GESTO DA

SEGURANA DA
INFORMAO

autora
FLAVIA VANCIM

1 edio
SESES
rio de janeiro 2016
Conselho editorial regiane burger; roberto paes; gladis linhares; karen bortoloti;
helcimara affonso de souza

Autora do original flavia vancim frachone neves

Projeto editorial roberto paes

Coordenao de produo gladis linhares

Coordenao de produo EaD karen fernanda bortoloti

Projeto grfico paulo vitor bastos

Diagramao bfs media

Reviso lingustica amanda carla duarte aguiar

Imagem de capa peto zvonar | dreamstime.com

Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrnico ou mecnico, incluindo fotocpia e gravao) ou arquivada em
qualquer sistema ou banco de dados sem permisso escrita da Editora. Copyright seses, 2016.

Dados Internacionais de Catalogao na Publicao (cip)

V222g Vancim, Flavia

Gesto de segurana da informao / Flavia Vancim
Rio de Janeiro : SESES, 2016.
152 p. : il.

isbn: 978-85-5548-184-0

1. Sistemas de informao. 2. Gesto organizacional. 3. Softwares.

4. Segurana da informao. I. SESES. II. Estcio.
cdd 005.82

Diretoria de Ensino Fbrica de Conhecimento

Rua do Bispo, 83, bloco F, Campus Joo Ucha
Rio Comprido Rio de Janeiro rj cep 20261-063
Sumrio

Prefcio 7

1. Introduo Segurana da Informao 9

1.1 Compreendendo a Informao 11
1.1.1 Dados, Informao e Conhecimento 14
1.2 Segurana da Informao 20
1.2.1 Segurana da Informao no Ambiente Corporativo 20
1.2.2 Princpios da Segurana da Informao no
Ambiente Corporativo 23

2. Vulnerabilidades de Segurana 35

2.1 O Ciclo de Vida da Informao 37

2.2 Vulnerabilidades de Segurana 40
2.2.1 Identificao de Vulnerabilidades 41
2.3 Principais tipos de Vulnerabilidades 41
2.4 Ferramentas para anlise de
vulnerabilidades de segurana 44
2.5 Mecanismos de segurana das informaes 46
2.5.1 A Criptografia de Dados 46
2.5.2 Criptografia Atravs de Cdigo 48
2.5.3 Criptografia Atravs de Cifra 49
2.5.3.1 Cifra de Transposio Cerca-de-ferrovia: 49
2.5.3.2 Cifra de deslocamento (ou substituio monoalfabtica)
de Czar (Jlio Czar): 49
2.5.3.3 Cifra de Substituio Polialfabtica 50
2.5.3.4 Cifra de Substituio de Polgramos 52
2.5.3.5 Cifra de substituio por deslocamento 52
2.6 Chave Criptogrfica 53
2.7 Aspectos relevantes da Criptografia 53
 2.8 Assinatura Digital 55
2.9 Certificao Digital 58
2.10 O processo da assinatura e certificao digital 61

3. Ameaas e Ataques Segurana

das Informaes 67
3.1Introduo 69
3.2 Ameaas Segurana das Informaes 71
3.3 Principais Tipos de Ameaas 74
3.3.1 Cdigos Maliciosos (Malware) 74
3.3.1.1Vrus 75
3.3.1.2Worm 77
3.3.1.3 Bot e Botnets 79
3.3.1.4 - Spyware 80
3.3.1.5 Cavalo de Troia (Trojan) 80
3.4 Ataques Segurana das Informaes 82
3.5 Principais Tipos de Ataques 84

4. Gesto de Riscos em Segurana

da Informao 95

4.1Introduo 97
4.2 Contexto dos Riscos 99
4.3 A Gesto de Riscos 101
4.4 Anlise/Avaliao dos Riscos 103
4.4.1 Caracterizao do Ambiente 104
4.4.2 Identificao das Ameaas 105
4.4.3 Identificao de Vulnerabilidades 106
4.4.4 Anlise de Controles 106
4.4.5 Anlise de Probabilidades 107
4.4.6 Anlise de Impacto 107
4.4.7 Definio dos Riscos 108
4.4.8 Recomendaes de Controle 109
 4.4.9 Documentao dos Resultados 110
4.5 Mitigao (Diminuio) dos Riscos 111
4.5.1 Anlise e Melhoria Contnua 112
4.5.2 Abordagem Reativa e Proativa 113
4.6 Fundamentos de Sucesso da Gesto de Riscos 114

5. Normas de Segurana da Informao e

Estratgias de Proteo 119

5.1Introduo 121
5.2 Compreendendo o Conceito de Norma 122
5.2.1 Benefcios de utilizar Normas 123
5.2.2 Como as Normas so criadas e utilizadas? 124
5.3 Compreendendo o Conceito de Regulamentao 126
5.4 Normas e Regulamentaes no Ambiente Organizacional 129
5.4.1 Itens Bsicos propostos para Regulamentarizao 129
5.4.2 Poltica de Senhas 130
5.4.3 Poltica de Acesso Lgico 131
5.5 Lei Sarbanes-Oxley 132
5.6 Gesto da Segurana da Informao
segundo as Normas NBR ISO/IEC 27001 e ISO/IEC 27002 133
5.6.1 Norma ISO/IEC 27001 134
5.6.2 Norma ISO/IEC 27002 137
5.7ITIL 139
Prefcio
Prezados(as) alunos(as),

A maioria das empresas, independentemente do porte (pequeno, mdio,

grande), tem em seu cotidiano o uso da Tecnologia de Informao.
Mas,, afinal, o que Tecnologia de Informao (T.I.)? A T.I. uma estrutu-
ra organizada de hardware, software, banco de dados e redes de telecomuni-
caes que permite s empresas manipular os dados, transformando-os em
informaes que agregam valor e/ou conhecimento aos processos de negcio.
Alm de trabalhar e fazer transaes de negcios, a T.I. tambm possibilita aos
usurios estudar, pesquisar, consumir, entreter, relacionar, expressar, entre
outras possibilidades.
De fato, hoje no negociamos mais como h 20 anos. A cada dia surgem no-
vas tecnologias em uma velocidade muito grande provocando grandes, mudan-
as e transformaes na forma como as pessoas trabalham, consomem e inte-
ragem. Processos que antes eram executados e controlados por pessoas agora
passam por algum meio tecnolgico.
Crescentemente, as organizaes passam a depender de sistemas informa-
tizados. Seja numa simples troca de e-mail, seja em complexos sistemas de ges-
to, a tecnologia sempre permeia a troca de dados entre as empresas.
Diante de todo este contexto de mudanas, a velocidade com que essas tec-
nologias so modernizadas e difundidas, em especial as relacionadas ao uso
da Internet e comunicao mvel, tem atingido de forma distinta diferentes
segmentos de populao e de empresas, em pases desenvolvidos e em desen-
volvimento.
Dessa forma, a intensificao da transao e fluxo de dados, independen-
temente de tempo e espao, alm de terem alterado a forma como as pessoas
passaram a interagir, mudou-se tambm o foco da preocupao. No somente
se deve garantir que a tecnologia funcione corretamente, mas principalmente
que os dados nela trafegados sejam compartilhados e visualizados apenas com
as pessoas devidas.
Ou seja, passou a ser necessrio precaver-se no somente dos ataques fsi-
cos, mas tambm dos virtuais, a fim de se garantir que os dados sejam trafega-
dos de forma segura e inviolvel.

7
 Nesta disciplina iremos trabalhar tpicos como a influncia e o impacto da
tecnologia no cotidiano das pessoas e das empresas e como lidar com ela de
forma segura e confivel. Esses conhecimentos so de extrema importncia,
pois, alm de conhecermos os desafios e a interferncia da tecnologia das em-
presas, iremos apresentar mtodos e tcnicas para assegurar a gesto segura
da informao.
Espero que desfrute da disciplina e que em breve possa colocar em prtica
os conhecimentos que aqui veremos.

Bons estudos!
 1
Introduo
Segurana da
Informao
Ol, pessoal. Neste primeiro captulo iremos conhecer alguns conceitos intro-
dutrios que nortearo nossos prximos passos. Iremos percorrer aspectos b-
sicos da segurana das informaes, e tambm conhecer todo o ciclo de vida
das informaes. No obstante, e devido constante confuso que h entre
os conceitos de dados, informao e conhecimento, iremos distingui-los. Por
fim, compreenderemos a necessidade de se gerenciar corretamente a seguran-
a das informaes que trafegam no ambiente corporativo. Preparados? Va-
mos juntos!

OBJETIVOS
Nossos objetivos sero:
Compreender os conceitos bsicos de informao;
Distinguir os conceitos de dados, informaes e conhecimento;
Conhecer aspectos bsicos da segurana da informao;
Analisar as necessidades de segurana das informaes no ambiente corporativo;
Conhecer princpios da segurana da informao.

10 captulo 1
1.1 Compreendendo a Informao
A informao est intrinsecamente relacionada ao nosso dia a dia, seja pes-
soal ou profissional. Especificamente abordando o contexto organizacional,
pode-se seguramente afirmar que a qualidade das informaes, que fluem in-
termitentemente, impacta diretamente no processo de tomada de deciso dos
gestores.
Mas o que mesmo informao?
De acordo com o Dicionrio Online de Portugus1, a informao refere-se a:

Reunio dos dados, sobre um assunto ou pessoa.

O que se torna pblico atravs dos meios de comunicao ou por meio de publicida-
de. Ex.: o jornal divulgou a informao sobre o concurso.
Esclarecimento sobre o funcionamento de algo. Ex.: informaes sobre o aparelho.
[...]
Informtica: Reunio dos dados que, colocados num computador, so processados,
dando resultados para um determinado projeto.
[...]
Informao Gentica: Conjunto dos dados que se referem aos caracteres hereditrios.
Ao ou efeito de informar ou de se informar.

No conceito supracitado, j notamos a correlao entre dados e informao.

No entanto dedicaremos um item a esta explicao, tendo em vista a demasia-
da confuso que comumente as pessoas costumam fazer.

CONEXO
DICA DE VDEO: O Poder da Informao de Mrio Persona: http://www.youtube.com/wat-
ch?v=HgIn7wwyY7w&feature=fvsr
Este video o trecho de uma palestra de Mrio Persona: palestrante, professor e consul-
tor de estratgias de comunicao e marketing e autor de vrios livros de negcios. H mais
de dez anos apresenta palestras, workshops e treinamentos de temas ligados a comunica-
o, marketing, vendas e clima organizacional.

1 Disponvel em: http://www.dicio.com.br/informacao/. Acesso: 01/05/2015

captulo 1 11
 Complementarmente a este conceito, expomos outra explicao publicada
atravs do dicionrio de Conceitos2, conforme segue:

A informao um conjunto organizado de dados, que constitui uma mensagem

sobre um determinado fenmeno ou evento. A informao permite resolver problemas
e tomar decises, tendo em conta que o seu uso racional base do conhecimento.
A informao um fenmeno que confere significado ou sentido s coisas, j que
atravs de cdigos e de conjuntos de dados, forma os modelos do pensamen-
to humano.
[...]
Os especialistas afirmam que existe uma relao indissolvel entre a informao, os
dados, o conhecimento, o pensamento e a linguagem.
Ao longo da histria, a forma de armazenamento e o acesso informao foi variando.
Na Idade Mdia, o principal patrimnio encontrava-se nas bibliotecas dos mosteiros.
A partir da Idade Moderna, graas ao nascimento da imprensa, os livros comearam a
ser fabricados em srie e surgiram os jornais.
J no sculo XX, apareceram os meios de comunicao de massa (televiso, rdio)
bem como as ferramentas digitais resultantes do desenvolvimento da Internet.

Conforme pudemos observar, alm de complementar a primeira citao,

esta ainda adiciona um novo conceito: o conhecimento.
Naturalmente, e muito comumente, as pessoas costumam se equivocar
quanto aos conceitos de dados, informaes e conhecimento.
Diante do exposto, e se nossa meta esclarecer o conceito de informao
para que possamos prosseguir no entendimento de segurana da informao,
imprescindvel, antes, desmitificar toda esta confuso. Para tanto, o prximo
subitem tratar desta distino.
Cabe ressaltar, de acordo com Santos e Resende (2000 apud Neves et al,
2006), que a posse da informao reduz incertezas sobre algum estado ou even-
to. No entanto, igualmente importante salientar que nem toda informao
crucial e/ou essencial a ponto de requerer cuidados especiais. Opostamente,
pode haver uma determinada informao que pode vir a ser to vital que o custo
de manter sua integridade, por maior que seja, ainda ser menor que o custo de
no dispor dela adequadamente.
2 Disponvel em: http://conceito.de/informacao. Acesso: 01/05/2015

12 captulo 1
 Acompanhemos a citao abaixo, que explana a respeito da necessidade
constante das organizaes em obter informaes. E tal demanda permanente
pode vir a gerar uma ansiedade de informao.

Os aspectos de constante transio da economia acarretam nas organizaes, em

geral, uma necessidade permanente de informao. Essa ansiedade de informao
o resultado da distncia entre o que compreendido e o que acha-se que deveria
ser compreendido numa espcie de buraco negro existente entre dados e conheci-
mento. Isso ocorre quando a informao no nos sacia, ou seja, no suficiente. Alm
disto, a ansiedade tambm gerada quando tais situaes ocorrem: no compreen-
der a informao; sentir-se assoberbado pelo seu volume; no saber se uma certa
informao existe; no saber onde encontr-la, nem exatamente onde ela se situa.
Ainda assim, esta ansiedade pode-se aumentar quando se tem conscincia de que o
acesso informao limitado no conseguindo, ento, atender s necessidades dos
clientes (NEVES, 2003).

Diante do panorama exposto pela citao acima, analisam-se, conforme

ilustra Wurman (1995), alguns aspectos comportamentais das pessoas que
apresentam um grau de ansiedade pela incerteza ou ausncia de informaes
que podem ser notados. So eles:
Falar compulsivamente que no consegue se manter atualizado com
os acontecimentos;
Sentir-se culpado com aquela pilha, cada vez maior, de peridicos e rela-
trios que se acumulam sua espera;
Descobrir que incapaz de explicar algo que pensava ter entendido;
Dedicar tempo e ateno a notcias que no tm quaisquer impactos cul-
turais, econmicos ou cientficos em suas vidas e seus negcios;
Achar que os colegas profissionais esto entendendo tudo e voc no;
Ficar receoso ou encabulado de dizer no sei.

Dessa forma, e de acordo com Neves (2003), somos muito atingidos pelas
mdias de comunicao, pelos colegas de trabalho, por conversas etc. Com isto,
as organizaes, de modo geral, ficam cada vez mais preocupadas com suas
aparentes incapacidades de tratar, compreender, manipular essa epidemia

captulo 1 13
de dados que toma conta de tudo. O prprio volume disponvel de informao
acaba tornando parte dela inutilizvel, devido incapacidade de utiliz-las ade-
quadamente, bem como a forma como nos transmitida.
De acordo com o exposto por Wadlow (2000), a informao pode ser classifi-
cada em nveis de prioridade dentro da organizao, conforme segue:

Informao que pode vir ao pblico sem consequncias

INFORMAO prejudiciais ao funcionamento normal da empresa e cuja
PBLICA integridade no vital;

Informao que deveria ter o livre acesso evitado, embora

INFORMAO no haja consequncias prejudiciais/srias do acesso e
INTERNA uso no autorizado. A integridade deste tipo de informao
importante, porm no vital;

Informao que restrita aos limites da empresa e cuja

INFORMAO divulgao ou perda pode acarretar em desequilbrio
CONFIDENCIAL operacional e, eventualmente, a perdas financeiras ou de
confiabilidade perante o cliente externo;

Informao muito crtica para as atividades da empresa

INFORMAO e cuja integridade deve ser preservada a qualquer custo.
SECRETA O acesso deve ser restrito, e a segurana deste tipo de
informao crucial/vital para a empresa.

1.1.1 Dados, Informao e Conhecimento

Vamos discutir um pouco esses conceitos e as diferenas entre eles?

A seguir, definies dadas pelo Professor Dr. Valdemar W. Setzer3 referente
a dados, informao e conhecimento:

3 Setzer, V. W.. Dado, Informao, Conhecimento e Competncia. Disponvel em: < http://www.ime.usp.
br/~vwsetzer/dado-info.html>.

14 captulo 1
 Dados:

[...] uma sequncia de smbolos quantificados ou quantificveis. Portanto, um texto

um dado. De fato, as letras so smbolos quantificados, j que o alfabeto, sendo um
conjunto finito, pode por si s constituir uma base numrica (a base hexadecimal
emprega tradicionalidade, alm dos 10 dgitos decimais, as letras A a E). Tambm so
dados fotos, figuras, sons gravados e animao, pois todos podem ser quantificados a
ponto de se ter eventualmente dificuldade de distinguir a sua reproduo, a partir da
representao quantificada, com o original. muito importante notar-se que, mesmo
se incompreensvel para o leitor, qualquer texto constitui um dado ou uma seqncia
de dados [...]

Ainda segundo o autor, um dado uma entidade matemtica sinttica, ou

seja, os dados podem ser descritos por estruturas de representao. Assim sen-
do, podemos dizer que o computador capaz de armazenar dados. Estes dados
podem ser quantificados, conectados entre si e manipulados pelo processa-
mento de dados. Da mesma forma, pode-se definir dados como fatos brutos,
ainda no organizados nem processados.
Informao:

Se a representao da informao for feita por meio de dados, como na frase sobre Paris,
pode ser armazenada em um computador. Mas, ateno, o que armazenado na mquina
no a informao, mas a sua representao em forma de dados. Essa representao
pode ser transformada pela mquina, como na formatao de um texto, o que seria uma
transformao sinttica. A mquina no pode mudar o significado a partir deste, j que ele
depende de uma pessoa que possui a informao. Obviamente, a mquina pode emba-
ralhar os dados de modo que eles passem a ser ininteligveis pela pessoa que os recebe,
deixando de ser informao para essa pessoa. Alm disso, possvel transformar a
representao de uma informao de modo que mude de informao para quem a recebe
(por exemplo, o computador pode mudar o nome da cidade de Paris para Londres). Houve
mudana no significado para o receptor, mas no computador a alterao foi puramen-
te sinttica, uma manipulao matemtica de dados. Assim, no possvel processar
informao diretamente em um computador. Para isso necessrio reduzi-la a dados. No
exemplo, fascinante teria que ser quantificado, usando-se por exemplo uma escala de
zero a quatro. Mas ento isso no seria mais informao.

captulo 1 15
 Podemos agrupar dados isolados e torn-los consistentes ao se transfor-
marem em informaes. Por exemplo, se tivermos um conjunto de dados que
descreva a temperatura do ambiente num local, horrio e data, poderamos ter

}
a seguinte relao:

Sexta-feira

30 de Abril
Entrada de
DADOS
16h30min

27C
PROCESSAMENTO

Na sexta feira, dia 30

Sada de
de abril, s 16h30min,
DADOS
estava fazendo 27C.

Assim, o conjunto de dados inicial foi organizado de maneira que faa sen-
tido queles que o estiverem lendo. Isto os torna informao. No entanto, a
representao no computador feita baseada nos dados. Seguindo com o pen-
samento de Setzer:
Conhecimento:

[...] abstrao interior, pessoal, de algo que foi experimentado, vivenciado, por algum.
Continuando o exemplo, algum tem algum conhecimento de Paris somente se a
visitou[...].

Dessa maneira, o conhecimento precisa ser descrito por informaes.

16 captulo 1
 A informao pode ser inserida em um computador por meio de uma representao
em forma de dados (se bem que, estando na mquina, deixa de ser informao).
Como o conhecimento no sujeito a representaes, no pode ser inserido em um
computador. Assim, neste sentido, absolutamente equivocado falar-se de uma base
de conhecimento em um computador. O que se tem , de fato, uma tradicional
base (ou banco) de dados. Um nen de alguns meses tem muito conhecimento (por
exemplo, reconhece a me, sabe que chorando ganha comida, etc.). Mas no se pode
dizer que ele tem informaes, pois no associa conceitos. Do mesmo modo, nesta
conceituao no se pode dizer que um animal tem informao, mas certamente tem
muito conhecimento.

A informao associa-se semntica, enquanto o conhecimento est asso-

ciado pragmtica, ou seja, algo existente no mundo real.

CONEXO
Recomendamos ler o artigo do Prof. Dr. Valdemar W. Setzer na ntegra, atravs do link: http://
www.ime.usp.br/~vwsetzer/dado-info.html

Para simplificar o entendimento sobre dados, informao e conhecimento,

vamos expor alguns exemplos:

EXEMPLO
1. Fazer um bolo.
Os ingredientes de um bolo podem ser comparados aos dados.
A mistura destes ingredientes para transform-los na massa do bolo que ser assada e
resultar no bolo a informao.
Cada pessoa que provar/experimentar o bolo ter sua prpria opinio/conceito ou
seja, esta vivncia pode ser comparada ao conhecimento.

captulo 1 17
 ANTONINO DANNA | DREAMSTIME.COM

ELENA VESELOVA | DREAMSTIME.COM

MELANIEMAIER | DREAMSTIME.COM

Figura 1.1 Comparao de dados, informao e conhecimento.

2. Relatrio Estatstico de Vendas do Supermercado Vende Bem.

O Sistema de Informao Gerencial do Supermercado Vende Bem, entre outras fun-
es, vai armazenando os dados das vendas realizadas em seu banco de dados.
Os gestores podem necessitar analisar um relatrio estatstico das vendas de um deter-
minado produto em um dado perodo de tempo. Ou seja, dados sero agrupados e organiza-
dos, pelo Sistema de Informao Gerencial, para compor este relatrio estatstico. Este, por
sua vez, conter, portanto, informaes.
Cada gestor far sua interpretao pessoal, baseando-se na sua experincia, vivncia,
know-how, e assim por diante. Ou seja, cada gestor interpretar um mesmo relatrio sua
maneira, compondo desta forma seu conhecimento.

18 captulo 1
 MIKHAIL MISHCHENKO | DREAMSTIME.COM

VALTER DIAS | DREAMSTIME.COM

RIDO | DREAMSTIME.COM

Figura 1.2 Um sistema pode prover relatrios estatsticos extrados de seu banco de da-
dos, para ser analisado pelos gestores.

Por fim, vale explicitar, de acordo com Pereira et al (2012), que uma organi-
zao que possuir uma equipe responsvel por mapear e monitorar os dados,
informao e conhecimento que circulam em seu ambiente aumenta, conside-
ravelmente, suas chances de se destacar diante das concorrentes.

captulo 1 19
1.2 Segurana da Informao
1.2.1 Segurana da Informao no Ambiente Corporativo

Todo tipo de complemento da tarefa dentro de uma corporao requer infor-

mao. A comunicao requerida para assegurar que estas informaes pro-
vm para a pessoa responsvel pela tarefa.
As informaes trafegadas intermitentemente pela organizao caracteri-
zam-se por serem um dos seus ativos mais valiosos. Elas so fundamentais para
todo o processo organizacional. Ou seja, as informaes so primordiais para
o sucesso das negociaes. Acompanhemos a citao abaixo, que enfatiza e de-
talha tal afirmao.

A informao o elemento fundamental para todos os processos de negcio da

organizao, sendo, portanto, um bem ou ativo de grande valor, podendo levar a
organizao do sucesso ao fracasso, em funo de impactos financeiros, operacionais
ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informao. O que
diferencia o uso da informao entre as organizaes a necessidade de se manter
disponvel, mantendo a integridade e o rigor em relao ao sigilo que cada organiza-
o precisa para a sua informao (FONTES, 2011, p. 2).

Diante do exposto, podemos afirmar, em concordncia com Lima (2013),

que a informao passou a ser um recurso estratgico para as organizaes,
possibilitando a gerao de conhecimento e apoiando o processo de tomada
de decises. Em virtude disto, o grau de proteo e preocupao com estas in-
formaes cresceu consideravelmente. Neste mbito, medidas e cuidados de
segurana devem ser tomados e sempre verificados.
Acompanhemos a prxima citao, que enfatiza a necessidade das organi-
zaes em investirem numa infraestrutura adequada de telecomunicao para
viabilizar a troca de informaes com parceiros de negcios e clientes.

Para se criar um servio com qualidade necessrio que a organizao se dedique a

conhecer seus clientes, seus problemas e expectativas. O cliente deve ser visto como
patrimnio mais valioso que precisa ser cuidado e mantido, uma vez que, atualmente,

20 captulo 1
 os consumidores tm mais acesso informao e, consequentemente, so mais
exigentes. Dessa forma, fundamental que as organizaes estejam bem preparadas
para atender essas necessidades.
Para tanto, essencial que as organizaes tenham uma infraestrutura de telecomu-
nicaes, que permita a comunicao entre pessoas e recursos, sendo bem projetada
e bem dimensionada. Isto vital para a sobrevivncia de uma organizao (NEVES,
2003).

Adicionalmente, Laureano e Moraes (2005) abordam que dispor da in-

formao correta, no momento adequado, significa tomar uma deciso as-
sertiva. Neste contexto, a evoluo das tecnologias de informao propor-
cionou mobilidade, inteligncia nos negcios e real capacidade de gesto.
Complementarmente, e de acordo com Bremer (2000), as tecnologias de infor-
mao e comunicao trazem consigo consequncias extremamente relevan-
tes no contexto empresarial e, uma relao muito forte, pode ser notada entre
essas tecnologias e o avano das parcerias entre as empresas.

O uso da Tecnologia da Informao se tornou uma necessidade indispensvel para

fins comerciais nos dias de hoje, no s para as grandes corporaes, mas tam-
bm para as microempresas. Apesar da alta disponibilidade, o uso de TI tambm
traz consigo vrias ameaas que podem passar por despercebidas pelos pequenos
empreendedores, podendo colocar em grande risco a longevidade de seus negcios
considerando que muitas destas empresas possuem a TI como uma parte crtica de
seu processo de produo (MENDES, 2013)

Informaes tcnicas, comerciais e financeiras, necessrias para o bom

andamento dos negcios, trafegam pela rede que conecta a empresa a seus
parceiros comerciais. Portanto, uma srie de cuidados e medidas devem ser to-
mados, principalmente no que tange proteo das informaes que trafegam
por esta rede. Ou seja, a tecnologia veio a impulsionar e otimizar cada dia mais
o rpido acesso s informaes organizacionais, sem barreiras de tempo ou
espao. Esta grande vantagem competitiva traz consigo tambm importantes
preocupaes acerca da segurana de todo este fluxo de dados armazenados,
acessados, alterados, e assim por diante.

captulo 1 21
 Atualmente a maior parte das organizaes trabalha com um sistema informatizado
de modo que as informaes fluam de maneira mais rpida, baseando boa parte de
seu plano de negcio e suas decises nessas informaes (OLIVEIRA, 2001 apud
ALVES e MOREIRA, 2012, p. 130).
Porm, toda essa tecnologia traz algumas vulnerabilidades para a organizao,
obrigando-a a desenvolver uma poltica de segurana da informao para que essas
informaes possam ser manuseadas de maneira correta e segura. A poltica de
segurana da informao tem o propsito de tratar essas informaes desde a sua
criao at o seu descarte, definindo regras para que as mesmas no sejam roubadas,
alteradas ou perdidas (SMOLA, 2003 apud ALVES e MOREIRA, 2012, p. 130).

De acordo com Lima (2013), a informao um ativo de significativa impor-

tncia para qualquer organizao, independentemente do seu porte e do seu
segmento de mercado. Complementarmente, e conforme explicitam Laureano
e Moraes (2005), a informao possui um valor para a organizao e, portanto,
necessita ser adequadamente protegida, por meio dos processos de Segurana
da Informao, pois est sob constante risco.

A segurana da informao deve existir para proteger os recursos de informao que

so utilizados estratgica e operacionalmente para o funcionamento da organizao,
contra divulgao indevida, seja ela intencional ou no, alterao no autorizada, des-
truio no desejada, negao de servio, fraudes financeiras, apropriao indevida
de informaes ou reputao da imagem da instituio. Essa proteo feita atravs
da implantao de controles de segurana definidos em polticas e procedimentos
(LIMA, 2013, p. 14)

Aps a leitura da citao supracitada, cabe-nos ressaltar que podemos se-

guramente afirmar, em concordncia com Alves e Moreira (2012), que no h
informao que esteja 100% segura, por mais arrojado que seja o aparato tec-
nolgico de segurana. Pois novos riscos sempre podero surgir. Diante deste
contexto, imprescindvel que a organizao direcione esforos para realizar
um correto gerenciamento da segurana das informaes.

22 captulo 1
 A segurana da informao, segundo Solms (2005), passou a ser parte integral para
um bom gerenciamento da corporao. Embora esse fato sempre ser verdadeiro, foi
apenas recentemente enfatizado, no bom gerenciamento da corporao. Elevando a
segurana da informao para a segurana dos negcios, haver um foco extra
nas necessidades de assegurar a existncia prolongada da companhia, e integrar e
envolver todos os presentes esforos, da mesma forma que a proteo considerada
(NEVES et al, 2006, p. 53).

1.2.2 Princpios da Segurana da Informao no Ambiente

Corporativo

A segurana da informao no ambiente corporativo visa a estabelecer uma

srie de solues tcnicas para problemas no tcnicos. A exemplo desta afir-
mao, e concordando com Moreira e Cordeiro (2002), pode-se despender
muito tempo, dinheiro e esforo em segurana computacional, mas nunca
ser resolvido o problema de perda de dados acidentais ou uma interrupo
intencional de suas atividades. Dadas as circunstncias bugs de software,
acidentes, erros, mau tempo ou um invasor bem motivado e bem equipado ,
qualquer computador pode ficar comprometido, submetido a desuso ou algo
pior que isto.

Antes de se estabelecer qual a melhor poltica de segurana, faz-se necessrio ana-

lisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantaes
de mecanismos de segurana no sero adotados, inadequadamente (NEVES et al,
2006, p. 53).

Complementarmente a esta citao, e de acordo com Nakamura e Geus

(2002 apud Neves et al, 2006), para melhorar a segurana de um sistema, deve-
-se prioritariamente considerar alguns aspectos, dentre os quais:

captulo 1 23
 CONHECER OS identificando o que eles desejam fazer, e os peri-
POSSVEIS OPONENTES gos que podem vir a causar organizao;

uma vez que a implementao e o gerenciamento

da poltica de segurana pode significar, alm da
necessidade de mais recursos pessoais, a neces-
CONTABILIZAR OS sidade de significativos recursos de software e de
VALORES hardware. Os custos das medidas de segurana
devem, portanto, ser compatveis e proporcionais
s necessidades da organizao e s probabilida-
des de ocorrerem incidentes de segurana;

uma vez que muitos procedimentos de segurana

CONSIDERAR OS falham, porque as reaes dos usurios a esses
FATORES HUMANOS procedimentos no so considerados com seu
devido valor;

CONHECER OS PONTOS pois todo sistema possui vulnerabilidades;

FRACOS

APLICAR A SEGURANA
DE ACORDO COM a fim de definir uma estratgia de segurana que
OS NEGCIOS DA melhor se adapte s necessidades deles.
ORGANIZAO

Fazendo este levantamento e anlise, pode-se ter conhecimento do que se

tenta proteger, contra quem e quanto tempo e custo pretende-se investir para
obter a proteo adequada. Com isto, temos a base para a anlise de risco (as-
sunto a ser visto posteriormente nesta disciplina).

24 captulo 1
 CONEXO
Dica de Vdeo: Segurana da Informao Bradesco
LINK: https://www.youtube.com/watch?v=EsO5f3kS6Lw
Este vdeo muito interessante e pertinente. Mostra como o comportamento dos colabo-
radores podem impactar diretamente na segurana das informaes confidenciais.

Adicionalmente, ao mencionarmos a segurana da informao, e antes de

cogitarmos a possibilidade de nos munir com aparatos tecnolgicos, deve-
mos prioritariamente fazer um levantamento e nos questionar/indagar:
O que minha empresa quer proteger? (ou seja, tomar cincia do que se
almeja proteger);
Por que minha empresa quer proteger? (ou seja, descobrir a relevncia de
tais informaes que se almeja proteger);
Minha empresa quer proteger de qu? (ou seja, fazer um mapeamento/
levantamento do que se deve monitorar para que as informaes no sejam
extraviadas/corrompidas);
Como minha empresa deve proteger? (ou seja, determinar normas/regras
de como, quando, onde, quem poder ter acesso).

De acordo com Stallings (1999), Moreira e Cordeiro (2002), Kurose e Ross

(2006 apud Alves e Moreira 2012) e Lima (2013), as informaes devem cumprir
os seguintes requisitos:

ir definir que as partes envolvidas na comunicao se-

AUTENTICAO jam autenticadas, a fim de garantir que cada uma delas
seja realmente quem diz ser;

refere-se a proteger a informao de ser lida ou

CONFIDENCIALIDADE copiada por qualquer um que no est explicitamente
autorizado pelo proprietrio da informao;

captulo 1 25
 assegura que o sistema comporta-se como esperado
pelos usurios autorizados. Se o software ou hardware
repentinamente comea a se comportar de maneira ra-
CONSISTNCIA dicalmente diferente daquele que se costuma compor-
tar, especialmente aps uma atualizao ou a reparao
de um erro, pode ocorrer um desastre;

ir definir que as informaes devidas estaro dispo-

nveis para seus respectivos usurios. Aqui cabe uma
ressalva: para garantir esta disponibilidade da informa-
DISPONIBILIDADE o somente para o usurio devido, deve-se implemen-
tar controles de acesso, a fim de conter usurios no
autorizados;

que regula o acesso ao sistema. Se indivduos (ou soft-

wares) desconhecidos ou no autorizados so encontra-
dos no sistema, eles podem ocasionar um grande pro-
blema. Deve-se preocupar como entraram, o que devem
CONTROLE ter feito e que ou o que mais tambm acessou o sistema.
Recuperar-se destes episdios pode requerer consider-
veis tempo e gasto para reconstruir e reinstalar o sistema
e ainda verificar se nada de importante foi mudado ou
revelado mesmo se nada aconteceu de fato;

tal como se preocupar com usurios no autorizados,

os usurios autorizados s vezes cometem erros, ou at
mesmo atos maliciosos. Nesses casos, deve-se determi-
nar o que foi feito, por quem, e o que foi afeitado. A nica
maneira de se alcanar estes resultados atravs de al-
AUDITORIA guns registros incorrompveis de atividade no sistema que
indubitavelmente identifica os autores e aes envolvidas.
Em algumas aplicaes crticas, a trilha da auditoria pode
se estender autorizao de operaes que desfaam ou
ajudem a restaurar o sistema ao seu estado correto;

26 captulo 1
 ir definir que a informao originria de quem diz ori-
ginar, de forma a impedir que alteraes na mensagem
INTEGRIDADE original confundam as partes envolvidas na comunica-
o. E, mesmo que haja alguma alterao na mensa-
gem original, que esta seja passvel a ser detectada;

ir garantir que a informao enviada por quaisquer

partes envolvidas na comunicao no seja negada
NO REPDIO pelo seu respetivo remetente (em outras palavras, ir
garantir que quem enviou a informao no poder
negar sua transmisso);

a informao sendo entregue em tempo, de maneira

EFETIVIDADE correta, consistente e utilizvel;

entrega da informao atravs do mais produtivo e

EFICINCIA econmico uso dos recursos;

CONFORMIDADE OU de acordo com leis, regulamentos, polticas internas e

LEGALIDADE obrigaes contratuais impostos externamente;

profissionais de segurana geralmente no se referem

a um sistema como sendo seguro ou inseguro. Em
vez disto, usada a palavra confivel para descrever
o nvel de confiana no qual o sistema computacional
CONFIANA se comporta. Isto reconhece que a segurana absoluta
nunca estar presente. Desenvolver confiana adequa-
da em um sistema computacional requer um pensa-
mento cauteloso e planejado.

Embora todos esses aspectos acima descritos sejam importantes, ressalta-

mos que cada organizao ir atribuir-lhes diferentes nveis de importncia, de
acordo com suas respectivas demandas.

captulo 1 27
 Adicionalmente, importante ressaltar que alguns fatores acabam impac-
tando diretamente e negativamente para que medidas de segurana adequadas
sejam adotadas:
Falta de informao sobre a importncia da segurana das informaes
da empresa;
Falta de recursos financeiros para investimento adequado;
Ausncia de uma poltica de segurana adequada;
No ter noo/conhecimento dos possveis/provveis prejuzos causados
pela falta de segurana das informaes.

Portanto, e conforme explicita Mendes (2013), os administradores preci-

sam de procedimentos para conduzir uma avaliao peridica sobre segurana
da informao, revisar os resultados e tomar as medidas necessrias, treinar e
educar seus funcionrios sobre o assunto.
Por fim, importante salientar, em concordncia com Laureano e Moraes
(2005), que antigamente a ateno dada segurana da informao estava fo-
cada apenas na tecnologia. Atualmente, notamos que o desafio vai alm desta
amplitude e engloba, tambm, a construo de uma relao de confiabilidade
com os clientes e parceiros da empresa.

ATIVIDADES
01. De acordo com a classificao de prioridade das informaes dentro das organizaes,
leia as sentenas abaixo e assinale a alternativa que as preenche correta e respectivamente.
I. ______________ informao que pode vir ao pblico sem quaisquer consequncias
prejudiciais empresa;
II. ______________ informao que deveria ter o livre acesso evitado, porm no haver
consequncias danosas provenientes do acesso no autorizado;
III. ______________ informao que restrita aos limites da empresa e, se divulgada livre-
mente, acarretar eventuais perdas financeiras ou de confiabilidade;
IV. ______________ informao muito crtica para as atividades da empresa e cujo acesso
deve ser restrito. Alm disso, a segurana crucial para a empresa.
a) Informao Interna; Informao Pblica; Informao Confidencial; Informao Secreta.
b) Informao Pblica; Informao Interna; Informao Confidencial; Informao Secreta.
c) Informao Pblica; Informao Confidencial; Informao Interna; Informao Secreta.
d) Informao Secreta; Informao Interna; Informao Confidencial; Informao Pblica.
e) Informao Pblica; Informao Secreta; Informao Interna; Informao Confidencial.

28 captulo 1
02. Sobre os conceitos de Dados, Informao e Conhecimento, leia as asseres e assinale
a alternativa correta:
I. Pode-se afirmar que o computador armazena conhecimento;
II. Dados so fatos brutos, no lapidados;
III. A informao depende de algum tipo de relacionamento, avaliao ou interpretao
dos dados;
IV. O conhecimento uma abstrao interior, pessoal, de algo que foi experimentado, viven-
ciado por algum.

a) As asseres I e II esto corretas.

b) As asseres I, III e IV esto corretas.
c) As asseres II, III e IV esto corretas.
d) As asseres II e IV esto corretas.
e) As asseres I e III esto corretas.

03. Para melhorar a segurana de um sistema, deve-se primeiramente considerar alguns

aspectos importantes. Sobre tais aspectos, assinale a alternativa incorreta.
a) Conhecer os possveis oponentes.
b) Contabilizar os valores.
c) Considerar os fatores humanos.
d) Levantar a situao financeira da empresa.
e) Conhecer os pontos fracos.

04. As informaes devem cumprir alguns requisitos. Diante dessa afirmao, assinale a
alternativa incorreta sobre tais requisitos.
a) Autenticidade
b) Integridade
c) No repdio
d) Custo baixo
e) Disponibilidade

05. Para melhorar a segurana de um sistema, deve-se prioritariamente considerar alguns

aspectos. Sobre este assunto, leia as asseres e assinale a alternativa correta.
I. Conhecer os possveis oponentes;
II. Contabilizar os valores;
III. Considerar os fatores humanos;
IV. Conhecer os pontos fracos.

captulo 1 29
a) Somente a assero I est correta.
b) Somente a assero II est correta.
c) Somente as asseres I, II e III esto corretas.
d) Somente as asseres II, III e IV esto corretas.
e) As asseres I, II, III e IV esto corretas.

06. Quando falamos em segurana da informao, antes de cogitarmos a possibilidade de

nos munir com aparatos tecnolgicos, devemos prioritariamente fazer um levantamento e nos
questionar sobre alguns aspectos. Diante do exposto, assinale a alternativa incorreta.
a) O que minha empresa quer proteger?
b) Por que minha empresa quer proteger?
c) Qual o oramento da proteo?
d) Minha empresa quer proteger de que?
e) Como minha empresa deve proteger?

REFLEXO
Este captulo introdutrio nos posicionou no assunto que nortear nossa disciplina.
Compreendemos a importncia da Segurana das Informaes que trafegam intermiten-
temente por toda a empresa. Apesar desta grande relevncia, notamos a grande resistncia
que ainda existe nas empresas em assumir o quesito Segurana das Informaes como
sendo prioritrio tanto quanto a lucratividade vista.

LEITURA
Recomendamos a leitura do Estudo de Caso publicado por Mendes (2013) e intitulado:
Segurana da Informao em Microempresas Estudo de Caso. Detalhes sobre esta pes-
quisa encontram-se no item Referncias Bibliogrficas deste captulo.
Apresentaremos, subsequentemente, a sntese desta pesquisa:
O supracitado pesquisador realizou um estudo de caso, aplicando um questionrio em
oito Microempresas a fim de investigar de que forma elas trabalhavam com a questo de
segurana dos dados no dia a dia. Tais empresas situam-se nos Estados de So Paulo e
Paran e atuam no setor da informtica.
Diante deste contexto de rea de atuao, o pesquisador subentendeu que os entrevis-
tados possuam boa noo dos problemas que abrangem a segurana no uso da Tecnologia.

30 captulo 1
 Resultados obtidos:
Backup das Informaes: quando perguntados se realizam alguma forma de backup
para com os seus dados digitais, a maioria dos entrevistados foi positiva quanto resposta:
87% dos entrevistados realizam o backup.
Controle de Acesso: no que tange a controlar o acesso s mquinas da empresa, primei-
ramente na questo de autenticao, os resultados obtidos foram bem dispersos, onde ape-
nas 50% das empresas utilizam algum sistema de login para acesso aos computadores da
empresa. E quanto restrio de acesso ao computador principal da empresa, os resultados
tambm no foram muito satisfatrios, sendo que metade das empresas questionadas per-
mite que terceiros utilizem livremente suas mquinas. Outro grande fator de risco na rea de
TI so os dispositivos de armazenamento mveis. Como se tratam de ferramentas que costu-
mam ser utilizadas com grande freqncia e em diversas mquinas, acabam facilmente sen-
do infectadas por diversos tipos de softwares maliciosos. Pelos resultados obtidos, 75% das
empresas entrevistadas no restringem o uso dos dispositivos em suas mquinas principais.
Senhas: no que tange a senhas, quando questionadas se usavam uma mesma senha para
mltiplos servios, 62% das empresas afirmaram que preferem no ter mais de uma senha
para se lembrar, o que no favorvel questo segurana, j que se um invasor acabar por
descobrir a senha, ele poder ter acesso a todo o contedo que a empresa acreditaria estar
sendo mantido seguro.
Questes Financeiras: questionadas sobre seus investimentos em softwares de anti-
vrus/antispywares, interessante relevar que independente de qual foi a escolha de cada
empresa, notou-se que a maioria (75%) preferiu utilizar softwares gratuitos para garantir a
sua proteo. Quando questionados sobre o uso de firewall, a maioria foi positiva quanto ao
uso do mesmo, no qual a maioria tambm optou pelos meios gratuitos de proteo, especial-
mente o firewall nativo do prprio sistema operacional. Cmeras de monitoramento e outros
equipamentos que auxiliam no controle de acesso tambm colaboram na segurana das in-
formaes. Junto pesquisa, todas as empresas abordadas concordam na total importncia
em equipamentos de monitoramento de acesso ao local. Porm, mesmo atuando no ramo de
informtica, tendo acesso mais fcil a estes produtos, o interesse em investir na segurana
fsica no de grande prioridade, onde apenas 50% responderam ter grande interesse em
investir neste quesito, outros 38% possuem breve interesse e 12% restantes no possuem
interesse de investimento.

Consideraes finais da pesquisa realizada:

Atravs de sua pesquisa, Mendes (2013) concluiu que as empresas entrevistadas no
priorizam a segurana de seus dados, apesar de atuarem todas no setor da Tecnologia e te-
rem conhecimento sobre a importncia de tal segurana. Ou seja, muitas vezes, mesmo cien-

captulo 1 31
tes da importncia da segurana e reconhecedores de ferramentas e procedimentos que a
proporcionem, constatou-se certo receio por parte dos entrevistados ao serem questionados
sobre o uso de seus recursos para tratar da segurana de seus dados digitais. No entanto,
e por se tratarem de Microempresas que atuam diretamente na rea de TI, ainda possuem
um nvel de atitude favorvel quanto segurana, no qual as posicionam em uma situao
mais vantajosa quanto s pequenas empresas de diversos outros ramos de atuao. Porm,
a preocupao quanto questo financeira reflete um modo de pensar compartilhado pela
grande maioria dos microempresrios de diversos ramos. Com este pensamento de sempre
posicionar a lucratividade em primeiro plano, alm do fato de que destinar capital para segu-
rana no traz retorno algum, acabam no compreendendo a real importncia da preveno
de um futuro prejuzo.

REFERNCIAS BIBLIOGRFICAS
ALVES, L. C. M.; MOREIRA, J. Gerenciamento da Poltica da Segurana da Informao.
Tecnologias, Infraestrutura e Software (TIS), v.1, n 2, p. 130-137, set-dez, 2012.
BREMER, C. F. Redes de Cooperao. Revista: Produtos e Servios: Fbrica do Futuro entenda
hoje como vai ser sua indstria amanh, Edio Especial, p. 99-104, dezembro, 2000.
CASTILHO, J. O Ciclo de Vida da Informao. Revista Sade Business, disponvel em: http://
saudebusiness.com/noticias/o-ciclo-de-vida-da-informacao/ , 7 de maio de 2013.
FONTES, E. L. G. Polticas e Normas para a Segurana da Informao. Editora Brasport, Rio de
Janeiro, 2011.
LAUREANO, M. A. P.; MORAES, P. E. S. Segurana como Estratgia de Gesto da Informao.
Revista Economia & Tecnologia, ISSN 1415-541X, Vol 8, Fascculo 3, p. 38-44, 2005
LIMA, F. J. Estudo de Melhorias em Segurana de Informao. Monografia de Ps Graduao
(Especializao) em Configurao e Gerenciamento de Servidores e Equipamentos de Rede,
Universidade Tecnolgica Federal do Paran, Curitiba, 2013.
MENDES, B. Segurana da Informao em Microempresas Estudo de Caso. Disponvel em:
http://www.profissionaisti.com.br/2013/07/seguranca-da-informacao-em-microempresas-estudo-de-
caso/ , publicado em 18 de julho de 2013.
MOREIRA, S. E. M.; CORDEIRO, M. F. R. Desenvolvimento de Procedimentos de Segurana e
Implantao de Firewall no Laboratrio de Bioinformtica da Rede Genoma Centro-Oeste.
Monografia de Graduao do Curso de Cincias da Computao da Universidade de Brasilia (UNB),
2002.

32 captulo 1
MULLER, E. J. O Ciclo de Vida da Informao. Disponvel em: http://www.ezequieljuliano.com.
br/?p=27 , 11 de abril de 2014.
NEIVA, D. Gesto Inteligente de Dados e o Ciclo de Vida da Informao. Disponvel em: http://
www.baguete.com.br/artigos/893/daniel-neiva/16/09/2010/gestao-inteligente-de-dados-e-o-ciclo-
de-vida-da-informacao , Publicado em 16 de setembro de 2010.
NEVES, F. V. F. Formao de Redes de Cooperao entre Empresas: Anlise dos Modelos de
Comunicao e Informao. Monografia de concluso de curso superior em Anlise de Sistemas,
Universidade de Ribeiro Preto UNAERP, 2003.
NEVES, F. V. F.; GUERRINI, F. M.; SILVA, E. C. C. Cooperao entre empresas, qualidade, recursos
humanos e ambiente: reflexes nas organizaes empresariais. Editora Ottoni, Araraquara, p. 44
70, 2006.
OLIVEIRA, W. J. Segurana da Informao Tcnica e Solues. Editora Federal, 7 Edio, 2001.
PEREIRA, E. N.; HOTENCIO, G. O.; NASCIMENTO, K. P. D.; SILVA, E. F. Inteligncia Competitiva: o
tratamento dos dados, informao e conhecimento s unidades de informao. XV Encontro Regional
de Estudantes de Biblioteconomia, Documentao, Cincia e Gesto da Informao (EREBD), de 15 a
21 de janeiro de 2012.
SEMOLA, M. Gesto da Segurana da Informao: uma viso executiva. Editora Elsevier, 7 Edio,
2003.
WADLOW, T. Segurana de Redes. Editora Campus, Rio de Janeiro, 2000.
WURMAN, S. R. Ansiedade de Informao como transformar informao em compreenso.
Editora: Cultura Editores Associados, 5 edio, 1995.

captulo 1 33
34 captulo 1
 2
Vulnerabilidades
de Segurana
Ol, pessoal. Neste segundo captulo iremos conhecer o ciclo de vida que com-
pe a informao e tambm falaremos, enfaticamente, sobre as vulnerabilida-
des que abrangem a segurana das informaes, definindo o conceito e apre-
sentando tipos de vulnerabilidades. Preparados? Vamos juntos!

OBJETIVOS
Nossos objetivos sero:
Compreender o ciclo de vida da informao;
Compreender a definio de vulnerabilidade;
Analisar os principais tipos de vulnerabilidades;
Conhecer exemplos de ferramentas para a anlise de vulnerabilidades de segurana;
Conhecer mecanismos de segurana das informaes.

36 captulo 2
2.1 O Ciclo de Vida da Informao
Ns j sabemos, atravs de explicaes encontradas no captulo anterior, que
as informaes so provenientes de um conjunto de dados que foram lapida-
dos. O que no sabamos at o presente momento que a informao possui
um ciclo de vida finito. E que, quando este ciclo percorre a etapa final, as infor-
maes ali envolvidas devem ser adequadamente descartadas. Vejamos a cita-
o subsequente que enfatiza tal afirmao.

Toda informao possui um ciclo de vida. Um dado gerado, permanece disponvel

pelo tempo necessrio, passa por atualizaes e, depois, ao perder sua serventia,
deve ser descartado adequadamente. [...]
H quem sofra com a possibilidade de uma informao sigilosa ser acessada e
comprometer o futuro da organizao. E esse medo tem sentido: qualquer vazamento,
seja de um arquivo sobre o histrico de sade de um paciente, seja de dados sobre
as finanas da instituio, potencialmente desastroso para a reputao de quem
deveria zelar pela proteo da informao (CASTILHO, 2013)

Aps a leitura, constatamos a importncia o de descarte da informao ser

feito cuidadosamente, para que pessoas no autorizadas no tenham acesso a
contedos sigilosos/indevidos, uma vez que os sistemas informatizados encon-
trados nas empresas integram os departamentos e suas respectivas massas de
dados, permitindo um fluxo de informaes intermitente por toda a empresa.

Estamos vivendo na era de sobrecarga de informaes. As companhias esto mui-

to dependentes em sistemas de planejamento empresarial, como ERP (Planejamento
de Recursos Empresariais), SCM (Gesto da Cadeia de Suprimento) e CRM (Gesto
de Relacionamento com Cliente) para automatizar e administrar seus recursos. Es-
tes sistemas geram e abrigam uma vasta quantidade de dados que so bem estrutu-
radas em sua prpria maneira. Independente destes dados estruturados, as empre-
sas tambm armazenam volumes enormes de dados no estruturados na forma de
e-mail, Messenger, documentos e imagens. As informaes estruturadas e no es-
truturadas devem ser armazenadas e retidas dentro destes sistemas (NEIVA, 2010).

captulo 2 37
 Entre os benefcios gerados pela implantao de um ERP, podemos destacar:
Integrao das diversas reas da empresa, pois os processos implementados no
sistema transpem os limites departamentais e permitem aos colaboradores terem
maior visibilidade das responsabilidades;
Adoo de um nico sistema em toda a empresa, diminuindo o retrabalho de
tarefas e melhorando a comunicao interna com informaes padronizadas;
Gesto baseada em processos, permitindo empresa crescer sem ter necessida-
de de mudar de sistema, como tambm a garantia de todos os requerimentos globais,
regionais e locais do negcio;
Maior controle e gerenciamento dos processos internos da empresa, gerando
implicitamente melhor desempenho e maior competitividade, provendo agilidade nos
negcios, pois as decises tomadas so baseadas em informaes seguras e em
tempo real; e
Utilizao de solues voltadas inteligncia de negcios como Business Intel-
ligence - BI, e ao relacionamento com o cliente, Customer Relationship Management
- CRM.
Fonte: http://www.informazione4.com.br/cms/opencms/desafio21/artigos/ges-
tao/organizando/0016.html

Estamos afirmando que as informaes tm um Ciclo de Vida e j ressalta-

mos a importncia de se realizar o descarte adequado de tais informaes. Mas
e as demais fases?
Vamos conhecer este ciclo!
Existem quatro fases atravs das quais percorre o ciclo de vida da informa-
o. Em todas estas fases, a informao fica exposta a ameaas e tem riscos
de integridade.

38 captulo 2
 Manuseio

Autenticidade

Confiden- Integridade Armazena-

Descarte cialidade mento

Disponibilidade
Legalidade

Transporte

Figura 2.3 Ciclo de Vida da Informao. Fonte: Adaptado de Muller (2014)

Vejamos a descrio sucinta de cada uma das fases:

o momento em que a informao criada e manipulada.

Exemplos: digitar informaes recm-geradas, utilizar
MANUSEIO uma senha de acesso para autenticao em um sistema,
folhear papis;

como o prprio nome j sugere, o momento em que

a informao armazenada. E esta no se restringe ao
ARMAZENAMENTO armazenamento em banco de dados, mas, tambm, por
exemplo, em uma anotao feita no papel e armazenada
em arquivos fsicos (estantes, prateleiras etc.);

como tambm sugerido pelo nome, o momento em que

a informao transportada, seja encaminhando-as atra-
TRANSPORTE vs de correio eletrnico (e-mail), postagem convencional
(Ex.: atravs do Correios), transmisso via fax, telefone etc.

captulo 2 39
 conforme deduzimos, o descarte ocorre no momento em
que a informao no mais til. Desta forma, arquivos em
DESCARTE papel so descartados em lixeiras, arquivos eletrnicos so
apagados do banco de dados, CDs contendo informaes
sem serventia so descartados, e assim por diante.

Ao mencionarmos a etapa de descarte, importante ressaltar que ela no

pode ser realizada sem critrios. Descartar informaes confidenciais, com va-
lor legal, de qualquer forma, acarreta srios impactos negativos.
Alis, e em se tratando dos documentos com valor legal, deve-se atentar que
o seu descarte deve obedecer aos prazos determinados em lei.
Outra ressalva diz respeito a documentos com valor histrico permanente,
pois eles no podero ser descartados. Um documento secreto, por exemplo,
pode vir a ser considerado (a princpio) como sendo um documento de valor
histrico permanente.

2.2 Vulnerabilidades de Segurana

A palavra vulnerabilidade nos faz logo pensar em fragilidade, certo? E a ideia
essa mesma!
Vulnerabilidades so os pontos fracos existentes nos ativos, que, quando
explorados por ameaas, afetam a confiabilidade, a disponibilidade e a integri-
dade das informaes de uma organizao (WADLOW, 2000, p. 12).

As vulnerabilidades no seriam problema se no existissem as ameaas para explo-

r-las. As ameaas visam por meio das vulnerabilidades: explorar, danificar ou at
mesmo roubar ativos das organizaes. Com o passar dos tempos e medida que a
tecnologia progride, as formas de exposio ou vulnerabilidades iro crescer possibili-
tando assim o surgimento de novas ameaas (MOREIRA et al, 2008, p. 6)

Pontos fracos devem ser eliminados to logo identificados. Neste aspecto,

Nascimento (2013) afirma que, quando identificamos as vulnerabilidades, os
riscos ficam mais bem dimensionados nos locais onde so expostos, facilitan-
do, desta forma, a definio de medidas corretivas de segurana.

40 captulo 2
 VULNERABILIDADE - Fragilidade de software, hardware ou procedimento que pode
fornecer a um atacante a maneira para entrar em um computador ou rede e ganhar
acesso s informaes do ambiente.
AMEAA - Agente ou ao, espontneo ou proposital, que aproveita das vulnerabili-
dades de um ambiente para conseguir seu intento.
RISCO Calculado considerando o nvel de impacto e a probabilidade de
uma ameaa
ATAQUE Incidncia da ameaa sobre a vulnerabilidade.
EXPLOIT Programa capaz de explorar uma vulnerabilidade.
Fonte: http://www1.univap.br/cccomp/Seminario/Palestra_Seguranca.pdf. Con-
sultado em: 29/07/2015

2.2.1 Identificao de Vulnerabilidades

Aps identificar e listar as ameaas, possvel diagnosticar quo vulnervel ,

ou poder tornar-se, o ambiente.
Vulnerabilidades so falhas ou fraquezas nos processos de segurana, nos
projetos, no desenvolvimento ou nos controles internos de um sistema, os quais,
se explorados, podem resultar em eventos no desejados. (STONEBURNER et al
2002, p. 15)
Mtodos recomendados para a identificao de vulnerabilidades do siste-
ma englobam o uso das fontes de vulnerabilidade, desempenho dos testes de
segurana do sistema e desenvolvimento de uma lista de verificao de requisi-
tos de segurana. Alm disto, e de acordo com a ABNT (2008), outros mtodos
proativos englobam: testes e simulaes, testes de invaso de sistemas, audito-
rias em cdigos-fonte etc.

2.3 Principais tipos de Vulnerabilidades

De acordo com Modulo (2006) e Nascimento (2013), existem alguns tipos de
vulnerabilidades (pontos fracos) que podem ser encontradas em uma organiza-
o no que tange ao contexto da segurana das informaes, as quais:

captulo 2 41
 so aquelas decorrentes de fenmenos naturais, e que
VULNERABILIDADES trazem riscos para equipamentos e informaes. Exem-
NATURAIS plos: inundaes, terremotos, maremotos, furaces etc.

so os ambientes que contm pontos fracos em nvel

do espao fsico, comprometendo o armazenamento
VULNERABILIDADES e gerenciamento correto das informaes. Exemplos:
FSICAS instalaes inadequadas para o trabalho, falta de ex-
tintores de incndio, local desorganizado, pessoas no
autorizadas transitando no local etc.

so aquelas relacionadas aos equipamentos que apre-

sentam defeitos de fabricao ou configurao inade-
VULNERABILIDADES quada, podendo permitir o ataque de vrus ou violaes.
DE HARDWARE Exemplos: a falta de atualizaes dos programas e
equipamentos no dimensionados corretamente;

so os pontos fracos existentes nos aplicativos de softwa-

re, permitindo o acesso de indivduos no autorizados.
Por esta razo que os softwares so os preferidos dos
VULNERABILIDADES elementos que buscam as ameaas. Exemplos: Aplicati-
DE SOFTWARE vos com configuraes ou instalaes inadequadas, pro-
gramas de e-mail que permitem a execuo de cdigos
maliciosos e falta de atualizaes necessrias;

as informaes so armazenadas em suportes fsicos

(disco rgido) ou magnticos (CD, DVD, Carto de memria,
Pen drive etc). Suas utilizaes inadequadas podem oca-
sionar uma vulnerabilidade, afetando, portanto, a integrida-
VULNERABILIDADES de, a disponibilidade e a confidencialidade das informaes.
DE ARMAZENAMENTO Consequentemente, isto pode danificar ou indisponibilizar
os meios de armazenamento. Exemplos: defeito de fabrica-
o de um meio de armazenamento, uso incorreto destes
meios, prazo de validade e expirao ultrapassados;

42 captulo 2
 so aquelas relacionadas com o trfego de informa-
es, os quais podem ser realizados atravs de fibra
ptica, ondas de rdio, satlite ou cabos. Indepen-
dentemente do meio escolhido, o sistema de comu-
VULNERABILIDADES nicao escolhido deve ser seguro e garantir que as
DE COMUNICAO informaes transmitidas alcancem o destino desejado
sem interveno alheia. Alm disso, as informaes
trafegadas devem ser criptografadas, pois, caso haja
alguma falha no processo, a informao no pode ser
acessada por pessoas no autorizadas;

so aquelas atitudes intencionais ou no que podem

gerar vulnerabilidades s informaes, como, por
VULNERABILIDADES exemplo: uso de senha fraca, compartilhamento de cre-
HUMANAS dencial de acesso, falta de treinamentos para o usurio,
a no conscincia ou desconhecimento de segurana
da informao e funcionrios descontentes.

A vulnerabilidade de dados ocorre devido interatividade com os clientes,

fornecedores, parceiros de negcios, contatos pessoais etc., compartilhando
informaes, banco de dados, estratgias, tecnologias e enfim.
Nas operaes business-to-business, apesar de uma empresa adotar um de-
vido padro de segurana com seus dados, por ser compartilhado, esses dados
sigilosos podero no estar seguros se a outra empresa que receber esses dados
no adotar o mesmo padro de segurana ou at mesmo ignorar a questo da
segurana da informao, expondo, desta forma, informaes importantes.
A dependncia de empresas parceiras no business-to-business faz com que
a segurana do negcio deve ser implementada em todos os permetros da rede
de negcios, ou seja: clientes, fornecedores e parceiros, devendo no mnimo
utilizar o mesmo padro de segurana internamente.

captulo 2 43
2.4 Ferramentas para anlise de vulnerabilidades
de segurana

As atuais medidas de segurana no garantem 100% de eficcia contra todos os

possveis ataques. A anlise de risco, processo de avaliao das vulnerabilidades do
sistema e das potenciais ameaas, , portanto um componente essencial de qualquer
programa de gerncia de segurana da informao. O processo de anlise identifica
as provveis conseqncias, ou riscos associados com as vulnerabilidades, e gera a
base para estabelecimento de um programa de segurana que tenha um custo-bene-
fcio efetivo (MOREIRA et al, 2008).

Enfatizando a citao acima, devemos ter clareza de que nenhuma medida

de segurana, por mais arrojada que seja, v garantir/assegurar total proteo
contra os ataques, pois a cada dia novos ataques podem surgir.
Dentro deste contexto, abordaremos alguns tipos de scanners, que, de acordo
com Nakamura e Geus (2006), so programas de varredura utilizados para detectar
possveis vulnerabilidades em sistemas. Ou seja, so programas que procuram cer-
tas falhas de segurana que podem permitir ataques e at mesmo invases.

Mesmo que voc tenha apenas um nico micro conectado Internet, ele pode estar
sujeito a ataques. Por esse motivo, indispensvel que voc atualize com freqncia
o antivrus e demais aplicativos, principalmente os que utilizam a conexo com a Inter-
net, incluindo o prprio sistema operacional.
A partir do momento que voc interliga os micros em rede e compartilha a conexo
entre eles, os cuidados devem ser redobrados. Falhas nas configuraes da rede ou
mesmo desconhecimento por parte dos usurios podem tornar sua rede um prato
cheio para os invasores. Os scanners servem justamente para checar as condies
de segurana de um ou mais micros, de modo que voc corrija eventuais falhas antes
que algum mal intencionado tenha chance de explor-las, obtendo alguma vantagem
ou causando prejuzo. Assim como os demais, estes programas tambm precisam ser
atualizados com frequncia, de modo a corrigir falhas descobertas mais recentemente.
Fonte: http://www.hardware.com.br/dicas/scanners-porta.html. Publicado em: 19
de fevereiro de 2008. Consultado em: 29/07/2015

44 captulo 2
 Atravs destes scanners, de acordo com Nakamura e Geus (2006), poss-
vel evitar desperdcio de esforo com medidas de preveno a ataques, uma
vez que, quando uma vulnerabilidade encontrada, deve ser medido seu grau
de risco para a organizao e ento tratada para que uma ameaa no venha a
explor-la.
Neste contexto, h vrios exemplos de aplicaes que executam a anlise de
vulnerabilidades de uma rede ou host. Na sequncia, detalharemos trs tipos:
o nmap, o languard e o nessus.
NMAP

O Nmap uma das ferramentas relacionadas segurana e gerenciamento de

redes mais difundidas no ambiente Linux. Ela foi inicialmente criada com o objetivo
de detectar portas abertas em um destino, mas tambm pode ser utilizada para a
localizao de dispositivos em uma rede, ou para a verificao de alguns itens bsicos
de segurana, como portas abertas em um host (servidor ou estao), verificao
de regras de firewall e testes de sistemas IDS (Intrusion Detection Systems), ou at
mesmo detectar qual sistema operacional ou que tipo de equipamento se trata um de-
terminado host. O scanner de vulnerabilidade Nmap muito utilizado na auditoria dos
firewalls, que so estruturas de hardware e software que isolam a rede interna de uma
organizao da Internet em geral, permitindo que alguns pacotes passem e outros
no. Ele um pacote muito utilizado e por isso est disponvel em todas as principais
distribuies. Pode ser instalado usando o yast (SuSE), yum (Fedora), urpmi (Mandri-
va), ou outro gerenciador de pacotes disponvel (KUROSE e ROSS, 2007).

Languard

O languard um software que registra os eventos e pesquisa vulnerabilidades de

segurana em uma rede. Entre os benefcios da utilizao dessa ferramenta em uma
rede esto: a deteco e controle de falhas de segurana, como falhas de patches
(atualizao de segurana) e para cada vulnerabilidade encontrada, apresenta uma
soluo de segurana ou service packs (pacote de atualizao de segurana), contas
no utilizadas, identificao de portas abertas e permite varrer um ou mais IPs.

captulo 2 45
 Permite agendar scanners peridicos e comparar com execues anteriores, permitin-
do ainda, configurar o tipo de vulnerabilidade a ser pesquisada (ausncia de patches,
erros de configuraes, dentre outros) e exportar resultados em XML. Ele detecta
uma grande quantidade de vulnerabilidades que estiverem em um sistema operacio-
nal, uma aplicao, banco de dados, etc, seja ele Windows, Linux, Solaris, Mac OS ou
um roteador (GFI NETWORK SECURITY, 2008 apud MOREIRA et al, 2008, p. 9).

NESSUS

O Nessus tem exatamente a funo de encontrar "brechas" na mquina local, na rede

ou em uma rede de computadores. Ele dividido em Nessusd (servidor) e nessus
(cliente), ambos com verses para sistemas operacionais Linux e Windows. Possui
arquitetura cliente/servidor e baseada em plug-in . Cada plug-in utilizado em uma
vulnerabilidade de segurana que enquadrada por rgos competentes destinados
a lanarem boletins de segurana a respeito de falhas em sistemas de informao
(SANTOS, 2005 apud MOREIRA et al, 2008, p. 10).
O Nessus pode ser utilizado para descobrir worms e backdoors instalados em esta-
es de trabalho e servidores. A ferramenta tem atualizao freqente e suas fun-
cionalidades incluem relatrios completos, scanning de um grupo de hosts e buscas
de vulnerabilidades em tempo real. O Nessus software que tem o objetivo de fazer
verificao remota e segura de vulnerabilidades nos hosts de uma rede (OLIVEIRA et
al, 2002 apud MOREIRA et al, 2008, p. 10).

2.5 Mecanismos de segurana das informaes

2.5.1 A Criptografia de Dados

A Criptografia o estudo de princpios e tcnicas atravs dos quais se torna possvel

transformar informaes em sua forma original para outra forma irreconhecvel/
ilegvel, a fim de que possa apenas ser reconhecida/lida por seu destinatrio devido.
Ou seja, a cincia e a arte de escrever mensagens em forma cifrada ou em cdigo.
A Criptografia parte de um campo de estudos que trata das comunicaes
secretas e sigilosas, que tem por finalidade, dentre outros fatores explicitados
por Neves (2003):

46 captulo 2
 somente os usurios autorizados tero acesso a
SIGILO informao;

garantia oferecida ao usurio de que a infor-

INTEGRIDADE mao correta e original no foi alterada, nem
acidentalmente ou intencionalmente;

processo que permite ao sistema verificar se a

AUTENTICAO DO pessoa que est se comunicando de fato quem
USURIO alega ser;

processo que permite ao usurio verificar se a

AUTENTICAO DE mensagem recebida foi de fato enviada pelo
REMETENTE remetente informado;

AUTENTICAO DO consiste em se obter uma prova de que a mensagem

DESTINATRIO enviada foi mesmo recebida pelo destinatrio devido;

consiste em provar que a mensagem atual, no

AUTENTICAO DE se tratando de uma mensagem antiga que est
ATUALIDADE sendo reenviada.

CONEXO
Dica de filme de ao que fala sobre supercomputadores e criptografia: A SENHA
(Swordfish).

Basicamente, o que define a segurana de uma criptografia computacional

a quantidade de bits aplicados a ela. Por exemplo, uma chave de 8 bits gera
apenas 256 combinaes diferentes, pois este o resultado de 2 elevado a 8.
Isto prova que a criptografia de 8 bits no de fato segura, pois qualquer um

captulo 2 47
que contar com tempo suficiente capaz de resolv-la. Imagine agora quan-
tas combinaes diferentes existem para uma chave de 128 bits. Para quebrar
uma chave destas no mtodo da tentativa e erro, seria necessria uma dcada e
centenas de milhares de computadores. (fonte: http://www.tecmundo.com.br/
seguranca/1334-o-que-e-criptografia-.htm, consultado em 04/04/13)

Os computadores "entendem" impulsos eltricos, positivos ou negativos, que so

representados por 1 ou 0. A cada impulso eltrico damos o nome de bit (BInary digiT).
Um conjunto de 8 bits reunidos como uma nica unidade forma um byte.
Nos computadores, representar 256 nmeros binrios suficiente para que possa-
mos lidar a contento com estas mquinas. Assim, os bytes possuem 8 bits. s fazer
os clculos: como um bit representa dois tipos de valores (1 ou 0) e um byte repre-
senta 8 bits, basta fazer 2 (do bit) elevado a 8 (do byte) que igual a 256.
Os bytes representam todas as letras (maisculas e minsculas), sinais de pontuao,
acentos, caracteres especiais e at informaes que no podemos ver, mas que ser-
vem para comandar o computador e que podem inclusive ser enviados pelo teclado ou
por outro dispositivo de entrada de dados e instrues. (Escrito por Emerson Alecrim,
extrado de: http://www.infowester.com/bit.php, consultado em 04/04/2013)

De acordo com Stallings (2007), h duas maneiras bsicas de se criptografar

mensagens: atravs de cdigos ou atravs de cifras.

2.5.2 Criptografia Atravs de Cdigo

A criptografia atravs de cdigo procura esconder o contedo da mensagem

atravs, obviamente, de cdigos preestabelecidos entre as partes envolvidas na
troca de mensagens.
Imagine o exemplo em que, em uma guerra, um batalho tem duas opes
de ao contra o inimigo: atacar pelo lado esquerdo do inimigo ou simplesmen-
te no atacar. A deciso depende da avaliao de um general posicionado em
um local estratgico e distante da posio de ataque deste batalho. definido
entre as partes (general e batalho) que, se for enviada uma mensagem com a
palavra "beriu", o exrcito dever atacar pela esquerda; mas, se for enviada uma
mensagem com a palavra "ragenci", no deve haver ataque. Com isso, mesmo
que a mensagem caia em mos inimigas, nada ter significado coerente.

48 captulo 2
 O problema deste tipo de soluo que, com o uso constante dos cdigos,
em algum momento eles sero facilmente decifrados. Outro problema que s
possvel o envio de mensagens predefinidas (combinadas previamente). Por
exemplo: no h como o general mandar seu exrcito atacar pela direita, pois
nenhuma mensagem para este tipo de ao foi preestabelecida.

2.5.3 Criptografia Atravs de Cifra

O outro mtodo usado para criptografar mensagens a cifra, tcnica na qual

o contedo da mensagem cifrado atravs da mistura e/ou substituio das
letras da mensagem original. A mensagem decifrada fazendo-se o processo
inverso ao ciframento. Os principais tipos de cifras, conforme explicitado por
Singh (2002) e Stallings (2007), so:

2.5.3.1 Cifra de Transposio Cerca-de-ferrovia:

Uma mensagem separada letra sim, letra no em duas linhas (que lembram
os trilhos de uma ferrovia), como no exemplo:
A mensagem:

O QUE VOCE LE HOJE E OURO AMANHA

Muda para:

O U V C L H J E U O M N A
Q E O E E O E O R A A H

Aps, coloca a segunda linha logo em sequncia da primeira (variaes de

quantidade de linhas e como uni-las possvel aqui). Ento, a mensagem cifra-
da fica:

O U V C L H J E U O M N A Q E O E E O E O R A A H

2.5.3.2 Cifra de deslocamento (ou substituio monoalfabtica) de Czar (Jlio Czar):

Assim como visto j anteriormente, cada letra de uma mensagem simples-
mente substituda por outra que dista desta trs posies para a direita. Exem-
plo, o A seria substitudo pelo D, o F pelo J, e assim por diante. Considera-se que
o alfabeto seja circular, i.e., depois do Z, vem o A novamente.

captulo 2 49
 A mensagem:

O Q U E V O C E L E H O J E E O U R O A M A N H A

Muda para:

R T Y H W R F H N H K R M H H R Y U R D P D Q K D

Princpio de Kerckhoff: A segurana de um criptossistema no deve depen-

der da manuteno de um criptoalgoritmo em segredo. A segurana depende
apenas de se manter em segredo a chave.
A cifra de substituio pode usar um alfabeto arranjado de qualquer manei-
ra entra as 403.291.461.126.605.635.584.000.000 possveis. Um truque pegar
uma frase-chave (transformando-a de modo a remover espaos e letras repeti-
das) e a partir dela colocar as letras do alfabeto que faltam.
Se a frase , por exemplo, o nome Jose Diogo da Silva, ficaria

JOSEDIGALVXYWZBCFHKMNPQRT

E a substituio ficaria:

A B C D E F G H I J K L M N O P Q R S T U V X Y W Z
J O S E D I G A L V X Y W Z B C F H J K M N P Q R T

A falha das substituies monoalfabticas acabam sendo quebradas por

anlise de frequncia de letras.

2.5.3.3 Cifra de Substituio Polialfabtica

O diplomata francs Blaise de Vigenre (Sc. XVI) bolou o sistema de cifras
de substituio polialfabtica (publicado em 1586) que durou quase 3 scu-
los indecifrvel.
Neste sistema, usa-se a frase original em letras minsculas, como, por
exemplo: oquevocelehojeeouroamanha.
Neste caso, deve-se tirar todos os espaos e pontuao (eles enfraquecem
o cdigo)
Escolhe-se uma palavra chave (do cdigo), por exemplo REBECA
Esta palavra chave repetida sob a frase original quantas vezes for necess-
ria, como no exemplo abaixo:

50 captulo 2
o q u e v o c e l e h o j e e o u r o a m a n h a
R E B E C A R E B E C A R E B E C A R E B E C A R

Substitui-se cada letra da frase original pela correspondente da linha que

comea com a letra do cdigo abaixo dela. Deste modo, o o primeiro fica (da
linha do R) F. A mensagem fica:

o q u e v o c e l e h o j e e o u r o a m a n h a
R E B E C A R E B E C A R E B E C A R E B E C A R
F U V I X O T I J I J O A I F S W R F E N E P H R

Ou seja, a mensagem ficaria: FUVIXOTIJIJOAIFSWRFENEPHR

a b c d e f g h i j k l m n o p q r s t u v w x y z
B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

captulo 2 51
2.5.3.4 Cifra de Substituio de Polgramos
Utiliza um grupo de caracteres em vez de um nico caractere individual para a
substituio da mensagem. Este mtodo consiste em uma escrita que se baseia
em um conjunto de smbolos cujo significado conhecido por poucos, permi-
tindo com isto que se criem textos que sero incompreensveis aos que no sai-
bam o padro de converso necessrio para a sua leitura.

2.5.3.5 Cifra de substituio por deslocamento

Ao contrrio da cifra de Csar, no usa um valor fixo para a substituio de to-
das as letras. Cada letra tem um valor associado para a rotao atravs de um
critrio. Por exemplo, cifrar a palavra "CARRO" utilizando o critrio de rotao
"023" seria substituir "C" pela letra que est 0 (zero) posies frente no alfa-
beto, o "A" pela letra que est 2 (duas) posies frente, e assim por diante,
repetindo-se o critrio se necessrio.

A principal vantagem das cifras em relao aos cdigos a no limitao das pos-
sveis mensagens a serem enviadas, alm de ser tornarem mais difceis de serem
decifradas. As cifras so implementadas atravs de algoritmos associados a chaves,
longas sequncias de nmeros e/ou letras que determinaro o formato do texto
cifrado. (Disponvel em: http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm.
Acesso em: 04/04/13)

Um algoritmo nada mais do que uma receita que mostra passo a passo os proce-
dimentos necessrios para a resoluo de uma tarefa. Ele no responde a pergunta
o que fazer?, mas sim como fazer. Em termos mais tcnicos, um algoritmo uma
sequncia lgica, finita e definida de instrues que devem ser seguidas para resolver
um problema ou executar uma tarefa.
Embora voc no perceba, utiliza algoritmos de forma intuitiva e automtica diaria-
mente quando executa tarefas comuns. Como estas atividades so simples e dispen-
sam ficar pensando nas instrues necessrias para faz-las, o algoritmo presente
nelas acaba passando despercebido. (Fonte: http://www.tecmundo.com.br/programa-
cao/2082-o-que-e-algoritmo-.htm, consultado em 04/04/13)

52 captulo 2
 CONEXO
Dica de filme biogrfico que fala sobre criptografia: UMA MENTE BRILHANTE (A Beautiful Mind).

2.6 Chave Criptogrfica

Uma chave criptogrfica um valor secreto que modifica um algoritmo de en-
criptao. A fechadura da porta da frente da sua casa tem uma srie de pinos.
Cada um desses pinos possui mltiplas posies possveis. como quando al-
gum coloca a chave na fechadura. Ou seja, cada um dos pinos movido para
uma posio especfica. Se as posies ditadas pela chave so as de que a fe-
chadura precisa para ser aberta, ela abre; caso contrrio, no (Fonte: http://por-
talwebrs.com.br/gerenc5ad6r/upload_arquivos/Apostila%20Informatica%20
Instrumental%20I.pdf, p. 25, consultado em 24/04/2013)

2.7 Aspectos relevantes da Criptografia

A criptografia essencial para a troca de informaes atravs da internet, mas mes-

mo com tanta segurana, ela jamais ser capaz de garantir absoluta integridade do
contedo. Sempre vo existir pessoas capazes de desenvolver tcnicas para quebrar
estas chaves, por este motivo que novas tcnicas so criadas a cada dia e as exis-
tentes aperfeioadas (Fonte: http://olhardigital.uol.com.br/negocios/central_de_vi-
deos/o-que-e-criptografia, consultado em 26/04/2013)

Todos ns utilizamos a criptografia e, s vezes, sem nos darmos conta de que

a estamos utilizando. Diante disto, importante ressaltar alguns aspectos sobre
as desvantagens da utilizao da criptografia, uma vez que no h como previnir
que um intruso:
Apague todos os seus dados, estando eles criptografados ou no;
Modifique o programa para modificar a chave. Deste modo, o receptor
no conseguir decriptografar com sua chave original;
Acesse o seu arquivo antes de ele ser criptografado.

captulo 2 53
 As tcnicas de criptografia oferecem seis tipos de servios bsicos, sem os quais no
possvel realizar o comrcio eletrnico seguro atravs da Internet, so eles:
1. Disponibilidade: garante que uma informao estar disponvel para acesso no
momento desejado;
2. Integridade: garante que o contedo da mensagem no seja alterado;;
3. Controle de Acesso: garante que o contedo da mensagem somente ser acessa-
do por pessoas autorizadas;
4. Autenticidade da origem: garante a identidade de quem est enviado a mensagem;
5. No repudiao: previne que algum negue o envio/recebimento de
uma mensagem;
6. Privacidade (confidencialidade ou sigilo): impede que pessoas no autorizadas te-
nham acesso ao contedo da mensagem, garantindo que apenas a origem e o destino
tenham conhecimento (Fonte: http://www.training.com.br/lpmaia/pub_seg_cripto.htm,
consultado em 26/04/2013)

Levando-se em considerao, a ttulo de exemplo, uma compra realizada

atravs da Internet, podemos detectar a demanda por todos estes servios nas
etapas do processo de compra virtual.
Ainda sobre as transaes realizadas atravs da Internet, apesar de terem
ganhado o gosto do pblico, alguns clientes ainda se sentem inseguros e des-
confortveis/com medo de realizarem compras online, temendo pela privaci-
dade de seus dados.

Na criptografia assimtrica inserida no processo de assinatura digital, utilizado

primeiro a chave privada, pelo emissor da assinatura, o qual estar executando o
algoritmo de ciframento, mas com o objetivo de assinar o documento, e no cifr-lo.
Posteriormente, qualquer usurio que deseje verificar a autenticidade da assinatura
digital em questo, ir processar o algoritmo de deciframento, mas com o objetivo de
verificar a assinatura digital, e no de decifrar o documento.
Portanto, a criptografia assimtrica permite a utilizao das chaves nos dois sentidos
(RIBEIRO et al 2010, p. 88)

54 captulo 2
 A assinatura e a certificao digital sero subsequentemente detalhadas.

2.8 Assinatura Digital

De acordo com o portal eletrnico da Justia Federal, http://www.jf.jus.br/cjf, a
Assinatura Digital uma tecnologia que permite dar garantia de integridade e
autenticidade a arquivos eletrnicos. um conjunto de operaes criptogrfi-
cas aplicadas a um determinado arquivo, tendo como resultado o que se con-
vencionou chamar de assinatura digital.
A Assinatura Digital permite comprovar:
1. Que a mensagem ou arquivo no foi alterado; e
2. Que foi assinado pela entidade ou pessoa que possui a chave criptogr-
fica (chave privada) utilizada na assinatura.

A Assinatura digital proporciona, eletronicamente, o no repdio e a auten-

ticao dos dados.

Alm de estar relacionada a uma entidade emissora, uma assinatura digital se relacio-
na transao em questo, sendo nica para cada transao realizada pelo emissor e
tendo sempre um prazo de validade determinado.
Para possibilitar a utilizao de assinaturas digitais em transaes comerciais e gover-
namentais, foi criada e aperfeioada ao longo do tempo, uma Infraestrutura de Chaves
Pblicas (ICP), envolvendo padronizaes, normas, procedimentos, orientaes e leis.
Envolvem ainda rgos como Autoridades Registradoras (AR), Autoridades Certifi-
cadoras (AC) e outros. A Certisign, maior empresa brasileira em tecnologia com foco
exclusivo nas solues que utilizam Certificao Digital, explica aos usurios, entre
outros detalhes, que no h necessidade de se processar a assinatura digital da
mensagem completa. Para tornar o custo de tempo de processamento da assinatura
digital eficiente, ela gerada a partir do valor de hash da mensagem.
A certificao digital certifica a autenticidade da assinatura digital combinando aspec-
tos tecnolgicos e jurdicos. Ela vem sendo utilizada no Brasil para atribuir valor legal a
documentos eletrnicos e para garantir sua eficcia probatria.

captulo 2 55
 Os ambientes de infraestruturas de chaves pblicas precisam estar sob critrios de
segurana rigorosos, desde a Autoridade Certificadora at o usurio do certifica-
do digital.
Nesta viso, uma infraestrutura de chave pblica uma combinao de tecnologia e
processos que vinculam a identidade do titular da chave privada sua respectiva chave
pblica, utilizando a tecnologia assimtrica de criptografia (RIBEIRO et al 2010, p. 85).

Em sntese, a assinatura digital envolve dois processos: o resumo (hash) e

a encriptao deste resumo (hash). Ou seja, primeiramente feito um resumo
da mensagem atravs de algoritmos. A isto d-se o nome de hash, cujas carac-
tersticas so:

Deve ser impossvel encontrar a mensagem original a partir do hash da mensagem;

O hash deve parecer aleatrio, mesmo que o algoritmo seja conhecido. Uma fun-
o de hash dita forte se a mudana de um bit na mensagem original resultar em um
novo hash totalmente diferente;
Deve ser impossvel encontrar duas mensagens diferentes que levam a um mes-
mo hash.
Aqui cabe uma ressalva: se as mensagens possveis so infinitas, mas o tamanho do
hash fixo, impossvel impedir que mensagens diferentes levem a um mesmo hash.
De fato, isto ocorre. Quando se encontram mensagens diferentes com hashs iguais,
dito que foi encontrada uma coliso de hashes. Um algoritmo onde isso foi obtido
deve ser abandonado.
As funes de hash esto em constante evoluo para evitar que colises sejam
obtidas. Cabe destacar porm que a coliso mais simples de encontrar uma aleatria,
ou seja, obter colises com duas mensagens geradas aleatoriamente, sem significa-
do real. Quando isto ocorre os profissionais de criptografia j ficam atentos, porm
para comprometer de maneira imediata a assinatura digital seria necessrio obter uma
mensagem adulterada que tenha o mesmo hash de uma mensagem original fixa, o
que teoricamente impossvel de ocorrer com os algoritmos existentes hoje. Desta
forma, garante-se a integridade da assinatura (Fonte: http://www.oficinadanet.com.br/
artigo/430/assinatura_digital, consultado em 29/04/2013)

56 captulo 2
 Um hash uma sequncia de bits geradas por um algoritmo, em geral representada em
base hexadecimal, que permite a visualizao em letras e nmeros (0 a 9 e A a F). a
transformao de uma grande quantidade de informaes em uma pequena quantidade.
Essa sequncia busca identificar um arquivo ou informao unicamente. Por exemplo,
uma mensagem de correio eletrnico, uma senha, uma chave criptogrfica ou mesmo
um arquivo. um mtodo para transformar dados de tal forma que o resultado seja
(quase) exclusivo. Alm disso, funes usadas em criptografia garantem que no
possvel a partir de um valor de hash retornar informao original.
Como a sequncia do hash limitada, muitas vezes no passando de 512 bits, exis-
tem colises (sequncias iguais para dados diferentes). Quanto maior for a dificulda-
de de se criarem colises intencionais, melhor o algoritmo.
Fonte: adaptado de http://www.nfp.fazenda.sp.gov.br/inf_tecnicas.shtm. Consul-
tado em: 24/04/2013

Gerado o hash, deve ser feita a criptografia do mesmo (com chave pblica).
O autor/emissor usa sua chave privada para assinar a mensagem e armazenar o
resumo criptografado junto mensagem original (no criptografada).
Aps, um novo resumo gerado, a partir da mensagem armazenada, a fim
de verificar a autenticidade do documento. Este novo resumo analisado e
comparado assinatura digital. No entanto, e para que seja possvel fazer isto,
necessrio descriptografar a assinatura, obtendo o resumo (hash) original.

A histria da Assinatura Digital:

Em 1976, Whitfield Diffie (5/6/1944, matemtico e criptogrfico) e Martin Hellman
(2/10/1945, criptogrfico) descreveram primeiramente a noo de um esquema de
assinatura digital, sem saber exatamente a dimenso que representaria aquilo.
Apenas mais tarde, Ronald Rivest, Adi Shamir, e Len Adleman (sendo os dois pri-
meiros criptgrafos e o ultimo cientista de computadores alm de bilogo molecular)
inventaram o algoritmo RSA (que deriva das inicias de seus respectivos nomes) que
poderia ser usado para assinaturas digitais primitivas.
O primeiro pacote de software amplamente comercializado a oferecer a assinatura di-
gital foi o Lotus Notes 1.0 (sistema cliente-servidor de trabalho colaborativo e e-mail,
concebido pela Lotus Software do IBM Software Group), em 1989, que usava o
algoritmo RSA.

captulo 2 57
 Desde ento, j havia sido notado que este esquema bsico no era muito seguro.
Como preveno, aplicava-se primeiro uma funo de criptografia hash para a mensa-
gem e aps o algoritmo RSA ao resultado.
Outros esquemas de assinatura digital foram logo desenvolvidos depois do RSA, o
mais antigo sendo as assinaturas de Lamport, de Merkle (tambm conhecidas como
rvores de Hash) e as de Rabin.
Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaram-se os primeiros
a rigorosamente definir os requerimentos de segurana de esquemas de assinatura
digital. Eles descreveram uma hierarquia de modelos de ataque para esquemas de
assinatura, e tambm apresentaram o esquema de assinatura GMR, o primeiro que
podia se prevenir at mesmo de uma forja existencial contra um ataque de mensa-
gem escolhida.
Disponvel em: http://pt.wikipedia.org/wiki/Assinatura_digital. Acesso em
24/04/2013

2.9 Certificao Digital

Garantir a segurana com a proteo das informaes dos sistemas corporati-
vos deve ser a preocupao constante de uma empresa, visando a assegurar que
estas no sejam acessadas por terceiros no autorizados ou corrompidas por
estarem suscetveis s aes de vrus provenientes do sistema interno de men-
sagens ou pela internet, que podem resultar em prejuzos devastadores para a
organizao. Assim como as empresas, pessoas comuns tambm prezam pelo
sigilo de suas informaes pessoais e das armazenadas em seu computador.
Segundo o CERT ( Centro de Estudos, Respostas e Tratamento de Incidentes de
Segurana no Brasil), foram comunicados cerca de 300.000 ataques seguran-
a da informao, de janeiro a junho de 2009, e boa parte destes incidentes est
ligada a aes de cibercriminosos para capturar dados de internautas, como
nmeros de carto de crdito, senhas bancrias e de informaes trocadas atra-
vs de redes sociais, seja verbalmente ou por escrito em salas de bate-papo e
outras redes.

58 captulo 2
 A Internet e o mundo digital nos proporcionam acesso ilimitado a qualquer
tipo de informao, trazendo facilidades na comunicao entre pessoas e insti-
tuies. Em contraste, ainda h margem para a insegurana, pois, por exemplo,
como garantir que quem est realizando uma compra virtual realmente quem
afirma ser? Ou seja, o anonimato nas transaes virtuais gera probabilidade de
risco de segurana das informaes que esto sendo acessadas.

Com o crescimento da demanda em segurana de transaes comerciais que ocor-

rem por intermdio de redes eletrnicas, pblicas ou privadas, a certificao digital
desponta como tecnologia que fornece confiabilidade e segurana para usurios
e que, com outrastecnologias, utilizada como instrumento para estabelecer um
adequado fluxo de informaes e regulamentaes na comunicao entre empresas
e sociedade.
A Certificao Digital foi criada justamente para solucionar preocupaes relacionadas
segurana e proteo na Internet. Com o objetivo de combater a fraude e os crimes
digitais, inclusive o pishing (roubo da identidade), os certificados garantem a identifi-
cao do autor de uma transao, mensagem, documento, e asseguram que nenhuma
informao foi alterada, garantindo a sua integridade (RIBEIRO et al 2010, p. 83).

Mais detalhadamente, a Certsign expe que a Certificao Digital

proporciona:

Controle de acesso a aplicativos e assinatura eletrnica de documentos, atravs

de identificao e de comprovao segura da identidade em questo;
Garantia de autenticidade do documento ou mensagem;
Validade jurdica dos documentos assinados impossibilitando o repdio autoria e
ainda; e
Possibilidade de sigilo e privacidade fazendo com que apenas o servidor ou desti-
natrio de uma mensagem interprete corretamente a informao (Fonte: http://www.
certisign.com.br/certificacaodigital, consultado em 01/03/2012)

captulo 2 59
 A Certificao Digital garante a autenticidade das informaes trafegadas
na rede virtual. Algumas de suas aplicaes envolvem as transaes na utiliza-
o de: NF-e, e-CPF e e-CNPJ; no IRPF (Imposto de Renda de Pessoa Fsica), IRPJ
(Imposto de Renda de Pessoa Jurdica) etc. Nestes casos, utilizada a ICP-Brasil
(Infraestrutura de Chaves Pblicas Brasileira).

O Certificado Digital uma credencial que identifica uma entidade, seja ela empresa,
pessoa fsica, mquina, aplicao ou site na web. Um documento eletrnico seguro
permite ao usurio se comunicar e efetuar transaes na internet de forma mais
rpida, sigilosa e com validade jurdica.
Os Certificados Digitais so compostos por um par de chaves (Chave Pblica e Priva-
da) e a assinatura de uma terceira parte confivel a Autoridade Certificadora AC.
As Autoridades Certificadoras emitem, suspendem, renovam ou revogam certificados,
vinculando pares de chaves criptogrficas ao respectivo titular. Essas entidades de-
vem ser supervisionadas e submeter-se regulamentao e fiscalizao de organis-
mos tcnicos (Fonte: http://hotsite.certisign.com.br/conectividadesocial/certificado-
digital.html, consultado em 29/04/2013)

Para que a certificao digital garanta integridade, autenticidade, confiden-

cialidade e no repdio das informaes assinadas, por meio eletrnico, ne-
cessrio que uma terceira parte ou uma estrutura de mediao ateste e emita
os certificados necessrios. No Brasil, essa infraestrutura governamental a
Infraestrutura de Chaves Pblicas Brasileira, ICP-Brasil, sendo ela que estabe-
lece o sistema de certificao digital governamental que se relaciona com as
empresas (Government to Business- G2B) e com o cidado (Governmemt to
Citizen - G2C).

O processo da Assinatura e Certificao Digital

A funo hash realiza o mapeamento de uma sequencia de bits (todo arquivo digital
uma sequencia de bits) de tamanho arbitrrio para uma sequncia de bits de tamanho
fixo, menor. O resultado chamado de hash do arquivo. Os algoritmos da funo hash
foram desenvolvidos de tal forma que seja muito difcil encontrar duas mensagens
produzindo o mesmo resultado hash (resistncia coliso) e que, a partir do hash,
seja impossvel reproduzir a sequncia que o originou.

60 captulo 2
 O signatrio de um documento (quem assina o documento) ao aplicar a funo hash
est gerando uma espcie de impresso digital do contedo do documento. Permi-
nindo verificar sua integridade.
O hash ento criptografado com a chave privada do signatrio.
Ao criptografar o hash com sua chave privada o signatrio estar juntando a sua
prpria impresso digital, isto , ele gerou o hash para garantir a integridade do do-
cumento e o critpgrafa com a chave privada, para gar\ntir a autoria, ou autenticidade
do documento.
Nesse momento o "pacote" composto de: original + assinatura digital
(hash criptografado).
Para completar o "pacote", finalmente, o certificado digital do signatrio agregado.
Agregar o certificado ao pacote, "autentica a assinatura", uma vez que o certificado
permite verificar a identidade do signatrio.
O certificado permite a imediata verificao da assinatura digital.
Primeiramente analisamos o certificado para verificar a identidade do autor da assina-
tura. (lembrando que o certificado digital assinado por uma AUTORIDADE CERTIFI-
CADORA, que identificou o titular do certificado)
Utilizamos a chave pblica que ele contm para descriptografar o hash, que havia sido
criptografado com a chave privada do signatrio.
Se for possvel realizar essa operao est comprovada a autenticidade (autoria)
do arquivo.
O proprio certificado digital um arquivo assinado digitalmente, por uma Autorida-
de Certificadora, que denominada como o 3 elemento de confiana, isto um
elemento externo em quem os envolvidos no processo ( signatrio e destinatrio da
mensagem ou arquivo) confiam.
Fonte: http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que
-e-assinatura-digital. Consultado em 24/04/2013).

2.10 O processo da assinatura e certificao

digital

Uma ICP (Infraestrutura de Chave Pblica) tem a finalidade de regulamentar,

com efeito jurdico/valor legal, a certificao das assinaturas digitais.

captulo 2 61
 A ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira) foi instituda pela Medida Provi-
sria 2.200-2, de 24 de agosto de 2001, que cria o Comit Gestor da ICP-Brasil, a Autorida-
de Certificadora Raiz Brasileira e define as demais entidades que compem sua estrutura.
A partir dessa Medida Provisria, foram elaborados os regulamentos que regem as
atividades das entidades integrantes da Infraestrutura de Chaves Pblicas Brasilei-
ra: Resolues do Comit Gestor da ICP-Brasil, as Instrues Normativas e outros
documentos (Fonte: http://www.praticacertificacao.com.br/site/content/institucional/
icpbrasil.php, consultado em 29/04/2013)

A ICP-Brasil controlada pelo Instituto Nacional de Tecnologia da Informao, o ITI

que a autoridade certificadora raiz (primeira autoridade da cadeia de certificao
brasileira AC Raiz), uma autarquia federal vinculada casa Civil da Presidncia da
Repblica que tem como funo credenciar as Autoridades Certificadoras (ACs) e as
Autoridades Registradoras (ARs) por meio de superviso e auditorias. A ICP-Brasil
responsvel pelo conjunto de tcnicas, prticas e procedimentos a serem implemen-
tados pelas organizaes, com o objetivo de estabelecer os fundamentos tcnicos e
metodolgicos de um sistema de certificao digital baseado em chaves pblicas
Fonte: Ribeiro et al (2010)

CONEXO
Assista ao vdeo institucional apresentando a estrutura do Instituto de Tecnologia da Informa-
o pela Certificao Digital no Brasil: http://www.youtube.com/watch?v=4c0vaDrkIDU&-
feature=channel_page.

ATIVIDADES
01. Sobre o Ciclo de Vida da Informao, leia as asseres e assinale a alternativa correta.
I. O descarte ocorre no momento em que a informao no mais til;
II. Documentos com valor histrico permanente podem ser descartados quando se julgar
que deles no so mais teis;

62 captulo 2
III. Documentos com valor legal podem ser descartados, porm obedecendo aos prazos
determinados em lei.
a) Somente a assero I est correta.
b) Somente a assero II est correta.
c) As asseres I e III esto corretas.
d) As asseres II e III esto corretas.
e) Somente a assero III est correta.

02. Sobre os tipos de vulnerabilidades, leia as asseres e assinale a alternativa correta.

I. Vulnerabilidades Naturais so, por exemplo: pessoas no autorizadas transitando no local;
II. Vulnerabilidades de Hardware englobam, por exemplo: a falta de atualizaes dos pro-
gramas e equipamentos no dimensionados corretamente;
III. Vulnerabilidades de Software englobam, por exemplo: aplicativos com configuraes ou
instalaes inadequadas.
a) Somente a assero I est correta.
b) Somente a assero II est correta.
c) Somente a assero III est correta.
d) As asseres I e II esto corretas.
e) As asseres II e III esto corretas.

REFLEXO
Este foi um captulo um tanto complexo.
Compreendemos o Ciclo de Vida da Informao e exploramos as vulnerabilidades acer-
ca da segurana das informaes organizacionais. Sobre este aspecto aprofundamos mais
ainda abordando mecanismos de segurana. Ou seja, vimos todo o processo de crifagem/
codificao de uma mensagem, importncia e aplicao. Alm disto, aprendemos a diferen-
ciar e detectar a aplicao da assinatura e certificao digital.

LEITURA
Aps todo aprendizado tido no decorrer deste captulo, voc deve estar se questionando
quem o rgo regulamentador dos certificados e assinaturas digitais. Pois bem, vamos
conhecer mais sobre este assunto subsequentemente.

captulo 2 63
 A Medida Provisria n 2.200-1, de 27 de julho de 2001, reeditada pela MPv n 2.200-
2 de 2001, institui a Infraestrutura de Chaves Pblicas Brasileiras ICP Brasil e d outras
providncias. Quanto ao Comit Gestor da ICP Brasil, a referida Medida Provisria institui:

[...]
Art. 5o Compete ao Comit Gestor da ICP-Brasil:
I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da
ICP-Brasil;
II - estabelecer a poltica, os critrios e as normas tcnicas para licenciamento das AC
(Autoridade Certificadora), das AR (Autoridade de Registro) e dos demais prestado-
res de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao;
III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz;
IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio;
V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de
certificados e regras operacionais das AC e das AR e definir nveis da cadeia
de certificao;
VI - aprovar polticas de certificados e regras operacionais, licenciar e autorizar o
funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspon-
dente certificado;
VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de
certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras
formas de cooperao internacional, certificar, quando for o caso, sua compatibilidade
com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e
VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para
a ICP-Brasil, garantir sua compatibilidade e promover a atualizao tecnolgica do
sistema e a sua conformidade com as polticas de segurana.
[...]
(Fonte: http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-1.htm,
consultado em 29/04/2013)

O decreto 3.872 de 18/07/2001 estabelece as competncias e composio do CG-ICP.

Pelas leis brasileiras em vigor, toda AC deve utilizar-se de chave RSA de comprimento de
no mnimo 2048 bits, devendo este valor ser revisto periodicamente, de acordo com as novas
definies publicadas pelo CG ICP-Brasil (Comit Gestor da ICP-Brasil).

64 captulo 2
 A fim de garantir a segurana da infraestrutura de chaves pblicas, h a necessidade
de cuidados na distribuio dos pares de chaves (pblica e privada), evitando assim
ataques como o ataque MITM (Man-In-The-Middle / Ataque por Homem ao Meio).
Neste tipo de ataque, o invasor interage entre duas partes que estejam se comunican-
do, sem que nenhuma das partes perceba o que est ocorrendo.
Suponha que um adversrio obtenha um par de chaves (pblica/privada) para utilizar
no ataque e que, de alguma forma, ele consiga trocar a chave pblica de A pela sua.
O adversrio passa a monitorar a linha de comunicao. Quando um criptograma for
enviado para A, o adversrio intercepta o canal tendo acesso ao criptograma e no
deixa que ele chegue ao destinatrio A. O adversrio decifra o criptograma, altera a
mensagem conforme sua convenincia e a envia para A com a chave pblica correta
de A, de forma que A consiga abrir a mensagem. Da mesma forma, quando A enviar
uma assinatura digital, o adversrio intercepta a mensagem enviada e a substitui por
outra que ele cria conforme sua convenincia e divulga como se fosse assinada por A.
Para evitar esse tipo de ataque, as ACs operam como uma terceira parte confivel,
certificando a validade do par de chaves no momento da sua criao. Outra neces-
sidade tcnica para a segurana em assinaturas digitais a utilizao de algum
esquema de codificao, que processe algum tipo de codificao na mensagem que
ser assinada, tornando-a pseudoaleatria e evitando, assim, possveis ataques por
mensagem escolhida (PEREIRA, 2009, p. 79)

REFERNCIAS BIBLIOGRFICAS
ALBERTIN, A. L. Comrcio Eletrnico: seus aspectos de segurana e privacidade. Revista de
Administrao, verso 38, n 2, p. 49-61, 1998.
CASTILHO, J. O Ciclo de Vida da Informao. Revista Sade Business, disponvel em: http://
saudebusiness.com/noticias/o-ciclo-de-vida-da-informacao/ , 7 de maio de 2013.
CERT. Centro de estudos, resposta e tratamento de incidentes de segurana no Brasil. URL:
<http://www.cert.br/>. Acessado em 01/03/2012.
CERTISIGN. Site institucional. Certificao digital. URL: <http://www.certisign.com.br/
certificacaodigital>. Acessado em 01/03/2012.
ICP-Brasil. Infraestrutura de chaves pblicas brasileira. URL: <http://www.icpbrasil.gov.br/>.
Acessado em 01/03/2012.
ITI. Instituto Nacional de Tecnologia da Informao. Autoridade certificadora brasileira raiz. URL:
<http://www.iti.gov.br/twiki/bin/view/ITI/Apresentacao>. Acessado em 01/03/2012.

captulo 2 65
KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet (Uma abordagem top-down). So
Paulo: Pearson, 2007.
NAKAMURA, T. E.; GEUS, L. P. Segurana de Redes em Ambientes Cooperativos. So Paulo,
Berkeley, 2002.
MDULO. Curso Bsico de Segurana da Informao (Academia Latino-Americana de Segurana
da Informao). Mdulo Security, 2006.
MOREIRA, J. R. H.; TEIXEIRA, C. S.; TAVARES, C. C.; VERBENA, M. F.; QUINTAO, P. L. Scanners
de Vulnerabilidades Aplicados a Ambientes Organizacionais. Revista Eletrnica da Faculdade
Metodista, n 5, ISSN 19810377, jul/dez, 2008.
MULLER, E. J. O Ciclo de Vida da Informao. Disponvel em: http://www.ezequieljuliano.com.
br/?p=27 , 11 de abril de 2014.
NAKAMURA, E. T.; GEUS, L. P. Segurana de Redes em Ambientes Cooperativos. So Paulo:
Novatec, 2007.
NASCIMENTO, N. J. Ameaas e Vulnerabilidades da Informao. Como Precaver. Disponvel em:
http://www.portaleducacao.com.br/educacao/artigos/48819/ameacas-e-vulnerabilidades-da-
informacao-como-precaver , Publicado em 5 de julho de 2013.
NEIVA, D. Gesto Inteligente de Dados e o Ciclo de Vida da Informao. Disponvel em: http://
www.baguete.com.br/artigos/893/daniel-neiva/16/09/2010/gestao-inteligente-de-dados-e-o-ciclo-
de-vida-da-informacao , Publicado em 16 de setembro de 2010.
PEREIRA, S. R. O sistema criptogrfico de chaves pblicas RSA. Dissertao apresentada
Universidade Catlica de Santos, UNISANTOS. 2008.
SANTOS, B. R. Deteco de Intrusos Utilizando o Snort. Computao da Universidade Federal de
Lavras, Graduao Latu Sensu em Administrao de Rede Linux, 2005.
SILVA, L. G. C.; SILVA, P. C.; BATISTA, E. M.; HOMOLKA, H. O.; AQUINO, I. J. S.; LIMA, M. F.
Certificao digital: conceitos e aplicaes, modelos brasileiro e australiano. 1. ed. So Paulo:
Editora Cincia Moderna, 2008.
STALLINGS, W. Criptografia e segurana de redes. 4 edio Ed. Prentice Hall, 2007.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. Risk Management Guide for Information Technology
Systems. Gaithersburg: NIST - National Institute of Standards and Technology. Disponvel em:
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, julho, 2002.
VOLPI, M. M. Assinatura digital: aspectos tcnicos, prticos e legais. Rio de Janeiro: Axcel Books
do Brasil, 2001.
WADLOW, Thomas A. Segurana de redes: projeto e gerenciamento de redes seguras. Traduo:
Fbio Freitas da Silva. Rio de Janeiro: Campus, 2000.

66 captulo 2
 3
Ameaas
e Ataques
Segurana das
Informaes
Ol, pessoal. Neste terceiro captulo conheceremos a distino entre ameaas
e ataques segurana da informao. Da mesma forma, fazeremos um deta-
lhamento de ambos, de forma a conhecer alguns aspectos muito importantes.
Isto as faz necessrio porque muito comum haver a confuso entre estes dois
conceitos, como se fossem sinnimos.
Alm disso, importante ressaltar que muitas organizaes acabam se
equivocando em estabelecer polticas de segurana das informaes (tanto dos
dados armazenados localmente no servidor da organizao quanto daqueles
trafegados atravs da Internet). Ou seja, notamos que muitas organizaes es-
tabelecem polticas de segurana sem conhecer detalhadamente as ameaas e
os ataques (internos e externos).
Ento vamos juntos!

OBJETIVOS
Nossos objetivos sero:
Conhecer o conceito de ameaas;
Conhecer os principais tipos de ameaas;
Conhecer o conceito de ataques;
Conhecer os principais tipos de ataques.

68 captulo 3
3.1 Introduo
O uso de sistemas de informaes e redes mudou de maneira drstica com o
advento da internet. Atualmente, infraestruturas crticas so suportas sobre
a internet como o gerenciamento de energia, sistemas de transporte, coorde-
nao de finanas etc. Isso influencia diretamente a maneira como as compa-
nhias realizam negcios, como os governos disponibilizam seus servios aos
cidados e como as pessoas trocam informaes e se comunicam. Tudo isto
influi na natureza da informao trocada.
A quantidade de dispositivos com conexes always on (sempre conecta-
dos) tambm aumentou significativamente. Assim, houve um aumento da in-
terconectividade, e os sistemas de informaes e redes tendem a ficar expostos
cada vez mais a um maior nmero de ameaas e vulnerabilidades.
As questes relativas segurana de informaes no se aplicam apenas a
sistemas informatizados. No entanto, a informatizao trouxe novas questes
a serem discutidas. Se voltssemos cerca de um sculo (ou um pouco mais) no
tempo e verificssemos como era a segurana de sistemas bancrios, percebe-
ramos que voc precisaria invadir fisicamente um banco para roub-lo. Hoje,
isto no necessrio. Atacantes do mundo todo podem tentar burlar a segu-
rana em sistemas bancrios, pois estes sistemas esto conectados internet.
necessrio discutir questes novas sobre segurana e formar uma cultu-
ra de segurana.
Os armrios e as fechaduras para arquivos confidenciais hoje so digitais.

A informao um ativo que, como qualquer outro relevante para o negcio, possui
valor para a organizao e necessita ser adequadamente protegido. Alm disso, as
dependncias dos sistemas de informao e servios, as tendncias e evolues tec-
nolgicas da computao, as interconexes de redes pblicas e privadas e o compar-
tilhamento de recursos expem as organizaes s mais variadas fontes de ameaas:
fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo, inundao, blackouts,
cdigos maliciosos, hackers, entre outras.
Para grande parte das organizaes, a informao e a tecnologia associada represen-
tam ativos valiosos. As organizaes bem-sucedidas utilizam a tecnologia da informa-
o para dirigem e agregarem valores aos seus negcios. Estas empresas, em virtude
de atenderem regulamentaes e da dependncia de seus processos com a da
tecnologia da informao, reconhecem a necessidade de gerir os riscos associados.

captulo 3 69
 A segurana da informao protege a informao contra ameaas no intuito de
garantir a continuidade, minimizar os danos e maximizar os investimentos e oportuni-
dades do negcio. A segurana da informao obtida pela utilizao de controles:
polticas, prticas, procedimento, estruturas organizacionais e infraestruturas de har-
dware e software. caracterizada pela preservao da confidencialidade, integridade
e disponibilidade da informao, e visa preservar a competitividade, o faturamento, a
lucratividade, o atendimento aos requisitos legais e a imagem da organizao (GON-
ALVES, 2008, p. 11).

Ou seja, quando nos referimos ao tema segurana da informao, im-

prescindvel tambm abordar a gesto/anlise de riscos, ameaas e ataques,
uma vez que novas situaes estaro sempre surgindo para vulnerabilizar a
segurana. Especificamente abordando a Gesto de Riscos, trataremos de tal
assunto no prximo captulo.
Existem trs fontes principais, conforme explicitado pelas normas da ABNT
(2008), para que uma organizao identifique seus requisitos de segurana:
A primeira o conjunto de princpios, objetivos e necessidades para o
processamento da informao que uma organizao tem de desenvolver para
apoiar suas operaes;
A segunda a legislao vigente, os estatutos, as regulamentaes e as
clusulas contratuais que a organizao, seus parceiros, contratados e presta-
dores de servio tm de atender;
As duas anteriores so utilizadas como referncias para desenvolver a
principal fonte de requisitos de segurana, que derivada da avaliao de riscos,
processo responsvel por identificar as ameaas aos ativos, as vulnerabilidades
com suas respectivas probabilidades de ocorrncia e os impactos ao negcio.

Ou seja, entende-se a necessidade e importncia de estabelecer polticas de

segurana das informaes trafegadas na rede. No entanto, deve-se primeiro
detectar, analisar e atacar os riscos e ameaas organizacionais, a fim de se
estabelecer uma poltica de segurana coerente e eficaz.

70 captulo 3
 O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante para os negcios,
tem um valor para a organizao e conseqentemente necessita ser adequadamente
protegida. A segurana da informao protege a informao de diversos tipos de
ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios
e maximizar o retorno dos investimentos e as oportunidades de negcio.
A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios
eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apre-
sentada ou o meio atravs do qual a informao compartilhada ou armazenada,
recomendado que ela seja sempre protegida adequadamente.
Fonte: http://artigos.netsaber.com.br/resumo_artigo_16364/artigo_sobre_segu-
ran%C3%87a_da_informa%C3%87%C3%83o>. Acessado em 06/07/2015

3.2 Ameaas Segurana das Informaes

De acordo com Shirey (2000), uma ameaa potencial para a violao da
segurana quando h uma circunstncia, capacidade, ao ou evento que pode
quebrar a segurana e causar danos. Ou seja, uma ameaa um possvel perigo
que pode explorar uma vulnerabilidade.

Ameaa: palavra, ato, gesto pelos quais se exprime a vontade que se tem de fazer
mal a algum, sinal, manifestao que leva a acreditar na possibilidade de ocorrer
alguma coisa.
Sinnimos de Ameaa: advertncia, bravata, cominao, intimao e prenncio.
Fonte: Dicionrio Online Portugus

Ameaas organizacionais so situaes externas, pertencentes ao tempo

atual ou futuras que, se no eliminadas, minimizadas ou evitadas pela empre-
sa, podem (ou podero) afet-la negativamente.

captulo 3 71
 No Livro A Arte da Guerra, o autor Zun Tsu afirma: Se conhecemos o ini-
migo (ambiente externo) e a ns mesmos (ambiente interno), no precisamos
temer o resultado de uma centena de combates. Se nos conhecemos, mas no
ao inimigo, para cada vitria sofreremos uma derrota. Se no nos conhecemos
nem ao inimigo, sucumbiremos em todas as batalhas.
De acordo com dados publicados pelo CNASI Congresso de Segurana da
Informao, Auditoria e Governana TIC (2013), as ameaas segurana de
uma organizao esto relacionadas com a perda de uma (ou mais) das suas
trs caractersticas principais:

Perda da Integridade: que acontece quando certa informao fica exposta ao

manuseio de uma pessoa no autorizada, que acaba por efetuar alteraes no apro-
vadas e sem o controle, provado ou corporativo do proprietrio da informao;
Perda de confidencialidade: ocorre quando h uma quebra de sigilo de uma
determinada informao, como a senha de um usurio ou administrador, por exemplo,
que permite que informaes restritas, que deveriam estar acessveis apenas para um
determinado grupo de usurios, fiquem expostas;
Perda de disponibilidade: que acontece quando a informao deixa de estar
acessvel, justamente, por quem necessita dela. o caso que ocorre com a perda de
comunicao com um sistema importante para a empresa, que pode acontecer com
a queda de um servidor, de uma aplicao crtica de negcio, que pode apresentar
uma falha, devido a um erro causado por motivo interno ou externo ao equipamento
(CNASI, 2013).

No que tange s ameaas a rede de computadores ou sistemas, ainda de

acordo com o CNASI (2013), estas podem vir atravs de agentes maliciosos, tais
como os crakers. A fonte de motivao para este tipo de quebra de cdigo pode
ser oriunda de diversos fatores, a exemplo: notoriedade, vingana, dinheiro etc.
Importante fazermos uma pausa antes de continuarmos a detalhar o as-
sunto, pois comum encontramos os termos hackers e crakers (dentro outros).
Vejamos a explicao no box a seguir.

72 captulo 3
"Hacker" e "cracker" podem ser palavras parecidas, mas possuem significados
bastante opostos no mundo da tecnologia. De uma forma geral, hackers so indiv-
duos que elaboram e modificam softwares e hardwares de computadores,
seja desenvolvendo funcionalidades novas ou adaptando as antigas. J cracker o
termo usado para designar quem pratica a quebra (ou cracking) de um sistema
de segurana.
Na prtica, os dois termos servem para conotar pessoas que tm habilidades com
computadores, porm cada um dos "grupos" usa essas habilidades de formas bem
diferentes. Os hackers utilizam todo o seu conhecimento para melhorar soft-
wares de forma legal e nunca invadem um sistema com o intuito de causar
danos. No entanto, os crackers tm como prtica a quebra da segurana de
um software e usam seu conhecimento de forma ilegal, portanto so vistos
como criminosos.
As denominaes foram criadas para que leigos, e especialmente a mdia, no
confundissem os dois grupos. Apesar de os termos serem mundialmente conhecidos,
chamar alguns de bons e outros de maus no agrada a todos. H quem acre-
dite que tanto o hacker quanto o cracker so habilidosos e podem fazer as mes-
mas coisas.
Os termos mais corretos so os usados dentro da tica hacker: White Hat (Chapu
Branco), Black Hat (Chapu Preto) e Gray Hat (Chapu Cinza). Os hackers "Cha-
pu Branco" so pessoas interessadas em segurana e, na maioria das vezes, usam
suas habilidades a favor das empresas, sendo 100% ticos em suas aes. So eles
que ocupam os cargos de analista de sistema, especialista em TI ou outros empregos
na rea de informtica.
J os hackers "Chapu Preto" so criminosos e, normalmente, especializados em
invases maliciosas de sites. Os hackers "Chapu Cinza" tm as intenes de um
Chapu Branco, mas suas aes so eticamente questionveis.
Apesar dessa contradio dentro do prprio cenrio de profissionais da segurana,
ainda muitos programadores aceitam os termos hacker e cracker como definies
corretas. Diversos Fruns sobre programao, blogs de tecnologia, sites como Wiki-
pedia e at dicionrios conceituam os hackers como profissionais do bem e crackers
como criminosos.
Disponvel em: http://olhardigital.uol.com.br/noticia/qual-a-diferenca-entrehacker
-e-cracker/38024>. Acesso em: 03/10/2013

captulo 3 73
3.3 Principais Tipos de Ameaas
Existem vrios tipos de ameaas segurana das informaes nas organiza-
es. Neste item iremos conhecer algumas delas.

3.3.1 Cdigos Maliciosos (Malware)

Cdigos maliciosos (malware), de acordo com dados divulgados pelo Comit

Gestor da Internet no Brasil CGI.br (2012), so programas especificamen-
te desenvolvidos para executar aes danosas e atividades maliciosas em um
computador.

O termo "malware" proveniente do ingls "malicious software" ("software malicio-

so mal-intencionado"); um software destinado a infiltrar-se em um sistema de com-
putador alheio de forma ilcita, com o intuito de causar alguns danos, alteraes ou
roubo de informaes (confidenciais ou no). Ele pode aparecer na forma de cdigo
executvel, scripts de contedo ativo, e outros softwares."Malware" um termo geral
utilizado para se referir a uma variedade de formas de software hostil ou intruso.
Fonte: https://pt.wikipedia.org/wiki/Malware

Dentre as diversas formas que estas aes danosas e atividades maliciosas

podem ocorrer, ainda de acordo com o CGI.br (2012), temos:
Explorar vulnerabilidades j existentes nos programas instalados;
Autoexecutar mdias, tais como um pen drive, infectadas;
Acessar pginas virtuais suspeitas atravs de navegadores vulnerveis;
Sofrer ao direta de atacantes que realizam um ataque inserindo arqui-
vos com cdigos maliciosos no computador;
Executar arquivos infectados anexados a, por exemplo, mensa-
gens eletrnicas.

Aps instalados no computador, estes cdigos maliciosos passam a ter

acesso ao dados ali armazenados, podendo executar aes como se fossem
o usurio.
Mas o que motiva isto acontecer? Dentre diversos outros fatores, um atacan-
te elabora e alastra cdigos maliciosos para:

74 captulo 3
 Obter vantagens financeiras;
Obter informaes confidenciais para realizar, por exemplo, chantagem;
Autopromoo;
Vandalismo.

A seguir, iremos conhecer os principais tipos de cdigos maliciosos.

3.3.1.1 Vrus
Vrus so programas elaborados especificamente para alterar nocivamente
softwares instalados em um computador.

Vrus um programa ou parte de um programa de computador, normalmente mali-

cioso, que se propaga inserindo cpias de si mesmo e se tornando parte de outros
programas e arquivos. Para que se possa tornar ativo e dar continuidade ao processo
de infeco, o vrus depende da execuo do programa ou arquivo hospedeiro, ou
seja, para que seu computador seja infectado preciso que um programa j infectado
seja executado. CGI.br (2012, p. 24)

Para facilitar o entendimento, vamos fazer um comparativo com o vrus

(doena) que nos acomete. Estes vrus multiplicam-se, mas precisam de um
hospedeiro. Eles aguardam o momento certo para efetuar o ataque escondem-
-se para no serem prontamente exterminados. De acerta forma, assim tam-
bm ocorre com os vrus de computadores.
Antigamente, o principal meio de propagao dos vrus era atravs dos dis-
quetes. Com o passar o tempo, e o desuso destes, comearam a surgir novos
meios de propagao, como por exemplo do envio de e-mails e tambm pelo
uso de pen drives infectados.

Este pequeno dispositivo um acessrio prtico e fcil de usar, compatvel com prati-
camente qualquer sistema.
Tecnicamente o pendrive um dispositivo porttil de armazenamento com memria flash,
acessvel atravs da porta USB. Sua capacidade varia de modelo para modelo, mas os pen-
drives mais atuais j passam dos gigabytes de memria. Por ser pequeno e ter uma gran-
de capacidade, ele j marcou a morte dos velhos e saudosos disquetes de 3,5 polegadas.

captulo 3 75
 Os CDs at tentaram substituir os discos flexveis, mas sua portabilidade e praticidade no
maior que a dos pendrives. No h hoje nenhuma mdia porttil to rpida na gravao e
leitura dos dados, como com os pendrives, o que os tornou populares muito rapidamente.

CURIOSIDADE
O termo pendrive, apesar de ser em ingls, no utilizado nessa lngua. Os pases falantes
da lngua inglesa utilizam o termo USB Flash Drive. Pendrive pode ter sido o nome escolhido
por alguns pases pelo fato de os primeiros dispositivos portteis com memria flash terem
sido criados com aparncia que lembrava uma caneta (pen em ingls). Outra possibilidade
a de que estes acessrios so to pequenos que podem ser considerados at mesmo mais
prticos de carregar que uma caneta comum.
Disponvel em: adaptado de: http://www.tecmundo.com.br/pendrive/844-o-que-e-pen-
drive-.htm>. Acesso em: 30/08/2008. Adaptado.

Existem diferentes tipos de vrus:

Os que ficam ocultos infectando arquivos armazenados no disco rgido
do computador, alm de tambm executarem atividades sem que o usurio
tome conhecimento;
Os que ficam inativos por um perodo e, aps, executam uma srie de ati-
vidades sem que o usurio tome conhecimento;
Ou ento, aqueles que ficam inativos por um perodo e acionam sua ativi-
dade em datas especficas.

Conforme publicado pelo CGI.br (2012, p. 24), alguns dos tipos de vrus
mais comuns so:

recebido como um arquivo anexado ao e-mail cujo

contedo induz o usurio a execut-lo. Ao fazer isto, o
VRUS PROPAGADO vrus infecta arquivos e programas e replica cpias de
ATRAVS DO E-MAIL si mesmo para os contatos de e-mails armazenados
no computador infectado;

76 captulo 3
 escrito em linguagem como VBScript e JavaScript por
exemplo, e recebido ao acessar uma pgina Web ou
VRUS DE SCRIPT por e-mail, como um arquivo anexo ou como parte do
prprio e-mail escrito em formato HTML;

tipo especfico de vrus de script, escrito em linguagem

de macro, que tenta infectar arquivos manipulados
VRUS DE MACRO por aplicativos que utilizam esta linguagem, como, por
exemplo, os que compem o Microsoft Office (Word,
Excel, Power Point etc.);

se propaga de celular a celular por meio da tecnologia

Bluetooth ou de mensagens multimdia. Esta infeco
ocorre quando um usurio permite o recebimento do
VRUS DE arquivo infectado e o executa em seu celular. Aps
SMARTPHONE infectar o aparelho, o vrus pode destruir, sobrescrever
arquivos, remover contatos, drenar a carga de bateria,
se propagar a outros celulares etc.

3.3.1.2 Worm
Worm pode ser confundido com o vrus, pois ele tambm capaz de se pro-
pagar automaticamente pelas redes, emitindo cpias de si mesmo para ou-
tros computadores. Entretanto, o que o diferencia de um vrus, de acordo com
o CGI.br (2012), que o Worm executa diretamente suas cpias ou explora
automaticamente as vulnerabilidades existentes em programas instalados
em computadores.
Em funo de consumirem muitos recursos, os Worm acabam afetando o
desempenho de uma rede e, consequentemente, os computadores a ela ligados.
O processo de propagao e infeco de um Worm ocorre da seguinte for-
ma, de acordo com o CGI.br (2012, p. 25):

captulo 3 77
 1. Identificao dos computadores alvos: aps infectar um computador, o Worm ten-
ta se propagar e continuar o processo de infeco. Para tanto, necessita identificar os
computadores alvos para os quais tentar se copiar, o que pode ser feito da seguin-
te forma:
Efetuar varredura na rede e identificar computadores ativos;
Aguardar que outros computadores contatem o computador infectado;
Utilizar listas, predefinidas ou obtidas na Internet, contendo a identificao
dos alvos;
Utilizar informaes contidas no computador infectado, como arquivos de
configurao e listas de endereos de e-mail.

2. Envio das cpias: aps identificar os alvos, o Worm efetua cpias de si mesmo e
tenta envi-las para estes computadores, por uma ou mais das seguintes formas:
Como parte da explorao de vulnerabilidades existentes em programas ins-
talados no computador alvo;
Anexadas a e-mail;
Via canais de IRC (Internet Relay Chat);
Via programas de troca compartilhadas em redes locais ou do tipo P2P (Peer
to Peer).

3. Ativao das cpias: aps realizado o envio da cpia, o Worm necessita ser exe-
cutado para que a infeco ocorra, o que pode acontecer de uma ou mais das seguin-
tes maneiras:
Imediatamente aps ter sido transmitido, pela explorao de vulnerabilidades
em programas que esto sendo executados no computador alvo no momento do
recebimento da cpia;
Diretamente pelo usurio, pela execuo de uma das cpias enviadas ao seu
computador;
Pela realizao de uma ao especfica do usurio qual o Worm est con-
dicionado, como, por exemplo, a insero de uma mdia removvel.

4. Reincio do processo: aps o alvo ser infectado, o processo de propagao e infec-

o recomea, sendo que, a partir de agora, o computador que antes era o alvo agora
passa a ser tambm o computador originador dos ataques.

78 captulo 3
3.3.1.3 Bot e Botnets
O Bot um programa (software) que permite que o computador infectado seja
controlado remotamente por um operador, sem que isto seja percebido. Este
tipo de controle pode ser feito, por exemplo, via IRC (Internet Relay Chat).

O IRC (Internet Relay Chat) um protocolo utilizado na Internet como troca de arqui-
vos e de informaes.
O modo de comunicao e canais do IRC a conversao de um canal, no qual os
usurios enviam mensagens ao servidor que as reenvia a todos do mesmo canal.
O IRC pode ser utilizado para execuo de Botnets, onde o usurio lana o chamado
Spam a milhares de computadores.
Disponvel em: http://www.infoescola.com/internet/internet-relay-chat-irc/

O processo de infeco e propagao de um bot semelhante ao do Worm

(ou seja propagao automtica).
Ao se comunicar, de acordo com o CGI.br (2012), o invasor pode enviar ins-
trues para que aes maliciosas sejam executadas, como, por exemplo, des-
ferir ataques, furtar dados do computador infectado, enviar spam, etc.
Ao computador infectado por um bot, d-se o nome de zumbi, em funo de
ele poder ser controlado remotamente, sem que isto seja percebido.
J o termo Botnet utilizado para descrever uma rede composta por milha-
res de computadores zumbis. Nesta rede, aes maliciosas so executadas pe-
los bots, dentre as quais:
Negao de servios;
Propagao de outros cdigos maliciosos;
Coleta de informaes dos computadores da rede;
Envio de spam.

A seguir, o CGI.br (2012, p. 26) descreve o funcionamento bsico de

uma botnet:

1. Um atacante propaga um tipo especfico de bot na esperana de infectar e conse-

guir a maior quantidade possvel de zumbis;
2. Os zumbis ficam disposio do atacante, agora seu controlador, espera dos
comandos a serem executados;

captulo 3 79
 3. Quando o controlador deseja que uma ao seja realizada, ele envia aos zumbis
comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servido-
res centralizados;
4. Os zumbis executam ento os comandos recebidos, durante o perodo predetermi-
nado pelo controlados;
5. Quando a ao se encerra, os zumbis voltam a ficar espera dos prximos coman-
dos a serem executados.

3.3.1.4 - Spyware
Spyware, de acordo com o CGI.br (2012), um programa cuja finalidade mo-
nitorar as atividades de um determinado sistema e enviar as informaes cole-
tadas para terceiros.
Ainda de acordo com o CGI.br (2012), o Spyware tem uso malicioso quan-
do executa aes que comprometem a privacidade do usurio e a segurana do
computador, como, por exemplo: monitorar e capturar informaes de navega-
o do usurio, login e senhas.
Alguns exemplos de tipos de programas spywares so:

KEYLOGGER captura e armazena teclas digitadas pelo usurio;

armazena a tela apresentada pelo monitor de vdeo e a res-

SCREENLOGGER pectiva posio do cursor nela (muito usado para capturar
posies do cursor em sites de Internet Banking);

projetado para apresentar propagandas (com fins legtimos

ADWARE ou maliciosos).

3.3.1.5 Cavalo de Troia (Trojan)

Cavalo de Troia ou Trojan um programa que executa funes maliciosas. Ge-
ralmente ele vem dentro de outros programas que o usurio precisa executar
em seu computador para que funcionem (a exemplo: cartes virtuais, jogos etc).
Alm disso, podem ser instalados no computador sem o consentimento de seu
dono por atacantes invasores.

80 captulo 3
 De acordo com classificao divulgada pelo CGI.br (2012, p. 29), h diferen-
tes tipos de trojans:

TROJAN Instala outros cdigos maliciosos, obtidos de sites na

DOWNLOADER Internet;

Instala outros cdigos maliciosos, embutidos no prprio

TROJAN DROPPER cdigo do trojan;

Inclui backdoors, possibilitando o acesso remoto do

TROJAN BACKDOOR atacante ao computador;

Instala ferramentas de negao de servio e as utiliza

TROJAN DOS para desferir ataques;

TROJAN Altera/apaga arquivos e diretrios, formata o disco

DESTRUTIVO rgido e pode deixar o computador fora de operao;

Redireciona a navegao do usurio para sites espe-

TROJAN CLIKER cficos com o objetivo de aumentar a quantidade de
acessos a estes sites ou apresentar propagandas;

Instala um servidor de Proxy, possibilitando que o com-

TROJAN PROXY putador seja utilizado para navegao annima e para
envio de spam;

Instala programas spywares e os utiliza para coletar

TROJAN SPY informaes sensveis, como senhas e nmeros de
carto de crdito, e envi-las ao atacante;

captulo 3 81
 Coleta dados bancrios do usurio, atravs da instala-
o de programas spywares que so ativados quando
TROJAN BANKER sites de Internet Banking so acessados. similar ao
trojan spy, mas com objetivos mais especficos.

Ou seja, os Trojans, independentemente o tipo, so de forma geral progra-

mas maliciosos que executam aes no autorizadas pelo dono do computa-
dor, as quais podem englobar: modificao, cpia, eliminao, bloqueio de da-
dos e interferncia no desempenho dos computadores.
Diferentemente dos outros tipos de malwares, os trojans no tm a capaci-
dade de se autorreproduzir.

3.4 Ataques Segurana das Informaes

At o presente momento, abordamos as ameaas segurana das informaes.
Vamos a partir de agora aprofundar um pouco mais o assunto e tratar dos as-
pectos relacionados aos ataques.
No entanto, para darmos prosseguimento, vamos fazer uma breve distino
entre ameaas e ataques, de acordo com Shirey (2000):

potencial para a violao da segurana quando h

uma circunstncia, capacidade, ao ou evento que
AMEAA pode quebrar a segurana e causar danos. Ou seja,
uma ameaa um possvel perigo que pode explorar
uma vulnerabilidade;

derivado de uma ameaa inteligente, uma tentativa de

burlar os servios de segurana e violar as polticas
ATAQUE de segurana de um sistema usando um mtodo ou
tcnica com eficincia e eficcia considerveis.

82 captulo 3
 LEITURA
Agora que definimos, embora sucintamente, o conceito de ataque a segurana da informa-
o, vamos acompanhar juntos a leitura de trechos de um artigo cujo ttulo : Segurana da
Informao: Internet sobre maior ataque da histria, publicado em 28 de maro de 2013 (o
artigo na ntegra est disponvel atravs do link: http://www.marcosassi.com.br/seguranca-
da-informacao-internet-sofre-maior-ataque-da-historia)

A internet ficou lenta por causa de um massivo ataque de negao de servio a ser-
vidores em diversos pases. Segundo o noticirio britnico BBC, o ataque afetou servios
populares, como a Netflix.
A BBC diz que o problema comeou com uma briga entre o Spamhaus, grupo europeu
de combate ao spam, e a Cyberbunker, empresa holandesa de servios de data center. O
Spamhaus incluiu servidores da Cyberbunker numa lista de emissores de spam. A lista
usada pelos programas antispam para filtrar os e-mails.
O grupo diz que a empresa est por trs dos ataques, que teriam sido lanados em re-
taliao ao bloqueio. No site da Cyberbunker, h uma nota acusando a Spamhaus de incluir
a empresa na lista de bloqueio indevidamente.
A tcnica usada pelos criminosos a de negao de servio. Para realizar um ataque
desse tipo, primeiro um grande nmero de computadores so infectados com um programa
maligno que permite control-los a distncia. Depois, esses computadores zumbis so usa-
dos para inundar os servidores-alvo com solicitaes de dados.
A sobrecarga acaba impedindo o funcionamento dos servidores e da rede qual esto
ligados. Em geral, um ataque desse tipo envia algumas dezenas de gigabytes por segundo
ao servidor-alvo, o que suficiente para derrub-lo. Mas, no caso do Spamhaus, o fluxo
chega a 300 gigabytes por segundo, volume capaz de congestionar a internet.
Os ataques vm sendo realizados em seguidas ondas. O alvo principal so os 80 ser-
vidores de DNS do Spamhaus espalhados por diversos pases. Esse tipo de servidor traduz
endereos como abril.com.br para um cdigo numrico conhecido como endereo IP. Isso
necessrio para que cada pacote de dados encontre seu destino.

Aps a leitura do texto e, independentemente dos reais culpados do ataque, pudemos ter
um pequeno exemplo de ataque que burlou o sistema de segurana da empresa Spamhaus
de forma eficiente e eficaz.

captulo 3 83
3.5 Principais Tipos de Ataques
Os ataques so divididos entre Passivos e Ativos:

1. Ataques Passivos
Bisbilhotar ou monitorar transmisses.
Obter informaes que esto sendo transmitidas.
Conversa telefnica, mensagem de e-mail, arquivo transferi-
do, podem ter informaes importantes ou confidenciais.

Darth
L o contedo da mensagem
de Bob para Alice

Internet ou outra instalao

Bob de comunicao Alice

Figura 3.4 Monitoramento de transmisses. Fonte: (STALLINGS, 2008).

Anlise de Trfego
Mais sutil.
Se for possvel disfarar o contedo das mensagens, mesmo
que esta seja captada, no seria possvel extrair as informaes
de cara.

84 captulo 3
 Darth Observa padro das
mensagens de Bob para Alice

Internet ou outra instalao

Bob de comunicao Alice

Figura 3.5 Anlise de trfego. Fonte: (STALLINGS, 2008).

 Medida de segurana: impedir que algum descubra o conte-

do destas.
Tcnica mais comum a criptografia.
O intruso poderia olhar o padro dessas mensagens.
Tambm poderia determinar o local e a identidade dos hos-
pedeiros da comunicao.
O intruso poderia observar a frequncia e tamanho das
mensagens trocadas.
Descobrir a natureza da comunicao.
Ataques passivos so difceis de detectar.
No h alterao nos dados.
O trfego de mensagens ocorre num padro aparentemen-
te normal.
Nem emissor nem receptor esto cientes de que um terceiro
leu as mensagens ou observou o padro de trfego.
vivel impedir este tipo de ataque.
Foco na preveno, e no na deteco.

2. Ataques ativos
Envolvem modificao no fluxo de dados ou criao de um fluxo fal-
so (4 tipos).
Disfarce
Entidade finge ser outra.

captulo 3 85
 Inclui uma das outras formas de ataque ativo (normalmente).

Darth Mensagem de Darth

que parece ser de Bob

Internet ou outra instalao

Bob de comunicao Alice

Figura 3.6 Ataques ativos. Fonte: (STALLINGS, 2008).

Repetio
Captura passiva de uma unidade de dados e subsequente transmisso para
produzir um efeito no autorizado.

Darth Captura mensagem de Bob para

Alice, mais tarde, repassa a
mensagem para Alice

Internet ou outra instalao

Bob de comunicao Alice

Figura 3.7 Ataques por repetio. Fonte: (STALLINGS, 2008).

86 captulo 3
 Modificao de Mensagens
Alguma parte de uma mensagem legtima foi alterada.
Mensagens foram adiadas ou reordenadas para produzir um efeito
no autorizado.

Permita que Darth Permita que Alice

leia contas de arquivos leia contas de arquivos
confidenciais confidenciais
Darth

Internet ou outra instalao

Bob de comunicao Alice

Figura 3.8 Modificao de mensagens. Fonte: Adaptado de (STALLINGS, 2008).

Negao de servio
Impede ou inibe o uso ou gerenciamento normal das instalaes
de comunicao.
Ataque pode ter um alvo especfico.

Darth rompe o servio

fornecido pelo servidor

Darth

Bob
X
Internet ou outra instalao
de comunicao Alice

Figura 3.9 Negao de servio. Fonte: Adaptado de (STALLINGS, 2008).

captulo 3 87
 Medidas de segurana
Devido grande quantidade de vulnerabilidades, muito di-
fcil de impedir ataques ativos.
Foco na deteco de ataques ativos e recuperao de inter-
rupes ou atrasos.

Deteco pode ter efeito intimidador

Caractersticas opostas dos ataques passivos.
Ajuda na preveno.
Agora que j sabemos mais sobre os ataques a sistemas com-
putacionais, vamos ler um texto sobre o assunto e depois conti-
nuaremos falando mais sobre segurana.

Leia o texto abaixo extrado de (OBRIEN, 2004)

Visa: estratgias para o controle da segurana global

Um dos maiores sistemas financeiros do mundo, a Visa Internacional, Inc.,

est escondido num inexpressivo edifcio prximo de Washington, D.C. A Visa
se empenha em manter sigilo em relao ao endereo em que se encontra. Seu
nome no est indicado no prdio em que se localiza e terminantemente
proibido a qualquer reprter revelar o endereo da empresa. O centro de dados
secreto uma fortaleza de concreto prova de terremotos e fogo, com portas
que pesam mais de 2.200 quilos e um poro cheio de equipamentos de recupe-
rao, possuindo janelas falsas para torn-lo semelhante a qualquer um das
centenas de edifcios comerciais existentes na regio. Isso pode ser considera-
do paranoia? No quando voc considera os riscos. Cinco minutos para uma
parada de manuteno no sistema de processamento mundial da Visa, chama-
do de VisaNet, bloquearia US$ 55 milhes em transaes de pagamentos, se-
gundo clculos da Foster City, uma empresa estabelecida na Califrnia.
No h algo como 99,9% de confiabilidade; esta deve ser de 100%, diz
Richard L. Knight, vice-presidente snior para operaes na Inovant, Inc., sub-
sidiria da Visa que opera seus centros de dados. Algo menos que 100% e eu
estarei procurando um novo emprego. Em 12 anos, a companhia esteve 98
minutos parada para manuteno. A Visa trava uma batalha contra as falhas
e defeitos em duas mpias frentes: sua instalao fsica de processamento

88 captulo 3
protegida por diversas camadas de repetio e de cpias; e o departamento de
TI da companhia criou software de teste para os equipamentos. H mais de l bi-
lho de cartes especiais de pagamento Visa em todo o mundo, movimentando
US$2 trilhes anuais em transaes para 23 milhes de comerciantes e caixas
automticos e 21 mil membros de instituies financeiras da Visa. Operamos
a maior mquina de pagamentos do mundo, diz Sara Garrison, vice-presiden-
te snior para desenvolvimento de sistemas da Visa, na Califrnia.Durante o
tempo que se leva para tomar um cafezinho, movimentamos o equivalente a
todo o movimento de todos os mercados de valores do mundo durante 24 ho-
ras. Nossa velocidade cresce de 20 a 30% a cada ano, dobrando a cada trs anos.
A Visa tem quatro centros principais de processamento para controlar tal
carga, mas a instalao de Washington a maior, passando por ali a metade
das transaes de pagamento de todo o mundo. Apesar de dividir o movimento
com um outro centro em San Mateo, na Califrnia, caso ocorra algum proble-
ma, tem capacidade de receber instantaneamente todas as transaes.
Realmente, tudo na infraestrutura de processamento da Visa desde todos
os centros de dados at os computadores, processadores individuais e chaves
de comunicaes tem uma cpia. At mesmo as cpias possuem uma cpia.
Por exemplo, o centro de Washington tem em revezamento quatro unidades de
suprimento contnuo de energia (apenas trs so necessrios) dirigidas pelo
servio local e apoiadas por um grupo de baterias e quatro geradores de fora
movidos a diesel de l megawatt. Os 100 mil litros de diesel armazenados no lo-
cal so suficientes para abastecer o centro durante uma semana. As unidades
de suprimento contnuo de energia protegem o centro de possveis flutuaes
de energia. A instalao tem capacidade de refrigerao suficiente para forne-
cer ar-condicionado a 300 casas.
Calcula-se que os oito mainframes da IBM no centro de dados de Washington
possam processar 3.000 MIPS (milhes de instrues por segundo). Juntos, no
mundo todo, um poder de processamento de 7.000 MTPS pode realizar 10.000
autorizaes de pagamentos de transaes por segundo. A rede da Visa, uma
das maiores redes particulares do mundo, possui cerca de 14,5 milhes de qui-
lmetros de fios de cobre e de fibra tica, e cada cliente Visa tem duas rotas na
empresa por meio de canais comerciais.
O centro de processamento da rea de Washington da Visa abriga 50 mi-
lhes de linhas de cdigo em cerca de 300 aplicativos. Suas principais fun-
es compreendem:

captulo 3 89
 esse sistema on-line com base em mainframes IBM
movimenta um pedido de carto de pagamento partin-
SISTEMA DE do do proprietrio do carto, passando pelo comercian-
AUTORIZAO te, indo ao banco, seguindo para o emissor do carto e
retornando ao comerciante;

SISTEMA DE esse sistema conjunto de mainframes funciona toda

PAGAMENTO E noite e liquida as contas entre comerciantes, bancos de
COMPENSAO comerciantes e emissores do carto;

esse sistema on-line atua em servidores da Sun

SISTEMA DE Microsystems e usa redes nervosas e algoritmos de
DESCOBERTA DE reconhecimento de padres para procurar fraudes em
FRAUDES cada operao de pagamento;

essa imensa instalao de armazenamento com-

posta de 18 silos da StorageTechnology Corp. e uma
biblioteca de fitas com 250.000 volumes que conser-
DATAWAREHOUSE vam durante sete anos os valores dos histricos das
transaes. H um crescimento de 250TB de dados a
cada ms.

Embora todas essas cpias e protees contribuam para as superconfiveis

operaes da Visa, elas so apenas parte da histria. A cada vero, bem antes do
momento de pico da poca de processamento, a Visa realiza um teste completo
de tenso, no valor de US$ l bilho, no Centro de Escalabilidade e Desempenho
da IBM, em Gaithersburg, Maryland, onde a IBM possui um poder de processa-
mento de 14.000 MIPS. Os testes poupam meses de anlises de pr-requisitos,
planejamento e testes nas prprias instalaes da Visa.
Tambm temos falhas naquele ponto, diz MikeWolfson, vice-presidente
snior de engenharia na Inovant. Assim, embora estejamos processando 5.000
mensagens por segundo, paramos um controlador de armazenamento e nos
asseguramos de que o sistema no perde o ritmo. Esse tipo de teste completo

90 captulo 3
de volume que a Visa no tem capacidade de realizar internamente tem
sido muito vlido. Por exemplo, vrios aplicativos que rodavam perfeitamente
na produo com cargas de pico, falharam quando a carga de teste foi aumen-
tada para se ajustar a volumes projetados para a estao de frias seguinte
diz Wolfson.

ATIVIDADES
01. Existem trs fontes principais para que uma organizao identifique seus requisitos de
segurana. Sobre esta afirmao, leia as asseres e assinale a alternativa correta.
I. A primeira fonte um conjunto de princpios, objetivos e necessidades para o processa-
mento da informao;
II. A segunda fonte a legislao vigente, os estatutos, as regulamentaes e as clusu-
las contratuais;
III. As duas primeiras fontes so utilizadas como referncias para desenvolver a principal
fonte de requisitos de segurana, que derivada da avaliao de riscos.

a) Somente a assero I est correta.

b) Somente a assero II est correta.
c) Somente a assero III est correta.
d) As asseres I e II esto corretas.
e) As asseres I, II e III esto corretas.

02. As ameaas segurana de uma organizao esto sempre relacionadas com a perda
de uma ou mais das seguintes caractersticas, as quais:
I. Perda de integridade.
II. Perda de confidencialidade.
III. Perda de performance.

a) Est correta somente a assero I.

b) Est correta somente a assero II.
c) Est correta somente a assero III.
d) Esto corretas somente as asseres I e II.
e) Esto corretas somente as asseres II e III.

captulo 3 91
03. Sobre os tipos de vrus, leia as asseres e assinale a alternativa que preenche correta-
mente e respectivamente as sentenas abaixo:
I. _______________ recebido como um arquivo anexado ao e-mail cujo contedo induz o
usurio a execut-lo;
II. _______________ escrito em linguagem como VBScript e JavaScript, por exemplo, e
recebido ao acessar uma pgina Web ou por e-mail, como um arquivo anexo ou como parte
do proprio e-mail escrito em formato HTML;
III. _______________ tipo especfico de vrus de script, escrito em linguagem de macro, que
tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem;
IV. _______________ se propaga de celular a celular por meio da tecnologia Bluetooth ou
de mensagens multimdia.

a) Vrus de script; Vrus propagado atravs de e-mail; Vrus de macro; Vrus de Smartphone.
b) Vrus propagado atravs de e-mail; Vrus de script; Vrus de macro; Vrus de Smartphone.
c) Vrus propagado atravs de e-mail; Vrus de macro; Vrus de script; Vrus de Smartphone.
d) Vrus de Smartphone; Vrus propagado atravs de e-mail; Vrus de script; Vrus de macro.
e) Vrus de Smartphone; Vrus de script; Vrus de macro; Vrus propagado atravs de e-mail.

REFLEXO
Neste captulo conhecemos as diferenas entre ameaas e ataques segurana
das informaes.
Detalhadamente conhecemos cada um destes conceitos e seus diferentes tipos.
O importante a enfatizarmos que a organizao deve trabalhar permanentemente de
forma preventiva e no corretiva (quando os ataques j tiverem sido concretizados).
Falamos permanentemente porque, a cada dia, novos tipos de ameaas podem surgir,
e a organizao deve estar preparada para lidar com isso.

LEITURA
Recomendamos a leitura da reportagem: Malware de Android simula desligar o aparelho
para espionar os seus dados, publicada no site: http://www.tecmundo.com.br/malware/
75333-malware-android-simula-desligar-aparelho-espionar-dados.htm , em 21 de fevereiro
de 2015.

92 captulo 3
 Acompanhemo-na subsequentemente:
A AVG descobriu um novo malware para Android. Batizado de PowerOffHijack, ele ex-
plora uma vulnerabilidade se aproveitando do momento em que o usurio desliga o aparelho
para espionar informaes do dispositivo.
Ao ser instalado, o vrus exige permisses root para efetuar alteraes no sistema.
Quando o smartphone est prestes a ser desativado, o PowerOffHijack simula o processo
de desligar o dispositivo, mostrando a animao caracterstica e apagando a tela, porm faz
com que o sistema continue funcionando.
O malware ento aproveita o momento para obter suas fotos, efetuar ligaes, enviar
mensagens e acessar qualquer dado que esteja guardado no aparelho sem notificar o usu-
rio. Um verdadeiro pesadelo para qualquer pessoa preocupada com segurana e privacidade.

Focos de infeco
Segundo a AVG, o PowerOffHijack atingiu mais de 10 mil dispositivos, a maioria na Chi-
na, onde o aplicativo apareceu inicialmente atravs das app stores locais. O malware pode
afetar dispositivos com Android 4.4 ou anterior.
Os antivrus mais recentes da AVG conseguem detectar a infeco, mas a recomen-
dao da empresa que os usurios retirem a bateria do smartphone quando quiserem ter
certeza de que o aparelho est desligado.
Porm, a dica principal sempre ficar de olho no que instala, especialmente em lojas de
aplicativos no oficiais.

Conforme pudemos acompanhar atravs da leitura supracitada, devemos sempre estar

atentos procedncia dos aplicativos instalados em nossos smartphones (e outros apare-
lhos eletrnicos como: tablets, notebooks, ipads etc.).
No entanto, devemos tambm estar cientes de que, embora haja antivrus, a cada dia no-
vos vrus iro surgir e, at que se atualize um antivrus para que ele passe a detectar e sanar
o problema, muitos danos podem ser causados.
A medida mais segura, portanto, sempre ser a preveno, que, neste caso, implica em
averiguar a procedncia do aplicativo e/ou arquivo antes de baix-lo e instal-lo.

captulo 3 93
 REFERNCIAS BIBLIOGRFICAS
ABNT. ABNT NBR ISO/EIC 27005:2008 : Tecnologia da Informao: Tcnicas de Segurana:
Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008.
CGI.br (Comit Gestor da Internet no Brasil). Cartilha de Segurana para Internet. ISBN: 978-85-
60062-54-6, verso 4.0, 2 Edio, So Paulo, 2012.
CNASI (Congresso de Segurana da Informao, Auditoria e Governana TIC). Ameaas
Segurana da Informao de uma Corporao. Publicado em: http://www.cnasi.com.br/ameacas-
a-seguranca-da-informacao-de-uma-corporacao/, 28 de novembro de 2013.
GONALVES, A. J. Metodologias de Gerenciamento de Riscos em Sistemas de Tecnologia
da Informao e Comunicao abordagem prtica para conscientizao e implantao nas
organizaes. Trabalho de Concluso de Curso de Especializao em Tecnologias, Gerncia e
Segurana de Redes de Computadores, Universidade Federal do Rio Grande do Sul, dezembro, 2008.
SHIREY, R. Internet Security Glossary. Networking Working Group. Disponvel em: http://www.ietf.
org/rfc/rfc2828.txt , acessado em 06/07/2015, publicado em 2000.

94 captulo 3
 4
Gesto de Riscos
em Segurana da
Informao
Ol, pessoal. Agora que j falamos sobre as vulnerabilidades, ameaas e ata-
ques segurana das informaes organizacionais, neste terceiro captulo ire-
mos falar sobre os riscos.
Vale enfatizar, j nesta apresentao de captulo, que devemos estar cientes
de que, por mais que a gesto de riscos seja feita de forma correta, estes podem
ser minimizados, mas nunca extintos.
Vamos conhecer mais sobre este assunto? Vamos juntos!

OBJETIVOS
Nossos objetivos sero:
Conhecer o conceito de Risco Organizacional;
Conhecer a Gesto de Riscos;
Conhecer as Etapas da Gesto de Riscos;
Conhecer medidas de segurana para riscos organizacionais.

96 captulo 4
4.1 Introduo
Os termos risco e ameaas organizacionais so situaes externas, pertencen-
tes ao tempo atual ou futuras, que, se no eliminadas, minimizadas ou evitadas
pela empresa, podem (ou podero) afet-la negativamente.
No Livro A Arte da Guerra, o autor Zun Tsu coloca: Se conhecemos o ini-
migo (ambiente externo) e a ns mesmos (ambiente interno), no precisamos
temer o resultado de uma centena de combates. Se nos conhecemos, mas no
ao inimigo, para cada vitria sofreremos uma derrota. Se no nos conhecemos
nem ao inimigo, sucumbiremos em todas as batalhas.

Ameaa: palavra, ato, gesto pelos quais se exprime a vontade que se tem de fazer
mal a algum, sinal, manifestao que leva a acreditar na possibilidade de ocorrer
alguma coisa.
Sinnimos de Ameaa: advertncia, bravata, cominao, intimao e prenncio.
Fonte: Dicionrio Online Portugus

J o termo risco, segundo o Guia de Orientao para Gerenciamento de

Riscos Corporativos, proveniente da palavra risicu ou riscu, em latim, que sig-
nifica ousar (to dare em ingls). De acordo com La Rocque (2007), costuma-se
entender risco como a possibilidade de algo no dar certo, mas seu conceito
atual envolve a quantificao e qualificao da incerteza, tanto no que diz res-
peito s perdas como aos ganhos, com relao ao rumo dos acontecimen-
tos planejados, seja por indivduos, seja por organizaes.
O risco inevitvel. Por exemplo, quando:
Investidores compram aes;
Cirurgies realizam operaes;
Engenheiros projetam pontes;
Empresrios abrem seus negcios;
Polticos concorrem a cargos eletivos etc.

Ou seja, administrar os riscos que sempre iro existir torna-se estratgi-

co e, alm disto, pode vir a se transformar em oportunidades. Portanto, deve-
se transcender o medo aos riscos para saber lidar de forma estratgica com
os riscos.

captulo 4 97
 Na rea de tecnologia da informao e comunicao, risco considerado como o impacto
negativo motivado pela explorao de uma vulnerabilidade, considerando a possibilidade
e o impacto da sua ocorrncia. O processo para identificar, mensurar e planejar passos
para reduzir um determinado risco a nveis aceitveis pela organizao definido como
Gerenciamento de Riscos (STONEBURNER, 2002 apud GONALVES, 2008, p. 15)

Risco o efeito da incerteza nos objetivos.

Um efeito um desvio em relao ao esperado: positivo e/ou negativo;
Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sa-
de e segurana e ambientais) e podem aplicar-se em diferentes nveis (tais como es-
tratgico, em toda a organizao, de projeto, de produto e de processo);
O risco muitas vezes caracterizado pela referncia aos eventos potenciais e s
consequncias, ou uma combinao destes;
O risco muitas vezes expresso em termos de uma combinao de consequn-
cias de um evento (incluindo mudanas nas circunstncias) e a probabilidade de ocor-
rncia associada;
A incerteza o estado, mesmo que parcial, da deficincia das informaes re-
lacionadas a um evento, sua compreenso, conhecimento, sua consequncia
ou probabilidade.
Fonte: norma ISO 31000

Sob a ptica do Planejamento Estratgico, a sobrevivncia e o sucesso da empresa

dependem da sua sintonia com o ambiente.
A dependncia da empresa em relao ao seu ambiente torna vital um esforo per-
manente de monitoramento dos ambientes externo e interno.
Mas estaro as empresas realmente preocupadas em analisar o ambiente? Sobre
este assunto, que tal vermos juntos algumas anlises importantes?
No livro A Administrao em Tempos Turbulentos, o autor Peter Drucker afirma:

98 captulo 4
 Em pocas turbulentas as empresas no podem pressupor que o amanh ser
sempre uma extenso do presente. Pelo contrrio, devem administrar visando mudan-
as que representem oportunidades e ameaas.;
Uma era de turbulncia tambm uma era de grandes oportunidades para aque-
les que compreenderem, aceitarem e explorarem as novas realidades. Os tomadores de
decises devem e enfrentar face a face a realidade e resistirem quilo que todos ns
j conhecemos, a tentao das certezas do passado - certezas que esto prestes a se
tomar as supersties do futuro.;
Mudanas so oportunidades. Podem ser vistas como ameaas por muitos execu-
tivos mas todas precisam ser exploradas como uma oportunidade - para fazer algo de
diferente, algo de novo e, acima de tudo, para fazer algo melhor, algo mais produtivo e
lucrativo. (Disponvel em: http://www.strategia.com.br/Estrategia/estrategia_corpo_ca-
pitulos_analise_ambiente.htm. Acesso em: 20/03/2013)

Ou seja, de acordo com o exposto, quando falamos em riscos e ameaas or-

ganizacionais, imprescindvel conhecer e analisar continuamente o ambien-
te organizacional (tanto interno quanto externo), pois as mudanas ocorrem
e os gestores devem estar preparados para lidar com elas, a fim de manterem
seus negcios competitivos no mercado.

4.2 Contexto dos Riscos

Atualmente, praticamente em todas as organizaes, a segurana da informao

tida como uma rea crtica, tendo em vista, todas as ameaas internas e externas a
confiabilidade das informaes organizacionais.
Uma gesto de Riscos com eficcia proposta, com a principal finalidade de se
identificar tais ameaas que rondam a confiabilidade das informaes e possveis
impactos, em caso de materializao dos riscos, alm de prover uma orientao no
que diz respeito melhor estratgia de medidas a serem tomadas.

captulo 4 99
 Para tanto, altamente recomendado que seja realizada uma analise de riscos orien-
tada aos ativos de informao, com o propsito de determinar quais desses podem
afetar a entrega de um produto ou servio, em caso de violao de sua integridade,
disponibilidade e/ou confidencialidade, podendo vir a causar danos, muitas vezes
irreparveis, organizao (fonte: http://www.tiespecialistas.com.br/2011/12/
seguranca-a-importancia-da-gestao-de-riscos-orientada-a-ativos-de-informacao/#.
UVoJvKLFXTp, consultado em 20/03/2013)

No possvel, portanto, implantar o Gerenciamento de Riscos sem uma

concisa definio dos requisitos do negcio. O ciclo de vida do negcio, tendo
em vista os aspectos de tecnologia, depende de um bom entendimento do pro-
cesso de Gerenciamento de Riscos do Negcio. O estgio de anlise de requi-
sitos e definio de estratgias responsvel por definir como a organizao
reagir a uma interrupo do negcio ou desastre e os custos associados. Esse
estgio tem processos de avaliao de risco e anlise de impacto no negcio,
comuns do ciclo contnuo de gerenciamento de riscos.
Portanto, o gerenciamento de riscos um processo que tem como objetivo
dar subsdios organizao para realizar sua misso institucional, de forma a:
Possibilitar a segurana efetiva dos sistemas de Tecnologias de
Informao e Comunicao, responsveis pelo processamento, armazenagem
e transmisso de dados;
Criar uma base slida para as tomadas de deciso, principalmente no que
se relaciona com execuo coerente do oramento e no investimento em tecno-
logias necessrias para minimizar riscos de impacto ou potencial impacto para
o negcio; e
Permitir aos gestores equilibrarem seus custos de proteo e desempe-
nho dos sistemas de informao vitais para o negcio.

Um fato importante que o processo de gerenciamento de risco no deve

ser considerado apenas na rea de tecnologia da informao e comunicao,
mas, sim, em todas as outras unidades de negcio.

100 captulo 4
 CONEXO
Assista ao vdeo sobre Gesto de Riscos e Incertezas Organizacionais: http://www.youtube.
com/watch?v=XOdH6ZUqvPo.

Risco: probabilidade de uma fonte de ameaa explorar uma vulnerabilidade, resultan-

do em um impacto para a organizao;
Vulnerabilidade: falha ou fraqueza de procedimento, design, implementao, ou
controles internos de um sistema que possa ser acidentalmente ou propositalmente
explorada, resultando em uma brecha de segurana ou violao da poltica de segu-
rana do sistema;
Ameaa: possibilidade de um agente (ou fonte de ameaa) explorar acidentalmente
ou propositalmente uma vulnerabilidade especfica.
Fonte: http://sseguranca.blogspot.com.br/2009/07/risco-vulnerabilidade-amea-
ca-e-impacto.html. Publicado em: janeiro de 2011. Acessado em: 29/07/2015

4.3 A Gesto de Riscos

A gesto de riscos, de acordo com o PMBOK (2008), consiste em processos sis-
temticos de identificao, anlise e avaliao dos riscos e no estabelecimento
de respostas adequadas a eles.
Em funo do monitoramento contnuo do ambiente organizacional exter-
no e interno, a gesto de riscos pode detectar oportunidades e determinar como
aproveit-las. Portanto, o foco minimizar o impacto de potenciais eventos ne-
gativos e obter plena vantagem de oportunidades com vistas a melhoramentos.
O risco tem duas dimenses: a probabilidade de sua ocorrncia e o impac-
to sobre o projeto. Portanto, necessriocompreender dimenses para que se
possa administrar o risco.
Importante ressaltar que dificilmente as chances de um risco podem ser eli-
minadas totalmente sem que o projeto seja reformulado.
Os processos que envolvem a gesto de riscos, de acordo com o PMBOK,
(2008) so:

captulo 4 101
 Planejar o gerenciamento dos riscos: deve ser realizado na concepo do
projeto e ser concludo nas fases iniciais do planejamento do projeto.
O processo de planejamento do gerenciamento dos riscos define como con-
duzir as atividades de gerenciamento dos riscos do projeto. O planejamento cui-
dadoso e explcito aumenta a probabilidade de sucesso para os outros cinco pro-
cessos subsequentes. Este processo importante para garantir que o grau, o tipo
e a visibilidade do gerenciamento dos riscos sejam proporcionais tanto aos riscos
como importncia do projeto para a organizao (PMBOK, 2008, p. 228).
Identificar os riscos: determina os riscos que podem afetar o projeto, bem
como documenta suas caractersticas. Identificar os riscos, conforme expe
PMBOK (2008), um processo iterativo porque novos riscos podem surgir ou
se tornar conhecidos somente o ciclo de vida do projeto. O formato das declara-
es de riscos devem ser consistentes para garantir a capacidade de comparar o
efeito relativo de um evento de risco com outros no projeto;
Realizar a anlise qualitativa dos riscos: de acordo com Kerzner (2004),
Vargas (2005) e PMBOK (2008), prioriza os riscos para anlise ou ao adicional
atravs da avaliao e combinao de sua probabilidade de ocorrncia e impac-
to. Neste aspecto, as organizaes podem aumentar o desempenho do projeto
concentrando-se nos riscos de alta prioridade. A realizao da anlise qualita-
tiva de riscos um meio rpido e econmico de estabelecer as prioridades do
processo de Planejar as Respostas aos Riscos e Define a Base para a realizao
da anlise quantitativa dos riscos, se necessria (PMBOK, 2008);
Realizar a anlise quantitativa dos riscos: analisa numericamente os efei-
tos dos riscos identificados nos objetivos gerais do projeto. Esta anlise rea-
lizada nos riscos que foram priorizados pela anlise anterior (qualitativa). Este
processo, confirme o PMBOK (2008), geralmente segue o da anlise qualitativa
de riscos e deve ser repetido depois de Planejar as respostas aos riscos e tam-
bm como parte do processo de monitorar e controlar os riscos, para determi-
nar se o risco geral do projeto diminuiu satisfatoriamente;

Planejar as respostas aos riscos: de acordo com Valeriano (2001) e PMBOK

(2008), desenvolve opes e aes para aumentar as oportunidades e reduzir as
ameaas aos objetivos do projeto. Alm disto, designada uma pessoa para ser
responsvel por cada resposta ao risco que foi acordada/financiada.

102 captulo 4
 As respostas planejadas, de acordo com o PMBOK (2008), devem ser ade-
quadas relevncia (prioridade) do risco, ter eficcia de custos para atender
ao desafio, ser realistas dentro do contexto do projeto, acordadas por todas as
partes envolvidas e ter um responsvel designado;
Monitorar e controlar os riscos: implementa planos de respostas a riscos,
acompanha os riscos identificados, monitora os riscos residuais, identifica no-
vos riscos e avalia a eficcia do processo de riscos durante todo o projeto. Este
processo utiliza tcnicas que requerem o uso das informaes de desempenho
geradas durante a execuo do projeto. O responsvel pela resposta ao risco in-
forma ao gerente de projetos sobre a eficcia do plano, os efeitos imprevistos e
qualquer correo para tratar o risco de forma adequada. O processo de moni-
torar e controlar os riscos tambm engloba, conforme expem Vargas (2005) e
PMBOK (2008), a atualizao dos ativos de processos organizacionais, incluin-
do os bancos de dados de lies aprendidas e os modelos de gerenciamento dos
riscos do projeto, para benefcio de futuros projetos.

4.4 Anlise/Avaliao dos Riscos

De acordo com Stoneburner et al (2002), a primeira etapa avaliar/dimensionar
os riscos, de forma a determinar a extenso das (potenciais) ameaas e riscos
a elas associados. A resultante desta anlise viabilizar a mitigao de riscos a
fim de identificar meios para controlar e/ou minimizar os riscos.
Stoneburner et al (2002) propuseram alguns passos sequenciais para avaliar
os riscos, os quais:
1. Caracterizao do ambiente;
2. Identificao de ameaas;
3. Identificao de vulnerabilidades;
4. Anlise de controles;
5. Determinao de probabilidades;
6. Anlise de impacto;
7. Definio dos riscos;
8. Recomendaes de controle; e
9. Documentao dos resultados.

captulo 4 103
 O gerenciamento de riscos subordinado a um adequado planejamento de avaliao
de riscos. Falhas no alinhamento, escopo ou na obteno da aceitao da avaliao
reduz a eficcia das prximas fases. Por ser onerosa, a fase de avaliao de riscos re-
clama por investimentos significativos de recursos e tempo e depende da participao
ativa do interessado (DILLARD, 2004 apud GONALVES, 2008, p. 22).
O risco calculado em funo da probabilidade de uma vulnerabilidade ser explorada
por uma ameaa e o resultado do impacto na organizao caso este evento ocor-
ra. Para que se possam determinar as possibilidades de ocorrncia de um evento
adverso, as ameaas devem ser analisadas em conjunto com as potenciais vulnerabi-
lidades e os controles j existentes. O nvel do impacto definido pela sua influncia
no negcio e por sua vez no valor do bem atingido (STONEBURNER et al, 2002 apud
GONALVES, 2008, p. 22).

4.4.1 Caracterizao do Ambiente

Caracterizar o ambiente apoia a identificao dos limites operacionais, compu-

tacionais, de informao etc.

Inventariar os ativos, conhecer seus respectivos valores e importncia ao negcio

assegura proteo de forma efetiva, pois os nveis de cuidado sero proporcionais a
estes parmetros, alm de serem pr-requisitos fundamentais para o gerenciamento
de risco. Exemplos de ativos associados a sistemas, de acordo com as normas ABNT
(2005), so:
Informao: bancos dados, arquivos, documentao de sistemas, manuais de
usurios, material de treinamento, procedimentos de suporte ou operao, planos
de contingncia, procedimentos de recuperao, informaes armazenadas;
Softwares: aplicativos, sistemas, ferramentas de desenvolvimento, e utilitrios;

104 captulo 4
 Hardware: equipamentos computacionais (processadores, monitores, note-
books, discos rgidos, impressoras, storages, autoloaders, nobreaks), ativos de
rede (roteadores, switches), equipamentos de apoio (geradores, condicionadores
de ar, iluminao);
Servios: contratos de apoio ou suporte, contratos de nveis de servio, forne-
cimento de energia eltrica. (GONALVES, 2008, p. 22)

Este levantamento de informaes (caracterizao do ambiente) pode ser

feito atravs de formulrios, questionrios, entrevistas com pessoas-chave,
anlise de documentos histricos, entre outros.

4.4.2 Identificao das Ameaas

Antes de falarmos em identificao das ameaas, importante sabermos dis-

tingui-las. De acordo com Stoneburner et al (2002), elas podem ter origem:
Natural (enchentes, terremotos, tornados, deslizamento de terra, tempes-
tades de raios etc.);
Humana (atos dolosos, negligentes, imperitos ou imprudentes de uso de
programas maliciosos, de acesso a dados sigilosos, de mau uso dos sistemas,
etc.) ou
Ambiental (falta de energia, poluio, substncias qumicas, etc.).
Quando no h vulnerabilidades associadas, a fonte de ameaa no apre-
senta riscos (GONALVES, 2008, p. 23)
aconselhvel manter e atualizar continuamente um histrico (lista) das
ocorrncias de incidentes de segurana na organizao. Isto auxiliar, entre ou-
tros aspectos, a formular as lies aprendidas.

CONEXO
Assista ao vdeo sobre as ameaas que podem invadir seu computador: http://www.youtube.
com/watch?v=xpC2_kx3H50.

captulo 4 105
4.4.3 Identificao de Vulnerabilidades

Aps identificar e listar as ameaas, possvel diagnosticar quo vulnervel ,

ou poder tornar-se, o ambiente.
Vulnerabilidades so falhas ou fraquezas nos processos de segurana, nos proje-
tos, no desenvolvimento ou nos controles internos de um sistema, os quais, se explo-
rados, podem resultar em eventos no desejados. (STONEBURNER et al 2002, p. 15)
Mtodos recomendados para a identificao de vulnerabilidades do sistema en-
globam o uso das fontes de vulnerabilidade, desempenho dos testes de segurana
do sistema e desenvolvimento de uma lista de verificao de requisitos de seguran-
a. Alm disto, e de acordo com a ABNT (2008), outros mtodos proativos englobam:
testes e simulaes, testes de invaso de sistemas, auditorias em cdigos-fonte etc.

4.4.4 Anlise de Controles

Este passo tem como objetivo, segundo as normas da ABNT (2008), avaliar os con-
troles existentes ou planejados para minimizar ou eliminar chances de uma ameaa
explorar determinada vulnerabilidade. Para que se evitem custos e retrabalhos,
conveniente que os controles existentes sejam identificados e avaliados quanto sua a
eficcia. Controles existentes podem ser considerados ineficazes, insuficientes ou no
justificveis, devendo estes serem avaliados quanto a sua substituio ou manuteno
no ambiente (GONALVES, 2008, p. 25)

De acordo com as normas da ABNT (2008), informaes de controles podem

ser obtidas por meio de:
1. Anlise de documentos dos processos de gesto de segurana da infor-
mao, juntamente com seus respectivos responsveis, alm dos responsveis
pelas instalaes, segurana predial ou usurios;
2. Averiguao da efetividade de funcionamento dos controles utilizados.
O produto da anlise de controle uma lista dos utilizados para reduzir a
probabilidade de uma ameaa explorar uma vulnerabilidade ou de reduzir o
dano causado por um evento no desejado.

106 captulo 4
4.4.5 Anlise de Probabilidades

A produo de um ndice que indique as chances de uma vulnerabilidade ser ex-

plorada deriva da capacidade e do estmulo das fontes de ameaas, da natureza da
vulnerabilidade e da existncia e da efetividade de controles existentes.
Probabilidades so ditas altas quando a fonte de ameaa est altamente estimulada,
capaz de exercer a ameaa e no existem controles preventivos, ou se existem no
so efetivos. Probabilidades so ditas mdias quando a fonte de ameaa est motiva-
da, capaz de exercer a ameaa, mas os controles utilizados so efetivos, ou seja, no
permitem o sucesso da fonte de ameaa. E por fim, probabilidades so ditas baixas
quando as fontes de ameaas carecem de motivao e os controles so efetivos na
preveno da explorao da vulnerabilidade (STONEBURNER et al, 2002, p. 21).

Para uma anlise e definio lapidada das vulnerabilidades, conforme nor-

mas da ABNT (2008), sugere-se considerar, entre outros aspectos: experincias
passadas; estatsticas histricas de ocorrncia de ameaas; motivaes e fer-
ramentas disponveis para realizar atos intencionais; fatores climticos e geo-
grficos; provveis situaes que poderiam causar erros humanos e anlise de
quo efetivo so os controles atuais.

4.4.6 Anlise de Impacto

O prximo passo importante na medio do nvel de risco determinar o impacto e o

valor do sistema ou importncia para uma organizao. Antes de iniciar a anlise de
impacto, necessrio obter as seguintes informaes:
Misso do sistema (por exemplo, os processos realizados pelo sistema de TI);
Criticidade do sistema de dados (por exemplo o valor ou importncia do sis-
tema para a organizao);
Sensibilidade dos dados do sistema (STONEBURNER et al, 2002, p. 21).

captulo 4 107
 Ou seja, analisar o impacto visa a determinar o resultado do impacto no ne-
gcio caso uma determinada ameaa obtiver sucesso.

Na ausncia informaes detalhas a respeito da criticidade dos ativos, a avaliao do

impacto nos negcios pode ser realizada tendo como fundamento os requisitos de
segurana atuais e as definies de nvel de impacto dos responsveis pelos ativos.
O impacto adverso de um evento pode ser descrito como a perda e/ou degradao
da integridade, disponibilidade ou confidencialidade da informao. Impactos tangveis
podem ser mensurados quantitativamente utilizando-se uma unidade de medida co-
nhecida, como: perda de desempenhos, custos de manuteno ou tempo gasto para
corrigir problema. Outros, de difcil mensurao, podem ser definidos qualitativamente
como alto, mdio ou baixo impacto, classificados conforme grandeza dos custos pela
perda dos ativos ou recursos, significncia do dano em relao misso ou reputao
da empresa, ou prejuzos a vida humana.
Portanto, as abordagens quantitativa e qualitativa apresentam benefcios e inconve-
nincias que precisam ser consideradas na avaliao de riscos. A organizao deve
optar pelo uso individual ou por combinao de ambas, conforme seus requisitos e
nveis de exigncia (GONALVES, 2008, p. 27)

4.4.7 Definio dos Riscos

A definio dos riscos, de acordo com definies de Stoneburner et al (2002)

apud Gonalves (2008), pode ser explicitada por meio de uma juno de
trs argumentos:
1. A possibilidade de explorao de uma vulnerabilidade;
2. O impacto ao negcio devido ocorrncia de um evento adverso; e
3. Pela efetividade do controles de segurana utilizados para reduzir ou
eliminar riscos.

A seguir, vemos uma tabela que exemplifica os parmetros de probabili-

dade de incidente e no impacto ao negcio, de acordo com as normas ABNT
(2008). Observando o quadro, nota-se a escala crescente desde 0 at 8, em que
respectivamente o nmero menor (zero) corresponde a muito baixo e o n-
mero maior (oito) corresponde a muito alto.

108 captulo 4
 PROBABI-
MUITO BAIXA
LIDADE DO BAIXA MDIA ALTA MUITO ALTA
(MUITO
CENRIO DE (IMPROVVEL) (POSSVEL) (PROVVEL) (FREQUENTE)
IMPROVVEL)
INCIDENTE
Muito Baixo 0 1 2 3 4
Baixo 1 2 3 4 5
IMPACTO NO Mdio 2 3 4 5 6
NEGCIO
Alto 3 4 5 6 7
Muito Alto 4 5 6 7 8

Tabela 4.1 Classificao de Riscos. Fonte: Adaptado de ABNT (2008).

Tendo definido os riscos, conforme quadro supracitado, pode-se clas-

sific-los e prioriz-los conforme seus respectivos nveis de relevncia para
a organizao.

4.4.8 Recomendaes de Controle

Durante este processo, pode-se mitigar ou eliminar os riscos identificados. A

meta das recomendaes de controle reduzir o nvel de risco para o sistema
informatizado e seus dados a um nvel aceitvel.
Neste contexto os seguintes fatores devem ser considerados em recomen-
daes de controle e solues alternativas para minimizar ou eliminar ris-
cos identificados:
Efetividade de opes recomendadas (exemplo: compatibilidade
de sistema);
Legislao e regulamentao;
Poltica organizacional;
Impacto operacional;
Segurana e confiabilidade.

As recomendaes de controle so o resultado do processo de avaliao do

risco e contribuem para o processo de mitigao de risco, durante o qual os
controles de segurana tcnica e procedural recomendados so avaliados, prio-
rizados e implementados.

captulo 4 109
 O processo de identificao de controles pode ser desafiador, especialmente se
os envolvidos possurem vivncia limitada no assunto. Duas abordagens podem ser
empregadas: a primeira consiste em um debate informal, enquanto a segunda funda-
menta-se na organizao e classificao de controles. A equipe de gerenciamento de
riscos de segurana deve usar uma combinao dessas duas abordagens.
Na abordagem atravs de debate informal, os controles podem ser identificados
depois de respondidas perguntas como:
Que medidas a organizao poderia tomar para resistir ou prevenir a ocorrn-
cia de riscos?
O que a organizao poderia fazer para recuperar-se de um evento adverso?
Que medidas a organizao pode tomar para detectar a ocorrncia de riscos?
Como o controle pode ser auditado e monitorado para garantir sua
efetividade?
Existem outras aes que podem ser tomadas para gerenciar o risco?
O segundo mtodo de recomendao de controles sustenta-se na classificao do con-
trole em organizacional, operacional e tecnolgico, e ainda em subdivises como pre-
veno, deteco/recuperao e gerenciamento de riscos. Os controles organizacionais
definem como os colaboradores de uma organizao devem executar suas tarefas. Os
controles operacionais normatizam a utilizao dos recursos de tecnologia da informao
e comunicao, e incluem tambm as protees ambientais e fsicas. Enquanto que con-
troles tecnolgicos compreendem o planejamento arquitetnico, engenharia, hardwares,
softwares e firmwares, ou seja, os componentes tecnolgicos usados para construir os sis-
temas de informao da organizao (DILLARD, 2004 apud GONALVES, 2008, p. 29)

A resultante deste processo servir como base de entrada para o processo de

mitigao de risco.

4.4.9 Documentao dos Resultados

Os resultados encontrados devem ser documentados e armazenados historica-

mente, a fim de se construir uma base de conhecimento de lies aprendidas.
Alm disto, tais dados coletados apoiaro, tambm, a tomada de deciso ge-
rencial no que tange elaborao de novas polticas, alteraes/correes em
procedimentos etc.

110 captulo 4
 O relatrio de avaliao de riscos no possui a caractersticas de apontar erros, mas
sim de sistematizar de maneira analtica os riscos inerentes ao negcio, justificando
investimentos e reduzindo potenciais perdas ou danos. Seu contedo demonstra as
ameaas e vulnerabilidades, a medida dos riscos identificados, e fornece recomenda-
es de controle que podem ser implantados pelo processo de mitigao de riscos
(STONEBURNER et al, 2002, apud GONALVES, 2008, p. 32).

4.5 Mitigao (Diminuio) dos Riscos

A mitigao de riscos envolve priorizar, analisar, avaliar e implementar os con-
troles apropriados e recomendados pelo processo de avaliao de riscos.
Devido ao fato de que a eliminao total de riscos impraticvel e/ou quase
impossvel, de responsabilidade do gerente de negcio e gestores utilizarem
a abordagem de menor custo e implementar os controles mais adequados para
diminuir o risco a um nvel aceitvel, com mnimo impacto negativo sobre os
recursos e metas organizacionais.

Por muito tempo, programadores e analistas de sistemas de software dirigiram sua

ateno somente em entender o problema do cliente e sair programando, sem nenhu-
ma preocupao com riscos envolvidos no decorrer do desenvolvimento e inerentes a
qualquer natureza de projetos. Com advento da nova viso em tecnologia da informa-
o, surgiu uma modalidade diferenciada de profissionais (gerente de negcios ou de
projetos de TI) que no atentam somente o produto final, mas o planejamento de todo
processo para atingimento das metas do projeto, inclusive na entrega de deliverables
ou produtos intermedirios a cada momento susceptveis a riscos (http://www.techo-
je.com.br/site/techoje/categoria/detalhe_artigo/55, consultado em 20/03/2013)

De acordo com Stoneburner et al (2002), a mitigao dos riscos pode ser

atingida atravs das seguintes opes:
Suposio de riscos: aceitar o risco potencial e continuar operacionalizan-
do o sistema informatizado ou implementar controles para diminuir o risco
para um nvel aceitvel;

captulo 4 111
 Preveno de riscos: evitar o risco, eliminando sua causa de risco e/ou
consequncia (por exemplo, abrir mo de certas funes do sistema ou desligar
o sistema quando os riscos so identificados);
Limitao de riscos: limitar o risco implementando controles que mini-
mizam o impacto negativo de uma ameaa influenciar uma vulnerabilidade
(por exemplo, o uso de controles de apoio, preveno etc);
Planejamento de riscos: gerenciar riscos atravs do desenvolvimento de
um planejamento de mitigao de riscos que prioriza, implementa e man-
tm controles;
Pesquisa e Reconhecimento: para diminuir o risco de perda, reconhecendo
a vulnerabilidade ou falha e pesquisar controles para corrigir a vulnerabilidade;
Transferncia de risco: transferir o risco usando outras opes para com-
pensar a perda, como, por exemplo, a compra de seguros.

As metas e a misso de uma organizao devem ser consideradas na seleo

de quaisquer opes de mitigao de risco. Pode no ser prtico para resolver
todos os riscos identificados, assim deve ser dada prioridade ameaa e respec-
tiva vulnerabilidade impactada significativamente.

4.5.1 Anlise e Melhoria Contnua

A tecnologia da informao e comunicao atualizada/melhorada/reinventa-

da constantemente a fim de acompanhar as necessidades, tendncias e com-
portamento dos consumidores (sejam eles domsticos, empresariais etc). As
melhorias devem, portanto, ser realizadas de forma rigorosamente contnua.

A reavaliao peridica do ambiente atravs dos processos avaliao de riscos o pri-

meiro passo para se comear um novo ciclo. A equipe de gesto de riscos de segurana
deve reutilizar e atualizar as listas de ativos, vulnerabilidades, controles e outras proprie-
dades intelectuais desenvolvidas durante o projeto inicial de gerenciamento de riscos.
A equipe pode determinar onde se concentrar, reunindo informaes atuais, precisas e
relevantes sobre as alteraes que afetam os sistemas de informaes da organizao.
Os eventos internos que exigem uma apurao mais cuidadosa incluem a instalao
de novos hardwares e softwares nos computadores; novos aplicativos desenvolvidos
internamente; reorganizaes corporativas; aquisies e fuses corporativas; bem

112 captulo 4
 como liquidaes de partes da organizao. Tambm recomendvel revisar a lista
de riscos existente para determinar se houve alteraes. Alm disso, examinar os
registros de auditoria de segurana pode trazer idias sobre outras reas a investigar
(DILLARD, 2004 apud GONALVES, 2008, p. 36)

Importante ressaltar que tambm se deve verificar continuamente se os

critrios estabelecidos para mensurar o risco permanecem coerentes com as
metas organizacionais, umas vez que estas ltimas podem mudar conforme
tendncias e oportunidades de negcios.
Contudo, e conforme veremos no prximo item, o xito na gesto de riscos
depender diretamente do envolvimento, comprometimento e participao
ativa de todos os envolvidos (direo, alta gerncia e outros stakeholders) e
comprometimento da alta gerncia (assim como de todos os envolvidos).

4.5.2 Abordagem Reativa e Proativa

Quando ocorre determinado incidente de segurana, muitos profissionais tendem a

agir para conter a situao, descobrir as causas e reparar os danos no menor tempo
possvel. Tal abordagem dita reativa, ou seja, depende de um estmulo causado por
um incidente para que aes sejam tomadas.
As respostas a incidentes so taticamente eficazes, principalmente se executada
com rigor para se descobrir as causas raiz. Como resultado, incidentes de segurana
recentes podem auxiliar na preveno de incidentes futuros.
A abordagem proativa de gerenciamento de riscos de segurana almeja a reduo
da probabilidade de um incidente com a utilizao de planos de controles. Ao con-
trrio da abordagem reativa, a abordagem proativa no espera pelo surgimento de
um incidente.
Em hiptese alguma, as organizaes devem abandonar seus processos de respos-
tas a incidentes, pois a abordagem proativa diminui a chance, mas no evitam que
determinados incidentes possam ocorrer. Recomenda-se que as organizaes utilizem
as duas abordagens, aprimorando-as ao longo do tempo (DILLARD, 2004 apud GON-
ALVES, 2008, p. 17).

captulo 4 113
 Cabe ressaltar que a abordagem reativa acarreta, ao longo do tempo, maior
custo do que a abordagem proativa. Isto se d pelo fato de que o retrabalho e o
desperdcio (de tempo, recursos humanos, tcnicos e de infraestrutura) acar-
retam severas perdas e prejuzos para a organizao. Evitar que um problema
ocorra, atravs de polticas de gesto de riscos adequadas, minimiza e/ou extin-
gue a probabilidade de um problema futuro ocorrer.

4.6 Fundamentos de Sucesso da Gesto de

Riscos

A fim de se lograr xito com a poltica de gesto de riscos na organizao, no

basta apenas um excelente planejamento de aes e metas, mas tambm al-
guns fatores do contexto que engloba tal gesto:
Total apoio e patrocnio da alta direo;
Envolvimento, participao ativa e maturidade dos stakeholders
(interessados);
Comunicao ativa e assertiva;
Alinhamento/gesto de conflitos da equipe;
Viso sistmica da gesto de riscos (compreender que uma parte afeta e
pode ser afetada pelo todo);
Liderana e liberdade de atuao da equipe de gesto de riscos, a fim
de conseguirem realizar mudanas caso seja necessrio e atingir s me-
tas estabelecidas.

ATIVIDADES
01. O crescente acirramento da concorrncia e a necessidade de ganhar competitividade
tm obrigado as empresas e instituies a buscarem estabelecer mais parcerias entre si. [...]
O Programa Cultura da Cooperao, criado h 15 anos, j foi aplicado em centenas
de grupos de empreendedores de segmentos variados atendidos pelo Sebrae Minas, em
projetos de desenvolvimento local, regional e territorial. O aprendizado da cooperao e os
resultados, geralmente, so percebidos no mdio e longo prazos.

114 captulo 4
 O objetivo do programa colaborar no desenvolvimento de um grupo, para que ele amplie
sua capacidade de agir coletivamente, viabilizando objetivos comuns, baseados nos princpios
da cooperao. Atuando em conjunto, essas empresas conseguem, por exemplo, partilhar
riscos e custos para explorar novas oportunidades, dividir o nus na realizao de pesquisas
tecnolgicas, oferecer produtos diversificados e com qualidade superior, exercer presso no
mercado, combinar competncias e fortalecer seu poder de compra. (http://g1.globo.com/
minas-gerais/especial-publicitario/sebrae/historias-de-sucesso/noticia/2015/07/unindo
-esforcos-pelo-bem-comum.html)

Aps a leitura do texto, analise as asseres e assinale a alternativa correta:

I. Ao abrir um negcio, por exemplo, o risco inevitvel.
II. Se bem administrados, os riscos de um negcio podem ser extintos.
III. Risco um impacto negativo, motivado pela explorao de uma vulnerabilidade.

a) Somente a assero I est correta.

b) Somente a assero II est correta.
c) Somente a assero III est correta.
d) As asseres I e III esto corretas.
e) As asseres II e III esto corretas.

02. O Gerenciamento de Riscos um processo que tem como objetivo dar subsdios
organizao realizar sua misso institucional, de forma a: (leia as asseres e assinale a
alternativa correta)
I. Possibilitar a segurana efetiva dos sistemas de Tecnologias de Informao
e Comunicao.
II. Criar uma base slida para a tomada de decises.
III. Permitir aos gestores equilibrarem seus custos de proteo e desempenho dos siste-
mas de informao.

a) Somente a assero I est correta.

b) Somente a assero II est correta.
c) Somente a assero III est correta.
d) As asseres I e II esto corretas.
e) As asseres I, II e III esto corretas.

captulo 4 115
03. Existem alguns passos sequenciais para avaliar os riscos. Sobre estes passos, assinale
a alternativa incorreta.
a) Caracterizao do ambiente.
b) Identificao de ameaas.
c) dentificao de vulnerabilidades.
d) Implementao de correes.
e) Determinao de probabilidades.

REFLEXO
Este captulo tratou especificamente dos Riscos Organizacionais. Sabemos que este assunto
muito importante, pois o fluxo de dados interorganizacional implica em riscos e, portanto,
demanda segurana para proteger os mesmos.
Entretanto, antes de se pensar em quaisquer polticas de segurana, necessrio co-
nhecer o que se vislumbra proteger, contra quem e de que forma. Alm disto, necessrio
distinguir que a segurana da informao vulnervel a: ocorrncias naturais (desastres da
natureza, falta de energia etc.), erro humano (seja ele proposital/intencional/doloso ou no).
Como j vimos atravs do texto deste captulo, enfatizamos que a avaliao dos riscos
siga os passos propostos por Stoneburner et al (2002): Caracterizao do ambiente; Iden-
tificao de ameaas; Identificao de vulnerabilidades; Anlise de controles; Determinao
de probabilidades; Anlise de impacto; Definio dos riscos; Recomendaes de controle; e
Documentao dos resultados.

LEITURA
Recomendamos a leitura de Miranda (2015): Otimizao da receita em hospitais por
meio da gesto de riscos, conforme segue parcialmente abaixo (o artigo na ntegra encon-
tra-se disponvel atravs do link: http://www.segs.com.br/saude/50764-otimizacao-da-re-
ceita-em-hospitais-por-meio-da-gestao-de-riscos.html)

Certamente a prioridade dos hospitais a excelncia na qualidade do atendimento e

assistncia mdico-hospitalar. Mas preciso entender que uma boa gesto administrativa
pode garantir, alm da perenidade da organizao, a qualidade no atendimento ao paciente.

116 captulo 4
 O conceito de gesto de riscos para quem trabalha em hospitais bastante conhecido
e envolve a segurana do paciente e dos profissionais, mas existe outra oportunidade para
aprimorar a gesto hospitalar ainda pouco explorada. A abordagem de Gesto dos Riscos de
Negcio que amplamente utilizada e com excelentes resultados em outros setores como
telecomunicaes, energia, agronegcio, varejo, transporte e financeiro.
[...]
Hospitais que optam por no darem a devida prioridade gesto de seus riscos, esto
expostos aos mesmos problemas que a maior parte das empresas: insuficincia de caixa,
margens apertadas, indisponibilidade e/ou desvio de ativos, falta de indicadores, ineficin-
cias no processo, falhas e fraudes. Portanto, fundamental conhecer e gerenciar os princi-
pais riscos da organizao, de forma ampla, estruturada e alinhada sua estratgia.
A adoo da Gesto de Riscos de Negcio traz melhoria e preservao dos resultados
operacionais e financeiros, valorizao da organizao, minimizao de riscos e aumento de
eficincia e segurana dos processos. [...], aponta Whitaker.
Situaes que podem gerar ineficincias, danos e perdas precisam ser devidamente
tratadas por meio da Gesto de Riscos de Negcio, composta por trs etapas:
1. Diagnstico de riscos etapa de levantamento e entendimento da situao conside-
rando as camadas de processos, sistemas, pessoas, infraestrutura e gesto. Vulnerabilida-
des e riscos so identificados e classificados;
2. Desenvolvimento das solues etapa de definio de solues e da abordagem
para a implantao;
3. Implantao das solues detalhamento e implantao de solues, priorizando as
aes de ganho rpido (baixo esforo, benefcio alto) e as aes de caminho crtico (em que
outras solues so dependentes para evoluir).
[...]

REFERNCIAS BIBLIOGRFICAS
ABNT. ABNT NBR ISO/IEC 27002:2005: Tecnologia da Informao: Cdigo de Prtica para a
Gesto da Segurana da Informao. Rio de Janeiro, 2005.
ABNT. ABNT NBR ISO/EIC 27005:2008: Tecnologia da Informao: Tcnicas de Segurana :
Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008.
DILLARD, K.; PFOST, J.; RYAN, S. Security Risk Management Guide. [S.l.]: Microsoft Corporation,
Disponvel em: http://technet.microsoft.com/enus/library/cc163143.aspx, outubro, 2004.

captulo 4 117
GONALVES, A. J. Metodologias de Gerenciamento de Riscos em Sistemas de Tecnologia
da Informao e Comunicao abordagem prtica para conscientizao e implantao nas
organizaes. Trabalho de Concluso de Curso de Ps-Graduao (Especializao), Universidade
Federal do Rio Grande do Sul, Porto Alegre, 2008.
LA ROCQUE, E. Guia de Orientao para o Gerenciamento de Riscos Corporativos. So Paulo:
IBGC Instituto Brasileiro de Governana Corporativa, Disponvel em: http://www.audicaixa.org.br/
arquivos_auditoria/GerenciamentoRiscosCorporativos-IBGC.pdf , 2007.
KERZNER, H. Gesto de Projetos: as melhores prticas. Editora Bookman, 2 edio, 2004.
PMBOK. Um guia do Conjunto de Conhecimento em Gerenciamento de Projetos. 4 Edio,
Project Management Institute, 2008.
SEMOLA, M. Gesto da Segurana da Informao: Uma Viso Executiva, Editora Campus, 2003.
STONEBURNER, G.; GOGUEN, A.; FERINGA, A. Risk Management Guide for Information
Technology Systems. Gaithersburg: NIST - National Institute of Standards and Technology. Disponvel
em: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, julho, 2002.
VALERIANO, D. Gerenciamento Estratgico e Administrao por Projetos. Editora Makron Books,
2001.
VARGAS, R. V. Gerenciamento de Projetos: estabelecendo diferenciais competitivos. Editora
Brasport, 6 edio, 2005.

118 captulo 4
 5
Normas de
Segurana da
Informao e
Estratgias de
Proteo
Ol, pessoal. Neste quinto captulo vamos falar sobre o normas e regulamenta-
es que devem ser cumpridas/respeitadas no que tange gesto da segurana
das informaes. Tais normas visam tanto a certificar as empresas como tam-
bm a apresentar diretrizes para que elas se adaptem.
Para compreenso deste amplo assunto, faremos, a priori, uma contextua-
lizao do mesmo.
Vamos juntos!

OBJETIVOS
Nossos objetivos sero:
Compreender os conceitos de norma e regulamentao;
Compreender a importncia de se utilizar as normas e regulamentaes;
Analisar as normas e regulamentaes no contexto organizacional;
Conhecer a lei Sarbanes-Oxley;
Conhecer as Normas NBR ISO/IEC 27001 e ISO/IEC 27002;
Conhecer o Modelo ITIL.

120 captulo 5
5.1 Introduo
A Tecnologia da Informao (TI) disponibiliza, cada vez mais, novas ferra-
mentas para facilitar nosso dia a dia e apoiar nossas tarefas organizacionais.
Toda esta gama de ferramentas torna nossas tarefas mais geis, mais velozes,
mais assertivas.
Entretando, existem tambm alguns riscos que acompanham toda esta di-
versidade tecnolgica. Tais riscos fazem parte da nossa realidade, de nosso dia
a dia e devem ser devem ser detectados, analisados e enfrentados/corrigidos
atravs de medidas tcnicas (ex.: utilizao de softwares para proteo das in-
formaes), sociais (ex.: orientao aos funcionrios sobre a poltica organiza-
cional) etc.

empresa requer uma srie de controles e cuidados. A falta de viso e conhecimento

sobre o assunto em pequenas e mdias empresas, assim como de alguns administra-
dores, conduz o gestor de TI necessidade de gerar e utilizar mtricas que transfor-
mem em nmeros todos os acontecimentos, impactos e aes importantes de TI na
empresa da qual parte integrante.
O Brasil ainda carente de leis que direcionem aes de usurios e empresas para o
uso correto de tecnologia da informao, por isso recai sobre cada empresa a respon-
sabilidade de tomar as medidas possveis para evitar fraudes, perda de produtividade
e impactos sociais ou operacionais. A cada novo dia sai uma nova deciso, norma ou
regulamentao, estamos tratando de um assunto relativamente novo, em desenvolvi-
mento, e que por isso ainda polmico.
Apenas para contextualizar o assunto, foi publicado que, conforme deciso do Tribu-
nal Regional do Trabalho de So Paulo (TRT-SP), a privacidade do trabalhador s se
aplica a contas pessoais. Comunicadores e e-mails corporativos podem ser vigiados
e, portanto, o contedo das mensagens neles contidas pode ser usado como pro-
va em casos de demisso por justa causa e processo trabalhista. Para a Justia, o
e-mail corporativo uma ferramenta de trabalho, que pertence empresa, e no ao
funcionrio, o que justificaria o direito da empresa de monitorar estas contas. O Tri-
bunal Superior do Trabalho, atravs da deciso TST AIRR 613/2000, determinou
que o empregador tem o direito de monitorar os e-mails corporativos e o acesso
internet por parte de seus empregados, entendendo, em suma, que a empresa a

captulo 5 121
 proprietria dos instrumentos de trabalho utilizados para o acesso e de que o ambien-
te de trabalho no um ambiente com expectativa de privacidade. Como o e-mail, o
acesso Internet e o computador so de propriedade da empresa, a justia avaliou
que no h problema em fiscalizar qualquer tipo de uso que os funcionrios esto
fazendo de sua propriedade (PITELI, 2007, p.1)

Ainda no contexto do acesso Internet no ambiente de trabalho, e enquanto

horrio de trabalho, deve-se analisar at que nvel de liberdade de acesso tero
os colaboradores. J so considerados contedos passveis a proibio de aces-
so os sites com contedo pornogrfico e/ou ilegal, sites de chat, sites de relacio-
namento, programas de troca de mensagens instantneas, e assim por diante.
O empregador pode monitorar os acessos de seus colaboradores Internet
de forma moderada. Por exemplo: monitorar o e-mail de seus colaboradores
pode ser considerado invaso privacidade. No entanto, pode ser que o cola-
borador esteja se utilizando do e-mail corporativo de forma abusiva e/ou que
prejudique a imagem e credibilidade da organizao.
Diante do contexto, aconselhvel que a organizao tenha um regimento
de como devem ser utilizados os meios e ferramentas de trabalho, de forma
que os colaboradores saibam as normas, fiquem cientes de que seus acessos
podem estar sendo monitorados, dentre outros aspectos.

5.2 Compreendendo o Conceito de Norma

Uma norma um documento que contm uma descrio tcnica, especfica
e precisa de critrios a serem cumpridos como regras/diretrizes.
As normas fazem sentido se tornam a vida mais simples e elevam o nvel de
confiabilidade de produtos e servios que utilizamos.

As normas so criadas formando um conjunto de experincia e conhecimento de

todas as partes interessadas, tais como os produtores, vendedores, compradores,
usurios e regulamentadores de material, produto, processo ou servio em particular.
As normas so desenvolvidas para uso voluntrio e no impem nenhuma regula-
mentao. Entretanto, as leis e regulamentaes podem referir-se a certas normas e
tornar a conformidade com as mesmas compulsria. Por exemplo, as caractersticas

122 captulo 5
 fsicas e o formato dos cartes de crdito so definidos na norma nmero BS EM
ISO/IEC 7810:1996. Aderir a esta norma significa que os cartes podem ser usa-
dos globalmente.
Qualquer norma um trabalho coletivo. Comits de fabricantes, usurios, organiza-
es de pesquisa, departamentos governamentais e consumidores trabalham em
conjunto para criar normas que evoluem para atender s demandas da sociedade e
da tecnologia. (Fonte: http://www.bsibrasil.com.br/publicacoes/sobre_normas/nor-
mas/, consultado em 16/04/2013).

Significados de Norma:
Princpio que serve de regra, de lei.
Modelo, exemplo.
Sinnimos de norma: bitola, craveira, determinao, escantilho, estalo, formalidade,
lei, mandamento, medida, padro, preceito e regra
Fonte: www.dicio.com.br

5.2.1 Benefcios de utilizar Normas

A norma serve de apoio s organizaes, independentemente seus portes pois

ela capaz de apoiar a inovao, promover concorrncia entre outros aspectos.
Quando abordamos o assunto normas, referenciamos inevitavelmente a
British Standards Institution (BSI), que lder mundial na defesa, definio e
implementao das melhores prticas em todos os campos da atividade huma-
na, desde continuidade de negcios at segurana alimentar.
Portanto, de acordo com dados extrados do British Standards Institution
(BSI), atravs de seu site http://www.bsibrasil.com.br/publicacoes/sobre_nor-
mas/beneficios/, as normas permitem que uma companhia:
Atraia e mantenha clientes;
Demonstre liderana de mercado;
Crie vantagens competitivas; e
Desenvolva e mantenha as melhores prticas.

captulo 5 123
 Uma empresa que est de acordo com as normas estabelecidas para seu se-
tor se diferencia das demais que no esto e, consequentemente, torna-se mais
respeitada no mercado. Por tal fator, podemos afirmar que as normas so pode-
rosas ferramentas de marketing para as empresas.
O mercado consumidor cada vez mais exigente e, por consequncia, de-
manda por produtos e servios que estejam em conformidade com as normas
estabelecidas, alm de preferirem tambm as empresas que cumprem padres
de sustentabilidade e responsabilidade ambiental.

Os clientes buscam a verificao independente que as normas tcnicas provm. As

marcas de certificao obtidas pelas empresas cujos produtos e prticas passam con-
sistentemente por um exame rigoroso so instantaneamente reconhecveis e agem
como smbolos respeitados de qualidade, segurana e desempenho.
Em se tratando do negcio, sabe-se que uma comunicao eficaz ao longo da
cadeia de fornecimento e com organismos legisladores e clientes indispensvel. A
normatizao pode gerar benefcios mensurveis quando aplicada dentro da infraes-
trutura da prpria companhia. Os custos e riscos do negcio podem ser minimizados,
os processos internos racionalizados e a comunicao melhorada. A normatizao
promove a interoperabilidade, gerando uma margem competitiva necessria para um
eficaz comrcio global de produtos e servios (Fonte: http://www.bsibrasil.com.br/
publicacoes/sobre_normas/beneficios/, consultado em 16/04/2013).

CONEXO
Assista ao vdeo sobre normas, tendo como exemplo a ergonomia no ambiente de trabalho:
http://www.youtube.com/watch?v=qzSidOA8EaM

5.2.2 Como as Normas so criadas e utilizadas?

De acordo com o British Standards Institution (BSI), a tarefa de criar o primeiro

esboo das normas cabe a um comit tcnico. Caso haja necessidade, este
grupo pode subcontratar um consultor para complementar o esboo.

124 captulo 5
 Vale lembrar que at mesmo para elaborar este esboo (rascunho) ne-
cessrio seguir padres/regras de elaborao. Os princpios bsicos que devem
ser cumpridos que uma norma s passvel de ser criada se for usvel, verifi-
cvel e comum.

Os tempos de desenvolvimento para as normas variam desde meses at vrios anos.

As Normas Britnicas so normalmente desenvolvidas em 12 15 meses, enquanto
que normas internacionais tomam aproximadamente 3 anos. Normas comissionadas
como as de qualidade PAS e OS podem ser desenvolvidas em meses para atender
aos requisitos do cliente (Fonte: http://www.bsibrasil.com.br/publicacoes/sobre_nor-
mas/criacao/, consultado em: 16/04/2013)

notvel que o mercado consumidor demanda cada vez mais qualidade e

credibilidade nos produtos e servios que adquire. Por este e outros motivos as
empresas tm buscado cada vez mais se adequar e se certificar nos padres e
normas estabelecidas, mesmo que estes no tenham de ser obrigatoriamente
cumpridos por lei.

As normas tambm so usadas como uma alternativa flexvel para a regulamentao.

Em indstrias e setores velozes, as normas podem tambm oferecer economias signifi-
cativas nos custos de Pesquisa e Desenvolvimento. Onde se estabelecem plataformas
comuns para avanos tecnolgicos, testadas e compartilhadas com todas as partes
interessadas, isto pode assegurar a viabilidade comercial e a confiana do consumidor.
As normas so essenciais para o comrcio em mercados cada vez mais competitivos. Elas
asseguram que qualquer empresa que oferece produtos, servios ou processos seja:
Eficaz em custos e eficiente no tempo;
Comercialmente vivel;
Digna de confiana; e
Segura.
Elas tambm podem fazer um impacto significativo sobre a sociedade como um todo.
Por exemplo, como compradores ou usurios de produtos, ns rapidamente nos da-
ramos conta de que estes se tornaram de baixa qualidade, que no servem, que so
incompatveis com equipamentos que j temos, que so no confiveis ou perigosos.

captulo 5 125
 Ns no estamos normalmente conscientes do papel desempenhado pelas normas em
elevar os padres de qualidade, segurana, confiabilidade, eficincia e permutabilidade
bem como o de prover estes benefcios a um custo econmico (Fonte: http://www.
bsibrasil.com.br/publicacoes/sobre_normas/utilizacao/, consultado em: 16/04/2013).

5.3 Compreendendo o Conceito de

Regulamentao

A Confedereo Nacional da Indstria (CNI), rgo que representa nacional-

mente todas as indstrias, afirma que:

Um regulamento tcnico um documento, adotado por uma autoridade com poder

legal para tanto, que contm regras de carter obrigatrio e o qual estabelece requisitos
tcnicos, seja diretamente, seja pela referncia a normas tcnicas ou a incorporao do
seu contedo, no todo ou em parte. Em geral, regulamentos tcnicos visam assegurar
aspectos relativos sade, segurana, ao meio ambiente, ou proteo do consumi-
dor e da concorrncia justa (Fonte: http://www.abimaq.org.br/site.aspx/Normalizacao,
consultado em: 16/04/2013).

Um regulamento tcnico estabelecido deve ser obrigatoriamente cumpri-

do. Caso contrrio, ou seja, no caso de descumprimento, haver uma implica-
o legal com multa e punio (de acordo com o descrito no regulamento).

Significados de Regulamento:
Ato ou efeito de regular.
Estatuto, instruo que prescreve o que se deve fazer: regulamento de polcia.
Conjunto de prescries que determinam a conduta de militares em qual-
quer circunstncia.
Conjunto de regras para qualquer instituio ou corpo coletivo.
Conjunto de disposies governamentais que contm normas para execuo de uma
lei, decreto etc.: regulamento do consumo de gua.

126 captulo 5
 Ato de determinar, de regular em geral: regulamento de um negcio.
Sinnimos de regulamento: determinao, estatuto, preceito, regimento, regra e roteiro.
Fonte: www.dicio.com.br

De acordo com a Confedereo Nacional da Indstria (CNI), no Brasil ain-

da no h uma compilao oficial completa dos regulamentos estabelecidos.
Desta forma, os interessados em adequar seus produtos, processo e servios
devem procurar os diversos rgos do governo designados/competentes por
cada assunto.

No mbito do PBQP - Programa Brasileiro da Qualidade e Produtividade, o INMETRO

liderou o projeto de modernizao da regulamentao tcnica federal, que inclui uma
compilao dos regulamentos tcnicos federais em vigor, bem como o estabeleci-
mento de novas diretrizes para a sua redao.
Esse projeto ainda est em andamento, mas os resultados encontram-se numa Base
de Dados, contendo a regulamentao tcnica emitida pelo Ministrio do Desenvol-
vimento, Indstria e Comrcio Exterior, pelo Ministrio de Cincia e Tecnologia e do
prprio INMETRO (Fonte: http://www.normalizacao.cni.org.br/normas_tecnicas_regu-
lamentos.htm, consultado em 16/04/2013).

importante ressaltar que, quando uma empresa nacional deseja exportar

um produto, ela dever conhecer a regulamentao tcnica vigente do pas de
destino da mercadoria, a fim de adequar-se para conseguir enviar o produto.
Caso contrrio, encontrar barreiras e impedimentos para tal procedimento.
Diante do exposto, e para que no haja tais barreiras, aconselhvel que
os governos adotem regulamentos tcnicos baseados em normas internacio-
nalmente aceitas, conforme estipulado pelo Acordo de Barreiras Tcnicas ao
Comrcio da Organizao Mundial do Comrcio (OMC).

captulo 5 127
 Sempre que um governo decidir adotar um regulamento tcnico que no siga uma
norma internacional deve notificar formalmente os demais membros da OMC com
antecedncia mnima de 60 dias, apresentado uma justificativa.
Os demais membros da OMC podem solicitar esclarecimentos e apresentar comen-
trios e sugestes ao regulamento proposto. Estas informaes so veiculadas pelos
chamados "pontos focais" (inquiry points).
Estas organizaes, designadas por cada um dos membros da OMC, so as respon-
sveis por efetuar as notificaes da regulamentao a ser adotada por esse pas e
pelo recebimento da comunicao das notificaes efetuadas pelos outros pases.
O inquiry point do Brasil o INMETRO, onde se podem obter informaes sobre as
notificaes efetuadas OMC, tanto brasileiras quanto dos demais pases da OMC
(Fonte:http://www.normalizacao.cni.org.br/normas_tecnicas_regulamentos.htm, con-
sultado em 16/04/2013).

A ttulo informativo e de exemplo, vejam alguns dos rgos regulamentado-

res por setor:

AGRICULTURA www.agricultura.gov.br

AEROESPACIAL www.mct.gov.br; www.inpe.br

AERONUTICA www.defesa.gov.br; www.cta.br; www.ctex.eb.mil.br

MARINHA www.defesa.gov.br; www.dpc.mar.mil.br

www.transportes.gov.br; www.mj.gov.br/denatran;
TRANSPORTES www.mte.gov.br

128 captulo 5
5.4 Normas e Regulamentaes no
Ambiente Organizacional

Os gestores de cada uma das reas de uma empresa, e no somente o de T.I,

devem conhecer suas respectivas demandas, normas, regulamentaes etc. a
fim de atender os objetivos traados com eficincia, eficcia, segurana, e as-
sim por diante.
As regulamentaes internas de cada setor da empresa devem ser redigidas
de forma clara para que seus respetivos colaboradores possam compreender
seus papis/funes/deveres com exatido. Isto acarretar, entre outros fato-
res, a minimizao dos riscos, a maximizao do desempenho, a segurana de
informaes etc.
Tais regulamentaes devem estar expressas em um documento formal,
o qual deve ser explicado e assinado por cada funcionrio no momento de
sua contratao.
A seguir, apresentaremos itens considerados bsicos para compor esta do-
cumentao. certo que cada empresa possui necessidades peculiares, mas,
de forma geral, os aspectos englobados podem ser considerados comuns.

5.4.1 Itens Bsicos propostos para Regulamentarizao

Se a empresa monitorar o uso dos recursos tecnolgicos por parte de seus

colaboradores, ento isto deve estar claro e explcito no regulamento, de for-
ma que eles possam compreender que no necessariamente a privacidade
ser garantida.
Sendo assim, e de forma geral, o documento dever contemplar, dentre ou-
tras, as seguintes informaes:
Os colaboradores devero estar cientes de que a empresa possui sistemas
que realizam o monitoramento das atividades realizadas por eles na Internet (a
exemplo: sites visitados, e-mails trocados, ligaes feitas e/ou recebidas);
Os colaboradores devero estar cientes de que a empresa poder a vir ins-
pecionar todo e qualquer arquivo trafegado na rede;
Os colaboradores devero estar cientes do que podem ou no fazer com
os recursos disponibilizados a eles pela empresa, a fim de cumprirem seus res-
pectivos trabalhos;

captulo 5 129
 Os colaboradores devero estar cientes de que no podero instalar quais-
quer outros softwares sem a autorizao expressa e formal por parte da empresa;
Os colaboradores devero estar cientes de que no podero alterar quais-
quer parmetros de proteo do firewall da empresa;
Os colaboradores devero estar cientes de que no podem copiar as ferra-
mentas (softwares) disponibilizadas pela empresa para uso externo;
Os colaboradores devero estar cientes de que, se divulgarem quaisquer
informaes confidencias da empresa, podero sofrer penalidades inclusive
judiciais, alm de demisso;
Os colaboradores devero estar cientes de que no podero divulgar seus
dados de usurio e senha para quaisquer outras pessoas, incluindo outros
colaboradores, sob pena de responsabilizarem-se por tudo que for feito;
Os colaboradores devero estar cientes de que utilizar quaisquer recursos
da empresa para atividades ilegais, implica em penalidades judiciais, alm de
demisso por justa causa;
Os colaboradores devero estar cientes de que podero utilizar-se da
Internet para atividades que no tenham a ver com a empresa, porm que se-
jam atividades legais, mas somente em seus respectivos horrios de almoo ou
fora do horrio de expediente (a exemplo: acessar sites de redes sociais somen-
te poder ser feito no horrio de almoo).

5.4.2 Poltica de Senhas

A empresa dever ter uma poltica estabelecida para o uso de senhas e direitos de
acesso de cada colaborador. Para tanto, existem algumas normas j estabelecidas
que regulamentam o uso correto de senhas, com padres de nvel de segurana etc.

[...] a seguir se apresenta o bsico destas normas para se estipular senhas de usu-
rios com mnimo risco. Da mesma forma, tais normas tambm devem ser apresenta-
das e explicadas a cada funcinrio no momento de sua integrao empresa.
Histrico de senhas utilizadas: no deve ser possvel reutilizar, pelo menos, as
ltimas 24 senhas;
Prazo para mudana da senha: pelo menos a cada 42 dias o usurio deve ser
obrigado a alterar sua senha de trabalho;

130 captulo 5
 Prazo para poder trocar a senha depois da ltima troca: o usurio s poder
alterar a sua senha 02 dias aps a ltima troca;
Tamanho mnimo da senha: 06 caracteres;
Senha precisa ser complexa (usar letras, nmeros e caracteres especiais):
No, apenas em casos especiais, como administradores de sistema, deve ser exi-
gida uma senha complexa. Para usurios finais, a senha pode ser de composio
mais simples;
Bloqueio da senha do usurio: depois de 03 tentativas sem sucesso a se-
nha deve ser bloqueada por um perodo mnimo de 30 minutos (Fonte: http://
lpiteli.wordpress.com/2012/02/16/regulamentacaoemti/, consultado em
16/04/2013).

5.4.3 Poltica de Acesso Lgico

Em uma empresa dinmica, colaboradores podem ser realocados para setores

e/ou cargos diferentes (inclusive de hierarquia diferente abaixo ou acima).
Com isto, carregaro tambm suas respectivas heranas de permisses de aces-
so aos sistemas da empresa. Isto deve ser tratado com minusciosa ateno.

Um estagirio aprendiz, por exemplo, que encarregado de cobrir as frias em vrios

departamentos, acaba utilizando diversos mdulos dos sistemas e a cada departa-
mento lhe so dadas novas permisses, de forma que ao final de um perodo ele aca-
ba se tornando um super usurio (Fonte: http://lpiteli.wordpress.com/2012/02/16/
regulamentacaoemti/, consultado em 16/04/2013).

Diante do exposto, a empresa dever periodicamente rever as permisses de

acesso aos sistemas concedidas a cada usurio. A frequncia desta reviso de
permisses depender de cada empresa, ou seja, depender do fluxo de altera-
es de cargos e remanejamentos.

captulo 5 131
5.5 Lei Sarbanes-Oxley
A Lei Sarbanes-Oxley, conhecida tambm como SOX, uma lei americana pro-
mulgada em 30/06/2002 pelos Senadores Paul Sarbanes e Michael Oxley.
Nela esto envolvidas as empresas que possuem capitais abertos e aes na
Bolsa de NY e Nasdaq, inclusive vrias empresas brasileiras esto se adequando
a esta Lei.
O motivo que a fez entrar em vigor foi justamente a onda de escndalos cor-
porativos-financeiros envolvendo a Eron (do setor de energia), a Worldcom (te-
lecomunicaes), entre outras empresas.
Os escndalos ocorreram, pois as empresas vinham forjando seus dados
contbeis para mascarar a real situao financeira da empresa, ou seja, as in-
formaes no eram confiveis. Os prejuzos financeiros foram imensos e atin-
giram milhares de investidores. Era necessrio, portanto, uma pronta resposta,
com o intuito de garantir que as informaes contidas nesses balanos finan-
ceiros fossem condizentes com a realidade, dando mais segurana e transpa-
rncia para o mercado de aes. Hoje, qualquer empresa que negocie aes na
Bolsa de Nova York com na Nasdaq devem estar sujeitas a esta lei.
Uma vez que a lei foi implantada nos Estados Unidos, seus efeitos foram
sentidos em todo o mercado de tecnologia ao redor do mundo. Em primei-
ro lugar porque, conforme mencionado anteriormente, qualquer empresa
que negocie seu capital na Bolsa de Nova York ou Nasdaq deve se adequar a
ela. Alm disso, todas as empresas que so subsidirias de multinacionais
norte-americanas se viram obrigadas a se adequar nova legislao.

Portanto, o objetivo desta lei justamente aperfeioar os controles financeiros das

empresas e apresentar eficincia na governana corporativa, a fim de evitar que acon-
team outros escndalos e prejuzos conforme os casos supracitados.
A lei visa garantir a transparncia na gesto financeira das organizaes, credibilidade
na contabilidade, auditoria e a segurana das informaes para que sejam realmente
confiveis, evitando assim fraudes, fuga de investidores etc. Esta lei pode ser dedu-
zida como uma Lei de Responsabilidade Fiscal Sarbanes-Oxley (Fonte:http://www.
smartsec.com.br/sarbanes-oxley.html, consultado em: 17/04/2013)

132 captulo 5
 Segundo Baldissera e Nunes (2007), a empresa de auditoria KPMG destaca
como principais tpicos da desta lei os seguintes:
A promoo da boa governana corporativa e prticas de negcio;
O aumento na independncia do auditor externo;
A obrigao de ter um Comit de Auditoria Independente;
A definio do papel de crtica de controle interno atravs de certificaes
e declaraes;
A transparncia nos relatrios e nas informaes aos acionistas e restri-
o de trabalhos non-audit pelo auditor externo.

As principais sees da lei definem que o principal executivo (CEO) e o prin-

cipal executivo de finanas (CFO) assumam a responsabilidade por definir, ava-
liar e monitorar a eficcia dos controles internos sobre relatrios financeiros e
divulgaes da empresa e que a validao dos controles e procedimentos inter-
nos sobre os relatrios financeiros deva ser formal e realizada anualmente por
auditores externos. (BALBO, 2007).
Diante deste cenrio, a ao da TI de fundamental importncia nesse pro-
cesso. a rea responsvel pelo controle, segurana da informao e sistemas.
Portanto, dever estar alinhada na adequao desta Lei para garantir s regras
de transparncia fiscal e financeira.
Empresas brasileiras como Petrobras, TAM Linhas Areas, Sabesp, Brasil
Telecom, dentre outras, tiveram de adequar sua rea de TI para suportar a Lei
Sarbanes-Oxley.

5.6 Gesto da Segurana da Informao

Segundo as Normas NBR ISO/IEC 27001 e
ISO/IEC 27002
A norma ABNT NBR ISO/IEC 17799:2005 referenciada como indispensvel
para a aplicao da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR
ISO/IEC 17799:2005 foi cancelada e substituda pela ABNT NBR ISO/IEC 27002,
a qual iremos conhecer.

captulo 5 133
 No entanto, e apenas para iniciar a contextualizao do assunto, explicita-se
que o grande objetivo dessa norma (ISO/IEC 17799:2005) determinar as dire-
trizes e princpios para iniciar, implementar, manter e melhorar a gesto de
segurana de informao em uma empresa.
Os objetivos de controle e os controles desta Norma tm como finalidade
ser implementados para atender aos requisitos identificados por meio da an-
lise/avaliao de riscos. Esta Norma pode servir como um guia prtico para de-
senvolver os procedimentos de segurana da informao da organizao e as
eficientes prticas de gesto de segurana, e para ajudar a criar confiana nas
atividades interorganizacionais (ABNT, 2005).

5.6.1 Norma ISO/IEC 27001

A ABNT NBR ISO/IEC 27001 Sistemas de gesto de segurana da informa-

o - Requisitos especifica requisitos para um Sistema de Gesto de Segurana da
Informao (SGSI). Um SGSI um sistema de gesto desenvolvido para a segurana
da informao de uma organizao, baseado em uma abordagem de riscos do negcio.
O documento da norma estruturado em oito sees. A ttulo de informao, nesta
disciplina abordaremos somente os prontos principais de tal norma.
A norma sugere a adoo de uma abordagem de processo para um SGSI, ou seja,
que a organizao deve identificar e gerenciar os processos envolvidos em um Siste-
ma de Gesto de Segurana da Informao, bem como reconhecer suas interaes.
Alm disso, a ABNT NBR ISO/IEC 27001 tambm adota o ciclo denominado PDCA
(Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI.
O PDCA uma ferramenta gerencial que possibilita a melhoria contnua de processos
e a soluo de problemas. (Fonte: http://qualitnews.blogspot.com/2010/10/conhe-
cendo-abnt-nbr-isoiec-27001-parte.html, consultado em 18/04/2013)

CONEXO
Assista animao que ilustra o conceito de PDCA: http://www.youtube.com/watch?
v=ekl2DvV-dOo

134 captulo 5
 O Ciclo PDCA, tambm conhecido como Ciclo de Shewhart ou Ciclo de Deming,
uma ferramenta de gesto muito utilizada pelas empresas do mundo todo. Este
sistema foi concebido por Walter A. Shewhart e amplamente divulgado por Willian E.
Deming e, assim como a filosofia Kaizen, tem como foco principal a melhoria contnua.
Seu foco tornar os processos da gesto de uma empresa mais geis, claros e
objetivos. Pode ser utilizado em qualquer tipo de empresa como forma de alcanar um
nvel de gesto melhor a cada dia, atingindo timos resultados dentro do sistema de
gesto do negcio.
O Ciclo PDCA tem como estgio inicial o planejamento da ao, em seguida tudo o
que foi planejado executado, gerando, posteriormente, a necessidade de checa-
gem constante destas aes implementadas. Com base nesta anlise e comparao
das aes com aquilo que foi planejado, o gestor comea ento a implantar medi-
das para correo das falhas que surgiram no processo ou produto.
Fonte: http://www.sobreadministracao.com/o-ciclo-pdca-deming-e-a-melhoria-
continua/>. Consultado em: 18/04/2013

Partes Partes
Interessadas Estabelcer Interessadas
SGSI

Plan
Implementar e Manter e
Operar SGSI Melhorar SGSI

Expectativas e Do Monitorar e Act

requisitos de Analizar Segurana da
Segurana da Criticamente Informao
Informao SGSI gerenciada

Check

Figura 5.10 Ciclo PDCA aplicado aos processos de um Sistema de Gesto de Segurana
da Informao. Fonte: http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbr-i-
soiec-27001-parte.html (consultado em 18/04/2013).

Na fase PLAN estabelece-se a poltica, metas, processos etc. de um Sistema

de Gesto de Segurana da Informao (SGSI). Na fase DO, implementa-se e
operaciona-se o que foi estabelecido pela fase anterior (Plan). Na fase Check,

captulo 5 135
feito o monitoramento e avaliao do desempenho do SGSI. Os resultados so
dispostos para a alta direo, a fim de fazerem uma anlise detalhada. Por lti-
mo, na fase ACT so colocadas em prtica, ou seja, em ao, as aes corretivas
preventivas que foram identificadas ao longo do ciclo.

Ressalta-se que a ABNT NBR ISO/IEC 27001 est alinhada s normas ABNT NBR
ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compa-
tvel com outros sistemas de gesto.
A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o esta-
belecimento, implementao, operao, monitorao, anlise crtica, manuteno e
melhoria de um Sistema de Gesto de Segurana da Informao (SGSI). Os requisitos
so genricos, de maneira a permitir que sejam aplicveis a quaisquer organizaes,
independentemente do tipo, tamanho e natureza.
importante salientar que no aceitvel que uma organizao que pretenda estar
conforme a norma exclua quaisquer requisitos. Porm, qualquer excluso de controles
considerada necessria para satisfazer aos critrios de aceitao de riscos precisa
ser justificada e as evidncias de que os riscos associados foram aceitos
pelas pessoas responsveis precisam ser fornecidas. Onde quaisquer controles
forem excludos, reivindicaes de conformidade a esta Norma no so aceitveis, a
menos que tais excluses no afetem a capacidade da organizao, e/ou responsa-
bilidade de prover segurana da informao que atenda os requisitos de segurana
determinados pela anlise/avaliao de riscos e por requisitos legais e regulamenta-
res aplicveis.
A ISO/IEC 27001 a nica norma internacional auditvel que define os requisitos
para um Sistema de Gesto de Segurana da Informao (SGSI). A norma designa-
da para assegurar a seleo de controles de segurana adequados e proporcionais.
Ela ajuda a empresa a proteger seus ativos da informao e dar confiana para todas
as partes interessadas, especialmente os clientes. A norma adota uma abordagem de
processo para o estabelecimento, implementao, operao, monitoramento, reviso,
manuteno e melhoria de seu SGSI.
A ISO/IEC 27001 aplicvel para qualquer organizao, grande ou pequena, em
qualquer setor ou parte do mundo. A norma especialmente aplicvel onde a pro-
teo da informao crtica, assim como finanas, sade, setores pblico e de TI.

136 captulo 5
 A ISO/IEC 27001 tambm altamente eficaz para organizaes que gerenciam infor-
mao em nome de terceiros, assim como companhias terceirizadas de TI: Ela pode
ser usada para garantir a seus clientes que suas informaes esto sendo protegidas.
(Fonte: http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbr-isoiec-
27001-parte.html, consultado em 18/04/2013)

A certificao de seu SGSI na ISO/IEC 27001 pode trazer os seguintes benef-

cios para sua organizao, de acordo com o British Standards Institution (BSI):
Demonstra a garantia independentemente de seus controles internos e
que os requisitos de governana corporativa e de continuidade do negcio es-
to sendo atendidos;
Demonstra de forma independente que as leis e os regulamentos aplic-
veis so observados;
Proporciona uma vantagem competitiva por cumprir requisitos contra-
tuais e demonstrar para seus clientes que a segurana da informao levada
como de suma importncia pela sua organizao;
De forma independente verifica que os seus riscos organizacionais so
corretamente identificados, avaliados e gerenciados, enquanto formaliza os
processos de segurana da informao, de procedimentos e de documentao;
Comprova o comprometimento da alta direo na segurana de
suas informaes;
O processo de auditoria regular ajuda sua empresa a monitorar continua-
mente o seu desempenho e melhoria.

5.6.2 Norma ISO/IEC 27002

A norma NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto de Segurana da

Informao, tem como objetivo estabelecer diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana da informao em uma orga-
nizao. Mas, o que Segurana da Informao (SI)? Significa proteger as informa-
es consideradas importantes para a continuidade e manuteno dos objetivos de
negcio da organizao.

captulo 5 137
 preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/
IEC 17799, mas a partir de 2007 a nova edio da ISO/IEC 17799 foi incorporada
ao novo esquema de numerao como ISO/IEC 27002 (ABNT, 2005).

Entre os tpicos abrangidos pela norma, citamos suscintamente:

deve ser formalizada atravs de um documento e comuni-

POLTICA DE cada a todos de forma clara. Da mesma forma, tal poltica
SEGURANA DA deve ser revisada periodicamente e fim de se analisar se
INFORMAO os padres estabelecidos permanecero ou devero ser
alterados/substitudos/extintos.

atravs de uma estrutura de gerenciamento, contendo

ORGANIZANDO A representantes (estratgicos) de diversas reas da orga-
SEGURANA DA nizao. Importante tambm estabelecer acordos de sigilo
INFORMAO para informaes confidenciais ou de acesso restrito;

visa a manter e proteger os ativos organizacionais. Para

GESTO DE tanto, deve-se primeiramente identific-los, classific-los,
ATIVOS catalog-los, etc. de forma que um inventrio de ativos
possa ser estruturado e posteriormente mantido;

as descries de cargo e os termos e condies de contra-

tao devem ser explcitos, especialmente no que tange s
responsabilidades de segurana da informao. importan-
te tambm analisar minuciosamente os candidatos a cargo
SEGURANA que forem lidar diretamente com informaes sigilosas;
EM RECURSOS Durante todo o tempo em que funcionrios, fornecedores
HUMANOS e terceiros estiverem trabalhando na empresa, eles devem
estar conscientesdas ameaas relativas segurana
da informao, bem como de suas responsabilidades e
obrigaes.

138 captulo 5
 deve ser feito o controle de forma rigorosa, contendo n-
SEGURANA veis e controles de acesso apropriados, incluindo proteo
FSICA E DO fsica. Os equipamentos tambm devem ser protegidos
AMBIENTE contra ameaas fsicas e ambientais, incluindo aqueles
utilizados fora do local.

5.7 ITIL
Como j exemplificamos ao longo do curso, so de fundamental importncia
os mecanismos de controle rgidos sobre os processos de negcios das empre-
sas. Por mais que os funcionrios das empresas sempre julguem suficientes os
mecanismos existentes, sempre que h algum escndalo de fraude, como ocor-
reu no caso da lei de Sarbanes-Oxley, os profissionais da rea de segurana se
perguntam o que pode ser feito para garantir tal segurana. Um dos caminhos
que se buscam nesse caso um controle sobre o ambiente de TI.

Um modelo que vem obtendo sucesso e reconhecimento o ITIL (Information Tech-

nology Infrastructure Library). Ele foi desenvolvido pela CCTA (Central Computer and
Telecommunication Agency), hoje conhecido como OGC (Office of Government Com-
merce), do Reino Unido, no final dos anos 80. Trata-se de um conjunto de referncia
com as melhores prticas para o Gerenciamento de Servios de TI (Fonte: http://www.
leansixsigma.com.br/acervo/acervo_4713547.pdf, consultado em 18/04/2013)

O ITIL est dividido em Processos Operacionais e Processos Estratgicos. A

tabela a seguir descreve os processos do ITIL:

PROCESSOS OPERACIONAIS PROCESSOS ESTRATGICOS

Service Desk (Funo)
Gerenciamento de Incidente
Gerenciamento de Problema
Gerenciamento de Mudana
Gerenciamento de Configurao
Gerenciamento de Liberao
Gerenciamento de Nvel de Servio
Gerenciamento de Disponibilidade
Gerenciamento de Capacidade
Gerenciamento de Continuidade de Servios de TI
Gerenciamento Financeiro de TI

Tabela 5.2 Processos do ITIL. Fonte: Adaptado de Jesus (2007).

captulo 5 139
 CONEXO
Para conhecer mais sobre o que determinado em cada processo do ITIL, acesse:
http://www.viacerta.com.br/informatica/itil/itil_proc.html

O uso efetivo das melhores prticas definidas na ITIL traz inmeros benefcios s or-
ganizaes, como: melhoria na utilizao dos recursos; maior competitividade; reduo
de retrabalhos; eliminao de trabalhos redundantes; melhoria da disponibilidade, con-
fiabilidade e segurana dos servios de TI; qualidade dos servios com custos justifi-
cveis; fornecimento de servios alinhados aos negcios, aos clientes e s demandas
dos usurios; processos integrados; responsabilidades documentadas e comunicadas
amplamente, e registro e controle de lies aprendidas (BALBO, 2007, p. 26).

ATIVIDADES
01. Sobre o conceito de Norma, leia as asseres e assinale a alternativa correta.
I. Uma norma um documento que contm uma regulamentao;
II. Uma norma um documento que contm uma descrio tcnica, especfica e precisa
de critrios a serem cumpridos;
III. As normas fazem sentido se tornam a vida mais complicada.

a) Somente a assero I est correta.

b) Somente a assero II est correta.
c) Somente a assero III est correta.
d) As asseres I e III esto corretas.
e) As asseres II e III esto corretas.

02. Um (I) um documento, adotado por uma autoridade com poder legal para tanto, que
contm regras de carter obrigatrio e o qual estabelece requisitos tcnicos, seja diretamen-
te, seja pela referncia a normas tcnicas ou a incorporao do seu contedo, no todo ou
em parte.
No texto acima, (I) refere-se a: (assinale a alternativa correta)

140 captulo 5
a) Recurso.
b) Norma.
c) Projeto.
d) Regulamento tcnico.
e) Processo.

03. Considerando o contexto organizacional, leia as asseres e assinale a alternati-

va correta.
I. Os gestores de cada uma das reas de uma empresa devem conhecer suas respectivas
demandas, normas, regulamentaes etc.
II. As regulamentaes internas de cada setor da empresa devem ser redigidas de forma
clara para que seus respectivos colaboradores possam compreender seus papis/funes/
deveres com exatido.
III. As regulamentaes devem estar expressas em um documento formal, o qual deve ser
explicado e assinado por cada funcionrio no momento de sua contratao.

a) Somente a assero I est correta.

b) Somente a assero II est correta.
c) Somente a assero III est correta.
d) As asseres I e II esto corretas.
e) As asseres I, II e III esto corretas.

REFLEXO
Vimos neste captulo o quo importante a segurana da informao em nvel de normas
e regulamentaes. Ou seja, no basta apenas implantar uma poltica de segurana organi-
zacional, incluindo dispositivos de segurana, restries de acesso, treinamento de usurios
etc. necessrio tambm cumprir algumas exigncias (normas/regulamentaes) a fim de
se atingir certo nvel de segurana e, portanto, conquistar, entre outras coisas, a credibilidade
dos clientes e do mercado.
Ou seja, as normas e regulamentos certificam que a empresa est fazendo algo do jeito
preestabelecido por determinado padro nacional ou mundial.

captulo 5 141
 LEITURA
Como j tratamos dos mais diversos aspectos para a Gesto da Segurana, desde a cons-
cientizao de sua importncia, passando pelos mecanismos que devemos seguir para obter
tal gesto e finalizando com as normas que regulam e orientam esse setor, temos certeza
de que voc est apto a avaliar o processo de uma empresa e, focando-se em TI, propor
melhorias, controles ou at mesmo correes em procedimentos que hoje so encarados
com naturalidade.
Entretanto, para tornar um pouco mais concreta a prtica da nossa disciplina, vamos
apresentar na sequncia um estudo de caso da American Express. A empresa uma Ins-
tituio Financeira prestadora de servios de viagens e turismo. Foi criado na empresa um
programa de segurana denominado Security Awareness Training. Destacaremos as 13
Polticas de Segurana que a American Express possui e que foram relatadas por Araujo
(2005), da seguinte forma:
1. Gerenciamento de Segurana: a liderana executiva endossa a misso, charte (estatu-
tos, o documento escrito), a autoridade e estrutura da segurana de informao;
2. Gerenciamento de Risco: risco o impacto em potencial ou nvel de dano que a perda de
um bem ou recurso poderia ter. Controles de segurana apropriados devem ser embutidos
nas fontes de informao da American Express;
3. Segurana de Pessoal: controles de segurana de informao devem ser implementa-
dos para assegurar que indivduos contratados pela American Express sejam monitorados
apropriadamente e de que estes estejam cientes das polticas de segurana da American Ex-
press;
4. Segurana Fsica: as instalaes de processamento e as fontes de informao devem ter
controles de acesso fsico apropriados instalados para proteg-los de qualquer acesso fsico
no autorizado e devem ser protegidas contra quaisquer perigos ambientais e penetrao
eletrnica passiva ou ativa;
5. Gerenciamento de Operaes: gerenciadores de sistema e de aplicativos devem ter o
nvel mnimo de privilgio de acesso exigido para desempenharem suas funes, e devem
aderir aos procedimentos formais quando trabalharem com todas as fontes de informao.
Adicionalmente, tarefas operacionais devem ser segregadas de acordo com o papel e res-
ponsabilidades do usurio;
6. Monitorao de Segurana e Resposta: fontes de informao devem ser monitoradas
para detectar eventos operacionais, de segurana e de sistema. A reao a incidentes e
procedimentos de investigao deve registrar eventos para assegurar uma resposta rpida a
incidentes de segurana de informao;

142 captulo 5
7. Gerenciamento de Comunicao: a troca de informao entre a American Express e
outras organizaes deve ser protegida por controles adequados. Fontes de comunicao
devem ser usados para fins comerciais apenas;
8. Controle de acesso: funcionrios devem ser identificados positivamente e autorizados
antes de ter acesso s fontes de informao da American Express. Acesso baseado na fun-
o de um funcionrio limitada a um mnimo necessrio para a realizao de sua tarefa;
9. Segurana de Rede: para explorar os benefcios comerciais oferecidos pelo acesso ex-
terno e gerenciar os riscos associados eficientemente, controles de segurana rigorosos
devem ser implementados. Existem controles de segurana que so exigidos quando a rede
interna da American Express est conectada a redes, equipamentos ou aparelhos externos;
10. Servios Terceirizados: terceiros devem aderir s Polticas de Segurana da American
Express e devem reconhecer sua responsabilidade atravs de uma declarao formal por
escrito;
11. Desenvolvimento de Aplicativos: atividades de desenvolvimento de aplicativos devem se
conformar a uma metodologia de desenvolvimento que incorpore controles de segurana de
informao em cada estgio do desenvolvimento.
12. Recuperao e Continuidade Comercial: as fontes crticas de informao da American
Express devem desenvolver planos de contingncia que possibilitem a continuidade de ser-
vios de informao crtica em caso de interrupo; e
13. Polticas de Conformidade Legal e Regulatria: todos os funcionrios devem estar em
conformidade com requerimentos contratuais e regulatrios legais locais e internacionais.

O intuito de mostrar esse estudo de caso para enfatizar mais uma vez a importncia
da gesto de segurana e como ela encarada pelas empresas. Com um exemplo concreto
talvez fique mais fcil voc pensar em organizar a poltica de segurana de sua empresa.

REFERNCIAS BIBLIOGRFICAS
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002 Tecnologia
da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da
informao. ABNT, 2005.
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27001 Tecnologia
da informao Tcnicas de segurana Sistemas de gesto de segurana da informao
Requisitos. ABNT, 2006.

captulo 5 143
ARAUJO, E. E. A Vulnerabilidade Humana na Segurana da Informao. Monografia de
Concluso do Curso de Sistemas de Informao, UNIMINAS, 2005.
ARAUJO, E. N. Curso de Direito Administrativo. Editora Saraiva, 2009.
BALBO, L. O. Uma Abordagem Correlacional dos Modelos CobiT / ITIL e da Norma ISO
17799 para o tema Segurana da Informao. Monografia de Especializao em Tecnologia da
Informao - Departamento de Engenharia de Computao e Sistemas Digitais, Escola Politcnica -
USP, So Paulo, 2007.
BALDISSERA, T. A.; NUNES, R. C. Impacto na Implementao da Norma NBR ISO/IEC 17799
para a Gesto da Segurana da Informao em colgios: um estudo de caso. In: Encontro
Nacional de Engenharia de Produo ENEGEP, Foz do Iguau, Anais, 2007.
BRITISJ STANDARDS INSTITUTION (BSI) consultado em: www.bsibrasil.com.br
CONFEDERAO NACIONAL DA INDSTRIA (CNI) consultado em: http://www.normalizacao.cni.
org.br
FONTES, E. Praticando a Segurana da Informao. Editora Brasport, 1 edio, 2008.
JESUS, A. Gesto Estratgica de TI por meio dos Princpios da ITIL e da Utilizao da
Ferramenta Balance Scorecard. Monografia de Concluso de curso, Centro de Ciencias Exatas e
Tecnologia, Pontfica Universidade Catlica, 2007.
PITELI, L. Regulamentao e governana em tecnologia da informao. Trabalho de Concluso
de Curso de Ps Graduao em Gesto Estratgica de Negcios, Faculdades Integradas Dom Pedro
II, 2007.

GABARITO
Captulo1

01. B
A informao pode ser classificada em nveis de prioridade dentro da organizao, con-
forme segue:
- Informao Pblica: informao que pode vir ao pblico sem consequncias preju-
diciais ao funcionamento normal da empresa, e cuja integridade no vital;
- Informao Interna: informao que deveria ter o livre acesso evitado, embora no
haja consequncias prejudiciais/srias do acesso e uso no autorizado. A integridade
deste tipo de informao importante, porm no vital;

144 captulo 5
 - Informao Confidencial: informao que restrita aos limites da empresa e cuja di-
vulgao ou perda pode acarretar a desequilbrio operacional e, eventualmente, perdas
financeiras ou de confiabilidade perante o cliente externo;
- Informao Secreta: informao muito crtica para as atividades da empresa e cuja
integridade deve ser preservada a qualquer custo. O acesso deve ser restrito e a segu-
rana deste tipo de informao crucial/vital para a empresa.
02. C
Um dado uma entidade matemtica sinttica, ou seja, os dados podem ser descritos
por estruturas de representao. Assim sendo, podemos dizer que o computador capaz de
armazenar dados. Estes dados podem ser quantificados, conectados entre si e manipulados
pelo processamento de dados. Da mesma forma, pode-se definir dados como fatos brutos,
ainda no organizados nem processados.
A informao depende de algum tipo de relacionamento, avaliao ou interpretao dos
dados. Podemos agrupar dados isolados e torn-los consistentes ao se transformarem em
informaes.
O conhecimento uma abstrao interior, pessoal, de algo que foi experimentado, viven-
ciado, por algum.
03. D
Para melhorar a segurana de um sistema, deve-se prioritariamente considerar alguns
aspectos, dentre os quais:
- Conhecer os possveis oponentes, identificando o que eles desejam fazer, e os pe-
rigos que podem vir a causar organizao;
- Contabilizar os valores, uma vez que a implementao e o gerenciamento da poltica
de segurana pode significar, alm da necessidade de mais recursos pessoais, a ne-
cessidade de significativos recursos de software e de hardware. Os custos das medidas
de segurana devem, portanto, ser compatveis e proporcionais s necessidades da
organizao e s probabilidades de ocorrerem incidentes de segurana;
- Considerar os fatores humanos, uma vez que muitos procedimentos de segurana
falham, porque as reaes dos usurios a esses procedimentos no so considerados
com seu devido valor;
- Conhecer os pontos fracos, pois todo sistema possui vulnerabilidades;
- Aplicar a segurana de acordo com os negcios da organizao, a fim de definir
uma estratgia de segurana que melhor se adapte s necessidades dela.

captulo 5 145
04. D
As informaes devem cumprir os seguintes requisitos:
- Autenticao: ir definir que as partes envolvidas na comunicao sejam autentica-
das a fim de garantir que cada um deles seja realmente quem diz ser;
- Integridade: ir definir que a informao originria de quem diz originar, de forma
a impedir que alteraes na mensagem original confundam as partes envolvidas na co-
municao. E, mesmo que haja alguma alterao na mensagem original, que esta seja
passvel de ser detectada;
- No repdio: ir garantir que a informao enviada por quaisquer partes envolvidas
na comunicao no seja negada pelo seu respetivo remetente (em outras palavras, ir
garantir que quem enviou a informao no poder negar sua transmisso);
- Disponibilidade: ir definir que as informaes devidas estaro disponveis para
seus respectivos usurios. Aqui cabe uma ressalva: para garantir esta disponibilidade da
informao somente para o usurio devido, deve-se implementar controles de acesso,
a fim de conter usurios no autorizados.
05. E
Para melhorar a segurana de um sistema, deve-se prioritariamente considerar alguns
aspectos, dentre os quais:
- Conhecer os possveis oponentes, identificando o que eles desejam fazer, e os pe-
rigos que podem vir a causar organizao;
- Contabilizar os valores, uma vez que a implementao e o gerenciamento da poltica
de segurana podem significar, alm da necessidade de mais recursos pessoais, a ne-
cessidade de significativos recursos de software e de hardware. Os custos das medidas
de segurana devem, portanto, ser compatveis e proporcionais s necessidades da
organizao e s probabilidades de ocorrerem incidentes de segurana;
- Considerar os fatores humanos, uma vez que muitos procedimentos de segurana
falham, porque as reaes dos usurios a esses procedimentos no so considerados
com seu devido valor;
- Conhecer os pontos fracos, pois todo sistema tem vulnerabilidades;
- Aplicar a segurana de acordo com os negcios da organizao, a fim de definir
uma estratgia de segurana que melhor se adapte s necessidades dela.
06. C
Ao mencionarmos a segurana da informao, e antes de cogitarmos a possibilidade de
nos munir com aparatos tecnolgicos, devemos prioritariamente fazer um levantamento e
nos questionar/indagar:
- O que minha empresa quer proteger? (ou seja, tomar cincia do que se almeja proteger);

146 captulo 5
 - Por que minha empresa quer proteger? (ou seja, descobrir a relevncia de tais infor-
maes que se almeja proteger);
- Minha empresa quer se proteger de qu? (ou seja, fazer um mapeamento/levantamento
do que se deve monitorar para que as informaes no sejam extraviadas/corrompidas);
- Como minha empresa deve proteger? (ou seja, determinar normas/regras de como,
quando, onde, quem poder ter acesso).

Captulo2

01. C
Descarte: conforme deduzimos, o descarte ocorre no momento em que a informao no
mais til. Desta forma, arquivos em papel so descartados em lixeiras, arquivos eletrnicos
so apagados do banco de dados, CDs contendo informaes sem serventia so descarta-
dos, e assim por diante.
Ao mencionarmos a etapa de descarte, importante ressaltar que ela no pode ser
realizada sem critrios. Descartar informaes confidenciais, com valor legal etc. de qualquer
forma acarreta srios impactos negativos.
Alis, e em se tratando dos documentos com valor legal, deve-se atentar que o seu des-
carte deve obedecer aos prazos determinados em lei.
Outra ressalva diz respeito a documentos com valor histrico permanente, pois eles no
podero ser descartados. Um documento secreto, por exemplo, pode vir a ser considerado (a
princpio) como sendo um documento de valor histrico permanente.
02. E
Vulnerabilidades naturais: so aquelas decorrentes de fenmenos naturais e que trazem riscos
para equipamentos e informaes. Exemplos: inundaes, terremotos, maremotos, furaces etc.
Vulnerabilidades fsicas: so os ambientes que tm pontos fracos em nvel do espao fsi-
co, comprometendo o armazenamento e gerenciamento correto das informaes. Exemplos:
instalaes inadequadas para o trabalho, falta de extintores de incndio, local desorganizado,
pessoas no autorizadas transitando no local etc.
Vulnerabilidades de Hardware: so aquelas relacionadas aos equipamentos que apre-
sentam defeitos de fabricao ou configurao inadequada, podendo permitir o ataque de
vrus ou violaes. Exemplos: a falta de atualizaes dos programas e equipamentos no
dimensionados corretamente;
Vulnerabilidades de Software: so os pontos fracos existentes nos aplicativos de softwa-
re, permitindo o acesso de indivduos no autorizados. Por esta razo que os softwares, so
os preferidos dos elementos que buscam as ameaas. Exemplos: Aplicativos com configura-

captulo 5 147
es ou instalaes inadequadas, programas de e-mail que permitem a execuo de cdigos
maliciosos e falta de atualizaes necessrias;
Vulnerabilidades de Armazenamento: as informaes so armazenadas em suportes f-
sicos (disco rgido) ou magnticos (CD, DVD, carto de memria, pen drive etc.). Suas utili-
zaes inadequadas podem ocasionar uma vulnerabilidade, afetando, portanto, a integrida-
de, a disponibilidade e a confidencialidade das informaes. Consequentemente, isto pode
danificar ou indisponibilizar os meios de armazenamento. Exemplos: defeito de fabricao
de um meio de armazenamento, uso incorreto destes meios, prazo de validade e expira-
o ultrapassados;
Vulnerabilidades de Comunicao: so aquelas relacionadas com o trfego de informa-
es, os quais podem ser realizados atravs de fibra ptica, ondas de rdio, satlite ou cabos.
Independentemente do meio escolhido, o sistema de comunicao escolhido deve ser segu-
ro e garantir que as informaes transmitidas alcancem o destino desejado sem interveno
alheia. Alm disso, as informaes trafegadas devem ser criptografadas, pois, caso haja al-
guma falha no processo, a informao no pode ser acessada por pessoas no autorizadas;
Vulnerabilidades Humanas: so aquelas atitudes intencionais ou no que podem gerar
vulnerabilidades s informaes, como, por exemplo: uso de senha fraca, compartilhamento
de credencial de acesso, falta de treinamentos para o usurio, a no conscincia ou desco-
nhecimento de segurana da informao e funcionrios descontentes.

Captulo3

01. E
Existem trs fontes principais, conforme explicitado pelas normas da ABNT (2008), para
que uma organizao identifique seus requisitos de segurana:
- A primeira o conjunto de princpios, objetivos e necessidades para o processa-
mento da informao que uma organizao tem de desenvolver para apoiar suas ope-
raes;
- A segunda a legislao vigente, os estatutos, as regulamentaes e as clusulas
contratuais que a organizao, seus parceiros, contratados e prestadores de servio
tm de atender;
- As duas anteriores so utilizadas como referncias para desenvolver a principal fon-
te de requisitos de segurana, que derivada da avaliao de riscos, processo respon-
svel por identificar as ameaas aos ativos, as vulnerabilidades com suas respectivas
probabilidades de ocorrncia e os impactos ao negcio.

148 captulo 5
02. D
As ameaas segurana de uma organizao esto, sempre, relacionadas com a perda
de uma (ou mais) das suas trs caractersticas principais, que so:
- Perda da Integridade, que acontece quando certa informao fica exposta ao ma-
nuseio de uma pessoa no autorizada, que acaba por efetuar alteraes no aprovadas
e sem o controle, privado ou corporativo, do proprietrio da informao;
- Perda de confidencialidade. Ocorre quando h uma quebra de sigilo de uma de-
terminada informao, como a senha de um usurio ou administrador, por exemplo, o
que permite que informaes restritas, que deveriam estar acessveis apenas para um
determinado grupo de usurios, fiquem expostas;
- Perda de disponibilidade, que acontece quando a informao deixa de estar aces-
sve justamente por quem necessita dela. o caso que ocorre com a perda de comuni-
cao com um sistema importante para a empresa, que pode acontecer com a queda
de um servidor, de uma aplicao crtica de negcio, que pode apresentar uma falha,
devido a um erro causado por motivo interno ou externo ao equipamento.
03. B
Vrus propagado atravs do e-mail: recebido como um arquivo anexado ao e-mail cujo
contedo induz o usurio a execut-lo. Ao fazer isto, o vrus infecta arquivos e programas e re-
plica cpias de si mesmo para os contatos de e-mails armazenados no computador infectado;
Vrus de script: escrito em linguagem como VBScript e JavaScript por exemplo, e rece-
bido ao acessar uma pgina Web ou por e-mail, como um arquivo anexo ou como parte do
prprio e-mail escrito em formato HTML;
Vrus de macro: tipo especfico de vrus de script, escrito em linguagem de macro, que
tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem, como, por
exemplo, os que compem o Microsoft Office (Word, Excel, Power Point, etc);
Vrus de Smartphone: se propaga de celular a celular por meio da tecnologia Bluetooth
ou de mensagens multimdia. Esta infeco ocorre quando um usurio permite o recebimen-
to do arquivo infectado e o executa em seu celular. Aps infectar o aparelho, o vrus pode
destruir, sobrescrever arquivos, remover contatos, drenar a carga de bateria, propagar-se
para outros celulares etc;

Captulo4

01. D
O risco inevitvel. Por exemplo, quando:
- Investidores compram aes;

captulo 5 149
 - Cirurgies realizam operaes;
- Engenheiros projetam pontes;
- Empresrios abrem seus negcios;
- Polticos concorrem a cargos eletivos etc.
Ou seja, administrar os riscos que sempre iro existir torna-se estratgico e, alm
disto, pode vir a se transformar em oportunidades. Portanto, deve-se transcender o medo
aos riscos para saber lidar de forma estratgica com os riscos.
Na rea de tecnologia da informao e comunicao, risco considerado como o impac-
to negativo motivado pela explorao de uma vulnerabilidade, considerando a possibilidade
e o impacto da sua ocorrncia. O processo para identificar, mensurar e planejar passos para
reduzir um determinado risco a nveis aceitveis pela organizao definido como Gerencia-
mento de Riscos (STONEBURNER, 2002 apud GONALVES, 2008, p. 15)
02. E
O gerenciamento de riscos um processo que tem como objetivo dar subsdios orga-
nizao para realizar sua misso institucional, de forma a:
- Possibilitar a segurana efetiva dos sistemas de Tecnologias de Informao e Co-
municao, responsveis pelo processamento, armazenagem e transmisso de dados;
- Criar uma base slida para as tomadas de deciso, principalmente no que se rela-
ciona com execuo coerente do oramento e no investimento em tecnologias neces-
srias para minimizar riscos de impacto ou potencial impacto para o negcio; e
- Permitir aos gestores equilibrarem seus custos de proteo e desempenho dos
sistemas de informao vitais para o negcio.
03. D
Existem alguns passos sequenciais para avaliar os riscos:
1. Caracterizao do ambiente;
2. Identificao de ameaas;
3. Identificao de vulnerabilidades;
4. Anlise de controles;
5. Determinao de probabilidades;
6. Anlise de impacto;
7. Definio dos riscos;
8. Recomendaes de controle; e
9. Documentao dos resultados.

150 captulo 5
Captulo5

01. B
Uma norma um documento que contm uma descrio tcnica, especfica e precisa de
critrios a serem cumpridos como regras/diretrizes.
As normas fazem sentido se tornarem a vida mais simples e elevarem o nvel de confia-
bilidade de produtos e servios que utilizamos.
As normas so criadas formando um conjunto de experincia e conhecimento de todas
as partes interessadas, tais como produtores, vendedores, compradores, usurios e regula-
mentadores de material, produto, processo ou servio em particular.
As normas so desenvolvidas para uso voluntrio e no impem nenhuma regulamentao.
02. D
Um regulamento tcnico um documento, adotado por uma autoridade com poder legal
para tanto, que contm regras de carter obrigatrio e o qual estabelece requisitos tcnicos,
seja diretamente, seja pela referncia a normas tcnicas ou incorporao do seu contedo,
no todo ou em parte.
03. E
Os gestores de cada uma das reas de uma empresa, e no somente o de TI, devem
conhecer suas respectivas demandas, normas, regulamentaes etc., a fim de atender aos
objetivos traados com eficincia, eficcia, segurana, e assim por diante.
As regulamentaes internas de cada setor da empresa devem ser redigidas de forma
clara, para que seus respectivos colaboradores possam compreender seus papis/funes/
deveres com exatido. Isto acarretar, entre outros fatores, minimizao dos riscos, maximi-
zao do desempenho, segurana de informaes etc.
Tais regulamentaes devem estar expressas em um documento formal, o qual deve ser
explicado e assinado por cada funcionrio no momento de sua contratao.

captulo 5 151
 ANOTAES

152 captulo 5