SUMÁRIO

1 INTRODUÇÃO ............................................................................................ 2

2 CONCEITOS DE SEGURANÇA ................................................................. 3

2.1 Ciclo de vida da informação ................................................................. 5

2.2 Ciclo de produção do conhecimento .................................................... 6

2.3 A informação como um ativo ................................................................ 7

2.4 Vulnerabilidades da informação ........................................................... 9

2.5 Ameaças à segurança da informação ................................................ 14

3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ........................... 23

4 INVASÕES NA INTERNET ....................................................................... 33

5 REALIZAÇÃO CORRETA DE CÓPIAS DE SEGURANÇA ....................... 35

5.1 Cuidados com os Backups ................................................................. 36

5.2 Educação dos Usuários...................................................................... 37

5.3 Criptografia ......................................................................................... 37

5.4 Assinatura digital ................................................................................ 38

5.5 Certificado Digital ............................................................................... 39

6 ALGUMAS LEIS DA SEGURANÇA .......................................................... 40

6.1 Leis Fundamentais ............................................................................. 40

7 BIBLIOGRAFIA ......................................................................................... 44

1
1 INTRODUÇÃO

Fonte: itforum365.com.br

Num mundo cada vez mais competitivo, onde a informação é vital para todas
as organizações, estas procuram ter sempre disponível a informação de forma rápida,
íntegra e confidencial. Para que isto seja possível, as organizações têm que possuir
sistemas de informação e tecnologias de informação (SI/TI) capazes de dar resposta
às suas exigências e necessidades. Para que os sistemas de informação (SI) estejam
sempre disponíveis e garantam a integridade e confidencialidade da informação que
recolhem, processam, armazenam e distribuem, há um fator muito importante a ter
em consideração, para além da tecnologia propriamente dita e de todos os
mecanismos de segurança que venham a adotar, que são os usuários dos SI/TI. Se
estes não tiverem um conjunto de práticas e regras na utilização dos SI/TI, corre-se o
risco de gerar informação incoerente, defasada da realidade e, consequentemente,
levar a tomadas de decisão incorretas. Segundo (Kruger & Kearney, 2008), os
usuários devem ser sensibilizados para as questões de segurança, nomeadamente
para os efeitos negativos que uma falha ou quebra de segurança podem provocar. De
acordo com (Furnell & Thomson, 2009), um dos grandes problemas e ameaças
verificados na implementação de práticas e procedimentos na segurança da
informação são os usuários.
Por este fato, torna-se necessário promover dentro da organização uma cultura
de segurança e assegurar que as boas práticas são uma componente natural do
comportamento dos usuários. Os usuários são, portanto, um dos elementos que pode

2
provocar vulnerabilidades e eventuais danos nos SI, pelo que é pertinente verificar se
estão sensibilizados para a utilização de práticas corretas e seguras no desempenho
das suas tarefas. 1

2 CONCEITOS DE SEGURANÇA

Fonte: n3w5.com.br

A maioria das definições de Segurança da Informação (SI) (Brostoff, 2004;

Morris e Thompson, 1979; Sieberg, 2005; Smith, 2002) pode ser sumarizada como a
proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção
contra a negação do serviço a usuários autorizados, enquanto a integridade e a
confidencialidade dessa informação são preservadas. A SI não está confinada a
sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a
todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível
de proteção deve, em qualquer situação, corresponder ao valor dessa informação e
aos prejuízos que poderiam decorrer do uso impróprio da mesma. É importante
lembrar que a SI também cobre toda a infraestrutura que permite o seu uso, como
processos, sistemas, serviços, tecnologias e outros.
A Segurança da informação refere-se à proteção existente sobre as
informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto às
informações corporativas quanto as pessoais. Entende-se por informação todo e
qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela

1 Texto extraído do link: http://www.scielo.br/pdf/jistm/v13n3/1807-1775-jistm-13-03-0533.pdf

3
pode estar guardada para uso restrito ou exposta ao público para consulta ou
aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a
definição do nível de segurança existente e, com isto, serem estabelecidas as bases
para análise da melhoria ou piora da situação de segurança existente. A segurança
de uma determinada informação pode ser afetada por fatores comportamentais e de
uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por
pessoas mal-intencionadas que têm o objetivo de furtar, destruir ou modificar tal
informação.
A tríade CIA (Confidentiality, Integrity and Availability)
— Confidencialidade, Integridade e Disponibilidade — representa os principais
atributos que, atualmente, orientam a análise, o planejamento e a implementação da
segurança para um determinado grupo de informações que se deseja proteger. Outros
atributos importantes são não-repúdio (irretratabilidade), autenticidade e
conformidade. Com a evolução do comércio eletrônico e da sociedade da informação,
a privacidade é também uma grande preocupação.
Portanto os atributos básicos da segurança da informação, segundo os padrões
internacionais (ISO/IEC 17799:2005) são os seguintes:
Confidencialidade: propriedade que limita o acesso a informação tão somente
às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;
Integridade: propriedade que garante que a informação manipulada mantenha
todas as características originais estabelecidas pelo proprietário da informação,
incluindo controle de mudanças e garantia do seu ciclo de vida (Corrente,
intermediária e permanente). O ciclo de vida da informação orgânica - criada em
ambiente organizacional - segue as três fases do ciclo de vida dos documentos de
arquivos; conforme preceitua os canadenses da Universidade do Quebec (Canadá):
Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina
Arquivística;
Disponibilidade: propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação;
Autenticidade: propriedade que garante que a informação é proveniente da
fonte anunciada e que não foi alvo de mutações ao longo de um processo;

4
 Irretratabilidade ou não repúdio: propriedade que garante a impossibilidade
de negar a autoria em relação a uma transação anteriormente feita;
Conformidade: propriedade que garante que o sistema deve seguir as leis e
regulamentos associados a este tipo de processo.2

2.1 Ciclo de vida da informação

A informação possui um ciclo de vida. Ela nasce com a produção, tem um

tempo de vida útil, na qual é manuseada, utilizada interna e externamente,
transportada por diversos meios, armazenada, e morre com a sua destruição.
A doutrina tem apresentado o seguinte ciclo de vida para as informações:
produção e manuseio, armazenamento, transporte e descarte. A produção é a fase
na qual nasce a informação, e o manuseio, como o próprio nome já o diz, é o ato de
manusear a informação. É nessa fase que se caracteriza a materialização do
conhecimento; O transporte é a fase da condução por quaisquer meios nos quais
conste a informação.
O armazenamento é o ato de arquivar as informações. E o descarte é o ato de
descartar ou inutilizar a informação. Alguns autores, como Beal (2005), apresentam
mais algumas etapas para o ciclo de vida da informação. Beal apresenta seis etapas:
identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição,
uso, armazenamento e descarte.
A identificação das necessidades e dos requisitos, para Beal, é o ponto de
partida do ciclo de vida da informação, por entender que essa etapa age como um
elemento acionador de todo o processo, podendo vir a estabelecer um ciclo contínuo
de coleta. Ela enfatiza que a recompensa por descobrir essas demandas se dá ao
tornar a informação mais útil e os seus destinatários mais receptivos à sua utilização.
Na etapa da obtenção, são desenvolvidas as atividades de criação, recepção ou
captura de informação proveniente de fonte externa ou interna. Na etapa do
tratamento, caracteriza a passagem da informação por processos para torná-la mais
acessível, organizada e fácil de localizar pelos usuários.

2Texto extraído do link:

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
5
 Verifica-se que a classificação de Beal se aproxima mais de um esquema de
produção do conhecimento, pois a identificação das necessidades e requisitos é parte
integrante da fase do planejamento, que é uma das etapas da produção do
conhecimento.
Independentemente da linha a ser adotada, todas essas etapas do ciclo de vida
da informação são importantes para o ciclo de produção do conhecimento.

2.2 Ciclo de produção do conhecimento

Como já foi abordado, o conhecimento resulta de um processamento de dados,

informações e conhecimentos anteriores, que são avaliados, analisados,
interpretados e compreendidos dentro de um contexto, a fim de serem utilizados numa
ou mais aplicações específicas. Esse processo de produção do conhecimento passa
pelas seguintes fases: planejamento, reunião, análise, interpretação, formalização e
difusão.
O planejamento constitui a fase inicial, pois é nela que se decide o que se quer
fazer, como fazer e para que fazer. É nessa fase que se identificam as principais fontes
de dados, sejam elas internas e externas. A reunião caracteriza-se pela coleta dos
dados já disponíveis pela pessoa e pela ação de campo para a obtenção de novos
dados. A análise é a fase na qual se avaliam os dados obtidos e se faz a interligação
com os dados de outras fontes. A interpretação do analista é uma operação intelectual,
na qual ele concebe ideias, formula juízos de valor sobre um conjunto de dados, o que
resulta na produção do conhecimento. As últimas fases são a formalização e difusão
do conhecimento produzido, que poderá ser destinado ao público interno e/ou ao
mercado.
Todas as fases são importantes na produção do conhecimento, porém, se o
analista não tiver um bom raciocínio, o conhecimento tornar-se-á fragilizado e o
resultado poderá não ser aquele desejado.
Após a produção do conhecimento, ele serve para satisfazer as demandas,
como também pode gerar novas necessidades de conhecimento, as quais servirão
para orientar uma nova produção do conhecimento.

6
 Observa-se que a produção é um sistema cíclico, pois essa nova orientação
pode ser considerada como um feedback para a retroalimentação do sistema de
produção do conhecimento, como está demonstrado abaixo:

Fonte: marcusdantas.com.br

2.3 A informação como um ativo

O estudo do ativo não é uma preocupação recente, pois há muito tempo a

ciência da contabilidade já o estudava. A definição clássica é que o ativo compreende
o conjunto de bens e direitos de uma entidade. Entretanto, atualmente, um conceito
mais amplo tem sido adotado para se referir ao ativo como tudo aquilo que possui
valor para a empresa.
Ativo: qualquer coisa que tenha valor para a organização (ISO/IEC 13335-
1:2004).
Como a informação tem ocupado um papel de destaque no ambiente de
negócios, e também tem adquirido um potencial de valoração para as organizações e
para as pessoas, ela passou a ser considerada o seu principal ativo.
Entretanto, para se proteger a informação, mantendo os requisitos de
segurança (confidencialidade, integridade e disponibilidade), deve-se atentar para o
processo de comunicação. E para que a informação seja protegida durante todo esse
processo, não basta tê-la como um componente a proteger, mas também devem ser
considerados os outros elementos que fazem parte desse processo, que são, por
exemplo: os sistemas, os aplicativos, os equipamentos, os serviços e as pessoas que
os utilizam.

7
 O processo de comunicação está representado na figura abaixo, onde a
informação parte de um emissor, que é aquele que codifica a mensagem, sendo
transmitida por um canal de comunicação, até chegar a seu receptor, que é aquele
que decodifica a mensagem, fornecendo o feedback ao emissor.

Fonte: marcusdantas.com.br

Nesse processo, existem três elementos que merecem especial atenção: a

informação, os equipamentos que lhe oferecem suporte e as pessoas que a utilizam.
As informações são: os documentos, relatórios, livros, manuais,
correspondências, patentes, informações de mercado, código de programação, linhas
de comando, arquivo de configuração, planilha de remuneração de funcionários, plano
de negócios de uma empresa, etc.
Os elementos que oferecem suporte, às informações podem ser divididos em
três grupos: software, hardware e organização.
Os softwares compõem o grupo dos programas de computador utilizados para
a customização de processos, ou seja, o acesso, a leitura, o trânsito e o
armazenamento da informação. São constituídos pelos aplicativos comerciais,
programas institucionais, sistemas operacionais, programas de correio eletrônico,
sistemas de suporte.
Os hardwares representam toda a infraestrutura tecnológica que oferece
suporte à informação. São quaisquer equipamentos em que se processe, transmita e
armazene a informação. São os computadores, os servidores, os mainframes, os
meios de armazenamento, os equipamentos de conectividade, roteadores, switches,
e qualquer outro elemento de uma rede de computadores através do qual sejam
transmitidas informações.
A organização é toda a estrutura organizacional, a saber, a sua estrutura
departamental e funcional, o quadro de alocação dos funcionários, a distribuição de
funções e os fluxos de informação da empresa. O ambiente físico compõe as salas,
8
os armários onde são colocados os documentos, a infoteca, a sala de servidores e o
arquivo.
E as pessoas são todos aqueles que, de uma forma ou outra, lidam com a
informação ao utilizarem a estrutura tecnológica e de comunicação da empresa.
A NBR ISO/IEC 27002:2005 exemplifica como ativos associados aos sistemas
de informação:
Ativos de informação: base de dados e arquivos, contratos e acordos,
documentação de sistema, informações sobre pesquisa, manuais de usuário, material
de treinamento, procedimentos de suporte ou operação, planos de continuidade do
negócio, procedimentos de recuperação, trilhas de auditoria e informações
armazenadas;
Ativos de software: aplicativos, sistemas de uma forma geral, ferramentas de
desenvolvimento e utilitários;
Ativos físicos: equipamentos computacionais (processadores, monitores,
laptops, modens), equipamentos de comunicação (roteadores, PABXs, fax,
secretárias eletrônicas), mídia magnética (fitas e discos), mídias removíveis e outros
equipamentos técnicos (nobreaks, ar-condicionado), mobília, acomodações;
Serviços: computação e serviços de comunicação, utilidades gerais, por
exemplo: aquecimento, iluminação, eletricidade, refrigeração;
Pessoas: pessoas e suas qualificações, habilidades e experiências; intangíveis:
reputação e imagem da organização
Para a segurança da informação, é fundamental a identificação dos elementos
que compõem o processo de comunicação para se identificarem as vulnerabilidades
da informação.

2.4 Vulnerabilidades da informação

Vulnerabilidades são fragilidades que de alguma forma podem vir a provocar

danos. A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de
um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser
explorada por uma ameaça para concretizar um ataque. Para Sêmola (2003), as
vulnerabilidades são fragilidades presentes ou associadas a ativos de informação,

9
que, ao serem exploradas, permitem a ocorrência de incidente na segurança da
informação.
Dantas (2003) afirma que vulnerabilidades são fragilidades que podem
provocar danos decorrentes da utilização de dados em qualquer fase do ciclo de vida
das informações. Como pode ser verificado, as vulnerabilidades estão relacionadas
diretamente com as fragilidades. Essas fragilidades podem estar nos processos,
políticas, equipamentos e nos recursos humanos. Por si só, elas não provocam
incidentes, pois são elementos passivos, necessitando para tanto de um agente
causador ou de condição favorável, já que se trata de ameaças.
De acordo com as análises feitas nas pesquisas realizadas pela Módulo
Security S.A., nos anos de 2003 e 2004, foram identificados alguns pontos que
demonstram uma relação direta com as vulnerabilidades para a segurança das
informações.

Fonte: marcusdantas.com.br

A internet foi, para 60% das empresas pesquisadas, o principal ponto de

invasão, o que demonstra que essa tecnologia tem contribuído para o aumento das
vulnerabilidades.
Outro ponto que desperta a atenção é que, apesar da evolução da segurança
da informação, os ataques ainda permanecem em patamar preocupante. Segundo
dados da pesquisa 2006 Australian Computer Crime and Security Survey (AusCERT,
2006), os ataques trojan e phishing tiveram um crescimento de 27% em relação ao
ano de 2005. Já para o CSI/FBI (2006), os vírus ainda permanecem como a principal
fonte de grandes perdas financeiras, seguido do acesso não autorizado.

10
 Outro ponto de vulnerabilidade apresentado nas pesquisas sobre segurança da
informação tem relação com os funcionários e prestadores de serviço. Sabemos que
a fuga das informações e a sua exposição involuntária ocorrem em momentos simples
do dia a dia da empresa, o que torna os recursos humanos uma das maiores
preocupações para a implementação de políticas e treinamentos voltados para a
proteção das informações.
Tudo isso demonstra o quanto existe de vulnerabilidade no ambiente de
negócios, bem como o tamanho da preocupação dos especialistas em segurança da
informação com o crescimento da tecnologia.
É certo que ela torna a vida mais prática e as informações mais acessíveis,
proporcionando conforto, economia de tempo e segurança. Mas, essa aparente
segurança não é motivo de tranquilidade, pois a ausência de uma cultura da
segurança das informações cria um ambiente vulnerável às informações, porque os
mesmos benefícios que a tecnologia oferece são também utilizados para a prática de
ações danosas às empresas.

Origem das vulnerabilidades

As vulnerabilidades podem advir de vários aspectos: instalações físicas
desprotegidas contra incêndio, inundações e desastres naturais; material inadequado
empregado nas construções; ausência de políticas de segurança para RH;
funcionários sem treinamento e insatisfeitos nos locais de trabalho; ausência de
procedimentos de controle de acesso e de utilização de equipamentos por pessoal
contratado; equipamentos obsoletos, sem manutenção e sem restrições para sua
utilização; software sem patch de atualização e sem licença de funcionamento, etc.
Para uma melhor compreensão das vulnerabilidades, podemos classificá-las como:
naturais, organizacionais, físicas, de hardware, de software, nos meios de
armazenamento, humanas e nas comunicações.

Naturais
As vulnerabilidades naturais estão relacionadas com as condições da natureza
ou do meio ambiente que podem colocar em risco as informações. Podem ser: locais
sujeitos a incêndios em determinado período do ano; locais próximos a rios propensos
a inundações; áreas onde se verificam manifestações da natureza, como terremotos,

11
maremotos e furacões; falha geológica, zonas de inundação, áreas de
desmoronamento e avalanches.
Organizações situadas nessas áreas vulneráveis devem manter um excelente
gerenciamento de continuidade de negócios, uma vez que esses eventos independem
de previsibilidade e da vontade humana.

Organizacional
As vulnerabilidades de origem organizacional dizem respeito a políticas, planos
e procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da
organização e que não seja enquadrado em outras classificações. Podem ser:
ausência de políticas de segurança e treinamento; falhas ou ausência de processos,
procedimentos e rotinas; falta de planos de contingência, recuperação de desastres e
de continuidade; ausência ou deficiência da CIPA (Comissão Interna de Prevenção
de Acidentes), etc.

Física
As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo
processadas ou gerenciadas as informações. Podem ser: instalações inadequadas;
ausência de recursos para combate a incêndio; disposição desordenada dos cabos
de energia e de rede; não identificação de pessoas e locais; portas destrancadas;
acesso desprotegido às salas de computador; sistema deficiente de combate a
incêndio; edifícios mal projetados e mal construídos; material inflamável utilizado na
construção e no acabamento; janelas destrancadas; paredes suscetíveis a um assalto
físico; paredes que não vão até o teto (meia parede).

Hardware
Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de
fabricação ou configuração dos equipamentos que podem permitir o ataque ou a
alteração dos mesmos. Como exemplo desse tipo de vulnerabilidade, temos: a
conservação inadequada dos equipamentos; a falta de configuração de suporte ou
equipamentos de contingência; patches ausentes; firmware desatualizado; sistemas
mal configurados; protocolos de gerenciamento permitidos por meio de interfaces
públicas.

12
 Software
As vulnerabilidades de softwares são constituídas por todos os aplicativos que
possuem pontos fracos que permitem acessos indevidos aos sistemas de
computador, inclusive sem o conhecimento de um usuário ou administrador de rede.
Os principais pontos de vulnerabilidade encontrados estão na configuração e
instalação indevida, programas, inclusive o uso de e-mail, que permitem a execução
de códigos maliciosos, editores de texto que permitem a execução de vírus de macro.

Meios de armazenamento
Os meios de armazenamento são todos os suportes físicos ou magnéticos
utilizados para armazenar as informações, tais como: pen-drive; CD ROM; fita
magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está
registrado em papel. As suas vulnerabilidades advêm de prazo de validade e
expiração, defeito de fabricação, utilização incorreta, local de armazenamento em
áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, etc.

Humanas
As vulnerabilidades humanas constituem a maior preocupação dos
especialistas, já que o desconhecimento de medidas de segurança é a sua maior
vulnerabilidade. Sua origem pode ser: falta de capacitação específica para a execução
das atividades inerentes às funções de cada um; falta de consciência de segurança
diante das atividades de rotina; erros; omissões; descontentamento; desleixo na
elaboração e segredo de senhas no ambiente de trabalho; não utilização de
criptografia na comunicação de informações de elevada criticidade, quando possuídas
na empresa.

Comunicação
Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que
abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica,
ondas de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão
relacionados com: a qualidade do ambiente que foi preparado para o tráfego,
tratamento, armazenamento e leitura das informações; a ausência de sistemas de

13
criptografia nas comunicações; a má escolha dos sistemas de comunicações para o
envio da mensagem; os protocolos de rede não criptografados; as conexões a redes
múltiplas; os protocolos desnecessários permitidos; a falta de filtragem entre os
segmentos da rede.

2.5 Ameaças à segurança da informação

No ambiente atual, bastante competitivo, as empresas devem estar sempre

atentas para as ameaças aos negócios corporativos, que, se concretizadas poderão
tirá-las desse cenário, encerrando suas atividades para sempre.
Com a automação dos sistemas de processamento e de armazenamento de
informações, a própria informação torna-se mais susceptível às ameaças, uma vez
que ela (a informação) está mais acessível e disponível para usuários de uma forma
geral.
Mas, o que são ameaças?
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades,
podem provocar danos e perdas.
A norma ISO/IEC 13335-1:2004 define ameaças como: a causa potencial de
um incidente indesejado, que pode resultar em dano para um sistema ou para a
organização.
Sêmola (2003) define ameaças como sendo agentes ou condições que causam
incidentes que comprometem as informações e seus ativos, por meio de exploração
de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e
disponibilidade, e, consequentemente, causando impactos aos negócios de uma
organização.
Para Beal (2005), ameaças são expectativas de acontecimentos acidental ou
proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo de
informação.
Observa-se que as vulnerabilidades estão relacionadas com situações de
fragilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com
um incidente indesejado que, em decorrência daquela, pode vir a provocar algum
dano.

14
 Essas ameaças podem surgir de várias formas: de eventos da natureza, como
terremotos, furacões, enchentes, descargas elétricas, tsunamis, etc.; de incidentes em
instalações, como incêndio, curtos-circuitos, infiltrações; de incidentes de segurança,
com roubo, furto, sabotagem, ataques terroristas, etc.; e de uma variedade de
eventos, que, de uma forma ou de outra, pode vir a afetar os negócios de uma
organização.
As ameaças podem ser:
Naturais: são aquelas que se originam de fenômenos da natureza, tais como
terremotos, furacões, enchentes, maremotos, tsunamis;
Involuntárias: são as que resultam de ações desprovidas de intenção para
causar algum dano. Geralmente são causadas por acidentes, erros, ou por ação
inconsciente de usuários, tais como vírus eletrônicos, que são ativados pela execução
de arquivo anexado às mensagens de e-mail; e
Intencionais: são aquelas deliberadas, que objetivam causar danos, tais como
hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de
informações, dentre outras.
Fontes de diversas origens apresentam tipos de ameaças à informação,
contudo, o ponto referencial mais confiável são as pesquisas sobre segurança da
informação, as quais apresentam as principais ameaças que permeiam o ambiente
das informações.
Dentre as pesquisas sobre segurança da informação, sem prejuízo de outras
fontes, destacamos as realizadas pela Módulo Security Solutions, as realizadas pelo
Computer Security Institute (CSI), juntamente com o Federal Bureau of Investigation
(FBI), as da Ernst & Young, pela Deloitte Touche Tohmatsu, e as efetuadas pela
Australia’s National Computer Emergency Response Team (AusCERT), em conjunto
com outros órgãos de combate aos crimes de informática e computador da Austrália.
Abaixo apresentamos os principais destaques de duas pesquisas nacionais
sobre segurança da informação:

15
Fonte: marcusdantas.com.br

16
 Fonte: marcusdantas.com.br

Essas pesquisas demonstram o quanto é preocupante a segurança da

informação, e o quanto de trabalho há pela frente para se atingir um padrão eficiente
em segurança da informação.
Nesse sentido, em pesquisa realizada pelo CSI/FBI (2005), foi identificado que
95% das empresas pesquisadas tiveram mais de dez incidentes de segurança em

17
seus websites, e que o ataque de vírus ainda continua como a grande fonte de perdas
financeiras.
Nas pesquisas dos anos seguintes, o vírus ainda continuava sendo uma das
principais fontes de perdas financeiras, que, juntamente com o acesso não autorizado,
o roubo de laptops e o roubo de propriedade da informação, representam mais que
70% das perdas financeiras.
Dessa forma, reproduzimos um quadro da pesquisa realizada pelo CSI/FBI, no
ano de 2006, no qual é possível identificar a liderança do ataque de vírus sobre os
outros tipos de ataques, no período de 1999 a 2006. Esse quadro mostra o
comportamento das principais ameaças à segurança da informação.

Fonte: marcusdantas.com.br

Na pesquisa realizada pelo AusCERT (AusCert, 2006), verifica-se que os

principais tipos de ataques eletrônicos são: vírus, worm ou trojan (64%); acesso
indevido à internet, e-mail ou recursos de sistema (62%), e roubo de laptop (58%),
sendo o vírus e o roubo de laptop os maiores responsáveis pelas perdas financeiras
decorrentes desses ataques.
Abaixo vem apresentado um quadro no qual constam as principais ameaças
apresentadas nas 8ª e 9ª Pesquisa nacional de segurança da informação, realizadas
pela Módulo Security Solutions.
18
 Principais ameaças segundo pesquisas efetuadas pela Módulo Security
Solutions

Fonte: marcusdantas.com.br

Pelos dados das pesquisas citadas, observa-se que, apesar da evolução da

tecnologia da segurança da informação, as ameaças ainda permanecem em
patamares que demandam bastante atenção, colocando sob holofotes a eficácia das
medidas de proteção ao longo desse período.
Para uma melhor visualização da consolidação dessas ameaças, são
apresentados, abaixo, os tipos de ameaças citadas nas pesquisas de segurança da
informação.
Ameaças apresentadas nas pesquisas de segurança da informação.
As principais ameaças apresentadas em pesquisas de segurança da
informação foram:
 Vírus, worm, cavalo de Tróia (trojan horse);
 Phishing, pharming e spyware;
 Adware; spam;
 Roubo de dados confidenciais da empresa e de cliente, da propriedade
da informação e da propriedade intelectual;
 Acesso não autorizado à informação;
 Perda de dados de clientes;
 Roubo de laptop, portáteis e de hardware;
 Ataque de negação de serviço, invasão de sistemas e da network;

19
  Acesso e utilização indevida da internet e dos recursos dos sistemas de
informação;
 Degradação da performance, destruição e/ou desfiguramento da
network e do website;
 Software de má qualidade, mal desenvolvido e sem atualização;
 Fraude financeira e de telecomunicações;
 Interceptação de telecomunicação (voz ou dados) e espionagem;
 Sabotagem de dados e da network;
 Desastres naturais;
 Cyber-terrorismo;
 Má conduta e acesso indevido à network por funcionários e gerentes,
bem como abuso de seus privilégios de acesso e utilização indevida da
rede wireless;
Das ameaças citadas nessas pesquisas, observa-se que é dispensada uma
atenção especial para os malware (códigos maliciosos). Os principais códigos
maliciosos são: vírus, cavalos de Tróia, adware e spyware, backdoors, keyloggers,
worms, bots e botnets e rootkits.

Fonte: focadoemti.com.br

O Vírus é um programa ou parte de um programa de computador, o qual se

propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de
computador. O vírus depende da execução do programa ou do hospedeiro para ser
ativado.
O Cavalo de Tróia (trojan horse) é um programa que executa funções
maliciosas sem o conhecimento do usuário. Normalmente esse código é recebido

20
como um presente (cartão virtual, prêmios, fotos, protetor de tela, etc.). O seu nome
tem origem na mitologia grega.
O Adware (Advertising software) é um tipo de software projetado para
apresentar propagandas, seja por meio de um navegador (browser), seja com algum
outro programa instalado em um computador.
O Spyware é um software espião que tem como objetivo monitorar atividades
de um sistema e enviar as informações coletadas para terceiros.
Os Backdoors são programas que procuram dar a garantia de retorno a um
computador comprometido, sem utilizar novas técnicas de invasão, ou retornarem ao
computador comprometido sem serem notados.
Os Keyloggers são programas capazes de capturar e armazenar as teclas
digitadas pelo usuário no teclado de um computador.
O Worm é um programa capaz de se propagar automaticamente através de
redes, enviando cópias de si mesmo de computador para computador. Difere do vírus
por não embutir cópias de si mesmo em outros programas ou arquivos.
O Bot é um programa capaz se propagar automaticamente, explorando
vulnerabilidades existentes ou falhas na configuração de softwares instalados em um
computador. Normalmente, o bot se conecta a um servidor de IRC (Internet Relay
Chat) e entra em um canal (sala) determinado, aguardando as instruções do invasor,
monitorando as mensagens que estão sendo enviadas para esse canal. O invasor, ao
se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens
compostas por sequências especiais de caracteres, que são interpretadas pelo bot.
Tais sequências de caracteres correspondem a instruções que devem ser executadas
pelo bot.
Os Botnets são as redes formadas por computadores infectados com bots.
Essas redes podem ser compostas por centenas ou milhares de computadores. Um
invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência
de seus ataques, por exemplo: para enviar centenas de milhares de e-mails de
phishing ou spam; para desferir ataques de negação de serviço, etc.
O Rootkits é um conjunto de programas que utiliza mecanismos para esconder
e assegurar a presença do invasor no computador comprometido.
Como muitas das ameaças à segurança da informação vêm do ciberespaço,
pode ser que haja uma tendência para se dispensar uma atenção maior ao tratamento

21
dessas ameaças, o que pode tornar essa avaliação vulnerável. Por exemplo, Kevin
Mitnick, um ex hacker, em seu livro “A Arte de enganar”, deixa bastante claro que
muito de seus ataques de sucesso sequer utilizavam ferramentas para a invasão de
sistemas: bastava uma boa conversa e a exploração de falhas no controle de acesso
físico.
Como já foi abordado, para que as ameaças possam ser identificadas faz-se
necessário recorrer às pesquisas de segurança da informação. Contudo, elas por si
só não são suficientes para uma delimitação das principais ameaças, uma vez que
essas pesquisas dão ênfase maior às ameaças do meio eletrônico. As ameaças como
fogo, inundação, tempestade, descargas elétricas, bem como as ações violentas de
pessoas de fora das organizações, como: incêndios criminosos, ataques de bombas
e vandalismo, devem, também, integrar esse grupo nas suas avaliações.
Dessa forma, sempre que se for avaliar uma ameaça, deve-se identificar não
apenas o que é oriundo do meio eletrônico, como as da classe dos códigos maliciosos,
mas também outros tipos de ameaças que não utilizam esse meio.
Nesse sentido, a BS 7799-3:2006, em seu anexo “C”, e o HB 231:2004, em seu
anexo “A”, fornecem uma lista de ameaças à segurança da informação, e dentre elas
encontram-se ameaças que não são exclusivas ao meio eletrônico, como, por
exemplo: atos de terrorismo, falta ou carência de sistemas de refrigeração, brechas
na legislação, danos causados por funcionários e por terceira parte, desastres
naturais, fogo, acesso não autorizado às instalações, etc.
Ao se avaliarem as ameaças à informação, devem-se considerar as
vulnerabilidades possíveis e existentes, bem como as possibilidades de concretização
dessas ameaças. Neste processo de análise, adentra-se no estudo do risco ao se
procurar entender como essas ameaças ocorrem e qual a sua relação com as
vulnerabilidades, como também a probabilidade de sua concretização, para que seja
possível efetuar um tratamento mais adequado aos riscos, de acordo com as reais
condições da organização.3

3 Texto extraído do link: http://www.marcusdantas.com.br/files/seguranca_informacao.pdf

22
3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

Fonte: hositec.com.br

Diante das mudanças presenciadas por organizações de todo o mundo no

cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas
mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem
sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao
negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos
acionistas.

Atualmente a arquitetura corporativa é o termo, o conceito e a estrutura

utilizados para transportar a organização do estágio do uso técnico da
tecnologia para o estágio do uso direcionado dessa tecnologia para negócio.
Isto exige transparência dos objetivos de negócio, padronizações, uso de
soluções corporativas sem esquecer situações específicas, uso efetivo de
governança e, sobretudo, desejo verdadeiro do comando da organização
para isso. (Fontes, 2008, p.43).

Entende-se que a arquitetura corporativa associa a tecnologia da informação

com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a
segurança da informação. A arquitetura da segurança da informação é um elemento
da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos
outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura
corporativa.

Uma arquitetura de segurança define padrões e estruturas que devem ser

seguidas pela organização com o objetivo de proteger a informação
considerando os requisitos de negócio. Caso a organização esteja muito
confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso

23
 a organização esteja menos confusa, com algum esforço alcançaremos a
situação desejada. (Fontes, 2008, p. 44).

Espera-se que esta estrutura possibilite soluções para a corporação de modo

a intensificar os controles de segurança da informação existentes, tomando por base,
dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação (SGSI).
Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que
exista o básico da gestão da segurança da informação. Muitas organizações não
possuem essa gestão básica e adotam a governança de tecnologia da informação.
Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam
implementados, sendo que o primeiro deles é a existência de uma pessoa responsável
pelo processo de segurança da informação, não sendo essa pessoa responsável pela
segurança, mas, responsável pelo processo de segurança, que terá como
consequência uma boa política de segurança da informação implementada.
O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira,
tempo e recursos operacionais para a implementação do processo de segurança da
informação e sua gestão, e por fim e não mais importante que os itens acima
apresentados Fontes preconiza a necessidade de existir um processo de segurança
que se inicie na alta administração da organização, uma vez que este processo
interfere em muitos aspectos da organização e principalmente nas pessoas e cultura
organizacional.
Neste contexto a literatura já elaborada para a segurança da informação sugere
o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos
de implementação de segurança, dentre os quais, apresenta-se o Escritório da
Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais
e estruturais necessários ao desenvolvimento, implantação e acompanhamento das
políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da
Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a
necessidade de centralização dos recursos humanos, materiais e estruturais,
necessários ao processo.

24
 Modelos da Organização da Segurança da Informação

No que diz respeito às atribuições de cada uma das estruturas acima descritas,
ambas possuem os mesmos propósitos, a saber:

 Analisar o posicionamento da empresa no mercado em que se situa,

visando mapear seus clientes, fornecedores, concorrentes, produtos/
serviços e os riscos que cada um destes pode representar à empresa;
 Definir as políticas de controle de acesso físico às instalações da
empresa;
 Implementar os aspectos sócio técnicos da Segurança da Informação,
mapeando as características sociais referentes ao ambiente da
organização e as pessoas que nela vivem e trabalham;
 Definir as políticas de controle de acesso lógico aos dados
organizacionais;
 Desenvolver a matriz de riscos do negócio, identificando, priorizando e
qualificando todos os riscos inerentes ao processo mapeando pelo
menos uma resposta a cada risco identificado;
 Garantir a sustentabilidade do processo de controle da segurança da
informação;
 Escrever e implementar os acordos de nível de serviço de segurança da
informação na empresa;
 Avaliar novas tecnologias e suas devidas adequações e aplicações nos
processos de segurança da informação organizacional;
 Mapear e definir os planos de contingência dos processos
organizacionais;
 Definir os procedimentos a serem adotados em situações de crises,
emergências e desastres para a continuidade de negócio;
 Avaliar o nível de proteção atual dos processos organizacionais;
 Garantir a eficácia dos processos da segurança da informação por meio
de testes periódicos;
 Desenvolver políticas de treinamento de funcionários visando garantir o
comprometimento destes com os processos de SI organizacionais;

25
  Aplicar políticas de certificação digital de segurança da informação;
 Implementar políticas de desenvolvimento de software seguro;
 Definir políticas de controle de versão de arquivos;
 Promover auditorias nos processos sistêmicos organizacionais;
 Regulamentar as políticas de uso dos recursos informacionais da
empresa (computadores, redes de dados, e-mails corporativos,
ferramentas de redes sociais, etc.).
A implantação do Escritório de Segurança da Informação requer disponibilidade
de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao
desenvolvimento das atividades descritas no item anterior, proporcionando que a
equipe de analistas de Segurança da Informação possa compartilhar experiências,
atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura
deve permitir o desenvolvimento das atividades de segurança da informação e possui
a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e
de conhecimento de toda empresa – os recursos humanos e tecnológicos necessários
aos andamentos das atividades de SI.
Esta estrutura apresenta a desvantagem de contribuir com um custo fixo no
plano de contas da organização pincipalmente pelo fato de manter disponíveis em
tempo integral a equipe do escritório de segurança da informação, seu parque
tecnológico e o ambiente físico (espaço) das instalações.
Uma alternativa muito utilizada em empresas de todo mundo para manter uma
estrutura de SI fugindo dos altos custos encontrados na implantação dos Escritórios
de SI, é a adoção dos Comitês de Segurança da Informação, cujos propósitos são os
mesmos dos Escritórios de SI, porém não existe a dedicação exclusiva dos recursos
humanos e também não existe a disponibilidade física de um local destinado
exclusivamente a este propósito. A adoção de Comitês de SI apresenta a
desvantagem de não se ter em tempo integral uma equipe disponível para o
cumprimento das atividades da governança de segurança da informação, fato que
permite que os custos de um Comitê de SI sejam muito mais baixos que os custos de
implantação de um Escritório de SI.
No caso dos Comitês de SI, os profissionais alocados nas atividades de
governança de segurança da informação continuam com suas atividades seculares
em seus postos de trabalho, compartilhando suas horas de trabalho diárias também

26
com os processos do Comitê de SI, motivo principal pelo qual os Comitês de SI
possuem um custo menor que os Escritórios de SI.
Abaixo são apresentadas as vantagens e desvantagens, tanto do Escritório
quanto do Comitê de Segurança da Informação:

Fonte: mauriciolyra.pro.br

Localização na estrutura organizacional

A localização departamental da célula de governança da segurança da

informação pode apresentar-se hierarquicamente no mesmo nível da diretoria de
tecnologia da informação ou pode apresentar-se subordinada a essa. Abaixo são
apresentadas estas duas estruturas organizacionais com suas características:
1. Nesse modelo de estrutura organizacional a segurança da informação
encontra-se subordinada à diretoria de TI, sendo assim, depende do
orçamento da diretoria de TI e também das aprovações das políticas de
TI.

27
 Fonte: mauriciolyra.pro.br

2. Nesse modelo de estrutura de TI, a segurança da informação encontra-

se no mesmo nível hierárquico que a Diretoria de TI, sendo assim, possui
seu próprio orçamento, ficando independente para criação de políticas e
tomadas de decisões.

Fonte: mauriciolyra.pro.br

28
 Profissionais da Segurança da Informação

Fonte: itforum365.com.br

Tal qual ocorre nas demais áreas da tecnologia da informação, a governança

de segurança da informação também conta com diversas especialidades de
atribuições de recursos humanos.
A necessidade da distribuição dos profissionais de segurança da informação
dá-se ao fato de que cada profissional precisa responsabilizar-se por determinadas
atribuições técnicas para o desempenho dos papéis na segurança da informação
organizacional.
A informação é algo muito importante para a empresa e sua existência, pois
observa-se a crescente necessidade de proteger seus ativos informacionais, por isso
várias normas foram escritas para subsidiara área de segurança da informação. Para
que essas normas fossem colocadas em prática e com excelência pela organização,
foi preciso capacitar pessoas e desenvolver profissionais específicos para que a
segurança da informação exista na organização. Esses profissionais têm a
responsabilidade de estruturar, desenvolver, implementar e auditar os processos de
proteção da informação organizacional.
De acordo com a NBR ISO/IEC 27002, o profissional de Segurança da
Informação deve possuir algumas características e responsabilidades, dentre as
quais, citam-se:

29
  Garantir que as atividades da Segurança da Informação sejam
executadas em conformidade com a política de Segurança da
Informação;
 Buscar soluções adequadas à realidade da organização;
 Estruturar o processo de segurança;
 Trabalhar em paralelo com a auditoria;
 Saber por onde começar.

Serão apresentadas abaixo as principais atribuições da governança de

segurança da informação, ordenadas do mais alto cargo (importância na cadeia
hierárquica da GSI) para o mais baixo cargo, em outras palavras, ordenados do cargo
mais estratégico ao mais técnico:

CSO – Chief Security Officer (Diretor Geral)

Em conformidade com a NBR ISO/IEC 27002, este é o profissional responsável

por dirigir toda a cadeia da segurança da informação corporativa do nível técnico ao
gerencial estratégico. Entre suas responsabilidades estão, organizar e coordenar as
iniciativas da SI que buscam a eficácia e a eficiência para a organização, estabelece
procedimentos e transações corporativos.
O CSO além de segurança deve conhecer sobre negócios e participar de todas
as ações estratégicas da empresa, implantar políticas e escolher as melhores práticas
para a necessidade do negócio. Deve atentar a toda forma de segurança, não
somente a tecnológica, mas também a segurança física do local. O CSO deve
proporcionar à empresa a diminuição de riscos nas operações.
Qual a formação necessária?
 Ciência da Computação;
 Engenharia da Computação;
 Auditoria de Sistema;
 Governança de Tecnologia da Informação.

30
 CISM – Certified Information Security Manager

São os profissionais que gerenciam, projetam, supervisionam e avaliam a

segurança das informações na organização.

Que experiências deve possuir?

 Governança de Segurança da Informação;

 Gerenciamento de Riscos das Informações;
 Gestão de Programas de Segurança da Informação;
 Gestão de Incidentes e Respostas em Segurança da Informação.

Qual a formação necessária?

 Ciência da Computação;
 Engenharia da Computação;
 Auditoria de Sistema;
 Governança de Tecnologia da Informação;
 Análise e Desenvolvimento de Sistemas.

CISP – Certified Information Security Profissional

São os profissionais que realizam e operam as rotinas e protocolos da

segurança das informações na organização.

Que experiências deve possuir?

 Governança de Segurança da Informação;

 Gerenciamento de Riscos das Informações;
 Desenvolvimento de Programas de Segurança da Informação;
 Gestão de Incidentes e Respostas em Segurança da Informação.

Qual a formação necessária?

31
  Ciência da Computação;
 Engenharia da Computação;
 Governança de Tecnologia da Informação;
 Análise e Desenvolvimento de Sistemas.

CISA - Certified Information Systems Auditor

São os profissionais que supervisionam e auditam a segurança das

informações na organização.

Que experiências deve possuir?

 Governança de Segurança da Informação;

 Gerenciamento de Riscos das Informações;
 Gestão de Programas de Segurança da Informação;
 Gestão de Incidentes e Respostas em Segurança da Informação.

Qual a formação necessária?

 Auditoria de Sistema;
 Governança de Tecnologia da Informação;
 Administração de Empresas com ênfase em Tecnologia da Informação;
 Análise e Desenvolvimento de Sistemas.4

4 Texto extraído do link: http://mauriciolyra.pro.br/site/wp-content/uploads/2016/02/Livro-

Completo-v4-para-impress%C3%A3o-com-ISBN.pdf
32
4 INVASÕES NA INTERNET

Fonte: menteantihacker.wordpress.com

Todo sistema de computação necessita de um sistema para proteção de

arquivos. Este sistema é um conjunto de regras que garantem que a informação não
seja lida, ou modificada por quem não tem permissão.
A segurança é usada especificamente para referência do problema genérico do
assunto, já os mecanismos de proteção são usados para salvar as informações a
serem protegidas. A segurança é analisada de várias formas, sendo os principais
problemas causados com a falta dela a perda de dados e as invasões de intrusos. A
perda de dados na maioria das vezes é causada por algumas razões:
 Fatores naturais: incêndios, enchentes, terremotos, e vários outros
problemas de causas naturais;
 Erros de hardware ou de software: falhas no processamento, erros de
comunicação, ou bugs em programas;
 Erros humanos: entrada de dados incorreta, montagem errada de disco
ou perda de um disco.
Para evitar a perda destes dados é necessário manter um backup confiável,
armazenado geograficamente distante dos dados originais.

Exemplos de invasões

Em 1988, um estudante colocou na internet um programa malicioso (malware),

escrito em linguagem C, derrubando milhares de computadores pelo mundo, que foi
identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi
33
completamente removido da rede. Até hoje não se sabe qual era seu objetivo, o que
se sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse
programa se autocopiava em todos os computadores em que o estudante invadia.
Essa “brincadeira” não durou muito, pois o estudante foi descoberto pouco tempo
depois, processado e condenado a liberdade condicional, e teve que pagar uma alta
multa.
Um dos casos mais recentes de invasão por meio de vírus foi o
do worm Conficker (ou Downup, Downadup e Kido) que tinha como objetivo afetar
computadores dotados do sistema operacional Microsoft Windows, e que foi
primeiramente detectado em outubro de 2008. Uma versão anterior do malware
propagou-se pela internet através de uma vulnerabilidade dos sistemas de rede do
Windows (2000, XP, Vista, Server 2003, Server 2008, 7 Beta e Server 2008 R2 Beta,
que tinha sido lançado anteriormente naquele mês). O worm bloqueia o acesso a
websites destinados à venda, protegidos com sistemas de segurança e, portanto, é
possível a qualquer usuário de internet verificar se um computador está infectado ou
não, simplesmente por meio do acesso a websites destinados a venda de produtos
dotados de sistemas de segurança.
Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para
corrigir a vulnerabilidade MS08-067, através da qual o worm prevalece-se para poder
se espalhar. As aplicações da atualização automática se aplicam somente para o
Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e
versões mais antigas não são mais suportados.
Em janeiro de 2009, o número estimado de computadores infectados variou
entre 9 e 15 milhões. Em 13 de fevereiro de 2009, a Microsoft oferecia US$ 250mil em
recompensa para qualquer informação que levasse à condenação e à prisão de
pessoas por trás da criação e/ou distribuição do Conficker.
Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender,
Enigma Software, Eset, F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram
atualizações com programas de detecção em seus produtos e são capazes de
remover o worm. A McAfee e o AVG também são capazes de remover o vírus através
de escaneamentos de discos rígidos e mídias removíveis.
Através dessas informações históricas percebemos que os antivírus devem
estar cada vez mais atualizados, porque estão surgindo novos vírus rapidamente, e

34
com a mesma velocidade deve ser lançado atualizações para os bancos de dados
dos antivírus para que os mesmos sejam identificados e excluídos. Com a criação da
internet essa propagação de vírus é muito rápida e muito perigosa, pois se não houver
a atualização dos antivírus o computador e usuário estão vulneráveis, pois com a
criação da internet várias empresas começarão a utilizar internet como exemplo
empresas mais precisamente bancos, mas como é muito vulnerável esse sistema,
pois existem vírus que tem a capacidade de ler o teclado (in/out), instruções
privilegiadas como os keyloggers. Com esses vírus é possível ler a senha do usuário
que acessa sua conta no banco, com isso é mais indicado utilizar um teclado virtual
para digitar as senhas ou ir diretamente ao banco.5

5 REALIZAÇÃO CORRETA DE CÓPIAS DE SEGURANÇA

Fonte: targethost.com.br

De acordo com a CERT BR (2012), cópias de segurança (backups) dos dados

armazenados em um computador são importantes, não só para se recuperar de
eventuais falhas, mas também as consequências de uma possível infecção por vírus,
ou de uma invasão.
Os backups podem ser executados nos mais diversos tipos de mídias podendo
ser em simples mídias de CD’s ou pen-drives, ou mais complexos e seguros como

5Texto extraído do link:

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
35
espelhamentos de discos rígidos e backups em data centers. Cabe salientar que
dependendo do valor ou nível de importância das informações que estão sendo salvas
a necessidade de usar mídias confiáveis é maior, pois CD’s ou DVD’s tem vida curta,
podem ser extraviados, copiados ou furtados com certa facilidade.
Existem maneiras de se automatizar o processo de backups através do uso de
softwares, não necessitando assim de ações do usuário. Geralmente são utilizados
em empresas, por exemplo, para fazer cópias de segurança do banco de dados,
podendo assim configurar rotinas com horários específicos para a realização de cada
cópia.

5.1 Cuidados com os Backups

Tão importante quanto realizar cópias de segurança é saber os cuidados

básicos que se deve ter quando for realizar, armazenar e descartar as mesmas.
Cópias de segurança devem conter apenas arquivos confiáveis. Arquivos do sistema
operacional ou que façam parte da instalação de softwares não devem fazer parte dos
backups. Eles podem haver sido modificados ou substituídos por versões infectadas
por vírus ou outras ameaça. Logo quando restauradas podem trazer uma série de
problemas de segurança para um computador. O sistema operacional e os softwares
de um computador podem ser reinstalados de mídias confiáveis (SILVA et al 2011).
Ao armazenar os backups, deve-se certificar que eles não ficarão expostos ao
frio, calor, poeira ou umidade, pois estes agentes podem inutilizar a cópia. Por uma
questão se segurança adicional deve haver um cuidado com acessos não autorizados
onde os backups são armazenados e para prevenção contra incidentes naturais com
incêndios e inundações que podem afetar a empresa. Os backups devem ser
armazenados em dois ou mais lugares distintos.
Para evitar que elas caiam em mãos erradas, o descarte das cópias antigas
deve ser feito com cuidado, e em local adequado, de preferência deve-se inutilizar a
cópia para depois descartá-la.

36
5.2 Educação dos Usuários

Uma tarefa que deve fazer parte da rotina de administradores de redes e

gerentes de TI é a constante educação dos usuários para com problemas
relacionados à segurança. Sabe-se que grande parte dos problemas é originada na
rede interna da empresa e, muitas vezes, é causada pelo desconhecimento de
conceitos e procedimentos básicos de segurança por parte dos usuários (CERT.BR
2012).
Como já foi dito anteriormente o estabelecimento de regras para o uso de
computadores, e o entendimento dos riscos que a empresa está exposta, é primordial
para que os usuários comecem a entender os danos que eles podem causar usando
de forma incorreta os recursos disponíveis.
Partindo deste princípio um dos primeiros passos para o processo de educação
é o estabelecimento de políticas e regras de segurança. Fazer com que todos
compreendam os riscos que o uso indevido de redes sociais, e-mails com conteúdo
suspeito, download de arquivo, troca de informações sobre a empresa podem trazer,
e assim aceitem completamente às regras e restrições estipuladas pelo administrador
da rede.
Para que haja uma troca mútua de informações e experiências um contato com
os usuários da instituição seja por chat, e-mail ou até pessoalmente, é muito
importante, algumas questões relevantes sobre segurança que podem ser frisadas
com frequência, e quando alguma nova vulnerabilidade for descoberta pelos usuários
estes possam avisar com urgência para que as devidas providências sejam tomadas
e que para os danos causados sejam minimizados.

5.3 Criptografia

Michaelis (2009) define criptografia como escrita secreta, em cifra, isto é, por
meio de abreviaturas ou sinais convencionais. Na atualidade, quando se fala em
criptografia digital temos basicamente dois tipos: simétrica e a assimétrica.

a) Criptografia Simétrica: Este modelo utiliza algoritmos para encriptar e

desencriptar informações ou arquivos utilizando a mesma chave pública.

37
 Os algoritmos de criptografia usados na criptografia simétrica incluem o
seguinte:
RC2 (128 bits)
3DES (Triple Data Encryption Standard, Padrão triplo de criptografia de
dados)
AES (Padrão de criptografia avançada)
Atualmente, os dois protocolos mais usados para proteção de dados na
Internet, o SSL (Secure Sockets Layer) e o TLS (Transport Layer
Security) utilizam a criptografia simétrica para proteger os dados
transmitidos e armazenados.

b) Criptografia assimétrica: Este tipo de criptografia usa duas chaves

distintas que se complementam: chave pública e a privada. A chave
pública é liberada para todos que querem fazer contato com o emissor
da chave enquanto a chave privada ficar apenas com quem emitiu. Uma
desvantagem desse modelo é a sua performance, notavelmente mais
lentos que os modelos de algoritmos simétricos. Os algoritmos de
criptografia usados na criptografia assimétrica incluem o seguinte:
Acordo de chaves de Diffie-Hellman
RSA (Rivest-Shamir-Adleman)
DSA (Algoritmo de assinatura digital)

5.4 Assinatura digital

Assinatura digital permite comprovar a autenticidade e a integridade de uma

informação, sendo possível comprovar se a mesma foi gerada por quem diz ser e não
foi alterada (CERT.BR 2012). Esses métodos de criptografia de chaves são utilizados
em conexões seguras, transações bancárias via internet são um exemplo disso.
As conexões seguras na internet são implementadas via protocolo SSL (Secure
Socket Layer) sendo que o browser do usuário precisa informar qual a chave única da
conexão antes de iniciar a transmissão de informações, para isso o browser necessita
obter a chave pública do banco em questão, o site utiliza a chave privada do usuário

38
para decodificar a mensagem e identifica a chave única que será utilizada. Só assim
o usuário e o site podem transmitir informações de maneira segura.

5.5 Certificado Digital

Na atualidade devido à necessidade de opções ágeis e confiáveis que

possibilitem que operações de grande importância e sigilo sejam realizadas o
certificado digital se prolifera rapidamente.
O certificado consiste em um arquivo eletrônico que contém dados que
comprovam a identidade da instituição ou pessoa solicitante isso evita que os dados
sejam interceptados e ou adulterados. Para isso é usado algum software intermediário
um browser ou cliente de e-mail por exemplo que possa reconhecer a informação.
A certificação digital tem como base a criptografia, ou seja, os dados são
codificados para trafegarem pela internet.
As principais informações contidas em um certificado são:
a) Dados do solicitante.
b) Nome da autoridade certificadora.
c) Período de valida
O certificado digital nada mais é que um arquivo eletrônico que contém dados
para comprovar a identidade de uma pessoa ou instituição.
Para adquiri-lo, a pessoa interessada deve dirigir-se a uma autoridade de
registro, onde será identificado mediante a apresentação de documentos pessoais. É
indispensável a presença física do futuro titular do certificado, uma vez que esse
documento eletrônico será a sua “carteira de identidade” no mundo virtual.
A emissão de certificado para pessoa jurídica requer a apresentação dos
seguintes documentos:
a) Registro comercial, no caso de empresa individual;
b) Ato constitutivo, estatuto ou contrato social;
c) CNPJ e documentos pessoais da pessoa física responsável.
Algumas das principais informações encontradas em um certificado digital são:
a) Dados que identificam o responsável (nome, número de identificação,
estado, etc.);
b) Nome da Autoridade Certificadora (AC) que emitiu o certificado;

39
 c) O número de série e o período de validade do certificado;
d) A assinatura digital da AC.
O objetivo da assinatura digital no certificado é indicar que uma outra entidade
garante a veracidade das informações nele contidas.6

6 ALGUMAS LEIS DA SEGURANÇA

6.1 Leis Fundamentais

São 10 as leis fundamentais da segurança da informação (Ahmad e Russel,

2002). Todas as vezes que for necessário participar de um novo projeto de software
ou infraestrutura em sua empresa, se preocupe em respeitar as leis abaixo:
1. Segurança do lado do Cliente não funciona
 Segurança do lado do cliente é segurança implementada
unicamente no cliente;
 O usuário sempre tem a oportunidade de quebrar a segurança,
pois ele está no controle da máquina;
 A segurança no lado do cliente não fornecerá segurança se tempo
e recursos estiverem disponíveis ao atacante.

2. Você não pode trocar chaves de criptografia com segurança sem uma
informação compartilhada.
 As informações compartilhadas são usadas para validar
máquinas antes da criação da sessão;
 Você pode trocar chaves privadas compartilhadas ou usar SSL
(Secure Socket Layer) através do seu navegador;
 As trocas de chaves são vulneráveis a ataques do tipo man-in-
themiddle (homem no meio).

3. Não existe proteção total contra código malicioso.

 Os produtos de software não são perfeitos;

6Texto extraído do link:

http://tcconline.utp.br/media/tcc/2015/10/SEGURANCA-DA-INFORMACAO.pdf
40
  Os programas de detecção de vírus e cavalo de Tróia se baseiam
em arquivos de assinatura;
 Pequenas mudanças na assinatura de código podem produzir
uma variação não detectável (até que a nova assinatura seja
publicada).

4. Qualquer código malicioso pode ser completamente modificado para

evitar detecção de assinatura.
 Os atacantes podem mudar a identidade ou assinatura de um
arquivo rapidamente;
 Os atacantes podem usar compactação, criptografia e senhas
para mudar a aparência do código;
 Você não tem como se proteger contra cada modificação
possível.

5. Os firewalls não podem protegê-lo cem por cento contra-ataques.

 Os firewalls podem ser software ou hardware, ou ambos;
 A principal função de um firewall é filtrar pacotes que chegam e
saem;
 Ataques sucessivos são possíveis como resultado de regras e
políticas incorretas, e de problemas de manutenção.

6. Qualquer IDS pode ser burlado.

 Os sistemas de detecção de intrusão (IDS) frequentemente são
projetos passivos;
 É difícil para um atacante detectar a presença de um IDS quando
está sondando;
 Um IDS está sujeito à configuração incorreta e falta de
manutenção. Essas condições podem criar oportunidades de
ataque.

7. Algoritmos criptográficos secretos não são seguros.

 Criptografia é difícil;
41
  A maioria da criptografia não é revisada e testada o bastante
antes de ser lançada;
 Algoritmos comuns estão em uso em diversas áreas. Eles são
difíceis, mas não impossíveis de atacar.

8. Se uma chave não for necessária, você não tem criptografia – você tem
codificação.
 Esta lei é universal; não há exceções;
 A criptografia é usada para proteger a codificação. Se não existe
uma chave, você não pode criptografar;
 As chaves precisam ser mantidas em segredo ou não existe
segurança;
 As senhas não podem ser armazenadas com segurança no
cliente a menos que haja outra senha para protegê-las;
 É fácil detectar informações de senha armazenadas em máquinas
clientes;
 Se uma senha não é criptografada ou não está protegida quando
armazenada, ela não é segura;
 A segurança de senha em máquinas clientes requer um segundo
mecanismo para fornecer segurança.

9. Para que um sistema comece a ser considerado seguro, ele precisa

submeter-se a uma auditoria de segurança independente.
 A auditoria é o começo de uma boa análise de sistemas de
segurança;
 Os sistemas de segurança, muitas vezes, não são revisados
correta ou completamente, permitindo furos;
 Verificação externa é vital para a defesa; a falta dela é um convite
a ataques.

10. Segurança através de obscuridade não funciona.

 Ocultar não é proteger;
 É necessária proteção ativa;
42
  O uso da obscuridade por si só convida ao comprometimento.7
Nem sempre se pode ter o controle sobre as ameaças que geralmente
originam-se de agentes externos, portanto, é essencial a redução das vulnerabilidades
existentes para se minimizar o risco.
Existem diversas medidas de segurança que podem ser adotadas pelas
empresas com o intuito de proteger suas informações, por isso, as políticas de
segurança da informação são tão importantes, são elas que nortearão os
colaboradores a como agir baseados em procedimentos pré-estabelecidos.8

7 Texto extraído do link: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf

8 Texto extraído do link: https://www.profissionaisti.com.br/2013/08/politica-de-seguranca-da-
informacao-conceitos-caracteristicas-e-beneficios/
43
7 BIBLIOGRAFIA

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da

informação: técnicas de segurança. Rio de Janeiro, 2013.

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da

informação: técnicas de segurança. Rio de Janeiro, 2013.

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia da

informação: técnicas de segurança. Rio de Janeiro, 2011.

Australia’s National Computer Emergency Response Team (AusCERT), NSW Police

and Deloitte Touche Tohmatsu, 2002 Australian Computer Crime and Security Survey.
AusCERT, 2002

BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a

proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.

BROSTOFF, S. (2004). Improving password system effectiveness. Tese de

Doutorado. University College London.

CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Brasil. Cartilha de segurança para internet. Parte VIII: Códigos maliciosos. Keyloggers.

Computer Security Institute (CSI), and Federal Bureau of Investigation (FBI). 2006
CSI/FBI Computer Crime and Security Survey. CSI/FBI, 2006.

DANTAS, Marcus Leal. Segurança preventiva: conduta inteligente do cidadão. Recife:

Nossa livraria, 2003.

FONTES, Edson. Políticas e normas para a Segurança da Informação, Editora

BRASPORT, 1ª edição, 2012.

FONTES, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª

edição, 2008.

FURNELL, S., & THOMSON, K.-L. (2009). From Culture to disobedience: recognising
the varying user acceptance of IT security. Computer Fraud & Security, 2009 (2), 5-
10.

44
ISO/IEC 13335-1:2004 – Information technology – Security techniques – Management
of information and communications technology security – Part 1: Concepts and models
for information and communications technology security management.

KRUGER, H. A., & KEARNEY, W. D. (2008). Consensus Ranking - An ICT security

awareness case study. Computers & Security, 27 (7), 493-508.

MICHAELIS: moderno dicionário da língua portuguesa. [São Paulo]: Melhoramentos,

2009.

MORRIS, R. & THOMPSON, K. (1979). Password security: a case

history. Communications of the ACM, 22, 594-597.

SANTOS, Cleone Francisco; SILVA, Deverton Santana; GOUVEA, João Paulo Hora.
Ameaças à Segurança da Informação: Os Riscos Humanos como Fator Prevenção.
2010.

SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança

da informação. Rio de Janeiro: Campus, 2003.

SIEBERG, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports
- Online Security. Publicado em 26 de setembro de 2005.

SMITH, R.E. (2002). The strong password dilemma. Authentication: From Passwords
to Public Keys. Chapter 6. Addison-Wesley.

45