08-SEGURANÇA-DA-INFORMAÇÃO

Prévia do material em texto

1 
 
 
SUMÁRIO 
1 INTRODUÇÃO ............................................................................................ 2 
2 CONCEITOS DE SEGURANÇA ................................................................. 3 
2.1 Ciclo de vida da informação ................................................................. 5 
2.2 Ciclo de produção do conhecimento .................................................... 6 
2.3 A informação como um ativo ................................................................ 7 
2.4 Vulnerabilidades da informação ........................................................... 9 
2.5 Ameaças à segurança da informação ................................................ 14 
3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ........................... 23 
4 INVASÕES NA INTERNET ....................................................................... 33 
5 REALIZAÇÃO CORRETA DE CÓPIAS DE SEGURANÇA ....................... 35 
5.1 Cuidados com os Backups ................................................................. 36 
5.2 Educação dos Usuários ...................................................................... 37 
5.3 Criptografia ......................................................................................... 37 
5.4 Assinatura digital ................................................................................ 38 
5.5 Certificado Digital ............................................................................... 39 
6 ALGUMAS LEIS DA SEGURANÇA .......................................................... 40 
6.1 Leis Fundamentais ............................................................................. 40 
7 BIBLIOGRAFIA ......................................................................................... 44 
 
 
2 
 
1 INTRODUÇÃO 
 
Fonte: itforum365.com.br 
 
Num mundo cada vez mais competitivo, onde a informação é vital para todas 
as organizações, estas procuram ter sempre disponível a informação de forma rápida, 
íntegra e confidencial. Para que isto seja possível, as organizações têm que possuir 
sistemas de informação e tecnologias de informação (SI/TI) capazes de dar resposta 
às suas exigências e necessidades. Para que os sistemas de informação (SI) estejam 
sempre disponíveis e garantam a integridade e confidencialidade da informação que 
recolhem, processam, armazenam e distribuem, há um fator muito importante a ter 
em consideração, para além da tecnologia propriamente dita e de todos os 
mecanismos de segurança que venham a adotar, que são os usuários dos SI/TI. Se 
estes não tiverem um conjunto de práticas e regras na utilização dos SI/TI, corre-se o 
risco de gerar informação incoerente, defasada da realidade e, consequentemente, 
levar a tomadas de decisão incorretas. Segundo (Kruger & Kearney, 2008), os 
usuários devem ser sensibilizados para as questões de segurança, nomeadamente 
para os efeitos negativos que uma falha ou quebra de segurança podem provocar. De 
acordo com (Furnell & Thomson, 2009), um dos grandes problemas e ameaças 
verificados na implementação de práticas e procedimentos na segurança da 
informação são os usuários. 
Por este fato, torna-se necessário promover dentro da organização uma cultura 
de segurança e assegurar que as boas práticas são uma componente natural do 
comportamento dos usuários. Os usuários são, portanto, um dos elementos que pode 
 
3 
 
provocar vulnerabilidades e eventuais danos nos SI, pelo que é pertinente verificar se 
estão sensibilizados para a utilização de práticas corretas e seguras no desempenho 
das suas tarefas. 1 
2 CONCEITOS DE SEGURANÇA 
 
Fonte: n3w5.com.br 
 
A maioria das definições de Segurança da Informação (SI) (Brostoff, 2004; 
Morris e Thompson, 1979; Sieberg, 2005; Smith, 2002) pode ser sumarizada como a 
proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção 
contra a negação do serviço a usuários autorizados, enquanto a integridade e a 
confidencialidade dessa informação são preservadas. A SI não está confinada a 
sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a 
todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível 
de proteção deve, em qualquer situação, corresponder ao valor dessa informação e 
aos prejuízos que poderiam decorrer do uso impróprio da mesma. É importante 
lembrar que a SI também cobre toda a infraestrutura que permite o seu uso, como 
processos, sistemas, serviços, tecnologias e outros. 
A Segurança da informação refere-se à proteção existente sobre as 
informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto às 
informações corporativas quanto as pessoais. Entende-se por informação todo e 
qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela 
 
1 Texto extraído do link: http://www.scielo.br/pdf/jistm/v13n3/1807-1775-jistm-13-03-0533.pdf 
 
4 
 
pode estar guardada para uso restrito ou exposta ao público para consulta ou 
aquisição. 
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a 
definição do nível de segurança existente e, com isto, serem estabelecidas as bases 
para análise da melhoria ou piora da situação de segurança existente. A segurança 
de uma determinada informação pode ser afetada por fatores comportamentais e de 
uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por 
pessoas mal-intencionadas que têm o objetivo de furtar, destruir ou modificar tal 
informação. 
A tríade CIA (Confidentiality, Integrity and Availability) 
— Confidencialidade, Integridade e Disponibilidade — representa os principais 
atributos que, atualmente, orientam a análise, o planejamento e a implementação da 
segurança para um determinado grupo de informações que se deseja proteger. Outros 
atributos importantes são não-repúdio (irretratabilidade), autenticidade e 
conformidade. Com a evolução do comércio eletrônico e da sociedade da informação, 
a privacidade é também uma grande preocupação. 
Portanto os atributos básicos da segurança da informação, segundo os padrões 
internacionais (ISO/IEC 17799:2005) são os seguintes: 
Confidencialidade: propriedade que limita o acesso a informação tão somente 
às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação; 
Integridade: propriedade que garante que a informação manipulada mantenha 
todas as características originais estabelecidas pelo proprietário da informação, 
incluindo controle de mudanças e garantia do seu ciclo de vida (Corrente, 
intermediária e permanente). O ciclo de vida da informação orgânica - criada em 
ambiente organizacional - segue as três fases do ciclo de vida dos documentos de 
arquivos; conforme preceitua os canadenses da Universidade do Quebec (Canadá): 
Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina 
Arquivística; 
Disponibilidade: propriedade que garante que a informação esteja sempre 
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo 
proprietário da informação; 
Autenticidade: propriedade que garante que a informação é proveniente da 
fonte anunciada e que não foi alvo de mutações ao longo de um processo; 
 
5 
 
Irretratabilidade ou não repúdio: propriedade que garante a impossibilidade 
de negar a autoria em relação a uma transação anteriormente feita; 
Conformidade: propriedade que garante que o sistema deve seguir as leis e 
regulamentos associados a este tipo de processo.2 
2.1 Ciclo de vida da informação 
A informação possui um ciclo de vida. Ela nasce com a produção, tem um 
tempo de vida útil, na qual é manuseada, utilizada interna e externamente, 
transportada por diversos meios, armazenada, e morre com a sua destruição. 
A doutrina tem apresentado o seguinte ciclo de vida para as informações: 
produção e manuseio, armazenamento, transporte e descarte. A produçãoé a fase 
na qual nasce a informação, e o manuseio, como o próprio nome já o diz, é o ato de 
manusear a informação. É nessa fase que se caracteriza a materialização do 
conhecimento; O transporte é a fase da condução por quaisquer meios nos quais 
conste a informação. 
O armazenamento é o ato de arquivar as informações. E o descarte é o ato de 
descartar ou inutilizar a informação. Alguns autores, como Beal (2005), apresentam 
mais algumas etapas para o ciclo de vida da informação. Beal apresenta seis etapas: 
identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição, 
uso, armazenamento e descarte. 
 A identificação das necessidades e dos requisitos, para Beal, é o ponto de 
partida do ciclo de vida da informação, por entender que essa etapa age como um 
elemento acionador de todo o processo, podendo vir a estabelecer um ciclo contínuo 
de coleta. Ela enfatiza que a recompensa por descobrir essas demandas se dá ao 
tornar a informação mais útil e os seus destinatários mais receptivos à sua utilização. 
Na etapa da obtenção, são desenvolvidas as atividades de criação, recepção ou 
captura de informação proveniente de fonte externa ou interna. Na etapa do 
tratamento, caracteriza a passagem da informação por processos para torná-la mais 
acessível, organizada e fácil de localizar pelos usuários. 
 
2 Texto extraído do link: 
https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o 
 
6 
 
Verifica-se que a classificação de Beal se aproxima mais de um esquema de 
produção do conhecimento, pois a identificação das necessidades e requisitos é parte 
integrante da fase do planejamento, que é uma das etapas da produção do 
conhecimento. 
Independentemente da linha a ser adotada, todas essas etapas do ciclo de vida 
da informação são importantes para o ciclo de produção do conhecimento. 
2.2 Ciclo de produção do conhecimento 
Como já foi abordado, o conhecimento resulta de um processamento de dados, 
informações e conhecimentos anteriores, que são avaliados, analisados, 
interpretados e compreendidos dentro de um contexto, a fim de serem utilizados numa 
ou mais aplicações específicas. Esse processo de produção do conhecimento passa 
pelas seguintes fases: planejamento, reunião, análise, interpretação, formalização e 
difusão. 
O planejamento constitui a fase inicial, pois é nela que se decide o que se quer 
fazer, como fazer e para que fazer. É nessa fase que se identificam as principais fontes 
de dados, sejam elas internas e externas. A reunião caracteriza-se pela coleta dos 
dados já disponíveis pela pessoa e pela ação de campo para a obtenção de novos 
dados. A análise é a fase na qual se avaliam os dados obtidos e se faz a interligação 
com os dados de outras fontes. A interpretação do analista é uma operação intelectual, 
na qual ele concebe ideias, formula juízos de valor sobre um conjunto de dados, o que 
resulta na produção do conhecimento. As últimas fases são a formalização e difusão 
do conhecimento produzido, que poderá ser destinado ao público interno e/ou ao 
mercado. 
Todas as fases são importantes na produção do conhecimento, porém, se o 
analista não tiver um bom raciocínio, o conhecimento tornar-se-á fragilizado e o 
resultado poderá não ser aquele desejado. 
Após a produção do conhecimento, ele serve para satisfazer as demandas, 
como também pode gerar novas necessidades de conhecimento, as quais servirão 
para orientar uma nova produção do conhecimento. 
 
7 
 
Observa-se que a produção é um sistema cíclico, pois essa nova orientação 
pode ser considerada como um feedback para a retroalimentação do sistema de 
produção do conhecimento, como está demonstrado abaixo: 
 
 
Fonte: marcusdantas.com.br 
2.3 A informação como um ativo 
O estudo do ativo não é uma preocupação recente, pois há muito tempo a 
ciência da contabilidade já o estudava. A definição clássica é que o ativo compreende 
o conjunto de bens e direitos de uma entidade. Entretanto, atualmente, um conceito 
mais amplo tem sido adotado para se referir ao ativo como tudo aquilo que possui 
valor para a empresa. 
Ativo: qualquer coisa que tenha valor para a organização (ISO/IEC 13335-
1:2004). 
Como a informação tem ocupado um papel de destaque no ambiente de 
negócios, e também tem adquirido um potencial de valoração para as organizações e 
para as pessoas, ela passou a ser considerada o seu principal ativo. 
Entretanto, para se proteger a informação, mantendo os requisitos de 
segurança (confidencialidade, integridade e disponibilidade), deve-se atentar para o 
processo de comunicação. E para que a informação seja protegida durante todo esse 
processo, não basta tê-la como um componente a proteger, mas também devem ser 
considerados os outros elementos que fazem parte desse processo, que são, por 
exemplo: os sistemas, os aplicativos, os equipamentos, os serviços e as pessoas que 
os utilizam. 
 
8 
 
O processo de comunicação está representado na figura abaixo, onde a 
informação parte de um emissor, que é aquele que codifica a mensagem, sendo 
transmitida por um canal de comunicação, até chegar a seu receptor, que é aquele 
que decodifica a mensagem, fornecendo o feedback ao emissor. 
 
 
Fonte: marcusdantas.com.br 
Nesse processo, existem três elementos que merecem especial atenção: a 
informação, os equipamentos que lhe oferecem suporte e as pessoas que a utilizam. 
As informações são: os documentos, relatórios, livros, manuais, 
correspondências, patentes, informações de mercado, código de programação, linhas 
de comando, arquivo de configuração, planilha de remuneração de funcionários, plano 
de negócios de uma empresa, etc. 
Os elementos que oferecem suporte, às informações podem ser divididos em 
três grupos: software, hardware e organização. 
Os softwares compõem o grupo dos programas de computador utilizados para 
a customização de processos, ou seja, o acesso, a leitura, o trânsito e o 
armazenamento da informação. São constituídos pelos aplicativos comerciais, 
programas institucionais, sistemas operacionais, programas de correio eletrônico, 
sistemas de suporte. 
Os hardwares representam toda a infraestrutura tecnológica que oferece 
suporte à informação. São quaisquer equipamentos em que se processe, transmita e 
armazene a informação. São os computadores, os servidores, os mainframes, os 
meios de armazenamento, os equipamentos de conectividade, roteadores, switches, 
e qualquer outro elemento de uma rede de computadores através do qual sejam 
transmitidas informações. 
A organização é toda a estrutura organizacional, a saber, a sua estrutura 
departamental e funcional, o quadro de alocação dos funcionários, a distribuição de 
funções e os fluxos de informação da empresa. O ambiente físico compõe as salas, 
 
9 
 
os armários onde são colocados os documentos, a infoteca, a sala de servidores e o 
arquivo. 
E as pessoas são todos aqueles que, de uma forma ou outra, lidam com a 
informação ao utilizarem a estrutura tecnológica e de comunicação da empresa. 
A NBR ISO/IEC 27002:2005 exemplifica como ativos associados aos sistemas 
de informação: 
Ativos de informação: base de dados e arquivos, contratos e acordos, 
documentação de sistema, informações sobre pesquisa, manuais de usuário, material 
de treinamento, procedimentos de suporte ou operação, planos de continuidade do 
negócio, procedimentos de recuperação, trilhas de auditoria e informações 
armazenadas; 
Ativos de software: aplicativos, sistemas de uma forma geral, ferramentas de 
desenvolvimento e utilitários; 
Ativos físicos: equipamentos computacionais (processadores, monitores, 
laptops, modens), equipamentos de comunicação (roteadores, PABXs, fax, 
secretárias eletrônicas), mídia magnética (fitas e discos), mídias removíveis e outros 
equipamentos técnicos (nobreaks, ar-condicionado), mobília, acomodações; 
Serviços:computação e serviços de comunicação, utilidades gerais, por 
exemplo: aquecimento, iluminação, eletricidade, refrigeração; 
Pessoas: pessoas e suas qualificações, habilidades e experiências; intangíveis: 
reputação e imagem da organização 
Para a segurança da informação, é fundamental a identificação dos elementos 
que compõem o processo de comunicação para se identificarem as vulnerabilidades 
da informação. 
2.4 Vulnerabilidades da informação 
Vulnerabilidades são fragilidades que de alguma forma podem vir a provocar 
danos. A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de 
um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 
Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser 
explorada por uma ameaça para concretizar um ataque. Para Sêmola (2003), as 
vulnerabilidades são fragilidades presentes ou associadas a ativos de informação, 
 
10 
 
que, ao serem exploradas, permitem a ocorrência de incidente na segurança da 
informação. 
Dantas (2003) afirma que vulnerabilidades são fragilidades que podem 
provocar danos decorrentes da utilização de dados em qualquer fase do ciclo de vida 
das informações. Como pode ser verificado, as vulnerabilidades estão relacionadas 
diretamente com as fragilidades. Essas fragilidades podem estar nos processos, 
políticas, equipamentos e nos recursos humanos. Por si só, elas não provocam 
incidentes, pois são elementos passivos, necessitando para tanto de um agente 
causador ou de condição favorável, já que se trata de ameaças. 
De acordo com as análises feitas nas pesquisas realizadas pela Módulo 
Security S.A., nos anos de 2003 e 2004, foram identificados alguns pontos que 
demonstram uma relação direta com as vulnerabilidades para a segurança das 
informações. 
 
Fonte: marcusdantas.com.br 
A internet foi, para 60% das empresas pesquisadas, o principal ponto de 
invasão, o que demonstra que essa tecnologia tem contribuído para o aumento das 
vulnerabilidades. 
Outro ponto que desperta a atenção é que, apesar da evolução da segurança 
da informação, os ataques ainda permanecem em patamar preocupante. Segundo 
dados da pesquisa 2006 Australian Computer Crime and Security Survey (AusCERT, 
2006), os ataques trojan e phishing tiveram um crescimento de 27% em relação ao 
ano de 2005. Já para o CSI/FBI (2006), os vírus ainda permanecem como a principal 
fonte de grandes perdas financeiras, seguido do acesso não autorizado. 
 
11 
 
Outro ponto de vulnerabilidade apresentado nas pesquisas sobre segurança da 
informação tem relação com os funcionários e prestadores de serviço. Sabemos que 
a fuga das informações e a sua exposição involuntária ocorrem em momentos simples 
do dia a dia da empresa, o que torna os recursos humanos uma das maiores 
preocupações para a implementação de políticas e treinamentos voltados para a 
proteção das informações. 
Tudo isso demonstra o quanto existe de vulnerabilidade no ambiente de 
negócios, bem como o tamanho da preocupação dos especialistas em segurança da 
informação com o crescimento da tecnologia. 
É certo que ela torna a vida mais prática e as informações mais acessíveis, 
proporcionando conforto, economia de tempo e segurança. Mas, essa aparente 
segurança não é motivo de tranquilidade, pois a ausência de uma cultura da 
segurança das informações cria um ambiente vulnerável às informações, porque os 
mesmos benefícios que a tecnologia oferece são também utilizados para a prática de 
ações danosas às empresas. 
 
Origem das vulnerabilidades 
As vulnerabilidades podem advir de vários aspectos: instalações físicas 
desprotegidas contra incêndio, inundações e desastres naturais; material inadequado 
empregado nas construções; ausência de políticas de segurança para RH; 
funcionários sem treinamento e insatisfeitos nos locais de trabalho; ausência de 
procedimentos de controle de acesso e de utilização de equipamentos por pessoal 
contratado; equipamentos obsoletos, sem manutenção e sem restrições para sua 
utilização; software sem patch de atualização e sem licença de funcionamento, etc. 
Para uma melhor compreensão das vulnerabilidades, podemos classificá-las como: 
naturais, organizacionais, físicas, de hardware, de software, nos meios de 
armazenamento, humanas e nas comunicações. 
 
Naturais 
As vulnerabilidades naturais estão relacionadas com as condições da natureza 
ou do meio ambiente que podem colocar em risco as informações. Podem ser: locais 
sujeitos a incêndios em determinado período do ano; locais próximos a rios propensos 
a inundações; áreas onde se verificam manifestações da natureza, como terremotos, 
 
12 
 
maremotos e furacões; falha geológica, zonas de inundação, áreas de 
desmoronamento e avalanches. 
Organizações situadas nessas áreas vulneráveis devem manter um excelente 
gerenciamento de continuidade de negócios, uma vez que esses eventos independem 
de previsibilidade e da vontade humana. 
 
Organizacional 
As vulnerabilidades de origem organizacional dizem respeito a políticas, planos 
e procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da 
organização e que não seja enquadrado em outras classificações. Podem ser: 
ausência de políticas de segurança e treinamento; falhas ou ausência de processos, 
procedimentos e rotinas; falta de planos de contingência, recuperação de desastres e 
de continuidade; ausência ou deficiência da CIPA (Comissão Interna de Prevenção 
de Acidentes), etc. 
 
Física 
As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo 
processadas ou gerenciadas as informações. Podem ser: instalações inadequadas; 
ausência de recursos para combate a incêndio; disposição desordenada dos cabos 
de energia e de rede; não identificação de pessoas e locais; portas destrancadas; 
acesso desprotegido às salas de computador; sistema deficiente de combate a 
incêndio; edifícios mal projetados e mal construídos; material inflamável utilizado na 
construção e no acabamento; janelas destrancadas; paredes suscetíveis a um assalto 
físico; paredes que não vão até o teto (meia parede). 
 
Hardware 
Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de 
fabricação ou configuração dos equipamentos que podem permitir o ataque ou a 
alteração dos mesmos. Como exemplo desse tipo de vulnerabilidade, temos: a 
conservação inadequada dos equipamentos; a falta de configuração de suporte ou 
equipamentos de contingência; patches ausentes; firmware desatualizado; sistemas 
mal configurados; protocolos de gerenciamento permitidos por meio de interfaces 
públicas. 
 
13 
 
 
Software 
As vulnerabilidades de softwares são constituídas por todos os aplicativos que 
possuem pontos fracos que permitem acessos indevidos aos sistemas de 
computador, inclusive sem o conhecimento de um usuário ou administrador de rede. 
Os principais pontos de vulnerabilidade encontrados estão na configuração e 
instalação indevida, programas, inclusive o uso de e-mail, que permitem a execução 
de códigos maliciosos, editores de texto que permitem a execução de vírus de macro. 
 
Meios de armazenamento 
Os meios de armazenamento são todos os suportes físicos ou magnéticos 
utilizados para armazenar as informações, tais como: pen-drive; CD ROM; fita 
magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está 
registrado em papel. As suas vulnerabilidades advêm de prazo de validade e 
expiração, defeito de fabricação, utilização incorreta, local de armazenamento em 
áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, etc. 
 
Humanas 
As vulnerabilidades humanas constituem a maior preocupação dos 
especialistas, já que o desconhecimento de medidas de segurança é a sua maior 
vulnerabilidade. Sua origem pode ser: falta de capacitação específica para a execução 
das atividades inerentes às funções de cada um; faltade consciência de segurança 
diante das atividades de rotina; erros; omissões; descontentamento; desleixo na 
elaboração e segredo de senhas no ambiente de trabalho; não utilização de 
criptografia na comunicação de informações de elevada criticidade, quando possuídas 
na empresa. 
 
Comunicação 
Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que 
abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, 
ondas de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão 
relacionados com: a qualidade do ambiente que foi preparado para o tráfego, 
tratamento, armazenamento e leitura das informações; a ausência de sistemas de 
 
14 
 
criptografia nas comunicações; a má escolha dos sistemas de comunicações para o 
envio da mensagem; os protocolos de rede não criptografados; as conexões a redes 
múltiplas; os protocolos desnecessários permitidos; a falta de filtragem entre os 
segmentos da rede. 
2.5 Ameaças à segurança da informação 
No ambiente atual, bastante competitivo, as empresas devem estar sempre 
atentas para as ameaças aos negócios corporativos, que, se concretizadas poderão 
tirá-las desse cenário, encerrando suas atividades para sempre. 
Com a automação dos sistemas de processamento e de armazenamento de 
informações, a própria informação torna-se mais susceptível às ameaças, uma vez 
que ela (a informação) está mais acessível e disponível para usuários de uma forma 
geral. 
Mas, o que são ameaças? 
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas. 
A norma ISO/IEC 13335-1:2004 define ameaças como: a causa potencial de 
um incidente indesejado, que pode resultar em dano para um sistema ou para a 
organização. 
Sêmola (2003) define ameaças como sendo agentes ou condições que causam 
incidentes que comprometem as informações e seus ativos, por meio de exploração 
de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e 
disponibilidade, e, consequentemente, causando impactos aos negócios de uma 
organização. 
Para Beal (2005), ameaças são expectativas de acontecimentos acidental ou 
proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo de 
informação. 
Observa-se que as vulnerabilidades estão relacionadas com situações de 
fragilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com 
um incidente indesejado que, em decorrência daquela, pode vir a provocar algum 
dano. 
 
15 
 
Essas ameaças podem surgir de várias formas: de eventos da natureza, como 
terremotos, furacões, enchentes, descargas elétricas, tsunamis, etc.; de incidentes em 
instalações, como incêndio, curtos-circuitos, infiltrações; de incidentes de segurança, 
com roubo, furto, sabotagem, ataques terroristas, etc.; e de uma variedade de 
eventos, que, de uma forma ou de outra, pode vir a afetar os negócios de uma 
organização. 
As ameaças podem ser: 
Naturais: são aquelas que se originam de fenômenos da natureza, tais como 
terremotos, furacões, enchentes, maremotos, tsunamis; 
Involuntárias: são as que resultam de ações desprovidas de intenção para 
causar algum dano. Geralmente são causadas por acidentes, erros, ou por ação 
inconsciente de usuários, tais como vírus eletrônicos, que são ativados pela execução 
de arquivo anexado às mensagens de e-mail; e 
Intencionais: são aquelas deliberadas, que objetivam causar danos, tais como 
hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de 
informações, dentre outras. 
Fontes de diversas origens apresentam tipos de ameaças à informação, 
contudo, o ponto referencial mais confiável são as pesquisas sobre segurança da 
informação, as quais apresentam as principais ameaças que permeiam o ambiente 
das informações. 
Dentre as pesquisas sobre segurança da informação, sem prejuízo de outras 
fontes, destacamos as realizadas pela Módulo Security Solutions, as realizadas pelo 
Computer Security Institute (CSI), juntamente com o Federal Bureau of Investigation 
(FBI), as da Ernst & Young, pela Deloitte Touche Tohmatsu, e as efetuadas pela 
Australia’s National Computer Emergency Response Team (AusCERT), em conjunto 
com outros órgãos de combate aos crimes de informática e computador da Austrália. 
Abaixo apresentamos os principais destaques de duas pesquisas nacionais 
sobre segurança da informação: 
 
16 
 
 
Fonte: marcusdantas.com.br 
 
17 
 
 
Fonte: marcusdantas.com.br 
Essas pesquisas demonstram o quanto é preocupante a segurança da 
informação, e o quanto de trabalho há pela frente para se atingir um padrão eficiente 
em segurança da informação. 
Nesse sentido, em pesquisa realizada pelo CSI/FBI (2005), foi identificado que 
95% das empresas pesquisadas tiveram mais de dez incidentes de segurança em 
 
18 
 
seus websites, e que o ataque de vírus ainda continua como a grande fonte de perdas 
financeiras. 
Nas pesquisas dos anos seguintes, o vírus ainda continuava sendo uma das 
principais fontes de perdas financeiras, que, juntamente com o acesso não autorizado, 
o roubo de laptops e o roubo de propriedade da informação, representam mais que 
70% das perdas financeiras. 
Dessa forma, reproduzimos um quadro da pesquisa realizada pelo CSI/FBI, no 
ano de 2006, no qual é possível identificar a liderança do ataque de vírus sobre os 
outros tipos de ataques, no período de 1999 a 2006. Esse quadro mostra o 
comportamento das principais ameaças à segurança da informação. 
 
Fonte: marcusdantas.com.br 
 
Na pesquisa realizada pelo AusCERT (AusCert, 2006), verifica-se que os 
principais tipos de ataques eletrônicos são: vírus, worm ou trojan (64%); acesso 
indevido à internet, e-mail ou recursos de sistema (62%), e roubo de laptop (58%), 
sendo o vírus e o roubo de laptop os maiores responsáveis pelas perdas financeiras 
decorrentes desses ataques. 
Abaixo vem apresentado um quadro no qual constam as principais ameaças 
apresentadas nas 8ª e 9ª Pesquisa nacional de segurança da informação, realizadas 
pela Módulo Security Solutions. 
 
19 
 
Principais ameaças segundo pesquisas efetuadas pela Módulo Security 
Solutions 
 
 
Fonte: marcusdantas.com.br 
 
Pelos dados das pesquisas citadas, observa-se que, apesar da evolução da 
tecnologia da segurança da informação, as ameaças ainda permanecem em 
patamares que demandam bastante atenção, colocando sob holofotes a eficácia das 
medidas de proteção ao longo desse período. 
Para uma melhor visualização da consolidação dessas ameaças, são 
apresentados, abaixo, os tipos de ameaças citadas nas pesquisas de segurança da 
informação. 
Ameaças apresentadas nas pesquisas de segurança da informação. 
As principais ameaças apresentadas em pesquisas de segurança da 
informação foram: 
 Vírus, worm, cavalo de Tróia (trojan horse); 
 Phishing, pharming e spyware; 
 Adware; spam; 
 Roubo de dados confidenciais da empresa e de cliente, da propriedade 
da informação e da propriedade intelectual; 
 Acesso não autorizado à informação; 
 Perda de dados de clientes; 
 Roubo de laptop, portáteis e de hardware; 
 Ataque de negação de serviço, invasão de sistemas e da network; 
 
20 
 
 Acesso e utilização indevida da internet e dos recursos dos sistemas de 
informação; 
 Degradação da performance, destruição e/ou desfiguramento da 
network e do website; 
 Software de má qualidade, mal desenvolvido e sem atualização; 
 Fraude financeira e de telecomunicações; 
 Interceptação de telecomunicação (voz ou dados) e espionagem; 
 Sabotagem de dados e da network; 
 Desastres naturais; 
 Cyber-terrorismo; 
 Má conduta e acesso indevido à network por funcionários e gerentes, 
bem como abuso de seus privilégios de acesso e utilização indevida da 
rede wireless; 
Das ameaças citadas nessas pesquisas, observa-se que é dispensada uma 
atenção especial para os malware(códigos maliciosos). Os principais códigos 
maliciosos são: vírus, cavalos de Tróia, adware e spyware, backdoors, keyloggers, 
worms, bots e botnets e rootkits. 
 
 
Fonte: focadoemti.com.br 
O Vírus é um programa ou parte de um programa de computador, o qual se 
propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de 
computador. O vírus depende da execução do programa ou do hospedeiro para ser 
ativado. 
O Cavalo de Tróia (trojan horse) é um programa que executa funções 
maliciosas sem o conhecimento do usuário. Normalmente esse código é recebido 
 
21 
 
como um presente (cartão virtual, prêmios, fotos, protetor de tela, etc.). O seu nome 
tem origem na mitologia grega. 
O Adware (Advertising software) é um tipo de software projetado para 
apresentar propagandas, seja por meio de um navegador (browser), seja com algum 
outro programa instalado em um computador. 
O Spyware é um software espião que tem como objetivo monitorar atividades 
de um sistema e enviar as informações coletadas para terceiros. 
Os Backdoors são programas que procuram dar a garantia de retorno a um 
computador comprometido, sem utilizar novas técnicas de invasão, ou retornarem ao 
computador comprometido sem serem notados. 
Os Keyloggers são programas capazes de capturar e armazenar as teclas 
digitadas pelo usuário no teclado de um computador. 
O Worm é um programa capaz de se propagar automaticamente através de 
redes, enviando cópias de si mesmo de computador para computador. Difere do vírus 
por não embutir cópias de si mesmo em outros programas ou arquivos. 
O Bot é um programa capaz se propagar automaticamente, explorando 
vulnerabilidades existentes ou falhas na configuração de softwares instalados em um 
computador. Normalmente, o bot se conecta a um servidor de IRC (Internet Relay 
Chat) e entra em um canal (sala) determinado, aguardando as instruções do invasor, 
monitorando as mensagens que estão sendo enviadas para esse canal. O invasor, ao 
se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens 
compostas por sequências especiais de caracteres, que são interpretadas pelo bot. 
Tais sequências de caracteres correspondem a instruções que devem ser executadas 
pelo bot. 
Os Botnets são as redes formadas por computadores infectados com bots. 
Essas redes podem ser compostas por centenas ou milhares de computadores. Um 
invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência 
de seus ataques, por exemplo: para enviar centenas de milhares de e-mails de 
phishing ou spam; para desferir ataques de negação de serviço, etc. 
O Rootkits é um conjunto de programas que utiliza mecanismos para esconder 
e assegurar a presença do invasor no computador comprometido. 
Como muitas das ameaças à segurança da informação vêm do ciberespaço, 
pode ser que haja uma tendência para se dispensar uma atenção maior ao tratamento 
 
22 
 
dessas ameaças, o que pode tornar essa avaliação vulnerável. Por exemplo, Kevin 
Mitnick, um ex hacker, em seu livro “A Arte de enganar”, deixa bastante claro que 
muito de seus ataques de sucesso sequer utilizavam ferramentas para a invasão de 
sistemas: bastava uma boa conversa e a exploração de falhas no controle de acesso 
físico. 
Como já foi abordado, para que as ameaças possam ser identificadas faz-se 
necessário recorrer às pesquisas de segurança da informação. Contudo, elas por si 
só não são suficientes para uma delimitação das principais ameaças, uma vez que 
essas pesquisas dão ênfase maior às ameaças do meio eletrônico. As ameaças como 
fogo, inundação, tempestade, descargas elétricas, bem como as ações violentas de 
pessoas de fora das organizações, como: incêndios criminosos, ataques de bombas 
e vandalismo, devem, também, integrar esse grupo nas suas avaliações. 
Dessa forma, sempre que se for avaliar uma ameaça, deve-se identificar não 
apenas o que é oriundo do meio eletrônico, como as da classe dos códigos maliciosos, 
mas também outros tipos de ameaças que não utilizam esse meio. 
Nesse sentido, a BS 7799-3:2006, em seu anexo “C”, e o HB 231:2004, em seu 
anexo “A”, fornecem uma lista de ameaças à segurança da informação, e dentre elas 
encontram-se ameaças que não são exclusivas ao meio eletrônico, como, por 
exemplo: atos de terrorismo, falta ou carência de sistemas de refrigeração, brechas 
na legislação, danos causados por funcionários e por terceira parte, desastres 
naturais, fogo, acesso não autorizado às instalações, etc. 
Ao se avaliarem as ameaças à informação, devem-se considerar as 
vulnerabilidades possíveis e existentes, bem como as possibilidades de concretização 
dessas ameaças. Neste processo de análise, adentra-se no estudo do risco ao se 
procurar entender como essas ameaças ocorrem e qual a sua relação com as 
vulnerabilidades, como também a probabilidade de sua concretização, para que seja 
possível efetuar um tratamento mais adequado aos riscos, de acordo com as reais 
condições da organização.3 
 
3 Texto extraído do link: http://www.marcusdantas.com.br/files/seguranca_informacao.pdf 
 
23 
 
3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO 
 
Fonte: hositec.com.br 
 
Diante das mudanças presenciadas por organizações de todo o mundo no 
cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas 
mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem 
sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao 
negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos 
acionistas. 
Atualmente a arquitetura corporativa é o termo, o conceito e a estrutura 
utilizados para transportar a organização do estágio do uso técnico da 
tecnologia para o estágio do uso direcionado dessa tecnologia para negócio. 
Isto exige transparência dos objetivos de negócio, padronizações, uso de 
soluções corporativas sem esquecer situações específicas, uso efetivo de 
governança e, sobretudo, desejo verdadeiro do comando da organização 
para isso. (Fontes, 2008, p.43). 
Entende-se que a arquitetura corporativa associa a tecnologia da informação 
com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a 
segurança da informação. A arquitetura da segurança da informação é um elemento 
da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos 
outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura 
corporativa. 
Uma arquitetura de segurança define padrões e estruturas que devem ser 
seguidas pela organização com o objetivo de proteger a informação 
considerando os requisitos de negócio. Caso a organização esteja muito 
confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso 
 
24 
 
a organização esteja menos confusa, com algum esforço alcançaremos a 
situação desejada. (Fontes, 2008, p. 44). 
Espera-se que esta estrutura possibilite soluções para a corporação de modo 
a intensificar os controles de segurança da informação existentes, tomando por base, 
dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para 
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar 
um Sistema de Gestão de Segurança da Informação (SGSI). 
Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que 
exista o básico da gestão da segurança da informação. Muitas organizações não 
possuem essa gestão básica e adotam a governança de tecnologia da informação. 
Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam 
implementados, sendo que o primeiro deles é a existência de uma pessoa responsável 
pelo processo de segurança da informação, não sendo essa pessoa responsável pela 
segurança, mas, responsável pelo processo de segurança, que terá como 
consequência uma boa política de segurançada informação implementada. 
O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira, 
tempo e recursos operacionais para a implementação do processo de segurança da 
informação e sua gestão, e por fim e não mais importante que os itens acima 
apresentados Fontes preconiza a necessidade de existir um processo de segurança 
que se inicie na alta administração da organização, uma vez que este processo 
interfere em muitos aspectos da organização e principalmente nas pessoas e cultura 
organizacional. 
Neste contexto a literatura já elaborada para a segurança da informação sugere 
o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos 
de implementação de segurança, dentre os quais, apresenta-se o Escritório da 
Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais 
e estruturais necessários ao desenvolvimento, implantação e acompanhamento das 
políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da 
Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a 
necessidade de centralização dos recursos humanos, materiais e estruturais, 
necessários ao processo. 
 
 
 
25 
 
Modelos da Organização da Segurança da Informação 
 
No que diz respeito às atribuições de cada uma das estruturas acima descritas, 
ambas possuem os mesmos propósitos, a saber: 
 
 Analisar o posicionamento da empresa no mercado em que se situa, 
visando mapear seus clientes, fornecedores, concorrentes, produtos/ 
serviços e os riscos que cada um destes pode representar à empresa; 
 Definir as políticas de controle de acesso físico às instalações da 
empresa; 
 Implementar os aspectos sócio técnicos da Segurança da Informação, 
mapeando as características sociais referentes ao ambiente da 
organização e as pessoas que nela vivem e trabalham; 
 Definir as políticas de controle de acesso lógico aos dados 
organizacionais; 
 Desenvolver a matriz de riscos do negócio, identificando, priorizando e 
qualificando todos os riscos inerentes ao processo mapeando pelo 
menos uma resposta a cada risco identificado; 
 Garantir a sustentabilidade do processo de controle da segurança da 
informação; 
 Escrever e implementar os acordos de nível de serviço de segurança da 
informação na empresa; 
 Avaliar novas tecnologias e suas devidas adequações e aplicações nos 
processos de segurança da informação organizacional; 
 Mapear e definir os planos de contingência dos processos 
organizacionais; 
 Definir os procedimentos a serem adotados em situações de crises, 
emergências e desastres para a continuidade de negócio; 
 Avaliar o nível de proteção atual dos processos organizacionais; 
 Garantir a eficácia dos processos da segurança da informação por meio 
de testes periódicos; 
 Desenvolver políticas de treinamento de funcionários visando garantir o 
comprometimento destes com os processos de SI organizacionais; 
 
26 
 
 Aplicar políticas de certificação digital de segurança da informação; 
 Implementar políticas de desenvolvimento de software seguro; 
 Definir políticas de controle de versão de arquivos; 
 Promover auditorias nos processos sistêmicos organizacionais; 
 Regulamentar as políticas de uso dos recursos informacionais da 
empresa (computadores, redes de dados, e-mails corporativos, 
ferramentas de redes sociais, etc.). 
A implantação do Escritório de Segurança da Informação requer disponibilidade 
de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao 
desenvolvimento das atividades descritas no item anterior, proporcionando que a 
equipe de analistas de Segurança da Informação possa compartilhar experiências, 
atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura 
deve permitir o desenvolvimento das atividades de segurança da informação e possui 
a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e 
de conhecimento de toda empresa – os recursos humanos e tecnológicos necessários 
aos andamentos das atividades de SI. 
Esta estrutura apresenta a desvantagem de contribuir com um custo fixo no 
plano de contas da organização pincipalmente pelo fato de manter disponíveis em 
tempo integral a equipe do escritório de segurança da informação, seu parque 
tecnológico e o ambiente físico (espaço) das instalações. 
Uma alternativa muito utilizada em empresas de todo mundo para manter uma 
estrutura de SI fugindo dos altos custos encontrados na implantação dos Escritórios 
de SI, é a adoção dos Comitês de Segurança da Informação, cujos propósitos são os 
mesmos dos Escritórios de SI, porém não existe a dedicação exclusiva dos recursos 
humanos e também não existe a disponibilidade física de um local destinado 
exclusivamente a este propósito. A adoção de Comitês de SI apresenta a 
desvantagem de não se ter em tempo integral uma equipe disponível para o 
cumprimento das atividades da governança de segurança da informação, fato que 
permite que os custos de um Comitê de SI sejam muito mais baixos que os custos de 
implantação de um Escritório de SI. 
No caso dos Comitês de SI, os profissionais alocados nas atividades de 
governança de segurança da informação continuam com suas atividades seculares 
em seus postos de trabalho, compartilhando suas horas de trabalho diárias também 
 
27 
 
com os processos do Comitê de SI, motivo principal pelo qual os Comitês de SI 
possuem um custo menor que os Escritórios de SI. 
Abaixo são apresentadas as vantagens e desvantagens, tanto do Escritório 
quanto do Comitê de Segurança da Informação: 
 
 
Fonte: mauriciolyra.pro.br 
 
Localização na estrutura organizacional 
 
A localização departamental da célula de governança da segurança da 
informação pode apresentar-se hierarquicamente no mesmo nível da diretoria de 
tecnologia da informação ou pode apresentar-se subordinada a essa. Abaixo são 
apresentadas estas duas estruturas organizacionais com suas características: 
1. Nesse modelo de estrutura organizacional a segurança da informação 
encontra-se subordinada à diretoria de TI, sendo assim, depende do 
orçamento da diretoria de TI e também das aprovações das políticas de 
TI. 
 
28 
 
 
Fonte: mauriciolyra.pro.br 
 
2. Nesse modelo de estrutura de TI, a segurança da informação encontra-
se no mesmo nível hierárquico que a Diretoria de TI, sendo assim, possui 
seu próprio orçamento, ficando independente para criação de políticas e 
tomadas de decisões. 
 
 
Fonte: mauriciolyra.pro.br 
 
 
 
 
 
 
 
 
 
 
 
29 
 
Profissionais da Segurança da Informação 
 
 
Fonte: itforum365.com.br 
Tal qual ocorre nas demais áreas da tecnologia da informação, a governança 
de segurança da informação também conta com diversas especialidades de 
atribuições de recursos humanos. 
A necessidade da distribuição dos profissionais de segurança da informação 
dá-se ao fato de que cada profissional precisa responsabilizar-se por determinadas 
atribuições técnicas para o desempenho dos papéis na segurança da informação 
organizacional. 
A informação é algo muito importante para a empresa e sua existência, pois 
observa-se a crescente necessidade de proteger seus ativos informacionais, por isso 
várias normas foram escritas para subsidiara área de segurança da informação. Para 
que essas normas fossem colocadas em prática e com excelência pela organização, 
foi preciso capacitar pessoas e desenvolver profissionais específicos para que a 
segurança da informação exista na organização. Esses profissionais têm a 
responsabilidade de estruturar, desenvolver, implementar e auditar os processos de 
proteção da informação organizacional. 
De acordo com a NBR ISO/IEC 27002, o profissional de Segurança da 
Informação deve possuir algumas características e responsabilidades, dentre as 
quais, citam-se: 
 
30 
 
 Garantir que asatividades da Segurança da Informação sejam 
executadas em conformidade com a política de Segurança da 
Informação; 
 Buscar soluções adequadas à realidade da organização; 
 Estruturar o processo de segurança; 
 Trabalhar em paralelo com a auditoria; 
 Saber por onde começar. 
 
Serão apresentadas abaixo as principais atribuições da governança de 
segurança da informação, ordenadas do mais alto cargo (importância na cadeia 
hierárquica da GSI) para o mais baixo cargo, em outras palavras, ordenados do cargo 
mais estratégico ao mais técnico: 
 
CSO – Chief Security Officer (Diretor Geral) 
 
Em conformidade com a NBR ISO/IEC 27002, este é o profissional responsável 
por dirigir toda a cadeia da segurança da informação corporativa do nível técnico ao 
gerencial estratégico. Entre suas responsabilidades estão, organizar e coordenar as 
iniciativas da SI que buscam a eficácia e a eficiência para a organização, estabelece 
procedimentos e transações corporativos. 
O CSO além de segurança deve conhecer sobre negócios e participar de todas 
as ações estratégicas da empresa, implantar políticas e escolher as melhores práticas 
para a necessidade do negócio. Deve atentar a toda forma de segurança, não 
somente a tecnológica, mas também a segurança física do local. O CSO deve 
proporcionar à empresa a diminuição de riscos nas operações. 
Qual a formação necessária? 
 Ciência da Computação; 
 Engenharia da Computação; 
 Auditoria de Sistema; 
 Governança de Tecnologia da Informação. 
 
 
 
 
31 
 
CISM – Certified Information Security Manager 
 
São os profissionais que gerenciam, projetam, supervisionam e avaliam a 
segurança das informações na organização. 
 
Que experiências deve possuir? 
 
 Governança de Segurança da Informação; 
 Gerenciamento de Riscos das Informações; 
 Gestão de Programas de Segurança da Informação; 
 Gestão de Incidentes e Respostas em Segurança da Informação. 
 
Qual a formação necessária? 
 
 Ciência da Computação; 
 Engenharia da Computação; 
 Auditoria de Sistema; 
 Governança de Tecnologia da Informação; 
 Análise e Desenvolvimento de Sistemas. 
 
CISP – Certified Information Security Profissional 
 
São os profissionais que realizam e operam as rotinas e protocolos da 
segurança das informações na organização. 
 
Que experiências deve possuir? 
 
 Governança de Segurança da Informação; 
 Gerenciamento de Riscos das Informações; 
 Desenvolvimento de Programas de Segurança da Informação; 
 Gestão de Incidentes e Respostas em Segurança da Informação. 
 
Qual a formação necessária? 
 
32 
 
 
 Ciência da Computação; 
 Engenharia da Computação; 
 Governança de Tecnologia da Informação; 
 Análise e Desenvolvimento de Sistemas. 
 
CISA - Certified Information Systems Auditor 
 
São os profissionais que supervisionam e auditam a segurança das 
informações na organização. 
 
Que experiências deve possuir? 
 
 Governança de Segurança da Informação; 
 Gerenciamento de Riscos das Informações; 
 Gestão de Programas de Segurança da Informação; 
 Gestão de Incidentes e Respostas em Segurança da Informação. 
 
Qual a formação necessária? 
 
 Auditoria de Sistema; 
 Governança de Tecnologia da Informação; 
 Administração de Empresas com ênfase em Tecnologia da Informação; 
 Análise e Desenvolvimento de Sistemas.4 
 
4 Texto extraído do link: http://mauriciolyra.pro.br/site/wp-content/uploads/2016/02/Livro-
Completo-v4-para-impress%C3%A3o-com-ISBN.pdf 
 
33 
 
4 INVASÕES NA INTERNET 
 
Fonte: menteantihacker.wordpress.com 
 
Todo sistema de computação necessita de um sistema para proteção de 
arquivos. Este sistema é um conjunto de regras que garantem que a informação não 
seja lida, ou modificada por quem não tem permissão. 
A segurança é usada especificamente para referência do problema genérico do 
assunto, já os mecanismos de proteção são usados para salvar as informações a 
serem protegidas. A segurança é analisada de várias formas, sendo os principais 
problemas causados com a falta dela a perda de dados e as invasões de intrusos. A 
perda de dados na maioria das vezes é causada por algumas razões: 
 Fatores naturais: incêndios, enchentes, terremotos, e vários outros 
problemas de causas naturais; 
 Erros de hardware ou de software: falhas no processamento, erros de 
comunicação, ou bugs em programas; 
 Erros humanos: entrada de dados incorreta, montagem errada de disco 
ou perda de um disco. 
Para evitar a perda destes dados é necessário manter um backup confiável, 
armazenado geograficamente distante dos dados originais. 
 
Exemplos de invasões 
 
Em 1988, um estudante colocou na internet um programa malicioso (malware), 
escrito em linguagem C, derrubando milhares de computadores pelo mundo, que foi 
identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi 
 
34 
 
completamente removido da rede. Até hoje não se sabe qual era seu objetivo, o que 
se sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse 
programa se autocopiava em todos os computadores em que o estudante invadia. 
Essa “brincadeira” não durou muito, pois o estudante foi descoberto pouco tempo 
depois, processado e condenado a liberdade condicional, e teve que pagar uma alta 
multa. 
Um dos casos mais recentes de invasão por meio de vírus foi o 
do worm Conficker (ou Downup, Downadup e Kido) que tinha como objetivo afetar 
computadores dotados do sistema operacional Microsoft Windows, e que foi 
primeiramente detectado em outubro de 2008. Uma versão anterior do malware 
propagou-se pela internet através de uma vulnerabilidade dos sistemas de rede do 
Windows (2000, XP, Vista, Server 2003, Server 2008, 7 Beta e Server 2008 R2 Beta, 
que tinha sido lançado anteriormente naquele mês). O worm bloqueia o acesso a 
websites destinados à venda, protegidos com sistemas de segurança e, portanto, é 
possível a qualquer usuário de internet verificar se um computador está infectado ou 
não, simplesmente por meio do acesso a websites destinados a venda de produtos 
dotados de sistemas de segurança. 
Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para 
corrigir a vulnerabilidade MS08-067, através da qual o worm prevalece-se para poder 
se espalhar. As aplicações da atualização automática se aplicam somente para o 
Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e 
versões mais antigas não são mais suportados. 
Em janeiro de 2009, o número estimado de computadores infectados variou 
entre 9 e 15 milhões. Em 13 de fevereiro de 2009, a Microsoft oferecia US$ 250mil em 
recompensa para qualquer informação que levasse à condenação e à prisão de 
pessoas por trás da criação e/ou distribuição do Conficker. 
Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender, 
Enigma Software, Eset, F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram 
atualizações com programas de detecção em seus produtos e são capazes de 
remover o worm. A McAfee e o AVG também são capazes de remover o vírus através 
de escaneamentos de discos rígidos e mídias removíveis. 
Através dessas informações históricas percebemos que os antivírus devem 
estar cada vez mais atualizados, porque estão surgindo novos vírus rapidamente, e 
 
35 
 
com a mesma velocidade deve ser lançado atualizações para os bancos de dados 
dos antivírus para que os mesmos sejam identificados e excluídos. Com a criação da 
internet essa propagação de vírus é muito rápida e muito perigosa, pois se não houver 
a atualização dos antivírus o computador e usuário estão vulneráveis, pois com a 
criação da internet várias empresas começarão a utilizar internet como exemplo 
empresas mais precisamente bancos, mas como é muito vulnerável esse sistema, 
pois existem vírus que tem a capacidade de ler o teclado(in/out), instruções 
privilegiadas como os keyloggers. Com esses vírus é possível ler a senha do usuário 
que acessa sua conta no banco, com isso é mais indicado utilizar um teclado virtual 
para digitar as senhas ou ir diretamente ao banco.5 
 
5 REALIZAÇÃO CORRETA DE CÓPIAS DE SEGURANÇA 
 
Fonte: targethost.com.br 
 
De acordo com a CERT BR (2012), cópias de segurança (backups) dos dados 
armazenados em um computador são importantes, não só para se recuperar de 
eventuais falhas, mas também as consequências de uma possível infecção por vírus, 
ou de uma invasão. 
Os backups podem ser executados nos mais diversos tipos de mídias podendo 
ser em simples mídias de CD’s ou pen-drives, ou mais complexos e seguros como 
 
5 Texto extraído do link: 
https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o 
 
36 
 
espelhamentos de discos rígidos e backups em data centers. Cabe salientar que 
dependendo do valor ou nível de importância das informações que estão sendo salvas 
a necessidade de usar mídias confiáveis é maior, pois CD’s ou DVD’s tem vida curta, 
podem ser extraviados, copiados ou furtados com certa facilidade. 
Existem maneiras de se automatizar o processo de backups através do uso de 
softwares, não necessitando assim de ações do usuário. Geralmente são utilizados 
em empresas, por exemplo, para fazer cópias de segurança do banco de dados, 
podendo assim configurar rotinas com horários específicos para a realização de cada 
cópia. 
5.1 Cuidados com os Backups 
Tão importante quanto realizar cópias de segurança é saber os cuidados 
básicos que se deve ter quando for realizar, armazenar e descartar as mesmas. 
Cópias de segurança devem conter apenas arquivos confiáveis. Arquivos do sistema 
operacional ou que façam parte da instalação de softwares não devem fazer parte dos 
backups. Eles podem haver sido modificados ou substituídos por versões infectadas 
por vírus ou outras ameaça. Logo quando restauradas podem trazer uma série de 
problemas de segurança para um computador. O sistema operacional e os softwares 
de um computador podem ser reinstalados de mídias confiáveis (SILVA et al 2011). 
Ao armazenar os backups, deve-se certificar que eles não ficarão expostos ao 
frio, calor, poeira ou umidade, pois estes agentes podem inutilizar a cópia. Por uma 
questão se segurança adicional deve haver um cuidado com acessos não autorizados 
onde os backups são armazenados e para prevenção contra incidentes naturais com 
incêndios e inundações que podem afetar a empresa. Os backups devem ser 
armazenados em dois ou mais lugares distintos. 
Para evitar que elas caiam em mãos erradas, o descarte das cópias antigas 
deve ser feito com cuidado, e em local adequado, de preferência deve-se inutilizar a 
cópia para depois descartá-la. 
 
37 
 
5.2 Educação dos Usuários 
Uma tarefa que deve fazer parte da rotina de administradores de redes e 
gerentes de TI é a constante educação dos usuários para com problemas 
relacionados à segurança. Sabe-se que grande parte dos problemas é originada na 
rede interna da empresa e, muitas vezes, é causada pelo desconhecimento de 
conceitos e procedimentos básicos de segurança por parte dos usuários (CERT.BR 
2012). 
Como já foi dito anteriormente o estabelecimento de regras para o uso de 
computadores, e o entendimento dos riscos que a empresa está exposta, é primordial 
para que os usuários comecem a entender os danos que eles podem causar usando 
de forma incorreta os recursos disponíveis. 
Partindo deste princípio um dos primeiros passos para o processo de educação 
é o estabelecimento de políticas e regras de segurança. Fazer com que todos 
compreendam os riscos que o uso indevido de redes sociais, e-mails com conteúdo 
suspeito, download de arquivo, troca de informações sobre a empresa podem trazer, 
e assim aceitem completamente às regras e restrições estipuladas pelo administrador 
da rede. 
Para que haja uma troca mútua de informações e experiências um contato com 
os usuários da instituição seja por chat, e-mail ou até pessoalmente, é muito 
importante, algumas questões relevantes sobre segurança que podem ser frisadas 
com frequência, e quando alguma nova vulnerabilidade for descoberta pelos usuários 
estes possam avisar com urgência para que as devidas providências sejam tomadas 
e que para os danos causados sejam minimizados. 
5.3 Criptografia 
Michaelis (2009) define criptografia como escrita secreta, em cifra, isto é, por 
meio de abreviaturas ou sinais convencionais. Na atualidade, quando se fala em 
criptografia digital temos basicamente dois tipos: simétrica e a assimétrica. 
 
a) Criptografia Simétrica: Este modelo utiliza algoritmos para encriptar e 
desencriptar informações ou arquivos utilizando a mesma chave pública. 
 
38 
 
Os algoritmos de criptografia usados na criptografia simétrica incluem o 
seguinte: 
RC2 (128 bits) 
3DES (Triple Data Encryption Standard, Padrão triplo de criptografia de 
dados) 
AES (Padrão de criptografia avançada) 
Atualmente, os dois protocolos mais usados para proteção de dados na 
Internet, o SSL (Secure Sockets Layer) e o TLS (Transport Layer 
Security) utilizam a criptografia simétrica para proteger os dados 
transmitidos e armazenados. 
 
b) Criptografia assimétrica: Este tipo de criptografia usa duas chaves 
distintas que se complementam: chave pública e a privada. A chave 
pública é liberada para todos que querem fazer contato com o emissor 
da chave enquanto a chave privada ficar apenas com quem emitiu. Uma 
desvantagem desse modelo é a sua performance, notavelmente mais 
lentos que os modelos de algoritmos simétricos. Os algoritmos de 
criptografia usados na criptografia assimétrica incluem o seguinte: 
Acordo de chaves de Diffie-Hellman 
RSA (Rivest-Shamir-Adleman) 
DSA (Algoritmo de assinatura digital) 
5.4 Assinatura digital 
Assinatura digital permite comprovar a autenticidade e a integridade de uma 
informação, sendo possível comprovar se a mesma foi gerada por quem diz ser e não 
foi alterada (CERT.BR 2012). Esses métodos de criptografia de chaves são utilizados 
em conexões seguras, transações bancárias via internet são um exemplo disso. 
As conexões seguras na internet são implementadas via protocolo SSL (Secure 
Socket Layer) sendo que o browser do usuário precisa informar qual a chave única da 
conexão antes de iniciar a transmissão de informações, para isso o browser necessita 
obter a chave pública do banco em questão, o site utiliza a chave privada do usuário 
 
39 
 
para decodificar a mensagem e identifica a chave única que será utilizada. Só assim 
o usuário e o site podem transmitir informações de maneira segura. 
5.5 Certificado Digital 
Na atualidade devido à necessidade de opções ágeis e confiáveis que 
possibilitem que operações de grande importância e sigilo sejam realizadas o 
certificado digital se prolifera rapidamente. 
O certificado consiste em um arquivo eletrônico que contém dados que 
comprovam a identidade da instituição ou pessoa solicitante isso evita que os dados 
sejam interceptados e ou adulterados. Para isso é usado algum software intermediário 
um browser ou cliente de e-mail por exemplo que possa reconhecer a informação. 
A certificação digital tem como base a criptografia, ou seja, os dados são 
codificados para trafegarem pela internet. 
As principais informações contidas em um certificado são: 
a) Dados do solicitante. 
b) Nome da autoridade certificadora. 
c) Período de valida 
O certificado digital nada mais é que um arquivo eletrônico que contém dados 
para comprovar a identidade de uma pessoa ou instituição. 
Para adquiri-lo, a pessoa interessada deve dirigir-se a uma autoridade de 
registro, onde será identificado mediante a apresentação de documentos pessoais. É 
indispensável a presença física do futuro titular do certificado, uma vez que esse 
documentoeletrônico será a sua “carteira de identidade” no mundo virtual. 
A emissão de certificado para pessoa jurídica requer a apresentação dos 
seguintes documentos: 
a) Registro comercial, no caso de empresa individual; 
b) Ato constitutivo, estatuto ou contrato social; 
c) CNPJ e documentos pessoais da pessoa física responsável. 
Algumas das principais informações encontradas em um certificado digital são: 
a) Dados que identificam o responsável (nome, número de identificação, 
estado, etc.); 
b) Nome da Autoridade Certificadora (AC) que emitiu o certificado; 
 
40 
 
c) O número de série e o período de validade do certificado; 
d) A assinatura digital da AC. 
O objetivo da assinatura digital no certificado é indicar que uma outra entidade 
garante a veracidade das informações nele contidas.6 
6 ALGUMAS LEIS DA SEGURANÇA 
6.1 Leis Fundamentais 
São 10 as leis fundamentais da segurança da informação (Ahmad e Russel, 
2002). Todas as vezes que for necessário participar de um novo projeto de software 
ou infraestrutura em sua empresa, se preocupe em respeitar as leis abaixo: 
1. Segurança do lado do Cliente não funciona 
 Segurança do lado do cliente é segurança implementada 
unicamente no cliente; 
 O usuário sempre tem a oportunidade de quebrar a segurança, 
pois ele está no controle da máquina; 
 A segurança no lado do cliente não fornecerá segurança se tempo 
e recursos estiverem disponíveis ao atacante. 
 
2. Você não pode trocar chaves de criptografia com segurança sem uma 
informação compartilhada. 
 As informações compartilhadas são usadas para validar 
máquinas antes da criação da sessão; 
 Você pode trocar chaves privadas compartilhadas ou usar SSL 
(Secure Socket Layer) através do seu navegador; 
 As trocas de chaves são vulneráveis a ataques do tipo man-in-
themiddle (homem no meio). 
 
3. Não existe proteção total contra código malicioso. 
 Os produtos de software não são perfeitos; 
 
6 Texto extraído do link: 
http://tcconline.utp.br/media/tcc/2015/10/SEGURANCA-DA-INFORMACAO.pdf 
 
41 
 
 Os programas de detecção de vírus e cavalo de Tróia se baseiam 
em arquivos de assinatura; 
 Pequenas mudanças na assinatura de código podem produzir 
uma variação não detectável (até que a nova assinatura seja 
publicada). 
 
4. Qualquer código malicioso pode ser completamente modificado para 
evitar detecção de assinatura. 
 Os atacantes podem mudar a identidade ou assinatura de um 
arquivo rapidamente; 
 Os atacantes podem usar compactação, criptografia e senhas 
para mudar a aparência do código; 
 Você não tem como se proteger contra cada modificação 
possível. 
 
5. Os firewalls não podem protegê-lo cem por cento contra-ataques. 
 Os firewalls podem ser software ou hardware, ou ambos; 
 A principal função de um firewall é filtrar pacotes que chegam e 
saem; 
 Ataques sucessivos são possíveis como resultado de regras e 
políticas incorretas, e de problemas de manutenção. 
 
6. Qualquer IDS pode ser burlado. 
 Os sistemas de detecção de intrusão (IDS) frequentemente são 
projetos passivos; 
 É difícil para um atacante detectar a presença de um IDS quando 
está sondando; 
 Um IDS está sujeito à configuração incorreta e falta de 
manutenção. Essas condições podem criar oportunidades de 
ataque. 
 
7. Algoritmos criptográficos secretos não são seguros. 
 Criptografia é difícil; 
 
42 
 
 A maioria da criptografia não é revisada e testada o bastante 
antes de ser lançada; 
 Algoritmos comuns estão em uso em diversas áreas. Eles são 
difíceis, mas não impossíveis de atacar. 
 
8. Se uma chave não for necessária, você não tem criptografia – você tem 
codificação. 
 Esta lei é universal; não há exceções; 
 A criptografia é usada para proteger a codificação. Se não existe 
uma chave, você não pode criptografar; 
 As chaves precisam ser mantidas em segredo ou não existe 
segurança; 
 As senhas não podem ser armazenadas com segurança no 
cliente a menos que haja outra senha para protegê-las; 
 É fácil detectar informações de senha armazenadas em máquinas 
clientes; 
 Se uma senha não é criptografada ou não está protegida quando 
armazenada, ela não é segura; 
 A segurança de senha em máquinas clientes requer um segundo 
mecanismo para fornecer segurança. 
 
9. Para que um sistema comece a ser considerado seguro, ele precisa 
submeter-se a uma auditoria de segurança independente. 
 A auditoria é o começo de uma boa análise de sistemas de 
segurança; 
 Os sistemas de segurança, muitas vezes, não são revisados 
correta ou completamente, permitindo furos; 
 Verificação externa é vital para a defesa; a falta dela é um convite 
a ataques. 
 
10. Segurança através de obscuridade não funciona. 
 Ocultar não é proteger; 
 É necessária proteção ativa; 
 
43 
 
 O uso da obscuridade por si só convida ao comprometimento.7 
Nem sempre se pode ter o controle sobre as ameaças que geralmente 
originam-se de agentes externos, portanto, é essencial a redução das vulnerabilidades 
existentes para se minimizar o risco. 
Existem diversas medidas de segurança que podem ser adotadas pelas 
empresas com o intuito de proteger suas informações, por isso, as políticas de 
segurança da informação são tão importantes, são elas que nortearão os 
colaboradores a como agir baseados em procedimentos pré-estabelecidos.8 
 
 
 
 
7 Texto extraído do link: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf 
8 Texto extraído do link: https://www.profissionaisti.com.br/2013/08/politica-de-seguranca-da-
informacao-conceitos-caracteristicas-e-beneficios/ 
 
44 
 
7 BIBLIOGRAFIA 
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da 
informação: técnicas de segurança. Rio de Janeiro, 2013. 
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da 
informação: técnicas de segurança. Rio de Janeiro, 2013. 
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia da 
informação: técnicas de segurança. Rio de Janeiro, 2011. 
Australia’s National Computer Emergency Response Team (AusCERT), NSW Police 
and Deloitte Touche Tohmatsu, 2002 Australian Computer Crime and Security Survey. 
AusCERT, 2002 
BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a 
proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. 
BROSTOFF, S. (2004). Improving password system effectiveness. Tese de 
Doutorado. University College London. 
CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no 
Brasil. Cartilha de segurança para internet. Parte VIII: Códigos maliciosos. Keyloggers. 
Computer Security Institute (CSI), and Federal Bureau of Investigation (FBI). 2006 
CSI/FBI Computer Crime and Security Survey. CSI/FBI, 2006. 
DANTAS, Marcus Leal. Segurança preventiva: conduta inteligente do cidadão. Recife: 
Nossa livraria, 2003. 
FONTES, Edson. Políticas e normas para a Segurança da Informação, Editora 
BRASPORT, 1ª edição, 2012. 
FONTES, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª 
edição, 2008. 
FURNELL, S., & THOMSON, K.-L. (2009). From Culture to disobedience: recognising 
the varying user acceptance of IT security. Computer Fraud & Security, 2009 (2), 5-
10. 
 
45 
 
ISO/IEC 13335-1:2004 – Information technology – Security techniques – Management 
of information and communications technology security – Part 1: Concepts and models 
for information and communications technology security management. 
KRUGER, H. A., & KEARNEY, W. D. (2008). Consensus Ranking - An ICT security 
awareness case study. Computers & Security, 27 (7), 493-508. 
MICHAELIS: moderno dicionário da língua portuguesa. [São Paulo]: Melhoramentos, 
2009. 
MORRIS, R. & THOMPSON, K. (1979). Password security: a case 
history. Communicationsof the ACM, 22, 594-597. 
SANTOS, Cleone Francisco; SILVA, Deverton Santana; GOUVEA, João Paulo Hora. 
Ameaças à Segurança da Informação: Os Riscos Humanos como Fator Prevenção. 
2010. 
SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança 
da informação. Rio de Janeiro: Campus, 2003. 
SIEBERG, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports 
- Online Security. Publicado em 26 de setembro de 2005. 
SMITH, R.E. (2002). The strong password dilemma. Authentication: From Passwords 
to Public Keys. Chapter 6. Addison-Wesley.