Segurança e Auditoria de Sistemas

Prévia do material em texto

SEGURANÇA E 
AUDITORIA DE 
SISTEMAS
Professora Esp. Adriane Joyce Xavier
GRADUAÇÃO
Unicesumar
C397 CENTRO UNIVERSITÁRIO DE MARINGÁ. Núcleo de Educação a 
Distância; XAVIER, Adriane Joyce. 
 
 Segurança e Auditoria de Sistemas. Adriane Joyce Xavier. 
 Reimpressão - 2020.
 Maringá-Pr.: UniCesumar, 2016. 
 168 p.
“Graduação - EaD”.
 
 1. Segurança. 2. Auditoria. 3. Sistemas EaD. I. Título.
ISBN 978-85-459-0343-7
CDD - 22 ed. 658
Coordenador de Conteúdo
Fabiana de Lima
Design Educacional
Ana Cláudia Salvadego
Iconografia
Amanda Peçanha dos Santos
Ana Carolina Martins Prado
Projeto Gráfico
Jaime de Marchi Junior
José Jhonny Coelho
Arte Capa
Arthur Cantareli Silva
Editoração
José Jhonny Coelho
Qualidade Textual
Hellyery Agda
Revisão Textual
Kaio Vinicius Cardoso Gomes
Ilustração
Bruno Pardinho
Ficha catalográfica elaborada pelo bibliotecário 
João Vivaldo de Souza - CRB-8 - 6828
Impresso por:
Reitor
Wilson de Matos Silva
Vice-Reitor
Wilson de Matos Silva Filho
Pró-Reitor Executivo de EAD
William Victor Kendrick de Matos Silva
Pró-Reitor de Ensino de EAD
Janes Fidélis Tomelin
Presidente da Mantenedora
Cláudio Ferdinandi
NEAD - Núcleo de Educação a Distância
Diretoria Executiva
Chrystiano Minco�
James Prestes
Tiago Stachon 
Diretoria de Graduação
Kátia Coelho
Diretoria de Pós-graduação 
Bruno do Val Jorge
Diretoria de Permanência 
Leonardo Spaine
Diretoria de Design Educacional
Débora Leite
Head de Curadoria e Inovação
Tania Cristiane Yoshie Fukushima
Gerência de Processos Acadêmicos
Taessa Penha Shiraishi Vieira
Gerência de Curadoria
Carolina Abdalla Normann de Freitas
Gerência de de Contratos e Operações
Jislaine Cristina da Silva
Gerência de Produção de Conteúdo
Diogo Ribeiro Garcia
Gerência de Projetos Especiais
Daniel Fuverki Hey
Supervisora de Projetos Especiais
Yasminn Talyta Tavares Zagonel
Viver e trabalhar em uma sociedade global é um 
grande desafio para todos os cidadãos. A busca 
por tecnologia, informação, conhecimento de 
qualidade, novas habilidades para liderança e so-
lução de problemas com eficiência tornou-se uma 
questão de sobrevivência no mundo do trabalho.
Cada um de nós tem uma grande responsabilida-
de: as escolhas que fizermos por nós e pelos nos-
sos farão grande diferença no futuro.
Com essa visão, o Centro Universitário Cesumar 
assume o compromisso de democratizar o conhe-
cimento por meio de alta tecnologia e contribuir 
para o futuro dos brasileiros.
No cumprimento de sua missão – “promover a 
educação de qualidade nas diferentes áreas do 
conhecimento, formando profissionais cidadãos 
que contribuam para o desenvolvimento de uma 
sociedade justa e solidária” –, o Centro Universi-
tário Cesumar busca a integração do ensino-pes-
quisa-extensão com as demandas institucionais 
e sociais; a realização de uma prática acadêmica 
que contribua para o desenvolvimento da consci-
ência social e política e, por fim, a democratização 
do conhecimento acadêmico com a articulação e 
a integração com a sociedade.
Diante disso, o Centro Universitário Cesumar al-
meja ser reconhecido como uma instituição uni-
versitária de referência regional e nacional pela 
qualidade e compromisso do corpo docente; 
aquisição de competências institucionais para 
o desenvolvimento de linhas de pesquisa; con-
solidação da extensão universitária; qualidade 
da oferta dos ensinos presencial e a distância; 
bem-estar e satisfação da comunidade interna; 
qualidade da gestão acadêmica e administrati-
va; compromisso social de inclusão; processos de 
cooperação e parceria com o mundo do trabalho, 
como também pelo compromisso e relaciona-
mento permanente com os egressos, incentivan-
do a educação continuada.
Seja bem-vindo(a), caro(a) acadêmico(a)! Você está 
iniciando um processo de transformação, pois quando 
investimos em nossa formação, seja ela pessoal ou 
profissional, nos transformamos e, consequentemente, 
transformamos também a sociedade na qual estamos 
inseridos. De que forma o fazemos? Criando oportu-
nidades e/ou estabelecendo mudanças capazes de 
alcançar um nível de desenvolvimento compatível com 
os desafios que surgem no mundo contemporâneo. 
O Centro Universitário Cesumar mediante o Núcleo de 
Educação a Distância, o(a) acompanhará durante todo 
este processo, pois conforme Freire (1996): “Os homens 
se educam juntos, na transformação do mundo”.
Os materiais produzidos oferecem linguagem dialógica 
e encontram-se integrados à proposta pedagógica, con-
tribuindo no processo educacional, complementando 
sua formação profissional, desenvolvendo competên-
cias e habilidades, e aplicando conceitos teóricos em 
situação de realidade, de maneira a inseri-lo no mercado 
de trabalho. Ou seja, estes materiais têm como principal 
objetivo “provocar uma aproximação entre você e o 
conteúdo”, desta forma possibilita o desenvolvimento 
da autonomia em busca dos conhecimentos necessá-
rios para a sua formação pessoal e profissional.
Portanto, nossa distância nesse processo de cresci-
mento e construção do conhecimento deve ser apenas 
geográfica. Utilize os diversos recursos pedagógicos 
que o Centro Universitário Cesumar lhe possibilita. Ou 
seja, acesse regularmente o AVA – Ambiente Virtual de 
Aprendizagem, interaja nos fóruns e enquetes, assista 
às aulas ao vivo e participe das discussões. Além dis-
so, lembre-se que existe uma equipe de professores 
e tutores que se encontra disponível para sanar suas 
dúvidas e auxiliá-lo(a) em seu processo de aprendiza-
gem, possibilitando-lhe trilhar com tranquilidade e 
segurança sua trajetória acadêmica.
A
U
TO
R
A
Professora Esp. Adriane Joyce Xavier
Permita-me que eu me apresente. Sou a professora Adriane Joyce Xavier, autora 
deste livro. Sou bacharel em Sistemas de Informação pela Faculdade de Apucarana 
(FAP) e especialista em Gestão Financeira, Contábil e Auditoria pela INBRAPE/
UNESPAR (Universidade Estadual do Paraná). Trabalho como desenvolvedora 
de sistemas utilizando a linguagem de programação Progress na plataforma 
OpenEdge. Trabalhei como analista de requisitos em uma empresa desenvolvedora 
de sistemas para dispositivos móveis e, como uma das responsáveis pelo setor de 
qualidade de uma empresa que desenvolvia sistemas para empresas e indústrias 
que desejavam automatizar suas atividades operacionais.
SEJA BEM-VINDO(A)!
Caro(a) aluno(a), é com grande prazer que lhe escrevo este livro esperando que ele pos-
sa contribuir com sua futura formação. 
Nos dias atuais, a informação é de notória relevância para uma organização e funda-
mental para os negócios, por isso, é importante que ela seja adequadamente protegida. 
Com o crescimento da interconectividade entre os ambientes de trabalho, a informa-
ção fica exposta a uma grande variedade de ameaças, com isso, as organizações têm 
se preocupado cada vez mais em aumentar a segurança e o controle das informações. 
Daí a necessidade da segurança da informação, que consiste na proteção da informação 
contra os vários tipos de ameaças, minimizando os riscos relacionados com o negócio.
Para obter a segurança da informação, torna-se necessário um conjunto de controles 
adequados, com o intuito de garantir que os objetivos do negócio e de segurança da 
organização sejam concretizados. Esses controles devem ser alterados e aperfeiçoados 
com o passar do tempo, permitindo que as organizações cuidem e se previnam contra 
eventuais riscos causados pela falta de segurança. 
Outra forma de controle com a segurança da informação ocorre por meio de um proces-
so de auditoria de sistemas, que busca descobrir as irregularidades em tais departamen-
tos ou nos centros de processamento. A auditoria também identifica os pontos que irão 
desagradar a alta administração, para que eles possam ser corrigidos.
Este livro visa elucidar o conceito sobre a importância da segurança e auditoria dos sis-
temas de informações, bem como, destacar modelos e normas que podem ser utilizados 
para proteger a informação e os cuidados que se deve ter para desenvolverum software 
mais seguro. Os temas que serão abordados são detalhados a seguir.
A unidade I irá tratar sobre o tema Sistemas de Informação. Nesta unidade será explicado 
o conceito de informação e sistemas de informação. Explicarei sobre as atividades que 
compõem um sistema de informação e seus principais componentes. Também serão de-
talhados os diferentes níveis organizacionais de um sistema de informação e seus tipos. 
Na unidade II, o assunto será a segurança da informação, muito importante nos dias atu-
ais devido ao grande aumento dos acessos à internet. Explicarei sobre o conceito de se-
gurança da informação e os pilares que devem ser levados em consideração quando se 
deseja realizar a segurança da informação. Também será explicado como as informações 
são classificadas; o que são vulnerabilidades e como elas são classificadas; quais são as 
ameaças da segurança da informação e os tipos de ameaças existentes; quais os riscos, 
incidentes e ataques que existem hoje e será ainda citado alguns dos tipos de ataques 
que ameaçam a segurança da informação.
Na unidade III, o tema será a segurança informática e será um complemento do capítulo 
II. Nessa unidade abordarei os mecanismos de controles que existem para proteger os 
sistemas de informação e equipamentos de informática e também a política de segu-
rança da informação que as organizações devem possuir com suas regras e normas de 
conduta, a fim de diminuir as ocorrências de incidentes.
APRESENTAÇÃO
SEGURANÇA E AUDITORIA DE SISTEMAS
Na unidade IV, irei abordar a Auditoria de Sistemas. Será passado o conceito de audi-
toria e auditoria de sistemas, quais as estratégias que podem ser utilizadas no levan-
tamento de informações da auditoria, quais os tipos de auditorias que existem, as 
principais áreas da auditoria interna e quais normas e modelos podem ser utilizados 
para auxiliar a auditoria de sistemas.
A unidade V irá tratar sobre o Desenvolvimento de Software Seguro. Nela, será abor-
dada a necessidade de se desenvolver um software com segurança desde o ciclo 
de vida inicial de um sistema, é evidente que também devemos tomar o mesmo 
cuidado com as alterações em um sistema já existente, conhecer quais as atividades 
e processos do ciclo de vida para desenvolvimento de software com segurança e 
quais os modelos de maturidade que podem ser utilizados para auxiliar no desen-
volvimento de software seguro.
Espero que você possa fazer bom uso deste material. Tenha uma ótima leitura!
Prof.ª Esp. Adriane Joyce Xavier.
APRESENTAÇÃO
SUMÁRIO
09
UNIDADE I
SISTEMAS DE INFORMAÇÃO
15 Introdução
16 Informação 
18 Sistemas de Informação (SI) 
35 Considerações Finais 
41 Gabarito 
UNIDADE II
SEGURANÇA DA INFORMAÇÃO
45 Introdução
46 Segurança da Informação 
48 Classificações da Informação 
50 Vulnerabilidades da Informação 
54 Ameaças à Segurança da Informação 
58 Risco 
60 Incidente 
61 Ataques a Segurança da Informação 
67 Considerações Finais 
72 Gabarito 
SUMÁRIO
10
UNIDADE III
SEGURANÇA INFORMÁTICA
75 Introdução
76 Segurança Informática 
77 Mecanismos de Segurança da Informação 
93 Política de Segurança da Informação 
96 Considerações Finais 
102 Gabarito 
UNIDADE IV
AUDITORIA DE SISTEMAS
105 Introdução
106 Auditoria 
107 Auditoria de Sistemas 
118 Normas e Ferramentas de Apoio a Auditoria Informática 
125 Considerações Finais 
132 Gabarito 
SUMÁRIO
11
UNIDADE V
DESENVOLVIMENTO DE SOFTWARE SEGURO
135 Introdução
136 Desenvolvimento de Software Seguro 
156 Considerações Finais 
163 Conclusão 
168 Gabarito 
U
N
ID
A
D
E I
Professora Esp. Adriane Joyce Xavier
SISTEMAS DE 
INFORMAÇÃO
Objetivos de Aprendizagem
 ■ Entender o conceito de Informação e Sistemas de Informação.
 ■ Entender o que é um Sistema de Informação e quais os tipos de 
sistemas de informações existentes.
 ■ Conhecer os sistemas de informação que podem apoiar os processos 
de atuação de uma empresa, na tomada de decisões administrativas 
e nas estratégias voltadas à vantagem competitiva.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
 ■ A Informação
 ■ Sistemas de Informação
INTRODUÇÃO
A informação é um elemento básico para a humanidade desde a sua existên-
cia. Atualmente, a informação consiste em um dos principais patrimônios de 
uma organização, pois se trata de um item muito importante para a sobrevivên-
cia das empresas. 
A informação viabiliza o sucesso de uma empresa, pois possibilita que através 
dela sejam efetuados planejamentos estratégicos e que as atividades operacionais 
da empresa sejam realizadas e controladas. Informações que foram adulteradas, 
que não estejam disponíveis ou que estejam em mãos de pessoas mal-intencio-
nadas ou de concorrentes, podem comprometer significamente o andamento 
dos processos institucionais ou a imagem da instituição perante seus clientes.
A Informação pode ser manipulada e visualizada de diversas maneiras, assim, 
à medida que a informação circula pelos mais variados ambientes, percorrendo 
diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, 
possibilitando que a mesma seja lida, arquivada, modificada, controlada ou até 
mesmo apagada, a esse processo damos o nome de Sistemas de informação.
Sistemas de informação são formas utilizadas para manipular dados e gerar 
informações, podendo as mesmas serem automatizadas ou não. Desde a inser-
ção do computador como dispositivo que auxilia em variadas atividades, até os 
dias atuais, ocorreu uma evolução nos modelos computacionais e nas tecnolo-
gias usadas para manipular, armazenar e apresentar informações. Hoje, muitas 
empresas, pequenas ou grandes, usam os sistemas de informação para atingir 
importantes objetivos organizacionais, se relacionar melhor com clientes, asse-
gurar a sobrevivência da empresa, promover vantagem competitiva, melhorar a 
tomada de decisão e criar novos produtos e serviços.
Neste capítulo estudaremos de forma detalhada o que são sistemas de 
informação e como esses sistemas podem ser empregados com sucesso em 
um ambiente de negócios.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
15
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E16
INFORMAÇÃO
Segundo Beal (2001), informação é o dado modificado da sua forma crua e sem 
sentido, permitindo ao gestor uma tomada de decisão assertiva. Chiavenato 
(2000), diz que para ser considerada informação, um conjunto de dados precisa 
possuir significado, ou seja, um conjunto de dados por si só, não é informação, 
só será, se este possuir sentido.
Conforme alerta Beal (2001, p.78), “a informação é um patrimônio, ela agrega 
valor à organização”. A partir desse contexto, sendo a informação um bem que 
agrega valor a uma empresa ou a um indivíduo, é necessário fazer uso de recur-
sos de TI de maneira apropriada, ou seja, é preciso utilizar ferramentas, sistemas 
ou outros meios que façam das informações um diferencial competitivo.
Informação quer dizer dados apresentados em uma forma significativa e útil 
para as pessoas. Dados, ao contrário, são sequências de fatos brutos que repre-
sentam eventos que ocorrem nas organizações ou no ambiente físico, antes de 
terem sido organizados e arranjados de uma forma que as pessoas possam enten-
dê-los e usá-los.
©shutterstock
Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
17
Para comparar dados e informação, um exemplo pode ser dado através de 
vendas realizadas no caixa de um supermercado. Esses caixas registram milhões 
de dados no dia, como o código de barras e quantidade de cada produto. Esses 
dados somados podem gerar no fim do dia informações como o total de ven-
das realizadas de umdeterminado produto, que tipo de marca do produto tem 
mais saída, e assim por diante.
Atualmente, tem-se dedicado especial atenção à informação devido a sua 
importância para os negócios e para a realização de novos empreendimentos. 
Quando se trata de uma boa informação, verdadeiras oportunidades são abertas 
para quem as possue, o que torna o cenário dos negócios mais dinâmico e acir-
rado na busca por novos mercados, acordos internacionais, poder e qualidade, 
dentre outros, o que gera competitividade e transforma a informação no princi-
pal elemento motriz desse ambiente altamente competitivo, requerendo assim, 
proteção especial. Em contrapartida, a ausência da informação, ou a informação 
de má qualidade, constitui uma grande ameaça e pode levar empresas à extin-
ção. Tudo isso atribui à informação um relevante valor, transformando-a num 
ativo essencial aos negócios de uma organização. 
 ■ A informação pode existir de várias formas:
 ■ Impressa ou escrita em papel.
 ■ Armazenada eletronicamente.
 ■ Transmitida pelo correio ou por meios eletrônicos.
 ■ Mostrada em vídeos.
 ■ Verbal.
O ato de transferir e pro-
cessar informações ocorre 
por meio de um sistema de 
informação, mas não neces-
sariamente por um sistema de 
TI, como veremos nos próxi-
mos capítulos.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E18
SISTEMAS DE INFORMAÇÃO (SI)
Um Sistema de Informação pode ser definido como um conjunto de componentes 
inter-relacionados, podendo ser automatizado ou não, que coletam, processam, 
armazenam e distribuem informações destinadas a apoiar a tomada de decisões, 
a coordenação e o controle de uma organização, auxiliando também os geren-
tes e trabalhadores a analisar problemas, visualizar assuntos complexos e criar 
novos produtos. 
Um sistema de informação tem um papel fundamental e cada vez maior em 
todas as organizações de negócios, podendo ter um enorme impacto na estraté-
gia corporativa e no sucesso organizacional.
Os sistemas de informação surgiram antes mesmo da informática. Antes dos 
computadores, as organizações se baseavam basicamente em técnicas de arquiva-
mento e recuperação de informação, existia a pessoa responsável em organizar os 
dados, registrar, catalogar e recuperá-los quando necessário. Esse método exigia 
um grande esforço para manter os dados atualizados e também para acessá-los. 
As informações em papel não possibilitavam o cruzamento de informações e 
análise de dados, devido a isso, era exigido um grande número de pessoas para 
atualizações de determinados processos, o que aumentava a probabilidade de 
erros. Com o surgimento da tecnologia da informação, todo esse processo pas-
sou a ser informatizado. “A adoção de TI possibilita às pessoas fazer mais em 
menor espaço de tempo, de modo que a eficiência resulte em economia de tempo 
que, por sua vez, pode ser reinvestida na eficácia pessoal” (TAPSCOTT, 1997, p. 
84). Algumas organizações ainda utilizam o método manual citado, mas como 
a maioria das organizações passou a automatizar seus processos, o foco desse 
capítulo será sobre os sistemas de informação informatizados.
O Sistema de Informação, tanto manual quanto automatizado, possui 3 ati-
vidades conforme definido na figura 1.
Figura 1 – Atividades de um Sistema de Informação
Entrada Processamento Saída
Sistemas de Informação
Fonte: o autor.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
19
 Entrada: são dados inseridos ou coletados. Exemplo: Nome cliente, ende-
reço, entre outros.
 Processamento: converte os dados da entrada em informações mais 
significativas.
 Saída: transfere as informações processadas às pessoas que as utilizarão. Essas 
informações processadas poderão auxiliar o gerente na tomada de decisão 
dentro da organização.
Os Sistemas de Informação também requerem um feedback, o qual trata-se da 
saída que retorna a determinados membros da organização para avaliar ou cor-
rigir o estágio de entrada.
Um sistema de informação é um sistema composto de pessoas e computa-
dores que processam ou interpretam informação. Um Sistema de Informação 
consiste em 6 componentes principais interligados, que dependem um do outro, 
e são eles:
 ■ Recursos de Hardware: são todos os dispositivos físicos e materiais uti-
lizados no processamento das informações. Refere-se às máquinas e 
mídias de máquinas, tais como computador, monitor de vídeo, disposi-
tivos de entrada e de saída, dispositivos de armazenagem e dispositivos 
de comunicação. 
 ■ Recursos de Software: são programas de computador semelhantes a pro-
gramas de sistemas operacionais, planilhas eletrônicas, programas de 
processamento de textos, folhas de pagamentos e procedimentos como 
entrada de dados, correção de erros, entre outros.
 ■ Dados: são fatos que são utilizados por programas para produzir infor-
mações úteis como descrição de produto, cadastro de cliente, estoque, 
entre outros.
 ■ Recursos de Redes: são mídias de comunicação e apoio de rede, utili-
zados para executar atividades de entrada. Redes de telecomunicações 
como a Internet, intranets e extranets tornaram-se essenciais ao sucesso 
de operações de todos os tipos de organizações e de seus SI baseados no 
computador. Essas redes consistem em computadores, processadores de 
comunicações e outros dispositivos interconectados por mídia de comu-
nicação e controlados por software de comunicações. 
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E20
 ■ Procedimentos: é um conjunto de instruções e procedimentos, são as 
políticas que regem o funcionamento de um sistema de computador. 
 ■ Pessoas: incluem os usuários finais e especialistas em Sistemas de 
Informação. 
Qualquer sistema de informação específico tem como 
objetivo apoiar operações, gestão e tomadas de decisão. 
Um sistema de informação é a tecnolo-
gia da informação e comunicação que 
uma organização utiliza, e também a 
maneira como as pessoas interagem 
com esta tecnologia em apoio dos pro-
cessos de negócio. 
Devido à existência de diferentes interesses, 
especialidades e níveis dentro de uma organiza-
ção, são necessários diferentes tipos de Sistemas 
de Informação, para que possa dessa forma, aten-
der todos os níveis organizacionais em que atuam. Os 
diferentes níveis organizacionais são: 
 ■ Sistemas de Informação em Nível Operacional: esse tipo de sistema dá 
suporte aos gerentes operacionais, acompanha atividades e transações da 
organização como vendas, compras, depósitos, transação de matéria prima, 
entre outros. Fornece informações de fácil acesso, precisas e atualizadas.
 ■ Sistemas de Informação em Nível de Conhecimento: auxilia a empresa 
a integrar novas tecnologias ao negócio e ajuda a controlar o fluxo de 
documentos.
 ■ Sistemas de Informação em Nível Administrativo ou Gerencial: atende 
as atividades de monitoração, tomada de decisão, controle e procedimentos 
administrativos gerenciais. Tem como característica a produção de relató-
rios periódicos acerca das operações e não de informações instantâneas.
 ■ Sistemas de Informação em Nível Estratégico: auxilia a gerência a enfren-
tar questões estratégicas e tendências, tanto no ambiente interno quanto 
no externo da empresa. 
https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Information_and_communication_technology&usg=ALkJrhgE51WNcLCVP2D9mIFwiM7j5GI0KQ
https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Information_and_communication_technology&usg=ALkJrhgE51WNcLCVP2D9mIFwiM7j5GI0KQ
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 Pen
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
21
Para cada nível organizacional citado, existem vários tipos de Sistemas de 
Informação que podem ser utilizados nas organizações. Os sistemas foram 
classificados de acordo com seus objetivos e tipos de informações que manipu-
lam, mas nada impede que um mesmo Sistema de Informação, encontrado em 
alguma organização, esteja classificado em mais de um tipo. No quadro 1 serão 
listados os 5 tipos de Sistemas de Informação mais importantes.
Quadro 1 – Nível Operacional x Tipo de Sistemas de Informação
NÍVEL ORGANIZACIONAL TIPO DE SISTEMASDE INFORMAÇÃO
Nível Operacional Sistemas de Processamento de Transações (SPT).
Nível de Conhecimento Sistemas de Automação de Escritórios (SAE).
Nível Gerencial Sistemas de Informação Gerenciais (SIG).
Sistemas de Apoio a Decisão (SAD).
Nível Estratégico Sistemas de Informação Executiva (SIE).
Fonte: o autor.
SISTEMAS DE PROCESSAMENTO DE TRANSAÇÕES (SPT). 
São sistemas de suporte em nível operacional, utilizados em transações rotinei-
ras, repetitivas e geralmente comuns de negócios, dando apoio à monitoração 
e à realização das negociações de uma organização, gerando e armazenando 
dados sobre as mesmas. 
Os Sistemas de Processamento de Transações são utilizados na automação 
de atividades da rotina diária que ocorrem no curso normal dos negócios, são 
tarefas repetitivas e transacionais como controle de estoques, cobrança, conta-
bilidade, folha de pagamento, entre outros. 
O SPT é o tipo de sistema de informação mais antigo que existe, esse tipo 
de sistema deve fornecer respostas rápidas e ser confiável, fornecendo uma base 
sólida de operação para que, com base nas informações geradas, a empresa 
melhore seus produtos e serviços. 
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E22
Cada transação do Sistema de Processamento de Transações requer:
 ■ Entrada e alimentação de dados: processo de coleta de todos os dados 
necessários para completar uma ou mais transações. Pode ser executados 
de forma manual ou através de equipamentos de coleta como scanners, 
dispositivos de ponto de venda, terminais, entre outros.
 ■ Processamento e armazenamento de dados: processo como execução 
de cálculos e outras transformações de dados relacionadas a uma ou mais 
transformações empresariais e armazenamento dos dados da transação 
em um ou mais bancos de dados. Quando processadas e armazenadas, 
essas informações podem servir de entrada para outros sistemas como 
Sistema de Informação Gerencial e Sistema de Apoio à Decisão.
 ■ Geração de documentos e relatórios: envolve a saída de registros e rela-
tórios. Podem ser impressos em papel ou exibidos através da tela do 
computador.
Com a utilização do Sistema de Processamento de Transações, as empresas não 
conseguem mais prezar pela organização de dados sem esse tipo de ferramenta 
ao seu alcance. Dentre seus vários objetivos, as organizações esperam obter mais 
lucratividade e apoio ao sucesso da organização, através dos seguintes serviços:
 Processar os dados gerados pelas transações: capturar, processar e armaze-
nar transações e produzir uma grande variedade de documentos relacionados 
às atividades rotineiras da empresa.
 Manter alto grau de precisão: consiste na entrada e processamento de dados 
sem erros. Antes do início das transações, várias pessoas conferem e veri-
ficam rigorosamente todas as entradas, para assegurar a real situação do 
negócio, inibindo erros de processamento. 
 Assegurar a integridade dos dados e da informação: informações exatas 
e atuais antes de serem armazenadas.
 Produzir documentos e relatórios em tempo: os sistemas manuais podem 
levar dias, semanas e até meses, com o SPT informatizado esse tempo de 
resposta foi reduzido. A capacidade de conduzir transações de negócios de 
uma forma imediata pode ser muito importante para a operação lucrativa 
da organização.
 Aumento da eficiência do trabalho: efetuado através de terminais de 
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
23
processamento. 
 Ajuda no fornecimento de mais serviços e serviços melhorados: o SPT 
pode ser fundamental no aumento do portfólio das empresas com relação 
aos serviços prestados ou no aumento da eficiência dos serviços atualmente 
existentes.
Todos esses serviços representam um critério que deve ser definido pela empresa 
no seu planejamento estratégico. O uso de Sistemas de Processamento de 
Transações adequado e bem planejado potencializa a capacidade das empresas 
nas mais diversas áreas. Esta potencialidade se reverte em uma vantagem com-
petitiva, centrada principalmente nas seguintes evoluções:
 ■ Maior qualidade ou produtos melhores.
 ■ Serviços superiores aos clientes.
 ■ Melhor agrupamento de informações.
 ■ Aperfeiçoamento de previsões e planejamento.
Algumas das aplicações dos Sistemas de Processamento de Transações são:
 Controle de estoque: controle de produtos armazenados de uma empresa. 
Controla a movimentação de entrada e saída dos produtos do estoque.
 Logística: responsável em interligar as atividades logísticas de uma empresa. 
Responsável pela entrega dos produtos ao menor custo possível. É consti-
tuída por quatro níveis de funcionalidade: transações; controle de gestão; 
análise de decisão e planejamento estratégico.
 Financeiro: responsável pela gestão de ativos financeiros da empresa, abran-
gendo categorias de processo como Contas a pagar, Contas a receber, Faturas, 
Compras, entre outras.
 Vendas: a principal característica dessa categoria é obter dados e gerar esta-
tísticas para gerar um melhor planejamento sobre o processo de vendas 
da empresa. Dessa maneira, é possível antecipar tendências econômicas e 
variações do mercado podendo assim, confrontar dados reais com os pla-
nejamentos, antecipar a decisão, auxiliando deste modo, na melhor medida 
a ser tomada.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E24
 Compras: o sistema de informação para Compras é relacionado à área de 
compras da empresa, podendo ser de produtos ou de serviços terceirizados. 
Através dele é possível analisar dados de mercado para um melhor planeja-
mento de compras em longo prazo.
Um Sistema de Informação eficiente pode ter um grande impacto na estratégia 
corporativa e no sucesso da organização, podendo beneficiar a organização, os 
usuários do sistema de informação e qualquer indivíduo ou grupo que interagir 
com o sistema de informação. Dentre os benefícios que as empresas procuram 
obter através dos sistemas de informação destacam-se:
 ■ Maior segurança.
 ■ Vantagens competitivas.
 ■ Menor incidência de erros.
 ■ Maior precisão.
 ■ Produtos de melhor qualidade.
 ■ Maior eficiência.
 ■ Maior produtividade.
 ■ Administração mais eficiente.
 ■ Custos reduzidos.
 ■ Maior e melhor controle sobre as operações.
 ■ Tomadas de decisões gerenciais superiores.
 ■ Aumento da fidelidade do cliente.
SISTEMAS DE AUTOMAÇÃO DE ESCRITÓRIOS (SAE)
Os Sistemas de Automação de Escritórios (SAE) consistem em um sistema de 
nível estratégico de uma organização. Através do SAE é possível reunir dados 
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
25
de toda a organização, permitindo que dessa forma, os gerentes possam selecio-
nar e ajustar os dados para os fins necessários. 
Automação de escritório é um conceito que envolve o uso de equipamentos 
de informática e softwares para criar, coletar, armazenar, manipular e retransmitir 
digitalmente informações necessárias para a realização de tarefas e cumprimento 
de objetivos em um escritório. 
O Sistema de Automação de Escritóriopermite aos executivos analisar os dados 
reunidos de maneira única e padronizada, disponibilizando diversas funções como 
processadores de textos, gráficos, agendas eletrônicas, editores de imagens, a pos-
sibilidade de gerenciamento de diversos tipos de projetos, entre outros. 
O Sistema de Automação de Escritório (SAE) auxilia no aumento da produti-
vidade, redução de custos e um resultado de maior qualidade, tendo como foco o 
processamento de informações nos escritórios e a automação das atividades que 
possibilitam as organizações na busca de informações mais rápidas e confiáveis.
Alguns dos benefícios que o Sistema de Automação de Escritório possui são: 
 ■ Amplia a abrangência de controle da alta administração.
 ■ Acelera o processo de tomada de decisão.
 ■ Melhora o desempenho administrativo.
O Sistema de Automação de Escritório (SAEs) ajuda nas atividades de escritório, 
tais como preparação e comunicação da correspondência. Exemplos:
 ■ Processadores de Texto: trata-se de um programa usado para escre-
ver no computador. Com ele é possível criar desde documentos simples 
até arquivos profissionais, que são mais complexos, tais como: fax, car-
tas, currículos, ofícios, procurações e apostilas. Um processador de texto 
é essencialmente um programa que simula o funcionamento de uma 
máquina de escrever, mas com recursos que facilitam e agilizam a pro-
dução, edição e finalização de texto.
 ■ Planilhas eletrônicas: aplicativo que oferece ferramentas para efetuar cál-
culos através de fórmulas e funções e para a análise desses dados. Algumas 
das principais funções das planilhas eletrônicas possibilitam que você 
possa armazenar, manipular, calcular e analisar dados tais como números, 
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E26
textos e fórmulas. Pode acrescentar gráficos diretamente em sua planilha, 
elementos gráficos, tais como retângulos, linhas e caixas de texto, entre 
outros. Um exemplo de planilha eletrônica é o Excel.
 ■ Gerenciador de banco de dados: um módulo de um programa que provê 
a interface entre os dados de baixo nível armazenados num banco de dados 
e os programas de aplicação e as solicitações submetidas ao sistema. É de 
vital importância para as empresas. O gerenciador de banco de dados é 
responsável pelas seguintes tarefas:
 ■ Interação com o gerenciamento de arquivos. 
 ■ Cumprimento de integridade: os valores de dados armazenados 
num banco de dados precisam satisfazer certos tipos de restrições de 
consistência. 
 ■ Cumprimento de segurança: nem todo usuário do banco de dados 
necessita ter acesso a todo o banco de dados, para impor requisitos 
de segurança de acesso aos dados.
 ■ Cópias de reserva (backup) e recuperação (restore): um computador, 
como qualquer outro dispositivo mecânico ou elétrico, está sujeito a 
falhas.
 ■ Controle de concorrência: se diversos usuários atualizam o banco de 
dados concorrentemente, a consistência dos dados pode não ser mais 
preservada. Controlar a interação entre usuários simultâneos é outra 
atribuição do gerenciador de banco de dados.
 ■ Apresentação Gráfica: é um programa que, por meio de slides, apresenta 
determinado tema em uma reunião, palestras ou mesmo em cursos, faci-
litando a comunicação.
 ■ Navegadores da internet: a finalidade elementar de um navegador é per-
mitir a visualização de conteúdos disponíveis na internet e redes internas. 
Para isso, basta que seja informado o endereço ao navegador. Devido à 
constante necessidade de oferecer mecanismos de segurança na navega-
ção, estabilidade, interatividade e velocidade na exibição de conteúdo, a 
escolha de um navegador passou a representar uma diferença significa-
tiva para os usuários.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
27
Os sistemas de Automação de Escritório exigem uma visão ampla das pessoas, 
pois além de saber usar os aplicativos dos escritórios, essas pessoas precisam 
saber utilizar o que o aplicativo oferece para criar novas informações.
Após a automação das atividades realizadas nos escritórios, a organização 
das informações tornou-se mais rápida e mais confiável. O foco então passou 
para a busca e comparação de diversas alternativas para o mesmo problema, 
auxiliando o tomador de decisões. Com base nessa necessidade, surgiram os 
Sistemas de Apoio à Decisão.
Você sabe a diferença entre Dado, Informação e Conhecimento?
Dado é a informação não tratada. Representa um ou mais significados, que 
isoladamente, não podem transmitir uma mensagem ou representar algum 
conhecimento.
Informação é um conjunto de dados tratados. É todo o conjunto de dados 
devidamente ordenados e organizados de forma a terem significado.
Conhecimento: trata-se de várias informações organizadas de forma lógica e 
suficiente para criar um evento e torná-lo possível através do entendimento.
Fonte: o autor.
SISTEMAS DE INFORMAÇÃO GERENCIAIS (SIGS)
Os Sistemas de Informação Gerencial (SIG) são sistemas ou processos que forne-
cem as informações necessárias para gerenciar com eficácia as organizações. Um 
SIG gera produtos de informação que apoiam muitas necessidades de tomada de 
decisão administrativa e, é o resultado da interação colaborativa entre pessoas, 
tecnologias e procedimentos, que ajudam uma organização a atingir suas metas. 
http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E28
Os sistemas de informações gerenciais estão relacionados às atividades de 
gestão, tendo como objetivo fornecer subsídios às diversas áreas funcionais da 
organização e oferecer assistência às tomadas de decisões para identificar e cor-
rigir problemas de competência gerencial. Além disso, também auxiliam no 
processo de planejamento e controle empresarial, tratando os vários bancos de 
dados dos sistemas transacionais.
Um SIG pode incluir um software que auxilia na tomada de decisão, recur-
sos de dados, tais como bancos de dados, o hardware de um sistema de recursos, 
sistemas de apoio à decisão, sistemas especialistas, sistemas de informação exe-
cutiva, gestão de pessoas, gestão de projetos e todos os processos informatizados 
que permitem que a empresa funcione eficientemente. É um sistema que dispo-
nibiliza a informação certa, para a pessoa certa, no lugar certo, na hora certa, da 
forma correta e com o custo certo. 
Os SIG’s possuem uma multiplicidade de produtos de informação, que são 
apresentados através de relatórios, que ajudam os gerentes com o fornecimento 
de dados e informações para a tomada de decisões. Os relatórios oferecidos por 
esses sistemas são: 
 ■ Relatórios programados: estes relatórios são uma forma tradicional de 
fornecimento de informações para os gerentes. Exemplos típicos desses 
relatórios são os relatórios de vendas diários e semanais ou demonstra-
tivos financeiros mensais. 
 ■ Relatório de exceção: são casos excepcionais de relatórios nos quais o 
gerente pode obter informações específicas. Como exemplo, um gerente 
de crédito pode receber um relatório que contém informações apenas 
sobre clientes que excedem os limites de crédito. 
 ■ Informes e respostas por solicitação: este tipo de relatório mostra as 
informações sempre que o gerente requisitar. Possibilitam através de suas 
estações de trabalho respostas imediatas ou que encontrem e obtenham 
respostas imediatas. 
 ■ Relatórios em pilhas: as informações são empilhadas na estação de tra-
balho em rede do gerente. 
http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/
http://www.infoescola.com/administracao_/sistema-de-apoio-a-decisao/
http://www.infoescola.com/administracao_/sistema-de-informacao-executiva/
http://www.infoescola.com/administracao_/sistema-de-informacao-executiva/http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
29
Todas as funções de gestão, planejamento, organização, direção e controle são 
necessárias para o bom desempenho organizacional. Os sistemas de informa-
ção gerenciais são fundamentais para suportar essas funções, especialmente a 
de planejamento e controle. 
Os Sistemas de Informação Gerencial são parte integrante das estratégias 
empresariais, pois a comunicação e a informação são de grande valor nas orga-
nizações. A qualidade da decisão tomada pelo gerente vai depender da qualidade 
e relevância das informações disponíveis. Por isto é muito importante investir 
em um SIG para oferecer informações rápidas, precisas e principalmente úteis, 
que irão garantir uma estruturação de gestão diferenciada, o que resultará em 
vantagem competitiva sobre as demais empresas. 
SISTEMAS DE APOIO A DECISÃO (SAD)
Sistemas de Apoio à Decisão (SAD) é um sistema de informação computadori-
zado que apoia as atividades de tomada de decisões organizacionais e de negócios. 
Um Sistema de Apoio à Decisão projetado corretamente é um sistema baseado 
em software interativo destinado a ajudar os gerentes do nível tático e estraté-
gico de uma organização a compilar informações úteis a partir de dados brutos, 
documentos, conhecimento pessoal e/ou modelos de negócios para identificar 
e resolver problemas e tomar decisões.
Os SAD são interativos, permitem aos usuários levantar suposições e incluir 
novos dados, realizar diferentes perguntas e refinar os rumos das ações a serem 
tomadas, constituindo assim o feedback do sistema.
As principais características dos SAD são:
 ■ Possibilidade de desenvolvimento rápido, com a participação ativa do 
usuário em todo o processo.
 ■ Facilidade para incorporar novas ferramentas de apoio à decisão, novos 
aplicativos e novas informações.
 ■ Flexibilidade na busca e manipulação das informações.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E30
 ■ Individualização e orientação para a pessoa que toma as decisões, com fle-
xibilidade de adaptação ao estilo pessoal de tomada de decisão do usuário.
 ■ Real pertinência ao processo de tomada de decisão, ajudando o usuário 
a decidir através de subsídios relevantes.
 ■ Usabilidade, ou seja, facilidade para que o usuário o entenda, use e modi-
fique de forma interativa.
Os Sistemas de Apoio à Decisão também devem permitir várias decisões inde-
pendentes ou sequenciais, como:
 ■ Abranger todas as fases do processo de decisão: identificação, desenho, 
seleção e implementação.
 ■ Suportar uma variedade de processos de tomada de decisão.
 ■ Devem ser adaptativos ao longo do tempo e devem ser flexíveis, para que 
os seus utilizadores possam acrescentar, eliminar ou mudar certos ele-
mentos chave.
 ■ Ser de fácil utilização, com fortes capacidades gráficas e com uma inter-
face utilizador-máquina que possa aumentar a sua eficiência.
 ■ Melhorar a eficiência das suas decisões (no nível da qualidade, tempo, 
exatidão) em vez de se preocupar com o custo dessas decisões.
Existem algumas vantagens e desvantagens de um SAD, conforme mostra o 
quadro 2:
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
31
Quadro 2 – Vantagens e Desvantagens do Sistema de Apoio à Decisão
VANTAGENS DESVANTAGENS
• Rapidez.
• Ultrapassar limites cognitivos (através do 
computador).
• Redução de custos.
• Qualidade (obtenção do valor ótimo mais 
próximo dos nossos objetivos).
• Decisões mais eficazes.
• Decisões mais eficientes.
• Melhor comunicação entre os decisores.
• Melhor utilização do processo de aprendi-
zagem.
• Problema de ação.
• Orientação para escolha.
• Suposição da relevância da res-
posta do sistema.
• Transferência de poder ao siste-
ma que não é intencional.
• É mais difícil atribuir responsabi-
lidades.
Fonte: o autor.
Esse sistema dá apoio e assistência em todos os aspectos da tomada de decisões 
sobre um problema específico.
SISTEMAS DE INFORMAÇÃO EXECUTIVA (SIE)
Sistemas de Informação Executiva (SIE) são sistemas que combinam muitas 
características dos sistemas de informação gerencial e dos sistemas de apoio 
à decisão e foram desenvolvidos com o objetivo de atender às necessidades de 
informações estratégicas da alta administração. Neste sistema, a informação é 
apresentada segundo as preferências dos executivos, as quais enfatizam o uso 
de uma interface gráfica com o usuário e exibições gráficas, que possam ser per-
sonalizadas de acordo com as preferências de informação dos executivos que o 
utilizam. A ênfase do sistema como um todo é a interface fácil de usar e a inte-
gração com uma variedade de fontes de dados.
Segundo Pozzebon e Freitas (1996, p. 29), o SIE “[...] é uma solução em ter-
mos de informática que disponibiliza informações corporativas e estratégicas 
para os decisores de uma organização, de forma a otimizar sua habilidade para 
tomar decisões de negócios importantes.”.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E32
O sistema deve ser criado de maneira que sua operação seja intuitiva e dê 
legibilidade e compreensão dos resultados de forma instantânea, pois os execu-
tivos que tomam decisões estratégicas não dispõem do tempo necessário para 
realizar um treinamento em sistemas desenvolvidos tradicionalmente para usu-
ários de escalões mais baixos. 
Este tipo de sistema de informação tem como objetivo primordial ampliar 
as possibilidades de alternativas para problemas organizacionais, assim como 
permitir a exploração das informações disponíveis que possibilitem ao gestor 
traçar novos rumos e comportar-se de maneira proativa face ao ambiente em 
que se encontra.
Um Sistema de Informação Executiva possui as seguintes características:
 ■ Destinam-se a atender às necessidades de informação dos executivos.
 ■ Possuem apresentação de dados através de recursos gráficos de alta 
qualidade.
 ■ Recuperam informações de forma rápida para a tomada de decisão.
 ■ Oferecem facilidade de uso, intuitivo, sem necessidade de treinamento 
específico em informática.
 ■ São desenvolvidos de modo a se enquadrarem na cultura da empresa e 
no estilo de tomada de decisão de cada executivo.
 ■ Filtram, resumem, acompanham e controlam dados ligados aos indica-
dores de desempenho dos fatores críticos de sucesso.
 ■ Utilizam informações do ambiente externo (concorrentes, clientes, for-
necedores, indústrias, governo, tendências de mercado).
 ■ Proporcionam acesso a informações detalhadas subjacentes às telas de 
sumarização organizadas numa estrutura top-down. 
Para que as organizações continuem competitivas, as informações são neces-
sárias para apoiar decisões e, através dos Sistemas de Informação Executiva, 
grandes quantidades de informação são apresentadas aos executivos de forma 
compacta e manejável.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
33
Um SIE é bastante interativo, permitindo ao usuário obter relatórios que 
indiquem situações fora dos parâmetros estipulados pelos planos da empresa, 
além disso, permite que o executivo antecipe situações que alterem o panorama 
de negócios em que a organização atua.
Algumas pessoas se confundem sobre quando utilizar e quem são as pessoas 
que devem utilizar os SIE, SAD e o SIG. No quadro 3 consta um comparativo 
explicando sobre as diferenças que esses tipos de Sistemas de Informação possuem.
Quadro 3 – Comparativo entre modelos SIE, SAD e SIG
DIMENSÃO SIE SAD SIG
Foco Acesso aos statusindicadores de 
desempenho
Análise e apoio à 
decisão
Processamento de 
informações
Usuário 
 típico
Executivos Gerentes interme-
diários e analistas
Gerentes de nível 
médio
Objetivo Conveniência Eficácia Eficiência
Aplicação Avaliação de de-
sempenho, acom-
panhamento de 
fatores críticos de 
sucesso
Tomada de decisão 
operacional
Controle de pro-
dução, projeção de 
vendas, análise 
de custos, etc.
Apoio 
oferecido à 
decisão
Indireto, problemas 
de alto nível e não 
estruturados
Apoio direto Direto 
ou indireto
Banco 
de dados
Especial Especial Da empresa
Tipo de 
informação
Operações internas, 
tópicos críticos, 
informações exter-
nas, exceções
Informação de 
apoio para situa-
ções específicas
Relatório das ope-
rações internas, 
fluxo estruturado
Uso principal Acompanhamento 
e controle
Planejamento, 
organização e 
controle
Controle
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IU N I D A D E34
Os executivos esperam que a informática traga de fato o que precisam de 
modo operacionalmente simples e intuitivo, sem a necessidade de treina-
mento especial.
(Furlan, Ivo e Amaral).
DIMENSÃO SIE SAD SIG
Adaptação 
ao usuário
Adaptável ao estilo 
decisório do exe-
cutivo
Permite recursos de 
simulação, julga-
mento e escolha de 
estilos de diálogos
Normalmente 
nenhuma
Recursos grá-
ficos
Essencial Parte integrada de 
muitos SAD
Desejável
Facilidadecon-
versacional
Essencial Essencial Desejável
Tratamento das 
informações
Filtra e resume 
informações, apre-
sentando exceções 
e tópicos essenciais
Utiliza informações 
geradas pelo SIG 
ou SIE como input 
(entrada)
Sumariza e relata 
informações para 
serem tratadas 
pelos usuários
Detalhamento 
de informações
Acesso instantâneo 
aos detalhes de 
qualquer resumo
Podem ser progra-
mados
Inflexibilidade dos 
relatórios
Banco de 
modelos
Pode ser 
acrescentado
Essência do sistema Disponível, mas 
não gerenciável
Desenvolvi-
mento
Especialista em 
sistemas
Usuários, com trei-
namento oferecido 
pelos especialistas
Especialistas em 
sistemas
Fonte: Turban e Schaeffer (1991, p. 353).
Considerações Finais
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
35
CONSIDERAÇÕES FINAIS
Nessa unidade, ponderamos que com o surgimento da informática, algumas 
organizações mudaram em seu aspecto estrutural, funcional, comportamental 
e de desempenho e que com isso, as organizações passaram a valorizar um ele-
mento que é primordial para sua sobrevivência, a informação. 
Nesse capítulo, estudamos também o significado da informação e como ela 
é importante para a sobrevivência de uma organização. Sem a informação não é 
possível para o gestor tomar decisões que poderão garantir o futuro da empresa. 
Através da informação, as organizações se tornaram cada vez mais competiti-
vas, organizadas e aptas a responder às mudanças exigidas pelo cenário mundial. 
Com isso, os sistemas de informação também foram evoluindo de acordo com as 
necessidades organizacionais, antes o processo era todo feito de forma manual 
e levava dias para se obter uma informação desejada, hoje com a automatiza-
ção dos sistemas de informação, é possível obter as informações desejadas em 
tempo real, possibilitando com isso, a tomar as decisões de forma mais rápida 
com o mínimo de erro possível. 
Foram apresentados nesse capítulo alguns tipos de sistemas de informação 
que são mais utilizados pelas empresas, porém, existem vários outros tipos de 
sistemas de informação que podem ser utilizados pela organização, de acordo 
com a necessidade de cada uma.
Com o surgimento da informatização, devemos tomar várias precauções 
para que a informação das empresas não vá parar em mãos erradas ou possa ser 
utilizada por outra pessoa de forma que irá prejudicá-la e a seus clientes e forne-
cedores. Devido a isso, existem várias precauções que devem ser tomadas para 
garantir a segurança das informações, conforme veremos nos próximos capítulos.
36 
1. Proporciona benefícios específicos aos gerentes de todos os níveis da organiza-
ção porque os capacita a recuperar, manipular e exibir informações de bancos 
de dados integrados para tomar decisões específicas. Essa aplicação do uso da 
tecnologia da informação é conhecida como sistema de:
a. Automação de Escritório.
b. Registro de Informações.
c. Informações Executivas.
d. Processamento de Transações.
e. Apoio à decisão.
2. O que pode ser definido tecnicamente como um conjunto de componentes in-
ter-relacionados que coletam, processam, armazenam e distribuem informações 
destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma 
organização?
a. Tecnologia da informação. 
b. Informação. 
c. Sistema de informação. 
d. Telecomunicações. 
e. Processamento de dados.
3. Assinale a alternativa que descreve ordenadamente as funções de um sistema 
de informação.
a. Armazenamento, entrada, saída. 
b. Entrada, saída, transmissão. 
c. Entrada, processamento, saída. 
d. Entrada, armazenamento, transmissão. 
e. Armazenamento, processamento, saída.
4. Sobre os objetivos organizacionais pelos quais as empresas investem em siste-
mas de informação. Observe as afirmações abaixo:
I. Atingir a excelência operacional (produtividade, eficiência e agilidade).
II. Desenvolver novos produtos e serviços.
37 
III. Assegurar a sobrevivência.
IV. Melhorar sua relação com os fornecedores. 
V. Promover vantagem competitiva.
Podemos afirmar que:
a. Somente a alternativa I está correta.
b. Somente a alternativa I e II estão corretas.
c. Somente a alternativa I, III e V estão corretas.
d. Somente a altenativa I, II, III e V estão corretas. 
e. Todas as alternativas estão corretas.
5. Quais são as três dimensões dos sistemas de informação?
a. Tecnológica, administrativa e informativa. 
b. Organizacional, humana e tecnológica. 
c. Operacional, organizacional e administrativa. 
d. Comunicativa, administrativa e humana. 
e. Humana, administrativa e comunicativa.
6. Os _________ são sistemas ou processos que fornecem as informações neces-
sárias para gerenciar com eficácia as organizações, gerando informações que 
apoiam na tomada de decisão administrativa. Preencha a lacuna.
a. Sistemas de Informação Executiva (SIE).
b. Sistemas de Apoio à Decisão (SAD).
c. Sistemas de Informação Gerencial (SIG).
d. Sistemas de Automação de Escritório (SAE).
e. Sistemas de Processamento de Transações (SPT).
MATERIAL COMPLEMENTAR
Sistemas de Informação e as decisões 
gerenciais na era da Internet
James A. O’Brien 
Editora: Saraiva
Sinopse: a obra fornece um conteúdo muito mais abrangente do que os 
textos tradicionais, abordando os diversos temas com exemplos, casos 
reais e inúmeros exercícios. O objetivo é permitir aos leitores em geral que 
compreendam, utilizem e gerenciem a tecnologia da informação para 
revitalização e aperfeiçoamento dos processos de tomada de decisão e empresariais como um 
todo, conquistando vantagem competitiva.
39 
O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NO AMBIENTE DE NEGÓCIOS.
Para Laudon e Laudon (2001) Tecnologia da 
Informação se restringe somente aos aspec-
tos técnicos como hardware e software. 
Laurindo (2002) por sua vez, considera que 
o sucesso da gestão da área de Tecnologia 
da Informação, desenvolvimento, instala-
ção e operação de computadores e ainda 
sistemas de informação, não dependem 
somente da eficiência dos equipamen-
tos e softwares, obtida pelos analistas e 
engenheiros de projetos de tecnologia, 
mas dependem também da eficácia que 
compatibiliza os objetivos dos sistemas de 
informação e do uso dos computadores às 
necessidades da organização e dos usuários 
finais. A eficácia da Tecnologia da Informa-
ção depende da empresa e de sua estrutura 
organizacional, podendo inspirar na pró-
pria mudança estratégica do negócio. 
A inovação é o grande caminho para o 
sucesso naera digital. O caminho da ino-
vação nos negócios significa fazer algo 
diferente, mais inteligente, ou melhor, que 
vai fazer uma diferença positiva em termos 
de valor, qualidade ou produtividade, utili-
zando comprovadas tecnologias do mundo. 
A tecnologia da informação (TI) mudou 
drasticamente a vida dos indivíduos e orga-
nizações. Atualmente compras on-line, 
marketing digital, redes sociais, comunica-
ção digital e computação em nuvem, são 
os melhores exemplos de mudanças que 
surgiram com a tecnologia da informação. 
O sucesso de qualquer negócio depende 
de alguns fatores, por isso, é relevante que 
seja efetuada uma análise precisa, para que 
se possa escolher a tecnologia certa para o 
sucesso da organização.
Estudos feitos de algumas décadas para 
cá, provou que as organizações que inves-
tiram em tecnologia, aumentaram seus 
dados financeiros e aumentaram sua com-
petitividade. A tecnologia da informação 
proporciona a oportunidade de analisar 
dados específicos, comunicações rápidas 
e aquisição de inteligência de mercado. 
A TI também fornece muitas ferramentas 
que podem resolver problemas complexos, 
ajuda a empresa a melhorar os processos 
de negócios, auxiliar no planejamento 
futuro nas organizações, a diminuir e o 
mais importante, garante que aumentam 
o crescimento das receitas, mantendo uma 
vantagem competitiva no mercado.
Pode-se afirmar que a busca de vantagens 
competitivas é o principal motivo pelo qual 
as empresas utilizam a TI. Desde o início de 
sua utilização, buscava-se obter essa van-
tagem através da redução de custos por 
meio da automação e aumento da efici-
ência de processos. Em seguida, buscou-se 
a melhoria da qualidade das informações 
disponíveis para os gerentes médios, de 
maneira que pudessem controlar melhor 
as operações. Na etapa seguinte, busca-
va-se utilizar a TI para gerar diferenciação 
competitiva, como a criação de barrei-
ras de entrada ou elevação dos custos de 
substituição por meio dos então chama-
dos sistemas estratégicos. A redução de 
custos, a melhoria no controle dos proces-
sos e a utilização de sistemas estratégicos 
estão diretamente ligadas à busca pela 
melhoria da competitividade da empresa. 
Mais recentemente, a integração das ativi-
dades da empresa por meio da chamada 
computação em rede busca melhorias 
40 
na competitividade, beneficiando-se da 
melhor coordenação entre as diversas ati-
vidades da empresa.
No cenário atual no qual a globalização, o 
aumento da competitividade e a interliga-
ção de clientes e fornecedores em cadeias 
de suprimento são preponderantes, a uti-
lização de Tecnologia da Informação pode 
ser considerada como fator de sobrevivên-
cia da organização.
Torna-se difícil alcançar o sucesso comercial 
de longo prazo, sem alavancar os benefícios 
da tecnologia da informação na era digi-
tal. As empresas têm de suportar um custo 
razoável para alcançar esse sucesso, por-
que o uso de uma abordagem inovadora 
na estratégia de negócios, empregando 
profissionais de TI altamente treinados e 
tomar decisões certas no momento certo 
são o pré-requisito do sucesso do negócio. 
Como soluções de TI continuam a aumen-
tar a produtividade, eficiência e eficácia das 
operações de negócios e comunicação, as 
empresas continuarão a confiar em Tec-
nologia da Informação para seu sucesso. 
Fonte: Borges (2005, on-line)1.
REFERÊNCIAS
41
GABARITO
1. E.
2. C.
3. C.
4. D.
5. B.
6. C.
U
N
ID
A
D
E II
Professora Esp. Adriane Joyce Xavier
SEGURANÇA 
DA INFORMAÇÃO
Objetivos de Aprendizagem
 ■ Entender o conceito de Segurança de Informação.
 ■ Entender como as informações são classificadas para que possamos 
analisar o grau de sua importância para a organização.
 ■ Entender o que é uma ameaça e quais são as vulnerabilidades da 
Segurança da Informação.
 ■ Conhecer os riscos que podem ocorrer na segurança da informação e 
entender o que significa um incidente.
Plano de Estudo
A seguir, apresentam-se os tópicos que você estudará nesta unidade:
 ■ Segurança da Informação
 ■ Classificação da Informação
 ■ Vulnerabilidades da Informação
 ■ Ameaças à Segurança da Informação
 ■ Risco
 ■ Incidente
 ■ Ataques a Segurança da Informação
INTRODUÇÃO
Conforme estudamos no capítulo anterior, o mundo moderno tem dedicado 
especial atenção à informação, devido à sua importância para a manutenção dos 
negócios e a realização de novos empreendimentos. A boa informação abre ver-
dadeiras oportunidades para quem a possui, o que torna o cenário dos negócios 
mais dinâmico e acirrado em busca de novos mercados, acordos internacionais, 
poder e qualidade, dentre outros, e isso gera a competitividade e transforma a 
informação no principal elemento motriz desse ambiente altamente competi-
tivo, que requer, assim, proteção especial. Tudo isso atribui à informação um 
importante valor, transformando-a num ativo essencial aos negócios de uma 
organização, necessitando ser protegida. 
Vale ressaltar que, atualmente, a grande maioria das informações disponíveis 
nas organizações encontra-se armazenadas e são trocadas entre os mais varia-
dos sistemas automatizados. Dessa forma, por inúmeras vezes, decisões e ações 
tomadas decorrem das informações manipuladas por esses sistemas. Dentro 
deste contexto, toda e qualquer informação deve ser correta, precisa e estar dis-
ponível, a fim de ser armazenada, recuperada, manipulada ou processada, além 
de poder ser trocada de forma segura e confiável. Por esta razão, a segurança 
da informação tem sido uma questão de elevada prioridade nas organizações.
É possível inviabilizar a continuidade de uma instituição se não for dada a 
devida atenção à segurança de suas informações. Com a chegada dos computa-
dores pessoais e das redes de computadores, que conectam o mundo inteiro, os 
aspectos de segurança atingiram tamanha complexidade que há a necessidade de 
desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados. 
Para proteger a informação, a empresa precisa ter um processo organiza-
cional de segurança da informação, que tem por objetivo, permitir e possibilitar 
que a organização funcione adequadamente, ao depender da informação e dos 
recursos de informação.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
45
Segurança da
Informação
Não Repúdio
Integridade Con�dencialidade
Autencidade Disponibilidade
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IIU N I D A D E46
SEGURANÇA DA INFORMAÇÃO
Conforme a norma NBR ISO/IEC 27002, Segurança da Informação é a proteção 
da informação quanto a vários tipos de ameaças, de modo a garantir a continui-
dade do negócio, minimizar o risco para o negócio, maximizar o retorno sobre 
o investimento e as oportunidades de negócio. 
A segurança da informação diz respeito à pro-
teção de determinados dados, com a intenção 
de preservar seus respectivos valores para uma 
organização ou um indivíduo. Compreende um 
conjunto de medidas que buscam proteger e pre-
servar informações e sistemas de informações, 
assegurando-lhes a confidencialidade, integridade 
e a disponibilidade. Alguns autores ainda incluem 
outros aspectos de segurança como o não repúdio e a 
autenticidade. Esses elementos constituem os pilares da 
segurança da informação (Figura 1) que devem ser leva-
dos em consideração, pois toda ação que venha a comprometer qualquer uma 
dessas qualidades estará atentando contra a sua segurança.
Figura 1. 5 Pilares que compõem a Segurança da Informação
Fonte: o autor.
Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
47
 ■ Confidencialidade: informação que diz respeito ao direito de acesso. 
Ocorre a quebra da confidencialidade da informação ao se permitir que 
pessoas não autorizadas tenham acessoao seu conteúdo. A perda da con-
fidencialidade é a perda do segredo da informação. Medidas de segurança 
devem garantir que a informação esteja acessível apenas para quem tem 
permissão de acesso, evitando assim, revelação não autorizada.
 ■ Integridade: garantir a integridade é permitir que a informação não 
seja modificada, alterada ou destruída sem autorização, que ela seja legí-
tima e permaneça consistente. Ocorre a quebra da integridade quando 
a informação é corrompida, falsificada, roubada ou destruída. Medidas 
de segurança devem garantir que a informação seja alterada somente por 
pessoas e/ou ativos associados autorizados e em situações que efetiva-
mente demandem a alteração legítima. 
 ■ Disponibilidade: acesso aos serviços do sistema/máquina para usuários 
ou entidades autorizadas. É a garantia de que os usuários autorizados 
obtenham acesso à informação e aos ativos correspondentes sempre que 
necessário. Ocorre a quebra da disponibilidade quando a informação não 
está disponível para ser utilizada, ou seja, ao alcance de seus usuários e 
destinatários, não podendo ser acessada no momento em que for neces-
sário utilizá-la. Medidas de segurança devem garantir que a informação 
esteja disponível, sempre que necessário, aos usuários e/ou sistemas asso-
ciados que tenham direito de acesso a ela.
 ■ Autenticidade: diz respeito à certeza da origem da informação. Medidas 
de segurança devem garantir que a informação provém da fonte anun-
ciada e que não foi alvo de mutação ao longo de sua transmissão.
 ■ Não Repúdio: diz respeito à garantia de que o autor de determinada ação 
não possa negar tal ação. Medidas de segurança devem garantir meios 
que identifique inequivocamente o autor de uma ação.
A preservação da confidencialidade, integridade e disponibilidade da informação 
utilizada nos sistemas de informação requer medidas de segurança, que por vezes, 
são também utilizadas como forma de garantir a autenticidade e o não repúdio. 
Todas estas medidas, independentemente do seu objetivo, necessitam ser implemen-
tadas antes do incidente ocorrer. As medidas de segurança podem ser classificadas, 
em função da maneira como abordam as ameaças, em duas grandes categorias: 
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IIU N I D A D E48
 ■ Prevenção: é o conjunto das medidas que buscam reduzir a probabilidade 
de concretização das ameaças existentes. O efeito destas medidas extin-
gue-se quando uma ameaça se transforma num incidente. 
 ■ Proteção: é o conjunto das medidas que buscam dotar os sistemas de infor-
mação com capacidade de inspeção, detecção, reação e reflexo, permitindo 
reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente.
Um Programa de Segurança bem estruturado deverá reduzir as vulnerabilida-
des dos sistemas de informação e fazer evoluir as suas capacidades de inspeção, 
detecção, reação e reflexo, assentando num conjunto universal de princípios que 
garanta o seu equilíbrio e eficiência.
CLASSIFICAÇÕES DA INFORMAÇÃO 
A classificação da informação contribui para a manutenção das principais carac-
terísticas da informação (confidencialidade, integridade e disponibilidade). A 
norma NBR ISO 27002 não estabelece classificação para as informações, ape-
nas recomenda que a informação seja classificada considerando-se o seu valor, 
requisitos legais, sensibilidade e criticidade para a organização. 
A classificação das informações propostas por Beal (2005), para atender aos 
requisitos de Confidencialidade, disponibilidade, integridade e autenticidade, 
foram definidas da seguinte forma:
 ■ Confidencialidade: para os requisitos de confidencialidade são:
 ■ Confidencial: toda informação cuja divulgação para pessoas não auto-
rizadas pode causar danos graves à organização.
 ■ Reservada: informações que no interesse da organização devem ser de 
conhecimento restrito e cuja revelação não autorizada pode frustrar o 
alcance de objetivos e metas.
 ■ Pública: informações de livre acesso.
Classificações da Informação 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
49
 ■ Disponibilidade: orienta que a informação deve ser classificada de acordo 
com o impacto que a sua falta pode provocar para a empresa, podendo 
ser estabelecidas categorias para o tempo de recuperação (de minutos a 
semanas). Exemplifica, classificando-as por tempo de recuperação em: 
curto, 18 médio, sem exigência e com exigência (sazonalidade).
 ■ Integridade: classifica as informações em alta, média e baixa exigência 
de integridade.
 ■ Autenticidade: classifica-as quanto à exigência da verificação da 
autenticidade ou não, que podem ser, por exemplo, informações que 
devem ter a sua procedência confirmada antes da utilização, como 
no caso de um pedido de criação de senha de acesso a um sistema 
de informação.
Outra classificação que pode ser feita é com relação ao grau de importância dos 
dados para os principais processos de negócios e o custo para a sua recupera-
ção no caso da ocorrência de um evento ou desastre. Esses dados podem ser 
classificados em:
 ■ Crítico: dados ou documentos que devem ser mantidos por razões legais, 
para uso nos processo-chaves dos negócios, ou para uma mínima restau-
ração aceitável nos níveis de trabalho em um evento ou desastre. 
 ■ Vital: dados ou documentos que devem ser mantidos para uso nos proces-
sos normais, e que representam um investimento substancial de recursos 
da companhia, que podem dificultar ou impossibilitar a sua recupera-
ção, mas que podem não ser necessários numa situação de recuperação 
de desastre. Informações que necessitam de sigilo especial podem ser 
incluídas nessa categoria. 
 ■ Sensível: dados ou documentos que devem ser necessários nas ope-
rações normais, mas para os quais existem fornecimentos alternativos 
disponíveis em um evento de perda. Dados que podem ser reconstruí-
dos rapidamente, por completo, mas que possuem algum custo, podem 
ser classificados nessa categoria. 
 ■ Não crítico: dados ou documentos que podem ser reconstruídos facil-
mente com custo mínimo, ou cópias de dados críticos, vitais e sensíveis, 
que não necessitem de pré-requisitos de proteção. 
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IIU N I D A D E50
Outro esquema de classificação das informações pode ser feito considerando-
-se os níveis estratégico, tático e operacional da empresa. Essa opção poderia 
considerar, por exemplo, que as informações do nível estratégico sejam classi-
ficadas como confidenciais (críticas ou vitais), as do nível tático como restritas 
(sensíveis), e as do nível operacional como sensível (algumas) e públicas ou 
ostensivas (não críticas). 
Como visto, a classificação tende a variar de organização para organização, 
sejam elas públicas ou privadas e a diferença está no critério a ser adotado. Em 
geral, a classificação da informação objetiva assegura um nível adequado de pro-
teção, e o importante é que seja feita uma classificação que objetive preservar 
os requisitos fundamentais estabelecidos pela organização para a segurança das 
informações durante o seu ciclo de vida.
VULNERABILIDADES DA INFORMAÇÃO
Vulnerabilidades são fragilidades que de alguma forma podem vir a pro-
vocar danos. A norma NBR ISO/IEC 27002 define a vulnerabilidade como 
uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por 
uma ou mais ameaças.
Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser 
explorada por uma ameaça para concretizar um ataque.
Como verificado, as vulnerabilidades estão relacionadas diretamente com 
as fragilidades. Essas fragilidades podem estar nos processos, políticas, equipa-
mentos e nos recursos humanos. Por si só, elas não provocam incidentes, pois 
sãoelementos passivos, necessitando para tanto de um agente causador ou de 
condição favorável, já que se trata de ameaças.
Hoje em dia, a internet é um dos principais pontos de invasão, o que demons-
tra que essa tecnologia tem contribuído para o aumento das vulnerabilidades. 
Outro ponto que desperta a atenção é que, apesar da evolução da segurança da 
Vulnerabilidades da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
51
informação, os ataques ainda permanecem em patamar preocupante, os vírus 
permanecem como a principal fonte de grandes perdas financeiras, seguido do 
acesso não autorizado.
Outro ponto de vulnerabilidade tem relação com os funcionários e prestadores 
de serviço. Sabemos que a fuga das informações e a sua exposição involuntária 
ocorrem em momentos simples do dia a dia da empresa, o que torna os recur-
sos humanos uma das maiores preocupações para a implementação de políticas 
e treinamentos voltados para a proteção das informações. Tudo isso demons-
tra o quanto existe de vulnerabilidade no ambiente de negócios, bem como o 
tamanho da preocupação dos especialistas em segurança da informação com o 
crescimento da tecnologia. É certo que ela torna a vida mais prática e as informa-
ções mais acessíveis, proporcionando conforto, economia de tempo e segurança, 
mas, essa aparente segurança não é motivo de tranquilidade, pois a ausência 
de uma cultura da segurança das informações cria um ambiente vulnerável às 
informações, pois os mesmos benefícios que a tecnologia oferece, são também 
utilizados para a prática de ações danosas às empresas, como visto nos argu-
mentos apresentados acima. 
©shutterstock
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IIU N I D A D E52
A origem das vulnerabilidades pode advir de vários aspectos como, instalações 
físicas desprotegidas contra incêndio, inundações e desastres naturais, material 
inadequado empregado nas construções, ausência de políticas de segurança para 
RH, funcionários sem treinamento e insatisfeitos nos locais de trabalho, ausên-
cia de procedimentos de controle de acesso e de utilização de equipamentos por 
pessoal contratado, equipamentos obsoletos, sem manutenção e sem restrições 
para sua utilização, software sem patch de atualização e sem licença de funcio-
namento, entre outros. 
Para uma melhor compreensão das vulnerabilidades, podemos classificá-las 
como: 
 ■ Naturais: estão relacionadas com as condições da natureza ou do meio 
ambiente que podem colocar em risco as informações. Podem ser: 
locais sujeitos a incêndios em determinado período do ano, locais 
próximos a rios propensos a inundações, terremotos, maremotos, 
furacões, entre outros. 
 ■ Organizacionais: diz respeito a políticas, planos e procedimentos, e a tudo 
mais que possa constituir a infraestrutura de controles da organização e 
que não seja enquadrado em outras classificações. Podem ser: ausência 
de políticas de segurança e treinamento, falhas ou ausência de processos, 
procedimentos e rotinas, falta de planos de contingência, recuperação de 
desastres e de continuidade, entre outros. 
 ■ Física: diz respeito aos ambientes em que estão sendo processadas ou 
gerenciadas as informações. Podem ser: instalações inadequadas, ausên-
cia de recursos para combate a incêndio, disposição desordenada dos 
cabos de energia e de rede, portas destrancadas, acesso desprotegido às 
salas de computador, entre outros. 
 ■ Hardware: possíveis defeitos de fabricação ou configuração dos equipa-
mentos que podem permitir o ataque ou a alteração dos mesmos. Exemplo: 
a conservação inadequada dos equipamentos, falta de configuração de 
suporte ou equipamentos de contingência, patches ausentes, firmware 
desatualizado, sistemas mal configurados, protocolos de gerenciamento 
permitidos por meio de interfaces públicas, entre outros. 
Vulnerabilidades da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
53
 ■ Software: são constituídos por todos os aplicativos que possuem pontos 
fracos que permitem acessos indevidos aos sistemas de computador, inclu-
sive sem o conhecimento de um usuário ou administrador de rede. Os 
principais pontos de vulnerabilidade encontrados estão na configuração 
e instalação indevida, programas, inclusive o uso de email, que permi-
tem a execução de códigos maliciosos, editores de texto que permitem a 
execução de vírus de macro.
 ■ Meios de armazenamento: são todos os suportes físicos ou magnéticos 
utilizados para armazenar as informações, tais como: disquetes, CD ROM, 
fita magnética, discos rígidos dos servidores e dos bancos de dados, tudo 
o que está registrado em papel. As suas vulnerabilidades advêm de prazo 
de validade e expiração, defeito de fabricação, utilização incorreta, local 
de armazenamento em áreas insalubres ou com alto nível de umidade, 
magnetismo ou estática, mofo, entre outros. 
 ■ Humanas: constituem a maior preocupação dos especialistas, já que o 
desconhecimento de medidas de segurança é a sua maior vulnerabilidade. 
Sua origem pode ser: falta de capacitação específica para a execução das 
atividades inerentes às funções de cada um, falta de consciência de segu-
rança diante das atividades de rotina, erros, omissões, descontentamento, 
desleixo na elaboração e segredo de senhas no ambiente de trabalho, não 
utilização de criptografia na comunicação de informações de elevada cri-
ticidade, quando possuídas na empresa.
 ■ Comunicação: incluem todos os pontos fracos que abrangem o tráfego 
das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas 
de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão 
relacionados com a qualidade do ambiente que foi preparado para o trá-
fego, tratamento, armazenamento e leitura das informações, a ausência 
de sistemas de criptografia nas comunicações, a má escolha dos sistemas 
de comunicações para o envio da mensagem, os protocolos de rede não 
criptografados, as conexões a redes múltiplas, os protocolos desnecessá-
rios permitidos, a falta de filtragem entre os segmentos da rede.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
IIU N I D A D E54
AMEAÇAS À SEGURANÇA DA INFORMAÇÃO 
No ambiente atual, as empresas devem estar sempre atentas para as ameaças 
aos negócios corporativos, que, se concretizadas poderão tirá-las desse cená-
rio, encerrando suas atividades para sempre. Com a automação dos sistemas 
de processamento e de armazenamento de informações, a própria informação 
torna-se mais susceptível às ameaças, uma vez que ela (a informação) está mais 
acessível e disponível para usuários de uma forma geral.
Mas, o que são ameaças? 
 Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas. A norma ISO/IEC 13335-1 define amea-
ças como a causa potencial de um incidente indesejado, que pode resultar 
em dano para um sistema ou para a organização.
Sêmola (2003) define ameaças como agentes ou condições que causam inci-
dentes que comprometem as informações e seus ativos, por meio da exploração 
de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e 
disponibilidade, e, consequentemente, causando impactos aos negócios de 
uma organização. 
Para Beal (2005), ameaças são expectativas de acontecimento acidental ou 
proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo 
de informação.
Observa-se que as vulnerabilidades estão relacionadas com situações de fra-
gilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com 
um incidente indesejado que, em decorrência dessas vulnerabilidades pode vir 
a provocar algum dano. 
As ameaças podem ser: 
 ■ Naturais: são aquelas