2327_seguranca_informacao

Prévia do material em texto

Segurança da 
Informação 
 
 
 
 
 
 
 
 
Autor: 
Daiara Normanda de Souza Ferreira
Tudo pela Segurança da Informação 
 
Em todas as fases da evolução corporativa, é fato que as transações de toda a cadeia de produção - 
passando pelos fornecedores, fabricantes, distribuidores e consumidores - sempre teve na 
Informação uma base fundamental de relacionamento e coexistência. 
Quer seja como princípio para troca de mercadorias, segredos estratégicos, regras de mercado, 
dados operacionais, quer seja simplesmente resultado de pesquisas, a informação, aliada à crescente 
complexidade do mercado, à forte concorrência e à velocidade imposta pela modernização das 
relações corporativas, elevou seu posto na pirâmide estratégica do executivo, tornando-se fator vital 
para seu sucesso ou fracasso. 
Ao lado dessas variáveis de mercado, a tecnologia, por meio de instrumentos e soluções 
sofisticadas, preparadas para atender qualquer demanda do mercado, transformou-se na principal 
mola propulsora dessa nova face da informação dentro das corporações, sob o nome já clássico de 
tecnologia da informação (TI). 
Descentralização de informações para compartilhamento em redes, necessidade de interligação de 
parceiros de negócios, acesso rápido, atualização constante de base de dados, integração de 
unidades de negócios e colaboradores internos, disponibilidade ao cliente etc. Para completar, tudo 
isso envolvido em uma grande malha digital em constante expansão, a Internet. Essas são apenas 
algumas das partes de um cenário que transformou a informação na principal moeda corrente do 
mundo corporativo, das transações de automação bancária ao mercado financeiro, do controle de 
estoque ao comércio eletrônico. 
No entanto, da mesma forma que essa mudança de paradigma apresenta constantes oportunidades, 
com espaço para se criar e ousar sobre novos caminhos, acaba também por se tornar um ambiente 
muitas vezes hostilizado, altamente visado por ações ilícitas e invariavelmente desprovido de 
instrumentos para combater e lidar com essas ocorrências. 
Um caminho sem volta 
Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois ou três PCs, até 
uma complexa organização com atuação em diversos países, sabe que em maior ou menor grau a 
tecnologia é essencial para seu negócio. E é justamente por ser vital, que esse bem não palpável traz 
consigo uma necessidade básica: segurança. 
Envolvida pelos ativos físicos, tecnológicos e humanos da empresa, cabe ressaltar que a informação 
é hoje influenciada por três propriedades centrais: confidencialidade, disponibilidade e integridade. 
Basicamente, a primeira se refere à certeza de que aquele dado recebido foi realmente enviado por 
quem o assina, totalmente protegido e sem vazamento de seu conteúdo. A segunda propriedade 
está relacionada ao acesso à informação quando necessárias sua fácil localização e conseqüente 
disseminação. Enfim, a integridade diz respeito à garantia de que aquela informação não foi alvo de 
qualquer tipo de fraude. 
Vê-se que o desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejam 
se esforçando para mudar essa realidade, a segurança da informação é reativa. Isso significa que, 
tradicionalmente, primeiro verifica-se a existência de um problema (vírus, fraude, invasão etc), para 
depois encontrar sua solução (vacina, investigação, correção de vulnerabilidades etc). 
Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao patamar 
mais crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se que esse dado, pela 
forma e processo com que é disponibilizado, corre o risco de ser corrompido, alterado ou roubado 
por um garoto de 16 anos, que resolveu testar programas hackers disponibilizados na própria 
Internet ou, em casos piores, usurpado por funcionários e passado para a concorrência ou ainda 
simplesmente causando danos financeiros à empresa. 
Mas já há práticas e soluções tecnológicas suficientemente eficientes para comprovar que a 
digitalização das transações corporativas não transformou os negócios em uma "terra de ninguém". 
Embora reconheçam que afirmar ser 100% seguro é algo precipitado e arriscado, especialistas de 
segurança apontam que educação profissional, processos e tecnologia formam um tripé resistente 
no combate ao crime eletrônico. 
Pesquisas mostram que aumentam os investimentos na proteção dos dados. A segurança é o maior 
desafio das soluções em Tecnologia da Informação (TI) para o sistema financeiro. Segundo pesquisa 
apresentada pela Federação Brasileira dos Bancos (Febraban), dos US$ 2 bilhões ao ano de 
investimentos destinados à atualização tecnológica, 80% está direta ou indiretamente relacionado 
com a proteção das informações do sistema. 
A International Data Center (IDC) Brasil divulgou que os bancos e seguradoras de médio e grande 
porte devem aumentar em 30% seus orçamentos na área de segurança. 
Dados da 15º Pesquisa da Escola de Administração de São Paulo (Eaesp) em conjunto com a 
Fundação Getúlio Vargas de São Paulo (FGV-SP) mostra que os bancos são as instituições que mais 
investem em tecnologia. Enquanto a média do setor de serviços investe cerca de 7% da receita em 
TI, os bancos investem 10,4%, e possuem uma curva de crescimento mais acentuada. Sem falar que 
estimativas de mercado apontam que somente o segmento financeiro deve desembolsar R$ 11,5 
bilhões em investimentos e custeio com TI ao ano. 
Outras pesquisas mostram que, em 2002, cerca de 1% a 3% das verbas de TI eram destinadas à 
segurança. Hoje, este número está em torno de 15% a 17%. 
De acordo com a IDC, o volume de negócios no Brasil deverá chegar a U$ 347 milhões, envolvendo 
todos os segmentos - produtos, software e serviços de consultoria -, representando 55% do mercado 
latino-americano e crescendo a taxas de 23% ao ano. Em 2006, esses volumes alcançam cifras acima 
de U$ 500 milhões/ano. 
Outro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo grupo 
dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária das grandes 
corporações e governos de moverem-se em direção a fornecedores sólidos, que possam atender com 
flexibilidade, inteligência e rapidez as demandas tanto de curto quanto de longo prazo, elevando a 
importância dos fatores de ética profissional, confiabilidade e independência, posicionando-se para 
o gestor como o "security advisor corporativo". 
Mas as experiências corporativas demonstraram que não é só de software que se constrói uma 
muralha resistente à crescente variedade de ameaças, falhas e riscos. É preciso que as ações 
corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma que possam estar à 
frente de determinadas situações de emergência e risco, uma postura mais pró-ativa que reativa. 
Esse plano será responsável por verificar se a corporação está destinando verba suficiente para 
manter o nível de segurança alinhado com as expectativas de negócios. Também apontará se as 
vulnerabilidades são de fato corrigidas ou se há uma falsa sensação de segurança. É muito comum 
haver grande disparidade entre o cenário que se pensa ter e aquilo que realmente ele é. 
De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e operacionais de 
negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e físico. Ao longo desse 
curso será abordada cada uma dessas variáveis, desde os tipos mais tradicionais de vírus que se 
disseminam pela rede, até as portas mais vulneráveis da empresa, passando pelo monitoramento de 
sua rede, seus profissionais, soluções de TI, gestão, políticas de segurança etc. 
 
Fontes consultadas: 
• IDC Brasil 
• Gazeta Mercantil 
 
Bibliografia recomendada: 
• Gestão de Projetos de Segurança da Informação, José Carlos Cordeiro Martins - Compugraf 
Press 
 
As camadas de segurança 
 
O maior desafio da indústria mundial de software de segurança é, e talvezsempre tenha sido, 
prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada 
ameaça ou problema. À proporção com que cresce a variedade de instrumentos digitais com a 
finalidade específica de se aproveitar de qualquer brecha, falha ou vulnerabilidade de uma 
corporação, aumenta a malha de soluções de segurança, com o intuito de dar uma cobertura cada 
vez mais forte e resistente para o usuário. 
Por que um antivírus não é suficiente para deter um vírus, sendo que este é um dos principais 
problemas de segurança que ronda qualquer companhia com um mínimo de operação baseada em 
internet? Simplesmente porque os vírus de computador estão muito longe de ser o único vilão do 
crime digital, como também não são os mais fáceis de barrar, visto o nível de complexidade que 
esse tipo de ameaça vem ganhando rapidamente, a cada dia. 
Mais do que simplesmente proteger a estação de trabalho, o PC do usuário, a companhia tem à sua 
frente a missão de garantir que o correio eletrônico enviado desse mesmo computador passará pelo 
servidor da empresa, seguirá pela internet (ou, em certos casos, por uma rede privada virtual), 
chegará a um outro servidor, que transmitirá a mensagem ao destinatário com a garantia de que se 
trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada. 
Mas antes de tratar da infra-estrutura de tecnologias que compreendem uma rede corporativa, é 
necessário avaliar, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro 
passo desse Programa de Segurança da Informação consiste em realizar o levantamento e a 
classificação dos ativos da empresa. Concluída essa primeira fase, é preciso avaliar o grau de risco e 
de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a 
sua segurança. 
O segundo quesito diz respeito a uma Política de Segurança, que basicamente estabelece a 
elaboração de normas e procedimentos dentro da organização. Esse trabalho normalmente é 
monitorado por um comitê específico, criado com membros interdepartamentais, junto dos quais 
serão identificados as responsabilidades, o posicionamento do grupo e sua área de atuação. 
A infra-estrutura de tecnologias é a terceira fase desse planejamento, envolvendo desde aquisição 
de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e 
recomendações de uso. 
Somente ao amarrar todos esses processos, é que o executivo de tecnologia parte para a fase de 
gerenciamento, passando pela análise de infra-estrutura da companhia, auditoria de processos, 
testes regulares de ataque a vulnerabilidades, revisões e acompanhamento de políticas e tratamento 
de incidentes. 
 
Por dentro da infra-estrutura 
Apresentar um organograma consolidado das ferramentas e soluções que compreendem a 
segurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando a 
velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças. 
No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de 
muitas organizações que, pela natureza de seus negócios, compreenderam quão críticas são suas 
operações. Vamos a elas, de acordo com as suas funções: 
Antivírus: faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. 
Basicamente, sua função está atrelada à ponta do processo, isto é, ao usuário que envia e recebe 
dados, mas por vezes pode estar no servidor ou até mesmo em um provedor de serviços. Os 
hackers já não são mais vândalos virtuais. Agora, eles criam vírus e worms que podem viver atrás 
dos Trojan Horses e que controlam a digitação dos usuários e procuram por informações sensíveis 
tais como as de cartões de crédito. 
Balanceamento de carga: estas ferramentas estão relacionadas à capacidade de operar de cada 
servidor da empresa. Elas permitem que, em horários de grande utilização da rede, seja 
determinada a hierarquia do que trafega, bem como o equilíbrio da carga disseminada entre os 
servidores. Vale lembrar que um dos papéis da segurança corporativa é garantir a disponibilidade 
da informação, algo que pode ser comprometido se não houver acompanhamento preciso da 
capacidade de processamento da empresa. 
Firewall: atua como barreiras e cumpre a função de controlar os acessos. São soluções que, uma vez 
estabelecidas suas regras, passam a gerenciar tudo o que deve entrar e sair da rede corporativa. 
Muitas vezes, recomenda-se a adoção do firewall para separar a intranet da companhia de seus 
clientes externos ou de servidores e serviços públicos. Basicamente, o firewall é um software, mas 
também pode incorporar um hardware especializado. Como se baseia em uma análise binária para 
fazer a filtragem de dados, o firewall opera da mesma maneira, sem considerar variáveis externas. 
Assim, é vital que se estabeleça uma atualização constante de regras de filtragem para obter uma 
melhor performance. 
Detector de Intrusão (IDS): ferramenta com função de monitorar o tráfego contínuo da rede, 
identificando ataques que estejam em execução. Como complemento do firewall, o Intrusion 
Detection System se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, 
pacotes de dados com comportamento suspeito, códigos de ataque etc. 
Varredura de vulnerabilidades: produtos que permitem à corporação realizar verificações regulares 
em determinados componentes de sua rede como, por exemplo, servidores e roteadores. O objetivo 
dessas ferramentas é encontrar brechas de sistemas ou configurações. 
Rede Virtual Privada (VPN): uma das alternativas mais adotadas pelas empresas na atualidade, as 
VPNs são canais tunelados, fechados, utilizados para trafegar dados criptografados entre divisões 
de uma mesma companhia, parceiros de negócios etc. 
Criptografia: é utilizada para garantir a confidencialidade das informações. Trata-se de uma 
codificação, uma cifragem que usa um processo de decifração para restaurar os dados ao seu 
formato original. As chaves criptográficas podem ser simétricas (privada) ou assimétricas (pública). 
Autenticação: processo de identificação de pessoas, para disponibilizar acesso. A autenticação e 
conseqüente autorização de manipulação dos dados se baseiam em algo que o indivíduo sabe (uma 
senha, por exemplo), com algo que ele tem (dispositivos como tokens, cartões inteligentes, 
certificados digitais etc); e que ele é (leitura de íris, linhas das mãos etc). 
Integradores: permitem centralizar o gerenciamento de diferentes tecnologias que protegem as 
operações da companhia. Mais que uma solução, trata-se de um conceito. Aliás, que tem sido 
oferecido pela maior parte dos fornecedores de softwares de segurança. Pesquisas de mercado 
apontam que a falta de integração de produtos está entre as principais queixas de usuários quando 
o assunto é Segurança da Informação. 
Sistemas de anti-spam: eliminam a maioria dos e-mails não socilitados. 
Software de Backup: São programas para realizar cópias dos dados para que, em alguma situação 
de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los 
Pela complexidade de cada uma das etapas que compreende um projeto de segurança, especialistas 
recomendam que a empresa desenvolva a implementação se baseando em projetos independentes. 
Uma vez que a companhia tenha completado o processo, entende-se que ela está pronta para 
gerenciar seu funcionamento. Análise de logs das ferramentas, backup de base de dados, auditoria, 
manutenção e atualização constante das ferramentas são os próximos passos. 
 
Fontes consultadas: 
• Ivan Semkovski, CPM 
• Rodrigo Polydoro Oliva, E-trust 
• Delloitte Consulting 
 
Bibliografia recomendada: 
• Segurança.com - Segredos e Mentiras sobre a proteção na vida digital 
• Bruce Schneier - Editora Campus 
 
Segurança da Informação com selo de qualidade 
 
Estabelecer procedimentos em transações corporativas, operarpor meio de regras de acesso e 
restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou 
vulnerabilidades e, acima de tudo, ter um padrão no que se refere à segurança da companhia. Entre 
outras, são essas as razões que culminaram, há alguns anos, na criação de sistemas de proteção 
corporativa. 
Em 1995, a linguagem dos negócios utilizada na gestão de segurança chamou a atenção do British 
Standard Institute (BSi), entidade emissora de normas e procedimentos com mais de cem anos de 
história. 
A digitalização dos negócios promovida pela Internet e a expansão do comércio exterior levaram o 
BSi a perceber um aumento na complexidade das relações comerciais e a conseqüente necessidade 
de se estabelecer um "padrão de qualidade" para a área de segurança. A análise deu origem à 
chamada BS 7799, norma inglesa de segurança que, desde sua criação, passou por várias 
atualizações de seu conteúdo. 
No ideal da BSi, a implementação da BS 7799 deveria ser adotada como padrão mundial, mas o fato 
é que sua adoção ainda não é tão grande como poderia ser. Somente agora, as empresas estão 
trabalhando nesse sentido. Como é uma norma britânica, o ISSO acabou criando uma similar, a 
ISSO 17799, que conta com mais de 500 empresas certificadas em todo o mundo. 
Independente de questões culturais, o Brasil possui peculiaridades que restringem o acesso à BS 
7799. Por enquanto, o Inmetro (Instituto Nacional de Metrologia, Normalização e Qualidade 
Industrial) não reconhece organizações brasileiras para emitir a certificação, ou seja, a companhia 
interessada em aderir à norma precisa buscar auditores internacionais para se certificar. 
Para reduzir a complexidade, a Módulo utiliza sua própria experiência e oferece o serviço de Plano 
de Segurança para Conformidadade com a NBR ISO/IEC 17799, pelo qual auxilia empresas a obter a 
certificação inglesa. 
Outro fator que, de início, pode corroborar com uma certa resistência ao processo, diz respeito à 
quantidade de detalhes impostos pela norma. A BS 7799 está dividida em duas partes: na primeira, 
há um conjunto de práticas de segurança; na segunda, um conjunto de métricas e auditoria para 
certificação. De maneira modular, os processos envolvem dez domínios, que se subdividem em 127 
controles. 
 
A vez da ISO 
 
A International Organization for Standardization, ou ISO, deve ser a principal difusora da norma 
inglesa. Em 1999, quando a BS 7799 ainda passava por adaptações, a segurança da informação 
chamou a atenção da tradicional organização sem fins lucrativos. 
Com sede em Genebra, a ISO conta com um comitê formado por mais de 120 países e mais de 14 mil 
diferentes normas criadas. Com a finalidade de facilitar o intercâmbio do comércio com o 
estabelecimento de padrões, a ISO decidiu investir também na BS 7799. Em 2000, nasceu a ISO 
17799, norma que adapta apenas o processo inglês. 
1. Vale ressaltar que na votação da norma ISO de segurança, alguns países, como Alemanha, 
Canadá, Estados Unidos, França, Itália e Japão, foram contra. O motivo foi que tais países possuíam 
suas normas internas e não queriam adotar a norma da Inglaterra. O Brasil foi favorável à criação 
da norma. 
 
Hoje, a ISO 27000 está em vigor e ela é uma boa opção para se adaptar aos sistemas de gestão de 
segurança. 
Certificação 
Embora a criação de uma norma ISO de segurança atraia, naturalmente, mais empresas, muitas 
delas não vêem a certificação como objetivo final de sua gestão. 
Antes disso, essas organizações estão mais voltadas para o que esses processos podem fazer no 
momento de estabelecer conceitos e diretrizes em segurança da informação. Um exemplo dessa 
movimentação em torno dos padrões e procedimentos de processos e tecnologia é o COBIT (Control 
Objectives for Information and Related Technology). Trata-se de um conjunto de controles e 
avaliações - direcionado não somente à segurança, mas a toda área de TI - que tem como objetivo 
orientar a gestão do profissional, e não emitir certificação. 
Criado pela ISACA (Information Systems Audit and Control Association and Foundation) em 1996, 
após pesquisas realizadas em dezenas de países, o COBIT é utilizado por organizações brasileiras 
como Banco Central, Bovespa e GVT. 
Por sua amplitude, o COBIT se aplica a toda área de TI, dividido em quatro domínios e 34 
processos, detalhados em outros 300 e tantos tópicos. Entre esses, também há um módulo de 
segurança da informação, porém, com conceitos básicos sobre o assunto. 
 
Desafios 
 
O trabalho de se adequar a uma padronização ainda é algo que inibe o interesse por normas e 
certificados de segurança. Tanto os sistemas de planejamento mais abrangentes, quanto as 
certificações específicas, geram reclamações de que possuem ora uma estrutura muito superficial, 
ora rigidez de processos que impossibilitam a implementação em qualquer companhia. 
 
Novo conjunto de normas 
 
Esse conjunto de normas ISO/IEC são o mais importante referencial de Segurança da Informação. 
Essas normas substituíram a normas BS 7799-2 (referente à Gestão de Segurança da Informação) e 
ISO 17799 (Código de Boas Práticas da Gestão de Segurança da Informação). 
No Brasil, apenas seis organizações conseguiram obter o certificado ISO 27001: Serasa, Banco 
Matone, Samarco, Módulo Security, Unisys e SERPRO. Como resultado dessas novas normas, a 
listagem das normas ISO de Segurança da Informação será a seguinte: 
ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação). 
ISO 27001 – Norma publicada em outubro de 2005, em substituição à norma BS 7799-2 para 
certificação de sistema de gestão de segurança da informação. 
ISO 27002 – Substituirá, em 2006/2007, o ISO 17799 (Código de Boas Práticas). 
ISO 27003 - Abordará a gestão de risco, contendo recomendações para a definição e implementação 
de um sistema de gestão de segurança da informação. A previsão de publicação é em 2006. 
ISO 27004 - Incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de 
segurança da informação. Sua publicação deverá ocorrer em 2007. 
ISO 27005 - Será constituída por indicações para implementação, monitorização e melhoria contínua 
do sistema de controles. Seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – 
“Information Security Management Systems - Guidelines for Information Security Risk 
Management”, a publicar em finais de 2005. A publicada da norma como ISO está prevista para 
meados de 2007. 
ISO 27006 - Dentro da série 27000, a última norma será referente à recuperação e continuidade de 
negócio. Esse documento tem o título provisório de “Guidelines for information and 
communications technology disaster recovery services”, mas ainda não tem data definida para sua 
edição. 
 
Fontes consultadas: 
• Serasa 
• Módulo Security 
 
Bibliografia recomendada: 
• Estatística para a Qualidade 
• Sônia Vieira - Editora Campus 
 
Principais vulnerabilidades corporativas 
 
Pessoas. Esta é a primeira resposta que muitos institutos de pesquisas e especialistas de segurança 
têm utilizado quando questionados sobre a principal ameaça às transações corporativas. 
Soluções tecnológicas sofisticadas, integradas a parceiros, clientes e fornecedores, a última palavra 
em ferramentas de gestão empresarial, relatórios detalhados etc. Nada disso tem valor se não há 
restrições, políticas e processos que estabeleçam e organizem a conduta do profissional dentro da 
corporação. 
Na maior parte das vezes, já se verifica que os problemas relacionados à interferência humana não 
estão diretamente ligados a ações fraudulentas ou demais situações em que o funcionário tem o 
objetivo de prejudicar sua empresa. Pelo contrário. A grande maioria dos incidentes de segurança 
ocorre por falta de informação, falta de processos e orientação ao recurso humano. 
Outro fator determinante nessa equação está vinculado à evolução rápida e contínua das 
tecnologias. O instituto Gartner, por exemplo, estima que um simples computadordoméstico terá, 
em 2008, processadores de 40 GHz e 1.3 Tbytes de capacidade de armazenamento. Essa potência, ao 
mesmo tempo em que proporcionará inúmeros benefícios, também se encarregará de gerar novos 
riscos e interesses. Esse cenário, que estará presente em muitas residências, sinaliza o que virá no 
ambiente corporativo. 
Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos desafios que as 
empresas precisam enfrentar na atualidade. Antes desses, e não menos críticas, estão as 
vulnerabilidades tecnológicas, renovadas a cada instante. 
Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar sobre aquelas 
que hoje são consideradas as principais ameaças às transações eletrônicas. O System 
Administration, Networking and Security (SANS) e o National Infrastructure Protection Center 
(NIPC/FBI) são bons exemplos dessa realidade. A seguir estão mencionadas algumas das falhas 
mais comumente identificadas, independentemente do porte ou da área de atuação da companhia, 
bem como da complexidade de sua infra-estrutura tecnológica e dos sistemas que utiliza. 
 
Senhas fracas 
 
Muitas vezes, as senhas de um funcionário podem ser facilmente descobertas, mesclando itens 
comuns como nome e sobrenome, data de aniversário, nome de esposa, filho etc. A administração 
desses acessos também se dá de forma desordenada, o usuário geralmente não tem educação para 
lidar com seu código de acesso. Atualmente, as empresas contam com o benefício de estabelecer 
uma autenticação forte, isto é, mesclar algo que o usuário sabe (memória), com algo que ele tem 
(token) e algo que ele é (biometria). 
Algumas ferramentas possibilitam à corporação verificar o grau de segurança das senhas de seus 
funcionários. Utilizar um desses recursos para quebra de senhas pode ser um bom caminho para 
identificar contas com senhas fracas ou sem senha. 
 
Sistemas de backups falhos 
 
Muitas empresas afirmam realizar backups diários de suas transações, mas sequer fazem 
manutenção para verificar se o trabalho realmente está sendo feito. É preciso manter backups 
atualizados e métodos de recuperação dos dados previamente testados. Muitas vezes, uma 
atualização diária é pouco diante das necessidades da empresa, caso venha a sofrer algum dano. 
Também é recomendável tratar da proteção física desses sistemas, que por vezes ficam relegados à 
manutenção precária. 
Já é comum, depois de setembro de 2001, sites de backup onde os dados são replicados e, em caso 
de uma catástrofe, os sistemas são utilizados para a continuidade dos negócios. 
 
 
 
Portas abertas 
 
Portas abertas são convites para invasões. Boas ferramentas de auditoria de servidores ou de scan 
podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Para não ser 
surpreendido, é recomendado fazer uma auditoria regular dessas portas. Independentemente da 
ferramenta utilizada para realizar essa operação, é preciso que ela varra todas as portas UDP e TCP 
do sistema, nas quais se encontram os alvos atacados por invasores. Além disso, essas ferramentas 
verificam outras falhas nos sistemas operacionais tais como serviços desnecessários e aplicações de 
patches de segurança requeridos. 
 
Brechas de instalações de sistemas operacionais padrão (default) e 
aplicativos 
 
Muitos fornecedores de software oferecem uma versão padrão e de fácil instalação para seus 
clientes. Eles acreditam que é melhor habilitar funções que não são necessárias, do que fazer com 
que o usuário tenha de instalar funções adicionais quando necessitar. Embora esse posicionamento 
seja conveniente para o usuário, ele acaba abrindo espaço para vulnerabilidades, já que não 
mantém, nem corrige componentes de software não usados. 
Sobre os aplicativos, é comum que instalações default incluam scripts ou programas de exemplos, 
que muitas vezes são dispensáveis. Sabe-se que uma das vulnerabilidades mais sérias relacionadas 
a servidores web diz respeito aos scripts de exemplo, os quais são utilizados por invasores para 
invadir o sistema. As recomendações básicas são a reamoçãode softwares desnecessários, a 
desabilitação de serviços fora de uso e bloqueio de portas não usadas. 
 
Falha em sistemas de logs 
 
Caso a empresa venha a sofrer um ataque, será o sistema de registro de logs o responsável por dar 
as pistas básicas para identificar a ocorrência, saber como ocorreu e o que é preciso para resolvê-la. 
Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quais sistemas 
estão sendo atacados e os que foram de fato invadidos. É recomendável realizar backup de logs. 
 
Transação sem fio desprotegida 
 
Os equipamentos móveis são tecnologias emergentes. No entanto, os padrões de comunicação 
utilizados atualmente requerem configuração minuciosa para apresentar um mínimo de segurança 
(mais detalhes no próximo módulo deste curso). Novos padrões, como o WPA (que substitui o 
WEP, já quebrado em 2001), prometem mais tranqüilidade à comunicação wireless. No entanto, é 
recomendável ter cautela na adoção desses recursos, conforme o grau de confidencialidade do que 
está sendo transmitido pelo canal sem fio. 
 
Falha na atualização de camadas de segurança e sistemas 
operacionais 
 
A falta de gerenciamento de cada ferramenta de segurança e a correção de software disponibilizado 
pelos fornecedores estão entre os fatores mais críticos na gestão corporativa. Para muitos, esse é um 
desafio constante, visto o volume de "patches" anunciado por diversos fornecedores, bem como a 
velocidade com que se atualizam os softwares de segurança. Já existem, inclusive, empresas 
especializadas em fornecer ferramentas que cumprem a função específica de automatizar a 
atualização de patches de segurança. Um Plano Diretor de Segurança deve contemplar e explicar, 
em detalhes, como esses processos devem ser realizados. 
 
Fontes consultadas: 
• FBI 
• Gartner 
• SANS Institute 
 
Bibliografia recomendada: 
• Segurança e Auditoria da Tecnologia da Informação - Cláudia Dias 
 
Segurança em redes sem fio 
 
A comunicação de dados por redes sem fio (wireless network) ainda é objeto de estudo de 
organizações especializadas em soluções de segurança da informação. A facilidade de se trafegar 
bits por ondas de rádio, sem necessidade de conexão a qualquer tipo de rede de cabos, tem atraído 
cada vez mais usuários em todas as partes do mundo. Mas o fato é que, em termos práticos, esse 
meio de comunicação ainda não está totalmente protegido de invasões e fraudes, realidade que está 
diretamente relacionada ao desenvolvimento dos padrões de comunicação das redes sem fio. 
No Brasil, o padrão Wi-Fi, com suas diversas versões (802.11a, b, g etc.) predominam. O 802.11b é o 
mais utilizado em redes locais sem fio (WLANs), pois tem um alcance superior a 100 metros. No 
entanto, sua desvantagem é a limitação da velocidade de acesso, que é de 11 Mbps a serem 
divididos entre todos os usuários. No padrão 802.11a, a velocidade atingida é de até 54 Mbps, 
porém sua área de cobertura é até cinco vezes menor. Assim, empresas que utilizam a rede sem fio 
em redes locais não precisam investir em mais pontos de acesso para cobrir a mesma área. 
Para resolver tais limitações, fornecedores homologaram o padrão 802.11g, que tem área de 
cobertura igual ao do "b" e velocidade similar à do padrão "a". Além disso, esse padrão tem 
interoperabilidade com o padrão "b". Para manter intrusos sem acesso à rede, um padrão de 
criptografia funciona em todas essas redes, é o WEP (Wired Equivalente Privacy). 
Ocorre que o padrão demonstrou graves falhas de segurança. Criado pelo Instituto dos Engenheiros 
Elétricos e Eletrônicos (IEEE), o padrão utiliza a implementação do protocolo RC4 para realizar a 
criptografia dos dados. Mas especialistas descobriram meios de ter acesso à chave utilizada em sua 
criptografia, quebraram a segurança do padrão e, logo em seguida, apresentaram diversas 
ferramentas capazes de romper a segurançado WEP. Muitas dessas ferramentas, inclusive, eram 
encontradas na própria Internet, por meio de downloads gratuitos. 
Analistas também apontam que, para manter um nível médio de segurança, as redes sem fio ainda 
demandam certa habilidade técnica, envolvendo desde a utilização de recursos de segurança 
inerentes aos próprios Access Point, até a instalação de firewalls. Dependendo do grau de 
complexidade, a estrutura requer a aquisição de equipamentos, software e contratação de serviços 
especializados. 
Os problemas de segurança chamaram a atenção da Wi-Fi Alliance, consórcio criado por empresas 
da área, voltado ao desenvolvimento das comunicações sem fio. Em 2003, a Aliança Wi-Fi divulgou 
um novo padrão de acesso sem fio entre PDAs (Personal Digital Assistants). Com o nome de WPA 
(Wi-Fi Protected Access), essa tecnologia foi encarada como a evolução do WEP, com mais recursos 
de encriptação de dados e autenticação do usuário. Paralelamente, a organização também criou 
uma ferramenta de busca (Zone), que tem a finalidade de encontrar pontos de acesso Wi-Fi entre os 
cerca de 12 mil hotspots (pontos de acesso públicos) instalados no mundo. Desde o primeiro 
semestre de 2003, o consórcio também trabalha no desenvolvimento do padrão 802.11i, que inclui 
uma nova versão de WEP, baseada em AES (Advanced Encryption Standard), com definição de 
uma arquitetura de distribuição de chaves. 
O WPA, que ganhou o nome de 802.11i e é uma subpadronização que funciona com o 802.11a, b ou 
g, substituiu o padrão de segurança em redes sem fio WEP. Os próprios membros do consórcio 
reconhecem que o atual WEP é muito complexo para ser implementado, o que acaba resultando em 
sistemas abertos a ataques. O WPA, compatível com o padrão de redes sem fio, prometia melhorias 
na criptografia de dados e autenticação do usuário apenas com um upgrade de software. 
 
Principais desafios 
 
O termo Wi-Fi tem sido aplicado com o significado de "Wireless Fidelity". Trata-se do conceito que 
o mercado utiliza para se referir à padronização universal das comunicações sem fio, embora o Wi-
Fi possua diferentes características, softwares, parâmetros e protocolos. 
Mas antes de tratar de altas velocidades e integração de dispositivos, especialistas e usuários da 
comunicação sem fio enfrentam desafio básicos. A segurança de uma rede wireless pode ser 
implementada tendo em vista seus conhecidos pontos de fragilidade. Um desses está justamente no 
chipset do ponto de acesso, uma das fragilidades mais exploradas pelos invasores. O simples envio 
de um pacote UDP (User Datagram Protocol) para uma determinada porta, por exemplo, pode fazer 
com que o sistema retorne informações como o nome da rede (SSID- Service Set Identifier), a chave 
de criptografia e até a senha do usuário. 
Assim, é preciso evitar que o SSID, que faz a identificação do nome da rede entre os usuários, seja 
conhecido por um possível intruso. Para tanto, é necessário desabilitar o envio por broadcast dessa 
seqüência. Outra vulnerabilidade a ser evitada está relacionada à comunicação entre o ponto de 
acesso e os demais dispositivos autorizados a acessar a rede sem fio. 
É importante que o servidor central saiba quais os números das placas de rede de cada máquina 
autorizada a compartilhar o ambiente (MAC Address). Essa configuração evita que computadores 
se liguem à rede com facilidade, ao se aproximarem da região de cobertura. 
Vale ressaltar que atualmente existem vários programas disponíveis na Internet que simulam o 
endereço de qualquer placa de rede, fazendo-se passar por um dispositivo autorizado no momento 
de uma conexão. Isso significa que, se alguém tiver informações do código de um dispositivo 
autorizado a usar a rede, poderá fazê-lo. 
Fechadas as brechas de segurança da rede wireless, é preciso realizar a criptografia dos dados, o 
que garante que, se uma informação for enxergada, não poderá ser decifrada. Níveis mais 
elaborados de criptografia são os padrões AES (Advanced Encryption Standard) e o DES (Data 
Encryption Standart). 
No entanto, é preciso lembrar que, quanto maior e mais elaborada for a criptografia e o volume dos 
dados a serem encriptados, maiores serão o tempo de processamento e o gasto de energia; e 
menores a autonomia da bateria de um dispositivo móvel e a performance da rede que utiliza. A 
velocidade pode cair até 30% em relação à rede sem criptografia. Logo, é preciso verificar a 
vulnerabilidade dos dados que serão trafegados. 
Além de se valer de tecnologias voltadas à cobertura da comunicação móvel, o usuário da rede fio 
deve atentar para o monitoramento de suas transações. Hoje, o mercado conta com uma série de 
soluções utilizadas para averiguar riscos de segurança em tempo real, descobrir atividade de 
invasores e identificar problemas da rede wireless. Alguns programas distribuídos gratuitamente 
pela Internet, conhecidos como sniffers (farejadores), são utilizados para isso. No entanto, tais 
sistemas são muitas vezes usados para o ataque a uma rede corporativa, uma vez que vasculham 
falhas das WLANs. 
Uma boa estrutura de monitoramento deve permitir, entre outras coisas, visualizar todos os clientes 
conectados em um dado instante, independente do horário. O administrador tem que ter meios de 
saber se há instalação de pontos de acesso não-autorizados. Pode ocorrer de um funcionário instalar 
uma placa no micro pessoal para ligar o desktop ao seu micro de mão e comprometer, mesmo sem o 
saber, toda a rede da companhia. 
Em uma abordagem técnica, nota-se que as redes sem fio possuem vulnerabilidades que têm 
origem em concepção de padrão. Por isso, os atuais fornecedores de produtos trabalham na 
atualização dos sistemas de transmissão de dados. 
Quanto aos usuários, cabe a função de desenvolver uma política específica para redes sem fio, caso 
queiram aproveitar dos benefícios da comunicação móvel. Essa relação de normas inclui alguns 
fatores-chave como: configuração minuciosa dos equipamentos utilizados; limitação dos 
dispositivos que acessam os serviços; e uso de tecnologias de criptografia e redes VPN. 
Paralelamente, é preciso que haja chaves criptográficas que autentiquem usuário e/ou dispositivo, 
além de sistemas de identificação de intrusão (IDS). 
Uma vez que o usuário esteja apto a trafegar na rede sem fio, é viável que de desabilite a emissão 
automática de informações como o nome da rede, a chave criptográfica e a senha do administrador 
de rede, que trafegam pelo ponto de acesso. Outro cuidado é fazer a autenticação do computador à 
rede usando o "MAC Address" da placa de cada dispositivo. Essa ação impedirá que máquinas 
estranhas ao ambiente possam se conectar à rede. A ativação da opção de criptografia, seja ela WEP 
ou WPA, é fundamental para manter os intrusos sem acesso à rede sem fio. Se o seu dispositivo 
suporta WPA, utilize essa opção, pois, como foi dito, o WEP pode ser quebrado por softwares 
existentes na Internet. 
Por fim, é necessário dar atenção especial ao posicionamento do Access Point e à potência de antena 
de transmissão, que muitas vezes podem ter um alcance que ultrapasse as fronteiras geográficas da 
empresa. Esse vazamento de sinal é perigoso e carece de mecanismos de autenticação e criptografia. 
 
Futuro 
 
Grandes são as expectativas junto de um mercado que ainda se encontra em seu estado inicial. No 
Brasil, uma pesquisa realizada mostra que a adoção de redes sem fio está em processo acelerado. 
Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais barata do que 
uma estrutura com cabeamento, uma vez que dispensa a aquisição de diversos equipamentos e 
serviços. Mas, existe também a mobilidade que oferece uma conectividade praticamente 
ininterrupta para o usuário. Várias empresas instalaram hot spots (conexões sem fio em lugares 
públicos) nos principais pontos de acesso no Brasil, tais como aeroportos, bares e livrarias, o que 
abre muitas possibilidades de comunicação de funcionários com suas empresas e acessoà Internet. 
Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio e prometem ser o 
próximo grande boom nas corporações e na vida das pessoas. 
 
Fontes consultadas: 
• Checkpoint 
• Compugraf 
• NBSO (NIC BR Security Office) 
• Sniffer Technologies 
 
Bibliografia recomendada: 
• WAP - Wireless Application Protocol: a Internet sem Fios 
• Adilson de Souza Dias - Ed. Ciência Moderna 
 
Terceirização de Segurança 
 
Segurança da Informação não é especialidade da indústria de manufatura, como também não faz 
parte dos negócios do setor automobilístico, de empresas alimentícias ou do varejo. No entanto, 
para que possam manter o core business de suas operações, a segurança, cada vez mais se torna 
fator crítico para as corporações e suas transações. 
Não é por acaso que os institutos de pesquisa têm indicado crescimento nos orçamentos de 
tecnologia da informação (TI) no que se refere à segurança. Em alguns casos, a verba dessa área é 
totalmente independente do que é gasto com TI. 
Mas o que se nota é que, conforme a segurança ganha espaço entre outras prioridades das 
organizações, ela passa a ter valor estratégico, isto é, participa das decisões de mercado, integração 
com a cadeia de valor, formas de oferta de produtos e serviços etc. Assim, é natural que, em um 
mesmo grau de complexidade que as transações eletrônicas, a Segurança da Informação demanda 
diversas aplicações e camadas tanto no que se refere à infra-estrutura tecnológica (hardware e 
software), como também na prestação de serviços e recursos humanos. Frente ao desafio, a 
terceirização - como nas demais áreas de TI - tem sido um dos caminhos procurados pelas 
organizações. Como na maioria dos casos, essa tanto pode ser uma ótima como uma péssima opção. 
O que definirá cada experiência está relacionado a uma série de processos preestabelecidos. 
 
Como terceirizar 
 
Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações terceirizaram 
toda sua infra-estrutura de segurança, desde pessoal até backup de transações, filtragem etc., e estão 
plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, 
tirando de sua responsabilidade, por exemplo, os serviços de contingência, com duplicação de 
operações por meio de um data center. 
Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas 
orienta, ao decidir partir para um processo de outsourcing é não tirar a "inteligência" de dentro de 
casa. Ou seja, deve ser terceirizado apenas o que é operacional, pois é o que gera investimentos 
pesados em infra-estrutura, hardware, licenças de software etc. 
Em suma, cada corporação, representada por sua equipe de tecnologia e demais diretorias, deve 
avaliar em detalhes os benefícios e riscos de decidir pela terceirização, gerando assim, um 
Planejamento de Outsourcing de Segurança. Esse relatório deverá contemplar desde os recursos de 
TI necessários, bem como a mão-de-obra envolvida, os processos de migração, atendimento a 
clientes e parceiros, suporte, resposta a incidentes etc. 
Será esse material - baseado em preço, prazos e processos de implementação - o que definirá se a 
terceirização da Segurança da Informação terá ou não sucesso. De outra forma, está será encarada 
apenas como mais uma maneira de burocratizar os serviços, consumir investimentos e não 
adicionar qualquer valor às transações da organização. 
 
O que terceirizar 
 
Salvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte, 
monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center) disponíveis 
são especializados na prestação de serviços dessa natureza, entre outros. Esses centros de segurança 
e gerenciamento de dados estão atraindo o interesse das empresas por uma série de razões como, 
por exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, 
respostas rápidas a incidentes e qualidade de serviço estabelecida em contratos, os chamados 
Service Level Agreements (SLAs). 
Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização de segurança 
tem como barreira central a questão cultural das corporações. Invariavelmente, esse é o principal 
desafio a ser vencido, já que exige uma relação de total confiança entre os parceiros. Essa 
responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um programa que garanta 
100% de atividade ao longo de um ano levanta suspeitas. Basta verificar o volume de incidentes de 
segurança que ocorrem diariamente com empresas altamente protegidas, como as do setor 
financeiro. 
Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma 
postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis de segurança os 
mais preparados possíveis. Esse contrato estabelece como serão atendidas as necessidades futuras 
do contratante e quais multas e penalidades no caso de não-cumprimento ou rompimento do 
acordo. 
Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simples e 
imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre seus 
próprios custos e infra-estrutura, algo que muitas vezes não está organizado ou quantificado. 
Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas, que não 
demandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que, atualmente, 
esses serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI. 
Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam à infra-
estrutura tecnológica. Em grandes corporações, já ocorreu de a empresa contratante perder 
profissionais estratégicos, os quais passaram a atender a organização via outsourcing. 
 
Fontes consultadas: 
• IDC 
• Gartner 
• Delloitte 
 
Bibliografia recomendada: 
• Terceirização: uma abordagem estratégica 
• Livio Antônio Giosa 
 
Limites do monitoramento 
 
Televisão, shopping center, entretenimento, bate-papo, variedades, paquera, museus, negócios, 
cartas, etc., etc., etc. Essas são apenas algumas das diversas aplicações que, a partir de um simples 
PC com conexão à Internet, uma empresa oferece ao seu funcionário. Não é por acaso que a 
indústria desenvolvedora de soluções de monitoramento cresce rapidamente em todo o mundo. 
Basicamente, as corporações se vêem frente a duas ameaças centrais. Primeiro, a queda drástica de 
produtividade de seus funcionários, além do uso indiscriminado dos recursos da companhia e de 
sua infra-estrutura. Cálculos feitos junto de usuários nos Estados Unidos apontam que cada pessoa 
gasta, em média, quase duas horas por dia checando e-mails, o que representa um quarto do 
expediente normal. O período inclui o envio e/ou recebimento de mensagens pessoais, fato 
reconhecido por 90% dos usuários. 
Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso aleatório 
ocasiona, as ameaças constantes que circulam pela Web e que, a qualquer momento, podem 
comprometer operações primordiais para o funcionamento da companhia. 
Situações como essas estão levando ao controle rígido de diversas aplicações de acesso on-line, 
entre essas a filtragem de sites e de conteúdos da Internet, e restrições daquela que hoje é a principal 
ferramenta do meio digital: o correio eletrônico. 
Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos empregadores 
monitoram o uso do e-mail por parte de seus funcionários. Muitos casos de demissão ocorrem em 
função da má utilização da ferramenta. Muitas sentenças foram dadas em favor dos empregadores, 
mesmo no uso do Hotmail, Yahoo ou mesmo voice-mail. 
Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso entre a 
preocupação das corporações com o uso indiscriminado do correio eletrônico e as ações efetivas que 
tomam para combater a prática.Os resultados apontaram que 75% de todos os profissionais 
pesquisados reconhecem que suas empresas produzem políticas de utilização de e-mail, mas menos 
da metade (48%) treina seus funcionários sobre o assunto. 
De acordo com a pesquisa, 59% das empresas declararam que possuem métodos para reforçar a 
existência de regras e políticas internas. Os meios mais utilizados para isso são: disciplina (50%), 
revisões de desempenho (25%), remoção de privilégios (18%) e ações legais (4%). 
Não bastasse o controle interno, as corporações precisam desenvolver armas para barrar aquele que 
se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo a AMA, 92% dos 
profissionais recebem algum material desse tipo. Desses, 45% afirmam que as mensagens não-
autorizadas representam mais de 10% de seu volume diário de e-mails, percentual que ultrapassa 
50% para 7% dos ouvidos pela pesquisa. 
 
Privacidade 
 
No Brasil, grandes organizações demitiram funcionários que costumavam acessar conteúdos 
pornográficos ou sem qualquer relação com o negócio da empresa. Mas a polêmica ainda é recente. 
Tanto que, em uma análise mais minuciosa dos fatos e das leis de privacidade, constata-se que a 
própria legislação brasileira é uma das opositoras às práticas de monitoração. 
Aprovado em junho de 2006 pela Comissão de Educação, o Projeto de Lei 76/2000 do Senado é o 
mais completo texto legislativo produzido no País para regular a repressão a crimes de informática. 
O PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria de José Henrique Santos 
Portugal, incorpora atualizações e contribuições de outros projetos de lei menos abrangentes e 
altera o Código de Processo Penal, o Código Penal Militar e a Lei de Interceptação de Comunicações 
Telefônicas. 
Dentre todos os dispositivos inclusos no texto, o mais polêmico é a determinação de que todo 
aquele que prover acesso à Internet terá de arquivar informações do usuário como o nome 
completo, data de nascimento e endereço residencial, além dos dados de endereço eletrônico, 
identificador de acesso, senha ou similar, data, hora de início e término, e referência GMT da 
conexão. A medida tem sido alvo de críticas enérgicas entre aqueles que prezam pela privacidade e 
o anonimato na rede, sob a alegação de que dados de cunho pessoal não devem ficar em bancos de 
dados, expostos a uma possível devassa judicial, além do possível extravio para fins escusos. 
Discussões à parte, o que se orienta é que as empresas estabeleçam regras claras de acesso e 
usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizados como 
ferramenta de trabalho. Essas normas devem fazer parte de uma Política de Segurança da 
Informação.. Uma vez estabelecido esse processo, é preciso elaborar um termo de aceitação, 
colhendo a assinatura de cada profissional da companhia. 
Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com acesso à Internet, a 
principal função da política de segurança foi o controle de acessos e a formatação da Internet como 
ferramenta corporativa. A definição de regras de uso da rede começou com a estruturação de um 
comitê de segurança da informação, formado por representantes de várias áreas da companhia. O 
comitê também elaborou um documento no qual estão definidos os critérios para a utilização de e-
mails e listados os tipos de sites que não devem ser acessados pelos funcionários. Os downloads de 
aplicativos foram totalmente restringidos. 
Já na Payot, o controle de e-mails e de acesso à Internet gerou economias em gastos com 
manutenção de rede e tempo de funcionários parados. A fabricante de cosméticos calcula que 
obteve ganhos de 50% na produtividade de seus funcionários e seu consumo de banda reduziu em 
20%. 
Também deve ser de responsabilidade da organização garantir que esse monitoramento se 
configure com respeito aos funcionários e em sigilo, restringindo a divulgação dessas informações e 
não configurando qualquer tipo de perseguição ao profissional. 
O fato é que, cada vez mais, a monitoria do profissional não é uma escolha, mas uma obrigação do 
gerenciamento de risco. A empresa deve declarar claramente que de fato monitora, listando o que é 
rastreado, descrevendo o que procura e detalhando as conseqüências de violações. Controles de 
segurança sugeridos por normas de segurança podem ser um caminho mais viável para suportar 
parâmetros de auditoria e conformidade para toda a companhia. 
 
Práticas 
 
Algumas ações básicas podem dar maior segurança e tranqüilidade à corporação e ao funcionário, 
no que se refere à monitoria do ambiente de trabalho. São elas: 
• Antes de qualquer ação, é viável que a companhia consulte um especialista em lei digital para 
saber se existem bases judiciais que afetem seus planos de monitoria. 
• As razões para realizar a monitoria têm que estar claras entre empresa e funcionário. O fato de 
uma empresa admitir abertamente que faz monitoria, reforçado por ações reativas quando são 
descobertas infrações, fará os funcionários entenderem que e-mail não é uma forma de comunicação 
privada. É provável que passem a se policiar. 
• Caracterizar a monitoria como algo de proteção mútua, dando segurança e respaldo à corporação 
e ao profissional. 
• Definir claramente as expectativas da empresa e informar os funcionários sobre a monitoria. 
• Estabelecer a política; educar a força de trabalho; e empregar a política de maneira consistente. 
• Combinar ferramentas de varredura de conteúdo e regras por escrito. 
• Punir quando for necessário. De outra forma, ninguém respeitará as regras da companhia. 
 
Conclusão 
 
Quanto mais uma empresa depende de redes de computadores, maiores devem ser as preocupações 
com segurança. E isso significa preocupar-se com a integridade de dados, com o tempo de 
manutenção devido a problemas de segurança, e com muitos outros aspectos. 
O número de incidentes de segurança está em pleno crescimento, não apenas porque as redes de 
computadores são vulneráveis, mas também porque quanto mais poderosos tornam-se os aparatos 
de segurança – leia-se firewalls, software, etc –, maior se torna o interesse de hackers em invadir. 
Falhas em políticas de segurança expõem não apenas informações e dados de uma empresa, mas 
também causam danos sérios à imagem da companhia. E é o zelo pela imagem que, muitas vezes, 
impulsiona a implantação de uma política de segurança, com a utilização de firewalls, mecanismos 
de autenticação, algoritmos de encriptação, e outras medidas de prevenção. Mas será que apenas 
investindo em tecnologia a empresa estará 100% segura? 
Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e softwares e estará 
segura para sempre. Produtos de segurança direcionados à prevenção são bons, mas são apenas 
uma parte do conceito geral. Não é o bastante ter os melhores produtos de segurança. É preciso 
instalá-los, usá-los, e mantê-los atualizados (instalando novas versões, aplicando patches de 
correção, etc) para, então, interpretar suas informações e responder efetivamente aos alertas 
registrados por eles. 
No contexto atual, mais do que nunca, segurança é vital para o sucesso de um negócio. 
 
Fontes consultadas: 
• Marco Oswaldo da Costa Freitas, consultor de segurança Embratel 
• Edson Fontes, CSO da Gtech 
• CSO Magazine 
• American Management Association 
 
Bibliografia recomendada: 
• 1984 - George Orwell - Cia editora Nacional 
 
 
Tendências em segurança da informação 
 
A consultoria IDC vem realizando uma série de estudos sobreas prioridades de investimentos e 
principais desafios no curto e médio prazos da comunidade de Tecnologia da Informação (TI). Sem 
surpresas, a Segurança da Informação surge no topo da pirâmide corporativa. 
Esse cenário não ocorre por acaso. Estudos realizados pela desenvolvedora de soluções de 
segurança Symantec apontaram que vulnerabilidades de sistemas de TI cresceram 81,5% em relação 
a 2002. Dessas, 60% se referem a brechas facilmente invadidas,na maior parte das vezes requerendo 
apenas o uso de simples ferramentas, a maioria delas disponíveis em sites crackers. 
A KPMG Forensic também avaliou o índice de invasões no setor corporativo e revelou que 76% das 
mil maiores empresas nacionais sofreram algum tipo de fraude em 2002, volume, embora seja alto, 
apresenta redução nas incidências, que em 2000 totalizavam 81%. E as perspectivas dos 
entrevistados não são muito otimistas para um futuro próximo. Do total, 64% acreditam que o 
número de fraudes aumentará, em função de questões como o enfraquecimento dos valores na 
sociedade, falhas nos sistemas de controle, impunidade e pressões econômicas. 
 
Fraudes 
 
Entre os diversos tipos de fraudes que fazem parte da realidade corporativa, um deles desponta 
como principal ameaça às transações das empresas. Segundo a KPMG, 48% de seus entrevistados 
consideram os funcionários como o principal risco. 
O número de fraudes total reportado no terceiro trimestre de 2004 já é maior do que o observado no 
ano de 2003 inteiro. Essa é uma das principais constatações do levantamento de incidentes de 
segurança reportados entre julho e setembro de 2004 para o grupo brasileiro de resposta a 
incidentes de segurança NIC BR Security Office (NBSO). 
Para o NBSO, o contínuo aumento no número de incidentes reportados é um fator observado por 
todos os grupos de resposta a incidentes nos últimos anos. A tendência é que esses números 
dobrem a cada ano. 
Segundo estudo realizado pela Módulo Security com as 500 maiores empresas do País, o vazamento 
de informações é o problema mais crítico. Isso faz parte dos resultados da 9ª Pesquisa Nacional de 
Segurança da Informação. Realizado com 682 profissionais das áreas de TI e segurança, das 500 
maiores empresas brasileiras, o estudo revela que 77% sofreram ataques em 2003. Como principal 
ameaça, elas classificam as fraudes por e-mail, totalizando 29% das respostas, enquanto 66% 
continuam considerando os vírus e worms suas maiores preocupações. 
Esses fatores, entre outros, demonstram um aumento do prejuízo nas corporações de 2002 para 
2003, riscos que devem aumentar em torno de 78% em 2004. Dessa forma, 60% projetam aumento 
no orçamento destinado ao setor. Cerca de 73% delas possuem orçamentos específicos para 
Tecnologia da Informação, das quais 24,5% alocam menos de 1% para segurança, enquanto 7% 
contam com mais de 20% para o departamento. 
Entre os problemas listados como mais críticos, o vazamento de informações lidera as respostas, 
com 13,5%; seguido por funcionários insatisfeitos, com 13%, fraudes, erros e acidentes, com 12%; 
vírus, 9% e acessos indevidos, com 8%. 
Ocorre que, além de decisões judiciais, trabalhistas e criminais, os problemas ocorridos dentro das 
corporações têm levado um monitoramento constante das ações dos funcionários, as quais, por 
muitas vezes, acabam por afetar a privacidade das pessoas. 
Bill Gates, durante uma conferência patrocinada pelo Center for Strategic and International Studies 
and the Information Technology Industry Council, declarou que a Microsoft vem se esforçando ano 
a ano para que suas soluções possam proteger a identidade e as informações de seus usuários. No 
entanto, é cada vez mais comum a utilização de recursos de monitoramento, sugerindo, ainda que 
de longe, o cenário criado pelo escritor George Orwell, em seu clássico "1984", o qual relata um 
futuro repressivo e totalmente dominado pela tecnologia. 
 
Phishing 
 
Uma das fraudes mais comuns atualmente usando a Internet e as mensagens eletrônicas é a 
conhecida Phishing. Phising é o ato de enviar um e-mail para um usuário passando-se por um envio 
de uma empresa legítima tentando que ele lhe forneça suas informações particulares que serão 
usados para causar-lhe algum prejuízo tal como o roubo de dinheiro da sua conta corrente. O e-mail 
leva o usuário a visitar um site onde ele é solicitado a atualizar informações pessoais como senhas, 
números de cartão de crédito ou de contas correntes. O site usado é uma cópia do original e contém 
os mesmos links. No entanto, o endereço IP do site não pertence à empresa real. No Brasil, vários 
bancos e usuários já foram usados para esse tipo de atividade que causou mais de 400 milhões de 
reais em perdas em 2004. 
 
Vírus e variações 
 
Incidentes de segurança relacionado à ação de um funcionário - seja esta proposital ou mesmo 
decorrente de falta de informação e orientação da companhia - são apenas parte dos desafios 
corporativos. 
Os vírus que atualmente circulam na rede também têm papel de destaque entre as ameaças a serem 
combatidas. Especialistas em analisar as pragas digitais chamam a atenção para o caráter 
"multifuncional" que esses vírus passarão a ter cada vez com maior intensidade. 
Atualmente, já é possível encontrar os chamados "vírus polimórficos", capazes de se disfarçarem 
dentro da máquina do usuário para não serem capturados. Essas ameaças também exploram 
diferentes vulnerabilidades dos sistemas, desde o acesso inadequado feito por um usuário, até uma 
brecha no sistema operacional da companhia. 
Sabe-se também que crackers já estão trabalhando no que denominam por "megavírus", uma 
espécie de programa gerador de números randômicos, que determina quanto tempo permanecerá 
inativo em um sistema infectado. Uma vez alocada, essa praga será capaz de escolher um dos 
muitos métodos que possui para se replicar. Essa é a essência da nova era de megavírus que se 
aproxima, explorando múltiplos métodos de propagação pela rede. 
Embora muitas empresas que adotam um sistemas de firewall se julguem protegidas, a cada dia a 
imprensa noticia mais e mais catástrofes milionárias envolvendo os códigos maléficos e nomes de 
empresas renomadas. E a ameaça tende a ser mais forte. 
Pesquisas realizadas pela Sophos, companhia especializada em soluções de antivírus corporativo, 
detectaram a criação de 7.189 novas ameaças, o que somava um total de 78 mil pragas digitais em 
todo o mundo. Nove em cada dez vírus detectados naquele ano se disseminavam por meio de 
correio eletrônico. No total, 87% dos ataques registrados se voltavam ao sistema operacional 
Windows. 
Embora o sistema operacional da Microsoft seja um dos alvos mais visados pelos crackers e hackers, 
sabe-se que grande parte da responsabilidade por incidentes de segurança está relacionada à gestão 
dos processos e à atualização de brechas do sistema. Apesar das correções serem providenciadas 
pelas empresas desenvolvedoras, as pragas se espalham por máquinas desprotegidas que não 
foram atualizadas. Nomes como Bugbear, Nimda e Klez fizeram fama em cima da falta de 
informação dos usuários. 
 
Precauções 
 
A estimativa dos analistas é que 35% das corporações "Fortune 500" tiveram um investimento acima 
de US$ 1 milhão em segurança em 2003. Mas os incidentes corporativos demonstram que é preciso 
mais que dinheiro para operar com uma estrutura protegida de qualquer tipo de ameaça. 
Treinamentos e conscientização de funcionários têm de estar entre as prioridades de qualquer 
companhia, seja ela uma multinacional com centenas de parceiros espalhados pelo mundo, ou 
mesmo uma pequena e média empresa, integrada à sua cadeia de valor. Para isso, faz-se necessário 
desenvolver e implementar políticas e procedimentos efetivos que tragam proteção às transações, 
proporcionando redução dos riscos e de perdas com eventos. 
Com a chegada de diversos tipos de aparelhos e formas de acesso às informações da corporação - 
via cabo, ondas de rádio, fibra óptica, fio de cobre - o mundo vive o final de uma primeira geração 
de invasão (relacionada ao PC), para passar a um ambiente de múltiplos servidores (cliente 
servidor) e formas de acesso. 
Está nas mãos dos gestores de segurança administrar a crescente demanda por investimentos em 
infra-estrutura tecnológica e recursos humanos, viabilizando sua gestão de riscos, análises de 
impacto; quantificação de ativos digitais críticos etc. Está mais do que provado que não basta ter as 
melhoresferramentas de segurança instaladas na rede, se não há um gerenciamento estruturado e 
baseado em processos específicos, envolvendo desde o monitoramento de transações, até análise, 
correção e registro de evidências. 
Também faz parte do futuro da corporação o desafio de trabalhar contra o roubo de propriedade 
intelectual, desvios de recursos, privacidade, uso inadequado do meio eletrônico, entre outros. 
Atualmente, discute-se ainda a amplitude do trabalho desempenhado pela área de Segurança da 
Informação e o papel de seu diretor, o Chief Security Officer (CSO). Entre prós e contras, aborda-se 
se uma mesma divisão de segurança deve cuidar dos aspectos patrimoniais da uma empresa e até 
da segurança física daqueles que compõem seus recursos humanos. 
Essas são apenas algumas peças que compõem o quebra-cabeças a ser montado por qualquer 
corporação que deseja operar de maneira confiável e responsável comk seus clientes e parceiros de 
negócios. O passo decisivo da segurança empresarial já ocorreu, quando esta já deixou de ser 
apenas uma questão operacional das transações comerciais, para influenciar de maneira objetiva e 
estratégica cada transação da organização. Uma nova realidade, que apenas começou. 
 
 
Fontes consultadas: 
• KPMG 
• IDC 
• Symantec 
• Sophos 
 
Bibliografia recomendada: 
• Segurança e Auditoria da Tecnologia da Informação - Cláudia Dias