gestao_da_seguranca_da_informa

Prévia do material em texto

GESTÃO DA SEGURANÇA 
DA INFORMAÇÃO
Programa de Pós-Graduação EAD
UNIASSELVI-PÓS
Autor: Nader Ghoddosi
CENTRO UNIVERSITÁRIO LEONARDO DA VINCI
Rodovia BR 470, Km 71, no 1.040, Bairro Benedito
Cx. P. 191 - 89.130-000 – INDAIAL/SC
Fone Fax: (47) 3281-9000/3281-9090
Reitor: Prof. Hermínio Kloch
Diretor UNIASSELVI-PÓS: Prof. Carlos Fabiano Fistarol
Coordenador da Pós-Graduação EAD: Prof. Norberto Siegel
Equipe Multidisciplinar da 
Pós-Graduação EAD: Profa. Hiandra B. Götzinger Montibeller
 Profa. Izilene Conceição Amaro Ewald
 Profa. Jociane Stolf
Revisão de Conteúdo: Prof. Djone Kochanski
Revisão Gramatical: Profa. Iara de Oliveira
Revisão Pedagógica: Bárbara Pricila Franz
Diagramação e Capa: Centro Universitário Leonardo da Vinci
Copyright © UNIASSELVI 2016
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri
 UNIASSELVI – Indaial.
 
005.8
G427g Ghoddosi, Nader
 Gestão da segurança da informação / Nader Ghoddosi.
 Indaial : Uniasselvi, 2012.
 102 p. : il 
 
 ISBN 978-85-7830-638-0
 1. Segurança de dados. 2. Informação – Segurança.
 I. Centro Universitário Leonardo da Vinci.
Nader Ghoddosi
Formado em Ciências da Computação pela 
Universidade Regional de Blumenau (FURB), mestre 
em Ciências de Computação pela Universidade Federal 
de Santa Catarina (UFSC) e Doutorando em Engenharia 
de Automação e Sistemas pela mesma universidade 
(UFSC). Atua na área de tecnologia há mais de 20 anos e 
trabalhou em empresas criando soluções tecnológicas. 
Atualmente, é docente em cursos de graduação e 
pós-graduação, bem como coordenador de cursos 
de tecnologias da Uniasselvi Indaial e Blumenau. 
Publicou: Sistemas de Informações: Estudos 
e casos; Redes de Computadores: Caderno 
de estudos.
Sumário
APRESENTAÇÃO ......................................................................7
CAPÍTULO 1
Introdução e Conceitos de Segurança
de Informações ....................................................................... 9
CAPÍTULO 2
Controle de Acesso: Segurança Lógica e
Segurança Física .................................................................. 23
CAPÍTULO 3
Riscos Envolvendo Informações ....................................... 51
CAPÍTULO 4
Administração e Organização da Segurança
da Informação ....................................................................... 79
APRESENTAÇÃO
Caro(a) pós-graduando(a):
Caro(a) pós-graduando(a), estamos chegando ao final das disciplinas 
do curso de Governança em TI e nesta disciplina “Gestão da Segurança e da 
informação” estudaremos a administração e organização da segurança da 
informação, além das políticas de segurança e análise de risco. Abordaremos, 
também, os planos de contingência, a segurança lógica e a segurança física de 
informações. 
Organizamos esse caderno de estudos em quatro capítulos, da seguinte forma: 
No primeiro capítulo compreenderemos os conceitos e objetivos da 
Segurança de Informação, além de entender a informação, o seu valor e identificar 
informações valiosas em uma organização.
No capítulo seguinte conheceremos os riscos e ameaças envolvendo as 
informações, compreenderemos as técnicas de defesa, assim como elaboraremos 
uma análise de risco. 
Conhecer os princípios de segurança lógica e física e entender os principais 
aspectos do controle de acesso estarão no capítulo 3 deste caderno de estudos. 
E, para finalizar, no último capítulo definiremos a administração e organização 
da segurança da informação, além de entender as políticas de segurança e planos 
de contingência, assim como compreender os principais aspectos das normas e 
padrões de segurança. 
Bons estudos! 
O Autor.
CAPÍTULO 1
Introdução e Conceitos 
de Segurança de Informações
A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes 
objetivos de aprendizagem:
  Compreender os conceitos e objetivos de Segurança de Informações.
  Entender a informação e seu valor.
  Identifi car informações valiosas numa organização.
10
 Gestão da Segurança da Informação
11
 Capítulo 1 
ConteXtualização
A segurança de informações é considerada um item que tem ligação direta 
com a funcionalidade e a produtividade quando se fala de uso de tecnologia. Em 
uma empresa, a efi ciência e a efi cácia aumentam a produtividade e o poder desta 
em um mundo corporativo, no entanto, a vulnerabilidade das informações pode 
representar grandes prejuízos. 
Quando nos referimos à segurança, devemos sempre pensar que para novos 
ataques sempre há novas respostas como defesa. Isso, consequentemente, leva a 
um desenvolvimento de novos ataques e, com isso, vamos ter um círculo formado, 
surgindo um processo que não se encerra. Isso demonstra que o processo de 
segurança de informações deve ser contínuo e evolutivo.
Podemos relacionar alguns fatores para justifi car melhor para você porque há a 
necessidade de uma preocupação contínua com segurança de informações:
• Primeiramente, há a necessidade de entender que muitos ataques surgem 
devido às falhas no desenvolvimento dos principais componentes e ferramentas 
utilizados nas redes de computadores, entre eles podem-se citar: 
a) Erros nas confi gurações de recursos computacionais;
b) Falhas na implementação dos protocolos;
c) Falhas na implementação dos aplicativos;
d) Problemas nos serviços dos sistemas operacionais.
• Atacar é considerado mais fácil do que defender. Isso porque, para o atacante, 
basta saber uma falha no sistema para quebrar as barreiras. Entretanto, para 
criar mecanismos da defesa é necessário que haja prevenção para qualquer 
tipo de vulnerabilidade.
• As novas Tecnologias propiciam o surgimento de alguns problemas de 
vulnerabilidade, que necessitarão de um determinado tempo para encontrar 
a solução e, ainda, para garantir uma segurança adequada às exigências de 
mercado. Um exemplo é a rede Wireless, que, no início, trouxe determinados 
problemas de vulnerabilidade, mas com o tempo foram resolvidos.
• A Internet e as facilidades de conexões aumentam a possibilidade de ataques. 
Isso tem ligação direta com o aumento no número de usuários de internet.
INTRODUÇÃO E CONCEITOS DE SEGURANÇA DE 
INFORMAÇÕES
12
 Gestão da Segurança da Informação
• As novas técnicas de ataque, mais criativas e efi cientes, surgem a cada dia. 
Isso faz com que a vulnerabilidade seja um problema presente em todas as 
épocas.
• Crimes digitais estão cada vez mais presentes na nossa vida. Um dos fatores 
que contribui para este cenário é a falta de uma legislação própria contra 
invasores. 
• A existência de vários tipos de atacantes faz com que seja necessário criar 
técnicas de defesa diferenciadas para garantir que as informações fi quem 
protegidas contra atacantes com perfi l diferente.
Algo importante que precisamos entender é a necessidade de conhecer 
os problemas para desenvolver soluções e esta linha de pensamento mostra o 
quanto devemos aprofundar nossos conhecimentos em riscos presentes contra 
informações. E, ainda, percebemos que nossa dependência em tecnologia cresce 
a cada dia e, com isso, a segurança torna-se indispensável. 
Conforme Nakamura e Geus (2003), o papel da informática como parte 
do processo de negócios de qualquer organização pode ser verifi cada mais 
claramente pelo aumento dos investimentos realizados na área de Tecnologia da 
Informação.
O Que É Informação?
As informações são estruturas signifi cantes, compostas por 
dados e com poder de produzir conhecimentos para usuários. Ou, 
em outras palavras, a informação é considerada como matéria-
prima essencial para a geração de conhecimento e tem grande 
valor para a organização. Nesse contexto, podemos confi rmar que 
sem informação a organização não realiza seu negócio.
Para Fontes (2006), a informação, independentemente de seu formato, é 
um ativo importante da organização. Por isso, os ambientes e os equipamentos 
utilizados para seu processamento, seu armazenamentoe sua transmissão 
devem ser protegidos. 
Sem informação 
a organização 
não realiza seu 
negócio.
13
ÍCONE 
Há sempre confusão entre dado, informação e conhecimento. 
Mas estes diferem no signifi cado, o que gera enormes dispêndios 
com iniciativas de tecnologia, que raramente produzem resultados 
satisfatórios.
Valor das Informações 
As informações passaram a ser consideradas importantes 
para as empresas em função de sua dependência em tecnologia de 
informação. Atualmente, não existe nenhuma organização que direta 
ou indiretamente não seja dependente da tecnologia e da informação. 
Estas informações podem ser consideradas como um dos ativos 
mais valiosos das empresas, pois possuem um valor inestimável 
não somente para a organização que a gerou, como para seus 
concorrentes. 
Entretanto, muitas empresas dedicam grande atenção a seus ativos físicos 
e fi nanceiros, mas pouca ou nenhuma atenção aos ativos de informação.
ICON - Você sabia que a cada ano que passa as empresas 
investem mais em tecnologia de informação?
Atualmente, no mundo globalizado, surgem fusões entre empresas com 
o objetivo de aumentar o poder dos negócios. Essas transformações criam 
ambientes coorporativos que implicam o surgimento de novas infraestruturas 
tecnológicas. 
Do ponto de vista do negócio, a empresa terá grandes chances de avanços, 
mas em consideração à infraestrutura tecnológica terá um cenário mais complexo. 
Isto porque o ambiente coorporativo é caracterizado pela integração dos vários 
sistemas diferentes, com características diferentes, nos quais as partes envolvidas 
cooperam entre si. 
As informações 
passaram a ser 
consideradas 
importantes para 
as empresas em 
função de sua 
dependência em 
tecnologia de 
informação.
 Capítulo 1 INTRODUÇÃO E CONCEITOS DE SEGURANÇA DE 
INFORMAÇÕES
14
 Gestão da Segurança da Informação
A complexidade 
que envolve o 
tratamento de 
segurança de 
dados possui a 
contribuição de 
que cada sistema 
foi desenvolvido 
em uma cultura 
diferente e 
para um tipo de 
usuário.
Na Figura 01 pode-se encontrar a formação de um ambiente cooperativo.
Figura 1 - Modelo de um ambiente corporativo
Fonte: O autor.
Podemos perceber, então, que a complexidade que envolve o 
tratamento de segurança de dados possui a contribuição de que cada 
sistema foi desenvolvido em uma cultura diferente e para um tipo de 
usuário. Para simular a complexidade podemos imaginar a conexão 
entre três empresas, empresa 1, 2 e 3. 
Como proteger as informações da empresa 1, evitando que um 
usuário da empresa 3 acesse as informações que pertencem somente 
a primeira?
15
Figura 2 - Modelo da complexidade do tratamento de informações 
Fonte: O autor.
Aivnda pode acontecer outro cenário, no qual os usuários da empresa 2 não 
podem acessar as informações da empresa, porém os usuários da empresa 3 
podem fazê-lo. 
Nesse caso, como podemos evitar que os usuários da empresa 2 acessem 
as informações da empresa 1, usando conexão via empresa 3?
Figura 3 - Modelo da complexidade do tratamento de informações
Fonte: O autor.
 Capítulo 1 INTRODUÇÃO E CONCEITOS DE SEGURANÇA DE 
INFORMAÇÕES
16
 Gestão da Segurança da Informação
Leia o artigo Diferenças na atividade de monitoramento 
de informações do ambiente externo em pequenas e médias 
empresas: a infl uência do porte da idade, disponível em:
 http://www.scielo.br/pdf/pci/v16n2/11.pdf e analise a importância 
da informação para a organização. 
Conceitos de Segurança de 
Informação
Quando pensamos em segurança de informações, inicialmente nos 
lembramos da proteção das informações, independente do lugar e da forma de 
seus registros, mesmo que seja gravado em discos de computador ou no papel. 
Vamos pensar um pouco:
Afi nal qual é o conceito de segurança de informações? 
Segurança de dados e informações diz respeito às informações mantidas hoje 
no computador, que permaneçam por um determinado tempo, sejam necessárias 
e que nenhuma pessoa sem autorização possa acessar ou danifi car.
Para Dias (2000), o usuário espera que suas informações estejam 
disponíveis no momento em que deseja e no local que determina, que 
sejam confi áveis, corretas e mantidas fora do alcance e das vistas de 
pessoas não autorizadas.
Em resumo, podemos defi nir que a segurança de informação tem 
o objetivo de eliminar o máximo possível de seus pontos fracos. 
Segurança 
de dados e 
informações 
diz respeito às 
informações 
mantidas hoje no 
computador, que 
permaneçam por 
um determinado 
tempo, sejam 
necessárias e que 
nenhuma pessoa 
sem autorização 
possa acessar ou 
danifi car.
17
Para Fontes (2006), a segurança da informação é o conjunto de 
orientações, normas, procedimentos, políticas e demais ações que têm 
por objetivo proteger o recurso informação, possibilitando que o negócio 
da organização seja realizado e a sua missão seja alcançada. 
OBJetivos de Segurança de 
Informação
A implementação de segurança de dados digitais depende do ambiente e da 
natureza do sistema. Você pode estar se perguntando: o que quer dizer natureza 
de sistemas? 
O principal objetivo da segurança de informação é minimizar os riscos do 
negocio em relação à dependência do uso dos recursos de informação para 
funcionamento da organização.
A natureza de sistemas está ligada diretamente ao objetivo da aplicação de 
sistema. Ela pode ser um sistema administrativo, militar, industrial, fi nanceiro, 
etc. Assim, podemos perceber que riscos e ameaças mudam conforme estas 
naturezas. E baseados nisso, os usuários ou profi ssionais do departamento de 
informática precisam preocupar-se com os seguintes itens:
• Integridade: Isto quer dizer que os dados não devem ser apagados ou 
alterados sem autorização do dono da informação. Ou, em outras palavras, os 
dados não devem ser manipulados por pessoas sem autorização.
• Confi dencialidade ou privacidade: O principal objetivo deste item é proteger 
as informações contra acesso de qualquer pessoa que não tenha autorização 
explícita. Normalmente as organizações, para resolver este item, utilizam 
processo de controle de acesso e criptografi a.
• Consistência: Este item certifi ca se o sistema está atuando conforme 
expectativas dos usuários autorizados. Por exemplo, verifi car se um software 
se comporta de maneira diferente da usual. 
• Disponibilidade: Proteger os dados e informações de forma que, em nenhum 
momento, os dados necessitados tornem-se indisponíveis sem autorização do 
usuário ou profi ssional explicitamente autorizado.
 Capítulo 1 INTRODUÇÃO E CONCEITOS DE SEGURANÇA DE 
INFORMAÇÕES
18
 Gestão da Segurança da Informação
• Confi abilidade: com isto será garantido que o sistema funcionará conforme 
suas características em qualquer circunstância.
• Auditoria: o principal objetivo é proteger os dados contra erros introduzidos 
por usuários autorizados. Para realizar auditoria, normalmente são utilizadas 
trilhas de auditoria e logs que registram tudo que foi executado no sistema.
Entre os itens relacionados acima, dependendo da característica da 
organização, alguns possuem mais importância do que outros. Dias (2000) 
exemplifi ca um sistema que não contém dados confi denciais, mas que precisa 
estar disponível 24 horas por dia, não requer privacidade de dados, mas sim alta 
disponibilidade.
Em sistemas bancários, auditoria e integridade são os itens 
mais importantes, seguidos de privacidade e disponibilidade. 
Em sistemas militares, que envolvem informações altamente 
confi denciais, a privacidade é o item mais importante, sendo a 
disponibilidade o menos importante.
Antes de implementar um plano de segurança de dados, deve-se buscar 
respostas para as seguintes perguntas:
• O que dever ser protegido?
• Quais são as possíveis ameaças?
• A proteção deve ser contra quem?
• Qual é o grau de proteção desejado?
• Quanto tempo se pretende gastar para atingir os objetivos de segurançadesejado?
• Quanto dinheiro será disponibilizado para executar todas as tarefas 
necessárias?
• Quantas pessoas serão alocadas para apoiar atividades ligadas com a 
segurança de dados?
• Quais são as consequências para a empresa se as informações forem 
corrompidas ou roubadas?
Tentar responder às perguntas auxilia no direcionamento da montagem de 
um plano de segurança de dados.
SIGILO DE DOCUMENTOS DIGITAIS 
É IGNORADO, DIZ ESTUDO
Cerca de 75% dos documentos arquivados nos micros das 
empresas contêm informações sensíveis, que poderiam causar certo 
estrago se caíssem em mãos de pessoas mal-intencionadas.
A afi rmação tem como base uma pesquisa da Workshare, 
que trabalha com a integridade de documentos digitalizados. Os 
especialistas entrevistaram representantes de 300 organizações 
localizadas nos Estados Unidos, Reino Unido e Austrália. 90% 
dessas empresas não têm noção dos possíveis riscos relacionados 
a vazamentos dos dados presentes nesses documentos. Essa 
divulgação geralmente acontece quando as informações passam nas 
mãos de várias pessoas, que devem corrigir e confi rmar os dados.
Em 82% dos casos, as empresas não adotam programas 
desenvolvidos especialmente para a edição de documentos. Os 
arquivos são feitos, geralmente, com ferramentas de e-mail e do Word, 
afi rma Graham Opie, um dos especialistas envolvidos no estudo.
A pesquisa também aponta que os documentos anexados são 
piores que Spams. Os funcionários gastam mais tempo em sua 
caixa de e-mail organizando esses arquivos do que se livrando das 
mensagens não solicitadas.
A segurança do conteúdo de documentos é um assunto que não 
tem a devida atenção das empresas, o que cria para elas um risco 
desnecessário, diz Joe Fantuzzi, direto-executivo da Wokshare.
Fonte: Disponível em: <www.folhaonline.com.br>. Acesso em: 28 jan. 2005.
19
Quais são as consequências para a empresa se as informações forem 
Tentar responder às perguntas auxilia no direcionamento da montagem de 
SIGILO DE DOCUMENTOS DIGITAIS 
É IGNORADO, DIZ ESTUDO
Cerca de 75% dos documentos arquivados nos micros das 
empresas contêm informações sensíveis, que poderiam causar certo 
estrago se caíssem em mãos de pessoas mal-intencionadas.
 Capítulo 1 INTRODUÇÃO E CONCEITOS DE SEGURANÇA DE 
INFORMAÇÕES
20
 Gestão da Segurança da Informação
Atividades de Estudos: 
1) O que é informação?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
2) Qual é valor da informação na organização?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
Algumas Considerações 
A informação está em todos os lugares. A maioria das organizações a avalia 
como um ativo estratégico. Um exemplo disso é a Apple e o seu sucesso, que 
depende muito da informação sobre seus clientes, fornecedores, mercados e 
operações de cada linha desses produtos. Ou seja, a Apple deve ser capaz de 
prever o número de pessoas que comprará um iPod para ajudar a estimar a venda 
dos acessórios dele e do iTunes no ano seguinte. Fazer uma estimativa de muitos 
clientes levará a Apple a produzir em excesso, enquanto estimar poucos clientes 
signifi cará potencialmente uma perda de vendas, devido à falta do produto. 
Portanto, compreender o impacto direto que a informação tem sobre o 
resultado fi nal de uma organização é fundamental para gerir adequadamente um 
negócio. Assim, nos próximos capítulos você estudará a segurança de informação!
21
ReferÊncias 
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de 
Janeiro: Excel Books, 2000.
FONTES, Edison. Segurança da Informação. São Paulo: Saraiva, 2006.
NAKAMURA, Emilio T. ; GEUS, Paulo L. Segurança de Redes, São Paulo: 
Editora Futura, 2003.
 Capítulo 1 INTRODUÇÃO E CONCEITOS DE SEGURANÇA DE 
INFORMAÇÕES
22
 Gestão da Segurança da Informação
CAPÍTULO 2
Controle de Acesso: 
Segurança Lógica 
e Segurança Física
A partir da concepção do saber fazer, neste capítulo você terá os seguintes 
objetivos de aprendizagem:
  Entender os principais aspectos do controle de acesso.
  Conhecer os princípios de Segurança Lógico.
  Conhecer os princípios de Segurança Física.
24
 Gestão da Segurança da Informação
25
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
ConteXtualização 
Quando se fala de controle de acesso lógico e acesso físico, tem-se o objetivo 
de proteger os equipamentos, aplicativos, softwares, entre outros, contra danos 
ou qualquer violação. Os dados ou as informações digitais, diferentes de outros 
tipos de recursos de uma organização, não podem ser controlados somente 
com dispositivos físicos, como alarme, travas, etc. Sendo assim, será mais difícil 
proteger dados que sejam alimentados ou usados por vários computadores via 
redes locais ou rede de longa distância.
O Que É Controle de Acesso Lógico
É um conjunto de procedimentos e métodos que podem ser 
manuais ou automatizados com o objetivo de proteger os recursos 
tecnológicos e os recursos intangíveis (dados e informações) contra:
• Quebra de integridade;
• Modifi cações não autorizadas;
• Acesso e uso indevido.
O acesso lógico é um processo em que um usuário deseja 
acessar um objeto que pode ser um arquivo ou outro recurso, como 
memória. Os controles de acesso lógico são considerados uma série 
de procedimentos e medidas aceitos pela empresa com o objetivo de 
proteger os dados ou informações contra qualquer tipo de tentativa de 
acesso não autorizado por usuários ou mesmo outros programas.
É importante destacar que o maior ponto fraco dos processos de controle 
de acesso lógico é o próprio usuário, mesmo que o controle de acesso seja 
sofi sticado. Podemos mencionar os seguintes exemplos, que prejudicam a 
efi ciência do controle de acesso lógico: 
• O compartilhamento de senhas;
• Usuário mal treinado;
• Escolha de senhas simples;
• Descuido em relação às informações sigilosas.
É um conjunto de 
procedimentos e 
métodos que podem 
ser manuais ou 
automatizados com o 
objetivo de proteger 
os recursos tecnoló-
gicos e os recursos 
intangíveis (dados e 
informações) contra:
• Quebra de integri-
dade;
• Modifi cações não 
autorizadas;
• Acesso e uso 
indevido.
26
 Gestão da Segurança da Informação
Nesse caso, percebemos que a conscientização do usuário é muito importante 
para a efi ciência da estratégia do controle de acesso lógico (Figura 4). A Figura 
4 ilustra a solução de autenticação baseada em servidor do BioSP, que oferece 
componentes de software para verifi cação biométrica baseada em servidor. O 
BioSP aplica algoritmos de extração e comparação de modelos de impressões 
digitais, interoperáveis e certifi cados por MINEX para propiciar uma autenticação 
sólida e proteger o acesso aos ativos digitais. A solução de autenticação BioSP 
executa verifi cação de impressão digital 1:1. 
Figura 4 - Soluções BIOSP - Autenticação Baseada Em Servidor
Fonte: Disponível em: <http://www.aware.com/port/biometrics/
biosp_server-basedauth.html>. Acesso em: 17 nov. 2012.
Proteção das Informações
Para planejar o controle de acesso lógico, em primeiro lugar, 
precisamos defi nir o quequeremos proteger. Você deve estar 
se perguntando quais são os itens que podem ser controlados 
logicamente. 
Para isso, vamos conhecer alguns recursos que normalmente 
estão sujeitos a controle de acesso lógico.
Para planejar 
o controle de 
acesso lógico, 
em primeiro lugar, 
precisamos defi nir 
o que queremos 
proteger.
27
Dados
Nesse caso, o foco é proteger o banco ou repositórios de dados contra 
qualquer violação. Em outras palavras, o objetivo é evitar que os dados sejam 
manipulados (alterados ou apagados) sem autorização. Anteriormente, 
estudamos que dados são a matéria-prima para a geração de informação e eles 
são considerados um dos ativos mais valiosos numa organização.
Código Fonte do SOFTWARE
O maior objetivo de controle de acesso ao código fonte é proteger este 
recurso contra introdução de erros ou qualquer violação indevida. Lembrando que 
o acesso lógico indevido pode alterar a funcionalidade do software. Por exemplo, 
um software bancário pode começar a arredondar centavos em todas as contas 
do cliente. 
ArQuivos de Log
Os arquivos de Log são gerados para registrar qualquer ação do usuário do 
sistema em qualquer momento. São registros muito importantes, que ajudam os 
auditores quando querem detectar algum acesso indevido. Os Logs registram 
quem acessou os recursos computacionais e quais foram as operações realizadas 
por ele. Se os Logs são vulneráveis, o invasor poderá alterar seu conteúdo e 
encobrir as ações indevidas realizadas por ele, tais como, destruição ou alteração 
de dados. Então, com a manipulação dos arquivos Log, a auditoria não terá 
possibilidade de encontrar rastros do invasor.
ArQuivos de SenHa
O principal método de identifi cação utilizado no controle de acesso 
é a Senha. Por isso, a falta de proteção aos arquivos que mantêm os 
dados dos usuários e suas senhas pode comprometer todo o sistema. 
Vamos imaginar que um intruso capta o arquivo de senha do sistema 
e consegue recuperar dados dos usuários e senhas. Nesse caso, ele 
terá acesso total ao sistema e poderá causar danos incalculáveis.
A Privacidade de informações diz respeito ao direito legal ou à 
expectativa de indivíduos, grupos ou instituições em determinar por 
si mesmos quando e em que medida as informações sobre eles são 
comunicadas a terceiros.
A Privacidade 
de informações 
diz respeito ao 
direito legal ou 
à expectativa 
de indivíduos, 
grupos ou 
instituições 
em determinar 
por si mesmos 
quando e em 
que medida as 
informações 
sobre eles são 
comunicadas a 
terceiros.
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
28
 Gestão da Segurança da Informação
Sistema OPeracional e Utilitários do 
Sistema
O sistema operacional é considerado um alvo muito importante para intrusos porque 
os principais controles de acesso são confi gurados nele. Por isso, a vulnerabilidade de 
Sistema Operacional compromete a segurança de todo os aplicativos.
Agora, você pode estar se perguntando quais são os Utilitários do Sistema. 
Então, vamos analisar alguns exemplos:
• Editores de texto;
• Ferramentas de monitoramento de Sistemas;
• Ferramentas para diagnosticar os Sistemas;
• Ferramentas de manutenção;
• Compiladores.
Estes utilitários são utilizados para alterar arquivos de dados, confi guração 
do Sistema operacional, etc. e, por esta razão, é dada grande importância à 
segurança deste tipo da ferramenta.
Elementos de Controle de Acesso 
Lógico 
Inicialmente precisamos entender que o controle de acesso lógico pode ser 
observado a partir dois pontos totalmente diferentes:
• do recurso computacional que desejamos proteger;
• do usuário a quem se pretende fornecer acesso aos recursos.
A proteção aos recursos computacionais é baseada na necessidade de cada 
um dos usuários, mas a identifi cação ou autenticação dos usuários é feita através 
de processo de logon do usuário.
O controle de acesso lógico tem os seguintes objetivos:
• Somente autorizar acesso dos usuários autorizados;
• Bloquear transações dos usuários que desejam executar tarefas de suas 
responsabilidades; 
• Monitoramento de acessos;
• Para cada usuário, liberar somente o acesso dos recursos que são necessários 
na execução de suas tarefas.
Os itens relacionados são ligados ao processo de autenticação do usuário. 
Para isso, vamos conhecer um pouco sobre cada técnica utilizada para a 
autorização do usuário no acesso lógico das informações.
Logon
O processo de logon acontece quando se deseja acessar dados e aplicativos 
em um ambiente computacional. Geralmente, este processo é realizado através 
da digitação de nome do usuário e sua senha. Este procedimento é importante 
para que o sistema detecte se o usuário que deseja se conectar é ele mesmo. 
Ele é reconhecido pelo nome identifi cação (verifi cação do nome do usuário) e 
autenticação (verifi cação da senha do usuário).
Quando utilizamos o processo de logon na autenticação do usuário, 
precisamos ter uma série de cuidados, tais como:
• Se usuário digitou nome ou senha errado devemos evitar oferecer informações 
de orientação porque a autenticação não foi sucedida. Por exemplo, informar 
para usuário que a senha tem 6 dígitos.
• Limitar o número de tentativas erradas de logon. Para isso, o administrador de 
segurança pode determinar que mais de 3 tentativas frustradas bloqueiam a 
senha do usuário.
• Sempre informar para usuário que efetua logon com sucesso quando foi o seu 
último acesso ao sistema e quantas tentativas frustradas durante certo período.
Identificação
Como vimos anteriormente, a identifi cação é o processo de verifi cação do 
nome ou login do usuário. E, devido à natureza desse processo, é muito importante 
que a identifi cação de usuário seja única. Mas, precisamos entender, também, 
Somente autorizar acesso dos usuários autorizados;
Bloquear transações dos usuários que desejam executar tarefas de suas 
Para cada usuário, liberar somente o acesso dos recursos que são necessários 
Os itens relacionados são ligados ao processo de autenticação do usuário. 
Para isso, vamos conhecer um pouco sobre cada técnica utilizada para a 
autorização do usuário no acesso lógico das informações.
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
30
 Gestão da Segurança da Informação
que cada usuário deve ter uma identifi cação para poder acessar o sistema. Como 
boa prática, é interessante que a identifi cação tenha as seguintes características:
• Quantidade mínima de dígitos;
• Quantidade máxima de dígitos;
• Exigir que usuário digite letras e números misturados.
Autenticação
Logo após a identifi cação, deve-se começar o processo da autenticação. 
Neste momento, o sistema confi rma se o usuário é ele mesmo. Na maioria das 
vezes, este processo exige que o usuário digite uma senha, porém o administrador 
de segurança pode utilizar outros métodos para autenticar o usuário. Por exemplo, 
o sistema pode exigir dados pessoais ou até características físicas, como formato 
de mão, impressão digital, etc. 
Ainda, existem alguns métodos que aumentam a efi ciência do controle de aces-
so. Segue uma lista com alguns exemplos:
• Time-out automático, que ajuda na efi ciência de controle de acesso lógico (após 
autenticação com sucesso de usuário). Nesse método, o sistema desativa a 
sessão após um determinado tempo sem qualquer atividade no terminal ou 
computador. Para restaurá-la, o usuário deve novamente fazer todo o processo 
de identifi cação e autenticação. Em alguns casos, o administrador de segurança 
limita o horário de uso dos recursos, conforme o usuário ou os grupos de usuários. 
• Limitar a quantidade de sessões concorrentes, impedindo que usuário acesse 
o sistema ao mesmo tempo usando vários terminais.
SenHas
Como explicamos anteriormente, a senha é um dos métodos mais comumente 
utilizados para controle de acesso lógico. Para que o controle de acesso via senhas 
funcione com efi ciência, é importanteque seja criada e seguida uma política de 
segurança, em que sejam determinadas todas as regras de como este tipo de controle 
deve funcionar. Por exemplo, na política de segurança pode ser incluído qual deve ser 
o procedimento de cancelamento da senha, no caso de o funcionário ser demitido. 
Seguem abaixo algumas recomendações referentes à escolha da senha:
31
• Não escolher senhas curtas;
• Não escolher senhas longas (obriga que usuário escreva a senha no papel 
para não esquecer);
• Na composição, devem existir letras e números;
• Deve ser difícil de ser adivinhada por alguém; 
• Não anotar senha;
• Utilizar criptografi a na hora de salvar a senha na base de dados;
• Ocultar o arquivo que guarda as senhas para difi cultar o trabalho dos intrusos;
• Desabilitar contas inativas;
• Desabilitar senhas frágeis;
• Desabilitar o usuário quando fi zer várias tentativas sem sucesso;
• Estipular uma data limite para que a senha expire;
• Na hora de alterar senha, não escolher a mesma senha que já foi utilizada 
anteriormente;
• Não utilizar a mesma senha para acessar vários sistemas, nesse caso, se 
senha for descoberta abre todas as portas para o intruso;
• Não associar a senha a elementos facilmente identifi cáveis por possíveis 
intrusos. Seguem, abaixo, alguns exemplos de elementos que não devem 
compor a senha:
 – Nome do usuário;
 – Nome de membros de família;
 – Nomes de pessoas ou lugares famosos;
 – Nome do sistema operacional;
 – Senhas com menos de 6 dígitos;
 – Nome da máquina que está sendo utilizada;
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
32
 Gestão da Segurança da Informação
 – Datas de aniversário;
 – Números de telefone ou documento de identidade;
 – Letras seguidas do teclado (asdfg, qwert, zxcvb, etc.);
 – Placa de carro ou marca do carro;
 – Próprio nome utilizado no login;
 – Letras ou números repetidos.
Existem softwares que são capazes de quebrar senhas frágeis, como algumas 
das citadas acima, por isso é importante que o administrador de segurança bloqueie 
a possibilidade de o usuário criar senhas frágeis.
Em algumas situações, as empresas fornecem uma ferramenta chamada 
“Token” para facilitar a identifi cação do usuário. Esse tipo de ferramenta gera uma 
senha aleatória cada vez que o usuário necessite acessar o sistema. Nesse caso, 
existe a grande vantagem de os intrusos nunca saberem qual é a próxima senha 
que o Token gerará para o usuário cadastrado. Mas existe outra desvantagem: se 
alguém conseguir furtar o aparelho Token, o usuário terá as portas de acesso do 
sistema abertas. Isso, lógico, até que o usuário cancele o Token.
Nas instituições fi nanceiras em que o controle de acesso é considerado 
um dos fatores mais importantes, o uso de aparelhos Token é muito comum. E, 
para difi cultar mais ainda, foram criados cartões magnéticos inteligentes que são 
compostos por microprocessadores que controlam a segurança de dados.
Biometria
Nos últimos anos, a utilização de sistemas biométricos para controle de 
acesso lógico se tornou mais comum. 
Mas, afi nal, como funciona um sistema biométrico? 
Os sistemas biométricos executam autenticação verifi cando a identidade, 
baseando-se em características físicas do usuário. Este tipo de sistema foi 
desenvolvido para suprir falhas de controle de acesso via Senhas. Seguem, abaixo, 
alguns sistemas de controle de acesso utilizando biometria:
33
• Análise de impressão digital: nesse caso, são armazenados de 40 a 60 pontos 
para verifi cação de uma identidade. O sistema compara a impressão lida com 
sua base de dados.
• Reconhecimento de voz: os sistemas que utilizam reconhecimento de voz têm 
uma série de problemas, como erros gerados devido aos ruídos no ambiente 
e também alterações na voz de usuário.
• Análise da retina: são usados no controle de acesso e são mais confi áveis 
que a impressão digital, mas são sistemas invasivos, pois direcionam feixes 
de luz para os olhos. 
• Geometria da mão: este tipo de sistema utiliza a geometria da mão para 
identifi car uma pessoa. Mas a geometria da mão pode ser alterada conforme 
perda de peso.
• Reconhecimento facial: nesse caso, o sistema compara a imagem do usuário 
com a imagem gravada dele na base de dados. 
Este tipo de sistema deve levar em consideração qualquer característica 
de uma pessoa, mas existem algumas imitações que fazem o sistema falhar na 
autenticação. Por exemplo, o sistema deve distinguir os gêmeos ou mesmo deve 
identifi car uma pessoa que, com o tempo, teve mudança nas suas características, 
como voz. Nesses casos, o sistema deve aceitar tolerâncias.
Proteção dos Recursos
Já que vimos as formas de autenticação do usuário, é importante saber: 
mesmo que o usuário seja identifi cado e autenticado não quer dizer que terá 
acesso total ao sistema. Para isso, é necessário que exista um controle que 
restrinja o acesso dos usuários apenas às informações necessárias para 
desempenhar sua função.
Claro que para facilitar este tipo de controle seria produtivo que os menus 
dos sistemas estivessem categorizados com seus submenus, de forma a facilitar 
o controle de acesso através dos menus.
Permissões de Acesso
A permissão e direito de acesso lógico podem ser defi nidos por usuários, 
embora seja uma tarefa trabalhosa, mas é recomendado que o administrador de 
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
34
 Gestão da Segurança da Informação
segurança defi na cada usuário que pode acessar e, após efetuar acesso com 
sucesso, que tipo de operação pode realizar. 
Então, de modo geral, para garantir segurança lógica, precisamos nos 
preocupar com os seguintes itens:
• Qual parte do sistema o usuário pode acessar;
• Que tipo de operação pode realizar.
Para defi nir direitos de acesso de cada usuário, normalmente é usado o 
método Matriz de controle de acesso. Nesse método, será criada uma tabela 
(matriz), na qual os usuários são registrados em cada linha e as colunas 
identifi cam objetos do sistema. Após defi nir a estrutura da tabela, o administrador 
de segurança preenche as células com o tipo de operação que cada usuário por 
objeto pode realizar (Tabela 1). 
Tabela 1 – Exemplo de Matriz de Controle de Acesso
Contas a pagar Menu cadastro Notas fi scais
José Leitura Leitura/gravação --
João -- Leitura --
Maria Leitura/Gravação -- Leitura/Gravação
Carlos Leitura Leitura --
Fonte: O autor.
Observando a Tabela 1, percebemos que cada célula representa um usuário, 
o que este pode acessar e, no caso de acesso, que tipo de operação pode realizar. 
Por exemplo, Maria pode acessar o módulo “contas a pagar” e além de leitura 
pode gravar dados também.
Em muitas organizações, para reduzir o trabalho de preenchimento da matriz 
de controle de acesso, são criados grupos com permissões padrão. Nesse caso, no 
lugar de cada linha representando o nome do usuário, é informado o nome do grupo.
Monitoramento
Já sabemos que segurança total no ambiente informatizado é algo desejado, 
mas quase impossível, por isso devemos ter ciência de que a qualquer momento 
podemos ser alvo de ataque dos invasores. Para a equipe de segurança é muito 
35
importante ter registros de log, trilhas de auditoria ou qualquer mecanismo que 
possa monitorar ações dos intrusos durante o ataque.
Nesse tipo de monitoramento, o grupo de segurança consegue juntar 
evidências sufi cientes para que possam ser tomadas as medidas necessárias 
contra invasores reconhecidos.
Um dos métodos mais utilizados para a coleta de informações e 
monitoramento de dados é o registro de Logs. Nesse método, todos os eventos 
ocorridos são registrados num arquivo e com essas informações a equipe 
de segurança é capaz de detectar tentativas de acesso não autorizado. Estes 
registros funcionam como trilhas de auditoria ou, em outras palavras, a equipe 
pode conhecer as atividades realizadas desde o início até seus resultados fi nais.
Ouso de Logs pode prejudicar o desempenho do sistema, já que todos os 
eventos ocorridos são registrados. Para amenizar este impacto é muito importante que 
sejam levantados quais tipos de eventos devem ser registrados no arquivo de Log.
Controle de Acesso no Sistema 
OPeracional
Normalmente, Sistemas operacionais já possuem controle de acesso lógico 
defi nido pelo fabricante. Caso o sistema operacional não forneça recursos para 
o controle de acesso lógico, existem várias opções de software no mercado que 
podem ser adquiridas e instaladas junto ao Sistema operacional.
A informação é representada por bits de dados individuais e na comunicação 
digital podem ser encapsulados em mensagens de vários bits. Um byte é um 
exemplo de uma unidade de mensagem que pode trafegar através de um canal 
digital de comunicações. Os canais de comunicação, basicamente, são divididos 
em canais seriais e canais paralelos.
Gerenciamento de Controle de 
Acesso Lógico
Você deve ter percebido que todos os itens mencionados até agora, 
referentes ao controle de acesso lógico, precisam ser gerenciados para que:
• Garanta o controle adequado dos riscos;
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
36
 Gestão da Segurança da Informação
• Analise os riscos previamente;
• Relacione todos os sistemas e ambientes operacionais;
• Determine tipo de controles lógicos adequados para organização;
• Levante todos os recursos necessários para executar planos de segurança;
• Classifi que sistemas e dados em termos de importância, observando 
confi dencialidade, disponibilidade, integridade, etc.;
• Libere acessos conforme funções e responsabilidades de cada usuário;
• Monitore a responsabilidade de cada usuário.
O gerenciamento de controle de acesso pode ser realizado tanto pelo gerente 
do ambiente operacional quanto pelo gerente de aplicativos.
O gerente do ambiente operacional deve controlar o acesso à rede, aos 
sistemas operacionais e seus recursos.
O gerente de aplicativos é responsável pelo controle de acesso ao aplicativo, 
identifi cação e autenticação dos usuários. Ainda, é responsável por determinar a 
responsabilidade dos usuários.
Controle de Acesso Lógico InadeQuado
Vamos conhecer alguns riscos inerentes a controles de acesso lógico mal 
planejados e inadequados. São eles:
• Divulgação não autorizada de informações;
• Comprometimento da integridade do sistema;
• Destruição não autorizada de informações;
• Alteração não autorizada de dados.
Portanto, sem controle de acesso adequado, a organização pode ter perdas 
fi nanceiras, de credibilidade, de mercado e, em muitos casos, de continuidade de 
seus negócios.
37
Atividades de Estudos: 
1) Diferencie controle de acesso lógico de controle de acesso físico.
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
2) Quais os elementos do controle de acesso lógico?
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
3) Descreva e diferencie logon, identifi cação e autenticação.
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
38
 Gestão da Segurança da Informação
 _______________________________________________________
 _______________________________________________________
4) Qual a importância do monitoramento?
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
 _______________________________________________________
Controle de Acesso Físico
Segurança física corresponde à manutenção das condições operacionais e 
da integridade dos componentes dos ambientes, recursos materiais e plataformas 
computacionais, como: 
• insumos: formulário contínuo, papel para impressoras, fi tas magnéticas, 
cartuchos de tinta para impressoras e CD-R, etc.;
• hardware: UCP, terminais, estações de trabalho, impressoras, servidores, 
monitores;
• componentes de informática: estabilizadores, no-breaks, cabos de conexão 
para transmissão de dados (cabos de rede), etc.
O principal objetivo de segurança física é proteger equipamentos e 
informações contra usuários não autorizados, prevenindo o acesso a esses 
recursos.
A segurança física possui 2 abordagens diferentes:
• Segurança de acesso;
• Segurança ambiental.
A segurança de acesso trata das medidas de proteção contra acesso físico 
39
não autorizado. A segurança ambiental trata da prevenção de possíveis danos, 
gerados devido a causas naturais (Figura 5).
Figura 5 - Controle de acesso físico e lógico utilizando a biometria
Fonte: Disponível em:<http://dc367.4shared.com/doc/FnG5KsDB/preview.html>. Acesso 
em: 17 nov. 2012.
Recursos a Serem Protegidos
Como mencionamos anteriormente, o controle de acesso físico tem o objetivo 
de manter recursos computacionais seguros fi sicamente. Mas, afi nal, quais são estes 
recursos? Segue, abaixo, uma lista com recursos a serem protegidos:
• Equipamentos:
 – Servidores;
 – Placas;
 – Vídeos;
 – Estações de trabalho;
 – Mouses;
 – Scanners;
 – CPUs;
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
40
 Gestão da Segurança da Informação
 – Modems;
 – Roteadores;
 – Cabeamento elétrico;
 – Teclados;
 – Unidades de disco;
 – Impressoras, etc.
• Documentação:
 – Documentação sobre hardware e software;
 – Documentação sobre aplicativos;
 – Política de segurança.
• Suprimentos:
 – Disquetes;
 – Formulários;
 – Fitas;
 – Papel.
• Recursos humanos.
Controle de Acesso Físico 
É um processo pelo qual é dada permissão ou são estabelecidas limitações 
a pessoas em seu direito de acesso a áreas em objetos específi cos do tipo: 
plataformas de computação, ambiente de informática, arquivos, terminais, etc.
A base de controle de acesso físico é fi xada na identifi caçãoe avaliação das 
permissões concedidas, bem como dos critérios utilizados para sua concessão, como: 
• algo em poder da pessoa-chave: crachá, cartão magnético; 
41
• algo que seja conhecido de alguém. Por exemplo: senha, código, frase, etc.;
• características biométricas: impressão digital, timbre da voz, palma da mão, 
padrões de retina, padrões de assinatura. 
No caso da estrutura, os sistemas de controle de acesso podem ser: 
• Sistemas manuais / visuais: com atuação de porteiros / guardas / 
recepcionistas; 
• Sistemas semiautomáticos: normalmente conhecidos como sistema de 
porteiro eletrônico, nos quais, através de um dispositivo ou interfone, o acesso 
é requerido; 
• Sistemas automáticos: 
 – utilizando teclados (digitação correta de senhas);
 – utilizando cartões magnéticos / códigos de barra;
 – via verifi cação das características biométricas das pessoas. 
Existem várias técnicas de controle de acesso físico e a mais utilizada é o 
uso de crachá para distinguir um funcionário de um visitante. Uma das vantagens 
desse método é que facilita visualmente controlar a circulação das pessoas.
Outra prática importante é exigir a devolução de bens de propriedade 
da empresa quando o funcionário é demitido. Para isso, é fundamental que a 
organização tenha um procedimento formal no qual determina quando e como 
deve ser bloqueado o acesso dos funcionários demitidos.
Existem outros procedimentos que são importantes e devem ser adotados 
pela empresa para controlar a segurança física.
Controles EXPlícitos
São implementados por meio de cadeados, fechaduras ou outros dispositivos 
que restrinjam o acesso das pessoas, fi sicamente, em lugares restritos. Em 
qualquer tipo de dispositivo utilizado a chave ou a senha de acesso deve ser 
muito bem controlada. Seguem alguns controles explícitos:
• Fechaduras codifi cadas com teclado para entrada do código secreto;
• Fechaduras mecânicas ou cadeados comuns;
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
42
 Gestão da Segurança da Informação
• Fechaduras eletrônicas cujas chaves são cartões magnéticos;
• Fechaduras biométricas;
• Câmeras de vídeo e alarmes.
Controle de Acesso Físico 
InadeQuado
Vamos conhecer alguns ricos inerentes a controles de acesso físico mal 
planejados e inadequados.
São eles:
• Danos intencionais ou acidentais provocados por funcionários;
• Roubo de equipamentos;
• Cópia ou divulgação de informações;
• Destruição de equipamentos, etc.
 
Controles AmBientais
Os controles ambientais visam a proteger os recursos computacionais contra 
danos provocados por desastres naturais e estes controles devem constar na 
política de segurança, pois estão diretamente relacionados à disponibilidade e à 
integridade dos sistemas computacionais.
Seguem, abaixo, itens que fazem parte do controle ambiental:
• Incêndios: os controles associados a incêndio podem ser preventivos ou 
supressivos, quer dizer, procedimentos para evitar incêndios ou combatê-los 
de forma efi ciente, caso já tenham ocorrido.
• Energia Elétrica: integridade e disponibilidade dos sistemas da organização 
podem ser afetadas devido a falhas ou fl utuações no fornecimento de energia 
elétrica. Para isso, é importante estabelecer controles que minimizam os 
efeitos destas falhas.
• Descargas Elétricas Naturais: para evitar danifi cação dos equipamentos 
por descargas elétricas, a empresa deve providenciar instalação dos 
equipamentos, como para-raios com o objetivo minimizar danos.
• Enchentes: A empresa precisa estar atenta para o fato de que todos os 
equipamentos computacionais são danifi cados quando entram em contato 
com água.
• Umidade e temperatura: a maioria dos equipamentos computacionais 
necessita de um ambiente controlado em termos de temperatura e umidade.
• Limpeza e conservação: os ambientes computacionais devem estar limpos e 
livres de poeira.
Controle AmBiental InadeQuado
A falha no controle ambiental pode provocar danos aos equipamentos, devido 
a vários riscos naturais. Estes danos podem prejudicar o total funcionamento dos 
equipamentos, gerando prejuízos incalculáveis.
Natureza das Agressões aos 
Recursos Materiais de Informática 
Vamos conhecer alguns tipos de agressões aos recursos computacionais. 
Para isso, seguem, abaixo, alguns exemplos:
• Sabotagem ao hardware, insumos e componentes;
• Espionagem (captação da estrutura das redes de informática);
• Roubo e furto de recursos materiais;
• Acidente causando danos e paralisação total ou parcial dos equipamentos; 
• Explosão causando a destruição dos recursos materiais; 
• Incêndio com consequências prejudiciais à integridade física dos equipamentos; 
• Desabamento com danos parciais ou totais.
43
Descargas Elétricas Naturais: para evitar danifi cação dos equipamentos 
por descargas elétricas, a empresa deve providenciar instalação dos 
equipamentos, como para-raios com o objetivo minimizar danos.
Enchentes: A empresa precisa estar atenta para o fato de que todos os 
equipamentos computacionais são danifi cados quando entram em contato 
Umidade e temperatura: a maioria dos equipamentos computacionais 
necessita de um ambiente controlado em termos de temperatura e umidade.
Limpeza e conservação: os ambientes computacionais devem estar limpos e 
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
44
 Gestão da Segurança da Informação
Algumas Situações de Insegurança 
Física em Informática
Além das agressões aos recursos computacionais, vamos conhecer algumas 
situações de insegurança física:
• Roubo ou perda de mídia (discos, fi tas magnéticas, CD-ROM, etc.); 
• Roubo ou perda de planilhas, relatórios, documentos alimentados ou gerados 
no ambiente de informática;
• Venda de formulários e folhas de carbono, utilizados em trabalhos de 
informática; 
• Extravio de formulários especiais, papéis timbrados, pré-impressos para uso 
em impressoras de computador;
• Agressões físicas propositais ou acidentais à confi guração do computador.
Algumas Medidas de Segurança 
Para Proteção Física dos Recursos 
Materiais
Agora que conhecemos alguns riscos que afetam os recursos computacionais, 
vamos conhecer algumas medidas de segurança:
• Transportar cópias de segurança (“back-up”) em embalagens protegidas 
contra violações, emanações eletromagnéticas e poeira;
• Controlar o consumo e armazenar de modo seguro os formulários especiais, para 
evitar desvios e perdas;
• Manter hardware, componentes de informática de reserva e insumos, 
particularmente nas plataformas de microcomputadores, para solução 
imediata, em casos de perdas e avarias;
• Realizar o aterramento nas ligações elétricas de equipamentos para evitar a 
destruição de seus componentes eletroeletrônicos por panes elétricas (por 
exemplo, descargas de energia elétrica).
Vamos conhecer o plano de continuidade operacional, que tem grande 
45
importância para a organização. 
Plano de Continuidade OPeracional
O Plano de Continuidade Operacional, também chamado Plano de 
Contingência Corporativo, tem como fi nalidade prover a organização de 
procedimentos, controles e regras que possibilitem a continuidade das operações. 
Ou seja, manter as operações vitais de uma organização, mesmo na eventualidade 
de um desastre em suas instalações, minimizando perdas de negócios e impactos 
na entrega de produtos e serviços aos seus clientes e usuários.
Planos de Contingência, que consistem em soluções de “contorno provisório 
do problema” na ocorrência de determinados desastres, fazem parte do contexto 
de um Plano de Continuidade. Em outras palavras, um Plano de Continuidade 
pode conter vários Planos de Contingência.
O Plano de Continuidade prevê a avaliação de todas as funções do negócio, 
juntamente à análise do ambiente de negócios em que a organização se insere, 
ganhando-se uma visão objetiva dos riscos que ameaçam a organização. Com 
o Plano de Continuidade, ela poderá assegurar-sede que possui o instrumental 
e treinamento necessários para evitar que interrupções mais sérias em sua 
infraestrutura operacional possam afetar sua saúde fi nanceira.
A metodologia de elaboração de um Plano de Continuidade consiste 
basicamente em 6 passos: 
• Avaliação do projeto: defi nição de escopo e aplicabilidade do projeto; 
• Análise de risco: identifi cação dos riscos que ameaçam a continuidade dos 
processos da organização;
• Análise de impacto em negócios: estimativa de impacto operacional, 
fi nanceiro e legal que a ocorrência de cada um dos desastres previstos poderá 
causar aos negócios / atividades da organização;
• Desenvolvimento dos planos de recuperação de desastres ou planos de 
contingência: 
 – Identifi cação dos procedimentos e recursos necessários para eliminar ou 
reduzir o impacto de um desastre que suspenda a capacidade operacional 
de um determinado processo;
 – O custo do plano deve naturalmente ser menor do que o impacto de 
interrupção do processo; 
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
46
 Gestão da Segurança da Informação
• Treinamento e teste dos planos: treinamento do pessoal envolvido na 
implementação dos planos e validação dos procedimentos e recursos 
destinados a estes; 
• Implementação e manutenção dos planos: disponibilização dos recursos 
materiais e humanos destinados aos planos de contingência e revisões 
periódicas de atualização do Plano de Continuidade frente à dinâmica dos 
processos da organização.
Acesse o seguinte site <http://www.ted.com/>. Ted, uma 
pequena organização sem fi ns lucrativos, começou em 1984, é 
dedicada a Ideias Worth Spreading, uma conferência anual focada 
em três segmentos: tecnologia, entretenimento e projeto. Ted reúne 
os mais fascinantes pensadores e executores do mundo, desafi ando-
os a falar de suas vidas em 18 minutos. Com o Ted você poderá 
descobrir inovação tecnológica no ambiente empresarial. 
Atividades de Estudos: 
Pesquise nos sites sobre o acesso lógico e físico. Para isso, 
comece com a leitura do texto abaixo.
 Senhas seguras
 Publlicada em 14/03/2011
 Altieres Rohr – G1
“A segurança de uma senha é medida baseada na quantidade 
de tempo que essa senha leva para ser descoberta por tentativa e 
erro”, explica o especialista Amatte. Segundo ele, um invasor com 
conhecimentos adequados irá estudar bastante a vítima para montar, 
manualmente e com o auxílio de ferramentas adequadas, uma lista de 
possíveis senhas. Essas, então, serão usadas para serem descobertas.
O invasor pode conseguir essas informações em redes sociais, 
por exemplo, para descobrir do que um usuário gosta, o nome de 
47
seus familiares ou cônjuges, a empresa em que trabalha ou outras 
informações que podem ser úteis no processo. Essas informações 
não devem constar em uma senha.
Quando uma senha numérica for obrigatória, evite datas, 
placas de carro, telefones e números com signifi cado pessoal 
O especialista também adverte contra o uso de sequências de 
teclado, como “1qaz2wsx” (formada pelas teclas em diagonal dos 
números 1 e 2).
Mas nem por isso as senhas precisam ser difíceis de lembrar. 
Segundo o especialista, é possível usar trechos de músicas, pegar as 
iniciais, adicionar números e variar maiúsculas e minúsculas. “Atirei o 
pau no gato, mas o gato não morreu” vira algo como “1ApgGnm7”.
Muitos sistemas (como o Windows e senhas de redes Wi-Fi) 
permitem o uso de senhas longas. Nesse caso, a frase original inteira 
pode ser usada. Se não for uma frase que você utiliza em outros locais, 
será muito difícil adivinhá-la, principalmente com as particularidades 
de pontuação. No caso de senhas obrigatoriamente numéricas, datas, 
números de telefone e placas de carro devem ser evitadas.
Amatte adverte para os ataques de phishing, em que o invasor 
cria um site falso e convida o usuário a digitar a senha. No Orkut, eles 
têm explorado recadastros e novas funções inexistentes do Orkut 
que requerem “registro especial”. Foi assim que o pacote de senhas 
foi obtido. “Dessa maneira, sem esforço o atacante consegue sua 
senha completa, independente da complexidade da mesma”, explica.
Um dos usuários na lista analisada, no entanto, conseguiu 
perceber o ataque. Na senha, ele digitou “vai hackear a sua mãe, 
aquela sem vergonha”. Outros internautas, no entanto, digitaram a 
senha várias vezes pensando que estavam errando a digitação – 
sinal de que claramente não perceberam o golpe.
A boa senha não é meramente o uso de uma palavra ou números 
combinados; é uma verdadeira “salada de frutas”. Deve-se misturar 
letras, números e caracteres especiais, sem ordens óbvias como 
“letras primeiro, números depois”. Também não é recomendável 
colocar somente um número no começo ou no fi nal.
Algumas dicas práticas:
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
48
 Gestão da Segurança da Informação
1. Escolha uma frase da qual lembre facilmente, como um ditado, o título 
de um livro ou fi lme, o primeiro verso de um poema ou música;
2. Faça uma combinação de letras maiúsculas, letras minúsculas e 
números;
3. Não repita as letras;
4. A senha deve ter, no mínimo, oito caracteres.
1) Defi na o que é controle de acesso físico.
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
2) Quais são as medidas de segurança para proteção física dos 
recursos materiais.
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
49
3) O que é Plano de Continuidade Operacional?
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
4) Quais são as principais fases de elaboração do Plano de 
Continuidade?
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 __________________________________________________
 ____________________________________________________________________________________________________
 __________________________________________________
Algumas Considerações 
Ao longo deste capítulo, discutimos a importância do controle de acesso lógico 
e acesso físico, já que ambos possuem o objetivo de proteger os equipamentos, 
aplicativos, softwares, entre outros, contra danos ou qualquer violação. Os 
dados ou as informações digitais, diferente de outros tipos de recursos de uma 
organização, não podem ser controlados somente com dispositivos físicos. 
Sendo assim, será mais difícil que dados sejam alimentados ou usados por vários 
computadores via rede locais ou rede de longa distância.
CONTROLE DE ACESSO: SEGURANÇA LÓGICA E 
SEGURANÇA FÍSICA
 Capítulo 2 
50
 Gestão da Segurança da Informação
Portanto, o controle dos processos de uma organização, como um todo, 
previne as ameaças advindas do furto, das falsifi cações documentais e outros 
procedimentos que coloquem em risco a confi abilidade das informações que serão 
recebidas pelos clientes Ao criar ações para reforçar a segurança da informação, 
garantir-se-á, em contrapartida, a própria segurança institucional. Sendo assim, 
no processo capítulo você estudará os riscos envolvendo o uso da informação. 
ReferÊncias
IMONIANA, Onome J. Auditoria de Sistemas de Informação. São Paulo: Atlas, 
2005.
KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet. 
São Paulo: Addison Wesley, 2003.
MONTEIRO, Emiliano, S. Segurança no Ambiente Corporativo. Florianópolis: 
Visual Books, 2003.
NORTHCUTT, Stephen et al. Desvendando Segurança em Redes. Rio de 
Janeiro: Campus, 2002.
REZENDE, Denis Alcides; ABREU, Aline França. Tecnologia da informação: 
aplicada a sistemas de informação empresariais. São Paulo: Atlas, 2006.
TANENBAUM, Andrew. Redes de Computadores. Rio de Janeiro: Campus, 
1997.
VELLOSO, Fernando de Castro. Informática: conceitos básicos. Rio de Janeiro: 
Campus, 1999.
WADLOW, Thomas A. Segurança de redes: projeto e gerenciamento de redes 
seguras. Tradução: Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.
CAPÍTULO 3
Riscos Envolvendo 
Informações
A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes 
objetivos de aprendizagem:
  Conhecer as principais vulnerabilidades presentes 
nas redes de computadores.
  Conhecer as principais medidas de proteção contra invasões.
52
 Gestão da Segurança da Informação
53
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
ConteXtualização
Você já conhece toda a história de como redes de computadores surgiram 
e qual era seu principal objetivo. Já que para conhecer segurança em redes de 
computadores precisamos saber alguns detalhes em relação ao seu surgimento, 
vamos resumidamente falar sobre a história e o surgimento das redes de 
computadores.
Rede de computador, inicialmente, surgiu como uma rede interna, que não 
era aberta ao grande público. Em meados dos anos 60, a ARPA (Advanced 
Research Project Agency), do Departamento de Defesa dos EUA, começou a 
implementar uma rede de comunicações via computadores capaz de continuar 
a operar mesmo em caso de um ataque nuclear pela União Soviética (época da 
Guerra Fria). Tal rede foi chamada de ARPANET.
Os requisitos da rede ARPANET deram origem ao protocolo IP (Internet 
Protocol), no qual os dados seriam divididos em pacotes e cada um desses 
pacotes deveria chegar ao destino percorrendo a rota mais efi ciente dentro da 
rede. Mesmo com parte da rede inoperante, os pacotes deveriam chegar ao 
destino e serem reconstruídos. Nesse tipo de rede não há um “servidor central”, 
todos os computadores componentes da rede podem ser clientes e servidores ao 
mesmo tempo.
Na década de 70, a ARPANET continuou a crescer e surgiram a Bitnet e 
a Usenet. Também nesse período o correio eletrônico passou a fazer parte do 
meio acadêmico e empresarial. Em 1986, a Rede ARPANET é substituída pela 
NSFNet (subordinada à “National Science Foundation”), experimentando nova 
expansão.
A Internet passa a funcionar sem um “dono”, nem estrutura hierárquica 
convencional, dirigida por um grupo de voluntários, reunidos na Internet Society 
(Isoc), e um conselho indicado pelo Isoc, o Internet Architecture Board (IAB), 
com poder de decisão nas questões técnicas. Os problemas do dia a dia seriam 
resolvidos por outro grupo de voluntários, o Internet Engineering Task Force 
(IETF). 
Mas, afi nal, qual era a composição básica da Internet? A Internet era 
composta por computadores de alta velocidade, ligados entre si através de linhas 
de comunicação de alta velocidade. Os demais computadores individuais e redes 
internas das organizações eram, por sua vez, interligados ao backbone central 
através de linhas de comunicação menos velozes.
54
 Gestão da Segurança da Informação
Iniciando-se como uma espécie de telex sofi sticado, permitindo somente 
comunicação via texto, hoje a Internet é utilizada para qualquer tipo de mídia, 
inclusive TV e rádio, e o seu número de usuários cresce exponencialmente. Em 
fevereiro de 1999, começou a funcionar a Internet 2, novamente restrita aos meios 
militares e acadêmicos, como era a Internet em seu início.
Riscos Presente na Rede INTERNET
Cada serviço oferecido na Internet tem seus próprios riscos 
associados. Uma política de segurança deve defi nir quais os 
serviços a serem disponibilizados na rede interna. Com base nos 
serviços atendidos é que serão escolhidos os dispositivos de 
proteção (procedimentos e ferramentas de proteção). 
Apesar de toda a ênfase que se dá aos ataques causados por hackers, 
estudos recentes demonstram que mais da metade dos incidentes envolvendo 
quebra de segurança em ambientes de informações têm como causadores usuários 
devidamente autorizados, porém ignorantes ou mal treinados.
É também comum que, acidentalmente, funcionários de organizações 
destruam seus próprios dados ou os distribuam pelo mundo inteiro (via Internet). 
Esse tipo de incidente não pode ser evitado por qualquer medida de segurança, 
pois está além da previsão.
A melhor forma de minimizar tais incidentes é dar um bom treinamento a 
seus usuários e ter uma política de segurança que só permita o acesso a dados 
críticos a quem realmente os usa para desempenhar suas funções.
Segue, abaixo, o trecho de uma notícia referente à perda de informação num 
banco Japonês, que foi publicada no Jornal O estado de São Paulo:
Banco japonês perde dados de 270 mil clientes 
O banco japonês Mizuho assumiu a perda de informações 
pessoais de 270 mil clientes. Essas informações, conta a agência 
de notícias Kyodo News, estavam guardadas nos servidores do 
banco ou em microfi lmes e, segundo o banco, podem ter sido 
jogadas fora por engano. O Mizuho Financial Group, dono do 
banco, disse que provavelmente os dados não foram roubados 
Cada serviço 
oferecido na 
Internet tem seus 
próprios riscos 
associados.
55
e que ainda não há indícios de que tenham sido acessados 
por outras pessoas, o que signifi ca que a instituição ainda não 
identifi cou nenhuma fraude envolvendo os clientes prejudicados. 
Entre as informações perdidas estão os nomes dos clientes, 
o número das contas e os valores nelas depositados. O banco 
japonês, que tem 30 milhões de clientes, explicou que desde 
a sua criação, há três anos, vem tendo problemas para fazer a 
integração de dados, ou seja, reunir em um só lugar todas as 
informações que acumula sobre esses clientes.
Fonte: Disponível em: <http://www.link.estadao.com.br/>. 
Acesso em: 04 abr. 2005.
E-MAIL
O e-mail faz parte do nosso dia, seja no âmbito pessoal seja no 
profi ssional. Praticamente todas as pessoas e empresas utilizam essa 
facilidade. Como recurso de trabalho, o e-mail tem objetivo de facilitar a 
comunicação interna e externa da organização.
E-mail ou mensagens eletrônicas podem ter seu autor forjado. É preciso alguma 
forma de autenticação para minimizar este problema. Depois vamos conhecer 
algumas técnicaspara minimizar este risco. Outro risco em relação ao e-mail é que o 
excesso de mensagens pode sobrecarregar o usuário e ocupar a largura de banda de 
seu acesso à Internet. E, por fi m, podemos observar que o e-mail é a maior porta de 
entrada para vírus na sua rede interna.
TransferÊncia de ArQuivos
A importação descontrolada de arquivos pode facilitar, em sua rede 
interna, a entrada de softwares “piratas”, joguinhos, vídeos, músicas, 
pornografi a e todo tipo de arquivos indesejáveis para os propósitos 
da organização. Isso pode associar sua organização a crimes e 
também prejudicar a disponibilidade de seu(s) acesso(s) à Internet, 
desperdiçando muita largura de banda e espaço em disco de seus 
servidores e estações.
A exportação de arquivos é um problema de segurança ainda 
maior, pois alguns softwares de transferência de arquivos não 
garantem que quem está recebendo o arquivo seja uma pessoa 
A exportação 
de arquivos é 
um problema 
de segurança 
ainda maior, pois 
alguns softwares 
de transferência 
de arquivos 
não garantem 
que quem está 
recebendo o 
arquivo seja 
uma pessoa 
autorizada.
O e-mail faz parte 
do nosso dia, 
seja no âmbito 
pessoal seja no 
profi ssional.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
56
 Gestão da Segurança da Informação
autorizada. Além disso, é muito difícil controlar o conteúdo dos arquivos que 
deixam sua rede rumo a outros computadores da Internet (dados vitais ou 
críticos podem ser roubados dessa forma).
Ainda, alguns softwares de transferência de arquivos, por exemplo, “ftp”, 
transitam dados sigilosos, como código do usuário e sua respectiva senha, sem 
encriptação, possibilitando a captura dessas informações por pessoal não autorizado. 
Acesso Remoto Por Terminais e 
EXecução de Comandos
Alguns softwares que permitem o acesso remoto à rede através de um terminal, 
por exemplo, “Telnet”, transitam as informações sem nenhum tipo de criptografi a. Se 
esse serviço for disponibilizado em sua rede interna, mesmo que seja através de uma 
conexão privada, é conveniente utilizar algum tipo de autenticação e criptografi a. 
Nome do Domínio (Dns)
O serviço DNS é um serviço de resolução de nomes para redes TCP/
IP. Ele é o serviço responsável pela conversão de nomes de domínios 
e host em endereços numéricos usados pelo protocolo IP. Podemos 
considerar que seu principal risco, se divulgado externamente, é abrir as 
portas para eventuais atacantes ao seu ambiente, pois permite ampliar o 
conhecimento sobre a topologia de sua rede externa. 
Vamos conhecer como o DNS pode prejudicar a segurança de 
dados.
Como DNS utiliza UDP para suas consultas, os servidores não podem contar 
com o protocolo de transporte para manter o estado da conexão do DNS. Então, para 
determinar qual resposta combina com qual consulta, os servidores de DNS incorporam 
um ID numérico. Se um invasor for capaz de prever o ID da consulta que o servidor 
DNS usou quando direcionou uma consulta recursiva para outro servidor DNS, ele 
pode elaborar uma resposta forjada, que poderia chegar ao servidor solicitado antes da 
resposta real. O servidor DNS normalmente acredita na primeira resposta que recebe, 
descartando a segunda. Por consequência, o host que usa servidor DNS para pesquisar 
o registro de domínio forjado é levado ao endereço IP escolhido pela atacante.
O serviço DNS é um 
serviço responsável 
pela conversão 
de nomes de 
domínios e host 
em endereços 
numéricos usados 
pelo protocolo IP.
57
NEWSGROUP
Esse serviço corresponde a uma versão de correio eletrônico coletivo, como 
grupos de notícias ou fórum de discussões. Os riscos são muito semelhantes 
aos do serviço de correio eletrônico, porém os maiores riscos são o excesso 
de mensagens sem valor, a propagação de vírus e a revelação de informações 
confi denciais de sua organização. 
Os principais riscos estão ligados à sua incrível fl exibilidade, o que torna 
qualquer controle de acesso bastante inefi caz e, às vezes, impossível de ser 
efetuado. Facilita igualmente a vida do usuário como do possível atacante.
Serviço de Gerenciamento de Rede
São serviços básicos de suporte à rede, não usados diretamente 
pelos usuários, mas pelo software da rede para testar sua 
funcionalidade (ex.: SNMP). O principal risco é que podem ser usados 
para obter informações acerca de sua rede em uma preparação para 
um ataque posterior. 
WORLD WIDE WEB (WWW)
Os principais riscos estão ligados à sua incrível fl exibilidade, o que torna 
qualquer controle de acesso bastante inefi caz e, às vezes, impossível de ser 
efetuado. Em outras palavras, facilita igualmente a vida do usuário como do 
possível atacante. 
Além disto, não podemos desprezar o provável grande desperdício 
de tempo útil dos funcionários e outros usuários das organizações, em 
função de acesso a sites com conteúdo sem qualquer relação com as 
atividades relacionadas às tarefas dessas pessoas (pornografi a, jogos, 
coleta de músicas, vídeo, terrorismo, atividades ilegais, etc.). Isso 
também resulta em um provável desperdício de largura de banda.
Sistemas de ArQuivos na Rede
Os softwares de rede têm à sua disposição diversas ferramentas as 
quais permitem que os computadores ligados à rede possam compartilhar 
arquivos, ou seja, trabalhar com arquivos que estão fi sicamente em outros 
computadores.
Os softwares de 
rede têm à sua 
disposição diversas 
ferramentas as 
quais permitem que 
os computadores 
ligados à 
rede possam 
compartilhar 
arquivos, ou seja, 
trabalhar com 
arquivos que 
estão fi sicamente 
em outros 
computadores.
Os principais riscos 
estão ligados à sua 
incrível fl exibilidade, 
o que torna 
qualquer controle 
de acesso bastante 
inefi caz e, às vezes, 
impossível de ser 
efetuado.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
58
 Gestão da Segurança da Informação
O principal risco é que esses sistemas não foram inicialmente projetados para 
funcionar num ambiente ligado à Internet. Eles foram concebidos para funcionar em 
redes sem comunicação com o mundo exterior. Isso torna tais sistemas extremamente 
vulneráveis ao acesso não autorizado a arquivos críticos.
Segurança nas Redes
Com todos os tipos de riscos que foram mencionados anteriormente, podemos 
entender porque não existe rede totalmente segura e só há uma rede imune a 
ataques externos, a que não tem conexão com o mundo exterior. Ex.: redes que 
controlam os sistemas de armas nucleares das grandes potências militares. 
Não há como garantir segurança absoluta em qualquer tipo de rede com 
acesso ao público, principalmente se estiver conectada à Internet. Nem mesmo em 
redes fechadas, pois sempre haverá um percentual de usuários mal intencionados 
querendo obter vantagens com os recursos de sua rede. 
A Segurança nas Redes Internas
Nas redes internas, baseadas principalmente nas plataformas de mainframes, 
o acesso costuma ser rigidamente controlado por meio de softwares de segurança, 
como, por exemplo, o RACF e o Top Secret, em ambientes IBM. Esses softwares 
têm recursos para confi gurar praticamente qualquer tipo de acesso ao ambiente 
interno, desde transações e queries on-line até bancos de dados. 
A integração da plataforma PC com a plataforma mainframe, bem como o 
uso TCP/IP e de serviços Internet nas redes internas (Intranet), fi zeram com que 
os riscos à segurança das redes internas aumentassem muito.
Se a rede não tiver conexão com o ambiente externo, o software de rede 
deve atender pelo menos os seguintes requisitos básicos: 
 
• Identifi cação e autenticação de usuários; 
• Administração da rede; 
• Controle sobre recursos; 
• Controle das atividades de usuários; 
• Controle das interações entre usuários e recursos.
59
A seguir, vamos conhecer alguns ataques que atingem as redes conectadas a 
redes públicas.
Acesso não Autorizado
Este é o tipo mais comum de ataque a um ambiente de 
informações. Nele, os atacantes conseguem usar seu equipamento. 
As formasde acesso não autorizado são inúmeras, mas a maioria 
pode ser contida por um esquema de identifi cação e autenticação de 
usuários através de senha.
Associados ao acesso não autorizado encontram-se alguns 
termos que se tornaram comuns entre a população e até mesmo na 
imprensa não especializada. São: os “hackers”, os vírus, o cavalo de 
Troia, a bomba lógica e o alçapão (“trap door”).
Vamos conhecer um pouco mais sobre cada um dos termos mencionados 
anteriormente. 
• Hackers: Normalmente com alto grau de inteligência e capacitação no ramo, 
cujo principal objetivo é conseguir quebrar barreiras de acesso aos grandes 
sistemas que operam em rede, principalmente na Internet. O risco envolvendo 
“hackers” é crescente, devido não somente à popularização da Internet, mas 
também à constante troca de informações entre os hackers. 
• Vírus: suspeita-se que os primeiros vírus foram obra de empresas 
fabricantes de software, que planejavam proteger seus produtos contra 
cópias não autorizadas. Normalmente, os vírus são raros em mainframes ou 
computadores de grande porte porque os sistemas para estes equipamentos 
são sob medida e adaptados a sua tecnologia. Podem ser classifi cados na 
categoria de vírus: a bomba-relógio, bomba lógica e sua variante, o cavalo de 
Troia e os alçapões (“trap doors” e “backdoors”). 
• Bomba lógica: também conhecido como bomba-relógio. Na maioria dos 
casos, o disparo é realizado pela data do sistema, causando danos ao 
sistema onde foi instalada. Pode ser obra de funcionários ou ex-funcionários, 
descontentes com a empresa. 
• Cavalo de Troia: o nome se deve ao fato de funcionar baseado no mitológico 
cavalo da guerra de Troia. O meio de infi ltração pode ser através de um jogo 
desafi ador e interessante, através de um programa similar aos sistemas de 
captação e verifi cação de senhas em estações de trabalho de redes. Enquanto 
Este é o tipo 
mais comum 
de ataque a um 
ambiente de 
informações. 
Nele, os 
atacantes 
conseguem 
usar seu 
equipamento.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
60
 Gestão da Segurança da Informação
capturar informações valiosas como a senha do usuário, o sistema pode 
estar enviando essa e outras informações ao seu autor e, ainda, realizando 
operações não autorizadas no sistema. 
• Alçapão: modo de acesso ao sistema que, de outra forma, não é permitido. 
Seu funcionamento é baseado nas passagens secretas dos castelos 
medievais. São também chamados de “backdoors“ ou “trap doors”.
 
Atualmente, a Internet é a principal porta de entrada para acesso não 
autorizado. O controle de acesso nos dois sentidos deve ser rígido para redes 
interligadas à Internet, principalmente no tráfego de fora para dentro.
Notícia publicada em 10 de agosto de 2012, no mundobit, por 
Renata Mota, sobre o acesso não autorizado. 
Acesso não autorizado
A Blizzard Entertainment (criadora e administradora das franquias 
Diablo III, Starcraft II e World of Warcraft) informou que houve um 
acesso não autorizado a dados de contas do serviço Battle.net. O 
acesso inclui endereços associados a contas Battle.net em todas 
as regiões, exceto China. Além dos endereços, outros dados foram 
capturados de contas associadas à região Norte Americana (que 
geralmente inclui jogadores da América do Norte, América Latina, 
Austrália, Nova Zelândia e do Sudeste da Ásia), incluindo versões 
criptografadas de senhas (não as próprias senhas), respostas à 
pergunta de segurança e dados associados a autenticadores por 
celular e autenticadores discados. A Blizzard ressalta que não acredita 
que estas informações por si só sejam sufi cientes para obter acesso a 
contas Battle.net. Também não há indicação de que dados de cartões 
de crédito e outros dados de formas de pagamento foram acessados 
ou afetados. Porém a Blizzard recomenda que jogadores mudem sua 
senha Battle.net e quaisquer senhas semelhantes como uma medida 
de precaução. Ao descobrir o acesso não autorizado a Blizzard 
tomou medidas imediatas para interromper a invasão e notifi cou as 
autoridades específi cas. As investigações prosseguem e a Blizzard 
continua trabalhando com as autoridades e profi ssionais de segurança. 
Fonte: Disponível em: <http://blogs.ne10.uol.com.br/
mundobit/2012/08/10/blizzard-sofre-acesso-nao-autorizado-a-
dados-de-contas-battle-net/>. Acesso em: 10 nov. 2012 
61
Daniel OF SERVICE (DoS) – 
ImPedimento de uso do EQuiPamento
Neste tipo de ataque, o intruso faz com que seu equipamento fi que tão 
ocupado que você não consiga ter acesso a ele ou faz com que seus principais 
serviços se tornem indisponíveis. Esse tipo de ataque frequentemente vem de 
pessoas que não gostam da organização ou das pessoas responsáveis 
por ela.
Normalmente, esse tipo de ataque é aplicado como último recurso 
para causar danos à organização, quando o atacante não conseguiu 
acesso à rede. É importante observar que o atacante não consegue 
nenhum benefício direto com esse tipo de ataque.
RouBo de Informações
É o tipo de ataque mais lucrativo para os atacantes. Normalmente, é a 
sequência lógica de um acesso não autorizado. Em grande parte das vezes, 
a vítima nem mesmo percebe o roubo, pois o atacante pode usar táticas para 
apagar os rastros de sua ação.
É possível proteger-se contra o roubo de informações através de diversas 
ferramentas, principalmente de barreiras tipo Firewall. Entretanto, Firewalls não 
oferecem proteção contra atacantes que têm direito de acesso à sua rede, nem 
impedem o roubo de informações que estão transitando pela rede (sniffi ng).
Seguem, abaixo, dados de um fato referente ao roubo de informações, 
publicado na INFO online.
Dados de 32 mil americanos são roubados na web
Quinta-feira, 10 de março de 2005
No terceiro caso do roubo de informações pessoais de cidadãos 
americanos em pouco mais de um mês, o banco de dados fi nanceiro 
e de negócios LexisNexis admitiu essa semana ter identifi cado “vários 
incidentes de acesso possivelmente fraudulento” às informações de 
cerca de 32 mil americanos. 
Esse tipo de 
ataque é aplicado 
como último recur-
so para causar da-
nos à organização, 
quando o atacante 
não conseguiu 
acesso 
à rede.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
62
 Gestão da Segurança da Informação 
Os dados pessoais e senhas estavam armazenados nos 
sistemas da Seisint, adquirida em setembro do ano passado pela 
LexisNexis. “Informamos as autoridades e estamos colaborando 
ativamente nas investigações desses incidentes. Também estamos 
ajudando os clientes nos procedimentos de segurança e no 
monitoramento de seus créditos”, disse a empresa em comunicado. 
Assim como a ChoicePoint, que sofreu um grande roubo 
de dados em fevereiro, a LexisNexis vende informações de 
consumidores americanos a lojistas, empregadores e agências 
governamentais. A empresa também tem um grande banco de dados 
de matérias de jornais e revistas e de casos judiciais. A invasão, 
disse, foi descoberta há cerca de dois meses, durante a auditoria 
pós-aquisição dos sistemas da Seisint. 
Entre as informações acessadas indevidamente estão nomes, 
endereços, números de Seguro Social e da licença de motorista. 
“Mas não identifi camos o acesso ao histórico de crédito, informações 
médicas ou fi nanceiras”, garante a LexisNexis, acrescentando que 
“já tomou ou tomará” medidas para aumentar a segurança de seus 
sistemas. Entre essas medidas estão novos padrões de administração 
de senhas e campanhas de segurança junto aos clientes.
Fonte: Disponível em: <http://info.abril.com.br>. Acesso em: 10 nov. 2012. 
TiPos de Atacantes
Já que conhecemos alguns tipos de ataques, vamos conhecer os principais 
tipos de atacantes que podem prejudicar a segurança de informações nas redes 
conectadas a redes públicas.
Divertimento
Grupo formado normalmente por adolescentes que procuram 
penetrar em sistemas a procura de dados interessantes, motivado pelo 
prazer de usar equipamentos alheios ou até por falta do quefazer. 
Esses adolescentes sentem mais atração por sites conhecidos e, 
apesar de normalmente não serem mal-intencionados, podem provocar 
danos por ignorância, na tentativa de apagar seus rastros.
Grupo formado 
normalmente por 
adolescentes que 
procuram penetrar 
em sistemas a 
procura de dados 
interessantes, 
motivado pelo 
prazer de usar 
equipamentos 
alheios ou até por 
falta do que fazer.
63
Vandalismo
Seus alvos preferenciais são sites do governo, polícia, sites de grandes 
empresas ou qualquer site que comercialmente faça sucesso na Internet. 
A destruição causada por este tipo de atacante, como a pichação de uma 
home page na Internet, é facilmente corrigida, porém outras alterações mais sutis 
em suas informações são mais difíceis de serem detectadas e podem causar 
sérios prejuízos fi nanceiros.
ComPetição
Grande parte dos atacantes age por espírito de competição, eles sobem na 
“escala social”, estabelecida entre eles mesmos, com base na quantidade e no 
tipo de sistemas que conseguem penetrar. Este tipo de atacante tem um interesse 
particular por ambientes bem defendidos, famosos ou que tenham algum tipo 
atração.
O principal problema é que este tipo de atacante costuma capturar qualquer 
tipo de informação que consiga para uso posterior e normalmente deixa passagens 
abertas para voltar ao sistema atacado.
Os ataques podem passar despercebidos, só sendo descobertos quando se 
nota algum tipo de lentidão no seu sistema, ou quando algum conhecido envia de 
volta dados secretos seus que estavam circulando fora de sua organização, ou 
quando o atacante é pego pelas autoridades.
EsPionagem
A espionagem usando computadores é um pouco rara ou pouco 
detectada. Esse tipo de atacante visa a lucros, imediatos ou futuros, 
convertendo segredos descobertos em dinheiro. 
Com a entrada de algumas empresas multinacionais no Brasil, 
em algumas regiões do país surgiu espionagem de informações.
A seguir, apresentamos um trecho de um artigo publicado 
na internet referente a um jovem que utilizava Webcam do outro 
computador para espionar uma garota:
A espionagem 
usando 
computadores é 
um pouco rara ou 
pouco detectada. 
Esse tipo de 
atacante visa a 
lucros, imediatos 
ou futuros, 
convertendo 
segredos 
descobertos em 
dinheiro.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
64
 Gestão da Segurança da Informação
Espanha Multa Jovem por Espionagem Via Webcam 
Um estudante foi multado pela Corte espanhola por espionar uma 
jovem por meio de sua webcam, anunciou nesta segunda-feira (28/02) 
a empresa de segurança Sophos. Segundo a Corte de Málaga, o rapaz 
utilizou o cavalo de troia Subseven para monitorar a garota sem seu 
conhecimento e também para espionar conversas online da vítima.
O rapaz, que não foi identifi cado, afi rmou ter escolhido sua 
vítima aleatoriamente em janeiro de 2002 pela internet e, então, 
ativou o cavalo de troia.
Uma vez ativado, o programa conseguia monitorar de maneira 
invisível e-mails, chats e capturar imagens pela webcam da vítima.
A multa aplicada ao estudante foi de três mil euros e ele deverá 
pagar também três euros por dia durante 12 meses. A Corte denunciou 
o estudante por invasão de privacidade e captura ilícita de imagens.
Fonte: Disponível em: <http://info.enter-net.com.br>. 
Acesso em: 20 nov. 2012.
 
Atividades de Estudos: 
Com base nos conteúdos apresentados, responda às seguintes 
questões.
1) Quais os riscos presentes na internet?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
65
2) Quais os tipos de ataques?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
3) Quais os tipos de atacantes?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
Medidas de Proteção
Resumidamente, medida de proteção é ter políticas e procedimentos formais 
de segurança. Nesse contexto, nunca é demais repetir a importância da política e 
das normas de segurança para o sucesso da proteção dos ativos de informação 
de qualquer organização. 
A seguir, vamos conhecer algumas medidas que podem ajudar a diminuir a 
vulnerabilidade das informações na organização.
a) Instalar e Manter Atualizado Um Bom Sistema Antivírus 
Suspeita-se que os primeiros vírus foram obra de empresas 
fabricantes de software, que planejavam proteger seus produtos contra 
cópias não autorizadas. 
Conforme Oliveira (2001), Vírus é um programa, com uma série de 
instruções maldosas para o seu computador executar. Em geral, fi cam 
escondidos dentro da série de comandos de um programa maior.
Suspeita-se que 
os primeiros 
vírus foram obra 
de empresas 
fabricantes de 
software, que 
planejavam 
proteger seus 
produtos contra 
cópias não 
autorizadas.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
66
 Gestão da Segurança da Informação
Atualmente, qualquer usuário de computador sabe que utilizar equipamento 
sem antivírus deixa-o extremamente vulnerável. O vírus de computador está 
presente na nossa vida desde meados do ano 80. 
Os tipos de vírus de computador estão aumentando a cada dia. Vamos ver 
uma tabela que demonstra o crescimento destas pragas.
Tabela 2 – Crescimento de Vírus no Mercado
Ano Quantidade do vírus
1988 20
1991 400
2006 Aproximadamente 10.000
Fonte: O autor. 
Vamos ilustrar com um caso prático que acontece todos os dias em algum 
lugar. Um novo joguinho de computador aparece no mercado e faz sucesso 
imediatamente. Todo o mundo quer tê-lo em seu computador, mas nem todos estão 
dispostos a comprá-lo. Começa, então, uma troca de CDs ou download de sites 
da internet. Depois de instalá-lo, você está pronto para a primeira partida. Quando 
aparece a tela de início de jogo, seu computador de repente para e sua única saída 
é dar CTRL+ALT+DEL. Ao dar o boot novamente, você descobre que o joguinho 
não estava fazendo um convite para iniciar a partida, mas estava formatando o seu 
HD. Esse tipo de ameaça é conhecido como cavalo de Troia. (DIAS, 2000).
Acesse o site http://www.nerdlivre.com/2011/11/os-melhores-
antivirus-pagos-para-2012.html e analise a lista dos 10 melhores 
antivírus do mercado para 2012. Nesta lista você poderá levantar os 
prós e contras de cada software. 
b) Criptografi a 
É de grande importância usar criptografi a para armazenamento e transporte 
de arquivos críticos, autenticação de usuários, assinatura digital e estabelecer 
sessões seguras, como, por exemplo, SSL (source socket layer), SSH (source 
shell), VPN (virtual private network).
A criptografi a é oriunda da necessidade de enviar informações sensíveis, de 
maneira a impedir que uma pessoa não autorizada tenha acesso às informações 
restritas que cruzam uma rede, tornando o conteúdo das mensagens ilegível. 
Dessa forma, a mensagem só pode ser compreendida pelo destinatário pretendido, 
evitandoa leitura dos dados por interceptadores (por intrusos passivos) ou a 
modifi cação dos dados (por intrusos ativos). 
As mais diferentes técnicas de criptografi a possibilitam o disfarce de 
informações de maneira que o intruso não obtenha nenhuma informação com 
base na intercepção. Entretanto, o destinatário precisa ser capaz de recuperar os 
dados originais através dos dados criptografados.
A criptografi a é uma ciência que tem importância fundamental para a 
segurança da informação das organizações e tem as seguintes vantagens:
• Proteger as informações em trânsito;
• Deter alterações de dados;
• Identifi car as pessoas.
Não podemos deixar de mencionar a grande desvantagem da criptografi a: ela 
não impede que um intruso apague todos os dados, estando eles criptografados 
ou não. 
Criptografar é o processo de disfarçar a mensagem. Os processos de 
criptografar e descriptografar são realizados através do uso de algoritmos, 
baseados em funções matemáticas que transformam os textos originais em textos 
cifrados, que não são legíveis.
A cifra de substituição é caracterizada por um esquema que utiliza um 
caractere ou símbolo no lugar do caractere atual (Tabela 3).
Tabela 3 - Exemplo de um texto de cifra de substituição
Tipo de texto Cifra de substituição 
Texto original Enecessariomontarumaredesegura
Texto cifrado BJBCBEEZWSKHKJRZWTHZWBVBEBMTWZ
Fonte: O Autor. 
A criptografi a é oriunda da necessidade de enviar informações sensíveis, de 
maneira a impedir que uma pessoa não autorizada tenha acesso às informações 
restritas que cruzam uma rede, tornando o conteúdo das mensagens ilegível. 
Dessa forma, a mensagem só pode ser compreendida pelo destinatário pretendido, 
evitando a leitura dos dados por interceptadores (por intrusos passivos) ou a 
modifi cação dos dados (por intrusos ativos). 
As mais diferentes técnicas de criptografi a possibilitam o disfarce de 
informações de maneira que o intruso não obtenha nenhuma informação com 
base na intercepção. Entretanto, o destinatário precisa ser capaz de recuperar os 
dados originais através dos dados criptografados.
A criptografi a é uma ciência que tem importância fundamental para a 
segurança da informação das organizações e tem as seguintes vantagens:
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
68
 Gestão da Segurança da Informação
Acesse o site http://www.youtube.com/watch?v=ajniLnQTabw e 
assista a uma aula específi ca sobre a importância da criptografi a. 
c) Chave Compartilhada (Algoritmo Simétrico) 
Chave compartilhada é um método de criptografi a que utiliza o mesmo valor de 
chave para codifi car e decodifi car. Nesse caso, considera-se que a chave secreta 
foi enviada para o destino de forma segura. Uma das desvantagens deste tipo de 
criptografi a é que o destino deve ter a chave, isto quer dizer que você deve ter um meio 
seguro para enviar a chave utilizada para criptografar e descriptografar as mensagens.
Figura 6 – Chave Compartilhada
Fonte: O Autor. 
Acesse o site http://cartilha.cert.br/criptografi a/ e analise a cartilha 
que aborda a segurança na internet, relacionando a importância da 
criptografi a.”
69
CHave PÚBlico/Privada (Algoritmo 
AssimÉtrico)
Chave público/privada utiliza duas chaves para realizar o processo de 
criptografi a, uma é chave pública e a outra chave privada. A chave pública é 
utilizada para criptografar o texto e a chave privada é utilizada para descriptografar 
para o texto original. Nesse processo, a chave pública criptografa o texto, mas 
não pode descriptografá-lo. Nesse caso, somente a chave privada é a que pode 
descriptografar o texto para o formato original.
Como a chave pública não pode comprometer o texto criptografado, ela pode 
ser distribuída sem preocupação. Mas, afi nal, qual é utilidade de se ter duas chaves? 
Você pode distribuir a chave pública para seus amigos para que possam criptografar 
as mensagens e enviar a você. Você, como é único que tem a chave privada, poderá 
descriptografar o conteúdo e nenhuma pessoa terá acesso ao conteúdo além de você.
Figura 7 – Chave Público/Privada
Fonte: O autor.
Assinatura Digital
As assinaturas digitais e algoritmos de Hash são partes do 
método de comunicação seguro. Eles oferecem integridade de dados 
e autenticação. Resumidamente, as assinaturas digitais oferecem 
garantia de que a informação veio de certo indivíduo ou entidade. 
Esta autenticação é feita por criptografi a. 
As assinaturas 
digitais e algoritmos 
de Hash são 
partes do método 
de comunicação 
seguro. Eles 
oferecem 
integridade 
de dados e 
autenticação. 
Resumidamente, 
as assinaturas 
digitais oferecem 
garantia de que a 
informação veio 
de certo indivíduo 
ou entidade. Esta 
autenticação é feita 
por criptografi a.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
70
 Gestão da Segurança da Informação
Conforme Dias (2000), a assinatura digital é um conjunto de mecanismos 
que podem prover serviços de não republico, de autenticação da origem ou de 
integridade. É constituído de um procedimento de assinatura propriamente dita e 
outra de verifi cação de assinatura, permitindo a proteção das partes envolvidas na 
comunicação quanto à violação da autenticidade de uma delas e da integridade 
da mensagem.
Vamos usar o seguinte exemplo para explicar como funciona a assinatura 
digital:
O texto de uma mensagem é verifi cado e nesta verifi cação é gerado o 
número 25, que é calculado de tal forma que se somente uma letra do texto 
enviado for alterado, no mínimo 50% dos dígitos do número mudam também. Este 
número será enviado junto com a mensagem, mas será criptografado com chave 
pública. Quem receber a mensagem e que tenha chave pública vai verifi car o 
texto da mensagem novamente e gerar um número, se este número for igual ao 
que acompanha a mensagem, então a pessoa que remeteu o e-mail é quem diz 
ser. Se alguém mudar algo na mensagem, os números não serão mais iguais, 
mostrando que a mensagem foi modifi cada por alguém. Então, podemos confi rmar 
que se você receber uma mensagem criptografada com uma chave que apenas 
outra pessoa tem, então, ela é dessa pessoa.
Um protocolo comum de autenticação utilizado nas implementações de 
assinaturas digitais é o Kerberos. Outro protocolo usado para assinar documentos 
de texto original é o Messagen Digests. Este método baseia-se em uma função hash 
unidirecional, denominada message-digest. A ideia por trás de um hash criptográfi co 
é mapear uma longa mensagem em um pequeno número de comprimento fi xo. 
Instalar e Manter Sistemas de 
FIREWALL
O conceito de fi rewall está ligado às paredes internas de uma 
construção que impedem que o fogo se propague de uma sala para 
outra da construção. Fundamentalmente, um sistema de fi rewall tem 
três objetivos principais: 
• Restringir o acesso lógico de pessoas a ambientes controlados; 
• Impedir que eventuais atacantes cheguem muito perto das 
defesas internas; 
• Impedir que as pessoas passem por um ponto controlado sem que tenham 
autorização.
O conceito de 
fi rewall está 
ligado às paredes 
internas de uma 
construção que 
impedem que o 
fogo se propague 
de uma sala 
para outra da 
construção.
71
Normalmente, um sistema de fi rewall é instalado no ponto de interligação 
de uma rede interna com a Internet. Todo o tráfego, nos dois sentidos, tem que 
passar por esse ponto e, dessa forma, deve atender aos requisitos da política de 
segurança da instalação, fi sicamente implementada no sistema de fi rewall.
Figura 8 – Firewall
Fonte: O autor.
Ele também pode ser um foco de decisões sobre segurança. Assim, pode-se 
centralizar todas as decisões de segurança sobre tráfego de pacotes em cima de 
um sistema de fi rewall, que passa a funcionar como uma guarita no ponto em que 
a rede se interliga com a Internet.
O uso deste sistema pode forçar uma política de segurança, fazendo com que 
somente atividades “aprovadas” sejam autorizadas pelo fi rewall. Com isto, é possível:• Filtrar pacotes por regras; 
• Proibir o tráfego de fora; 
• Permitir algum tráfego de dentro para fora da rede protegida; 
• Estabelecer “gateways” de aplicações.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
72
 Gestão da Segurança da Informação
Figura 9 – Funcionalidade de Firewall
Fonte: O autor.
Usuários mal-intencionados: Um fi rewall não pode proteger sua rede de 
usuários devidamente autorizados que queiram copiar dados sensíveis e levar para 
fora de sua organização. Além disso, se o atacante estiver dentro do perímetro de 
proteção do fi rewall, ou seja, dentro de sua rede interna, o fi rewall nada pode fazer.
Conexões alternativas: Um fi rewall nada pode fazer se houver outras 
conexões à Internet ou para redes de terceiros fora de seu perímetro de proteção. 
Essas conexões caracterizam o que podemos chamar de “portas dos fundos”.
Ameaças novas: Se a confi guração de seu fi rewall foi efetuada de forma a 
enfrentar todas as ameaças conhecidas em determinada época, ameaças novas, 
surgidas depois de sua confi guração não serão barradas (exceto, é claro, se 
formos capazes de reconfi gurar o fi rewall em tempo hábil).
Vírus: O fi rewall não tem essa função, embora se possa associar ferramentas 
de antivírus com ferramentas de fi rewall para serem instaladas no mesmo 
ambiente. O ideal é ter proteção antivírus principalmente por equipamento, ou 
seja, em cada host de sua rede.
73
Um fi rewall, como qualquer outra ferramenta de segurança, pode ter falhas 
ainda desconhecidas de seu fabricante, mas já descobertas por algum invasor 
que pretenda penetrar na rede de sua organização. Daí a importância de manter o 
sistema de fi rewall sempre atualizado.
Um fi rewall (chamado também “para-fogo”) é um sistema que 
permite proteger um computador ou uma rede de computadores 
das intrusões que provêm de uma rede terceira (nomeadamente 
da Internet). O fi rewall é um sistema que permite fi ltrar os pacotes 
de dados trocados com a rede, trata-se, assim, de uma ponte que 
comporta, no mínimo, as interfaces seguintes: uma interface para a 
rede a proteger (rede interna); uma interface para a rede externa. 
Instalar e Manter Sistemas de 
Detecção 
de Intrusão
Sistemas de detecção de intrusão (IDS - Intrusion Detection Systems) são 
ferramentas de segurança que se propõem a detectar uma série de ataques 
efetuados através de redes de computadores. São ferramentas complementares aos 
sistemas de fi rewall, pois possibilitam detectar ataques originados na rede interna. 
IDS é um elemento importante dentro do arsenal de defesa da organização. 
Além de ser crucial para a segurança interna, o IDS pode detectar ataques que 
são realizados por meio de portas permitidas e que, portanto, não podem ser 
protegidas por fi rewall.
Um IDS trabalha como um sensor e alarme contra as invasões, detectando os 
intrusos baseado em algum tipo de conhecimento, como assinatura de ataques, 
ou em desvios de comportamento.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
74
 Gestão da Segurança da Informação
Figura 10 – Sistema de Detecção de Intrusão
Fonte: O autor.
Os tipos de detecção de intrusos realizados por IDS dependem de alguns 
fatores:
• Tipo de IDS:
 – Baseado em Host: Monitora o sistema com base em informações de arquivos 
de logs ou de agentes de auditoria. Neste tipo de IDS, é possível monitorar 
acessos e alterações em importantes arquivos do sistema, modifi cações 
nos privilégios dos usuários, processos do sistema, uso da CPU. 
 – Baseado em rede: Monitora o tráfego do segmento da rede. A detecção 
é realizada com a captura e análise dos cabeçalhos e conteúdos dos 
pacotes, que são comparados com padrões ou assinaturas conhecidas.
• Metodologia de detecção:
 – Knowledge-Based intrusion Detection: As detecções são realizadas com 
fundamento em uma base de dados com informações sobre ataques 
conhecidos, semelhante ao de um antivírus, no qual o IDS procura por um 
padrão ou uma assinatura de ataque que esteja na base de dados. 
 – Behavior-Based intrusion Detection: Esta metodologia tenta detectar 
intrusos através de desvios de comportamentos dos usuários ou dos 
sistemas. O modelo de comportamento normal, defi nido de diversas 
maneiras, é comparado com a atividade em andamento. Qualquer 
comportamento diferente do padrão é considerado intrusão.
75
• Posicionamento dos sensores: Os sensores podem ser usados de diferentes 
maneiras, as quais refl etem o grau de monitoramento do ambiente.
 – SPAN (Switched Port Analyzer) e hubs: portas SPN de switches ou portas 
de hubs podem ser usadas para que os sensores sejam habilitados.
 – Modo TAP: os sensores são inseridos em segmentos de rede, mas como 
uma extensão da rede.
 – Modo Inline: o IDS posiciona-se fi sicamente no caminho do fl uxo da 
informação, com o tráfego passando pelo sistema.
 – Modo Clustering: permite o monitoramento de diversos segmentos de 
rede, com todos os tráfegos sendo agregados em um único stream de 
dados.
 – Múltiplas interfaces: um sensor atuando em diferentes segmentos de rede.
• Localização do IDS na rede: O IDS pode ser utilizado em diversas localidades 
de rede da empresa, pois cada posição signifi ca um tipo de proteção 
específi ca. Quando o IDS fi ca localizado antes do fi rewall, a detecção é 
considerada simultânea ao ataque, mas quando o IDS fi ca localizado depois 
do fi rewall, a detecção passa a ser de intrusões, uma vez que o hacker já 
passou pelo fi rewall.
Acesse o site <http://www.seginfo.com.br/sistemas-de-deteccao- 
de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-
softwares-open-source/> e leia o artigo intitulado “Sistemas de 
Detecção de Intrusões (IDS – Intrusion Detection Systems) usando 
unicamente softwares Open Source”. 
Categorias
NIDS (Network Intrusion Detection System): Sistemas que monitoram 
os pacotes (sniffi ng) que passam por um segmento de rede, procurando 
por assinatura de ataques. Em casos extremos, algumas ferramentas 
dessa natureza são capazes de reconfi gurar o fi rewall dinamicamente, na 
eventualidade de um ataque.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
76
 Gestão da Segurança da Informação
Uma característica muito importante do NIDS é a sua capacidade de detectar 
ataques na rede em tempo real.
SIV (System Integrity Verifi ers): Monitoram tentativas de acesso não 
autorizado aos arquivos críticos do sistema (ex.: registro de confi guração do 
Windows) ou percebem quando um usuário comum assume privilégios de 
administrador (root). Em caso de ataque, essas ferramentas são capazes de: 
gerar alertas para os administradores, recuperar a confi guração original dos 
arquivos críticos e registrar as ocorrências. Ex.: CyberCop Monitor.
LFM (Log File Monitors): Monitoram os registros de ocorrências (logs) dos 
serviços de rede a procura de assinaturas de ataques. Ex. Swatch.
Deception Systems (honeypots, decoys, fl y-traps): O objetivo principal 
é emular serviços e hardwares bem conhecidos, servindo de armadilha para 
eventuais atacantes. Enquanto o intruso ataca o ambiente falso, sua rede ainda 
está protegida e os administradores podem ser alertados do problema para 
tomarem providências. Ex.: CyberCop Sting.
Atividades de Estudos: 
1) Descreva as medidas de proteção.
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
2) Qual o objetivo de um sistema fi rewall?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
3) O que se espera de um sistemade Firewall?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
4) O que não se espera de um sistema de Firewall?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
5) Como manter e instalar um bom sistema antivírus?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
Algumas Considerações
Apesar de toda a ênfase que se dá aos ataques causados por hackers, 
estudos recentes demonstram que mais da metade dos incidentes envolvendo 
quebra de segurança em ambientes de informações têm como causadores 
usuários devidamente autorizados, porém ignorantes ou mal treinados.
É também comum que, acidentalmente, funcionários de organizações 
destruam seus próprios dados ou os distribuam pelo mundo inteiro (via Internet). 
Esse tipo de incidente não pode ser evitado por qualquer medida de segurança, 
pois está além da previsão. Portanto, a Internet vem se consolidando cada vez 
mais como a principal fonte de acesso ao patrimônio da comunidade mundial 
humana, seja através do compartilhamento de informações e entretenimento seja 
através da difusão de conhecimento, representando, dessa maneira, o ícone de 
maior expressividade de comunicação em nossa era: comunicação instantânea, 
permitindo a expressão da individualidade, e, ao mesmo tempo, a ausência de 
privacidade. Sendo assim, a melhor forma de minimizar tais incidentes é dar um 
bom treinamento a seus usuários e ter uma política de segurança que só permita 
o acesso a dados críticos a quem realmente os usa para desempenhar suas 
funções. No próximo capítulo, vamos estudar a importância da ética da informação 
e a elaboração de uma política de segurança.
RISCOS ENVOLVENDO INFORMAÇÕES Capítulo 3 
78
 Gestão da Segurança da Informação
ReferÊncias 
DAVENPORT, T. H.; PRUSAK, L. Conhecimento Empresarial: como as 
organizações gerenciam o seu capital intelectual. Rio de Janeiro: Campus, 1998.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de 
Janeiro: Excel Books, 2000.
FONTES, Edison. Segurança da Informação. São Paulo: Saraiva, 2006.
IMONIANA, Onome J. Auditoria de Sistemas de Informação. São Paulo: Atlas, 
2005.
KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet. 
São Paulo: Addison Wesley, 2003.
MONTEIRO, Emiliano S. Segurança no Ambiente Corporativo. Florianópolis: 
VisualBooks, 2003.
NAKAMURA, Emilio T.. GEUS, Paulo L. Segurança de Redes. São Paulo: 
Editora Futura, 2003.
NORTHCUTT, Stephenet al. Desvendando Segurança em Redes. Rio de 
Janeiro: Campus, 2002.
NORTHCUTT, Stephen; JUDY, Novak; MCLACHLAN, Donald. Segurança e 
Prevenção em Redes. São Paulo: Berkeley, 2001.
OLIVEIRA, Wilson J. Segurança da Informação Técnicas e Soluções. 
Florianópolis: Bookstore, 2001.
REZENDE, Denis Alcides; ABREU, Aline França. Tecnologia da informação: 
aplicada a sistemas de informação empresariais. São Paulo: Atlas, 2006.
VELLOSO, Fernando de Castro. Informática: conceitos básicos. Rio de Janeiro: 
Campus, 1999.
CAPÍTULO 4
Administração e Organização 
da Segurança da Informação
A partir da perspectiva do saber fazer, neste capítulo você terá os seguintes 
objetivos de aprendizagem:
  Defi nir Administração e Organização da segurança da Informação.
  Entender Política de Segurança e Planos de Contingência.
  Compreender os principais aspectos das Normas e Padrões de segurança.
  Elaborar uma Política de Segurança.
80
 Gestão da Segurança da Informação
81
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
ConteXtualização
Ética e segurança são pilares essenciais às organizações. Atualmente, 
eventos sobre escândalos envolvendo a segurança de informação ganharam 
destaque na mídia. Quando o comportamento de alguns indivíduos pode destruir 
empresas de bilhões de dólares, o valor da ética, bem como da segurança 
tornam-se evidentes.
A privacidade é um dos maiores problemas enfrentados pelas empresas. 
A privacidade é o direito de ser deixado sozinho quando você quiser, além 
de controlar seus próprios bens pessoais. Portanto, a privacidade está 
relacionada à confi dencialidade, que signifi ca a garantia de que as mensagens 
e informações estarão disponíveis somente para aqueles que são autorizados 
a analisa-las. (Figura 11). 
Figura 11 – Exemplifi cação do ciclo da segurança da 
informação e sua importância para a organização
Fonte: Disponível em: <http://diegoapontes.wordpress.com/2010/11/03/
ciclo-da-seguranca-da-informacao/>. Acesso em: 02 dez. 2012. 
82
 Gestão da Segurança da Informação
Ética da Informação 
A ética da informação considera as questões éticas e morais decorrentes 
do desenvolvimento e utilização das tecnologias de informação, além da criação, 
coleta, duplicação, distribuição e processamento da informação em si. Os indivíduos 
determinam como utilizar essa informação e como ela os afeta. Como os indivíduos 
se comportam em relação aos outros e como lidam com a informação e a tecnologia 
são questões infl uenciadas pela ética de cada um deles. A Figura 12 apresenta 
exemplos de usos eticamente questionáveis de tecnologia da informação.
Figura 12 - Exemplifi cação de usos questionáveis da informação
Uso eticamente questionável da tecnologia da informação
Indivíduos copiam, utilizam e distribuem softwares.
Funcionários pesquisam bases de dados organizacionais para obter informações pessoais e 
corporativas confi denciais.
Organizações coletam, compram e usam informações sem checar sua validade ou precisão.
Indivíduos criam e disseminam vírus que causam problemas para aqueles que usam e fazem 
manutenção de sistemas de TI.
Indivíduos invadem sistemas de computadores para roubar informações confi denciais.
Funcionários destroem ou roubam informações confi denciais da empresa, como diagramas 
esquemáticos, anotações, listas de clientes e relatórios. 
Fonte: Baltzan e Phillips (2012).
Sendo assim, você pode perceber que a segurança de informações visa 
a garantir integridade, confi dencialidade, autenticidade e disponibilidade das 
informações processadas pela organização (Figura 13). 
Figura 13 - Sistema gerencial com os três componentes da segurança da 
informação
Fonte: Disponível em: <http://www2.apcer.pt/index.
php?cat=64&item=78&hrq=>. Acesso em: 02 dez. 2012.
• Assegurar que a informação é acessível somente 
por aqueles devidamente autorizados
• Salvaguarda a veracidade e complementariedade da 
informação bem como os seus métodos de processamento
• Assegurar que pessoas devidamente autorizadas tenham acesso à 
informação e aos bem associados sempre que necessário
Confi dencialidade
Integridade
Disponibilidade
83
A segurança de informações é considerada um item que tem ligação direta 
com a funcionalidade e a produtividade quando se fala de uso de tecnologia. Em 
uma empresa, a efi ciência e efi cácia aumentam a produtividade e o poder da 
empresa em um mundo corporativo, no entanto, a vulnerabilidade das informações 
pode representar grandes prejuízos. 
Quando nos referimos à segurança, devemos sempre pensar que para novos 
ataques sempre há novas respostas como defesa. Isso, consequentemente, 
leva a um desenvolvimento de novos ataques e, com isso, vamos ter um ciclo 
formado, um processocontínuo. Isso demonstra que o processo de segurança de 
informações deve ser contínuo e evolutivo.
A integridade, a confi dencialidade e a autenticidade de informações estão 
intimamente relacionadas com os controles de acesso. Em geral, a segurança de 
informação tem os seguintes segmentos de atuação: 
• A proteção física de materiais e de pessoas;
• A preservação dos itens patrimoniais;
• A prevenção de acidentes nos sistemas operacionais e logísticos;
• A preservação da confi dencialidade de ativos tangíveis e intangíveis.
Sarah Schupp, fundadora da University Parent.com, contratou 
cinco recém-formados ao longo do ano de 2011 – que ela rapidamente 
demitiu. Um foi dispensado por comentários impróprios no ambiente 
de trabalho, outro fez cópias inadequadas de arquivos da empresa. 
A outra passava horas on-line em sites de namoro. Com isso, você 
percebe a importância da palavra ética no ambiente profi ssional. 
Administração da Segurança
A administração da segurança tem grande importância dentro da organização 
e, em geral, pode ser enfocada segundo 4 fases. Segue, abaixo, um detalhamento 
de cada fase:
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
84
 Gestão da Segurança da Informação
a) Fase 1 – Planejamento
Nesta fase serão feitas todas as etapas necessárias para planejar a 
administração da segurança. Para melhor entendimento, vamos subdividir a fase 
em várias etapas:
• Defi nição das responsabilidades: Serão defi nidas as responsabilidades de 
cada membro da empresa, especialmente quanto se fala de segurança.
• Defi nição da política de segurança: Nesta etapa serão defi nidos itens de 
política de segurança, observando os seguintes detalhes:
 – Ser documentada;
 – Estabelecer padrões para as atividades de segurança;
 – Conter defi nições claras; 
 – Estabelecer formalmente as responsabilidades do pessoal; 
 – Estabelecer as relações entre as atividades de segurança e as atividades 
operacionais.
• Realização de análise de riscos: Já que o risco é um dos fatores importantes 
quando se fala de segurança, precisamos ter uma série de cuidados 
para levantar e analisar os riscos presentes na organização. Para isso, na 
administração de segurança devemos observar os seguintes itens:
 – Identifi cação das ameaças e vulnerabilidade dos ativos de informática; 
 – Quantifi cação do risco, através de algoritmo matemático.
• Construção de normas e planos de segurança: Nesta etapa devemos 
preocupar-nos com a construção das normas que devem permanecer na 
organização. As normas devem ter foco direto com segurança, pois é com 
elas que vamos confeccionar o plano de segurança.
b) Fase 2 – Operacionalização
Após o planejamento e a defi nição das normas, devemos preocupar-nos 
com a operacionalização do plano de segurança. Para isso, devemos observar 
os seguintes itens:
85
• Análise e utilização dos planos de segurança: Nesta etapa devemos 
iniciar a fase de operacionalização com uma análise prévia dos planos 
já confeccionados anteriormente e dar início a sua utilização. Para tanto, 
devemos observar os seguintes itens:
 – Avaliação de fraquezas, ameaças, vulnerabilidade, agentes agressores, 
perímetro de proteção, medidas de segurança: é importante detalhar as 
ameaças que podem prejudicar a aplicação das normas e o plano de 
segurança na organização.
 – Aplicação de normas e procedimentos de segurança: Neste item vamos 
efetivamente iniciar a aplicação das normas já defi nidas anteriormente.
 – Novas discussões e elaboração de medidas de segurança: Sempre no 
momento da operacionalização surgem novas discussões e ideias. É 
importante verifi car a possibilidade de reaproveitar estas ideias e incluir no 
plano de segurança.
 – Execução do plano de treinamento em segurança: É importante entender 
que o plano de segurança pode ser claro para envolvidos na sua elaboração, 
mas quem não teve contato com as defi nições precisa ser treinado para 
conhecer todas as que estão presentes no plano de segurança.
c) Fase 3 – Acompanhamento
Nesta fase estamos considerando que o planejamento e a operacionalização 
já aconteceram e temos um resultado da aplicação do plano de segurança dentro 
da organização. A fase acompanhamento é de grande importância, já que os planos 
determinados e defi nidos na fase de planejamento podem apresentar falhas durante 
a fase operacionalização e somente com o acompanhamento da aplicação do plano 
vamos descobri estas falhas e tomar providencias para sua correção. Para tanto, 
vamos seguir as seguintes etapas:
• Análise de relatórios operacionais, táticos e estratégicos de segurança: Nesta 
etapa precisamos verifi car todos os relatórios e os dados gerados após a 
operacionalização do plano.
• Discussão das métricas (medidas) dos Indicadores de Qualidade de 
segurança: Obviamente para medir a qualidade de nosso plano precisamos 
ter indicadores que demonstrem se segurança da organização está 
melhorando ou não. Os indicadores podem ser defi nidos baseados em vários 
fatores. Por exemplo, indicador que demonstra quantidade das invasões no 
sistema durante mês. Com este indicador a cada mês poderemos observar 
se a quantidade das invasões está aumentando ou diminuindo.
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
86
 Gestão da Segurança da Informação
• Registrar os eventos ocorridos dando-lhes tratamento estatístico e gráfi co: 
Nesta etapa devemos criar dados estatísticos que facilitem sua análise por 
parte da direção da empresa.
d) Fase 4 - Avaliação
Através da comparação/confrontação de resultados alcançados com os 
objetivos previamente defi nidos, podemos iniciar a fase da Avaliação. Para isso, 
vamos conhecer as 3 etapas desta fase:
• Avaliar ocorrências de insegurança não previstas: Como é possível encontrar 
ocorrências não previstas, é importante estar atento(a), registrar e avaliar 
estas ocorrências, bem como preparar um plano para cobrir as falhas.
• Reavaliar objetivos e procedimentos de segurança: Sempre devem ser 
reavaliados os objetivos de segurança, isto para não sair do foco devido a 
descuido.
• Acompanhar o desenvolvimento tecnológico de segurança.
Política de Segurança
Já entendemos que para realizar a administração de segurança, precisamos 
elaborar uma política de segurança efi ciente e completa. 
Vamos conhecer mais sobre o que é e quais são as características de uma 
política de segurança.
Em resumo, a política de segurança refl ete a preocupação da empresa 
frente à importância da informação, demonstrando comprometimento com a 
segurança desta. Ela é a base para todas as questões relacionadas à proteção da 
informação, desempenhando um papel importante em toda organização.
A política de segurança deve refl etir a própria organização, seguindo sua 
estrutura, sua estratégia de negócios, sua cultura organizacional e seus objetivos. 
Assim, a política de uma organização não pode ser aplicada diretamente em outra 
organização.
Para Dias (2000), a política de segurança é um mecanismo preventivo de 
proteção dos dados e processos importantes de uma organização, que defi ne 
um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos 
87
usuários, internos ou externos. Pode ser usado para defi nir as interfaces entre 
usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos 
sistemas atuais.
Conforme Nakamura e Geus (2003), a política de segurança possui um 
papel fundamental para que os riscos envolvidos com ataques físicos sejam 
minimizados.
A política de segurança deve estar integrada com as políticas institucionais 
relativas à segurança em geral, às metas de negócios da organização e ao plano 
estratégico de informática. 
Figura 14 - Política de Segurança dentro da Organização
Fonte: O autor.
As medidas que decorrem da implantação bem sucedida de uma política de 
segurança podem ser classifi cadas em três categorias:
 
• Redução da probabilidadede ocorrências danosas: Isto não é nada mais do 
que uma prevenção de riscos.
• Redução dos danos provocados por eventuais ocorrências: Este item se 
refere aos danos das ocorrências que já aconteceram. 
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
88
 Gestão da Segurança da Informação
• Criação de procedimentos para se recuperar de eventuais danos: Como 
segurança 100% não existe e há probabilidade de acontecer ocorrência, 
precisamos ter procedimentos que ajudem a recuperar os danos.
Ainda, a política de segurança:
• Deve ser do conhecimento dos funcionários, com ampla divulgação, 
treinamento e conscientização.
• Deve ser considerada uma atividade necessária, aplicada em todos os 
ambientes empresariais, isto quer dizer que todas as partes da empresa 
devem estar envolvidas com segurança.
• Deve retratar as melhores práticas e cuidados com as etapas do ciclo de vida 
da informação.
Para elaborar uma política de segurança é necessário considerar:
• Adoção e implementação de uma política de privacidade: uma 
organização comprometida com atividade on-line ou com e-Business tem 
a responsabilidade de adotar e implementar uma política para proteger a 
privacidade de informações pessoais. As empresas também devem tomar 
medidas que fomentem a adoção e a implementação de políticas efi cazes de 
privacidade.
• Notifi cação e divulgação: uma política de privacidade deve ser fácil de ser 
encontrada, lida e entendida. A política deve indicar claramente:
 – Que tipo de informação está sendo coletada?
 – O uso da informação que está sendo coletada.
 – A possível distribuição dessa informação a terceiros.
 – As opções disponíveis para um indivíduo quanto à coleta, ao uso e à 
distribuição das informações coletadas.
 – Uma declaração de compromisso da empresa com a segurança da 
informação.
 – Quais medidas a organização toma para garantir a qualidade e o acesso 
à informação.
89
• Escolha e consentimento: os indivíduos devem ter a oportunidade de decidir 
a respeito de como as informações pessoais, coletadas on-line, podem ser 
utilizadas para fi nalidades diferentes daquelas para as quais foram coletadas.
• Segurança da informação: as empresas que criam, mantêm, utilizam ou 
divulgam informações pessoais devem tomar medidas adequadas para 
garantir a sua confi abilidade e devem tomar precauções sensatas para 
proteger as informações quanto à perda, à má utilização ou à alteração.
• Qualidade da informação e seu acesso: as empresas devem estabelecer 
processos ou mecanismos adequados para que as imprecisões no material 
de informações pessoais, como conta ou informação de contato, possam ser 
corrigidas. Outros procedimentos para garantir a qualidade da informação 
podem incluir o uso de fontes confi áveis, métodos de coleta, acesso apropriado 
dos consumidores e proteção contra alteração acidental ou não autorizada.
Pesquisa: 82% dos empregados usam notebook 
pessoal no trabalho
Oito em cada dez empregados na América Latina utilizam laptops 
pessoais no local de trabalho. O número faz parte de pesquisa realizada 
pela empresa de segurança ESET. Os notebooks próprios são usados 
por 82% dos entrevistados. Já os smartphones, por 55%. A lista segue 
com os tablets (25%) e MP3 players (17,8%). Conforme especialistas 
da ESET, se a tendência de uso de equipamentos próprios no ambiente 
de trabalho promete aumentar a produtividade e reduzir custos para as 
empresas, por outro lado, cria novos riscos à segurança da informação. 
Entre eles estão a exposição da rede corporativa a malwares, o roubo 
ou extravio de informações sensíveis, ataques de phishing e spam. 
“Esse conceito de os usuários utilizarem seus próprios equipamentos 
no ambiente de trabalho é um caminho sem volta. No entanto, as 
empresas precisam criar políticas no sentido de minimizar riscos 
potenciais à segurança da informação”, diz Camillo Di Jorge, Country 
Manager da ESET Brasil. Para Di Jorge, não se trata de proibir o uso de 
equipamentos pessoais no ambiente profi ssional, mas sim de analisar 
os riscos a que as empresas estão expostas com essa modalidade 
e tenham regras e tecnologias adequadas para evitar que isso abra 
brechas para ataques à segurança e vazamentos de informações.
Fonte: Disponível em: <http://tecnologia.terra.com.br/noticias/0,,OI6323674-
EI15607,00-Pesquisa+dos+empregados+usam+notebook+pes
soal+no+trabalho.html>. Acesso em: 10 nov. 2012.
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
90
 Gestão da Segurança da Informação
O Que Deve Constar na Política de 
Segurança 
Para conhecer melhor o conteúdo da política de segurança, vamos relacionar 
alguns itens que não podem ser esquecidos. Para tanto, a política de segurança 
deve conter diretrizes claras a respeito dos seguintes aspectos:
a) Objetivo da segurança — como existem várias formas de desenvolver 
segurança de informação, os objetivos de segurança variam de acordo com o 
tipo de ambiente e a natureza dos sistemas presentes na organização, como 
exemplo, podemos mencionar sistemas administrativo, fi nanceiro, militar, etc. 
O objetivo da segurança deve explicar de forma rápida e sucinta a fi nalidade 
da política de segurança na organização.
b) A quem se destina — deve defi nir claramente quais as estruturas 
organizacionais às quais se aplica a Política de segurança. Com isso, podemos 
detectar quais setores da empresa serão afetadas com esta implementação.
c) Propriedade dos recursos — deve defi nir de forma clara as regras que 
determinam os diversos aspectos relacionados à propriedade dos ativos de 
informações. Lembrando que informação, mesmo não sendo tangível, faz 
parte do patrimônio da empresa.
d) Responsabilidades — deve defi nir de forma clara quais os tipos de 
responsabilidades envolvidas no manuseio de informações, a quem elas 
devem ser atribuídas e os mecanismos de transferência. 
e) Requisitos de acesso — devem indicar de forma clara quais os requisitos a 
serem atendidos para o acesso aos ativos de informações. 
f) Responsabilização — deve indicar as medidas a serem tomadas nos casos 
de infração às normas. Este item tem grande importância, especialmente 
no período inicial da aplicação da política de segurança, já que pode existir 
resistência e, consequentemente, atos contra novos procedimentos por 
parte dos funcionários ou até mesmo da direção da organização perante as 
mudanças surgidas.
A seguir, vamos conhecer um exemplo de política de segurança.
A expansão da computação em nuvem tem contribuído para a 
melhoria na qualidade e na confi abilidade de serviços oferecidos por 
empresas e governos em países emergentes. A conclusão é do estudo 
Desvendando os benefícios da cloud computing para economias 
emergentes - uma visão política, produzido pelos professores Peter 
Cowhey e Michael Kleeman, da Escola de Relações Internacionais 
e Estudos do Pacífi co da Universidade da Califórnia, San Diego 
(UCSD). Em entrevista, Cowhey, que é PhD em Ciência Política, 
aponta a falta de oferta de conexão banda larga em algumas regiões 
e políticas governamentais que retardam o uso do potencial da nuvem 
como os principais desafi os a serem superados. O estudo avaliou os 
casos da Índia, da África do Sul e do México - no último, a qualidade 
e a confi abilidade dos serviços sociais do governo aumentaram 
consideravelmente, enquanto os custos foram reduzidos, comenta 
o professor. Confi ra a entrevista no http://tecnologia.terra.com.br/
inovacoes-tecnologicas/noticias/0,,OI6354800-EI20540,00-Nuvem+d
emocratiza+o+acesso+a+tecnologias+da+informacao.html
Um EXemPlo de Política de 
Segurança
Lembrando que não existe um modelo padrão ou, em outras palavras, uma receita 
para a montagem da política de segurança, mas com objetivo de exemplifi car, vamos 
ver um modelo básico com resumo de alguns itens presentes na política de segurança.
Objetivo
A política de segurança de informações da organização visaa atender aos 
seguintes objetivos:
1) Aparelhar a organização com um sistema capaz de assegurar a inviolabilidade 
dos ativos de informações.
2) Assegurar a segregação de funções.
3) Garantir a correta utilização do acervo de informações.
A expansão da computação em nuvem tem contribuído para a 
melhoria na qualidade e na confi abilidade de serviços oferecidos por 
empresas e governos em países emergentes. A conclusão é do estudo 
Desvendando os benefícios da cloud computing para economias 
emergentes - uma visão política, produzido pelos professores Peter 
Cowhey e Michael Kleeman, da Escola de Relações Internacionais 
e Estudos do Pacífi co da Universidade da Califórnia, San Diego 
(UCSD). Em entrevista, Cowhey, que é PhD em Ciência Política, 
aponta a falta de oferta de conexão banda larga em algumas regiões 
e políticas governamentais que retardam o uso do potencial da nuvem 
como os principais desafi os a serem superados. O estudo avaliou os 
casos da Índia, da África do Sul e do México - no último, a qualidade 
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
92
 Gestão da Segurança da Informação
4) Garantir a correta utilização do ferramental de tratamento de informações.
5) Garantir a correta utilização do ferramental de segurança. 
Todas as estruturas organizacionais que se utilizem dos recursos de 
informações são obrigadas a seguir as diretrizes desta política como forma de 
gerenciar suas atividades.
Conceitos
1) Política de segurança: Conjunto de diretrizes destinadas a regulamentar o uso 
seguro dos ativos de informações da organização. 
2) Ferramentas: Conjunto de equipamentos, programas, procedimentos e 
demais recursos que possibilitam a implementação da política de segurança.
3) Propriedade dos ativos: Os ativos de informações da organização pertencem 
a ela.
4) Acesso a ativos: A organização permite o acesso de terceiros a seus ativos 
de informações para quem precisar fazer uso destes no desenvolvimento de 
suas atividades.
5) Direito de propriedade: Dentro da organização, defi ne-se como proprietário de 
um ativo o seu criador ou o principal usuário. 
6) Custódia: Defi ne-se a custódia como a responsabilidade de se guardar um 
patrimônio para terceiros. Mas a custódia não permite automaticamente o 
acesso ao ativo, nem o direito de oferecer acesso a outros. 
7) Direito de acesso: Somente o proprietário do ativo, ou pessoa por ele nomeada, 
pode autorizar o acesso a ele. 
8) Controle de acesso: É exercido pela Administração de Segurança. As 
atribuições de controle de acesso podem ser delegadas para administrações 
setoriais e locais para a administração de determinado domínio organizacional 
ou de recursos. 
9) Proteção dos ativos: Os ativos devem receber classifi cação quanto ao grau de 
sensibilidade para os negócios da organização. 
93
10) Responsabilidade: É defi nida como as obrigações e deveres da pessoa que 
exerce determinada função em relação ao acervo de informações. 
Assista ao vídeo http://www.youtube.com/watch?v=oDkpjyIZGzU 
sobre a política da segurança da informação para regulamentar as 
redes sociais. 
Responsabilidades dos funcionários
Todos os funcionários da organização são responsáveis pelas informações de 
que fazem uso e pelo respectivo ferramental de processamento de informações. 
As responsabilidades são classifi cadas em função da posição hierárquica do 
funcionário dentro da organização.
Gerais:
1) Todos os funcionários que acessem ativos de informação da organização 
são responsáveis pela integridade destes. O cumprimento da política de 
segurança é obrigatório. 
2) O não cumprimento ou a recusa em fazê-lo implica sanções disciplinares ou 
trabalhistas cabíveis. 
Das chefi as em Geral:
1) Gerenciar o cumprimento do plano de segurança por parte de seus 
subordinados.
2) Identifi car os desvios praticados e iniciar as medidas corretivas apropriadas.
3) Impedir o acesso de funcionários demitidos ou demissionários aos ativos de 
informações. 
Agora já conhecemos os principais conceitos sobre informação, segurança e 
segurança empresarial, mas precisamos, ainda, entender quais são a formas de 
controle de acesso.
O controle de acesso está relacionado diretamente ao acesso permitido. 
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
94
 Gestão da Segurança da Informação
Sua principal função é garantir que o acesso seja feito somente dentro dos limites 
estabelecidos. O Controle é feito através de mecanismos como lista de acesso, 
senhas, etc.
Acesse o site http://tecnologia.terra.com.br/ e leia notícias do 
mundo da tecnologia. 
Atividades de Estudos: 
1) Descreva as fases da administração da segurança em uma 
organização. 
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
2) O que é política de segurança?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
95
3) O que deve constar na política de segurança?
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
SEGURANÇA MÁXIMA
Thais Aline Cerioni
Não faz muito tempo que Harrison Ford atraía centenas de 
milhares de pessoas aos cinemas do mundo todo graças a um 
chicote, um chapéu, alguns artefatos arqueológicos e todo o carisma 
de Indiana Jones. Cerca de 20 anos depois, o mesmo Ford encarna 
um novo tipo que, aos olhos de Hollywood, pode tornar-se o herói 
do século XXI. No recém-lançado Firewall, o ator também enfrenta 
vilões malvados, passa por situações impensáveis e, no fi m, salva os 
inocentes. O cenário, entretanto, está muito mais próximo da nossa 
realidade do que as cavernas, criptas e pirâmides de Indiana Jones. 
O galã circula por salas de reuniões, datacenters e CPDs, fazendo 
suas peripécias na pele do gestor de segurança de um grande banco.
Você ainda não sabia que poderia ser um herói? Pois vá se 
acostumando com a novidade. A criação de um thriller hollywoodiano 
baseado no dia a dia de profi ssionais de segurança da informação 
parece ser apenas o refl exo do que vem acontecendo na vida real. 
Na mesma medida em que os negócios migram para o ambiente 
virtual, a segurança da informação ganha cada vez maisimportância 
dentro das corporações e os profi ssionais responsáveis pela 
área veem tanto o status quanto a responsabilidade crescerem 
vertiginosamente. 
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
96
 Gestão da Segurança da Informação
Uma das formas mais simples de medir o aumento do valor dado 
ao assunto nas corporações é a quantidade de dinheiro que as áreas 
de TI estão recebendo para investir em segurança corporativa. E, mais 
do que isso, a tendência de aumento no budget para os próximos 
anos. Os resultados do Estudo Global de Segurança da Informação 
2006 – realizado pelas revistas CIO e CSO em parceria com a 
PricewaterhouseCoopers com cerca de sete mil executivos de todo o 
mundo – mostram que 35% das companhias brasileiras entrevistadas 
acreditam que os gastos com segurança devem crescer até 30% no 
próximo ano. Outras 17% preveem aumento acima deste valor, enquanto 
22,4% afi rmam que o montante deve permanecer no mesmo patamar. 
Entretanto, mensurar apenas o investimento pode reduzir a 
importância do movimento de valorização da segurança. Afi nal, 
não há nenhuma novidade no fato de boa parte do orçamento de 
TI ser destinado à aquisição de soluções para proteção de dados e 
sistemas. Paralelamente a isto, porém, as empresas estão passando 
por um período de amadurecimento do conceito de segurança 
corporativa, que deixa de ser vista como uma questão técnica com 
alto consumo de capital para se tornar um tema estratégico capaz de 
defi nir a vida de uma companhia. 
A mudança está em curso e, como em todo momento de 
transição, as formas de cada empresa encarar o assunto variam 
drasticamente, infl uenciadas por uma série de fatores, como a área 
de atuação e a maturidade dos profi ssionais envolvidos. E, enquanto 
para a maior parte das grandes empresas este é o momento para 
aprender a lidar com o tema, o setor fi nanceiro, pela natureza de seu 
negócio, caminha para a excelência. 
“Segurança é fundamental, prioridade para qualquer instituição 
fi nanceira”, defi ne Carlos Eduardo da Fonseca, diretor de TI do ABN 
Amro Real para a América Latina. Fonseca atualmente lidera o comitê 
de segurança do banco, entidade criada há cerca de um ano com o 
objetivo de forjar uma estratégia completa para combate aos riscos aos 
negócios da instituição. Fazem parte do comitê todas as áreas que, 
de alguma maneira, estão ligadas à questão: segurança física, lógica, 
jurídico, compliance, risco e marketing. “Com isso, torna-se possível 
ter uma visão integrada e direcionar ações coordenadas”, garante. 
Para o executivo, o comitê demonstra uma evolução na forma 
como a empresa encara o problema e refl ete uma tendência de 
97
amadurecimento dos bancos brasileiros. Os números do Estudo 
Global de Segurança corroboram sua opinião. Apenas 10% das 
companhias entrevistadas já possuem um comitê multidisciplinar 
dedicado à segurança corporativa. No Brasil, o número passou de 
4,8% em 2005 para 8% este ano. Trata-se de uma ação recente, mas 
que está crescendo bastante. 
Robusta, a estrutura de segurança do ABN conta ainda com 
a fi gura de um CISO (Chief Information Security Offi cer) – cargo 
existente em 41,6% das empresas brasileiras. A posição é ocupada 
por Paulo Martins, que responde pela função em toda a América 
Latina e é o responsável pelas áreas de segurança de dados e de 
gestão de fraudes, reportando diretamente ao CIO, Gustavo Roxo. 
Segundo ele, o banco segue uma política global que tem como base 
as melhores práticas do mercado e que funciona como um piso para 
as iniciativas regionais. “Na verdade, até pelas características do 
país, o Brasil está bem em relação à segurança”, explica o CISO. 
Laércio Albino Cezar, vice-presidente-executivo do Bradesco, 
também acredita na maturidade do setor. “Hoje, já admitimos 
publicamente que há risco, o assunto está sendo tratado com 
franqueza”, diz o VP do Bradesco. “Abrir o jogo signifi ca dizer para 
a sociedade que ele também tem parcela de responsabilidade nesse 
processo.” Fonseca, do ABN, concorda. Para ele, o mercado passou 
por dois momentos importantes que ajudaram a redefi nir a forma 
de encarar a questão. “O primeiro foi durante o CIAB 2005, quando 
a Febraban começou a divulgar os dados de fraudes, e o segundo 
quando o banco Itaú iniciou a campanha em que assume a existência 
dos riscos e convida todos os envolvidos a participar do combate.” 
Assim como acontece no ABN, Laércio garante que a cultura da 
segurança permeia todas as atividades do Bradesco. Apesar de não 
existir a posição de CSO, o tema tem status estratégico e é discutido 
pelo alto nível de executivos da corporação – além de consumir entre 
8% e 10% do 1,46 bilhão de reais que compõe o orçamento de TI 
da instituição. “O banco trabalha no sistema de colegiado, por isso 
não temos cargos como CEO, CIO ou CSO”, explica. Assim, todas 
as decisões relacionadas à segurança da informação são regidas 
pelos comitês de TI. “Além disso, existem os comitês de risco e de 
compliance, que não estão embaixo do departamento de tecnologia, 
mas contam com a participação de um representante da área e 
também discutem temas ligados à segurança”, detalha Laércio. 
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
98
 Gestão da Segurança da Informação
Diferentemente da maior parte das grandes empresas de outros 
segmentos, os bancos demonstram confi ança em seus esquemas 
para controle e proteção dos dados contra ataques ou ações mal-
intencionadas nascidas internamente. “Não tenho notícia de nenhum 
caso, no Brasil, de informações que tenham vazado por meio de 
funcionários. Eles conhecem as limitações que são impostas pelo 
banco”, diz o vice-presidente do Bradesco. Para o setor fi nanceiro, são 
as fraudes externas que realmente causam preocupação e prejuízo. 
Nos demais setores, a palavra de ordem é conscientização, o 
que pode ser visto de forma positiva quando se entende que isto 
mostra a percepção das empresas brasileiras acerca do fato de que 
uma estratégia de segurança bem-defi nida depende não apenas de 
tecnologia, mas, principalmente, de pessoas e processos. “O elo 
fraco é o usuário”, aponta Loic Hamon, CIO da GE do Brasil. A maior 
maturidade das organizações brasileiras nesse sentido confi rma-se 
nos números da pesquisa global. Enquanto, mundialmente, 35,7% 
das empresas já possuem pessoas dedicadas a programas de 
conscientização dos funcionários sobre políticas de segurança; no 
Brasil, são 46,5%. Por aqui, outras 29,7% pretendem criar esse tipo 
de função no próximo ano; planos que se repetem em apenas 26,1% 
das companhias estrangeiras.
Isto não signifi ca, no entanto, que a segurança corporativa já 
seja assunto maduro e bem-resolvido em todas as corporações 
brasileiras. Fabio Faria, diretor corporativo de TI da Votorantim 
Participações (VPar), afi rma que no setor industrial são raros os 
casos em que há um CSO ou um diretor de segurança que responda 
diretamente ao CIO. “Na Votorantim, a segurança está sob a área 
de infraestrutura”, revela. Vagner D’Angelo, gerente de segurança 
corporativa do Grupo Camargo Correa, engrossa o coro sobre a 
imaturidade da gestão de segurança em alguns segmentos do 
mercado. “As empresas, com exceção dos bancos, ainda não dão 
a importância necessária para a questão”, avalia D’Angelo. “Aqui, 
não consigo impedir uma iniciativa por falta de segurança. Quando 
trabalhei em banco, isto era possível”, compara o executivo.
Proveniente da área de segurança física, D’Angelo personifi ca 
uma abordagem da segurança que vem causando polêmica 
entre os profi ssionais da área. Em suas mãos, está a proteção 
física, pessoal e lógica dos ativos do grupo Camargo Correa. “As 
principais vantagens de se ter apenas um gestor de segurança são 
a independência de outras áreas, o aproveitamento de experiências 
99
e a criação de ações integradas”, destaca. Como ponto negativo, 
o executivo apontaa extrema dependência do pessoal técnico, 
devido à falta de formação em tecnologia. 
Não é por acaso que D’Angelo trabalha junto com o CIO 
da holding, Ricardo Castro, para pensar todas as estratégias de 
segurança do grupo. Segundo ele, existe uma comissão de TI que 
se reúne mensalmente e que dedica a primeira hora de cada reunião 
à questão da segurança. “As ações são defi nidas na comissão 
e executadas pelo Centro de Serviços Compartilhados”, detalha 
o executivo, explicando que sua área, como parte do CSC, presta 
serviços para todas as empresas da holding.
Cargos como o de D’Angelo devem tornar-se tendência 
conforme amadurece a visão de segurança dentro das corporações. 
“E é um movimento muito positivo, porque existe uma enorme 
integração entre as áreas em diversos casos”, garante. No entanto, 
muita gente discorda. “Na nossa ótica, não vinga unir segurança 
física e lógica em um só gestor. Uma coisa é proteger contra 
intrusão digital e outra é proteger um ambiente da invasão de 
uma pessoa”, opina Laércio, do Bradesco. Martins, CISO do ABN, 
também não aposta na união das áreas. “Acredito que é necessário 
esse trabalho integrado, mas não necessariamente embaixo do 
mesmo guarda-chuva”, pondera o executivo.
Mas há consenso quando se fala sobre a necessidade de o 
responsável pela segurança seguir os passos do CIO no que diz 
respeito à formação e à postura, ou seja, tornar-se um executivo 
com percepção estratégica do impacto de sua área nos negócios da 
corporação. “Temos de ter uma visão executiva, porque a principal 
função é gerir risco. O olhar técnico, que grande parte dos profi ssionais 
ainda tem, passa a ser um adicional nas empresas mais maduras”, 
entende Jorge Perez, CSO da General Motors para a América Latina. 
Ainda que não seja vista pelo executivo como uma organização 
totalmente madura, a segurança da GM posiciona-se à frente da 
média do setor industrial. A montadora conta com políticas globais 
e uma estrutura composta por um CSO mundial e cinco CSOs 
regionais, além de um responsável por segurança em cada país. De 
acordo com Perez, o relacionamento entre CIO e CSO é direto, sendo 
que ele reporta ao CIO da GM para o Mercosul, Cláudio Martins. 
“Acredito que a área vai sair de TI, mas ainda não há maturidade 
sufi ciente para isto”, avalia.
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
100
 Gestão da Segurança da Informação
Para justifi car o aumento da importância dada à sua área, 
Perez comenta sobre o alto valor da informação para as empresas e, 
consequentemente, os prejuízos fi nanceiros que podem ser gerados 
pela perda destas. “É esta visão de segurança que estamos levando 
ao corpo executivo das companhias para criar uma nova abordagem 
para o assunto”, explica. 
Em segmentos nos quais a relevância da integridade e 
confi dencialidade dos dados ainda não está tão clara para a alta-
direção, cabe ao responsável pela segurança adotar uma postura 
desse tipo para, assim, deixar claro que segurança não é apenas 
um centro de custos. A preparação para lidar diretamente com as 
áreas de negócios e avaliar os riscos levando em conta o impacto de 
determinadas iniciativas nos resultados da empresa será, cada vez 
mais, característica imprescindível para os gestores de segurança.
A tendência, preveem especialistas, é que haja um canal de 
comunicação direta entre o gestor de segurança e a direção da 
empresa. Com isso, a segurança deixará de ser vista pelas áreas 
de negócios como um fi rewall de projetos, ao mesmo tempo em que 
ganhará valor estratégico como gestor de riscos aos quais a empresa 
está exposta. “Nosso objetivo maior deve ser manter a integridade, a 
proteção e a disponibilidade das informações. Quanto mais ortodoxa 
é a área de segurança, menos madura”, aponta Perez, da GM. 
Realmente, tornar-se um herói corporativo a la Harrison Ford não é 
tarefa simples – e ainda não possui uma receita defi nida. Mas está 
claro que as companhias brasileiras e seus líderes de segurança, 
pouco a pouco, tomam consciência da importância da gestão de 
riscos para o sucesso dos negócios.
Fonte: Disponível em: <http://cio.uol.com.br/gestao/2006/11/24/
idgnoticia.2006-11-24.1032813838>. Acesso em: 1º dez. 2012
101
Atividade de Estudos: 
1) Pesquise nos sites sobre a segurança de informação? 
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
 ____________________________________________________
Algumas Considerações
Nossos objetivos neste capítulo estão direcionados para a compreensão 
de como ocorrem os processos para elaboração de uma política de segurança, 
necessários a respeito do uso das tecnologias da informação, como a criação, 
a coleta, a duplicação, a distribuição e o processamento da informação em si. A 
política de segurança determina como a informação pode ser utilizada e ela afeta 
a organização.
Portanto, tratar de informações corporativas confi denciais como um recurso 
valioso refl ete uma boa administração. Formar uma cultura empresarial baseada 
em princípios éticos que os funcionários possam entender e implementar é gestão 
responsável. 
E, nesse sentido, a empresa deve registrar sua política, estabelecendo 
orientações aos funcionários, procedimentos de pessoal e regras de organização 
da informação. Essas políticas defi nem as expectativas dos funcionários sobre as 
práticas e as normas da organização, bem como protegem a organização do mau 
uso dos sistemas de informática e recursos de TI. 
ADMINISTRAÇÃO E ORGANIZAÇÃO DA SEGURANÇA 
DA INFORMAÇÃO
 Capítulo 4 
102
 Gestão da Segurança da Informação
ReferÊncias 
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de 
Janeiro: Excel Books, 2000.
FONTES, Edison. Segurança da Informação. São Paulo: Saraiva, 2006.
IMONIANA, Onome, J. Auditoria de Sistemas de Informação. São Paulo: Atlas, 
2005.
MONTEIRO, Emiliano, S. Segurança no Ambiente Corporativo. Florianópolis: 
Visual Books, 2003.
NAKAMURA, Emilio T.; GEUS, Paulo L. Segurança de Redes. São Paulo: 
Editora Futura, 2003.
NORTHCUTT, Stephen et al. Desvendando Segurança em Redes. Rio de 
Janeiro: Campus, 2002.
NORTHCUTT, Stephen; JUDY, Novak; MCLACHLAN, Donald. Segurança e 
Prevenção em Redes. São Paulo: Berkeley, 2001.
OLIVEIRA, Wilson J. Segurança da Informação Técnicas e Soluções. 
Florianópolis: Bookstore, 2001.