nos comentários de outros usuários as
opiniões sobre o arquivo.
De qualquer forma, antes de rodá-los, faça uma
varredura com antivírus.
Desconfie de mensagens suspeitas.

Lembre-se que bancos e empresas não utilizam e-mail
para comunicação com clientes, por isso sempre
desconfie desses tipos de comunicados.
SEGURANÇA EM REDES
O que é Segurança em Rede?
▪ Para compreender o conceito de segurança em rede, é fundamental
que você conheça primeiro o significado da palavra “segurança”,
mas se você consultar um bom dicionário, encontrará pelo menos
dez definições para essa palavra.
▪ Então, qual a definição de segurança que melhor se encaixa em nosso
contexto, quando se trata de compartilhamento de informação?
Vamos utilizar a definição do site significados.com.br, que define

Segurança da Informação como: “[...] consiste na proteção de um
conjunto de dados, sejam eles pessoais ou de uma empresa, para
que não sejam consultados, copiados ou alterados por indivíduos
não autorizados.”
▪ Quais são os valores em que a segurança da informação está
fundamentada?
▪ O que esses valores preservam?
“A segurança da informação está fundamentada em valores

como a confidencialidade, integridade e disponibilidade, que
pretendem preservar o valor da informação ou dados.
Atualmente, a segurança da informação é mais falada no âmbito
de sistemas informáticos, apesar de não ser exclusiva dessa área.
No universo das informações eletrônicas, os hackers são
conhecidos por conseguirem encontrar brechas em sistemas,
violando a segurança da informação.”
▪ O uso da palavra segurança é cada vez mais constante no nosso cotidiano,
pois a compreendemos como algo importante e essencial para o bem-estar de
todos.
▪ Observe os exemplos abaixo para entender melhor.
Pense nas ações de São ações que visam

segurança no trânsito: E na sua casa: alarmes, proteger você e os seus
direção preventiva, uso de muros, grades nas familiares, não é mesmo?
cinto de segurança, janelas etc. Para que Agora, imagine como é na
manutenção do veículo internet, uma rede mundial
eles servem?
etc. Qual o propósito? com cerca de 2 bilhões de
usuários..
▪ Segundo a Pesquisa Nacional por Amostra
de Domicílios (PNAD) divulgada pelo
Instituto Brasileiro de Geografia e Estatística
(IBGE) em 25/11/2016, o número de
internautas brasileiros ultrapassou 100
milhões em 2015.
▪ O total de pessoas com mais de 10 anos que
se conectaram cresceu 7,1% em 2015, em
relação a 2014.
▪ O acréscimo de 6,7 milhões de usuários à
população brasileira na internet fez esse
contingente saltar para 102,1 milhões.
Perfil do Usuário no Brasil
▪ De acordo com uma pesquisa do IBGE, no Brasil, aproximadamente 102,1
milhões de pessoas com 10 ou mais anos de idade acessaram a Internet entre
2008 e 2015, atingindo 6,7 milhões de usuários.
▪ Um crescimento de 7,1%, se comparado com a pesquisa anterior em 2014.
▪ Além disso, ainda comparando 2014 com 2015, a pesquisa também registrou um
crescimento no número de usuários em todas as grandes regiões do país.
✓ Norte = 4,7%;
✓ Nordeste = 8,4%;
✓ Sudeste = 6,8%;
✓ Sul = 6,2% e
✓ Centro-Oeste = 8,7%
▪ Do total da população residente, a proporção de internautas passou de 54,4%
para 57,5% em 2015, com as Regiões Sudeste, Sul e Centro-Oeste acima da média
nacional (Gráfico 46).
▪ A partir da análise dos dados apresentados na tela anterior, você pode concluir que
o número de usuários conectados à internet no Brasil cresceu consideravelmente
nos últimos anos.
▪ O crescimento do número de usuários e as facilidades de acesso são informações
que atestam o sucesso da internet e os benefícios que a rede proporciona.
▪ Mas existe um problema, você sabe qual?
Chamamos de ataque a ocorrência de uma ou várias dessas ameaças a um sistema
de informação. Esse ataque pode ocorrer de forma acidental (curiosidade) ou
intencional, envolvendo casos de extorsão, uso de informação privilegiada e
espionagem, entre outros motivos.
Você utiliza os recursos da instituição onde você trabalha ou estuda para acessos na
internet somente para assuntos profissionais ou acadêmicos, mesmo que a empresa não
se utilize de meios de controle de acesso?
Você ficaria em situação constrangedora caso o seu superior na empresa ou o diretor da
sua escola soubesse quais sites você visita no horário de trabalho?
Como tudo começou...
▪ Para entender melhor a evolução, veja na linha do tempo abaixo como foi o
início da internet no Brasil e sua evolução nas décadas seguintes.
1990
No início da internet no Brasil, na década de 1990,
os acessos eram realizados por meio de conexão
discada com velocidades próximas dos 56 kilobits
por segundo (kbps).
Por meio de um modem e uma linha telefônica, o
computador discava para um provedor de acesso
à internet, estabelecendo a conexão.
Além de muito demorada e instável, essas conexões eram muito caras. Esse
cenário não era atrativo para os usuários comuns nem para os criminosos
cibernéticos. Por isso, naquela época nem se pensava nesse tipo de crime - tão
comum nos dias atuais.
Como tudo começou...
2000
Ao longo da década seguinte, avanços ocorreram e novas
tecnologias surgiram, como os dispositivos móveis e
outros equipamentos digitais. Cada dia mais as pessoas
acessam redes de computadores, e a internet foi se
popularizando, com disponibilização variada e constante
de serviços e informações precisas a respeito de todo tipo
de assunto.
2010
O acesso à internet é feito por banda larga, uma conexão
de alta velocidade para que o usuário tenha uma maior
agilidade na navegação, fazendo com que os
computadores fiquem conectados por longos períodos.
Vulnerabilidades da
Internet, Ameaças e
Proteção
Ameaças à Segurança
▪ O furto de dados é uma das grandes ameaças à segurança da informação.
▪ Seus dados pessoais e/ou suas senhas podem ser obtidos interceptando o
tráfego dos pacotes de dados na internet ou pela exploração de possíveis
vulnerabilidades no seu computador (como portas de acesso liberadas, falta
de um firewall, softwares piratas etc.).
▪ Tipos de técnicas utilizadas pelos criminosos virtuais:
✓ Varredura: O invasor faz varreduras na rede para descobrir
computadores com permissão de acesso, ou seja, que tenham uma porta
de comunicação aberta, e passa a usá-los para envio de e-mails, spam e
vírus.
✓ Interceptação de tráfego: O criminoso cibernético com acesso à rede
intercepta os dados que estão trafegando na internet (chamados de
pacote) e os copia ou os modifica.
▪ Tipos de técnicas utilizadas pelos criminosos virtuais:
✓ Ataque de navegação de serviço: O criminoso usa o
seu computador na rede para enviar grande volume
de mensagens para outros computadores, até torná-
lo inoperante ou incapaz de se comunicar.
✓ Ataque de força bruta: Computadores conectados à
rede e que usem senhas como método de acesso
estão vulneráveis a ataques de força bruta, que são
algoritmos que “tentam” descobrir a senha.
✓ Ataque de personificação: O criminoso cibernético
substitui um computador da rede por outro,
passando-se pelo dispositivo legítimo, capturando
senhas de acesso e informações que por ele
trafeguem.
▪ De forma geral, uma ameaça na rede em que um computador está
conectado pode torná-lo indisponível e colocar em risco a
confidencialidade e a integridade dos dados nele armazenados.
▪ Mais do que isso, ele pode ser utilizado para a prática de atividades
fraudulentas.
▪ Já imaginou o seu computador pessoal sendo usado para crimes virtuais?
▪ Sim, é verdade!
▪ Um bandido virtual pode, por exemplo, usar o seu computador para:
armazenar dados fraudulentos; lançar ataques contra outros
computadores, escondendo a real identidade e localização dele; propagar
vírus e disseminar spam; entre outras formas de atividades criminosas.
▪ É por isso que Fontes (2006, p. 78) destaca que só há uma forma de as
organizações protegerem suas informações: estabelecer e manter um processo
de segurança da informação, independentemente do porte da organização e do
negócio.
▪ Nesse processo de segurança, a conscientização dos usuários é fundamental.
▪ Você pode ampliar seus conhecimentos com relação ao uso seguro das redes e
principalmente da internet acessando os seguintes endereços:
✓ Cartilhas da SaferNet Brasil
• http://new.netica.org.br/educadores/cartilhas
✓ Navegar com segurança
• http://www.childhood.org.br/flipbook/navegar_seguranca/
✓ Internet segura
• http://www.internetsegura.br/
Meios de Proteção
▪ Para ser um usuário consciente e saber como evitar os ataques ao
computador, abaixo alguns cuidados fundamentais são apresentados.
✓ Firewall
• Firewall ou "Parede de fogo", conforme a sua
tradução, consiste em um dispositivo de segurança da
rede que, por meio de políticas, regras e recursos de
segurança, analisa, controla e monitora o tráfego de
entrada e de saída de dados na rede de computadores,
determinando quais operações poderão ser executadas
e quais acessos às informações no sistema serão
permitidos ou bloqueados.
• Um firewall pode ser um software ou um hardware
(neste caso, nada mais do que um equipamento com
um software firewall instalado).
Meios de Proteção
✓ Firewall
• O Firewall age como um filtro de defesa e segurança
da rede.
• Para isso, deve não apenas estar instalado mas
também configurado e habilitado no sistema para
exercer as suas funções.
• Atua como uma "barreira" de proteção e de controle
contra uma rede externa, como a Internet, por
exemplo, impedindo uma série de ações maliciosas,
entre elas, um programa que captura e espalha dados
sigilosos na internet, um malware que se instala em
um computador sem o usuário saber, um acesso não
autorizados à rede por computadores externos etc.
Meios de Proteção
✓ VPN
• Virtual Private Network – VPN ou "Rede Virtual Privada“, trata-se de um tipo
de rede estruturado para manter o tráfego de dados inacessível a usuários não
credenciados, isto é, somente pessoas devidamente credenciadas possuem
acesso às informações que trafegam pela VPN.
• Nessa estrutura as informações ficam ocultas, tornando-se protegidas até
mesmo contra qualquer tentativa de interceptação de pessoas mal
intencionadas.
Meios de Proteção
✓ VPN
• Não é por um acaso que se recomenda usar uma VPN quando o seu
dispositivo detectar uma conexão com Wi-Fi público.
• Uma rede virtual privada - VPN, além de funcionar tranquilamente em
navegadores e em aplicativos, é capaz de ocultar não apenas todos os dados
que estão trafegando, mas também o endereço IP, os sites visitados e a
localização territorial do dispositivo que está conectado.
• A qualidade da proteção de dados por criptografia em uma VPN pode variar
entre 128 e 2048 bits.
Meios de Proteção
✓ VPN
• Outro fator interessante é que ao usar uma VPN de outro país, essa estrutura
reconfigura o seu endereço IP local.
• Com isso temos a falsa interpretação que você está navegando do exterior,
mesmo estando no seu próprio país.
• Isso possibilita também o acesso a conteúdos que são restritos no país local, no
caso, no Brasil..
Meios de Proteção
✓ IDS/IPS
• Conforme sabemos, existem diversas ferramentas que tratam da segurança de
uma rede, entre elas: a criptografia, que aplica um determinado nível de
proteção para os dados, o Firewall, que controla o tráfego de dados (entrada e
saída dos pacotes da rede) e a VPN, que cria uma camada ou um túnel
criptografado entre dois pontos de rede.
• Mesmo assim, ainda não são totalmente eficientes e eficazes.
• Para reforçar este time de segurança, vamos estudar um pouco mais e
aprender sobre IDS/IPS.
Meios de Proteção
✓ IDS
• O IDS é um Sistema de Detecção de Intrusão (Intrusion Detection System)
capaz de fazer o monitoramento e a análise de possíveis incidentes de ataques
em um sistema de computação ou em uma rede de computadores.
• Auxilia na segurança detectando violações ou iminências de violações às
próprias regras ou políticas de segurança do ambiente.
• Um incidente pode ser causado por diversas ações,
como por exemplo uma ação de um malware
(worms, spywares etc.) ou então por meio de
ataques tentando um acesso não autorizado em um
ambiente com políticas de acesso.
• O IDS normalmente é utilizado em ambientes
corporativos, mas também pode ser implantado em
redes locais.
Como se Proteger?
▪ Vamos conhecer agora, outras formas de proteção que você pode adotar
contra as ameaças na rede.
✓ Não divulgue seus dados pessoais.
✓ Seja cauteloso ao informar o seu perfil ou preencher formulários da
internet.
✓ Evite contatos com desconhecidos. Se houver necessidade, marque
reuniões em lugares públicos.
✓ Fique muito atento às políticas de privacidade.
✓ Respeite a legislação vigente e se informe sobre os crimes cibernéticos
mais comuns.
✓ Sempre que perceber algo ameaçador denuncie pelo site
<www.denuncie.org.br>.
Rede sem Fio
▪ Nos grandes centros urbanos, em lugares públicos como aeroportos,
shoppings e restaurantes, é muito comum ver avisos de acesso gratuito a
wireless - a rede sem fio.
▪ Por se tratar de uma rede mais barata do que uma estrutura com cabos, a
disponibilização de conexões sem fio tem aumentado bastante.
▪ Origem:
✓ As redes sem fio, ou wireless, surgiram da mesma forma que muitas
outras tecnologias: no meio militar, inicialmente na Segunda Guerra
Mundial (1939-1945), pela necessidade de implementação de um método
simples e seguro para troca de informações no ambiente de combate.
✓ O tempo passou e a tecnologia evoluiu, tornando-se acessível também às
empresas, faculdades e ao usuário doméstico (JULIOBATTISTI, 2013).
Rede sem Fio
▪ Objetivo:
✓ O principal objetivo de uma rede sem fio é prover a comunicação e o
compartilhamento de recursos entre equipamentos (notebooks,
computadores, tablets e smartphones) em áreas específicas como
escritórios, edifícios, residências etc.
✓ Para que ocorra essa conexão, utiliza-se o Access Point (ponto de acesso),
aparelho que transforma os dados em ondas de rádio e os transmite por
meio de antenas, seja em ambientes fechados, seja em espaços abertos.
Rede sem Fio
▪ A rede sem fio pode ser utilizada tanto na forma indoor (interna) quanto na
forma outdoor (externa) (JULIO BATTISTI, 2005).
Indoor: o sinal é transmitido em

ambiente fechado, como escritórios
e residências, e normalmente
encontra muitos obstáculos. O
alcance é pequeno, em torno de até Outdoor: o sinal é transmitido ao ar
300 metros. É a forma mais comum livre, em ruas e parques, por
de uso da rede sem fio. exemplo. As antenas ficam nos
topos dos prédios, e para que haja
comunicação é necessário haver
espaços livres entre as antenas.
Possui longo alcance, podendo
chegar a vários quilômetros.
Rede sem Fio
▪ A comunicação de dados por redes sem fio
representa uma grande facilidade e, por isso, tem
atraído cada vez mais adeptos.
▪ Mas é aí que está o seu maior problema. Você
imagina o que é?
▪ Pense nisso: qualquer pessoa com um
computador com antena tem acesso a uma rede
sem fio aberta, incluindo os invasores
monitorando os dados que são trafegados e que
não possuem sistemas de segurança habilitado.
▪ Ou seja, as redes sem fio também exigem
cuidados e adoção de recursos de segurança, que
aumentam conforme o grau de confidencialidade
dos dados que estão sendo transmitidos nelas.
Gerenciamento da Capacidade
▪ Como você viu na tela anterior, a principal
vantagem das redes sem fio - a liberdade de você
ter acesso à internet em qualquer lugar - também
pode ser a sua maior vulnerabilidade.
▪ Portanto, se a sua rede sem fio não estiver
protegida, um invasor pode interceptar os dados
que você envia, acessar o seu computador e
vasculhar os diretórios e usar a sua conexão para se
ligar à internet e atacar outros computadores
(KARPERSKY, 2013).
Você alguma vez, ao ver no seu computador ou smartphone a mensagem

“rede sem fio disponível” quando estava em um local público, tentou
se conectar, mesmo sabendo que era uma rede desconhecida?
Rede sem Fio
▪ Veja algumas ações que podem ser usadas para você se proteger contra as
ameaças em redes sem fio..
Evite digitar números de

Em redes públicas ou
cartões de crédito, senhas
privadas, desabilite o
e acessar sites de
sinal wireless da antena
instituições financeiras,
do seu dispositivo caso
como internet banking, ao
não esteja utilizando este
acessar redes públicas
meio de conexão.
de wireless.
Rede sem Fio
Cada roteador possui uma

Crie uma senha de acesso
senha padrão, diferente da
à conexão sem fio e
senha de acesso à internet,
troque-a com frequência.
que permite a você acessar
Nunca libere esta
o equipamento e modificar
informação para terceiros.
as configurações.
Rede sem Fio
Cada roteador possui uma

Crie uma senha de acesso
senha padrão, diferente da
à conexão sem fio e
senha de acesso à internet,
troque-a com frequência.
que permite a você acessar
Nunca libere esta
o equipamento e modificar
informação para terceiros.
as configurações.
Rede sem Fio
Desligue o roteador O SSID (Service Set

quando viajar ou em Identifier) é um conjunto de
caracteres que dá nome a
longos períodos sem usá-
uma rede. São os nomes que
lo. Assim, além de
aparecem quando você está
economizar energia, você em um local com wireless e
evita o acesso de pessoas liga a antena do seu
mal-intencionadas. aparelho.
Rede sem Fio – Saiba mais...
✓ Senhas
• Habilite no roteador a criptografia WPA-2 (Wi-Fi Protected Access),
que exige uma chave de segurança dos usuários para se conectarem.
• Uma vez validada essa chave, todos os dados trocados entre o
dispositivo e o ponto de acesso são criptografados (MICROSOFT, 2013).
✓ SSID
• Por padrão, todos os roteadores deixam o nome da rede exposto.
Qualquer um que tenha um dispositivo portátil (smartphone, tablet
etc.) saberá que existe uma rede sem fio naquele local.
• Você pode desabilitar esta opção.
• Nesse caso, o sinal continuará habilitado e disponível, mas somente as
pessoas que sabem dessa informação poderão se conectar à rede - para
os demais ela estará invisível.
Controle de Acesso,
Criptografia e Certificação
Digital
O que é Controle de Acesso?
▪ Em espaços físicos, como nossa casa, por exemplo, os
recursos para controle de acesso (cadeados, alarmes
guardas de segurança etc.) têm o objetivo de proteger o
local e limitar a entrada de pessoas não autorizadas,
não é mesmo?
▪ Quando se trata de segurança da informação, não é
diferente.
▪ A proteção se aplica tanto fisicamente, isto é, ao
hardware (que são os equipamentos) quanto
logicamente, isto é, ao software (como aplicativos e
dados).
▪ Neste último caso, a segurança da informação está na
preservação das informações do sistema contra
qualquer ataque que possa causar perda, alteração ou
compartilhamento de dados sem a devida autorização
do responsável
Tipos de Controle de Acesso
▪ O controle de acesso físico pode ser entendido como um conjunto de medidas de
segurança que regula a entrada e a saída de pessoas aos ambientes.
▪ Esse controle é realizado por meio de restrições e registros, que servem como
barreira adicional de acesso ao ambiente.
▪ A segurança da informação tem o objetivo principal de garantir não apenas a
segurança lógica, mas também a segurança física, que é tão importante quanto.
▪ A segurança física é a base para a proteção de qualquer investimento feito por
uma organização.
▪ No controle de acesso físico, uma barreira é qualquer obstáculo que previne um
ataque.
▪ Essa barreira faz o controle físico por meio de um controle lógico, ou seja, todo
controle físico requer uma programação lógica para disparar uma ação de
reconhecimento ou de bloqueio de acesso ao ambiente desejado.
▪ A área protegida é chamada de perímetro de segurança.
▪ Todo acesso aos ambientes de uma empresa deve ter barreiras que garantam dois
aspectos fundamentais. Que são:
Autenticação Autorização
Verifica se o indivíduo é Determina as ações que o
realmente quem diz ser. indivíduo pode executar.
▪ Entre as tecnologias mais eficientes de controle, está a RFID (Radio
Frequency Identification), que em português significa identificação por
radiofrequência.
✓ A tecnologia RFID possibilita a captura automática de dados para a
identificação, por meio de um código único e de série, gravado em
microchip, que pode estar em qualquer objeto, como um cartão ou
ainda uma pulseira usada por alguém.
✓ A captura dos dados é automática, por meio de etiquetas eletrônicas
chamadas tags, que emitem as informações por sinais de rádio.
✓ Os sinais são lidos por equipamentos desenvolvidos especialmente para
isso, como este da imagem.
▪ Classificamos com uma autenticação híbrida quando empregamos uma
combinação muito comum envolvendo dois tipos de autenticação: uma
autenticação física, quando utilizada por um hardware – token ou smarphone,
combinada com uma outra autenticação, por exemplo, uma autenticação lógica
ou de conhecimento, quando se utiliza de informações pessoais, senhas e PINs.
▪ Esta prática garante um nível de segurança muito mais confiável.
▪ O acesso ao ambiente ou ao sistema é feito após pelo menos duas etapas de
identificação e reconhecimento.
▪ A primeira etapa por uma senha memorizada e digitada.
▪ A segunda, o dispositivo (hardware) informa uma outra senha gerada
aleatoriamente (modo randômico) por um código interno de programação
sigilosa que deve substituir a senha memorizada.
▪ Além disso, esta última senha, randomicamente gerada, é informada
rapidamente, em questão de segundos, para garantir a segurança e impedir
qualquer captura indevida.
▪ Saiba mais...
✓ Tokens são pequenos dispositivos,
utilizados principalmente nos sistemas
das instituições financeiras, para
reconhecer e autenticar, em tempo
sincronizado, usuários, processos e até
mesmo sistemas, proporcionando maior
segurança e confiabilidade de acesso às
informações.
▪ Vendo os exemplos que mostramos, talvez você esteja imaginando
que mecanismos de controle de acesso exijam altos custos de
investimento, certo?
▪ Você acha que isso é verdade?
▪ Bem, a resposta é: não. A maioria das ações pode ser implantada com
pouco investimento.
▪ São procedimentos e equipamentos que protegem ambientes e
informações de acesso restrito com eficácia, sem a intervenção de
sistemas informatizados, com custo baixo e curto tempo de
planejamento e execução.
▪ Alternativas de Segurança Física
✓ Perímetro de segurança claramente definido.
✓ Prédios e locais sem brechas que facilitem a invasão.
✓ Implantação de áreas de recepção que permitam apenas o acesso de
pessoas autorizadas.
✓ Barreiras físicas que previnam contra incêndio, inundação, fogo, fumaça e
contaminação.
▪ De forma geral, o tipo de segurança física que uma empresa escolhe utilizar e
o investimento que isso demanda estão diretamente relacionados ao valor de
seus bens, numa relação de custo/benefício.
▪ Por isso, a eficácia de um sistema de segurança física depende muito mais das
regras de segurança adotadas - e da conscientização dos funcionários -, do que
dos equipamentos utilizados.
▪ Você conhece o ditado popular “é melhor prevenir do que remediar”?
▪ No controle de segurança física essa é uma medida importante.
▪ Tomar precauções para garantir o uso dos recursos da empresa é o que vai
evitar danos.
▪ Todos os aspectos devem ser considerados, desde o investimento em
recursos que garantam a segurança até o monitoramento e a definição de
melhorias no processo.
▪ Todo e qualquer item que seja essencial ao funcionamento diário da
empresa deve ser protegido e isolado de ameaças potenciais, que podem
ser as mais diversas: desde intervenções ao sistema sem autorização; até
mesmo perigos ambientais e acidentes, como incêndios, interferências
elétricas, vazamento de água etc.
▪ Abaixo alguns procedimentos que podem ser realizados para garantir as
precauções comentadas na tela anterior.
Proteger os
Desligar os equipamentos com capas Fazer manutenções
equipamentos da e materiais específicos regularmente com
rede energizada para este fim (não técnicos
após o uso. colocar panos nem especializados.
improvisar proteções).
Em caso de
suspeita de danos Não improvisar
ou problemas no peças ou consertos.
equipamento, não Isso é trabalho de
usá-lo e informar especialistas.
ao encarregado.
Análise de Riscos
▪ A análise de riscos aponta as vulnerabilidades físicas da organização e é
sempre realizada por especialistas no assunto.
▪ Se possível, esses profissionais devem ser externos à organização para que
suas conclusões não sejam influenciadas pelos envolvidos no processo.
Por exemplo: para garantir a disponibilidade da

informação, é preciso o fornecimento constante de
energia, certo? Por isso, é fundamental o uso de
equipamentos que permitam o fornecimento sem
interrupções, como no-breaks e geradores.
Análise de Riscos
▪ Outros exemplos:
✓ Climatização dos ambientes.
✓ Uso e definição dos equipamentos críticos.
✓ Política de descarte de produtos e materiais.
✓ Destino dos equipamentos sem conserto.
✓ Uso de material de segurança.
✓ Forma de armazenamento dos documentos.
✓ Controle de acesso aos equipamentos.
▪ Os resultados da análise devem ser interpretados como o retrato da real
situação da empresa.
▪ Esta visão permite identificar quais investimentos devem ser priorizados,
melhorando a segurança.
▪ Essa análise deve ser constantemente revisada e monitorada.
Análise de Riscos
▪ Realizar um plano de segurança física requer investimentos e ações.
▪ Vale lembrar que, mesmo durante o seu andamento, deve ser
constantemente revisto e modificado.
▪ A fim de minimizar o tempo de parada dos sistemas em função de serviços
indisponíveis, por exemplo, é fundamental o desenvolvimento de
mecanismos que monitorem em tempo real e identifiquem rapidamente o
problema, determinando as causas para assim restaurá-los.
▪ São cuidados muito importantes, pois a falta de segurança física na
empresa pode resultar em danos que vão além do financeiro.
✓ Perda de credibilidade no mercado.
✓ Imagem negativa junto aos colaboradores, clientes e fornecedores.
✓ Desvalorização da marca.
Acesso Lógico
▪ O controle de acesso lógico é o conjunto de medidas de segurança que
protegem os recursos informatizados conforme a necessidade e os
privilégios de acesso do usuário.
▪ Classificado como “sujeito ativo”, esse usuário deve ser identificado e
autenticado por meio de senha ou outros mecanismos de verificação.
▪ Esse controle de acesso pode ser resumido em termos de funções de
identificação e autenticação de usuários, gerenciamento e monitoramento
de privilégios, limitação e desabilitação de acessos e na prevenção de
acessos não autorizados.
▪ A segurança lógica é um processo em que um sujeito ativo deseja acessar
um objeto passivo.
▪ O sujeito é um usuário ou um processo da rede e o objeto pode ser um
arquivo ou outro recurso de rede (estação de trabalho, impressora etc.)
(PINHEIRO, 2009).
Acesso Lógico
▪ Se você utiliza e-mail, redes sociais ou outro serviço da internet,
provavelmente já conhece o procedimento padrão de preencher nome de
usuário e senha para ter acesso ao serviço, certo?
▪ As principais ferramentas de controle de acesso lógico são o processo de
login, a autenticação do usuário e o uso de senhas seguras.
▪ São usados para dar acesso aos dados e aplicações em um sistema
informatizado.
▪ Esse é o meio de controle de acesso lógico mais comum e mais utilizado,
mas também o de maior fragilidade.
▪ Assim, juntamente com esse controle, é preciso que existam outras
estratégias para assegurar algumas diretrizes.
Acesso Lógico
▪ Diretrizes:
✓ Acesso aos recursos apenas para usuários
autorizados.
✓ Acesso dos usuários apenas aos recursos
realmente necessários para a execução de
suas atividades.
✓ Acesso a recursos críticos constantemente
monitorado e restrito.
✓ Garantia de que os usuários não
executem transações incompatíveis com a
sua função.
Acesso Lógico
▪ Para complementar o que falamos na tela anterior, veja no infográfico
abaixo algumas dicas sobre segurança no acesso lógico e a utilização de
senhas.
1
2
3
4
Acesso Lógico
▪ Dicas sobre segurança:
1. Os colaboradores desligados ou clientes que não usam mais o serviço
disponibilizado, devem ter suas senhas cancelados.
2. Uma senha segura não deve ter menos do que seis caracteres. Alguns dados
também não devem ser usados para criar sua senha: nome ou apelido, cargo,
nomes de membros da família ou animais de estimação, nomes de lugares,
números de telefone e documentos pessoais (CPF, RG, etc.), placa do
veículo, etc.
3. Antes de habilitar a aplicação da senha, o usuário deve tomar conhecimentos
e ser orientado a seguir as políticas determinadas pela organização, para
geração e armazenamento de senha e para o uso de serviços.
4. A política de segurança da organização deve orientar o cliente ou
funcionário a escolher senhas seguras, evitando uso de senhas muito longas
que obriguem a escrevê-las em papel para lembrá-la.
Acesso Lógico
▪ Na ocorrência de uma invasão, um erro ou uma atividade não autorizada, é
primordial reunir evidências para se tomar medidas corretivas necessárias.
▪ Por isso, após a identificação do usuário, ocorre a autenticação, ou seja, o sistema
confirma se o usuário é ele mesmo.
▪ Os sistemas de autenticação no acesso lógico combinam hardware, software e
procedimentos que permitem o acesso do usuário aos recursos computacionais.
▪ Como você viu anteriormente, na autenticação o usuário apresenta algo que ele
sabe (senha) ou possui.
▪ O que ele possui pode ser um dispositivo, mas pode também envolver
características físicas, como formato da mão, da retina, do rosto e até mesmo
reconhecimento da voz.
▪ Esse processo é chamado de biometria.
Acesso Lógico
▪ Dicas e curiosidades para a segurança durante a identificação e o registro de
acesso.
Dica 01
Os aplicativos devem obrigar os usuários a utilizarem senhas
que combinem números, letras e símbolos especiais e que
tenham pelo menos seis caracteres. Independentemente de
atender às regras apresentadas, as senhas devem ser alteradas
frequentemente.
Dica 02
Deve-se evitar o uso da mesma senha para mais de um acesso
em sistemas distintos, pois caso o invasor descubra a senha,
provavelmente testará em outros sistemas, gerando um
problema ainda maior.
Acesso Lógico
▪ Dicas e curiosidades para a segurança durante a identificação e o registro de
acesso.
Dica 03
A identificação do usuário deve ser única, e cada usuário deve
ter um nome de identificação no sistema e uma senha. Além
disso, é importante ter um cartão de identificação ou qualquer
outro meio que intensifique a segurança de acesso.
Dica 04
Além da identificação, os registros de acesso ao sistema devem
ser gravados em arquivos de LOG, com hora, data e nome do
usuário. Esses arquivos permitem a auditoria em casos de
fraudes ou uso indevido. São muito importantes pois, em
alguns casos, são a única forma de descobrir essas ações.
Biometria
▪ Como já falamos, o termo biometria designa

um método automático de reconhecimento
individual baseado em medidas biológicas
(anatômicas e fisiológicas).
▪ Parece algo futurista, não é mesmo?
▪ Na verdade, sistemas que possibilitam a
identificação do usuário baseada em suas
características físicas são uma evolução natural
dos sistemas manuais de reconhecimento,
como a análise grafológica da assinatura.
Biometria
▪ Principais características dos sistemas biométricos.
Digital Voz
As impressões digitais
Os sistemas de controle Retina
são características
de acesso que utilizam Os sistemas que
únicas e consistentes. O
voz possuem uma alta utilizam características
sistema compara a
taxa de falha no descobertas através da
impressão digital lida
reconhecimento, que análise da retina ou da
com a base de dados de
pode ser causada por íris são mais confiáveis
impressões digitais de
ruídos no ambiente ou do que o sistema de
pessoas autorizadas,
problemas de saúde que digital, por exemplo.
utilizando de 40 a 60
afetem a voz do
pontos para garantir a
usuário.
identidade do usuário.
Biometria
▪ Contextualizando...
Imagine que você se dirigiu a uma clínica para retirar o

resultado de um exame médico.
Você informa seu nome e a atendente lhe entrega um
envelope com o documento.
Ao chegar em casa e abrir o envelope você percebe que o

exame é de outro paciente com o mesmo nome que o seu,
mas outra idade, altura e peso, além de tratamento médico
diferente.
Biometria
Você pode até ficar preocupado, mas note que você não
cometeu nenhum ato ilícito e nem usou de má fé em qualquer
procedimento, ou seja, legalmente não há o que temer!
Porém, você está com informações que não lhe pertencem...
Então, o que fazer? Devolver o exame à clínica?

Provavelmente, eles irão penalizar a atendente que cometeu o
erro...
Qual a melhor atitude?
Biometria
▪ Primeiro, tenha em mente que a atitude que você

tomar está diretamente relacionada à sua
consciência do que é certo ou errado.
▪ Agora, coloque-se no lugar do outro paciente: o
envelope contém dados pessoais, informações
sigilosas que correm o risco de se perderem.
▪ O melhor seria se você tivesse notado o erro antes
e não tivesse aberto o envelope, assegurando o
sigilo das informações.
▪ Mas, mesmo assim, independentemente das
penalizações que a atendente poderá sofrer,
devolver o exame à clínica é a atitude digna e
moralmente correta.
Códigos criptografados,
integridade e autenticidade
das informações
Criptografia
▪ A criptografia é uma técnica utilizada para tornar incompreensível uma
mensagem que foi escrita com clareza.
▪ Você pode estar se perguntando: para quê fazer isso? A resposta é bem simples:
segurança da informação.
▪ Por meio dessa técnica, um texto original vira uma informação cifrada, ou seja,
ele muda de forma e se torna ilegível, sendo entendido apenas por alguém que
conhece o seu código.
▪ Com isso, é mantida a privacidade do conteúdo.
Criptografia
▪ Um dos empregos mais comuns da criptografia ocorre na área da computação.
▪ A transformação digital da informação é bem maior, pois a capacidade de processamento dos
computadores é gigantesca, se comparada ao processo que seria realizado manualmente pelo ser
humano.
▪ Observe abaixo como ocorre essa transformação.
Criptografia
▪ Conforme podemos observar em qualquer pesquisa sobre o conceito da criptografia, encontramos
basicamente os mesmos princípios em que esta técnica está pautada:
✓ Confidencialidade
• É fundamental que apenas pessoas autorizadas tenham acesso ao sistema computacional,
qualquer que seja a complexidade ou finalidade do trabalho.
• Por isso, controlar o acesso por meio de login e senha é uma prática tão utilizada nas
organizações, para garantir esse princípio.
✓ Integridade
• Tão importante quanto acessar os dados é poder modificá-los.
• Para que as regras de uso sejam garantidas é necessário que o sistema computacional
diferencie o perfil de cada usuário e as suas permissões.
✓ Disponibilidade
• Equipamentos e infraestrutura para sua utilização devem ter manutenção e monitoramento
constantes para evitar problemas inesperados e inoperância dos sistemas.
▪ A utilização dessa técnica permite a segurança e a proteção dos dados numa rede de computadores,
como por exemplo, a captura de senhas, de dados pessoais, de informações confidenciais, de acessos e
permissões indevidas à pessoas não autorizadas.
Criptografia
▪ O grau de eficiência de uma criptografia é avaliado pela dificuldade para
decifrar a mensagem por ela codificada.
▪ Quanto mais difícil, mais eficiente será o método.
▪ Mesmo com os recursos tecnológicos, o esforço e tempo necessários para
descobrir uma mensagem cifrada, muitas vezes, não compensam os métodos
utilizados.
▪ Por isso a criptografia é um meio tão seguro para proteger informações.
▪ Você já ouviu falar em criptoanálise?

✓ A técnica, o esforço e todo o processo envolvido para decifrar uma mensagem
criptografada é chamada de criptoanálise.
✓ Esta é uma engenharia reversa, usada para tentar descobrir qual a regra de
criptografia que foi aplicada em determinada escrita.
Criptografia
▪ Algumas utilidades da criptografia para manter a segurança dos seus dados e facilitar a sua vida.
A criptografia pode criar

uma área específica no
A criptografia pode seu computador, na qual
proteger os dados todas as informações que
sigilosos armazenados forem gravadas lá sejam
em seu computador. automaticamente
criptografadas.
Criptografia
▪ Algumas utilidades da criptografia para manter a segurança dos seus dados e facilitar a sua vida.
A criptografia pode
A criptografia pode
preservar seus dados
proteger as comunicações
contra acesso indevido,
realizadas pela internet,
principalmente aqueles
como os e-mails enviados
enviados para áreas de
e recebidos, e as
armazenamento externo
transações bancárias e
de mídias, como o pen
comerciais realizadas.
drive.
Tipos de Criptografia
▪ Os dois tipos de criptografia existentes são:
✓ Substituição:
• A criptografia por substituição, conhecida como Cifra de César, funciona,
basicamente, pela substituição das letras de uma mensagem por outras do
mesmo alfabeto.
• Esse tipo de criptografia não é mais utilizado por ser muito vulnerável, ou
seja, a codificação pode ser descoberta com certa facilidade.
• Se a quantidade de letras deslocadas do alfabeto original para o cifrado for
exposta, o algoritmo perde a sua eficiência.
▪ Os dois tipos de criptografia existentes são:
✓ Transposição:
• A cifra de transposição é um método de criptografia que funciona de acordo
com um sistema de substituição variável, em que a troca de um símbolo por
outro depende de um elemento chamado de chave.
• Esses algoritmos criptográficos são divididos em dois tipos: sistemas
criptográficos simétricos (chave privada) e sistemas criptográficos
assimétricos (chave pública).
▪ Os dois tipos de criptografia por transposição são:
✓ Criptografia Simétrica:
• As criptografias simétricas são as mais simples. Utilizam somente uma chave para criptografia e
descriptografia, que são valores com uma informação que será codificada para produzir o texto
cifrado.
• Seu tamanho é medido em bits: quanto maior, mais eficiente é o processo.
• Mas não pense que, por se tratar de uma única chave, não é preciso mantê-la em segredo para
garantir a confidencialidade da mensagem.
• O segredo aqui é tudo!
• Por isso é conhecida como criptografia de chave privada.
✓ Criptografia Simétrica:
O emissor escolhe o O receptor utiliza o mesmo

algoritmo (AES, Blowfish, algoritmo e a mesma chave
RC4, 3DES e IDEA) é uma para decifrar o texto
chave (que pode ser uma cifrado e obter o texto
frase, palavra ou original.
informação. Será sua senha
secreta)
A chave é transmitida ao
receptor por um seguro
junto com o texto cifrado.
✓ Criptografia Assimétrica:
• Este modelo foi desenvolvido por Whitfield Diffie e Martin Hellman em 1975.
• Ele faz uso de duas chaves para o processo de codificação: uma pública (para criptografar os dados)
e uma privada (para descriptografá-los).
• A chave pública é distribuída livremente para todos, enquanto a chave privada deve ser conhecida
apenas pelo seu proprietário.
• A criptografia assimétrica é indicada para a transmissão via meios de comunicação, como a internet.
• Porém, ela apresenta um processamento de dados mais lento.
▪ As duas criptografias que você viu na tela anterior não são excludentes, ou seja, não é necessário
utilizar apenas uma.
▪ Na verdade, é possível combinar os melhores aspectos das duas. Você imagina por quê?
▪ Porque, combinando os dois tipos de codificação, podemos obter a velocidade do método
simétrico, com a facilidade de distribuição de chaves do método assimétrico.
▪ A maioria dos métodos atuais de criptografia já utiliza regras dos dois tipos de codificação para
que o processo ocorra com a maior velocidade de processamento possível, sem perda de
segurança.
Criptografia Simétrica X Assimétrica ou Chave Primária X Chave Pública

http://www.youtube.com/watch?v=I3qEH3zIDr0
Aplicações da Criptografia
▪ Atualmente, a criptografia é mais utilizada para encriptação de dados e de voz, mas existe outro
campo de atuação que é bastante forte hoje em dia, e onde essa tecnologia é muito importante.
▪ Você sabe qual?
Com o crescimento do comércio Todos os dados transmitidos no comércio

eletrônico, tanto de produtos quanto de eletrônico, como números de cartão,
serviços, aumenta também a necessidade dados pessoais e condições de pagamento,
de se poder contar com ferramentas que são criptografados. É preciso que esse
garantam a integridade, a autenticidade e a sistema seja muito seguro para que o
confidencialidade de todos os dados usuário fique tranquilo na hora de realizar
utilizados nessas transações. suas compras.
Aplicações da Criptografia
▪ Mesmo com todas as vantagens da criptografia, o melhor método de segurança
ainda é usar bem as possibilidades de codificação que os sistemas oferecem.
▪ É aí que entra você: o usuário.
▪ Para garantir o sigilo das informações, é preciso que você tome algumas medidas
de segurança, que evitam a ação de intrusos, seja no seu computador ou em
dispositivos móveis.
▪ Lembre-se de que a segurança da informação é resultado de um conjunto de
ações.
▪ Veja algumas dicas dicas:
✓ Mantenha os aplicativos de segurança sempre atualizados.
✓ Não divulgue dados secretos, como senhas ou nome de usuário.
✓ Sempre mantenha uma cópia dos dados. Mesmo criptografados, nada impede
que eles sejam apagados por um invasor.
Certificação Digital
▪ Vamos falar agora de outro mecanismo que também oferece uma maior segurança
das comunicações e transações eletrônicas: a certificação digital.
▪ Você já ouviu falar nesse termo?
▪ Esse procedimento garante a identificação do remetente e evita que os dados
transmitidos sejam adulterados no caminho entre ele e o destinatário.
▪ O processo de certificação digital se dá por meio de uma espécie de “selo de
confiabilidade”, denominado Certificado Digital, que é concedido por uma
Autoridade Certificadora a uma pessoa física ou jurídica.
▪ A intenção dessa certificação é garantir a autenticidade, a confidencialidade e a
integridade às informações eletrônicas que estão transitando no universo
cibernético.
▪ Uma vez recebida uma informação eletrônica com uma certificação digital, está
comprovada e reconhecida por autenticidade de que não houve qualquer
adulteração entre a informação recebida e a informação original enviada.
▪ Quando se pensa em certificação digital, na verdade estamos nos preocupando com
as garantias de segurança não só de acesso às informações quanto à troca de
documentos eletrônicos.
▪ Sabemos que na era digital que estamos atualmente, o recurso mais utilizado para a
transmissão de dados é a Internet.
▪ Não somente as pessoas, mas também as entidades públicas ou privadas são os
agentes.
https://www.youtube.com/watch?v=gzA_opHRUAM
▪ Você já imaginou se alguém acessar o seu e-mail e enviar
mensagens para outras pessoas em seu nome?
✓ Quando você usa um serviço de e-mail gratuito e arquiva nessa ferramenta
todas as suas mensagens, você sabe onde estes dados estão armazenados.
✓ E se alguém acessar seu e-mail e passar a enviar mensagens para outras
pessoas em seu nome?
✓ É nesse contexto que a certificação digital atua: comprovar a identidade de
uma pessoa ou um site evitando fraudes em transações eletrônicas ou no
acesso a documentos armazenados em ambiente virtual.
✓ Dois itens fazem parte do processo: certificado e assinatura digital, ambos
criptografados.
Assinatura Digital
▪ A Assinatura Digital consiste em conceder (firmar, outorgar, referendar)
eletronicamente a autenticidade de um documento a uma pessoa ou uma entidade,
da mesma forma como é assinado de próprio punho um contrato, um termo ou
qualquer documento que necessite da comprovação de validade e da autoria das
informações.
▪ Esse processo garante toda integridade e autenticidade do autor com o seu
documento.
▪ Além de agilizar, simplificar e reduzir custos em relação aos trâmites normais de um
documento não digitalizado, permite ainda a isenção da tradicional "coleta manual
de assinaturas", dos encaminhamentos, despachos, reconhecimento de firmas e da
própria gestão que um documento físico exige.
▪ O processo ocorre por meio de algoritmos de autenticação (por criptografia),
efetuando-se um processo lógico-matemático denominado função de hashing sobre
o item do documento, criando um elemento criptografado que será utilizado como
assinatura.
Assinatura Digital
▪ A legalidade da assinatura digital é garantida por Medida Provisória (artigo 10 da
MP nº 2.200-2), com a instituição da Infraestrutura de Chaves Públicas Brasileiras -
ICP-Brasil, conferindo, em forma eletrônica, a autenticidade do referido documento
ao respectivo signatário.
https://www.youtube.com/watch?v=UlRCVihN3pE
Assinatura Digital
▪ Como já vimos, o elemento
criptografado é então gerado por uma
função de hashing.
▪ Cada documento possui um elemento
criptografado exclusivo.
▪ Qualquer alteração no documento, seja
uma alteração de caractere minúsculo
para maiúsculo, um espaço, uma nova
pontuação, gera um novo elemento
criptografado.
▪ No esquema a seguir, você
compreenderá melhor como funciona o
procedimento da função de hashing.
▪ Observe a figura ao lado.
Assinatura Digital
▪ Dando continuidade à tela anterior, veja na animação abaixo como ocorre a validação da
mensagem digital até chegar ao seu destinatário.
Assinatura Digital
▪ Segundo orientações da Secretaria de Estado de Fazenda do Distrito Federal (2017), para
comprovar uma assinatura original é necessário realizar, inicialmente, duas operações:
1. Calcular o elemento criptografado do documento;
2. Decifrar a assinatura com a chave pública do signatário.
▪ A partir daí, se forem iguais, a assinatura está correta, ou seja, foi gerada pela chave privada
correspondente à chave pública utilizada na verificação e o documento está íntegro.
▪ Se forem diferentes, a assinatura está incorreta, isto é, pode ter havido alguma alteração no
documento ou na assinatura pública.
A assinatura digital é um meio pelo qual se pode conservar, com

segurança, a integridade e a procedência de um documento.
Assinatura Digital
▪ É importante você saber que a certificação digital traz diversas vantagens, porém sua utilização
não torna as transações realizadas isentas de responsabilidades.
▪ O uso da chave privada autentica uma transação ou um documento e confere o atributo de não
repúdio à operação, ou seja, o usuário não pode negar, posteriormente, a autoria daquela
transação.
▪ Por isso, é importante que você tenha condições de proteger a sua chave privada de forma
adequada, pois se alguém se passar por você, proprietário da assinatura digital, é sobre você que
recaem as responsabilidades legais e financeiras.
Certificado Digital
▪ O certificado digital é mais uma forma de garantir a confidencialidade e a autenticidade na troca
de informações.
▪ Ele é um arquivo eletrônico armazenado em uma mídia digital que contém dados do seu titular
(pessoa física ou jurídica), utilizados para relacionar tal pessoa a uma chave criptográfica.
▪ Além de atestar a identidade, ele garante o não repúdio nas transações comerciais e financeiras
por ele assinadas e a integridade, o sigilo e a segurança das informações.
▪ Em resumo, é quem somos para as pessoas e para os sistemas de informação.
▪ Veja algumas informações que normalmente aparecem em um certificado digital.
✓ Nome da pessoa ou entidade a ser associada à chave pública.
✓ Período de validade do certificado.
✓ Chave pública.
✓ Nome e assinatura da entidade que assinou o certificado.
✓ Número de série.
Certificado Digital
▪ Existem diferentes tipos de certificado digital que se distinguem, entre outros aspectos, pelo tipo de mídia e
pela validade.
▪ Veja na tabela abaixo alguns exemplos.
▪ Clique nos ícones em destaque para saber mais.
O Tipo de certificado é definido pelo
usuário no momento da contratação do
serviço
O prazo de validade do certificado

varia de acordo com a unidade
certificadora, sendo o prazo máximo de
cinco anos. Após o vencimento do
prazo de validade, o certificado digital
é automaticamente considerado
expirado.
Os documentos que foram assinados

durante o período válido do certificado
têm sua validade assegurada por
tempo indeterminado. Mesmo que o
certificado explore, o documento
autenticado será aceito e reconhecido
como autêntico.

SEG - Seguran-A Da Tecnologia Da Informacao

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SEG - Seguran-A Da Tecnologia Da Informacao

Enviado por

Direitos autorais:

Formatos disponíveis

SEGURANÇA EM TECNOLOGIA

Não adianta guardar a informação em cofres.

✓ Aplicativos (Programas fonte e objeto);

A proteção dos recursos

Comece pelo básico: instale um programa

Instale um programa de firewall. Ele é uma

Instale um programa anti-spam e, quando receber um e-

Dispositivos removíveis são mecanismos de

Tome cuidado ao baixar arquivos de sites desconhecidos

Desconfie de mensagens suspeitas.

Vamos utilizar a definição do site significados.com.br, que define

“A segurança da informação está fundamentada em valores

Pense nas ações de São ações que visam

Indoor: o sinal é transmitido em

Você alguma vez, ao ver no seu computador ou smartphone a mensagem

Evite digitar números de

Cada roteador possui uma

Cada roteador possui uma

Desligue o roteador O SSID (Service Set

Por exemplo: para garantir a disponibilidade da

▪ Como já falamos, o termo biometria designa

Imagine que você se dirigiu a uma clínica para retirar o

Ao chegar em casa e abrir o envelope você percebe que o

Então, o que fazer? Devolver o exame à clínica?

▪ Primeiro, tenha em mente que a atitude que você

▪ Você já ouviu falar em criptoanálise?

A criptografia pode criar

O emissor escolhe o O receptor utiliza o mesmo

Criptografia Simétrica X Assimétrica ou Chave Primária X Chave Pública

Com o crescimento do comércio Todos os dados transmitidos no comércio

A assinatura digital é um meio pelo qual se pode conservar, com

O prazo de validade do certificado

Os documentos que foram assinados

Você também pode gostar