SEGURANÇA DA INFORMAÇÃO

1. EVOLUÇÃO DO AMBIENTE COMPUTACIONAL, CICLO DE VIDA DA INFORMAÇÃO E

OBJETIVOS DA SEGURANÇA DA INFORMAÇÃO - CINDAL

A necessidade inicial das redes. Necessidade primária de permitir diversas possibilidades de

conectividade entre os dispositivos de rede. Desta forma, a interoperabilidade dos dispositivos e
não a segurança foi enfatizada como fator principal das redes. Porém nos dias atuais com o
crescimento das demandas organizacionais, a segurança passou a ser uma necessidade
fundamental, constituindo foco de atenção permanente dos profissionais envolvidos com a
tecnologia da informação.

Segurança. Estado, qualidade ou condição de seguro; condição daquele(ilo) que se pode confiar;
certeza, firmeza, convicção.
_ Para o profissional de Segurança: NÃO é um produto, que você seleciona, compra, instala e
esquece. É um estado de espírito, uma busca sem fim, uma desconfiança permanente.

Seguro. Certo, indubitável (que não há dúvida, incontestável); Livre de perigo; Em quem se pode
confiar; Livre de risco; protegido, acautelado, garantido; Eficaz, eficiente.

A adoção da segurança gera uma série de transtornos. Ninguém gosta de restrições impostas por
controles de segurança na liberdade de ir e vir. Ninguém gosta de carregar chaves de portas.
Ninguém gosta de lembrar-se de senhas. A maioria das pessoas fica impaciente em esperar por
aprovação. Exemplos: Portas de segurança dos bancos; Limite de velocidade nas estradas;
Horário para chegar/sair de casa. Isto tudo é válido?

O ciclo de vida da informação. Para que possamos proteger a informação dentro da empresa é
necessário conhecer o ciclo de vida da informação dentro da mesma.
_ Geralmente o mesmo é composto por 04 etapas:
1. Manuseio. Local onde se iniciou o ciclo e onde a informação é manipulada.
2. Armazenamento. Momento em que a informação é armazenada, (papel, CD, disquete...).
3. Transporte. Momento do envio ou transporte (correio eletrônico, fax, sinais...).
4. Descarte. Momento em que a informação é eliminada, apagada (destruída de forma definitiva).

A necessidade de proteção. Com o passar dos anos a situação computacional nas empresas foi
mudando, bem como sua necessidade de proteção.
_ Entre os anos de 1970 e 1980 o ambiente computacional era formado por mainframes, onde
todos os dados eram centralizados. A necessidade de proteção restringia-se aos dados.
_ A necessidade de segurança era apenas proteção contra acessos indevidos.
_ Entre os anos de 1980 e 1990 o ambiente computacional sofreu alterações relevantes, sendo
que além do mainframe veio à conexão com a rede. Com isso o panorama mudou para um
grande número de informações internas descentralizadas e com acessos distribuídos. A
necessidade de proteção deste ambiente estava nos dados e nas Informações. Era necessário
proteger contra adulteração e destruição dos dados e das informações.

A partir do ano de 1990 até hoje. O ambiente sofreu outra grande transformação: além do
mainframe e conexão com a rede, surgiu a Internet. O panorama mudou para um grande número
de informações internas e externas descentralizadas e com vários acessos distribuídos. A
necessidade hoje é proteger os dados puros, as informações e o conhecimento do negócio. Mas
é necessário manter os dados e as informações sempre disponíveis. A informação deverá estar

1
acessível somente para pessoas autorizadas. A informação não pode sofrer nenhuma alteração
desde a sua criação até o seu armazenamento.

CINDAL – Objetivos da Segurança da Informação (SI)

_ Confidencialidade: a informação estará acessível somente para pessoas autorizadas.
_ Integridade: Dados e informações corretas e sincronizadas no tempo e espaço. As informações
e os métodos de processamento somente podem ser alterados através de ações planejadas e
autorizadas.
_ Não Repúdio.
_ Disponibilidade: os usuários autorizados devem ter acesso à informação e aos ativos
correspondentes, sempre que necessário para o desenvolvimento de suas atividades.
_ Autenticidade: para evitar o não-repúdio, ou não recusa, deverá ser garantida a autenticidade
da fonte. Esta é a garantia que o emissor de uma mensagem é quem realmente diz ser.
Autenticidade se aplica a dados e a emissor.
_ Legalidade: é a situação de conformidade com as leis atualmente vigentes no país.

2. NORMAS NACIONAIS E INTERNACIONAIS PARA SEGURANÇA DA INFORMAÇÃO

_ No passado não existiam normas nem procedimentos no tema. Os primeiros padrões de

segurança física em informática foram definidos pelas normas:
_ NBR 1333. Controle de acesso físico a CPDs.
_ NBR 1334 (atual ABNT 11515). Critérios de segurança física para armazenamento de dados.
_ NBR 1335. Segurança de microcomputadores, terminais e estações de trabalho.
_ NBR 10842. Equipamentos para tecnologia da Informação e requisitos de segurança.
_ NBR 12896. Gerenciamento de senhas.

Orange Book (Truster Computer Security Evaluation Criteria). O departamento de Defesa dos
Estados Unidos (DoD) especificou regras a serem utilizadas no processo para classificação dos
sistemas operacionais seguros, conhecido TCSEC ou “Orange Book”, devido a capa ser da cor
laranja. Servem para avaliar a proteção para hardware, software e informações dos sistemas.

Red Book (Livro Vermelho). Adaptação do livro laranja para rede de computadores. Após o
Orange Book, surgiram outros documentos "técnicos” que contribuíram para a formação de uma
norma coesa e completa sobre a segurança da informação.

O que é Normalização? Atividade que estabelece, em relação a problemas existentes ou

potenciais, prescrições para utilização comum e repetitiva com vistas à obtenção do grau ótimo
de ordem num dado contexto.

O que é Norma? É um documento estabelecido por consenso, aprovado por organismo

reconhecido, que fornece regras, diretrizes ou características para atividades de uso comum e
repetitivas. Visa à obtenção de ordenação num dado contexto.

BS7799 (British Standart 7799). O departamento de comércio e indústria do Reino Unido criou um
centro de segurança de informações, para criar uma norma de segurança das informações para o
Reino Unido. Desde 1989 vários documentos preliminares foram publicados. Em 1995 surgiu a
BS7799, uma norma de segurança da informação. Comitê da British Standard BS7799
BS7799-1. Homologada desde 2000 (parte 1), é uma referência para implementar boas práticas
de segurança da informação na empresa. São 148 controles divididos em dez partes distintas.
BS7799- 2. É a segunda parte da norma, com objetivo de gerenciar a segurança da informação.

2
ISO/IEC 17799:2005. Versão internacional da BS7799, homologada pela ISO (International
Standartization Organization), com objetivo de criar normas e padrões universais. Cobre os mais
diversos tópicos de segurança da informação. NBR ISO/IEC 17799:2005. Segunda versão
brasileira da ISO (primeira versão 2001). IEC (International Engineering Consortium).
Organização para o aprimoramento da indústria da informação.

Série ISO 27000. Reuni normas de segurança da informação.

A ISO 27001:2005 é a BS7799-2:2002 revisada. As mudanças são na estrutura do SGSI (sistema
de gestão de segurança da informação) - são destacados aspectos de auditoria e indicadores de
desempenho. Explodindo:
ISO 27002: Padrão que substituiu em 2007 a ISO 17799:2005 (código de boas práticas).
ISO 27003: Recomendações de definição/implementação de gestão de segurança da
informação.
ISO 27004: Mecanismos de mediação e de relatório de gestão de segurança da informação.
ISO 27005: Uma abordagem para gestão de risco das informações numa organização.
ISO 27006: Certificação, auditoria e homologação da gestão de segurança da informação.

HIPAA (Health Insurance Portability and Accountability Act-Congresso EUA,1996). Regulamentação

federal que obriga médicos, hospitais e envolvidos a atender padrões ao manipular informações
sigilosas, como registros médicos. Não afeta apenas planos de saúde mas qualquer empresa
que lide com informações de pacientes. Os seguintes pontos devem possuir garantia:
G1: informações administrativas, com regras, diretivas e procedimentos visando privacidade
empresarial e existência de planos para recuperação e contingência de desastres.
G2: trata controles físicos e regras relacionadas ao acesso físico às instalações e máquinas.
G3: trata controles de informações intangíveis armazenadas nos sistemas e seu acesso.

PCI - Segurança de Dados PCI (Payment Card Industry). Programa que define padrões de
manuseio de dados de pagamentos seja manual ou eletrônico. Lida com armazenamento,
transmissão ou processamento de dados de cartões de crédito. Ação para reduzir fraudes de
cartões de crédito em transações on-line. Na falha ao cumprimento ou falta de correção, a
empresa pode ser penalizada com multa; restrições e proibição de aceitar cartões de crédito.

Decreto GLBA (Gramm-Leachy Bliley Act). Define o que empresas de serviços financeiros
podem fazer com informações pessoais de clientes. Responsabiliza CEOs e diretores de
empresas como pessoas responsáveis pelo mau uso das informações pessoais, incorrendo em
multas.

PDCA (Plan, Do, Check e Action). Método de administração da qualidade, garantindo segurança:
Plan: definir o que quer, o que será feito e metas. Definir métodos que permitirão atingir as metas.
Do: iniciativas como educar e treinar envolvidos, implementar e executar conforme as metas.
Check: verificar continuamente se os trabalhos são executados da forma definida.
Action: corrigir rotas e tomar ações corretivas ou de melhorias, caso haja necessidade.

SDCA – Standart – para melhoria contínua e implementação em filiais.

Outras leis que envolvem Segurança da Informação.

SOX - Sarbanes-Oxley, USA. Legislação criada após problemas nas contabilidades das
empresas Enron e WorldCom. Afeta empresas de comércio público. Criada para restaurar a
confiança dos investidores nos relatórios financeiros de empresas públicas. Responsabiliza
funcionários pelo fornecimento de informações financeiras públicas precisas aos investidores.
Elaborada por membros do congresso americano S. SARBANES e Michael OXLEY, 2002.

3
Basiléia II - Basel II Accord. Diretrizes para cálculo de riscos de bancos. Visa eficiência para o
gerenciamento de riscos em banco. É necessário programa de proteção das informações.

AS/NZS 4360:2004 - Australian Standard for Risk Management. Norma Australiana/Neozelandesa

para gerenciamento de riscos. Elaborada pela Standards Austrália e Standards New Zealand
através do comitê de gestão de riscos, OB-007. Orientações para gerenciamento de riscos de
qualquer natureza. Avalia riscos com resultados positivos (ganhos) e com resultados negativos.

Significado da segurança da informação (Item 0, ISO 17799:2005). Garantir continuidade do

negócio e minimizar danos através da prevenção e redução dos impactos gerados por incidentes
de segurança. Existe para minimizar os prejuízos para a empresa.

3. PLANOS, PROCEDIMENTOS E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Política de segurança (Item 5, ISO 17799:2005). Conjunto de leis, regras e práticas que regulam
como uma organização gerencia, protege e distribui suas informações e recursos. Documento
que formaliza e detalha todo o conceito informal ou formal sobre segurança, físico ou lógico, que
deverá ser aplicado na empresa. Permite o estabelecimento de limites (direitos e deveres) do
usuário ou departamento ao utilizar um recurso da empresa. Cada empresa é única então, não
existe receita pronta. Cabe a cada organização decidir a complexidade e severidade que deverá
ser implementada de acordo com a sua necessidade. A política de segurança pode se dividir nos
blocos Diretrizes, Normas e Procedimentos, destinados respectivamente às camadas Estratégica,
Tática e Operacional:
_ Camada Estratégica (bloco de diretriz): rumo a ser seguido.
_ Tática (norma): padronização para controlar e fazer com que todos tenham segurança.
_ Operacional (procedimento): um procedimento deve possuir apenas um método de execução,
formalmente descrito.

Filosofia dos Planos

Fechado: tudo aquilo que não é permitido é explicitamente proibido.
Aberto: tudo aquilo que não é proibido explicitamente é permitido.
A documentação da política de segurança apresenta dificuldades, tais como: elaborar; imprimir;
distribuir; implementar (colocar em execução); ensinar (educar); atualizar.

Existem diversas filosofias para planos de segurança, podem-se citar os principais tipos (4 P’s):
_ Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido.
_ Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido.
_ Proibitivo: tudo aquilo que não é permitido é explicitamente proibido.
_ Permissivo: oposto ao proibitivo. Tudo aquilo que não é proibido é explicitamente permitido.

Formato dos procedimentos de segurança. Faz-se protegendo todos os elos da corrente, todos os
ativos do negócio. Se algo falhar, todo o processo falha. Deverá possuir as características:
_ ser fácil de entender ou não será posto em prática;
_ ter sua finalidade explicada ou será ignorado;
_ ser implementado com energia ou exceções serão criadas e virarão regras;
_ possuir sanções para os violadores;
_ o colaborador deverá conhecer apenas os procedimentos que lhe dizem respeito;
_ deve estar documentado formalmente;
_ ser aprovado pelo mais alto nível da hierarquia da empresa;
_ ser claro e conciso;
_ ser elaborado por um responsável direto (CSO);
4
_ ser dirigido para atingir o nível de segurança adequado aos bens que se quer proteger;
_ causar o mínimo de alterações no funcionamento da organização;
_ não deve ser muito específico (senão a atualização o tornará inviável);
_ ser possível executar;
_ quantificar os recursos necessários para seu funcionamento;
_ prever ações concretas e quem as realiza;
_ prever o que fazer em casos de falha na execução dos procedimentos (plano B).

Fatores para o sucesso da política de segurança.

_ Possuir cultura organizacional (consciência coletiva) e muita cooperação..
_ A alta direção deve estar comprometida e dar amplo apoio aos implementadores.
_ Deve ter bom entendimento dos requisitos de segurança, avaliação e gestão de riscos.
_ A presença de um marketing interno eficaz para a segurança dentro da organização.
_ Divulgação e treinamento a funcionários e contratados.
_ Alocação de recursos pessoais e financeiros.
_ Ter embasamento jurídico, no tocante a ações / punições eventuais a serem aplicadas.

Diretores responsáveis nas empresas

_ CIO - chief information officer (chefe de TI– fluxo informação). Responsável pelo planejamento e
estratégia por trás da tecnologia. Pode ser também chief imagination officer.
_ CTO - chief technology officer (chfe de TI – infra). Existe uma confusão grande. Geralmente o
CTO comanda a infra-estrutura da área de tecnologia e o CIO o seu uso estratégico.
_ CFO - chief financial officer (chefe de finanças). Um nome sofisticado para diretor de finanças.
_ CEO - chief executive officer (presidente). Cargo mais alto da empresa. É chamado de
presidente, principal executivo, diretor geral, e outros. Quando existe presidente e CEO, o
primeiro é mais forte.
_ CRO - chief risk officer (chefe de gestão). Além de gerenciar o risco nas operações financeiras,
o CRO também é responsável por analisar as estratégias do negócio, a concorrência e a
legislação.

CSO: Chief Security Officer (chefe de Segurança) - responsável pela segurança da informação
global, enxergando a organização como um todo. Responsável pela segurança física, pelos
serviços de proteção e privacidade da corporação e de seus colaboradores. Responsável por
coordenar atividades corporativas e suas implicações de segurança. Conhecimentos e
características do profissional:
_ visão generalista (visão global com ação local).
_ sólidos conhecimento em gestão de projetos.
_ sólidos conhecimentos de sistemas de gestão.
_ perfil executivo.
_ saber lidar com pessoas.
_ ser atento às necessidades de negócio.
_ atuar orientado a resultados, encontrando o equilíbrio entre a proteção corporativa, seus
riscos e retornos de investimentos através de métricas e indicadores.
_ ter bom senso e senso crítico.

4. ANÁLISE DE RISCOS: ATIVOS, VULNERABILIDADES, AMEAÇAS E IMPACTOS

Análise de risco. Se a organização conhece os riscos e as ameaças que colocam em perigo o

alcance dos seus objetos, tem mais chances de alcançá-los, pois é possível planejar
procedimentos para a redução deles. Como segurança é um sentimento e não um dado exato,
não há a forma correta de se avaliar riscos.

5
_ Ter risco significa ter chance: quando monto uma rede, não posso garantir disponibilidade total.
Quando atravesso uma rua posso ser atropelado.

Pilares da segurança: Física, Técnica e Lógica, necessárias, complementares e integradas.

Risco. Risco é perigo ou possibilidade de perigo. É a probabilidade de acontecer algo, pela

exploração das vulnerabilidades, provocando possíveis problemas e impactos. É um contexto que
inclui as ameaças, vulnerabilidades e o valor a proteger.

Análise de risco. É o processo de avaliar o que é ou não aceitável para uma organização. Só
devemos aceitar um risco, quando o custo do controle aplicado para mitigá-lo, for maior do que o
custo do bem em risco. O nível de risco no qual se opera é denominado de risco aceitável.

Técnicas de análise de risco. A análise de risco deve ser feita considerando vários aspectos
como: Ativos; Ameaças; Vulnerabilidades.

Para cada cenário deverão ser previstos:

_ prejuízos; _ custos; _ benefícios; _ recursos envolvidos para evitar a concretização do risco;

Classificação dos ativos. Podem ser classificados em tangíveis e intangíveis:

_ Tangíveis
_ Aplicações: Ferramentas de gerenciamento (ERP) e outros.
_ Equipamentos: máquinas, mídias - qualquer equipamento que manipule informações.
_ Informações: tecnologias(VPN - Virtual Private Networking), patentes, senhas, pastas ou outros.
_ Organização: localização áreas de importância relevante, como a estrutura dos servidores.
_ Usuários: alta administração, administradores de rede, operadores de sistemas críticos, e
usuários chave.
_Intangíveis. Imagem, reputação, credibilidade, habilidade de desenvolvimento de atividade.

Identificação dos ativos

_ Ativos físicos: Equipamentos computacionais (laptop, modem). Mídias magnéticas.
_ Serviços: Serviços de comunicação e processamento. Climatização. Iluminação. Refrigeração.
_ Ativos de software: Aplicativos. Sistemas. Ferramentas de desenvolvimento. Utilitários.

Vulnerabilidades. Fraquezas associadas aos ativos da organização, que caso exploradas por uma
ameaça representam riscos concretizados a organização. É o ponto onde o sistema poderá ser
suscetível a ataque.
_ A localização física dos prédios deverá ser observada conforme: Linhas de comunicação podem
ser escutadas ou interrompidas? Ocorre a existência de Modems? Mesmo que as ameaças
pareçam insignificantes, todas as possíveis vulnerabilidades devem ser identificadas.

Ameaças. Algo que possa resultar em incidentes causando danos e prejuízos a uma organização.
Normalmente é difícil evitar a ocorrência de tais eventos, porém eles podem ser facilmente
detectados.
_ Ameaças naturais: fenômenos de natureza, chuva, fogo, furacão, terremoto, raio, etc.
_ Ameaças físicas: acesso/uso não autorizado, desvio de mensagens, roubo de equipamentos,
ameaça de bomba; acidente de construção, aéreo, marítimo, nuclear, químico, rodoviário, etc.
_ Ameaças não intencionais. Geralmente ocorre por ignorância dos envolvidos: Falta de
treinamento do usuário. Não entendimento de documentação. Arquivos enviados por engano,
abandonados ou esquecidos, etc. Listagens abandonadas em cestas de lixo.
_ Ameaças intencionais. Partem do meio interno ou externo. Exemplos: Obtenção física de
arquivos, discos, listagens, por roubo, cópia, ... Tentativa de identificação ou autenticação como
6
usuário legítimo. Ação do operador revelando medidas de proteção. Ação do pessoal de
manutenção utilizando de forma indevida utilitários ou equipamentos. Ação de programadores
explorando o sistema, desarmando proteções, forçando acessos. “Grampos” na comunicação.

Outros exemplos de ameaças. Acesso de pessoas não autorizadas; Acessos remotos indevidos;
Alteração indevida de dados; Funcionário descontente; Ataque de negação de serviços; Ataque
terrorista; Ataques de dicionário; Ataques de força bruta; Ataques por vírus (código hostil no
geral); Atos de vandalismo, Black-out; Calor; Criminoso cibernético; Dano intencional aos
sistemas/dados ou instalações; Desatualização ou imprecisão de dados; Descoberta de senhas;
Desvio fraudulento de recursos; Distúrbio civil; Divulgação de informações e de dados;
Engenharia social; Erros e acidentes; Espionagem de rede, industrial ou do governo; Execução
arbitrária do código; Falha de correio eletrônico, de hardware, sistema operacional, software
aplicativo, de instalação/fornecimento de energia elétrica, em rede, na entrada de dados, nos
controles ambientais, Falta de responsabilidade individual; Fogo; Greves. Magnetismo; Multas;
Paralisação de serviço ou de transporte; Pirataria e pornografia; Proximidade à zona de alta
criminalidade, de instalação militar, de presídio/delegacia; Seqüestro de dados.

Atitudes após conhecer ativos, vulnerabilidades e ameaças:

_ Aceitar: custo de implementação é maior que impacto negativo que o risco poderá trazer.
_ Diminuir: colocar em práticas ações com o objetivo de reduzir o risco.
_ Ignorar: não dar nenhum tipo de importância e acreditar que nada irá acontecer.
_Transferir: transferir risco a terceiro, criando compensações, sempre menores, sobre as perdas.

Técnicas de análise de risco.

_ Análise subjetiva: escrever vários cenários como base para sessão de brainstorming.
_ Análise quantitativa: mensurar os impactos financeiros provocados por uma situação a partir da
valoração dos próprios ativos. Para cada ameaça quantificar a sua incidência. Estimar o valor dos
prejuízos e o custo de combater a ameaça. Pesar as várias ameaças para obter um valor final.
_ Análise qualitativa: permitem estimar os impactos aos negócios provocados pela exploração de
uma vulnerabilidade por parte de uma ameaça. Podem pegar ao mesmo tempo valores tangíveis
e intangíveis. Tem eficiência superior, pois abrange o processo como um todo.

Impacto. Mede efeitos positivos/negativos da atividade: Perda financeira; Abalo na imagem;

Multas; Prejuízo operacional; Alteração no número de pessoas para a execução do processo...

Resumindo, deve-se analisar:

_ Ativo: corresponde a entidade ou objeto alvo da função de segurança.
_ Vulnerabilidade: uma fraqueza do ativo.
_ Ameaça: ação, atitude ou situação em que a vulnerabilidade de um ativo possa ser explorada.
_ Agente agressor: entidade responsável pela exploração da ameaça.
_ Perímetro de proteção: linha imaginária, física ou lógica, em que a ameaça possa atingir o ativo.

5. MÉTODO GUT PARA ANÁLISE DE RISCOS

Medidas de segurança. Estabelecidas em função de tempo e necessidade, podendo ser de 4

tipos e sendo geralmente conhecidas como medidas PDCR.
Preventivas: ação de tentar evitar que o problema ocorra. Exemplo: antivírus.
Detectivas (preditiva): ação de detectar um determinado problema. Exemplo: vshield na memória.
Corretivas: corrigir algo que não conseguiram evitar. Exemplo: clean no arquivo.
Restauradoras: recuperar algo perdido. Exemplo: restore do arquivo danificado.

7
Mapeamento de processos. Identificar e mapear processos internos torna a empresa mais
competitiva, otimiza o tempo e alcança melhores resultados. É uma ferramenta simples que pode
ser adotada por qualquer empresa. Qualquer organização é composta por processos tanto de
natureza técnica como social. Estes processos são as atividades de negócio que a empresa
desenvolve para gerar valor, satisfazer as necessidades dos seus clientes e criar rendimento.

Matriz de GUT (Gravidade, Urgência e Tendência). A prioridade das ações pode ser encontrada
utilizando a matriz GUT. A prioridade final é composta pela análise e produto das 3 dimensões
GUT: Impacto=GravidadexUrgênciaxTendência.
Gravidade. Considerar a severidade dos impactos relacionados ao processo analisado. Exemplo:
o que seria do Telemarketing se toda a base de dados dos clientes fosse corrompida?
Urgência. Considerar o tempo da duração dos impactos relacionados ao processo analisado: o
que aconteceria com a empresa exemplo se a base continuasse corrompida por mais de 07 dias?
Tendência. Considerar a oscilação dos impactos relacionados ao processo analisado: o que
aconteceria com a empresa se a base ficasse comprometida a curto, médio e longo prazo?

Sistema de coloração da matriz GUT. Os valores obtidos depois da análise são multiplicados
gerando o impacto final, na faixa de valores de 1 a 125. O objetivo é facilitar a identificação rápida
do processo e sua prioridade. O resultado é posicionado por cores onde as faixa de 1 a 42, 43 a
83 e 84 a 125 devem ser sinalizadas respectivamente por cores verde, amarela e vermelha.
Desta forma poderá ser visto qual ativo ou processo tem maior impacto negativo em incidente.
Obs. Acidente: Acontecimento casual, fortuito, imprevisto. Incidente: Que incide, ocorre,
circunstância acidental.
76
Análise de risco. Existem diversas formas de calcular o risco, dependerá dos índices a serem
utilizados. Um exemplo seria a seguinte equação matemática: R =((TA x TV x TI)/M), onde
R =Risco. TA =Total de Ameaças. TV =Total de Vulnerabilidades. TI =Total de Impactos. M
=Medidas de Proteção. Nesta fórmula ainda poderia ser acrescentada a variável P, onde P seria
probabilidade de ocorrer o evento (vezes por ano). Ficaria então: R =((T.A X T.V X T.I)/M)*P.

Revisão constante Riscos/Ameaças/Vulnerabilidade. Este trabalho não deve ser feito apenas uma
única vez. Novos riscos, ameaças e vulnerabilidades podem surgir. Mudanças são constantes. Os
riscos podem ser identificados, porém, não é possível sua total eliminação. Os riscos podem ser
quantificados, porém, não é possível quantificar na sua totalidade. Não importa quanto seja
seguro um sistema, ele sempre poderá ser atacado. O sucesso no ataque depende dos recursos,
tempo, motivação e dinheiro empregado. Exemplo: calcula-se que o roubo de dados de 1 unidade
de smart card, custe R$ 100.000,00 envolvendo equipamentos e habilidades que o atacante
deverá possuir.

Quando é melhor investir em segurança. Após a análise de risco é recomendável fazer a análise
de custo benefício. Este cálculo pode ser simples ou complexo dependendo das abordagens e
dos ativos envolvidos: É necessário trocar o equipamento, reparar o equipamento, recriar o
ambiente, recriar a informação (o mais complexo e o mais caro).

Fluxo da análise de risco. Escopo. Ativos. Vulnerabilidades. Ameaças. Impacto. Probabilidade.

Risco.

Valor do ativo. Valor da reposição, da informação no mercado, da perda aos negócios e de

credibilidade. Determinação da probabilidade, Registros históricos, Conhecimento e experiência.
Observar as medidas de segurança já implementadas.

8
Existem diversos erros na análise. Um escopo muito abrangente. Período de tempo da análise
muito longo ou muito pequeno Falta de comprometimento da alta ADM. Basear-se
exclusivamente na tecnologia. Basear-se exclusivamente nas pessoas. Falta de verbas para
mitigação (suavização, diminuição). Equipe diminuta. Não conhecimento total do negócio da
empresa. Falta de tempo.

BIA - Business Impact Analisys - Análise de Impacto dos Negócios. Uma atividade estruturada
que visa quantificar prejuízos potenciais, financeiros e operacionais, causados por interrupção ou
desastre dentro de uma empresa. Com a utilização da técnica, fica mais fácil avaliar a importância
dos negócios da empresa, sendo possível identificar a ordem que se deve adotar para restaurar
cada processo afetado. Existem várias ferramentas que ajudam na gestão dos dados.

BIA: fases do projeto

1. Definição do escopo do projeto. Fase onde é definida claramente para a alta administração,
qual será o foco do trabalho: empresa toda? uma filial? área de TI? Etc. Esta fase tem alguns
problemas como: tempo para decisão, aprovação de verbas e resistências internas.
2. Identificação das informações importantes dentro do escopo definido: analise com maior
profundidade do que foi escolhido e quais informações são importantes para o trabalho.
3. Elaboração de questionário de levantamento de acordo com a área envolvida. Não deixar
margem para dupla interpretação. Fixar prazos para o retorno dos documentos entregues.
4. Selecionar o público alvo do questionário: Pessoas chaves (gerentes e responsáveis pelos
processos). Estas pessoas estão sempre ocupadas e provavelmente repassarão o questionário.
5. Análise das respostas dos questionários: verificar coerência, se incoerente, as pessoas
deverão ser re- entrevistadas. Áreas mais críticas merecem maior atenção.
6. Fechamento das respostas e relatório final: Demonstração do levantamento para a direção da
empresa. Cuidado com dados errados e questionários não verificados.

6. CUSTODIANTE DA INFORMAÇÃO

Proprietário da informação. É o órgão gerador do ativo de informação. Cada informação deve

ter um autor "dono", capaz de estimar em que nível de criticidade ela se enquadra.

Custodiante da informação. Órgão ou função administrativa na empresa que

mantém sob sua guarda bem de informação.

Atribuições e responsabilidades do custodiante. Manter a confidencialidade,

integridade e a disponibilidade do bem de informação. Executar serviços com os bens
custodiados. Definir as necessidades de proteção do bem. Autorizar e cancelar
acessos. Quando for o caso, definir o depositário do bem. Adotar os controles definidos.
Providenciar proteção física. Estabelecer política de backup. A área de informática mantém a
custódia dos bens de informações da empresa.

Conceito de classificação. Classificar significa ordenar e dispor em ordem. Uma

ordem consiste de um número de elementos quaisquer que possuem característica
comum pela qual devem ser diferenciados de outros elementos, proporcionando
unidade. Classificar é escolher uma entre várias classificações possíveis, encontrando
para a escolha feita, razões justificáveis.

Porque classificar a informação? As informações não possuem os mesmos níveis de

confidencialidade. Quanto mais informatizado o ambiente, maior a vulnerabilidade. Respostas a
determinadas situações variam de acordo com tempo e condições do momento.

9
Política de classificação da informação. Assume a ponta no processo de implementação
da estratégia de segurança, porque fornecerá critérios para identificar quais
informações tem valor. Com a classificação da informação pode-se identificar uma
situação de risco mais facilmente e reagir em menor espaço de tempo e adotar
procedimentos e ferramentas de proteção adequadas a cada tipo de informação,
reduzindo os custos e aumentando a segurança.

Classificação da informação quanto a sua sensibilidade. Classificando as

informações de acordo com sua sensibilidade e controlando o acesso de acordo com
essa classificação, a organização poderá definir os modelos e as tecnologias que
utilizará para preservar o CINDAL dos dados. A classificação da informação
desenvolve-se de acordo com a criticidade de cada informação. Com a classificação
desenvolvida é implementado o melhor modelo para controle de acesso de acordo
com as características da organização. Estes modelos irão definir as regras para
controlar o acesso aos diversos tipos de informações.

Norma de classificação da informação. Deve ser abrangente para ser eficaz.

Considerar todos os tipos de informação e todas as etapas de seu ciclo de vida seja
ela apresentada em suporte físico ou eletrônico. Não basta definir onde serão
guardadas as informações. Deve-se preocupar com a forma de registro e
acompanhamento do trâmite. O principal instrumento de controle de documentos do
sistema de arquivos é a tabela de classificação, que regula o arquivamento,
estabelecendo prazos, critérios e responsáveis pela conservação e eliminação de
documentos.

O valor da informação. Outro parâmetro que ajuda a classificar a informação é a

identificação do valor da informação. Está atrelado a diversos itens como:
_ Valor da utilização ou uso da mesma: uso final que se faz da informação. Pode ser
valioso para mais de um indivíduo ou grupo.
_ Valor como moeda de troca: aquilo que o usuário está disposto a pagar. Mudará de acordo com
as leis de oferta e procura (valor de mercado). Pode ser maior, menor ou igual ao valor de uso.
_ Valor de substituição: está relacionado à substituição de um bem em particular, pois algumas
informações têm alto valor para quem as possui. Porém possui valor limitado para troca ou uso.
_ Valor do segredo da informação: relacionado à informação secreta e de interesse comercial.

Como classificar? Deverão ser classificadas de acordo com a necessidade da empresa. Uma
opção é usar as descrições: SECRETA, CONFIDENCIAL, RESTRITA, INTERNA, PÚBLICA.

Recomendações para classificação

_ SECRETA: informação que proporciona um diferencial competitivo e que revela
estratégias específicas de negócio.

_ CONFIDENCIAL: seu conhecimento, uso e acesso são restritos a um grupo específico

da alta administração da empresa e dos usuários por ela designados
nominalmente, não podendo ser divulgada total ou parcialmente, em qualquer
formato a outros usuários não designados.

_ RESTRITA: informação cujo acesso deve estar restrito aos usuários que dela
necessitam para cumprir suas tarefas. Sua revelação externa causaria danos à
empresa.
10
_ INTERNA: informação de uso restrito a assuntos pessoais, técnicos ou
organizacionais que tornam seu uso possível somente dentro da empresa.

_ PÚBLICA: informação que pode estar disponível para usuários externos ao

ambiente da empresa, incluindo clientes e fornecedores, sem que exista restrição em
assuntos pessoais, técnicos ou organizacionais e cuja divulgação indevida não
acarrete impacto a empresa.

Outra forma para classificar as Informações

_ Vital: essenciais para a sobrevivência da empresa. Sua destruição pode ocasionar
encerramento das atividades da organização.

_ Crítica: cruciais para os objetivos da empresa. Em caso de perda, a organização pode vir a ter
suas metas seriamente comprometidas, tendo que enfrentar prejuízos financeiros ou de
imagem.

_ Valiosa: valiosas para segmento ou indivíduo dentro da empresa. Sua perda pode causar
transtornos para funções de negócios dentro da organização.

7. SEGURANÇA FÍSICA: LOCALIZAÇÃO FÍSICA E RECOMENDAÇÕES

Evolução do parque de informática

_ Downsizing: troca dos dispendiosos mainframes por outras de menor porte.
_ Rightsizing: adequar as plataformas de processamento de dados às necessidades da empresa.
_ Os equipamentos: estão muito próximos aos usuários, facilmente danificados por eles.

Segurança física – CINDAL

_ É tratada com indiferença. Corresponde aos recursos materiais dos ambientes e plataformas
operacionais: Hardware, Insumos (formulários, discos), Componentes (cabos, no-break), Itens
que podem fazer com que a empresa tenha prejuízos de impactos elevados.

Os riscos ao ambiente
_ Explosão; Magnetismo; Fogo; Radiação; Poeira; Umidade/vapor; Vandalismo; Roubo; Aceso
indevido; Impacto de escombros; Gases corrosivos; Fumaça.

Localização física
_ Fundamental para segurança ambiental e evitar incidentes. Evitar instalações próximas à:
depósitos de tintas; tanques de combustíveis; terrenos abaixo do nível de rios; antenas.

Segurança no cabeamento
_ A separação entre cabos de dados e cabos de energia elétrica é medida para prevenção de
interferências. A proteção física dos cabos pode ser feita com conduítes e canaletas. A
identificação do cabeamento é importante para manutenções e expansões. Uma varredura inicial
deverá ser feita para identificar dispositivos não autorizados conectados aos cabos. O
cabeamento de rede deve ser protegido contra intercepção não autorizada e danos.

Exposição ao fogo
Ambientes vizinhos podem colocar em risco o seu ambiente. Verificar:
_ Se os materiais dos prédios vizinhos são resistentes ao fogo;
_ O estoque e volume de papéis nas vizinhanças de sua empresa;
11
_ Uso de cortinas, carpetes e móveis, que são combustíveis;
_ Dispositivos de detecção;
_ Dispositivo de desligamento de energia em caso de incêndio;
_ Porta corta fogo;
_ Iluminação de emergência;
_ Localização dos acessos e saídas de emergência;
_ Treinamento do pessoal e testes periódicos dos equipamentos.

Plano de contingência
_ Não basta ter uma atitude reativa. Devemos prevenir, evitando que o incêndio aconteça. Por
isso, cabe ao profissional detectar possíveis situações que causariam incidentes. Poderemos
utilizar os seguintes componentes para
identificar possíveis problemas:
_ Sistemas de detecção especialista;
_ Pessoas com vivência na área;
_ Detectores ópticos;
_ Sensores de temperatura;
_ Detectores por ionização que reagem às partículas carregadas na fumaça.

Mecanismos de combate ao fogo em ambiente de TI

_ Atualmente a extinção automatizada de fogo é feita com a utilização do gás FM200, que
dimensionado corretamente pelo volume da sala, é eficaz e não tóxico as pessoas, ao contrário
do gás carbônico que é letal. O gás FM200 diminui a concentração de oxigênio do ambiente de
forma a apagar o fogo e não prejudicar a humanos.

_ Gás carbônico. Foi largamente usado e ainda está presente em boa parte das
instalações. É incolor, porém, muito letal, já que o mesmo remove o oxigênio do local.
Deve ser utilizado em instalações onde não existam pessoas, caso contrário, a sala
deverá permitir tempo de escape do local ou possuir portas de liberação manual.
Além disso, o CO2, quando liberado, provoca mudança brusca na temperatura do
ambiente, podendo ser prejudicial aos equipamentos.

Água
_ Aberturas na laje, podem ser caminho para inundação do andar abaixo. É importante observar:
_ Condições do subsolo; do telhado e laje e dos materiais utilizados nas tubulações;
_ Localização adequada das tubulações;
_ Localização do prédio referente a risco de enchente;
_ Proteção contra umidade.

Climatização
_ Os CPDs são dependentes das instalações de climatização, em função das exigências de
níveis de temperatura e umidade inerentes dos equipamentos. Um sistema de condicionamento
de ar mantém um ambiente isento de impurezas e deixa o clima em condições ideais e estáveis.
Devem ser observados:
_ Exclusividade do sistema;
_ Dimensionamento adequado do equipamento;
_ Redundância de equipamento;
_ Controle e registro de temperatura ambiente e umidade relativa do ar;
_ Ser automático quanto aos controles e ajustes.

Eletricidade
12
_ O que faz com que um computador fique ligado é a energia elétrica. Parar manter a
disponibilidade operacional do ambiente de TI, observar qualidade das instalações, cabos,
transformadores, estabilizadores e outros; exclusividade das instalações elétricas; qualidade do
fornecimento das prestadoras de serviço.
_ A energia elétrica fornecida deve ser estabilizada e ininterrupta. Recomenda-se que
toda a alimentação seja fornecida por sistema no-break, que além de fornecer energia
limpa, atua como fonte alternativa. Deve ser dimensionado para suportar 50% a mais
da máxima carga a ser utilizada, devido aos picos de demanda. Deve ser modular
para permitir expansões futuras.

Tipos de sites alternativos

_ Cold Site: Local contendo os suprimentos necessários para instalação de um
sistema de computador. Em uma situação emergencial, pode-se obter do prestador
de serviços a instalação de computadores de backup nesse ambiente. Porém, a
empresa poderá estar sem capacidade de processamento por um prolongado período
de tempo. Além disso, não permite que o local seja utilizado para testes periódicos de
recuperações estratégicas.

_ Warm Site: Equipamentos similares ao site original de trabalho. Porém, não

contém as cópias de backup das informações e está sujeitado ao tempo de restore da
base de dados. Preparado para manter o site backup em funcionamento por um longo
tempo. Dentre os equipamentos que estão no warm site podemos citar: Cadeiras;
Mesas; Telefones; Fax; Acesso a internet.

_ Hot Site: Equipamentos e dados permanecem no local à disposição, para ser utilizado quando
a contingência acontecer, sendo somente necessário levar os colaboradores para o local físico do
hot site. Suas principais vantagens são a possibilidade de ser testado periodicamente e a
velocidade de retomada de funcionamento em desastre. Uma desvantagem é que empresas com
uma grade parque de equipamentos de processamento instalados podem ter problemas de
compatibilidade com os serviços de recuperação oferecidos. Outra desvantagem é o custo para
montar e manter um site de contingência espelho do original.

Segurança das estações de trabalho

_ Formatação da estação de trabalho com a utilização de softwares originais.
_ Aplicação de path’s de segurança.
_ Instalação de antivírus.
_ Desabilitação de serviços desnecessários.
_ Instalação dos softwares específicos para cada estação de trabalho.
_ Desabilite a conta CONVIDADO.
_ Cuidado na exposição da senha do administrador local da estação de trabalho.
_ Projeto de descontinuidade das estações de trabalho.

Outros problemas de segurança física

_ Os postos de trabalho são mais acessíveis fisicamente.
_ Atualmente os telefones celulares possuem câmera e documentos confidenciais podem ser
fotografados.
_ Computadores, terminais e impressoras não devem ser deixados ligados quando não estiverem
em uso.
_ Documentos impressos não recolhidos pelos funcionários.
_ Papéis e mídias de computador serem deixados em locais não seguros.
_ Copiadoras com uso não autorizado fora do horário normal de trabalho.
13
_ Material confidencial sobre a mesa.
_ Documentos jogados no lixo sem trituração.

Monitoração do ambiente
_ É recomendável circuito fechado de TV, para vigilância constante no interior da sala
e no perímetro externo, podendo ser configurado para soar alarme em caso de
invasão. As imagens devem ser armazenadas. O tempo de retenção é variável. Cresce
o uso de câmera IP, tornando possível o monitoramento remoto, permitindo ainda, o
acionamento de alarmes remoto.

Controle de acesso físico. Processo para dar permissão ou estabelecer limites nos direitos de
acesso à áreas ou objetos. O objetivo é aumentar a segurança de acesso às áreas delimitadas.
Dependendo do impacto e do risco:
_ Instalação de uma central de segurança;
_ Hall de entrada com portas de acesso controladas por sistemas automáticos;
_ Portas com dispositivo de acionamento elétrico para liberação de abertura;
_ Comunicação acessível para estabelecer comunicação com o responsável pela autorização;
_ Bloqueio de múltiplos acessos, ou seja, permitir que somente uma pessoa entre, a cada acesso.

Mecanismos de proteção
_ Identificação para acesso como crachás ou cartões magnéticos. Devem conter indicação visual
dos privilégios de acesso. Devem ter número de série único, de forma a identificar. Dificultar
falsificações. Identificar funcionário/visitante com verificação de dia/hora. Controle da entrada de
objetos estranhos e local. Utilização de sensores internos e externos contra intrusões, possuindo
ligação a uma central de segurança. Controle sobre a posse das chaves do local.

8. GARANTIA DE REDUNDÂNCIA NOS AMBIENTES CORPORATIVOS

Recomendações de segurança para as instalações dos equipamentos

Deverá ser proibido o uso de fumo, alimento e bebidas próximo aos equipamentos.
Procedimentos de usuários deverão ser formalmente descritos, considerando:
_ Obrigatoriedade de desligar e cobrir os equipamentos ao final do expediente;
_ Proibição do remanejamento de equipamentos sem autorização;
_ Cuidados a serem adotados no uso de equipamentos, disquetes e relatórios;
_ Periódica orientação a cada usuário sobre deveres e responsabilidades.

Recomendações de segurança para as instalações dos equipamentos. Os postos de

trabalho são geralmente mais acessíveis fisicamente. Os usuários devem ser
encorajados a manter os seus trabalhos nos servidores. Além de evitarem a
possibilidade de acesso local, beneficiam-se de backups periódicos.

Outros problemas de segurança física

_ Uso de telefone celular com câmera para fotografar documentos.
_ Documentos jogados no lixo sem trituração.
_ Senhas anotadas em papéis.
_ Material confidencial sobre a mesa.
_ Papéis deixados na impressora da rede.
_ Papéis não triturados.

Política de mesa e tela limpa

_ Computadores, terminais e impressoras não devem ser deixados ligados quando não em uso.
14
Os documentos impressos (impressões, fax ou fotocópias) devem ser recolhidos logo após sua
geração ou emissão, não podendo ser mantidos nos aparelhos ou proximidades. Papéis e mídias
de computador devem ser guardados de forma adequada. Copiadoras devem ser protegidas
contra o uso não autorizado fora do horário normal de trabalho.

Os equipamentos móveis. Notebook, pen drive e outros.

_ Podem conter: Informações de acesso remoto, correio eletrônico, arquivos
anexados, nomes de contatos, senhas e agendas de compromisso. O valor do
equipamento é irrisório se comparado às informações armazenadas.

_ Utilize cable locks ou cadeados presos por cabos de aço. Alguns que possuem mecanismo de
alarme em tentativa de corte do cabo ou violação do cadeado. Instalar equipamentos para
rastrear e bloquear acesso à rede quando o dono comunicar perda ou roubo.

_ Um seguro minimiza prejuízo financeiro com perda de equipamento, mas fique atento às
cláusulas contratuais, principalmente as que citam a não cobertura do seguro para: furto simples,
desaparecimento inexplicável e extravio. Os seguros geralmente não cobrem equipamentos que
são furtados por de descuido.

Inventário dos ativos da informação

_ O inventário de hardware deve compreender todos os componentes e periféricos, os
equipamentos de comunicação, as mídias magnéticas e outros.
_ Deverá conter informações sobre fornecedor, tipo do ativo, número de série, marca e modelo,
data da aquisição, localização física, proprietário, responsável e criticidade e outras informações
necessárias.
_ Ferramentas automatizadas como SMS (Microsoft) e outros softwares de inventários de
hardware e software podem ser utilizados.

Infra-estrutura e redundâncias
_ Sites seguros não saem do ar. Os equipamentos de apoio, no-breaks, geradores,
condicionadores de ar e refrigeração, devem ter capacidade ociosa.
_ Multas por perda de arquivos. Artigo de lei 8.218/91 aplica multa de 5% sobre o valor das
operações comerciais fiscais/contábeis aos contribuintes que omitirem ou prestarem
incorretamente informações solicitadas em arquivos magnéticos formatados e guardados à
disposição da Receita Federal.

Sistema de tolerância à falhas

_ Sistema de proteção para dar alto grau de confiabilidade na proteção das informações
armazenadas em servidores de rede. É conhecido por Tolerance Faults. A tolerância a falhas
geralmente é feita pela duplicação dos recursos. Isso aumenta o custo da solução. Não se
resume a no-breaks.

Servidores e equipamentos de rede

Com relação a servidores e equipamentos de rede, a redundância de alguns componentes é vital
para evitar possíveis falhas durante a utilização.
_ Fontes redundantes. No caso de falha, a fonte redundante estará fornecendo a energia
necessária para o ponto de distribuição do sistema. Observar se as fontes redundantes possuem
o recurso hot-swap (troca a quente) - possibilitam que as mesmas sejam trocadas com a máquina
ligada, sem derrubar a rede.
_ Outros componentes que deverão ser observados quanto à necessidade ou não de duplicação.

15
9. CONTROLES BIOMÉTRICOS

Tipo de sistemas de controle de acesso/exemplo.

_ Automáticos: independem de ações humanas: acesso por meio de senhas.
_ Semi-automáticos: dependem de interação humana: porteiro eletrônico.
_ Manuais: supervisão apenas humana: validação de crachás por porteiros.

A preocupação não deve ser apenas na entrada, mas também na permanência.

Identificação. Existem várias formas de identificação:

_ Identificação tradicional: feita através de documentos e fotos.
_ Identificação automática: dividida em 2 subsistemas:
_ automática indireta e transferível: por meio de objeto de sua posse ou de uma
chave.
_ automática direta e intransferível: por parte do corpo ou característica física.

Credenciais de segurança da autenticação

_ Algo que você possui: CPF, smart card, etc.
_ Algo que você sabe: senha, código, etc.
_ Algo que você é ou tem: Exemplos: impressão digital, íris, DNA, etc.
_ Atualmente, algumas aplicações incluem: Local onde você está.

Definição de biometria
Utilização de característica física ou comportamental do ser humano para verificar sua identidade.
Ciência que usa tecnologia digital para identificar indivíduos, baseado em métricas físicas e
biológicas. Vem do grego, Bio (vida) e Métron (medida), aplicação de medidas matemáticas à
biologia. Início por volta de 1970, nos departamentos governamentais dos Estados Unidos. Em
1976 por exemplo, com características geométricas da mão, motivado pela Guerra do Vietnã.

Como funciona
O usuário registra-se através de um meio físico, permitindo a coleta de um elemento mensurável.
Características-chave são armazenadas traduzidas a um formato de planilha biométrica. Para
acesso é preciso que apresentar a característica biométrica correspondente ao padrão registrado.

Taxa de credibilidade e desempenho

Índices FA (Falsa Aceitação), FR (Falsa Recusa) e taxas FAR (False Acceptance Rate) e
de FRR (False Rejection Rate).
_ FA: possibilidade de por erro, identificar ou validar uma pessoa por outra.
_ FAR (taxa de falsa aceitação): mede desempenho (quanto maior, pior).
_ FR: possibilidade de que pessoa válida não seja reconhecida pelo sistema.
_ FRR (taxa de falsa rejeição): mede o desempenho da recusa por meio da taxa.
Estes índices podem ser ajustados. Falsa recusa causa frustração e falsa aceitação
fraude.

Biometria - impressão digital

Um dos mais antigos e simples. Analisam marcas na imagem do dedo – terminações/bifurcações
dos sulcos (minúcias). Existem em média 30 a 40 minúcias em uma imagem de impressão digital.

Sistema AFIS. AFIS -Automated Fingerprint Identification System.

Baseado na comparação de minúcias. Usado principalmente em aplicações criminais.
Identificação de latentes (fragmentos) de impressões. Aplicação civil: registro e
16
identificação.

Biometria - face
O rosto humano contém grande quantidade de características únicas, manuseando geometria e
proporções da face. Medidas básicas: distância entre olhos, entre boca, nariz e olhos,

Envolve inteligência artificial, algoritmo com sistema analógico parecido com o cérebro humano. A
imagem térmica é mais sofisticada, sendo necessária a utilização de câmeras mais especificas.

Biometria - assinatura
Não analisam as formas das letras, que poderiam ser copiadas e falsificadas. Na captura é ideal
de 3 a 4 assinaturas para comparação e aprovação. Analisam características comportamentais:
_ Observa-se o modo de assinar, e não a assinatura; _ Pressão da caneta;
_ Ângulo da caneta; _ Número de vezes que a caneta levanta; _ Aceleração.

Biometria - olho
_ Íris (círculo colorido que envolve a pupila). Câmera obtém a imagem sem incômodo ao usuário.
_ Retina: camada de vasos sanguíneos no fundo do olho. Considerado um sistema preciso. Pode
ser afetado por óculos. Utiliza luz de baixa intensidade e incômoda na captura de dados.

Biometria – geometria da mão, dedo e palma

Baseado nas características da mão de uma pessoa. Trata-se de sistemas tridimensionais que
utilizam um scanner especialmente desenhado para capturar a imagem desses três elementos
biométricos: _ Imagem tridimensional; _ Formato; _ Largura.

Biometria – timbre vocal

Um dos sistemas mais utilizados nos anos 80. Transforma sons em sinais analógicos e depois em
sinais digitais. A maioria usa texto fixo, porém randômico. Pode ser afetado por enfermidades que
mudam a tonalidade vocal. Ruídos externos, na captura ou verificação, prejudicam esta
autenticação. Poderá solicitar ao usuário que fale em voz alta, uma seqüência aleatória de
números ou uma frase, inviabilizando a tentativa de uso de gravadores.

Biometria – dinâmica da digitação

São avaliadas as seguintes características:
_ Velocidade de digitação.
_ Espaço de tempo entre o acionamento de cada tecla.
_ Intensidade da pressão, tempo em que se mantém pressionada cada tecla.
É difícil de ser imitado por usuário ilegítimo. Adotado de forma natural, transparente ao usuário.

Identificação X verificação. Sistemas 1-1. A pessoa é quem diz ser?

O reconhecimento por biometria pode ser adotado de duas formas. A primeira e mais simples é a
verificação de identidade. O usuário se apresenta como sendo determinada pessoa e o sistema
confere. São chamados de sistemas 1-1 (um-para-um), pois é simplesmente checado o que foi
registrado no banco de dados.

Sistemas 1-N e N-N. Você conhece essa pessoa?

Realiza a procura pela identificação da pessoa. Após ter o dado biométrico se faz busca no banco
de dados, comparando-o até que se encontre o registro procurado, com certa margem de erro.
Sistemas desse tipo são 1-n (um-para-muitos): uma pessoa é comparada a várias. Aplicados para
identificação de criminosos ou localização de desaparecidos. Existe variação N-N (muitos-para-
muitos), onde diversos dados biométricos são comparados com um banco de dados contendo

17
diversos outros dados. Exemplo: identificação de pessoas em jogos de futebol.

Biometria pode apresentar problemas: pressão; constrangimento; equipamento mal

regulado; riscos; umidade; tempo de reconhecimento; custos; necessidade de
cadastro; presença humana na manipulação dos equipamentos biométricos; sujeira
nos equipamentos.

Tecnologias futuras. Sistemas de identificação biométricos baseados em:

_ Análise do DNA. _ Salinidade do corpo humano. _ Odor.
_ Formato da orelha. _ Estudos de padrões das veias. _ Imagem térmica do rosto ou punho.

Para a escolha do sistema biométrico, verificar 4 principais características:

_ Custo: valor do software e do hardware envolvidos na solução.
_ Precisão: representa o grau de exatidão conseguido com a análise biométrica.
_ Intrusão: a tecnologia biométrica é imperceptível, quanto menos invasiva for.
_ Cooperação: quanto tempo e colaboração são exigidos do usuário.

Smart card. Cartão contendo um chip para geração e armazenamento de certificados digitais. Diz
quem você é. Para autenticar é necessário inserir o PIN que é utilizado para liberação de acesso
ao sistema. O PIN permite visualizar as informações privadas contidas no smart card. Para
visualizar o certificado digital não é necessário o PIN, pois ele contém dados públicos.

_ Token. Para autenticar o usuário, ele deve informar sua senha e um nº que é
gerado a cada X segundos. O token é sincronizado a um servidor de autenticação,
responsável por validar o código e administrar as políticas de acesso. Garante
privacidade em caso de roubo de senhas.

Exercício 1. Criar uma descrição que represente a política no nível estratégico, para um serviço.
Idem no nível tático e no nível operacional, para um serviço.
Exemplo: servidor de e-mail.
A) Os colaboradores não deverão enviar anexos maiores que 5 MB.
B) Os anexos maiores que 5 MB serão automaticamente retirados das mensagens.
C) Caso autorizado pelo chefe de departamento o envio de anexo maior que 5 MB, contatar o
setor responsável pela liberação do envio munido dos documentos necessários.

Exercício 2. Criar com no mínimo 15 linhas, sugestão de como divulgar a política de segurança da
empresa. Indicar qualquer ajuda extra dos outros departamentos.

Exercício 3. Relacionar 10 assuntos a serem tratados em normas de uma política de segurança.

Exercício 4. Pense em sua casa e faça uma análise de risco preenchendo com pelo menos 3
elementos dos citados: Ativo; Vulnerabilidade; Ameaça; Controles existentes; Aspecto básico
afetado; Impacto; Medidas de segurança a serem adotadas.

Exercício 5. Mapeamento de processos e análise de riscos. Escolher 3 processos. Para cada

processo 3 ativos, a cada ativo 3 vulnerabilidades, a cada vulnerabilidade 1 ameaça que explora
a vulnerabilidade e o método de controle mitigador. Aplicar o método GUT.

18
19