Livro-Texto Unidade IV (2)

Prévia do material em texto

179
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Unidade IV
7 TECNOLOGIA DE SEGURANÇA E ASPECTOS FÍSICOS E LÓGICOS
7.1 Criptografia e infraestrutura de chaves
A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias 
e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e 
não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura. Este 
capítulo discutirá o papel da criptografia, sua segurança e também a public key infraestructure (PKI) ou 
infraestrutura de chaves públicas.
Para entender um pouco como chegamos aos conceitos aplicados hoje em dia, vamos voltar 
ao passado e entender como tudo começou. Em aproximadamente 1900 a.C., escribas hebreus 
utilizaram um sistema de substituição do alfabeto, ou seja, de forma reversa. Esse método foi 
denominado de Atbash.
Dessa forma, chamamos essa técnica de cifras de substituição, ou seja, os caracteres da mensagem 
original são substituídos pelos caracteres da mensagem cifrada.
Tempos mais tarde, por volta de 100 e 44 a.C., Júlio Cesar, o imperador, utilizou um sistema chamado 
de Cifra de Cesar, que consiste em deslocar as letras do alfabeto em algumas posições. Por exemplo, 
utilizado a chave “3”, o alfabeto cifrado seria:
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Utilizando esta técnica para descrever a frase “BOM DIA” o resultado seria “ERP GLA”.
Até os dias de hoje, muita coisa aconteceu e os métodos de criptografia evoluíram cada vez mais, 
como com o surgimento de novos algoritmos, entre eles DES, 3 DES, Twofish, Blowfish.
Utilizando os mecanismos disponíveis hoje para o processo de criptografia, descrevemos a seguir um 
resumo dos serviços de segurança que a criptografia pode nos oferecer:
• Confidencialidade: protege o sigilo das informações contra acesso de terceiros não autorizados.
• Autenticação: verifica a identidade de um indivíduo ou um sistema.
• Autenticidade: serve para assegurar que a mensagem seja gerada por quem realmente alega ser.
180
Unidade IV
• Integridade: garante que as informações não sejam alteradas desde a sua geração.
• Não repúdio: impede que uma pessoa ou sistema negue sua responsabilidade sobre seus atos.
Para utilizar cada um desses serviços, diversas técnicas são empregadas, as quais serão detalhadas 
a seguir.
A criptografia simétrica pode ser definida, forma bastante simples, por dois elementos fundamentais: 
um algoritmo e uma chave que deve ser compartilhada entre os participantes na comunicação. A mesma 
chave é utilizada tanto para codificar como para decodificar as mensagens.
Quanto ao canal de transmissão dessas informações (chave e mensagens), toda a segurança desse 
sistema depende do sigilo da chave, que não pode ser transmitida no mesmo canal da mensagem. Para 
isso, são utilizados canais seguros para a troca das chaves, devido ao alto custo, e canais não tão seguros 
para a transmissão das mensagens.
Na figura a seguir demonstramos um exemplo simples de como funciona a criptografia simétrica.
Mensagem 
original
Mensagem 
original
Mensagem 
cifrada
Criptografia 
mensagem
Criptografia 
mensagem
Chave 
criptografia
Chave 
criptografia
Figura 53 – Criptografia simétrica
Com base nesses conceitos, dá para perceber que esse mecanismo tem algumas desvantagens 
aparentes, como escalabilidade na troca das chaves e garantia de não repúdio e falta de mecanismos 
seguros de autenticação. Como vantagens, podemos citar a baixa demanda de processamento e memória. 
Na tabela a seguir podemos ver alguns exemplos de algoritmos simétricos e suas particularidades.
Tabela 7 – Exemplos de algoritmos simétricos
Algoritmo Comprimento da chave Descritivo
DES 56 bits Primeiro padrão mundial
3DES 168 bits (efetivo de 112) Nova versão do DES
Blowfish Variável até 448 bits Alternativa ao DES
RC4 Variável de 40 a 256 bits Utilizado nos protocolos SSL, WEP e WPA
181
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
As funções de hash têm por objetivo macro garantir que a mensagem não seja alterada durante 
o caminho. Para isso, a mensagem a ser criptografada recebe uma chave simétrica que é utilizada 
para gerar o message autentication code (MAC). Esse processo é bastante complexo, pois são 
empregadas funções fáceis de calcular em uma direção e extremamente difícil na direção contrária.
Dessa forma, a chave empregada para gerar o MAC não pode ser a mesma a ser utilizada 
para criptografia da mensagem, ou seja, é necessário um canal seguro para a troca das chaves. 
Entretanto, para as chaves simétricas, será necessária a utilização de duas chaves, uma para 
criptografia das mensagens e outra para a geração do MAC. Com isso, quanto mais usuários utilizam 
esse mecanismo, mais chaves são necessárias, o que torna o processo de gestão extremamente 
complexo. Para resolver esse problema, surgiu o conceito de chaves assimétricas.
A criptografia assimétrica surgiu na década de 1970, com o conceito de chaves assimétricas, 
que tem em sua essência a utilização de duas chaves matematicamente relacionadas, sendo uma 
pública e outra privada, cujo objetivo principal do desenvolvimento foi o de resolver os problemas 
de troca segura de chaves e escalabilidade, encontrados nas cifras simétricas.
De forma básica, quando uma mensagem é codificada com uma chave pública, ela somente 
pode ser interpretada utilizando-se a chave privada, e vice-versa.
Tecnicamente, esse mecanismo parte do princípio de que a multiplicação de dois números 
primos é fácil, entretanto sua fatoração (processo inverso) para chegar aos os números iniciais é 
um problema ainda muito difícil de ser resolvido. Um exemplo de aplicação dessa metodologia é o 
algoritmo RSA, proposto por Rivest, Shamir e Adleman em 1977.
Utiliza a chave 
privada de A 
para decodificar 
o texto
Criptografa o 
texto utilizando 
a chave 
publicada de A
Chave pública 
usuário A
Chave pública 
usuário A
Internet
Mensagem 
cifrada
Mensagem 
original
Figura 54 – Criptografia assimétrica
182
Unidade IV
Até os dias de hoje, a grande complexidade desses problemas, além do tamanho das chaves utilizadas, 
garante o sucesso do algoritmo; entretanto, devido à quantidade de cálculos processados, o modelo 
exige uma grande capacidade de processamento.
Para resolver problemas de verificação de autenticidade de uma mensagem, os sistemas de chaves 
públicas utilizam as chamadas assinaturas digitais, que funcionam da seguinte forma:
• o remetente gera um hash da mensagem a ser envidada;
• codifica com sua chave privada, gerando uma assinatura digital;
• adiciona a mensagem, que é cifrada com a chave pública do destinatário.
Dessa forma, se o hash da assinatura for igual ao gerado a partir da mensagem recebida, a assinatura 
é confirmada e a mensagem é autêntica e está íntegra.
Com base nesses conceitos, podemos perceber que tanto os algoritmos simétricos como os 
assimétricos possuem vantagens e desvantagens. Para uma melhor visualização desse conteúdo, 
descrevemos a seguir um quadro comparando os dois modelos:
Quadro 28 – Comparativo entre criptografia assimétrica x simétrica
Sistema Criptografia assimétrica Criptografia simétrica
Vantagens
Chaves podem ser negociadas 
através de um canal inseguro Velocidade
Maior escalabilidade
Elevado nível de segurançaUtilizada em outros serviços, 
como assinatura digital
Desvantagens
Lentidão A troca das chaves deve ocorrer em um canal seguro
Necessita de uma chave maior 
para obter segurança
Baixa escalabilidade
Não proporciona outros serviços
Para um melhor aproveitamento dessas tecnologias, alguns produtos utilizam uma abordagem 
mista, conhecida como criptografia híbrida, aproveitando a vantagem de cada sistema.
Nesse modelo, a mensagem seria codificada através da criptografia simétrica, com uma chave 
gerada de forma pseudo-randômica, de modo que sua transmissão ocorra através de algoritmos 
assimétricos. Um exemplo disso é o protocolo SSL, em que uma das partes (cliente) gera uma 
chave simétrica,codifica essa chave com uma chave pública do servidor; quando essa chave é 
recepcionada, o servidor abre utilizando um algoritmo simétrico, para criptografar as mensagens 
em si. Nesse exemplo, é utilizado o desempenho da criptografia simétrica e a segurança na troca 
das chaves através da criptografia assimétrica.
183
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Lembrete
O uso da criptografia ainda é o principal mecanismo para a segurança 
da informação, pois pode de uma só vez proteger as informações sob a ótica 
de sua confidencialidade e integridade, garantindo a proteção necessária 
para os mais diversos canais de comunicação e sistemas.
7.2 Certificados digitais
Os certificados digitais, por sua vez, os sistemas de chaves públicas e seus conceitos resolveram uma 
série de problemas e a utilização de sistemas híbridos também; entretanto ficou uma pergunta: como é 
possível garantir a propriedade de uma chave pública em todos esses processos? Para isso, é necessário 
que nesses processos exista uma entidade terceira, com a responsabilidade de verificar a identidade do 
proprietário de uma chave pública, assinando digitalmente sua comprovação. Assim, foram criadas as 
autoridades certificadoras (ACs), cujo objetivo é atestar a propriedade de sua chave pública; na troca de 
informações, cada uma das partes solicita seus respectivos certificados digitais para as ACs. Entretanto, 
esse modelo não seria viável por causa de diferenças de localização e da quantidade de solicitações para 
uma única AC.
Esta demanda foi resolvida com o relacionamento entre as ACs, que podemos dividir basicamente 
em três formatos:
• hierárquico: uma AC raiz tem a função de assinar o certificado de outras ACs, sendo que essas ACs 
podem ter outras ACs subordinadas e assim por diante;
• certificação cruzada: a AC raiz de uma cadeia assina o certificado de outra AC raiz de uma 
nova cadeia;
• híbrido: são utilizados os dois conceitos. Por exemplo, se a AC raiz “x” assina o certificado da AC 
raiz “y”, consequentemente todas as ACs abaixo dessas cadeias confiam entre si.
Embora as ACs tenham diversos problemas resolvidos quanto à comprovação da identidade do 
responsável por uma chave pública, algumas questões de gestão dos certificados ainda necessitam 
ser tratadas.
Para isso a estrutura chamada de infraestrutura de chaves públicas (ICP), a qual deve combinar a 
utilização de software, hardware, protocolos, padrões e processos para fornecer seus serviços. Uma ICP 
é um conjunto de tecnologias e processos desenhados para prover diversos serviços de segurança.
Uma ICP tem, entre seus componentes básicos, usuários, aplicações, as ACs, certificados digitais, 
além das autoridades registradoras (ARs) e diretórios/repositórios de dados.
184
Unidade IV
As autoridades registradoras têm por objetivo interagir com o usuário e repassar as solicitações de, 
por exemplo, emissão ou renovação de certificados digitais, para o processamento das ACs, garantindo 
assim a proteção das ACs contra ações externas.
Quanto aos diretórios/repositórios de dados, estes fornecem um local de fácil acesso para terceiros 
acessarem os certificados emitidos pelas ACs.
 Saiba mais
Para mais informações sobre a estrutura da ICP Brasil, acesse o site do 
Instituto Nacional de Tecnologia da Informação:
Disponível em: https://bit.ly/3g21WF7. Acesso em: 1º jun. 2021.
Há a legislação sobre a infraestrutura de chaves públicas, além da tecnologia e das políticas e 
processos estabelecidos para garantir segurança; como último elemento nesse processo, podemos 
destacar a legislação cujo objetivo é validar legalmente os mecanismos criptográficos utilizados. 
Confidencialidade, autenticidade e o não repúdio são os principais serviços oferecidos pela criptografia, 
em que a assinatura digital e os certificados digitais possibilitam a criação de leis que reconheçam esses 
registros. Diante disso, em agosto de 2001, foi editada a Medida Provisória n. 2.200-2, quando foi criada a 
ICP-Brasil, dando validade a documentos assinados digitalmente. A ICP-Brasil tem por objetivo “garantir 
a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações 
de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de 
transações eletrônicas seguras” (BRASIL, 2001).
A Medida Provisória também instituiu a formação de um comitê gestor da ICP-Brasil, cuja missão é 
“adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil” (BRASIL, 
2001). Também foi instituída a AC raiz, como primeira entidade da cadeia de certificação da ICP-Brasil, 
além das ACs e ARs, em conformidade com as normas do comitê gestor.
A segurança e ataques criptográficos e a avaliação da segurança de algoritmos estão na facilidade 
ou não com que uma pessoa consegue decifrar as mensagens. Além dos ataques de força bruta, forma 
mais simples de ataque a algoritmos, porém menos eficiente e, às vezes, impossível de ser implementada, 
devido ao tamanho das chaves, existem outras técnicas que podem ser utilizadas pelos criptoanalistas, 
as quais descrevemos a seguir:
• Ciphertext only attack (COA): o foco é o comprometimento da confidencialidade das informações. 
Nesse tipo de ataque, o criptoanalista tem acesso apenas a uma ou mais mensagens codificadas 
e seu objetivo é descobrir as mensagens originais.
• Ataque de know plaintext attack (KPA): o criptoanalista tem acesso ao texto cifrado e ao texto 
plano que o originou. Utilizando essas informações tenta obter a chave em uso.
185
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Choose plaintext attack (CPA): o adversário é capaz de escolher o texto plano que será cifrado.
• Adaptative choosen plaintext attack (ACPA): são enviados diversos pequenos blocos de dados, 
que são adaptados conforme o criptoanalista coleta as informações. Seu objetivo é descobrir a 
chave em uso.
Todos os sistemas criptográficos possuem níveis diferentes de segurança, dependendo da facilidade 
ou dificuldade com que são quebrados.
A segurança de um criptosistema não deve ser baseada nos algoritmos que cifram as mensagens, 
mas sim no tamanho das chaves usadas. Podemos dizer que um algoritmo é considerado forte quando é 
praticamente impossível quebrá-lo em um determinado espaço de tempo em que as informações ainda 
sejam relevantes e possam ser utilizadas por pessoas não autorizadas.
Geralmente, a maneira mais fácil de determinar se um algoritmo é considerado forte é publicando 
sua descrição, fazendo com que várias pessoas possam testar e avaliar sua eficiência. Programas que 
usam algoritmos proprietários não divulgam sua especificação. Geralmente isso acontece porque a 
simples divulgação do método revelará também seus pontos fracos.
7.3 Vulnerabilidades, ameaças e mecanismos de proteção
Quando uma organização se depara com os recursos tecnológicos para proteção dos ativos de 
informação, ela está preocupada em defender três ativos de informação em especial: seus dados, seus 
recursos e sua reputação diante dos clientes e do mercado.
Para que uma organização consiga uma melhor eficácia na utilização dos recursos tecnológicos 
para a proteção à segurança da informação, alguns itens como vulnerabilidades, ameaças, possíveis 
formas de ataque, quem são os atacantes e principalmente como se proteger devem estar bem 
definidos na mente dos profissionais de segurança da informação e dos profissionais de TI.
A vulnerabilidade pode ser definida como uma falha no projeto, implementação em um software 
ou sistema operacional. Quando explorada por um atacante, desencadeia a violação da segurança de 
um computador.
Existem casos em que um software ou sistema operacional instalado em um computador pode 
conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um 
atacante conectado à internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao 
computador vulnerável.
Segundo o Centro de Estudos, Resposta e Tratamentode Incidentes de Segurança no Brasil 
(Cert.br), 95% das invasões são resultado de vulnerabilidades conhecidas ou erros de configuração. 
A grande maioria das vulnerabilidades pode ser facilmente prevenida se devidamente conhecida.
186
Unidade IV
Por sua vez, as ameaças sempre vão existir. Ao contrário das vulnerabilidades, que podem ser sanadas 
ou protegidas, as ameaças ficam à espreita, à espera de uma vulnerabilidade, para assim concretizar o 
ataque e muito possivelmente causar danos. As ameaças podem ser divididas em: vírus, worm, backdoor, 
cavalo de Troia, phishing, spyware, negação de serviço (denial of service – DoS), distributed denial of 
service (DDoS), engenharia social, boatos (hoaxes) e spam.
O vírus é um programa capaz de infectar outros programas e arquivos de um computador. Para 
realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo, que, quando 
executado, também executa o vírus, dando continuidade ao processo de infecção.
Um vírus pode afetar um computador normalmente assumindo o controle total sobre este, podendo 
fazer de tudo, desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas e 
arquivos do disco.
Para que exista a infecção por um vírus de computador é preciso que de alguma maneira um 
programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, entre elas: abrir 
arquivos anexados aos e-mails; abrir arquivos do Word, Excel, entre outros; abrir arquivos armazenados 
em outros computadores, através do compartilhamento de recursos; instalar programas de procedência 
duvidosa ou desconhecida, obtidos pela internet, por pen drives ou por CD-ROM.
E possível a infecção por um vírus sem que o usuário a perceba. A maioria dos vírus procura permanecer 
oculta, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do 
usuário. Ainda existem outros tipos que permanecem inativos durante certos períodos, entrando em 
atividade em datas específicas ou quando acionados por seus programadores (redes zumbis).
Uma ferramenta de grande capacidade para propagação de vírus são os e-mails, aos quais 
normalmente é anexado um arquivo. O conteúdo da mensagem procura induzir o usuário a clicar sobre 
o arquivo anexado, fazendo com que o vírus seja executado. Quando esse tipo de vírus entra em ação, 
além de infectar arquivos e programas, envia cópias de si mesmo para todos os contatos encontrados 
nas listas de endereços de e-mail armazenadas no computador. É importante ressaltar que esse tipo 
específico de vírus não é capaz de se propagar automaticamente. O usuário precisa executar o arquivo 
anexado que contém o vírus ou o programa de e-mail precisa estar configurado para autoexecutar 
arquivos anexados.
Outra forma de infecção pode ocorrer pelo vírus de macro. Macro é um conjunto de comandos 
armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um 
exemplo seria um editor de textos que vise a definir uma macro com a sequência de passos necessários 
para imprimir um documento com a orientação de retrato e utilize a escala de cores em tons de cinza. 
Um vírus de macro é escrito de forma a explorar essa facilidade de automatização e é parte de um 
arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus possa 
ser executado, o arquivo que o contém precisa ser aberto e, a partir daí, o vírus pode executar uma série 
de comandos automaticamente e infectar outros arquivos no computador.
187
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o 
aplicativo é executado. Caso esse arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo 
for executado, o vírus também será.
Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access são os mais 
suscetíveis a esse tipo de vírus. Arquivos nos formatos RTF, PDF são menos suscetíveis, o que não significa 
que não possam conter vírus.
O worm (verme) é um programa capaz de se propagar automaticamente através de redes, enviando 
cópias de si mesmo de computador para computador. Diferentemente do vírus, o worm não necessita 
ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de 
vulnerabilidades existentes ou de falhas na configuração de softwares instalados em computadores.
Geralmente o worm não tem como consequência os mesmos danos gerados por um vírus, como a 
infecção de programas e arquivos ou a destruição de informações. Isto não quer dizer que não represente 
uma ameaça à segurança de um computador ou que não cause qualquer tipo de dano.
Worms são notadamente responsáveis por consumir muitos recursos, degradam sensivelmente o 
desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de 
cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles 
que estão recebendo tais cópias.
Há também outro tipo de ameaça, que ocorre quando um atacante procura garantir uma forma de 
retornar a um computador comprometido sem precisar recorrer aos métodos utilizados na realização da 
invasão. Na maioria dos casos, a intenção do atacante é poder retornar ao computador comprometido 
sem ser notado.
A esses programas de retorno a um computador comprometido, utilizando-se serviços criados ou 
modificados para esse fim, dá-se o nome de backdoor.
A forma usual de inclusão de um backdoor consiste na adição de um novo serviço ou substituição 
de um determinado serviço por uma versão alterada, normalmente incluindo recursos que permitam 
acesso remoto (através da internet). Há também outras formas de inclusão, como por meio de pacotes 
de software, tais como o Back Office e NetBus, da plataforma Windows, conhecidos por disponibilizarem 
backdoors nos computadores onde são instalados.
 Observação
O Back Office é um programa desenvolvido pela Microsoft para a 
plataforma Windows que permite o acesso remoto entre estações de 
trabalho, os crackers utilizam essa funcionalidade para atacar as estações e 
obter acesso. Já o NetBus é um sistema de administração remoto similar ao 
Back Office para outras plataformas.
188
Unidade IV
A existência de um backdoor não depende necessariamente de uma invasão, como a instalação 
de um vírus através de um cavalo de Troia ou sua inclusão como consequência da instalação e má 
configuração de um programa de administração remota.
Alguns fabricantes incluem backdoors em seus produtos (softwares, sistemas operacionais), alegando 
necessidades administrativas. É importante ressaltar que esses casos constituem uma séria ameaça à 
segurança de um computador que contenha um desses produtos instalados, mesmo que backdoors 
sejam incluídos por fabricantes conhecidos.
Todos os sistemas operacionais podem ter backdoors inclusos, isso não é restrito a alguns 
sistemas operacionais.
Conta a mitologia grega que o “cavalo de Troia” foi uma grande estátua utilizada como instrumento 
de guerra pelos gregos para terem acesso à cidade de Troia. A estátua do cavalo foi recheada com 
soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a 
dominação de Troia. Daí surgiu os termos “presente de grego” e “cavalo de Troia”.
Para a TI, um cavalo de Troia (Trojan horse) é um programa que, além de executar funções para as 
quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem 
o conhecimento do usuário. Algumas das funções maliciosas executadas por um cavalo de Troia são: 
alteração ou destruição de arquivos; furto de senhas e outras informações sensíveis, como números 
de cartões de crédito; inclusão de backdoors para permitir que um atacante tenha total controle sobre 
o computador.
É possível diferenciar um cavalo de Troia de um vírus ou worm, pois ele se distingue de vírus e worm por 
não se replicar, infectar outros arquivos ou propagarcópias de si mesmo automaticamente. Normalmente 
um cavalo de Troia consiste em um único arquivo que necessita ser explicitamente executado.
Podem existir casos em que um cavalo de Troia contenha um vírus ou worm. Mas mesmo nesses 
casos é possível distinguir as ações realizadas como consequência da execução do cavalo de Troia 
propriamente dito daquelas relacionadas ao comportamento de um vírus ou worm.
Para que seja instalado, é necessário que o cavalo de Troia seja executado para que ele se instale em 
um computador. Geralmente um cavalo de Troia vem anexado a um e-mail ou está disponível em algum 
site na internet.
É importante ressaltar que existem programas de e-mail que podem estar configurados para executar 
automaticamente arquivos anexados às mensagens. Nesse caso, a simples leitura de uma mensagem é 
suficiente para que qualquer arquivo (executável) anexado seja executado.
Os exemplos mais comuns de cavalos de Troia são programas recebidos ou acessados através de um 
site, fazendo-se passar por jogos ou protetores de tela.
189
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Spyware é um software malicioso que uma vez instalado no computador, monitora as atividades de 
seus usuários, coletando informações (senhas, logins, documentos) e os enviando para terceiros.
Phishing é um golpe pelo qual o fraudador envia mensagens em nome de instituições oficiais com 
o objetivo induzir o acesso a páginas falsas. Para tanto, são utilizadas imagens, textos e links reais para 
instalar um programa que tenta furtar dados pessoais e financeiros de usuários ou induzir a vítima a 
fornecer seus dados pessoais como número de cartão de crédito, senhas de acesso e outros.
Nos ataques de negação de serviço (denial of service – DoS), o atacante utiliza um computador para 
tirar de operação um serviço ou computador conectado à internet para gerar uma grande sobrecarga no 
processamento de dados de um computador, de modo que o usuário não consiga utilizá-lo. Exemplos 
desse tipo de ataque são: ações para gerar um grande tráfego de dados para uma rede, ocupando toda 
a banda disponível, de modo que qualquer computador dessa rede fique indisponível; tirar serviços 
importantes de um provedor do ar, impossibilitando o acesso dos usuários às suas caixas de correio no 
servidor de e-mail ou ao servidor web.
O distributed denial of service (DDoS) constitui um ataque de negação de serviço distribuído, ou seja, 
um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores 
conectados à internet.
Normalmente esses ataques procuram ocupar toda a banda disponível para o acesso a um 
computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação 
com o computador ou rede.
Se uma rede ou computador sofrer um DoS, não significa que houve uma invasão, o objetivo de tais 
ataques é indisponibilizar o uso de um ou mais computadores, e não a invasão. É importante notar que, 
principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os 
ataques de negação de serviços.
Engenharia social é o termo utilizado para descrever um método de ataque, em que alguém faz uso 
da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações 
que podem ser utilizadas para o acesso não autorizado a computadores ou informações.
Temos como exemplo desse ataque quando algum desconhecido liga para a empresa e diz ser da 
equipe de suporte técnico da rede. Nessa ligação, ele diz que seu login está com problemas e ele precisa 
do seu usuário e senha para resolver e efetuar os devidos testes. Caso o usuário entregue a senha, esse 
suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a conta de acesso do 
usuário e o relacionando a tais atividades.
Boatos (hoaxes) são e-mails com conteúdos alarmantes ou falsos e que geralmente têm como 
remetente ou apontam como autor da mensagem alguma instituição, empresa importante ou órgão 
governamental. Através de uma leitura minuciosa desse tipo de e-mail, normalmente é possível 
identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido. Entre os diversos boatos 
típicos, que chegam às caixas postais de usuários conectados à internet, podemos citar: correntes ou 
190
Unidade IV
pirâmides, pessoas ou crianças que estão prestes a morrer de câncer, a República Federativa de algum 
país oferecendo elevadas quantias em dinheiro e pedindo a confirmação do usuário ou, até mesmo, 
solicitando algum dinheiro para efetuar a transferência.
Histórias desse tipo são criadas não só para espalhar desinformação pela internet, mas também para 
outros fins maliciosos.
Normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela internet 
e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por 
grandes problemas de segurança, a não ser ocupar espaço nas caixas de e-mails de usuários.
Mas podem existir casos com consequências mais sérias, como um boato que procura induzir usuários 
de internet a fornecer informações importantes (como números de documentos, de conta-corrente em 
banco ou de cartões de crédito), ou um boato que indica uma série de ações a serem realizadas pelos 
usuários e que, se forem realmente efetivadas, podem resultar em danos mais sérios (como instruções 
para apagar um arquivo que supostamente contém um vírus, mas que na verdade é parte importante 
do sistema operacional instalado no computador).
Além disso, e-mails de boatos podem conter vírus ou cavalos de Troia anexados, é importante 
ressaltar que um boato também pode comprometer a credibilidade e a reputação tanto da pessoa ou 
entidade referenciada como suposta criadora do boato quanto daqueles que o repassam.
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isso 
ocorre, muitas vezes, porque aqueles que o recebem confiam no remetente da mensagem, não verificam 
a procedência da mensagem, não checam a veracidade do conteúdo da mensagem.
Para que seja evitada a distribuição de boatos é muito importante checar a procedência dos e-mails, 
e, mesmo que tenham como remetente alguém conhecido, é preciso certificar-se de que a mensagem 
não é um boato.
Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para 
um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem 
também é referenciado como UCE (do inglês unsolicited commercial email).
Os usuários do serviço de correio eletrônico podem ser afetados de diversas formas. Alguns 
exemplos são:
• Não recebimento de e-mails. Boa parte dos provedores de internet limita o tamanho da caixa 
postal do usuário no seu servidor. Caso o número de spams recebidos seja muito grande, o usuário 
corre o risco de ter sua caixa postal lotada com mensagens não solicitadas. Se isso ocorrer, todas 
as mensagens enviadas a partir desse momento serão devolvidas ao remetente e o usuário não 
conseguirá mais receber e-mails até que possa liberar espaço em sua caixa postal.
191
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Gasto desnecessário de tempo. Para cada spam recebido, o usuário necessita gastar um 
determinado tempo para ler, identificar o e-mail como spam e removê-lo da caixa postal.
• Aumento de custos. Independentemente do tipo de acesso à internet, quem paga a conta pelo 
envio do spam é quem o recebe. Por exemplo, para um usuário que utiliza acesso discado à 
internet, cada spam representa alguns segundos a mais de ligação a serem pagas por ele.
• Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento 
de spams aumenta o tempo dedicado à tarefa de leitura de e-mails, além de existir a chance de 
mensagens importantes não serem lidas, serem lidas com atraso ou apagadas por engano.
• Conteúdo impróprio. Como a maior parte dos spams é enviada para conjuntos aleatórios de 
endereços de e-mail, não hácomo prever se uma mensagem com conteúdo impróprio será 
recebida. Os casos mais comuns são de spams com conteúdo pornográfico ou de pedofilia enviados 
para crianças.
Para as empresas e provedores, os problemas são inúmeros e, muitas vezes, o custo adicional causado 
pelo spam é transferido para a conta a ser paga pelos usuários. Alguns dos problemas sentidos pelos 
provedores e empresas são:
• Impacto na banda. Para as empresas e provedores o volume de tráfego gerado por causa de spams 
os obriga a aumentar a capacidade de seus links de conexão com a internet. Como o custo dos links 
é alto, os lucros do provedor são reduzidos e muitas vezes os custos para o usuário aumentam.
• Má utilização dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de 
processamento para tratar das mensagens não solicitadas. Além disso, o espaço em disco ocupado 
por mensagens não solicitadas enviadas para um grande número de usuários é considerável.
• Perda de clientes. Os provedores muitas vezes perdem clientes que se sentem afetados pelos 
spams que recebem ou pelo fato de terem seus e-mails filtrados por causa de outros clientes que 
estão enviando spam.
• Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo spam, 
os provedores necessitam contratar mais técnicos especializados e acrescentar sistemas de 
filtragem de spam, que implicam a compra de novos equipamentos. Como consequência os custos 
do provedor aumentam.
Existem basicamente dois tipos de software que podem ser utilizados para barrar spams: aqueles 
que são colocados nos servidores e que filtram os e-mails antes que cheguem até o usuário; 
aqueles que são instalados nos computadores dos usuários, que filtram os e-mails com base em regras 
individuais de cada usuário.
Em resumo um spam pode ser evitado da seguinte forma: considerar a utilização de um software 
de filtragem de e-mails, verificar com seu provedor ou com o administrador da rede se é utilizado 
192
Unidade IV
algum software de filtragem no servidor de e-mails, evitar responder a um spam ou enviar um e-mail 
solicitando a remoção da lista.
As pesquisas demonstram que, se adotados mecanismos corretos, a possibilidade de evitar que as 
vulnerabilidades sejam exploradas pelas ameaças aumentam consideravelmente.
A identificação da presença de um vírus na rede ou em um computador se dá através dos programas 
antivírus. É importante ressaltar que o antivírus deve ser sempre atualizado, caso contrário poderá não 
detectar os vírus mais recentes.
Algumas das medidas de prevenção contra a infecção por vírus são: instalar e manter atualizado 
um bom programa antivírus; desabilitar no seu programa de e-mail a autoexecução de arquivos 
anexados às mensagens; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de 
pessoas conhecidas, caso seja inevitável, certifique-se de que o arquivo foi verificado pelo programa 
antivírus; não abrir arquivos ou executar programas de procedência duvidosa ou desconhecida, mesmo 
que você conheça a procedência e queira abrir ou executá-los, certifique-se de que foram verificados 
pelo programa antivírus; procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis 
à propagação de vírus, tais como RTF, PDF; procurar não utilizar, no caso de arquivos comprimidos, o 
formato executável, utilize o próprio formato compactado, como ZIP ou GZ.
A presença de um cavalo de Troia em um equipamento ou rede também pode ser detectada com a 
utilização de um bom programa antivírus (desde que seja atualizado frequentemente). Normalmente 
o antivírus possibilita a detecção de programas instalados pelos cavalos de Troia, mas é importante 
lembrar que nem sempre o antivírus será capaz de detectar ou remover os programas deixados por um 
cavalo de Troia, principalmente se esses programas forem mais recentes que a sua versão.
As principais medidas preventivas contra a instalação de cavalos de Troia são semelhantes às medidas 
contra a infecção por vírus.
Outra medida preventiva é utilizar um firewall pessoal nas estações de trabalho. Alguns firewalls 
podem bloquear o recebimento de cavalos de Troia.
Em resumo algumas atitudes podem evitar que o equipamento ou a rede sejam infectados por 
cavalos de Troia que são basicamente as mesmas contra os vírus: instalar e manter atualizado um 
bom programa antivírus; desabilitar no seu programa de e-mail a autoexecução de arquivos anexados 
às mensagens; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas 
conhecidas, quando for inevitável, certifique-se de que o arquivo foi verificado pelo programa antivírus; 
não abrir arquivos ou executar programas de procedência duvidosa ou desconhecida e, mesmo que 
você conheça a procedência e queira abrir ou executá-los, certifique-se de que foram verificados pelo 
programa antivírus; procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis à 
propagação de vírus, tais como RTF, PDF ou OS; procurar não utilizar, no caso de arquivos comprimidos, 
o formato executável, utilize o próprio formato compactado, como ZIP ou GZ; procurar instalar um 
firewall pessoal, que em alguns casos pode bloquear o recebimento de um cavalo de Troia.
193
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Os antivírus são programas que procuram detectar e, então, anular ou remover os vírus de computador. 
Atualmente, novas funcionalidades têm sido adicionadas aos programas antivírus, de modo que alguns 
procuram detectar e remover cavalos de Troia, barrar programas hostis e verificar e-mails.
Diante das funcionalidades de um bom programa, podem ser destacados: a identificação e eliminação 
da maior quantidade possível de vírus; a análise de arquivos que obtidos pela internet; a verificação 
contínua dos discos rígidos (HDs), pen drives e CDs de forma transparente ao usuário; a procura 
por vírus e cavalos de Troia em arquivos anexados aos e-mails. Uma dica útil é criar, sempre que 
possível, um pen drive ou CD de verificação (disco de boot) que possa ser utilizado caso o vírus 
desative o antivírus que está instalado no computador e atualizar a lista de vírus conhecidos, pela 
rede, de preferência diariamente.
Alguns antivírus, além das funcionalidades citadas anteriormente, permitem verificar e-mails 
enviados, podendo detectar e barrar a propagação por e-mail de vírus e worms.
O bom uso de um antivírus compreende: mantê-lo sempre atualizado; configurá-lo para verificar 
automaticamente arquivos anexados aos e-mails e arquivos obtidos pela internet; configurá-lo para 
verificar automaticamente mídias removíveis (CDs, pen drives, discos para Zip etc.); configurá-lo 
para verificar todo e qualquer formato de arquivo (qualquer tipo de extensão de arquivo); se for 
possível, criar o pen drive ou CD de verificação (disco de boot) e utilizá-lo esporadicamente ou quando 
seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o 
disco rígido fora de hora etc.), algumas versões de antivírus são gratuitas para uso pessoal e podem 
ser obtidas pela internet. Antes de obter um antivírus pela internet, verifique sua procedência e 
certifique-se de que o fabricante é confiável.
Um software antivírus não é capaz de impedir que um atacante tente explorar alguma vulnerabilidade 
existente em um computador. Também não é capaz de evitar o acesso não autorizado a um backdoor 
instalado em um computador.
A vulnerabilidade em softwares pode representar um risco à segurança da informação. Nesse caso, 
a busca por informação é recomendada. Existem sites na internet que mantêm listas atualizadas de 
vulnerabilidades em softwares e sistemas operacionais.
 Saiba mais
Conheça alguns dos sites que mantêm listas atualizadas de 
vulnerabilidades em softwares e sistemas operacionais:
Disponível em: https://bit.ly/3g6s8ie. Acesso em: 1º jun. 2021.
Disponível em: https://bit.ly/3c9AnbZ. Acesso em: 1º jun. 2021.
194
Unidade IV
Além disso, fabricantes também costumam manter páginasna internet com considerações a 
respeito de possíveis vulnerabilidades em seus softwares. Portanto, a ideia é estar sempre atento aos 
sites especializados em acompanhar vulnerabilidades, aos sites dos fabricantes, às revistas especializadas 
e aos cadernos de informática dos jornais, para verificar a existência de vulnerabilidades no sistema 
operacional e nos softwares instalados.
A melhor forma de evitar que o sistema operacional e os softwares instalados em um computador 
possuam vulnerabilidades é mantê-los sempre atualizados. Entretanto, fabricantes em muitos casos 
não disponibilizam novas versões de seus softwares quando é descoberta alguma vulnerabilidade, mas 
sim correções específicas (patches). Estes patches, em alguns casos também chamados de hot fixes ou 
de service packs, têm por finalidade corrigir os problemas de segurança referentes às vulnerabilidades 
descobertas. Portanto, é extremamente importante que você, além de manter o sistema operacional e 
os softwares sempre atualizados, instale os patches sempre que forem disponibilizados.
Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas vezes os worms 
realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. 
Embora alguns programas antivírus permitam detectar a presença de worms e até mesmo evitar que 
eles se propaguem, isso nem sempre é possível. Portanto, o melhor é evitar que os computadores sejam 
utilizados para propagá-los.
Para protegê-lo dessa ameaça, além de utilizar um bom antivírus, que permita detectar e até mesmo 
evitar a propagação de um worm, é importante que o sistema operacional e os softwares instalados em 
seu computador não possuam vulnerabilidades.
Normalmente um worm procura explorar alguma vulnerabilidade disponível em um computador, 
para que possa se propagar. Portanto, as medidas preventivas mais importantes são aquelas que 
procuram evitar a existência de vulnerabilidades.
Outra medida preventiva é ter instalado e configurado nos computadores um firewall pessoal. Se 
bem configurado, o firewall pessoal pode evitar que um worm explore uma possível vulnerabilidade em 
algum serviço disponível nos computadores ou, em alguns casos, mesmo que o worm já esteja instalado 
no computador, pode evitar que explore vulnerabilidades em outros computadores.
Em resumo, para que os worms sejam evitados é necessário: instalar e manter atualizado um bom 
programa antivírus; manter o sistema operacional e demais softwares sempre atualizados; corrigir 
eventuais vulnerabilidades existentes nos softwares utilizados; procurar instalar um firewall pessoal, 
que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que o worm 
se propague.
Embora os programas antivírus não sejam capazes de descobrir backdoors em um computador, as 
medidas preventivas contra a infecção por vírus são válidas para se evitar algumas formas de instalação 
de backdoors.
195
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A ideia é que não sejam executados programas de procedência duvidosa ou desconhecida, sejam 
eles recebidos por e-mail, sejam obtidos na internet. A execução de tais programas pode resultar na 
instalação de um backdoor.
Caso seja necessária a utilização de algum programa de administração remota, certifique-se de 
que ele esteja bem configurado, de modo a evitar que seja utilizado como um backdoor. Outra medida 
preventiva consiste na utilização de um firewall pessoal. Apesar de não eliminarem os backdoors, se 
bem configurados, podem ser úteis para amenizar o problema, pois podem barrar as conexões entre os 
invasores e os backdoors instalados em um computador. Também é importante visitar constantemente 
os sites dos fabricantes de softwares e verificar a existência de novas versões ou patches para o sistema 
operacional ou softwares instalados em seu computador.
Existem casos em que a disponibilização de uma nova versão ou de um patch está associada à 
descoberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um 
computador, de maneira similar ao acesso aos backdoors.
Em resumo, para que seja evitado os backdoors, devem ser seguidas as seguintes recomendações: 
seguir as recomendações para prevenção contra infecção por vírus; não executar ou abrir arquivos 
recebidos por e-mail, mesmo que venham de pessoas conhecidas; não executar programas de procedência 
duvidosa ou desconhecida; procurar instalar um firewall pessoal, que em alguns casos pode evitar o 
acesso a um backdoor já instalado no computador, para corrigir eventuais vulnerabilidades existentes 
nos softwares utilizados.
Grande parte dos problemas de segurança envolvendo e-mails está relacionada ao conteúdo das 
mensagens, que normalmente abusam das técnicas de engenharia social ou de características de 
determinados programas de e-mail que permitem abrir arquivos ou executar programas anexados às 
mensagens automaticamente.
Algumas dicas de configuração para melhorar a segurança do programa de e-mail são: desligar 
as operações que permitem abrir ou executar automaticamente arquivos ou programas anexados às 
mensagens; desligar as operações de execução do JavaScript e de programas Java; desligar, se possível, 
o modo de visualização de e-mails no formato HTML. Essas configurações podem evitar que o seu 
programa de e-mail propague automaticamente vírus e cavalos de Troia. Existem programas de e-mail 
que não implementam tais funções e, portanto, não possuem essas operações.
Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails são: manter 
sempre a versão mais atualizada do seu programa de e-mail; evitar abrir arquivos ou executar programas 
anexados aos e-mails sem antes verificá-los com um antivírus; desconfiar sempre dos arquivos anexados 
à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas – o endereço 
do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vírus ou um cavalo de 
Troia –; fazer o download de programas diretamente do site do fabricante; desconfiar de e-mails pedindo 
urgência na instalação de algum aplicativo ou correções de determinados defeitos dos softwares que 
você utilize, caso isso ocorra, entre em contato com os distribuidores desses softwares para se certificar 
sobre a veracidade do fato.
196
Unidade IV
Existem diversos riscos envolvidos na utilização de um browser. Entre eles, pode-se citar: execução de 
JavaScript ou de programas Java hostis; execução de programas ou controles ActiveX hostis; obtenção e 
execução de programas hostis em sites não confiáveis; realização de transações comerciais ou bancárias 
via web, sem qualquer mecanismo de segurança.
 Observação
Browser é nome que se dá aos programas que fazem a interação do 
usuário com a internet. Os mais conhecidos são: Internet Explorer, Mozila, 
Firefox, Chrome.
Java é uma linguagem orientada a objetos muito utilizada em 
navegadores web.
Normalmente os browsers contêm módulos específicos para processar programas Java. Apesar de 
esses módulos fornecerem mecanismos de segurança, podem conter falhas de implementação e, nesse 
caso, permitir que um programa Java hostil cause alguma violação de segurança em um computador.
O JavaScript é bem mais utilizado em páginas web do que os programas Java e, de modo geral, 
constitui uma versão bem “enxuta” do Java. É importante ressaltar que isso não quer dizer que não 
existam riscos associados à sua execução. Um JavaScript hostil também pode acarretar a violação da 
segurança de um computador.
Antes de receber um programa ActiveX, o seu browser verifica sua procedência através de um 
esquema de certificados digitais. Se você optar por aceitar o certificado, o programa é executado em 
seu computador.
Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer 
pela internet até instalar programas (que podem ter fins maliciosos) nos computadores.
Muitos sites, ao serem acessados,utilizam cookies para manter informações, como as preferências de 
um usuário. Essas informações, muitas vezes, são compartilhadas entre diversas entidades na internet e 
podem afetar a privacidade do usuário.
Normalmente as transações, sejam comerciais, sejam bancárias, envolvem informações sensíveis, 
como senhas ou números de cartões de crédito. Portanto, é muito importante que você, ao realizar 
transações via Web, certifique-se da procedência dos sites, se esses sites são realmente das instituições 
que dizem ser e se eles fornecem mecanismos de segurança para evitar que alguém conectado à internet 
possa obter informações sensíveis de suas transações, no momento em que estiverem sendo realizadas.
Algumas medidas preventivas para o uso de browsers são: manter o seu browser sempre atualizado; 
desativar a execução de programas Java na configuração do browser – se for absolutamente necessário 
que o Java esteja ativado, para que as páginas de um site possam ser vistas, basta ativá-lo antes de 
197
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
entrar no site e, então, desativá-lo ao sair –; desativar a execução de JavaScripts antes de entrar em uma 
página desconhecida e, então, ativá-la ao sair – caso você opte por desativar a execução de JavaScripts 
na configuração de seu browser, é provável que muitas páginas Web não possam ser visualizadas –; 
permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites 
conhecidos e confiáveis; manter maior controle sobre o uso de cookies; certificar-se da procedência do 
site e da utilização de conexões seguras ao realizar transações via Web.
Cópias de segurança dos dados armazenados em um computador são importantes, não só para se 
recuperar de eventuais falhas, mas também das consequências de uma possível infecção por vírus ou 
de uma invasão.
As cópias de segurança podem ser simples, como o armazenamento de arquivos em CDs, 
ou mais complexas, como o espelhamento de um disco rígido inteiro em um outro disco de um 
computador/servidor ou em uma fita magnética.
A frequência com que é realizada uma cópia de segurança (backup) em uma rede é recomendada 
seguindo as melhores práticas, os backups podem ser incrementais (realizado de hora em hora, copiando 
apenas os arquivos na rede que foram alterados naquela hora), podem ser diários (consolidando todos 
os backups incrementais do dia), podem ser semanais (consolidando todos os backups diários daquela 
semana) e mensais (consolidando todas as semanas do mês em uma única mídia).
No caso de redes, é necessário fazer backup de todos os arquivos contidos no segmento de rede.
Para as informações pessoais, o processo depende da periodicidade com que o usuário cria ou 
modifica arquivos. Cada usuário deve criar sua própria política para a realização de cópias de segurança.
Os cuidados com cópias de segurança dependem das necessidades do usuário. O usuário deve 
procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cópias de 
segurança: quais informações são realmente importantes e precisam estar armazenada em minhas 
cópias de segurança; quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem 
destruídas ou danificadas; o que aconteceria se minhas cópias de segurança a fossem furtadas. Baseado 
nas respostas para as perguntas anteriores, um usuário deve atribuir maior ou menor importância a 
cada um dos cuidados discutidos a seguir.
Escolha dos dados
Cópias de segurança devem conter apenas arquivos confiáveis do usuário, ou seja, que não contenham 
vírus ou sejam cavalos de Troia. Arquivos do sistema operacional que fazem parte da instalação dos 
softwares de um computador não devem fazer parte das cópias de segurança. Eles podem ter sido 
modificados ou substituídos por versões maliciosas, as quais, quando restauradas, podem trazer 
uma série de problemas de segurança para um computador. O sistema operacional e os softwares de 
um computador podem ser reinstalados de mídias confiáveis, fornecidas por fabricantes confiáveis.
198
Unidade IV
Mídia utilizada
No caso de redes, devido ao alto volume de dados, o procedimento de backup deve estar documentado 
e a escolha da mídia deve representar a verdadeira necessidade da empresa e criticidade de recuperação, 
bem como a execução de testes nas fitas. Para o caso de backups pessoais, a escolha da mídia para a 
realização da cópia de segurança é extremamente importante e depende da importância e da vida 
útil que a cópia deve ter. A utilização de alguns pen drives para armazenar um pequeno volume de 
dados modificados constantemente é perfeitamente viável. Mas um grande volume de dados, de maior 
importância, que deve perdurar por longos períodos, deve ser armazenado em mídias mais confiáveis, 
como CDs, discos externos ou discos espelhados.
Local de armazenamento
Quando nos referimos a backups de organizações, é necessário que o local de armazenamento das 
mídias seja uma sala cofre à prova de fogo ou até mesmo um cofre à prova de fogo. Os backups 
particulares devem ser guardados em um local condicionado (longe de muito frio ou muito calor) e 
restrito, de modo que apenas pessoas autorizadas tenham acesso a esse local (segurança física).
Cópia em outro local
Cópias de segurança devem ser guardadas em locais diferentes. Um exemplo seria manter uma cópia 
em uma filial ou em outro escritório. Também existem empresas especializadas em manter áreas de 
armazenamento com cópias de segurança de seus clientes. Nesses casos é muito importante considerar 
a segurança física de suas cópias.
O uso de criptografia para informações sigilosas armazenadas em cópias de segurança também é 
recomendado. Nesse caso, os dados que contenham informações sigilosas devem ser armazenados em 
algum formato criptografado.
O furto de dados pessoais dos colaboradores pode ser a porta de entrada para um ataque à 
organização ou até mesmo um ataque ao próprio colaborador, por isso cuidados com os dados pessoais 
são importantes. Procure não fornecer dados pessoais (como nome, e-mail, endereço e números de 
documentos) para terceiros, também nunca forneça informações sensíveis (como senhas e números 
de cartão de crédito), a menos seja realizada uma transação (comercial ou financeira) e se tenha 
certeza da idoneidade da instituição que mantém o site.
Essas informações geralmente são armazenadas em servidores das instituições que mantêm os 
sites. Com isso, corre-se o risco de essas informações serem repassadas sem autorização para outras 
instituições ou de um atacante comprometer esse servidor e ter acesso a todas as informações. Atenção 
aos ataques de engenharia social, que são mais comuns do que se imagina; ao ter acesso aos dados 
pessoais da vítima, um atacante poderia, por exemplo, utilizar e-mail em alguma lista de distribuição de 
spams ou se fazer passar pela vítima na internet (através do uso das senhas furtadas).
199
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Deve ser dada total atenção aos dados pessoais armazenados nos discos rígidos das estações de 
trabalho. É importante ter certos cuidados no armazenamento de dados em um computador; mantenha 
informações sensíveis ou pessoais (como números de cartões de crédito, declarações de imposto de 
renda, senhas etc.) armazenadas em algum formato criptografado, longe do alcance de terceiros.
Esses cuidados são extremamente importantes no caso de notebooks, pois são mais visados e, 
portanto, mais suscetíveis a roubos, furtos etc.
Caso as informações não estejam criptografadas, e seja necessário levar o computador a alguma 
assistência técnica, por exemplo, seus dados poderão ser lidos por algum técnico mal-intencionado. 
Para criptografar esses dados, existem programas que, além de criptografarem e-mails, também podem 
criptografar arquivos. Um exemplo seria utilizar um programa que implemente criptografia das chaves 
pública e privada. O arquivo sensível seria criptografado com a sua chave pública e, então, decodificado 
com a sua chave privada,sempre que fosse necessário. É importante ressaltar que a segurança desse 
método de criptografia depende do sigilo da chave privada. A ideia, então, é manter a chave privada 
em um CD ou em outro disco rígido (em uma gaveta removível), que não deve ser enviado junto com o 
computador para a assistência técnica.
Também deve-se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou 
formatar um disco rígido não é suficiente para evitar que informações antes armazenadas possam ser 
recuperadas. Portanto, é importante sobrescrever todos os dados do disco rígido.
Para assegurar que a informação não possa ser recuperada de um disco rígido é preciso 
sobrescrevê-la com outras informações. Um exemplo seria gravar o caractere 0, ou algum caractere 
escolhido aleatoriamente, em todos os espaços de armazenamento do disco. É importante ressaltar que 
é preciso repetir algumas vezes a operação de sobrescrever os dados de um disco rígido, para assegurar 
que informação anteriormente armazenadas não possam ser recuperadas. Existem softwares gratuitos 
e comerciais que permitem sobrescrever dados de um disco rígido e que podem ser executados em 
diversos sistemas operacionais, como o Windows, Unix (Linux, FreeBSD etc.) e Mac OS.
Cuidados com a senha de acesso à rede, sistemas, e-mails devem ser tomados, entre eles: elaborar 
sempre uma senha que contenha pelo menos oito caracteres, compostos de letras números e símbolos; 
jamais utilizar como senha o nome, sobrenome, números de documentos, placas de carros, números de 
telefones, datas que possam ser relacionadas com você ou palavras constantes em dicionários; utilizar 
uma senha diferente para cada serviço, alterar a senha com frequência.
Os atacantes utilizam as ameaças para explorar as vulnerabilidades que possam vir a não estar 
devidamente protegidas, existem dois tipos de atacantes os externos e os internos.
Os atacantes internos podem ser representados por funcionários insatisfeitos ou simplesmente 
mal-intencionados que, em virtude da oportunidade visualizada em uma ou mais vulnerabilidades, 
acaba concretizando o ataque. Já os atacantes externos são representados pelos crackers, que 
são pessoas com conhecimento avançado de tecnologia, que invadem um sistema de computador, 
geralmente em benefício próprio ou de terceiros, com o objetivo de roubar informações ou implantar 
200
Unidade IV
códigos maliciosos. É comum a confusão dos termos hackers com os crackers. Os hackers também têm 
conhecimentos avançados sobre tecnologia, porém seus conhecimentos são utilizados para a proteção 
dos ativos de informação que estão amparados em tecnologia, os hackers geralmente são contratados 
pelas organizações para fazer um contraponto nas ações de atacantes crackers.
A primeira atitude para o desempenho eficaz da gestão de incidentes e o correto controle dos 
registros de eventos (logs) é sempre verificar os logs do firewall pessoal e dos IDSs que estejam instalados 
no computador, verificar se não é um falso positivo, antes de notificar um incidente.
Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos 
à incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas de detecção 
de intrusão.
Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém 
tenta acessar um computador e esse acesso é barrado pelo firewall. Sempre que um firewall 
gera um log informando que um determinado acesso foi barrado, pode haver uma tentativa de 
ataque, mas também pode ser um falso positivo. Já os sistemas de detecção de intrusão podem 
gerar logs tanto para casos de tentativa de ataques quanto para casos em que um ataque teve 
sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi 
um ataque com sucesso. Assim como os firewalls, os sistemas de detecção de intrusão também 
podem gerar falsos positivos.
O termo “falso positivo” é utilizado para designar uma situação em que um firewall ou IDS 
aponta uma atividade como sendo um ataque, quando na verdade não se trata de um ataque. 
Um exemplo clássico de falso positivo ocorre no caso de usuários que costumam se conectar em 
servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de 
IRC possui uma política de uso que define que um usuário, para se conectar em determinados 
servidores, não deve possuir em sua máquina pessoal nenhum software que atue como proxy. Para 
verificar se um usuário tem algum software desse tipo, ao receberem uma solicitação de conexão 
por parte de um cliente, os servidores enviam para a máquina do cliente algumas conexões que 
checam a existência destes programas. Se o usuário possuir um firewall é quase certo que essas 
conexões serão apontadas como um ataque.
Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e 
indica como ataques e respostas a solicitações feitas pelo próprio usuário.
Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informações: data 
e horário em que ocorreu uma determinada atividade, endereço IP de origem da atividade, portas 
envolvidas. Dependendo do grau de refinamento da ferramenta que gerou o log, ele também pode 
conter informações como: o timezone do horário do log, protocolo utilizado (TCP, UDP, ICMP etc.), os 
dados completos que foram enviados para o computador ou rede.
201
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Lembrete
Evidentemente que os mecanismos tecnológicos são fundamentais 
para proteção das informações, todavia, devemos ter sempre em mente os 
três elementos envolvidos quando falamos da segurança da informação: as 
pessoas, os processos e a tecnologia, se um desses está vulnerável, todo o 
sistema de proteção está correndo riscos.
7.4 Resposta a incidentes
Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, a 
resposta a incidentes tem papel fundamental na eficácia do processo de gestão dos ativos de informação.
Atualmente, manter os recursos computacionais seguros, em ambientes interconectados por meio 
de redes, é um desafio cuja dificuldade aumenta com a inclusão de cada novo sistema.
A grande maioria das instituições e empresas que não utiliza uma única solução de segurança 
genérica que cobre todas as vulnerabilidades, em vez disso, a estratégia mais utilizada é a de estabelecer 
camadas complementares de segurança, abrangendo: tecnologia, processos e pessoas.
Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a 
criação de um time de resposta a incidentes computacionais (computer incident response team – Cirt).
As principais motivações para a criação de um Cirt residem no crescente número de incidentes 
reportados; no crescente número e perfil de empresas atacadas; no entendimento das empresas sobre a 
necessidade de possuir políticas de segurança e procedimentos para melhorar o gerenciamento de riscos; 
nas novas regulamentações e leis que exigem controles de segurança sobre os sistemas de informação; 
no entendimento de que os administradores de rede e sistemas não são capazes de proteger os recursos 
computacionais isoladamente.
Para a estruturação de um Cirt é necessário entender claramente o seu objetivo. Para isso, temos de 
conceituar o que são eventos e incidentes de segurança da informação.
Evento é uma ocorrência observável a respeito de um sistema de informação, a exemplo de um 
e-mail, um telefonema, o travamento de um servidor (crash).
Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que 
implica comprometimento ou tentativa de comprometimento da segurança. Em resumo, trata-se de 
tentativa ou quebra de segurança de um sistema da informação (confidencialidade, integridade ou 
disponibilidade), violação da política de segurança, tentativa ou acesso não autorizado, modificação, 
criação ou remoção de informações sem o conhecimento do gestor.
202Unidade IV
São exemplos de eventos e incidentes, em ataque de software malicioso (vírus etc.):
• Evento: usuário informa que pode ter sido contaminado por vírus.
• Incidente potencial: seu sistema apresenta características típicas de contaminação por vírus.
Em ataques DoS (Denial of service):
• Evento: usuário informa que não consegue acessar um serviço.
• Incidente potencial: muitos usuários informam o mesmo problema.
Para invasões:
• Evento: administrador imagina que seu sistema foi invadido.
• Incidente potencial: administrador envia log e trilhas de auditoria indicando atividades suspeitas.
Uso não autorizado:
• Evento: proxy indica que um usuário tentou acessar um site pornográfico.
• Incidente potencial: proxy indica que um usuário tentou acessar vários sites pornográficos.
O Cirt é formado por um grupo de profissionais pertencentes a diversos departamentos da 
corporação, devidamente treinados com larga experiência nas suas respectivas áreas cuja missão 
é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da 
empresa, seguindo procedimentos previamente estabelecidos.
Quando uma organização tem a intenção de criar um Cirt, normalmente procura verificar como 
esse processo ocorreu em outras empresas, além de estabelecer requerimentos que devem ser atendidos 
por esse time.
Apesar de a atuação do Cirt variar bastante em função da disponibilidade de pessoal, capacitação 
da equipe, orçamento etc., existem algumas recomendações de melhores práticas que se aplicam 
para a maioria dos casos, que são: obter o apoio da administração da empresa; elaborar um plano 
estratégico do Cirt; levantar informações relevantes; elaborar a missão do Cirt; divulgar a missão do Cirt 
e o plano operacional; iniciar a implementação do Cirt; divulgar a entrada em operação do Cirt; avaliar 
continuamente a qualidade dos serviços prestados.
Deve ser obtido o apoio da administração da organização, uma vez que, sem o apoio da administração 
da empresa, a criação do Cirt é muito difícil. Esse apoio pode vir sob a forma de: fornecimento de 
recursos (computadores, softwares etc.); financiamento; disponibilização de pessoal; tempo do líder 
de segurança para criar o Cirt; espaço nos comitês de segurança para a discussão do assunto. É fundamental 
203
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
o alinhamento de entendimento sobre as funções e responsabilidades do Cirt com a administração da 
empresa, também é muito importante o apoio da administração da empresa para dar respaldo às ações 
e requisições do Cirt junto a outras áreas.
O pleno envolvimento de participantes do Cirt e seus respectivos superiores é um pré-requisito para 
a discussão posterior de orçamento para a implantação e manutenção do time.
A elaboração do plano estratégico deve levar em conta aspectos administrativos da concepção do 
Cirt: existem cronogramas que precisam ser cumpridos, eles são realistas; existe um grupo de projeto já 
formado que deve estar devidamente representado; como a organização toma conhecimento sobre as 
ações de desenvolvimento do Cirt, existe um membro que deve representar esse grupo em uma instância 
maior; o processo deve estar devidamente formalizado (e-mail, relatórios etc.); todos os membros do 
grupo devem ter acesso às informações produzidas.
É necessário levantar informações relevantes para compor as responsabilidades e serviços prestados 
pelo Cirt, deve-se inicialmente levantar as áreas e sistemas mais críticos da empresa, também é 
importante o levantamento de eventos e incidentes reportados no passado para dimensionar o grau 
de conhecimento da empresa sobre esses fatos. Essas informações permitirão avaliar a competência 
dos profissionais existentes em assuntos relacionados com segurança da informação. Com isso será 
possível dimensionar os serviços que serão prestados pelo Cirt e a possibilidade de utilizar funcionários 
já existentes na empresa ou a necessidade de novas contratações.
Alguns exemplos de informações relevantes são: detalhes sobre o último incidente externo com vírus 
na empresa (por exemplo, tentativa de invasão); se a empresa já teve incidente de fraude envolvendo 
funcionários internos; deve ser levantado se algumas funções do Cirt já são cobertas por áreas existentes; 
deve-se levantar os procedimentos já existentes na empresa, que ajudarão nas funções do Cirt. Procure 
agendar visitas com instituições semelhantes e que já possuam o Cirt.
Com base nas informações levantadas, elabore a missão do Cirt, que, antes de ser divulgada para a 
empresa, deve estar alinhada com a administração e deve estar aberta para receber críticas e sugestões 
de melhoria da hierarquia.
Tendo-se alinhadas as expectativas com os envolvidos, traçado o plano estratégico e definida a 
missão do Cirt, é hora de colocá-lo em ação através de: contratação e treinamento do grupo principal 
do Cirt; elaboração e divulgação entre todos da metodologia de trabalho; compra e instalação dos 
equipamentos e softwares de suporte ao Cirt; definição das especificações de recuperação de evidências 
de incidentes para cada sistema crítico; desenvolvimento de modelos de relatórios e mecanismos de 
informação de incidentes
Quando o Cirt estiver operacional, elabore uma campanha de divulgação que deve entre outras coisas 
informar aos colaboradores sobre suas funções, formas de entrar em contato para reportar incidentes, 
funcionários envolvidos. A divulgação deve ser repetida periodicamente.
204
Unidade IV
A avaliação da atuação do Cirt deve ser periódica por: estatísticas de incidentes reportados; incidentes 
resolvidos; falsos positivos e tempo de indisponibilidade de sistemas. É necessária a comparação com 
outras empresas. A correta manutenção e crescimento da base de conhecimento documentados ajudam 
no aprimoramento dos membros do Cirt.
O Cirt é formado por um grupo multidisciplinar de profissionais. Essa característica procura 
atender a necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias 
frentes paralelamente, identificando as causas e coletando evidências do ataque. Esses funcionários 
não possuem dedicação exclusiva ao Cirt, porém, quando acionados pelo líder do Cirt, devem responder 
imediatamente, pode-se fazer uma analogia comparando o Cirt à brigada de incêndio das empresas.
O líder do Cirt deve ser um funcionário da corporação com ampla experiência em segurança da 
informação. Além de gerenciamento de projetos de tecnologia, é recomendado que esse líder possua um 
cargo na hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras 
áreas e condução de verificações nas diversas áreas da corporação. Esse líder poderá ser um gerente ou 
um diretor pertencente à área de segurança da informação (security office).
A atuação responsável pela área de segurança da informação (security office) está em instruir os 
funcionários das outras áreas na identificação, coleta e/ou preservação de rastros do incidente, também 
caberá avaliar as consequências ocasionadas pelo ataque e providenciar, em caso de necessidade, a 
execução do plano de continuidade de negócios. Ao final do acompanhamento de um incidente, deverá 
coordenar a elaboração do relatório descrevendo o(s) fato(s) ocorrido(s).
A atuação da área de redes está em prover o acesso aos equipamentos de comunicação e segurança 
sob sua responsabilidade, como firewalls, roteadores e switches, sempre que requisitado pelo líder do 
Cirt, a fim de auxiliar no levantamento e análise dos logs e, quando necessário, entrar em contato com 
provedores de acesso, empresas de telecomunicações etc.
A área de manutenção de servidores deve atentar para a verificação detalhada da configuração 
dos servidores em virtude de possíveis acessos não autorizados, deve coletar os rastros de transações, 
fazendo a verificação do código de aplicações. O líder do Cirt poderá requisitar que um determinado 
servidor ou um conjunto deles seja mantido em quarentena para verificaçõesmais precisas; nesse caso, 
a equipe designada deverá providenciar a instalação e configuração de servidores sobressalentes para 
assumir o ambiente de produção.
A atuação da área de auditoria visa identificar quais controles de segurança ou procedimentos 
falharam e permitiram a ocorrência do incidente. Sua missão será a de auxiliar o líder do Cirt na 
elaboração do relatório do incidente e validação/auditoria da implementação do respectivo plano de 
ação preparado para solucioná-lo. A auditoria também contribuirá com o Cirt na estimativa dos prejuízos 
financeiros e de imagem causados pelo incidente.
A área de inspetoria atua na contribuição com a identificação das causas e motivações do incidente. 
Também será de sua responsabilidade a manutenção do histórico de todos os incidentes identificados ou 
205
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
reportados na corporação, subsidiando o líder do Cirt com informações sobre padrões de comportamento, 
objetivos, frequência e medidas adotadas em casos semelhantes.
A área de recursos humanos poderá ser acionada pelo líder do Cirt na medida em que o incidente 
envolver funcionários ou terceiros que prestam serviços para a instituição (ou empresas do conglomerado 
que estejam sob a sua gestão). O líder do Cirt poderá requisitar informações sobre o(s) funcionário(s) 
envolvido(s), entre elas, seu cargo, suas responsabilidades, sua formação.
A área jurídica poderá ser acionada com o objetivo de obter auxílio jurídico na coleta e preservação 
de evidências e no tratamento com empresas parceiras, com funcionários ou com clientes envolvidos. 
Toda comunicação com empresas parceiras, clientes ou mesmo funcionários internos deverá ser 
acompanhada pela área jurídica da organização.
A área de relações públicas é acionada no caso de o incidente trazer a exposição da empresa perante 
seus clientes e parceiros de negócios. A área de relações públicas poderá ser envolvida pelo líder do Cirt 
com o objetivo de orientar a melhor maneira de promover a comunicação com eles ou mesmo com a 
imprensa, caso seja necessário.
Líder do Cirt Área de seg. info.
Tecnologia da 
informação
Tecnologia da 
informação
Telecom / redes Mainframe Desenvolvimento Auditoria engenharia
Recursos 
humanos Jurídico
Relações 
públicas
Figura 55 – Organograma do Cirt
O fluxo de resposta a incidentes deve seguir a seguinte sequência lógica: sempre que um incidente 
for informado ou detectado, ele deverá ser encaminhado ao responsável pela área de segurança da 
informação (security office); caberá a essa área decidir se o Cirt deverá ser acionado ou não, em função 
da gravidade do incidente; sendo acionado, o Cirt deverá abrir um chamado de incidente composto 
por um relatório que deverá ser completado durante todo o acompanhamento do incidente; ao final 
do trabalho, ou mesmo durante sua execução, o líder do Cirt apresentará ao comitê de segurança um 
resumo desse relatório, que deverá conter os seguintes pontos:
• descrição sucinta do incidente;
• causa do incidente;
• forma de identificação do incidente;
206
Unidade IV
• classificação quanto às consequências financeiras e de imagem;
• contramedidas tomadas;
• plano de ação para a contenção de incidentes semelhantes.
O acionamento do Cirt deve ser realizado através dos canais de fácil acesso, que devem ser 
disponibilizados pelo Cirt, tais como: um ramal telefônico exclusivo; um endereço de e-mail genérico 
(cirt@empresa.com.br); páginas de webmail na intranet (para não identificar o emissor). Tudo isso 
facilita o acesso ao Cirt.
Acionamento da 
área de segurança 
da informação
Reunião 
emergencial 
do Cirt
Documentação e 
ampliação da base 
de conhecimento Identificação da 
causa e coleta 
de rastros
Apresentação do 
relatório ao 
comitê de segurança
Avaliação das 
consequências 
financeiras e 
imagem
Aplicação do 
plano de 
continuidade 
de negócios
Elaboração do 
 plano de ação
Suspeita de incidente
Tecnologia da inform
ação
Coaboradores do Cirt
Relações 
públicas Jurídico
Recursos 
humanos Auditoria / inspetoria
Parceiros de 
segurança
Figura 56 – Fluxo da gestão de incidentes
7.5 Segurança física
A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua 
abrangência é extensa, desde as instalações físicas internas até as externas em todas as localidades da 
organização. A segurança física também cuida da proteção dos ativos quando são transportados como 
valores ou fitas de backup.
207
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Quando nos referimos à segurança física, a palavra prevenção vem em primeiro lugar. Medidas 
preventivas devem ser tomadas. São chamadas de barreiras de segurança. Beal (2008) demonstra uma 
barreira de segurança como um obstáculo que é colocado para prevenir um ataque. Quando falamos 
em segurança física, podemos nos referir, como exemplo, a uma cerca elétrica, a uma parede. Quando 
falamos em segurança lógica, nos referimos a um processo de logon para acesso a uma rede. Se ambas 
forem combinadas, será composto o perímetro de segurança.
A ISO 27001 (item 7.1.1) define perímetro de segurança como sendo quaisquer elementos que 
estabeleçam uma barreira ao acesso indevido.
A melhor forma de definição para perímetro de segurança seria como uma linha delimitadora que 
define uma área separada protegida por um conjunto de barreiras físicas e lógicas.
Alguns exemplos de barreiras que agregadas podem formar um perímetro de segurança são: 
salas-cofre, roletas de controle de acesso físico e uso de token ou dispositivo biométrico para autenticação 
de pessoas antes da liberação da passagem, circuitos internos de TV, detectores de fumaça, sirenes e 
alarmes de incêndio, acionadores de água para combate a incêndio.
É recomendado, segundo as melhores práticas definidas na ISO 27001, que, para segurança física, 
sejam considerados alguns itens de segurança obrigatórios, conforme o quadro a seguir.
Quadro 29 – Itens de segurança física definidos pela ISO IEC 27001
Perímetro de segurança claramente definido 
Perímetro de prédios ou locais que contenham recursos de processamento de dados fisicamente consistente 
(sem brechas que facilitem a invasão) 
Implantação de área de recepção ou outro meio de acesso físico ao local ou prédio e restrição do acesso 
apenas a pessoas autorizadas
Barreiras físicas estendidas da laje do piso até a laje superior, quando necessário, para prevenir acessos não 
autorizados ou contaminação ambiental causada por fogo, inundação, fumaça etc. 
Portas de incêndio no perímetro de segurança com sensores de alarme e mola para fechamento automático
Diante do escopo abrangente que remete à segurança física é necessária a adoção de práticas 
de gestão idênticas às adotadas na gestão da segurança da informação: análise e avaliação de 
risco, elaboração de normas. Tais práticas são necessárias para a correta e eficaz introdução de um 
processo de gestão da segurança física.
Compreender o ambiente físico da organização é o primeiro passo para a identificação das 
vulnerabilidades que abrem brechas para as ameaças, as quais podem comprometer o ambiente 
físico da organização.
Vejamos a seguir exemplos das ameaças e vulnerabilidades mais comuns.
208
Unidade IV
Quadro 30 – Ameaças e vulnerabilidades à segurança física
Ameaças Vulnerabilidades
Roubos e furtos Ausência ou falha no controle de acesso físico aos edifícios da organização 
Sabotagem e vandalismo Ativos físicos de fácil acesso ou expostos desnecessariamente 
Sequestro e chantagem Falha ou ausência na proteção física dos ativos de informação ou na proteção dos colaboradores da organização 
Terrorismo ideológico ou criminoso Falha ao evitar que a organização entre em temas polêmicos ou ideológicos 
Interrupção em serviços básicos 
como água, energia e gás Ausência ou falhas em planos de contingência 
Problemas em sistemas de suporte 
como ar-condicionado e ventilação Ausência ou falhas em planos de contingência 
Fogo e fumaça Ausência ou