Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA E AUDITORIA DE SISTEMAS Professora Esp. Adriane Joyce Xavier GRADUAÇÃO Unicesumar C397 CENTRO UNIVERSITÁRIO DE MARINGÁ. Núcleo de Educação a Distância; XAVIER, Adriane Joyce. Segurança e Auditoria de Sistemas. Adriane Joyce Xavier. Reimpressão - 2020. Maringá-Pr.: UniCesumar, 2016. 168 p. “Graduação - EaD”. 1. Segurança. 2. Auditoria. 3. Sistemas EaD. I. Título. ISBN 978-85-459-0343-7 CDD - 22 ed. 658 Coordenador de Conteúdo Fabiana de Lima Design Educacional Ana Cláudia Salvadego Iconografia Amanda Peçanha dos Santos Ana Carolina Martins Prado Projeto Gráfico Jaime de Marchi Junior José Jhonny Coelho Arte Capa Arthur Cantareli Silva Editoração José Jhonny Coelho Qualidade Textual Hellyery Agda Revisão Textual Kaio Vinicius Cardoso Gomes Ilustração Bruno Pardinho Ficha catalográfica elaborada pelo bibliotecário João Vivaldo de Souza - CRB-8 - 6828 Impresso por: Reitor Wilson de Matos Silva Vice-Reitor Wilson de Matos Silva Filho Pró-Reitor Executivo de EAD William Victor Kendrick de Matos Silva Pró-Reitor de Ensino de EAD Janes Fidélis Tomelin Presidente da Mantenedora Cláudio Ferdinandi NEAD - Núcleo de Educação a Distância Diretoria Executiva Chrystiano Minco� James Prestes Tiago Stachon Diretoria de Graduação Kátia Coelho Diretoria de Pós-graduação Bruno do Val Jorge Diretoria de Permanência Leonardo Spaine Diretoria de Design Educacional Débora Leite Head de Curadoria e Inovação Tania Cristiane Yoshie Fukushima Gerência de Processos Acadêmicos Taessa Penha Shiraishi Vieira Gerência de Curadoria Carolina Abdalla Normann de Freitas Gerência de de Contratos e Operações Jislaine Cristina da Silva Gerência de Produção de Conteúdo Diogo Ribeiro Garcia Gerência de Projetos Especiais Daniel Fuverki Hey Supervisora de Projetos Especiais Yasminn Talyta Tavares Zagonel Viver e trabalhar em uma sociedade global é um grande desafio para todos os cidadãos. A busca por tecnologia, informação, conhecimento de qualidade, novas habilidades para liderança e so- lução de problemas com eficiência tornou-se uma questão de sobrevivência no mundo do trabalho. Cada um de nós tem uma grande responsabilida- de: as escolhas que fizermos por nós e pelos nos- sos farão grande diferença no futuro. Com essa visão, o Centro Universitário Cesumar assume o compromisso de democratizar o conhe- cimento por meio de alta tecnologia e contribuir para o futuro dos brasileiros. No cumprimento de sua missão – “promover a educação de qualidade nas diferentes áreas do conhecimento, formando profissionais cidadãos que contribuam para o desenvolvimento de uma sociedade justa e solidária” –, o Centro Universi- tário Cesumar busca a integração do ensino-pes- quisa-extensão com as demandas institucionais e sociais; a realização de uma prática acadêmica que contribua para o desenvolvimento da consci- ência social e política e, por fim, a democratização do conhecimento acadêmico com a articulação e a integração com a sociedade. Diante disso, o Centro Universitário Cesumar al- meja ser reconhecido como uma instituição uni- versitária de referência regional e nacional pela qualidade e compromisso do corpo docente; aquisição de competências institucionais para o desenvolvimento de linhas de pesquisa; con- solidação da extensão universitária; qualidade da oferta dos ensinos presencial e a distância; bem-estar e satisfação da comunidade interna; qualidade da gestão acadêmica e administrati- va; compromisso social de inclusão; processos de cooperação e parceria com o mundo do trabalho, como também pelo compromisso e relaciona- mento permanente com os egressos, incentivan- do a educação continuada. Seja bem-vindo(a), caro(a) acadêmico(a)! Você está iniciando um processo de transformação, pois quando investimos em nossa formação, seja ela pessoal ou profissional, nos transformamos e, consequentemente, transformamos também a sociedade na qual estamos inseridos. De que forma o fazemos? Criando oportu- nidades e/ou estabelecendo mudanças capazes de alcançar um nível de desenvolvimento compatível com os desafios que surgem no mundo contemporâneo. O Centro Universitário Cesumar mediante o Núcleo de Educação a Distância, o(a) acompanhará durante todo este processo, pois conforme Freire (1996): “Os homens se educam juntos, na transformação do mundo”. Os materiais produzidos oferecem linguagem dialógica e encontram-se integrados à proposta pedagógica, con- tribuindo no processo educacional, complementando sua formação profissional, desenvolvendo competên- cias e habilidades, e aplicando conceitos teóricos em situação de realidade, de maneira a inseri-lo no mercado de trabalho. Ou seja, estes materiais têm como principal objetivo “provocar uma aproximação entre você e o conteúdo”, desta forma possibilita o desenvolvimento da autonomia em busca dos conhecimentos necessá- rios para a sua formação pessoal e profissional. Portanto, nossa distância nesse processo de cresci- mento e construção do conhecimento deve ser apenas geográfica. Utilize os diversos recursos pedagógicos que o Centro Universitário Cesumar lhe possibilita. Ou seja, acesse regularmente o AVA – Ambiente Virtual de Aprendizagem, interaja nos fóruns e enquetes, assista às aulas ao vivo e participe das discussões. Além dis- so, lembre-se que existe uma equipe de professores e tutores que se encontra disponível para sanar suas dúvidas e auxiliá-lo(a) em seu processo de aprendiza- gem, possibilitando-lhe trilhar com tranquilidade e segurança sua trajetória acadêmica. A U TO R A Professora Esp. Adriane Joyce Xavier Permita-me que eu me apresente. Sou a professora Adriane Joyce Xavier, autora deste livro. Sou bacharel em Sistemas de Informação pela Faculdade de Apucarana (FAP) e especialista em Gestão Financeira, Contábil e Auditoria pela INBRAPE/ UNESPAR (Universidade Estadual do Paraná). Trabalho como desenvolvedora de sistemas utilizando a linguagem de programação Progress na plataforma OpenEdge. Trabalhei como analista de requisitos em uma empresa desenvolvedora de sistemas para dispositivos móveis e, como uma das responsáveis pelo setor de qualidade de uma empresa que desenvolvia sistemas para empresas e indústrias que desejavam automatizar suas atividades operacionais. SEJA BEM-VINDO(A)! Caro(a) aluno(a), é com grande prazer que lhe escrevo este livro esperando que ele pos- sa contribuir com sua futura formação. Nos dias atuais, a informação é de notória relevância para uma organização e funda- mental para os negócios, por isso, é importante que ela seja adequadamente protegida. Com o crescimento da interconectividade entre os ambientes de trabalho, a informa- ção fica exposta a uma grande variedade de ameaças, com isso, as organizações têm se preocupado cada vez mais em aumentar a segurança e o controle das informações. Daí a necessidade da segurança da informação, que consiste na proteção da informação contra os vários tipos de ameaças, minimizando os riscos relacionados com o negócio. Para obter a segurança da informação, torna-se necessário um conjunto de controles adequados, com o intuito de garantir que os objetivos do negócio e de segurança da organização sejam concretizados. Esses controles devem ser alterados e aperfeiçoados com o passar do tempo, permitindo que as organizações cuidem e se previnam contra eventuais riscos causados pela falta de segurança. Outra forma de controle com a segurança da informação ocorre por meio de um proces- so de auditoria de sistemas, que busca descobrir as irregularidades em tais departamen- tos ou nos centros de processamento. A auditoria também identifica os pontos que irão desagradar a alta administração, para que eles possam ser corrigidos. Este livro visa elucidar o conceito sobre a importância da segurança e auditoria dos sis- temas de informações, bem como, destacar modelos e normas que podem ser utilizados para proteger a informação e os cuidados que se deve ter para desenvolverum software mais seguro. Os temas que serão abordados são detalhados a seguir. A unidade I irá tratar sobre o tema Sistemas de Informação. Nesta unidade será explicado o conceito de informação e sistemas de informação. Explicarei sobre as atividades que compõem um sistema de informação e seus principais componentes. Também serão de- talhados os diferentes níveis organizacionais de um sistema de informação e seus tipos. Na unidade II, o assunto será a segurança da informação, muito importante nos dias atu- ais devido ao grande aumento dos acessos à internet. Explicarei sobre o conceito de se- gurança da informação e os pilares que devem ser levados em consideração quando se deseja realizar a segurança da informação. Também será explicado como as informações são classificadas; o que são vulnerabilidades e como elas são classificadas; quais são as ameaças da segurança da informação e os tipos de ameaças existentes; quais os riscos, incidentes e ataques que existem hoje e será ainda citado alguns dos tipos de ataques que ameaçam a segurança da informação. Na unidade III, o tema será a segurança informática e será um complemento do capítulo II. Nessa unidade abordarei os mecanismos de controles que existem para proteger os sistemas de informação e equipamentos de informática e também a política de segu- rança da informação que as organizações devem possuir com suas regras e normas de conduta, a fim de diminuir as ocorrências de incidentes. APRESENTAÇÃO SEGURANÇA E AUDITORIA DE SISTEMAS Na unidade IV, irei abordar a Auditoria de Sistemas. Será passado o conceito de audi- toria e auditoria de sistemas, quais as estratégias que podem ser utilizadas no levan- tamento de informações da auditoria, quais os tipos de auditorias que existem, as principais áreas da auditoria interna e quais normas e modelos podem ser utilizados para auxiliar a auditoria de sistemas. A unidade V irá tratar sobre o Desenvolvimento de Software Seguro. Nela, será abor- dada a necessidade de se desenvolver um software com segurança desde o ciclo de vida inicial de um sistema, é evidente que também devemos tomar o mesmo cuidado com as alterações em um sistema já existente, conhecer quais as atividades e processos do ciclo de vida para desenvolvimento de software com segurança e quais os modelos de maturidade que podem ser utilizados para auxiliar no desen- volvimento de software seguro. Espero que você possa fazer bom uso deste material. Tenha uma ótima leitura! Prof.ª Esp. Adriane Joyce Xavier. APRESENTAÇÃO SUMÁRIO 09 UNIDADE I SISTEMAS DE INFORMAÇÃO 15 Introdução 16 Informação 18 Sistemas de Informação (SI) 35 Considerações Finais 41 Gabarito UNIDADE II SEGURANÇA DA INFORMAÇÃO 45 Introdução 46 Segurança da Informação 48 Classificações da Informação 50 Vulnerabilidades da Informação 54 Ameaças à Segurança da Informação 58 Risco 60 Incidente 61 Ataques a Segurança da Informação 67 Considerações Finais 72 Gabarito SUMÁRIO 10 UNIDADE III SEGURANÇA INFORMÁTICA 75 Introdução 76 Segurança Informática 77 Mecanismos de Segurança da Informação 93 Política de Segurança da Informação 96 Considerações Finais 102 Gabarito UNIDADE IV AUDITORIA DE SISTEMAS 105 Introdução 106 Auditoria 107 Auditoria de Sistemas 118 Normas e Ferramentas de Apoio a Auditoria Informática 125 Considerações Finais 132 Gabarito SUMÁRIO 11 UNIDADE V DESENVOLVIMENTO DE SOFTWARE SEGURO 135 Introdução 136 Desenvolvimento de Software Seguro 156 Considerações Finais 163 Conclusão 168 Gabarito U N ID A D E I Professora Esp. Adriane Joyce Xavier SISTEMAS DE INFORMAÇÃO Objetivos de Aprendizagem ■ Entender o conceito de Informação e Sistemas de Informação. ■ Entender o que é um Sistema de Informação e quais os tipos de sistemas de informações existentes. ■ Conhecer os sistemas de informação que podem apoiar os processos de atuação de uma empresa, na tomada de decisões administrativas e nas estratégias voltadas à vantagem competitiva. Plano de Estudo A seguir, apresentam-se os tópicos que você estudará nesta unidade: ■ A Informação ■ Sistemas de Informação INTRODUÇÃO A informação é um elemento básico para a humanidade desde a sua existên- cia. Atualmente, a informação consiste em um dos principais patrimônios de uma organização, pois se trata de um item muito importante para a sobrevivên- cia das empresas. A informação viabiliza o sucesso de uma empresa, pois possibilita que através dela sejam efetuados planejamentos estratégicos e que as atividades operacionais da empresa sejam realizadas e controladas. Informações que foram adulteradas, que não estejam disponíveis ou que estejam em mãos de pessoas mal-intencio- nadas ou de concorrentes, podem comprometer significamente o andamento dos processos institucionais ou a imagem da instituição perante seus clientes. A Informação pode ser manipulada e visualizada de diversas maneiras, assim, à medida que a informação circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando que a mesma seja lida, arquivada, modificada, controlada ou até mesmo apagada, a esse processo damos o nome de Sistemas de informação. Sistemas de informação são formas utilizadas para manipular dados e gerar informações, podendo as mesmas serem automatizadas ou não. Desde a inser- ção do computador como dispositivo que auxilia em variadas atividades, até os dias atuais, ocorreu uma evolução nos modelos computacionais e nas tecnolo- gias usadas para manipular, armazenar e apresentar informações. Hoje, muitas empresas, pequenas ou grandes, usam os sistemas de informação para atingir importantes objetivos organizacionais, se relacionar melhor com clientes, asse- gurar a sobrevivência da empresa, promover vantagem competitiva, melhorar a tomada de decisão e criar novos produtos e serviços. Neste capítulo estudaremos de forma detalhada o que são sistemas de informação e como esses sistemas podem ser empregados com sucesso em um ambiente de negócios. Introdução Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 15 SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E16 INFORMAÇÃO Segundo Beal (2001), informação é o dado modificado da sua forma crua e sem sentido, permitindo ao gestor uma tomada de decisão assertiva. Chiavenato (2000), diz que para ser considerada informação, um conjunto de dados precisa possuir significado, ou seja, um conjunto de dados por si só, não é informação, só será, se este possuir sentido. Conforme alerta Beal (2001, p.78), “a informação é um patrimônio, ela agrega valor à organização”. A partir desse contexto, sendo a informação um bem que agrega valor a uma empresa ou a um indivíduo, é necessário fazer uso de recur- sos de TI de maneira apropriada, ou seja, é preciso utilizar ferramentas, sistemas ou outros meios que façam das informações um diferencial competitivo. Informação quer dizer dados apresentados em uma forma significativa e útil para as pessoas. Dados, ao contrário, são sequências de fatos brutos que repre- sentam eventos que ocorrem nas organizações ou no ambiente físico, antes de terem sido organizados e arranjados de uma forma que as pessoas possam enten- dê-los e usá-los. ©shutterstock Informação Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 17 Para comparar dados e informação, um exemplo pode ser dado através de vendas realizadas no caixa de um supermercado. Esses caixas registram milhões de dados no dia, como o código de barras e quantidade de cada produto. Esses dados somados podem gerar no fim do dia informações como o total de ven- das realizadas de umdeterminado produto, que tipo de marca do produto tem mais saída, e assim por diante. Atualmente, tem-se dedicado especial atenção à informação devido a sua importância para os negócios e para a realização de novos empreendimentos. Quando se trata de uma boa informação, verdadeiras oportunidades são abertas para quem as possue, o que torna o cenário dos negócios mais dinâmico e acir- rado na busca por novos mercados, acordos internacionais, poder e qualidade, dentre outros, o que gera competitividade e transforma a informação no princi- pal elemento motriz desse ambiente altamente competitivo, requerendo assim, proteção especial. Em contrapartida, a ausência da informação, ou a informação de má qualidade, constitui uma grande ameaça e pode levar empresas à extin- ção. Tudo isso atribui à informação um relevante valor, transformando-a num ativo essencial aos negócios de uma organização. ■ A informação pode existir de várias formas: ■ Impressa ou escrita em papel. ■ Armazenada eletronicamente. ■ Transmitida pelo correio ou por meios eletrônicos. ■ Mostrada em vídeos. ■ Verbal. O ato de transferir e pro- cessar informações ocorre por meio de um sistema de informação, mas não neces- sariamente por um sistema de TI, como veremos nos próxi- mos capítulos. SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E18 SISTEMAS DE INFORMAÇÃO (SI) Um Sistema de Informação pode ser definido como um conjunto de componentes inter-relacionados, podendo ser automatizado ou não, que coletam, processam, armazenam e distribuem informações destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma organização, auxiliando também os geren- tes e trabalhadores a analisar problemas, visualizar assuntos complexos e criar novos produtos. Um sistema de informação tem um papel fundamental e cada vez maior em todas as organizações de negócios, podendo ter um enorme impacto na estraté- gia corporativa e no sucesso organizacional. Os sistemas de informação surgiram antes mesmo da informática. Antes dos computadores, as organizações se baseavam basicamente em técnicas de arquiva- mento e recuperação de informação, existia a pessoa responsável em organizar os dados, registrar, catalogar e recuperá-los quando necessário. Esse método exigia um grande esforço para manter os dados atualizados e também para acessá-los. As informações em papel não possibilitavam o cruzamento de informações e análise de dados, devido a isso, era exigido um grande número de pessoas para atualizações de determinados processos, o que aumentava a probabilidade de erros. Com o surgimento da tecnologia da informação, todo esse processo pas- sou a ser informatizado. “A adoção de TI possibilita às pessoas fazer mais em menor espaço de tempo, de modo que a eficiência resulte em economia de tempo que, por sua vez, pode ser reinvestida na eficácia pessoal” (TAPSCOTT, 1997, p. 84). Algumas organizações ainda utilizam o método manual citado, mas como a maioria das organizações passou a automatizar seus processos, o foco desse capítulo será sobre os sistemas de informação informatizados. O Sistema de Informação, tanto manual quanto automatizado, possui 3 ati- vidades conforme definido na figura 1. Figura 1 – Atividades de um Sistema de Informação Entrada Processamento Saída Sistemas de Informação Fonte: o autor. Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 19 Entrada: são dados inseridos ou coletados. Exemplo: Nome cliente, ende- reço, entre outros. Processamento: converte os dados da entrada em informações mais significativas. Saída: transfere as informações processadas às pessoas que as utilizarão. Essas informações processadas poderão auxiliar o gerente na tomada de decisão dentro da organização. Os Sistemas de Informação também requerem um feedback, o qual trata-se da saída que retorna a determinados membros da organização para avaliar ou cor- rigir o estágio de entrada. Um sistema de informação é um sistema composto de pessoas e computa- dores que processam ou interpretam informação. Um Sistema de Informação consiste em 6 componentes principais interligados, que dependem um do outro, e são eles: ■ Recursos de Hardware: são todos os dispositivos físicos e materiais uti- lizados no processamento das informações. Refere-se às máquinas e mídias de máquinas, tais como computador, monitor de vídeo, disposi- tivos de entrada e de saída, dispositivos de armazenagem e dispositivos de comunicação. ■ Recursos de Software: são programas de computador semelhantes a pro- gramas de sistemas operacionais, planilhas eletrônicas, programas de processamento de textos, folhas de pagamentos e procedimentos como entrada de dados, correção de erros, entre outros. ■ Dados: são fatos que são utilizados por programas para produzir infor- mações úteis como descrição de produto, cadastro de cliente, estoque, entre outros. ■ Recursos de Redes: são mídias de comunicação e apoio de rede, utili- zados para executar atividades de entrada. Redes de telecomunicações como a Internet, intranets e extranets tornaram-se essenciais ao sucesso de operações de todos os tipos de organizações e de seus SI baseados no computador. Essas redes consistem em computadores, processadores de comunicações e outros dispositivos interconectados por mídia de comu- nicação e controlados por software de comunicações. SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E20 ■ Procedimentos: é um conjunto de instruções e procedimentos, são as políticas que regem o funcionamento de um sistema de computador. ■ Pessoas: incluem os usuários finais e especialistas em Sistemas de Informação. Qualquer sistema de informação específico tem como objetivo apoiar operações, gestão e tomadas de decisão. Um sistema de informação é a tecnolo- gia da informação e comunicação que uma organização utiliza, e também a maneira como as pessoas interagem com esta tecnologia em apoio dos pro- cessos de negócio. Devido à existência de diferentes interesses, especialidades e níveis dentro de uma organiza- ção, são necessários diferentes tipos de Sistemas de Informação, para que possa dessa forma, aten- der todos os níveis organizacionais em que atuam. Os diferentes níveis organizacionais são: ■ Sistemas de Informação em Nível Operacional: esse tipo de sistema dá suporte aos gerentes operacionais, acompanha atividades e transações da organização como vendas, compras, depósitos, transação de matéria prima, entre outros. Fornece informações de fácil acesso, precisas e atualizadas. ■ Sistemas de Informação em Nível de Conhecimento: auxilia a empresa a integrar novas tecnologias ao negócio e ajuda a controlar o fluxo de documentos. ■ Sistemas de Informação em Nível Administrativo ou Gerencial: atende as atividades de monitoração, tomada de decisão, controle e procedimentos administrativos gerenciais. Tem como característica a produção de relató- rios periódicos acerca das operações e não de informações instantâneas. ■ Sistemas de Informação em Nível Estratégico: auxilia a gerência a enfren- tar questões estratégicas e tendências, tanto no ambiente interno quanto no externo da empresa. https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Information_and_communication_technology&usg=ALkJrhgE51WNcLCVP2D9mIFwiM7j5GI0KQ https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Information_and_communication_technology&usg=ALkJrhgE51WNcLCVP2D9mIFwiM7j5GI0KQ Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go Pen al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 21 Para cada nível organizacional citado, existem vários tipos de Sistemas de Informação que podem ser utilizados nas organizações. Os sistemas foram classificados de acordo com seus objetivos e tipos de informações que manipu- lam, mas nada impede que um mesmo Sistema de Informação, encontrado em alguma organização, esteja classificado em mais de um tipo. No quadro 1 serão listados os 5 tipos de Sistemas de Informação mais importantes. Quadro 1 – Nível Operacional x Tipo de Sistemas de Informação NÍVEL ORGANIZACIONAL TIPO DE SISTEMASDE INFORMAÇÃO Nível Operacional Sistemas de Processamento de Transações (SPT). Nível de Conhecimento Sistemas de Automação de Escritórios (SAE). Nível Gerencial Sistemas de Informação Gerenciais (SIG). Sistemas de Apoio a Decisão (SAD). Nível Estratégico Sistemas de Informação Executiva (SIE). Fonte: o autor. SISTEMAS DE PROCESSAMENTO DE TRANSAÇÕES (SPT). São sistemas de suporte em nível operacional, utilizados em transações rotinei- ras, repetitivas e geralmente comuns de negócios, dando apoio à monitoração e à realização das negociações de uma organização, gerando e armazenando dados sobre as mesmas. Os Sistemas de Processamento de Transações são utilizados na automação de atividades da rotina diária que ocorrem no curso normal dos negócios, são tarefas repetitivas e transacionais como controle de estoques, cobrança, conta- bilidade, folha de pagamento, entre outros. O SPT é o tipo de sistema de informação mais antigo que existe, esse tipo de sistema deve fornecer respostas rápidas e ser confiável, fornecendo uma base sólida de operação para que, com base nas informações geradas, a empresa melhore seus produtos e serviços. SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E22 Cada transação do Sistema de Processamento de Transações requer: ■ Entrada e alimentação de dados: processo de coleta de todos os dados necessários para completar uma ou mais transações. Pode ser executados de forma manual ou através de equipamentos de coleta como scanners, dispositivos de ponto de venda, terminais, entre outros. ■ Processamento e armazenamento de dados: processo como execução de cálculos e outras transformações de dados relacionadas a uma ou mais transformações empresariais e armazenamento dos dados da transação em um ou mais bancos de dados. Quando processadas e armazenadas, essas informações podem servir de entrada para outros sistemas como Sistema de Informação Gerencial e Sistema de Apoio à Decisão. ■ Geração de documentos e relatórios: envolve a saída de registros e rela- tórios. Podem ser impressos em papel ou exibidos através da tela do computador. Com a utilização do Sistema de Processamento de Transações, as empresas não conseguem mais prezar pela organização de dados sem esse tipo de ferramenta ao seu alcance. Dentre seus vários objetivos, as organizações esperam obter mais lucratividade e apoio ao sucesso da organização, através dos seguintes serviços: Processar os dados gerados pelas transações: capturar, processar e armaze- nar transações e produzir uma grande variedade de documentos relacionados às atividades rotineiras da empresa. Manter alto grau de precisão: consiste na entrada e processamento de dados sem erros. Antes do início das transações, várias pessoas conferem e veri- ficam rigorosamente todas as entradas, para assegurar a real situação do negócio, inibindo erros de processamento. Assegurar a integridade dos dados e da informação: informações exatas e atuais antes de serem armazenadas. Produzir documentos e relatórios em tempo: os sistemas manuais podem levar dias, semanas e até meses, com o SPT informatizado esse tempo de resposta foi reduzido. A capacidade de conduzir transações de negócios de uma forma imediata pode ser muito importante para a operação lucrativa da organização. Aumento da eficiência do trabalho: efetuado através de terminais de Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 23 processamento. Ajuda no fornecimento de mais serviços e serviços melhorados: o SPT pode ser fundamental no aumento do portfólio das empresas com relação aos serviços prestados ou no aumento da eficiência dos serviços atualmente existentes. Todos esses serviços representam um critério que deve ser definido pela empresa no seu planejamento estratégico. O uso de Sistemas de Processamento de Transações adequado e bem planejado potencializa a capacidade das empresas nas mais diversas áreas. Esta potencialidade se reverte em uma vantagem com- petitiva, centrada principalmente nas seguintes evoluções: ■ Maior qualidade ou produtos melhores. ■ Serviços superiores aos clientes. ■ Melhor agrupamento de informações. ■ Aperfeiçoamento de previsões e planejamento. Algumas das aplicações dos Sistemas de Processamento de Transações são: Controle de estoque: controle de produtos armazenados de uma empresa. Controla a movimentação de entrada e saída dos produtos do estoque. Logística: responsável em interligar as atividades logísticas de uma empresa. Responsável pela entrega dos produtos ao menor custo possível. É consti- tuída por quatro níveis de funcionalidade: transações; controle de gestão; análise de decisão e planejamento estratégico. Financeiro: responsável pela gestão de ativos financeiros da empresa, abran- gendo categorias de processo como Contas a pagar, Contas a receber, Faturas, Compras, entre outras. Vendas: a principal característica dessa categoria é obter dados e gerar esta- tísticas para gerar um melhor planejamento sobre o processo de vendas da empresa. Dessa maneira, é possível antecipar tendências econômicas e variações do mercado podendo assim, confrontar dados reais com os pla- nejamentos, antecipar a decisão, auxiliando deste modo, na melhor medida a ser tomada. SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E24 Compras: o sistema de informação para Compras é relacionado à área de compras da empresa, podendo ser de produtos ou de serviços terceirizados. Através dele é possível analisar dados de mercado para um melhor planeja- mento de compras em longo prazo. Um Sistema de Informação eficiente pode ter um grande impacto na estratégia corporativa e no sucesso da organização, podendo beneficiar a organização, os usuários do sistema de informação e qualquer indivíduo ou grupo que interagir com o sistema de informação. Dentre os benefícios que as empresas procuram obter através dos sistemas de informação destacam-se: ■ Maior segurança. ■ Vantagens competitivas. ■ Menor incidência de erros. ■ Maior precisão. ■ Produtos de melhor qualidade. ■ Maior eficiência. ■ Maior produtividade. ■ Administração mais eficiente. ■ Custos reduzidos. ■ Maior e melhor controle sobre as operações. ■ Tomadas de decisões gerenciais superiores. ■ Aumento da fidelidade do cliente. SISTEMAS DE AUTOMAÇÃO DE ESCRITÓRIOS (SAE) Os Sistemas de Automação de Escritórios (SAE) consistem em um sistema de nível estratégico de uma organização. Através do SAE é possível reunir dados Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 25 de toda a organização, permitindo que dessa forma, os gerentes possam selecio- nar e ajustar os dados para os fins necessários. Automação de escritório é um conceito que envolve o uso de equipamentos de informática e softwares para criar, coletar, armazenar, manipular e retransmitir digitalmente informações necessárias para a realização de tarefas e cumprimento de objetivos em um escritório. O Sistema de Automação de Escritóriopermite aos executivos analisar os dados reunidos de maneira única e padronizada, disponibilizando diversas funções como processadores de textos, gráficos, agendas eletrônicas, editores de imagens, a pos- sibilidade de gerenciamento de diversos tipos de projetos, entre outros. O Sistema de Automação de Escritório (SAE) auxilia no aumento da produti- vidade, redução de custos e um resultado de maior qualidade, tendo como foco o processamento de informações nos escritórios e a automação das atividades que possibilitam as organizações na busca de informações mais rápidas e confiáveis. Alguns dos benefícios que o Sistema de Automação de Escritório possui são: ■ Amplia a abrangência de controle da alta administração. ■ Acelera o processo de tomada de decisão. ■ Melhora o desempenho administrativo. O Sistema de Automação de Escritório (SAEs) ajuda nas atividades de escritório, tais como preparação e comunicação da correspondência. Exemplos: ■ Processadores de Texto: trata-se de um programa usado para escre- ver no computador. Com ele é possível criar desde documentos simples até arquivos profissionais, que são mais complexos, tais como: fax, car- tas, currículos, ofícios, procurações e apostilas. Um processador de texto é essencialmente um programa que simula o funcionamento de uma máquina de escrever, mas com recursos que facilitam e agilizam a pro- dução, edição e finalização de texto. ■ Planilhas eletrônicas: aplicativo que oferece ferramentas para efetuar cál- culos através de fórmulas e funções e para a análise desses dados. Algumas das principais funções das planilhas eletrônicas possibilitam que você possa armazenar, manipular, calcular e analisar dados tais como números, SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E26 textos e fórmulas. Pode acrescentar gráficos diretamente em sua planilha, elementos gráficos, tais como retângulos, linhas e caixas de texto, entre outros. Um exemplo de planilha eletrônica é o Excel. ■ Gerenciador de banco de dados: um módulo de um programa que provê a interface entre os dados de baixo nível armazenados num banco de dados e os programas de aplicação e as solicitações submetidas ao sistema. É de vital importância para as empresas. O gerenciador de banco de dados é responsável pelas seguintes tarefas: ■ Interação com o gerenciamento de arquivos. ■ Cumprimento de integridade: os valores de dados armazenados num banco de dados precisam satisfazer certos tipos de restrições de consistência. ■ Cumprimento de segurança: nem todo usuário do banco de dados necessita ter acesso a todo o banco de dados, para impor requisitos de segurança de acesso aos dados. ■ Cópias de reserva (backup) e recuperação (restore): um computador, como qualquer outro dispositivo mecânico ou elétrico, está sujeito a falhas. ■ Controle de concorrência: se diversos usuários atualizam o banco de dados concorrentemente, a consistência dos dados pode não ser mais preservada. Controlar a interação entre usuários simultâneos é outra atribuição do gerenciador de banco de dados. ■ Apresentação Gráfica: é um programa que, por meio de slides, apresenta determinado tema em uma reunião, palestras ou mesmo em cursos, faci- litando a comunicação. ■ Navegadores da internet: a finalidade elementar de um navegador é per- mitir a visualização de conteúdos disponíveis na internet e redes internas. Para isso, basta que seja informado o endereço ao navegador. Devido à constante necessidade de oferecer mecanismos de segurança na navega- ção, estabilidade, interatividade e velocidade na exibição de conteúdo, a escolha de um navegador passou a representar uma diferença significa- tiva para os usuários. Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 27 Os sistemas de Automação de Escritório exigem uma visão ampla das pessoas, pois além de saber usar os aplicativos dos escritórios, essas pessoas precisam saber utilizar o que o aplicativo oferece para criar novas informações. Após a automação das atividades realizadas nos escritórios, a organização das informações tornou-se mais rápida e mais confiável. O foco então passou para a busca e comparação de diversas alternativas para o mesmo problema, auxiliando o tomador de decisões. Com base nessa necessidade, surgiram os Sistemas de Apoio à Decisão. Você sabe a diferença entre Dado, Informação e Conhecimento? Dado é a informação não tratada. Representa um ou mais significados, que isoladamente, não podem transmitir uma mensagem ou representar algum conhecimento. Informação é um conjunto de dados tratados. É todo o conjunto de dados devidamente ordenados e organizados de forma a terem significado. Conhecimento: trata-se de várias informações organizadas de forma lógica e suficiente para criar um evento e torná-lo possível através do entendimento. Fonte: o autor. SISTEMAS DE INFORMAÇÃO GERENCIAIS (SIGS) Os Sistemas de Informação Gerencial (SIG) são sistemas ou processos que forne- cem as informações necessárias para gerenciar com eficácia as organizações. Um SIG gera produtos de informação que apoiam muitas necessidades de tomada de decisão administrativa e, é o resultado da interação colaborativa entre pessoas, tecnologias e procedimentos, que ajudam uma organização a atingir suas metas. http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/ SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E28 Os sistemas de informações gerenciais estão relacionados às atividades de gestão, tendo como objetivo fornecer subsídios às diversas áreas funcionais da organização e oferecer assistência às tomadas de decisões para identificar e cor- rigir problemas de competência gerencial. Além disso, também auxiliam no processo de planejamento e controle empresarial, tratando os vários bancos de dados dos sistemas transacionais. Um SIG pode incluir um software que auxilia na tomada de decisão, recur- sos de dados, tais como bancos de dados, o hardware de um sistema de recursos, sistemas de apoio à decisão, sistemas especialistas, sistemas de informação exe- cutiva, gestão de pessoas, gestão de projetos e todos os processos informatizados que permitem que a empresa funcione eficientemente. É um sistema que dispo- nibiliza a informação certa, para a pessoa certa, no lugar certo, na hora certa, da forma correta e com o custo certo. Os SIG’s possuem uma multiplicidade de produtos de informação, que são apresentados através de relatórios, que ajudam os gerentes com o fornecimento de dados e informações para a tomada de decisões. Os relatórios oferecidos por esses sistemas são: ■ Relatórios programados: estes relatórios são uma forma tradicional de fornecimento de informações para os gerentes. Exemplos típicos desses relatórios são os relatórios de vendas diários e semanais ou demonstra- tivos financeiros mensais. ■ Relatório de exceção: são casos excepcionais de relatórios nos quais o gerente pode obter informações específicas. Como exemplo, um gerente de crédito pode receber um relatório que contém informações apenas sobre clientes que excedem os limites de crédito. ■ Informes e respostas por solicitação: este tipo de relatório mostra as informações sempre que o gerente requisitar. Possibilitam através de suas estações de trabalho respostas imediatas ou que encontrem e obtenham respostas imediatas. ■ Relatórios em pilhas: as informações são empilhadas na estação de tra- balho em rede do gerente. http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/ http://www.infoescola.com/administracao_/sistema-de-apoio-a-decisao/ http://www.infoescola.com/administracao_/sistema-de-informacao-executiva/ http://www.infoescola.com/administracao_/sistema-de-informacao-executiva/http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/ Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 29 Todas as funções de gestão, planejamento, organização, direção e controle são necessárias para o bom desempenho organizacional. Os sistemas de informa- ção gerenciais são fundamentais para suportar essas funções, especialmente a de planejamento e controle. Os Sistemas de Informação Gerencial são parte integrante das estratégias empresariais, pois a comunicação e a informação são de grande valor nas orga- nizações. A qualidade da decisão tomada pelo gerente vai depender da qualidade e relevância das informações disponíveis. Por isto é muito importante investir em um SIG para oferecer informações rápidas, precisas e principalmente úteis, que irão garantir uma estruturação de gestão diferenciada, o que resultará em vantagem competitiva sobre as demais empresas. SISTEMAS DE APOIO A DECISÃO (SAD) Sistemas de Apoio à Decisão (SAD) é um sistema de informação computadori- zado que apoia as atividades de tomada de decisões organizacionais e de negócios. Um Sistema de Apoio à Decisão projetado corretamente é um sistema baseado em software interativo destinado a ajudar os gerentes do nível tático e estraté- gico de uma organização a compilar informações úteis a partir de dados brutos, documentos, conhecimento pessoal e/ou modelos de negócios para identificar e resolver problemas e tomar decisões. Os SAD são interativos, permitem aos usuários levantar suposições e incluir novos dados, realizar diferentes perguntas e refinar os rumos das ações a serem tomadas, constituindo assim o feedback do sistema. As principais características dos SAD são: ■ Possibilidade de desenvolvimento rápido, com a participação ativa do usuário em todo o processo. ■ Facilidade para incorporar novas ferramentas de apoio à decisão, novos aplicativos e novas informações. ■ Flexibilidade na busca e manipulação das informações. SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E30 ■ Individualização e orientação para a pessoa que toma as decisões, com fle- xibilidade de adaptação ao estilo pessoal de tomada de decisão do usuário. ■ Real pertinência ao processo de tomada de decisão, ajudando o usuário a decidir através de subsídios relevantes. ■ Usabilidade, ou seja, facilidade para que o usuário o entenda, use e modi- fique de forma interativa. Os Sistemas de Apoio à Decisão também devem permitir várias decisões inde- pendentes ou sequenciais, como: ■ Abranger todas as fases do processo de decisão: identificação, desenho, seleção e implementação. ■ Suportar uma variedade de processos de tomada de decisão. ■ Devem ser adaptativos ao longo do tempo e devem ser flexíveis, para que os seus utilizadores possam acrescentar, eliminar ou mudar certos ele- mentos chave. ■ Ser de fácil utilização, com fortes capacidades gráficas e com uma inter- face utilizador-máquina que possa aumentar a sua eficiência. ■ Melhorar a eficiência das suas decisões (no nível da qualidade, tempo, exatidão) em vez de se preocupar com o custo dessas decisões. Existem algumas vantagens e desvantagens de um SAD, conforme mostra o quadro 2: Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 31 Quadro 2 – Vantagens e Desvantagens do Sistema de Apoio à Decisão VANTAGENS DESVANTAGENS • Rapidez. • Ultrapassar limites cognitivos (através do computador). • Redução de custos. • Qualidade (obtenção do valor ótimo mais próximo dos nossos objetivos). • Decisões mais eficazes. • Decisões mais eficientes. • Melhor comunicação entre os decisores. • Melhor utilização do processo de aprendi- zagem. • Problema de ação. • Orientação para escolha. • Suposição da relevância da res- posta do sistema. • Transferência de poder ao siste- ma que não é intencional. • É mais difícil atribuir responsabi- lidades. Fonte: o autor. Esse sistema dá apoio e assistência em todos os aspectos da tomada de decisões sobre um problema específico. SISTEMAS DE INFORMAÇÃO EXECUTIVA (SIE) Sistemas de Informação Executiva (SIE) são sistemas que combinam muitas características dos sistemas de informação gerencial e dos sistemas de apoio à decisão e foram desenvolvidos com o objetivo de atender às necessidades de informações estratégicas da alta administração. Neste sistema, a informação é apresentada segundo as preferências dos executivos, as quais enfatizam o uso de uma interface gráfica com o usuário e exibições gráficas, que possam ser per- sonalizadas de acordo com as preferências de informação dos executivos que o utilizam. A ênfase do sistema como um todo é a interface fácil de usar e a inte- gração com uma variedade de fontes de dados. Segundo Pozzebon e Freitas (1996, p. 29), o SIE “[...] é uma solução em ter- mos de informática que disponibiliza informações corporativas e estratégicas para os decisores de uma organização, de forma a otimizar sua habilidade para tomar decisões de negócios importantes.”. SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E32 O sistema deve ser criado de maneira que sua operação seja intuitiva e dê legibilidade e compreensão dos resultados de forma instantânea, pois os execu- tivos que tomam decisões estratégicas não dispõem do tempo necessário para realizar um treinamento em sistemas desenvolvidos tradicionalmente para usu- ários de escalões mais baixos. Este tipo de sistema de informação tem como objetivo primordial ampliar as possibilidades de alternativas para problemas organizacionais, assim como permitir a exploração das informações disponíveis que possibilitem ao gestor traçar novos rumos e comportar-se de maneira proativa face ao ambiente em que se encontra. Um Sistema de Informação Executiva possui as seguintes características: ■ Destinam-se a atender às necessidades de informação dos executivos. ■ Possuem apresentação de dados através de recursos gráficos de alta qualidade. ■ Recuperam informações de forma rápida para a tomada de decisão. ■ Oferecem facilidade de uso, intuitivo, sem necessidade de treinamento específico em informática. ■ São desenvolvidos de modo a se enquadrarem na cultura da empresa e no estilo de tomada de decisão de cada executivo. ■ Filtram, resumem, acompanham e controlam dados ligados aos indica- dores de desempenho dos fatores críticos de sucesso. ■ Utilizam informações do ambiente externo (concorrentes, clientes, for- necedores, indústrias, governo, tendências de mercado). ■ Proporcionam acesso a informações detalhadas subjacentes às telas de sumarização organizadas numa estrutura top-down. Para que as organizações continuem competitivas, as informações são neces- sárias para apoiar decisões e, através dos Sistemas de Informação Executiva, grandes quantidades de informação são apresentadas aos executivos de forma compacta e manejável. Sistemas de Informação (SI) Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 33 Um SIE é bastante interativo, permitindo ao usuário obter relatórios que indiquem situações fora dos parâmetros estipulados pelos planos da empresa, além disso, permite que o executivo antecipe situações que alterem o panorama de negócios em que a organização atua. Algumas pessoas se confundem sobre quando utilizar e quem são as pessoas que devem utilizar os SIE, SAD e o SIG. No quadro 3 consta um comparativo explicando sobre as diferenças que esses tipos de Sistemas de Informação possuem. Quadro 3 – Comparativo entre modelos SIE, SAD e SIG DIMENSÃO SIE SAD SIG Foco Acesso aos statusindicadores de desempenho Análise e apoio à decisão Processamento de informações Usuário típico Executivos Gerentes interme- diários e analistas Gerentes de nível médio Objetivo Conveniência Eficácia Eficiência Aplicação Avaliação de de- sempenho, acom- panhamento de fatores críticos de sucesso Tomada de decisão operacional Controle de pro- dução, projeção de vendas, análise de custos, etc. Apoio oferecido à decisão Indireto, problemas de alto nível e não estruturados Apoio direto Direto ou indireto Banco de dados Especial Especial Da empresa Tipo de informação Operações internas, tópicos críticos, informações exter- nas, exceções Informação de apoio para situa- ções específicas Relatório das ope- rações internas, fluxo estruturado Uso principal Acompanhamento e controle Planejamento, organização e controle Controle SISTEMAS DE INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IU N I D A D E34 Os executivos esperam que a informática traga de fato o que precisam de modo operacionalmente simples e intuitivo, sem a necessidade de treina- mento especial. (Furlan, Ivo e Amaral). DIMENSÃO SIE SAD SIG Adaptação ao usuário Adaptável ao estilo decisório do exe- cutivo Permite recursos de simulação, julga- mento e escolha de estilos de diálogos Normalmente nenhuma Recursos grá- ficos Essencial Parte integrada de muitos SAD Desejável Facilidadecon- versacional Essencial Essencial Desejável Tratamento das informações Filtra e resume informações, apre- sentando exceções e tópicos essenciais Utiliza informações geradas pelo SIG ou SIE como input (entrada) Sumariza e relata informações para serem tratadas pelos usuários Detalhamento de informações Acesso instantâneo aos detalhes de qualquer resumo Podem ser progra- mados Inflexibilidade dos relatórios Banco de modelos Pode ser acrescentado Essência do sistema Disponível, mas não gerenciável Desenvolvi- mento Especialista em sistemas Usuários, com trei- namento oferecido pelos especialistas Especialistas em sistemas Fonte: Turban e Schaeffer (1991, p. 353). Considerações Finais Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 35 CONSIDERAÇÕES FINAIS Nessa unidade, ponderamos que com o surgimento da informática, algumas organizações mudaram em seu aspecto estrutural, funcional, comportamental e de desempenho e que com isso, as organizações passaram a valorizar um ele- mento que é primordial para sua sobrevivência, a informação. Nesse capítulo, estudamos também o significado da informação e como ela é importante para a sobrevivência de uma organização. Sem a informação não é possível para o gestor tomar decisões que poderão garantir o futuro da empresa. Através da informação, as organizações se tornaram cada vez mais competiti- vas, organizadas e aptas a responder às mudanças exigidas pelo cenário mundial. Com isso, os sistemas de informação também foram evoluindo de acordo com as necessidades organizacionais, antes o processo era todo feito de forma manual e levava dias para se obter uma informação desejada, hoje com a automatiza- ção dos sistemas de informação, é possível obter as informações desejadas em tempo real, possibilitando com isso, a tomar as decisões de forma mais rápida com o mínimo de erro possível. Foram apresentados nesse capítulo alguns tipos de sistemas de informação que são mais utilizados pelas empresas, porém, existem vários outros tipos de sistemas de informação que podem ser utilizados pela organização, de acordo com a necessidade de cada uma. Com o surgimento da informatização, devemos tomar várias precauções para que a informação das empresas não vá parar em mãos erradas ou possa ser utilizada por outra pessoa de forma que irá prejudicá-la e a seus clientes e forne- cedores. Devido a isso, existem várias precauções que devem ser tomadas para garantir a segurança das informações, conforme veremos nos próximos capítulos. 36 1. Proporciona benefícios específicos aos gerentes de todos os níveis da organiza- ção porque os capacita a recuperar, manipular e exibir informações de bancos de dados integrados para tomar decisões específicas. Essa aplicação do uso da tecnologia da informação é conhecida como sistema de: a. Automação de Escritório. b. Registro de Informações. c. Informações Executivas. d. Processamento de Transações. e. Apoio à decisão. 2. O que pode ser definido tecnicamente como um conjunto de componentes in- ter-relacionados que coletam, processam, armazenam e distribuem informações destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma organização? a. Tecnologia da informação. b. Informação. c. Sistema de informação. d. Telecomunicações. e. Processamento de dados. 3. Assinale a alternativa que descreve ordenadamente as funções de um sistema de informação. a. Armazenamento, entrada, saída. b. Entrada, saída, transmissão. c. Entrada, processamento, saída. d. Entrada, armazenamento, transmissão. e. Armazenamento, processamento, saída. 4. Sobre os objetivos organizacionais pelos quais as empresas investem em siste- mas de informação. Observe as afirmações abaixo: I. Atingir a excelência operacional (produtividade, eficiência e agilidade). II. Desenvolver novos produtos e serviços. 37 III. Assegurar a sobrevivência. IV. Melhorar sua relação com os fornecedores. V. Promover vantagem competitiva. Podemos afirmar que: a. Somente a alternativa I está correta. b. Somente a alternativa I e II estão corretas. c. Somente a alternativa I, III e V estão corretas. d. Somente a altenativa I, II, III e V estão corretas. e. Todas as alternativas estão corretas. 5. Quais são as três dimensões dos sistemas de informação? a. Tecnológica, administrativa e informativa. b. Organizacional, humana e tecnológica. c. Operacional, organizacional e administrativa. d. Comunicativa, administrativa e humana. e. Humana, administrativa e comunicativa. 6. Os _________ são sistemas ou processos que fornecem as informações neces- sárias para gerenciar com eficácia as organizações, gerando informações que apoiam na tomada de decisão administrativa. Preencha a lacuna. a. Sistemas de Informação Executiva (SIE). b. Sistemas de Apoio à Decisão (SAD). c. Sistemas de Informação Gerencial (SIG). d. Sistemas de Automação de Escritório (SAE). e. Sistemas de Processamento de Transações (SPT). MATERIAL COMPLEMENTAR Sistemas de Informação e as decisões gerenciais na era da Internet James A. O’Brien Editora: Saraiva Sinopse: a obra fornece um conteúdo muito mais abrangente do que os textos tradicionais, abordando os diversos temas com exemplos, casos reais e inúmeros exercícios. O objetivo é permitir aos leitores em geral que compreendam, utilizem e gerenciem a tecnologia da informação para revitalização e aperfeiçoamento dos processos de tomada de decisão e empresariais como um todo, conquistando vantagem competitiva. 39 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NO AMBIENTE DE NEGÓCIOS. Para Laudon e Laudon (2001) Tecnologia da Informação se restringe somente aos aspec- tos técnicos como hardware e software. Laurindo (2002) por sua vez, considera que o sucesso da gestão da área de Tecnologia da Informação, desenvolvimento, instala- ção e operação de computadores e ainda sistemas de informação, não dependem somente da eficiência dos equipamen- tos e softwares, obtida pelos analistas e engenheiros de projetos de tecnologia, mas dependem também da eficácia que compatibiliza os objetivos dos sistemas de informação e do uso dos computadores às necessidades da organização e dos usuários finais. A eficácia da Tecnologia da Informa- ção depende da empresa e de sua estrutura organizacional, podendo inspirar na pró- pria mudança estratégica do negócio. A inovação é o grande caminho para o sucesso naera digital. O caminho da ino- vação nos negócios significa fazer algo diferente, mais inteligente, ou melhor, que vai fazer uma diferença positiva em termos de valor, qualidade ou produtividade, utili- zando comprovadas tecnologias do mundo. A tecnologia da informação (TI) mudou drasticamente a vida dos indivíduos e orga- nizações. Atualmente compras on-line, marketing digital, redes sociais, comunica- ção digital e computação em nuvem, são os melhores exemplos de mudanças que surgiram com a tecnologia da informação. O sucesso de qualquer negócio depende de alguns fatores, por isso, é relevante que seja efetuada uma análise precisa, para que se possa escolher a tecnologia certa para o sucesso da organização. Estudos feitos de algumas décadas para cá, provou que as organizações que inves- tiram em tecnologia, aumentaram seus dados financeiros e aumentaram sua com- petitividade. A tecnologia da informação proporciona a oportunidade de analisar dados específicos, comunicações rápidas e aquisição de inteligência de mercado. A TI também fornece muitas ferramentas que podem resolver problemas complexos, ajuda a empresa a melhorar os processos de negócios, auxiliar no planejamento futuro nas organizações, a diminuir e o mais importante, garante que aumentam o crescimento das receitas, mantendo uma vantagem competitiva no mercado. Pode-se afirmar que a busca de vantagens competitivas é o principal motivo pelo qual as empresas utilizam a TI. Desde o início de sua utilização, buscava-se obter essa van- tagem através da redução de custos por meio da automação e aumento da efici- ência de processos. Em seguida, buscou-se a melhoria da qualidade das informações disponíveis para os gerentes médios, de maneira que pudessem controlar melhor as operações. Na etapa seguinte, busca- va-se utilizar a TI para gerar diferenciação competitiva, como a criação de barrei- ras de entrada ou elevação dos custos de substituição por meio dos então chama- dos sistemas estratégicos. A redução de custos, a melhoria no controle dos proces- sos e a utilização de sistemas estratégicos estão diretamente ligadas à busca pela melhoria da competitividade da empresa. Mais recentemente, a integração das ativi- dades da empresa por meio da chamada computação em rede busca melhorias 40 na competitividade, beneficiando-se da melhor coordenação entre as diversas ati- vidades da empresa. No cenário atual no qual a globalização, o aumento da competitividade e a interliga- ção de clientes e fornecedores em cadeias de suprimento são preponderantes, a uti- lização de Tecnologia da Informação pode ser considerada como fator de sobrevivên- cia da organização. Torna-se difícil alcançar o sucesso comercial de longo prazo, sem alavancar os benefícios da tecnologia da informação na era digi- tal. As empresas têm de suportar um custo razoável para alcançar esse sucesso, por- que o uso de uma abordagem inovadora na estratégia de negócios, empregando profissionais de TI altamente treinados e tomar decisões certas no momento certo são o pré-requisito do sucesso do negócio. Como soluções de TI continuam a aumen- tar a produtividade, eficiência e eficácia das operações de negócios e comunicação, as empresas continuarão a confiar em Tec- nologia da Informação para seu sucesso. Fonte: Borges (2005, on-line)1. REFERÊNCIAS 41 GABARITO 1. E. 2. C. 3. C. 4. D. 5. B. 6. C. U N ID A D E II Professora Esp. Adriane Joyce Xavier SEGURANÇA DA INFORMAÇÃO Objetivos de Aprendizagem ■ Entender o conceito de Segurança de Informação. ■ Entender como as informações são classificadas para que possamos analisar o grau de sua importância para a organização. ■ Entender o que é uma ameaça e quais são as vulnerabilidades da Segurança da Informação. ■ Conhecer os riscos que podem ocorrer na segurança da informação e entender o que significa um incidente. Plano de Estudo A seguir, apresentam-se os tópicos que você estudará nesta unidade: ■ Segurança da Informação ■ Classificação da Informação ■ Vulnerabilidades da Informação ■ Ameaças à Segurança da Informação ■ Risco ■ Incidente ■ Ataques a Segurança da Informação INTRODUÇÃO Conforme estudamos no capítulo anterior, o mundo moderno tem dedicado especial atenção à informação, devido à sua importância para a manutenção dos negócios e a realização de novos empreendimentos. A boa informação abre ver- dadeiras oportunidades para quem a possui, o que torna o cenário dos negócios mais dinâmico e acirrado em busca de novos mercados, acordos internacionais, poder e qualidade, dentre outros, e isso gera a competitividade e transforma a informação no principal elemento motriz desse ambiente altamente competi- tivo, que requer, assim, proteção especial. Tudo isso atribui à informação um importante valor, transformando-a num ativo essencial aos negócios de uma organização, necessitando ser protegida. Vale ressaltar que, atualmente, a grande maioria das informações disponíveis nas organizações encontra-se armazenadas e são trocadas entre os mais varia- dos sistemas automatizados. Dessa forma, por inúmeras vezes, decisões e ações tomadas decorrem das informações manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer informação deve ser correta, precisa e estar dis- ponível, a fim de ser armazenada, recuperada, manipulada ou processada, além de poder ser trocada de forma segura e confiável. Por esta razão, a segurança da informação tem sido uma questão de elevada prioridade nas organizações. É possível inviabilizar a continuidade de uma instituição se não for dada a devida atenção à segurança de suas informações. Com a chegada dos computa- dores pessoais e das redes de computadores, que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados. Para proteger a informação, a empresa precisa ter um processo organiza- cional de segurança da informação, que tem por objetivo, permitir e possibilitar que a organização funcione adequadamente, ao depender da informação e dos recursos de informação. Introdução Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 45 Segurança da Informação Não Repúdio Integridade Con�dencialidade Autencidade Disponibilidade SEGURANÇA DA INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IIU N I D A D E46 SEGURANÇA DA INFORMAÇÃO Conforme a norma NBR ISO/IEC 27002, Segurança da Informação é a proteção da informação quanto a vários tipos de ameaças, de modo a garantir a continui- dade do negócio, minimizar o risco para o negócio, maximizar o retorno sobre o investimento e as oportunidades de negócio. A segurança da informação diz respeito à pro- teção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização ou um indivíduo. Compreende um conjunto de medidas que buscam proteger e pre- servar informações e sistemas de informações, assegurando-lhes a confidencialidade, integridade e a disponibilidade. Alguns autores ainda incluem outros aspectos de segurança como o não repúdio e a autenticidade. Esses elementos constituem os pilares da segurança da informação (Figura 1) que devem ser leva- dos em consideração, pois toda ação que venha a comprometer qualquer uma dessas qualidades estará atentando contra a sua segurança. Figura 1. 5 Pilares que compõem a Segurança da Informação Fonte: o autor. Segurança da Informação Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 47 ■ Confidencialidade: informação que diz respeito ao direito de acesso. Ocorre a quebra da confidencialidade da informação ao se permitir que pessoas não autorizadas tenham acessoao seu conteúdo. A perda da con- fidencialidade é a perda do segredo da informação. Medidas de segurança devem garantir que a informação esteja acessível apenas para quem tem permissão de acesso, evitando assim, revelação não autorizada. ■ Integridade: garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legí- tima e permaneça consistente. Ocorre a quebra da integridade quando a informação é corrompida, falsificada, roubada ou destruída. Medidas de segurança devem garantir que a informação seja alterada somente por pessoas e/ou ativos associados autorizados e em situações que efetiva- mente demandem a alteração legítima. ■ Disponibilidade: acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. É a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Ocorre a quebra da disponibilidade quando a informação não está disponível para ser utilizada, ou seja, ao alcance de seus usuários e destinatários, não podendo ser acessada no momento em que for neces- sário utilizá-la. Medidas de segurança devem garantir que a informação esteja disponível, sempre que necessário, aos usuários e/ou sistemas asso- ciados que tenham direito de acesso a ela. ■ Autenticidade: diz respeito à certeza da origem da informação. Medidas de segurança devem garantir que a informação provém da fonte anun- ciada e que não foi alvo de mutação ao longo de sua transmissão. ■ Não Repúdio: diz respeito à garantia de que o autor de determinada ação não possa negar tal ação. Medidas de segurança devem garantir meios que identifique inequivocamente o autor de uma ação. A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de informação requer medidas de segurança, que por vezes, são também utilizadas como forma de garantir a autenticidade e o não repúdio. Todas estas medidas, independentemente do seu objetivo, necessitam ser implemen- tadas antes do incidente ocorrer. As medidas de segurança podem ser classificadas, em função da maneira como abordam as ameaças, em duas grandes categorias: SEGURANÇA DA INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IIU N I D A D E48 ■ Prevenção: é o conjunto das medidas que buscam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extin- gue-se quando uma ameaça se transforma num incidente. ■ Proteção: é o conjunto das medidas que buscam dotar os sistemas de infor- mação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente. Um Programa de Segurança bem estruturado deverá reduzir as vulnerabilida- des dos sistemas de informação e fazer evoluir as suas capacidades de inspeção, detecção, reação e reflexo, assentando num conjunto universal de princípios que garanta o seu equilíbrio e eficiência. CLASSIFICAÇÕES DA INFORMAÇÃO A classificação da informação contribui para a manutenção das principais carac- terísticas da informação (confidencialidade, integridade e disponibilidade). A norma NBR ISO 27002 não estabelece classificação para as informações, ape- nas recomenda que a informação seja classificada considerando-se o seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação das informações propostas por Beal (2005), para atender aos requisitos de Confidencialidade, disponibilidade, integridade e autenticidade, foram definidas da seguinte forma: ■ Confidencialidade: para os requisitos de confidencialidade são: ■ Confidencial: toda informação cuja divulgação para pessoas não auto- rizadas pode causar danos graves à organização. ■ Reservada: informações que no interesse da organização devem ser de conhecimento restrito e cuja revelação não autorizada pode frustrar o alcance de objetivos e metas. ■ Pública: informações de livre acesso. Classificações da Informação Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 49 ■ Disponibilidade: orienta que a informação deve ser classificada de acordo com o impacto que a sua falta pode provocar para a empresa, podendo ser estabelecidas categorias para o tempo de recuperação (de minutos a semanas). Exemplifica, classificando-as por tempo de recuperação em: curto, 18 médio, sem exigência e com exigência (sazonalidade). ■ Integridade: classifica as informações em alta, média e baixa exigência de integridade. ■ Autenticidade: classifica-as quanto à exigência da verificação da autenticidade ou não, que podem ser, por exemplo, informações que devem ter a sua procedência confirmada antes da utilização, como no caso de um pedido de criação de senha de acesso a um sistema de informação. Outra classificação que pode ser feita é com relação ao grau de importância dos dados para os principais processos de negócios e o custo para a sua recupera- ção no caso da ocorrência de um evento ou desastre. Esses dados podem ser classificados em: ■ Crítico: dados ou documentos que devem ser mantidos por razões legais, para uso nos processo-chaves dos negócios, ou para uma mínima restau- ração aceitável nos níveis de trabalho em um evento ou desastre. ■ Vital: dados ou documentos que devem ser mantidos para uso nos proces- sos normais, e que representam um investimento substancial de recursos da companhia, que podem dificultar ou impossibilitar a sua recupera- ção, mas que podem não ser necessários numa situação de recuperação de desastre. Informações que necessitam de sigilo especial podem ser incluídas nessa categoria. ■ Sensível: dados ou documentos que devem ser necessários nas ope- rações normais, mas para os quais existem fornecimentos alternativos disponíveis em um evento de perda. Dados que podem ser reconstruí- dos rapidamente, por completo, mas que possuem algum custo, podem ser classificados nessa categoria. ■ Não crítico: dados ou documentos que podem ser reconstruídos facil- mente com custo mínimo, ou cópias de dados críticos, vitais e sensíveis, que não necessitem de pré-requisitos de proteção. SEGURANÇA DA INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IIU N I D A D E50 Outro esquema de classificação das informações pode ser feito considerando- -se os níveis estratégico, tático e operacional da empresa. Essa opção poderia considerar, por exemplo, que as informações do nível estratégico sejam classi- ficadas como confidenciais (críticas ou vitais), as do nível tático como restritas (sensíveis), e as do nível operacional como sensível (algumas) e públicas ou ostensivas (não críticas). Como visto, a classificação tende a variar de organização para organização, sejam elas públicas ou privadas e a diferença está no critério a ser adotado. Em geral, a classificação da informação objetiva assegura um nível adequado de pro- teção, e o importante é que seja feita uma classificação que objetive preservar os requisitos fundamentais estabelecidos pela organização para a segurança das informações durante o seu ciclo de vida. VULNERABILIDADES DA INFORMAÇÃO Vulnerabilidades são fragilidades que de alguma forma podem vir a pro- vocar danos. A norma NBR ISO/IEC 27002 define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. Como verificado, as vulnerabilidades estão relacionadas diretamente com as fragilidades. Essas fragilidades podem estar nos processos, políticas, equipa- mentos e nos recursos humanos. Por si só, elas não provocam incidentes, pois sãoelementos passivos, necessitando para tanto de um agente causador ou de condição favorável, já que se trata de ameaças. Hoje em dia, a internet é um dos principais pontos de invasão, o que demons- tra que essa tecnologia tem contribuído para o aumento das vulnerabilidades. Outro ponto que desperta a atenção é que, apesar da evolução da segurança da Vulnerabilidades da Informação Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 51 informação, os ataques ainda permanecem em patamar preocupante, os vírus permanecem como a principal fonte de grandes perdas financeiras, seguido do acesso não autorizado. Outro ponto de vulnerabilidade tem relação com os funcionários e prestadores de serviço. Sabemos que a fuga das informações e a sua exposição involuntária ocorrem em momentos simples do dia a dia da empresa, o que torna os recur- sos humanos uma das maiores preocupações para a implementação de políticas e treinamentos voltados para a proteção das informações. Tudo isso demons- tra o quanto existe de vulnerabilidade no ambiente de negócios, bem como o tamanho da preocupação dos especialistas em segurança da informação com o crescimento da tecnologia. É certo que ela torna a vida mais prática e as informa- ções mais acessíveis, proporcionando conforto, economia de tempo e segurança, mas, essa aparente segurança não é motivo de tranquilidade, pois a ausência de uma cultura da segurança das informações cria um ambiente vulnerável às informações, pois os mesmos benefícios que a tecnologia oferece, são também utilizados para a prática de ações danosas às empresas, como visto nos argu- mentos apresentados acima. ©shutterstock SEGURANÇA DA INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IIU N I D A D E52 A origem das vulnerabilidades pode advir de vários aspectos como, instalações físicas desprotegidas contra incêndio, inundações e desastres naturais, material inadequado empregado nas construções, ausência de políticas de segurança para RH, funcionários sem treinamento e insatisfeitos nos locais de trabalho, ausên- cia de procedimentos de controle de acesso e de utilização de equipamentos por pessoal contratado, equipamentos obsoletos, sem manutenção e sem restrições para sua utilização, software sem patch de atualização e sem licença de funcio- namento, entre outros. Para uma melhor compreensão das vulnerabilidades, podemos classificá-las como: ■ Naturais: estão relacionadas com as condições da natureza ou do meio ambiente que podem colocar em risco as informações. Podem ser: locais sujeitos a incêndios em determinado período do ano, locais próximos a rios propensos a inundações, terremotos, maremotos, furacões, entre outros. ■ Organizacionais: diz respeito a políticas, planos e procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da organização e que não seja enquadrado em outras classificações. Podem ser: ausência de políticas de segurança e treinamento, falhas ou ausência de processos, procedimentos e rotinas, falta de planos de contingência, recuperação de desastres e de continuidade, entre outros. ■ Física: diz respeito aos ambientes em que estão sendo processadas ou gerenciadas as informações. Podem ser: instalações inadequadas, ausên- cia de recursos para combate a incêndio, disposição desordenada dos cabos de energia e de rede, portas destrancadas, acesso desprotegido às salas de computador, entre outros. ■ Hardware: possíveis defeitos de fabricação ou configuração dos equipa- mentos que podem permitir o ataque ou a alteração dos mesmos. Exemplo: a conservação inadequada dos equipamentos, falta de configuração de suporte ou equipamentos de contingência, patches ausentes, firmware desatualizado, sistemas mal configurados, protocolos de gerenciamento permitidos por meio de interfaces públicas, entre outros. Vulnerabilidades da Informação Re pr od uç ão p ro ib id a. A rt . 1 84 d o Có di go P en al e L ei 9 .6 10 d e 19 d e fe ve re iro d e 19 98 . 53 ■ Software: são constituídos por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador, inclu- sive sem o conhecimento de um usuário ou administrador de rede. Os principais pontos de vulnerabilidade encontrados estão na configuração e instalação indevida, programas, inclusive o uso de email, que permi- tem a execução de códigos maliciosos, editores de texto que permitem a execução de vírus de macro. ■ Meios de armazenamento: são todos os suportes físicos ou magnéticos utilizados para armazenar as informações, tais como: disquetes, CD ROM, fita magnética, discos rígidos dos servidores e dos bancos de dados, tudo o que está registrado em papel. As suas vulnerabilidades advêm de prazo de validade e expiração, defeito de fabricação, utilização incorreta, local de armazenamento em áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, entre outros. ■ Humanas: constituem a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade. Sua origem pode ser: falta de capacitação específica para a execução das atividades inerentes às funções de cada um, falta de consciência de segu- rança diante das atividades de rotina, erros, omissões, descontentamento, desleixo na elaboração e segredo de senhas no ambiente de trabalho, não utilização de criptografia na comunicação de informações de elevada cri- ticidade, quando possuídas na empresa. ■ Comunicação: incluem todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão relacionados com a qualidade do ambiente que foi preparado para o trá- fego, tratamento, armazenamento e leitura das informações, a ausência de sistemas de criptografia nas comunicações, a má escolha dos sistemas de comunicações para o envio da mensagem, os protocolos de rede não criptografados, as conexões a redes múltiplas, os protocolos desnecessá- rios permitidos, a falta de filtragem entre os segmentos da rede. SEGURANÇA DA INFORMAÇÃO Reprodução proibida. A rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998. IIU N I D A D E54 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO No ambiente atual, as empresas devem estar sempre atentas para as ameaças aos negócios corporativos, que, se concretizadas poderão tirá-las desse cená- rio, encerrando suas atividades para sempre. Com a automação dos sistemas de processamento e de armazenamento de informações, a própria informação torna-se mais susceptível às ameaças, uma vez que ela (a informação) está mais acessível e disponível para usuários de uma forma geral. Mas, o que são ameaças? Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas. A norma ISO/IEC 13335-1 define amea- ças como a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização. Sêmola (2003) define ameaças como agentes ou condições que causam inci- dentes que comprometem as informações e seus ativos, por meio da exploração de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e disponibilidade, e, consequentemente, causando impactos aos negócios de uma organização. Para Beal (2005), ameaças são expectativas de acontecimento acidental ou proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo de informação. Observa-se que as vulnerabilidades estão relacionadas com situações de fra- gilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com um incidente indesejado que, em decorrência dessas vulnerabilidades pode vir a provocar algum dano. As ameaças podem ser: ■ Naturais: são aquelas
Compartilhar