SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO
INTRODUÇÃO
Veremos alguns conceitos fundamentais para a compreensão da segurança da informação e
das metodologias para sua implantação nas organizações. Desde o surgimento da raça
humana na Terra, a informação esteve presente através de diferentes formas e técnicas. O
homem buscava representar seus hábitos, costumes e intenções com diversos meios que
pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um
lugar para outro. As informações importantes eram registradas em objetos preciosos e
sofisticados e pinturas magníficas, entre outros, que eram armazenados com muito cuidado
em locais de difícil acesso. A eles só tinham acesso aqueles que tivessem autorização para
interpretá-la. Atualmente, as informações constituem o objeto de maior valor para as
empresas. O progresso da informática e das redes de comunicação nos apresenta um novo
cenário, no qual os objetos do mundo real estão representados por bits e bytes, que ocupam
lugar em diversos meios e possuem formas diferentes das originais, sem deixar de ter o
mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior. Por
esse e outros motivos a segurança da informação é um assunto tão importante para todos,
pois afeta diretamente todos os negócios de uma empresa ou de um indivíduo. Segurança é
um termo que transmite conforto e tranqüilidade a quem desfruta de seu estado. Entender e
implementar este “estado” em um ambiente organizacional exigem conhecimento e práticas
especializadas que somente são possíveis com o emprego e uso de um código de práticas de
segurança, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005.
OBJETIVOS
Compreender os conceitos básicos da segurança da informação para obter uma melhor
idéia de suas implicações.
Entender a importância da informação nos negócios atualmente para agir de forma mais
ágil na sua proteção.
Conhecer os princípios básicos da segurança da informação: confidencialidade,
disponibilidade e integridade, com a finalidade de entender como as ameaças e
vulnerabilidades podem atingir a cada um deles e saber quais as medidas de proteção mais
adequadas para cada informação.
Conhecer a evolução da segurança da informação como disciplina de estudos desde o
seu nascimento até os dias de hoje.
1
IMPLEMENTAÇÃO DE UM SISTEMA DE SEGURANÇA
Podemos representar a implantação de um sistema de segurança da informação na empresa
como a escalada de uma grande montanha, na qual pouco a pouco iremos subindo e
passando os níveis em termos de conceitos, ferramentas e conhecimento do ambiente
tecnológico da empresa. Mais tarde veremos que não basta chegar ao topo da montanha; a
segurança é um processo contínuo, o chamado ciclo de segurança.
CONCEITOS BÁSICOS
Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da
informação. Depois de entender cada conceito, você receberá uma nova ferramenta para
ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avançando
até os próximos capítulos para compreender como se implementa a segurança da
informação. Nesta etapa, você ainda não possui essas ferramentas, por isso vai começar a
escalada com um acampamento básico. Esse acampamento ilustra a situação em que se
encontram as empresas na etapa inicial da implementação da segurança: baixo controle do
ambiente, alto índice de risco, processo de segurança pessoal e intuitivo, entre outros. Então
2
vamos conhecer os principais conceitos da segurança da informação e por que ela é
necessária para o sucesso dos negócios de uma empresa. O objetivo deste estudo é obter
um ambiente seguro para a informação. Mas o que é informação?
Segundo o dicionário Aurélio [1], informação é o conjunto de dados acerca de alguém ou de
algo. Estendendo esse conceito, podemos dizer que a informação é a interpretação desses
dados. De nada vale um conjunto de dados sem que se faça a interpretação dos mesmos
para se extrair um conhecimento útil.
As organizações necessitam da informação para tomar decisões objetivando seus fins (o
sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias, não há
mudanças ou até mesmo não existiria a empresa. Uma conseqüência natural da importância
da informação é a extrema vulnerabilidade a que cada empresa se expõe caso haja perda de
dados vitais, como plantas de projetos, planilhas de custos, documentos contábeis,
financeiros, etc. Quanto maior for a organização maior será sua dependência da informação.
A informação pode estar armazenada de várias formas: impressa em papel, em meios digitais
(discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em
fotografias e filmes. Quando lidamos com segurança da informação, é necessário pensar em
sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando
todos os recursos disponíveis, e não somente os tecnológicos. Devemos tratar a informação
como um ativo da empresa com a mesma importância que qualquer outro bem palpável. Por
isso, deve ser protegido contra roubo, problemas ambientais, vandalismo, dano acidental ou
provocado. Quanto mais interconectada for uma empresa, maior será a complexidade dos
sistemas por onde trafegam e são armazenadas as informações e, conseqüentemente, maior
será a preocupação com o nível de segurança a ser implantado a fim de garantir a
confidencialidade, confiabilidade, disponibilidade e integridade da informação que ela detém.
A disciplina de segurança da informação trata do conjunto de controles e processos que
visam preservar os dados que trafegam ou são armazenados em qualquer meio. As
modernas tecnologias de transporte, armazenamento e manipulação dos dados, trouxeram
enorme agilidade para as empresas, mas, ao mesmo tempo, trouxeram também novos riscos.
Ataques de crackers (black hat hackers), de engenharia social, vírus, worms, negação de
serviço, espionagem eletrônica são noticiadas pela imprensa todos os dias. Diante deste
cenário, a segurança da informação torna-se imprescindível para as organizações, sejam elas
do setor público ou privado.
A segurança da informação tem como propósito proteger as informações registradas, sem
importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores
ou até mesmo na memória das pessoas que as conhecem.
… uma das preocupações da segurança da informação é proteger os elementos que fazem
parte da comunicação. Assim, para começar, é necessário identificar os elementos que a
segurança da informação tenta proteger:
As informações
Os equipamentos e sistemas que oferecem suporte a elas
As pessoas que as utilizam
Além disso, é importante que todos os funcionários da empresa tenham consciência de como
devem lidar com as informações de forma segura, já que de nada serve qualquer sistema de
segurança, por mais complexo e completo que seja, se os funcionários, por exemplo, facilitam
o acesso ou fornecem seu nome de usuário e senha a pessoas estranhas à empresa e, com
3
isso, deixam aberta a porta para possíveis ataques ou vazamento de informações críticas
para fora da empresa.
PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO
Agora aprofundaremos os princípios básicos que nos ajudarão a proteger o ativo de mais
valor nos negócios modernos: a informação. Proteger os ativos significa adotar medidas para
evitar a concretização de ameaças que podem afetar a informação:
Corrompendo-a,
tendo acesso a ela de forma indevida, ou mesmo
eliminando-a ou furtando-a
Por isso, entendemos que a segurança da informação busca proteger os ativos de uma
empresa ou indivíduo com base na preservação de três princípios básicos:
Integridade
Confidencialidade e
Disponibilidade da informação
PRINCÍPIO DA INTEGRIDADE DA INFORMAÇÃO
O primeiro dos três princípios da segurança da informação que aplicamos é a integridade, a
qual nos permite garantir que a informação não tenha sido alterada de forma não autorizada
e, portanto, é íntegra. Uma informação íntegra é uma informação que não foi alterada de
forma indevida ou não-autorizada. Para que a informação possa ser utilizada, ela deve estar
íntegra. Quando ocorre uma alteração não-autorizada da informação em um documento, isso
quer dizer que o documento perdeu sua integridade. A integridade da informação é
fundamental para o êxito da comunicação. O receptor deverá ter a segurança de que a
informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição
pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado
4
original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para tal. Se
uma informação sofre alterações em sua versão original, então ela perde sua integridade, o
que pode levar a erros e fraudes, prejudicando a comunicação e o processo de decisões.
A quebra de integridade ocorre quando a informação é corrompida, falsificada ou
indevidamente alterada. Uma informação poderá ser alterada de várias formas, tanto em seu
conteúdo quanto no ambiente que lhe oferece suporte. Portanto, a quebra da integridade de
uma informação poderá ser considerada sob dois aspectos:
1. Alterações do conteúdo dos documentos – quando são realizadas inserções,
substituições ou exclusões de parte de seu conteúdo.
2. Alterações nos elementos que oferecem suporte à informação – quando são
realizadas alterações na estrutura física e lógica onde a informação está armazenada.
Exemplo: Quando as configurações de um sistema são alteradas para permitir acesso de
escrita a informações restritas, quando são superadas as barreiras de segurança de uma rede
de computadores. Todos são exemplos de situações que podem levar a quebra da
integridade, afetando a segurança. Portanto, a prática da segurança da informação tem como
objetivo impedir que ocorram eventos de quebra de integridade, que causam danos às
pessoas e às empresas
Quão importante é para você que as informações sobre os salários dos funcionários de sua
empresa não sejam alteradas por acidente ou delito? Você sabe se as informações sobre os
projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros?
PROTEGER A INTEGRIDADE DA INFORMAÇÃO
Buscar a integridade é tentar assegurar que apenas as pessoas ou sistemas autorizados
possam fazer alterações na forma e no conteúdo de uma informação, ou que alterações
causadas por acidentes ou defeitos de tecnologia não ocorram, assim como no ambiente no
qual ela é armazenada e pela qual transita, ou seja, em todos os ativos. Logo, para proteger a
integridade, é preciso que todos os elementos que compõem a base da gestão da informação
se mantenham em suas condições originais definidas por seus responsáveis e proprietários.
Em resumo: proteger a integridade é um dos principais objetivos para a segurança das
informações de um indivíduo ou empresa.
5
PRINCÍPIO DA CONFIDENCIALIDADE DA INFORMAÇÃO
O princípio da confidencialidade da informação tem como objetivo garantir que apenas a
pessoa correta tenha acesso à informação. As informações trocadas entre indivíduos e
empresas nem sempre deverão ser conhecidas por todos. Muitas informações geradas pelas
pessoas se destinam a um grupo específico de indivíduos e, muitas vezes, a uma única
pessoa. Isso significa que esses dados deverão ser conhecidos apenas por um grupo
controlado de pessoas, definido pelo responsável da informação Por isso, dizemos que a
informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas
não-autorizadas não tenham acesso a ela. Ter confidencialidade na comunicação é ter a
segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido
por quem tiver autorização para tal. Perda de confidencialidade significa perda de segredo. Se
uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e
não divulgada para pessoas não-autorizadas
Exemplo:
Pensemos no caso de um cartão de crédito. O número do cartão só poderá ser conhecido por
seu proprietário e pela loja onde é usado. Se esse número for descoberto por alguém malintencionado, como nos casos noticiados sobre crimes da Internet, o prejuízo causado pela
perda de confidencialidade poderá ser muito elevado, pois esse número poderá ser usado por
alguém para fazer compras na Internet, trazendo prejuízos financeiros e uma grande dor de
cabeça para o proprietário do cartão. O mesmo ocorre no caso de uso indevido de senhas de
acesso a sistemas bancários, por exemplo. Milhares de dólares são roubados diariamente
pela ação de criminosos virtuais que se dedicam a invadir sistemas para quebrar a
confidencialidade das pessoas e empresas.

PROTEGER A CONFIDENCIALIDADE DA INFORMAÇÃO
Proteger a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais
difíceis de implementar, pois envolve todos os elementos que fazem parte da comunicação da
informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Além
disso, informações tem diferentes graus de confidencialidade, normalmente relacionados ao seus
valores. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na
6
estrutura tecnológica e humana que participa desse processo: uso, acesso, trânsito e armazenamento
das informações. Deve-se considerar a confidencialidade com base no valor que a informação tem
para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Assim, deve ser
acessada, lida e alterada somente por aqueles indivíduos que possuem permissão para tal. O acesso
deve ser considerado com base no grau de sigilo das informações, pois nem todas as informações
importantes da empresa são confidenciais.
Como mencionado, o primeiro passo para proteger a confidencialidade das informações é através do
estabelecimento do grau de sigilo. Vejamos a seguir esse conceito fundamental:
Grau de sigilo: As informações geradas pelas pessoas têm uma finalidade específica e
destinam-se a um indivíduo ou grupo. Portanto, elas precisam de uma classificação com
relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação
atribuída a cada tipo de informação com base no grupo de usuários que possuem permissões
de acesso. O grau de sigilo faz parte de um importante processo de segurança de
informações, a classificação da informação.
Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a
informação, define-se um grau de sigilo. Um exemplo de graus de sigilo pode ser:
Confidencial
Restrito
Sigiloso
Público





PRINCÍPIO DA DISPONIBILIDADE DAS INFORMAÇÕES
Além de trabalharmos para que a informação chegue apenas aos destinatários ou usuários
adequados e de forma íntegra, devemos fazer com que esteja disponível no momento
oportuno. É disso que trata o terceiro princípio da segurança da informação: a disponibilidade
7
Para que uma informação possa ser utilizada, ela deve estar disponível. A disponibilidade é o
terceiro princípio básico da segurança da informação. Refere-se à disponibilidade da
informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o
armazenamento. A disponibilidade da informação permite que:

Seja utilizada quando necessário
Esteja ao alcance de seus usuários e destinatários
Possa ser acessada no momento em que for necessário utilizá-la.

Esse princípio está associado à adequada estruturação de um ambiente tecnológico e
humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos
negativos para a utilização das informações. Assim, o ambiente tecnológico e os suportes da
informação deverão estar funcionando corretamente para que a informação armazenada
neles e que por eles transita possa ser utilizada pelos usuários.
Exemplo:
falham, o que impede que se tome uma decisão central em termos de negócios.
destruídas e não se contava com um suporte para as mesmas.

PARA se PENSAR.
A informação necessária para a tomada de decisões críticas para o negócio se encontra
sempre disponível? Você sabe se existem vulnerabilidades que impeçam isso? Você conta
com sistemas de suporte de informação?
PROTEGER A DISPONIBILIDADE DA INFORMAÇÃO
Para que seja possível proteger a disponibilidade da informação, é necessário conhecer seus
usuários, para que se possa organizar e definir, conforme cada caso, as formas de
disponibilização, seu acesso e uso quando necessário. A disponibilidade da informação deve
ser considerada com base no valor que a informação tem e no impacto resultante de sua falta
de disponibilidade. Para proteger a disponibilidade, muitas medidas são levadas em
consideração. Entre elas, destacamos:

A configuração segura de um ambiente em que todos os elementos que fazem parte da
cadeia de comunicação estejam dispostos de forma adequada para assegurar o êxito da
leitura, do trânsito e do armazenamento da informação.
Também é importante fazer cópias de segurança – backup. Isso permite que as mesmas
estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de
sua base original
Para aumentar ainda mais a disponibilidade da informação, deve-se:

Definir estratégias para situações de contingência.
8
Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a
continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos,
não estejam em perfeitas condições de funcionamento.
EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO
Desde a pré-história, cerca de 2000 anos antes de Cristo (AC), o homem já sentia
necessidade de transmitir e perpetuar a informação. Usava pinturas nas pedras para
expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita
na Suméria. A partir daí várias civilizações desenvolveram seus próprios métodos de registro
e transmissão da informação, dentre eles podemos destacar:
agdá em 753 DC;
Todo este processo milenar nos levou até as modernas tecnologias de transmissão e
armazenamento digital de dados no século 20 [2]. Todos aqueles métodos de
armazenamento padeciam de um problema: como preservar essas informações para que
fossem acessadas após sua geração? No ano 600 da era cristã o rei Ashurbanipal em
Nineveh organizou a primeira biblioteca, cujo acervo sobrevive até os dias atuais com cerca
de 20000 placas. É um exemplo clássico da necessidade da transmissão da informação
armazenada. Desde o início, o desafio era conter as diversas ameaças à informação,
algumas das quais enfrentamos até hoje: incêndios, saques, catástrofes naturais,
deterioração do meio de armazenamento.
À medida que a sociedade evoluía, a preocupação com a segurança das informações
aumentava, principalmente no quesito confidencialidade. Foram criados vários processos de
cifragem da informação, que tinham a função de alterar o conteúdo das mensagens antes de
seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado e não a
mensagem original. Isso permitiu que segredos e estratégias fossem trocados de forma
segura entre aliados. Por exemplo, a cifragem de César foi usada para troca de informações
entre os exércitos durante o império romano; a máquina de cifrar “Enigma” foi utilizada como
uma grande arma de guerra pelos alemães durante o período da segunda grande guerra.
Atualmente a criptografia e a estenografia continuam sendo largamente utilizadas em diversas
aplicações de transferência e armazenamento de dados. O surgimento dos computadores e
de sua interconexão através de redes mundialmente distribuídas permitiu maior capacidade
de processamento e de distribuição das informações. Com essa capacidade de comunicação,
surgiu também a necessidade da criação de mecanismos que evitassem o acesso e a
alteração indevida das informações. Como resultado surgiram várias propostas e publicações
de normas de segurança em todo o mundo.
Material extraído de :
Academia Latino-Americana de Segurança da Informação – Curso Básico Módulo 1 – Introdução à
Segurança da Informação - Microsoft TechNet
9
CRIME em INFORMÁTICA
O que é a Pirataria de Softwares?
Há varias formas de pirataria de softwares, sendo que cada uma delas contribui para que a
indústria de softwares perca anualmente alguns bilhões de dólares. A seguir listamos as formas
mais comuns de pirataria de software que afetam as desenvolvedoras de software.
Pirataria de Usuário Final
Ocorre quando os usuários fazem cópias adicionais do software sem autorização. Aqui estão
incluídas as cópias casuais realizadas por alguns indivíduos em empresas que não monitoram de
perto a diferença entre o número de licenças instaladas e o número de licenças adquiridas.
Venda Não Autorizada
A pirataria de revendedor ocorre quando um revendedor sem escrúpulos distribui múltiplas cópias
de um único pacote de software original a diferentes clientes. A pirataria de revendedor também
ocorre quando os revendedores vendem de má fé cópias piratas com aspecto de original para
clientes desavisados. O que denuncia a pirataria de revendedor é a existência de múltiplos
usuários com o mesmo número de série, a ausência de documentação original, um pacote
incompleto, ou quando a documentação não confere com a versão do software instalado.
Pirataria pela Internet
Enquanto as desenvolvedoras de softwares oferecem versões autorizadas de seus softwares para
venda online, diretamente ou por meio de um de distribuidores/revendedores autorizados, há
também numerosas operações não autorizadas ocorrendo pela Internet:

Sites piratas que disponibilizam o download gratuito do software, ou requisitam a troca
pelo upload de outros programas;

Sites de leilões via Internet que oferecem cópias falsas, desviadas, ou com quebra de
direitos autorais dos softwares; e,

Redes peer-to-peer que permitem a transferência não autorizada de programas
protegidos por direitos autorais.
A pirataria pela Internet talvez seja o único problema a representar grande risco ao e-commerce
Caso você encontre softwares à venda em sites populares de leilão com preços baixos demais
para ser verdade, é provável que se trate de pirataria. Realizar ofertas por tais softwares deixam
você exposto às responsabilidades legais referentes a pirataria de softwares.
Falsificação de Softwares
É a duplicação ilegal e venda de material protegido por direitos autorais com a intenção direta de
imitar o produto protegido. No caso de pacote de produtos de software é comum encontrar cópias
falsas de CDs ou disquetes que imitam o programa de software e sua embalagem, manuais,
acordos de licença, etiquetas, cartões de registro e funções de segurança.
Cracking
Ocorre quando se consegue acesso ilegal a softwares protegidos.
10
Crimes de Pirataria de Software
Prática ilícita caracterizada pela reprodução e uso indevidos de programas de computador legalmente protedidos.
As modalidades da pirataria de software são :

Falsificação
Falsificação é a cópia e a comercialização ilegal de software protegido por direitos autorais, com a intenção
de imitar o material original. Inclui imitação da embalagem, documentação, etiquetas e das demais
informações. Esta prática é sofisticada, mas a menos comum no Brasil.

CDROM Pirata
É a duplicação ilegal e a comercialização das cópias com objetivo de obter lucro. Normalmente, a cópia é
feita em mídia regravável e vendida através de anúncios classificados em jornais, pela internet, ou
diretamente em "lojas" ou bancas de camelôs. Costumam trazer "coletãneas", ou seja, diversos programas
compactados num único CD, e seu preço é geralmente irrisório. Diferente da falsificação, neste caso, o
usuário sabe que está comprando uma cópia ilegal.

Revendas de Hardware
Alguns revendedores de computador, sobretudo aqueles que atual no mercado informal, gravam cópias
não autorizadas de software nos discos rígidos dos PCs, sem fornecer ao usuário a licença original ou a
documentação técnica. Trata-se de estratégia para incentivar a compra do hardware, sem o conhecimento
do comprador quanto a existência de pirataria.

Pirataria Individual
Compartilhar programas com amigos e colegas de trabalho também é um problema significativo.
Usuários individuais, que fazem cópias não autorizadas, simplesmente não acreditam que possam ser
detectados, sobretudo em face do enorme número de pessoas que pratica esse tipo de pirataria.

Pirataria Corporativa
É a execução de cópias não autorizadas de software para computadores dentro de organizações. Ocorre
quando cópias adicionais são feitas por empregados, para uso na corporação (empresas, escolas,
repartições públicas, etc), sem a necessária aquisição de novas licenças. Esta é uma das formas de
pirataria mais difundidas, sendo responsável por mais da metada das perdas sofridas pela indústria
mundial de software. As grandes empresas, geralmente, são mais cuidadosas em relação ao uso legal de
software do que companhias de pequeno e médio portes, pois são mais sensíveis ao fato de que a prirataria
não só expõe publicamente a empresa, como também a submete ao risco de altas indenizações, pois
mesmo poucas cópias ilegais podem significar multas vultosas, além de outras penalidades.

Pirataria Cliente/Servidor
Quando a empresa passa de um ambiente de usuários isolados, para um ambiente de rede, é comum
confiar a instalação e o gerenciamento a consultores ou revendedores. Podem ser instaladas cópias ilegais
no servidor, ou mesmo uma cópia original, mas não destinada ao uso em rede e ainda, permitir mais
usuários do que a quantidade definida na licença, colocando a empresa em sério risco. Exceder o número
permitido de usuários discriminado na licença também se configura como pirataria.

Pirataria Online
Como o acesso à internet se tornou uma prática comum nos ambientes de trabalho, este tipo de pirataria
vem crecendo rapidamente. O software pode ser facilmente transferido e instalado, e mais,
anonimamente.
11

O software é uma obra intelectual e não um produto. Quando compramos um programa de computador,
estamos adquirindo uma licença de uso.

Quem compra software pirata está sujeito a mesma punição aplicada a quem está vendendo. Nas ações, as
autoridades policiais apreendem listas com nomes de compradores, que podem ser indiciados.

Há quem diga que o alto preço cobrado pelo software no mercado brasileiro incentiva a pirataria. A
prática, ao contrário, mostra que é uma questão cultural, que se consolidou à época da reserva de
mercado. Um bom exemplo é o do programa Wordstar. Em comparação com os demais, tinha um baixo
custo e nem por isso deixou de ser amplamente pirateado.

Todos perdem com a pirataria. A oferta de empregos diminui, o Estado deixa de arrecadar, o país fica com
sua imagem comprometida no exterior e empresas estrangeiras, bem como as nacionais, não se sentem
seguras para investir em tecnologia e no desenvolvimento de novos produtos, já que os direitos autorais
são desrespeitados.
Empresário precavido vale por dois. Hoje, do office-boy ao diretor, todos têm acesso aos microcomputadores da
empresa, e podem praticar (A) pirataria se não houver um rígido controle. Através do Telepirata, constatamos que
a maioria das denúncias parte de ex-funcionários.
Desde de 1989, ano em que a ABES iniciou sua campanha anti-pirataria no PAÍS, até 1999, o índice de pirataria no
Brasil, recuou 35 pontos percentuais.
Quais são os riscos no uso de software irregular?
A pirataria de software pode resultar em processos cíveis e criminais. A organização estará exposta a altas multas,
indenizações e até a prisão dos responsáveis. Embora os executivos das empresas acreditem que não existe
possibilidade de sua empresa ser descoberta, pelo menos uma empresa é flagrada a cada dia. A indústria de
software descobre violações ao Direito Autoral através de denúncias, o que dá início aos processos de busca e
apreensão, instauração de queixa crime e abertura de processos indenizatórios. No Brasil, as indenizações podem
chegar a até 3.000 vezes o valor so aoftware irregular, e as penas de prisão a até 4 anos.
Responsabilidades
De acordo com a lei brasileira, cabe ao empresário responder por qualquer irregularidade que ocorra na
companhia, inclusive as praticadas por funcionários. A reprodução ilegal de software para uso interno, sem as
respectivas licenças de uso (pirataria corporativa), é uma das mais comuns. Infelizmente, ainda são poucas as
empresas que adotam uma postura preventiva. A maioria faz vistas grossas, e é justamente aí que mora o perigo.
Enquanto alguns funcionários ficam absolutamente felizes com a displicência patronal (instalando, a bel prazer,
programas que acabam trazendo `a rede indesejáveis vírus), outros não hesitam em denunciar seus empregadores,
quer por consciência profissional ou simples vingança. A maior parte das denúncias se prova verdadeira. E nem é
preciso dizer como fica essa história. No mínimo, tem como cenário uma delegacia, ou um tribunal.
Quem deseja um "happy end" precisa investir em prevenção. Comece por incluir no contrato de admissão uma
cláusula que proíbe terminantemente essa prática ilícita na empresa. Uma vez cientes do fato, os funcionários
pensarão duas vezes antes de "partir para o crime", já que podem ser punidos com demissão por justa causa. Essa
simples medida evita muitos danos financeiros e morais. Mas, vale lembrar: isso é apenas o ponto de partida para
que uma nova cultura tome forma, com a consolidação de uma política anti-pirataria.
Qualquer pessoa envolvida com a prática ilícita - usuário de programa "pirata", comerciante ilegal ou cúmplice na
pirataria corporativa - está sujeita a punições que variam de seis meses a dois anos de detenção, além do
pagamento de indenização milionária aos produtores do software. Trata-se, como se pode ver, de um mau negócio
para quem estiver desrespeitando os direitos autorais.
Tudo tem um preço e, nesse caso, é alto. Danos irreversíveis à imagem pessoal, profissional ou empresarial são
apenas um dos exemplos do que acontece com aqueles que se julgam "espertos", acreditam em impunidade e
preferem pagar para ver.
12
Vários são os fatores que contribuem para com a insegurança de Internet, como por exemplo:




Falta de conhecimento – A falta de conhecimento é uma das principais causas que
contribuem para com a insegurança da Internet. Nós acreditamos que aquilo que não
conhecemos nunca irá acontecer conosco. Se nos compete a responsabilidade de
administrar um servidor, ou mesmo um ambiente computacional, é melhor não
acreditarmos nisso. O conhecimento é simplesmente o aspecto mais importante em
relação à segurança.
Anonimato – Outro fator que contribui em muito para a insegurança é o anonimato, pois, a
rede é democrática e dispões de vários serviços para proteger a privacidade de seu
usuário o que dá àqueles mal intencionados a certeza de que este fator lhes é totalmente
favorável.
Disseminação da Tecnologia – Hoje, qualquer usuário da rede que pesquise de forma
constante, poderá ter a sua disposição às mesmas ferramentas utilizadas pelas
organizações governamentais ou pelas empresa especializadas em segurança.
Falta de Interesse dos usuários – Para a maioria o assunto segurança é chato e
entediante. Eles acham que segurança na Internet é assunto para especialistas. Até certo
ponto, isto é verdade. O provedor deve ter responsabilidade pelos serviços que prestam
aos seus usuários. Porém n´s sabemos que não é isto o que ocorre na prática do dia-a-dia.
As empresas têm receio de se comunicarem umas com as outras e trocarem informações
sobre ataques que sofreram e nunca divulgam as brechas encontradas, como medidas
cautelares para as demais empresas.
Como podemos observar, qualquer pessoa pode estar exposta a um ataque.
Esses ataques acontecem, muitas vezes, porque os provedores de acesso são administrados por
pessoas que, não possuem uma instrução adequada a fornecerem os serviços adequados, ou
simplesmente negligenciam suas atividades.
A maioria dos hackers novatos somente passa a ser conhecida quando a mídia noticia a sua
captura, pois, eles ainda são muito inexperientes e por isso deixam rastros por onde passam. Mas
pouco se sabe dos mais experientes, pois eles são muito cuidadosos nos seus ataques,
consequentemente, são difíceis de serem encontrados.
Mas, o que os motiva a fazerem esses atos¿ Os motivos são muitos e podemos classificar alguns
deles:




Espionagem Industrial
Ocorre quando o hacker é contratado por uma empresa para roubar e destruir os dados da
concorrente.
Proveito Próprio
Ocorre quando existe a possibilidade de, ao invadir, o hacker tirar proveito próprio, tais
como: transferências de dinheiro, vantagens em concursos, uso indevido e clandestino de
sistemas de telefônica e comunicações.
Vingança
Esta chega a ser clássica. Um ex-funcionário que conhece o sistema pode causar danos
aos sistemas de informação se o seu acesso não for cortado no momento adequado.
Status ou Necessidade de Aceitação
A comunidade hacker encontra um sistema razoavelmente seguro e difícil de ser invadido.
Tal fato transforma este sistema em verdadeira gingana. A necessidade de ser
reconhecido no meio hacker faz com que ele tente insistentemente até atingir o seu
objetivo e ser reconhecido no sub-mundo dos hackers.
13


Busca de aventura
A tentativa de invasão a sistemas importantes, onde a segurança está em um nível muito
alto, ativa o gosto do desafio dos hackers.
Maldade
A invasão e/ou a destruição pelo simples prazer de destruir.
Adware - Do Inglês Advertising Software.
Software especificamente projetado para apresentar propagandas. Constitui uma forma de retorno
financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. Pode ser
considerado um tipo de spyware, caso monitore os hábitos do usuário, por exemplo, durante a
navegação na Internet para direcionar as propagandas que serão apresentadas.
Keylogger
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um
computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário,
como por exemplo, após o acesso a um site de comércio eletrônico ou Internet Banking, para a
captura de senhas bancárias ou números de cartões de crédito.
Phishing
Também conhecido como phishing scam ou phishing/scam. Mensagem não solicitada
que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site
popular, e que procura induzir usuários ao fornecimento de dados
pessoais e financeiros. Inicialmente, este tipo de mensagem induzia o usuário ao acesso a
páginas fraudulentas na Internet. Atualmente, o termo também se refere `a
mensagem que induz o usuário `a instalação de códigos maliciosos, além da mensagem que, no
próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e
financeiros.
Scam
Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm como finalidade obter
vantagens financeiras.
Spam
Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um
grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de
mensagem também é referenciada como UCE (do Inglês Unsolicited Commercial E-mail).
Vírus
Programa ou parte de um programa de computador, normalmente malicioso, que se propaga
infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e
arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro
para que possa se tornar ativo e dar continuidade ao processo de infecção.
Vulnerabilidade
Falha no projeto, implementação ou configuração de um software ou sistema operacional que,
quando explorada por um atacante, resulta na violação da segurança de um computador.
Vírus
Programa ou parte de um programa de computador, normalmente malicioso, que se
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas
e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro
para que possa se tornar ativo e dar continuidade ao processo de infecção.
14
Worm
Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo
de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em
outros programas ou arquivos e não necessita ser explicitamente executado para se propagar.
Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na
configuração de softwares instalados em computadores.
PRIVACIDADE na INTERNET
Sendo o poder da informação tão grande, as pessoas que fazem gestão de informações e aquelas
que projetam sistemas de informação estão certas em preocupar-se com sua potencial má
utilização. Infelizmente, os sistemas de informação, como a maioria das outras ferramentas,
podem ser usados para o bem ou para o mal.
A filosofia faz distinção entre os conceitos de moral e ética. A moral refere-se ao que é bom ou
Eles podem envolver qualquer tipo de tecnologia da informação e qualquer tipo de sistema de
informações. O uso ético de sistemas de informações tornou-se uma grande preocupação para
gestores e profissionais de sistemas de informações.
Controles sobre acesso à informação, particularmente na Web têm levantado preocupações éticas
relacionadas à censura. A maioria das limitações tem abordado a prevenção para que crianças
não leiam material pornográfico. Entretanto, os negócios rotineiramente limitam ou monitoram o
uso da Web por seus empregados para proteger-se. Muitas empresas monitoram os e-mails de
seus empregados ou a navegação na Web.
Proteger privacidade pessoal também tornou-se um assunto-chave, pois sistemas de informações
em computadores podem manter grandes quantidades de dados sobre indivíduos sem seu
conhecimento.
Defensores da privacidade exigem políticas e procedimentos para proteger a privacidade
individual, tais como garantir a coleta legal de dados corretos e atualizados relevantes para os
objetivos da organização.
As pessoas muitas vezes enfrentam opções relativas ao uso de informações que elas
nãompodem rotular claramente como certas ou erradas, morais ou imorais. Por exemplo, o que
você faria se, depois de prometer a seus empregados que seus dados são particulares, você fica
sabendo que um empregado roubou informações da empresa? E se você que um empregados
tem planos para prejudicar outro? Você deveria examinar seus arquivos de dados? As pessoas
podem aplicar uma variedade de princípios éticos para determinar o que é ético em casos como
estes.



O principio da minimização do dano. Tomar a decisão que minimiza o dano. Parara aplicar
este principio você deve verificar como a decisão afeta todas as partes, não somente você
e sua empresa. Voce provavelmente terá que pesar o dano causado a uma pessoa contra
o dano causado a outra.
O principio da consistência. Suponha que todos os que enfrentam uma situação
semelhante façam a mesma escolha que você. Você aprovaria as consequências? Por
exemplo, se você pensa que copiar software em lugar de comprá-lo é ético, examine as
implicações se todos copiarem software.
O principio do respeito. Tome a decisão que trate as pessoas com o maior respeito. Isto
implica que você age em relação aos outros da mesma maneira que espera que os outros
ajam em relação a você. Se estes princípios, são muito difíceis de aplicar ou não
produzem uma solução clara, você pode também usar diversas abordagens para tomar
decisões éticas.
15
LEIS de PRIVACIDADE
DIFAMAÇÃO e CENSURA na INFORMÁTICA
O lado oposto do debate da privacidade é o direito das pessoas de saberem sobre assuntos que
outras podem desejar manter reservados (liberdade de informação), o direito das pessoas de
expressarem suas opiniões sobre esses assuntos (liberdade de discurso) e o direito das pessoas
de publicarem essas opiniões (liberdade de imprensa). Alguns dos maiores campos de batalha no
debate são os bulletin boards, caixas de e-mail e arquivos on-line da Internet e redes públicas de
informação como a Prodigy, CompuServe e America Online. As armas que estão sendo utilizadas
nesta batalha incluem o flame mail, leis sobre difamação e censura.
Spamming – é o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O
spamming é a tática favorita dos remetentes de massas de propagandas não solicitadas ou junk
e-mail.
Flaming – é a prática de enviar mensagens de e-mail extremamente críticas, detrativas e muitas
vezes vulgares (flame mail), ou mensagens por BBSs para outros usuários na Internet ou serviços
on-line. O flaming é principalmente dominante em alguns dos BBSs de grupos de discussão de
interesses especiais na Internet. A Internet está muito vulnerável a abusos uma vez que perde
atualmente o policiamento formal e apresenta falta de segurança.
d) Crime com o uso do computador
O crime com o uso do computador é a ameaça causada pelas ações criminosas ou irresponsáveis
de usuários de computadores que estão tirando proveito do uso generalizado das redes de
computadores em nossa sociedade. Por isso, ele constitui uma ameaça maior ao uso ético da TI.
O crime informatizado apresenta sérias ameaças à integridade, segurança e qualidade da maioria
dos sistemas de informação das empresas e, com isso, faz do desenvolvimento de métodos
eficazes de segurança uma prioridade máxima.
Legislação sobre Crimes com o uso do computador
A Lei sobre Fraude e Abuso de Computadores dos Estados Unidos de 1986 define o crime
informatizado como uma das atividades envolvendo acesso a computadores de “interesse federal”
(utilizados pelo governo federal) ou operando no comércio interestadual ou exterior:




Com o intuito de fraudar
Resultando em uma perda de mais de 1.000 dólares
Para obter acesso a certos sistemas de computação médica.
Traficar senhas de acesso a computadores também é proibido.
As penalidades para violações da Lei sobre Fraude e Abuso de Computadores dos Estados
Unidos incluem:




Um a cinco anos de prisão para um primeiro delito
Dez anos para um segundo delito
Vinte anos para três ou mais delitos
As multas podem chegar a 250.000 dólares ou duas vezes o valor dos dados roubados
16
A Associação dos Profissionais de Tecnologia da Informação (Association of Information
Technology Professionals, ou AITP) define o crime informatizado como:





O uso, acesso, modificação e destruição não autorizados de recursos de hardware,
software, dados ou rede.
A divulgação não autorizada de informações.
A cópia não autorizada de softwares
A negação de acesso a um usuário final aos seus próprios recursos de hardware, software,
dados ou rede.
O uso ou conspiração para uso de recursos de computação para obter ilegalmente
informações ou propriedade tangível.
Exemplos de Crime com o uso do computador
O crime com o uso do computador envolve atividades criminosas utilizando computadores. Isto
normalmente inclui:





Roubo de dinheiro, serviços, softwares e dados
Destruição de dados e softwares, principalmente por vírus de computador
Acesso malicioso ou hacking na Internet ou outras redes de computadores
Violação da privacidade
Violação da lei anti-truste ou internacional.
Crime pela Internet
Os hackers conseguem monitorar e-mail, acesso a servidores da Web ou transferências de
arquivo para extraírem senhas ou roubarem arquivos da rede ou inserirem dados que podem fazer
com que um sistema dê acesso a intrusos. Um hacker também pode utilizar serviços remotos que
permitem que um computador em uma rede execute programas em outro computador para obter
acesso privilegiado dentro de uma rede. A Telnet, uma ferramenta para uso interativo de
computadores remotos, pode ajudar um hacker a descobrir informações para planejar outros
ataques. Os hackers têm utilizado a Telnet para acessar porta de e-mail de um computador, por
exemplo, para monitorar mensagens de e-mail em busca de senhas e outras informações sobre
contas de usuários e recursos de rede privilegiados.
Roubo de Dinheiro
Muitos crimes com o uso do computador envolvem o roubo de dinheiro. Eles quase sempre
envolvem a alteração fraudulenta de arquivos do computador para encobrir os rastros dos ladrões
ou para usufruir do dinheiro de outros com base em registros falsificados.
Roubo de Serviços
O uso não autorizado de um sistema de computador é chamado de roubo de serviços. Um
exemplo comum é o uso não autorizado de redes de computadores da empresa por funcionários.
Isto pode ir da realização de consultas privadas ou finanças pessoais, ou jogo de vídeo games,
até o uso não autorizado da Internet pelas redes da empresa. Softwares de monitoração de redes,
conhecidos como sniffers (farejadores), são freqüentemente utilizados para monitorar o tráfego da
rede para avaliar a capacidade da rede, além de revelar evidência de uso impróprio.
Roubo de Software
Programas de computador são propriedade valiosa e por isso estão sujeitos a roubo dos sistemas
de computador. A reprodução não autorizada de software, ou pirataria de software, é uma forma
17
importante de roubo de software porque o software é propriedade intelectual protegida por lei de
direitos autorais e contratos de licença com o usuário.
Alteração ou Roubo de Dados
Fazer alterações ilegais ou roubar dados é outra forma de crime informatizado.
Hacking é o uso obsessivo de computadores ou o acesso e uso não autorizados de sistemas de
computação em rede. Hackers ilegais (também conhecidos como crackers) podem roubar ou
danificar dados e programas.
Vírus de Computador – Destruição de Dados e Software
Um dos mais destrutivos exemplos de crime informatizado envolve a criação de vírus de
computador ou vermes de computador. Esses vírus normalmente entram em um sistema de
computação por meio de cópias de software ilegais ou emprestadas ou por meio de links de rede
para outros sistemas de computador. Um vírus normalmente copia a si mesmo nos programas do
sistema operacional do computador e de lá para o disco rígido e em quaisquer discos flexíveis
inseridos. Programas de vacina e programas de prevenção e detecção de vírus são disponíveis,
mas podem não funcionar para novos tipos de vírus.
Vírus – é um código de programa que não pode funcionar sem ser inserido em outro programa.
Verme – é um programa distinto que pode rodar sem assistência.
e) Questões de Saúde
O uso da TI no local de trabalho levanta uma série de questões de saúde. O uso intenso de
computadores é tido como causador de problemas de saúde como:





Estresse no trabalho
Lesões em músculos do braço e pescoço
Tensão ocular
Exposição a radiação
Morte por acidentes provocados por computador
Ergonomia:
As soluções para alguns problemas de saúde são baseadas na ciência da ergonomia, às vezes
chamada de engenharia de fatores humanos. A meta da ergonomia é projetar ambientes de
trabalho saudáveis que sejam seguros, confortáveis e agradáveis para as pessoas trabalharem,
aumentando assim o moral e a produtividade do funcionário.
A ergonomia enfatiza a concepção saudável do local de trabalho, estações de trabalho,
computadores e outras máquinas e até de pacotes de software. Outras questões de saúde podem
exigir soluções ergonômicas que enfatizem mais o desenho do cargo do que o desenho do local
de trabalho.
e) Soluções Sociais
A tecnologia da informação pode produzir muitos efeitos benéficos na sociedade. A TI pode ser
utilizada para solucionar problemas humanos e sociais por meio de soluções sociais como:
18





Diagnóstico médico
Instrução auxiliada por computador
Planejamento de programas governamentais
Controle da qualidade ambiental
Aplicação das leis
Privacidade
 Importantes questões:
» Acessar trocas de correspondência e registros de computadores
privativos de um individuo;
» Saber sempre onde uma pessoa está;
» Utilizar informações de clientes para comercializar serviços
empresariais adicionais;e
» Obter números de telefone, endereço, números de cartões de
crédito, para criar perfis de clientes individuais (não autorizados).
 Privacidade na Internet:
» Cookie File – Histórico;
» Spam – envio de e-mail não solicitado; e
» Flame mail – envio de e-mail extremamente criticas, detrativas e
vulgares.
O QUE É A ANÁLISE DE RISCOS
A Análise de risco é um dos passos mais importantes para implementar a segurança da
informação em uma empresa. Como o próprio nome indica, é realizada para identificar os riscos
aos quais estão submetidos os ativos de uma organização, ou seja, para saber qual é a
probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.
As ameaças podem se tornar realidade através de falhas de segurança, que conhecemos como
vulnerabilidades e que devem ser eliminadas ao máximo para que o ambiente que desejamos
proteger esteja livre de riscos de incidentes de segurança. Portanto, a relação ameaçavulnerabilidade-impacto é a principal condição que deve ser levada em conta no momento de
priorizar ações de segurança para a proteção dos ativos mais importantes para empresa.
DEFINIÇÃO DE ANÁLISE DE RISCO
A análise de riscos é... …uma atividade voltada para a identificação de falhas de
segurança que evidenciem vulnerabilidades que possam ser exploradas por ameaças,
provocando impactos nos negócios da organização. …uma atividade de análise que pretende
identificar os riscos aos quais os ativos se encontram expostos. …além disso, é uma atividade
que tem como resultado:
Encontrar o conjunto de vulnerabilidades que podem afetar o negócio, para identificar os
passos que devem ser seguidos para sua correção;
Identificar as ameaças que podem explorar essas vulnerabilidades e, dessa maneira,
elaborar estratégias de proteção;
Identificar os impactos potenciais que poderiam ter os incidentes;
Determinar as recomendações para que as ameaças sejam corrigidas ou reduzidas
19
Gerenciamento da Segurança da Tecnologia da Informação
Ferramentas de Gerenciamento de segurança.
Defesas de seguranças interligadas por redes.
Atualmente, poucos profissionais enfrentam desafios maiores que os enfrentados pelos gerentes
de TI que estão desenvolvendo políticas de segurança destinadas a alterar rapidamente as infraestruturas da rede na Internet. Como eles conseguem equilibrar a necessidades de segurança na
Internet com o acesso a ela? Os orçamentos para a segurança da Internet são adequados? Que
influencia era o desenvolvimento de aplicações de intranet, extranet e para a rede mundial sobre
as estruturas da segurança? Como eles podem propor melhores práticas para o desenvolvimento
de políticas de segurança na internet?
Conexões essenciais de rede e fluxos de negócios precisam ser protegidos de ataques externos
por cibercriminosos, ou da subversão por atos criminosos ou irresponsáveis de membros do
grupo. Isso requer um bom número de ferramentas de segurança e medidas defensivas, e um
programa coordenado de administração de segurança.
Criptografia
A criptografia de dados tornou-se uma maneira importante de proteger dados e outros recursos de
rede de computadores, principalmente na Internet, intranets e extranets. Senhas, mensagens,
arquivos e outros dados podem ser transmitidos de forma embaralhada e desembaralhados pelos
sistemas de computadores apenas para os usuários autorizados. A criptografia envolve o uso de
algoritmos matemáticos especiais, ou chaves, para transformar dados digitais em um código
embaralhado antes que esses dados sejam transmitidos e para decodificá-los quando forem
recebidos. O método mais amplamente utilizado de criptografia utiliza um par de chaves públicas
e privadas exclusivas de cada individuo.Um email, por exemplo, pode ser embaralhado e
codificado utilizando uma chave pública e exclusiva para o destinatário e que é conhecida pelo
remetente. Após o email ser transmitido, apenas a chave primária secreta do destinatário pode
desembaralhar a mensagem.
Os programas de criptografia são vendidos como produtos independentes ou embutidos em outro
software utilizado para o processo de criptografia. E existem diversos padrões de criptografia de
softwares concorrente. Mas os dois principais são o RSA (da RSA Data Security) e o PGP (Pretty
Good Privacy), um programa popular de criptografia disponível na Internet. Alguns software de
grandes fabricantes oferecem dispositivos de criptografia que utilizam software RSA.
Como funciona: Exemplo.
1. Com o seu software de criptografia, você cria uma “chave” com duas partes –uma pública
e outra privada. Voce distribui um arquivo contendo a parte pública da chave para aqueles
com quem deseja se comunicar.
2. Voce escreve uma mensagem de email, depois usa a chave pública do destinatário para
criptografá-la.
3. O processo de criptografia coloca uma espécie de fechadura digital na mensagem. Mesmo
que alguém intercepte a mensagem no caminho, seu conteúdo será inacessível.
4. Quando a mensagem chega, o destinatário digita uma frase teste. Em seguida, o software
utiliza a chave privada para verificar se a chave pública do destinatário foi utilizada para a
criptografia.
5. Utilizando a chave privada, o software destrava o esquema exclusivo de criptografia,
decodificando a mensagem.
20
Firewall
O firewall é uma configuração que isola algumas máquinas do resto da rede. É uma cancela que
limita o acesso de e para uma rede de computadores.
A idéia é essa: se pudéssemos criar uma barreira que fosse impenetrável entre nossa rede local e
a Internet, estaríamos protegidos de ataques à nossa rede local. Mas se houver uma barreira
impenetrável de modo que ninguém possa entrar na rede local, ninguém poderia sair também. Por
que pagar por um firewall se poderíamos simplesmente desligar o cabo de rede?
Mas precisamos interagir com o mundo, deixamos passar dados “saudáveis”, e para isso usamos
mecanismos de filtragem.
Esses mecanismos de filtragem nos entregam o que “deve entrar” por procuração (proxy). Um
firewall não é uma barreira impenetrável: ele tem aberturas com verificação de livre-transito.
Queremos que só os dados da rede que tiverem credenciais apropriadas tenham permissão para
passar.
CONCEITO de FIREWALL.
O firewall é um conceito. Não é uma coisa; não há uma solução exclusiva de firewall. O nome
“firewall” é uma descrição coletiva para vários métodos que restringem o acesso a uma rede local.
Todos eles envolvem a definição de restrições na maneira como os pacotes da rede são roteados.
O firewall pode ser um computador que é programado para agir como um roteador, um roteador
dedicado ou uma combinação de roteadores e sistemas de software. A idéia do firewall é manter
os dados importantes atrás de uma barreira que tenha algum tipo de controle de passagem e
possa examinar e restringir os pacotes da rede local, permitindo que só pacotes “inofensivos”
passem.
 Todo o tráfego de dentro para fora ou vice-versa deve passar pelo firewall.
 Só tráfego autorizado tem permissão para passar.
 Serviços de rede potencialmente arriscados (como o correio) se tornam mais seguros com
o uso de sistemas intermediários.
 O próprio firewall deve ser imune a ataques.
21
Um firewall não consegue ajudar quando se trata dos seguintes itens:
 Hosts ou redes mal configurados.
 Ataques baseados em dados (onde o ataque envolve o envio de alguma informação
perigosa, como a palavra-código que faz com que você atente contra si próprio ou uma
correspondência eletrônica que embute um cavalo de tróia).
Existem duas filosofias de firewall:
 bloquear tudo a menos que façamos uma exceção e,
 deixar passar tudo a menos que façamos uma exceção especifica.
A primeira delas é claramente a mais segura ou pelo menos a mais cautelosa das duas.
A filosofia do firewall se baseia na idéia de que é mais fácil proteger um host do que centenas ou
milhares deles em uma rede local. Só teremos que dar atenção a uma máquina e assegurar que
ela seja a única efetivamente conectada direto com a rede. Assim forçaremos todo o tráfego da
rede a parar no host de defesa. Portanto, se alguém tentar invadir o sistema enviando algum tipo
de ataque IP, não haverá danos ao resto da rede porque a rede privada nunca verá o ataque. É
claro que isso é uma simplificação. É importante perceber que a instalação de um firewall não
fornece proteção absoluta e não elimina a relevância da configuração e segurança dos hosts do
lado de dentro do firewall.
Também devemos ressaltar que geralmente o firewall é um ponto de falha único em uma rede. Ele
é vulnerável a ataques de recusa de serviços (Negação de Serviços).
PROXIES de FIREWALL
É claro que não queremos que todo o tráfego seja interrompido; alguns serviços como correioeletronico e talvez a comunicação HTTP têm que poder passar. Para permitir isso, teremos que
usar o chamado serviço de “Proxy” ou “gateway”. Uma solução comum é dar ao host duas
interfaces de rede (uma será conectada à parte desprotegida da rede e a outra a rede local
segura), embora o mesmo efeito possa ser obtido com apenas uma interface. Diz-se que um
serviço está protegido por um servidor Proxy quando o host encaminha os pacotes da parte
insegura da rede para a parte segura. Ele só fará isso com os pacotes que atenderem os
requisitos da política de segurança. Por exemplo, você pode decidir que os serviços que permitirá
que atravessem o firewall serão as conexões telnet e SMTP (correio) recebidas/enviadas, os
serviços DNS, HTTP, FTP e nenhum outro.
A segurança com Proxy requer um software especial, geralmente no nível de kernel, onde a
validade das conexões poderá ser estabelecida. Por exemplo, os pacotes com endereços poderão
ser bloqueados. A chegada de dados nas portas em que não houver uma conexão registrada
poderá ser descartada. As conexões poderão ser descartadas se não estiverem relacionadas a
uma conta de usuário conhecida.
OBSERVAÇÃO: o Firewall não dispensa a instalação de um antivírus. Ele funciona como uma alfândega ou
filtro que restringe a passagem dos dados recebidos e enviados pelo seu computador. O antivírus é
necessário porque mesmo as comunicações consideradas seguras pelo Firewall podem trazer ameaças à
máquina, geralmente devido à operação incorreta do PC pelo usuário.
22
Tipos de Firewall
Dependendo do tipo de conexão usada no computador, é possível usar dois tipos de firewall, um
por hardware e/ou outro por software. Atualmente, os firewalls por hardware mais utilizados são os
que já vêm incorporados aos roteadores e modems de banda larga. O Windows já vem com um
firewall nativo, mas você pode desativá-lo e instalar ferramentas mais robustas, com mais opções
de configuração e segurança.
A maior vantagem de usar um firewall por hardware é quando sua rede possui mais de um
computador. Todas as máquinas estarão ligadas ao mesmo roteador, que além de gerenciar as
conexões, também poderá executar a função de firewall — logicamente, isso dependerá do
modelo de roteador utilizado. Verifique esta informação antes de comprar qualquer equipamento.
Prefira roteadores que já venham com firewall, para aumentar a segurança das máquinas da rede.
Como o firewall trabalha?
Tanto o firewall por hardware como o por software operam de maneira similar. Conforme a
configuração definida pelo usuário, o firewall compara os dados recebidos com as diretivas de segurança
e libera ou bloqueia os pacotes.
Assim como qualquer outra solução de segurança, o firewall não é 100% eficiente, já que existem
estudiosos especializados em quebrar essa segurança. Hackers mais experientes são capazes de
“disfarçar” uma “barata” na pele de um “refrigerante”, conseguindo que os dados passem pela
“alfândega” do firewall e, em seguida, ganhando acesso à sua máquina.
Proxy
Outro método utilizado para restringir os dados que trafegam na rede é o chamado Proxy.
De todo modo, um Proxy nada mais é do que um computador “General”, que comanda todo o
tráfego da rede. Ou seja, toda e qualquer requisição dos computadores “soldados” que estiverem
sujeitos ao comando do Proxy deverão solicitar o acesso a ele e só o obterão se o general estiver
programado para liberar. Qualquer outro tipo de solicitação é automaticamente negada.
Esse tipo de método de bloqueio é muito utilizado em empresas, pois também permite o bloqueio
a acessos que a empresa considere ruins para sua produção. A título de exemplo, em muitas
empresas, sites como o Orkut, programas como o MSN e todas as portas utilizadas pelos
programas de torrent são bloqueadas para evitar que os funcionários percam tempo usando esse
tipo serviço.
Virus
Vírus – Perigo real, imediato e crescente.
•
Surgimento de novas pragas, cada vez mais eficientes e desastrosas e de longo alcance.
•
Ambiente Internet contribui para disseminação.
•
Atualização do antivírus não acontece na mesma freqüência.
23
Diferentes Nomenclaturas para ameaças programadas
São classificadas pela forma de como se comportam, como são ativados ou como se
espalham:
•
Vírus
•
Worms
•
Bactéria
•
Bomba Lógica
•
Cavalo de Tróia
Tipos de Vírus
•
Vírus de Boot - move ou altera o conteúdo original do boot, ocupando aquele espaço e
passando atuar como se fosse o próprio boot do sistema.
•
Vírus parasita – utilizam arquivos executáveis (.com, .exe) como hospedeiros, inserindo
códigos de desvio para o código do vírus.
•
Vírus camuflados – para dificultar o seu reconhecimento pelos anti-vírus.
•
Vírus polimórficos – mudam seu aspecto cada vez que infectam um novo programa.
•
Vírus de macro – macros são pequenos programas embutidos em planilhas e arquivos de
texto. Como esses arquivos são os mais comuns, tratam-se de excelente meio de
propagação.
Fontes de infecção por Vírus
•
Disquetes
•
Redes
•
Cd-Rom´s de revistas
•
E-mails
Softwares Anti-Vírus
•
Prevenção
•
Detecção
•
Remoção.
Ataques de negativa de serviços.
DOS: Denial of Service, ou Negação de Serviço, é um ataque onde o acesso a um
sistema/aplicação é interrompido ou impedido, deixando de estar disponível; ou uma aplicação,
cujo tempo de execução é crítico, é atrasada ou abortada.
Esse tipo de ataque é um dos mais fáceis de implementar e mais difíceis de se evitar.
O objetivo é incapacitar um servidor, uma estação ou algum sistema de fornecer os seus serviços
para os usuários legítimos.
Normalmente o ataque DoS não permite o acesso ou modificação de dados. Usualmente o
atacante somente quer inabilitar o uso de um serviço, não corrompê-lo.
24
Outras Medidas de Segurança
BACKUPS
Refere-se à cópia de dados de um dispositivo para o outro com o objetivo de posteriormente os
recuperar (os dados), caso haja algum problema.
Recomendações
• Fazer cópias regularmente
• Guardar as cópias em locais diferentes
– Um conjunto perto para recuperação
– Um conjunto longe para segurança (principal)
• Testar o procedimento de recuperação periodicamente.
Tipos de Backup
• Completo*
• Incremental*
• Diferencial*
• Diário
• Cópia
Backup Completo
Faz o backup de arquivos e pastas selecionados.
Agiliza o processo de restauração, pois somente um backup será restaurado.
Backup Incremental
Faz o backup somente de arquivos e pastas selecionados que foram alterados após o ultimo
backup.
Backup Diferencial
Faz o backup somente de arquivos e pastas selecionados que foram alterados após o ultimo
backup.
Backup Diário
Faz o backup de arquivos e pastas selecionados que foram alterados durante o dia.
Backup Cópia
Faz o backup de arquivos e pastas selecionados.
Estratégia de Backup
Combinação de vários tipos de backup de modo a conciliar a salvaguarda das informações com a
otimização dos recursos.
Armazenamento
• Fita Digital
• Mídia Óptica
• Robôs
• DAS - Direct Attached Storage
• NAS - Network Attached Storage
• SAN - Storage Area Network
Direct Attached Storage
• Discos ou outros dispositivos diretamente conectados a servidores
25
• USB 2.0, Firewire.
• Pequenas Empresas (até 50 Usuários)
Network Attached Storage
• Servidores Dedicados
• IDE e SCSI (Atualmente PATA)
• Empresas Médias (50 a 500 usuários)
Storage Área Network
• Redes de Alta velocidade (Servidores e Dispositivos)
• Gigabit e Fiber Chanel
• Grandes Empresas (+500 usuários)
• Maior desempenho e escalabidade.
IMPORTANTE
RAID não é Backup!
• RAID – Medida de Redundância
• Backup – Medida de Recuperação de Desastre
Monitores de Segurança.
•
•
•
Registros de logs, trilhas de auditoria ou outros mecanismos de detecção de invasão são
essenciais.
Na ocorrência de uma invasão, erro ou atividade não autorizada, é imprescindível reunir
evidências para se tomar medidas corretivas necessárias.
Os logs funcionam também como trilhas de auditorias, registrando cronologicamente as
atividades do sistema.
• Possibilitam a reconstrução, revisão ou análise dos ambientes e atividades
relativas a uma operação, procedimento ou evento.
• Por conterem informações essenciais para a segurança, os arquivos de logs
devem ser protegidos contra destruição ou alteração por usuários ou invasores.
O uso em excesso também pode degradar o sistema, sendo necessário balancear a
necessidade de registro de atividades criticas e os custos em termos de desempenhos.
Controles de Acesso Lógico ao Sistema Operacional.
• Controles são implementados pelo fabricante do SO.
• As vezes, temos que instalar pacotes adicionais para incrementar a segurança do SO.
•
Outros Controles de Acesso Lógico.
• Time-out automático.
• Limitação de horário de utilização de recursos.
• Evitar uso de sessões concorrentes.
• Se usuário estiver conectado, o invasor não poderá logar com sua
identificação/autenticação.
• Se o invasor tiver logado, o usuário terá seu acesso negado por sua
conta está sendo usada e poderá notificar à segurança.
26
Segurança Biométrica.
• Sistemas Biométricos
• São sistemas de verificação de identidade baseados em características físicas
dos usuários.
• São mais difíceis de serem burlados, mas ainda têm o fator custo proibitivo.
• São a evolução dos sistemas manuais de reconhecimento, como análise
grafológica e de impressões digitais.
• A tecnologia de medir e avaliar determinada característica de tal forma que o
indivíduo seja realmente único.
• Um dos problemas é ainda a taxa de erros, pois determinada característica
pode mudar em uma pessoa, com o passar dos anos ou por outra intervenção.
• Impressões Digitais – São características únicas e consistentes. São
armazenados de 40 a 60 pontos para verificar a identidade.
• Voz – Sistemas de reconhecimento de voz são usados para controle de acesso.
Não são tão confiáveis em função dos erros causados por ruídos no ambiente
ou problemas na voz do usuário.
• Geometria da Mão – usada em sistemas de controle acesso, porém essa
característica pode ser alterada por aumento ou diminuição do peso ou artrite.
• Configuração da íris ou da retina – são mais confiáveis que as de impressão
digital, através de direcionamento de feixes de luz nos olhos das pessoas.
• Reconhecimento Facial por meio de um termograma – Através de imagem
tirada por câmera infravermelha que mostra os padrões térmicos de uma face.
19.000 pontos de identificação!
Recuperação de Desastres.
A importância do Plano de Recuperação de Desastres (PRD)
Imaginemos uma situação onde determinada organização sofra algum tipo de desastre que possa
ser caracterizado como natural, acidental ou intencional, algo que realmente faça com que o
principal serviço dessa organização pare de trabalhar. Por exemplo, uma empresa de tecnologia
que possui vários servidores, cada um destinado a uma tarefa diferente, mas que é vital para a
lucratividade da mesma. Em determinado momento acaba a energia, ou acontece algum incidente
que venha a parar completamente os serviços de cada um dos servidores, fazendo assim com
que a empresa perca o andamento de seus serviços e lucratividade, consequentemente afetando
sua imagem no mercado.
É neste momento que o Plano de Recuperação de Desastres entra em ação e mostra sua
importância, pois tem por finalidade justamente, em casos como o exemplificado , auxiliar nas
ações para a normatização dos serviços de uma organização com o mínimo tempo e impacto
possível.
Motivos de se ter um Plano de Recuperação de Desastres
Algumas empresas subestimam os riscos de ocorrência de desastres e não investem em um PRD
(Plano de Recuperação de Desastres), pois muitas vezes imaginam que por ter algo que garanta
que os dados mais importantes não se percam, como por exemplo, uma sala de Backup, nobreaks, dentre outros, nunca irá ocorrer algo tão catastrófico que venha a interromper sua
funcionalidade.
Apesar de em alguns casos as organizações terem equipamentos reservas, salas de backup, o
que aparenta assegurar que os dados não se percam, há um problema, ficam em um mesmo
27
ambiente físico. Desta forma não se pode garantir a segurança total da continuidade do serviço,
pois pensando em uma enchente, terremoto, sabotagem, ou seja, algo que se defina como um
desastre, toda a informação será perdida.
Planejamento de PRD
O investimento é o primeiro passo a ser feito. Adquirir um ambiente seguro e equipamentos
redundantes e alternativos são ações essenciais para a organização, pois a possibilidade de que
equipamentos comecem a falhar ou que até mesmo sejam destruídos é grande. Seriam exemplos
destes: equipamentos das áreas de voz e comunicação de dados, processamento de dados, de
geração de energia, etc. Adquirir também um centro de emergência para ser utilizado caso as
instalações originais estejam sendo restabelecidas.
Após serem feitos os investimentos, o próximo passo é a criação de uma equipe de recuperação,
formada por profissionais experientes e competentes, que serão estes, escolhidos pela gerência.
Estes profissionais serão preparados e treinados para agir caso ocorra algum desastre, e deverão
estar comprometidos às manutenções e testes do PRD de forma contínua.
Listar recursos e aplicações críticas e ativas que necessitarão de suporte na ocorrência de
um desastre é o próximo passo. É importante também manter uma lista conjunta dos hardwares
que trabalham junto com a aplicação.
Aplicar um procedimento de cópias de segurança, informar datas e horários em que devem ser
feitas. Informar também os locais e cofres onde serão armazenadas estas cópias. É importante
que este local seja fora da empresa.
Possuir ao alcance ferramentas para respostas emergenciais que vise diminuir danos e salvar
vidas, assim como kit de primeiros socorros e extintores de incêndio.
O que é Plano de Contingências?
Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser
adotados quando a organização ou uma área depara-se com problemas que comprometem o
andamento normal dos processos e a conseqüente prestação dos serviços. Essas estratégias e
procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações
inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O
Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de
recuperação.
Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no
espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres
naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos,
acidentes, greves, terrorismo, sabotagem, ações intencionais.
O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não
sistemas computadorizados. Porém, o Plano se aplica às organizações que, em menor ou maior
grau, dependem da tecnologia da informação, pois faz-se referência aos riscos a que essa área
está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes.
28
Qual é a importância do Plano de Contingências?
Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de
pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de
explicar a importância do Plano de Contingências, pois se para fins de manutenção de seus
serviços, as organizações dependem de computadores e de informações armazenadas em meio
eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o
processamento ou disponibilidade desses computadores ou informações? Ao contrário
do que ocorria antigamente, os funcionários não mais detêm o conhecimento integral, assim como
a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes,
executados de forma transparente. Além disso, as informações não mais se restringem ao papel,
ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos.
Por conseguinte, pode-se considerar o Plano de Contingências componente essencial para as
organizações preocupadas com a segurança de suas informações.
Qual é o objetivo do Plano de Contingências?
O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da
organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações
fortuitas que comprometam o bom andamento dos negócios.
Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja
restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos
imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a
possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos,
supram as necessidades imediatas e mais críticas.
Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os
aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.
Como iniciar a elaboração do Plano de Contingências?
Antes da elaboração do Plano de Contingências propriamente dito, é importante analisar alguns
aspectos:
· riscos a que está exposta a organização, probabilidade de ocorrência e os impactos decorrentes
(tanto aqueles relativos à escala do dano como ao tempo de recuperação);
· conseqüências que poderão advir da interrupção de cada sistema computacional;
· identificação e priorização de recursos, sistemas, processos críticos;
· tempo limite para recuperação dos recursos, sistemas, processos;
·alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e
benefícios de cada alternativa.
Que assuntos devem ser abordados no Plano de Contingências?
De maneira geral, o Plano de Contingências contém informações sobre:
· condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por
um incidente);
· procedimentos a serem seguidos imediatamente após a ocorrência de um desastre (como, por
exemplo, contato eficaz com as autoridades públicas apropriadas: polícia, bombeiro, governo
local);
· a instalação reserva, com especificação dos bens de informática nela disponíveis, como
hardware, software e equipamentos de telecomunicações;
29
· a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados
operacionais e financeiros da organização. Quanto mais o aplicativo influenciar na capacidade de
funcionamento da organização, na sua situação econômica e na sua imagem, mais crítico ele
será;
· arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em
operação no menor tempo possível, mesmo que parcialmente;
· dependência de recursos e serviços externos ao negócio;
· procedimentos necessários para restaurar os serviços computacionais na instalação de reserva;
· pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é
interessante definir suplentes, quando se julgar necessário);
· referências para contato dos responsáveis, sejam eles funcionários ou terceiros;
· organizações responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer
outros bens necessários para a restauração;
· contratos e acordos que façam parte do plano para recuperação dos serviços, como aqueles
efetuados com outros centros de processamento de dados.
Qual o papel da alta gerência na elaboração do Plano de Contingências?
É imprescindível o comprometimento da alta administração com o Plano de Contingências. Na
verdade, este Plano é de responsabilidade direta da alta gerência, é um problema corporativo,
pois trata-se de estabelecimento de procedimentos que garantirão a sobrevivência da organização
como um todo e não apenas da área de informática. Ainda, muitas das definições a serem
especificadas são definições relativas ao negócio da organização e não à tecnologia da
informação.
A alta gerência deve designar uma equipe de segurança específica para elaboração,
implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de
Contingências.
Este deve possuir, ainda, um responsável específico que esteja a frente das demandas,
negociações e tudo mais que se fizer necessário.
Provavelmente, a alta gerência será demandada a firmar acordos de cooperação com outras
organizações, assinar contratos orientados para a recuperação dos serviços, entre outros atos.
Há que ser considerada, ainda, a questão dos custos. Faz parte das decisões da alta gerência o
orçamento a ser disponibilizado para garantir a exeqüibilidade do Plano de Contingências, ou seja,
para possibilitar, além da sua implementação, sua manutenção, treinamento e testes.
Como garantir que o Plano funcionará como esperado?
É possível citar três formas de garantir a eficácia do Plano de Contingências: treinamento e
conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais;
processo de manutenção contínua.
Controles de Sistemas e Auditorias.
É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de
eficiência, eficácia, economia e efetividade.
Pode abranger:
•
O ambiente de informática como um todo.
•
A organização do departamento de informática
•
Controles sobre BD´s
•
Redes
•
Diversos aplicativos
Sub-Áreas de auditoria em ambientes informatizados :
•
Auditoria da segurança de informações
30
•
•
Auditoria da tecnologia da informação
Auditoria de aplicativos
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
Determina a postura da organização com relação à segurança das suas informações. Faz parte
da auditoria de TI.
Escopo:
•
Avaliação da política de segurança
•
Controles de acesso lógico
•
Controles de acesso físico
•
Controles ambientais
•
Planos de contingências e continuidade dos serviços
Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de
outros controles que podem influenciar a segurança de informações e o bom funcionamento dos
sistemas da organização.
Controles:
•
Organizacionais
•
De mudanças
•
De operação dos sistemas
•
Sobre bancos de dados
•
Sobre microcomputadores
•
Sobre ambientes cliente-servidor
Nota:
RISCO =
Ameaças x Vulnerabilidades x Impactos
Medidas de segurança
SEGURANÇA da INFORMAÇÃO é adotar controles físicos, tecnológicos e humanos
personalizados, que viabilizem a redução e administração dos riscos, levando a
empresa a atingir o nível de segurança adequado ao seu negócio.
31