Introdução e Conceitos Básicos de Segurança da Informação

Prévia do material em texto

FUNDAMENTOS DE 
SEGURANÇA DA 
INFORMAÇÃO
Aline Zanin
Conceitos básicos de 
segurança da informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Identificar a importância da utilização da segurança da informação 
no contexto organizacional.
  Diferenciar as categorias de ativos existentes em uma empresa.
  Conceituar vulnerabilidade e ameaças dos ativos.
Introdução
A segurança da informação assume papel fundamental nas empresas, 
especialmente naquelas cujas informações representam diferenciais 
competitivos e, portanto, possuem valor próprio. A segurança da in-
formação é responsável por garantir a confidencialidade, a integridade 
e a disponibilidade dos ativos de informação da empresa, afastando 
os riscos de ataques. As empresas devem sempre estar atentas às suas 
vulnerabilidades e ter conhecimento das ameaças existentes. 
Neste capítulo, você vai verificar a importância da segurança da in-
formação no contexto organizacional, analisando motivos que levam 
as empresas a implementarem esse tipo de proteção. Você também vai 
estudar as diferentes categorias de ativos das empresas e vai analisar as 
vulnerabilidades e ameaças presentes no contexto das organizações.
Segurança da informação no contexto 
organizacional
O armazenamento de informações surgiu da necessidade de registrar hábitos, 
costumes e intenções nos mais diversos meios, de forma que esses registros 
possam ser utilizados e compreendidos futuramente pelo autor da informação 
e por outras pessoas. São exemplos de registros pré-históricos de informação 
os petróglifos, ou gravuras rupestres, que eram feitos nas pedras pelos nossos 
antepassados do período neolítico.
Atualmente, as informações se constituem como objetos de valor para as 
empresas. Quando se fala em informação e, especialmente, em armazenamento 
e transporte de informações, o pensamento é remetido naturalmente para a 
tecnologia da informação e todas as facilidades que esta proporciona. No 
contexto organizacional, a informação pode estar relacionada, por exemplo, 
com os dados armazenados em software e o uso eficiente destes. Segundo 
Correa Junior (2011), estratégias de extração de dados podem ser utilizadas, 
por exemplo, para identificar um perfil de consumidor e, com isso, persona-
lizar o negócio de uma empresa, estabelecendo um diferencial competitivo 
em relação à concorrência.
Dessa forma, o conhecimento e a informação são pontos-chave nas or-
ganizações, sendo necessário atentar para mecanismos que garantam a sua 
segurança. A segurança da informação tem como propósito proteger os ativos 
de informação. De acordo com Correa Junior (2011), um ativo de informação 
é qualquer objeto que retém partes da informação da empresa, nas suas mais 
diversas formas de representação e armazenamento: impressas em papel, 
armazenadas em discos rígidos de computadores, armazenadas na nuvem ou, 
até mesmo, retidas em pessoas.
Segundo Correa Junior (2011) e a ABNT (2005), a segurança da informação 
tem como base os seguintes aspectos, denominados pilares da segurança da 
informação (Figura 1):
  Confidencialidade (confidentiality): capacidade de um sistema de im-
pedir que usuários não autorizados “vejam” determinada informação 
que foi delegada somente a usuários autorizados a vê-la.
  Integridade (integrity): atributo de segurança que garante que a in-
formação seja alterada somente de forma autorizada, sendo mantida, 
assim, correta e completa.
  Disponibilidade (availability): indica a quantidade de vezes que o sistema 
cumpriu uma tarefa solicitada sem falhas internas, para um número de 
vezes em que foi solicitado a fazer a tarefa.
Conceitos básicos de segurança da informação2
Figura 1. Pilares da segurança da informação.
Fonte: Adaptada de Dodt (2011).
Con�dencialidade
Segurança
da
Informação
Integridade Disponibilidade
Por que se preocupar com a segurança da informação?
Existem diversos motivos para que as empresas se atentem à segurança de 
suas informações. Vamos falar sobre alguns deles.
Roubo de dados e informações: para muitas empresas, o seu maior capital 
é a regra de negócios da empresa, isto é, o conhecimento retido por ela quanto 
ao “fazer negócio”. Por exemplo: imagine uma empresa que fábrica molhos de 
tomate e que tem um faturamento anual bem acima dos concorrentes, devido 
ao sabor diferenciado do molho. Em um dado momento, a receita do molho é 
descoberta pelos seus concorrentes, que começam a fabricar o mesmo molho. 
Dessa forma, essa empresa perde seu principal diferencial competitivo, apenas 
por ter perdido uma informação importante para a empresa.
Impacto na operacionalização da empresa: muitas empresas dependem 
de seus sistemas computadorizados para o seu funcionamento. Imagine que 
uma invasão nos servidores de uma empresa tire seus sistemas do ar e faça 
com que a empresa pare de trabalhar por 24 horas. Tal fato certamente causará 
transtornos financeiros, operacionais e de confiança dos clientes.
Sequestro de dados: nos casos em que os dados dos servidores de uma 
empresa são vitais para o seu funcionamento, é preocupante o risco de sequestro 
de dados, em que um invasor captura as informações da base de dados da 
empresa e cobra valores significativamente altos pelo seu resgate.
3Conceitos básicos de segurança da informação
Vazamento de dados confidenciais de clientes: quando uma empresa 
armazena dados pessoais de clientes, por exemplo, documentação e dados 
financeiros, ela assume com o cliente um compromisso de responsabilidade 
com esses dados. Deixar o sistema vulnerável viola esse compromisso de 
responsabilidade, uma vez que os dados podem ser capturados direto do 
servidor se houver uma falha de segurança.
Danos à imagem da empresa: todos os problemas citados acima causam 
uma quebra de confiança entre a empresa e seus clientes, o que pode causar 
perda de clientes e graves danos financeiros para a empresa.
Mantenha sempre os softwares que utiliza nos computadores de sua casa ou empresa 
atualizados, inclusive o sistema operacional. É comum os fabricantes de software 
identificarem falhas de segurança e disponibilizarem aos seus clientes novas versões 
com as falhas corrigidas.
Ativos de uma empresa
Utiliza-se a palavra ativos para denominar tudo aquilo que possui valor para 
uma empresa e, por isso, precisa ser protegido (ABNT, 2005). Os ativos são 
elementos fundamentais da segurança da informação e a razão da existência 
dessa preocupação. O valor de um ativo pode estar no próprio ativo, como um 
servidor, ou no uso que se faz dele, como em um banco de dados, conforme 
leciona Correa Junior (2011).
Os ativos de informação podem ser divididos nas seguintes categorias:
  Informações: toda e qualquer informação que a empresa possui, digi-
talizada ou não.
  Software: esse grupo de ativos contém todos os programas de compu-
tador utilizados nos processos de acesso, leitura, transmissão e arma-
zenamento das informações de uma empresa.
  Hardware: todos os elementos físicos que apresentam valor importante 
para uma empresa no que diz respeito à informação; por exemplo, 
computadores e servidores.
Conceitos básicos de segurança da informação4
  Organização: nesse grupo, estão incluídos os aspectos que compõem 
a estrutura física e organizacional das empresas.
  Usuários: engloba os indivíduos que lidam com as informações no seu 
dia a dia de trabalho.
De acordo com a norma ABNT NBR ISO/IEC 27002:2005:
A segurança da informação é obtida a partir da implementação de 
um conjunto de controles adequados, incluindo políticas, processos, 
procedimentos, estruturas organizacionais e funções de software e 
hardware. Estes controles precisam ser estabelecidos, implementados, 
monitorados, analisados criticamente e melhorados, onde necessário, 
para garantir que os objetivos do negócio e de segurança da organização 
sejam atendidos. Convém que isto seja feito em conjunto com outros 
processos de gestão do negócio (ASSOCIAÇÃO BRASILEIRADE 
NORMAS TÉCNICAS, 2005, documento on-line).
Vulnerabilidade e ameaças a ativos
O termo vulnerabilidade diz respeito à condição que torna um ativo um 
alvo mais predisposto a sofrer ameaças e invasões. Fazendo uma analogia, 
ao deixar a porta de sua casa aberta, você está deixando sua casa vulnerável 
a furtos e roubos. Isso não quer dizer que, obrigatoriamente, quando a porta 
estiver aberta, os ativos de sua casa serão furtados; contudo, indica que, com 
a porta aberta, o roubo ou furto é facilitado. O mesmo acontece em empresas 
com relação aos ativos de informação: ao não tomar os devidos cuidados com 
hardware ou software, os sistemas se tornam mais vulneráveis a ataques.
Alguns exemplos de vulnerabilidades são listados a seguir, com base em 
Dantas (2011):
  Área física e do ambiente: diz respeito à vulnerabilidade na estrutura 
física da empresa; por exemplo, portas ou janelas desprotegidas, ins-
tabilidade da energia, localização em área susceptível à inundação.
5Conceitos básicos de segurança da informação
  Hardware: susceptibilidade a problemas que podem danificar os equi-
pamentos; por exemplo, variação de voltagem, de temperatura, poeira, 
umidade, radiação eletromagnética, falta de controle de mudança de 
configuração.
  Software: diz respeito às falhas em um software que facilitam a invasão 
ou a danificação do software e dos dados; por exemplo, falta de meca-
nismo de identificação e autenticação, tabelas de senhas desprotegidas, 
alocação errada de direitos de acesso, falta de documentação, falta de 
backup.
  Comunicações: linhas de comunicações desprotegidas, falta de iden-
tificação e autenticação de emissor e receptor, gestão inadequada da 
network, conexões de rede pública desprotegidas.
  Documentação: arquivo desprotegido, falta de controle para cópias, 
falta de cuidado na disponibilização da documentação.
  Pessoal: falta de pessoal, treinamento de segurança insuficiente, ausên-
cia de conhecimento de segurança, utilização incorreta de software e 
hardware, falta de mecanismo de monitoramento, ausência de políticas 
para a utilização correta de mídia e de mensagens, procedimento ina-
dequado para seleção.
Os sistemas, em geral, precisam ser protegidos dessas vulnerabilidades, 
porque, quando elas são exploradas, podem causar diversos problemas para 
as empresas. Uma vulnerabilidade é geralmente explorada por uma ameaça. 
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas. 
Ameaças podem ser naturais, involuntárias ou intencionais, conforme le-
ciona Dantas (2011). Uma ameaça natural é aquela que se origina de fenômenos 
da natureza, como terremotos, furacões, enchentes, maremotos, tsunamis, etc. 
Uma ameaça involuntária é aquela que resulta de ações não intencionais, 
mas que causam algum dano; geralmente são causadas por acidentes, erros, 
ou pela ação inconsciente de usuários, como é o caso de vírus eletrônicos que 
são ativados pela execução de arquivos anexados às mensagens de e-mail. Já 
uma ameaça intencional é aquela que tem por objetivo causar danos, como 
ataques de hackers, fraudes, vandalismos, sabotagens, espionagens, invasões 
e furtos de informações, dentre outras.
Dantas (2011) aponta as principais ameaças a ativos apresentadas em pes-
quisas sobre segurança da informação: 
Conceitos básicos de segurança da informação6
  vírus, worm, cavalo de tróia (trojan horse);
  phishing, pharming e spyware;
  adware, spam;
  roubo de dados confidenciais da empresa e de clientes, da propriedade 
da informação e da propriedade intelectual;
  acesso não autorizado à informação;
  perda de dados de clientes;
  roubo de laptop, dispositivo portátil e hardware;
  má conduta e acesso indevido à network por funcionários e gerentes, 
bem como abuso de seus privilégios de acesso e utilização indevida 
da rede wireless;
  ataque de negação de serviço, invasão de sistemas e da network;
  acesso e utilização indevida da internet e dos recursos dos sistemas 
de informação;
  degradação da performance, destruição e/ou desfiguramento da network 
e do website;
  software de má qualidade, mal desenvolvido e sem atualização;
  fraude financeira e de telecomunicações;
  interceptação de telecomunicação (voz ou dados) e espionagem;
  sabotagem de dados e da network;
  desastres naturais;
  ciberterrorismo.
É importante que as empresas conheçam as principais ameaças à segurança 
da informação, bem como as vulnerabilidades a elas associadas, para que seja 
possível evitar os transtornos causados pela concretização de uma ameaça. 
Nesse processo de análise, adentra-se no estudo do risco, que envolve entender 
como as ameaças ocorrem, verificar as vulnerabilidades a que a empresa está 
sujeita e analisar a probabilidade de concretização de ataques. Dessa forma, é 
possível efetuar um tratamento mais adequado aos riscos, de acordo com as 
reais condições da organização, conforme leciona Dantas (2011).
7Conceitos básicos de segurança da informação
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002. Tecnologia da 
informação: técnicas de segurança: código de prática para a gestão da segurança da 
informação. Rio de Janeiro, 2005. Disponível em: <http://www.fieb.org.br/download/
senai/NBR_ISO_27002.pdf>. Acesso em: 20 ago. 2018.
CORREA JUNIOR, H. E. Segurança de sistemas: conceitos básicos: material adaptado da 
Academia Latino-Americana de Segurança - Microsoft. 2011. Disponível em: <https://
pt.scribd.com/document/84971695/aula1>. Acesso em: 20 ago. 2018.
DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda, PE: Livro Rapido, 2011.
DODT, C. Transformando sua política de segurança da informação em um ativo estratégico. 
2011. Disponível em: <https://claudiododt.wordpress.com/2011/06/29/transformando-
-sua-politica-de-seguranca-da-informacao-em-um-ativo-estrategico/>. Acesso em:
20 ago. 2018.
FEDERAÇÃO DO COMÉRCIO DE BENS E DE SERVIÇOS DO ESTADO DE SÃO PAULO 
(FECOMÉRCIO-SP). Segurança da informação para empresas: soluções simples – grandes 
resultados. São Paulo: Fischer2, 2014. Disponível em: <http://www.coaliza.org.br/wp-
-content/uploads/2014/05/Cartilha-Seguran%C3%A7a-da-Informa%C3%A7%C3%A3o-
-para-pequenas-empresas.pdf>. Acesso em: 20 ago. 2018.
Conceitos básicos de segurança da informação8
Conteúdo: