Professional Documents
Culture Documents
Segurança. Estado, qualidade ou condição de seguro; condição daquele(ilo) que se pode confiar;
certeza, firmeza, convicção.
_ Para o profissional de Segurança: NÃO é um produto, que você seleciona, compra, instala e
esquece. É um estado de espírito, uma busca sem fim, uma desconfiança permanente.
Seguro. Certo, indubitável (que não há dúvida, incontestável); Livre de perigo; Em quem se pode
confiar; Livre de risco; protegido, acautelado, garantido; Eficaz, eficiente.
A adoção da segurança gera uma série de transtornos. Ninguém gosta de restrições impostas por
controles de segurança na liberdade de ir e vir. Ninguém gosta de carregar chaves de portas.
Ninguém gosta de lembrar-se de senhas. A maioria das pessoas fica impaciente em esperar por
aprovação. Exemplos: Portas de segurança dos bancos; Limite de velocidade nas estradas;
Horário para chegar/sair de casa. Isto tudo é válido?
O ciclo de vida da informação. Para que possamos proteger a informação dentro da empresa é
necessário conhecer o ciclo de vida da informação dentro da mesma.
_ Geralmente o mesmo é composto por 04 etapas:
1. Manuseio. Local onde se iniciou o ciclo e onde a informação é manipulada.
2. Armazenamento. Momento em que a informação é armazenada, (papel, CD, disquete...).
3. Transporte. Momento do envio ou transporte (correio eletrônico, fax, sinais...).
4. Descarte. Momento em que a informação é eliminada, apagada (destruída de forma definitiva).
A necessidade de proteção. Com o passar dos anos a situação computacional nas empresas foi
mudando, bem como sua necessidade de proteção.
_ Entre os anos de 1970 e 1980 o ambiente computacional era formado por mainframes, onde
todos os dados eram centralizados. A necessidade de proteção restringia-se aos dados.
_ A necessidade de segurança era apenas proteção contra acessos indevidos.
_ Entre os anos de 1980 e 1990 o ambiente computacional sofreu alterações relevantes, sendo
que além do mainframe veio à conexão com a rede. Com isso o panorama mudou para um
grande número de informações internas descentralizadas e com acessos distribuídos. A
necessidade de proteção deste ambiente estava nos dados e nas Informações. Era necessário
proteger contra adulteração e destruição dos dados e das informações.
A partir do ano de 1990 até hoje. O ambiente sofreu outra grande transformação: além do
mainframe e conexão com a rede, surgiu a Internet. O panorama mudou para um grande número
de informações internas e externas descentralizadas e com vários acessos distribuídos. A
necessidade hoje é proteger os dados puros, as informações e o conhecimento do negócio. Mas
é necessário manter os dados e as informações sempre disponíveis. A informação deverá estar
1
acessível somente para pessoas autorizadas. A informação não pode sofrer nenhuma alteração
desde a sua criação até o seu armazenamento.
Orange Book (Truster Computer Security Evaluation Criteria). O departamento de Defesa dos
Estados Unidos (DoD) especificou regras a serem utilizadas no processo para classificação dos
sistemas operacionais seguros, conhecido TCSEC ou “Orange Book”, devido a capa ser da cor
laranja. Servem para avaliar a proteção para hardware, software e informações dos sistemas.
Red Book (Livro Vermelho). Adaptação do livro laranja para rede de computadores. Após o
Orange Book, surgiram outros documentos "técnicos” que contribuíram para a formação de uma
norma coesa e completa sobre a segurança da informação.
BS7799 (British Standart 7799). O departamento de comércio e indústria do Reino Unido criou um
centro de segurança de informações, para criar uma norma de segurança das informações para o
Reino Unido. Desde 1989 vários documentos preliminares foram publicados. Em 1995 surgiu a
BS7799, uma norma de segurança da informação. Comitê da British Standard BS7799
BS7799-1. Homologada desde 2000 (parte 1), é uma referência para implementar boas práticas
de segurança da informação na empresa. São 148 controles divididos em dez partes distintas.
BS7799- 2. É a segunda parte da norma, com objetivo de gerenciar a segurança da informação.
2
ISO/IEC 17799:2005. Versão internacional da BS7799, homologada pela ISO (International
Standartization Organization), com objetivo de criar normas e padrões universais. Cobre os mais
diversos tópicos de segurança da informação. NBR ISO/IEC 17799:2005. Segunda versão
brasileira da ISO (primeira versão 2001). IEC (International Engineering Consortium).
Organização para o aprimoramento da indústria da informação.
PCI - Segurança de Dados PCI (Payment Card Industry). Programa que define padrões de
manuseio de dados de pagamentos seja manual ou eletrônico. Lida com armazenamento,
transmissão ou processamento de dados de cartões de crédito. Ação para reduzir fraudes de
cartões de crédito em transações on-line. Na falha ao cumprimento ou falta de correção, a
empresa pode ser penalizada com multa; restrições e proibição de aceitar cartões de crédito.
Decreto GLBA (Gramm-Leachy Bliley Act). Define o que empresas de serviços financeiros
podem fazer com informações pessoais de clientes. Responsabiliza CEOs e diretores de
empresas como pessoas responsáveis pelo mau uso das informações pessoais, incorrendo em
multas.
PDCA (Plan, Do, Check e Action). Método de administração da qualidade, garantindo segurança:
Plan: definir o que quer, o que será feito e metas. Definir métodos que permitirão atingir as metas.
Do: iniciativas como educar e treinar envolvidos, implementar e executar conforme as metas.
Check: verificar continuamente se os trabalhos são executados da forma definida.
Action: corrigir rotas e tomar ações corretivas ou de melhorias, caso haja necessidade.
3
Basiléia II - Basel II Accord. Diretrizes para cálculo de riscos de bancos. Visa eficiência para o
gerenciamento de riscos em banco. É necessário programa de proteção das informações.
Política de segurança (Item 5, ISO 17799:2005). Conjunto de leis, regras e práticas que regulam
como uma organização gerencia, protege e distribui suas informações e recursos. Documento
que formaliza e detalha todo o conceito informal ou formal sobre segurança, físico ou lógico, que
deverá ser aplicado na empresa. Permite o estabelecimento de limites (direitos e deveres) do
usuário ou departamento ao utilizar um recurso da empresa. Cada empresa é única então, não
existe receita pronta. Cabe a cada organização decidir a complexidade e severidade que deverá
ser implementada de acordo com a sua necessidade. A política de segurança pode se dividir nos
blocos Diretrizes, Normas e Procedimentos, destinados respectivamente às camadas Estratégica,
Tática e Operacional:
_ Camada Estratégica (bloco de diretriz): rumo a ser seguido.
_ Tática (norma): padronização para controlar e fazer com que todos tenham segurança.
_ Operacional (procedimento): um procedimento deve possuir apenas um método de execução,
formalmente descrito.
Existem diversas filosofias para planos de segurança, podem-se citar os principais tipos (4 P’s):
_ Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido.
_ Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido.
_ Proibitivo: tudo aquilo que não é permitido é explicitamente proibido.
_ Permissivo: oposto ao proibitivo. Tudo aquilo que não é proibido é explicitamente permitido.
Formato dos procedimentos de segurança. Faz-se protegendo todos os elos da corrente, todos os
ativos do negócio. Se algo falhar, todo o processo falha. Deverá possuir as características:
_ ser fácil de entender ou não será posto em prática;
_ ter sua finalidade explicada ou será ignorado;
_ ser implementado com energia ou exceções serão criadas e virarão regras;
_ possuir sanções para os violadores;
_ o colaborador deverá conhecer apenas os procedimentos que lhe dizem respeito;
_ deve estar documentado formalmente;
_ ser aprovado pelo mais alto nível da hierarquia da empresa;
_ ser claro e conciso;
_ ser elaborado por um responsável direto (CSO);
4
_ ser dirigido para atingir o nível de segurança adequado aos bens que se quer proteger;
_ causar o mínimo de alterações no funcionamento da organização;
_ não deve ser muito específico (senão a atualização o tornará inviável);
_ ser possível executar;
_ quantificar os recursos necessários para seu funcionamento;
_ prever ações concretas e quem as realiza;
_ prever o que fazer em casos de falha na execução dos procedimentos (plano B).
CSO: Chief Security Officer (chefe de Segurança) - responsável pela segurança da informação
global, enxergando a organização como um todo. Responsável pela segurança física, pelos
serviços de proteção e privacidade da corporação e de seus colaboradores. Responsável por
coordenar atividades corporativas e suas implicações de segurança. Conhecimentos e
características do profissional:
_ visão generalista (visão global com ação local).
_ sólidos conhecimento em gestão de projetos.
_ sólidos conhecimentos de sistemas de gestão.
_ perfil executivo.
_ saber lidar com pessoas.
_ ser atento às necessidades de negócio.
_ atuar orientado a resultados, encontrando o equilíbrio entre a proteção corporativa, seus
riscos e retornos de investimentos através de métricas e indicadores.
_ ter bom senso e senso crítico.
5
_ Ter risco significa ter chance: quando monto uma rede, não posso garantir disponibilidade total.
Quando atravesso uma rua posso ser atropelado.
Análise de risco. É o processo de avaliar o que é ou não aceitável para uma organização. Só
devemos aceitar um risco, quando o custo do controle aplicado para mitigá-lo, for maior do que o
custo do bem em risco. O nível de risco no qual se opera é denominado de risco aceitável.
Técnicas de análise de risco. A análise de risco deve ser feita considerando vários aspectos
como: Ativos; Ameaças; Vulnerabilidades.
Vulnerabilidades. Fraquezas associadas aos ativos da organização, que caso exploradas por uma
ameaça representam riscos concretizados a organização. É o ponto onde o sistema poderá ser
suscetível a ataque.
_ A localização física dos prédios deverá ser observada conforme: Linhas de comunicação podem
ser escutadas ou interrompidas? Ocorre a existência de Modems? Mesmo que as ameaças
pareçam insignificantes, todas as possíveis vulnerabilidades devem ser identificadas.
Ameaças. Algo que possa resultar em incidentes causando danos e prejuízos a uma organização.
Normalmente é difícil evitar a ocorrência de tais eventos, porém eles podem ser facilmente
detectados.
_ Ameaças naturais: fenômenos de natureza, chuva, fogo, furacão, terremoto, raio, etc.
_ Ameaças físicas: acesso/uso não autorizado, desvio de mensagens, roubo de equipamentos,
ameaça de bomba; acidente de construção, aéreo, marítimo, nuclear, químico, rodoviário, etc.
_ Ameaças não intencionais. Geralmente ocorre por ignorância dos envolvidos: Falta de
treinamento do usuário. Não entendimento de documentação. Arquivos enviados por engano,
abandonados ou esquecidos, etc. Listagens abandonadas em cestas de lixo.
_ Ameaças intencionais. Partem do meio interno ou externo. Exemplos: Obtenção física de
arquivos, discos, listagens, por roubo, cópia, ... Tentativa de identificação ou autenticação como
6
usuário legítimo. Ação do operador revelando medidas de proteção. Ação do pessoal de
manutenção utilizando de forma indevida utilitários ou equipamentos. Ação de programadores
explorando o sistema, desarmando proteções, forçando acessos. “Grampos” na comunicação.
Outros exemplos de ameaças. Acesso de pessoas não autorizadas; Acessos remotos indevidos;
Alteração indevida de dados; Funcionário descontente; Ataque de negação de serviços; Ataque
terrorista; Ataques de dicionário; Ataques de força bruta; Ataques por vírus (código hostil no
geral); Atos de vandalismo, Black-out; Calor; Criminoso cibernético; Dano intencional aos
sistemas/dados ou instalações; Desatualização ou imprecisão de dados; Descoberta de senhas;
Desvio fraudulento de recursos; Distúrbio civil; Divulgação de informações e de dados;
Engenharia social; Erros e acidentes; Espionagem de rede, industrial ou do governo; Execução
arbitrária do código; Falha de correio eletrônico, de hardware, sistema operacional, software
aplicativo, de instalação/fornecimento de energia elétrica, em rede, na entrada de dados, nos
controles ambientais, Falta de responsabilidade individual; Fogo; Greves. Magnetismo; Multas;
Paralisação de serviço ou de transporte; Pirataria e pornografia; Proximidade à zona de alta
criminalidade, de instalação militar, de presídio/delegacia; Seqüestro de dados.
7
Mapeamento de processos. Identificar e mapear processos internos torna a empresa mais
competitiva, otimiza o tempo e alcança melhores resultados. É uma ferramenta simples que pode
ser adotada por qualquer empresa. Qualquer organização é composta por processos tanto de
natureza técnica como social. Estes processos são as atividades de negócio que a empresa
desenvolve para gerar valor, satisfazer as necessidades dos seus clientes e criar rendimento.
Matriz de GUT (Gravidade, Urgência e Tendência). A prioridade das ações pode ser encontrada
utilizando a matriz GUT. A prioridade final é composta pela análise e produto das 3 dimensões
GUT: Impacto=GravidadexUrgênciaxTendência.
Gravidade. Considerar a severidade dos impactos relacionados ao processo analisado. Exemplo:
o que seria do Telemarketing se toda a base de dados dos clientes fosse corrompida?
Urgência. Considerar o tempo da duração dos impactos relacionados ao processo analisado: o
que aconteceria com a empresa exemplo se a base continuasse corrompida por mais de 07 dias?
Tendência. Considerar a oscilação dos impactos relacionados ao processo analisado: o que
aconteceria com a empresa se a base ficasse comprometida a curto, médio e longo prazo?
Sistema de coloração da matriz GUT. Os valores obtidos depois da análise são multiplicados
gerando o impacto final, na faixa de valores de 1 a 125. O objetivo é facilitar a identificação rápida
do processo e sua prioridade. O resultado é posicionado por cores onde as faixa de 1 a 42, 43 a
83 e 84 a 125 devem ser sinalizadas respectivamente por cores verde, amarela e vermelha.
Desta forma poderá ser visto qual ativo ou processo tem maior impacto negativo em incidente.
Obs. Acidente: Acontecimento casual, fortuito, imprevisto. Incidente: Que incide, ocorre,
circunstância acidental.
76
Análise de risco. Existem diversas formas de calcular o risco, dependerá dos índices a serem
utilizados. Um exemplo seria a seguinte equação matemática: R =((TA x TV x TI)/M), onde
R =Risco. TA =Total de Ameaças. TV =Total de Vulnerabilidades. TI =Total de Impactos. M
=Medidas de Proteção. Nesta fórmula ainda poderia ser acrescentada a variável P, onde P seria
probabilidade de ocorrer o evento (vezes por ano). Ficaria então: R =((T.A X T.V X T.I)/M)*P.
Revisão constante Riscos/Ameaças/Vulnerabilidade. Este trabalho não deve ser feito apenas uma
única vez. Novos riscos, ameaças e vulnerabilidades podem surgir. Mudanças são constantes. Os
riscos podem ser identificados, porém, não é possível sua total eliminação. Os riscos podem ser
quantificados, porém, não é possível quantificar na sua totalidade. Não importa quanto seja
seguro um sistema, ele sempre poderá ser atacado. O sucesso no ataque depende dos recursos,
tempo, motivação e dinheiro empregado. Exemplo: calcula-se que o roubo de dados de 1 unidade
de smart card, custe R$ 100.000,00 envolvendo equipamentos e habilidades que o atacante
deverá possuir.
Quando é melhor investir em segurança. Após a análise de risco é recomendável fazer a análise
de custo benefício. Este cálculo pode ser simples ou complexo dependendo das abordagens e
dos ativos envolvidos: É necessário trocar o equipamento, reparar o equipamento, recriar o
ambiente, recriar a informação (o mais complexo e o mais caro).
8
Existem diversos erros na análise. Um escopo muito abrangente. Período de tempo da análise
muito longo ou muito pequeno Falta de comprometimento da alta ADM. Basear-se
exclusivamente na tecnologia. Basear-se exclusivamente nas pessoas. Falta de verbas para
mitigação (suavização, diminuição). Equipe diminuta. Não conhecimento total do negócio da
empresa. Falta de tempo.
BIA - Business Impact Analisys - Análise de Impacto dos Negócios. Uma atividade estruturada
que visa quantificar prejuízos potenciais, financeiros e operacionais, causados por interrupção ou
desastre dentro de uma empresa. Com a utilização da técnica, fica mais fácil avaliar a importância
dos negócios da empresa, sendo possível identificar a ordem que se deve adotar para restaurar
cada processo afetado. Existem várias ferramentas que ajudam na gestão dos dados.
6. CUSTODIANTE DA INFORMAÇÃO
9
Política de classificação da informação. Assume a ponta no processo de implementação
da estratégia de segurança, porque fornecerá critérios para identificar quais
informações tem valor. Com a classificação da informação pode-se identificar uma
situação de risco mais facilmente e reagir em menor espaço de tempo e adotar
procedimentos e ferramentas de proteção adequadas a cada tipo de informação,
reduzindo os custos e aumentando a segurança.
Como classificar? Deverão ser classificadas de acordo com a necessidade da empresa. Uma
opção é usar as descrições: SECRETA, CONFIDENCIAL, RESTRITA, INTERNA, PÚBLICA.
_ RESTRITA: informação cujo acesso deve estar restrito aos usuários que dela
necessitam para cumprir suas tarefas. Sua revelação externa causaria danos à
empresa.
10
_ INTERNA: informação de uso restrito a assuntos pessoais, técnicos ou
organizacionais que tornam seu uso possível somente dentro da empresa.
_ Crítica: cruciais para os objetivos da empresa. Em caso de perda, a organização pode vir a ter
suas metas seriamente comprometidas, tendo que enfrentar prejuízos financeiros ou de
imagem.
_ Valiosa: valiosas para segmento ou indivíduo dentro da empresa. Sua perda pode causar
transtornos para funções de negócios dentro da organização.
Os riscos ao ambiente
_ Explosão; Magnetismo; Fogo; Radiação; Poeira; Umidade/vapor; Vandalismo; Roubo; Aceso
indevido; Impacto de escombros; Gases corrosivos; Fumaça.
Localização física
_ Fundamental para segurança ambiental e evitar incidentes. Evitar instalações próximas à:
depósitos de tintas; tanques de combustíveis; terrenos abaixo do nível de rios; antenas.
Segurança no cabeamento
_ A separação entre cabos de dados e cabos de energia elétrica é medida para prevenção de
interferências. A proteção física dos cabos pode ser feita com conduítes e canaletas. A
identificação do cabeamento é importante para manutenções e expansões. Uma varredura inicial
deverá ser feita para identificar dispositivos não autorizados conectados aos cabos. O
cabeamento de rede deve ser protegido contra intercepção não autorizada e danos.
Exposição ao fogo
Ambientes vizinhos podem colocar em risco o seu ambiente. Verificar:
_ Se os materiais dos prédios vizinhos são resistentes ao fogo;
_ O estoque e volume de papéis nas vizinhanças de sua empresa;
11
_ Uso de cortinas, carpetes e móveis, que são combustíveis;
_ Dispositivos de detecção;
_ Dispositivo de desligamento de energia em caso de incêndio;
_ Porta corta fogo;
_ Iluminação de emergência;
_ Localização dos acessos e saídas de emergência;
_ Treinamento do pessoal e testes periódicos dos equipamentos.
Plano de contingência
_ Não basta ter uma atitude reativa. Devemos prevenir, evitando que o incêndio aconteça. Por
isso, cabe ao profissional detectar possíveis situações que causariam incidentes. Poderemos
utilizar os seguintes componentes para
identificar possíveis problemas:
_ Sistemas de detecção especialista;
_ Pessoas com vivência na área;
_ Detectores ópticos;
_ Sensores de temperatura;
_ Detectores por ionização que reagem às partículas carregadas na fumaça.
_ Gás carbônico. Foi largamente usado e ainda está presente em boa parte das
instalações. É incolor, porém, muito letal, já que o mesmo remove o oxigênio do local.
Deve ser utilizado em instalações onde não existam pessoas, caso contrário, a sala
deverá permitir tempo de escape do local ou possuir portas de liberação manual.
Além disso, o CO2, quando liberado, provoca mudança brusca na temperatura do
ambiente, podendo ser prejudicial aos equipamentos.
Água
_ Aberturas na laje, podem ser caminho para inundação do andar abaixo. É importante observar:
_ Condições do subsolo; do telhado e laje e dos materiais utilizados nas tubulações;
_ Localização adequada das tubulações;
_ Localização do prédio referente a risco de enchente;
_ Proteção contra umidade.
Climatização
_ Os CPDs são dependentes das instalações de climatização, em função das exigências de
níveis de temperatura e umidade inerentes dos equipamentos. Um sistema de condicionamento
de ar mantém um ambiente isento de impurezas e deixa o clima em condições ideais e estáveis.
Devem ser observados:
_ Exclusividade do sistema;
_ Dimensionamento adequado do equipamento;
_ Redundância de equipamento;
_ Controle e registro de temperatura ambiente e umidade relativa do ar;
_ Ser automático quanto aos controles e ajustes.
Eletricidade
12
_ O que faz com que um computador fique ligado é a energia elétrica. Parar manter a
disponibilidade operacional do ambiente de TI, observar qualidade das instalações, cabos,
transformadores, estabilizadores e outros; exclusividade das instalações elétricas; qualidade do
fornecimento das prestadoras de serviço.
_ A energia elétrica fornecida deve ser estabilizada e ininterrupta. Recomenda-se que
toda a alimentação seja fornecida por sistema no-break, que além de fornecer energia
limpa, atua como fonte alternativa. Deve ser dimensionado para suportar 50% a mais
da máxima carga a ser utilizada, devido aos picos de demanda. Deve ser modular
para permitir expansões futuras.
_ Hot Site: Equipamentos e dados permanecem no local à disposição, para ser utilizado quando
a contingência acontecer, sendo somente necessário levar os colaboradores para o local físico do
hot site. Suas principais vantagens são a possibilidade de ser testado periodicamente e a
velocidade de retomada de funcionamento em desastre. Uma desvantagem é que empresas com
uma grade parque de equipamentos de processamento instalados podem ter problemas de
compatibilidade com os serviços de recuperação oferecidos. Outra desvantagem é o custo para
montar e manter um site de contingência espelho do original.
Monitoração do ambiente
_ É recomendável circuito fechado de TV, para vigilância constante no interior da sala
e no perímetro externo, podendo ser configurado para soar alarme em caso de
invasão. As imagens devem ser armazenadas. O tempo de retenção é variável. Cresce
o uso de câmera IP, tornando possível o monitoramento remoto, permitindo ainda, o
acionamento de alarmes remoto.
Controle de acesso físico. Processo para dar permissão ou estabelecer limites nos direitos de
acesso à áreas ou objetos. O objetivo é aumentar a segurança de acesso às áreas delimitadas.
Dependendo do impacto e do risco:
_ Instalação de uma central de segurança;
_ Hall de entrada com portas de acesso controladas por sistemas automáticos;
_ Portas com dispositivo de acionamento elétrico para liberação de abertura;
_ Comunicação acessível para estabelecer comunicação com o responsável pela autorização;
_ Bloqueio de múltiplos acessos, ou seja, permitir que somente uma pessoa entre, a cada acesso.
Mecanismos de proteção
_ Identificação para acesso como crachás ou cartões magnéticos. Devem conter indicação visual
dos privilégios de acesso. Devem ter número de série único, de forma a identificar. Dificultar
falsificações. Identificar funcionário/visitante com verificação de dia/hora. Controle da entrada de
objetos estranhos e local. Utilização de sensores internos e externos contra intrusões, possuindo
ligação a uma central de segurança. Controle sobre a posse das chaves do local.
_ Utilize cable locks ou cadeados presos por cabos de aço. Alguns que possuem mecanismo de
alarme em tentativa de corte do cabo ou violação do cadeado. Instalar equipamentos para
rastrear e bloquear acesso à rede quando o dono comunicar perda ou roubo.
_ Um seguro minimiza prejuízo financeiro com perda de equipamento, mas fique atento às
cláusulas contratuais, principalmente as que citam a não cobertura do seguro para: furto simples,
desaparecimento inexplicável e extravio. Os seguros geralmente não cobrem equipamentos que
são furtados por de descuido.
Infra-estrutura e redundâncias
_ Sites seguros não saem do ar. Os equipamentos de apoio, no-breaks, geradores,
condicionadores de ar e refrigeração, devem ter capacidade ociosa.
_ Multas por perda de arquivos. Artigo de lei 8.218/91 aplica multa de 5% sobre o valor das
operações comerciais fiscais/contábeis aos contribuintes que omitirem ou prestarem
incorretamente informações solicitadas em arquivos magnéticos formatados e guardados à
disposição da Receita Federal.
15
9. CONTROLES BIOMÉTRICOS
Definição de biometria
Utilização de característica física ou comportamental do ser humano para verificar sua identidade.
Ciência que usa tecnologia digital para identificar indivíduos, baseado em métricas físicas e
biológicas. Vem do grego, Bio (vida) e Métron (medida), aplicação de medidas matemáticas à
biologia. Início por volta de 1970, nos departamentos governamentais dos Estados Unidos. Em
1976 por exemplo, com características geométricas da mão, motivado pela Guerra do Vietnã.
Como funciona
O usuário registra-se através de um meio físico, permitindo a coleta de um elemento mensurável.
Características-chave são armazenadas traduzidas a um formato de planilha biométrica. Para
acesso é preciso que apresentar a característica biométrica correspondente ao padrão registrado.
Biometria - face
O rosto humano contém grande quantidade de características únicas, manuseando geometria e
proporções da face. Medidas básicas: distância entre olhos, entre boca, nariz e olhos,
Envolve inteligência artificial, algoritmo com sistema analógico parecido com o cérebro humano. A
imagem térmica é mais sofisticada, sendo necessária a utilização de câmeras mais especificas.
Biometria - assinatura
Não analisam as formas das letras, que poderiam ser copiadas e falsificadas. Na captura é ideal
de 3 a 4 assinaturas para comparação e aprovação. Analisam características comportamentais:
_ Observa-se o modo de assinar, e não a assinatura; _ Pressão da caneta;
_ Ângulo da caneta; _ Número de vezes que a caneta levanta; _ Aceleração.
Biometria - olho
_ Íris (círculo colorido que envolve a pupila). Câmera obtém a imagem sem incômodo ao usuário.
_ Retina: camada de vasos sanguíneos no fundo do olho. Considerado um sistema preciso. Pode
ser afetado por óculos. Utiliza luz de baixa intensidade e incômoda na captura de dados.
17
diversos outros dados. Exemplo: identificação de pessoas em jogos de futebol.
Smart card. Cartão contendo um chip para geração e armazenamento de certificados digitais. Diz
quem você é. Para autenticar é necessário inserir o PIN que é utilizado para liberação de acesso
ao sistema. O PIN permite visualizar as informações privadas contidas no smart card. Para
visualizar o certificado digital não é necessário o PIN, pois ele contém dados públicos.
_ Token. Para autenticar o usuário, ele deve informar sua senha e um nº que é
gerado a cada X segundos. O token é sincronizado a um servidor de autenticação,
responsável por validar o código e administrar as políticas de acesso. Garante
privacidade em caso de roubo de senhas.
Exercício 1. Criar uma descrição que represente a política no nível estratégico, para um serviço.
Idem no nível tático e no nível operacional, para um serviço.
Exemplo: servidor de e-mail.
A) Os colaboradores não deverão enviar anexos maiores que 5 MB.
B) Os anexos maiores que 5 MB serão automaticamente retirados das mensagens.
C) Caso autorizado pelo chefe de departamento o envio de anexo maior que 5 MB, contatar o
setor responsável pela liberação do envio munido dos documentos necessários.
Exercício 2. Criar com no mínimo 15 linhas, sugestão de como divulgar a política de segurança da
empresa. Indicar qualquer ajuda extra dos outros departamentos.
Exercício 4. Pense em sua casa e faça uma análise de risco preenchendo com pelo menos 3
elementos dos citados: Ativo; Vulnerabilidade; Ameaça; Controles existentes; Aspecto básico
afetado; Impacto; Medidas de segurança a serem adotadas.
18
19