Segurança de Sistema de Informação

Prévia do material em texto

�PAGE \* MERGEFORMAT�15�
Segurança de Sistema de Informação 
Duque de Caxias
2014
5801484 - Carlos Henrique Gomes da Silva
5800699 - Diego Queiroz Batalha
5801029 - Luís Claudio Ribeiro Motta Filho
5800661 - Thiago Oliveira da Silva
 Segurança de Sistema de Informação 
 Prof. Natalia Joana
 Duque de Caxias
2014
RESUMO
O presente trabalho tem como objetivo demonstrar o que é a segurança em sistema de informação, através de conceitos fundamentais, seus principais objetivos, algumas ameaças ás qual este tipo de sistema está sujeito, e as formas para que se tenha um maior controle e proteção do sistema de informação.
Ao longo da leitura deste relatório, poderemos entender melhor as principais metas da segurança em sistema de informação que são: a garantia da disponibilidade dos recursos de informação, a integridade da informação e a confidencialidade da mesma. Outros importantes aspectos que são ressaltados neste trabalho são as principais vulnerabilidades do sistema de informação e os métodos de proteção e controle das informações, assim como também saber quem são os responsáveis pelo sigilo e manuseio de informações confidenciais ou não dentro das empresas.
�
LISTA DE ABREVIATURAS E SIGLAS
	AOL
	America Online
	BS
	Britsh Standard
	CD
	Compact disc
	CIO
	Chief Information Officer
	CPF
	Cadastro de Pessoas Físicas 
	ERP
	Enterprise Resource Planning
	FBI 
	Federal Bureau of Investigation
	IEC
	International Electrotechnical Commission
	ISO
	International Organization for Standardization
	PC 
	Personal computer
	RD
	Representante da direção
	SI
	Sistema de informação
	TI
	Tecologia de informação
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
SUMÁRIO
71.	Introdução	�
71.1.	Objetivo	�
92.	Conceitos fundamentais de segurança da informação	�
113.	Vulnerabilidades dos sistemas de informação	�
113.1.	Ameaças involuntárias	�
123.2.	Ameaças Intencionais	�
133.2.1.	Espionagem ou invasão	�
133.2.2.	Extorsão de informações	�
133.2.3.	Sabotagem ou vandalismo	�
143.2.4.	Roubo	�
143.2.5.	Roubo de identidade	�
143.2.6.	Ataques com software	�
143.2.6.1.	Vírus	�
153.2.6.2.	Worms	�
153.2.6.3.	Cavalo de Tróia	�
153.2.6.4.	Bombas lógicas	�
153.2.6.5.	Back doors ou trap doors	�
153.2.6.6.	Negação de serviço	�
153.2.6.7.	Software invasivo	�
173.2.6.8.	Phishing	�
173.2.6.9.	Pharming	�
173.3.	Violação à propriedade intelectual	�
194.	Protegendo recursos de informação	�
194.1.	Análise de risco	�
204.2.	Controles	�
204.2.1.	Controles gerais	�
244.2.2.	Controles de aplicação	�
244.3.	Auditoria de sistemas de informação	�
254.3.1.	Tipos de auditorias e auditorias	�
254.3.2.	Como a auditoria é executada?	�
254.4.	Plano de recuperação de acidentes	�
275.	Responsável pela segurança dos sistemas de informação	�
296.	Conclusão	�
30Referências Bibliográficas	�
�
Introdução
Segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa. Informação é todo e qualquer conteúdo ou dado que tenha valor para alguma organização. O conceito se aplica a todos os aspectos de proteção de informações e dados. Nos dias de hoje, a segurança tem sido um dos maiores problemas enfrentados pelas empresas. Dentro das empresas existem o sistema de auditoria, que apresentam como funções: documentar, avaliar e monitorar sistemas de controle legais, gerenciais de aplicação e operacionais. Mesmo com todo esse sistema de segurança, não é garantido que a empresa não corra risco. Sendo assim, a gestão da segurança da informação necessita da participação de todos os funcionários da organização.
Objetivo
 O objetivo deste trabalho é esclarecer o que é a segurança em sistema de informação, através de conceitos fundamentais, seus principais objetivos, algumas ameaças e vulnerabilidades ás qual este sistema está exposto, e as formas que existem para que se tenha um maior controle e proteção do sistema de informação.
Alguns dos itens fundamentais para a política e cultura de segurança da informação, que poderão ser percebidos neste trabalho são:
A garantia da disponibilidade dos recursos de informação;
 A garantia da integridade da informação;
A garantia da confidencialidade da informação;
Outro importante aspecto apresentado são as ameaças que o sistema de informação está sujeito e algumas delas podem ser: involuntárias, intencionais, espionagem ou invasão, extorsão de informações, ataques de softwares que podem ser desmembrados em: vírus, cavalo de Tróia, software invasivo entre outros.
Para se proteger contra as ameaças e se tornar cada vez menos vulnerável a esses ataques, muitas empresas investem em programas de proteção dos recursos de informação, e controle.
No que diz respeito à proteção das informações, as empresas analisam os riscos que uma ameaça pode causar a um recurso de informação, e a partir daí elaboram estratégias para resolver esses problemas. Elaborar e garantir critérios que protejam estas informações contra fraudes, roubos ou vazamentos nas empresas é responsabilidade da alta direção e analistas de segurança da informação.
Conceitos fundamentais de segurança da informação
Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em Si.
Atualmente o conceito de Segurança da informação está padronizado pela norma ISO/ IEC 17799:2005, influenciada pelo padrão inglês (Britsh Standard) BS 7999. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de segurança da informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/ IEC 17799:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos. 
A segurança da informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas ( com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.Os atributos básicos (segundo os padrões internacionais) são os seguintes:
Confidencialidade (sigilo): É a garantia de que a informação não será conhecida por quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acessá-las. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.
Integridade: Esse princípio destaca que a informação deve ser mantidana condição em que foi liberada pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais, indevidas ou acidentais. Em outras palavras, é a garantia de que a informação que foi armazenada é a que será recuperada.
Disponibilidade: É a garantia de que a informação deve estar disponível, sempre que seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo. Em outras palavras, é a garantia que a informação sempre poderá ser acessada. Em uma corporação, a segurança está ligada a tudo o que manipula direta ou indiretamente a informação (inclui-se aí também a própria informação e os usuários), e que merece proteção.
Ativos são os elementos que sustentam a operação do negócio. Eles podem ser classificados em:
Tangíveis: informações impressas, móveis, hardware (Ex.: impressoras, scanners);
Intangíveis: marca de um produto, nome da empresa, confiabilidade de um órgão federal etc.;
Lógicos: informações armazenadas em uma rede, sistema ERP (sistema de gestão integrada) etc.;
Físicos: galpão, sistema de eletricidade, estação de trabalho etc.;
Humanos: funcionários
Os ativos são os elos da corrente e este sempre trará consigo vulnerabilidades que, por sua vez, submetem os ativos a ameaças.
Vulnerabilidades dos sistemas de informação
A vulnerabilidade de um sistema é a possibilidade de ele sofrer algum dano devido a uma ameaça, que é qualquer perigo ao qual um sistema pode estar exposto. Os sistemas de informação possuem muitos componentes em vários locais. Portanto, cada sistema de informação é vulnerável a diversos perigos e ameaças, algumas ameaças são:
Involuntárias
Intencionais
Espionagem ou invasões 
Extorsão de informações 
Sabotagem ou vandalismo
Roubo
Roubo de identidade
Ataques de software
Vírus
Cavalo de Tróia
Back doors
Software invasivo(pestware, adware, spyware, spamware, spam, cookies, Web bugs)
Phishing
Pharming
Worms
Bombas lógicas
Negação de serviço
Transgressões á propriedade intelectual 
 
Ameaças involuntárias
 As ameaças involuntárias podem ser divididas em três grandes categorias: erros humanos, riscos ambientais e falhas no sistema de computação. Os erros humanos podem ocorrer no projeto do hardware e/ou do sistema de informação. Também podem ocorrer na programação, no teste, na coleta de dados, na entrada de dados, na autorização. Os erros humanos são responsáveis por mais da metade dos problemas relacionados ao controle e à segurança em muitas organizações.
Os riscos ambientais incluem terremotos, furacões, inundações, interrupções ou fortes flutuações na energia, incêndios (o risco mais comum), ar-condicionado defeituoso, explosões, precipitação radioativa e falhas no sistema de resfriamento da água. Esses riscos podem prejudicar o funcionamento normal dos computadores e resultar em um longo tempo de espera e custos exorbitantes, enquanto os programas de computador e os arquivos de dados são recriados.
As falhas no sistema de computação podem ocorrer como resultados de uma fabricação ruim ou do uso de materiais defeituosos. As falhas involuntárias também podem ocorrer por outras razões, como falta de experiência usuário ou testes malfeitos.
Ameaças Intencionais
As ameaças intencionais normalmente são de natureza criminosa. Cibercrimes são atividades fraudulentas cometidas com uso de computadores e redes de comunicação, particularmente a internet. O cibercrime é um sério problema nas sociedades modernas. Segundo o FBI, um roubo médio envolve cerca de US$3.000 e um crime de colarinho branco médio envolve US$23.000. Por sua vez, um cibercrime padrão envolve aproximadamente US$ 600.000
Os cibercrimes podem ser cometidos por pessoal externo que invade um sistema de computador ou por pessoal interno que tem autorização para usar o sistema, mas abusam dessa autorização. Uma pessoa externa que invade um sistema de computação, normalmente sem intenção de cometer um crime, é chamada de Hacker. Um cracker é um hacker malicioso, que pode representar sérios problemas para uma organização.
Os crackers, algumas vezes, evolvem pessoas internas acima de qualquer suspeita em seus crimes. Por exemplo, em uma estratégia chamada engenharia social, criminosos de computação ou espiões corporativos burlam sistemas de segurança construindo um relacionamento de confiança inapropriado com pessoal interno. Essas pessoas internas, então, fornecem ao crackers informações importantes ou privilégios de acesso não autorizado. Por exemplo, um cracker audacioso, se passando por um funcionário do departamento de TI, ligou para todas as secretárias de uma empresa. Disse a elas que precisava de seus nomes de usuário e senhas para fazer uma “verificação de segurança” nos computadores. Setenta e cinco por cento das secretárias forneceram as informações sem verificar se ele era quem dizia.
Além dos crimes contra organizações, existe um alarmante aumento nas fraudes cometidas contra indivíduos da internet. O ambiente da internet oferece um cenário extremamente favorável para a realização de atividades ilegais. Criminosos inovadores usam centenas de métodos e golpes diferentes para tirar dinheiro de pessoas inocentes, comprar sem pagar, vender sem entregar, abusar de pessoas ou maltratá-las e muito mais.
Há muitos tipos de ameaças intencionais: espionagem ou invasão, extorsão de informações, sabotagem ou vandalismo, roubo de identidade, ataques com software e transgressões à propriedade intelectual.
Espionagem ou invasão
Quando um indivíduo não autorizado obtém acesso a informações que uma organização está tentando proteger, esse ato é categorizado como espionagem ou invasão. A espionagem industrial ocorre em áreas em que a pesquisa de informações sobre os concorrentes é perfeitamente legas dentro de certos limites. Em casos de espionagem, os coletores de informação vão além desses limites legais. Os governos em todo o mundo praticam espionagem industrial contra empresas em outros países. Um tipo de espionagem com pouco tecnologia é o shoulder surfing, em que as pessoas observam informações sem autorização em um monitor de computador ou na tela de um caixa eletrônico olhando por sobre os ombros de outra pessoa.
Extorsão de informações
A extorsão de informações ocorre quando um invasor ou empregado que era confiável rouba informações de um sistema de computação e depois exige uma compensação para devolvê-las ou para não revelá-las.
Sabotagem ou vandalismo
O website de uma organização normalmente é a “face” mais visível ao público. Se o site for sabotado, os clientes da organização podem perder a confiança. A perda da confiança do consumidor, por sua vez, normalmente leva à redução de lucros e faturamento. Um tipo comum de sabotagem on-line são as atividades hacktivistas ou ciberativistas. Os “hacktivistas” e “ciberativistas” usam a alta tecnologia em nome de desobediência a fim de protestar contra operações, políticas ou ações de um indivíduo, uma organização ou um órgão governamental.
O ciberterrorismo pode ser considerado uma forma mais nociva de ciberativismo. O ciberterrorismo pode ser definido como um ataque premeditado e com motivação política contra informações, sistemas de computação, programas de computador e dados, que resulta em violência contra alvos civis por grupos subnacionais ou agentes clandestinos. 
Existe uma crescente preocupação com a ameaça de uma ciberguerra, na medida em que sistemas de informação de um país poderiam ser paralisados por um ataque em massa de software destrutivo. Os sistemas-alvo podem variar desde sitemas de informação de empresas, serviços governamentais e mídia até sistemas de comandos militares. Nos Estados Unidos, o Critical Infraestructure Protection Board está preparando planos, políticas e estratégias de proteção para lidar com o ciberterrorismo.
Roubo
O roubo é a apropriação ilegal de algo que pertence a outra pessoa ou organização. Dentro de uma organização, essa propriedade pode ser física,eletrônica ou intelectual.
Roubo de identidade
O crime de colarinho branco que está crescendo mais rapidamente é o roubo identidade, em que um criminoso se passa por outra pessoa. O ladrão rouba números de seguros social e de cartão de crédito, normalmente obtidos na internet, para cometer fraudes. O maior problema para a pessoa cuja identidade foi roubada é recuperar o crédito perdido. Segundo uma pesquisa de 2003 do Identity Theft Resource Center, a vítima de roubo de identidade média gasta, pelo menos 600 horas ao longo de vários anos e US$16.000 em renda perdida ou potencial para se recuperar do crime.
Ataques com software 
O tipo mais conhecido de ameaça a computadores é o ataque com software. Ataques com software deliberados ocorrem quando indivíduos ou grupos projetam software chamados “software malicioso” ou “malware” para atingir sistemas de computação. Esse software é projetado para danificar, destruir ou negar serviço aos sistemas atingidos. Os tipos mais comuns de ataque com software são vírus, worms, cavalos de Tróia, bombas lógicas, back-doors, negação de serviço, software invasivo, phishing e pharming. 
Vírus
Os vírus de computador são segmentos de código de computador que realizam ações que variam do mero transtorno até a destruição. Os vírus se anexam a um programa existente e assume o controle desse programa. O programa infectado e controlado pelo vírus, então, duplica o vírus para outros sistemas. Um dos métodos mais comuns de transmissão de vírus é através de arquivos anexados a email.
Worms
São programas destrutivos que se duplicam sem a necessidade de qualquer outro programa para garantir um ambiente seguro para a duplicação.
Cavalo de Tróia
São programas de software que se escondem dentro de outros programas e só revelam seu comportamento quando são ativados. Os cavalos de Tróia normalmente são disfarçados de programas interessantes, úteis ou necessários, como arquivos README incluídos em pacotes freeware ou shareware baixados da internet. 
Bombas lógicas
São segmentos de código de computador que são embutidos dentro dos programas existente em uma organização, frequentemente por um empregado frustrado. A bomba lógica é programada para ser ativada e realizar uma ação destrutiva em determinada hora ou data.
Back doors ou trap doors
Um vírus ou worm pode se instalar um back door em um sistema de computação. O back door normalmente é uma senha, conhecida apenas pelo atacante, que lhe permite acessar o sistema à vontade, sem precisar executar quaisquer procedimentos de segurança.
Negação de serviço
Em um ataque de negação de serviço, o atacante envia tantas requisições de informação a um sistema alvo que o sistema alvo não consegue lidar com elas. Em alguns casos, um ataque de negação de serviço evita que o sistema alvo realize funções rotineiras. Em casos mais sérios, faz com que o sistema inteiro seja paralisado. Em um ataque de negação de serviço distribuída, um fluxo coordenado de requisições é lançado contra sistema alvo a partir de muitos computadores ao mesmo tempo. A maioria dos ataques de negação de serviço distribuída é precedida de uma fase de preparação em que muitos sistemas são comprometidos. O atacante direciona remotamente as máquinas comprometidas, conhecidas como zumbis, em direção ao alvo. 
Software invasivo
Muitos computadores pessoais estão executando softwares invasivos dos quais os proprietários não têm conhecimento. Os diferentes tipos de software invasivo incluem pestware, adware, spyware, cookies e Web bugs.
Pestware é um software clandestino que é instalado no PC através de canais não confiáveis. Em muitos casos, o fornecedor ou perpetrador o induz a instalá-lo alegando que lhe trará benefícios. O pestware geralmente não é tão malicioso quanto um vírus, mas consome recursos valiosos do sistema. Além disso, pode informar seus hábitos de navegação da internet e outras condutas pessoais. Analistas estimam que até 90% de todos os PCs estão infectados por pestware. Uma indicação clara de que o software é um pestware é que ele não vem com um programa desinstalador. Um desinstalador é um programa automatizado que remove um pacote de software específico total e sistematicamente.
A maioria dos pestware é um adware, software projetado para ajudar a exibir anúncios pop-up no computador. Produtores de adware normalmente exigem que você concorde com a instalação, induzindo-o a pensar que está baixando um freeware, como um programa de relógio atômico ou um programa de previsão de tempo local.
Alguns pestware são spyware. Programas spyware incluem programas keylogger que registram sues toques no teclado, programa de captura de senha que registram suas senhas e spamware que é elaborado para usar seu computador para envio de spam.
Spam é um email não solicitado, cuja finalidade geralmente é anunciar produtos ou serviços. O spam não só é um incômodo, mas desperdiça tempo e dinheiro. Na verdade, o spam custa às empresas dos Estados Unidos mais de US$ 20 bilhões por ano. Esses custos vêm da perda de produtividade, sistema de emails congestionados, armazenamento adicional, suporte ao usuário e software antispam.
Cookies são pequenas quantidades de informação que os websites armazenam em seu computador, temporariamente ou quase permanentemente. Em muitos casos, os cookies são úteis e inócuos. Por exemplo, alguns cookies são senhas e login de usuário que você não precisa digitar toda vez que carrega uma nova página no site que emitiu o cookie. Os cookies também são necessários se você quiser fazer compras online, já que são usados para monitorar seu caminho em um website, o tempo que você passa nele, em que links clica e outros detalhes que a empresa deseja registrar, normalmente para fins de marketing.
Web bugs são imagens gráficas pequenas e normalmente invisíveis que são adicionadas a uma página da web ou mensagem de email. As empresas usam web bugs para obter estatística sobre padrão de uso da internet e quem está procurando documentos específicos. Um uso mais prejudicial é quando spammers (emissores de spams) os ocultam dentro de mensagens de email. Essa técnica permite que os spammers saibam se seu endereço de email é real e está ativo. Depois que eles certificam disso, enviam mensagens de email continuamente.
Phishing
O phishing usa o logro para adquirir informações pessoais valiosas, como números e senhas de contas, aparecendo ser um email verdadeiro. Como exemplo, emails falsos, supostamente do centro de cobrança da AOL, pediam aos assinantes que fornecessem informações financeiras importantes para que suas contas não fossem canceladas. O link embutido nesses emails levava o usuário a uma página de cobrança da AOL incrivelmente realista, mas falsa, onde ele podia inserir o número do cartão de crédito. Os dados, no entanto, iam para conta dos ladrões. Os phishers roubam produtos, serviços e dinheiro, totalizando US$ 12 bilhões por ano. Recebem ajuda de mais de 50 gangues de criminosos profissionais, que operam principalmente na Rússia e no leste da Europa. 
Pharming
No pharming, o atacante adquire fraudulentamente o nome de domínio do website de uma empresa. Quando as pessoas digitam o endereço do website vão na verdade para o website falso do atacante, que possui a aparência exata do website real. Essas pessoas podem inserir informações importantes, achando que estão no website real.
Violação à propriedade intelectual
Proteger a propriedade intelectual é um fator imprescindível para as pessoas que atual no campo do conhecimento. A propriedade intelectual é a propriedade criada por indivíduos ou organizações que é protegida por leis de segredo comercial, patente e direito autoral.
Um segredo comercial é um trabalho intelectual, como um plano de marketing, que a empresa mantem sob segredo e não se baseia em informações públicas. Um exemplo é um plano estratégico empresarial. Uma patente é um documento que concede ao proprietário direto exclusivo sobre uma invenção ou processodurante 20 anos. Direito autoral é uma concessão legal que fornece aos criadores do produto intelectual a sua propriedade durante a vida do criador e mais 70 anos. Os proprietários têm direito de cobrar taxas de qualquer um que queira copiar a propriedade.
A propriedade intelectual mais comum relacionada à TI diz respeito ao software. O Federal Computer Software Copyrigth Act (1980) fornece proteção para códigos-fonte e código-objetivo do software de computador, mas a lei não identifica claramente o que é passível de proteção. Por exemplo, a lei de direito autoral não protege conceitos, funções e recursos gerais semelhantes, como menus suspensos, cores e ícones. Entretanto, copiar um programa de software sem pagar ao proprietário incluindo emprestar um CD a um amigo para instalar software no computador dele é uma violação do direito autoral. Não é de surpreender que essa prática, chamada pirataria, seja um grande problema para os fornecedores de software. 
A Business Software Alliance é uma organização que representa a indústria mundial de software comercial, que promove o software legal e realiza pesquisas sobre pirataria de software em um esforço para eliminá-la. O Vietnã, a China, a Indonésia, a Ucrânia e a Rússia como os países com o maior percentual de software ilegal. Nesses países, mais de 85% dos softwares usados consistem em cópias ilegais.
Por que é tão difícil deter os cibercriminosos? Uma razão é que a “indústria” do comércio on-line não está particularmente disposta a instalar proteções que dificultem as transações. Seria possível, por exemplo, exigir senhas ou números de identificação pessoal para todas as transações com cartão de crédito. Entretanto, essas exigências poderiam desencorajar as pessoas de comprarem on-line. Além disso, há pouco incentivo para que vítimas como o AOL compartilhem pistas sobre atividades criminosas, seja entre si ou com o FBI. É mais barato bloquear um cartão de crédito roubado e ir em frente do que investir tempo e dinheiro em um processo.
Protegendo recursos de informação
Análise de risco
Antes de gastar dinheiro para aplicar controles, as organizações têm de realizar o gerenciamento de riscos. Um risco é a probabilidade de uma ameaça causar impacto a um recurso de informação. O objetivo do gerenciamento de riscos é identificar, controlar e minimizar o impacto das ameaças. Em outras palavras, o gerenciamento de riscos busca reduzir o risco e avaliação dos controles.
A análise de risco é o processo pelo qual uma organização avalia o valor de cada recurso a ser protegida, estima à probabilidade de cada recurso ser comprometido e compara os custos prováveis do comprometimento de cada um com os custos de protegê-lo. As organizações realizam análises de risco para garantir que seus programas de segurança de sistemas de informações tenham um custo viável. O processo de análise de risco prioriza os recursos a serem protegidos com base no valor de todos os recursos, na probabilidade de ele ser comprometido e no custo estimado da proteção. A Organização então analisa como reduzir o risco.
Na redução de risco, a organização executa ações concretas contra os ricos. A redução de risco possui duas funções: implementar controles para prevenir a ocorrência de ameaças identificadas e desenvolver um meio de recuperação se a ameaça se tornar realidade. Existem várias estratégias de redução de risco que a organizações podem adotar. As três mais comuns são aceitação do risco, limitação do risco e transferência do risco.
Aceitação do risco: Aceitar o risco potencial, continuar operando sem controle e absorver quaisquer danos que ocorram.
Limitação do risco: Limitar o risco por meio da implementação de controles que minimizem o impacto da ameaça.
Transferência do risco: Transferir o risco usando outros meios para compensar a perda, como a contração de seguros.
Na avaliação dos controles, a organização identifica problemas na segurança a calcula os custos da implementação de medidas de controle adequadas. Se os custos de implementar um controle forem mais altos que o valor do recurso a ser protegido, o custo do controle não é viável.Por exemplo, os computadores mainframe de uma organização são valiosos demais para se aceitar o risco. Como resultado, as organizações limitam o risco aos mainframes por meio de controles, como controles de acesso. As organizações também usam a transferência de risco para os mainframes, pela contração de seguros e pela realização de backups em locais externos.
Controles
As organizações protegem seus sistemas de muitas maneiras. Nos estados unidos, uma das principais estratégias é se unir ao FBI para foram o National Infraestructure Protection Center. Essa parceria entre o governo e o setor privado se destina a proteger infraestrutura da nação, telecomunicações, energia, transporte, sistema financeiro, emergência e operações governamentais. O FBI também estabeleceu Regional Computer Intrusion Squads, que se concentram nas invasões às redes de telefone e computador, violações de privacidade, espionagem industrial, pirataria de software de computador e outros cibercrimes. Outra organização é o Computer Emergency Response Team na Carnegie Mellon University.
O Checklist Gerencial relaciona as principais dificuldades envolvidas na proteção de informações. Como isso é muito importante para toda a empresa, organizar um sistema de defesa apropriado é uma das principais atividades de qualquer CIO prudente e dos gerentes funcionais que controlam os recursos de informação. Na verdade, a segurança da TI é responsabilidade de todos em uma organização.
A estratégia mais importante para proteger informações é inserir controles. Os controles se destinam a prevenir danos acidentais, deter ações intencionais, solucionar problemas o mais rapidamente possível, melhorar a recuperação de danos e corrigir problemas. O fator importante é que a defesa deve enfatizar a prevenção. A defesa não tem qualquer valor depois que o crime é cometido. 
Como existem muitas ameaças de segurança, existem também muitos mecanismos de defesa. Os controles de segurança se destinam a proteger todos os componentes de um sistema de informação, mais especificamente dados, software, hardware e redes. Uma estratégia de defesa pode envolver o uso de diversos controles. Dividimos os controles de defesa em duas categorias principais: controles gerais e controles de aplicação. As duas categorias possuem varias subcategorias.
Controles gerais
Os controles gerais são estabelecidos para proteger o sistema independentemente da aplicação específica. Por exemplo, proteger hardware e controlar acesso ao centro de dados independem de qualquer aplicação específica. As principais categorias de controles gerais são controles de segurança de dados, controles administrativos, controles físicos, controles de acesso e controles de comunicações (rede).
Controles de segurança de dados: Proteção de dados contra exposição acidental ou voluntária a pessoas não autorizadas, ou contra modificação ou destruição não autorizada.
Controles administrativos: Publicação e monitoramento de diretrizes de segurança.
Controles físicos: Os controles físicos evitam que indivíduos não autorizados tenham acesso às instalações onde se encontram os computadores de uma empresa. Os controles físicos comuns incluem paredes, portas, cercas, portões, fechaduras, crachás, guardas e sistemas de alarme. Uma fraqueza dos controles físicos é conhecida como tailgatting. O tailgatting ocorre quando um indivíduo autorizado destranca uma porta e outros indivíduos entram com a pessoa autorizada.
Controles de acesso: Os controles de acesso restringem os indivíduos não autorizados de usarem recursos de informação e se dedicam à identificação do usuário. Há muitos tipos de controles de acesso, incluindo algo que o usuário é, algo que o usuário tem, algo que o usuário faz e algo que o usuário sabe.
Algo que o usuário é: Também conhecidos como biométricos, esses controles de acesso examinamas características físicas inatas de um usuário. As aplicações biométricas comuns são leitura de impressão digital, leitura da palma, leitura da retina, reconhecimento da íris e reconhecimento facial. Desses a impressão digital, a leitura da retina e o reconhecimento da íris fornecem a identificação definitiva; 
Algo que o usuário tem: Esses controles de acesso incluem cartões de identificação, cartões inteligentes (smart cards) e fichas (tokens). Os cartões de identificação comuns possuem uma fotografia do usuário e, provavelmente, a assinatura. Os cartões inteligentes possuem chips embutidos e um visor digital que apresenta um número de login que o empregado usa para obter acesso, o numero muda a cada login;
Algo que o usuário faz: Esses controles de acesso incluem reconhecimento de voz e assinatura. No reconhecimento de voz, o usuário fala uma frase que foi previamente gravada. O sistema de reconhecimento de voz compara os dois sinais de voz. No reconhecimento de assinatura, o usuário assina o nome e o sistema compara a assinatura com a previamente registrada. Os sistemas de reconhecimento de assinatura também comparam a velocidade e a pressão da assinatura;
Algo que o usuário sabe: Esses controles de acesso incluem senhas e passphares. Uma senha é uma combinação privativa de caracteres que somente o usuário deve conhecer. Uma passphare é uma série de caracteres mais longa que uma senha, mas pode ser memorizada com facilidade. Uma senha efiente possui as seguintes características:
Deve ser difícil de descobrir;
Deve ser longa em vez de curta;
Deve usar letras maiúsculas, letras minúsculas e caracteres especiais;
Não deve ter o nome de nada ou ninguém familiar, como sua família ou animais de estimação; 
Não deve ter uma string de números reconhecíveis, como CPF ou data de nascimento;
Não deve ser uma palavra reconhecível. 
As senhas com essas características são chamadas senhas fortes. Os hackers podem descobrir senhas fracas usando um ataque de força bruta. O hacker simplesmente usa um programa de computador que experimenta cada palavra do dicionário, incluindo nomes próprios até encontra uma correspondência. 
Controles de comunicação (rede): Os controles de comunicação (rede) lidam com a movimentação de dados através de redes e incluem autenticação, autorização e controles de segurança de fronteira. A autenticação o principal objetivo é a prova de identidade, a autorização e a permissão concedida a indivíduos e grupos para realizar certas atividades com recursos de informação, com base na identidade verificada e os controles de segurança de fronteira consistem controles de malware, controles de detecção de invasão, firewall, criptografia e redes privadas virtuais. Os controles malware basicamente são os antivírus, o principal objetivo da detecção de invasão é detectar acesso não autorizado à rede.
O firewall é um sistema que evita que um tipo especifico de informação se movimente entre redes não confiáveis, como internet, e redes privadas, como a rede de uma empresa. Basicamente, os firewalls impedem que usuários da internet não autorizados acessem redes privadas. Os firewalls podem consistir em hardware, software ou uma combinação dos dois. Todas as mensagens que entram ou saem da rede de uma empresa passam pelo firewall. O firewall então verifica cada mensagem e bloqueia aquelas que não atendem aos critérios de segurança previamente especificados.
Os firewalls variam desde os simples, para uso doméstico que geralmente é implementado como software no computador doméstico, aos muitos complexos, para organizações que precisam de um alto nível de segurança. Tem organizações que utilizam firewall externo e um firewall interno com uma zona desmilitarizada entre eles. As mensagens da internet precisam primeiro, passar pelo firewall externo. Se estiverem de acordo com as regras definidas, as mensagens são enviadas aos servidores da empresa localizada na zona desmilitarizada. Esses servidores normamente manipulam requisições de páginas web e emails. Quaisquer mensagens destinadas à rede interna da empresa precisam atravessar o firewall interno para ter acesso à rede privada da empresa.
A criptografia é o processo de converter uma mensagem original em uma forma que não pode ser lidar por ninguém, exceto o destinatário pretendido. Quando não há um canal seguro para enviar informações, você deve usar a criptografia para evitar os bisbilhoteiros não autorizados.
Todos os sistemas de criptografia usam uma chave, que é o código que embaralha e depois decodifica as mensagens. Na criptografia simétrica, o remetente e o destinatário usam a mesma chave. Um dos problemas da criptografia simétrica é que tanto o remetente quanto o destinatário precisam conhecer a chave e mantêla em segredo. Além disso, se o remetente usar chaves diferentes para enviar mensagens para pessoas diferentes, o gerenciamento de chaves se torna um problema.
Os problemas do gerenciamento de chaves levaram ao desenvolvimento da criptografia de chave pública. A criptografia de chave pública também conhecida como criptografia assimétrica usa duas chaves diferentes: uma pública e uma privada. A chave pública e a privada são criadas simultaneamente com a mesma fórmula matemática. Com as duas chaves estão matematicamente relacionadas, Os dados criptografados com uma chave podem ser criptografados usando-se a outra chave. A chave pública fica publicamente disponível em um diretório que todas as partes podem acessar. A chave privada é mantida em segredo, nuca é compartilhada com ninguém e nunca é enviada pela internet. 
Os sistemas de chave pública também mostram se uma mensagem é autêntica: ou seja, se você criptografa uma mensagem usando sua chave privada, precisa “assina-la” eletronicamente. O destinatário pode verificar se a mensagem veio de você usando sua chave pública para decriptografá-la. Embora esses sistemas sejam adequados para a correspondência pessoal, fazer negócios através da internet requer um sistema complexo. Nesse caso, uma terceira parte, chamada autoridade de certificação, age como intermediário confiável entre as empresas. Como tal, a autoridade de certificação emite certificados digitais e verifica o valor e integridade dos certificados. Um certificado digital é um documento eletrônico anexado a um arquivo certificado que esse arquivo vem da organização que alega e que não foi modificado e seu formato original.
Uma rede privada virtual é uma rede particular que usa uma rede pública para conectar usuários. Em vez de usar uma rede remota proprietária, uma rede privada virtual usa conexões “virtuais” roteadas pela internet a partir da rede privada da empresa para um site remoto, um empregado ou outra empresa. As redes privadas virtuais usam a criptografia para garantir a segurança. 
Controles de aplicação
Enquanto os controles gerais protegem um sistema inteiro, os controles de aplicação, como o nome segure, são salvaguardas que protegem aplicações específicas. Os controles gerais não protegem o conteúdo de cada aplicação específica. Portanto, os controles normalmente são embutidos na aplicação; ou seja, são parte do software. Os controles de aplicação incluem três categorias principais: controles de entrada, controles de processamento e controles de saída. Os controles de entrada incluem rotinas programadas que são realizadas para evitar erros nos dados de entrada antes de eles serem processados. Por exemplo, os números de CPF não devem conter caracteres alfabéticos. Os controles de processamento, por exemplo, podem comparar cartões de ponto de empregados com o arquivo principal da folha de pagamento e informar sobre cartões de ponto ausentes ou duplicados. Os controles de processamento também comparam o número total de transações com o número total de entradas e saídas de transações. Um exemplo de controle de saída é uma documentação que especifica quais destinatários autorizados recebem relatórios, contra cheques ou outros documentos importantes.
Auditoriade sistemas de informação
As empresas implementam controles de segurança para garantir que os sistemas de informações funcionem corretamente. Esses controles podem ser instalados no sistema original ou podem ser acrescentados depois que o sistema já está em operação. A instalação de controles é necessária, mas não suficiente para proporcionar a segurança adequada. Além disso, as pessoas responsáveis pela segurança precisam responder a perguntas como: todos os controles estão instalados do modo pretendido? Eles são eficazes? Ocorreu alguma falha na segurança? Nesse caso, que ações são necessárias para evitar futuras falhas?
Essas questões podem ser respondidas por observadores independentes e imparciais. Esses observadores realizam a tarefa de auditoria de sistemas de informação. Em um ambiente de SI, auditoria é uma verificação dos sistemas de informação, suas entradas, saídas e processamento.
Tipos de auditorias e auditorias 
Existem dois tipos de auditores e auditorias: internos e externos. A auditoria de SI geralmente e parte da auditoria interna da contabilidade, e frequentemente é realizada por auditores internos da empresa. Um auditor externo examina tudo que a auditoria interna descobriu, bem como as entradas, o processamento e as saídas dos sistemas de informação. A auditoria externa dos sistemas de informação normalmente é parte da auditoria externa geral realizada por uma empresa de contabilidade pública certificada. 
Como a auditoria é executada?
Os procedimentos de auditoria de Sis se encaixam em três categorias: auditoria em torno do computador, auditoria através do computador e auditoria com o computador.
Auditoria em torno do computador significa verificar o processamento procurando saídas conhecidas que usam entradas específicas. Esse método funciona melhor em sistemas com saídas limitadas. Na auditoria através do computador, entradas, saídas e processamento são verificadas são verificadas. Os auditores conferem a lógica dos programas, testam os dados e controlam o processamento e o reprocessamento. A auditoria com o computador significa uma combinação de dados do cliente, software de auditoria e hardware do cliente e da auditoria. Ela permite que o auditor realize tarefas como simular a lógica do programa de folha de pagamento usando dados reais.
Plano de recuperação de acidentes
Uma estratégia de defesa importante é estar preparado para várias eventualidades. Um elemento importante em qualquer sistema de segurança é um plano de recuperação de acidentes. A destruição da maioria ou de todos os recursos de computação de uma organização pode causar danos significativos. Na verdade, muitas organizações têm problemas para contratar seguros se não tiverem um plano satisfatório de prevenção e recuperação de acidentes para os sistemas de informação. 
Recuperação de acidentes é a cadeia de eventos que abrange desde o planejamento até a proteção e a recuperação. A finalidade de um plano de recuperação é manter a empresa funcionando depois de um acidente, um processo chamado continuidade dos negócios. O planejamento deve envolver primeiro, a recuperação da perda total de todas as habilidades computacionais. Para tanto, o plano precisa identificar todas as aplicações críticas, bem como seus procedimentos de recuperação. O plano deve ser mantido em local seguro e deve passar por uma auditoria periodicamente. Todos os gerentes devem-te uma cópia.
A prevenção de acidentes tem por objetivo minimizar as chances de acidentes evitáveis, como incêndios premeditados ou outras ameaças humanas. Por exemplo, muitas empresas usam um dispositivo chamado no-break, que fornece energia de emergência em caso de falta de energia.
No caso de um grande desastre, normalmente é necessário ter acesso a um local e backup enquanto as instalações centrais de computação não estão funcionando. Muitas empresas contratam hot sites externos para ter acesso a centros de dados totalmente configurados que possuem cópias dos dados e dos programas. A tragédia do Word Trade Center em 11 de setembro de 2001 mostrou a importância de arranjos de backup, especialmente os hot sites. 
Responsável pela segurança dos sistemas de informação
A gestão da segurança da informação necessita da participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de fornecedores, clientes e acionistas. Entretanto, as metas, objetivos, direção, incentivos e definição dos papéis e responsabilidades em relação à consecução segurança da informação, devem vir da alta direção (da diretoria, ou fórum de segurança da informação) da organização, a quem compete a:
Análise crítica e aprovação da política da segurança da informação e das responsabilidades envolvidas;
Monitoração das principais mudanças na exposição dos ativos das informações às principais ameaças; 
Análise crítica e monitoração de incidentes de segurança da informação; 
Aprovação das principais iniciativas para aumentar o nível da segurança da informação;
De acordo com o tamanho da organização, pode ser nomeado um RD (representante da direção), que será o líder de uma equipe destinada a coordenar a segurança da informação, e também pode ser chamado da Security Officer. Esta gerência é responsável por:
Gestão do Sistema de Segurança da Informação, com responsabilidade pelo desenvolvimento e implementação da segurança e responsabilidade pelo suporte e à identificação dos controles;
Assegurar que o Sistema de Segurança da Informação da organização seja mantido em conformidade com a Norma de Segurança da Informação específica ou a Norma BS 7799; 
Relatar o desempenho e manutenção do Sistema de Segurança da organização à Alta Direção para sua análise crítica como base para garantia da segurança e continuidade do negócio.
Para gestão estratégica da segurança deve-se considerar 8 elementos do sistema de proteção da informação; 
O sistema de proteção da informação deve estar alinhado com as estratégias e objetivos de negócios da organização;
A proteção da informação requer comprometimento da alta direção em manter alinhados os objetivos de segurança com os níveis de segurança desejados para o negócio;
Os investimentos em segurança da informação devem ser compatíveis com o nível de segurança e proteção da informação esperada pela organização, ou melhor, necessário para suportar os negócios;
As responsabilidades com a segurança e a proteção da informação, devem estar explicitas para todos os funcionários, clientes e fornecedores e as consequências advindas do não cumprimento das políticas, normas e procedimentos devem ser claramente divulgados e conhecidos por todos;
Os proprietários (responsáveis pela guarda, monitoramento e administração) das informações têm responsabilidades sobre a manutenção da integridade, confidencialidade e disponibilidade, podendo dar permissões de acesso ou retirá-las de acordo com as necessidades do negócio;
A proteção da informação deve fazer parte de um sistema com análise, revisões e correções permanentes que devem incluir a análise de risco e de impacto no negócio, e a classificação da informação, visando garantir a manutenção do nível esperado de segurança pela organização;
 O sistema de segurança da informação deve ser periodicamente auditado e testado, considerando as disposições ou ações corretivas para desvios ou falhas de funcionamento encontrado, e realimentando assim todo o sistema com a verificação de novas vulnerabilidades que possam ter surgido ao longo de seu funcionamento;
 A segurança da informação é um sistema eficiente de proteção dos ativos, deve ser construída com base na cultura da organização e nas necessidades de proteção identificadas, preservando as devidas regionalidade e propriedades inerentes aos países onde as mesmas existem ou suas filiais estão instaladas. A proteção da informação deve ser um meio para organização alcançar seus objetivos e não deve significar um fim em si mesmo. 
Conclusão
Com o atualcenário de insegurança e riscos tecnológicos, começa um movimento no qual extrapola o controle da própria empresa e da própria área de TI e segurança. Os usuários cada vez mais querem usar novas tecnologias e ter acesso a dispositivos diversificados. Com isso, temos cada vez mais um cenário que tende a trazer mais vulnerabilidade. Por todo esse campo repleto de incertezas, buscam-se meios pra identificar os riscos, entender os riscos e implementar um controle sobre eles, mas quando os riscos já causaram danos, tenta-se absorvê-los da melhor forma possível. Por todo o conteúdo mostrado, pode-se observar a necessidade de um complexo de defesa constante e eficaz independente da área exercida, algumas com maiores investimentos pela própria necessidade, como por exemplo, os bancos. Uma empresa farmacêutica também deve destinar parte do investimento para área de segurança do sistema de informação, porém não há a necessidade de um investimento do porte de um banco. Cada sistema sabe o peso das informações que devem ser protegidas e o quanto deve ser aplicado para proteção delas.
Referências Bibliográficas
Profissionaisti, Entendo os fundamentos da segurança da informação. Disponível em:  <http://www.profissionaisti.com.br/2013/10/entendendo-os-fundamentos-da-seguranca-da-informacao/>. Acesso em 25 Mai. 2014.
Apinfo, Artigo 81. Disponível em: 
<http://www.apinfo.com/artigo81.htm>. Acesso em 25 Mai. 2014.
Techoje, 261. Disponível em:
<http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/261>. Acesso em 25 Mai. 2014.
TURBAN, Efrain; Rainer Jr., Kelly; Potter, Richard. R. Introdução a sistemas de informação: uma abordagem gerencial. São Paulo:Campus, 2007.
UNIVERSIDADE DO GRANDE RIO
PROF. JOSÉ DE SOUZA HERDY
ESCOLA DE CIÊNCIA E TECNOLOGIA
CURSO DE ENGENHARIA DE PRODUÇÃO
UNIVERSIDADE DO GRANDE RIO
PROF. JOSÉ DE SOUZA HERDY
ESCOLA DE CIÊNCIA E TECNOLOGIA
CURSO DE ENGENHARIA DE PRODUÇÃO