Professional Documents
Culture Documents
SEGURANA DA
INFORMAO
autora
FLAVIA VANCIM
1 edio
SESES
rio de janeiro 2016
Conselho editorial regiane burger; roberto paes; gladis linhares; karen bortoloti;
helcimara affonso de souza
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrnico ou mecnico, incluindo fotocpia e gravao) ou arquivada em
qualquer sistema ou banco de dados sem permisso escrita da Editora. Copyright seses, 2016.
isbn: 978-85-5548-184-0
Prefcio 7
2. Vulnerabilidades de Segurana 35
4.1Introduo 97
4.2 Contexto dos Riscos 99
4.3 A Gesto de Riscos 101
4.4 Anlise/Avaliao dos Riscos 103
4.4.1 Caracterizao do Ambiente 104
4.4.2 Identificao das Ameaas 105
4.4.3 Identificao de Vulnerabilidades 106
4.4.4 Anlise de Controles 106
4.4.5 Anlise de Probabilidades 107
4.4.6 Anlise de Impacto 107
4.4.7 Definio dos Riscos 108
4.4.8 Recomendaes de Controle 109
4.4.9 Documentao dos Resultados 110
4.5 Mitigao (Diminuio) dos Riscos 111
4.5.1 Anlise e Melhoria Contnua 112
4.5.2 Abordagem Reativa e Proativa 113
4.6 Fundamentos de Sucesso da Gesto de Riscos 114
5.1Introduo 121
5.2 Compreendendo o Conceito de Norma 122
5.2.1 Benefcios de utilizar Normas 123
5.2.2 Como as Normas so criadas e utilizadas? 124
5.3 Compreendendo o Conceito de Regulamentao 126
5.4 Normas e Regulamentaes no Ambiente Organizacional 129
5.4.1 Itens Bsicos propostos para Regulamentarizao 129
5.4.2 Poltica de Senhas 130
5.4.3 Poltica de Acesso Lgico 131
5.5 Lei Sarbanes-Oxley 132
5.6 Gesto da Segurana da Informao
segundo as Normas NBR ISO/IEC 27001 e ISO/IEC 27002 133
5.6.1 Norma ISO/IEC 27001 134
5.6.2 Norma ISO/IEC 27002 137
5.7ITIL 139
Prefcio
Prezados(as) alunos(as),
7
Nesta disciplina iremos trabalhar tpicos como a influncia e o impacto da
tecnologia no cotidiano das pessoas e das empresas e como lidar com ela de
forma segura e confivel. Esses conhecimentos so de extrema importncia,
pois, alm de conhecermos os desafios e a interferncia da tecnologia das em-
presas, iremos apresentar mtodos e tcnicas para assegurar a gesto segura
da informao.
Espero que desfrute da disciplina e que em breve possa colocar em prtica
os conhecimentos que aqui veremos.
Bons estudos!
1
Introduo
Segurana da
Informao
Ol, pessoal. Neste primeiro captulo iremos conhecer alguns conceitos intro-
dutrios que nortearo nossos prximos passos. Iremos percorrer aspectos b-
sicos da segurana das informaes, e tambm conhecer todo o ciclo de vida
das informaes. No obstante, e devido constante confuso que h entre
os conceitos de dados, informao e conhecimento, iremos distingui-los. Por
fim, compreenderemos a necessidade de se gerenciar corretamente a seguran-
a das informaes que trafegam no ambiente corporativo. Preparados? Va-
mos juntos!
OBJETIVOS
Nossos objetivos sero:
Compreender os conceitos bsicos de informao;
Distinguir os conceitos de dados, informaes e conhecimento;
Conhecer aspectos bsicos da segurana da informao;
Analisar as necessidades de segurana das informaes no ambiente corporativo;
Conhecer princpios da segurana da informao.
10 captulo 1
1.1 Compreendendo a Informao
A informao est intrinsecamente relacionada ao nosso dia a dia, seja pes-
soal ou profissional. Especificamente abordando o contexto organizacional,
pode-se seguramente afirmar que a qualidade das informaes, que fluem in-
termitentemente, impacta diretamente no processo de tomada de deciso dos
gestores.
Mas o que mesmo informao?
De acordo com o Dicionrio Online de Portugus1, a informao refere-se a:
CONEXO
DICA DE VDEO: O Poder da Informao de Mrio Persona: http://www.youtube.com/wat-
ch?v=HgIn7wwyY7w&feature=fvsr
Este video o trecho de uma palestra de Mrio Persona: palestrante, professor e consul-
tor de estratgias de comunicao e marketing e autor de vrios livros de negcios. H mais
de dez anos apresenta palestras, workshops e treinamentos de temas ligados a comunica-
o, marketing, vendas e clima organizacional.
captulo 1 11
Complementarmente a este conceito, expomos outra explicao publicada
atravs do dicionrio de Conceitos2, conforme segue:
12 captulo 1
Acompanhemos a citao abaixo, que explana a respeito da necessidade
constante das organizaes em obter informaes. E tal demanda permanente
pode vir a gerar uma ansiedade de informao.
Dessa forma, e de acordo com Neves (2003), somos muito atingidos pelas
mdias de comunicao, pelos colegas de trabalho, por conversas etc. Com isto,
as organizaes, de modo geral, ficam cada vez mais preocupadas com suas
aparentes incapacidades de tratar, compreender, manipular essa epidemia
captulo 1 13
de dados que toma conta de tudo. O prprio volume disponvel de informao
acaba tornando parte dela inutilizvel, devido incapacidade de utiliz-las ade-
quadamente, bem como a forma como nos transmitida.
De acordo com o exposto por Wadlow (2000), a informao pode ser classifi-
cada em nveis de prioridade dentro da organizao, conforme segue:
3 Setzer, V. W.. Dado, Informao, Conhecimento e Competncia. Disponvel em: < http://www.ime.usp.
br/~vwsetzer/dado-info.html>.
14 captulo 1
Dados:
Se a representao da informao for feita por meio de dados, como na frase sobre Paris,
pode ser armazenada em um computador. Mas, ateno, o que armazenado na mquina
no a informao, mas a sua representao em forma de dados. Essa representao
pode ser transformada pela mquina, como na formatao de um texto, o que seria uma
transformao sinttica. A mquina no pode mudar o significado a partir deste, j que ele
depende de uma pessoa que possui a informao. Obviamente, a mquina pode emba-
ralhar os dados de modo que eles passem a ser ininteligveis pela pessoa que os recebe,
deixando de ser informao para essa pessoa. Alm disso, possvel transformar a
representao de uma informao de modo que mude de informao para quem a recebe
(por exemplo, o computador pode mudar o nome da cidade de Paris para Londres). Houve
mudana no significado para o receptor, mas no computador a alterao foi puramen-
te sinttica, uma manipulao matemtica de dados. Assim, no possvel processar
informao diretamente em um computador. Para isso necessrio reduzi-la a dados. No
exemplo, fascinante teria que ser quantificado, usando-se por exemplo uma escala de
zero a quatro. Mas ento isso no seria mais informao.
captulo 1 15
Podemos agrupar dados isolados e torn-los consistentes ao se transfor-
marem em informaes. Por exemplo, se tivermos um conjunto de dados que
descreva a temperatura do ambiente num local, horrio e data, poderamos ter
}
a seguinte relao:
Sexta-feira
30 de Abril
Entrada de
DADOS
16h30min
27C
PROCESSAMENTO
Assim, o conjunto de dados inicial foi organizado de maneira que faa sen-
tido queles que o estiverem lendo. Isto os torna informao. No entanto, a
representao no computador feita baseada nos dados. Seguindo com o pen-
samento de Setzer:
Conhecimento:
[...] abstrao interior, pessoal, de algo que foi experimentado, vivenciado, por algum.
Continuando o exemplo, algum tem algum conhecimento de Paris somente se a
visitou[...].
16 captulo 1
A informao pode ser inserida em um computador por meio de uma representao
em forma de dados (se bem que, estando na mquina, deixa de ser informao).
Como o conhecimento no sujeito a representaes, no pode ser inserido em um
computador. Assim, neste sentido, absolutamente equivocado falar-se de uma base
de conhecimento em um computador. O que se tem , de fato, uma tradicional
base (ou banco) de dados. Um nen de alguns meses tem muito conhecimento (por
exemplo, reconhece a me, sabe que chorando ganha comida, etc.). Mas no se pode
dizer que ele tem informaes, pois no associa conceitos. Do mesmo modo, nesta
conceituao no se pode dizer que um animal tem informao, mas certamente tem
muito conhecimento.
CONEXO
Recomendamos ler o artigo do Prof. Dr. Valdemar W. Setzer na ntegra, atravs do link: http://
www.ime.usp.br/~vwsetzer/dado-info.html
EXEMPLO
1. Fazer um bolo.
Os ingredientes de um bolo podem ser comparados aos dados.
A mistura destes ingredientes para transform-los na massa do bolo que ser assada e
resultar no bolo a informao.
Cada pessoa que provar/experimentar o bolo ter sua prpria opinio/conceito ou
seja, esta vivncia pode ser comparada ao conhecimento.
captulo 1 17
ANTONINO DANNA | DREAMSTIME.COM
18 captulo 1
MIKHAIL MISHCHENKO | DREAMSTIME.COM
Figura 1.2 Um sistema pode prover relatrios estatsticos extrados de seu banco de da-
dos, para ser analisado pelos gestores.
Por fim, vale explicitar, de acordo com Pereira et al (2012), que uma organi-
zao que possuir uma equipe responsvel por mapear e monitorar os dados,
informao e conhecimento que circulam em seu ambiente aumenta, conside-
ravelmente, suas chances de se destacar diante das concorrentes.
captulo 1 19
1.2 Segurana da Informao
1.2.1 Segurana da Informao no Ambiente Corporativo
20 captulo 1
os consumidores tm mais acesso informao e, consequentemente, so mais
exigentes. Dessa forma, fundamental que as organizaes estejam bem preparadas
para atender essas necessidades.
Para tanto, essencial que as organizaes tenham uma infraestrutura de telecomu-
nicaes, que permita a comunicao entre pessoas e recursos, sendo bem projetada
e bem dimensionada. Isto vital para a sobrevivncia de uma organizao (NEVES,
2003).
captulo 1 21
Atualmente a maior parte das organizaes trabalha com um sistema informatizado
de modo que as informaes fluam de maneira mais rpida, baseando boa parte de
seu plano de negcio e suas decises nessas informaes (OLIVEIRA, 2001 apud
ALVES e MOREIRA, 2012, p. 130).
Porm, toda essa tecnologia traz algumas vulnerabilidades para a organizao,
obrigando-a a desenvolver uma poltica de segurana da informao para que essas
informaes possam ser manuseadas de maneira correta e segura. A poltica de
segurana da informao tem o propsito de tratar essas informaes desde a sua
criao at o seu descarte, definindo regras para que as mesmas no sejam roubadas,
alteradas ou perdidas (SMOLA, 2003 apud ALVES e MOREIRA, 2012, p. 130).
22 captulo 1
A segurana da informao, segundo Solms (2005), passou a ser parte integral para
um bom gerenciamento da corporao. Embora esse fato sempre ser verdadeiro, foi
apenas recentemente enfatizado, no bom gerenciamento da corporao. Elevando a
segurana da informao para a segurana dos negcios, haver um foco extra
nas necessidades de assegurar a existncia prolongada da companhia, e integrar e
envolver todos os presentes esforos, da mesma forma que a proteo considerada
(NEVES et al, 2006, p. 53).
captulo 1 23
CONHECER OS identificando o que eles desejam fazer, e os peri-
POSSVEIS OPONENTES gos que podem vir a causar organizao;
APLICAR A SEGURANA
DE ACORDO COM a fim de definir uma estratgia de segurana que
OS NEGCIOS DA melhor se adapte s necessidades deles.
ORGANIZAO
24 captulo 1
CONEXO
Dica de Vdeo: Segurana da Informao Bradesco
LINK: https://www.youtube.com/watch?v=EsO5f3kS6Lw
Este vdeo muito interessante e pertinente. Mostra como o comportamento dos colabo-
radores podem impactar diretamente na segurana das informaes confidenciais.
captulo 1 25
assegura que o sistema comporta-se como esperado
pelos usurios autorizados. Se o software ou hardware
repentinamente comea a se comportar de maneira ra-
CONSISTNCIA dicalmente diferente daquele que se costuma compor-
tar, especialmente aps uma atualizao ou a reparao
de um erro, pode ocorrer um desastre;
26 captulo 1
ir definir que a informao originria de quem diz ori-
ginar, de forma a impedir que alteraes na mensagem
INTEGRIDADE original confundam as partes envolvidas na comunica-
o. E, mesmo que haja alguma alterao na mensa-
gem original, que esta seja passvel a ser detectada;
captulo 1 27
Adicionalmente, importante ressaltar que alguns fatores acabam impac-
tando diretamente e negativamente para que medidas de segurana adequadas
sejam adotadas:
Falta de informao sobre a importncia da segurana das informaes
da empresa;
Falta de recursos financeiros para investimento adequado;
Ausncia de uma poltica de segurana adequada;
No ter noo/conhecimento dos possveis/provveis prejuzos causados
pela falta de segurana das informaes.
ATIVIDADES
01. De acordo com a classificao de prioridade das informaes dentro das organizaes,
leia as sentenas abaixo e assinale a alternativa que as preenche correta e respectivamente.
I. ______________ informao que pode vir ao pblico sem quaisquer consequncias
prejudiciais empresa;
II. ______________ informao que deveria ter o livre acesso evitado, porm no haver
consequncias danosas provenientes do acesso no autorizado;
III. ______________ informao que restrita aos limites da empresa e, se divulgada livre-
mente, acarretar eventuais perdas financeiras ou de confiabilidade;
IV. ______________ informao muito crtica para as atividades da empresa e cujo acesso
deve ser restrito. Alm disso, a segurana crucial para a empresa.
a) Informao Interna; Informao Pblica; Informao Confidencial; Informao Secreta.
b) Informao Pblica; Informao Interna; Informao Confidencial; Informao Secreta.
c) Informao Pblica; Informao Confidencial; Informao Interna; Informao Secreta.
d) Informao Secreta; Informao Interna; Informao Confidencial; Informao Pblica.
e) Informao Pblica; Informao Secreta; Informao Interna; Informao Confidencial.
28 captulo 1
02. Sobre os conceitos de Dados, Informao e Conhecimento, leia as asseres e assinale
a alternativa correta:
I. Pode-se afirmar que o computador armazena conhecimento;
II. Dados so fatos brutos, no lapidados;
III. A informao depende de algum tipo de relacionamento, avaliao ou interpretao
dos dados;
IV. O conhecimento uma abstrao interior, pessoal, de algo que foi experimentado, viven-
ciado por algum.
04. As informaes devem cumprir alguns requisitos. Diante dessa afirmao, assinale a
alternativa incorreta sobre tais requisitos.
a) Autenticidade
b) Integridade
c) No repdio
d) Custo baixo
e) Disponibilidade
captulo 1 29
a) Somente a assero I est correta.
b) Somente a assero II est correta.
c) Somente as asseres I, II e III esto corretas.
d) Somente as asseres II, III e IV esto corretas.
e) As asseres I, II, III e IV esto corretas.
REFLEXO
Este captulo introdutrio nos posicionou no assunto que nortear nossa disciplina.
Compreendemos a importncia da Segurana das Informaes que trafegam intermiten-
temente por toda a empresa. Apesar desta grande relevncia, notamos a grande resistncia
que ainda existe nas empresas em assumir o quesito Segurana das Informaes como
sendo prioritrio tanto quanto a lucratividade vista.
LEITURA
Recomendamos a leitura do Estudo de Caso publicado por Mendes (2013) e intitulado:
Segurana da Informao em Microempresas Estudo de Caso. Detalhes sobre esta pes-
quisa encontram-se no item Referncias Bibliogrficas deste captulo.
Apresentaremos, subsequentemente, a sntese desta pesquisa:
O supracitado pesquisador realizou um estudo de caso, aplicando um questionrio em
oito Microempresas a fim de investigar de que forma elas trabalhavam com a questo de
segurana dos dados no dia a dia. Tais empresas situam-se nos Estados de So Paulo e
Paran e atuam no setor da informtica.
Diante deste contexto de rea de atuao, o pesquisador subentendeu que os entrevis-
tados possuam boa noo dos problemas que abrangem a segurana no uso da Tecnologia.
30 captulo 1
Resultados obtidos:
Backup das Informaes: quando perguntados se realizam alguma forma de backup
para com os seus dados digitais, a maioria dos entrevistados foi positiva quanto resposta:
87% dos entrevistados realizam o backup.
Controle de Acesso: no que tange a controlar o acesso s mquinas da empresa, primei-
ramente na questo de autenticao, os resultados obtidos foram bem dispersos, onde ape-
nas 50% das empresas utilizam algum sistema de login para acesso aos computadores da
empresa. E quanto restrio de acesso ao computador principal da empresa, os resultados
tambm no foram muito satisfatrios, sendo que metade das empresas questionadas per-
mite que terceiros utilizem livremente suas mquinas. Outro grande fator de risco na rea de
TI so os dispositivos de armazenamento mveis. Como se tratam de ferramentas que costu-
mam ser utilizadas com grande freqncia e em diversas mquinas, acabam facilmente sen-
do infectadas por diversos tipos de softwares maliciosos. Pelos resultados obtidos, 75% das
empresas entrevistadas no restringem o uso dos dispositivos em suas mquinas principais.
Senhas: no que tange a senhas, quando questionadas se usavam uma mesma senha para
mltiplos servios, 62% das empresas afirmaram que preferem no ter mais de uma senha
para se lembrar, o que no favorvel questo segurana, j que se um invasor acabar por
descobrir a senha, ele poder ter acesso a todo o contedo que a empresa acreditaria estar
sendo mantido seguro.
Questes Financeiras: questionadas sobre seus investimentos em softwares de anti-
vrus/antispywares, interessante relevar que independente de qual foi a escolha de cada
empresa, notou-se que a maioria (75%) preferiu utilizar softwares gratuitos para garantir a
sua proteo. Quando questionados sobre o uso de firewall, a maioria foi positiva quanto ao
uso do mesmo, no qual a maioria tambm optou pelos meios gratuitos de proteo, especial-
mente o firewall nativo do prprio sistema operacional. Cmeras de monitoramento e outros
equipamentos que auxiliam no controle de acesso tambm colaboram na segurana das in-
formaes. Junto pesquisa, todas as empresas abordadas concordam na total importncia
em equipamentos de monitoramento de acesso ao local. Porm, mesmo atuando no ramo de
informtica, tendo acesso mais fcil a estes produtos, o interesse em investir na segurana
fsica no de grande prioridade, onde apenas 50% responderam ter grande interesse em
investir neste quesito, outros 38% possuem breve interesse e 12% restantes no possuem
interesse de investimento.
captulo 1 31
tes da importncia da segurana e reconhecedores de ferramentas e procedimentos que a
proporcionem, constatou-se certo receio por parte dos entrevistados ao serem questionados
sobre o uso de seus recursos para tratar da segurana de seus dados digitais. No entanto,
e por se tratarem de Microempresas que atuam diretamente na rea de TI, ainda possuem
um nvel de atitude favorvel quanto segurana, no qual as posicionam em uma situao
mais vantajosa quanto s pequenas empresas de diversos outros ramos de atuao. Porm,
a preocupao quanto questo financeira reflete um modo de pensar compartilhado pela
grande maioria dos microempresrios de diversos ramos. Com este pensamento de sempre
posicionar a lucratividade em primeiro plano, alm do fato de que destinar capital para segu-
rana no traz retorno algum, acabam no compreendendo a real importncia da preveno
de um futuro prejuzo.
REFERNCIAS BIBLIOGRFICAS
ALVES, L. C. M.; MOREIRA, J. Gerenciamento da Poltica da Segurana da Informao.
Tecnologias, Infraestrutura e Software (TIS), v.1, n 2, p. 130-137, set-dez, 2012.
BREMER, C. F. Redes de Cooperao. Revista: Produtos e Servios: Fbrica do Futuro entenda
hoje como vai ser sua indstria amanh, Edio Especial, p. 99-104, dezembro, 2000.
CASTILHO, J. O Ciclo de Vida da Informao. Revista Sade Business, disponvel em: http://
saudebusiness.com/noticias/o-ciclo-de-vida-da-informacao/ , 7 de maio de 2013.
FONTES, E. L. G. Polticas e Normas para a Segurana da Informao. Editora Brasport, Rio de
Janeiro, 2011.
LAUREANO, M. A. P.; MORAES, P. E. S. Segurana como Estratgia de Gesto da Informao.
Revista Economia & Tecnologia, ISSN 1415-541X, Vol 8, Fascculo 3, p. 38-44, 2005
LIMA, F. J. Estudo de Melhorias em Segurana de Informao. Monografia de Ps Graduao
(Especializao) em Configurao e Gerenciamento de Servidores e Equipamentos de Rede,
Universidade Tecnolgica Federal do Paran, Curitiba, 2013.
MENDES, B. Segurana da Informao em Microempresas Estudo de Caso. Disponvel em:
http://www.profissionaisti.com.br/2013/07/seguranca-da-informacao-em-microempresas-estudo-de-
caso/ , publicado em 18 de julho de 2013.
MOREIRA, S. E. M.; CORDEIRO, M. F. R. Desenvolvimento de Procedimentos de Segurana e
Implantao de Firewall no Laboratrio de Bioinformtica da Rede Genoma Centro-Oeste.
Monografia de Graduao do Curso de Cincias da Computao da Universidade de Brasilia (UNB),
2002.
32 captulo 1
MULLER, E. J. O Ciclo de Vida da Informao. Disponvel em: http://www.ezequieljuliano.com.
br/?p=27 , 11 de abril de 2014.
NEIVA, D. Gesto Inteligente de Dados e o Ciclo de Vida da Informao. Disponvel em: http://
www.baguete.com.br/artigos/893/daniel-neiva/16/09/2010/gestao-inteligente-de-dados-e-o-ciclo-
de-vida-da-informacao , Publicado em 16 de setembro de 2010.
NEVES, F. V. F. Formao de Redes de Cooperao entre Empresas: Anlise dos Modelos de
Comunicao e Informao. Monografia de concluso de curso superior em Anlise de Sistemas,
Universidade de Ribeiro Preto UNAERP, 2003.
NEVES, F. V. F.; GUERRINI, F. M.; SILVA, E. C. C. Cooperao entre empresas, qualidade, recursos
humanos e ambiente: reflexes nas organizaes empresariais. Editora Ottoni, Araraquara, p. 44
70, 2006.
OLIVEIRA, W. J. Segurana da Informao Tcnica e Solues. Editora Federal, 7 Edio, 2001.
PEREIRA, E. N.; HOTENCIO, G. O.; NASCIMENTO, K. P. D.; SILVA, E. F. Inteligncia Competitiva: o
tratamento dos dados, informao e conhecimento s unidades de informao. XV Encontro Regional
de Estudantes de Biblioteconomia, Documentao, Cincia e Gesto da Informao (EREBD), de 15 a
21 de janeiro de 2012.
SEMOLA, M. Gesto da Segurana da Informao: uma viso executiva. Editora Elsevier, 7 Edio,
2003.
WADLOW, T. Segurana de Redes. Editora Campus, Rio de Janeiro, 2000.
WURMAN, S. R. Ansiedade de Informao como transformar informao em compreenso.
Editora: Cultura Editores Associados, 5 edio, 1995.
captulo 1 33
34 captulo 1
2
Vulnerabilidades
de Segurana
Ol, pessoal. Neste segundo captulo iremos conhecer o ciclo de vida que com-
pe a informao e tambm falaremos, enfaticamente, sobre as vulnerabilida-
des que abrangem a segurana das informaes, definindo o conceito e apre-
sentando tipos de vulnerabilidades. Preparados? Vamos juntos!
OBJETIVOS
Nossos objetivos sero:
Compreender o ciclo de vida da informao;
Compreender a definio de vulnerabilidade;
Analisar os principais tipos de vulnerabilidades;
Conhecer exemplos de ferramentas para a anlise de vulnerabilidades de segurana;
Conhecer mecanismos de segurana das informaes.
36 captulo 2
2.1 O Ciclo de Vida da Informao
Ns j sabemos, atravs de explicaes encontradas no captulo anterior, que
as informaes so provenientes de um conjunto de dados que foram lapida-
dos. O que no sabamos at o presente momento que a informao possui
um ciclo de vida finito. E que, quando este ciclo percorre a etapa final, as infor-
maes ali envolvidas devem ser adequadamente descartadas. Vejamos a cita-
o subsequente que enfatiza tal afirmao.
captulo 2 37
Entre os benefcios gerados pela implantao de um ERP, podemos destacar:
Integrao das diversas reas da empresa, pois os processos implementados no
sistema transpem os limites departamentais e permitem aos colaboradores terem
maior visibilidade das responsabilidades;
Adoo de um nico sistema em toda a empresa, diminuindo o retrabalho de
tarefas e melhorando a comunicao interna com informaes padronizadas;
Gesto baseada em processos, permitindo empresa crescer sem ter necessida-
de de mudar de sistema, como tambm a garantia de todos os requerimentos globais,
regionais e locais do negcio;
Maior controle e gerenciamento dos processos internos da empresa, gerando
implicitamente melhor desempenho e maior competitividade, provendo agilidade nos
negcios, pois as decises tomadas so baseadas em informaes seguras e em
tempo real; e
Utilizao de solues voltadas inteligncia de negcios como Business Intel-
ligence - BI, e ao relacionamento com o cliente, Customer Relationship Management
- CRM.
Fonte: http://www.informazione4.com.br/cms/opencms/desafio21/artigos/ges-
tao/organizando/0016.html
38 captulo 2
Manuseio
Autenticidade
Disponibilidade
Legalidade
Transporte
captulo 2 39
conforme deduzimos, o descarte ocorre no momento em
que a informao no mais til. Desta forma, arquivos em
DESCARTE papel so descartados em lixeiras, arquivos eletrnicos so
apagados do banco de dados, CDs contendo informaes
sem serventia so descartados, e assim por diante.
40 captulo 2
VULNERABILIDADE - Fragilidade de software, hardware ou procedimento que pode
fornecer a um atacante a maneira para entrar em um computador ou rede e ganhar
acesso s informaes do ambiente.
AMEAA - Agente ou ao, espontneo ou proposital, que aproveita das vulnerabili-
dades de um ambiente para conseguir seu intento.
RISCO Calculado considerando o nvel de impacto e a probabilidade de
uma ameaa
ATAQUE Incidncia da ameaa sobre a vulnerabilidade.
EXPLOIT Programa capaz de explorar uma vulnerabilidade.
Fonte: http://www1.univap.br/cccomp/Seminario/Palestra_Seguranca.pdf. Con-
sultado em: 29/07/2015
captulo 2 41
so aquelas decorrentes de fenmenos naturais, e que
VULNERABILIDADES trazem riscos para equipamentos e informaes. Exem-
NATURAIS plos: inundaes, terremotos, maremotos, furaces etc.
42 captulo 2
so aquelas relacionadas com o trfego de informa-
es, os quais podem ser realizados atravs de fibra
ptica, ondas de rdio, satlite ou cabos. Indepen-
dentemente do meio escolhido, o sistema de comu-
VULNERABILIDADES nicao escolhido deve ser seguro e garantir que as
DE COMUNICAO informaes transmitidas alcancem o destino desejado
sem interveno alheia. Alm disso, as informaes
trafegadas devem ser criptografadas, pois, caso haja
alguma falha no processo, a informao no pode ser
acessada por pessoas no autorizadas;
captulo 2 43
2.4 Ferramentas para anlise de vulnerabilidades
de segurana
Mesmo que voc tenha apenas um nico micro conectado Internet, ele pode estar
sujeito a ataques. Por esse motivo, indispensvel que voc atualize com freqncia
o antivrus e demais aplicativos, principalmente os que utilizam a conexo com a Inter-
net, incluindo o prprio sistema operacional.
A partir do momento que voc interliga os micros em rede e compartilha a conexo
entre eles, os cuidados devem ser redobrados. Falhas nas configuraes da rede ou
mesmo desconhecimento por parte dos usurios podem tornar sua rede um prato
cheio para os invasores. Os scanners servem justamente para checar as condies
de segurana de um ou mais micros, de modo que voc corrija eventuais falhas antes
que algum mal intencionado tenha chance de explor-las, obtendo alguma vantagem
ou causando prejuzo. Assim como os demais, estes programas tambm precisam ser
atualizados com frequncia, de modo a corrigir falhas descobertas mais recentemente.
Fonte: http://www.hardware.com.br/dicas/scanners-porta.html. Publicado em: 19
de fevereiro de 2008. Consultado em: 29/07/2015
44 captulo 2
Atravs destes scanners, de acordo com Nakamura e Geus (2006), poss-
vel evitar desperdcio de esforo com medidas de preveno a ataques, uma
vez que, quando uma vulnerabilidade encontrada, deve ser medido seu grau
de risco para a organizao e ento tratada para que uma ameaa no venha a
explor-la.
Neste contexto, h vrios exemplos de aplicaes que executam a anlise de
vulnerabilidades de uma rede ou host. Na sequncia, detalharemos trs tipos:
o nmap, o languard e o nessus.
NMAP
Languard
captulo 2 45
Permite agendar scanners peridicos e comparar com execues anteriores, permitin-
do ainda, configurar o tipo de vulnerabilidade a ser pesquisada (ausncia de patches,
erros de configuraes, dentre outros) e exportar resultados em XML. Ele detecta
uma grande quantidade de vulnerabilidades que estiverem em um sistema operacio-
nal, uma aplicao, banco de dados, etc, seja ele Windows, Linux, Solaris, Mac OS ou
um roteador (GFI NETWORK SECURITY, 2008 apud MOREIRA et al, 2008, p. 9).
NESSUS
46 captulo 2
somente os usurios autorizados tero acesso a
SIGILO informao;
CONEXO
Dica de filme de ao que fala sobre supercomputadores e criptografia: A SENHA
(Swordfish).
captulo 2 47
que contar com tempo suficiente capaz de resolv-la. Imagine agora quan-
tas combinaes diferentes existem para uma chave de 128 bits. Para quebrar
uma chave destas no mtodo da tentativa e erro, seria necessria uma dcada e
centenas de milhares de computadores. (fonte: http://www.tecmundo.com.br/
seguranca/1334-o-que-e-criptografia-.htm, consultado em 04/04/13)
48 captulo 2
O problema deste tipo de soluo que, com o uso constante dos cdigos,
em algum momento eles sero facilmente decifrados. Outro problema que s
possvel o envio de mensagens predefinidas (combinadas previamente). Por
exemplo: no h como o general mandar seu exrcito atacar pela direita, pois
nenhuma mensagem para este tipo de ao foi preestabelecida.
Muda para:
O U V C L H J E U O M N A
Q E O E E O E O R A A H
O U V C L H J E U O M N A Q E O E E O E O R A A H
captulo 2 49
A mensagem:
O Q U E V O C E L E H O J E E O U R O A M A N H A
Muda para:
R T Y H W R F H N H K R M H H R Y U R D P D Q K D
JOSEDIGALVXYWZBCFHKMNPQRT
E a substituio ficaria:
A B C D E F G H I J K L M N O P Q R S T U V X Y W Z
J O S E D I G A L V X Y W Z B C F H J K M N P Q R T
50 captulo 2
o q u e v o c e l e h o j e e o u r o a m a n h a
R E B E C A R E B E C A R E B E C A R E B E C A R
o q u e v o c e l e h o j e e o u r o a m a n h a
R E B E C A R E B E C A R E B E C A R E B E C A R
F U V I X O T I J I J O A I F S W R F E N E P H R
a b c d e f g h i j k l m n o p q r s t u v w x y z
B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
captulo 2 51
2.5.3.4 Cifra de Substituio de Polgramos
Utiliza um grupo de caracteres em vez de um nico caractere individual para a
substituio da mensagem. Este mtodo consiste em uma escrita que se baseia
em um conjunto de smbolos cujo significado conhecido por poucos, permi-
tindo com isto que se criem textos que sero incompreensveis aos que no sai-
bam o padro de converso necessrio para a sua leitura.
A principal vantagem das cifras em relao aos cdigos a no limitao das pos-
sveis mensagens a serem enviadas, alm de ser tornarem mais difceis de serem
decifradas. As cifras so implementadas atravs de algoritmos associados a chaves,
longas sequncias de nmeros e/ou letras que determinaro o formato do texto
cifrado. (Disponvel em: http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm.
Acesso em: 04/04/13)
Um algoritmo nada mais do que uma receita que mostra passo a passo os proce-
dimentos necessrios para a resoluo de uma tarefa. Ele no responde a pergunta
o que fazer?, mas sim como fazer. Em termos mais tcnicos, um algoritmo uma
sequncia lgica, finita e definida de instrues que devem ser seguidas para resolver
um problema ou executar uma tarefa.
Embora voc no perceba, utiliza algoritmos de forma intuitiva e automtica diaria-
mente quando executa tarefas comuns. Como estas atividades so simples e dispen-
sam ficar pensando nas instrues necessrias para faz-las, o algoritmo presente
nelas acaba passando despercebido. (Fonte: http://www.tecmundo.com.br/programa-
cao/2082-o-que-e-algoritmo-.htm, consultado em 04/04/13)
52 captulo 2
CONEXO
Dica de filme biogrfico que fala sobre criptografia: UMA MENTE BRILHANTE (A Beautiful Mind).
captulo 2 53
As tcnicas de criptografia oferecem seis tipos de servios bsicos, sem os quais no
possvel realizar o comrcio eletrnico seguro atravs da Internet, so eles:
1. Disponibilidade: garante que uma informao estar disponvel para acesso no
momento desejado;
2. Integridade: garante que o contedo da mensagem no seja alterado;;
3. Controle de Acesso: garante que o contedo da mensagem somente ser acessa-
do por pessoas autorizadas;
4. Autenticidade da origem: garante a identidade de quem est enviado a mensagem;
5. No repudiao: previne que algum negue o envio/recebimento de
uma mensagem;
6. Privacidade (confidencialidade ou sigilo): impede que pessoas no autorizadas te-
nham acesso ao contedo da mensagem, garantindo que apenas a origem e o destino
tenham conhecimento (Fonte: http://www.training.com.br/lpmaia/pub_seg_cripto.htm,
consultado em 26/04/2013)
54 captulo 2
A assinatura e a certificao digital sero subsequentemente detalhadas.
Alm de estar relacionada a uma entidade emissora, uma assinatura digital se relacio-
na transao em questo, sendo nica para cada transao realizada pelo emissor e
tendo sempre um prazo de validade determinado.
Para possibilitar a utilizao de assinaturas digitais em transaes comerciais e gover-
namentais, foi criada e aperfeioada ao longo do tempo, uma Infraestrutura de Chaves
Pblicas (ICP), envolvendo padronizaes, normas, procedimentos, orientaes e leis.
Envolvem ainda rgos como Autoridades Registradoras (AR), Autoridades Certifi-
cadoras (AC) e outros. A Certisign, maior empresa brasileira em tecnologia com foco
exclusivo nas solues que utilizam Certificao Digital, explica aos usurios, entre
outros detalhes, que no h necessidade de se processar a assinatura digital da
mensagem completa. Para tornar o custo de tempo de processamento da assinatura
digital eficiente, ela gerada a partir do valor de hash da mensagem.
A certificao digital certifica a autenticidade da assinatura digital combinando aspec-
tos tecnolgicos e jurdicos. Ela vem sendo utilizada no Brasil para atribuir valor legal a
documentos eletrnicos e para garantir sua eficcia probatria.
captulo 2 55
Os ambientes de infraestruturas de chaves pblicas precisam estar sob critrios de
segurana rigorosos, desde a Autoridade Certificadora at o usurio do certifica-
do digital.
Nesta viso, uma infraestrutura de chave pblica uma combinao de tecnologia e
processos que vinculam a identidade do titular da chave privada sua respectiva chave
pblica, utilizando a tecnologia assimtrica de criptografia (RIBEIRO et al 2010, p. 85).
56 captulo 2
Um hash uma sequncia de bits geradas por um algoritmo, em geral representada em
base hexadecimal, que permite a visualizao em letras e nmeros (0 a 9 e A a F). a
transformao de uma grande quantidade de informaes em uma pequena quantidade.
Essa sequncia busca identificar um arquivo ou informao unicamente. Por exemplo,
uma mensagem de correio eletrnico, uma senha, uma chave criptogrfica ou mesmo
um arquivo. um mtodo para transformar dados de tal forma que o resultado seja
(quase) exclusivo. Alm disso, funes usadas em criptografia garantem que no
possvel a partir de um valor de hash retornar informao original.
Como a sequncia do hash limitada, muitas vezes no passando de 512 bits, exis-
tem colises (sequncias iguais para dados diferentes). Quanto maior for a dificulda-
de de se criarem colises intencionais, melhor o algoritmo.
Fonte: adaptado de http://www.nfp.fazenda.sp.gov.br/inf_tecnicas.shtm. Consul-
tado em: 24/04/2013
Gerado o hash, deve ser feita a criptografia do mesmo (com chave pblica).
O autor/emissor usa sua chave privada para assinar a mensagem e armazenar o
resumo criptografado junto mensagem original (no criptografada).
Aps, um novo resumo gerado, a partir da mensagem armazenada, a fim
de verificar a autenticidade do documento. Este novo resumo analisado e
comparado assinatura digital. No entanto, e para que seja possvel fazer isto,
necessrio descriptografar a assinatura, obtendo o resumo (hash) original.
captulo 2 57
Desde ento, j havia sido notado que este esquema bsico no era muito seguro.
Como preveno, aplicava-se primeiro uma funo de criptografia hash para a mensa-
gem e aps o algoritmo RSA ao resultado.
Outros esquemas de assinatura digital foram logo desenvolvidos depois do RSA, o
mais antigo sendo as assinaturas de Lamport, de Merkle (tambm conhecidas como
rvores de Hash) e as de Rabin.
Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaram-se os primeiros
a rigorosamente definir os requerimentos de segurana de esquemas de assinatura
digital. Eles descreveram uma hierarquia de modelos de ataque para esquemas de
assinatura, e tambm apresentaram o esquema de assinatura GMR, o primeiro que
podia se prevenir at mesmo de uma forja existencial contra um ataque de mensa-
gem escolhida.
Disponvel em: http://pt.wikipedia.org/wiki/Assinatura_digital. Acesso em
24/04/2013
58 captulo 2
A Internet e o mundo digital nos proporcionam acesso ilimitado a qualquer
tipo de informao, trazendo facilidades na comunicao entre pessoas e insti-
tuies. Em contraste, ainda h margem para a insegurana, pois, por exemplo,
como garantir que quem est realizando uma compra virtual realmente quem
afirma ser? Ou seja, o anonimato nas transaes virtuais gera probabilidade de
risco de segurana das informaes que esto sendo acessadas.
captulo 2 59
A Certificao Digital garante a autenticidade das informaes trafegadas
na rede virtual. Algumas de suas aplicaes envolvem as transaes na utiliza-
o de: NF-e, e-CPF e e-CNPJ; no IRPF (Imposto de Renda de Pessoa Fsica), IRPJ
(Imposto de Renda de Pessoa Jurdica) etc. Nestes casos, utilizada a ICP-Brasil
(Infraestrutura de Chaves Pblicas Brasileira).
O Certificado Digital uma credencial que identifica uma entidade, seja ela empresa,
pessoa fsica, mquina, aplicao ou site na web. Um documento eletrnico seguro
permite ao usurio se comunicar e efetuar transaes na internet de forma mais
rpida, sigilosa e com validade jurdica.
Os Certificados Digitais so compostos por um par de chaves (Chave Pblica e Priva-
da) e a assinatura de uma terceira parte confivel a Autoridade Certificadora AC.
As Autoridades Certificadoras emitem, suspendem, renovam ou revogam certificados,
vinculando pares de chaves criptogrficas ao respectivo titular. Essas entidades de-
vem ser supervisionadas e submeter-se regulamentao e fiscalizao de organis-
mos tcnicos (Fonte: http://hotsite.certisign.com.br/conectividadesocial/certificado-
digital.html, consultado em 29/04/2013)
60 captulo 2
O signatrio de um documento (quem assina o documento) ao aplicar a funo hash
est gerando uma espcie de impresso digital do contedo do documento. Permi-
nindo verificar sua integridade.
O hash ento criptografado com a chave privada do signatrio.
Ao criptografar o hash com sua chave privada o signatrio estar juntando a sua
prpria impresso digital, isto , ele gerou o hash para garantir a integridade do do-
cumento e o critpgrafa com a chave privada, para gar\ntir a autoria, ou autenticidade
do documento.
Nesse momento o "pacote" composto de: original + assinatura digital
(hash criptografado).
Para completar o "pacote", finalmente, o certificado digital do signatrio agregado.
Agregar o certificado ao pacote, "autentica a assinatura", uma vez que o certificado
permite verificar a identidade do signatrio.
O certificado permite a imediata verificao da assinatura digital.
Primeiramente analisamos o certificado para verificar a identidade do autor da assina-
tura. (lembrando que o certificado digital assinado por uma AUTORIDADE CERTIFI-
CADORA, que identificou o titular do certificado)
Utilizamos a chave pblica que ele contm para descriptografar o hash, que havia sido
criptografado com a chave privada do signatrio.
Se for possvel realizar essa operao est comprovada a autenticidade (autoria)
do arquivo.
O proprio certificado digital um arquivo assinado digitalmente, por uma Autorida-
de Certificadora, que denominada como o 3 elemento de confiana, isto um
elemento externo em quem os envolvidos no processo ( signatrio e destinatrio da
mensagem ou arquivo) confiam.
Fonte: http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que
-e-assinatura-digital. Consultado em 24/04/2013).
captulo 2 61
A ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira) foi instituda pela Medida Provi-
sria 2.200-2, de 24 de agosto de 2001, que cria o Comit Gestor da ICP-Brasil, a Autorida-
de Certificadora Raiz Brasileira e define as demais entidades que compem sua estrutura.
A partir dessa Medida Provisria, foram elaborados os regulamentos que regem as
atividades das entidades integrantes da Infraestrutura de Chaves Pblicas Brasilei-
ra: Resolues do Comit Gestor da ICP-Brasil, as Instrues Normativas e outros
documentos (Fonte: http://www.praticacertificacao.com.br/site/content/institucional/
icpbrasil.php, consultado em 29/04/2013)
CONEXO
Assista ao vdeo institucional apresentando a estrutura do Instituto de Tecnologia da Informa-
o pela Certificao Digital no Brasil: http://www.youtube.com/watch?v=4c0vaDrkIDU&-
feature=channel_page.
ATIVIDADES
01. Sobre o Ciclo de Vida da Informao, leia as asseres e assinale a alternativa correta.
I. O descarte ocorre no momento em que a informao no mais til;
II. Documentos com valor histrico permanente podem ser descartados quando se julgar
que deles no so mais teis;
62 captulo 2
III. Documentos com valor legal podem ser descartados, porm obedecendo aos prazos
determinados em lei.
a) Somente a assero I est correta.
b) Somente a assero II est correta.
c) As asseres I e III esto corretas.
d) As asseres II e III esto corretas.
e) Somente a assero III est correta.
REFLEXO
Este foi um captulo um tanto complexo.
Compreendemos o Ciclo de Vida da Informao e exploramos as vulnerabilidades acer-
ca da segurana das informaes organizacionais. Sobre este aspecto aprofundamos mais
ainda abordando mecanismos de segurana. Ou seja, vimos todo o processo de crifagem/
codificao de uma mensagem, importncia e aplicao. Alm disto, aprendemos a diferen-
ciar e detectar a aplicao da assinatura e certificao digital.
LEITURA
Aps todo aprendizado tido no decorrer deste captulo, voc deve estar se questionando
quem o rgo regulamentador dos certificados e assinaturas digitais. Pois bem, vamos
conhecer mais sobre este assunto subsequentemente.
captulo 2 63
A Medida Provisria n 2.200-1, de 27 de julho de 2001, reeditada pela MPv n 2.200-
2 de 2001, institui a Infraestrutura de Chaves Pblicas Brasileiras ICP Brasil e d outras
providncias. Quanto ao Comit Gestor da ICP Brasil, a referida Medida Provisria institui:
[...]
Art. 5o Compete ao Comit Gestor da ICP-Brasil:
I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da
ICP-Brasil;
II - estabelecer a poltica, os critrios e as normas tcnicas para licenciamento das AC
(Autoridade Certificadora), das AR (Autoridade de Registro) e dos demais prestado-
res de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao;
III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz;
IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio;
V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de
certificados e regras operacionais das AC e das AR e definir nveis da cadeia
de certificao;
VI - aprovar polticas de certificados e regras operacionais, licenciar e autorizar o
funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspon-
dente certificado;
VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de
certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras
formas de cooperao internacional, certificar, quando for o caso, sua compatibilidade
com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e
VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para
a ICP-Brasil, garantir sua compatibilidade e promover a atualizao tecnolgica do
sistema e a sua conformidade com as polticas de segurana.
[...]
(Fonte: http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-1.htm,
consultado em 29/04/2013)
64 captulo 2
A fim de garantir a segurana da infraestrutura de chaves pblicas, h a necessidade
de cuidados na distribuio dos pares de chaves (pblica e privada), evitando assim
ataques como o ataque MITM (Man-In-The-Middle / Ataque por Homem ao Meio).
Neste tipo de ataque, o invasor interage entre duas partes que estejam se comunican-
do, sem que nenhuma das partes perceba o que est ocorrendo.
Suponha que um adversrio obtenha um par de chaves (pblica/privada) para utilizar
no ataque e que, de alguma forma, ele consiga trocar a chave pblica de A pela sua.
O adversrio passa a monitorar a linha de comunicao. Quando um criptograma for
enviado para A, o adversrio intercepta o canal tendo acesso ao criptograma e no
deixa que ele chegue ao destinatrio A. O adversrio decifra o criptograma, altera a
mensagem conforme sua convenincia e a envia para A com a chave pblica correta
de A, de forma que A consiga abrir a mensagem. Da mesma forma, quando A enviar
uma assinatura digital, o adversrio intercepta a mensagem enviada e a substitui por
outra que ele cria conforme sua convenincia e divulga como se fosse assinada por A.
Para evitar esse tipo de ataque, as ACs operam como uma terceira parte confivel,
certificando a validade do par de chaves no momento da sua criao. Outra neces-
sidade tcnica para a segurana em assinaturas digitais a utilizao de algum
esquema de codificao, que processe algum tipo de codificao na mensagem que
ser assinada, tornando-a pseudoaleatria e evitando, assim, possveis ataques por
mensagem escolhida (PEREIRA, 2009, p. 79)
REFERNCIAS BIBLIOGRFICAS
ALBERTIN, A. L. Comrcio Eletrnico: seus aspectos de segurana e privacidade. Revista de
Administrao, verso 38, n 2, p. 49-61, 1998.
CASTILHO, J. O Ciclo de Vida da Informao. Revista Sade Business, disponvel em: http://
saudebusiness.com/noticias/o-ciclo-de-vida-da-informacao/ , 7 de maio de 2013.
CERT. Centro de estudos, resposta e tratamento de incidentes de segurana no Brasil. URL:
<http://www.cert.br/>. Acessado em 01/03/2012.
CERTISIGN. Site institucional. Certificao digital. URL: <http://www.certisign.com.br/
certificacaodigital>. Acessado em 01/03/2012.
ICP-Brasil. Infraestrutura de chaves pblicas brasileira. URL: <http://www.icpbrasil.gov.br/>.
Acessado em 01/03/2012.
ITI. Instituto Nacional de Tecnologia da Informao. Autoridade certificadora brasileira raiz. URL:
<http://www.iti.gov.br/twiki/bin/view/ITI/Apresentacao>. Acessado em 01/03/2012.
captulo 2 65
KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet (Uma abordagem top-down). So
Paulo: Pearson, 2007.
NAKAMURA, T. E.; GEUS, L. P. Segurana de Redes em Ambientes Cooperativos. So Paulo,
Berkeley, 2002.
MDULO. Curso Bsico de Segurana da Informao (Academia Latino-Americana de Segurana
da Informao). Mdulo Security, 2006.
MOREIRA, J. R. H.; TEIXEIRA, C. S.; TAVARES, C. C.; VERBENA, M. F.; QUINTAO, P. L. Scanners
de Vulnerabilidades Aplicados a Ambientes Organizacionais. Revista Eletrnica da Faculdade
Metodista, n 5, ISSN 19810377, jul/dez, 2008.
MULLER, E. J. O Ciclo de Vida da Informao. Disponvel em: http://www.ezequieljuliano.com.
br/?p=27 , 11 de abril de 2014.
NAKAMURA, E. T.; GEUS, L. P. Segurana de Redes em Ambientes Cooperativos. So Paulo:
Novatec, 2007.
NASCIMENTO, N. J. Ameaas e Vulnerabilidades da Informao. Como Precaver. Disponvel em:
http://www.portaleducacao.com.br/educacao/artigos/48819/ameacas-e-vulnerabilidades-da-
informacao-como-precaver , Publicado em 5 de julho de 2013.
NEIVA, D. Gesto Inteligente de Dados e o Ciclo de Vida da Informao. Disponvel em: http://
www.baguete.com.br/artigos/893/daniel-neiva/16/09/2010/gestao-inteligente-de-dados-e-o-ciclo-
de-vida-da-informacao , Publicado em 16 de setembro de 2010.
PEREIRA, S. R. O sistema criptogrfico de chaves pblicas RSA. Dissertao apresentada
Universidade Catlica de Santos, UNISANTOS. 2008.
SANTOS, B. R. Deteco de Intrusos Utilizando o Snort. Computao da Universidade Federal de
Lavras, Graduao Latu Sensu em Administrao de Rede Linux, 2005.
SILVA, L. G. C.; SILVA, P. C.; BATISTA, E. M.; HOMOLKA, H. O.; AQUINO, I. J. S.; LIMA, M. F.
Certificao digital: conceitos e aplicaes, modelos brasileiro e australiano. 1. ed. So Paulo:
Editora Cincia Moderna, 2008.
STALLINGS, W. Criptografia e segurana de redes. 4 edio Ed. Prentice Hall, 2007.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. Risk Management Guide for Information Technology
Systems. Gaithersburg: NIST - National Institute of Standards and Technology. Disponvel em:
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, julho, 2002.
VOLPI, M. M. Assinatura digital: aspectos tcnicos, prticos e legais. Rio de Janeiro: Axcel Books
do Brasil, 2001.
WADLOW, Thomas A. Segurana de redes: projeto e gerenciamento de redes seguras. Traduo:
Fbio Freitas da Silva. Rio de Janeiro: Campus, 2000.
66 captulo 2
3
Ameaas
e Ataques
Segurana das
Informaes
Ol, pessoal. Neste terceiro captulo conheceremos a distino entre ameaas
e ataques segurana da informao. Da mesma forma, fazeremos um deta-
lhamento de ambos, de forma a conhecer alguns aspectos muito importantes.
Isto as faz necessrio porque muito comum haver a confuso entre estes dois
conceitos, como se fossem sinnimos.
Alm disso, importante ressaltar que muitas organizaes acabam se
equivocando em estabelecer polticas de segurana das informaes (tanto dos
dados armazenados localmente no servidor da organizao quanto daqueles
trafegados atravs da Internet). Ou seja, notamos que muitas organizaes es-
tabelecem polticas de segurana sem conhecer detalhadamente as ameaas e
os ataques (internos e externos).
Ento vamos juntos!
OBJETIVOS
Nossos objetivos sero:
Conhecer o conceito de ameaas;
Conhecer os principais tipos de ameaas;
Conhecer o conceito de ataques;
Conhecer os principais tipos de ataques.
68 captulo 3
3.1 Introduo
O uso de sistemas de informaes e redes mudou de maneira drstica com o
advento da internet. Atualmente, infraestruturas crticas so suportas sobre
a internet como o gerenciamento de energia, sistemas de transporte, coorde-
nao de finanas etc. Isso influencia diretamente a maneira como as compa-
nhias realizam negcios, como os governos disponibilizam seus servios aos
cidados e como as pessoas trocam informaes e se comunicam. Tudo isto
influi na natureza da informao trocada.
A quantidade de dispositivos com conexes always on (sempre conecta-
dos) tambm aumentou significativamente. Assim, houve um aumento da in-
terconectividade, e os sistemas de informaes e redes tendem a ficar expostos
cada vez mais a um maior nmero de ameaas e vulnerabilidades.
As questes relativas segurana de informaes no se aplicam apenas a
sistemas informatizados. No entanto, a informatizao trouxe novas questes
a serem discutidas. Se voltssemos cerca de um sculo (ou um pouco mais) no
tempo e verificssemos como era a segurana de sistemas bancrios, percebe-
ramos que voc precisaria invadir fisicamente um banco para roub-lo. Hoje,
isto no necessrio. Atacantes do mundo todo podem tentar burlar a segu-
rana em sistemas bancrios, pois estes sistemas esto conectados internet.
necessrio discutir questes novas sobre segurana e formar uma cultu-
ra de segurana.
Os armrios e as fechaduras para arquivos confidenciais hoje so digitais.
A informao um ativo que, como qualquer outro relevante para o negcio, possui
valor para a organizao e necessita ser adequadamente protegido. Alm disso, as
dependncias dos sistemas de informao e servios, as tendncias e evolues tec-
nolgicas da computao, as interconexes de redes pblicas e privadas e o compar-
tilhamento de recursos expem as organizaes s mais variadas fontes de ameaas:
fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo, inundao, blackouts,
cdigos maliciosos, hackers, entre outras.
Para grande parte das organizaes, a informao e a tecnologia associada represen-
tam ativos valiosos. As organizaes bem-sucedidas utilizam a tecnologia da informa-
o para dirigem e agregarem valores aos seus negcios. Estas empresas, em virtude
de atenderem regulamentaes e da dependncia de seus processos com a da
tecnologia da informao, reconhecem a necessidade de gerir os riscos associados.
captulo 3 69
A segurana da informao protege a informao contra ameaas no intuito de
garantir a continuidade, minimizar os danos e maximizar os investimentos e oportuni-
dades do negcio. A segurana da informao obtida pela utilizao de controles:
polticas, prticas, procedimento, estruturas organizacionais e infraestruturas de har-
dware e software. caracterizada pela preservao da confidencialidade, integridade
e disponibilidade da informao, e visa preservar a competitividade, o faturamento, a
lucratividade, o atendimento aos requisitos legais e a imagem da organizao (GON-
ALVES, 2008, p. 11).
70 captulo 3
O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante para os negcios,
tem um valor para a organizao e conseqentemente necessita ser adequadamente
protegida. A segurana da informao protege a informao de diversos tipos de
ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios
e maximizar o retorno dos investimentos e as oportunidades de negcio.
A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios
eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apre-
sentada ou o meio atravs do qual a informao compartilhada ou armazenada,
recomendado que ela seja sempre protegida adequadamente.
Fonte: http://artigos.netsaber.com.br/resumo_artigo_16364/artigo_sobre_segu-
ran%C3%87a_da_informa%C3%87%C3%83o>. Acessado em 06/07/2015
Ameaa: palavra, ato, gesto pelos quais se exprime a vontade que se tem de fazer
mal a algum, sinal, manifestao que leva a acreditar na possibilidade de ocorrer
alguma coisa.
Sinnimos de Ameaa: advertncia, bravata, cominao, intimao e prenncio.
Fonte: Dicionrio Online Portugus
captulo 3 71
No Livro A Arte da Guerra, o autor Zun Tsu afirma: Se conhecemos o ini-
migo (ambiente externo) e a ns mesmos (ambiente interno), no precisamos
temer o resultado de uma centena de combates. Se nos conhecemos, mas no
ao inimigo, para cada vitria sofreremos uma derrota. Se no nos conhecemos
nem ao inimigo, sucumbiremos em todas as batalhas.
De acordo com dados publicados pelo CNASI Congresso de Segurana da
Informao, Auditoria e Governana TIC (2013), as ameaas segurana de
uma organizao esto relacionadas com a perda de uma (ou mais) das suas
trs caractersticas principais:
72 captulo 3
"Hacker" e "cracker" podem ser palavras parecidas, mas possuem significados
bastante opostos no mundo da tecnologia. De uma forma geral, hackers so indiv-
duos que elaboram e modificam softwares e hardwares de computadores,
seja desenvolvendo funcionalidades novas ou adaptando as antigas. J cracker o
termo usado para designar quem pratica a quebra (ou cracking) de um sistema
de segurana.
Na prtica, os dois termos servem para conotar pessoas que tm habilidades com
computadores, porm cada um dos "grupos" usa essas habilidades de formas bem
diferentes. Os hackers utilizam todo o seu conhecimento para melhorar soft-
wares de forma legal e nunca invadem um sistema com o intuito de causar
danos. No entanto, os crackers tm como prtica a quebra da segurana de
um software e usam seu conhecimento de forma ilegal, portanto so vistos
como criminosos.
As denominaes foram criadas para que leigos, e especialmente a mdia, no
confundissem os dois grupos. Apesar de os termos serem mundialmente conhecidos,
chamar alguns de bons e outros de maus no agrada a todos. H quem acre-
dite que tanto o hacker quanto o cracker so habilidosos e podem fazer as mes-
mas coisas.
Os termos mais corretos so os usados dentro da tica hacker: White Hat (Chapu
Branco), Black Hat (Chapu Preto) e Gray Hat (Chapu Cinza). Os hackers "Cha-
pu Branco" so pessoas interessadas em segurana e, na maioria das vezes, usam
suas habilidades a favor das empresas, sendo 100% ticos em suas aes. So eles
que ocupam os cargos de analista de sistema, especialista em TI ou outros empregos
na rea de informtica.
J os hackers "Chapu Preto" so criminosos e, normalmente, especializados em
invases maliciosas de sites. Os hackers "Chapu Cinza" tm as intenes de um
Chapu Branco, mas suas aes so eticamente questionveis.
Apesar dessa contradio dentro do prprio cenrio de profissionais da segurana,
ainda muitos programadores aceitam os termos hacker e cracker como definies
corretas. Diversos Fruns sobre programao, blogs de tecnologia, sites como Wiki-
pedia e at dicionrios conceituam os hackers como profissionais do bem e crackers
como criminosos.
Disponvel em: http://olhardigital.uol.com.br/noticia/qual-a-diferenca-entrehacker
-e-cracker/38024>. Acesso em: 03/10/2013
captulo 3 73
3.3 Principais Tipos de Ameaas
Existem vrios tipos de ameaas segurana das informaes nas organiza-
es. Neste item iremos conhecer algumas delas.
74 captulo 3
Obter vantagens financeiras;
Obter informaes confidenciais para realizar, por exemplo, chantagem;
Autopromoo;
Vandalismo.
3.3.1.1 Vrus
Vrus so programas elaborados especificamente para alterar nocivamente
softwares instalados em um computador.
Este pequeno dispositivo um acessrio prtico e fcil de usar, compatvel com prati-
camente qualquer sistema.
Tecnicamente o pendrive um dispositivo porttil de armazenamento com memria flash,
acessvel atravs da porta USB. Sua capacidade varia de modelo para modelo, mas os pen-
drives mais atuais j passam dos gigabytes de memria. Por ser pequeno e ter uma gran-
de capacidade, ele j marcou a morte dos velhos e saudosos disquetes de 3,5 polegadas.
captulo 3 75
Os CDs at tentaram substituir os discos flexveis, mas sua portabilidade e praticidade no
maior que a dos pendrives. No h hoje nenhuma mdia porttil to rpida na gravao e
leitura dos dados, como com os pendrives, o que os tornou populares muito rapidamente.
CURIOSIDADE
O termo pendrive, apesar de ser em ingls, no utilizado nessa lngua. Os pases falantes
da lngua inglesa utilizam o termo USB Flash Drive. Pendrive pode ter sido o nome escolhido
por alguns pases pelo fato de os primeiros dispositivos portteis com memria flash terem
sido criados com aparncia que lembrava uma caneta (pen em ingls). Outra possibilidade
a de que estes acessrios so to pequenos que podem ser considerados at mesmo mais
prticos de carregar que uma caneta comum.
Disponvel em: adaptado de: http://www.tecmundo.com.br/pendrive/844-o-que-e-pen-
drive-.htm>. Acesso em: 30/08/2008. Adaptado.
Conforme publicado pelo CGI.br (2012, p. 24), alguns dos tipos de vrus
mais comuns so:
76 captulo 3
escrito em linguagem como VBScript e JavaScript por
exemplo, e recebido ao acessar uma pgina Web ou
VRUS DE SCRIPT por e-mail, como um arquivo anexo ou como parte do
prprio e-mail escrito em formato HTML;
3.3.1.2 Worm
Worm pode ser confundido com o vrus, pois ele tambm capaz de se pro-
pagar automaticamente pelas redes, emitindo cpias de si mesmo para ou-
tros computadores. Entretanto, o que o diferencia de um vrus, de acordo com
o CGI.br (2012), que o Worm executa diretamente suas cpias ou explora
automaticamente as vulnerabilidades existentes em programas instalados
em computadores.
Em funo de consumirem muitos recursos, os Worm acabam afetando o
desempenho de uma rede e, consequentemente, os computadores a ela ligados.
O processo de propagao e infeco de um Worm ocorre da seguinte for-
ma, de acordo com o CGI.br (2012, p. 25):
captulo 3 77
1. Identificao dos computadores alvos: aps infectar um computador, o Worm ten-
ta se propagar e continuar o processo de infeco. Para tanto, necessita identificar os
computadores alvos para os quais tentar se copiar, o que pode ser feito da seguin-
te forma:
Efetuar varredura na rede e identificar computadores ativos;
Aguardar que outros computadores contatem o computador infectado;
Utilizar listas, predefinidas ou obtidas na Internet, contendo a identificao
dos alvos;
Utilizar informaes contidas no computador infectado, como arquivos de
configurao e listas de endereos de e-mail.
2. Envio das cpias: aps identificar os alvos, o Worm efetua cpias de si mesmo e
tenta envi-las para estes computadores, por uma ou mais das seguintes formas:
Como parte da explorao de vulnerabilidades existentes em programas ins-
talados no computador alvo;
Anexadas a e-mail;
Via canais de IRC (Internet Relay Chat);
Via programas de troca compartilhadas em redes locais ou do tipo P2P (Peer
to Peer).
3. Ativao das cpias: aps realizado o envio da cpia, o Worm necessita ser exe-
cutado para que a infeco ocorra, o que pode acontecer de uma ou mais das seguin-
tes maneiras:
Imediatamente aps ter sido transmitido, pela explorao de vulnerabilidades
em programas que esto sendo executados no computador alvo no momento do
recebimento da cpia;
Diretamente pelo usurio, pela execuo de uma das cpias enviadas ao seu
computador;
Pela realizao de uma ao especfica do usurio qual o Worm est con-
dicionado, como, por exemplo, a insero de uma mdia removvel.
78 captulo 3
3.3.1.3 Bot e Botnets
O Bot um programa (software) que permite que o computador infectado seja
controlado remotamente por um operador, sem que isto seja percebido. Este
tipo de controle pode ser feito, por exemplo, via IRC (Internet Relay Chat).
O IRC (Internet Relay Chat) um protocolo utilizado na Internet como troca de arqui-
vos e de informaes.
O modo de comunicao e canais do IRC a conversao de um canal, no qual os
usurios enviam mensagens ao servidor que as reenvia a todos do mesmo canal.
O IRC pode ser utilizado para execuo de Botnets, onde o usurio lana o chamado
Spam a milhares de computadores.
Disponvel em: http://www.infoescola.com/internet/internet-relay-chat-irc/
captulo 3 79
3. Quando o controlador deseja que uma ao seja realizada, ele envia aos zumbis
comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servido-
res centralizados;
4. Os zumbis executam ento os comandos recebidos, durante o perodo predetermi-
nado pelo controlados;
5. Quando a ao se encerra, os zumbis voltam a ficar espera dos prximos coman-
dos a serem executados.
3.3.1.4 - Spyware
Spyware, de acordo com o CGI.br (2012), um programa cuja finalidade mo-
nitorar as atividades de um determinado sistema e enviar as informaes cole-
tadas para terceiros.
Ainda de acordo com o CGI.br (2012), o Spyware tem uso malicioso quan-
do executa aes que comprometem a privacidade do usurio e a segurana do
computador, como, por exemplo: monitorar e capturar informaes de navega-
o do usurio, login e senhas.
Alguns exemplos de tipos de programas spywares so:
80 captulo 3
De acordo com classificao divulgada pelo CGI.br (2012, p. 29), h diferen-
tes tipos de trojans:
captulo 3 81
Coleta dados bancrios do usurio, atravs da instala-
o de programas spywares que so ativados quando
TROJAN BANKER sites de Internet Banking so acessados. similar ao
trojan spy, mas com objetivos mais especficos.
82 captulo 3
LEITURA
Agora que definimos, embora sucintamente, o conceito de ataque a segurana da informa-
o, vamos acompanhar juntos a leitura de trechos de um artigo cujo ttulo : Segurana da
Informao: Internet sobre maior ataque da histria, publicado em 28 de maro de 2013 (o
artigo na ntegra est disponvel atravs do link: http://www.marcosassi.com.br/seguranca-
da-informacao-internet-sofre-maior-ataque-da-historia)
A internet ficou lenta por causa de um massivo ataque de negao de servio a ser-
vidores em diversos pases. Segundo o noticirio britnico BBC, o ataque afetou servios
populares, como a Netflix.
A BBC diz que o problema comeou com uma briga entre o Spamhaus, grupo europeu
de combate ao spam, e a Cyberbunker, empresa holandesa de servios de data center. O
Spamhaus incluiu servidores da Cyberbunker numa lista de emissores de spam. A lista
usada pelos programas antispam para filtrar os e-mails.
O grupo diz que a empresa est por trs dos ataques, que teriam sido lanados em re-
taliao ao bloqueio. No site da Cyberbunker, h uma nota acusando a Spamhaus de incluir
a empresa na lista de bloqueio indevidamente.
A tcnica usada pelos criminosos a de negao de servio. Para realizar um ataque
desse tipo, primeiro um grande nmero de computadores so infectados com um programa
maligno que permite control-los a distncia. Depois, esses computadores zumbis so usa-
dos para inundar os servidores-alvo com solicitaes de dados.
A sobrecarga acaba impedindo o funcionamento dos servidores e da rede qual esto
ligados. Em geral, um ataque desse tipo envia algumas dezenas de gigabytes por segundo
ao servidor-alvo, o que suficiente para derrub-lo. Mas, no caso do Spamhaus, o fluxo
chega a 300 gigabytes por segundo, volume capaz de congestionar a internet.
Os ataques vm sendo realizados em seguidas ondas. O alvo principal so os 80 ser-
vidores de DNS do Spamhaus espalhados por diversos pases. Esse tipo de servidor traduz
endereos como abril.com.br para um cdigo numrico conhecido como endereo IP. Isso
necessrio para que cada pacote de dados encontre seu destino.
Aps a leitura do texto e, independentemente dos reais culpados do ataque, pudemos ter
um pequeno exemplo de ataque que burlou o sistema de segurana da empresa Spamhaus
de forma eficiente e eficaz.
captulo 3 83
3.5 Principais Tipos de Ataques
Os ataques so divididos entre Passivos e Ativos:
1. Ataques Passivos
Bisbilhotar ou monitorar transmisses.
Obter informaes que esto sendo transmitidas.
Conversa telefnica, mensagem de e-mail, arquivo transferi-
do, podem ter informaes importantes ou confidenciais.
Darth
L o contedo da mensagem
de Bob para Alice
Anlise de Trfego
Mais sutil.
Se for possvel disfarar o contedo das mensagens, mesmo
que esta seja captada, no seria possvel extrair as informaes
de cara.
84 captulo 3
Darth Observa padro das
mensagens de Bob para Alice
2. Ataques ativos
Envolvem modificao no fluxo de dados ou criao de um fluxo fal-
so (4 tipos).
Disfarce
Entidade finge ser outra.
captulo 3 85
Inclui uma das outras formas de ataque ativo (normalmente).
Repetio
Captura passiva de uma unidade de dados e subsequente transmisso para
produzir um efeito no autorizado.
86 captulo 3
Modificao de Mensagens
Alguma parte de uma mensagem legtima foi alterada.
Mensagens foram adiadas ou reordenadas para produzir um efeito
no autorizado.
Negao de servio
Impede ou inibe o uso ou gerenciamento normal das instalaes
de comunicao.
Ataque pode ter um alvo especfico.
Darth
Bob
X
Internet ou outra instalao
de comunicao Alice
captulo 3 87
Medidas de segurana
Devido grande quantidade de vulnerabilidades, muito di-
fcil de impedir ataques ativos.
Foco na deteco de ataques ativos e recuperao de inter-
rupes ou atrasos.
88 captulo 3
protegida por diversas camadas de repetio e de cpias; e o departamento de
TI da companhia criou software de teste para os equipamentos. H mais de l bi-
lho de cartes especiais de pagamento Visa em todo o mundo, movimentando
US$2 trilhes anuais em transaes para 23 milhes de comerciantes e caixas
automticos e 21 mil membros de instituies financeiras da Visa. Operamos
a maior mquina de pagamentos do mundo, diz Sara Garrison, vice-presiden-
te snior para desenvolvimento de sistemas da Visa, na Califrnia.Durante o
tempo que se leva para tomar um cafezinho, movimentamos o equivalente a
todo o movimento de todos os mercados de valores do mundo durante 24 ho-
ras. Nossa velocidade cresce de 20 a 30% a cada ano, dobrando a cada trs anos.
A Visa tem quatro centros principais de processamento para controlar tal
carga, mas a instalao de Washington a maior, passando por ali a metade
das transaes de pagamento de todo o mundo. Apesar de dividir o movimento
com um outro centro em San Mateo, na Califrnia, caso ocorra algum proble-
ma, tem capacidade de receber instantaneamente todas as transaes.
Realmente, tudo na infraestrutura de processamento da Visa desde todos
os centros de dados at os computadores, processadores individuais e chaves
de comunicaes tem uma cpia. At mesmo as cpias possuem uma cpia.
Por exemplo, o centro de Washington tem em revezamento quatro unidades de
suprimento contnuo de energia (apenas trs so necessrios) dirigidas pelo
servio local e apoiadas por um grupo de baterias e quatro geradores de fora
movidos a diesel de l megawatt. Os 100 mil litros de diesel armazenados no lo-
cal so suficientes para abastecer o centro durante uma semana. As unidades
de suprimento contnuo de energia protegem o centro de possveis flutuaes
de energia. A instalao tem capacidade de refrigerao suficiente para forne-
cer ar-condicionado a 300 casas.
Calcula-se que os oito mainframes da IBM no centro de dados de Washington
possam processar 3.000 MIPS (milhes de instrues por segundo). Juntos, no
mundo todo, um poder de processamento de 7.000 MTPS pode realizar 10.000
autorizaes de pagamentos de transaes por segundo. A rede da Visa, uma
das maiores redes particulares do mundo, possui cerca de 14,5 milhes de qui-
lmetros de fios de cobre e de fibra tica, e cada cliente Visa tem duas rotas na
empresa por meio de canais comerciais.
O centro de processamento da rea de Washington da Visa abriga 50 mi-
lhes de linhas de cdigo em cerca de 300 aplicativos. Suas principais fun-
es compreendem:
captulo 3 89
esse sistema on-line com base em mainframes IBM
movimenta um pedido de carto de pagamento partin-
SISTEMA DE do do proprietrio do carto, passando pelo comercian-
AUTORIZAO te, indo ao banco, seguindo para o emissor do carto e
retornando ao comerciante;
90 captulo 3
de volume que a Visa no tem capacidade de realizar internamente tem
sido muito vlido. Por exemplo, vrios aplicativos que rodavam perfeitamente
na produo com cargas de pico, falharam quando a carga de teste foi aumen-
tada para se ajustar a volumes projetados para a estao de frias seguinte
diz Wolfson.
ATIVIDADES
01. Existem trs fontes principais para que uma organizao identifique seus requisitos de
segurana. Sobre esta afirmao, leia as asseres e assinale a alternativa correta.
I. A primeira fonte um conjunto de princpios, objetivos e necessidades para o processa-
mento da informao;
II. A segunda fonte a legislao vigente, os estatutos, as regulamentaes e as clusu-
las contratuais;
III. As duas primeiras fontes so utilizadas como referncias para desenvolver a principal
fonte de requisitos de segurana, que derivada da avaliao de riscos.
02. As ameaas segurana de uma organizao esto sempre relacionadas com a perda
de uma ou mais das seguintes caractersticas, as quais:
I. Perda de integridade.
II. Perda de confidencialidade.
III. Perda de performance.
captulo 3 91
03. Sobre os tipos de vrus, leia as asseres e assinale a alternativa que preenche correta-
mente e respectivamente as sentenas abaixo:
I. _______________ recebido como um arquivo anexado ao e-mail cujo contedo induz o
usurio a execut-lo;
II. _______________ escrito em linguagem como VBScript e JavaScript, por exemplo, e
recebido ao acessar uma pgina Web ou por e-mail, como um arquivo anexo ou como parte
do proprio e-mail escrito em formato HTML;
III. _______________ tipo especfico de vrus de script, escrito em linguagem de macro, que
tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem;
IV. _______________ se propaga de celular a celular por meio da tecnologia Bluetooth ou
de mensagens multimdia.
a) Vrus de script; Vrus propagado atravs de e-mail; Vrus de macro; Vrus de Smartphone.
b) Vrus propagado atravs de e-mail; Vrus de script; Vrus de macro; Vrus de Smartphone.
c) Vrus propagado atravs de e-mail; Vrus de macro; Vrus de script; Vrus de Smartphone.
d) Vrus de Smartphone; Vrus propagado atravs de e-mail; Vrus de script; Vrus de macro.
e) Vrus de Smartphone; Vrus de script; Vrus de macro; Vrus propagado atravs de e-mail.
REFLEXO
Neste captulo conhecemos as diferenas entre ameaas e ataques segurana
das informaes.
Detalhadamente conhecemos cada um destes conceitos e seus diferentes tipos.
O importante a enfatizarmos que a organizao deve trabalhar permanentemente de
forma preventiva e no corretiva (quando os ataques j tiverem sido concretizados).
Falamos permanentemente porque, a cada dia, novos tipos de ameaas podem surgir,
e a organizao deve estar preparada para lidar com isso.
LEITURA
Recomendamos a leitura da reportagem: Malware de Android simula desligar o aparelho
para espionar os seus dados, publicada no site: http://www.tecmundo.com.br/malware/
75333-malware-android-simula-desligar-aparelho-espionar-dados.htm , em 21 de fevereiro
de 2015.
92 captulo 3
Acompanhemo-na subsequentemente:
A AVG descobriu um novo malware para Android. Batizado de PowerOffHijack, ele ex-
plora uma vulnerabilidade se aproveitando do momento em que o usurio desliga o aparelho
para espionar informaes do dispositivo.
Ao ser instalado, o vrus exige permisses root para efetuar alteraes no sistema.
Quando o smartphone est prestes a ser desativado, o PowerOffHijack simula o processo
de desligar o dispositivo, mostrando a animao caracterstica e apagando a tela, porm faz
com que o sistema continue funcionando.
O malware ento aproveita o momento para obter suas fotos, efetuar ligaes, enviar
mensagens e acessar qualquer dado que esteja guardado no aparelho sem notificar o usu-
rio. Um verdadeiro pesadelo para qualquer pessoa preocupada com segurana e privacidade.
Focos de infeco
Segundo a AVG, o PowerOffHijack atingiu mais de 10 mil dispositivos, a maioria na Chi-
na, onde o aplicativo apareceu inicialmente atravs das app stores locais. O malware pode
afetar dispositivos com Android 4.4 ou anterior.
Os antivrus mais recentes da AVG conseguem detectar a infeco, mas a recomen-
dao da empresa que os usurios retirem a bateria do smartphone quando quiserem ter
certeza de que o aparelho est desligado.
Porm, a dica principal sempre ficar de olho no que instala, especialmente em lojas de
aplicativos no oficiais.
captulo 3 93
REFERNCIAS BIBLIOGRFICAS
ABNT. ABNT NBR ISO/EIC 27005:2008 : Tecnologia da Informao: Tcnicas de Segurana:
Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008.
CGI.br (Comit Gestor da Internet no Brasil). Cartilha de Segurana para Internet. ISBN: 978-85-
60062-54-6, verso 4.0, 2 Edio, So Paulo, 2012.
CNASI (Congresso de Segurana da Informao, Auditoria e Governana TIC). Ameaas
Segurana da Informao de uma Corporao. Publicado em: http://www.cnasi.com.br/ameacas-
a-seguranca-da-informacao-de-uma-corporacao/, 28 de novembro de 2013.
GONALVES, A. J. Metodologias de Gerenciamento de Riscos em Sistemas de Tecnologia
da Informao e Comunicao abordagem prtica para conscientizao e implantao nas
organizaes. Trabalho de Concluso de Curso de Especializao em Tecnologias, Gerncia e
Segurana de Redes de Computadores, Universidade Federal do Rio Grande do Sul, dezembro, 2008.
SHIREY, R. Internet Security Glossary. Networking Working Group. Disponvel em: http://www.ietf.
org/rfc/rfc2828.txt , acessado em 06/07/2015, publicado em 2000.
94 captulo 3
4
Gesto de Riscos
em Segurana da
Informao
Ol, pessoal. Agora que j falamos sobre as vulnerabilidades, ameaas e ata-
ques segurana das informaes organizacionais, neste terceiro captulo ire-
mos falar sobre os riscos.
Vale enfatizar, j nesta apresentao de captulo, que devemos estar cientes
de que, por mais que a gesto de riscos seja feita de forma correta, estes podem
ser minimizados, mas nunca extintos.
Vamos conhecer mais sobre este assunto? Vamos juntos!
OBJETIVOS
Nossos objetivos sero:
Conhecer o conceito de Risco Organizacional;
Conhecer a Gesto de Riscos;
Conhecer as Etapas da Gesto de Riscos;
Conhecer medidas de segurana para riscos organizacionais.
96 captulo 4
4.1 Introduo
Os termos risco e ameaas organizacionais so situaes externas, pertencen-
tes ao tempo atual ou futuras, que, se no eliminadas, minimizadas ou evitadas
pela empresa, podem (ou podero) afet-la negativamente.
No Livro A Arte da Guerra, o autor Zun Tsu coloca: Se conhecemos o ini-
migo (ambiente externo) e a ns mesmos (ambiente interno), no precisamos
temer o resultado de uma centena de combates. Se nos conhecemos, mas no
ao inimigo, para cada vitria sofreremos uma derrota. Se no nos conhecemos
nem ao inimigo, sucumbiremos em todas as batalhas.
Ameaa: palavra, ato, gesto pelos quais se exprime a vontade que se tem de fazer
mal a algum, sinal, manifestao que leva a acreditar na possibilidade de ocorrer
alguma coisa.
Sinnimos de Ameaa: advertncia, bravata, cominao, intimao e prenncio.
Fonte: Dicionrio Online Portugus
captulo 4 97
Na rea de tecnologia da informao e comunicao, risco considerado como o impacto
negativo motivado pela explorao de uma vulnerabilidade, considerando a possibilidade
e o impacto da sua ocorrncia. O processo para identificar, mensurar e planejar passos
para reduzir um determinado risco a nveis aceitveis pela organizao definido como
Gerenciamento de Riscos (STONEBURNER, 2002 apud GONALVES, 2008, p. 15)
98 captulo 4
Em pocas turbulentas as empresas no podem pressupor que o amanh ser
sempre uma extenso do presente. Pelo contrrio, devem administrar visando mudan-
as que representem oportunidades e ameaas.;
Uma era de turbulncia tambm uma era de grandes oportunidades para aque-
les que compreenderem, aceitarem e explorarem as novas realidades. Os tomadores de
decises devem e enfrentar face a face a realidade e resistirem quilo que todos ns
j conhecemos, a tentao das certezas do passado - certezas que esto prestes a se
tomar as supersties do futuro.;
Mudanas so oportunidades. Podem ser vistas como ameaas por muitos execu-
tivos mas todas precisam ser exploradas como uma oportunidade - para fazer algo de
diferente, algo de novo e, acima de tudo, para fazer algo melhor, algo mais produtivo e
lucrativo. (Disponvel em: http://www.strategia.com.br/Estrategia/estrategia_corpo_ca-
pitulos_analise_ambiente.htm. Acesso em: 20/03/2013)
captulo 4 99
Para tanto, altamente recomendado que seja realizada uma analise de riscos orien-
tada aos ativos de informao, com o propsito de determinar quais desses podem
afetar a entrega de um produto ou servio, em caso de violao de sua integridade,
disponibilidade e/ou confidencialidade, podendo vir a causar danos, muitas vezes
irreparveis, organizao (fonte: http://www.tiespecialistas.com.br/2011/12/
seguranca-a-importancia-da-gestao-de-riscos-orientada-a-ativos-de-informacao/#.
UVoJvKLFXTp, consultado em 20/03/2013)
100 captulo 4
CONEXO
Assista ao vdeo sobre Gesto de Riscos e Incertezas Organizacionais: http://www.youtube.
com/watch?v=XOdH6ZUqvPo.
captulo 4 101
Planejar o gerenciamento dos riscos: deve ser realizado na concepo do
projeto e ser concludo nas fases iniciais do planejamento do projeto.
O processo de planejamento do gerenciamento dos riscos define como con-
duzir as atividades de gerenciamento dos riscos do projeto. O planejamento cui-
dadoso e explcito aumenta a probabilidade de sucesso para os outros cinco pro-
cessos subsequentes. Este processo importante para garantir que o grau, o tipo
e a visibilidade do gerenciamento dos riscos sejam proporcionais tanto aos riscos
como importncia do projeto para a organizao (PMBOK, 2008, p. 228).
Identificar os riscos: determina os riscos que podem afetar o projeto, bem
como documenta suas caractersticas. Identificar os riscos, conforme expe
PMBOK (2008), um processo iterativo porque novos riscos podem surgir ou
se tornar conhecidos somente o ciclo de vida do projeto. O formato das declara-
es de riscos devem ser consistentes para garantir a capacidade de comparar o
efeito relativo de um evento de risco com outros no projeto;
Realizar a anlise qualitativa dos riscos: de acordo com Kerzner (2004),
Vargas (2005) e PMBOK (2008), prioriza os riscos para anlise ou ao adicional
atravs da avaliao e combinao de sua probabilidade de ocorrncia e impac-
to. Neste aspecto, as organizaes podem aumentar o desempenho do projeto
concentrando-se nos riscos de alta prioridade. A realizao da anlise qualita-
tiva de riscos um meio rpido e econmico de estabelecer as prioridades do
processo de Planejar as Respostas aos Riscos e Define a Base para a realizao
da anlise quantitativa dos riscos, se necessria (PMBOK, 2008);
Realizar a anlise quantitativa dos riscos: analisa numericamente os efei-
tos dos riscos identificados nos objetivos gerais do projeto. Esta anlise rea-
lizada nos riscos que foram priorizados pela anlise anterior (qualitativa). Este
processo, confirme o PMBOK (2008), geralmente segue o da anlise qualitativa
de riscos e deve ser repetido depois de Planejar as respostas aos riscos e tam-
bm como parte do processo de monitorar e controlar os riscos, para determi-
nar se o risco geral do projeto diminuiu satisfatoriamente;
102 captulo 4
As respostas planejadas, de acordo com o PMBOK (2008), devem ser ade-
quadas relevncia (prioridade) do risco, ter eficcia de custos para atender
ao desafio, ser realistas dentro do contexto do projeto, acordadas por todas as
partes envolvidas e ter um responsvel designado;
Monitorar e controlar os riscos: implementa planos de respostas a riscos,
acompanha os riscos identificados, monitora os riscos residuais, identifica no-
vos riscos e avalia a eficcia do processo de riscos durante todo o projeto. Este
processo utiliza tcnicas que requerem o uso das informaes de desempenho
geradas durante a execuo do projeto. O responsvel pela resposta ao risco in-
forma ao gerente de projetos sobre a eficcia do plano, os efeitos imprevistos e
qualquer correo para tratar o risco de forma adequada. O processo de moni-
torar e controlar os riscos tambm engloba, conforme expem Vargas (2005) e
PMBOK (2008), a atualizao dos ativos de processos organizacionais, incluin-
do os bancos de dados de lies aprendidas e os modelos de gerenciamento dos
riscos do projeto, para benefcio de futuros projetos.
captulo 4 103
O gerenciamento de riscos subordinado a um adequado planejamento de avaliao
de riscos. Falhas no alinhamento, escopo ou na obteno da aceitao da avaliao
reduz a eficcia das prximas fases. Por ser onerosa, a fase de avaliao de riscos re-
clama por investimentos significativos de recursos e tempo e depende da participao
ativa do interessado (DILLARD, 2004 apud GONALVES, 2008, p. 22).
O risco calculado em funo da probabilidade de uma vulnerabilidade ser explorada
por uma ameaa e o resultado do impacto na organizao caso este evento ocor-
ra. Para que se possam determinar as possibilidades de ocorrncia de um evento
adverso, as ameaas devem ser analisadas em conjunto com as potenciais vulnerabi-
lidades e os controles j existentes. O nvel do impacto definido pela sua influncia
no negcio e por sua vez no valor do bem atingido (STONEBURNER et al, 2002 apud
GONALVES, 2008, p. 22).
104 captulo 4
Hardware: equipamentos computacionais (processadores, monitores, note-
books, discos rgidos, impressoras, storages, autoloaders, nobreaks), ativos de
rede (roteadores, switches), equipamentos de apoio (geradores, condicionadores
de ar, iluminao);
Servios: contratos de apoio ou suporte, contratos de nveis de servio, forne-
cimento de energia eltrica. (GONALVES, 2008, p. 22)
CONEXO
Assista ao vdeo sobre as ameaas que podem invadir seu computador: http://www.youtube.
com/watch?v=xpC2_kx3H50.
captulo 4 105
4.4.3 Identificao de Vulnerabilidades
Este passo tem como objetivo, segundo as normas da ABNT (2008), avaliar os con-
troles existentes ou planejados para minimizar ou eliminar chances de uma ameaa
explorar determinada vulnerabilidade. Para que se evitem custos e retrabalhos,
conveniente que os controles existentes sejam identificados e avaliados quanto sua a
eficcia. Controles existentes podem ser considerados ineficazes, insuficientes ou no
justificveis, devendo estes serem avaliados quanto a sua substituio ou manuteno
no ambiente (GONALVES, 2008, p. 25)
106 captulo 4
4.4.5 Anlise de Probabilidades
captulo 4 107
Ou seja, analisar o impacto visa a determinar o resultado do impacto no ne-
gcio caso uma determinada ameaa obtiver sucesso.
108 captulo 4
PROBABI-
MUITO BAIXA
LIDADE DO BAIXA MDIA ALTA MUITO ALTA
(MUITO
CENRIO DE (IMPROVVEL) (POSSVEL) (PROVVEL) (FREQUENTE)
IMPROVVEL)
INCIDENTE
Muito Baixo 0 1 2 3 4
Baixo 1 2 3 4 5
IMPACTO NO Mdio 2 3 4 5 6
NEGCIO
Alto 3 4 5 6 7
Muito Alto 4 5 6 7 8
captulo 4 109
O processo de identificao de controles pode ser desafiador, especialmente se
os envolvidos possurem vivncia limitada no assunto. Duas abordagens podem ser
empregadas: a primeira consiste em um debate informal, enquanto a segunda funda-
menta-se na organizao e classificao de controles. A equipe de gerenciamento de
riscos de segurana deve usar uma combinao dessas duas abordagens.
Na abordagem atravs de debate informal, os controles podem ser identificados
depois de respondidas perguntas como:
Que medidas a organizao poderia tomar para resistir ou prevenir a ocorrn-
cia de riscos?
O que a organizao poderia fazer para recuperar-se de um evento adverso?
Que medidas a organizao pode tomar para detectar a ocorrncia de riscos?
Como o controle pode ser auditado e monitorado para garantir sua
efetividade?
Existem outras aes que podem ser tomadas para gerenciar o risco?
O segundo mtodo de recomendao de controles sustenta-se na classificao do con-
trole em organizacional, operacional e tecnolgico, e ainda em subdivises como pre-
veno, deteco/recuperao e gerenciamento de riscos. Os controles organizacionais
definem como os colaboradores de uma organizao devem executar suas tarefas. Os
controles operacionais normatizam a utilizao dos recursos de tecnologia da informao
e comunicao, e incluem tambm as protees ambientais e fsicas. Enquanto que con-
troles tecnolgicos compreendem o planejamento arquitetnico, engenharia, hardwares,
softwares e firmwares, ou seja, os componentes tecnolgicos usados para construir os sis-
temas de informao da organizao (DILLARD, 2004 apud GONALVES, 2008, p. 29)
110 captulo 4
O relatrio de avaliao de riscos no possui a caractersticas de apontar erros, mas
sim de sistematizar de maneira analtica os riscos inerentes ao negcio, justificando
investimentos e reduzindo potenciais perdas ou danos. Seu contedo demonstra as
ameaas e vulnerabilidades, a medida dos riscos identificados, e fornece recomenda-
es de controle que podem ser implantados pelo processo de mitigao de riscos
(STONEBURNER et al, 2002, apud GONALVES, 2008, p. 32).
captulo 4 111
Preveno de riscos: evitar o risco, eliminando sua causa de risco e/ou
consequncia (por exemplo, abrir mo de certas funes do sistema ou desligar
o sistema quando os riscos so identificados);
Limitao de riscos: limitar o risco implementando controles que mini-
mizam o impacto negativo de uma ameaa influenciar uma vulnerabilidade
(por exemplo, o uso de controles de apoio, preveno etc);
Planejamento de riscos: gerenciar riscos atravs do desenvolvimento de
um planejamento de mitigao de riscos que prioriza, implementa e man-
tm controles;
Pesquisa e Reconhecimento: para diminuir o risco de perda, reconhecendo
a vulnerabilidade ou falha e pesquisar controles para corrigir a vulnerabilidade;
Transferncia de risco: transferir o risco usando outras opes para com-
pensar a perda, como, por exemplo, a compra de seguros.
112 captulo 4
como liquidaes de partes da organizao. Tambm recomendvel revisar a lista
de riscos existente para determinar se houve alteraes. Alm disso, examinar os
registros de auditoria de segurana pode trazer idias sobre outras reas a investigar
(DILLARD, 2004 apud GONALVES, 2008, p. 36)
captulo 4 113
Cabe ressaltar que a abordagem reativa acarreta, ao longo do tempo, maior
custo do que a abordagem proativa. Isto se d pelo fato de que o retrabalho e o
desperdcio (de tempo, recursos humanos, tcnicos e de infraestrutura) acar-
retam severas perdas e prejuzos para a organizao. Evitar que um problema
ocorra, atravs de polticas de gesto de riscos adequadas, minimiza e/ou extin-
gue a probabilidade de um problema futuro ocorrer.
ATIVIDADES
01. O crescente acirramento da concorrncia e a necessidade de ganhar competitividade
tm obrigado as empresas e instituies a buscarem estabelecer mais parcerias entre si. [...]
O Programa Cultura da Cooperao, criado h 15 anos, j foi aplicado em centenas
de grupos de empreendedores de segmentos variados atendidos pelo Sebrae Minas, em
projetos de desenvolvimento local, regional e territorial. O aprendizado da cooperao e os
resultados, geralmente, so percebidos no mdio e longo prazos.
114 captulo 4
O objetivo do programa colaborar no desenvolvimento de um grupo, para que ele amplie
sua capacidade de agir coletivamente, viabilizando objetivos comuns, baseados nos princpios
da cooperao. Atuando em conjunto, essas empresas conseguem, por exemplo, partilhar
riscos e custos para explorar novas oportunidades, dividir o nus na realizao de pesquisas
tecnolgicas, oferecer produtos diversificados e com qualidade superior, exercer presso no
mercado, combinar competncias e fortalecer seu poder de compra. (http://g1.globo.com/
minas-gerais/especial-publicitario/sebrae/historias-de-sucesso/noticia/2015/07/unindo
-esforcos-pelo-bem-comum.html)
02. O Gerenciamento de Riscos um processo que tem como objetivo dar subsdios
organizao realizar sua misso institucional, de forma a: (leia as asseres e assinale a
alternativa correta)
I. Possibilitar a segurana efetiva dos sistemas de Tecnologias de Informao
e Comunicao.
II. Criar uma base slida para a tomada de decises.
III. Permitir aos gestores equilibrarem seus custos de proteo e desempenho dos siste-
mas de informao.
captulo 4 115
03. Existem alguns passos sequenciais para avaliar os riscos. Sobre estes passos, assinale
a alternativa incorreta.
a) Caracterizao do ambiente.
b) Identificao de ameaas.
c) dentificao de vulnerabilidades.
d) Implementao de correes.
e) Determinao de probabilidades.
REFLEXO
Este captulo tratou especificamente dos Riscos Organizacionais. Sabemos que este assunto
muito importante, pois o fluxo de dados interorganizacional implica em riscos e, portanto,
demanda segurana para proteger os mesmos.
Entretanto, antes de se pensar em quaisquer polticas de segurana, necessrio co-
nhecer o que se vislumbra proteger, contra quem e de que forma. Alm disto, necessrio
distinguir que a segurana da informao vulnervel a: ocorrncias naturais (desastres da
natureza, falta de energia etc.), erro humano (seja ele proposital/intencional/doloso ou no).
Como j vimos atravs do texto deste captulo, enfatizamos que a avaliao dos riscos
siga os passos propostos por Stoneburner et al (2002): Caracterizao do ambiente; Iden-
tificao de ameaas; Identificao de vulnerabilidades; Anlise de controles; Determinao
de probabilidades; Anlise de impacto; Definio dos riscos; Recomendaes de controle; e
Documentao dos resultados.
LEITURA
Recomendamos a leitura de Miranda (2015): Otimizao da receita em hospitais por
meio da gesto de riscos, conforme segue parcialmente abaixo (o artigo na ntegra encon-
tra-se disponvel atravs do link: http://www.segs.com.br/saude/50764-otimizacao-da-re-
ceita-em-hospitais-por-meio-da-gestao-de-riscos.html)
116 captulo 4
O conceito de gesto de riscos para quem trabalha em hospitais bastante conhecido
e envolve a segurana do paciente e dos profissionais, mas existe outra oportunidade para
aprimorar a gesto hospitalar ainda pouco explorada. A abordagem de Gesto dos Riscos de
Negcio que amplamente utilizada e com excelentes resultados em outros setores como
telecomunicaes, energia, agronegcio, varejo, transporte e financeiro.
[...]
Hospitais que optam por no darem a devida prioridade gesto de seus riscos, esto
expostos aos mesmos problemas que a maior parte das empresas: insuficincia de caixa,
margens apertadas, indisponibilidade e/ou desvio de ativos, falta de indicadores, ineficin-
cias no processo, falhas e fraudes. Portanto, fundamental conhecer e gerenciar os princi-
pais riscos da organizao, de forma ampla, estruturada e alinhada sua estratgia.
A adoo da Gesto de Riscos de Negcio traz melhoria e preservao dos resultados
operacionais e financeiros, valorizao da organizao, minimizao de riscos e aumento de
eficincia e segurana dos processos. [...], aponta Whitaker.
Situaes que podem gerar ineficincias, danos e perdas precisam ser devidamente
tratadas por meio da Gesto de Riscos de Negcio, composta por trs etapas:
1. Diagnstico de riscos etapa de levantamento e entendimento da situao conside-
rando as camadas de processos, sistemas, pessoas, infraestrutura e gesto. Vulnerabilida-
des e riscos so identificados e classificados;
2. Desenvolvimento das solues etapa de definio de solues e da abordagem
para a implantao;
3. Implantao das solues detalhamento e implantao de solues, priorizando as
aes de ganho rpido (baixo esforo, benefcio alto) e as aes de caminho crtico (em que
outras solues so dependentes para evoluir).
[...]
REFERNCIAS BIBLIOGRFICAS
ABNT. ABNT NBR ISO/IEC 27002:2005: Tecnologia da Informao: Cdigo de Prtica para a
Gesto da Segurana da Informao. Rio de Janeiro, 2005.
ABNT. ABNT NBR ISO/EIC 27005:2008: Tecnologia da Informao: Tcnicas de Segurana :
Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008.
DILLARD, K.; PFOST, J.; RYAN, S. Security Risk Management Guide. [S.l.]: Microsoft Corporation,
Disponvel em: http://technet.microsoft.com/enus/library/cc163143.aspx, outubro, 2004.
captulo 4 117
GONALVES, A. J. Metodologias de Gerenciamento de Riscos em Sistemas de Tecnologia
da Informao e Comunicao abordagem prtica para conscientizao e implantao nas
organizaes. Trabalho de Concluso de Curso de Ps-Graduao (Especializao), Universidade
Federal do Rio Grande do Sul, Porto Alegre, 2008.
LA ROCQUE, E. Guia de Orientao para o Gerenciamento de Riscos Corporativos. So Paulo:
IBGC Instituto Brasileiro de Governana Corporativa, Disponvel em: http://www.audicaixa.org.br/
arquivos_auditoria/GerenciamentoRiscosCorporativos-IBGC.pdf , 2007.
KERZNER, H. Gesto de Projetos: as melhores prticas. Editora Bookman, 2 edio, 2004.
PMBOK. Um guia do Conjunto de Conhecimento em Gerenciamento de Projetos. 4 Edio,
Project Management Institute, 2008.
SEMOLA, M. Gesto da Segurana da Informao: Uma Viso Executiva, Editora Campus, 2003.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. Risk Management Guide for Information
Technology Systems. Gaithersburg: NIST - National Institute of Standards and Technology. Disponvel
em: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, julho, 2002.
VALERIANO, D. Gerenciamento Estratgico e Administrao por Projetos. Editora Makron Books,
2001.
VARGAS, R. V. Gerenciamento de Projetos: estabelecendo diferenciais competitivos. Editora
Brasport, 6 edio, 2005.
118 captulo 4
5
Normas de
Segurana da
Informao e
Estratgias de
Proteo
Ol, pessoal. Neste quinto captulo vamos falar sobre o normas e regulamenta-
es que devem ser cumpridas/respeitadas no que tange gesto da segurana
das informaes. Tais normas visam tanto a certificar as empresas como tam-
bm a apresentar diretrizes para que elas se adaptem.
Para compreenso deste amplo assunto, faremos, a priori, uma contextua-
lizao do mesmo.
Vamos juntos!
OBJETIVOS
Nossos objetivos sero:
Compreender os conceitos de norma e regulamentao;
Compreender a importncia de se utilizar as normas e regulamentaes;
Analisar as normas e regulamentaes no contexto organizacional;
Conhecer a lei Sarbanes-Oxley;
Conhecer as Normas NBR ISO/IEC 27001 e ISO/IEC 27002;
Conhecer o Modelo ITIL.
120 captulo 5
5.1 Introduo
A Tecnologia da Informao (TI) disponibiliza, cada vez mais, novas ferra-
mentas para facilitar nosso dia a dia e apoiar nossas tarefas organizacionais.
Toda esta gama de ferramentas torna nossas tarefas mais geis, mais velozes,
mais assertivas.
Entretando, existem tambm alguns riscos que acompanham toda esta di-
versidade tecnolgica. Tais riscos fazem parte da nossa realidade, de nosso dia
a dia e devem ser devem ser detectados, analisados e enfrentados/corrigidos
atravs de medidas tcnicas (ex.: utilizao de softwares para proteo das in-
formaes), sociais (ex.: orientao aos funcionrios sobre a poltica organiza-
cional) etc.
captulo 5 121
proprietria dos instrumentos de trabalho utilizados para o acesso e de que o ambien-
te de trabalho no um ambiente com expectativa de privacidade. Como o e-mail, o
acesso Internet e o computador so de propriedade da empresa, a justia avaliou
que no h problema em fiscalizar qualquer tipo de uso que os funcionrios esto
fazendo de sua propriedade (PITELI, 2007, p.1)
122 captulo 5
fsicas e o formato dos cartes de crdito so definidos na norma nmero BS EM
ISO/IEC 7810:1996. Aderir a esta norma significa que os cartes podem ser usa-
dos globalmente.
Qualquer norma um trabalho coletivo. Comits de fabricantes, usurios, organiza-
es de pesquisa, departamentos governamentais e consumidores trabalham em
conjunto para criar normas que evoluem para atender s demandas da sociedade e
da tecnologia. (Fonte: http://www.bsibrasil.com.br/publicacoes/sobre_normas/nor-
mas/, consultado em 16/04/2013).
Significados de Norma:
Princpio que serve de regra, de lei.
Modelo, exemplo.
Sinnimos de norma: bitola, craveira, determinao, escantilho, estalo, formalidade,
lei, mandamento, medida, padro, preceito e regra
Fonte: www.dicio.com.br
captulo 5 123
Uma empresa que est de acordo com as normas estabelecidas para seu se-
tor se diferencia das demais que no esto e, consequentemente, torna-se mais
respeitada no mercado. Por tal fator, podemos afirmar que as normas so pode-
rosas ferramentas de marketing para as empresas.
O mercado consumidor cada vez mais exigente e, por consequncia, de-
manda por produtos e servios que estejam em conformidade com as normas
estabelecidas, alm de preferirem tambm as empresas que cumprem padres
de sustentabilidade e responsabilidade ambiental.
CONEXO
Assista ao vdeo sobre normas, tendo como exemplo a ergonomia no ambiente de trabalho:
http://www.youtube.com/watch?v=qzSidOA8EaM
124 captulo 5
Vale lembrar que at mesmo para elaborar este esboo (rascunho) ne-
cessrio seguir padres/regras de elaborao. Os princpios bsicos que devem
ser cumpridos que uma norma s passvel de ser criada se for usvel, verifi-
cvel e comum.
captulo 5 125
Ns no estamos normalmente conscientes do papel desempenhado pelas normas em
elevar os padres de qualidade, segurana, confiabilidade, eficincia e permutabilidade
bem como o de prover estes benefcios a um custo econmico (Fonte: http://www.
bsibrasil.com.br/publicacoes/sobre_normas/utilizacao/, consultado em: 16/04/2013).
Significados de Regulamento:
Ato ou efeito de regular.
Estatuto, instruo que prescreve o que se deve fazer: regulamento de polcia.
Conjunto de prescries que determinam a conduta de militares em qual-
quer circunstncia.
Conjunto de regras para qualquer instituio ou corpo coletivo.
Conjunto de disposies governamentais que contm normas para execuo de uma
lei, decreto etc.: regulamento do consumo de gua.
126 captulo 5
Ato de determinar, de regular em geral: regulamento de um negcio.
Sinnimos de regulamento: determinao, estatuto, preceito, regimento, regra e roteiro.
Fonte: www.dicio.com.br
captulo 5 127
Sempre que um governo decidir adotar um regulamento tcnico que no siga uma
norma internacional deve notificar formalmente os demais membros da OMC com
antecedncia mnima de 60 dias, apresentado uma justificativa.
Os demais membros da OMC podem solicitar esclarecimentos e apresentar comen-
trios e sugestes ao regulamento proposto. Estas informaes so veiculadas pelos
chamados "pontos focais" (inquiry points).
Estas organizaes, designadas por cada um dos membros da OMC, so as respon-
sveis por efetuar as notificaes da regulamentao a ser adotada por esse pas e
pelo recebimento da comunicao das notificaes efetuadas pelos outros pases.
O inquiry point do Brasil o INMETRO, onde se podem obter informaes sobre as
notificaes efetuadas OMC, tanto brasileiras quanto dos demais pases da OMC
(Fonte:http://www.normalizacao.cni.org.br/normas_tecnicas_regulamentos.htm, con-
sultado em 16/04/2013).
AGRICULTURA www.agricultura.gov.br
www.transportes.gov.br; www.mj.gov.br/denatran;
TRANSPORTES www.mte.gov.br
128 captulo 5
5.4 Normas e Regulamentaes no
Ambiente Organizacional
captulo 5 129
Os colaboradores devero estar cientes de que no podero instalar quais-
quer outros softwares sem a autorizao expressa e formal por parte da empresa;
Os colaboradores devero estar cientes de que no podero alterar quais-
quer parmetros de proteo do firewall da empresa;
Os colaboradores devero estar cientes de que no podem copiar as ferra-
mentas (softwares) disponibilizadas pela empresa para uso externo;
Os colaboradores devero estar cientes de que, se divulgarem quaisquer
informaes confidencias da empresa, podero sofrer penalidades inclusive
judiciais, alm de demisso;
Os colaboradores devero estar cientes de que no podero divulgar seus
dados de usurio e senha para quaisquer outras pessoas, incluindo outros
colaboradores, sob pena de responsabilizarem-se por tudo que for feito;
Os colaboradores devero estar cientes de que utilizar quaisquer recursos
da empresa para atividades ilegais, implica em penalidades judiciais, alm de
demisso por justa causa;
Os colaboradores devero estar cientes de que podero utilizar-se da
Internet para atividades que no tenham a ver com a empresa, porm que se-
jam atividades legais, mas somente em seus respectivos horrios de almoo ou
fora do horrio de expediente (a exemplo: acessar sites de redes sociais somen-
te poder ser feito no horrio de almoo).
A empresa dever ter uma poltica estabelecida para o uso de senhas e direitos de
acesso de cada colaborador. Para tanto, existem algumas normas j estabelecidas
que regulamentam o uso correto de senhas, com padres de nvel de segurana etc.
[...] a seguir se apresenta o bsico destas normas para se estipular senhas de usu-
rios com mnimo risco. Da mesma forma, tais normas tambm devem ser apresenta-
das e explicadas a cada funcinrio no momento de sua integrao empresa.
Histrico de senhas utilizadas: no deve ser possvel reutilizar, pelo menos, as
ltimas 24 senhas;
Prazo para mudana da senha: pelo menos a cada 42 dias o usurio deve ser
obrigado a alterar sua senha de trabalho;
130 captulo 5
Prazo para poder trocar a senha depois da ltima troca: o usurio s poder
alterar a sua senha 02 dias aps a ltima troca;
Tamanho mnimo da senha: 06 caracteres;
Senha precisa ser complexa (usar letras, nmeros e caracteres especiais):
No, apenas em casos especiais, como administradores de sistema, deve ser exi-
gida uma senha complexa. Para usurios finais, a senha pode ser de composio
mais simples;
Bloqueio da senha do usurio: depois de 03 tentativas sem sucesso a se-
nha deve ser bloqueada por um perodo mnimo de 30 minutos (Fonte: http://
lpiteli.wordpress.com/2012/02/16/regulamentacaoemti/, consultado em
16/04/2013).
captulo 5 131
5.5 Lei Sarbanes-Oxley
A Lei Sarbanes-Oxley, conhecida tambm como SOX, uma lei americana pro-
mulgada em 30/06/2002 pelos Senadores Paul Sarbanes e Michael Oxley.
Nela esto envolvidas as empresas que possuem capitais abertos e aes na
Bolsa de NY e Nasdaq, inclusive vrias empresas brasileiras esto se adequando
a esta Lei.
O motivo que a fez entrar em vigor foi justamente a onda de escndalos cor-
porativos-financeiros envolvendo a Eron (do setor de energia), a Worldcom (te-
lecomunicaes), entre outras empresas.
Os escndalos ocorreram, pois as empresas vinham forjando seus dados
contbeis para mascarar a real situao financeira da empresa, ou seja, as in-
formaes no eram confiveis. Os prejuzos financeiros foram imensos e atin-
giram milhares de investidores. Era necessrio, portanto, uma pronta resposta,
com o intuito de garantir que as informaes contidas nesses balanos finan-
ceiros fossem condizentes com a realidade, dando mais segurana e transpa-
rncia para o mercado de aes. Hoje, qualquer empresa que negocie aes na
Bolsa de Nova York com na Nasdaq devem estar sujeitas a esta lei.
Uma vez que a lei foi implantada nos Estados Unidos, seus efeitos foram
sentidos em todo o mercado de tecnologia ao redor do mundo. Em primei-
ro lugar porque, conforme mencionado anteriormente, qualquer empresa
que negocie seu capital na Bolsa de Nova York ou Nasdaq deve se adequar a
ela. Alm disso, todas as empresas que so subsidirias de multinacionais
norte-americanas se viram obrigadas a se adequar nova legislao.
132 captulo 5
Segundo Baldissera e Nunes (2007), a empresa de auditoria KPMG destaca
como principais tpicos da desta lei os seguintes:
A promoo da boa governana corporativa e prticas de negcio;
O aumento na independncia do auditor externo;
A obrigao de ter um Comit de Auditoria Independente;
A definio do papel de crtica de controle interno atravs de certificaes
e declaraes;
A transparncia nos relatrios e nas informaes aos acionistas e restri-
o de trabalhos non-audit pelo auditor externo.
captulo 5 133
No entanto, e apenas para iniciar a contextualizao do assunto, explicita-se
que o grande objetivo dessa norma (ISO/IEC 17799:2005) determinar as dire-
trizes e princpios para iniciar, implementar, manter e melhorar a gesto de
segurana de informao em uma empresa.
Os objetivos de controle e os controles desta Norma tm como finalidade
ser implementados para atender aos requisitos identificados por meio da an-
lise/avaliao de riscos. Esta Norma pode servir como um guia prtico para de-
senvolver os procedimentos de segurana da informao da organizao e as
eficientes prticas de gesto de segurana, e para ajudar a criar confiana nas
atividades interorganizacionais (ABNT, 2005).
CONEXO
Assista animao que ilustra o conceito de PDCA: http://www.youtube.com/watch?
v=ekl2DvV-dOo
134 captulo 5
O Ciclo PDCA, tambm conhecido como Ciclo de Shewhart ou Ciclo de Deming,
uma ferramenta de gesto muito utilizada pelas empresas do mundo todo. Este
sistema foi concebido por Walter A. Shewhart e amplamente divulgado por Willian E.
Deming e, assim como a filosofia Kaizen, tem como foco principal a melhoria contnua.
Seu foco tornar os processos da gesto de uma empresa mais geis, claros e
objetivos. Pode ser utilizado em qualquer tipo de empresa como forma de alcanar um
nvel de gesto melhor a cada dia, atingindo timos resultados dentro do sistema de
gesto do negcio.
O Ciclo PDCA tem como estgio inicial o planejamento da ao, em seguida tudo o
que foi planejado executado, gerando, posteriormente, a necessidade de checa-
gem constante destas aes implementadas. Com base nesta anlise e comparao
das aes com aquilo que foi planejado, o gestor comea ento a implantar medi-
das para correo das falhas que surgiram no processo ou produto.
Fonte: http://www.sobreadministracao.com/o-ciclo-pdca-deming-e-a-melhoria-
continua/>. Consultado em: 18/04/2013
Partes Partes
Interessadas Estabelcer Interessadas
SGSI
Plan
Implementar e Manter e
Operar SGSI Melhorar SGSI
Check
Figura 5.10 Ciclo PDCA aplicado aos processos de um Sistema de Gesto de Segurana
da Informao. Fonte: http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbr-i-
soiec-27001-parte.html (consultado em 18/04/2013).
captulo 5 135
feito o monitoramento e avaliao do desempenho do SGSI. Os resultados so
dispostos para a alta direo, a fim de fazerem uma anlise detalhada. Por lti-
mo, na fase ACT so colocadas em prtica, ou seja, em ao, as aes corretivas
preventivas que foram identificadas ao longo do ciclo.
Ressalta-se que a ABNT NBR ISO/IEC 27001 est alinhada s normas ABNT NBR
ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compa-
tvel com outros sistemas de gesto.
A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o esta-
belecimento, implementao, operao, monitorao, anlise crtica, manuteno e
melhoria de um Sistema de Gesto de Segurana da Informao (SGSI). Os requisitos
so genricos, de maneira a permitir que sejam aplicveis a quaisquer organizaes,
independentemente do tipo, tamanho e natureza.
importante salientar que no aceitvel que uma organizao que pretenda estar
conforme a norma exclua quaisquer requisitos. Porm, qualquer excluso de controles
considerada necessria para satisfazer aos critrios de aceitao de riscos precisa
ser justificada e as evidncias de que os riscos associados foram aceitos
pelas pessoas responsveis precisam ser fornecidas. Onde quaisquer controles
forem excludos, reivindicaes de conformidade a esta Norma no so aceitveis, a
menos que tais excluses no afetem a capacidade da organizao, e/ou responsa-
bilidade de prover segurana da informao que atenda os requisitos de segurana
determinados pela anlise/avaliao de riscos e por requisitos legais e regulamenta-
res aplicveis.
A ISO/IEC 27001 a nica norma internacional auditvel que define os requisitos
para um Sistema de Gesto de Segurana da Informao (SGSI). A norma designa-
da para assegurar a seleo de controles de segurana adequados e proporcionais.
Ela ajuda a empresa a proteger seus ativos da informao e dar confiana para todas
as partes interessadas, especialmente os clientes. A norma adota uma abordagem de
processo para o estabelecimento, implementao, operao, monitoramento, reviso,
manuteno e melhoria de seu SGSI.
A ISO/IEC 27001 aplicvel para qualquer organizao, grande ou pequena, em
qualquer setor ou parte do mundo. A norma especialmente aplicvel onde a pro-
teo da informao crtica, assim como finanas, sade, setores pblico e de TI.
136 captulo 5
A ISO/IEC 27001 tambm altamente eficaz para organizaes que gerenciam infor-
mao em nome de terceiros, assim como companhias terceirizadas de TI: Ela pode
ser usada para garantir a seus clientes que suas informaes esto sendo protegidas.
(Fonte: http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbr-isoiec-
27001-parte.html, consultado em 18/04/2013)
captulo 5 137
preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/
IEC 17799, mas a partir de 2007 a nova edio da ISO/IEC 17799 foi incorporada
ao novo esquema de numerao como ISO/IEC 27002 (ABNT, 2005).
138 captulo 5
deve ser feito o controle de forma rigorosa, contendo n-
SEGURANA veis e controles de acesso apropriados, incluindo proteo
FSICA E DO fsica. Os equipamentos tambm devem ser protegidos
AMBIENTE contra ameaas fsicas e ambientais, incluindo aqueles
utilizados fora do local.
5.7 ITIL
Como j exemplificamos ao longo do curso, so de fundamental importncia
os mecanismos de controle rgidos sobre os processos de negcios das empre-
sas. Por mais que os funcionrios das empresas sempre julguem suficientes os
mecanismos existentes, sempre que h algum escndalo de fraude, como ocor-
reu no caso da lei de Sarbanes-Oxley, os profissionais da rea de segurana se
perguntam o que pode ser feito para garantir tal segurana. Um dos caminhos
que se buscam nesse caso um controle sobre o ambiente de TI.
captulo 5 139
CONEXO
Para conhecer mais sobre o que determinado em cada processo do ITIL, acesse:
http://www.viacerta.com.br/informatica/itil/itil_proc.html
O uso efetivo das melhores prticas definidas na ITIL traz inmeros benefcios s or-
ganizaes, como: melhoria na utilizao dos recursos; maior competitividade; reduo
de retrabalhos; eliminao de trabalhos redundantes; melhoria da disponibilidade, con-
fiabilidade e segurana dos servios de TI; qualidade dos servios com custos justifi-
cveis; fornecimento de servios alinhados aos negcios, aos clientes e s demandas
dos usurios; processos integrados; responsabilidades documentadas e comunicadas
amplamente, e registro e controle de lies aprendidas (BALBO, 2007, p. 26).
ATIVIDADES
01. Sobre o conceito de Norma, leia as asseres e assinale a alternativa correta.
I. Uma norma um documento que contm uma regulamentao;
II. Uma norma um documento que contm uma descrio tcnica, especfica e precisa
de critrios a serem cumpridos;
III. As normas fazem sentido se tornam a vida mais complicada.
02. Um (I) um documento, adotado por uma autoridade com poder legal para tanto, que
contm regras de carter obrigatrio e o qual estabelece requisitos tcnicos, seja diretamen-
te, seja pela referncia a normas tcnicas ou a incorporao do seu contedo, no todo ou
em parte.
No texto acima, (I) refere-se a: (assinale a alternativa correta)
140 captulo 5
a) Recurso.
b) Norma.
c) Projeto.
d) Regulamento tcnico.
e) Processo.
REFLEXO
Vimos neste captulo o quo importante a segurana da informao em nvel de normas
e regulamentaes. Ou seja, no basta apenas implantar uma poltica de segurana organi-
zacional, incluindo dispositivos de segurana, restries de acesso, treinamento de usurios
etc. necessrio tambm cumprir algumas exigncias (normas/regulamentaes) a fim de
se atingir certo nvel de segurana e, portanto, conquistar, entre outras coisas, a credibilidade
dos clientes e do mercado.
Ou seja, as normas e regulamentos certificam que a empresa est fazendo algo do jeito
preestabelecido por determinado padro nacional ou mundial.
captulo 5 141
LEITURA
Como j tratamos dos mais diversos aspectos para a Gesto da Segurana, desde a cons-
cientizao de sua importncia, passando pelos mecanismos que devemos seguir para obter
tal gesto e finalizando com as normas que regulam e orientam esse setor, temos certeza
de que voc est apto a avaliar o processo de uma empresa e, focando-se em TI, propor
melhorias, controles ou at mesmo correes em procedimentos que hoje so encarados
com naturalidade.
Entretanto, para tornar um pouco mais concreta a prtica da nossa disciplina, vamos
apresentar na sequncia um estudo de caso da American Express. A empresa uma Ins-
tituio Financeira prestadora de servios de viagens e turismo. Foi criado na empresa um
programa de segurana denominado Security Awareness Training. Destacaremos as 13
Polticas de Segurana que a American Express possui e que foram relatadas por Araujo
(2005), da seguinte forma:
1. Gerenciamento de Segurana: a liderana executiva endossa a misso, charte (estatu-
tos, o documento escrito), a autoridade e estrutura da segurana de informao;
2. Gerenciamento de Risco: risco o impacto em potencial ou nvel de dano que a perda de
um bem ou recurso poderia ter. Controles de segurana apropriados devem ser embutidos
nas fontes de informao da American Express;
3. Segurana de Pessoal: controles de segurana de informao devem ser implementa-
dos para assegurar que indivduos contratados pela American Express sejam monitorados
apropriadamente e de que estes estejam cientes das polticas de segurana da American Ex-
press;
4. Segurana Fsica: as instalaes de processamento e as fontes de informao devem ter
controles de acesso fsico apropriados instalados para proteg-los de qualquer acesso fsico
no autorizado e devem ser protegidas contra quaisquer perigos ambientais e penetrao
eletrnica passiva ou ativa;
5. Gerenciamento de Operaes: gerenciadores de sistema e de aplicativos devem ter o
nvel mnimo de privilgio de acesso exigido para desempenharem suas funes, e devem
aderir aos procedimentos formais quando trabalharem com todas as fontes de informao.
Adicionalmente, tarefas operacionais devem ser segregadas de acordo com o papel e res-
ponsabilidades do usurio;
6. Monitorao de Segurana e Resposta: fontes de informao devem ser monitoradas
para detectar eventos operacionais, de segurana e de sistema. A reao a incidentes e
procedimentos de investigao deve registrar eventos para assegurar uma resposta rpida a
incidentes de segurana de informao;
142 captulo 5
7. Gerenciamento de Comunicao: a troca de informao entre a American Express e
outras organizaes deve ser protegida por controles adequados. Fontes de comunicao
devem ser usados para fins comerciais apenas;
8. Controle de acesso: funcionrios devem ser identificados positivamente e autorizados
antes de ter acesso s fontes de informao da American Express. Acesso baseado na fun-
o de um funcionrio limitada a um mnimo necessrio para a realizao de sua tarefa;
9. Segurana de Rede: para explorar os benefcios comerciais oferecidos pelo acesso ex-
terno e gerenciar os riscos associados eficientemente, controles de segurana rigorosos
devem ser implementados. Existem controles de segurana que so exigidos quando a rede
interna da American Express est conectada a redes, equipamentos ou aparelhos externos;
10. Servios Terceirizados: terceiros devem aderir s Polticas de Segurana da American
Express e devem reconhecer sua responsabilidade atravs de uma declarao formal por
escrito;
11. Desenvolvimento de Aplicativos: atividades de desenvolvimento de aplicativos devem se
conformar a uma metodologia de desenvolvimento que incorpore controles de segurana de
informao em cada estgio do desenvolvimento.
12. Recuperao e Continuidade Comercial: as fontes crticas de informao da American
Express devem desenvolver planos de contingncia que possibilitem a continuidade de ser-
vios de informao crtica em caso de interrupo; e
13. Polticas de Conformidade Legal e Regulatria: todos os funcionrios devem estar em
conformidade com requerimentos contratuais e regulatrios legais locais e internacionais.
O intuito de mostrar esse estudo de caso para enfatizar mais uma vez a importncia
da gesto de segurana e como ela encarada pelas empresas. Com um exemplo concreto
talvez fique mais fcil voc pensar em organizar a poltica de segurana de sua empresa.
REFERNCIAS BIBLIOGRFICAS
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002 Tecnologia
da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da
informao. ABNT, 2005.
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27001 Tecnologia
da informao Tcnicas de segurana Sistemas de gesto de segurana da informao
Requisitos. ABNT, 2006.
captulo 5 143
ARAUJO, E. E. A Vulnerabilidade Humana na Segurana da Informao. Monografia de
Concluso do Curso de Sistemas de Informao, UNIMINAS, 2005.
ARAUJO, E. N. Curso de Direito Administrativo. Editora Saraiva, 2009.
BALBO, L. O. Uma Abordagem Correlacional dos Modelos CobiT / ITIL e da Norma ISO
17799 para o tema Segurana da Informao. Monografia de Especializao em Tecnologia da
Informao - Departamento de Engenharia de Computao e Sistemas Digitais, Escola Politcnica -
USP, So Paulo, 2007.
BALDISSERA, T. A.; NUNES, R. C. Impacto na Implementao da Norma NBR ISO/IEC 17799
para a Gesto da Segurana da Informao em colgios: um estudo de caso. In: Encontro
Nacional de Engenharia de Produo ENEGEP, Foz do Iguau, Anais, 2007.
BRITISJ STANDARDS INSTITUTION (BSI) consultado em: www.bsibrasil.com.br
CONFEDERAO NACIONAL DA INDSTRIA (CNI) consultado em: http://www.normalizacao.cni.
org.br
FONTES, E. Praticando a Segurana da Informao. Editora Brasport, 1 edio, 2008.
JESUS, A. Gesto Estratgica de TI por meio dos Princpios da ITIL e da Utilizao da
Ferramenta Balance Scorecard. Monografia de Concluso de curso, Centro de Ciencias Exatas e
Tecnologia, Pontfica Universidade Catlica, 2007.
PITELI, L. Regulamentao e governana em tecnologia da informao. Trabalho de Concluso
de Curso de Ps Graduao em Gesto Estratgica de Negcios, Faculdades Integradas Dom Pedro
II, 2007.
GABARITO
Captulo1
01. B
A informao pode ser classificada em nveis de prioridade dentro da organizao, con-
forme segue:
- Informao Pblica: informao que pode vir ao pblico sem consequncias preju-
diciais ao funcionamento normal da empresa, e cuja integridade no vital;
- Informao Interna: informao que deveria ter o livre acesso evitado, embora no
haja consequncias prejudiciais/srias do acesso e uso no autorizado. A integridade
deste tipo de informao importante, porm no vital;
144 captulo 5
- Informao Confidencial: informao que restrita aos limites da empresa e cuja di-
vulgao ou perda pode acarretar a desequilbrio operacional e, eventualmente, perdas
financeiras ou de confiabilidade perante o cliente externo;
- Informao Secreta: informao muito crtica para as atividades da empresa e cuja
integridade deve ser preservada a qualquer custo. O acesso deve ser restrito e a segu-
rana deste tipo de informao crucial/vital para a empresa.
02. C
Um dado uma entidade matemtica sinttica, ou seja, os dados podem ser descritos
por estruturas de representao. Assim sendo, podemos dizer que o computador capaz de
armazenar dados. Estes dados podem ser quantificados, conectados entre si e manipulados
pelo processamento de dados. Da mesma forma, pode-se definir dados como fatos brutos,
ainda no organizados nem processados.
A informao depende de algum tipo de relacionamento, avaliao ou interpretao dos
dados. Podemos agrupar dados isolados e torn-los consistentes ao se transformarem em
informaes.
O conhecimento uma abstrao interior, pessoal, de algo que foi experimentado, viven-
ciado, por algum.
03. D
Para melhorar a segurana de um sistema, deve-se prioritariamente considerar alguns
aspectos, dentre os quais:
- Conhecer os possveis oponentes, identificando o que eles desejam fazer, e os pe-
rigos que podem vir a causar organizao;
- Contabilizar os valores, uma vez que a implementao e o gerenciamento da poltica
de segurana pode significar, alm da necessidade de mais recursos pessoais, a ne-
cessidade de significativos recursos de software e de hardware. Os custos das medidas
de segurana devem, portanto, ser compatveis e proporcionais s necessidades da
organizao e s probabilidades de ocorrerem incidentes de segurana;
- Considerar os fatores humanos, uma vez que muitos procedimentos de segurana
falham, porque as reaes dos usurios a esses procedimentos no so considerados
com seu devido valor;
- Conhecer os pontos fracos, pois todo sistema possui vulnerabilidades;
- Aplicar a segurana de acordo com os negcios da organizao, a fim de definir
uma estratgia de segurana que melhor se adapte s necessidades dela.
captulo 5 145
04. D
As informaes devem cumprir os seguintes requisitos:
- Autenticao: ir definir que as partes envolvidas na comunicao sejam autentica-
das a fim de garantir que cada um deles seja realmente quem diz ser;
- Integridade: ir definir que a informao originria de quem diz originar, de forma
a impedir que alteraes na mensagem original confundam as partes envolvidas na co-
municao. E, mesmo que haja alguma alterao na mensagem original, que esta seja
passvel de ser detectada;
- No repdio: ir garantir que a informao enviada por quaisquer partes envolvidas
na comunicao no seja negada pelo seu respetivo remetente (em outras palavras, ir
garantir que quem enviou a informao no poder negar sua transmisso);
- Disponibilidade: ir definir que as informaes devidas estaro disponveis para
seus respectivos usurios. Aqui cabe uma ressalva: para garantir esta disponibilidade da
informao somente para o usurio devido, deve-se implementar controles de acesso,
a fim de conter usurios no autorizados.
05. E
Para melhorar a segurana de um sistema, deve-se prioritariamente considerar alguns
aspectos, dentre os quais:
- Conhecer os possveis oponentes, identificando o que eles desejam fazer, e os pe-
rigos que podem vir a causar organizao;
- Contabilizar os valores, uma vez que a implementao e o gerenciamento da poltica
de segurana podem significar, alm da necessidade de mais recursos pessoais, a ne-
cessidade de significativos recursos de software e de hardware. Os custos das medidas
de segurana devem, portanto, ser compatveis e proporcionais s necessidades da
organizao e s probabilidades de ocorrerem incidentes de segurana;
- Considerar os fatores humanos, uma vez que muitos procedimentos de segurana
falham, porque as reaes dos usurios a esses procedimentos no so considerados
com seu devido valor;
- Conhecer os pontos fracos, pois todo sistema tem vulnerabilidades;
- Aplicar a segurana de acordo com os negcios da organizao, a fim de definir
uma estratgia de segurana que melhor se adapte s necessidades dela.
06. C
Ao mencionarmos a segurana da informao, e antes de cogitarmos a possibilidade de
nos munir com aparatos tecnolgicos, devemos prioritariamente fazer um levantamento e
nos questionar/indagar:
- O que minha empresa quer proteger? (ou seja, tomar cincia do que se almeja proteger);
146 captulo 5
- Por que minha empresa quer proteger? (ou seja, descobrir a relevncia de tais infor-
maes que se almeja proteger);
- Minha empresa quer se proteger de qu? (ou seja, fazer um mapeamento/levantamento
do que se deve monitorar para que as informaes no sejam extraviadas/corrompidas);
- Como minha empresa deve proteger? (ou seja, determinar normas/regras de como,
quando, onde, quem poder ter acesso).
Captulo2
01. C
Descarte: conforme deduzimos, o descarte ocorre no momento em que a informao no
mais til. Desta forma, arquivos em papel so descartados em lixeiras, arquivos eletrnicos
so apagados do banco de dados, CDs contendo informaes sem serventia so descarta-
dos, e assim por diante.
Ao mencionarmos a etapa de descarte, importante ressaltar que ela no pode ser
realizada sem critrios. Descartar informaes confidenciais, com valor legal etc. de qualquer
forma acarreta srios impactos negativos.
Alis, e em se tratando dos documentos com valor legal, deve-se atentar que o seu des-
carte deve obedecer aos prazos determinados em lei.
Outra ressalva diz respeito a documentos com valor histrico permanente, pois eles no
podero ser descartados. Um documento secreto, por exemplo, pode vir a ser considerado (a
princpio) como sendo um documento de valor histrico permanente.
02. E
Vulnerabilidades naturais: so aquelas decorrentes de fenmenos naturais e que trazem riscos
para equipamentos e informaes. Exemplos: inundaes, terremotos, maremotos, furaces etc.
Vulnerabilidades fsicas: so os ambientes que tm pontos fracos em nvel do espao fsi-
co, comprometendo o armazenamento e gerenciamento correto das informaes. Exemplos:
instalaes inadequadas para o trabalho, falta de extintores de incndio, local desorganizado,
pessoas no autorizadas transitando no local etc.
Vulnerabilidades de Hardware: so aquelas relacionadas aos equipamentos que apre-
sentam defeitos de fabricao ou configurao inadequada, podendo permitir o ataque de
vrus ou violaes. Exemplos: a falta de atualizaes dos programas e equipamentos no
dimensionados corretamente;
Vulnerabilidades de Software: so os pontos fracos existentes nos aplicativos de softwa-
re, permitindo o acesso de indivduos no autorizados. Por esta razo que os softwares, so
os preferidos dos elementos que buscam as ameaas. Exemplos: Aplicativos com configura-
captulo 5 147
es ou instalaes inadequadas, programas de e-mail que permitem a execuo de cdigos
maliciosos e falta de atualizaes necessrias;
Vulnerabilidades de Armazenamento: as informaes so armazenadas em suportes f-
sicos (disco rgido) ou magnticos (CD, DVD, carto de memria, pen drive etc.). Suas utili-
zaes inadequadas podem ocasionar uma vulnerabilidade, afetando, portanto, a integrida-
de, a disponibilidade e a confidencialidade das informaes. Consequentemente, isto pode
danificar ou indisponibilizar os meios de armazenamento. Exemplos: defeito de fabricao
de um meio de armazenamento, uso incorreto destes meios, prazo de validade e expira-
o ultrapassados;
Vulnerabilidades de Comunicao: so aquelas relacionadas com o trfego de informa-
es, os quais podem ser realizados atravs de fibra ptica, ondas de rdio, satlite ou cabos.
Independentemente do meio escolhido, o sistema de comunicao escolhido deve ser segu-
ro e garantir que as informaes transmitidas alcancem o destino desejado sem interveno
alheia. Alm disso, as informaes trafegadas devem ser criptografadas, pois, caso haja al-
guma falha no processo, a informao no pode ser acessada por pessoas no autorizadas;
Vulnerabilidades Humanas: so aquelas atitudes intencionais ou no que podem gerar
vulnerabilidades s informaes, como, por exemplo: uso de senha fraca, compartilhamento
de credencial de acesso, falta de treinamentos para o usurio, a no conscincia ou desco-
nhecimento de segurana da informao e funcionrios descontentes.
Captulo3
01. E
Existem trs fontes principais, conforme explicitado pelas normas da ABNT (2008), para
que uma organizao identifique seus requisitos de segurana:
- A primeira o conjunto de princpios, objetivos e necessidades para o processa-
mento da informao que uma organizao tem de desenvolver para apoiar suas ope-
raes;
- A segunda a legislao vigente, os estatutos, as regulamentaes e as clusulas
contratuais que a organizao, seus parceiros, contratados e prestadores de servio
tm de atender;
- As duas anteriores so utilizadas como referncias para desenvolver a principal fon-
te de requisitos de segurana, que derivada da avaliao de riscos, processo respon-
svel por identificar as ameaas aos ativos, as vulnerabilidades com suas respectivas
probabilidades de ocorrncia e os impactos ao negcio.
148 captulo 5
02. D
As ameaas segurana de uma organizao esto, sempre, relacionadas com a perda
de uma (ou mais) das suas trs caractersticas principais, que so:
- Perda da Integridade, que acontece quando certa informao fica exposta ao ma-
nuseio de uma pessoa no autorizada, que acaba por efetuar alteraes no aprovadas
e sem o controle, privado ou corporativo, do proprietrio da informao;
- Perda de confidencialidade. Ocorre quando h uma quebra de sigilo de uma de-
terminada informao, como a senha de um usurio ou administrador, por exemplo, o
que permite que informaes restritas, que deveriam estar acessveis apenas para um
determinado grupo de usurios, fiquem expostas;
- Perda de disponibilidade, que acontece quando a informao deixa de estar aces-
sve justamente por quem necessita dela. o caso que ocorre com a perda de comuni-
cao com um sistema importante para a empresa, que pode acontecer com a queda
de um servidor, de uma aplicao crtica de negcio, que pode apresentar uma falha,
devido a um erro causado por motivo interno ou externo ao equipamento.
03. B
Vrus propagado atravs do e-mail: recebido como um arquivo anexado ao e-mail cujo
contedo induz o usurio a execut-lo. Ao fazer isto, o vrus infecta arquivos e programas e re-
plica cpias de si mesmo para os contatos de e-mails armazenados no computador infectado;
Vrus de script: escrito em linguagem como VBScript e JavaScript por exemplo, e rece-
bido ao acessar uma pgina Web ou por e-mail, como um arquivo anexo ou como parte do
prprio e-mail escrito em formato HTML;
Vrus de macro: tipo especfico de vrus de script, escrito em linguagem de macro, que
tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem, como, por
exemplo, os que compem o Microsoft Office (Word, Excel, Power Point, etc);
Vrus de Smartphone: se propaga de celular a celular por meio da tecnologia Bluetooth
ou de mensagens multimdia. Esta infeco ocorre quando um usurio permite o recebimen-
to do arquivo infectado e o executa em seu celular. Aps infectar o aparelho, o vrus pode
destruir, sobrescrever arquivos, remover contatos, drenar a carga de bateria, propagar-se
para outros celulares etc;
Captulo4
01. D
O risco inevitvel. Por exemplo, quando:
- Investidores compram aes;
captulo 5 149
- Cirurgies realizam operaes;
- Engenheiros projetam pontes;
- Empresrios abrem seus negcios;
- Polticos concorrem a cargos eletivos etc.
Ou seja, administrar os riscos que sempre iro existir torna-se estratgico e, alm
disto, pode vir a se transformar em oportunidades. Portanto, deve-se transcender o medo
aos riscos para saber lidar de forma estratgica com os riscos.
Na rea de tecnologia da informao e comunicao, risco considerado como o impac-
to negativo motivado pela explorao de uma vulnerabilidade, considerando a possibilidade
e o impacto da sua ocorrncia. O processo para identificar, mensurar e planejar passos para
reduzir um determinado risco a nveis aceitveis pela organizao definido como Gerencia-
mento de Riscos (STONEBURNER, 2002 apud GONALVES, 2008, p. 15)
02. E
O gerenciamento de riscos um processo que tem como objetivo dar subsdios orga-
nizao para realizar sua misso institucional, de forma a:
- Possibilitar a segurana efetiva dos sistemas de Tecnologias de Informao e Co-
municao, responsveis pelo processamento, armazenagem e transmisso de dados;
- Criar uma base slida para as tomadas de deciso, principalmente no que se rela-
ciona com execuo coerente do oramento e no investimento em tecnologias neces-
srias para minimizar riscos de impacto ou potencial impacto para o negcio; e
- Permitir aos gestores equilibrarem seus custos de proteo e desempenho dos
sistemas de informao vitais para o negcio.
03. D
Existem alguns passos sequenciais para avaliar os riscos:
1. Caracterizao do ambiente;
2. Identificao de ameaas;
3. Identificao de vulnerabilidades;
4. Anlise de controles;
5. Determinao de probabilidades;
6. Anlise de impacto;
7. Definio dos riscos;
8. Recomendaes de controle; e
9. Documentao dos resultados.
150 captulo 5
Captulo5
01. B
Uma norma um documento que contm uma descrio tcnica, especfica e precisa de
critrios a serem cumpridos como regras/diretrizes.
As normas fazem sentido se tornarem a vida mais simples e elevarem o nvel de confia-
bilidade de produtos e servios que utilizamos.
As normas so criadas formando um conjunto de experincia e conhecimento de todas
as partes interessadas, tais como produtores, vendedores, compradores, usurios e regula-
mentadores de material, produto, processo ou servio em particular.
As normas so desenvolvidas para uso voluntrio e no impem nenhuma regulamentao.
02. D
Um regulamento tcnico um documento, adotado por uma autoridade com poder legal
para tanto, que contm regras de carter obrigatrio e o qual estabelece requisitos tcnicos,
seja diretamente, seja pela referncia a normas tcnicas ou incorporao do seu contedo,
no todo ou em parte.
03. E
Os gestores de cada uma das reas de uma empresa, e no somente o de TI, devem
conhecer suas respectivas demandas, normas, regulamentaes etc., a fim de atender aos
objetivos traados com eficincia, eficcia, segurana, e assim por diante.
As regulamentaes internas de cada setor da empresa devem ser redigidas de forma
clara, para que seus respectivos colaboradores possam compreender seus papis/funes/
deveres com exatido. Isto acarretar, entre outros fatores, minimizao dos riscos, maximi-
zao do desempenho, segurana de informaes etc.
Tais regulamentaes devem estar expressas em um documento formal, o qual deve ser
explicado e assinado por cada funcionrio no momento de sua contratao.
captulo 5 151
ANOTAES
152 captulo 5