PIM 3

Prévia do material em texto

PROJETO INTEGRADO 
MULTIDISCIPLINAR 
III 
 
 
 
 
Projeto de Consultoria de Segurança da Informação 
 
Banco de Sangue de todo Território Nacional 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Americana 
2021 
 
 
 
 
 
PROJETO INTEGRADO 
MULTIDISCIPLINAR 
III 
 
 
 
 
Projeto de Consultoria de Segurança da Informação 
 
Banco de Sangue de todo Território Nacional 
 
 
 
 
 
 
 
Leandro Borsato 
RA: 2131952 
 Segurança da Informação 
Professor(a) e Orientador(a): 
 RICARDO SEWAYBRIKER. 
 
 
 
 
 
 
 
Americana 
2021
 
 
RESUMO 
 
 
Neste projeto foram propostas soluções seguras em forma de projeto que ligue 
todos os centros de doação de sangue públicos do Brasil. Será implementado o 
sistema em ambiente de desenvolvimento open Soure, sem custo financeiro, por meio 
de linguagem e programação e banco de dados que permita sua utilização em 
diferentes sistemas operacionais. 
 
A partir dos resultados será possível constatar que o sistema é uma ferramenta 
importante de gestão para banco de sangue. 
Propomos soluções para redes e comunicação para interligar os centros de doação 
de sangue de forma a proteger os dados. 
 
Criamos uma única estrutura de banco de dados em computação em nuvem 
para manter as informações do banco de sangue atualizadas em tempo real sem 
esquecer a segurança da informação. Por meio de funções matemáticas 
demonstramos eficiência que a unificação das bases de dados trouxe ao sistema. “A 
gestão da informação descreve o meio pela qual uma organização planeja, coleta, 
organiza, utiliza, controla, dissemina e descarta suas informações de forma eficiente, 
para garantir que o valor dessa informação seja identificado e explorado em toda sua 
extensão”. 
 
Estabelecemos um programa de segurança da informação para assegurar as 
informações dos dados cadastrais dos doadores e bem antes da criação deste projeto 
sempre pensamos na segurança da informação desde o início para terminar com a 
satisfação das necessidades. 
 
Neste projeto da empresa SOF HARD, também apresentamos o importante 
Trio: confidencialidade, integridade e disponibilidade. 
 
 
 
Palavras-chave: Banco de Sangue; Computação em nuvem; Comunicação; 
Open Soure; Segurança da informação; Soluções. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ABSTRACT 
 
In this project, safe solutions were proposed in the form of a project that links all public 
blood donation centers in Brazil. The system will be implemented in an open-source 
development environment, without financial cost, through language and programming and a 
database that allows its use in different operating systems. From the results it will be possible 
to verify that the system is an important management tool for blood banks. 
 
We propose solutions for networks and communication to connect blood donation 
centers in order to protect data. 
 
We have created a single database structure in cloud computing to keep blood bank 
information updated in real time without forgetting information security. Through mathematical 
functions we demonstrate efficiency that the unification of the databases brought to the 
system. "Information management describes the means by which an organization plans, 
collects, organizes, uses, controls, disseminates and disposes of its information efficiently, to 
ensure that the value of that information is identified and exploited to its full extent." 
 
We established an information security program to ensure the information on donor 
registration data and well before the creation of this project, we always thought about 
information security from the beginning to end meeting the needs. 
In this project of the company SOF HARD, we also present the important Trio: confidentiality, 
integrity and availability. 
 
 
 Keywords: Blood Bank; Cloud computing; Communication; Open source; 
information security, Solutions. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sumario 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
 
Introdução 
 
 Nossa empresa SOFT HARD veio com uma proposta de desonvolvimento, 
para o projato esta agragando segurança e particidade, aos usuarios, com asseço 
facil e com ferramentas simples mas seguras de todos arquivos dele contidos. 
Com uma plataforma simples e dadicada e principalmente segura. 
Estabelecemos um programa de segurança da informação para assegurar as 
informações dos dados cadastrais dos doadores e bem antes da criação deste projeto 
sempre pensamos na segurança da informação desde o início para terminar com a 
satisfação das necessidades. 
Fomos designados para uma tarefa de ordem voluntária, dispor um projeto de 
consultoria de segurança da informação para atender os Bancos de Sangue de todo 
território nacional. 
A SOFT HARD irá realizar tarefas que englobam, Matemática para 
computação, Segurança da Informação, Administração de Banco de Dados e de 
Rede de Dados e Comunicação. 
Os objetivos específicos é desenvolver a capacidade de identificar 
necessidades e propor soluções seguras em forma de projeto ligando todos os 
centros de doação de sangue públicos do Brasil. 
Este projeto vai propor soluções para redes de comunicação e proteção dos 
dados para interligar os centros de doação de sangue e com uma única estrutura de 
banco de dados em computação em nuvem para manter as informações dos bancos 
de sangue atualizadas em tempo real sem esquecer a segurança das informações, e 
mostraremos a eficiência que a unificação das bases de dados trará ao sistema. 
Com a segurança da informação asseguramos as informações dos dados 
cadastrais dos doadores, do forma propor todo comteudo amplo e simplificado, 
proposta de integração e unificação de forma rapida e pretica com os meios 
tecnologigos existentes e de forma segura. 
 
“Você sabe quantas gotas de sangue são necessárias para te manter vivo? A 
mesma quantidade para salvar uma vida! 
Você não pode dar tudo o que tem para salvar alguém, mas pode ajudar a completar 
o que falta. Seja a gota que faltava”. 
 
(Campanha de doação de sangue) Ket Antonio
8 
 
2. Desenvolvimento do Projeto 
 
No desenvolvimento deste projeto envolveremos a análise e o projeto de dois 
componentes: os dados e os processos. 
Projeto de dados é considerado a parte estática que dificilmente sofre modificações 
após sua definição e o projeto de processos que é a parte dinâmica que quando 
realizadas sobre os dados e podem variar conforme a evolução do sistema. 
 
 
 
 
2.1 Conceito Banco de Dados 
 
É um conjunto de arquivos relacionados entre si com registros sobre pessoas, 
lugares ou coisas. São coleções organizadas de dados que se relacionam de forma 
a criar algum sentido (Informação) e dar mais eficiência durante uma pesquisa ou 
estudo científico. 
 
 
 
 
2.2 Requisitos de Banco de Dados 
 
Nesta etapa a SOFT HARD irá coletar as informações sobre os dados de interesse 
da aplicação. 
 
Tarefas necessárias que serão realizadas: 
 
➢ Entrevista com os futuros usuários do sistema 
➢ Análise de documentações disponíveis 
➢ Arquivos 
➢ Relatórios e etc. 
 
Após as reuniões, os requisitos são documentados através do Documento de 
Especificação do Projeto (DEP), que detalha com todas as descrições tudo o que o 
sistema realizará, e esquematizados pelo Diagrama de Casos de Uso, que é uma 
orientação lógica para os desenvolvedores. 
 
Projeto Conceitual a fase de análise de dados ou requisitos das tarefas 
anteriores. 
Projeto Lógico mapeamento de um tipo de diagrama de acordo com o modelo 
de dados que foi definido pela SOFT HARD, que será a modelagem de alto nível a 
E-R Entidade-Relacionamento como propõe o Dr. Peter Chen. O resultado é uma 
estrutura lógica com um conjunto de tabelas relacionadas. 
 
 
 
 
 
 
 
 
9 
 
 
2.3 Sistemas de Banco de Sangue 
 
Permite o controle total do ciclo de sangue. Totalmente web, proporcionaacesso remoto através da internet com computadores cliente de baixa capacidade de 
processamento e gerencia toda rotina operacional, técnica e administrativa. 
 
 
2.4 Recursos do Sistema: 
 
1. Cadastro de Doadores: Seguindo padrões da ANVISA, o cadastro de 
doadores controla o bloqueio automático por idade, sexo e preenchimento de 
campos obrigatórios. Mantém o histórico de doações e histórico desituação 
do doador. 
 
2. Recepção: Praticidade ao atendimento, identifica o tipo de doação, tipo de 
material a ser coletado e o motivo do comparecimento. Faz validações 
específicas, controle de intervalo de doação por sexo, período de inaptidão 
de triagem ou inaptidão sorológica. 
 
3. Triagem: Registra os sinais vitais do doador, pode ser configurado de acordo 
com a unidade do hemocentro e de acordo com as normas técnicas. 
Visualiza ficha do doador e seu histórico, verifica os dados de outras doações 
na mesma tela. Emite etiquetas de código de barras, de bolsas e de tubos. 
Compreende também o serviço de auto exclusão. 
 
4. Coleta: Visando a maior eficácia dos processos, o sistema possibilita alto 
nível de exatidão quanto ao registro de tempo de doação e ao volume 
coletado. Mantém os registros de informações de coletas conforme a ultima 
realizada. Gera automaticamente o código da doação com base no código do 
doado, sequencial e com a padronização universal do ISBT. 
 
5. Fracionamento: Cálculo automático de validade de acordo com o 
hemocomponente. Cálculo automático do volume e da emissão de etiquetas 
com código de barras de acordo com as regras estabelecidas nos cadastros. 
 
6. Liberação e Descarte: Controle sobre as bolsas liberadas e descartadas, 
sendo que as bolsas somente poderão ser expedidas após serem liberadas, 
garantindo total controle e segurança. 
 
7. Estoque: Total controle de estoque de hemocomponentes, gerando 
relatórios para visualização da real situação do estoque e facilitando o 
gerenciamento das bolsas com validade vencida e a vencer, que ainda 
estejam no hemocentro. Indicadores de estoque na página principal 
 
8. Expedição: As informações de expedição poderão ser personalizadas ou 
não por pacientes, podem também ser registradas diretamente no sistema 
que permite o acesso rápido às informações e ao rastreamento de bolsas.
10 
 
2.5 Comunicação e Processo de Automação 
 
A comunicação corporativa será responsável pela captação e fidelização de 
doares de sangue (voluntários e vinculados), por meio de campanhas específicas de 
sensibilização, estabelecendo ações de comunicação com o doador para manter os 
estoques de sangue e os componentes. 
 
Responde pela Assessoria de Imprensa, com publicação de textos relativos à 
empresa e ao trabalho que desenvolve, dando atendimento aos veículos de 
comunicação e sugerindo pautas para TV, rádio, revistas, internet e jornais. 
 
O processo de automação é um dos principais destaques para os bancos de 
sangue por ter a menor interferência humana possível, os equipamentos da fase de 
testagem das amostras, são capazes de garantir ensaios 100% sensíveis elevando a 
eficácia e eficiência das testagens de bolsas de sangue. 
 
“A automação traz benefícios de evitar o erro humano, sempre com o objetivo 
de levar o melhor para o paciente que está na ponta”. Ela agiliza o processo, 
permitindo analisar uma quantidade maior de exames com resultados confiáveis, e 
consequentemente atender um maior número de pacientes. 
 
 
2.6 Computação em Nuvem 
 
Disponibiliza uma demanda de recursos do sistema computacional 
especialmente armazenamento de dados e capacidade de computação, sem o 
gerenciamento ativo direto do utilizador. 
 
O armazenamento de dados poderá ser acedido de qualquer lugar do mundo, 
a qualquer hora, não havendo necessidade de instalação de programas ou armazenar 
dados. O acesso a programas, serviços e arquivos é remoto através da internet. 
 
A Empresa SOFT HARD escolheu esse modelo de ambiente por ser mais 
viável do que o uso de unidades físicas neste projeto. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
11 
 
3. Sistema de Gerenciamento de Banco de Dados 
 
O software a ser utilizado será o SGBD Web pode ser instalado em um 
ambiente totalmente open source, eliminando os custos. O sistema gerencia o acesso 
e faz a correta manutenção dos dados armazenados em um ou mais Banco de Dados. 
O acesso aos dados é disponibilizado por meio de uma interface que permite a 
comunicação com a aplicação desenvolvida. 
 
 
➢ SGBD 
➢ Software 
a) Software para processar consultas 
b) Software para Acessar dados armazenados 
➢ Programas de Aplicação / Consultas 
➢ Usuário 
➢ Metadados armazenados 
➢ Base de Dados armazenados 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
12 
 
 
Esquema de um SGBD 
 
Os SGBD têm interfaces bem parecidas. Todos possuem o que chamamos de 
Object Explorer no lado esquerdo, onde é exibida a estrutura do banco de dados. 
 
Eles utilizam um formato análogo ao do Windows Explorer, permitindo a 
navegação entre os objetos do banco de dados. Do lado direito, temos uma tela 
dividida em duas partes na vertical. Normalmente, a parte de cima é onde se digitam 
os comandos SQL, e a parte de baixo é onde se visualizam os resultados. 
 
Todos os relatórios técnicos e gerenciais definidos pela ANVISA estão 
disponíveis no SGBD Web, sistema totalmente modular que atende as funções 
específicas de uma ou mais unidades hemoterápica. Possui uma plataforma flexível 
que pode ser configurada de acordo com as necessidades da unidade. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
13 
 
3.1 Administração de Banco de Dados 
 
Controla procedimentos de segurança, executa backup e recuperação de 
falhas de meio de armazenamento, assim como monitoração de performance de 
acesso de dados e tomada de decisões para melhorias no SGBD. 
 
Mantém um banco de dados corporativo “no ar” por todo o tempo que o sistema 
necessita, sem erros, com rapidez e confiabilidade. Certificar-se que o banco de 
dados é rápido e que a performance do servidor não afetará negativamente sua 
disponibilidade e usabilidade. 
 
O backup é considerado uma das atividades mais importantes e críticas de 
administração de banco de dados. Consiste em fazer uma cópia de segurança (dump) 
dos dados e da estrutura do banco de dados, além das operações realizadas na linha 
do tempo, entre uma cópia e outra. Será feito o backup todos os dias para não ter 
problemas com as falhas que podem ser de dois tipos: soft crash e hard crash. 
 
A primeira são falhas do sistema (por exemplo, queda de energia) que afetam 
todas as transações em curso no momento, mas não danificam fisicamente o banco 
de dados. 
 
A segunda são falhas da mídia (por exemplo, queda da cabeça de gravação 
sobre o disco) que causam danos ao banco de dados ou uma parte dele e afetam 
pelo menos todas as transações que, no momento, estão usando essa parte. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
14 
 
3.2 Entidade-Relacionamento (DER) 
 
Ferramenta escolhida por apresentar poucos conceitos, fácil compreensão e é 
considerada praticamente um padrão para modelagem conceitual. Um diagrama E-R 
é uma representação gráfica, na forma de um diagrama, no qual são utilizados apenas 
três conceitos: entidades, relacionamentose atributos. 
 
Modelo relacional foi utilizado para representar quais tabelas seriam 
implementadas no banco de dados. 
 
O Diagrama Entitidade-Relacionamento (DER), além de representar as tabelas 
do sistema, apresenta seus atributos e relacionamentos, sendo, portanto, uma 
modelagem lógica para o banco de dados. 
 
É possível visualizar o DER do banco de dados do sistema de informação 
desenvolvido no ambiente de modelagem do MySQL Workbench. 
 
Com base nos diagramas de concepção do DER, foi desenvolvida a 
programação Java no IDE Eclipse e implementado o banco de dados no Sistema de 
Gerenciamento de Banco de Dados (SGBD) MySQL, com o auxílio da ferramenta 
MySQL Workbench. A programação Java para os cálculos de previsão de demanda 
teve como base a modelagem proposta por Ferreira et al. (2013). 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 
 
3.3 Rede de Dados e Comunicação 
 
A rede será substituída pela comutação por célula que é uma grande evolução 
se comparada a outras duas (comutação por circuito e por pacotes). Só se tornou 
possível devido a baixa taxa de erros dos meios de transmissão existentes, hoje 
baseados em fibra óptica. 
 
Consiste no uso de células de tamanho fixo. Nessa tecnologia, a banda é 
alocada dinamicamente, o que garante o suporte a aplicações de taxa constante, 
como serviços de voz e vídeo em tempo real, e taxa variável, como serviços de dados. 
 
As principais vantagens da fibra óptica são: imunidade a interferências, 
alcance de grandes distâncias e alta velocidade 
 
Serão utilizadas redes WAN classificadas em três níveis: nível 1, estão os ISPs 
responsáveis pelas conexões nacionais e internacionais, 
 
dando forma à internet; no nível 2, estão os ISPs de serviços regionais, que se 
conectam ao nível 1 (nesse nível, são vendidos serviços de rede WAN); por fim, no 
nível 3 os provedores locais, normalmente para usuários domésticos. 
 
Para aumentar a segurança, é possível utilizar algum esquema de criptografia 
nesse nível, sendo que os dados só serão decodificados na camada 6 do dispositivo 
receptor. Assim, no dispositivo de origem, a mensagem é enviada criptografada, quer 
dizer, os dados da informação original são modificados em um formato para envio. A 
formatação de dados serve para que o nó receptor entenda o que o nó emissor envia. 
 
A camada de sessão é responsável pelo estabelecimento, gerenciamento e 
finalização de sessões entre a entidade transmissora e a receptora. 
 
Os principais serviços oferecidos pela camada de sessão são: Intercâmbio de 
dados, Gerenciamento de diálogos, Sincronização, Gerenciamento de atividades, 
Relatório de exceções. 
 
Cada camada oferece seus serviços para a camada diretamente acima. O 
chamado Ponto de Acesso aos Serviços da Sessão (PASS) permite a utilização dos 
serviços da camada de sessão pela camada de apresentação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
16 
 
4. Segurança da Informação 
 
 
Mecanismos de segurança 
 
O suporte para as recomendações de segurança pode ser encontrado em: 
 
Controles físicos: são barreiras que limitam o contato ou acesso direto a 
informação ou a infraestrutura (que garante a existência da informação) que a 
suporta. Mecanismos de segurança que apoiam os controles físicos: portas, trancas, 
paredes, blindagem, guardas, etc. 
 
Controles lógicos: são barreiras que impedem ou limitam o acesso a 
informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro 
modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. 
Mecanismos de segurança que apoiam os controles lógicos: 
 
Mecanismos de cifração ou encriptação: permitem a transformação 
reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para 
tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de 
dados não criptografados, produzir uma sequência de dados criptografados. A 
operação inversa é a decifração. 
 
Assinatura digital: Um conjunto de dados criptografados, associados a um 
documento do qual são função, garantindo a integridade e autenticidade do 
documento associado, mas não a sua confidencialidade. 
 
Mecanismos de garantia da integridade da informação: usando funções de 
"Hashing" ou de checagem, é garantida a integridade através de comparação do 
resultado do teste local com o divulgado pelo autor. 
 
Mecanismos de controle de acesso: palavras-chave, sistemas biométricos, 
firewalls, cartões inteligentes. 
 
Mecanismos de certificação: atesta a validade de um documento. 
 
Honeypot: é uma ferramenta que tem a função de propositalmente simular 
falhas de segurança de um sistema e colher informações sobre o invasor enganando-
o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele 
sistema. É uma espécie de armadilha para invasores. O honeypot não oferece 
nenhum tipo de proteção. 
 
Protocolos seguros: uso de protocolos que garantem um grau de segurança 
e usam alguns dos mecanismos citados aqui. 
 
 
Atualmente existe uma grande variedade de ferramentas e sistemas que 
pretendem fornecer segurança. Alguns exemplos: antivírus, firewalls, filtros anti-
spam, fuzzers, detectores de intrusões (IDS), analisadores de código, etc.[2] 
 
 
 
 
17 
 
4.1 Ameaças à segurança 
 
As ameaças à segurança da informação são relacionadas diretamente à perda 
de uma de suas três principais características, quais sejam: 
Perda de confidencialidade: há uma quebra de sigilo de uma determinada 
informação (ex: a senha de um usuário ou administrador de sistema) permitindo que 
sejam expostas informações restritas as quais seriam acessíveis apenas por um 
determinado grupo de usuários. 
Perda de integridade: determinada informação fica exposta a manuseio por 
uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não 
estão sob o controle do proprietário (corporativo ou privado) da informação. 
Perda de disponibilidade: a informação deixa de estar acessível por quem 
necessita dela. Seria o caso da perda de comunicação com um sistema importante 
para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação 
crítica de negócio, que apresentou uma falha devido a um erro causado por motivo 
interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou 
sem má intenção. 
No caso de ameaças à rede de computadores ou a um sistema, estas podem 
vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não 
são agentes maliciosos, pois tentam ajudar a encontrar possíveis falhas). Os crackers 
são motivados a fazer esta ilegalidade por vários motivos, dentre eles: notoriedade, 
autoestima, vingança e enriquecimento ilícito. 
 
De acordo com pesquisa elaborada pelo Computer Security Institut, mais de 
70% dos ataques partem de usuários legítimos de sistemas de informação (incides), 
o que motiva corporações a investir largamente em controles de segurança para seus 
ambientes corporativos (intranet). 
 
 
 
“Ninguém está seguro na internet, ninguém nunca esteve seguro na 
internet, ninguém nUUUnca estará 100% seguro na internet. E todo mundo sabe 
disso. E todo mundo se esquece disso, porque todo mundo se acomoda com 
isso”. 
 
Georgeana Alves 
 
 
“Segurança da Informação tem a finalidade de estabelecer 
procedimentos no sentido de proteger as informações e dados de seus 
computadores, garantindo a privacidade, solidez, disponibilidade e integridade 
de seus programas e equipamentos”. 
 
Jair Barbosa 
 
 
 
 
https://pt.wikipedia.org/wiki/Senha
https://pt.wikipedia.org/wiki/Cracker
https://pt.wikipedia.org/wiki/Hacker
https://pt.wikipedia.org/wiki/Intranethttps://www.pensador.com/autor/georgeana_alves/
18 
 
4.2 Invasões na Internet 
 
 
Todo sistema de computação necessita de um sistema para proteção de 
arquivos. Este sistema é um conjunto de regras que garantem que a informação não 
seja lida, ou modificada por quem não tem permissão. 
A segurança é usada especificamente para referência do problema genérico 
do assunto, já os mecanismos de proteção são usados para salvar as informações a 
serem protegidas. 
A segurança é analisada de várias formas, sendo os principais problemas 
causados com a falta dela a perda de dados e as invasões de intrusos. A perda de 
dados na maioria das vezes é causada por algumas razões: 
Fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas 
de causas naturais; 
Erros de hardware ou de software: falhas no processamento, erros de 
comunicação, ou bugs em programas; 
Erros humanos: entrada de dados incorreta, montagem errada de disco ou 
perda de um disco. 
Para evitar a perda destes dados é necessário manter um backup confiável, 
armazenado geograficamente distante dos dados originais. 
 
Nível de segurança 
 
Depois de identificado o potencial de ataque, as organizações têm que decidir 
o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e 
lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os 
custos associados aos ataques e os associados à implementação de mecanismos de 
proteção para minimizar a probabilidade de ocorrência de um ataque. 
 
➢ Segurança física 
 
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, 
alagamento, algo que possa danificar a parte física da segurança, acesso indevido 
de estranhos (controle de acesso), forma inadequada de tratamento e manuseio dos 
veículos. 
 
➢ Segurança lógica 
 
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, 
backup desatualizados, violação de senhas, furtos de identidades, etc. 
 
Segurança lógica é a forma como um sistema é protegido no nível de sistema 
operacional e de aplicação. Normalmente é considerada como proteção contra 
ataques, mas também significa proteção de sistemas contra erros não intencionais, 
como remoção acidental de importantes arquivos de sistema ou aplicação. É fácil 
manipular a informação usando palavras-chave, como nesse caso: informação; 
segurança; e controle. 
 
 
 
 
 
19 
 
4.3 Segurança dos Dados em Nuvem 
 
A segurança na nuvem, ou cloud security, é a proteção de dados, aplicações 
e infraestruturas envolvidas na cloud computing. Muitos aspectos da segurança de 
ambientes de nuvem (pública, privada ou híbrida) são os mesmos de qualquer 
arquitetura de TI on-premise. 
As preocupações com segurança de alto nível afetam a TI tradicional e os 
sistemas de cloud computing do mesmo jeito. Elas incluem a exposição e vazamento 
de dados não autorizados, controles de acesso fracos, suscetibilidade a ataques e 
interrupções na disponibilidade. Como qualquer ambiente de computação, a 
segurança na nuvem inclui a manutenção de medidas de proteção preventivas para 
que você: 
• Ter certeza de que os dados e os sistemas estão seguros. 
• Ter visibilidade sobre o estado atual da segurança. 
• Saber imediatamente se algo incomum acontecer. 
• Acompanhar e solucione eventos inesperados. 
 
Nós sabemos que é difícil compreender algo que existe entre os recursos 
abstratos enviados pela Internet e o servidor físico. Trata-se de um ambiente 
dinâmico onde tudo está sempre mudando, como as ameaças à segurança. 
 
Quebra de perímetros 
 
A segurança está muito relacionada ao acesso. Os ambientes tradicionais 
costumam controlá-lo usando um modelo de segurança por perímetro. 
Os ambientes de cloud computing estão altamente conectados, o que facilita 
a passagem do tráfego pelas defesas tradicionais de perímetro. Interfaces de 
programação de aplicações (APIs) não seguras, gerenciamento fraco de identidades 
e credenciais, invasões de conta e usuários internos mal-intencionados são 
ameaças ao sistema e aos dados. 
Para impedir o acesso não autorizado à nuvem, você precisa de uma 
abordagem centrada nos dados. Criptografe os dados. Fortaleça o processo de 
autorização. Exija senhas mais fortes e use a autenticação em dois fatores. Criar 
segurança em cada nível. 
 
Atualmente, tudo é baseado em software 
 
O termo "nuvem", ou “cloud”, se refere aos recursos hospedados que são 
entregues ao usuário por meio de um software. As infraestruturas de cloud computing 
– e todos os dados processados por elas – são dinâmicas, escaláveis e portáteis. 
Seja como partes inerentes das cargas de trabalho (por exemplo, criptografia) 
ou de forma dinâmica por meio de APIs e sistema de gerenciamento de nuvem, os 
controles de segurança precisam responder às variáveis do ambiente e acompanhar 
as cargas de trabalho e os dados tanto em repouso quanto em movimento. 
Dessa forma, você protege os ambientes de cloud computing contra a 
deterioração do sistema e perda de dados. 
 
 
 
 
 
https://www.redhat.com/pt-br/topics/cloud
https://www.redhat.com/pt-br/topics/cloud-computing/what-is-public-cloud
https://www.redhat.com/pt-br/topics/cloud-computing/what-is-private-cloud
https://www.redhat.com/pt-br/topics/cloud-computing/what-is-hybrid-cloud
20 
 
Cenário de ameaças sofisticadas 
 
Ameaças sofisticadas englobam tudo o que afeta negativamente a 
computação moderna, incluindo a cloud computing. Malwares cada vez mais 
sofisticados e outros ataques, como as ameaças persistentes avançadas (APTs), 
foram projetados para burlar as defesas de rede, tendo como alvo as vulnerabilidades 
no stack de computação. 
As violações de dados podem resultar em adulteração e divulgação não 
autorizada de informações. Não há uma solução evidente para essas ameaças. No 
entanto, você tem a responsabilidade de se manter atualizado sobre as práticas de 
segurança na nuvem que estão evoluindo para acompanhar os novos riscos. 
 
 
4.4 A segurança na nuvem é responsabilidade de todos 
 
Seja qual for o seu tipo de implantação de nuvem, é sua responsabilidade 
protegê-la. Usar uma nuvem com manutenção terceirizada não elimina suas 
responsabilidades e preocupações. 
Uma das principais causas das falhas na segurança é a falta de diligência 
prévia. A segurança na nuvem é responsabilidade de todos 
 
 
Segurança na nuvem pública 
 
OK, vamos discutir esse assunto. Em vez de falar sobre as diferenças de 
segurança nas três implantações de nuvem (pública, privada e híbrida), vamos 
abordar o que está em questão: “As nuvens públicas são seguras?”. A resposta 
depende de alguns fatores. 
As nuvens públicas oferecem a segurança apropriada para diversos tipos de 
carga de trabalho. No entanto, elas não são adequadas para tudo, principalmente 
porque elas não têm o isolamento das nuvens privadas. As nuvens públicas oferecem 
suporte a múltiplos locatários. 
Ou seja, você aluga capacidade de computação (ou espaço de 
armazenamento) do fornecedor de serviços de nuvem junto com outros “locatários”. 
Cada um deles assina um SLA com o fornecedor, que documenta quem é 
responsável pelo quê. É muito parecido com o aluguel de um espaço físico. 
 O proprietário (fornecedor da nuvem) se compromete a manter o edifício 
(infraestrutura em nuvem), guardar as chaves (acesso) e não perturbar o locatário 
(privacidade). 
Em retorno, o locatário promete não fazer nada que afete negativamente a 
integridade do edifício ou incomode os vizinhos (por exemplo, executar aplicações 
não seguras). No entanto, não é possível escolher seus vizinhos. 
Consequentemente, existeuma probabilidade de haver ameaças à segurança. 
Embora a equipe de segurança de infraestrutura do fornecedor da nuvem fique de 
olho nos eventos incomuns, as ameaças escondidas ou agressivas – como ataques 
distribuídos de negação de serviço (DDoS) maliciosos – ainda podem afetar 
negativamente outros locatários. 
Felizmente, há alguns padrões de segurança, regulamentos e estruturas de 
controle aceitos pelo setor, como o Cloud Controls Matrix da Cloud Security 
Alliance. 
Também é possível se isolar em um ambiente de vários locatários ao implantar 
mais medidas de segurança, como criptografia e técnicas de redução de DDoS, que 
protegem as cargas de trabalho contra uma infraestrutura comprometida. 
https://www.redhat.com/pt-br/topics/cloud-computing/public-cloud-vs-private-cloud-and-hybrid-cloud
https://en.wikipedia.org/wiki/Denial-of-service_attack
https://en.wikipedia.org/wiki/Denial-of-service_attack
https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
21 
 
 
 
Se isso não for suficiente, será possível implantar brokers de segurança de 
acesso à nuvem para monitorar as atividades e aplicar políticas de segurança em 
funções corporativas de baixo risco. No entanto, tudo isso pode não ser suficiente nos 
setores que operam sob regulamentos rígidos de privacidade, segurança e 
conformidade. 
 
Diminua riscos com a nuvem híbrida 
 
As medidas de segurança estão muito relacionadas à tolerância a riscos e à 
análise do custo-benefício. Como os possíveis riscos e benefícios afetam a 
integridade geral da organização? O que é mais importante? Nem toda carga de 
trabalho requer o mais alto nível de criptografia e segurança. Pense da seguinte 
forma: trancar a porta de casa mantém todos os pertences relativamente seguros, 
mas você ainda pode querer guardar os objetos de valor em um cofre. É bom ter 
opções. 
É por isso que cada vez mais empresas estão adotando as nuvens híbridas, 
que proporcionam o que há de melhor em todas as nuvens. A nuvem híbrida é a 
combinação de dois ou mais ambientes de nuvem (pública ou privada) 
interconectados. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Com as nuvens híbridas, é possível escolher a localização das cargas de 
trabalho e dos dados com base nos requisitos de conformidade, auditoria, política ou 
segurança. Isso mantém as cargas confidenciais protegidas na nuvem privada, 
enquanto você opera as mais comuns na nuvem pública. 
Há alguns desafios de segurança específicos da cloud híbrida, como migração 
de dados, maior complexidade e extensa superfície de ataque. No entanto, a 
presença de vários ambientes é uma das defesas mais fortes contra os riscos à 
segurança. 
 
 
 
 
https://en.wikipedia.org/wiki/Cloud_access_security_broker
https://en.wikipedia.org/wiki/Cloud_access_security_broker
https://www.redhat.com/pt-br/topics/cloud-computing/what-is-hybrid-cloud
22 
 
5. CONCIDERAÇÕES FINAIS 
Como foi visto, a segurança da informação depende de tecnologias, mas 
também de pessoal preparado. Necessita de planejamento, mas também de ações 
efetivas. Exige que se conheça as ameaças e os riscos, mas também a própria 
organização e acima de tudo o negócio, pois a segurança da informação existe em 
função do negócio. Se tais medidas forem ignoradas, poderão haver sérias 
consequências e, por isso, investimentos nessa área são imprescindíveis. 
 
Segurança da Informação é muito mais que ter um software antivírus 
instalado ou utilizar um firewall que impeça o ataque de agentes indevidos a sua 
rede corporativa. Segurança da Informação está relacionada a proteção de dados, a 
segurança física, a segurança ambiental, o alinhamento da Tecnologia da 
Informação com os objetivos e a missão da empresa, dentre outras funções 
essenciais para a continuidade dos negócios. 
 
A informação é o bem mais precioso para uma empresa/indivíduo, sendo a 
principal fonte para as tomadas de decisão. Qualquer conteúdo que seja gerado 
pela empresa por meio de suas operações diárias, seja pelas transações de compra 
e venda, os registros de atividades dos funcionários ou qualquer outro conteúdo que 
necessite ser armazenamento. 
 
Nos dias atuais, a informação passou a ser gerada na maioria das transações 
por meios digitais. Dessa forma, a segurança da informação existe para determinar 
o que pode ser afetado caso ocorram problemas relacionados a perda de acesso, o 
roubo de dados, a indisponibilidade de serviços, dentre outros eventos que podem 
interferir o funcionamento correto das atividades da empresa. 
 
A conclusão é de que o mais importante é atingir um nível de segurança 
aceitável, de modo a minimizar os impactos na organização, pois, no final das contas 
segurança absoluta não existe. 
 
As informações aqui contidas são suficientes para que, no mínimo, se tenha 
uma visão geral sobre as ameaças e soluções associadas à segurança da 
informação, permitindo até mesmo a elaboração de uma política de segurança da 
informação ou a melhoria dessa, caso já exista. 
 
Para trabalhos futuros, julgo serem interessantes uma análise sobre a 
profissionalização do setor de segurança da informação, a segurança da informação 
para a computação em nuvem e, é claro, o aperfeiçoamento dos mecanismos de 
proteção frente às novas ameaças. 
 
http://marceljm.com/seguranca-da-informacao/politica-de-seguranca-da-informacao/
http://marceljm.com/seguranca-da-informacao/politica-de-seguranca-da-informacao/
23 
 
 
Referências 
 ABNT NBR ISO/IEC 27002:2013 
 'Meu amigo foi atacado por um hacker'; sistema da Microsoft tenta evitar roubo 
de senhas no Hotmail, acessado em 08 de outubro de 2021 
 Adrielle Fernanda Silva do Espírito Santo (2012). «Segurança da Informação» 
(PDF). ICE.EDU. Consultado em 10 de outubro de 2021 
 Como criar senhas mais fortes, seguras e protegidas, acessado em 10 de 
outubro de 2021. 
 GUEDES, MARIA HELENA (2016). Os Mecanismos! [S.l.]: Clube de Autores. pp. 
51–53 11 de outubro de 2021 
Terpstra, John (2005). Segurança para Linux. RJ: Elsevier. ISBN 85-352-1599-9 
Melhorar a usabilidade de Gerenciamento de senha com políticas de senha 
padronizados 11 de outubro de 2021 
Claudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: 
Axcel Books 142, ISBN 85-7323-231-9 12 de outubro de 2021 
Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. 
University College London. 13 de outubro de 2021 
https://www.redhat.com Segurança nas nuvens 13 de outubro de 2021 
https://www.redhat.com/