Auditoria e Segurana

de Sistemas
Segurana

da
Conceitos Bsicos

Informao:

Segurana um assunto muito falado nos dias de hoje; pensa-se muito em segurana
residencial, fsica/pessoal, automobilstica/trnsito;
O foco desta disciplina a segurana da Informao
Segurana da Informao tem 3 pilares, so eles:
l
CONFIDENCIALIDADE: Caracterstica de um determinado sistema permitir que alguns
usurios acessem algumas informaes do sistema e, ao mesmo tempo, impea outros
usuiros de acessar. Ou seja, sistema d acessoa determiandos mdulos do sistema e nega a
outros usurios;
l
INTEGRIDADE: Mesmo conceito de banco de dados: Informao correta. Representa um
mundo real, no pode ser ou estar corrompida;
l
DISPONIBILIDADE: A informao deve estar disponvel a todos que dela precisarem, a
todo tempo de qualquer local.

Auditoria e Segurana
de Sistemas
Segurana

da
Conceitos Bsicos

Informao:

A essncia dos trs pilares est nos seguintes conceitos:

l

AUTENTICAO: Significa que o sistema capaz de certificar que usurio realmente

quem ele diz ser;
NO-REPDIO: Sistema capaz de provar que um determinado usurio executou
determinada ao. QUEM FEZ O QU? E ONDE? Significado da rea jurdica: suficiente
evidncia para persuadir a autoridade legal (juiz/jurado/rbitro) a respeito de sua origem,
submisso entrega e integridade, apesar da tentativa de negao pelo suposto responsvel
pelo envio. Ex.: O no-repdio, fornece provas de que um usurio realizou determinada ao,
como uma transao bancria;
LEGALIDADE: Garantir que um sistema seja e esteja coerente com a legislao vigente e
pertinente ao negcio atendido pelo sistema;
PRIVACIDADE: Capacidade de o sistema manter annimo um usurio, impossibilitando o
relacionamento entre o usurio e suas aes. Ex.: voto eletrnico;
AUDITORIA: Capacidade de o sistema auditar todas as aes realizadas pelo usurio,
detectando fraudes e tentativas de ataque.

Auditoria e Segurana
de Sistemas
Segurana

da
Conceitos Bsicos

Informao:

Quando falamos em segurana da informao, nos referimos a

tomar aes para garantir a confidencialidade, integridade,
disponibilidade e os demais aspectos, claro, dentro das
necessidade e condies do cliente, seja ele interno ou externo.

Auditoria e Segurana
de Sistemas
Segurana

da
Conceitos Bsicos

Informao:

Alguns outros conceitos importantes:

l

l
l

INCIDENTE DE SEGURANA: Algum evento que causa interrupo nos processos de

negcio da empresa, quando h violao de algum dos aspectos estudados anteriormente
Alguns fatores, como intempries, greves, manifestaes, podem, tambm, ser consideradas
incidentes de segurana, pois podem causar indisponibilidade e/ou afetar a integridade de
uma informao
;
ATIVO DE INFORMAO: toda a informao/dados relacionados aos processos de
negcio da empresa, mas tambm tudo aquilo que a suporta ou utiliza, ou seja, toda
tecnologia necessria para criar e manter tal informao, bem como tudo e todos que
utilizam;;
ATAQUE: todo incidente de segurana causado por algum agente que busque obter
lucro/vantagem atingindo algum ativo de valor;
VULNERABILIDADE: Ativos da informao possuem vulnerabilidades ou fraquezas que
podem causar com ou sem inteno, indisponibilidade, e/ou quebra de confidencialidade ou
integridade; Essas vulnerabilidades podem ou ser exploradas;

Auditoria e Segurana
de Sistemas
Segurana

da
Conceitos Bsicos

Informao:

Alguns outros conceitos importantes:

l

AMEAA: Ataque potencial a um ativo de informao. Algum agente externo que se

aproveita de alguma vulnerabilidade para quebrar um ou mais princpios de segurana da
informao;
PROBABILIDADE: Possibilidade de alguma falha de segurana ocorrer frente s
vulnerabilidades de um ativo, e as ameaas que venham a explorar tais vulnerabilidades;
Pode haver um ativo com vrias vulnerabilidades, mas sem ameaa de ataque, o que indica
probabilidade prxima de zero.
IMPACTO: So as consequncias causadas por algum incidente de segurana, aos processos
de negcio suportados pelo ativo em questo.
CONTROLE: Todo mecanismo utilizado para diminuir as vulnerabilidades do ativo;

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

O ciclo de vida da informao composto por algumas etapas:

l

Obteno: Etapa onde se desenvolve procedimentos para captura e recuperao da

informao, bem como a sua criao. Nesta etapa h grande foco na INTEGRIDADE;
Tratamento: A necessidade do tratamento se faz evidente pois muitas vezes antes de ser
consumida, a informao precise de alguma organizao, formatao ou anlise, oferecendoa com maior inteligibilidade. No se pode afetar sua integridade, nem sua confidencialidade;
Distribuio: Etapa onde se leva a informao at seus consumidores. A distribuio deve
ser objetiva e chegar onde se espera;
Uso: Etapa onde a informao usada para gerao de valor para a organizao. Nesta
etapa do ciclo de vida fundamental a prtica da disponibilidade, integridade e da
confidencialidade;

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

O ciclo de vida da informao composto por algumas etapas:

l

Armazenamento: Com o objetivo de uso futuro da informao, preciso armazen-la. O

fato de a informao estar em diferentes formatos e mdias, torna o armazenamento mais
oneroso. Integridade e disponibilidade so uma constante e, se a informao for classsificada
com sigilosa a confidencialidade precisa ser forte;
Descarte: Quando a informao torna-se obsoleta ou perde sua utilidade na organizao ela
deve constar em um processo de descarte, obedecendo as normas legais. Excluir informaes
inteis melhora o processo gesto da informao;

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Classificao e controle dos ativos da informao:

l

pela classificao da informao que se estabelece o grau de importncia de determinadas

informaes para o negcio da empresa;
Os ativos da informao podem ser divididos em alguns grupos:

Software

Fsico

Servios

Pessoas

Ativos da Informao

Documento
em Papel

Informao

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Conceitos importantes para o processo de classificao:

l

Classificao: Atitude de atribuir o grau de sigiloa um ativo da informao;

Proprietrio: Responsvel pelo ativo da informao;

Custodiante: Responsvel pela guarda do ativo da informao

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Existem vrias formas de classificar um ativo da informao;

Porm fundamental que essa classificao seja de fcil compreenso e muito clara na
poltica de segurana;

A classificao do ativo da informao deve ser centrada em 4 eixos:

l

Confidencialidade:
l
Nvel 1: Informao Pblica: Categoria onde esto os ativos pblicos ou no
classificados. So informaes que se forem divulgadas fora da organizao no geram
impactos para a empresa. E.: folders, folhetos, etc.;
l

Nivel 2: Informao Interna: Ativos cujo acesso para o pblico externo

organizao deve ser evitado. Caso tal informao torne-se pblica (vaze), as
consequncias no so crticas ou no causam impactos. Ex.: lista de ramais, agendas
de executivos, etc.;

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Existem vrias formas de classificar um ativo da informao;

Porm fundamental que essa classificao seja de fcil compreenso e muito clara na
poltica de segurana;

A classificao do ativo da informao deve ser centrada em 4 eixos:

l

Confidencialidade:
l
Nivel 3: Informao confidencial: Acesso restrito dentro da organizao e
protegido contra acesso externo. O acesso no autorizado essa informao pode
comprometer as operaes da empresa, causando impacto. Ex.: Lista de clientes,
dados sobre vulnerabilidades, etc.;
l

Nivel 4: Informao Secreta: Tanto o acesso interno quanto o acesso externo

crtico para a organizao. Somente algumas pessoas dentro da empresa, em geral
diretoria, tm acesso a tal informao. Ex.: informaes sobre concorrncia, contratos
confidenciais que geram impactos na empresa, etc.;

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Existem vrias formas de classificar um ativo da informao;

Porm fundamental que essa classificao seja de fcil compreenso e muito clara na
poltica de segurana;

A classificao do ativo da informao deve ser centrada em 4 eixos:

l

Disponibilidade: Que falta faz essa informao? Responder esta pergunta permite
classific-la em nveis d criticidade e estabelecer um ordem para recuperao em
caso de indisponibilidade:
Nvel 1: Informaes devem ser recuperadas em minutos;
Nvel 2: Informaes devem ser recuperadas horas;
Nvel 3: Informaes devem ser recuperadas em dias;
Nvel 4: informaes que no so crticas.(Se no so crticas, por que t-las?)

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Existem vrias formas de classificar um ativo da informao;

Porm fundamental que essa classificao seja de fcil compreenso e muito clara na
poltica de segurana;

A classificao do ativo da informao deve ser centrada em 4 eixos:

l

Integridade: Informa errada traz vrios transtornos, e at impactos no negcio. Portanto

gerar informao ntegra pe sempre necessidade;
Autenticidade: de acordo com a ISO 17.799, dados e informaes oferecidas ao pblico
externo devem ter requisitos mnimos de autenticidade. Assim deve-se estabelecer quais
informaes esto neste contexto.

Auditoria e Segurana
de Sistemas
Segurana

informao

e o ciclo de vida da

Monitoramento contnuo

Aps classificar os ativos, deve-se estabelecer mecanismos para medir periodicamente se

determinados ativos permanecem em sua classificao, se foram feridos/afetados, e/ou
se devem mudar de classificao.

Auditoria e Segurana
de Sistemas
Um

Segurana da informao baseada em TI

pouco mais sobre segurana

Dependncia da TI;
Vulnerabilidade da infraestrutura;
Alto valor da informao armazenada;

Segurana da informao NO baseada em TI

Papel, microfilmagem, e outros;

Conhecimento;
Processos;
Fala;

Auditoria e Segurana
de Sistemas
Um

pouco mais sobre segurana

Aspectos humanos da segurana da informao

Pessoas so os principais elementos de um sistema de segurana da informao;

Incidentes de segurana sempre envolvem pessoas. Assim, o item pessoas deve ter uma
relevncia considerada em um sistema de segurana;

Auditoria e Segurana
de Sistemas
Um

pouco mais sobre segurana

Para se ter uma ideia, alguns dados (Fonte: Datapro Research, 2010):
Danos causados por:
Funcionrios: 81%
Pessoas externas: 13%
Ex-Funcionrios: 6%

Grande ameaa
Erros humanos: 52%
Incndio: 15%
Atividades desonestas: 10%
Sabotagem: 10%
gua: 10%
Terrorismo: 3%

Causa dos problemas:

Acidentes ou erros: 55%
Desonestidade: 30%
Causas naturais: 15%

Auditoria e Segurana
de Sistemas
Um

pouco mais sobre segurana

Security Officer O profissional de segurana

A dedicao com a segurana da informao deve ser de todos os colaboradores da organizao e

no apenas de um grupo de pessoas;

Em tempos onde crescente a dependncia da informao, bem como avana o nmero de vrus e
os casos de invaso, cresce a importncia da existncia de um responsvel pelas atividades de
segurana da informao

CSO: Chief Security Officer, o profissional responsvel pela coordenao do planejamento,

implementao, monitoramento e melhoria do sistema de segurana da informao. Dentre suas
atribuies esto:
Coordenao da rea de segurana e da infraestrutura organizacional;
Planejar e acompanhar os investimentos em segurana;
Definir os ndices e indicadores para segurana corporativa;
Definio, elaborao, divulgao, treinamento, implementao e administrao da poltica de
segurana, plano de continuidade de negcios e plano de contingncia;
Investigao sobre incidentes de segurana;
Alm de todas as atribuies anteriores, o CSO deve conhecer a fundo o negcio da empresa.

Auditoria e Segurana
de Sistemas
Um

pouco mais sobre segurana

Engenharia social

SANS Institute, define: como sendo a arte de utilizar o comportamento humano para quebrar a
segurana sem que a vtima perceba que foi manipulada;
CERT.br, define como mtodo de ataque onde algum faz uso da persuaso, muitas vezes
abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas
para ter acesso no autorizado aos ativos da informao;

Ou seja, para se mostrar prestativas, educadas, e por confiarem demais, pessoas fornecem
informaes importantes;
Pela engenharia social, indivduos se aproveitam para conseguir informaes importantes para
preparar seus ataques;
Engenharia social se divide em: Fsica e Psicolgica
Fsica: procura informao no lixo, presena fsica, vasculha de papis sobre mesas, em
gavetas, etc;
Psicolgica: relacionado ao comportamento humano. Ligaes com texto que puxam
informaes do atendente;

Auditoria e Segurana
de Sistemas
Um

pouco mais sobre segurana

Segurana nos termos, condies e responsabilidades de trabalho:

Registrar no contrato de trabalho as normas e requisitos de segurana;

Segurana no processo de contratao / seleo de pessoal:

Fazer um levantamento minucioso do passado dos candidatos, certificar se todas as
informaes que ele forneceu so verdicas, contatar as referncias, etc.;

Treinamento dos usurios

Treinar, educar e conscientizar, so essenciais para o sucesso de uma poltica de segurana

Auditoria e Segurana
de Sistemas
Segurana

empresarial
Gerenciamento da Infraestrutura

Segurana em escritrios, salas e instalaes de processamento de dados

A ISO 17799 recomenda que sejam elaborados projetos de reas de segurana que
contemple escritrios fechados , e/ou salas que identifique ameaas como fogo, poeira,
fumaa, vibrao, etc;
Equipamentos devem ser instalados e protegidos para reduzir riscos de ameaas e
oportunidades de acesso no autorizados;

Segurana de equipamentos: os equipamentos tm