Escolar Documentos
Profissional Documentos
Cultura Documentos
Inf. Cludino
Inf. Cludino
de Licenciatura Em Contabilidade e
pela Coordenação:
Índice
1. Introdução ........................................................................................................................... 4
3. Conclusão ......................................................................................................................... 16
1. Introdução
Com tantas informações importantes sendo trocadas, é despertado o interesse de pessoas com
más intenções no uso destes dados. Basta acompanhar as notícias para descobrir uma nova
invasão na rede de um banco ou o roubo de informações de uma grande empresa ao redor do
mundo. Os crackers e outras pessoas especializadas em corromper a segurança de sistemas da
informação também estão avançando em suas estratégias. Por isso, a cada dia se faz mais
importante para as organizações terem profissionais especializados e dedicados em proteger
estas informações.
1.1.Objetivos
Geral
Específicos
1.2.Metodologia
1.3.Conceituação
A palavra sistema é definida por Lacombe (2004, p. 286) como sendo um “conjunto integrado
de elementos dinamicamente inter-relacionados, desenvolvendo uma atividade ou função,
para atingir um ou mais objetivos comuns ao conjunto”. Já Chiavenato (2002, p. 571),
discorre sobre informação sugerindo que:
SIG – Sistemas de Informação Gerenciais: Sintetizam os dados das operações para auxílio
na tomada de decisão do corpo gestor da empresa.
1.4.Segurança da Informação
De acordo com Silva et al (2003), as teorias e consequente aplicação do termo segurança dos
sistemas de informação iniciou-se com os próprios técnicos que, após criarem os sistemas,
verificaram a transição para gestores e outros usuários e a crescente utilização dos meios
como computadores e redes, despertando a necessidade de assegurar estas estruturas. Para o
6
autor, existem alguns princípios que devem ser buscados para satisfazer os critérios mínimos
para SI, sendo eles:
Relação custo/benefício;
Concentração;
Proteção em profundidade;
Consistência do plano;
Redundância.
Com relação aos aspectos da SI no que diz respeito à proteção de dados e computadores,
Laudon e Laudon (1999, p. 270) explica que:
Três importantes aspectos da segurança são: garantir a segurança dos dados, proteger os PCS
e redes e desenvolver os planos de recuperação dos desastres que afetam os sistemas de
informação. Todos esses aspectos exigem mais atenção agora do que antes devido à crescente
dependência em relação às redes e à internet.
Para Cabral e Caprino (2015, p.22) “a gestão de risco é o objetivo máximo da segurança da
informação” sendo “risco, algo definido de várias maneiras, nas mais diversas disciplinas,
mas podemos fazê-lo de forma genérica como „a probabilidade e potencial magnitude de uma
perda futura‟”. Os autores defendem que o primeiro passo para uma correta gestão de riscos é
identificá-los. Após, deve ser analisá-los e definir qual passo tomar, entre os quais sugerem:
Mitigar o risco: caso o risco seja considerado muito alto pela empresa, ela pode tomar
precauções para reduzi-lo, geralmente diminuindo suas vulnerabilidades. Este tipo de risco
também requer um controle frequente, para que se acompanhe as probabilidades de causar
algum dano à organização.
Aceitar o risco: é quando o risco não apresenta ameaça direta ou é aceitável pela
organização. Neste passo, a empresa segue em frente sem nenhuma atitude a tomar mediante
ao risco.
Transferir o risco: existem alguns riscos, independentemente do tamanho, que poder ser
terceirizados. Uma alternativa é a contratação de seguros, por exemplo. A SI deve ser pensada
em todas as etapas que a informação percorre, seja na entrada, no processamento ou na saída
das informações, pois ela estará sujeita a falhas e intervenções externas em vários momentos.
De acordo com Campos (2006, p. 99) a política de SI em uma organização “deve indicar
como as coisas devem acontecer na organização no que se refere à segurança da informação”.
O autor ainda cita como exemplo de uma política de segurança da informação, a forma como
os e-mails serão disponibilizados aos colaboradores de uma organização. Em algumas
empresas, o uso é livre, em outras há a restrição de que o uso seja apenas para fins
profissionais.
Além de estabelecer padrões e propor soluções imediatas para momentos de crise, possuir
uma política de SI também tem outras funções, segundo Fontes (2012):
Atender à legislação;
Atender à exigência do mercado e dos próprios clientes;
Se adequar às melhores práticas;
Acompanhar o avanço tecnológico;
Atender às necessidades do próprio negócio;
A empresa que possui uma política bem definida apresenta várias vantagens frente a outras
organizações que não a utilizam. Campos (2006, p. 100) destaca que uma das vantagens “é
que todos passam a conhecer „as regras do jogo‟, ou seja, as pessoas sabem como se
comportar em diversos temas diferentes dentro da organização. Sabem o que podem e o que
não podem fazer”.
Conheça seus possíveis inimigos: identifique possíveis ações e perigos antes que
aconteçam.
Contabilize os valores: uma política de SI eficaz pode requerer a contratação de novos
profissionais ou a compra de novos equipamentos. Todos estes valores devem ser
levantados antecipadamente para evitar alterações no plano.
8
Identifique, examine e justifique suas hipóteses: qualquer aspecto que não for
previamente identificado pode ocasionar uma grande mudança no escopo do plano,
atrasando os trabalhos e gerando desconforto.
Controle os seus segredos: estabeleça quais são as informações totalmente secretas.
Avalie os serviços estritamente necessários para o andamento dos negócios na
organização: este fator é válido para evitar conflitos com os usuários.
Considere os fatores humanos: muitas das falhas nos procedimentos de segurança são
causados pelas pessoas. É preciso convencer os usuários de sua responsabilidade em
todos os processos.
Conheça seus pontos fracos: seja crítico e reconheça suas fraquezas.
Limite a abrangência do acesso: crie barreiras como uma zona desmilitarizada,
equilibrando a força entre toda a rede.
Entenda o ambiente: é preciso conhecer o funcionamento regular da rede para
identificar de maneira rápida quando algo está fora do normal.
O local físico onde estão concentradas as informações também deve possuir um plano de SI
que contemple os riscos físicos envolvidos. Tanto nas empresas que centralizam esta
responsabilidade quanto em Data Center, os riscos abrangendo a estrutura física são diversos,
porém passíveis de serem evitados com as medidas corretas. Campos (2006, p. 13) salienta
três importantes riscos relacionados ao ambiente para a segurança, sendo:
Como sistemas de controle físicos de acesso podem ser utilizados crachás e a leitura
biométrica. Este tipo de acesso também deve ser monitorado e atualizado constantemente para
evitar a entrada de ex-colaboradores ou pessoas utilizando cartões perdidos de colaboradores.
Outras ações efetivas são o uso de câmeras, catracas e a própria utilização de seguranças
previamente capacitados para realizar o controle de acesso. O ideal é sempre associar duas ou
mais barreiras para aumentar a efetividade do controle.
Para os riscos envolvendo ação humana, Geus e Nakamura (2007, p. 87) afirmam que o
controle de acesso é o meio mais eficaz:
9
O acesso direto aos sistemas é uma das facetas dos ataques físicos, os quais podem possuir
dimensões ainda maiores. O controle de acesso físico, por exemplo, é uma delas, e deve ser
utilizado para minimizar possibilidades de ataques físicos diretamente aos sistemas [...] O
controle aos servidores têm de ser o mais restrito possível, com um sistema de identificação
eficiente.
Além dos riscos de invasão e hackeamento, ocasionado por pessoas, outros riscos como
incêndios, alagamentos e outros de forças maiores também precisam estar previstos, para que
as pessoas responsáveis possam ter uma reação rápida e assim evitar perdas maiores. Este
plano deve ser feito em conjunto com a área de segurança da empresa, e incluída no plano de
segurança geral da companhia.
Tendo em conta estes aspectos as empresas podem se antecipar aos ataques ou, pelo menos,
criar estratégias de reação mais rápidas para o caso de serem atingidas em algum momento.
Uma das estratégias, por exemplo, pode ser uma política de senhas. De acordo com Geus e
Nakamura (2007, p. 204) “a política de senhas é importante também porque diversos
problemas de segurança das empresas estão relacionados a elas, o que faz com que um dos
grandes desafios seja a fortificação das senhas”.
O uso da internet tem suas vantagens baseadas no fortalecimento das relações interpessoais
independente da distância em que elas estejam uma das outras. Por outro lado, favorece as
invasões e o roubo desses dados que são compartilhados diariamente. Um dos fatores que
10
mais contribuiu para o aumento desses crimes ocorrido em ambiente virtual foi a substituição
dos cabos de redes pela nova tecnologia que torna as redes de internet sem fio, já que os
cuidados e as políticas de segurança de uma rede sem fio (via Wi-Fi) são muito mais
complexos e extensos do que a rede quando passada através de cabos, assim aqueles que
acessam essas redes precisam de muito menos para conseguir captar os dados dos quais
desejam (Mitshashi, 201 1).
Logo, como afirma o autor , as redes sem fio são comprovadamente menos seguras do que as
redes que utilizam cabos, em sua natureza. Por isso, muitas foram as políticas de segurança
desenvolvidas e implantadas nas redes de computadores domésticos e profissionais para que
houvesse a resolução das brechas criadas por essa nova tecnologia. Porém, assim como a
tecnologia avança, os sistemas de invasão estão sempre sendo atualizados e se desenvolvendo
para conseguirem criar brechas, de modo que essas políticas de segurança devem se atualizar
nessa mesma velocidade. Nakamura (2010) enfatiza que o desenvolvimento dos programas
conhecidos como “Antivírus” amenizaram o caos cibernético que havia se instalado no
cenário atual que se encontrava totalmente conectado e era frequentemente invadido e seus
dados eram furtados por tais programas que entravam sorrateiramente em suas redes de
computadores.
Segundo Machado et al. (2019), as principais causas dos vazamentos de dados são a utilização
de logins e senhas fracos além da baixa frequência de troca de senhas. Segundo pesquisa
realizada por Machado et al. (2019), foi constatado que 61% das empresas abordadas possuem
500 credenciais que nunca foram trocadas ou atualizadas, o autor traz também a falha na
implementação de aplicativos, falha humana no uso de servidores e aplicativos, o livre acesso
a todos os colaboradores de documentos restritos, como fontes de vazamento de dados.
Destaca, ainda, a necessidade de investir em tecnologia na segurança de dados e em
capacitação de pessoas para o manuseio correto.
Kossoski et al. (2017) são os responsáveis por um estudo em campo realizado com 10
empresas de variados portes e que atuam em diversos segmentos. Cada uma das empresas
contribuiu com a pesquisa através da autorização e da indicação de um secretário executivo
para responder o questionário elaborado sobre os conhecimentos desses profissionais sobre as
Tecnologias da Informação e Comunicação - TICs - aplicadas à área em que atuam. Segundo
os dados coletados, os conhecimentos mais necessários para o secretário executivo, divididos
em duas categorias, são: uso de softwares e hardwares para otimizar , organizar , analisar e
11
Costa et al. (2018) contribuem para a discussão observando que o profissional de secretariado
sempre precisou lidar com a possibilidade de obstrução da segurança de dados e informações
por agentes humanos e físicos, não sendo uma novidade que foi derivada da tecnologia de
fato. Os aspectos físicos que colocariam em risco a segurança dessas informações seriam
relacionados com a localização desses documentos, sua possível exposição a pessoas não
autorizadas, envio com endereço de entrega errado e outras situações que podem ocorrer .
Montezano et al. (2015) chamam a atenção para o fato de que o mercado de trabalho moderno
exige e precisa de um novo perfil de secretário executivo. Esse novo perfil não é composto
apenas por um profissional que tenha em seu currículo formação acadêmica em uma ou até
mesmo nas duas áreas supracitadas, mas sim que seja capaz de atuar como secretário
executivo fazendo uso de conhecimentos relacionados à Tecnologia da
Informação de forma estratégica, aplicada a sua área primária e que possa viabilizar avanços
significativos para a organização em que atua.
Nesse cenário, aquele profissional que atuar como secretário executivo em tempo de
pandemia, onde na maioria das organizações o processo de transição do presencial para o
remoto foi complexo, intenso e urgente, a ausência de conhecimentos sobre tecnologia pode
colocar em risco a integridade e a segurança dos dados dos quais dispõem devido a sua função
dentro da organização.
2. Gestão de riscos
O principal objectivo da gestão de riscos é permitir que a organização realize suas missões
visando uma melhor segurança dos sistemas de TI que armazenam, processam ou transmitem
informações organizacionais. Evidências do processo de gestão de risco podem ajudar os
gestores a tomar decisões de gestão de riscos bem informadas, justificar os gastos de um
orçamento de TI, e autoriz ar sistemas de TI eficazes. Uma metodologia de gerenciamento de
12
risco bem estruturada pode ajudar a administração a identificar controles apropriados para
fornecer capacidades de segurança essenciais a uma missão. (Stoneburner,2000)
Riscos neste sentido referem-se aos riscos associados a um evento potencialmente danoso que
ocorre na ausência de controles específicos, que, de outra forma, impediriam o dano. O risco é
o impacto negativo de uma ameaça, pois pode explorar as vulnerabilidades dos bens de uma
organização e causar perda ou dano a esses bens. Geralmente, o risco é expresso por uma
fórmula matemática:
De acordo com essa fórmula, o risco é uma função da probabilidade de uma determinada
ameaça explorar uma vulnerabilidade particular potencial, e o impacto resultante desse evento
adverso sobre os bens da organização. Existem quatro tipos de riscos empresariais, que são
definidos como:
Risco estratégico. Sistemas de informação podem ter efeito estratégico directo sobre a
organização.
Risco operacional. O risco operacional é mais comum do que qualquer um dos outros fatores
de risco de negócios, pois a maioria dos sistemas de informação são projectados para afectar a
forma e a eficácia da organização, uma vez que conduz sua actividade diária.
Conformidade jurídica. Sistemas de informação podem ter um efeito directo sobre a forma
como a organização está em conformidade com as obrigações estatutárias.
Uma ameaça é o potencial para uma determinada fonte de ameaça explorar com sucesso a
vulnerabilidade particular. Uma fonte de ameaça pode explorar a vulnerabilidade
intencionalmente ou pode acionar acidentalmente a vulnerabilidade. A vulnerabilidade é uma
13
falha ou fraqueza que pode ser acionada acidentalmente ou explorada intencionalmente, para
resultar em uma violação de segurança ou uma violação da política de segurança. Uma fonte
de ameaça não apresenta um risco, a menos que a vulnerabilidade seja exercida. Para
determinar a probabilidade de uma ameaça, deve -se considerar fontes de ameaça, a
vulnerabilidade potencial e controles existentes.
2.1.Avaliação de Risco
A análise de risco continua a ser a espinha dorsal da boa gestão de segurança, pois os gerentes
precisam de um meio para compreender a segurança e os riscos a que suas organizações estão
14
expostas. A análise de riscos fornece a justificativa para o meio de comunicação e pode agir
como tal, dentro da organização.
O resultado desta avaliação pode ser usado para orientar e determinar a gestão adequada da
acção e prioridades para o gerenciamento de riscos de segurança de informações para
implementação de controles que tenham sido seleccionados para protecção de tais riscos.
2.2.Mitigação de Risco
Mitigação de risco é uma metodologia sistemática utilizada pela alta administração para
reduzir o risco da missão. Ela pode ser alcançada através de qualquer uma das seguintes
opções:
Prevenção de riscos. Evitar o risco, eliminando o caso de risco e/ou consequência (por
exemplo, abrir mão de certas funções do sistema ou desligar o sistema quando os riscos
são identificados).
Limitação de riscos. Limitar o risco através da implementação de controles que
minimizem o impacto negativo da vulnerabilidade que exerça uma ameaça (por exemplo,
utilização de apoio, controles de prevenção, investigação).
Planeamento de riscos. Gerenciar o risco através do desenvolvimento de um plano de
mitigação de risco, que priorize, implemente e mantenha controles.
Pesquisa e reconhecimento. Reduzir o risco de perda, reconhecendo a vulnerabilidade,
ou falha, e pesquisar controles para corrigir a vulnerabilidade.
Transferência de Risco. Transferir o risco usando outras opções para compensar a perda
(por exemplo, seguro de compra). Os gerentes têm um forte interesse na identificação e
aplicação de protecções que podem ser esperados
Controles técnicos de segurança podem ser configurados para protecção contra certos tipos de
ameaças no interesse de mitigação de risco. Esses controles, quando usados adequadamente,
podem evitar, limitar ou impedir a ameaça de danos à missão de uma organização. Esses
controles técnicos podem incluir apoio, detecção, prevenção e controle de recuperação. Todos
esses controles devem trabalhar juntos para proteger dados críticos e sensíveis, informações e
funções de sistemas de TI.
2.3.Avaliação e Pesquisa
Portanto, um programa de gestão de risco precisa ser revisto e praticado periodicamente. Deve
haver uma programação específica para avaliar e mitigar riscos de missão. Processos
realizados apenas periodicamente também devem ser revistos e flexíveis o suficiente para
permitir alterações sempre que justificáveis.
3. Conclusão
De forma resumida, a sociedade atual vivencia as consequências trazidas pelo avanço das
tecnologias digitais, inaugurando um novo paradigma e era da Sociedade da Informação.
Essa, por sua vez, caracteriza pela valorização e concentração de ativos chave, tais como
informação. A informação tem se tornado um recurso essencial que quando bem utilizada
tem o potencial de geração, inovação e progresso em variados campos desde o social,
político, organizacional e científico.
17
Atualmente a informação é tratada como bem e recurso valioso para instituições, para
pessoas e seus governos. Esse paradigma iniciado com a evolução da tecnologia no século
passado reflete nas relações interpessoais, no mercado e principalmente na confiabilidade de
organizações perante seus clientes e colaboradores.
O corpo de recursos humanos deve ser treinado para identificar possíveis riscos no fazer
profissional, e deve se comprometer a resguardar as informações utilizadas no fazer
profissional. No processo de contratação de pessoas é fundamental que seja apresentado a
esse grupo as políticas de SI implementadas naquela instituição, essas políticas são
norteadoras no processo de resguardo e segurança do ativo informacional, reunindo boas
práticas, técnicas e procedimentos que devem ser seguidas na empresa em questão.
4. Referencias Bibliográfica
ARAN, Edson. O livro das conspirações. São Paulo: Suma de Letras, 2016.
CHIAVENATO, Idalberto. Recursos Humanos: edição compacta. 7. ed. São Paulo: Atlas,
2002.
GEUS, Paulo Lício de; NAKAMURA, Emilio Tissato. Segurança de Redes em ambientes
corporativos. São Paulo: Novatec, 2007.
JÚNIOR, Elias Daher. A culpa é da Informática: os desafios e caminhos para o gestor de TI.
Ebook. Clube de Autores: 2005.
LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação com Internet. Rio de
Janeiro: LTC, 1999.
OLIVEIRA, Wilson. Técnicas para hackers: Soluções para Segurança. Portugal: Centro
Atlântico, 2013.
19
PRETTO, Nelson de Luca; SILVEIRA, Sérgio Amadeu da. Além das Redes de Colaboração:
Internet, Diversidade Cultural e Tecnologias do Poder. Salvador: EDUFBA, 2008.
RUFINO, Nelson Murilo de Oliveira. Segurança Nacional. São Paulo: Novatec Editora,
2002.
SILVA, Antônio Everardo Nunes da. Segurança da Informação. Rio de Janeiro: Ciência
Moderna, 2012.
SILVA, Pedro Tavares; CARVALHO, Hugo. TORRES, Catarina Botelho. Segurança dos
Sistemas de Informação: Gestão Estratégica da Segurança Empresarial. Portugal: Centro
Atlântico, 2003.