SEGURANCA_DA_INFORMACAO

Prévia do material em texto

1 
 
SEGURANÇA DA INFORMAÇÃO 
 
INTRODUÇÃO 
 
Veremos alguns conceitos fundamentais para a compreensão da segurança da informação e 
das metodologias para sua implantação nas organizações. Desde o surgimento da raça 
humana na Terra, a informação esteve presente através de diferentes formas e técnicas. O 
homem buscava representar seus hábitos, costumes e intenções com diversos meios que 
pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um 
lugar para outro. As informações importantes eram registradas em objetos preciosos e 
sofisticados e pinturas magníficas, entre outros, que eram armazenados com muito cuidado 
em locais de difícil acesso. A eles só tinham acesso aqueles que tivessem autorização para 
interpretá-la. Atualmente, as informações constituem o objeto de maior valor para as 
empresas. O progresso da informática e das redes de comunicação nos apresenta um novo 
cenário, no qual os objetos do mundo real estão representados por bits e bytes, que ocupam 
lugar em diversos meios e possuem formas diferentes das originais, sem deixar de ter o 
mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior. Por 
esse e outros motivos a segurança da informação é um assunto tão importante para todos, 
pois afeta diretamente todos os negócios de uma empresa ou de um indivíduo. Segurança é 
um termo que transmite conforto e tranqüilidade a quem desfruta de seu estado. Entender e 
implementar este “estado” em um ambiente organizacional exigem conhecimento e práticas 
especializadas que somente são possíveis com o emprego e uso de um código de práticas de 
segurança, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005. 
 
 
OBJETIVOS 
Compreender os conceitos básicos da segurança da informação para obter uma melhor 
idéia de suas implicações. 
 
Entender a importância da informação nos negócios atualmente para agir de forma mais 
ágil na sua proteção. 
 
Conhecer os princípios básicos da segurança da informação: confidencialidade, 
disponibilidade e integridade, com a finalidade de entender como as ameaças e 
vulnerabilidades podem atingir a cada um deles e saber quais as medidas de proteção mais 
adequadas para cada informação. 
 
Conhecer a evolução da segurança da informação como disciplina de estudos desde o 
seu nascimento até os dias de hoje. 
 
 
 
 
 
 
 
 
 
 
 
 
2 
 
 
IMPLEMENTAÇÃO DE UM SISTEMA DE SEGURANÇA 
 
Podemos representar a implantação de um sistema de segurança da informação na empresa 
como a escalada de uma grande montanha, na qual pouco a pouco iremos subindo e 
passando os níveis em termos de conceitos, ferramentas e conhecimento do ambiente 
tecnológico da empresa. Mais tarde veremos que não basta chegar ao topo da montanha; a 
segurança é um processo contínuo, o chamado ciclo de segurança. 
 
 
 
 
 
CONCEITOS BÁSICOS 
Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da 
informação. Depois de entender cada conceito, você receberá uma nova ferramenta para 
ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avançando 
até os próximos capítulos para compreender como se implementa a segurança da 
informação. Nesta etapa, você ainda não possui essas ferramentas, por isso vai começar a 
escalada com um acampamento básico. Esse acampamento ilustra a situação em que se 
encontram as empresas na etapa inicial da implementação da segurança: baixo controle do 
ambiente, alto índice de risco, processo de segurança pessoal e intuitivo, entre outros. Então 
3 
 
vamos conhecer os principais conceitos da segurança da informação e por que ela é 
necessária para o sucesso dos negócios de uma empresa. O objetivo deste estudo é obter 
um ambiente seguro para a informação. Mas o que é informação? 
 
Segundo o dicionário Aurélio [1], informação é o conjunto de dados acerca de alguém ou de 
algo. Estendendo esse conceito, podemos dizer que a informação é a interpretação desses 
dados. De nada vale um conjunto de dados sem que se faça a interpretação dos mesmos 
para se extrair um conhecimento útil. 
 
As organizações necessitam da informação para tomar decisões objetivando seus fins (o 
sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias, não há 
mudanças ou até mesmo não existiria a empresa. Uma conseqüência natural da importância 
da informação é a extrema vulnerabilidade a que cada empresa se expõe caso haja perda de 
dados vitais, como plantas de projetos, planilhas de custos, documentos contábeis, 
financeiros, etc. Quanto maior for a organização maior será sua dependência da informação. 
A informação pode estar armazenada de várias formas: impressa em papel, em meios digitais 
(discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em 
fotografias e filmes. Quando lidamos com segurança da informação, é necessário pensar em 
sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando 
todos os recursos disponíveis, e não somente os tecnológicos. Devemos tratar a informação 
como um ativo da empresa com a mesma importância que qualquer outro bem palpável. Por 
isso, deve ser protegido contra roubo, problemas ambientais, vandalismo, dano acidental ou 
provocado. Quanto mais interconectada for uma empresa, maior será a complexidade dos 
sistemas por onde trafegam e são armazenadas as informações e, conseqüentemente, maior 
será a preocupação com o nível de segurança a ser implantado a fim de garantir a 
confidencialidade, confiabilidade, disponibilidade e integridade da informação que ela detém. 
 
A disciplina de segurança da informação trata do conjunto de controles e processos que 
visam preservar os dados que trafegam ou são armazenados em qualquer meio. As 
modernas tecnologias de transporte, armazenamento e manipulação dos dados, trouxeram 
enorme agilidade para as empresas, mas, ao mesmo tempo, trouxeram também novos riscos. 
Ataques de crackers (black hat hackers), de engenharia social, vírus, worms, negação de 
serviço, espionagem eletrônica são noticiadas pela imprensa todos os dias. Diante deste 
cenário, a segurança da informação torna-se imprescindível para as organizações, sejam elas 
do setor público ou privado. 
 
A segurança da informação tem como propósito proteger as informações registradas, sem 
importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores 
ou até mesmo na memória das pessoas que as conhecem. 
 
… uma das preocupações da segurança da informação é proteger os elementos que fazem 
parte da comunicação. Assim, para começar, é necessário identificar os elementos que a 
segurança da informação tenta proteger: 
 
As informações 
Os equipamentos e sistemas que oferecem suporte a elas 
As pessoas que as utilizam 
 
Além disso, é importante que todos os funcionários da empresa tenham consciência de como 
devem lidar com as informações de forma segura, já que de nada serve qualquer sistema de 
segurança, por mais complexo e completo que seja, se os funcionários, por exemplo, facilitam 
o acesso ou fornecem seu nome de usuário e senha a pessoas estranhas à empresa e, com 
4 
 
isso, deixam aberta a porta para possíveis ataques ou vazamento de informações críticas 
para fora da empresa. 
 
 
 
 
PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO 
Agora aprofundaremos os princípios básicos que nos ajudarão a proteger o ativo de mais 
valor nos negócios modernos: a informação. Proteger os ativos significa adotar medidas para 
evitar a concretização de ameaças que podem afetar a informação: 
Corrompendo-a, 
tendo acesso a ela de forma indevida, ou mesmo 
eliminando-a ou furtando-a 
 
Por isso, entendemos que a segurança da informação busca proteger os ativos de uma 
empresa ou indivíduo com base na preservaçãode três princípios básicos: 
Integridade 
Confidencialidade e 
Disponibilidade da informação 
 
 
 
 
 
PRINCÍPIO DA INTEGRIDADE DA INFORMAÇÃO 
O primeiro dos três princípios da segurança da informação que aplicamos é a integridade, a 
qual nos permite garantir que a informação não tenha sido alterada de forma não autorizada 
e, portanto, é íntegra. Uma informação íntegra é uma informação que não foi alterada de 
forma indevida ou não-autorizada. Para que a informação possa ser utilizada, ela deve estar 
íntegra. Quando ocorre uma alteração não-autorizada da informação em um documento, isso 
quer dizer que o documento perdeu sua integridade. A integridade da informação é 
fundamental para o êxito da comunicação. O receptor deverá ter a segurança de que a 
informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição 
pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado 
5 
 
original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para tal. Se 
uma informação sofre alterações em sua versão original, então ela perde sua integridade, o 
que pode levar a erros e fraudes, prejudicando a comunicação e o processo de decisões. 
A quebra de integridade ocorre quando a informação é corrompida, falsificada ou 
indevidamente alterada. Uma informação poderá ser alterada de várias formas, tanto em seu 
conteúdo quanto no ambiente que lhe oferece suporte. Portanto, a quebra da integridade de 
uma informação poderá ser considerada sob dois aspectos: 
 
1. Alterações do conteúdo dos documentos – quando são realizadas inserções, 
substituições ou exclusões de parte de seu conteúdo. 
 
2. Alterações nos elementos que oferecem suporte à informação – quando são 
realizadas alterações na estrutura física e lógica onde a informação está armazenada. 
 
Exemplo: Quando as configurações de um sistema são alteradas para permitir acesso de 
escrita a informações restritas, quando são superadas as barreiras de segurança de uma rede 
de computadores. Todos são exemplos de situações que podem levar a quebra da 
integridade, afetando a segurança. Portanto, a prática da segurança da informação tem como 
objetivo impedir que ocorram eventos de quebra de integridade, que causam danos às 
pessoas e às empresas 
 
Quão importante é para você que as informações sobre os salários dos funcionários de sua 
empresa não sejam alteradas por acidente ou delito? Você sabe se as informações sobre os 
projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros? 
 
PROTEGER A INTEGRIDADE DA INFORMAÇÃO 
Buscar a integridade é tentar assegurar que apenas as pessoas ou sistemas autorizados 
possam fazer alterações na forma e no conteúdo de uma informação, ou que alterações 
causadas por acidentes ou defeitos de tecnologia não ocorram, assim como no ambiente no 
qual ela é armazenada e pela qual transita, ou seja, em todos os ativos. Logo, para proteger a 
integridade, é preciso que todos os elementos que compõem a base da gestão da informação 
se mantenham em suas condições originais definidas por seus responsáveis e proprietários. 
Em resumo: proteger a integridade é um dos principais objetivos para a segurança das 
informações de um indivíduo ou empresa. 
 
 
6 
 
 
 
PRINCÍPIO DA CONFIDENCIALIDADE DA INFORMAÇÃO 
O princípio da confidencialidade da informação tem como objetivo garantir que apenas a 
pessoa correta tenha acesso à informação. As informações trocadas entre indivíduos e 
empresas nem sempre deverão ser conhecidas por todos. Muitas informações geradas pelas 
pessoas se destinam a um grupo específico de indivíduos e, muitas vezes, a uma única 
pessoa. Isso significa que esses dados deverão ser conhecidos apenas por um grupo 
controlado de pessoas, definido pelo responsável da informação Por isso, dizemos que a 
informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas 
não-autorizadas não tenham acesso a ela. Ter confidencialidade na comunicação é ter a 
segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido 
por quem tiver autorização para tal. Perda de confidencialidade significa perda de segredo. Se 
uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e 
não divulgada para pessoas não-autorizadas 
 
Exemplo: 
Pensemos no caso de um cartão de crédito. O número do cartão só poderá ser conhecido por 
seu proprietário e pela loja onde é usado. Se esse número for descoberto por alguém mal-
intencionado, como nos casos noticiados sobre crimes da Internet, o prejuízo causado pela 
perda de confidencialidade poderá ser muito elevado, pois esse número poderá ser usado por 
alguém para fazer compras na Internet, trazendo prejuízos financeiros e uma grande dor de 
cabeça para o proprietário do cartão. O mesmo ocorre no caso de uso indevido de senhas de 
acesso a sistemas bancários, por exemplo. Milhares de dólares são roubados diariamente 
pela ação de criminosos virtuais que se dedicam a invadir sistemas para quebrar a 
confidencialidade das pessoas e empresas. 
 

PROTEGER A CONFIDENCIALIDADE DA INFORMAÇÃO 
Proteger a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais 
difíceis de implementar, pois envolve todos os elementos que fazem parte da comunicação da 
informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Além 
disso, informações tem diferentes graus de confidencialidade, normalmente relacionados ao seus 
valores. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na 
7 
 
estrutura tecnológica e humana que participa desse processo: uso, acesso, trânsito e armazenamento 
das informações. Deve-se considerar a confidencialidade com base no valor que a informação tem 
para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Assim, deve ser 
acessada, lida e alterada somente por aqueles indivíduos que possuem permissão para tal. O acesso 
deve ser considerado com base no grau de sigilo das informações, pois nem todas as informações 
importantes da empresa são confidenciais. 
 
Como mencionado, o primeiro passo para proteger a confidencialidade das informações é através do 
estabelecimento do grau de sigilo. Vejamos a seguir esse conceito fundamental: 
 
Grau de sigilo: As informações geradas pelas pessoas têm uma finalidade específica e 
destinam-se a um indivíduo ou grupo. Portanto, elas precisam de uma classificação com 
relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação 
atribuída a cada tipo de informação com base no grupo de usuários que possuem permissões 
de acesso. O grau de sigilo faz parte de um importante processo de segurança de 
informações, a classificação da informação. 
Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a 
informação, define-se um grau de sigilo. Um exemplo de graus de sigilo pode ser: 
 
Confidencial 
Restrito 
Sigiloso 
Público 





PRINCÍPIO DA DISPONIBILIDADE DAS INFORMAÇÕES 
 
Além de trabalharmos para que a informação chegue apenas aos destinatários ou usuários 
adequados e de forma íntegra, devemos fazer com que esteja disponível no momento 
oportuno. É disso que trata o terceiro princípio da segurança da informação: a disponibilidade 
8 
 
Para que uma informação possa ser utilizada, ela deve estar disponível. A disponibilidade é o 
terceiro princípio básico da segurança da informação. Refere-se à disponibilidade da 
informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o 
armazenamento. A disponibilidade da informação permite que: 

Seja utilizada quando necessário 
Esteja ao alcance de seus usuáriose destinatários 
Possa ser acessada no momento em que for necessário utilizá-la. 

Esse princípio está associado à adequada estruturação de um ambiente tecnológico e 
humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos 
negativos para a utilização das informações. Assim, o ambiente tecnológico e os suportes da 
informação deverão estar funcionando corretamente para que a informação armazenada 
neles e que por eles transita possa ser utilizada pelos usuários. 
 
Exemplo: 
falham, o que impede que se tome uma decisão central em termos de negócios. 
 
destruídas e não se contava com um suporte para as mesmas. 

PARA se PENSAR. 
A informação necessária para a tomada de decisões críticas para o negócio se encontra 
sempre disponível? Você sabe se existem vulnerabilidades que impeçam isso? Você conta 
com sistemas de suporte de informação? 
 
 
 
PROTEGER A DISPONIBILIDADE DA INFORMAÇÃO 
 
Para que seja possível proteger a disponibilidade da informação, é necessário conhecer seus 
usuários, para que se possa organizar e definir, conforme cada caso, as formas de 
disponibilização, seu acesso e uso quando necessário. A disponibilidade da informação deve 
ser considerada com base no valor que a informação tem e no impacto resultante de sua falta 
de disponibilidade. Para proteger a disponibilidade, muitas medidas são levadas em 
consideração. Entre elas, destacamos: 

A configuração segura de um ambiente em que todos os elementos que fazem parte da 
cadeia de comunicação estejam dispostos de forma adequada para assegurar o êxito da 
leitura, do trânsito e do armazenamento da informação. 
 
Também é importante fazer cópias de segurança – backup. Isso permite que as mesmas 
estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de 
sua base original 
 
Para aumentar ainda mais a disponibilidade da informação, deve-se: 

Definir estratégias para situações de contingência. 
 
9 
 
Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a 
continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos, 
não estejam em perfeitas condições de funcionamento. 
 
 
EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO 
 
Desde a pré-história, cerca de 2000 anos antes de Cristo (AC), o homem já sentia 
necessidade de transmitir e perpetuar a informação. Usava pinturas nas pedras para 
expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita 
na Suméria. A partir daí várias civilizações desenvolveram seus próprios métodos de registro 
e transmissão da informação, dentre eles podemos destacar: 
 
 
 
agdá em 753 DC; 
 
 
 
 
 
Todo este processo milenar nos levou até as modernas tecnologias de transmissão e 
armazenamento digital de dados no século 20 [2]. Todos aqueles métodos de 
armazenamento padeciam de um problema: como preservar essas informações para que 
fossem acessadas após sua geração? No ano 600 da era cristã o rei Ashurbanipal em 
Nineveh organizou a primeira biblioteca, cujo acervo sobrevive até os dias atuais com cerca 
de 20000 placas. É um exemplo clássico da necessidade da transmissão da informação 
armazenada. Desde o início, o desafio era conter as diversas ameaças à informação, 
algumas das quais enfrentamos até hoje: incêndios, saques, catástrofes naturais, 
deterioração do meio de armazenamento. 
À medida que a sociedade evoluía, a preocupação com a segurança das informações 
aumentava, principalmente no quesito confidencialidade. Foram criados vários processos de 
cifragem da informação, que tinham a função de alterar o conteúdo das mensagens antes de 
seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado e não a 
mensagem original. Isso permitiu que segredos e estratégias fossem trocados de forma 
segura entre aliados. Por exemplo, a cifragem de César foi usada para troca de informações 
entre os exércitos durante o império romano; a máquina de cifrar “Enigma” foi utilizada como 
uma grande arma de guerra pelos alemães durante o período da segunda grande guerra. 
Atualmente a criptografia e a estenografia continuam sendo largamente utilizadas em diversas 
aplicações de transferência e armazenamento de dados. O surgimento dos computadores e 
de sua interconexão através de redes mundialmente distribuídas permitiu maior capacidade 
de processamento e de distribuição das informações. Com essa capacidade de comunicação, 
surgiu também a necessidade da criação de mecanismos que evitassem o acesso e a 
alteração indevida das informações. Como resultado surgiram várias propostas e publicações 
de normas de segurança em todo o mundo. 
 
Material extraído de : 
Academia Latino-Americana de Segurança da Informação – Curso Básico Módulo 1 – Introdução à 
Segurança da Informação - Microsoft TechNet 
10 
 
CRIME em INFORMÁTICA 
 
O que é a Pirataria de Softwares? 
Há varias formas de pirataria de softwares, sendo que cada uma delas contribui para que a 
indústria de softwares perca anualmente alguns bilhões de dólares. A seguir listamos as formas 
mais comuns de pirataria de software que afetam as desenvolvedoras de software. 
Pirataria de Usuário Final 
Ocorre quando os usuários fazem cópias adicionais do software sem autorização. Aqui estão 
incluídas as cópias casuais realizadas por alguns indivíduos em empresas que não monitoram de 
perto a diferença entre o número de licenças instaladas e o número de licenças adquiridas. 
Venda Não Autorizada 
A pirataria de revendedor ocorre quando um revendedor sem escrúpulos distribui múltiplas cópias 
de um único pacote de software original a diferentes clientes. A pirataria de revendedor também 
ocorre quando os revendedores vendem de má fé cópias piratas com aspecto de original para 
clientes desavisados. O que denuncia a pirataria de revendedor é a existência de múltiplos 
usuários com o mesmo número de série, a ausência de documentação original, um pacote 
incompleto, ou quando a documentação não confere com a versão do software instalado. 
Pirataria pela Internet 
Enquanto as desenvolvedoras de softwares oferecem versões autorizadas de seus softwares para 
venda online, diretamente ou por meio de um de distribuidores/revendedores autorizados, há 
também numerosas operações não autorizadas ocorrendo pela Internet: 
 Sites piratas que disponibilizam o download gratuito do software, ou requisitam a troca 
pelo upload de outros programas; 
 Sites de leilões via Internet que oferecem cópias falsas, desviadas, ou com quebra de 
direitos autorais dos softwares; e, 
 Redes peer-to-peer que permitem a transferência não autorizada de programas 
protegidos por direitos autorais. 
 
A pirataria pela Internet talvez seja o único problema a representar grande risco ao e-commerce 
Caso você encontre softwares à venda em sites populares de leilão com preços baixos demais 
para ser verdade, é provável que se trate de pirataria. Realizar ofertas por tais softwares deixam 
você exposto às responsabilidades legais referentes a pirataria de softwares. 
Falsificação de Softwares 
É a duplicação ilegal e venda de material protegido por direitos autorais com a intenção direta de 
imitar o produto protegido. No caso de pacote de produtos de software é comum encontrar cópias 
falsas de CDs ou disquetes que imitam o programa de software e sua embalagem, manuais, 
acordos de licença, etiquetas, cartões de registro e funções de segurança. 
Cracking 
Ocorre quando se consegue acesso ilegal a softwares protegidos. 
11 
 
Crimes de Pirataria de Software 
Prática ilícita caracterizada pela reprodução e uso indevidos de programas de computador legalmente protedidos. 
As modalidades da pirataria de software são : 
 
 FalsificaçãoFalsificação é a cópia e a comercialização ilegal de software protegido por direitos autorais, com a intenção 
de imitar o material original. Inclui imitação da embalagem, documentação, etiquetas e das demais 
informações. Esta prática é sofisticada, mas a menos comum no Brasil. 
 CDROM Pirata 
É a duplicação ilegal e a comercialização das cópias com objetivo de obter lucro. Normalmente, a cópia é 
feita em mídia regravável e vendida através de anúncios classificados em jornais, pela internet, ou 
diretamente em "lojas" ou bancas de camelôs. Costumam trazer "coletãneas", ou seja, diversos programas 
compactados num único CD, e seu preço é geralmente irrisório. Diferente da falsificação, neste caso, o 
usuário sabe que está comprando uma cópia ilegal. 
 Revendas de Hardware 
Alguns revendedores de computador, sobretudo aqueles que atual no mercado informal, gravam cópias 
não autorizadas de software nos discos rígidos dos PCs, sem fornecer ao usuário a licença original ou a 
documentação técnica. Trata-se de estratégia para incentivar a compra do hardware, sem o conhecimento 
do comprador quanto a existência de pirataria. 
 Pirataria Individual 
Compartilhar programas com amigos e colegas de trabalho também é um problema significativo. 
Usuários individuais, que fazem cópias não autorizadas, simplesmente não acreditam que possam ser 
detectados, sobretudo em face do enorme número de pessoas que pratica esse tipo de pirataria. 
 Pirataria Corporativa 
É a execução de cópias não autorizadas de software para computadores dentro de organizações. Ocorre 
quando cópias adicionais são feitas por empregados, para uso na corporação (empresas, escolas, 
repartições públicas, etc), sem a necessária aquisição de novas licenças. Esta é uma das formas de 
pirataria mais difundidas, sendo responsável por mais da metada das perdas sofridas pela indústria 
mundial de software. As grandes empresas, geralmente, são mais cuidadosas em relação ao uso legal de 
software do que companhias de pequeno e médio portes, pois são mais sensíveis ao fato de que a prirataria 
não só expõe publicamente a empresa, como também a submete ao risco de altas indenizações, pois 
mesmo poucas cópias ilegais podem significar multas vultosas, além de outras penalidades. 
 Pirataria Cliente/Servidor 
Quando a empresa passa de um ambiente de usuários isolados, para um ambiente de rede, é comum 
confiar a instalação e o gerenciamento a consultores ou revendedores. Podem ser instaladas cópias ilegais 
no servidor, ou mesmo uma cópia original, mas não destinada ao uso em rede e ainda, permitir mais 
usuários do que a quantidade definida na licença, colocando a empresa em sério risco. Exceder o número 
permitido de usuários discriminado na licença também se configura como pirataria. 
 Pirataria Online 
Como o acesso à internet se tornou uma prática comum nos ambientes de trabalho, este tipo de pirataria 
vem crecendo rapidamente. O software pode ser facilmente transferido e instalado, e mais, 
anonimamente. 
 
12 
 
 O software é uma obra intelectual e não um produto. Quando compramos um programa de computador, 
estamos adquirindo uma licença de uso. 
 Quem compra software pirata está sujeito a mesma punição aplicada a quem está vendendo. Nas ações, as 
autoridades policiais apreendem listas com nomes de compradores, que podem ser indiciados. 
 Há quem diga que o alto preço cobrado pelo software no mercado brasileiro incentiva a pirataria. A 
prática, ao contrário, mostra que é uma questão cultural, que se consolidou à época da reserva de 
mercado. Um bom exemplo é o do programa Wordstar. Em comparação com os demais, tinha um baixo 
custo e nem por isso deixou de ser amplamente pirateado. 
 Todos perdem com a pirataria. A oferta de empregos diminui, o Estado deixa de arrecadar, o país fica com 
sua imagem comprometida no exterior e empresas estrangeiras, bem como as nacionais, não se sentem 
seguras para investir em tecnologia e no desenvolvimento de novos produtos, já que os direitos autorais 
são desrespeitados. 
 
Empresário precavido vale por dois. Hoje, do office-boy ao diretor, todos têm acesso aos microcomputadores da 
empresa, e podem praticar (A) pirataria se não houver um rígido controle. Através do Telepirata, constatamos que 
a maioria das denúncias parte de ex-funcionários. 
Desde de 1989, ano em que a ABES iniciou sua campanha anti-pirataria no PAÍS, até 1999, o índice de pirataria no 
Brasil, recuou 35 pontos percentuais. 
Quais são os riscos no uso de software irregular? 
A pirataria de software pode resultar em processos cíveis e criminais. A organização estará exposta a altas multas, 
indenizações e até a prisão dos responsáveis. Embora os executivos das empresas acreditem que não existe 
possibilidade de sua empresa ser descoberta, pelo menos uma empresa é flagrada a cada dia. A indústria de 
software descobre violações ao Direito Autoral através de denúncias, o que dá início aos processos de busca e 
apreensão, instauração de queixa crime e abertura de processos indenizatórios. No Brasil, as indenizações podem 
chegar a até 3.000 vezes o valor so aoftware irregular, e as penas de prisão a até 4 anos. 
Responsabilidades 
De acordo com a lei brasileira, cabe ao empresário responder por qualquer irregularidade que ocorra na 
companhia, inclusive as praticadas por funcionários. A reprodução ilegal de software para uso interno, sem as 
respectivas licenças de uso (pirataria corporativa), é uma das mais comuns. Infelizmente, ainda são poucas as 
empresas que adotam uma postura preventiva. A maioria faz vistas grossas, e é justamente aí que mora o perigo. 
Enquanto alguns funcionários ficam absolutamente felizes com a displicência patronal (instalando, a bel prazer, 
programas que acabam trazendo `a rede indesejáveis vírus), outros não hesitam em denunciar seus empregadores, 
quer por consciência profissional ou simples vingança. A maior parte das denúncias se prova verdadeira. E nem é 
preciso dizer como fica essa história. No mínimo, tem como cenário uma delegacia, ou um tribunal. 
Quem deseja um "happy end" precisa investir em prevenção. Comece por incluir no contrato de admissão uma 
cláusula que proíbe terminantemente essa prática ilícita na empresa. Uma vez cientes do fato, os funcionários 
pensarão duas vezes antes de "partir para o crime", já que podem ser punidos com demissão por justa causa. Essa 
simples medida evita muitos danos financeiros e morais. Mas, vale lembrar: isso é apenas o ponto de partida para 
que uma nova cultura tome forma, com a consolidação de uma política anti-pirataria. 
Qualquer pessoa envolvida com a prática ilícita - usuário de programa "pirata", comerciante ilegal ou cúmplice na 
pirataria corporativa - está sujeita a punições que variam de seis meses a dois anos de detenção, além do 
pagamento de indenização milionária aos produtores do software. Trata-se, como se pode ver, de um mau negócio 
para quem estiver desrespeitando os direitos autorais. 
Tudo tem um preço e, nesse caso, é alto. Danos irreversíveis à imagem pessoal, profissional ou empresarial são 
apenas um dos exemplos do que acontece com aqueles que se julgam "espertos", acreditam em impunidade e 
preferem pagar para ver. 
 
13 
 
Vários são os fatores que contribuem para com a insegurança de Internet, como por exemplo: 
 
 Falta de conhecimento – A falta de conhecimento é uma das principais causas que 
contribuem para com a insegurança da Internet. Nós acreditamos que aquilo que não 
conhecemos nunca irá acontecer conosco. Se nos compete a responsabilidade de 
administrar um servidor, ou mesmo um ambiente computacional, é melhor não 
acreditarmos nisso. O conhecimento é simplesmente o aspecto mais importante em 
relação à segurança. 
 Anonimato– Outro fator que contribui em muito para a insegurança é o anonimato, pois, a 
rede é democrática e dispões de vários serviços para proteger a privacidade de seu 
usuário o que dá àqueles mal intencionados a certeza de que este fator lhes é totalmente 
favorável. 
 Disseminação da Tecnologia – Hoje, qualquer usuário da rede que pesquise de forma 
constante, poderá ter a sua disposição às mesmas ferramentas utilizadas pelas 
organizações governamentais ou pelas empresa especializadas em segurança. 
 Falta de Interesse dos usuários – Para a maioria o assunto segurança é chato e 
entediante. Eles acham que segurança na Internet é assunto para especialistas. Até certo 
ponto, isto é verdade. O provedor deve ter responsabilidade pelos serviços que prestam 
aos seus usuários. Porém n´s sabemos que não é isto o que ocorre na prática do dia-a-dia. 
As empresas têm receio de se comunicarem umas com as outras e trocarem informações 
sobre ataques que sofreram e nunca divulgam as brechas encontradas, como medidas 
cautelares para as demais empresas. 
 
Como podemos observar, qualquer pessoa pode estar exposta a um ataque. 
 
Esses ataques acontecem, muitas vezes, porque os provedores de acesso são administrados por 
pessoas que, não possuem uma instrução adequada a fornecerem os serviços adequados, ou 
simplesmente negligenciam suas atividades. 
 
 
A maioria dos hackers novatos somente passa a ser conhecida quando a mídia noticia a sua 
captura, pois, eles ainda são muito inexperientes e por isso deixam rastros por onde passam. Mas 
pouco se sabe dos mais experientes, pois eles são muito cuidadosos nos seus ataques, 
consequentemente, são difíceis de serem encontrados. 
 
Mas, o que os motiva a fazerem esses atos¿ Os motivos são muitos e podemos classificar alguns 
deles: 
 
 Espionagem Industrial 
Ocorre quando o hacker é contratado por uma empresa para roubar e destruir os dados da 
concorrente. 
 Proveito Próprio 
Ocorre quando existe a possibilidade de, ao invadir, o hacker tirar proveito próprio, tais 
como: transferências de dinheiro, vantagens em concursos, uso indevido e clandestino de 
sistemas de telefônica e comunicações. 
 Vingança 
Esta chega a ser clássica. Um ex-funcionário que conhece o sistema pode causar danos 
aos sistemas de informação se o seu acesso não for cortado no momento adequado. 
 Status ou Necessidade de Aceitação 
A comunidade hacker encontra um sistema razoavelmente seguro e difícil de ser invadido. 
Tal fato transforma este sistema em verdadeira gingana. A necessidade de ser 
reconhecido no meio hacker faz com que ele tente insistentemente até atingir o seu 
objetivo e ser reconhecido no sub-mundo dos hackers. 
 
14 
 
 Busca de aventura 
A tentativa de invasão a sistemas importantes, onde a segurança está em um nível muito 
alto, ativa o gosto do desafio dos hackers. 
 Maldade 
A invasão e/ou a destruição pelo simples prazer de destruir. 
 
 
Adware - Do Inglês Advertising Software. 
Software especificamente projetado para apresentar propagandas. Constitui uma forma de retorno 
financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. Pode ser 
considerado um tipo de spyware, caso monitore os hábitos do usuário, por exemplo, durante a 
navegação na Internet para direcionar as propagandas que serão apresentadas. 
 
Keylogger 
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um 
computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, 
como por exemplo, após o acesso a um site de comércio eletrônico ou Internet Banking, para a 
captura de senhas bancárias ou números de cartões de crédito. 
 
Phishing 
Também conhecido como phishing scam ou phishing/scam. Mensagem não solicitada 
que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site 
popular, e que procura induzir usuários ao fornecimento de dados 
pessoais e financeiros. Inicialmente, este tipo de mensagem induzia o usuário ao acesso a 
páginas fraudulentas na Internet. Atualmente, o termo também se refere `a 
mensagem que induz o usuário `a instalação de códigos maliciosos, além da mensagem que, no 
próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e 
financeiros. 
 
Scam 
Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm como finalidade obter 
vantagens financeiras. 
 
Spam 
Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um 
grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de 
mensagem também é referenciada como UCE (do Inglês Unsolicited Commercial E-mail). 
 
Vírus 
Programa ou parte de um programa de computador, normalmente malicioso, que se propaga 
infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e 
arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro 
para que possa se tornar ativo e dar continuidade ao processo de infecção. 
 
Vulnerabilidade 
Falha no projeto, implementação ou configuração de um software ou sistema operacional que, 
quando explorada por um atacante, resulta na violação da segurança de um computador. 
 
Vírus 
Programa ou parte de um programa de computador, normalmente malicioso, que se 
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas 
e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro 
para que possa se tornar ativo e dar continuidade ao processo de infecção. 
 
15 
 
Worm 
Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo 
de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em 
outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. 
Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na 
configuração de softwares instalados em computadores. 
 
 
PRIVACIDADE na INTERNET 
 
Sendo o poder da informação tão grande, as pessoas que fazem gestão de informações e aquelas 
que projetam sistemas de informação estão certas em preocupar-se com sua potencial má 
utilização. Infelizmente, os sistemas de informação, como a maioria das outras ferramentas, 
podem ser usados para o bem ou para o mal. 
 
A filosofia faz distinção entre os conceitos de moral e ética. A moral refere-se ao que é bom ou 
Eles podem envolver qualquer tipo de tecnologia da informação e qualquer tipo de sistema de 
informações. O uso ético de sistemas de informações tornou-se uma grande preocupação para 
gestores e profissionais de sistemas de informações. 
 
Controles sobre acesso à informação, particularmente na Web têm levantado preocupações éticas 
relacionadas à censura. A maioria das limitações tem abordado a prevenção para que crianças 
não leiam material pornográfico. Entretanto, os negócios rotineiramente limitam ou monitoram o 
uso da Web por seus empregados para proteger-se. Muitas empresas monitoram os e-mails de 
seus empregados ou a navegação na Web. 
 
Proteger privacidade pessoal também tornou-se um assunto-chave, pois sistemas de informações 
em computadores podem manter grandes quantidades de dados sobre indivíduos sem seu 
conhecimento. 
 
Defensores da privacidade exigem políticas e procedimentos para proteger a privacidade 
individual, tais como garantir a coleta legal de dados corretos e atualizados relevantes para os 
objetivos da organização. 
 
As pessoas muitas vezes enfrentam opções relativas ao uso de informações que elas 
nãompodem rotular claramente como certas ou erradas, morais ou imorais. Por exemplo, o que 
você faria se, depois de prometer a seus empregados que seus dados são particulares, você fica 
sabendo que um empregado roubou informaçõesda empresa? E se você que um empregados 
tem planos para prejudicar outro? Você deveria examinar seus arquivos de dados? As pessoas 
podem aplicar uma variedade de princípios éticos para determinar o que é ético em casos como 
estes. 
 
 O principio da minimização do dano. Tomar a decisão que minimiza o dano. Parara aplicar 
este principio você deve verificar como a decisão afeta todas as partes, não somente você 
e sua empresa. Voce provavelmente terá que pesar o dano causado a uma pessoa contra 
o dano causado a outra. 
 O principio da consistência. Suponha que todos os que enfrentam uma situação 
semelhante façam a mesma escolha que você. Você aprovaria as consequências? Por 
exemplo, se você pensa que copiar software em lugar de comprá-lo é ético, examine as 
implicações se todos copiarem software. 
 O principio do respeito. Tome a decisão que trate as pessoas com o maior respeito. Isto 
implica que você age em relação aos outros da mesma maneira que espera que os outros 
ajam em relação a você. Se estes princípios, são muito difíceis de aplicar ou não 
produzem uma solução clara, você pode também usar diversas abordagens para tomar 
decisões éticas. 
16 
 
 
 
LEIS de PRIVACIDADE 
DIFAMAÇÃO e CENSURA na INFORMÁTICA 
O lado oposto do debate da privacidade é o direito das pessoas de saberem sobre assuntos que 
outras podem desejar manter reservados (liberdade de informação), o direito das pessoas de 
expressarem suas opiniões sobre esses assuntos (liberdade de discurso) e o direito das pessoas 
de publicarem essas opiniões (liberdade de imprensa). Alguns dos maiores campos de batalha no 
debate são os bulletin boards, caixas de e-mail e arquivos on-line da Internet e redes públicas de 
informação como a Prodigy, CompuServe e America Online. As armas que estão sendo utilizadas 
nesta batalha incluem o flame mail, leis sobre difamação e censura. 
Spamming – é o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O 
spamming é a tática favorita dos remetentes de massas de propagandas não solicitadas ou junk 
e-mail. 
Flaming – é a prática de enviar mensagens de e-mail extremamente críticas, detrativas e muitas 
vezes vulgares (flame mail), ou mensagens por BBSs para outros usuários na Internet ou serviços 
on-line. O flaming é principalmente dominante em alguns dos BBSs de grupos de discussão de 
interesses especiais na Internet. A Internet está muito vulnerável a abusos uma vez que perde 
atualmente o policiamento formal e apresenta falta de segurança. 
d) Crime com o uso do computador 
O crime com o uso do computador é a ameaça causada pelas ações criminosas ou irresponsáveis 
de usuários de computadores que estão tirando proveito do uso generalizado das redes de 
computadores em nossa sociedade. Por isso, ele constitui uma ameaça maior ao uso ético da TI. 
O crime informatizado apresenta sérias ameaças à integridade, segurança e qualidade da maioria 
dos sistemas de informação das empresas e, com isso, faz do desenvolvimento de métodos 
eficazes de segurança uma prioridade máxima. 
Legislação sobre Crimes com o uso do computador 
A Lei sobre Fraude e Abuso de Computadores dos Estados Unidos de 1986 define o crime 
informatizado como uma das atividades envolvendo acesso a computadores de “interesse federal” 
(utilizados pelo governo federal) ou operando no comércio interestadual ou exterior: 
 Com o intuito de fraudar 
 Resultando em uma perda de mais de 1.000 dólares 
 Para obter acesso a certos sistemas de computação médica. 
 Traficar senhas de acesso a computadores também é proibido. 
 
As penalidades para violações da Lei sobre Fraude e Abuso de Computadores dos Estados 
Unidos incluem: 
 Um a cinco anos de prisão para um primeiro delito 
 Dez anos para um segundo delito 
 Vinte anos para três ou mais delitos 
 As multas podem chegar a 250.000 dólares ou duas vezes o valor dos dados roubados 
 
 
17 
 
A Associação dos Profissionais de Tecnologia da Informação (Association of Information 
Technology Professionals, ou AITP) define o crime informatizado como: 
 O uso, acesso, modificação e destruição não autorizados de recursos de hardware, 
software, dados ou rede. 
 A divulgação não autorizada de informações. 
 A cópia não autorizada de softwares 
 A negação de acesso a um usuário final aos seus próprios recursos de hardware, software, 
dados ou rede. 
 O uso ou conspiração para uso de recursos de computação para obter ilegalmente 
informações ou propriedade tangível. 
Exemplos de Crime com o uso do computador 
O crime com o uso do computador envolve atividades criminosas utilizando computadores. Isto 
normalmente inclui: 
 Roubo de dinheiro, serviços, softwares e dados 
 Destruição de dados e softwares, principalmente por vírus de computador 
 Acesso malicioso ou hacking na Internet ou outras redes de computadores 
 Violação da privacidade 
 Violação da lei anti-truste ou internacional. 
 
Crime pela Internet 
Os hackers conseguem monitorar e-mail, acesso a servidores da Web ou transferências de 
arquivo para extraírem senhas ou roubarem arquivos da rede ou inserirem dados que podem fazer 
com que um sistema dê acesso a intrusos. Um hacker também pode utilizar serviços remotos que 
permitem que um computador em uma rede execute programas em outro computador para obter 
acesso privilegiado dentro de uma rede. A Telnet, uma ferramenta para uso interativo de 
computadores remotos, pode ajudar um hacker a descobrir informações para planejar outros 
ataques. Os hackers têm utilizado a Telnet para acessar porta de e-mail de um computador, por 
exemplo, para monitorar mensagens de e-mail em busca de senhas e outras informações sobre 
contas de usuários e recursos de rede privilegiados. 
Roubo de Dinheiro 
Muitos crimes com o uso do computador envolvem o roubo de dinheiro. Eles quase sempre 
envolvem a alteração fraudulenta de arquivos do computador para encobrir os rastros dos ladrões 
ou para usufruir do dinheiro de outros com base em registros falsificados. 
Roubo de Serviços 
O uso não autorizado de um sistema de computador é chamado de roubo de serviços. Um 
exemplo comum é o uso não autorizado de redes de computadores da empresa por funcionários. 
Isto pode ir da realização de consultas privadas ou finanças pessoais, ou jogo de vídeo games, 
até o uso não autorizado da Internet pelas redes da empresa. Softwares de monitoração de redes, 
conhecidos como sniffers (farejadores), são freqüentemente utilizados para monitorar o tráfego da 
rede para avaliar a capacidade da rede, além de revelar evidência de uso impróprio. 
Roubo de Software 
Programas de computador são propriedade valiosa e por isso estão sujeitos a roubo dos sistemas 
de computador. A reprodução não autorizada de software, ou pirataria de software, é uma forma 
18 
 
importante de roubo de software porque o software é propriedade intelectual protegida por lei de 
direitos autorais e contratos de licença com o usuário. 
Alteração ou Roubo de Dados 
Fazer alterações ilegais ou roubar dados é outra forma de crime informatizado. 
Hacking é o uso obsessivo de computadores ou o acesso e uso não autorizados de sistemas de 
computação em rede. Hackers ilegais (também conhecidos como crackers) podem roubar ou 
danificar dados e programas. 
Vírus de Computador – Destruição de Dados e Software 
Um dos mais destrutivos exemplos de crime informatizado envolve a criação de vírus de 
computador ou vermes de computador. Esses vírus normalmente entram em um sistema de 
computação por meio de cópias de software ilegais ou emprestadas ou por meio de links de rede 
para outros sistemas de computador. Um vírus normalmente copia a si mesmo nos programas do 
sistema operacional do computadore de lá para o disco rígido e em quaisquer discos flexíveis 
inseridos. Programas de vacina e programas de prevenção e detecção de vírus são disponíveis, 
mas podem não funcionar para novos tipos de vírus. 
Vírus – é um código de programa que não pode funcionar sem ser inserido em outro programa. 
Verme – é um programa distinto que pode rodar sem assistência. 
e) Questões de Saúde 
O uso da TI no local de trabalho levanta uma série de questões de saúde. O uso intenso de 
computadores é tido como causador de problemas de saúde como: 
 Estresse no trabalho 
 Lesões em músculos do braço e pescoço 
 Tensão ocular 
 Exposição a radiação 
 Morte por acidentes provocados por computador 
 
Ergonomia: 
As soluções para alguns problemas de saúde são baseadas na ciência da ergonomia, às vezes 
chamada de engenharia de fatores humanos. A meta da ergonomia é projetar ambientes de 
trabalho saudáveis que sejam seguros, confortáveis e agradáveis para as pessoas trabalharem, 
aumentando assim o moral e a produtividade do funcionário. 
A ergonomia enfatiza a concepção saudável do local de trabalho, estações de trabalho, 
computadores e outras máquinas e até de pacotes de software. Outras questões de saúde podem 
exigir soluções ergonômicas que enfatizem mais o desenho do cargo do que o desenho do local 
de trabalho. 
e) Soluções Sociais 
A tecnologia da informação pode produzir muitos efeitos benéficos na sociedade. A TI pode ser 
utilizada para solucionar problemas humanos e sociais por meio de soluções sociais como: 
19 
 
 Diagnóstico médico 
 Instrução auxiliada por computador 
 Planejamento de programas governamentais 
 Controle da qualidade ambiental 
 Aplicação das leis 
 
Privacidade
 Importantes questões:
» Acessar trocas de correspondência e registros de computadores 
privativos de um individuo;
» Saber sempre onde uma pessoa está;
» Utilizar informações de clientes para comercializar serviços 
empresariais adicionais;e
» Obter números de telefone, endereço, números de cartões de 
crédito, para criar perfis de clientes individuais (não autorizados).
 Privacidade na Internet: 
» Cookie File – Histórico;
» Spam – envio de e-mail não solicitado; e 
» Flame mail – envio de e-mail extremamente criticas, detrativas e 
vulgares.
 
 
 
O QUE É A ANÁLISE DE RISCOS 
A Análise de risco é um dos passos mais importantes para implementar a segurança da 
informação em uma empresa. Como o próprio nome indica, é realizada para identificar os riscos 
aos quais estão submetidos os ativos de uma organização, ou seja, para saber qual é a 
probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio. 
As ameaças podem se tornar realidade através de falhas de segurança, que conhecemos como 
vulnerabilidades e que devem ser eliminadas ao máximo para que o ambiente que desejamos 
proteger esteja livre de riscos de incidentes de segurança. Portanto, a relação ameaça-
vulnerabilidade-impacto é a principal condição que deve ser levada em conta no momento de 
priorizar ações de segurança para a proteção dos ativos mais importantes para empresa. 
 
DEFINIÇÃO DE ANÁLISE DE RISCO 
A análise de riscos é... …uma atividade voltada para a identificação de falhas de 
segurança que evidenciem vulnerabilidades que possam ser exploradas por ameaças, 
provocando impactos nos negócios da organização. …uma atividade de análise que pretende 
identificar os riscos aos quais os ativos se encontram expostos. …além disso, é uma atividade 
que tem como resultado: 
Encontrar o conjunto de vulnerabilidades que podem afetar o negócio, para identificar os 
passos que devem ser seguidos para sua correção; 
Identificar as ameaças que podem explorar essas vulnerabilidades e, dessa maneira, 
elaborar estratégias de proteção; 
Identificar os impactos potenciais que poderiam ter os incidentes; 
Determinar as recomendações para que as ameaças sejam corrigidas ou reduzidas 
20 
 
Gerenciamento da Segurança da Tecnologia da Informação 
Ferramentas de Gerenciamento de segurança. 
Defesas de seguranças interligadas por redes. 
 
Atualmente, poucos profissionais enfrentam desafios maiores que os enfrentados pelos gerentes 
de TI que estão desenvolvendo políticas de segurança destinadas a alterar rapidamente as infra-
estruturas da rede na Internet. Como eles conseguem equilibrar a necessidades de segurança na 
Internet com o acesso a ela? Os orçamentos para a segurança da Internet são adequados? Que 
influencia era o desenvolvimento de aplicações de intranet, extranet e para a rede mundial sobre 
as estruturas da segurança? Como eles podem propor melhores práticas para o desenvolvimento 
de políticas de segurança na internet? 
Conexões essenciais de rede e fluxos de negócios precisam ser protegidos de ataques externos 
por cibercriminosos, ou da subversão por atos criminosos ou irresponsáveis de membros do 
grupo. Isso requer um bom número de ferramentas de segurança e medidas defensivas, e um 
programa coordenado de administração de segurança. 
Criptografia 
A criptografia de dados tornou-se uma maneira importante de proteger dados e outros recursos de 
rede de computadores, principalmente na Internet, intranets e extranets. Senhas, mensagens, 
arquivos e outros dados podem ser transmitidos de forma embaralhada e desembaralhados pelos 
sistemas de computadores apenas para os usuários autorizados. A criptografia envolve o uso de 
algoritmos matemáticos especiais, ou chaves, para transformar dados digitais em um código 
embaralhado antes que esses dados sejam transmitidos e para decodificá-los quando forem 
recebidos. O método mais amplamente utilizado de criptografia utiliza um par de chaves públicas 
e privadas exclusivas de cada individuo.Um email, por exemplo, pode ser embaralhado e 
codificado utilizando uma chave pública e exclusiva para o destinatário e que é conhecida pelo 
remetente. Após o email ser transmitido, apenas a chave primária secreta do destinatário pode 
desembaralhar a mensagem. 
Os programas de criptografia são vendidos como produtos independentes ou embutidos em outro 
software utilizado para o processo de criptografia. E existem diversos padrões de criptografia de 
softwares concorrente. Mas os dois principais são o RSA (da RSA Data Security) e o PGP (Pretty 
Good Privacy), um programa popular de criptografia disponível na Internet. Alguns software de 
grandes fabricantes oferecem dispositivos de criptografia que utilizam software RSA. 
Como funciona: Exemplo. 
1. Com o seu software de criptografia, você cria uma “chave” com duas partes –uma pública 
e outra privada. Voce distribui um arquivo contendo a parte pública da chave para aqueles 
com quem deseja se comunicar. 
2. Voce escreve uma mensagem de email, depois usa a chave pública do destinatário para 
criptografá-la. 
3. O processo de criptografia coloca uma espécie de fechadura digital na mensagem. Mesmo 
que alguém intercepte a mensagem no caminho, seu conteúdo será inacessível. 
4. Quando a mensagem chega, o destinatário digita uma frase teste. Em seguida, o software 
utiliza a chave privada para verificar se a chave pública do destinatário foi utilizada para a 
criptografia. 
5. Utilizando a chave privada, o software destrava o esquema exclusivo de criptografia, 
decodificando a mensagem. 
 
21 
 
 
Firewall 
 
O firewall é uma configuração que isola algumas máquinas do resto da rede. É uma cancela que 
limita o acesso de e para uma rede de computadores. 
A idéia é essa: se pudéssemos criar uma barreira que fosse impenetrável entre nossa rede local e 
a Internet, estaríamos protegidos de ataques à nossa rede local. Mas se houver uma barreira 
impenetrável de modo que ninguém possa entrar na rede local, ninguém poderia sair também. Por 
quepagar por um firewall se poderíamos simplesmente desligar o cabo de rede? 
Mas precisamos interagir com o mundo, deixamos passar dados “saudáveis”, e para isso usamos 
mecanismos de filtragem. 
Esses mecanismos de filtragem nos entregam o que “deve entrar” por procuração (proxy). Um 
firewall não é uma barreira impenetrável: ele tem aberturas com verificação de livre-transito. 
Queremos que só os dados da rede que tiverem credenciais apropriadas tenham permissão para 
passar. 
CONCEITO de FIREWALL. 
O firewall é um conceito. Não é uma coisa; não há uma solução exclusiva de firewall. O nome 
“firewall” é uma descrição coletiva para vários métodos que restringem o acesso a uma rede local. 
Todos eles envolvem a definição de restrições na maneira como os pacotes da rede são roteados. 
O firewall pode ser um computador que é programado para agir como um roteador, um roteador 
dedicado ou uma combinação de roteadores e sistemas de software. A idéia do firewall é manter 
os dados importantes atrás de uma barreira que tenha algum tipo de controle de passagem e 
possa examinar e restringir os pacotes da rede local, permitindo que só pacotes “inofensivos” 
passem. 
 
 Todo o tráfego de dentro para fora ou vice-versa deve passar pelo firewall. 
 Só tráfego autorizado tem permissão para passar. 
 Serviços de rede potencialmente arriscados (como o correio) se tornam mais seguros com 
o uso de sistemas intermediários. 
 O próprio firewall deve ser imune a ataques. 
22 
 
Um firewall não consegue ajudar quando se trata dos seguintes itens: 
 Hosts ou redes mal configurados. 
 Ataques baseados em dados (onde o ataque envolve o envio de alguma informação 
perigosa, como a palavra-código que faz com que você atente contra si próprio ou uma 
correspondência eletrônica que embute um cavalo de tróia). 
Existem duas filosofias de firewall: 
 bloquear tudo a menos que façamos uma exceção e, 
 deixar passar tudo a menos que façamos uma exceção especifica. 
A primeira delas é claramente a mais segura ou pelo menos a mais cautelosa das duas. 
A filosofia do firewall se baseia na idéia de que é mais fácil proteger um host do que centenas ou 
milhares deles em uma rede local. Só teremos que dar atenção a uma máquina e assegurar que 
ela seja a única efetivamente conectada direto com a rede. Assim forçaremos todo o tráfego da 
rede a parar no host de defesa. Portanto, se alguém tentar invadir o sistema enviando algum tipo 
de ataque IP, não haverá danos ao resto da rede porque a rede privada nunca verá o ataque. É 
claro que isso é uma simplificação. É importante perceber que a instalação de um firewall não 
fornece proteção absoluta e não elimina a relevância da configuração e segurança dos hosts do 
lado de dentro do firewall. 
Também devemos ressaltar que geralmente o firewall é um ponto de falha único em uma rede. Ele 
é vulnerável a ataques de recusa de serviços (Negação de Serviços). 
PROXIES de FIREWALL 
É claro que não queremos que todo o tráfego seja interrompido; alguns serviços como correio-
eletronico e talvez a comunicação HTTP têm que poder passar. Para permitir isso, teremos que 
usar o chamado serviço de “Proxy” ou “gateway”. Uma solução comum é dar ao host duas 
interfaces de rede (uma será conectada à parte desprotegida da rede e a outra a rede local 
segura), embora o mesmo efeito possa ser obtido com apenas uma interface. Diz-se que um 
serviço está protegido por um servidor Proxy quando o host encaminha os pacotes da parte 
insegura da rede para a parte segura. Ele só fará isso com os pacotes que atenderem os 
requisitos da política de segurança. Por exemplo, você pode decidir que os serviços que permitirá 
que atravessem o firewall serão as conexões telnet e SMTP (correio) recebidas/enviadas, os 
serviços DNS, HTTP, FTP e nenhum outro. 
A segurança com Proxy requer um software especial, geralmente no nível de kernel, onde a 
validade das conexões poderá ser estabelecida. Por exemplo, os pacotes com endereços poderão 
ser bloqueados. A chegada de dados nas portas em que não houver uma conexão registrada 
poderá ser descartada. As conexões poderão ser descartadas se não estiverem relacionadas a 
uma conta de usuário conhecida. 
OBSERVAÇÃO: o Firewall não dispensa a instalação de um antivírus. Ele funciona como uma alfândega ou 
filtro que restringe a passagem dos dados recebidos e enviados pelo seu computador. O antivírus é 
necessário porque mesmo as comunicações consideradas seguras pelo Firewall podem trazer ameaças à 
máquina, geralmente devido à operação incorreta do PC pelo usuário. 
23 
 
Tipos de Firewall 
Dependendo do tipo de conexão usada no computador, é possível usar dois tipos de firewall, um 
por hardware e/ou outro por software. Atualmente, os firewalls por hardware mais utilizados são os 
que já vêm incorporados aos roteadores e modems de banda larga. O Windows já vem com um 
firewall nativo, mas você pode desativá-lo e instalar ferramentas mais robustas, com mais opções 
de configuração e segurança. 
A maior vantagem de usar um firewall por hardware é quando sua rede possui mais de um 
computador. Todas as máquinas estarão ligadas ao mesmo roteador, que além de gerenciar as 
conexões, também poderá executar a função de firewall — logicamente, isso dependerá do 
modelo de roteador utilizado. Verifique esta informação antes de comprar qualquer equipamento. 
Prefira roteadores que já venham com firewall, para aumentar a segurança das máquinas da rede. 
Como o firewall trabalha? 
Tanto o firewall por hardware como o por software operam de maneira similar. Conforme a 
configuração definida pelo usuário, o firewall compara os dados recebidos com as diretivas de segurança 
e libera ou bloqueia os pacotes. 
Assim como qualquer outra solução de segurança, o firewall não é 100% eficiente, já que existem 
estudiosos especializados em quebrar essa segurança. Hackers mais experientes são capazes de 
“disfarçar” uma “barata” na pele de um “refrigerante”, conseguindo que os dados passem pela 
“alfândega” do firewall e, em seguida, ganhando acesso à sua máquina. 
Proxy 
Outro método utilizado para restringir os dados que trafegam na rede é o chamado Proxy. 
De todo modo, um Proxy nada mais é do que um computador “General”, que comanda todo o 
tráfego da rede. Ou seja, toda e qualquer requisição dos computadores “soldados” que estiverem 
sujeitos ao comando do Proxy deverão solicitar o acesso a ele e só o obterão se o general estiver 
programado para liberar. Qualquer outro tipo de solicitação é automaticamente negada. 
 
Esse tipo de método de bloqueio é muito utilizado em empresas, pois também permite o bloqueio 
a acessos que a empresa considere ruins para sua produção. A título de exemplo, em muitas 
empresas, sites como o Orkut, programas como o MSN e todas as portas utilizadas pelos 
programas de torrent são bloqueadas para evitar que os funcionários percam tempo usando esse 
tipo serviço. 
 
Virus 
Vírus – Perigo real, imediato e crescente. 
• Surgimento de novas pragas, cada vez mais eficientes e desastrosas e de longo alcance. 
• Ambiente Internet contribui para disseminação. 
• Atualização do antivírus não acontece na mesma freqüência. 
24 
 
Diferentes Nomenclaturas para ameaças programadas 
São classificadas pela forma de como se comportam, como são ativados ou como se 
espalham: 
• Vírus 
• Worms 
• Bactéria 
• Bomba Lógica 
• Cavalo de Tróia 
 
Tipos de Vírus 
• Vírus de Boot - move ou altera o conteúdo original do boot, ocupando aquele espaço e 
passando atuar como se fosse o próprio boot do sistema. 
• Vírus parasita – utilizam arquivos executáveis (.com, .exe) como hospedeiros, inserindo 
códigos de desvio para o código do vírus. 
• Vírus camuflados – para dificultar o seureconhecimento pelos anti-vírus. 
• Vírus polimórficos – mudam seu aspecto cada vez que infectam um novo programa. 
• Vírus de macro – macros são pequenos programas embutidos em planilhas e arquivos de 
texto. Como esses arquivos são os mais comuns, tratam-se de excelente meio de 
propagação. 
 
Fontes de infecção por Vírus 
• Disquetes 
• Redes 
• Cd-Rom´s de revistas 
• E-mails 
Softwares Anti-Vírus 
• Prevenção 
• Detecção 
• Remoção. 
 
 
Ataques de negativa de serviços. 
 
DOS: Denial of Service, ou Negação de Serviço, é um ataque onde o acesso a um 
sistema/aplicação é interrompido ou impedido, deixando de estar disponível; ou uma aplicação, 
cujo tempo de execução é crítico, é atrasada ou abortada. 
Esse tipo de ataque é um dos mais fáceis de implementar e mais difíceis de se evitar. 
O objetivo é incapacitar um servidor, uma estação ou algum sistema de fornecer os seus serviços 
para os usuários legítimos. 
Normalmente o ataque DoS não permite o acesso ou modificação de dados. Usualmente o 
atacante somente quer inabilitar o uso de um serviço, não corrompê-lo. 
 
25 
 
 
Outras Medidas de Segurança 
 
BACKUPS 
Refere-se à cópia de dados de um dispositivo para o outro com o objetivo de posteriormente os 
recuperar (os dados), caso haja algum problema. 
 
Recomendações 
• Fazer cópias regularmente 
• Guardar as cópias em locais diferentes 
– Um conjunto perto para recuperação 
– Um conjunto longe para segurança (principal) 
• Testar o procedimento de recuperação periodicamente. 
 
Tipos de Backup 
• Completo* 
• Incremental* 
• Diferencial* 
• Diário 
• Cópia 
 
Backup Completo 
Faz o backup de arquivos e pastas selecionados. 
Agiliza o processo de restauração, pois somente um backup será restaurado. 
 
Backup Incremental 
Faz o backup somente de arquivos e pastas selecionados que foram alterados após o ultimo 
backup. 
 
Backup Diferencial 
Faz o backup somente de arquivos e pastas selecionados que foram alterados após o ultimo 
backup. 
 
Backup Diário 
Faz o backup de arquivos e pastas selecionados que foram alterados durante o dia. 
 
Backup Cópia 
Faz o backup de arquivos e pastas selecionados. 
Estratégia de Backup 
 
Combinação de vários tipos de backup de modo a conciliar a salvaguarda das informações com a 
otimização dos recursos. 
 
 
Armazenamento 
• Fita Digital 
• Mídia Óptica 
• Robôs 
• DAS - Direct Attached Storage 
• NAS - Network Attached Storage 
• SAN - Storage Area Network 
 
Direct Attached Storage 
• Discos ou outros dispositivos diretamente conectados a servidores 
26 
 
• USB 2.0, Firewire. 
• Pequenas Empresas (até 50 Usuários) 
 
Network Attached Storage 
• Servidores Dedicados 
• IDE e SCSI (Atualmente PATA) 
• Empresas Médias (50 a 500 usuários) 
 
Storage Área Network 
• Redes de Alta velocidade (Servidores e Dispositivos) 
• Gigabit e Fiber Chanel 
• Grandes Empresas (+500 usuários) 
• Maior desempenho e escalabidade. 
 
IMPORTANTE 
RAID não é Backup! 
• RAID – Medida de Redundância 
• Backup – Medida de Recuperação de Desastre 
 
 
Monitores de Segurança. 
 
• Registros de logs, trilhas de auditoria ou outros mecanismos de detecção de invasão são 
essenciais. 
• Na ocorrência de uma invasão, erro ou atividade não autorizada, é imprescindível reunir 
evidências para se tomar medidas corretivas necessárias. 
• Os logs funcionam também como trilhas de auditorias, registrando cronologicamente as 
atividades do sistema. 
• Possibilitam a reconstrução, revisão ou análise dos ambientes e atividades 
relativas a uma operação, procedimento ou evento. 
• Por conterem informações essenciais para a segurança, os arquivos de logs 
devem ser protegidos contra destruição ou alteração por usuários ou invasores. 
 
 O uso em excesso também pode degradar o sistema, sendo necessário balancear a 
necessidade de registro de atividades criticas e os custos em termos de desempenhos. 
 Controles de Acesso Lógico ao Sistema Operacional. 
• Controles são implementados pelo fabricante do SO. 
• As vezes, temos que instalar pacotes adicionais para incrementar a segurança do SO. 
 
• Outros Controles de Acesso Lógico. 
• Time-out automático. 
• Limitação de horário de utilização de recursos. 
• Evitar uso de sessões concorrentes. 
• Se usuário estiver conectado, o invasor não poderá logar com sua 
identificação/autenticação. 
• Se o invasor tiver logado, o usuário terá seu acesso negado por sua 
conta está sendo usada e poderá notificar à segurança. 
 
 
 
 
 
 
27 
 
Segurança Biométrica. 
• Sistemas Biométricos 
• São sistemas de verificação de identidade baseados em características físicas 
dos usuários. 
• São mais difíceis de serem burlados, mas ainda têm o fator custo proibitivo. 
• São a evolução dos sistemas manuais de reconhecimento, como análise 
grafológica e de impressões digitais. 
• A tecnologia de medir e avaliar determinada característica de tal forma que o 
indivíduo seja realmente único. 
• Um dos problemas é ainda a taxa de erros, pois determinada característica 
pode mudar em uma pessoa, com o passar dos anos ou por outra intervenção. 
• Impressões Digitais – São características únicas e consistentes. São 
armazenados de 40 a 60 pontos para verificar a identidade. 
• Voz – Sistemas de reconhecimento de voz são usados para controle de acesso. 
Não são tão confiáveis em função dos erros causados por ruídos no ambiente 
ou problemas na voz do usuário. 
• Geometria da Mão – usada em sistemas de controle acesso, porém essa 
característica pode ser alterada por aumento ou diminuição do peso ou artrite. 
• Configuração da íris ou da retina – são mais confiáveis que as de impressão 
digital, através de direcionamento de feixes de luz nos olhos das pessoas. 
• Reconhecimento Facial por meio de um termograma – Através de imagem 
tirada por câmera infravermelha que mostra os padrões térmicos de uma face. 
19.000 pontos de identificação! 
 
 
Recuperação de Desastres. 
A importância do Plano de Recuperação de Desastres (PRD) 
Imaginemos uma situação onde determinada organização sofra algum tipo de desastre que possa 
ser caracterizado como natural, acidental ou intencional, algo que realmente faça com que o 
principal serviço dessa organização pare de trabalhar. Por exemplo, uma empresa de tecnologia 
que possui vários servidores, cada um destinado a uma tarefa diferente, mas que é vital para a 
lucratividade da mesma. Em determinado momento acaba a energia, ou acontece algum incidente 
que venha a parar completamente os serviços de cada um dos servidores, fazendo assim com 
que a empresa perca o andamento de seus serviços e lucratividade, consequentemente afetando 
sua imagem no mercado. 
É neste momento que o Plano de Recuperação de Desastres entra em ação e mostra sua 
importância, pois tem por finalidade justamente, em casos como o exemplificado , auxiliar nas 
ações para a normatização dos serviços de uma organização com o mínimo tempo e impacto 
possível. 
Motivos de se ter um Plano de Recuperação de Desastres 
Algumas empresas subestimam os riscos de ocorrência de desastres e não investem em um PRD 
(Plano de Recuperação de Desastres), pois muitas vezes imaginam que por ter algo que garanta 
que os dados mais importantes não se percam, como por exemplo, uma sala de Backup, no-
breaks, dentre outros, nunca irá ocorrer algo tão catastrófico que venha a interromper sua 
funcionalidade. 
Apesar de em alguns casos as organizações terem equipamentos reservas, salas de backup, o 
que aparenta assegurar que os dados não se percam, há um problema, ficam em um mesmo 
28 
 
ambiente físico. Desta forma não se pode garantir a segurança total da continuidade do serviço, 
pois pensando em uma enchente, terremoto, sabotagem, ou seja, algo quese defina como um 
desastre, toda a informação será perdida. 
Planejamento de PRD 
O investimento é o primeiro passo a ser feito. Adquirir um ambiente seguro e equipamentos 
redundantes e alternativos são ações essenciais para a organização, pois a possibilidade de que 
equipamentos comecem a falhar ou que até mesmo sejam destruídos é grande. Seriam exemplos 
destes: equipamentos das áreas de voz e comunicação de dados, processamento de dados, de 
geração de energia, etc. Adquirir também um centro de emergência para ser utilizado caso as 
instalações originais estejam sendo restabelecidas. 
Após serem feitos os investimentos, o próximo passo é a criação de uma equipe de recuperação, 
formada por profissionais experientes e competentes, que serão estes, escolhidos pela gerência. 
Estes profissionais serão preparados e treinados para agir caso ocorra algum desastre, e deverão 
estar comprometidos às manutenções e testes do PRD de forma contínua. 
Listar recursos e aplicações críticas e ativas que necessitarão de suporte na ocorrência de 
um desastre é o próximo passo. É importante também manter uma lista conjunta dos hardwares 
que trabalham junto com a aplicação. 
Aplicar um procedimento de cópias de segurança, informar datas e horários em que devem ser 
feitas. Informar também os locais e cofres onde serão armazenadas estas cópias. É importante 
que este local seja fora da empresa. 
Possuir ao alcance ferramentas para respostas emergenciais que vise diminuir danos e salvar 
vidas, assim como kit de primeiros socorros e extintores de incêndio. 
 
O que é Plano de Contingências? 
 
Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser 
adotados quando a organização ou uma área depara-se com problemas que comprometem o 
andamento normal dos processos e a conseqüente prestação dos serviços. Essas estratégias e 
procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações 
inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O 
Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de 
recuperação. 
 
Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no 
espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres 
naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, 
acidentes, greves, terrorismo, sabotagem, ações intencionais. 
 
O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não 
sistemas computadorizados. Porém, o Plano se aplica às organizações que, em menor ou maior 
grau, dependem da tecnologia da informação, pois faz-se referência aos riscos a que essa área 
está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes. 
 
 
 
 
29 
 
 
Qual é a importância do Plano de Contingências? 
 
Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de 
pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de 
explicar a importância do Plano de Contingências, pois se para fins de manutenção de seus 
serviços, as organizações dependem de computadores e de informações armazenadas em meio 
eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o 
processamento ou disponibilidade desses computadores ou informações? Ao contrário 
do que ocorria antigamente, os funcionários não mais detêm o conhecimento integral, assim como 
a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes, 
executados de forma transparente. Além disso, as informações não mais se restringem ao papel, 
ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos. 
Por conseguinte, pode-se considerar o Plano de Contingências componente essencial para as 
organizações preocupadas com a segurança de suas informações. 
 
Qual é o objetivo do Plano de Contingências? 
O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da 
organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações 
fortuitas que comprometam o bom andamento dos negócios. 
Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja 
restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos 
imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a 
possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, 
supram as necessidades imediatas e mais críticas. 
 
Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os 
aspectos de integridade e disponibilidade sejam preservados durante todo o tempo. 
 
 
Como iniciar a elaboração do Plano de Contingências? 
 
Antes da elaboração do Plano de Contingências propriamente dito, é importante analisar alguns 
aspectos: 
 
· riscos a que está exposta a organização, probabilidade de ocorrência e os impactos decorrentes 
(tanto aqueles relativos à escala do dano como ao tempo de recuperação); 
· conseqüências que poderão advir da interrupção de cada sistema computacional; 
· identificação e priorização de recursos, sistemas, processos críticos; 
· tempo limite para recuperação dos recursos, sistemas, processos; 
·alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e 
benefícios de cada alternativa. 
 
Que assuntos devem ser abordados no Plano de Contingências? 
 
De maneira geral, o Plano de Contingências contém informações sobre: 
 
· condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por 
um incidente); 
· procedimentos a serem seguidos imediatamente após a ocorrência de um desastre (como, por 
exemplo, contato eficaz com as autoridades públicas apropriadas: polícia, bombeiro, governo 
local); 
· a instalação reserva, com especificação dos bens de informática nela disponíveis, como 
hardware, software e equipamentos de telecomunicações; 
30 
 
· a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados 
operacionais e financeiros da organização. Quanto mais o aplicativo influenciar na capacidade de 
funcionamento da organização, na sua situação econômica e na sua imagem, mais crítico ele 
será; 
· arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em 
operação no menor tempo possível, mesmo que parcialmente; 
· dependência de recursos e serviços externos ao negócio; 
· procedimentos necessários para restaurar os serviços computacionais na instalação de reserva; 
· pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é 
interessante definir suplentes, quando se julgar necessário); 
· referências para contato dos responsáveis, sejam eles funcionários ou terceiros; 
· organizações responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer 
outros bens necessários para a restauração; 
· contratos e acordos que façam parte do plano para recuperação dos serviços, como aqueles 
efetuados com outros centros de processamento de dados. 
 
Qual o papel da alta gerência na elaboração do Plano de Contingências? 
 
É imprescindível o comprometimento da alta administração com o Plano de Contingências. Na 
verdade, este Plano é de responsabilidade direta da alta gerência, é um problema corporativo, 
pois trata-se de estabelecimento de procedimentos que garantirão a sobrevivência da organização 
como um todo e não apenas da área de informática. Ainda, muitas das definições a serem 
especificadas são definições relativas ao negócio da organização e não à tecnologia da 
informação. 
 
A alta gerência deve designar uma equipe de segurança específica para