PROJETO INTEGRADO MULTIDISCIPLINAR - SEGURANCA DA INFORMACAO

Prévia do material em texto

1 
 
1 
 
 
 
 
 
 
 
 
PROJETO INTEGRADO MULTIDISCIPLINAR - VI 
 
Curso: Gestão de Tecnologia da Informação 
 
Nome: Paulo César Villaça Araújo Junior 
 
POLO Candeias – Jaboatão dos Guararapes 
 
RA:1987768 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 
 
2 
 
Introdução 
 
A segurança da informação bem como a segurança das redes de 
computadores têm se tornado um tema bastante comum ao longo dos anos 
que decorreram após o surgimento da internet. Porém mesmo com a evolução 
da tecnologia e a disponibilidade de um acervo infinito de informações sobre o 
tema, empresas de pequeno e médio porte ainda têm grandes dificuldades na 
implantação de políticas e ferramentas eficazes na segurança da informação. 
Isto ocorre por que grande parte das ferramentas disponíveis no mercado exige 
Ao decorrer deste trabalho serão apresentadas informações e conceitos sobre 
redes de computadores e segurança da informação, bem como uma pesquisa 
atualizada sobre o nível de preocupação das organizações com o tema. 
 
Este trabalho não tem o objetivo de trazer uma solução definitiva para implantar 
um nível de segurança alto dentro das organizações, pois se conclui que não 
exista uma receita infalível. Pois todo sistema e falho! 
Cada organização, ramo de atividade ou rede de computadores possui 
características únicas que devem ser analisadas com particularmente antes de 
prescrever uma tecnologia eficaz na proteção de seus dados e informações. 
Nos dias atuais é difícil imaginar um computador “só”, ou seja, que esteja 
totalmente isolado de qualquer rede de computadores, nem mesmo os 
dispositivos móveis como celulares, ipads, tabletes estão isolados de qualquer 
rede que seja. 
 
E neste âmbito, temos a maior parte destas redes e destes computadores 
interligados em uma grande rede, formando uma conectividade global através 
da Internet. 
Um mundo de computadores 100% interligados de alguma maneira, cada um 
com seu endereço físico, conectado em algum lugar do mundo. 
A internet possibilitou a criação da rede mundial de computadores, e desde 
então cresce a cada ano a preocupação com a segurança da informação. 
Porém, mesmo diante de tantos riscos em que as empresas estão expostas, 
grande parte das empresas no Brasil e no mundo ainda não possui uma 
estratégia eficaz para assegurar seus dados e informações corporativas como 
veremos no decorrer deste trabalho. 
Desta forma este trabalho abordará alguns tópicos relacionados à segurança 
da informação, mais especificamente segurança da informação dentro das 
redes corporativas de pequeno e médio porte. Também trará uma proposta de 
implantação de uma ferramenta de baixo custo e de fácil configuração e 
administração para prevenção de falhas de segurança na rede, e um maior 
controle das informações que trafegam na rede. 
 
 
 
 
 
 
 
3 
 
3 
 
 
 
 
 
 
 
Abrast 
 
Information security as well as the security of computer networks have become 
a very common theme over the years that occur after access to the Internet. 
Even so, with the evolution of technology and the availability of an infinite 
collection of information on the topic, small and medium-sized companies still 
face great difficulties in implementing policies and tools used in information 
security. This is because most of the tools available on the market require a 
high level of technical knowledge or a great availability to manage these 
technologies. 
During this work, information and concepts on computer networks and 
information security will be included, as well as a survey on the level of concern 
of the activities with the theme. 
 
This work does not aim to bring a definitive solution to implement a high level of 
security within organizations, as it is concluded that there is no infallible recipe. 
Because every system is flawed! 
Each organization, industry or computer network has unique characteristics that 
must be analyzed particularly before prescribing an effective technology in 
protecting your data and information. 
Nowadays it is difficult to imagine a computer "alone", that is, that is totally 
isolated from any computer network, not even mobile devices such as cell 
phones, ipads, tablets are isolated from any network. 
 
In this context, we have most of these networks and computers interconnected 
in a large network, forming a global connectivity through the Internet. 
A world of computers 100% interconnected in some way, each with its physical 
address, connected somewhere in the world. 
The internet enabled the creation of the world wide web, and since then the 
concern with information security has grown every year. 
However, even in the face of so many risks to which companies are exposed, 
most companies in Brazil and in the world still do not have an effective strategy 
to ensure their corporate data and information as we will see in the course of 
this work. 
In this way, this work will address some topics related to information security, 
more specifically information security within small and medium sized corporate 
networks. It will also bring a proposal for the implementation of a low-cost tool 
that is easy to configure and administer to prevent security breaches in the 
network, and greater control over the information that travels over the network. 
 
 
 
 
 
4 
 
4 
 
Objetivos 
 
Este trabalho tem como objetivo principal, explicar o processo de segurança da 
informação no ambiente de rede em uma organização, bem como apresentar 
uma proposta para uso de uma ferramenta de segurança de rede de baixo 
custo e de fácil implantação. 
 
 
 
Objetivo Geral 
 
Apresentar o conceito de segurança em redes, e auxiliar na implantação e 
gerenciamento de uma solução prática e confiável para segurança e 
roteamento da rede. 
 
 
 
Objetivos Específicos 
 
Apresentar o conceito de Rede, e o conceito de Segurança da Informação nas 
redes de computadores de pequeno e médio porte. 
Apresentar os métodos mais comuns de roubo de informação e invasão das 
redes de computadores, e os principais pontos de vulnerabilidades na rede. 
Auxiliar na implantação e configuração de uma ferramenta de auxilio para 
segurança de redes de computadores 
 
 
 
JUSTIFICATIVA 
 
Atualmente o assunto da segurança em redes esta em pauta em grande parte 
dos ambientes corporativos, a cada ano o nível de preocupação cresce 
conforme pesquisas realizadas no setor. Porém por mais que existam inúmeras 
tecnologias e ferramentas disponíveis no mercado para a segurança em rede, 
pequena e médias empresas ainda encontram dificuldades na implantação de 
uma política de segurança de rede eficaz e de fácil gerenciamento. 
Parte por falta de conhecimento dos profissionais de TI que atuam nestas 
empresas, parte por falta de planejamento da área de TI, e ainda uma parte 
pela falta de interesse em investimentos neste departamento. 
Existem hoje no mercado todos os tipos de soluções em segurança de redes, 
robustas e muito complexas, enxutas, mas pouco confiáveis simples e seguras, 
porém com custo muito elevado. Desta forma torna-se difícil decidir qual seria a 
solução ideal. E neste ponto muitas empresas nem ao menos começam com o 
básico, deixando a segurança de rede sempre em segundo plano. 
 
 
 
 
 
 
5 
 
5 
 
SEGURANÇA DA INFORMAÇÃO 
 
Nos últimos anos, os ataques cibernéticos cresceram absurdamente e têm 
causado prejuízos milionários às empresas de todos os portes. 
Os hackers conseguem acessar toda a infraestrutura, de endpoints a 
servidores e nuvem, onde roubam tudo, desde senhas até informações 
financeiras e dados estratégicos. 
Para combater esse mal é importante que as empresas disponham de 
processos alinhados, tecnologias avançadas e pessoas competentes na área 
de Segurança da Informação e, principalmente, que conheçam suas fraquezas 
e vulnerabilidades. 
Todo o dia vê diferentes casos de ciberataques em endpoints e servidores, 
onde os hackers conseguem roubar tudo, desde senhas até informações 
financeiras e dados diversos. Não importa o quantoàs equipes de 
gerenciamento de redes, de TI e Segurança das empresas tentem combater 
esses incidentes de segurança, os hackers sempre estará um passo a frente. 
A realidade é que esse é um grande jogo de gato e rato, o Serviço de Pentest 
auxilia sua empresa a estar à frente dos criminosos. 
Contudo, a boa notícia é que existe uma forma para que as empresas 
descubram suas fraquezas e vulnerabilidades antes que um hacker o faça. 
Isso pode ser conseguido por meio de um Teste de Penetração, amplamente 
conhecido como Pentest. De forma simples, ainda que o Pentest seja um 
processo altamente complexo, o Pentest examina as fraquezas e as 
vulnerabilidades de uma infraestrutura de TI, tentando descobri-las e explorá-
las de forma segura e controlada. 
As vulnerabilidades podem ser encontradas em softwares nesses pontos de 
entrada: Backdoors em sistemas operacionais, falhas não intencionais na 
arquitetura do código de software, falhas na configuração e na gestão de 
softwares, utilizar a aplicação de uma forma que ela não foi arquitetada 
originalmente. 
 
O Pentest utiliza um mix de operações automatizadas e manuais e geralmente 
tem como alvo os seguintes endpoints: Servidores, Endpoints de Rede, Redes 
Wireless, Dispositivos de Segurança de Rede, Dispositivos móveis e wireless e 
outras áreas de exposição como aplicações e códigos. 
Contudo, deve-se ressaltar que o Pentest não se mantém apenas nesse nível. 
O primeiro objetivo é ir o mais longe possível dentro da infraestrutura de TI 
para conquistar acesso a dados, informações e senhas. 
 
O Pentest, também conhecido como Teste de Intrusão, é um teste realizado 
em uma rede ou um sistema de computadores com o objetivo de descobrir 
vulnerabilidades no sistema. 
Através desse teste, um Pentester pode descobrir todas as vulnerabilidades 
encontradas em uma rede e até mesmo descobrir qual o tamanho do dano que 
uma invasão causaria aos computadores e a rede. 
 
 
 
6 
 
6 
 
Falhas que comprementem a segurança da Rede 
 
Diante de todo o exposto sobre as características das redes de computação, dos 
conceitos e políticas da segurança em redes de computadores e das motivações 
para ataques a redes corporativas por crakers e outros piratas da internet, vamos 
entender quais são as principais formas de ataques, e discutir as principais 
vulnerabilidades das redes corporativas, vamos utilizar sempre um case de redes 
de pequenas e medias empresas, visto que esse tipo de rede é o objeto de estudo. 
 
 
Falta de Controle de Acesso á Rede 
Poucas são as organizações de pequeno e médio porte que possuem um 
controle adequado de acesso á rede por meio de autenticação de segurança, 
bem como dificilmente possuem uma gerencia destes acessos, ou seja, não se 
sabe ao certo quem esta usando a rede, se este usuário é um colaborador ou 
um intruso, se algum usuário esta realizando acessos a locais indevidos, o que 
o usuário esta acessando na internet. 
 
 
Falta de Políticas de Segurança da Informação 
 
Esta é sem dúvidas uma das principais falhas na segurança da rede em uma 
organização. Como em qualquer sociedade que não possuem Diretrizes e Leis que 
orientem como deve ser o comportamento dos cidadãos, esta sociedade não terá 
limites e estará completamente vulnerável a qualquer situação de risco, assim 
também é dentro de uma rede que não possui suas diretrizes e normas de uso, 
sem estas é impossível controlar o que esta sendo feito dentro da rede, assim 
como também não será possível tomar medidas de notificação aos usuários, uma 
vez que estas não foram definidas em uma política de uso da rede. 
Infelizmente uma das principais causas de invasões, e problemas de proliferação 
de vírus e key-logers em redes de computadores corporativas é o mau uso da 
internet, email e mensageiros eletrônicos por parte dos usuários desta rede. 
Atualmente existem milhares de correspondências e links falsos que disseminam 
programas maliciosos, principalmente sendo espalhadas nos últimos anos através 
das redes sociais. 
 
Falta de Controle de Acesso á Rede 
 
Poucas são as organizações de pequeno e médio porte que possuem um 
controle adequado de acesso á rede por meio de autenticação de segurança, 
bem como dificilmente possuem uma gerencia destes acessos, ou seja, não se 
sabe ao certo quem esta usando a rede, se este usuário é um colaborador ou 
um intruso, se algum usuário esta realizando acessos a locais indevidos, o que 
o usuário esta acessando na internet. 
 
 
 
 
 
7 
 
7 
 
 
Uso de senhas e configurações universais nos equipamentos 
 
Alterar senhas e configurações dos equipamentos regularmente 
Esta também é uma característica imprescindível quando se trata de segurança 
em rede, todos os equipamentos utilizados como: MODEMS, ROTEADORES, 
SWITCHS, FIREWALLS, PROXIES, SERVIDORES, ACCESS POINTS, entre 
outros, devem ter suas senhas atualizadas periodicamente, seguindo um padrão 
aceitável dê segurança, com uma quantidade mínima de caracteres aceitável. Por 
exemplo, a senha de um MODEM, normalmente pelo padrão vem configurada com 
Usuário: Admin e a sua Senha: Admin, o correto é que se possível altere-se os 
dois campos, tanto usuário quando senha, se não for possível alterar o usuário, 
cria-se um novo usuário máster e inativa-se o usuário Admin. A senha deve ter um 
mínimo de 8 caracteres em qualquer situação, e sempre utilizar senhas 
Alfanuméricas com caracteres especiais, intercalando letras MINUSCULAS e 
MAIUSCULAS. 
 
 
 
 
 
 
Alocar os equipamentos físicos em local adequado 
 
Por varias vezes me deparei com empresas que alocam os equipamentos que 
compõe a rede, em locais inadequados, sem ventilação, sujos, muitos vezes locais 
onde qualquer colaborador tem acesso, totalmente vulneráveis e sem nenhuma 
condição adequada. É muito importante a conscientização de que os 
equipamentos da rede precisam estar em um local adequado, arejado, alocados 
em um Rack, de preferência em local onde se possa controlar a temperatura com 
o uso de Ar-Condicionado. Dentre todas estas características, que pelo menos 
algumas delas possam ser seguidas, muitas vezes a empresa não possui um 
espaço adequado, como uma sala só para os equipamentos, mas nestes casos 
que haja ao menos uma estrutura de divisórias impedindo o acesso livre aos 
equipamentos. 
 
 
Emails e Links Falsos 
 
Esta é uma das formas muito comuns de invasão a redes corporativas, estes links 
e emails falsos encaminham os usuários a paginas que possuem o intuito de 
instalar programas maliciosos na rede, como keylogers, sniffers entre outros. Estes 
programas por sua vez tem o intuito ou de roubar dados, ou de danificar os 
arquivos dos PC`s ou Servidores. 
 
 
 
 
 
 
 
 
8 
 
8 
 
 
 
Falta de Firewalls e Proxies 
 
No seu computador, o firewall bloqueará a passagem de qualquer item que 
seja diferente de “refrigerante”, “frutas” e “pão”, retirando da sacola de compras 
e deixando passar os que estão na lista de permissões. Daí a importância de 
configurar corretamente seu firewall, pois se você incluir “rato” ou “barata” nas 
permissões, seu firewall não os bloqueará. 
 
O método descrito acima é chamado de “Filtragem de Pacotes” e, por isso, 
usamos a analogia com a sacola de compras, já que os dados que trafegam 
nas redes também são organizados em pacotes. 
Assim como qualquer outra solução de segurança, o firewall não é 100% 
eficiente, já que existem estudiosos especializados em quebrar essa 
segurança. Hackers mais experientes são capazes de “disfarçar” uma “barata” 
na pele de um “refrigerante”, conseguindo que os dados passem pela 
“alfândega” do firewall e, em seguida, ganhando acesso à sua máquina. 
 
Proxy é o termo utilizado para definir os intermediários entre o usuário e seu 
servidor. E por isso desempenha a função de conexão do computador (local) à 
rede externa (Internet). Como os endereços locais do computador não são 
válidos para acessos externos, cabe ao Proxy enviar a solicitação do endereço 
local para o servidor, traduzindo e repassando-apara o seu computador. 
Todas as requisições feitas ao servidor (o site que você quer acessar) 
passarão pelo seu Proxy. Ao chegar ao site, o IP (Internet Protocol / Protocolo 
de Internet) do Proxy fica registrado no cachê do seu destino e não o seu. É 
pelo IP que os hackers conseguem invadir computadores, portanto deve-se 
manter o nível de segurança do seu gateway (porta de ligação com o Proxy) 
seguro. Os riscos são vários, no entanto, dois deles podem ser enumerados 
como os mais fortes: ter seu computador invadido ou ter alguém navegando 
com o seu IP. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
9 
 
9 
 
 
 
 
Monitoramento, Controle e Gerencia de rede 
 
Existem ferramentas no mercado que possibilitam o monitoramento e controle da 
rede através de protocolos específicos para estas finalidades, como por exemplo, 
o protocolo SNMP (Simple Network Management Protocol). O SNMP tem por 
objetivo principal coletar informações da rede e fornecê-las para possibilitar seu 
gerenciamento, controle, resolver eventuais problemas e fornecer informações 
para planejar expansões. 
Uma rede de computadores precisa ser monitorada, controlada e gerenciada por 
alguém, o uso de equipamentos e ferramentas de rede não tem valor algum se 
estes não forem gerenciados por um departamento ou um profissional da empresa. 
O próprio protocolo SNMP que possui uma utilidade enorme torna-se obsoleto se 
não for gerenciado por alguém, pois nenhuma aplicação, software ou hardware 
poderá tomar decisões gerenciais pela empresa, estas podem apenas fornecer as 
informações necessárias para as tomadas de decisão. 
 
 
Utilizar equipamentos de proteção à rede física 
 
Uma rede se sustenta através do meio físico e todos os componentes que o 
compõe, Servidores, Computadores, Switch, Roteadores entre outros. 
A proteção física destes equipamentos previne desastres e perca de dados e 
informações. Ou seja, uma rede não sofre apenas problemas de ataques de 
intrusos, a segurança da rede envolve a perca, roubo ou destruição de dados e 
informações importantes, e neste contexto a falha de proteção com os 
equipamentos físicos da rede pode trazer prejuízos aos dados da empresa. Pode-
se exemplificar tal situação com a hipótese de um raio queimar os servidores da 
empresa por falta de protetores Anti-Surto. 
 
10 
 
10 
 
Falta de Gerenciamento da Rede 
 
Por fim apontamos um dos motivos que levam empresas a sofrerem ataques 
de todos os tipos é o não gerenciamento de uma Rede de computadores, bem 
como o não gerenciamento da segurança da informação como um todo. 
Definitivamente uma rede sem gerenciamento esta muito mais suscetível á 
falhas de segurança. Vêm crescendo o nível de preocupação das empresas 
com a Gerência da Segurança da Informação, mas ainda assim o numero de 
empresas de pequeno e médio porte que crescem sem nenhum profissional 
gerenciando a segurança da informação ainda é preocupante. 
Esta é uma área da tecnologia que já é indispensável, porém quando se trata 
de investir em tecnologias e em profissionais para gerenciá-las, o pensamento 
em pelo menos um terço das empresas é de que não há ainda necessidade de 
tais investimentos, porém uma concepção que deve ser levada em conta é a de 
que quanto antes forem os investimentos em segurança da informação, menor 
serão os gastos para reparar os estragos que um invasor pode fazer no futuro. 
 
Falta de uma boa política de segurança? 
A Política de Segurança da Informação (PSI) é um documento, desenvolvido 
pela empresa, onde são registrados os princípios e as diretrizes de segurança 
que ela adotou e devem ser seguidos por seus colaboradores. 
Além disso, a PSI deve ser aplicada em todos os sistemas de informação e 
processos institucionais, ou seja, do desktop ao móbile. 
Para que ela seja aceita, respeitada e aplicada por todas as pessoas que 
participam do ambiente corporativo é fundamental que os dirigentes da 
empresa apoiem e participem da implantação da PSI. 
Ao desenvolver um documento de PSI a instituição precisa estabelecer 
diretrizes para que as equipes possam seguir padrões de comportamento que 
não coloquem os dados corporativos e confidenciais em risco. 
 
 
 
 
 
 
 
11 
 
11 
 
O que uma boa Política de Segurança da Informação deve preservar? 
Antes de colocar a elaboração e produção da sua política de segurança da 
informação em prática é preciso se atentar aos aspectos que ela deve 
preservar. Veja: 
– A integridade da empresa e de seus dados: garantindo que a originalidade 
de todas as informações seja mantida, sem que sofram alterações indevidas, 
intencionais ou acidentais; 
– A confidencialidade da empresa e de seus dados: garantindo que o acesso 
à informação seja permitido somente às pessoas autorizadas; 
– A disponibilidade: garantindo que os usuários autorizados consigam 
acessar as informações, dados e ativos correspondentes sempre que for 
necessário. 
Agora vamos à prática, aprenda a montar uma política de segurança da 
informação: 
1 - Planeje 
Antes de começar a montar a Política de Segurança da Informação da sua 
empresa faça um levantamento de todas as informações e dados que devem 
ser protegidos. 
Você sabe qual é o atual programa de segurança da informação da 
companhia? 
Se a empresa já trabalha com um programa enumere suas deficiências e quais 
são os fatores de risco que ele oferece. 
Durante o planejamento também é importante solicitar a aprovação da 
produção por parte da diretoria da empresa. 
Eles devem estar cientes de todo o processo e ser notificados conforme ele for 
caminhando. 
 
2 - Elabore 
Essa é a fase de elaboração das normas e proibições. É nessa etapa que você 
deverá criar as normas referentes à utilização de programas, de acesso à 
internet, uso de dispositivos móveis, de e-mail e recursos tecnológicos. 
Além disso, nessa fase você também vai caracterizar os tipos de bloqueio e 
restrições a sites e acesso à internet. 
12 
 
12 
 
O conteúdo da Política de Segurança da Informação pode variar de acordo 
com a empresa. O estágio de maturidade, grau de informatização, área de 
Atuação, cultura organizacional, requisitos de segurança e outros aspectos vão 
influenciar diretamente no conteúdo que estará representado na PSI. 
Apesar disso alguns tópicos são comuns na maioria das Políticas de 
Segurança da Informação. Veja a lista abaixo: 
 
 A definição de segurança de informações e sua importância como 
mecanismo que possibilita o compartilhamento de informações; 
 A declaração de comprometimento da diretoria com a PSI, apoiando 
suas metas e princípios; 
 Os objetivos de segurança da informação; 
 A definição de responsabilidades gerais na gestão de segurança de 
informações; 
 As orientações sobre análise e gerência de riscos; 
 Os princípios de conformidade dos sistemas computacionais com a PSI; 
 Os padrões mínimos de qualidade que esses sistemas devem possuir; 
 As políticas de controle de acesso a recursos e sistemas 
computacionais; 
 A classificação das informações de uso irrestrito, interno, confidencial e 
secretas; 
 Os procedimentos de prevenção e detecção de vírus; 
 Os princípios legais que devem ser observados quanto à tecnologia da 
informação (direitos de propriedade de produção intelectual, direitos 
sobre software, normas leais correlatas aos sistemas desenvolvidos, 
cláusulas contratuais); 
 Os princípios de supervisão constante das tentativas de violação da 
segurança de informações; 
 As consequências de violações de normas estabelecidas na política de 
segurança; 
 Os princípios de gestão da continuidade do negócio; 
 O plano de treinamento em segurança de informações. 
 
Claro que na Política de Segurança da Informação da sua empresa devem 
constar apenas as informações pertinentes ao processo de proteção 
correspondente ao seu negócio. 
Depois que você levantar todas as informações, necessárias para a sua PSI, 
será o momento de redigir o documento. Se a sua empresa não conta com um 
departamento responsávelpela comunicação, que pode colocar as regras da 
PSI no papel, o profissional de TI, responsável pelo documento, pode se 
encarregar dessa tarefa. 
 
13 
 
13 
 
3 - Aprovação 
Depois que o documento da PSI ficar pronto ele deve ser aprovado pelo 
departamento de Recursos Humanos da empresa. As normas e procedimentos 
documentados devem ser lidos pelo RH para que sejam verificados se estão de 
acordo com as leis trabalhistas e com o manual interno dos funcionários, caso 
a organização tenha um. 
Após a aprovação do RH, os líderes e gestores da empresa também devem 
fazer a aprovação final do documento e liberá-lo para aplicação. 
 
3.1- Aplicação e Treinamento das equipes 
Elabore um treinamento prático, se possível, com recursos didáticos, para 
apresentar a PSI da empresa. Recolha declarações individuais dos 
colaboradores afirmando que se comprometem com a política. 
É importante mantê-la em um local de fácil acesso para que esteja disponível 
para consulta, sempre que os colaboradores da instituição precisar. 
De tempos em tempos revise a PSI para mantê-la sempre atualizada. 
É importante que a companhia nomeie um colaborador específico para 
monitorar a PSI e ficarem atento as possíveis incoerências que possam alterar 
o sistema, como vulnerabilidades, mudanças nos processos gerenciais ou na 
infraestrutura. Corrigindo as vulnerabilidades 
 
 
As principais formas de corrigir vulnerabilidades são: 
 
 
Análise de vulnerabilidade: os comprometimentos à segurança de rede se 
iniciam nas falhas, sendo essas a porta de entrada para agentes maliciosos. 
Logo, proteger a infraestrutura tecnológica da empresa começa na análise de 
vulnerabilidades. Só depois disso conseguiremos compreender o que está em 
risco e quais são as ameaças existentes, bem como a maneira correta de 
corrigir esses erros e mitigar seus impactos; 
 
Política de Segurança da Informação (PSI): é onde estão todas as regras e 
normas que a empresa adota para proteger seus dados, dentro e fora do 
ambiente virtual. Inclui as práticas que seus colaboradores devem adotar e 
estabelecem as rotinas de backup, padrões de senhas e níveis de acesso às 
informações armazenadas. A adoção de uma PSI é a maneira mais eficaz de 
prevenir falhas humanas; 
Equipe de especialistas: é importante contar com uma equipe de TI 
capacitada para desenvolver a infraestrutura e os bancos de dados da 
empresa. Para os casos em que não é possível ter um time próprio de TI, é 
necessário contratar empresas especialistas no assunto. 
 
14 
 
14 
 
Plano de Recuperação de Desastres (PRD): é fundamental para a empresa 
se recuperar de qualquer eventualidade, seja ela de causa externa ou interna. 
Ele serve principalmente para resgatar dados roubados de equipamentos ou 
por ransomware. Redes de backup são inclusas para evitar inoperância, falta 
de energia e comunicação. 
A segurança de rede é uma área que cuida da infraestrutura tecnológica das 
empresas, evitando perdas financeiras e patrimoniais, além do roubo de 
informações. 
Por isso, os gestores devem se atentar à análise de vulnerabilidades. 
 
Primeiramente para que o cerne da questão seja entendido, necessitamos 
primeiro entender e definir os perfis existentes no que se refere a estratégias e 
gerencia da Segurança da Informação, a pesquisa caracterizou cada perfil 
como mostra a figura 1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 
 
15 
 
PREOCUPAÇÕES COM A WEB 
Conforme a Figura 7 pode-se perceber um aumento significativo e gradual na 
preocupação e investimentos das empresas no que se refere à segurança na 
Web, e também em ferramentas que previnam invasores em nível de rede. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Assim como algumas novas praticas e tecnologias surgem e são adotadas 
pelas organizações, outras, porém sofrem degradação com o passar dos anos, 
talvez a preocupação com a violação dos dados por colaboradores da própria 
empresa esta diminuindo, talvez as empresas estejam confiando mais em sua 
equipe, enfim, a preocupação e o monitoramento das atividades dos 
funcionários esta ficando em segundo plano como mostra a figura que segue: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
16 
 
16 
 
AMEAÇA PERSISTENTE AVANÇADA 
Atualmente uma ameaça que vem assolando grandes corporações é conhecida 
como Ameaça Persistente Avançada (APT – Advanced Persistent Thread). 
São ataques massivos de grupos de interesse ou países a fim de espionar ou 
sabotar informações relevantes. Por mais que estes ataques tem 85% de sua 
atenção a grandes corporações, pequenas e médias empresas de alguns 
setores particulares despertam a atenção para seus dados sigilosos, e podem 
ser alvos de ataques como este, mas será que as empresas estão preparadas 
para isto? Segundo a pesquisa da PwC as empresas tem adotado algumas 
medidas de segurança como veremos a seguir: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
17 
 
17 
 
DISPOSITIVOS MÓVEIS E MÍDIAS SOCIAIS 
Com a crescente inovação de tecnologia pessoal, assim como o BUM das 
mídias sociais no mundo, é cada vez mais comum, ou melhor, são cada vez 
mais incomuns indivíduos que não possuem ao menos um dispositivo móvel, 
como Pen Drives ou celulares com cartões de memória, e não participam 
ativamente de pelo menos uma mídia social, como Facebook, entre outros. 
Sendo assim as empresas deve estar preparado para encarar mais essa 
barreira, como lidar com esta nova era digital: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
18 
 
18 
 
COMPUTAÇÃO EM NUVEM 
 
E quanto à computação em nuvem, quais são os apontamentos das empresas 
como principais dificuldades enfrentadas quando o assunto é o risco de 
segurança de computação em nuvem. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
FONTES DOS INCIDENTES DE SEGURANÇA 
Vindo de encontro com o que foi relacionado como risco de segurança à rede 
na figura 22 (Falta de controle de acesso à rede), e também como último dado 
selecionado da Pesquisa Global de Segurança da Informação, veremos quais 
são as principais fontes dos incidentes de segurança apontados pelas 
empresas: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
19 
 
19 
 
UMA PROPOSTA PARA MELHORIA DA SEGURANÇA DE REDES 
 
Depois de todos os pontos apresentados neste trabalho, surge uma 
inquietação eminente: 
Por onde devo começar? 
Qual é o primeiro passo? 
A primeira coisa para ter em mente é o conceito de que qualquer investimento 
em segurança é melhor do que nenhum investimento. 
Porém de nada adianta investir em ferramentas, por mais simples e de baixo 
custo que sejam, se as mesmas não forem eficazes, e acima de tudo se não 
forem gerenciadas, ou seja, se não houver um acompanhamento das 
informações, um monitoramento e uma análise para levantar as reais 
necessidades da rede para que seja feito uma configuração correta da 
ferramenta, ela não trará a proteção ideal para a rede. 
Muitas vezes empresas investem muito em ferramentas de alto nível de 
segurança, ferramentas de custo elevado que são colocadas na rede e 
abandonadas, como se elas por si só entendessem as necessidades da 
empresa e da rede, tomando decisões de gerenciamento automaticamente. O 
que na verdade não ocorrem, estas ferramentas sem um correto 
gerenciamento tornam-se obsoletas, e é justamente neste contexto que julgo 
correto que empresas que não possuem nenhuma política ou ferramenta de 
segurança, comecem por ferramentas de baixo custo e de fácil gerenciamento, 
para que não se tornem apenas um computador a mais na rede. 
 
 
OBS: A IMPORTÂNCIA DE UM HACKER 
Hoje no Brasil, esse profissional se encontra em carência devido à 
demanda das empresas serem tão grande sendo assim o expressivo número 
de vagas nessa área da segurança da informação por isso os jovens que se 
interessam por essa profissão devem se qualificar o máximo possível por 
que a tendência é de muita procura por esses serviços, na cidade de São 
Paulo acontece um encontro tecnológicoo maior da América Latina 
justamente para incentivar outras pessoas a migrarem para esse ramo por 
que quanto mais gente prepara melhor em razão de esse setor nas empresas 
ser um pouco frágil necessitando de muita segurança por que a muitos 
invasores mal intencionados podendo extrair informações importantes das 
grandes empresas e assim utilizar desse artifício para se beneficiar 
pessoalmente podendo ate ganhar dinheiro em troca dessas informações, 
por isso em minha opinião você estudando e utilizando seu conhecimento 
para fazer o bem à chance de você ser contratado por uma grande 
multinacional é muito grande podendo fazer seu trabalho da melhor 
maneira possível protegendo os dados das empresas de possíveis invasores. 
 
20 
 
20 
 
 
 
 
 
 
 
 
 
 
 
CONCLUSÕES 
O mercado de tecnologias de segurança em redes de computação esta em 
constante crescimento, já existe milhares de ferramentas que podem ser 
utilizadas para combater problemas de segurança, sejam estes de qualquer 
espécie. 
Porém muitas empresas de pequeno e médio porte possuem pouca ou 
nenhuma tecnologia de proteção à rede. E muitas vezes a falta de um 
Gerenciamento destas tecnologias, mesmo que existam, as tornam obsoletas 
ou ultrapassadas. Um segundo fator que prejudica as pequenas e medias 
empresas no quesito segurança da informação, é a falta de políticas de 
segurança da informação eficazes e tangíveis, ou a falta de quem elabore e 
gerencie estas políticas de segurança. 
Este trabalho apresentou algumas características primordiais para elaboração 
de uma coerente política de segurança da informação, apontando as principais 
características que devem ser pensadas quando se trata de segurança da 
informação. Pois as políticas de segurança não devem ser tomadas como 
diretrizes que serão usadas no futuro quando a empresa atingir um nível 
desejado, elas devem ser elaboradas de forma que contemplem as 
necessidades atuais da empresa, auxiliando no cenário que a empresa se 
encontra no momento. Obviamente que se pode planejar e escrever regras que 
serão usadas no futuro, ou simplesmente ir moldando a política conforme o 
crescimento da empresa, e conforme novas necessidades surgirem. 
Importante é a informação das manutenções realizadas de forma remota, onde 
o administrador ou técnico terá acesso e controle total ao equipamento. 
Informações claras e objetivas do que esta sendo monitorada na rede, uma 
política de controle e monitoramento de informações que trafegam pela rede 
através de email, mensageiros instantâneos, acessos a sites, downloads 
realizados, tempo de acesso e permanência em sites.