Baixe o app para aproveitar ainda mais
Prévia do material em texto
TECNOLOGIAS APLICADAS AOS SISTEMAS DE SEGURANÇA Professora Esp. Ronie Cesar Tokumoto GRADUAÇÃO Unicesumar Acesse o seu livro também disponível na versão digital. C397 CENTRO UNIVERSITÁRIO DE MARINGÁ. Núcleo de Educação a Distância; TOKUMOTO, Ronie Cesar. Nome do Livro. Ronie Cesar Tokumoto. Maringá-Pr.: Unicesumar, 2019. 168 p. “Graduação - EaD”. 1. Tecnologias. 2. Sistemas. 3. Segurança 4. EaD. I. Título. ISBN 978-85-459-1853-0 CDD - 22 ed. 005.8 CIP - NBR 12899 - AACR/2 Ficha catalográica elaborada pelo bibliotecário João Vivaldo de Souza - CRB-8 - 6828 Impresso por: Reitor Wilson de Matos Silva Vice-Reitor Wilson de Matos Silva Filho Pró-Reitor Executivo de EAD William Victor Kendrick de Matos Silva Pró-Reitor de Ensino de EAD Janes Fidélis Tomelin Presidente da Mantenedora Cláudio Ferdinandi NEAD - Núcleo de Educação a Distância Diretoria Executiva Chrystiano Minco� James Prestes Tiago Stachon Diretoria de Graduação e Pós-graduação Kátia Coelho Diretoria de Permanência Leonardo Spaine Diretoria de Design Educacional Débora Leite Head de Produção de Conteúdos Celso Luiz Braga de Souza Filho Head de Curadoria e Inovação Tania Cristiane Yoshie Fukushima Gerência de Produção de Conteúdo Diogo Ribeiro Garcia Gerência de Projetos Especiais Daniel Fuverki Hey Gerência de Processos Acadêmicos Taessa Penha Shiraishi Vieira Supervisão de Produção de Conteúdo Nádila Toledo Coordenador de Conteúdo Rodrigo Roger Saldanha Designer Educacional Ana Claudia Salvadego Amanda Peçanha dos Santos Projeto Gráico Jaime de Marchi Junior José Jhonny Coelho Arte Capa Arthur Cantareli Silva Ilustração Capa Bruno Pardinho Editoração Matheus Silva de Souza Qualidade Textual Eloísa Dias Em um mundo global e dinâmico, nós trabalhamos com princípios éticos e proissionalismo, não so- mente para oferecer uma educação de qualidade, mas, acima de tudo, para gerar uma conversão in- tegral das pessoas ao conhecimento. Baseamo-nos em 4 pilares: intelectual, proissional, emocional e espiritual. Iniciamos a Unicesumar em 1990, com dois cursos de graduação e 180 alunos. Hoje, temos mais de 100 mil estudantes espalhados em todo o Brasil: nos quatro campi presenciais (Maringá, Curitiba, Ponta Grossa e Londrina) e em mais de 300 polos EAD no país, com dezenas de cursos de graduação e pós-graduação. Produzimos e revisamos 500 livros e distribuímos mais de 500 mil exemplares por ano. Somos reconhecidos pelo MEC como uma instituição de excelência, com IGC 4 em 7 anos consecutivos. Estamos entre os 10 maiores grupos educacionais do Brasil. A rapidez do mundo moderno exige dos educa- dores soluções inteligentes para as necessidades de todos. Para continuar relevante, a instituição de educação precisa ter pelo menos três virtudes: inovação, coragem e compromisso com a quali- dade. Por isso, desenvolvemos, para os cursos de Engenharia, metodologias ativas, as quais visam reunir o melhor do ensino presencial e a distância. Tudo isso para honrarmos a nossa missão que é promover a educação de qualidade nas diferentes áreas do conhecimento, formando proissionais cidadãos que contribuam para o desenvolvimento de uma sociedade justa e solidária. Vamos juntos! Seja bem-vindo(a), caro(a) acadêmico(a)! Você está iniciando um processo de transformação, pois quan- do investimos em nossa formação, seja ela pessoal ou proissional, nos transformamos e, consequente- mente, transformamos também a sociedade na qual estamos inseridos. De que forma o fazemos? Crian- do oportunidades e/ou estabelecendo mudanças capazes de alcançar um nível de desenvolvimento compatível com os desaios que surgem no mundo contemporâneo. O Centro Universitário Cesumar mediante o Núcleo de Educação a Distância, o(a) acompanhará durante todo este processo, pois conforme Freire (1996): “Os homens se educam juntos, na transformação do mundo”. Os materiais produzidos oferecem linguagem dialógi- ca e encontram-se integrados à proposta pedagógica, contribuindo no processo educacional, complemen- tando sua formação proissional, desenvolvendo com- petências e habilidades, e aplicando conceitos teóricos em situação de realidade, de maneira a inseri-lo no mercado de trabalho. Ou seja, estes materiais têm como principal objetivo “provocar uma aproximação entre você e o conteúdo”, desta forma possibilita o desenvolvimento da autonomia em busca dos conhe- cimentos necessários para a sua formação pessoal e proissional. Portanto, nossa distância nesse processo de cresci- mento e construção do conhecimento deve ser apenas geográica. Utilize os diversos recursos pedagógicos que o Centro Universitário Cesumar lhe possibilita. Ou seja, acesse regularmente o Studeo, que é o seu Ambiente Virtual de Aprendizagem, interaja nos fó- runs e enquetes, assista às aulas ao vivo e participe das discussões. Além disso, lembre-se que existe uma equipe de professores e tutores que se encontra dis- ponível para sanar suas dúvidas e auxiliá-lo(a) em seu processo de aprendizagem, possibilitando-lhe trilhar com tranquilidade e segurança sua trajetória acadêmica. C U R R ÍC U LO Professora Esp. Ronie Cesar Tokumoto Possui graduação em Bacharelado em Informática pela Universidade Federal do Paraná (2001). Pós-Graduação em Docência no Ensino Superior pela Unicesumar, Pós-Graduação em Tutoria em Educação à Distância pela Faculdade Eicaz, e Pós-Graduação em Gestão Escolar Integrada e Práticas Pedagógicas pela Faculdade Eicaz. Experiência na área de educação desde 1994, sendo esta em escolas proissionalizantes e colégios estaduais. Experiência em Coordenação de Curso Técnico no ano de 2013 e Participação em Palestras e Eventos Organizados para o Curso durante o ano de 2013. Atualmente atuando como Tutor Pedagógico na EAD-Unicesumar. Link: http://lattes.cnpq.br/2653232632701400 SEJA BEM-VINDO(A)! A segurança sempre foi uma das grandes preocupações da humanidade, pois o ser hu- mano em si possui uma característica muito forte que é a necessidade de realização pessoal, muito acima de todos os outros seres da natureza. Desde o início, muitas pessoas que não podiam garantir sua segurança por serem i- sicamente menos favorecidas ou por não terem habilidades com armas ou de defesa pessoal optaram por pagar para que outros garantissem sua segurança. Reis, Chefes de Estado e donos de empresas são exemplos de tipos de pessoas que ne- cessitam de segurança pessoal desde muito tempo e que, em certos casos, necessitam de fortes esquemas de segurança executados por uma grande quantidade de pessoas, utilizando diversos tipos de aparatos móveis, de armamento e de tecnologia, quando disponíveis. Exercer a atividade de segurança privada necessita, então, que o indivíduo possua algu- ma das características citadas, como habilidades físicas para prover segurança, habilida- des com armamento ou tecnologia para compor equipes especializadas. A tecnologia certamente é a parte que mais evolui com o passar do tempo e que tem mais inluência na garantia de um serviço de segurança com qualidade nos dias atuais, pois permite que todo o processo de segurança possa utilizar uma grande quantidade de recursos tecnológicos disponíveis para vigilância e proteção. A vigilância evoluiu através de mecanismos que podem atuar durante todo o tempo, contribuindo com uma melhoria da segurança preventiva, como no caso de câmeras de vigilância e cercas elétricas, que podem intimidar ações invasivas. Ações evasivas, como alarmes e dispositivos de segurança como portas automáticas, contribuem com o aumento da segurança em caso de incidentes, como invasões ou alertas enviados por mecanismos de vigilância preventiva. Existem também mecanismos para auxiliar ações que são realizadas após o aconteci- mento de incidentes em geral, como as ilmagens por circuitos de vigilância, que po- dem ser utilizados pela polícia para tentar compreender como ocorreu o incidente e, se possível, obter pistas adicionaisde identiicação de suspeitos, veículos e outros detalhes pertinentes. O intuito desta disciplina é justamente o de apresentar um pouco das opções existentes em termos de conceitos, técnicas e equipamentos tecnológicos capazes de auxiliar no trabalho de segurança, podendo ser privada ou não, orgânica ou não. APRESENTAÇÃO TECNOLOGIAS APLICADAS AOS SISTEMAS DE SEGURANÇA O QUE EU VOU APRENDER? Veja aqui o resumo dos assuntos abordados nessa unidade. SUMÁRIO 09 UNIDADE I FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO 15 Introdução 16 Serviço de Segurança 19 Tecnologia e Tecnologia da Informação 22 Redes de Computadores 24 Infraestrutura de Tecnologia da Informação 28 Segurança da Informação 29 Papel da Tecnologia na Segurança 32 Considerações Finais 37 Referências 32 Gabarito UNIDADE II ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS 41 Introdução 42 Política de Segurança de Informações 45 Coniabilidade e Segurança de Rede 49 Aspectos Fundamentais de Segurança da Informação 57 Controles de Acesso Lógico 62 Complexidade de Operação SUMÁRIO 10 66 Considerações Finais 72 Referências 73 Gabarito UNIDADE III RECURSOS TECNOLÓGICOS DE VIGILÂNCIA 77 Introdução 78 Recursos Tecnológicos 82 Sistemas de Controle de Acesso e Porteiro Eletrônico 88 CFTV (Circuito Fechado de TV) 90 Câmeras de Segurança 91 Sensores 95 Considerações Finais 103 Referências 104 Gabarito UNIDADE IV RECURSOS TECNOLÓGICOS DE PROTEÇÃO 107 Introdução 108 Infraestruturas para Segurança 114 Portões, Guaritas e Cercas Elétricas SUMÁRIO 11 122 Alarme 128 Automatizador 132 Considerações Finais 139 Referências 140 Gabarito UNIDADE V TÉCNICAS E EQUIPAMENTOS AVANÇADOS PARA SEGURANÇA 143 Introdução 144 Projeto de Sistemas de Segurança 151 Recomendações de Segurança Pessoal para Tecnologia 155 Autenticação Biométrica 157 Recuperação de Desastres 160 Considerações Finais 166 Referências 167 Gabarito 168 CONCLUSÃO U N ID A D E I Professora Esp. Ronie Cesar Tokumoto FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO Objetivos de Aprendizagem ■ Introduzir o tema do curso dentro da disciplina. ■ Introduzir a TI (tecnologia da informação) ao aluno de Segurança Privada. ■ Conceituar aspectos importantes sobre redes de computadores. ■ Compreender alguns aspectos importantes ligados a infraestruturas de TI. ■ Conhecer os fundamentos da segurança da informação. ■ Conhecer as inluências da tecnologia na segurança. Plano de Estudo A seguir, apresentam-se os tópicos que você estudará nesta unidade: ■ Serviço de Segurança ■ Tecnologia e Tecnologia da Informação ■ Redes de Computadores ■ Infraestrutura de Tecnologia da Informação ■ Segurança da Informação ■ Papel da Tecnologia na Segurança INTRODUÇÃO O trabalho de segurança privada exige preparação sob diversos aspectos que necessitam de atenção na preparação do proissional que exercerá a função. Além dos aspectos essenciais, como os conhecimentos de ações preventivas e reativas para eventos que podem ocorrer e que necessitem de sua atenção, é importante conhecer conceitos e equipamentos relacionados às tecnologias apli- cáveis a sua função e ligadas à área de segurança em geral. O proissional de segurança pode atuar em local com baixo nível tecnoló- gico envolvido com sua função, mas pode, também, trabalhar em locais onde o nível de inserção tecnológica é enorme, podendo inclusive lidar com tecnologia a todo tempo em sua rotina de trabalho. As Empresas utilizam cada vez mais recursos tecnológicos para todas as suas atividades, o que inclui a área de segurança, que possui uma variedade de recursos muito boa para auxiliar na segurança, atualmente; e com a inserção da TI na área de segurança, os sistemas de segurança estão se tornando cada vez mais eicientes. Sistemas autônomos ligados às centrais remotas de segurança contribuem para melhorar as operações e ações de segurança reduzindo interferência humana em alguns aspectos e trazendo, assim, maior coniabilidade ao sistema como um todo, abrindo novas possibilidades para os proissionais da área de segurança privada. Áreas como seu desenvolvimento em ferramentas de automatização e controle utilizando aplicativos próprios em smartphones, por exemplo, podem represen- tar um bom nicho de mercado a ser explorado por uma empresa de segurança. Os simples artifícios menos tecnológicos estão sendo aos poucos substitu- ídos ou adaptados por novos produtos mais eicientes, como no caso de cercas de arame simples, que dão espaço a cercas elétricas que podem ser ligadas ou desligadas remotamente. Com isso, esta unidade traz alguns aspectos básicos e outros mais técnicos para que o proissional possa conhecer um pouco mais sobre a TI (tecnologia da informação). Introdução R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 15 FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E16 SERVIÇO DE SEGURANÇA Uma empresa ou pessoa que preste serviços e segurança privada deve sem- pre se atentar a aspectos muito importantes relacionados a sua conduta, como disciplina, responsabilidade, sigilo, discrição, capacidade de comuni- cação e de reação. No aspecto de disciplina e responsabilidade, é preciso cumprir de forma adequada todos os procedimentos padrões de segurança estabelecidos para cada demanda e, no caso da tecnologia e segurança da informação, é impor- tante manter o foco no trabalho durante todo o tempo, visto que é comum que se passem horas sem atividades que necessitem de interação. Existem diversos itens tecnológicos que necessitam de atenção e interação humana dentro de uma rotina programada, como no caso de estacionamentos, que necessitam que o funcionário percorra o local todo de tempos em tempos, com sensores de movimento ou dispositivos ixados em certos locais, onde o funcionário necessita se identiicar com um crachá ou biometricamente. Serviço de Segurança R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 17 A evolução tecnológica está permitindo que câmeras ligadas a sotwa- res capazes de reconhecimento facial, identiicação de placas de veículos ou outros detalhes que possam auxiliar a vigilância, podendo detectar rapida- mente qualquer pessoa ou veículo suspeito com um bom nível de precisão, facilitando o trabalho de vigilância de áreas de circulação em geral. Em relação aos aspectos de sigilo e discrição, dados e informações, comen- tários e senhas, documentos ou quaisquer itens do patrimônio que é guardado são de propriedade dos clientes e devem ser mantidos em sigilo absoluto, pois o vazamento destes pode comprometer a qualidade da segurança prestada e causar prejuízos diversos. A discrição também é um ponto relevante, pois remete a casos em que os clientes desejam que suas atividades não sejam difundidas por motivos diversos. Dados inanceiros ou estatísticos podem também causar diferentes tipos de prejuízos, e faz parte do próprio trabalho de vigilância cuidar não só do patrimônio físico, mas também de todo tipo de informação dos clientes. Há casos de vazamento de informações sigilosas por descuido, como senhas fáceis de serem descobertas ou marcadas em locais inapropriados, por exemplo, em papéis ou celulares que podem ser extraviados e compro- meter a segurança dos sistemas informatizados ou físicos. Informações sobre valores de patrimônio, faturamento, veículos utilizados por pessoas relacionadas aos clientes, rotinas e endereços são extremamente perigosos e é imprescindível que sejam mantidosem sigilo para segurança dos clientes e seus próximos. Todos estes aspectos não são de acesso direto dos responsáveis pela segu- rança privada terceirizada da empresa, a não ser no caso da segurança do tipo orgânica, em que os responsáveis fazem parte dos recursos humanos próprios e, assim, é mais fácil terem acesso a informações dessa natureza. Sobre a capacidade de comunicação, a capacidade verbal e escrita de todos os envolvidos com a segurança privada é fundamental para, além de ser melhor compreendido por todos, ser também melhor avaliado, princi- palmente se o serviço for terceirizado, pois se conhece pouco os envolvidos e o nível de coniabilidade é, a princípio, menor, não sendo esta uma regra. FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E18 A tecnologia oferece muitos recursos de comunicação, e estes podem per- mitir comunicação através de texto, áudio e vídeo. Em qualquer uma dessas situações, os envolvidos necessitam saber como se comunicar da melhor forma. Quando se possui recursos de comunicação escrita, a forma como se escreve tem inluência direta na qualidade da comunicação, pois erros de digitação, má formulação das frases e uso de linguagem inapropriada podem comprometer a qualidade do serviço. Isso acontece quando se usa ferramen- tas como e-mail ou mensagens por celular. Na comunicação por áudio, a clareza na fala e correta entonação, que podem servir como indício, na comunicação, de que há ou não perigo, uso de palavras chave para identiicar situações e a correta dosagem do tempo da conversa são pontos a serem observados no uso de ferramentas como liga- ções telefônicas, rádios e walkie talkies. Existe a comunicação visual no caso de comunicação entre centrais de vigilância e pessoas posicionadas no campo de visão de câmeras de vigilân- cia sem captação de áudio, pois uma linguagem padrão de sinalização ou até o uso de língua libras pode servir como uma eiciente ferramenta de comu- nicação em situações diversas. Quando se possui o recurso mais completo audiovisual, a comunicação em geral pode ser a mais eiciente, mas se não forem padronizadas regras de comunicação como nas demais modalidades citadas, esse recurso pode se tornar pouco efetivo. Pessoas podem utilizar o canal para comunicação sem importância por muito tempo, impedindo a comunicação de outros em situação mais emergencial. Tecnologia e Tecnologia da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 19 TECNOLOGIA E TECNOLOGIA DA INFORMAÇÃO A tecnologia está ligada à atividade humana e envolve técnicas, meios, méto- dos e processos utilizados para a realização destas atividades, ao passo que a tecnologia da informação se refere a atividades e soluções que utilizem recur- sos computacionais para manipulação de dados, como produção, transmissão e armazenamento. Com a evolução tecnológica, todas as áreas do conhecimento humano estão sendo beneiciadas e, consequentemente, melhorias ocorrem continuamente, otimizando a forma como todas as atividades humanas podem ser realizadas. Difícil, nos dias atuais, pensar em tecnologia separada da informática, tanto que o termo Tecnologia Da Informação foi criado para referenciar toda essa área da tecnologia que trata diretamente dos avanços relativos aos dispositivos eletrô- nicos e aplicações, como programas para computadores e dispositivos móveis. Em relação aos dispositivos eletrônicos ligados à informática, como com- putadores de mesa, notebooks, tablets e smartphones, chamamos todos estes dispositivos de hardware, ou seja, todos os elementos relacionados à parte física da computação. Figura 1 - Ilustração de infraestrutura de rede FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E20 Na verdade, poderia ser utilizado o termo hardware para tudo que é isica- mente possível de ser tocado no mundo, mas como é algo que surgiu em função da informática, se restringiu à área e, assim, hardware se refere a todo tipo de dispositivo relacionado à TI, ou seja, os computadores e suas partes, por exem- plo, disco e processador, teclado e mouse. Em contrapartida, toda parte não física relacionada à informática, os progra- mas para serem utilizados em conjunto com qualquer tipo de hardware, incluindo as categorias de sistemas operacionais, sotwares aplicativos, e toda a parte rela- cionada ao uso da Internet, são exemplos de sotware. Para melhor compreensão, observe a sequência de exemplos de sotware para cada tipo citado: ■ Sistemas operacionais: Windows, Linux, Android e IOS etc. ■ Sotwares aplicativos: editores de texto, planilhas eletrônicas, jogos e pro- gramas diversos como antivírus, sotwares para desenho, programação etc. ■ Sotwares para Internet: navegadores, como o Google Chrome, Mozilla Firefox, Microsot Edge etc. Através dos exemplos citados, é possível perceber a grande oferta de sotwares para demandas diversas que podem ser utilizados, lembrando que alguns são gra- tuitos, chamados de open source ou freeware, por exemplo, e outros são pagos, podendo ser adquiridos em versões de teste, mas necessitando de pagamento para uso completo. Equipamentos de hardware utilizados em uma infraestrutura são bem varia- dos, e o tamanho da infraestrutura será a base para deinir a quantidade e variedade de diferentes tecnologias e equipamentos agregados para atingir os objetivos dese- jados pela empresa. Equipamentos de rede bási- cos, como o cabeamento e todos os demais equipamentos necessários para a composição de uma infraestru- tura, fazem parte do hardware, da mesma forma que todos os programas utilizados por todos os equipamentos ligados à infra- estrutura entram na categoria de sotware. Figura 2 - Ilustração de transmissão de sinal em rede sem io Tecnologia e Tecnologia da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 21 Equipamentos para tecnologia sem io (Wi- i), como roteadores, placas de rede com antenas e repetidores, também fazem parte da infraestrutura básica que permite o trabalho integrado com tecnologias cabeadas, permitindo que computadores comuns (chamados de desktops) possam estar conecta- dos a dispositivos móveis, como notebooks, tablets e celulares, de maneira simples. Uma tendência é o uso da tecnologia em nuvem (Internet) para desafogar o hardware da infraestrutura local, permitindo que demandas crescentes, como o armazenamento em disco para cópias de segurança (backups) e arquivamento de dados, sejam realizadas remotamente, aumentando a coniabilidade e dispo- nibilidade na entrega destes dados. Além de sistemas operacionais próprios para redes em servidores, existem os sistemas operacionais dos equipamentos individuais que compõe a infraestru- tura e, mais recentemente, a inclusão dos sistemas operacionais dos dispositivos móveis, que têm suas particularidades. Esses sistemas precisam estar interligados física ou vir- tualmente para que possam, em conjunto, compartilhar dados e aplicações da maneira mais está- vel e segura. Assim, os sistemas operacionais Windows e Linux, mais utilizados em computado- res, devem poder se comunicar com sistemas Android e IOS de smartphones por meio da infra- estrutura chamada de rede. Figura 3 - Exemplos de sotware FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E22 REDES DECOMPUTADORES Redes de computadores são estruturas computacionais que possuem a função de interligar computadores e demais equipamentos necessários para estruturar uma infraestrutura funcional de comunicação, em que se possa compartilhar dados através da transmissão de sinais por meios cabeados ou não, possibilitando a comunicação interna ou externa com outras infraestruturas e acesso à Internet. Estas redes podem ser estruturadas a partir de cabos ou via acesso sem io também conhecido como wireless ou WI-FI, em que sinais trafegam em forma de mensagens divididas em pacotes entre os equipamentos, podendo este serviço ser seguro ou não, dependendo da infraestrutura de TI criada (TOKUMOTO, 2016, p. 18). A transmissão de dados por uma infraestrutura de rede ocorre através do envio de sinais por cabos ou pelo ar, em forma de sinais elétricos ou ondas que são propaga- das pelo ar. Esses sinais representam os chamados bits que, de forma organizada, saem da origem até o destino carregando os dados que devem ser transmitidos. Redes de Computadores R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 23 Uma boa infraestrutura, bem montada e conigurada, permite boas taxas de transmissão, que são medidas em uma unidade chamada bps (bits por segundo). A unidade é, inclusive, utilizada para medir velocidade de transmissão na Internet. É comum que se confunda a unidade com Bps (bytes por segundo), e isso é incor- reto, pois 1 byte equivale a 8 bits. Assim, se uma pessoa se refere a uma velocidade de transmissão em bytes por segundo, é bem provável que esteja equivocada, pois está se referindo a uma velocidade 8 vezes maior que a real. Uma empresa pode ter sua infraestrutura espalhada em mais de um local físico, tendo, inclusive, parte de sua infraestrutura terceirizada, em muitos casos, podendo chegar a ser toda terceirizada, se desejado pela empresa. Isso diiculta o trabalho de segurança, que precisa destacar pessoas ou equipes para cada local, dependendo do porte e nível de segurança desejado e necessário. A forma como será distribuída a segurança pode ser proposta pela empresa de segurança privada, mas garantir a segurança da infraestrutura própria da empresa é algo a ser negociado com a empresa que oferece o serviço de terceirização. A partir deste problema, entram diferentes formas de estruturação da TI de forma a atender esta demanda, desde ligações físicas de longa distância, privadas ou não, ligações virtuais como a Internet, e ligações de longa distância como as que utilizam sinais a rádio e satélite para se conectar, tendo, cada uma, seus pontos fortes e fracos de acordo com a realidade de cada empresa (TOKUMOTO, 2016, p. 18). Quanto maior a rede e tipos de meios de transmissão agregados, maior a com- plexidade dela e mais conhecimentos devem possuir os responsáveis pela sua manutenção. É bom citar que quem realiza a segurança de empresas com gran- des infraestruturas deve apresentar um mínimo de noção de como ela pode ser composta, para que, em casos de incidentes, possa ter ações mais efetivas, pois pode ser o único presente no momento em que ocorram imprevistos. Incidentes podem ser de várias naturezas, desde invasões, incêndios pro- vocados por curto-circuito, causas naturais ou criminosas, quedas de energia, inundações, furtos e roubos. O proissional de segurança deve auxiliar no zelo de toda a infraestrutura de TI, assim como das dependências da empresa, de acordo com prioridades deinidas pelos responsáveis e que podem estar, inclusive, cita- das em contrato. FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E24 INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO Hardware e sotware compõem uma infraestrutura de tecnologia da informa- ção em uma empresa, e ambos podem estar sujeitos a riscos como os já citados. Os riscos associados ao sotware não são, muitas vezes, perceptíveis por pro- issionais de segurança, pois a grande maioria não atua diretamente com as infraestruturas de TI, fazendo apenas rondas no local, da mesma forma que nas demais dependências da empresa, mas há casos de proissionais de segurança destacados para cuidar apenas de infraestruturas de TI de alto valor e impor- tância para um negócio. Essa segurança pode, inclusive, ser realizada remotamente de uma central de monitoramento ligada à toda a empresa ou, mais especiicamente, ligada à infraestrutura de TI, apenas. São duas formas de trabalho com segurança. Uma empresa pode prestar serviços de segurança em geral, mas pode, também, ofe- recer serviços personalizados de acordo com o tipo de negócio e necessidades diferenciadas de segurança em seus setores. Infraestrutura de Tecnologia da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 25 Uma indústria pode possuir espaços físicos comuns, como salas, refei- tórios e banheiros, em que uma simples ronda ou câmeras podem garantir a segurança, mas há locais como caldeiras e laboratórios que podem necessitar de pessoas melhor treinadas, utilizando uniformes próprios, equipamentos de EPI e treinamento diferenciado pelo tipo de riscos envolvidos, podendo ganhar adicional por periculosidade ou insalubridade associados aos riscos dos locais. Podem, também, tais empresas, terem equipes especializadas em segu- rança da informação, com pessoal preparado para lidar com tecnologia da informação e outras tecnologias utilizadas para auxiliar na segurança digital da empresa, pois nem toda empresa possui pessoal capacitado para esta fun- ção e pode querer terceirizá-la. As novas tecnologias que surgem a todo momento podem ser agregadas pelas empre- sas ou não, de acordo com os custos envolvidos e benefícios percebidos. Entretanto, inde- pendente de aquisições ou não, é interessante aos proissio- nais em geral buscarem estar por dentro de novidades, e aos proissionais dedicados a segu- rança da TI, estarem sempre se aprofundando, buscando novi- dades e técnicas mais eicientes de segurança, visando garan- tir sempre uma boa prestação de serviço. Os proissionais de segurança em geral não têm função muito participa- tiva, e sim de mais observação e ação, quando necessário, mas com o tempo de trabalho interno em uma empresa, pode acabar tendo maior integração com o pessoal e acabar se envolvendo mais em conversas e algumas ações rotinei- ras, por exemplo, no auxílio em trocas de equipamento. Figura 4 - Ilustração de infraestrutura de TI local e remota FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E26 Essa maior proximidade possui pontos positivos e negativos visíveis, pois quanto maior a integração do proissional de segurança com os demais colabo- radores, maior seu nível de coniança e conhecimento pessoal para avaliação de potenciais riscos, maior o conhecimento da infraestrutura de TI e outras tecno- logias utilizadas na empresa. Em contrapartida, seu maior envolvimento pode gerar maior exposição do proissional a ataques físicos ou virtuais na busca por informações ou aces- sos à infraestrutura da empresa, redução de sua imparcialidade de julgamento e envolvimento com colaboradores, que pode resultar em avaliações incorretas de peris ou de condutas. É importante sempre estar atento à infraestrutura de TI de uma empresa, pois ela está sempre exposta a riscos, caso esteja 24 horas no ar e ligada à Internet, principalmente. Por isso, o mau uso de equipamentos da infraestrutura ou uso da conexão pela infraestrutura da empresa como o sinalde WI-FI, por exem- plo, podem facilitar ataques externos buscando acesso aos dados da empresa. Cópias de segurança, prevenção e solução de problemas, manutenção preventiva e corretiva, tomada de decisões sobre investimentos, elabo- ração de normas de execução de processos e de segurança da própria infraestrutura da rede, dentre outras, podem ser deinidas, ajustadas e/ ou executadas pelo gerente de infraestrutura de TI, mas isso depende do tamanho da própria infraestrutura e da disponibilidade de pessoal (TOKUMOTO, 2016, p. 20). Infraestruturas maiores podem parecer mais vulneráveis, mas na verdade podem ser mais seguras, devido a níveis mais altos de segurança, controle de acesso e operações, contendo variações de nível de acesso e permissões que aumentam a coniabilidade da rede como um todo. Mesmo que a infraestrutura esteja espalhada em locais distantes e sua ligação seja feita através da internet, existem meios de se criar canais seguros de comu- nicação, chamados de VPNs (redes virtuais privadas), que são muito seguras e mais resistentes a ataques virtuais. A forma como uma infraestrutura é montada e gerenciada inluencia direta- mente o trabalho de segurança privada, pois quanto maiores as brechas, maiores as chances de ocorrência de incidentes que podem estar, inclusive, previstas em contratos e termos de responsabilidade. Infraestrutura de Tecnologia da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 27 Os recursos de cada empresa destinados a TI são variados, e não têm ligação direta com o tamanho geral da empresa, e sim com o nível de segurança que ela necessita na sua infraestrutura de TI. Bancos e portos são bons exemplos: uma agência bancária não é muito grande, mas necessita de muita segurança em sua infraestrutura de TI; um porto é muito maior e pode necessitar de muito menos recursos tecnológicos de prevenção a ataques e segurança de dados. Muitas vezes, recursos aplicados de forma equivocada geram em curto ou longo prazo, custos muito maiores com remediação de problemas ocasionados por estas decisões tomadas em relação a investimentos e podem transformar investimentos em prejuízos e gerar a necessidade de novos investimentos para corrigir as ações anteriores (TOKUMO- TO, 2016, p. 20). Serviços terceirizados podem oferecer investimentos viáveis e com boa relação custo e benefício, até melhor que infraestrutura própria, que demanda manuten- ções inclusas em orçamento e bem organizadas, para não prejudicar o andamento das atividades da empresa, ao passo que as terceirizadas se responsabilizam por todos estes detalhes, mantendo, geralmente, alta tecnologia em suas infraestru- turas de TI. O armazenamento de dados também é outro fator de preocupação e deve ser observado, pois é onde estão todos os dados e sistemas da empresa. Sistemas duplicados em locais diferentes, como infraestruturas reserva e cópias frequentes de segurança de dados (backups), são ótimos meios de se prevenir problemas e aumentar os níveis de coniabilidade da infraestrutura, auxiliando, inclusive, o trabalho de segurança, por um lado, mas criando uma necessidade de que haja segurança, também, nos locais onde se localizam as infraestruturas reserva e cópias de segurança, muitas vezes. O patrimônio de um negócio não se restringe aos elementos físicos. Nos dias atuais, podem ser os elementos lógicos os mais valiosos em um negócio. FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E28 SEGURANÇA DA INFORMAÇÃO A segurança é o ponto focal das ações dos responsáveis por infraestruturas de TI atualmente, devido ao número absurdo de tentativas de invasão por meio de diferentes métodos, como a engenharia social, em que se tenta coletar dados de pessoas para que se possa ter acesso a uma infraestrutura. Ataques diversos realizados por crackers também representam grande perigo, pois estes buscam formas para acessar recursos da infraestrutura, também, per- mitindo, assim, que hackers se aproveitem dessas falhas de segurança e possam manipular dados ou se apropriar deles para usos diversos. Sequestros de dados também representam uma modalidade muito frequente, em que o ataque, chamado ransomware, restringe o acesso aos sistemas de uma empresa para qualquer colaborador, exigindo, em troca da liberação e retorno das operações normais da empresa, dinheiro em espécie depositado em conta ou em moedas virtuais mais difíceis de serem rastreadas. Papel da Tecnologia na Segurança R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 29 Toda infraestrutura de TI abriga dados e estes são vulneráveis a ataques e perdas devido aos chamados “desastres” que, a qualquer momento, podem afetar todo o funcionamento do negócio e causar transtornos de níveis variados, como perda dos dados das transações mais recentes até perda total dos dados do sistema, incapacidade operacional perma- nente de parte dos equipamentos da infraestrutura ou de toda a mesma (TOKUMOTO, 2016, p. 104). A proteção às informações é importante e deve ser colocada como norma interna , em que práticas já testadas, aprovadas e conhecidas no mercado podem ser utili- zadas pelo pessoal interno da empresa e agregadas por proissionais de segurança contratados para a tarefa, caso necessário e permitido pela empresa. É importante citar que a segurança deve se preocupar não somente com ata- ques externos, pois eles podem ocorrer dentro da empresa por pessoas que buscam algum benefício próprio, o que pode ser considerado espionagem industrial. Até a própria ingenuidade e despreparo do pessoal interno pode represen- tar grande risco. Quando possível, as ações preventivas de controle de acesso e treinamentos devem ser feitas, lembrando que existe sempre um bom senso nas medidas de segurança e limites a serem respeitados, pois lida-se com pessoas que possuem, também, certo nível de direitos. De qualquer maneira, é importante observar atitudes e ações suspeitas inter- nas em uma organização, e todos devem estar cientes de medidas educativas e até punitivas que podem ser tomadas dentro da legalidade. PAPEL DA TECNOLOGIA NA SEGURANÇA Dentro deste universo de diferentes empresas ou pessoas isoladas, a tecnologia favorece o serviço de segurança com diversos recursos disponíveis para aumen- tar o nível de segurança que pode ser obtido para esta função, mas pode também proporcionar riscos. FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E30 Muitas vezes, a própria tecnologia é inimiga da segurança, pois as pessoas costu- mam utilizar seus smartphones para comentar e expor sua rotina, lugares e situações, que muitas vezes servem de recurso para falhas de segurança, pois tais informações podem facilitar ações criminosas, por exemplo, sequestros, invasões domiciliares em residências ou empresas que se saiba de antemão estarem desocupadas. Uma pessoa que divulga em redes sociais toda a sua rotina diária de atividades expõe em quais momentos pode estar vulnerável ou quando aqueles que prestam serviços de segurança pessoal podem estar com diiculdades ou impedidos de rea- lizar bem sua função, contribuindo, assim, para que incidentes ocorram. A área de segurança passou por grandes evoluções nos últimos anos devido, às novas tecnologias de diversas áreas que puderam ser aproveitadas na segurança e que tornaram o trabalho mais eiciente para clientes e prestadoras de serviços de segurança. As evoluções tecnológicas também permitiram que aqueles que possuemmás intenções também tenham a sua disposição novas ferramentas para cometer atos ilícitos de vários tipos, exigindo, assim, melhor preparo e aparato técnico e tecno- lógicos daqueles que os combatem. Os antivírus, sozinhos, não são mais capazes de resistir a todas as ameaças às quais estão expostas as infraestruturas de TI das empresas, e novas ferramentas e técnicas vão sendo agregadas a estas infraestruturas de forma a aumentar a segu- rança e melhorar a manutenção do pleno funcionamento da mesma. Papel da Tecnologia na Segurança R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 31 Os chamados irewalls são um exemplo de proteção; são dispositivos de uma rede de computadores com a função de ajustar políticas de segurança para certos acessos em redes de computadores. O irewall pode servir para iltrar dados que tentam acesso à infraestrutura e a sistemas computacionais em funcionamento, sendo, em geral, compatíveis com o tipo TCP/IP típico da Internet. TCP/IP é uma sigla que representa o padrão de comunicação chamado de protocolo para a Internet, é o mais utilizado em redes e o mais suscetível a ataques, em função disso. Esse dispositivo de segurança existe na forma de sotware e de hardware, e seu uso e instalação dependem do tamanho da rede, de políticas de segurança e do nível de segurança desejado, de acordo com o tipo de dados a serem protegidos e seu grau de importância para o negócio. Pequeno glossário de termos básicos utilizados na unidade. Backup - Cópia de segurança de dados em TI. DoS - Ataque que gera uma espécie de negação de acesso a uma infraestru- tura àqueles que normalmente teriam acesso, como funcionários da própria empresa. Download e Upload - “Baixar” ou “subir” conteúdos da e para a Internet por meio de sites ou aplicativos próprios para isto. Downtime e Uptime - Tempo em que uma infraestrutura está inoperante ou operante, respectivamente. Of-line e On-line - “Fora” ou “dentro” da rede, podendo representar uma má- quina que não esteja acessando a Internet ou uma rede a qual esteja ligada. TCP/IP - Protocolo de transmissão de dados padrão da Internet, que serve como modelo para que qualquer dado a ser enviado pela rede mundial seja enviado e recebido por qualquer dispositivo que use o protocolo. WI-FI ou Wireless - Comunicação sem io de alta velocidade, sendo WI-FI o padrão da Internet e wireless, um nome genérico a todo tipo de comunica- ção sem io. Fonte: o autor. FUNDAMENTOS DA SEGURANÇA E DA TECNOLOGIA DA INFORMAÇÃO R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IU N I D A D E32 CONSIDERAÇÕES FINAIS Após conhecer alguns aspectos ligados à tecnologia da informação, o proissional da área de segurança pode trabalhar as ideias assimiladas de forma a agregá-las em seu cotidiano na função e, assim, obter diferenciais em relação a outros pro- issionais da área. Os conhecimentos de TI são importantes para muitas outras atividades pro- issionais e, em algumas, são fundamentais, sendo quase impossível a manutenção dos trabalhos sem seu uso. No caso da segurança, essa transação está ocorrendo com maior intensidade de uns tempos para, devido à automação. A segurança requer avanços constantes, desde a preparação pessoal em aspectos psicológicos e treinamento em geral, até o conhecimento de tecnolo- gias e novos meios de realizar melhor sua função. Os tópicos tratados na unidade relativos aos conhecimentos básicos sobre hardware e sotware servem para iniciar os estudos desta disciplina, situando a todos, independentemente de seu grau de conhecimento na área. Em seguida, foram tratados alguns aspectos sobre infraestruturas de redes de computadores que contêm dentro de si os elementos de segurança agregados normalmente e os integram a outros recursos de TI, quando possível. A segurança da informação em si também é um ponto importante tra- tado, pois além da segurança dos elementos físicos que compõem o patrimônio da empresa, por exemplo, existem os elementos que não podem ser avaliados de forma direta, nem protegidos da mesma forma que os elementos físicos do patrimônio. Com o uso da Internet para a maioria das atividades comerciais e funcio- nais de uma empresa, os riscos relacionados ao uso da tecnologia aumentaram muito, e é importante estar atento aos benefícios do uso das tecnologias para a segurança. Então, nesta unidade foi mostrado um pouco do que é importante conhecer a respeito da tecnologia da informação em geral, e alguns pontos complemen- tares para agregar conhecimento, preparando, assim, para a continuidade dos estudos sobre TI, na próxima unidade. 33 1. Dentro de uma grande diversidade de nomes ligados à tecnologia da in- formação, alguns se relacionam com hardware ou software, tendo como ponto principal em sua diferenciação o fato de serem físicos ou lógicos. Ob- serve as airmativas a seguir. I. Os chamados sistemas operacionais representam um tipo especial de software. II. Linux é um exemplo típico de hardware gratuito em que seu projeto é aberto para adaptações. III. Tanto computadores completos quanto suas partes separadas represen- tam componentes de hardware. IV. Os aplicativos como editores, planilhas eletrônicas e até jogos são consi- derados softwares, em geral. É correto o que se airma em: a) I, apenas. b) III, apenas. c) I e II, apenas. d) II e III, apenas. e) I, III e IV, apenas. 2. Dentro dos conceitos tratados na unidade, alguns se referem a aspectos da TI que inluenciam diretamente na garantia da prestação de serviço, man- tendo ativas as atividades necessárias. Um destes termos é o chamado nível criticidade. Assinale a alternativa correta que contenha seu signiicado em relação aos serviços de TI. a) Refere-se ao máximo de tempo em que uma infraestrutura de TI pode icar fora do ar, exceto por paradas programadas. b) Refere-se à performance que uma infraestrutura de TI deve manter para que sua prestação de serviços seja adequada. c) Refere-se a possibilidade de ajustes no uso de recursos de uma infraes- trutura de TI de acordo com a demanda. d) Refere-se a uma infraestrutura de TI suportar toda a demanda de serviços de forma satisfatória. e) Refere-se à garantia de que uma infraestrutura oferecerá seus serviços e recursos de forma integral. 34 3. Uma tendência é o uso da tecnologia em nuvem para desafogar o hardware da infraestrutura local, permitindo que demandas crescentes, como o armazena- mento em disco para cópias de segurança e os arquivamentos de dados, sejam realizadas remotamente, aumentando a coniabilidade e disponibilidade na entrega destes dados (TOKUMOTO, 2019). Assinale a alternativa que contenha os nomes corretos referentes aos conceitos citados. a) Software e hardware. b) Internet e backup. c) Sistema operacional e aplicativo. d) Rede e sistema operacional. e) Backup e software. 4. Os antivírus, sozinhos, não são mais capazes de resistir a todas as ameaças às quais estão expostas as infraestruturas de TI das empresas, e novas ferramen- tas e técnicas vão sendo agregadas a essas infraestruturas de forma a aumen- tar a segurança e melhorar a manutenção do pleno funcionamento da mesma. Partindo do que foi citado, observe as airmativas a seguir, que podem ser ver- dadeiras ou falsas. I. Firewall representa um tipo de proteção de infraestrutura que pode ser uti- lizado juntamente ao antivírus. II. O irewall tem a função de ajustar políticas de segurança para acesso a redes de computadores. III. O irewall é um tipo de proteção muito boa, mas acessível apenas a empre- sas maiores, com maior poder de investimento. Assinale a alternativa correta: a) V; V; F. b) F; F; V. c) V; F; V. d) F; F; F. e) V; V; V. 5. Um dos perigos a que as empresas estão sujeitas, hoje em dia, refere-se ao seu patrimônio virtual, englobandosistemas, dados e demais softwares. Um destes tipos de ataque se chama ransomware, e está prejudicando uma grande quantidade de empresas no Brasil e no mundo todo. Descreva o que seria esse tipo de ataque virtual. 35 SEGURANÇA ORGÂNICA X TERCEIRIZADA: VOCÊ SABE O QUE É SEGURANÇA ORGÂNICA? Segurança orgânica E qual a diferença entre a segurança orgânica e privada? Conheça as características e dife- renças das duas e saiba como e onde cada uma deve ser utilizada. O termo segurança orgânica foi criado para designar a contratação de um segurança por uma empresa de forma direta. Ou seja, a segurança ica sob responsabilidade da própria empresa e não de uma terceirizada. Isso signiica que quem deseja usufruir deste serviço e não deseja fazê-lo de forma terceirizada precise contratar um proissional. Que em regime CLT, fará parte do quadro de funcionários daquela empresa. Responsabilidades legais Quando uma empresa opta pela segurança orgânica ela precisa estar totalmente ciente de que assume uma série de responsabilidades legais. Da mesma forma que as empresas de segurança privada precisam cumprir uma série de exigências e prestar contas aos órgãos competentes. Empresas que assumem a segurança orgânica precisam prestar conta à Polí- cia Federal e a outros órgãos reguladores que a proissão exige. Além disso, ica a cargo da organização, também: A escolha do proissional, processo seletivo e checagem de sua atuação no mercado; A formação/reciclagem do vigilante e obtenção de CNV; Inclusão de dados no GESP (Gestão de Eventos de Segurança Privada); Aquisição e registro de armamento, além de indicar um gestor para responder por todos esses procedimentos junto à Polícia Federal. A autorização para serviços orgânicos de vigilância patrimonial, que é revista anualmen- te pelo Ministério da Justiça. Sendo assim, qualquer inconsistência no processo de revisão pode gerar atrasos ou multas ou em casos mais graves, impedir a renovação dos serviços. Todo cuidado é pouco Já a segurança privada é um serviço oferecido por empresas especializadas e aptas para executar todas as atividades a que se propõe. São responsáveis pela seleção, treinamento, aperfeiçoamento e reciclagem dos proissionais que são escolhidos estrategicamente para atender a demanda de cada cliente. “A empresa que oferece estes serviços deve estar sempre com os cursos e certiicados em dia. Além de ter uma autorização especial para a contratação. Por isso, ique atento na hora de escolher e contratar. Toda forma de segurança orgânica, seja ela proteção patrimonial, pessoal ou empresarial, exercida sem autorização da PF, é considerada uma atividade ilegal”, explica o Diretor da GLOBALSEG – Marcelo Ferlini. Fonte: adaptado de Instituto Natus (2016); GlobalSeg (2016). REFERÊNCIAS 37 TOKUMOTO, R. C. Gerenciamento de Infraestrutura. Maringá: Unicesumar, 2016. INSTITUTO NATUS. Empresa Terceirizada x Segurança Orgânica. 10f ev. 2016. Dispo- nível em: <http://www.natus.org.br/condominios/empresa-terceirizada-x-seguran- ca-organica/>. Acesso em: 11 abr. 2019. GLOBALSEG. Você sabe o que é segurança orgânica? 27 ago. 2016. Disponível em: <http://www.globalsegmg.com.br/voce-sabe-o-que-e-seguranca-organica/>. Acesso em: 11 abr. 2019. GABARITO 1. Alternativa E. 2. Alternativa A. 3. Alternativa B. 4. Alternativa A. 5. Sequestros de dados também representam uma modalidade muito frequente , em que o ataque, chamado ransomware, restringe o acesso aos sistemas de uma empresa para qualquer colaborador, exigindo, em troca da liberação e retorno das operações normais da empresa, dinheiro em espécie depositado em conta ou em moedas virtuais mais difíceis de serem rastreadas. U N ID A D E II Professora Esp. Ronie Cesar Tokumoto ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS Objetivos de Aprendizagem ■ Compreender o que são políticas de segurança e como inluenciam o trabalho. ■ Conhecer aspectos relevantes sobre coniabilidade e segurança em TI. ■ Compreender aspectos sobre a segurança da informação. ■ Conhecer mecanismos e regras de segurança de acesso em TI. ■ Compreender o quão complexa pode ser a segurança de uma empresa. Plano de Estudo A seguir, apresentam-se os tópicos que você estudará nesta unidade: ■ Política de Segurança de Informações ■ Coniabilidade e Segurança de Rede ■ Aspectos Fundamentais de Segurança da Informação ■ Controles de Acesso Lógico ■ Complexidade de Operação INTRODUÇÃO Continuando os estudos em segurança relacionada à tecnologia da informação, é preciso conhecer um pouco sobre alguns aspectos complementares aos que foram estudados na unidade anterior. Nesta unidade, serão tratados aspectos envolvendo algumas políticas de segurança que podem ser utilizadas em empresas de qualquer porte para dei- nir normas internas para proteção da empresa, seu patrimônio físico e lógico (sistemas e dados). Através de documento formal contendo todos os procedimentos, recursos e responsabilidades relativas ao que pode ser feito de forma preventiva e reativa a respeito das atividades regulares da empresa e em casos da ocorrência de inci- dentes. Também são vistos alguns pontos relativos à segurança da infraestrutura de TI e sua coniabilidade, pois muitas empresas dependem de um funciona- mento estável e seguro de seu negócio. Algumas empresas possuem infraestruturas que funcionam em regime de missão crítica, o que representa que qualquer parada inesperada pode acarre- tar prejuízos relevantes ou até catastróicos para a operação, e esse risco deve ser minimizado por medidas preventivas e equipamentos de qualidade. Aspectos como a capacidade de operação da infraestrutura, escalabilidade de recursos e performance do conjunto são tratados por serem relevantes, assim como mecanismos de controle de acesso, que inluenciam na coniabilidade do sistema. Um mecanismo de segurança tratado é a criptograia, que serve para tornar incompreensíveis os dados que são transmitidos pela infraestrutura, redu- zindo as chances de interceptação e uso de dados da empresa. Controles de acesso físicos e lógicos são tratados para que meios mais antigos e com menos tecnologia sejam comparados a vários dos atuais recursos dispo- níveis e utilizados por empresas de segurança. Finalmente, é analisada a complexidade da operação de se estruturar um esquema de segurança de acordo com as necessidades e capacidade de investi- mento em uma empresa, comparando o passado e presente para exempliicar a evolução da área. Introdução R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 41 ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E42 POLÍTICA DE SEGURANÇA DE INFORMAÇÕES Toda infraestrutura de TI abriga dados e estes são vulneráveis a ataques e per- das devido aos chamados “desastres”, que, a qualquer momento, podem afetar todo o funcionamento do negócio e causar transtornos de níveis variados, como a perda dos dados das transações recentes até a perda total dos dados do sistema e a incapacidade operacional permanente de parte dos equipamentos da infra- estrutura ou de toda a mesma. A proteção às informações pode ocorrer através da manutenção de uma dis- ponibilidade da informação a todos os processos que a requisitem; integridade em relação ao conteúdo das informações e a garantia de não ser corrompida; sua legalidade em termos de normas, leis e contratos que devem ser constante- mente veriicados e auditados para garantir sua validação e garantia de segurança de níveis de acesso, garantindo sua conidencialidade além da validade e capa- cidade de ser auditada. A partir do momento em que as máquinas estão interconectadas, o nível de perigos diversos aumenta de forma assustadora à medida em que a redeaumenta sua quantidade de equipamentos e seu alcance fora dos limites físicos da mesma por meio de conexões virtuais, como a Internet ou conexões sem io. Com isso, a forma como esses dados circulam entre os equipamentos pre- cisa ter certo nível de proteção que permita segurança na transmissão de acordo com o nível de exigência de cada tipo de infraestrutura e o tipo de informações que trafegam pela mesma. O QUE É POLÍTICA DE SEGURANÇA DA INFORMAÇÃO? Em todo negócio que envolve tecnologia da informação é necessário que se tenha em mente meios de proteção à informação que contemplem diretrizes sobre como gerir e oferecer o máximo de segurança para todas as informações rele- vantes que já estejam ou venham a circular pela infraestrutura de TI da empresa. Para reunir todas as normativas internas do negócio a respeito de políticas envolvendo a segurança da informação, é redigido um documento para deta- lhar tudo que seja relativo a ações preventivas e remediadoras para incidentes que possam ocorrer. Existem normas como a ABNT NBR ISO/IEC 27001:2005, que se rela- ciona com segurança da informação, observando particularidades em rela- ção a legislações locais e acompanhando inovações tecnológicas que possam ser atualizadas na documenta- ção, esporadicamente. Essas normativas devem servir de base para orientação de colaboradores e todos os demais envolvidos com o uso dos recursos de TI disponibilizados pela empresa, incluindo padrões de comportamento, uso de equipamentos, níveis de acesso, permissões e restrições. Política de Segurança de Informações R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 43 Os meios de se monitorar a infraestrutura, mecanismos de proteção, gerenciamento de recursos, ações e medidas reguladoras que incluem desde como proceder em incidentes variados e previstos na elaboração do docu- mento, até punições de acordo com os tipos de eventos que possam ocorrer. Os objetivos gerais são da preservação de informações em relação à integri- dade, conidencialidade e disponibilidade. Nesse documento, então, é necessário que estejam contidas normatizações relativas às responsabilidades de colaboradores sobre o uso devido de todos os recursos disponíveis na infraestrutura de TI da empresa, uso de disposi- tivos externos, conteúdo protegido contra uso indevido de dados, proteção ao patrimônio da empresa etc. Também devem ser incluídas as responsabilidades relativas, todas as atribuições e responsabilidades do setor responsável pela infraestrutura de TI, sendo ele próprio ou terceirizado, de forma a garantir o atendimento às demandas estabelecidas no próprio documento. A infraestrutura de TI também deve ser detalhada em relação a equi- pamentos e componentes de rede, envolvendo todo o hardware e sotware usados. Além dessa gama de itens, é importante destacar os aspectos relati- vos à refrigeração, energia elétrica e segurança, por exemplo. Toda a tecnologia relativa à segurança da infraestrutura de TI deve ser inserida, citando ferramentas de tratamento de dados, proteção contra invasões e outras ameaças, mecanismos como irewalls (controle de acesso externo), backup (cópias de segurança), criptograia, monitoramento, acesso à rede e auditorias em geral. Toda parte da infraestrutura de TI preparada para resistir a inciden- tes como as quedas de energia e queima de componentes deve ser incluída, pois entram na parte de disponibilidade, coniabilidade e continuidade dos serviços, devendo ser citados recursos como nobreaks, baterias, geradores, componentes redundantes etc. Treinamento de pessoal também pode ser agregado ao documento, para que todo tipo de ação envolvendo o deslocamento de pessoas de sua atividade original para capacitações seja deinido e previsto na carga horária de trabalho. ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E44 Alguns pontos do documento podem sofrer alterações quando necessá- rio, mas todos os responsáveis diretos devem estar envolvidos ou pelo menos cientes do que acontece em relação a alterações no documento. Grande parte dos incidentes que ocorrem numa infraestrutura são cau- sados por internos da organização, devido a mau uso, ações voluntárias antiéticas e vazamento de informações inocentemente. É necessário reali- zar treinamento sempre que for detectado um certo nível de incidentes, para remediar problemas causados por falta de conhecimento e preparo. Esses treinamentos visam, sempre, a preparação de pessoas para maximizar o uso dos recursos da infraestrutura e minimizar ocorrências que poderiam ser previamente resolvidas com informação aos usuários da infraestrutura, mostrando como fazer bom uso dos dispositivos de hardware e recursos de rede, o acesso à Internet. CONFIABILIDADE E SEGURANÇA DE REDE Com isso, a coniabilidade de um sistema todo não depende só de processos automatizados. Muitos aspectos precisam ser observados, como a quantidade de pessoas necessárias para um bom manuseio dos equipamentos, devendo haver preparo para o trabalho e o correto escalonamento deste pessoal, de forma a garantir a coniabilidade e disponibilidade. Controle de acesso e veriicação de identiicação são essenciais em ambientes tecnológicos controlados, para aumentar o nível de restrição de acesso a dados conidenciais ou que possam ser comprometidos em caso de acesso indevido. Deinir e documentar políticas de segurança de TI em uma empresa é muito importante, mas é preciso que todos os envolvidos possuam bom senso e ética no uso dos recursos disponibilizados pela empresa. Coniabilidade e Segurança de Rede R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 45 Senhas e sistemas de identiicação são comuns a esses tipos de ambientes, aumentando tanto a coniabilidade quanto garantia de disponibilidade em ambientes de missão crítica, nos quais o mínimo de exposição possível é o ideal. Além da preocupação com o pessoal envolvido, temos a preocupação com fatores indiretos na garantia da disponibilidade, como a segurança ao acesso a esses equipamentos que inluenciam diretamente a coniabilidade, assim como a condição de trabalho em que se encontram os equipamentos. Estas condições incluem o ambiente onde estão inseridos isicamente, em que a climatização e medidas preventivas contra acidentes podem aumentar muito a plena funcionalidade dos equipamentos. Além disso, deve haver uma preocupação com as normativas de segurança contra incêndios, insta- lações elétricas e demais medidas preventivas neces- sárias para o local. Com o avanço da inserção da Internet nas ati- vidades das empresas, o nível de segurança também teve ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E46 que ser extremamente aumentado, pelo fato de a Internet ser uma rede pública, em que a facilidade de acesso permite que tentativas de invasão às empresas sejam constantes, o que pode gerar transtornos, como instalação de malwares, exclusão de dados e até roubo ou bloqueio de informações. Há ataques classiicados como DoS ((Denial-of-Service), que impedem que usuários comuns da infraestrutura não tenham mais acesso à mesma após a inserção de intrusos em servidores de todo tipo e redes institucionais. Esse tipo de ataque costuma ser classiicado como ataque de vulnerabili- dade, em que, após a infecção do hospedeiro, uma sequência de pacotes pode ativar mecanismos destrutivos de dados ou até mesmo do hospedeiro. Inundação da largura de banda: ocorre quandopacotes são enviados ao hospedeiro em quantidade que possa afetar a taxa de transmissão, ao ponto de a infraestrutura poder ser paralisada devido à lentidão. Inundação na conexão: ocorre quando um invasor estabelece uma quan- tidade enorme de conexões, deixando-as abertas até o ponto em que todas começam a cair, podendo levar à queda, inclusive, de conexões boas e válidas. Uma transferência coniável de dados se resume em termos de garantias na transmissão de pacotes oferecidas pela camada de transporte do protocolo, em casos de aplicações do sistema que não sejam tolerantes a falhas. Quando um protocolo da camada de transporte não oferece uma transferência coniável de dados, os dados enviados pelo remetente talvez nunca cheguem ao destinatário. Isso pode ser aceitável para aplicações tolerantes à perda, em especial as de multimídia, como áudio/vídeo armazenado, que podem tolerar alguma perda de dados (KUROSE, 2013, p. 67). Essa transferência coniável de dados se baseia em protocolos: o rdt1.0 para canais completamente coniáveis, rdt2.0 para canais com chance de erros de bits, e o rdt3.0 para canais com chance de perda de pacotes. Congestionamentos também inluenciam todo o funcionamento da infra- estrutura, pois podem gerar lentidão e perda de pacotes, mas os controles de congestionamentos, com a geração de pacotes de aviso pela própria infra- estrutura, podem reduzir as perdas e permitir mecanismos que reduzam o impacto gerado. Coniabilidade e Segurança de Rede R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 47 Além do cuidado com a perda de pacotes, os protocolos de transporte podem oferecer sigilo na transmissão entre emissor e receptor, juntamente à segurança e integridade destes pacotes. Assim, temos aplicações de downloads, e-mails e mensagens que não são tole- rantes a falhas, sendo que, em contrapartida, temos outras como a videoconferência e multimídia armazenada, que chegam a tolerar pequenas frações de perda de dados. Completando, as redes têm suas particularidades em relação ao funciona- mento, podendo oferecer mais ou menos alternativas de quebra de segurança, como os servidores de controle de acesso à Internet sem controle por meio de um sistema proxy (cache web). Por exemplo, o uso de conexões persistentes (ati- vas por períodos prolongados), cookies que contém informações de identiicação de usuários, downloads não controlados e nem monitorados via browser FTP ou HTTP, e-mails sem iltragem ou aplicações P2P. Wireshark é um software que utiliza dados capturados para análise de tráfe- go e pacotes transmitidos por uma rede; é indicado para gerentes de TI que precisam realizar um monitoramento de problemas de conexão e conexões suspeitas, por exemplo. Possui a capacidade de iltrar pacotes capturados dos mais variados tipos de padrões de rede por meio de uma interface gráica cheia de recursos inte- ressantes para usuários experientes ou nem tanto. Não é simples de ser instalado, mas por ser um software de código aberto, possui excelente custo e benefício, podendo ser utilizado em diferentes sis- temas operacionais. Fonte: o autor. ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E48 ASPECTOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO Aprofundando um pouco os conhecimentos na área de segurança da informação, existem muitos aspectos interessantes a serem estudados, mas como há muitos assun- tos e possibilidades de aprofundamento nos conteúdos que podem ser aprendidos sobre cada assunto, serão colocados alguns temas essenciais e que são de conheci- mento mais geral e que todo proissional envolvido com tecnologia pode conhecer. Dado é um termo genérico que se refere a valores puros que podem estar armazenados em uma infraestrutura, mas que por si só não possuem um sentido completo. Informação, em contrapartida, representa o dado com sentido mais com- pleto, que pode trazer algum conhecimento àqueles que tenham acesso à informação. Um exemplo seria o dado 1000. Esse valor pode não representar informação alguma a princípio, mas se for um valor que se esteja aguardando, seu recebimento conigura uma mensagem ao receptor. Se este valor 1000 for um dado capturado de alguma fonte sem nenhuma liga- ção com uma pesquisa mais especíica sendo realizada ou maiores detalhes, é um dado simples, sem signiicado. Se existir, então, um contexto associado ao valor 1000, como R$ 1000,00, tal situação melhora e o valor puro passa a ter algum sentido, mas, como dito anterior- mente, se não houver um contexto complementar, ainda pode representar apenas um dado simples, mesmo que relacionado a algum valor em reais. Se este valor de R$ 1000,00 estiver complementado por um contexto, como valor do salário mínimo nacional, por exemplo, a informação se torna mais com- pleta, mas ainda pode ser melhor estruturada. Aspectos Fundamentais de Segurança da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 49 Complementando a informação com o período histórico ao qual se refere o valor do salário mínimo, temos então uma informação completa que, agora, é capaz de gerar um conhecimento permanente, pois terá um signiicado his- tórico que pode ser uniicado ao conhecimento já existente sobre todos os demais valores oiciais de salário mínimo nacional por ano, desde sua criação. Então, no caso da tecnologia da informação, o que deve ser protegido são os dados que geram informações, mas um sistema pode conter, além de dados, informações já estruturadas sobre os dados armazenados, facilitando ainda mais a utilização de conteúdo acessado em invasões em uma infraes- trutura de TI. Além da segurança contra ataques, é preciso que uma infraestrutura de TI seja capaz de oferecer garantias em seu funcionamento, para que possa ser mantido um alto nível de funcionalidade nos serviços prestados pela infraestrutura. Uma característica importante de uma infraestrutura de TI é chamada de disponibilidade, que se baseia na garantia de funcionamento permanente garantido em praticamente 100% do tempo, principalmente em sistemas chamados de missão crítica (sistemas com tempo de resposta muito baixo e segurança contra paralisações e perdas de dados). Esses sistemas classiicados como sistemas de missão crítica são aqueles em que qualquer parada pode resultar em grandes problemas, como aciden- tes envolvendo veículos, trens, metrôs etc. Bancos e usinas também podem se enquadrar na missão crítica pelo contexto nos quais estão envolvidos. Para melhorar a garantia de funcionamento contínuo de uma infraes- trutura, existem equipamentos que possuem componentes chamados de redundantes, ou seja, mesmo que haja queima de um componente redun- dante, o equipamento continua em funcionamento e a troca do componente pode ser realizada com o sistema ligado. O uso de nobreaks (que funcionam com baterias) para ligação de equi- pamentos à rede elétrica também auxilia na garantia da oferta de serviços, pois quedas de luz com duração de tempo suportadas pelos nobreaks não prejudicam o funcionamento da infraestrutura, desde que sejam utilizados nobreaks em todos os equipamentos necessários. ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E50 Existem também sistemas que são capazes de funcionar sem estarem ligados à Internet em momento algum (of-line), ou que possam trabalhar of-line por um período de tempo. Um exemplo seriam os sistemas de ven- das que emitem notas iscais, pois, hoje em dia, como a nota é eletrônica, éutilizada a Internet para comunicação com a Receita Federal, mas é um pro- cedimento que pode ser realizado em momento posterior, após a retomada da conexão com a web. A porcentagem de tempo conectado ou on-line é chamada uptime, ao passo que o tempo of-line ou desconectado é chamado downtime. Boas infraestru- turas são capazes de reduzir ao máximo o downtime pelo fato de possuírem diversos recursos para melhorar sua capacidade de operação. Empresas de segurança privada podem se basear nesses mecanismos para identiicar o risco de incidentes em infraestruturas de TI e avaliar valo- res para inclusão em contrato, assim como detalhes da prestação de serviços embasados em informações técnicas. Empresas que aos poucos vão automatizando seus processos com inovações tecnológicas tendem a ter, por um determinado tempo, receios quanto à coniabilidade nestes avanços e mantém pessoas pelo menos monitorando constantemente até que, em algum mo- mento, sejam capazes de dar seu voto de coniança à tecnologia e permitam o trabalho automatizado sem a presença humana no lo- cal, deixando apenas um serviço de monitoramento central feito por pessoas em outro ponto mais distante da empresa ou até remota- mente (TOKUMOTO, 2016, p. 98). Para se ter ideia do que representa a medida de uptime, infraestruturas com alta disponibilidade precisam aceitar no máximo 9 a 10 horas of-line por ano, sem contar horas de manutenções programadas em infraestruturas com alto nível de criticidade (missão crítica). Outro aspecto importante se chama capacidade, que se refere ao ajuste da infraestrutura para suas demandas, de forma que ocorra o mínimo possível de sobrecarga ou subutilização de recursos, mantendo a mesma trabalhando em sua capacidade ideal a maior parte do tempo. No entanto, isso é difícil de avaliar na etapa de projeto da infraestrutura, que acaba sendo ajustada aos poucos, após o início do uso. Aspectos Fundamentais de Segurança da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 51 Escalabilidade é um fator que complementa a capacidade e se baseia na lexibilidade de operação de uma infraestrutura, que pode ser capaz de aumentar ou reduzir recursos destinados a tarefas de acordo com as deman- das, mantendo a estabilidade dos sistemas sem comprometer funcionamento e velocidade. Existem casos em que as empresas direcionam excedentes em sua infra- estrutura para outras necessidades, e há casos de empresas que trabalham apenas com a terceirização de uma grande infraestrutura, oferecendo servi- ços de processamento e armazenamento, por exemplo, utilizando de forma muito forte a escalabilidade. Independente dos recursos que uma infraestrutura possua, como capa- cidade e escalabilidade, um atributo que deve ser sempre levado em conta é a performance, pois ela serve de medida do tempo de resposta ou de pro- cessamento por unidade de tempo, reletindo o nível de eiciência de uma infraestrutura de TI. A garantia de uma performance mínima aceitável é importante, e uma infraestrutura de TI pode ajustar seus recursos de forma a tentar garantir estabilidade da performance pela limitação de usuários conectados simulta- neamente, ajuste dos recursos de segurança ativados, ampliação ou redução de equipamentos utilizados etc. ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E52 Incidentes podem ocasionar medidas de ajuste da infraestrutura e de seus recur- sos para manutenção da performance e, principalmente, do funcionamento. Em certos casos, o responsável pela segurança pode ser o único da área de TI capaz de operar esses ajustes, ou, pelo menos, de realizar medidas protetivas emergenciais até que o pessoal responsável e melhor qualiicado posse chegar para atender a emergência. Pode ocorrer de uma empresa terceirizada realizar o trabalho de cuidar dessas demandas de gerenciamento da infraestrutura, e pode haver também uma divisão das tarefas entre pessoal interno e externo, de forma fracionada por atividades ou conhecimento técnico, e a segurança pode ser realizada por uma equipe externa, permitindo que empresas especializadas em segurança da área de TI possam realizar esse trabalho para empresas de maior porte. A chamada coniabilidade de um sistema se refere ao bom manuseio de toda a infraestrutura, necessitando, assim, que tanto pessoal interno quanto externo seja treinado e conscientizado da necessidade de que tudo na infra- estrutura seja coniável e que isso depende, em grande parte, das pessoas que possuem acesso à infraestrutura. Controle de acesso e veriicação de identiicação são essenciais em ambientes tecnológicos controlados para aumentar o nível de restri- ção de acesso a dados conidenciais ou que possam ser comprometi- dos em caso de acesso indevido. Senhas e sistemas de identiicação são comuns a esses tipos de ambientes, aumentando tanto a conia- bilidade quanto garantia de disponibilidade em ambientes de missão crítica, nos quais o mínimo de exposição possível é o ideal (TOKU- MOTO, 2016, p. 101). Não só as pessoas inluenciam a coniabilidade de uma infraestrutura de TI, mas também aspectos ligados a equipamentos responsáveis por monitora- mento e segurança em geral, refrigeração e energia. Empresas de segurança privada são diretamente responsáveis, também, por auxiliar na coniabilidade, oferecendo serviços que podem estar ligados à segurança física das dependências de empresas, mas podem também ser res- ponsáveis pelo gerenciamento da segurança virtual, pelo monitoramento e tomadas de ação relativas a sotwares e transmissão de sinais por toda rede da empresa, internamente ou externamente. Aspectos Fundamentais de Segurança da Informação R ep ro d u çã o p ro ib id a. A rt . 1 84 d o C ó d ig o P en al e L ei 9 .6 10 d e 19 d e fe ve re ir o d e 19 98 . 53 O uso de padrões e normas contribui com a qualidade e eiciência da segu- rança em uma infraestrutura e inluenciam aspectos como climatização e energia elétrica, monitoramento físico e virtual da infraestrutura toda da empresa e dos sistemas que rodam na infraestrutura de TI. CRIPTOGRAFIA Uma das formas mais comuns de segurança para dados em TI é o uso da cripto- graia, que consiste em usar algoritmos para modiicar dados originais de forma que iquem irreconhecíveis, mas possam ser restaurados com o uso de algorit- mos que revertem o processo de modiicação feito pela criptograia. Algoritmos criptográicos basicamente objetivam “esconder” informações sigilosas de qualquer pessoa desautorizada a lê-las, isto é, de qualquer pessoa que não conheça a chave secreta de criptograia (TERADA, 2000, p. 16). Um método muito simples de criptograia é o uso de um valor numérico pré-determinado para que seja realizado um embaralhamento de caracteres de texto em uma mensagem, por exemplo. É possível utilizar como base o número 1 e para realizar o embaralhamento, e cada caractere da mensagem é trocado por outro uma posição à frente no alfabeto. Tabela 1 - Exemplo de tabela de cifra de criptograia a b c d e f g h i j k l m n o p q r s t u v w x y z b c d e f g h i j k l m n o p q r s t u v w x y z a A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B C D E F G H I J K L M N O P Q R S T U V W X Y Z A 0 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 0 Fonte: o autor. Não é fundamental conhecer todos os aspectos técnicos de uma infraestru- tura de TI, mas já ter ouvido falar e ter ideia deles pode ser um diferencial. ASPECTOS RELACIONADOS À SEGURANÇA NAS EMPRESAS R ep ro d u ção p ro ib id a. A rt. 184 d o C ó d ig o Pen al e Lei 9.610 d e 19 d e fevereiro d e 1998. IIU N I D A D E54 Figura 1 - Máquina Enigma utilizada na Segunda Guerra pela
Compartilhar