Apostila SEGURANÇA E GOVERNANÇA DE TI, CYBERSECURITY E PRIVACIDADE DE DADOS

Prévia do material em texto

1 
 
 
SEGURANÇA E GOVERNANÇA DE TI, CYBERSECURITY E 
PRIVACIDADE DE DADOS 
1 
 
 
SUMÁRIO 
 
NOSSA HISTÓRIA ..................................................................................................... 2 
1. INTRODUÇÃO .................................................................................................... 3 
1.1 Sociedade da Informação: A Informação e sua Importância ................................................. 3 
1.2 Conceitos Fundamentais ..................................................................................................... 4 
1.3 Segurança da Informação .................................................................................................... 5 
1.4 Conceitos de Segurança ...................................................................................................... 6 
1.5 Princípios Fundamentais da Segurança da Informação ........................................................ 8 
1.6 Confidencialidade ............................................................................................................... 9 
1.7 Integridade ........................................................................................................................11 
1.8 Disponibilidade ..................................................................................................................13 
2. APROFUNDANDO NA SEGURANÇA DA INFORMAÇÃO ............................. 15 
2.1 Hexagrama Parkeriano .......................................................................................................15 
2.2 Risco ..................................................................................................................................16 
2.3 Ameaças ............................................................................................................................17 
2.4 Vulnerabilidade ..................................................................................................................18 
2.5 Falhas.................................................................................................................................19 
3. MECANISMOS E TECNOLOGIAS DE SEGURANÇA ..................................... 20 
3.1 Uma Nova Abordagem Para a Segurança ............................................................................21 
3.2 Pessoas ..............................................................................................................................24 
3.3 Processos ...........................................................................................................................25 
3.4 Ferramentas .......................................................................................................................27 
3.4.1 Gestão da Segurança da Informação ..........................................................................28 
3.4.2 Gestão de Identidade .................................................................................................29 
3.4.3 Defesa Contra Ameaças .............................................................................................29 
3.5 Criptografia das Informações .............................................................................................30 
3.5.1 Fases da Criptografia ..................................................................................................31 
REFERÊNCIAS ......................................................................................................... 34 
 
 
 
 
 
 
2 
 
 
 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empresários, em 
atender à crescente demanda de alunos para cursos de Graduação e Pós-Graduação. Com 
isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível 
superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação no 
desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de 
promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem 
patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras 
normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e 
eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. 
Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de 
cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do 
serviço oferecido. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3 
 
 
 
 
1. INTRODUÇÃO 
 
Nos dias de hoje, as empresas dependem cada vez mais dos sistemas de 
informação e da Internet para fazer negócios, não podendo se dar ao luxo de sofrer 
interrupções em suas operações. Um incidente de segurança pode impactar direta e 
negativamente as receitas de uma corporação, a confiança de seus clientes e o 
relacionamento com sua rede de parceiros e fornecedores. 
Um incidente de segurança está diretamente relacionado com prejuízos 
financeiros, sejam eles devidos à parada de um sistema por conta de um vírus, ao 
furto de uma informação confidencial ou à perda de uma informação importante. 
Estima-se que worms e vírus que atingiram grandes proporções de propagação – 
como, por exemplo, MyDoom, Slammer, Nimda – tenham ocasionado prejuízos da 
ordem de bilhões de dólares no mundo. 
Em última instância, um incidente pode impedir, direta ou indiretamente, a 
organização de cumprir sua missão e de gerar valor para o acionista. Essa perspectiva 
traz a segurança da informação para um patamar novo, não apenas relacionada com 
a esfera da tecnologia e das ferramentas necessárias para proteger a informação, 
mas também como um dos pilares de suporte à estratégia de negócio de uma 
corporação. A gestão da segurança assume, então, um novo significado, pois passa 
a levar em consideração os elementos estratégicos de uma organização e evolui para 
a extensão da prática de gestão de riscos do negócio. 
 
1.1 Sociedade da Informação: A Informação e sua Importância 
 
O termo “Sociedade da Informação” também é conhecido como “Globalização”, 
a qual se apresenta ainda em formação e em plena expansão, pois é caracterizada 
pelo seu dinamismo, uma vez que as tecnologias existentes são as fontes desse 
processo de mudança. 
Essas transformações implicam diretamente no comportamento social, 
econômico e cultural de uma sociedade, pois as novas tecnologias são uma fonte de 
poder inesgotável de produção de novos conhecimentos e estão enraizadas nessa 
nova sociedade, a chamada “Sociedade do Conhecimento”. 
4 
 
 
Esse novo paradigma de organização da sociedade, é caracterizado pela 
contínua geração de informação, estabelecendo um novo padrão de produção de 
novas riquezas visando acima de tudo o bem-estar dos cidadãos. 
Esse grau de exigência requer um maior desempenho profissional, pois o 
mercado de trabalho pede profissionais mais bem preparados, em virtude de as 
informações serem mais complexas e em grande quantidade, resultado das 
facilidades ofertadas pelas tecnologias. 
São nítidos os aspectos favoráveis ao uso das tecnologias em nossas vidas. 
Esse fato pode ser observado na medicina, por exemplo, possibilitando fazer cirurgias 
a distância; outro exemplo são as viagens espaciais, enfim, basta olhar para o lado e 
observar que as tecnologias estão introduzidas no seu cotidiano. 
As máquinas estão substituindo o homem em tarefas repetitivas que muitas 
vezes requerem apenas força bruta, precisão ou mesmo adentrar em locais de difícil 
acesso e perigosos, oportunizando ao homem desempenhar um papel de detentor do 
conhecimento, e a máquina, mera coadjuvante, um apoio na tomada de decisões. 
 
1.2 Conceitos FundamentaisMuitas mudanças ocorreram com a introdução da Internet em nosso cotidiano, 
a informação, por exemplo, não era um ativo muito importante nas organizações há 
certo tempo; o importante eram os equipamentos, considerados o maior patrimônio 
de uma empresa. Com o passar dos tempos e a modernização das estruturas de 
trabalho, novos modelos de gestão foram surgindo e alguns ativos, anteriormente sem 
importância, assumiram a primeira posição. 
Atualmente, a informação é um ativo importantíssimo, que requer cuidados 
especiais e restrições de acessos, por ser um ativo intangível e abstrato, podendo 
facilmente sair da empresa em uma lata de lixo, na memória de alguém, em meio 
magnético, impressa em papel, enfim, é um ativo muito vulnerável, logo, demanda 
cuidados. 
Mas o que exatamente entendemos por Informação? Bem, entende-se por 
Informação, “ativos que, como qualquer outro ativo importante para os negócios, 
possuem valor para uma organização e consequentemente precisam ser protegidos 
adequadamente”, conforme ISO (InternationalOrganization for Standardization) e a 
IEC (InternationalElectrotechnicalCommission) nº 17799. 
5 
 
 
Fontes (2006, p.2) afirma que, “Informação é um recurso que move o mundo, 
além de nos dar conhecimento de como o universo está caminhando [...] É um recurso 
crítico para realização do negócio e execução da missão organizacional”. Acrescenta 
que “A informação é um recurso que tem valor para a organização e deve ser bem 
gerenciado e utilizado [...] é necessário garantir que ela esteja sendo disponibilizada 
apenas para as pessoas que precisam dela para o desempenho de suas atividades 
profissionais”. 
Podemos dizer então que informação é um conjunto de dados que, por sua vez, 
poderá gerar novas informações, consistindo em um ativo valioso para a organização. 
 
1.3 Segurança da Informação 
 
A Segurança da Informação é um tema bastante discutido não somente em 
salas de aula, como também nas redes sociais e em outros meios de comunicação, 
por tratar-se de assegurar informações tanto pessoais como corporativos, que uma 
vez lidos ou até mesmo distribuídos, poderão ocasionar transtornos diretos e/ou 
indiretos à vítima. 
Há inúmeras definições de Segurança da Informação, pois há vários autores 
que discorrem a respeito do assunto, vamos então citar algumas: 
 Para Alves (2006, p. 15), a Segurança da Informação “visa proteger a 
informação de forma a garantir a continuidade dos negócios, minimizando os danos e 
maximizando o retorno dos investimentos e as oportunidades de negócios”. 
Há também um sistema especializado para padronização mundial, formado 
pela ISO (InternationalOrganization for Standardization) e a IEC 
(InternationalElectrotechnicalCommission) e definem Segurança da Informação 
“como uma proteção das informações contra uma ampla gama de ameaças para 
assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de 
investimentos e oportunidade comerciais”. 
Sêmola (2003, p. 9) define Segurança da Informação como “uma Área do 
conhecimento dedicada à proteção de ativos da informação contra acessos não 
autorizados, alterações indevidas ou sua indisponibilidade”. 
Nesse contexto, a informação é um Ativo muito desejado e valioso tanto para 
uma pessoa como para uma organização, devendo obrigatoriamente estar protegido 
de acessos não autorizados. 
6 
 
 
Preservação da confidencialidade, integridade e disponibilidade da informação. 
Adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não 
repúdio e confiabilidade, também podem ser incluídas. Traduzindo essa definição 
formal, podemos dizer que a segurança da informação é a proteção da informação 
contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, 
minimizar os riscos de negócio e maximizar o retorno sobre os investimentos e as 
oportunidades de negócio. 
 
Figura 1: Segurança da Informação 
 
 
 
Quando se tem geração de dados em alta velocidade, e não é possível 
armazena-los totalmente, são utilizadas técnicas de amostragem, colhendo apenas 
uma fração dos dados mais representativos que não comprometem a análise. 
 
1.4 Conceitos de Segurança 
 
Para entender como a segurança pode ser gerenciada, diversos conceitos 
importantes devem ser explicados primeiro. “Vulnerabilidade”, “ameaça”, “risco” e 
“exposição” são termos frequentemente usados para representar a mesma coisa, 
mesmo que tenham diferentes significados e relações entre si. É importante entender 
a definição de cada palavra, mas mais importante ainda é entender as suas relações 
com outros conceitos. 
7 
 
 
 Antes de começarmos a definir uma estratégia de segurança, precisamos 
saber o que estamos protegendo e do que estamosprotegendo. A metodologia que 
empregamos para nos ajudar a obter algum conhecimento sobre isso é chamada de 
análise do risco. Existem várias formas de realizar uma análise do risco. Discutiremos 
diversas a seguir. 
Requisitos de segurança são identificados através de uma avaliação metódica 
de riscos de segurança. As despesas com controles devem ser equilibradas de acordo 
com os danos, resultantes de falhas de segurança, mais prováveis de ocorrer no 
negócio. 
Os resultados da avaliação do risco ajudarão a guiar e a determinar a ação 
apropriada de gestão e as prioridades para gerenciar os riscos de segurança da 
informação e para implementar os controles escolhidos para proteção contra riscos e 
ameaças. 
A avaliação do risco (análise do risco) deve ser repetida periodicamente para 
tratar qualquer mudança que possa influenciar os resultados da avaliação do risco. 
A segurança da informação é alcançada através da implementação de um 
conjunto adequado de controles, incluindo políticas, processos, procedimentos, 
estruturas organizacionais e funções de software e hardware. Esses controles 
precisam ser estabelecidos, implementados, monitorados, revisados e melhorados, 
onde necessário, para assegurar que os objetivos específicos de segurança e do 
negócio da organização sejam atendidos. Isso deve ser feito em conjunto com outros 
processos de gerenciamento de negócio. 
A abordagem de processo para a gestão da segurança da informação 
apresentada na ISO 27002:2013, “Código de prática para a segurança da informação” 
(Codeofpractice for informationsecurity), inclui a importância de: 
 
A. Compreender os requisitos de segurança da informação da organização e a 
necessidade de estabelecer políticas e objetivos para a segurança da informação. 
B. Implementar e operar controles para gerenciar os riscos de segurança da 
informação da organização no contexto dos riscos gerais de negócio da organização. 
C. Monitorar e revisar o desempenho e a eficácia do Sistema de Gerenciamento 
de Segurança da Informação (Information Security Management System – ISMS). 
D. Melhoria contínua baseada em medições objetivas. 
 
8 
 
 
A informação e os processos de apoio, os sistemas e as redes são ativos de 
negócio importantes. 
 Definir, alcançar, manter e melhorar a segurança da informação pode ser 
essencial para manter a vantagem competitiva, o fluxo de caixa, a rentabilidade, a 
observância da lei e a imagem comercial. 
As organizações e seus sistemas de informação e redes enfrentam ameaças 
de segurança provenientes de um amplo leque de fontes, incluindo fraudes assistidas 
por computador, espionagem, sabotagem, vandalismo, incêndio ou inundação. As 
causas de danos, como códigos maliciosos, atividades de hacking em computadores 
e ataques de negação de serviço (ou denial-of-service) se tornaram mais comuns, 
mais ambiciosas e cada vez mais sofisticadas. 
A segurança da informação é importante tanto para os negócios públicos 
quanto para o setor privado, e para proteger infraestruturas críticas. Em ambos os 
setores a segurança da informação funcionará como uma facilitadora – por exemplo, 
para realizar e-government oue-business e para evitar ou reduzir os riscos relevantes. 
A interconexão de redes públicas e privadas e o compartilhamento dos recursos de 
informação aumentam a dificuldade de se conseguir controle de acesso. 
 
1.5 Princípios Fundamentais da Segurança da Informação 
 
Um programa de segurança pode ter diversos objetivos, grandes e pequenos, 
mas os princípios mais importantes em todos os programas de segurança são a 
confidencialidade (exclusividade), integridade e disponibilidade. Estes são referidos 
como o triângulo CIA (confidentiality, integrity, availability). O nível de segurança 
requerido para executar esses princípios é diferente para cada empresa, pois cada 
uma tem sua própria combinação de objetivos e requisitos de negócio e de segurança. 
Todos os controles de segurança, mecanismos e proteções são implementados para 
prover um ou mais desses princípios, e todos os riscos, ameaças e vulnerabilidades 
são medidos pela sua capacidade potencial de comprometer um ou todos os 
princípios do triângulo CIA. 
Confidencialidade, integridade e disponibilidade são princípios críticos de 
segurança. Você deve compreender o seu significado, como eles são providos por 
diferentes mecanismos e como a sua ausência pode afetar negativamente um 
9 
 
 
ambiente. Tudo isso o ajuda a identificar melhor os problemas e a fornecer soluções 
adequadas. 
 
Figura 2: O triângulo CIA 
 
 
 
1.6 Confidencialidade 
 
A confidencialidade, também chamada de exclusividade, se refere aos limites 
em termos de quem pode obter que tipo de informação. Por exemplo, os executivos 
podem estar preocupados com a proteção dos planos estratégicos de sua empresa 
em relação aos concorrentes; as pessoas, por outro lado, estão preocupadas com o 
acesso não autorizado aos seus registros financeiros. 
A confidencialidade assegura que o nível necessário de sigilo seja aplicado em 
cada elemento de processamento de dados e impede a divulgação não autorizada. 
Esse nível de confidencialidade deve prevalecer enquanto os dados residirem em 
sistemas e dispositivos na rede, quando forem transmitidos e quando chegarem ao 
seu destino. 
A confidencialidade pode ser fornecida através da criptografia de dados à 
medida que são armazenados e transmitidos, usando preenchimento de tráfego na 
rede (trafficpadding), estrito controle de acesso, classificação dos dados e treinamento 
de pessoal nos procedimentos apropriados. 
São exemplos de medidas de confidencialidade: 
10 
 
 
 O acesso à informação é concedido com base na “necessidade de conhecer”. 
Não é necessário, por exemplo, que um funcionário do departamento financeiro seja 
capaz de ver relatórios de discussões com clientes. 
 Os funcionários tomam medidas para garantir que a informação não vá para 
pessoas que não necessitem dela. Eles asseguram, por exemplo, que nenhum 
documento confidencial seja deixado sobre suas mesas enquanto estão ausentes 
(política da mesa limpa). 
 O gerenciamento de acesso lógico assegura que pessoas ou processos não 
autorizados não tenham acesso a sistemas automatizados, base de dados e 
programas. Um usuário, por exemplo, não tem o direito de alterar as configurações do 
PC. 
 É criada uma separação de funções entre a organização de desenvolvimento 
do sistema, a organização de processamento e a organização do usuário. O 
desenvolvedor não pode, por exemplo, fazer qualquer modificação nos salários. 
São criadas separações estritas entre o ambiente de desenvolvimento, o 
ambiente de teste e aceitação, e o ambiente de produção. 
No processamento e uso dos dados, são tomadas medidas para garantir a 
privacidade do pessoal e de terceiros. O departamento de Recursos Humanos (RH) 
pode ter, por exemplo, sua própria unidade de rede que não é acessível a outros 
departamentos. 
O uso de computadores por usuários finais é cercado de medidas, de forma 
que a confidencialidade da informação seja garantida. Um exemplo é a autenticação 
dos usuários autorizados por meio de uma combinação entre a identificação do 
usuário (ID), a senha e, às vezes, um “token de resposta a um desafio” que cria uma 
senha de uso único (one-time-password) para cada sessão de login, que, por sua vez, 
dá acesso ao computador e à rede. 
As camadas de rede são criptografadas, reduzindo a oportunidade de análise 
do tráfego. Ainda é possível, nessas condições, um atacante acessar o volume de 
tráfego na rede e observar o que entra e o que sai de cada sistema final. Uma 
contramedida para esse tipo de ataque é o preenchimento de tráfego (trafficpadding). 
O preenchimento de tráfego produz continuamente texto cifrado, mesmo na 
ausência de texto simples. Um fluxo contínuo de dados aleatórios é gerado. Quando 
um texto simples está disponível, ele é criptografado e transmitido. Quando não há 
um texto simples na entrada, dados aleatórios são criptografados e transmitidos. 
11 
 
 
Isso torna impossível para um atacante distinguir entre um fluxo de dados 
verdadeiro e um preenchimento de dados e, portanto, deduzir o volume de tráfego. 
O preenchimento de tráfego é essencialmente uma função de criptografia de 
enlace. Se apenas a criptografia fim-a-fim for empregada, então as medidas 
disponíveis para o defensor são mais limitadas. Se a criptografia for empregada na 
camada de aplicação, então o oponente pode determinar a camada de transporte, o 
endereço da camada de rede e os padrões de tráfego, os quais permanecerão todos 
acessíveis. 
 
1.7 Integridade 
 
A integridade se refere a ser correto e consistente com o estado ou a 
informação pretendida. Qualquer modificação não autorizada de dados, quer 
deliberada ou acidental, é uma violação da integridade dos dados. 
Por exemplo, é esperado que dados armazenados em disco sejam estáveis – 
não se espera que eles sejam alterados aleatoriamente por problemas com os 
controladores de disco. De forma similar, espera-se que os programas de aplicação 
gravem as informações corretamente e não introduzam valores diferentes dos 
desejados. 
Donn Parker explica isso da seguinte forma: “minha definição para integridade 
da informação vem dos dicionários. Integridade significa que a informação é completa, 
perfeita e intacta (não necessariamente correta). Significa que nada está faltando na 
informação, ela está completa e em um desejado bom estado”. A afirmação do autor 
se aproxima de dizer que a informação está em um estado... correto. 
A informação pode ser incorreta ou não autêntica, mas possuir integridade, ou 
ser correta e autêntica, mas faltar integridade. 
Ambientes que reforçam e fornecem esse atributo de segurança asseguram 
que atacantes, ou erros de usuários, não comprometam a integridade dos sistemas 
ou dados. Quando um atacante insere um vírus, uma bomba lógica ou um backdoor 
em um sistema, a integridade do sistema é comprometida. Isso pode, por sua vez, 
afetar negativamente a integridade da informação contida no sistema através de 
corrupção, modificação maliciosa ou substituição de dados por dados incorretos. 
Controle de acesso estrito, detecção de intrusão e hashing podem combater essas 
ameaças. 
12 
 
 
 Os usuários normalmente afetam o sistema ou a integridade de seus 
dados por erro (embora usuários internos também possam cometer atos maliciosos). 
Por exemplo, um usuário com disco rígido cheio pode involuntariamente apagar 
arquivos de configuração supondo equivocadamente que não haveria problema ao 
apagar o arquivo boot.ini, por não se lembrar de tê-lo usado em qualquer momento. 
Ou, por exemplo, um usuário pode inserir valores incorretos em uma aplicação de 
processamento de dados que acabe cobrando de um cliente $ 3.000.000,00 em vez 
de $ 300,00. 
Modificar incorretamente dados mantidos em banco de dados é outra forma 
comum de os usuários corromperem acidentalmente os dados, um erro que pode ter 
efeitos duradouros. 
São exemplos de medidas de integridade: 
 Mudançasem sistemas e dados são autorizadas. Por exemplo, um membro da 
equipe atribui um novo preço a um artigo no website e outro verifica a validade desse 
preço antes de ser publicado. 
 Onde possível, são criados mecanismos que forcem as pessoas a usar o termo 
correto. Por exemplo, um cliente é sempre chamado de “cliente”; o termo “freguês” 
não pode ser inserido na base de dados. 
 As ações dos usuários são gravadas (logged) de forma que possa ser 
determinado quem modificou a informação. 
 Ações vitais para o sistema, como, por exemplo, a instalação de novo soft-ware, 
não podem ser conduzidas por uma só pessoa. Ao segregar funções, posições e 
autoridades, ao menos duas pessoas serão necessárias para realizar mudanças que 
tenham graves consequências. 
A integridade dos dados pode ser garantida em grande parte por meio de 
técnicas de criptografia, o que protege a informação de acesso ou mudança não 
autorizada. Os princípios de política e de gestão para criptografia podem ser definidos 
em um documento de políticas separado. 
 
 
 
 
 
13 
 
 
1.8 Disponibilidade 
 
As características de disponibilidade são: 
 Oportunidade: a informação está disponível quando necessário. 
 Continuidade:a equipe consegue continuar trabalhando no caso de falha. 
 Robustez:existe capacidade suficiente para permitir que toda a equipe 
trabalhe no sistema. 
 
Por exemplo, tanto uma falha de disco como um ataque de negação de serviço 
causam violação da disponibilidade. Qualquer atraso que exceda o nível de serviço 
esperado para um sistema pode ser descrito como uma violação da disponibilidade. 
A disponibilidade do sistema pode ser afetada pela falha de um dispositivo ou 
software. Dispositivos de backup devem ser utilizados para substituir rapidamente os 
sistemas críticos, e funcionários devem ser qualificados e estar disponíveis para fazer 
os ajustes necessários para restaurar o sistema. Questões ambientais como calor, 
frio, umidade, eletricidade estática e contaminantes também podem afetar a 
disponibilidade do sistema. Sistemas devem ser protegidos contra esses elementos, 
devidamente aterrados e monitorados de perto. 
Ataques de negação de serviço ou Denial-of-Service (DoS) são métodos 
populares que hackers usam para interromper a disponibilidade e a utilização do 
sistema de uma empresa. Esses ataques são montados para impedir os usuários de 
acessar recursos e informações do sistema. Para se proteger desses ataques, apenas 
os serviços e portas necessárias devem estar disponíveis nos sistemas, e sistemas 
de detecção de intrusão (IntrusionDetection Systems – IDS) devem monitorar o 
tráfego da rede e a atividade das máquinas. 
Certas configurações de roteadores e firewalls também podem reduzir a 
ameaça de ataques DoS e possivelmente impedi-los de acontecer. 
Exemplos de medidas de disponibilidade incluem: 
 A gestão (e o armazenamento) de dados é tal que o risco de perder informações 
seja mínimo. 
 O dado é, por exemplo, armazenado em um disco de rede, e não no disco rígido 
do PC. 
 Os procedimentos de backup são estabelecidos. Os requisitos legais de quanto 
tempo os dados devem ser armazenados são levados em conta. A localização do 
14 
 
 
backup é separada fisicamente do negócio, a fim de garantir a disponibilidade nos 
casos de emergência. 
 Os requisitos legais sobre quanto tempo os dados devem ser mantidos 
armazenados variam de país para país na União Europeia, nos EUA e em outros 
lugares. É importante checar as agências reguladoras individuais do governo para 
requisitos específicos. 
 
Procedimentos de emergência são estabelecidos para garantir que as 
atividades possam ser recuperadas o mais breve possível após uma interrupção de 
grande escala. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 
 
 
2. APROFUNDANDO NA SEGURANÇA DA INFORMAÇÃO 
 
Incidente pode ser definido como uma ação que pode interromper os processos 
normais de negócio, em virtude de alguns aspectos da segurança terem sido violados, 
seja intencionalmente ou não. 
Em segurança de informação, a palavra Ativo refere-se a tudo que representa 
valor para a organização. Caso esse ativo seja violado, poderá trazer impactos 
negativos para o prosseguimento das atividades da organização. Podemos citar como 
ativos as pessoas, os programas, os equipamentos, enfim, tudo que na sua ausência 
gera transtornos, implicando no bom funcionamento dos negócios. 
Quando falamos em problemas de segurança, há inúmeros fatores que 
acarretam a perda e/ou violação dos dados de uma empresa, como por exemplo,a má 
operação do sistema ou mesmo quando a segurança está sofrendo ameaça, risco, 
vulnerabilidade, falhas e desastres. A seguir abordaremos cada um desses fatores. 
 
2.1 Hexagrama Parkeriano 
 
O hexagrama Parkeriano, ou Parkerianhexad, é um conjunto de seis elementos 
da segurança da informação proposto por Donn B. Parker. 
O termo foi cunhado por M. E. Kabay. O hexagrama Parkeriano soma mais três 
atributos aos três atributos clássicos de segurança do triângulo CIA 
(confidencialidade, integridade, disponibilidade – ou confidentiality, integrity, 
availability). 
Em segurança da informação, um backup ou o processo de fazer backup se 
refere a fazer cópias dos dados de forma que essas cópias adicionais possam ser 
usadas para restaurar o original após um evento de perda de dados. Essas cópias 
adicionais são tipicamente chamadas de “backups”. Em inglês, o verbo é backup, em 
duas palavras, enquanto o substantivo é backup (muitas vezes usado como um 
adjetivo em substantivos compostos). 
Os atributos do hexagrama Parkeriano são os seguintes: 
1. Confidencialidade 
2. Posse ou controle 
3. Integridade 
4. Autenticidade 
16 
 
 
5. Disponibilidade 
6. Utilidade 
Esses atributos da informação são atômicos, no sentido de que não são 
divididos em outras partes constituintes; eles não se sobrepõem, já que se referem a 
aspectos únicos da informação. Qualquer violação da segurança da informação pode 
ser descrita como aquilo que afeta um ou mais desses atributos fundamentais da 
informação. Confidencialidade, integridade e disponibilidade foram mencionadas 
anteriormente. 
 
2.2 Risco 
 
Praticamente, quase toda empresa e/ou usuário doméstico usa a Internet no 
seu dia a dia, uma ferramenta que possibilita facilidades e oportunidades tanto 
profissionais como de entretenimento e lazer. Seria muito difícil para estas pessoas 
viverem sem ela. 
 Infelizmente, para aproveitar todos esses recursos, são necessários certos 
cuidados, pois os riscos são inúmeros, como por exemplo: 
Ao acessar a Internet, sua máquina já está exposta na rede, você poderá ter 
seus dados pessoais expostos, e caso sejam acessados por alguém mal intencionado, 
isso poderá lhe proporcionar grandes transtornos. 
Uma pessoa, uma vez com seus dados, poderá querer se passar por você na 
rede e usar sua identidade até mesmo para lhe expor, colocando em risco a sua 
reputação, ou cometer crimes como, estelionato, sequestro, pedofilia. 
Não é muito prudente você achar que não corre riscos; acreditar que ninguém 
tem interesse em se apropriar do seu computador, tablet ou celular é mero engano, 
pois muitos intrusos mal intencionados têm interesse em acessar grandes 
quantidades de máquinas, não importando quais. Um exemplo que tivemos aqui no 
Brasil foi o ataque ao site do governo federal, os sites presidencia.gov.br e o 
brasil.gov.br, deixando-os indisponíveis em função da grande quantidade de acessos, 
esses acessos poderiam estar sendo feitos pelo seu computador também, os 
chamados ataques de spam. 
As informações na Internet correm numa velocidade muito grande, o que em 
alguns momentos pode ser benéfico e, em outros, dependendo da situação, pode ser 
extremamente destrutivo. 
17 
 
 
Um risco é a probabilidade de um agente ameaçador tirar vantagem de uma 
vulnerabilidade e o correspondenteimpacto nos negócios. Se um firewall tem diversas 
portas abertas, há uma maior probabilidade de um invasor usar uma delas para 
acessar a rede de forma não autorizada. Se os usuários não forem treinados nos 
processos e procedimentos, haverá uma maior probabilidade de um funcionário 
cometer um erro, intencional ou não, que possa destruir dados. Se um sistema de 
detecção de intrusão não for implementado na rede, haverá maior probabilidade de 
um ataque não ser percebido até que seja tarde demais. O risco amarra a 
vulnerabilidade, a ameaça e a probabilidade de exploração ao impacto resultante nos 
negócios. 
Na prática: 
 Um incêndio pode surgir na sua empresa. 
 Um funcionário que não trabalha no departamento de RH obtém acesso a 
informações sensíveis ou privadas. 
 Alguém aparece como um funcionário e tenta obter informação. 
 Um hacker consegue obter acesso à rede de TI da empresa. 
 
2.3 Ameaças 
 
Quando um ativo da informação sofre um ataque potencial, podemos entender 
como ameaça. Este ataque poderá ser efetuado por agentes externos (empresas, 
pessoas que não são funcionários da organização) ou internos (pessoas pertencentes 
à organização), se prevalecendo das vulnerabilidades apresentadas no sistema 
empresa. 
As vulnerabilidades são mais nítidas em sistemas de informação online e nos 
sistemas que utilizam os recursos das telecomunicações, por interligarem seus 
sistemas em vários locais, as chamadas intranets ou mesmo os extranets. Nesses 
casos, a exposição é muito grande, pois as ameaças aumentam substancialmente, 
uma vez que o sistema da empresa está na rede Internet. Muitas pessoas tentarão 
acessar informações mesmo sem autorização, se houver falhas de segurança. 
Esses sistemas que utilizam esses novos padrões de rede ampliam 
consideravelmente as vulnerabilidades, uma vez que a comunicação pode ser feita 
também pelas redes de dados sem fio, que por sua vez são difíceis de serem 
18 
 
 
protegidas em virtude dos vários pontos de acesso, possibilitando ainda mais a quebra 
da confidencialidade das informações. 
As redes empresariais precisam de muitos recursos tanto físicos como lógicos 
para proteger seus ativos das ameaças e fraquezas. 
Uma ameaça é um potencial causa de um incidente não desejado, o que pode 
resultar em prejuízo ao sistema ou à organização. A entidade que obtêm vantagem 
de uma vulnerabilidade é referida como agente ameaçador. Um agente ameaçador 
pode ser um invasor acessando a rede através de uma porta no firewall, um processo 
acessando dados de uma forma que viole a política de segurança, um tornado 
destruindo uma instalação ou um funcionário cometendo um erro não intencional que 
pode expor informações confidenciais ou destruir a integridade de um arquivo. As 
ameaças diferem em cada país dependendo do nível de desenvolvimento e do uso da 
internet. A segurança da informação é importante para governos, universidades, 
militares, saúde, etc. Terrorismo e guerras também são ameaças à segurança. 
 
2.4 Vulnerabilidade 
 
Uma vulnerabilidade é uma fraqueza de um ativo ou grupo de ativos que pode 
ser explorada por uma ou mais ameaças. Uma vulnerabilidade caracteriza a ausência 
ou a fraqueza de uma proteção que pode ser explorada. Essa vulnerabilidade pode 
ser um serviço rodando em um servidor, aplicações ou sistemas operacionais 
desatualizados, acesso irrestrito para entrada de chamadas no modem, uma porta 
aberta no firewall, uma segurança física fraca que permita a qualquer pessoa entrar 
em uma sala de servidores ou a não aplicação de gestão de senhas em servidores e 
estações de trabalho. 
Podemos entender por vulnerabilidades as falhas que um sistema possui, 
podendo provocar a indisponibilidade das informações, ou até mesmo a quebra do 
sigilo e alteração sem autorização, podendo ser decorrente de uma série de fatores, 
como falta de treinamento, falta de manutenção, falha nos controles de acesso, 
ausência de proteção de uma determinada área ameaçada. Por exemplo, a criação 
de contas no sistema sem especificar as restrições e permissões. 
A ocorrência de um incêndio poderá também estar associada à vulnerabilidade 
da empresa quanto a esse tipo de incidente, devido ao fato de a empresa não ter 
tomado as precauções adequadas contra incêndios. 
19 
 
 
Atualmente, quase todas as empresas são informatizadas e possuem um 
sistema que faz o seu gerenciamento, embora esses softwares auxiliem muito nas 
tarefas diárias e na tomada de decisão, infelizmente, apresentam muitas 
vulnerabilidades em relação aos sistemas manuais. Já imaginou a interrupção de 
energia elétrica por algumas horas, quantos transtornos poderão gerar aos negócios 
da empresa? Possivelmente, algum dano trará, porque muitos dos recursos de 
informação estão armazenados em uma base de dados que, por sua vez, só poderão 
ser acessadas caso haja energia elétrica. Empresas de grande porte, como bancos, 
companhias aéreas poderão terque arcar com prejuízos financeiros grandes, 
justamente pela indisponibilidade de seus dados. 
 
2.5 Falhas 
 
É quando um sistema permite a quebra de alguns dos princípios da segurança 
da informação. Essas falhas podem ser humanas ou não, intencionais ou não. Mas a 
maioria dos problemas de segurança da informação está basicamente relacionada às 
falhas oriundas das fases de implantação e desenvolvimento de uma política de 
segurança. 
Nesse sentido, podemos citar algumas falhas bastante comuns que ocorrem 
em virtude dessas dificuldades, sendo elas: inexistência de uma política de segurança 
formalizada, gerenciamento dos acessos efetuados no sistema, backups atualizados, 
treinamentos e informativos aos usuários sobre como explorar com segurança os 
recursos tecnológicos e, não menos importante, a definição de uma gerência de 
Tecnologia da Informação – TI para implementar as regras e fazê-las vivas na 
empresa. 
É sempre importante a empresa manter uma política de segurança bem 
implementada e usual para que, em um momento de necessidade, não sofra nenhum 
dano, evitando consequências desastrosas aos negócios. 
 
 
 
 
 
20 
 
 
3. MECANISMOS E TECNOLOGIAS DE SEGURANÇA 
 
As fronteiras da segurança se expandem, continuamente, na medida do avanço 
tecnológico. O universo de novas tecnologias evolui rapidamente e de formas até 
imprevisíveis. Essa evolução contínua coloca os executivos de segurança em uma 
posição desconfortável, tentando estabelecer controle sobre um alvo que se move e 
se modifica continuamente. 
O aspecto mais curioso é que muitas das novas tecnologias à disposição dos 
usuários, quando utilizadas com os controles de segurança apropriados, são bastante 
valiosas como ferramenta de apoio aos negócios. Entretanto, quando funcionários 
incorporam essas tecnologias arbitrariamente em seu ambiente de trabalho, podem 
trazer ameaças desconhecidas à corporação. Alguns exemplos de tecnologias 
bastante populares utilizadas no escritório, mas que podem causar sérios danos 
quando usadas sem o devido cuidado ou de forma maliciosa, são: 
 
 Telefones celulares com câmeraa podem ser verdadeiras ameaças à 
segurança, dependendo da característica do negócio da empresa e, em geral, não 
estão conectados a nenhuma plataforma que a corporação possa controlar de 
maneira efetiva. Qualquer pessoa no ambiente de trabalho, mal-intencionada, pode 
utilizar, sem autorização, um telefone com câmera para tirar fotos de algo confidencial 
– por exemplo, um documento sigiloso, o protótipo de um produto ainda em 
desenvolvimento – e divulgá-las com a finalidade de lesar a corporação. 
 Dispositivos de armazenamento de dados portáveisconstituem uma 
ameaça latente à segurança. É só conectar um dispositivo de memória do tamanho 
de um chaveiro na porta USB de uma estação de trabalho e qualquer informação que 
possa ser acessada pode ser copiada. Um funcionário mal-intencionado pode gravar 
quantidades significativasde informação confidencial da rede corporativa e sair 
tranqüilamente pela porta da frente sem que ninguém se dê conta. Não apenas 
dispositivos de memória portáteis constituem uma ameaça, mas também os MP3 
players, celulares e PDAs, que ganham cada vez mais capacidade de armazenamento 
de dados. 
 Dispositivos sem fio cuja utilização cresce a cada dia, motivada, sobretudo, 
pela popularização da tecnologia WiFi presente em laptops e PDAs, abrem 
verdadeiras “janelas” nas redes corporativas. Torna-se cada vez mais barato e fácil 
21 
 
 
configurar redes sem fio, de maneira não controlada, dentro de uma organização. 
Basta configurar um dispositivo sem fio como, por exemplo, um laptop, para funcionar 
como ponto de acesso e qualquer outro dispositivo não autorizado pode acessar a 
rede corporativa através dele. Detectar uma rede WiFi clandestina numa corporação 
é uma tarefa relativamente simples, diante do desafio de minimizar os riscos à 
segurança quando um funcionário acessa a rede corporativa, utilizando seu laptop, 
via uma rede sem fio fora de seu escritório, em um hotel ou aeroporto, por exemplo. 
Caso as medidas de segurança não estejam todas devidamente implantadas (ex.: 
utilização de software de criptografia, de formação de rede privativa e de firewall no 
laptop), ou caso o usuário não esteja devidamente consciente dos riscos envolvidos, 
ele pode expor a rede de sua corporação a qualquer curioso ou pessoa mal-
intencionada que programe um dispositivo sem fio para capturar informações 
confidenciais. 
 Serviços peer-to-peer (ex.: transferência de arquivos, instantmessaging, 
comunicadores VoIP) e web-basedservices (ex.: aplicações de acesso remoto) são 
categorias de aplicações bastante distintas, mas que guardam similaridades 
importantes no que diz respeito à segurança. Ambas podem ser facilmente instaladas 
pelos funcionários em suas estações de trabalho, possuem o apelo do aumento de 
produtividade e, em geral, burlam a infra-estrutura da segurança corporativa 
confundindo-se com o tráfego tradicional de Internet ou até com aplicações de 
negócio. Estas aplicações podem abrir acesso remoto às estações de trabalho, em 
que estão instaladas, e não permitem que a equipe de segurança tenha o devido 
controle das máquinas que estão acessando remotamente a rede corporativa. Dessa 
forma, podem ser utilizadas por usuários não autorizados e mal-intencionados para 
furtar informações confidenciais ou até disseminar vírus na rede. 
 
3.1 Uma Nova Abordagem Para a Segurança 
 
O impacto direto de incidentes de segurança nos resultados dos negócios, as 
crescentes e mais complexas ameaças, a expansão constante das fronteiras da 
segurança impulsionada pela tecnologia, além da necessidade de adequação a 
requisitos regulatórios, delineia um novo cenário que está modificando as perspectivas 
tradicionais da segurança da informação. A evolução da segurança, como uma 
disciplina integrada, participante dos contextos operacionais e organizacionais, 
22 
 
 
depende de abordagens e soluções que levam em consideração o novo modelo de 
organização dinâmica, distribuída e cada vez mais complexa. 
A visão da segurança, com viés de soluções tecnológicas, voltada apenas para 
a área de TI das corporações, começa a mudar. Essa abordagem distorce a realidade 
de que os elementos produtivos da organização – pessoas, ativos e processos – são 
o foco real de uma estratégia de segurança. O assunto da segurança começa a tomar 
dimensões maiores em nível organizacional, compreendendo esforços mais 
abrangentes, com foco em gerenciamento de riscos ligado a objetivos mais amplos, 
como continuidade dos negócios, redução de custos com incidentes de segurança, 
aumento da competitividade e inevitáveis exigências legais e regulatórias. A 
segurança começa a ser percebida como um problema de negócio e não apenas de 
tecnologia. 
Da perspectiva financeira, a segurança começa a ser encarada, em muitas 
corporações, como investimentos que auxiliam a organização a atingir seus objetivos 
de negócio. Dessa forma, os gestores de segurança necessitam justificar 
investimentos com base em métricas financeiras, similar a outros investimentos da 
organização. Torna-se cada vez mais comum a adoção de métricas de avaliação de 
investimento, que levem em consideração os custos e benefícios associados a uma 
iniciativa de segurança, facilitando a tomada de decisão e a priorização das diversas 
iniciativas. Uma das métricas mais populares é o retorno sobre investimento – ROI 
(ReturnonInvestment) – em que os benefícios são mensurados através de processos 
de avaliação de riscos e consistem, fundamentalmente, em custos que podem ser 
evitados, advindos de um possível incidente. 
 
Figura 3: Mudança de abordagem 
 
 
23 
 
 
Todas essas mudanças levam à necessidade de um framework, como 
instrumento de gestão da segurança, em nível corporativo. Esse framework ampara 
as ações de uma corporação em diversos planos: pessoas, processos e ferramentas. 
A gestão da segurança é uma mistura desses três elementos, em que cada um deles 
é complementar e interdependente. 
Pessoas: um dos elementos mais importantes na gestão da segurança, pois 
em essência são elas que executam e suportam os processos de uma corporação. 
Considera e trata os assuntos relacionados com as pessoas, seus papéis e 
responsabilidades na organização, indo desde a capacitação dos profissionais 
responsáveis pela segurança até a conscientização da organização como um todo. 
Processos: constituem a linha mestra da gestão da segurança no dia-a-dia. 
Compreendem desde a visão da corporação, sua estratégia de segurança, a definição 
das políticas, até os processos que colocam em prática as políticas, os procedimentos, 
a documentação de controle e os padrões de conformidade. Através de processos 
bem definidos, uma corporação torna a segurança uma responsabilidade de todos e 
não apenas da equipe de segurança, pois determinam diretrizes do que é ou não 
permitido. 
Ferramentas: são as soluções de segurança empregadas para suportar os 
processos delineados. São elas que facilitam a devida aplicação das políticas de 
segurança e seu monitoramento. Incluem diversas funcionalidades, desde a 
identificação dos usuários, criptografia de dados, defesa contra ameaças, até a gestão 
da segurança. 
 
Figura 4: Tríade da gestão de segurança 
 
 
24 
 
 
3.2 Pessoas 
 
A implantação de processos e ferramentas nem sempre é suficiente para 
garantir a segurança das informações. Sempre que a informação necessita ser 
manuseada por uma pessoa, ela está potencialmente em risco. À medida que as 
corporações permitem acesso mais abrangente e mais profundo às informações, os 
riscos de segurança aumentam exponencialmente com o número de usuários 
habilitados ao acesso. 
Há diversos meios para mitigar riscos tecnológicos. Processos falhos podem 
ser detectados em auditorias ou verificações de rotina. Mas, como garantir que as 
pessoas estão trabalhando de maneira adequada? Deve-se monitorar as atividades 
das pessoas o tempo todo? Vale a pena criar controles e mais controles para eliminar 
possíveis vulnerabilidades? 
A resposta mais viável, na maioria das vezes, é não. A melhor, e talvez única, 
maneira de garantir que as pessoas estejam trabalhando de modo seguro é 
conscientizá-las dessa necessidade. Riscos simples, como deixar papéis na 
impressora, fornecer informações por telefone ou deixar papéis com informações 
importantes em locais acessíveis, podem ser evitados conscientizando as pessoas do 
risco existente nesses comportamentos. 
Não se pode prever todas as possibilidades de vulnerabilidades quando 
pessoas estão envolvidas. Não há como desenvolver um treinamento específico para 
cada ocasião em que a ação indevida de uma pessoa possa comprometer a 
segurança da empresa. Os treinamentos devem procurar enfatizar a postura que um 
profissionaldeve ter em relação a possíveis riscos. 
 
Figura 5: Sigilo de informação pessoal 
 
 
25 
 
 
3.3 Processos 
 
Em tempos de grandes fraudes financeiras, que colocaram sob suspeita a 
credibilidade das informações contábeis, e de uma crescente dependência da 
tecnologia da informação nas empresas, deter uma certificação de segurança da 
informação é, certamente, um importante diferencial competitivo, que demonstra ao 
mercado a preocupação da empresa em manter suas informações confidenciais, 
íntegras e disponíveis. 
Recentes leis e acordos internacionais, como a Sarbanes-OxleyAct e Basiléia 
II, demonstram a preocupação dos governos com fraudes e outros problemas relativos 
à confiabilidade e disponibilidade de informações, que podem colocar sob suspeita as 
ações de empresas. Alguns requisitos dessas leis referem-se nitidamente à segurança 
da informação, como a disponibilidade de informações de sistemas de informação 
(logs), garantia de não-repúdio de transações, sistemas menos suscetíveis a fraudes, 
segregação de funções e controle rígido de acesso. 
Novas atribuições profissionais surgiram para suprir essa necessidade, como o 
CISO – ChiefInformation Security Officer, CSO – Chief Security Officer, funções 
normalmente encarregadas da gestão da segurança de uma corporação e das 
atividades de enquadramento das companhias às regulamentações de mercado. O 
papel desses profissionais tornou-se muito importante à medida que os sistemas de 
informação corporativos tornaram-se críticos e que os gestores da empresa passaram 
a ter responsabilidade cível sobre a precisão das informações corporativas. 
Dessa maneira, nada mais natural que a busca de um padrão único e 
reconhecido de práticas para a segurança da informação e sistemas. A normalização 
e certificação de sistemas de gestão têm sido freqüentes e usuais como, por exemplo, 
as Normas de Qualidade (ISO 9001), Meio Ambiente (ISO 14001), Segurança do 
Trabalho (OHSAS 18001), entre diversas outras que atestam a adequação dos 
processos de uma empresa em relação aos requisitos de uma norma específica. 
 Nessa linha, o mercado reconhece a Norma ISO/IEC 17799 como a principal 
referência de melhores práticas para a gestão da segurança da informação. Essa 
norma teve como origem a BS 7799, da BSI – British Standards Institution, padrão 
britânico de segurança da informação e, ao contrário de outras normas ISO, como as 
séries ISO 9000 e ISO 14000, a ISO/IEC 17799 ainda não tem um guia de certificação. 
26 
 
 
Atualmente, a certificação de segurança da informação somente é possível pela 
Norma BS 7799-2:2002. 
Quando uma corporação adota a ISO/IEC 17799 como referência, ela adota 
naturalmente uma abordagem orientada para processos, que permite maior eficácia 
na gestão da segurança. Esse tipo de abordagem concentra-se nos processos que 
impactam diretamente os resultados do negócio, e não apenas em soluções 
tecnológicas que aumentam o nível de segurança. A corporação passa a avaliar e 
gerenciar os riscos inerentes a cada processo de negócio, e a segurança passa a ser 
incorporada naturalmente na gestão dos processos. 
Dessa maneira, a norma sugere a implantação do Sistema de Gestão da 
Segurança da Informação de maneira similar aos já conhecidos Sistemas de Gestão 
da Qualidade e Meio Ambiente, pelo ciclo contínuo de aprimoramento do Sistema. 
Esse ciclo, conhecido como PDCA (Plan – Do – Check – Act) é implementado da 
seguinte maneira: 
 
Figura 6: Ciclo PDCA 
 
PLAN 
Estabelecer um Sistema de Gestão de Segurança da Informação: 
 Definir uma diretriz para a segurança da informação em consonância com os 
objetivos de negócio da corporação. 
 Realizar um levantamento de todos os ativos de informação contidos na 
empresa. 
 Atribuir um valor para cada ativo, conhecer suas vulnerabilidades e ameaças e 
o impacto associado a cada ameaça. 
27 
 
 
 Definir, de acordo com as práticas da norma, quais controles devem ser 
introduzidos para reduzir o risco existente. 
 
DO 
Implementar e operar o Sistema de Gestão da Segurança da Informação: 
 Definir planos de tratamento de riscos, que podem incluir a instalação de 
ferramentas, treinamentos, campanhas de conscientização, criação de procedimentos 
de trabalho, ou transferir o risco para terceiros (contratação de seguros) 
 
CHECK 
Monitorar e revisar o Sistema de Gestão da Segurança da Informação: 
 Verificar se, no tratamento dos riscos identificados, os planos delineados foram 
adequados. 
 Verificar se o Sistema está atingindo os objetivos esperados. 
 
ACT 
Manter e melhorar o Sistema de Gestão da Segurança da Informação: 
 Verificar a adequação do Sistema de Gestão da Segurança da Informação em 
relação aos objetivos iniciais 
 Propor melhorias do Sistema. 
 Definir novos objetivos de segurança. 
 
3.4 Ferramentas 
 
Mais do que processos de trabalho bem definidos, profissionais conscientes e 
capacitados, a segurança da informação requer ferramentas específicas para a 
implementação das regras contidas nas políticas de segurança. Muitos dos requisitos 
de controle e prevenção somente podem ser conseguidos com o uso de soluções de 
hardware e software. Por exemplo: a aplicação de uma política de acesso, para ser 
implementada, depende invariavelmente de firewalls, servidores de autenticação, 
equipamentos de rede. 
Atualmente, um executivo de segurança da informação tem, à sua disposição, 
um arsenal de ferramentas sem igual para garantir a segurança dos ativos de uma 
corporação. Os principais blocos de soluções estão enumerados a seguir: 
28 
 
 
 
Figura 7: Gestão da Segurança da Informação 
 
 
 
3.4.1 Gestão da Segurança da Informação 
 
Soluções que permitem a gestão da segurança de maneira centralizada e 
fazem parte de uma categoria denominada SIM (Security Information Management). 
Existem dois grupos de funcionalidades que podem residir em uma ou em mais 
ferramentas: 
 Monitoramento:Realizam a análise e correlação de eventos originados em 
diversos sistemas através de uma plataforma única, e permitem a análise forense de 
incidentes, oferecendo um painel de bordo às equipes de segurança. 
 Configuração e administração:Permitem a verificação e a modificação de 
configuração de diversas plataformas e sistemas de maneira a garantirem a 
conformidade com as políticas de segurança. Como exemplos de atividades 
realizadas por essas ferramentas podemos citar a modificação de uma regra num 
firewall, ou a verificação das versões dos aplicativos, instalados nas estações de 
trabalho, para identificar a necessidade de atualizações. 
 
 
 
 
 
 
29 
 
 
3.4.2 Gestão de Identidade 
 
Ferramentas que permitem a correta identificação de um usuário para lhe 
conferir acesso de acordo com seu perfil: 
 Identificação/Autenticação:Permitem identificar unicamente um usuário e 
verificar a autenticidade da sua identidade através de mecanismos variados, como, 
por exemplo, senhas pré-definidas, certificados digitais, biometria ou dispositivos 
portáteis (tokens, smartcards). 
 Autorização/Controle de acesso:Possibilitam especificar as ações permitidas 
e níveis de privilégio diferenciados para cada usuário através do estabelecimento de 
políticas de uso. 
 
 Public Key Infrastructure/CertificationAuthority:Realizam a geração e 
gestão de chaves e certificados digitais que conferem autenticidade aos usuários ou 
à informação. Outra aplicação dessa categoria de ferramentas é o fornecimento de 
chaves para suportar soluções de criptografia. 
 
3.4.3 Defesa Contra Ameaças 
 
Diversas soluções atuando, de forma preventiva ou corretiva, na defesa contra 
ameaças à segurança de uma corporação: 
 Proteção de perímetro:Permitem definir uma fronteira, lógica ou física, em 
torno de um conjunto de ativos de informação e implementar as medidas necessárias 
para evitar a troca de informação não autorizada através do perímetro. Osfirewalls 
representam as soluções mais comuns de proteção de perímetro, podendo realizar 
inspeção e filtragem de pacotes de dados, analisando as diversas camadas até o nível 
da aplicação. Existem dois tipos de firewalls: os tradicionais appliances de segurança 
instalados na rede ou os personal firewalls que podem ser instalados em estações de 
trabalho ou servidores. 
 Detecção de anomalias e intrusão:Realizam o monitoramento de redes, 
plataformas e aplicações visando a detecção de atividades não autorizadas, ataques, 
mau uso e outras anomalias de origem interna ou externa. Empregam métodos 
sofisticados de detecção que variam desde o reconhecimento de assinaturas, que 
identificam padrões de ataques conhecidos, até a constatação de desvios nos padrões 
30 
 
 
de uso habituais dos recursos de informação. Os IntrusionDetection Systems (IDS) 
são as ferramentas mais utilizadas nesse contexto e atuam de maneira passiva, sem 
realizar o bloqueio de um ataque, podendo atuar em conjunto com outros elementos 
(ex.: firewalls) para que eles realizem o bloqueio. Uma evolução dos IDS são os 
IntrusionPrevention Systems (IPS), elementos ativos que possuem a capacidade de 
intervir e bloquear ataques. Tanto IDS como IPS podem existir na forma de appliances 
de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser 
instalados nas estações de trabalho e servidores. Outras ferramentas importantes 
nesta categoria são os Network BehaviourAnomalyDetectors (NBAD) que, espalhados 
ao longo da rede, utilizam informações de perfil de tráfego dos diversos roteadores e 
switches para imediatamente detectar ataques desconhecidos, ataques distribuídos 
(DistributedDenialof Service – DDoS) e propagação de worms. 
 Proteção contra infecção:Garantem que os sistemas e os recursos de 
informação neles contidos não sejam contaminados. Incluem, principalmente, os 
antivírus e filtros de conteúdo. Os antivírus ganham cada vez mais sofisticação, 
realizando a detecção e combate de ameaças que vão além dos vírus, incluindo 
trojans, worms, spyware e adware. Os filtros de conteúdo aplicam políticas de 
utilização da web, examinando conteúdo consumido durante a navegação (ex.: 
programas executáveis, plug-ins). Existem também os filtros de conteúdo voltados 
para e-mails, chamados ferramentas anti-spam. As ferramentas de proteção contra 
infecção são instaladas tipicamente nas estações de trabalho e servidores, mas já 
existem versões voltadas para a rede, ou seja, eliminam ameaças antes de chegarem 
ao usuário, bloqueando na própria rede os pacotes infectados. 
 Backup/recovery:Permitem o backup, de forma automatizada, de informações 
contidas em estações de trabalho e servidores. Além disso, possuem funcionalidades 
de recuperação e restauração de informações perdidas em caso de incidentes. 
 
3.5 Criptografia das Informações 
 
Mecanismos que garantem a confidencialidade da informação em diversas 
camadas, através da aplicação de algoritmos de criptografia. Variam desde a 
criptografia das informações gravadas em dispositivos de memória (ex.: discos 
rígidos, storage) até criptografia das informações em trânsito visando à comunicação 
segura. Os equipamentos mais conhecidos para a comunicação segura são os 
31 
 
 
chamados concentradores de VPN (Virtual Private Networks), que permitem a 
formação de redes virtuais seguras nas quais todo o tráfego trocado (entre dois nós 
de rede – site-to-site – ou entre uma estação remota e um nó de rede – client-to-site) 
é criptografado utilizando algoritmos como o IPSec ou, mais recentemente, o SSL 
(Security Socket Layer). 
As soluções para segurança experimentam uma fase de intensa inovação 
tecnológica e de crescente sofisticação motivadas, principalmente, pelo aumento 
constante das atividades maliciosas. É um mercado aquecido, haja vista os 
crescentes investimentos das corporações em soluções para aumentar seus níveis de 
segurança. 
O mercado de soluções de segurança é relativamente novo e apresenta um 
elevado nível de fragmentação. Nele coexistem diversas empresas, oferecendo 
soluções para cada uma das áreas ilustradas, e que se destinam, muitas vezes, 
apenas parte do problema. Exemplos de soluções pontuais são os firewalls e antivírus 
presentes na quase totalidade das corporações. A diversidade de soluções isoladas 
representa desafios de interoperabilidade, integração e gerenciamento para as 
equipes de segurança. 
A criptografia é um mecanismo de segurança mais eficaz atualmente, podendo 
ser entendido como a modificação de uma informação em outra,deixando-a ilegível 
para pessoas não autorizadas, para obter essas transformações na mensagem, faz-
se uso de algoritmos predefinidos e uma chave secreta, que codifica a mensagem em 
outra e depois é decodificada quando chega ao seu destino com a chave secreta, 
dessa maneira, procurar-se-á garantir a privacidade e a integridade, impossibilitando 
que terceiros possam ler a mensagem original ou mesmo alterá-la. 
 
3.5.1 Fases da Criptografia 
 
A criptografia, segundo Marçula&Benini Filho (2007), ocorre em fases, iniciando 
sua transformação antes da transmissão ao destinatário, recebendo uma chave para 
ser descaracterizada; na segunda fase, a mensagem é transmitida, caso seja 
interceptada não poderá ser decodificada, pois só será possível com a chave de 
criptografia e, por fim, na terceira fase, a mensagem já está no seu destino e para ler 
basta utilizar a chave da codificação. Vejamos o exemplo a seguir: 
O remetente deseja enviar a seguinte mensagem: BLADE RUNNER. 
32 
 
 
Primeiramente, será atribuído para cada letra um valor correspondente, sendo 
00 para espaço, 01 para a letra A, 02 para a letra B e assim, sucessivamente, para 
todas as letras. Dessa forma, tem-se: 
 
Figura 8: Exemplo 1 de criptografia 
 
 
Os valores são agrupados em conjunto de cinco letras e o final deve ser 
preenchido com espaços em branco: 
 
Figura 9: Exemplo 2do processo de criptografia 
 
 
 
Utilizar como chave também um conjunto de cinco números, que deverão ser 
somados a cada conjunto correspondente da mensagem que deve ser codificada. No 
exemplo, a chave é 10 08 04 11 02 e o resultado será: 
 
Figura 10: Exemplo 3 do processo de criptografia 
 
 
 
Com esse conjunto de valores obtidos a partir da soma, utiliza-se novamente a 
correspondência entre valores e letras. O resultado será: 
 
 
 
 
 
 
33 
 
 
Figura 11: Exemplo 4 do processo de criptografia 
 
 
 
A mensagem transmitida é LTEOGJZYYPOZDKB. 
Quando chegar ao destinatário que possui a mesma chave de criptografia 
utilizada para codificá-la, ele fará o mesmo processo mostrado anteriormente, com a 
diferença que, ao invés de somar os valores da chave, subtrairá os valores, restituindo 
a mensagem original. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONTEÚDO COMPLEMENTAR 
https://www.youtube.com/watch?v=JrVS7YsGw8w 
https://www.youtube.com/watch?v=ff0llG4atYs 
34 
 
 
REFERÊNCIAS 
 
MELO, Araujo Daniel. Segurança no Desenvolvimento. Disponível em: < 
http://www.softwarelivre.serpro.gov.br/recife/downloadplaestras/Apresentacao%20Se
guranca%20 Desenvolvimento.pdf> Acesso em: 06 set. 2019 
 
SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. Certificação Digital. 
Disponível em: < https://ccd.serpro.gov.br/egba/docs/perguntas.htm#0> Acesso em: 
21 jan.2020. 
 
SISP. Sistema de Administração dos Recursos de Tecnologia da Informação. Política 
de Segurança da Informação e da Comunicação. Disponível em: 
<http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=13971979> 
Acesso em: 15 ag. 2020. 
 
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de 
Janeiro: Campus.2003.