ME - Segurança de Dados

Srie tecnologia da informao (TI)
SEGURANA DE
DADOS
Srie TECNOLOGIA DA INFORMAO (TI)
segurana de
dados
CONFEDERAO NACIONAL DA INDSTRIA CNI
Robson Braga de Andrade

Presidente
DIRETORIA DE EDUCAO E TECNOLOGIA - DIRET
Rafael Esmeraldo Lucchesi Ramacciotti

Diretor de Educao e Tecnologia
SERVIO NACIONAL DE APRENDIZAGEM INDUSTRIAL SENAI
Conselho Nacional
Robson Braga de Andrade

Presidente
SENAI Departamento Nacional
Rafael Esmeraldo Lucchesi Ramacciotti

Diretor-Geral
Gustavo Leal Sales Filho
Diretor de Operaes
Srie tecnologia da informao (TI)
segurana de
dados
2012. SENAI Departamento Nacional

2012. SENAI Departamento Regional de Gois
A reproduo total ou parcial desta publicao por quaisquer meios, seja eletrnico, mecnico, fotocpia, de gravao ou outros, somente ser permitida com prvia autorizao, por
escrito, do SENAI.
Esta publicao foi elaborada pela equipe do Ncleo de Educao a Distncia do SENAI de
Gois, com a coordenao do SENAI Departamento Nacional, para ser utilizada por todos os
Departamentos Regionais do SENAI nos cursos presenciais e a distncia.
Unidade de Educao Profissional e Tecnolgica UNIEP
SENAI Departamento Regional de Gois
Ncleo de Educao NED
______________________________________________________________
S477s
SENAI-Departamento Regional de Gois

Segurana de dados/SENAI Departamento Regional de
Gois Goinia, 2012.
140p.: il.
1. Segurana da informao. 2.Normas e legislao de software.

3., Poltica de segurana. 4. Backup. 5. Educao a distncia
I. Autor. II. Ttulo.
CDD 004
______________________________________________________________
SENAI
Sede
Servio Nacional de
Aprendizagem Industrial
Departamento Nacional
Setor Bancrio Norte Quadra 1 Bloco C Edifcio Roberto

Simonsen 70040-903 Braslia DF Tel.: (0xx61) 33179001 Fax: (0xx61) 3317-9190 http://www.senai.br
Lista de ilustraes
Figura 1 - Segurana........................................................................................................................................................16
Figura 2 - Exemplo de percepo de segurana....................................................................................................17
Figura 3 - Caractersticas bsicas da segurana da informao.......................................................................19
Figura 4 - Total de incidentes reportados 1999 a 2011....................................................................................25
Figura 5 - Sistema de gesto de segurana.............................................................................................................30
Figura 6 - Plan-Do-Check-Act.......................................................................................................................................33
Figura 7 - Gesto do risco...............................................................................................................................................38
Figura 8 - Ameaas...........................................................................................................................................................41
Figura 9 - Campanha no Brasil contra pirataria......................................................................................................52
Figura 10 - Kevin David Mitnick ..................................................................................................................................60
Figura 11 - E-mail falso enviado em nome do TSE................................................................................................64
Figura 12 - Atualizao do navegador Opera.........................................................................................................65
Figura 13 - Esquema de um firewall......................................................................................................................... 67
Figura 14 - Autenticao por impresso digital.....................................................................................................71
Figura 15 - Autenticao por biometria....................................................................................................................71
Figura 16 - Criptografia...................................................................................................................................................75
Figura 17 - Uso de criptografia no navegador........................................................................................................77
Figura 18 - Download do BlowFish.............................................................................................................................79
Figura 19 - Instalao BlowFish 1................................................................................................................................79
Figura 24 - Final da instalao......................................................................................................................................81
Figura 25 - Adiconando o arquivo Word no BlowFish.........................................................................................81
Figura 26 - Executando a cifragem com BlowFish................................................................................................82
Figura 27 - Passo 6............................................................................................................................................................82
Figura 28 - Informando a senha...................................................................................................................................82
Figura 29 - Final da criptografia...................................................................................................................................83
Figura 30 - Ver o arquivo.................................................................................................................................................83
Figura 31 - Digitando a senha criada.........................................................................................................................83
Figura 32 - Informao de descriptografia..............................................................................................................84
Figura 33 - Certificado digital.......................................................................................................................................84
Figura 34 - ICP Brasil.........................................................................................................................................................87
Figura 35 - Certificado digital.......................................................................................................................................87
Figura 36 - Ameaas.........................................................................................................................................................94
Figura 37 - Analogia poltica de backup..............................................................................................................97
Figura 38 - Equipe.............................................................................................................................................................99
Figura 39 - Backup automatizado............................................................................................................................. 103
Figura 40 - Tela principal do Microsoft Backup..................................................................................................105

Figura 41 - Arquivos de log do sistema de backup e restaurao................................................................ 109
Figura 42 - Cpias de segurana............................................................................................................................... 110
Figura 43 - Sala cofre para equipamentos de informtica.............................................................................. 115
Figura 44 - Sistema IDS................................................................................................................................................ 123
Figura 45 - Infraestrutura redundante.................................................................................................................... 127
Quadro 1 - Habilitao Profissional Tcnica em Manuteno e Suporte em Informtica........................13

Quadro 2 - Plan-Do-Check-Act......................................................................................................................................33
Quadro 3 - Captulos da norma ISO 27001................................................................................................................35
Sumrio
1 Introduo.........................................................................................................................................................................13
2 Segurana da Informao............................................................................................................................................15
2.1 O que segurana?.....................................................................................................................................16
2.2 O que a segurana da informao......................................................................................................19
2.3 Caractersticas da segurana da informao......................................................................................21
2.4 A importncia da segurana da informao......................................................................................23
3 Normas e Legislao de Software.............................................................................................................................27
3.1 Normas sobre a segurana da informao.........................................................................................28
3.2 O que um sistema de gesto de segurana da informao......................................................29
3.3 Implantao de um sistema de gesto de segurana da informao norma ISO 27001.........................................................................................................................................31
3.4 Requisitos da norma ISO 27001..............................................................................................................34
3.5 A certificao NBR/ISO 27001..................................................................................................................36
3.6 O que so riscos?..........................................................................................................................................38
3.7 O que so ameaas?....................................................................................................................................40
3.8 O que so vulnerabilidades?....................................................................................................................42
3.9 O que anlise de riscos?..........................................................................................................................44
3.10 Tipos de licenas de softwares...............................................................................................................46
3.11 Direitos proprietrios e direitos de uso.............................................................................................48
3.12 Legislao brasileira em vigor...............................................................................................................51
4 Poltica de Segurana....................................................................................................................................................57
4.1 O que uma poltica de segurana.......................................................................................................58
4.2 Segurana em redes de computadores...............................................................................................59
4.3 Segurana em servidores..........................................................................................................................62
4.4 Segurana na internet................................................................................................................................64
4.5 Firewall..............................................................................................................................................................67
4.6 Controle de acesso.......................................................................................................................................69
4.7 Poltica de senhas.........................................................................................................................................72
4.8 O que criptografia.....................................................................................................................................74
4.9 Utilizao de criptografia..........................................................................................................................76
4.10 Prtica de utilizao de criptografia....................................................................................................78
4.11 Certificados digitais...................................................................................................................................84
4.12 Infraestrutura de chaves pblicas........................................................................................................86
4.13 Aplicao de poltica de segurana....................................................................................................88
4.14 Prtica com politica de seguranca.......................................................................................................90
5 Backup.................................................................................................................................................................................93
5.1 O que backup..............................................................................................................................................94
5.2 Tipos de backup............................................................................................................................................95
5.3 Poltica de backup........................................................................................................................................97

5.4 Criao e implantao de polticas de backup..................................................................................99
5.5 Automatizao de backup...................................................................................................................... 101
5.6 Mecanismos de backup........................................................................................................................... 103
5.7 Ferramenta de backup do Windows 7............................................................................................... 105
5.8 Prtica de ferramenta de backup do Windows 7............................................................................ 106
5.9 Registros de log do backup.................................................................................................................... 108
5.10 Prtica: verificar log de backup.......................................................................................................... 109
5.11 Armazenamento de backup................................................................................................................ 110
5.12 Mdias de armazenamento.................................................................................................................. 112
5.13 Segurana fsica....................................................................................................................................... 114
6 Ferrramentas de segurana..................................................................................................................................... 119
6.1 Ferramentas de anlise de vulnerabilidade..................................................................................... 120
6.2 Sistemas de deteco de invaso........................................................................................................ 121
6.3 Ferramentas de log e auditoria............................................................................................................ 123
6.4 Disponibilidade.......................................................................................................................................... 125
6.5 Redundncia............................................................................................................................................... 126
Referncias......................................................................................................................................................................... 131
Minicurrculo do Autor.................................................................................................................................................. 133
ndice................................................................................................................................................................................... 137
Introduo
1
Caro aluno, nesta unidade curricular voc conhecer os fundamentos de segurana de dados, os quais o auxiliaro na compreenso de conceitos, normas e procedimentos de proteo
de informao.
Aprender assuntos sobre Segurana da Informao, Normas e Legislao de Software, Poltica de Segurana e Backup, visando ao desenvolvimento de capacidades organizativas e metodolgicas para que voc alcance o mais alto nvel de excelncia no exerccio de sua atividade.
A seguir, so descritos na matriz curricular os mdulos e as unidades curriculares do curso,
assim como suas cargas horrias.
Quadro 1 - Habilitao Profissional Tcnica em Manuteno e Suporte em Informtica
Mdulos
Bsico
Especfico I
Unidades
curriculares
Carga
horria
Fundamentos para Documentao Tcnica
140h
Eletroeletrnica Aplicada
120h
Terminologia de Hardware, Software e Redes
60h
Arquitetura e Montagem de Computadores
160h
Instalao e Manuteno de Computadores
250h
Instalao e Configurao de Rede
160h
Segurana de Dados
50h
Sistemas Operacionais
120h
Tendncias e Demandas Tecnolgicas em TI
60h
Gerenciamento de Servios de TI
80h
Carga horria
do mdulo
320h
880h
Segurana da Informao
2
A proposta deste captulo apresentar conceitos bsicos sobre segurana, para contribuir
na proteo de algo que nos muito valioso, a informao. A Segurana de Dados ou Informao uma rea que evoluiu nos ltimos anos e nos proporciona o uso de excelente apoio
tecnolgico e jurdico.
Hoje, os computadores esto criticamente expostos a invases, sobretudo atravs da internet, e so visados por pessoas mal-intencionadas que querem se apropriar indevidamente de
informaes pessoais, bancrias e ou outros dados que sejam teis para seus propsitos. Como
bom profissional, voc deve aprender a proteger essas informaes.
Ao terminar este captulo voc estar apto a:
a) definir o que segurana;
b) descrever o que segurana da informao;
c) descrever as caractersticas da segurana da informao;
d) compreender e descrever a importncia da segurana da informao.
Voc, de maneira geral, aprender os conceitos apresentados e como aplic-los. Estude para
dominar esse conhecimento e ter sucesso no mercado profissional!
segurana de dados
2.1 O QUE SEGURANA?

A palavra segurana deriva do latim segurus, que significa aquilo que se
encontra firme, livre de perigo. No entanto, a definio mais encontrada para o
termo : Segurana a percepo de se estar protegido de riscos, perigos ou
perdas. Veja um exemplo:
CONSEGUI INVADIR
O SISTEMA DO
GOVERNO.
ENTO, AGORA S
PRECISO FICAR
SENTADO
ESPERANDO A
RECOMPENSA DO
GOVERNO POR
ACHAR UMA
FALHA NA SUA
SEGURANA...
BOM, ACHO
QUE ELES TAMBM
ENCONTRARAM
UMA FALHA NA
MINHA SEGURANA...
SENHOR, PODEMOS
CONVERSAR UM
MINUTO?
Denis Pacher (2012)
16
Figura 1 - Segurana
Fonte: Adaptado de Vida de Suporte (2011)
Reflita sobre o conceito de segurana. Lembre-se de que devemos ter em

mente o sentimento de proteo:
a) Estamos protegidos?
b) Contra o qu? Ou quem?
c) Por quanto tempo?
d) A que custo?
A sensao de estar seguro surge da ausncia de ameaas ou riscos que possam mudar a percepo da sensao de segurana que sentimos.
Segundo Bruce Schneier (2003), especialista em segurana computacional e
escritor, segurana uma reao psicolgica aos riscos e as medidas adotadas
para combater esses riscos, um sentimento que s vezes no corresponde s condies reais: voc pode se sentir protegido e no estar, ou vice-versa. Podemos
sentir um medo terrvel de sofrer um atentado terrorista ou podemos sentir que
algo com que no vale a pena se preocupar.
Denis Pacher (2012)
2 Segurana da informao
Figura 2 - Exemplo de percepo de segurana
Da mesma forma, podemos achar que no corremos o risco de um assalto

nossa residncia, e nosso vizinho, nas mesmas condies, pode se sentir altamente ameaado.
Contrariamente ao que muitos acreditam, segurana no um mistrio ou
ideal inatingvel. O difcil separar o medo e as falsas ideias do que realmente
importa. Para isso, o ponto de partida a resposta de algumas perguntas aparentemente muito simples a serem respondidas por governos, empresas e at
mesmo por indivduos.
O QUE VOC QUER PROTEGER?

A pergunta bsica, mas um grande nmero de pessoas simplesmente no
pensa nisso. Essa questo essencial para definir o escopo do problema. Por
exemplo, a segurana de um avio, de sistemas de transporte ou de um pas contra ameaas terroristas so problemas diferentes, que exigem solues distintas.
QUAIS SO OS RISCOS QUE SE APRESENTAM PARA O QUE VOC QUER

PROTEGER?
A resposta envolve a compreenso do que exatamente se busca preservar, as
consequncias de um possvel ataque bem-sucedido, quem poderia estar interessado nesse ataque e por qu.
17
18
segurana de dados
QUAL A EFICCIA DA SOLUO DE SEGURANA DIANTE DESSES RISCOS?

Para Schneier, esta pergunta vem sendo sistematicamente ignorada. Se a soluo de segurana no resolve o problema, ela no boa. Mas para uma concluso
precisa, no basta examinar a soluo em si. preciso considerar todo o ambiente
e avaliar como opera a soluo e suas eventuais falhas.
QUAIS OS RISCOS GERADOS PELA SOLUO DE SEGURANA?

A maioria das solues de segurana gera novos problemas de segurana.
Resta saber se os novos problemas so menores do que os originais.
QUAIS SO OS CUSTOS E ESCOLHAS QUE A SOLUO IMPLICA?

Sabemos que segurana custa dinheiro, e s vezes muito. Para uma boa relao
custo-benefcio, necessrio fazer escolhas, que normalmente envolvem definir o
que mais ou menos importante, do que voc pode abrir mo e do que no pode.
Ao trabalhar com segurana, estamos gerenciando riscos, por exemplo, deixar o carro em casa tem a segurana 10 em relao a ter o carro roubado, mas
tambm tem funcionalidade 0. O mesmo pode ser dito da pessoa que investe R$
1.000,00 em um cofre de ltima gerao para guardar R$ 100,00. Da a necessidade de se gerenciarem os riscos, de forma a contrabalan-los com as medidas
adotadas para combat-los, e o custo que essas medidas tero, seja em valor monetrio ou em convenincia.
Neste tpico vimos que preciso compreender o que segurana. Ela mais
do que um simples produto ou tecnologia, um processo contnuo e abrangente, com implicaes em todas as reas empresariais, desde a administrao aos
colaboradores que executam as operaes cotidianas mais elementares. Deve ser
um processo em permanente evoluo, mudana e transformao, que requer
um esforo constante para o seu sucesso e uma forte capacidade para provocar e
gerir mudanas, tanto nos hbitos institudos como na infraestrutura de suporte
da organizao (TAVARES, 2003).
2.2 O QUE A SEGURANA DA INFORMAO

A informao atualmente o sistema ativo mais valioso que possumos, seja
para uma organizao ou indivduo. Ela no se limita s a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento, seja ela um documento em papel ou mesmo uma conversa ao telefone. Esse conceito se aplica a
todos os aspectos de proteo das informaes e dados.
So caractersticas bsicas da segurana da informao a trade de atributos:
nib
po
D is
e
ad
ilid
n
Co
Integridade
Denis Pacher (2012)
nc
e
fid
ad
id
l
ia
Figura 3 - Caractersticas bsicas da segurana da informao
a) Disponibilidade: garante que a informao estar sempre disponvel para

o uso legtimo, ou seja, para usurios autorizados pelo proprietrio da informao;
b) Integridade: garante que a informao manipulada mantenha as caractersticas originais estabelecidas pelo proprietrio, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento, manuteno e destruio);
c) Confidencialidade: limita o acesso informao to somente s entidades
legtimas, ou seja, quelas autorizadas pelo proprietrio (WIKIPEDIA, 2011).
Esta trade de atributos interdependente: se a integridade de um sistema for
perdida, os mecanismos que controlam a confidencialidade no so mais confiveis, e se a esta for perdida, a integridade e a disponibilidade estaro em risco. Por
exemplo: a perda da senha de administrador do sistema pode acarretar a desativao dos mecanismos de integridade e disponibilidade.
Outras caractersticas que merecem ser destacadas so:
a) Autenticidade: garantia de que um usurio de fato quem ele alega ser.
Em segurana da informao, um dos meios de comprovar a autenticidade
atravs da biometria, ligada diretamente ao controle de acesso, o qual refora a confidencialidade e garantido pela integridade;
19
20
segurana de dados
b) Irretratabilidade ou no repdio: capacidade do sistema de garantir a

identidade de quem realizou determinada ao, impossibilitando o usurio
de negar a autoria em relao aquele ato;
c) Privacidade: capacidade de um sistema de resguardar informaes de um
usurio, controlando a exposio e disponibilidade desses dados;
d) Auditoria: possibilidade de rastreamento dos diversos passos que um negcio ou processo realizou, ou que uma informao foi submetida, identificando os participantes, os locais e horrios de cada etapa. Auditoria em
software significa uma parte da aplicao, ou conjunto de funes do sistema, que viabiliza uma auditoria; consiste do exame do histrico dos eventos
dentro de um sistema para determinar quando e onde ocorreu uma violao
de segurana.
A elaborao de polticas que protejam as informaes contra fraudes, roubos,
perda ou vazamentos so responsabilidade dos gestores e analistas de segurana
da informao.
Segundo a norma NBR 17799, a segurana da informao pode ser definida
como a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos.
MECANISMOS DE SEGURANA
Mecanismos de segurana so projetados para detectar, prevenir ou se recuperar de ataques segurana. Podem ser dividos em:
a) Controles fsicos: barreiras que limitam o contato ou acesso direto informao ou infraestrutura que a suporta. Como exemplos temos: portas, trancas, blindagens, guardas, a restrio de acesso sala dos servidores, switches;
b) Controles lgicos: barreiras que impedem ou limitam o acesso informao, que est em ambiente controlado, geralmente eletrnico, e que, de
outro modo, ficaria exposta alterao no autorizada por elemento mal-intencionado. Um exemplo de controle lgico a utilizao de senhas para
acesso ao sistema de informao. Hoje, existe um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos
so os detectores de intruses, antivrus, firewall, filtros antispam, fuzzers,
analisadores de cdigo etc.
NVEIS DE SEGURANA
Definidos os mecanismos utilizados, ser preciso decidir o nvel de segurana
que se pretende garantir. Devem ser quantificados os custos associados a uma
possvel violao de segurana, assim como a implementao de mecanismos de
proteo para minimizar a probabilidade de ocorrncia de incidentes.
Os nveis de segurana devem ser estabelecidos considerando o custo-benefcio das medidas, no s em valor monetrio, mas tambm em convenincia.
Muitas vezes podemos pensar em um nvel altssimo, que ir nos garantir plena
segurana, mas os inconvenientes podero nos trazer problemas maiores ainda.
Um exemplo um sistema de segurana fsica em que todos os funcionrios necessitam ser revistados na sada do trabalho; isso pode ser interessante para uma
joalheria, mas para uma empresa de engenharia pode ser um problema.
Para definirmos os nveis de segurana, devemos considerar todos os tipos
de ameaas, desde as fsicas, como incndios, desabamentos, relmpagos, alagamento e acesso indevido de pessoas, at as lgicas, como as ocasionadas por
vrus, acessos remotos rede, backup desatualizado e violao de senhas, alm da
proteo de sistemas contra erros no intencionais, como remoo acidental de
importantes arquivos de sistema ou aplicaes.
Neste tpico, vimos o que segurana da informao. Aprendemos que a informao o sistema ativo mais valioso que temos, e que possui trs caractersticas bsicas: disponibilidade, integridade e confidencialidade. Vimos ainda que,
segundo a norma NBR 17799, a segurana da informao pode ser definida como
a proteo contra um grande nmero de ameaas s informaes, e tambm
conhecemos mecanismos projetados para detectar, prevenir ou se recuperar de
ataques segurana.
2.3 CARACTERSTICAS DA SEGURANA DA INFORMAO

Voc j viu alguma vez um furto no local onde trabalha ou em outro lugar
qualquer? Esse um exemplo prtico de incidente de segurana.
Em contrapartida, um incidente de segurana da informao indicado por
um ou uma srie de eventos indesejados ou inesperados, confirmados ou sob
suspeita, que tenham grande probabilidade de comprometer as operaes do
negcio e ameaar a segurana da informao (ABNT NBR ISO/IEC 17799:2005).
Em Tecnologia da Informao, os principais incidentes referem-se a tentativas de acesso no autorizado a sistemas ou dados, acesso no autorizado a um
servio, modificao de sistemas sem o consentimento prvio dos gestores do
21
22
segurana de dados
sistema ou desrespeito poltica de segurana de uma corporao, eventos que

so notcias constantes.
Os incidentes de segurana so cruciais na hora de lidar com segurana porque proporcionam conhecimento sobre a real situao de segurana da empresa,
funcionando como indicadores da situao. Se voc no detectar mudanas, seria
difcil reagir apropriadamente e a tempo para manter-se seguro.
GARANTINDO A DISPONIBILIDADE DOS RECURSOS

Recursos de informao, como dados, servidores, aplicaes e equipamentos
de telecomunicaes, devem estar sempre disponveis demanda e s necessidades do negcio. preciso mapear quais so esses recursos crticos ao negcio
e controlar as necessidades de atualizaes da infraestrutura, a fim de minimizar
paradas no ambiente.
Essas paradas ainda podem ser causadas por variveis no controlveis, como
falhas de hardware, problemas de software, ataques rede computacional e ausncia de recursos humanos, entre outras. Devemos ter o cuidado de desenvolver
processos detalhados para enfrentar problemas, impactos provenientes de falhas
e indisponibilidade de recursos.
Possuir a informao necessria, mas no t-la disponvel no momento adequado equivale a no possu-la.
importante conseguir equilibrar a necessidade de acesso informao com
a necessidade de preservao da confidencialidade da mesma. As medidas de
proteo utilizadas no devem expor os dados (permitir o acesso indevido) nem
impedir ou dificultar significativamente o acesso a esses dados (TAVARES, 2003).
GARANTINDO A INTEGRIDADE DAS INFORMAES

Garantimos a integridade da informao quando a disponibilizamos aos recursos que a utilizaro na forma de sua ltima verso atualizada.
A integridade a propriedade que garante que a informao manipulada
mantenha as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,
manuteno e destruio).
Recursos como firewall, antivrus, criptografia, assinatura digital, backup, processos e outros devem ser usados para garantir o bom funcionamento do ambiente.
O valor de uma informao reside na sua confiabilidade: o erro de uma vrgula

(ou ponto decimal) pode comprometer a integridade de um enorme volume de
dados e acarretar prejuzos significativos. A integridade igualmente vital para a
recuperao de informaes perdidas, uma vez que o valor das cpias que no
apresentam garantias de integridade praticamente nulo (TAVARES, 2003).
Devemos nos preocupar com a integridade das informaes mesmo em situaes em que os incidentes possam acontecer de forma involuntria, como
quando um colaborador autorizado altera por engano (ou falta de ateno) uma
informao importante em um sistema. Por exemplo: em um site de comrcio
eletrnico de grande popularidade, uma informao errada de preo pode acarretar milhares de reais em prejuzo.
GARANTINDO A CONFIABILIDADE DAS INFORMAES

Ao garantir a confidencialidade, certificamos que as informaes so disponibilizadas apenas s pessoas que tenham direito a elas. Com isso em mente,
podemos trabalhar para minimizar ataques rede computacional da empresa;
vazamento de dados atravs do envio de informaes de negcios sem autorizao por e-mails, impresses e cpias em dispositivos mveis, alm de restringir os
acessos a informaes de departamentos e projetos armazenadas em servidores
por pessoas no autorizadas.
No se esquea tambm das variveis incontrolveis, como perda ou furto de
dispositivos, como notebooks, smartphones e pen drives, que possam conter informaes confidenciais.
Muitas vezes, a vantagem competitiva das empresas assenta na informao
que detm e na capacidade de controlar a sua divulgao (por exemplo, empresas de investigao, desenvolvimento de sistemas, ou organizaes que resguardam suas metodologias especficas). Devero, por isso, existir mecanismos que
garantam a confidencialidade, mas que no impeam o acesso de pessoas autorizadas. Os requisitos de confidencialidade so claramente influenciados, seno
mesmo definidos pela classificao dada informao (TAVARES, 2003).
Vimos, neste tpico, que se garantirmos a disponibilidade de recursos, integridade e confidenciabilidade nas informaes, podemos controlar incidentes e,
com certeza, no ter prejuzos financeiros e/ou morais.
2.4 A IMPORTNCIA DA SEGURANA DA INFORMAO

Voc j deve ter ouvido falar de pessoas que receberam e-mails no solicitados
(spam) oferecendo dados sigilosos de pessoas fsicas ou jurdicas por um preo
23
24
segurana de dados
1 Denial of service
uma tentativa em tornar
os recursos de um sistema
indisponveis para seus
utilizadores.
2 Mitigar
Acalmar, atenuar, diminuir.
qualquer, geralmente dados confidenciais de clientes de empresas que tenham

sofrido algum tipo de incidente de segurana.
Estamos falando de falha de confidencialidade: algum no autorizado teve
acesso a informaes confidenciais de empresas, e agora pretende vend-las a
outras pessoas, tambm no autorizadas.
O que ocorreu, provavelmente, foi um vazamento de informaes causado por
algum funcionrio mal-intencionado. Algum com a devida autorizao copiou informaes com a finalidade de vend-las a terceiros. Este ataque interno poderia
ser evitado com medidas de controle (auditoria) sobre essas informaes sigilosas.
Hoje, as empresas esto cada vez mais dependentes dos sistemas de informao
e da internet para realizar seus negcios e atingir os seus objetivos, no podendo se
dar o luxo de sofrer algum tipo de interrupo em suas operaes. Um incidente de
segurana pode impactar direta e negativamente as receitas, a confiana de seus
clientes e o relacionamento com a rede de parceiros e fornecedores.
Lembremos que a confidencialidade das informaes que esto em bancos
de dados corporativos protegida por lei, e cada instituio responsvel por
manter o sigilo.
Um incidente de segurana est diretamente relacionado a prejuzos financeiros, sejam eles devidos parada de um sistema por conta de um vrus, o furto de
uma informao confidencial ou perda de uma informao importante. Estima-se que worms e vrus que atingiram grandes propores de propagao como,
por exemplo, MyDoom, Slammer, Nimda tenham ocasionado prejuzos da ordem de bilhes de dlares.
Em ltima instncia, um incidente pode impedir, direta ou indiretamente, a
organizao de cumprir sua misso e de gerar valor. Essa perspectiva traz a segurana da informao para um patamar novo, no apenas relacionada esfera da
tecnologia e das ferramentas necessrias para proteger a informao, mas tambm como um dos pilares de suporte estratgia de negcios.
SAIBA
MAIS
Assista ao seguinte vdeo: Venda de dados sigilosos API Informao, em <www.youtube.com/

watch?v=XucO2FRbXIA>.
Os incidentes de segurana da informao vm aumentando consideravelmente e assumem as formas mais variadas, como, por exemplo: infeco por vrus, acesso no autorizado, ataques denial of service1 contra redes e sistemas, furto
de informao proprietria, invaso de sistemas, fraudes internas e externas, uso
no autorizado de redes sem fio.
Um dos principais motivadores desse aumento a difuso da internet, que

cresceu de alguns milhares de usurios no incio da dcada de 1980 para centenas de milhes hoje. Ao mesmo tempo que colaborou com a democratizao da
informao e se tornou um canal on-line para fazer negcios, tambm viabilizou
a atuao de ladres do mundo digital e a propagao de cdigos maliciosos (vrus, worms, trojans etc.), spam e outros inmeros inconvenientes que colocam em
risco a segurana de uma corporao.
A facilidade da realizao de ataques atravs da internet aumentou significativamente com a popularizao de ferramental apropriado espalhado ao longo
da rede mundial de computadores, habilitando desde hackers at leigos mal-intencionados a praticarem investidas contra sistemas de informao corporativos.
Juntamente com a difuso da internet, outros fatores contriburam para impulsionar o crescimento dos incidentes de segurana. Um deles o aumento do
nmero de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurana nos sistemas operacionais utilizados em servidores e estaes
de trabalho. Outro, que muito trabalhoso e custoso, o processo de mitigar2
tais vulnerabilidades com a aplicao de correes do sistema, realizadas muitas
vezes de forma manual e individual: de mquina em mquina. Por ltimo, a complexidade e a sofisticao dos ataques tambm contriburam de maneira direta
para o aumento dos incidentes.
No grfico abaixo, podemos ter uma ideia da evoluo na quantidade de incidentes de segurana registrados pelo Centro de Estudos, Resposta e Tratamento
de Incidentes de Segurana no Brasil.
Total de
incidentes
reportados
ao CERT.br
por ano
358343
222528
217840
197892
160080
142844
75722
68000
54607
3107 5997 12301
25092
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
Ano (1999 a junho de 2011)

Figura 4 - Total de incidentes reportados 1999 a 2011
Fonte: CERT.Br (2011)
a conjuno dessas condies que culmina, por exemplo, na parada generalizada de sistemas e redes corporativas ao redor do mundo, causada pela atuao
de worms que se propagam pela internet em questo de minutos. A tendncia
25
26
segurana de dados
que as ameaas segurana continuem a crescer no apenas em ocorrncia,

mas tambm em velocidade, complexidade e alcance, tornando o processo de
preveno e de mitigao de incidentes cada vez mais difcil e sofisticado.
Pesquisas apontam que mais de dois teros dos incidentes de segurana
tm origem interna; porm, o nmero de investimentos destinados a minimizar
a ocorrncia desses incidentes muito menor do que os destinados a prevenir
ameaas externas. Como garantir que os prprios colaboradores no se tornem
causadores de incidentes de segurana? Como minimizar esses riscos? Esse o
desafio (ZAPATER, 2005).
Diante de um cenrio em que as tecnologias de comunicao de dados e informao esto em constante evoluo, ajudando as empresas a tomarem decises de forma mais rpida e eficiente, as chances de uma empresa no utilizar
sistemas informatizados praticamente nula. Neste contexto, a importncia de
utilizar mecanismos de segurana vital para a sobrevivncia e competitividade.
Vimos, neste tpico, que no passado a questo de segurana das informaes
era bem mais simples, pois arquivos com inmeros papis podiam ser trancados
fisicamente. Com os avanos da internet e da tecnologia, as empresas tm suas
tomadas de decises mais rpidas e eficientes, mas tm que investir em mecanismos de segurana apropriados sua realidade.
CASOS E RELATOS
Entrando no mercado de Segurana da Informao
Em entrevista concedida em primeira mo para o IT Careers, Pedro Goyn,
presidente da True Access Consulting, avalia o mercado profissional de
TI com foco em segurana da informao. O executivo fala sobre os desafios, a capacitao profissional e d dicas para um plano de carreira na
rea de segurana da informao.
Tecnologia da informao sempre foi e ser uma rea muito especializada. O surgimento de novas tecnologias fora os profissionais dessa
rea, assim como as empresas, a buscar ciclos de reciclagem de forma
constante. Na rea de segurana no seria diferente e avalio ser ainda
mais complexa, dado o avano das tecnologias, assim como a habilidade
de pessoas que buscam a fraude.
Esse cenrio leva as empresas a trs grandes desafios: capacitao, reteno e reciclagem de profissionais. Isso muito difcil e no por acaso
que as empresas esto, cada vez mais, buscando solues que eliminem
ou transfiram a carga de responsabilidade da segurana para outras solues.
Goyn aponta que preciso buscar especializaes na rea de segurana
da informao, alm da graduao na rea de TI, e importante que ter
certificaes baseadas em normas como a ISO 27000. O conhecimento
da lngua inglesa tambm imprescindvel. Acima de tudo, o profissional
deve estar sempre renovando seus conhecimentos (NGELO, 2010).
RECAPITULANDO
Voc aprendeu os conceitos principais sobre Segurana da Informao. Estudou que sua funo proteger um conjunto de informaes confidenciais e importantes na vida de uma pessoa ou organizao; conheceu, definiu e listou as principais caractersticas: confidencialidade, disponibilidade,
integridade e autenticidade; e compreendeu que em sua futura profisso,
voc dever dominar aspectos da Segurana da Informao para tambm
garantir a segurana de sistemas operacionais.
27
Normas e Legislao de Software
3
A proposta deste captulo apresentar as normas que regem a segurana de dados, e a instalao e uso de softwares que auxiliam a prevenir problemas de segurana em uma empresa,
como, por exemplo, o uso de licenas no apropriado. Sero apresentadas normas, tcnicas e
procedimentos para que voc seja um profissional respeitado no mercado de trabalho.
Na rea de manuteno de computadores, voc deve ter informaes ao instalar softwares
e no cair no erro de deixar o sistema vulnervel a invases. Para isso, queremos prepar-lo,
visando promover sua integridade pessoal e profissional para que tenha sucesso.
Ao terminar o captulo voc deve estar apto a:
a) listar normas sobre a segurana da informao;
b) definir o que um Sistema de Gesto de Segurana da Informao;
c) listar como implantar um Sistema de Gesto de Segurana da Informao Norma ISO
27001;
d) listar os requisitos da norma ISO 27001;
e) reconhecer a certificao ISO 27001;
f) descrever o que so riscos;
g) discutir o que so ameaas e vulnerabilidades;
h) comparar e fazer a anlise de riscos;
i) listar os tipos de licenas de software;
j) definir o que so direitos do proprietrio e direito de uso;
k) listar a legislao brasileira em vigor.
Aprenderemos, de maneira geral, a entender e aplicar os conceitos apresentados. Dedique-se e tenha bons estudos! Voc alcanar seu maior objetivo: qualificao profissional.
28
segurana de dados
3.1 NORMAS SOBRE A SEGURANA DA INFORMAO

A segurana tornou-se um dos temas mais relevantes para gestores de TI. Um
verdadeiro arsenal de regulamentaes, metodologias e certificaes, associado
a um grande aparato de ferramentas de hardware, software e sistemas de preveno est em permanente ebulio. As normas so criadas para estabelecer
diretrizes e princpios para melhorar a gesto de segurana nas empresas e organizaes.
Visando minimizar esses riscos, a ISO (International Standartization Organization) publicou, em 1o de dezembro de 2000, a norma ISO/IEC 17799 para garantir
a segurana das informaes nas empresas. Esta norma teve como base inicial a
norma britnica BS7799:1995.
Com a homologao, diversos pases, incluindo o Brasil, criaram suas prprias
normas de segurana de dados, baseadas na norma ISO/IEC 17799. A norma brasileira ABNT NBR ISO IEC 17799:2005 foi publicada em sua primeira verso em 31
de agosto de 2005. Voc pode acess-la em <http://www.abnt.org.br/>.
O objetivo fundamental dessas normas assegurar a continuidade, minimizar
e prevenir o dano de incidentes de segurana a empresas.
A ISO/IEC 17799 abrangente e divide-se em 12 captulos ou partes, cada qual
abordando um aspecto da segurana da informao. A norma brasileira segue a
mesma estrutura.
ISO/IEC 27001
A ISO/IEC 27001:2005 fornece apoio na proteo das informaes contra ameaas e vulnerabilidades, minimizando riscos, assegurando a continuidade dos negcios, o atendimento aos requisitos legais e regulamentares, ao mesmo tempo
em que preserva a imagem e a reputao da organizao. A proteo feita a
partir da implementao de uma srie de controles como, por exemplo, polticas,
procedimentos, recursos de software e de hardware, contemplando pessoas, processos e sistemas de TI.
A ISO 27001:2005 a reviso da ISO/IEC 17799, com melhorias e adaptaes,
contemplando o ciclo PDCA de melhorias e a viso de processos que as normas
de sistemas de gesto j incorporaram. A reviso foi feita por um comit tcnico
de mbito internacional, formado pela ISO e pelo IEC (The International Eletrotechnical Comission).
A ISO/IEC JTC 1, subcomit SC 27, que, atravs de um trabalho conjunto que
ocorreu desde 2000, efetuou as alteraes que so a compilao de diversas sugestes que os membros deste comit apresentaram ao longo do trabalho, cujas
reunies de discusso e apresentao dos resultados ocorreram em diversos pases at o primeiro semestre de 2005.
3 NORMAS E LEGISLAO DE SOFTWARE
Como forma de dar suporte implantao da ISO/IEC 27001:2005, o Comit

decidiu pela criao de uma famlia de normas sobre gesto da segurana da informao. Essa famlia foi batizada pela srie 27000.
ISO IEC NWIP 27000 Information Security Management Systems Fundamentals and Vocabulary: apresenta os principais conceitos e modelos relacionados
segurana da informao.
ISO IEC 27001:2005 Information Security Management Systems Requirements: define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI).
Usada para fins de certificao, substitui a norma britnica BS 7799-2:2002. Uma
organizao que deseje implantar um SGSI deve adotar essa norma.
ISO IEC 27002:2005 Information Technology Code of practice for information Security Management: os objetivos de controle e os controles definidos nesta norma tm como finalidade atender aos requisitos identificados na anlise de
riscos.
ISO IEC 1 st WD 27003 Information Security Management Systems Implementation Guidance: fornece um guia prtico para implementao de um Sistema
de Gesto da Segurana da Informao, baseado na ISO IEC 27001.
ISO IEC 2nd WD 27004 Information Security Management Measurements:
diretrizes com relao a tcnicas e procedimentos de medio para avaliar a eficcia dos controles de segurana da informao implementados, dos processos de
segurana da informao e do Sistema de Gesto da Segurana da Informao.
ISO IEC 2nd CD 27005 Information Security Management Systems Information Security Risk Management: diretrizes para o gerenciamento de riscos de segurana da informao.
Voc aprendeu neste tpico que as normas so criadas para estabelecer diretrizes e princpios para melhorar a gesto de segurana nas empresas e organizaes; que a norma brasileira segue a mesma estrutura da ISO/IEC 17799; e que
temos a ISO/IEC 27001:2005, a qual fornece apoio proteo das informaes.
3.2 O QUE UM SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Um Sistema de Gesto de Segurana da Informao (SGSI) pode ser definido
como um sistema utilizado para estabelecer e manter um ambiente seguro para
as informaes de uma organizao (SNCHEZ, 2006). Esse sistema deve estar em
constante aperfeioamento, devendo ser revisado e melhorado a todo momento,
pois ameaas e riscos tambm esto em constante mudana/evoluo.
29
segurana de dados
Dreamstime (2012)
30
Figura 5 - Sistema de gesto de segurana
Segundo a ABNT NBR ISO/IEC 27001:2006, um Sistema de Gesto da Segurana da Informao SGSI parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar,
analisar, manter e melhorar a segurana da informao.
A adoo de um SGSI deve ser uma deciso estratgica para as empresas. A
especificao e a implementao do SGSI de uma organizao devem ser influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
empregados, tamanho e estrutura da organizao. esperado que a implementao seja escalada conforme as necessidades da organizao; por exemplo, uma
situao simples requer uma soluo de um SGSI simples, da a importncia de
uma caracterstica fundamental de um SGSI, o constante aprimoramento.
Um SGSI deve ser submentido a revises peridicas com a finalidade de avaliar
a necessidade de mudanas/melhorias, principalmente levando em conta a rapidez com que a rea de Tecnologia da Informao evolui.
Um SGSI tem como principais objetivos:
a) estabelecer;
b) implementar;
c) operar;
d) monitorar;
e) rever;
f) manter;
g) melhorar a segurana da informao.
Lembrando que faz parte do SGSI a necessidade de manter documentao

sobre:
a) todos os procedimentos, controles, polticas e objetivos que foram definidos;
b) o mbito do SGSI;
c) as metodologias de avaliao dos riscos;
d) os relatrios de avaliao;
e) registros detalhados de incidentes de segurana;
f) os planos de tratamento dos riscos.
Tudo isso com a finalidade de operacionalizar e controlar o processo de segurana da informao. Um SGSI deve ser seguido obrigatoriamente por todos
aqueles que se relacionam direta ou indiretamente com a infraestrutura de Tecnologia da Informao da empresa, tais como funcionrios, prestadores de servios, parceiros e terceirizados; e deve possuir obrigatoriamente o aval da direo
e do departamento jurdico da organizao a fim de conferir maior legitimidade.
Neste tpico, vimos como importante para a empresa ter seu Sistema de
Gesto da Segurana da Informao (SGSI), quais seus principais objetivos e quais
as documentaes que a empresa deve manter.
SAIBA
MAIS
Quer se aprofundar no assunto? Leia Segurana da Informao, de Marcio Zapater e Rodrigo Suzuki, disponvel
em: <www.promon.com.br/portugues/noticias/download/
Seguranca_4Web.pdf>.
3.3 IMPLANTAO DE UM SISTEMA DE GESTO DE SEGURANA DA

INFORMAO - NORMA ISO 27001
Aprenderemos agora os procedimentos para que o Sistema de Gesto de Segurana da Informao (SGSI) seja implantado na empresa e o que trar de benefcios.
Segundo Ramos, Bastos e Lyra (2008), a implantao desse sistema representa
uma srie de benefcios para as organizaes:
a) fortalece a percepo de segurana perante os usurios, clientes, fornecedores, sociedade, funcionrios e acionistas;
b) integra a segurana da informao com os objetivos de negcio;
c) segurana da informao demonstrvel e monitorada;
31
32
segurana de dados
d) linguagem nica internacional com padres da famlia ISO 27000;

e) atende a requisitos jurdicos e regulatrios;
f) fortalece a cadeia de valor de segurana e tecnologia da informao;
g) melhoria do poder de negociao de Riscos Operacionais e Seguros;
h) fortalece a rea e profissionais de segurana da informao.
Caso o objetivo da empresa seja a certificao, por exemplo, na norma NBR/
ISO 27001, o SGSI trar muito mais benefcios.
Essa norma utilizada em todo o mundo por organizaes comerciais e governamentais como base para a gesto da poltica de gesto da organizao e
implementao da segurana da informao. utilizada por pequenas e grandes
organizaes, pois um padro que foi projetado para ser flexvel.
A norma tambm estabelece os critrios para a certificao e, para uma organizao obt-la, dever estar em conformidade com todos os requisitos necessrios.
Uma certificao NBR ISO/IEC 27001 um meio de garantir que a organizao
certificada implementou um SGSI de acordo com os padres mundialmente reconhecidos. Credibilidade a chave de ser certificado por uma terceira parte que
respeitada, independente e competente para avaliar.
Essa garantia estabelece confiana gerncia, parceiros de negcios, clientes
e auditores de que a organizao sria sobre gerncia de segurana da informao, no perfeita, mas est rigorosamente no caminho de melhoria contnua.
Baseando-se na norma, o gestor de segurana tem a possibilidade de fazer um
planejamento de todo o processo de implantao do SGSI em sua organizao,
desde os custos envolvidos at o retorno que o projeto trar.
FASES DE IMPLANTAO DE UM SGSI

Planejamento: em um primeiro momento, deve ser realizado um planejamento, onde o gestor de segurana estudar e compreender todos os requisitos da norma ISO 27001, a qual nortear a conduo durante todo o projeto.
Tambm nessa fase deve ser exposto todo o projeto aos gestores e personagens
envolvidos com os negcios (funcionrios, clientes, fornecedores e parceiros), e
definidas as pessoas que iro compor o comit do SGSI.
Implementao: feita a implementao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto
dos riscos de negcios, e elaborada a poltica de segurana da informao, onde
sero definidos os mecanismos utilizados para prover segurana.
Monitorao: anlise crtica do desempenho e eficcia do SGSI. O comit de

segurana faz contato com grupos especiais de interesse, como funcionrios, parceiros e fornecedores. uma forma de monitorar o funcionamento do sistema e
tem como finalidade obter subsdios para melhorar o SGSI.
Melhoria contnua: melhoria contnua, baseada em medies objetivas.
Denis Pacher (2012)
A NBR ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA),

que aplicado para estruturar todos os processos do SGSI.
Figura 6 - Plan-Do-Check-Act
Quadro 2 - Plan-Do-Check-Act
Plan (planejar esta-
Estabelecer a poltica, objetivos, processos e procedimentos relevantes
belecer)
para a gesto de riscos e a melhoria da segurana da informao, para

produzir resultados de acordo com as polticas e objetivos globais de
uma organizao.
Do (fazer implementar e
Implementar e operar a poltica, controles, processos e procedimentos.
operar)
Check (checar monitorar
Avaliar e, quando aplicvel, medir o desempenho de um processo frente
e analisar
poltica, objetivos e experincia prtica; apresentar os resultados para
criticamente)
a anlise crtica pela direo.
Act (agir manter e
Executar as aes corretivas e preventivas, com base nos resultados da
melhorar)
auditoria interna e da anlise crtica pela direo ou outra informao

pertinente, para alcanar a melhoria contnua.
Fonte: NBR ISO 27001
Voc pode notar que, ao adotar o modelo PDCA proposto pela norma, possvel construir projetos em menor tempo sem deixar de atacar as prioridades no
combate aos mais diferentes tipos de riscos.
O nmero de organizaes certificadas aumenta a cada dia, e isso demonstra a
preocupao com suas prticas internas e das informaes de parceiros e clientes.
Atualmente, a norma ISO 27001 a principal referncia para todos os tipos de
organizaes (empreendimentos comerciais, agncias governamentais, organi-
33
34
segurana de dados
zaes sem fins lucrativos) que procuram tratar a questo da segurana da informao com base em um modelo reconhecido internacionalmente.
FIQUE
ALERTA
Ao pensar na implantao de um SGSI, importante fazer

uso de ferramentas da qualidade, como o ciclo PDCA.
Neste tpico vimos: os benefcios e as fases de implantao do SGSI; o que

uma organizao precisa fazer para conseguir a certificao NBR/ISO 27001; e que
organizaes que a adquirem tm maior credibilidade no mercado.
VOC
SABIA?
Danos causados por cdigo malicioso, hackers e ataques

denial of service esto se tornando cada vez mais comuns, uma vez que estes esto cada vez mais ambiciosos e incrivelmente mais sofisticados.
3.4 REQUISITOS DA NORMA ISO 27001

A norma ISO 27001 elaborada pelo ISO, uma organizao com sede na Sua
que tem como funo desenvolver e promover padres que possam ser utilizados uniformemente em todos os pases. O Brasil representado pela Associao
Brasileira de Normas Tcnicas ABNT (ABNT, 2011).
A ISO 27001:2005 a norma BS7799-2:2002 revisada, com melhorias e adaptaes, contemplando o ciclo PDCA (Plan, Do, Check, Act) de melhorias e a viso de
processos que as normas de sistemas de gesto j incorporaram.
A BS7799 foi dividida em duas partes: a primeira foi usada para criar a norma
17799, e posteriormente se usou a segunda parte para criar a 27001.
REQUISITOS DA NORMA ISO 271001

1. Escopo: abrangncia da norma.
2. Referncia normativa: normas e padres relacionados 27001 e que servem de referncia para sua aplicao.
3. Termos e Definies: relacionados segurana da informao que so utilizados na norma.
Como voc pode ver, estes trs primeiros requisitos so apenas informativos
que descrevem a finalidade da norma, qual documento ela utiliza como refern-
cia (no caso, utiliza a norma ISO 27002) e tambm tem uma lista de termos e definies utilizados.
Confira os demais requisitos:
4. Descrever a criao, implementao, monitoramento e melhoria do
SGSI: atravs deste que definimos os membros participantes do SGSI, os documentos necessrios e quais registros devemos manter.
5. Apresentar e definir as responsabilidades da direo no que se refere
atribuio das responsabilidades do SGSI, tais como provisionar treinamentos e recursos necessrios ao SGSI.
6. Tratar das auditorias internas e definir quais reas devem ser auditadas, a periodicidade das mesmas e quem podero ser os auditores responsveis: com relao a este ltimo ponto, importante salientar que o auditor no
deve avaliar processos de reas pelas quais responsvel. Aqui, verificamos se os
objetivos estabelecidos para o SGSI esto sendo alcanados.
7. Anlise crtica do SGSI: a direo verifica as aes efetuadas pelo SGSI, e
atua como um elemento de controle do mesmo.
8. Melhoria do SGSI: o SGSI, por meio do comit de segurana da informao,
que possui uma dinmica que leva em conta as auditorias internas e anlise crtica da direo, pode propor novas aes a fim de melhorar o sistema e deste modo
aperfeioar a segurana da informao.
Abaixo temos um quadro com os captulos da norma ISO 27001
Quadro 3 - Captulos da norma ISO 27001
Captulo
Nome
Descrio
Introduo
Apresentao da norma
Objetivo
Abrangncia da norma
Referencia normativa
Outras normas necessrias ou importantes para

implantao do SGSI
Termos e definies
Termos e definies sobre segurana da informao
Sistema de Gesto de Segurana
Informaes sobre o estabelecimento, a imple-
da Informao SGSI
mentao, o monitoramento e a melhoria de um

SGSI
Responsabilidades da direo
Comprometimento da direo, treinamento e

proviso de recursos para o SGSI
Auditorias internas do SGSI
Auditorias internas realizadas por pessoal treinado

e comprometido com o SGSI
7
8
Anlise crtica do SGSI pela
Anlise realizada pela direo da organizao das
direo
aes efetuadas pelo SGSI
Melhoria do SGSI
Aes corretivas e preventivas efetuadas pelo SGSI

Fonte: NBR ISO IEC 27001
35
36
segurana de dados
A norma ISO 27001 pode ser adquirida na ABNT. Disponvel em <www.abnt.

org.br>.
Neste tpico, voc aprendeu um pouco mais sobre a norma ISO 27001, que
surgiu para desenvolver e promover padres que podem ser utilizados uniformemente em todos os pases, e quais so seus requisitos.
3.5 A CERTIFICAO NBR/ISO 27001

Voc sabe o que uma certificao? um documento emitido por uma entidade certificadora independente que garante que uma organizao implantou
corretamente todos os controles aplicveis de determinada norma. emitida
aps uma auditoria externa para verificao da conformidade com a norma em
questo.
A certificao NBR/ISO 27001 tem a finalidade de comprovar que a segurana
da informao est garantida de forma efetiva, o que no significa que a empresa
esteja imune a violaes de segurana. O mais importante, porm, que a certificao comprova, para os clientes e fornecedores da organizao, a preocupao
que esta tem com a segurana da informao, reforando sua imagem junto ao
mercado. Dependendo da atividade, essa certificao pode ser essencial para a
realizao de certos negcios.
Os principais benefcios da certificao so:
a) certificar que as melhores prticas esto sendo seguidas;
b) requisitos governamentais;
c) diferencial de marketing;
d) resultado natural de uma necessidade do mercado e da atualidade.
Os certificados so emitidos por entidades acreditadas por rgos de credenciamento nacionais ou internacionais aps realizao de auditorias.
A auditoria do Sistema de Gesto da Segurana da Informao dividida em
2 etapas:
Auditoria de Documentao, conhecida como Fase 1; e Auditoria de Certificao, conhecida como Fase 2. Pode existir tambm a Pr-Auditoria, sendo
esta opcional.
A Auditoria de Documentao existe porque essa norma envolve documentos e informaes, que muitas vezes podem ser confidenciais. Desta forma, necessrio uma anlise prvia destes nas instalaes da prpria empresa, visando
verificao de sua adequao e a segurana dos dados. o primeiro contato com
a equipe auditora.
As Auditorias de Manuteno so obrigatrias e devem ocorrer no mnimo

uma vez ao ano, para que a certificao continue assegurada.
Normalmente, a equipe auditora formada por um ou dois auditores com experincia em auditoria e conhecimentos do segmento de negcio da empresa.
Por se tratar de uma norma especfica, devem contar sempre com auditores que
detenham conhecimentos tcnicos suficientes para compreender a linguagem
dos auditados.
Por fim, lembre que a norma ISO 27001 pertence srie (ou famlia) ISO 27000,
que compreende normas relacionadas segurana de informao publicadas
pela ISO. A srie 27000 est para a Segurana da Informao assim como a srie
ISO 9000 e a srie ISO 14000 esto, respectivamente, para a Qualidade e para a
Proteo Ambiental.
Algumas das normas que compem a famlia 27000, alm da 27001, so:
a) 27000 Viso geral da famlia de padres ISO 27000, glossrio e termos comuns;
b) 27003 Guia para implementao de um SGSI;
c) 27004 Gerenciamento de mtricas de segurana de informao;
d) 27005 Implementao de segurana da informao baseada em uma
abordagem de gesto de riscos;
e) 27006 Guia para o processo de certificao e registro;
f) 27011 Guia para gerenciamento de segurana da informao na indstria
de telecomunicaes;
g) 27034 Guia para segurana de aplicaes.
Saiba que atualmente no existe legislao que obrigue o uso da ISO 27001.
Geralmente, as leis variam de pas para pas. No Brasil, existem recomendaes no
sentido de empregarem-se as normas emitidas por entidades como a Fenabam,
o Conselho Federal de Medicina e a ICP-Brasil, entre outras. No Reino Unido, a
Data Protection Act promulgada em 1998, e, nos Estados Unidos, a lei Sarbanes-Oxley (que atinge subsidirias de empresas americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informaes que, na prtica, obrigam as empresas a empregarem a ISO 27001/ISO 17799
como uma forma de demonstrar que esto procurando cumprir os requisitos de
segurana determinados.
Voc aprendeu neste tpico a finalidade de se obter certificao NBR/ISSO
27001 para a empresa, como se d a auditoria, e que no existe legislao que
obrigue o uso da ISO 27001.
37
segurana de dados
3.6 O QUE SO RISCOS?

Compreender o conceito de riscos, quando falamos em segurana da informao, primordial. Avali-los, na maioria das vezes, uma tarefa com um grande
nvel de subjetividade, mas existem alguns critrios objetivos que devem ser considerados.
O termo risco pode ser definido como a probabilidade de uma situao que
possa causar danos em decorrncia da exposio de uma vulnerabilidade durante um determinado espao de tempo. A vulnerabilidade definida como uma
fraqueza em um sistema, que pode envolver pessoas, processos ou tecnologias
que venham a ser explorados para se obter acesso a informaes.
Os riscos ocorrem pelo fato de que todos os ativos de uma empresa esto sujeitos a vulnerabilidades em maior ou menor escala e, neste caso, estas proporcionam riscos para a empresa e so causadas muitas vezes por falhas no seu controle.
COMO ENFRENTAR OS RISCOS
Denis Pacher (2012)
38
Figura 7 - Gesto do risco
Devemos sempre fazer uma avaliao dos riscos, identificando, estimando e

finalmente escolhendo tcnicas para o seu controle.
Para se lidar com riscos, so possveis algumas tcnicas:
a) Eliminar riscos: quando uma organizao se recusa a aceitar um determinado risco, a exposio a este to crtica que no permite empresa
permanecer nesta situao. Segundo Vaughan (1997), esta tcnica mais
negativa do que positiva, pois a utilizao constante faz com que o negcio
perca as oportunidades de lucro e, consequentemente, a possibilidade de

atingir seus objetivos;
b) Mitigar riscos: desenvolver mecanismos para reduzir o risco at um nvel
aceitvel para a organizao. Segundo Vaughan (1997), isto pode ser feito
em cima da preveno contra perdas, diminuindo o impacto e a probabilidade de esta ocorrer. Programas de sade e medidas de preveno, como
posto mdico, plano de sade, brigada de incndio, sistemas de sprinklers,
segurana fsica e patrimonial, sistemas de alarmes etc., so exemplos de
mitigar riscos atravs da preveno contra perdas. Outra forma diluir o
risco em grandes volumes, desde que se tenha um bom controle sobre as
probabilidades de ocorrncia. Por exemplo, uma seguradora pode assumir
a possibilidade de perda devido exposio de um indivduo do grupo e
ainda assim, no afetar sua rentabilidade;
c) Reter o risco: talvez seja a mais utilizada para se lidar com o risco. As empresas, como os indivduos, visualizam uma srie de riscos e, na maioria dos casos, no fazem nada a respeito. De acordo com Vaughan
(1997), a reteno do risco pode ser consciente, quando a organizao
identifica o risco, mas no toma nenhuma atitude em relao ao mesmo, ou inconsciente, quando a organizao no conseguiu identific-lo. Exemplo: quando a empresa identifica um risco, sabe que possvel evit-lo, atenu-lo ou transferi-lo, mas prefere no fazer nada em
relao a isto, assumindo os possveis prejuzos e as demais consequncias.
A reteno do risco um mtodo legtimo e, em muitos casos, a melhor soluo. De forma genrica, pode-se dizer que se deve reter os riscos que representem uma perda relativamente insignificante para a organizao;
d) Transferir o risco: o risco deve ser transferido quando o tomador no pode
arcar com o mesmo e, portanto, transfere-o para outro que seja capaz de
tom-lo. A transferncia serve tanto para riscos especulativos como para
riscos puros. Um exemplo clssico o processo de hedging, executado nas
principais bolsas de mercadorias. Hedging o mtodo de transferir o risco
das variaes de preo de uma entrega futura. Um exemplo de transferncia
de risco puro realizar o seguro de algum bem patrimonial;
e) Dividir o risco: um caso especfico de transferncia do mesmo e tambm
uma forma de sua reteno. Quando o risco dividido, a possibilidade de
perda transferida de um indivduo para o grupo, que de certa forma reteve
este risco. Aplicar em um fundo de aes e realizar um seguro so exemplos
de formas de dividir os riscos.
O que ir acontecer no futuro? Geralmente no temos esta informao. Por
isso, o conhecimento dos elementos envolvidos no ambiente avaliado, no caso
39
40
segurana de dados
especfico de segurana da informao. Ativos de informao, ameaas e vulnerabilidades, e ainda uma boa formao e conhecimentos na rea de segurana so
cruciais para uma boa avaliao.
Vimos, neste tpico, que importante compreender o conceito de riscos. Avali-los para depois pensar qual tcnica mais se encaixa na situao da empresas
muito importante.
3.7 O QUE SO AMEAAS?

A norma ABNT NBR ISO/IEC 17799:2005 define ameaa como sendo uma causa
potencial de um incidente indesejado, que pode resultar em prejuzo. Podemos
dizer que uma ameaa qualquer ao, acontecimento ou entidade que possa
agir sobre um ativo, processo ou pessoa, atravs de uma vulnerabilidade e por
consequncia gerar algum tipo de impacto. As ameaas apenas existem se houver vulnerabilidades. Sozinhas, pouco fazem.
Quando falamos em segurana da informao, estamos certos que ameaas
sempre vo existir, desde um funcionrio mal-intencionado que tenha acesso a
uma sala reservada at um aplicativo pirata no avaliado devidamente.
SAIBA
MAIS
Assista ao vdeo de um grande fabricante de solues de

segurana que trata das ameaas na web: <www.youtube.
com/watch?v=puDmfCLgfUA>.
Conforme descrito em Smola (2003), as ameaas podem ser classificadas

quanto a sua intencionalidade e ser divididas em grupos:
a) Naturais: surgem de fenmenos naturais, como incndios espontneos,
enchentes, terremotos etc;
b) No maliciosas: so inconscientes, quase sempre causadas pelo desconhecimento. Podem ser exemplos: acidentes, erros, falta de energia etc;
c) Maliciosas: so propositais, causadas por agentes humanos, como hackers,
invasores, espies, ladres, criadores e disseminadores de vrus de computador, incendirios etc;
d) No humanas: ameaas no causadas por agentes humanos, como falhas
de hardware, mal funcionamento de softwares etc.
Denis Pacher (2012)
Figura 8 - Ameaas
Como podemos observar, as ameaas existem tanto no ambiente externo

como no interno das organizaes, sendo fundamental entend-las para que
possamos propor medidas de segurana voltadas a eliminar a causa do problema.
As ameaas sempre exploram as vulnerabilidades, resultando em riscos. Um
exemplo, so os vrus de computador, ameaas externas no controladas que
sempre iro existir, por isso preciso estar preparado para enfrent-los. J em
uma ameaa interna, como no caso de funcionrios mal treinados, por exemplo,
pode-se trein-los para reduzir este tipo de vulnerabilidade. necessrio ressaltar
que a ameaa de um funcionrio, por acidente, efetuar algum tipo de dano no
pode ser eliminada por completo, apenas reduzida por meio de conscientizao
e treinamentos. O que podemos fazer reduzir as vulnerabilidades.
Outro exemplo o caso de um ambiente restrito, como um Data Center: podemos implementar mecanismos de segurana fsica como controle de acesso
biomtrico, dessa forma reduzir a vulnerabilidade contra algum acesso indevido;
porm, a ameaa de algum mal-intencionado tentar entrar no ambiente continuar existindo.
Uma ameaa pode ser identificada atravs dos seguintes elementos:
a) Agente: o catalisador que executa a ameaa. Pode ser humano, mquina ou
a natureza;
b) Motivo: aquilo que incentiva o adversrio a atuar. Esta ao pode ser acidental ou intencional;
c) Resultado: efeito causado pela execuo da ameaa. No caso da segurana
da informao, pode ser: perda de acesso, acesso no autorizado, perda de
privacidade, indisponibilidade de servios, divulgao, alterao ou destruio de informaes.
41
42
segurana de dados
Vimos neste tpico que ameaa tudo aquilo que causa um prejuzo a um
sistema ou organizao, e que elas existem se houver vulnerabilidades. Tambm
aprendemos que existem vrios tipos de ameaas e que elas podem ser identificadas pelos elementos agente, motivo e resultado.
3.8 O QUE SO VULNERABILIDADES?

O termo vulnerabilidade utilizado para definir um ponto fraco ou falha existente num determinado sistema ou recurso, que pode ser explorada, propositada
ou inadvertidamente, causando prejuzo ao sistema ou recurso em questo.
Na existncia de uma vulnerabilidade, h um risco que acarreta o surgimento
de uma ameaa. Lembre que ameaa uma circunstncia ou evento que pode
causar algum efeito sobre a confidencialidade, integridade ou disponibilidade da
informao (PEOTTA, 2011).
Algumas ferramentas, metodologias ou mesmo pessoas mal-intencionadas
tentam explorar as vulnerabilidades diretamente, o que pode levar perda de
informaes, comprometimento dos servios e muitas vezes sobrecarga de servidores ou da prpria rede.
Um exemplo o caso de como um incndio afeta ou no os negcios de uma
empresa. Isto depende da ausncia ou existncia de mecanismos de preveno,
deteco e extino do incndio, alm do correto funcionamento dos mesmos. A
amea do fogo s afeta a empresa se esta estiver vulnervel ao risco de incndio
(a falta de extintores, por exemplo).
O nvel de risco implcito explorao de uma determinada vulnerabilidade,
por parte de uma ou mais ameaas, pode ser caracterizado ou calculado, atendendo a trs fatores distintos, mas relacionados:
a) o grau de vulnerabilidade existente;
b) a probabilidade da ocorrncia de um incidente de segurana (concretizao de uma ameaa);
c) o impacto resultante do mesmo.
Desta forma, vimos que qualquer alterao no mbito dos recursos de uma organizao, das vulnerabilidades diretamente associadas, das ameaas a que estes
se encontram expostos e dos controles de segurana utilizados para proteg-los
tero efeito positivo ou negativo no que diz respeito ao nvel de risco existente.
Percebemos que a vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque, ou seja, uma condio encontrada em determinados recursos,
processos, configuraes etc.
Todos os ambientes so vulnerveis, partindo do princpio de que no existem

ambientes totalmente seguros. Muitas vezes encontramos vulnerabilidades nas
medidas implementadas pela empresa. Identific-las pode contribuir para que as
ocorrncias de incidentes de segurana sejam reduzidos, e um aspecto importante na identificao de medidas adequadas de segurana.
As vulnerabilidades esto presentes no dia a dia e se apresentam nas mais
diversas reas de uma organizao. No existe uma nica causa para seu surgimento. A negligncia por parte dos administradores de rede e a falta de conhecimento tcnico so exemplos tpicos, porm, cada vulnerabilidade pode estar
presente em diversos ambientes computacionais, e cada uma delas pode permitir
a ocorrncia de determinados incidentes de segurana.
Conclumos que so as vulnerabilidades as principais causas das ocorrncias
de incidentes de segurana.
POR QUE SISTEMAS DE SEGURANA SO VULNERVEIS?

Quando grandes quantidades de dados so armazenadas sob formato eletrnico, ficam vulnerveis a mais tipos de ameaas. Os avanos nas telecomunicaes e nos sistemas de informao ampliaram essas vulnerabilidades porque
esses sistemas, mesmo estando em locais diferentes, podem ser interconectados
por meio de redes de telecomunicaes. Logo, a facilidade para acesso no autorizado, abuso ou fraude no fica limitada a um nico lugar, mas pode ocorrer em
qualquer ponto de acesso rede. Alm disso, arranjos mais complexos e diversos,
de hardware, software, pessoais e organizacionais, so exigidos para redes de telecomunicao, criando novas reas e oportunidades para invaso e manipulao.
Redes sem fio que utilizam tecnologias baseadas em rdio so ainda mais vulnerveis invaso, pois fcil fazer a varredura das faixas de radiofrequncia. A
internet apresenta problemas especiais porque foi projetada para ser acessada
facilmente por pessoas com sistemas de informaes diferentes.
As redes de telecomunicao so altamente vulnerveis a falhas naturais de
hardware e software e ao uso indevido por programadores, operadores de computador, pessoal de manuteno e usurio finais. possvel, por exemplo, grampear linhas de telecomunicao com a finalidade de interceptar dados ilegalmente (LAUDON & LAUDON, 2004).
43
44
segurana de dados
ANLISE DE VULNERABILIDADES
Novas vulnerabilidades surgem em decorrncia de brechas em softwares, imperfeies na configurao de aplicativos e falha humana. A anlise de vulnerabilidades responsvel por garantir a deteco, remoo e controle das mesmas.
Seus principais objetivos so:
a) identificar e tratar falhas de softwares que possam comprometer seu desempenho, funcionalidade e segurana;
b) providenciar uma nova soluo de segurana como, por exemplo, o uso de
um antivrus, com possibilidade de update constante;
c) alterar as configuraes de softwares a fim de torn-los mais eficientes e menos suscetveis a ataques;
d) utilizar mecanismos para bloquear ataques automatizados (worms, bots
etc.);
e) implementar a melhoria constante do controle de segurana.
A anlise de vulnerabilidades torna a tomada de deciso em relao segurana mais fcil, pois rene informaes essenciais que indicam a melhor estratgia para se manter protegido de falhas, ataques e invases (MDULO..., 2011).
Vimos neste tpico que as vulnerabilidades so as principais causas da ocorrncia de incidentes de segurana, e que fazendo a anlise de segurana e seguindo seus principais objetivos podemos manter um sistema protegido.
3.9 O QUE ANLISE DE RISCOS?

Atualmente, com dependncia crescente dos sistemas de informao e o surgimento de novas tecnologias e formas de trabalho, como o comrcio eletrnico,
as redes virtuais privadas e os funcionrios mveis, as organizaes comearam a
despertar para a necessidade de segurana, uma vez que se tornaram vulnerveis
a um nmero maior de ameaas.
Diante desses desafios, necessrio estarmos preparados para impedir, dificultar, minimizar ou transferir os riscos a que estamos expostos. neste cenrio
que chamamos a ateno sobre a necessidade de analisar os riscos.
Segundo a norma NBR ISO 31000, que trata sobre a gesto de riscos, o termo
anlise de risco pode ser definido como o processo pelo qual se busca compreender a natureza do risco e determinar o seu nvel. A anlise de riscos fornece a base
para a avaliao de riscos e para as decises sobre o seu tratamento, incluindo a
estimativa de riscos.
A IMPORTNCIA DA ANLISE DE RISCOS

Ao tomar conhecimento dos riscos a que se expem as organizaes e pessoas, mais fcil aplicar as solues de segurana. Se no os conhecermos, dificilmente saberemos os mecanismos que devemos aplicar.
A primeira coisa que se recomenda fazer uma anlise dos riscos e sua classificao segundo sua prioridade. Dependendo desta, podemos calcular os recursos
exigidos para que os riscos sejam atenuados, eliminados ou assumidos. Sempre
h uma faixa dentro da qual h um risco inaceitvel e outro aceitvel; tentaremos
ficar em uma faixa no meio, que a administrao do risco (GABINESKI, 2007).
Atravs dos resultados da anlise, so orientadas e determinadas as aes de
gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados. O processo de avaliar os riscos e selecionar os controles pode ser realizado vrias vezes,
de forma a cobrir diferentes partes da organizao ou de sistemas de informao
especficos.
AS PRINCIPAIS ETAPAS DE UMA ANLISE DE RISCOS

A realizao de uma anlise de risco compreende genericamente diversas etapas ou passos, dentre elas (GAIVO, 2007):
a) identificao dos bens e seus valores considerados crticos para a atividade
e sobrevivncia da organizao, recursos estes que so valorizados de acordo com a sua relevncia para o negcio, facilidade de substituio e investimento (direto e/ou indireto) necessrio para reparao ou substituio;
b) identificao e avaliao das vulnerabilidades que se encontram associadas a estes recursos e das ameaas a que estes se encontram expostos, bem
como a sua probabilidade de ocorrncia e impacto esperado (quantificado,
sempre que possvel);
c) determinao, o mais realista possvel, das perdas e danos (tangveis e intangveis) associados aos impactos resultantes da concretizao de uma ou mais
ameaas, sobre um dado recurso. Deste clculo decorre o nvel de risco associado ao recurso em questo. Os impactos podem ser avaliados de modo
quantitativo ou qualitativo, ou at mesmo de uma combinao de ambos;
d) de acordo com o nvel de risco identificado, segue-se a classificao deste
quanto sua aceitao ou necessidade de mitigao, atendendo ao grau de
conforto pretendido pela organizao.
Um nvel de risco pode ser aceito caso a organizao decida que este no acarreta consequncias significativas concretizao de suas atividades crticas de
45
46
segurana de dados
negcio, sendo que a aceitao de um determinado nvel pode, contudo, presumir a realizao de esforos no sentido de mitig-lo, reduzindo-o a um valor
considerado aceitvel para a organizao, dotando-a de um nvel de conforto
desejvel.
A avaliao das ameaas e das vulnerabilidades so classificadas em ALTA,
MDIA e BAIXA, geralmente feitas atravs de questionrios feitos aos funcionrios, inspees nos locais e revises de documentao. Feito isso, pode-se medir
o risco. Para cada recurso, as vulnerabilidades relevantes e suas correspondentes
ameaas so consideradas: se existe uma vulnerabilidade sem ameaa, ou ameaa sem vulnerabilidade, ento no h risco.
Voc aprendeu neste tpico que uma anlise de risco o processo pelo qual se
busca compreender a natureza do risco e determinar seu nvel; e que a avaliao
de riscos e seleo dos controles podem ser realizadas vrias vezes, de forma a
cobrir diferentes partes da organizao ou de sistemas de informao especficos.
3.10 TIPOS DE LICENAS DE SOFTWARES

Quando precisamos de algum software e o procuramos para download, o site
de onde o baixamos normalmente cita o tipo de licena. Conhecer as diferenas
entre essas licenas importante para no induzirmos algum cliente a utilizar um
software no apropriado.
As licenas de software muitas vezes so documentos de alta complexidade
jurdica,sendo necessrio um estudo cuidadoso de seus termos para avaliar o que
permitido ouno. Estudaremos a seguir os principais tipos de licena.
FREEWARE
Tipo de distribuio para programas gratuitos, estas licenas no expiram e
pode-se utiliz-los livremente sem nunca precisar se preocupar em pagar nada.
Alguns programas so gratuitos apenas para pessoas fsicas ou uso no comercial. muito comum em sites de download de programas.
ADWARE
Tambm um tipo de distribuio para programas gratuitos, mas tem o inconveniente de trazer publicidade de diferentes formas, geralmente em formato
de banners que patrocinam os custos de desenvolvimento e manuteno do sof-
tware. Muitos adwares oferecem tambm verses pagas, sem propagandas, mas
a compra neste caso opcional.
SHAREWARE
Tipo de distribuio em que, aps um determinado tempo de uso ou nmero de utilizaes, o software em questo perde algumas ou a totalidade de suas
funcionalidades. Aps este perodo, utilizado geralmente para avaliao, voc
deve apag-lo ou registr-lo atravs da compra de uma licena de utilizao. Um
usurio registrado possui alguns benefcios, como suporte tcnico e atualizaes
gratuitas do programa. Seu preo costuma no ser muito alto em comparao
aos outros produtos proprietrios.
DEMO
Tipo de distribuio comum em jogos. Os demos de jogos apresentam apenas
algumas fases e servem para voc analisar se vale a pena compr-lo ou no. No
expiram nem podem ser registrados. Se voc quiser comprar o software, ter que
recorrer a uma loja.
TRIAL
Semelhante ao tipo demo, mas se aplica a programas. Voc pode test-lo em
sua totalidade, com todos os recursos e por quanto tempo quiser, mas geralmente no pode salvar ou exportar os trabalhos feitos. Se quiser compr-lo deve ir a
uma loja.
Alguns programas trial permitem que voc salve e exporte trabalhos por um
certo tempo.
PRODUTO COMPLETO (PROPRIETRIO)

Produto completo se refere a softwares licenciados embalados e vendidos
atravs de distribuidores a revendedores. Clientes geralmente adquirem FPPs
(full packaged product - produtos licenciados em caixas) atravs de lojas de varejo
locais e varejistas de software. Tipicamente, cada produto completo inclui uma
licena, mdia e documentao, e destina-se a atender necessidades de baixo volume. Geralmente so softwares como Microsoft Office, pacotes antivrus etc.
47
48
segurana de dados
INTEGRADOR DE SISTEMAS OEM (PROPRIETRIO)

Um integrador de sistemas fabricante de equipamento original (OEM) geralmente um fabricante de computadores que vende seu hardware com software
pr-instalado. Uma licena de OEM frequentemente a maneira mais fcil e econmica para clientes receberem seu software de sistema operacional Windows.
muito comum quando se adquirem computadores novos de grandes marcas,
como DELL, IBM, Sony etc.
SOFTWARE LIVRE OU OPENSOURCE

Pode ser usado, copiado, estudado, modificado e redistribudo sem restrio.
A forma comum de um software ser distribudo livremente sendo acompanhado por uma licena de software livre (como a GPL ou a BSD), e com a disponibilizao do seu cdigo-fonte.
Para saber mais sobre software livre, leia a LICENA PBLICA GERAL GNU Verso 2, de junho de 1991 em <http://www.magnux.org/doc/GPL-pt_BR.txt>.
As licenas de software livre so documentos atravs dos quais os detentores
dos direitos sobre um programa de computador autorizam seu uso que, de outra
forma, estaria protegido pelas leis vigentes no local.
Alm do uso como usurio final, esses usos autorizados permitem que desenvolvedores possam adaptar o software para necessidades mais especficas, utiliz-lo como fundao para construo de programas mais complexos, entre diversas
outras possibilidades (SABINO; KON, 2011).
SOFTWARE DE DOMNIO PBLICO

semelhante ao software livre, com a exceo de que o autor do software renuncia propriedade do programa (e a todos os direitos associados) e este se
torna bem comum. No software livre esto garantidos os direitos autorais do programador ou organizao.
Neste tpico, voc viu que existem vrias licenas de software e que, dependendo da necessidade ou aplicao, devemos comprar ou no uma licena.
3.11 DIREITOS PROPRIETRIOS E DIREITOS DE USO

Voc j deve ter ouvido falar que a comercializao de qualquer tipo de software cabe apenas ao desenvolvedor ou a um distribuidor regularmente autori-
zado. Quando adquirimos um programa de computador, no nos tornamos proprietrios dele, estamos apenas recebendo uma licena de uso.
CONTRATOS DE SOFTWARE E SEUS DIFERENTES TIPOS

Em uma relao jurdica onde o objeto o software, esta relao fica estabelecida atravs do contrato de licena de uso. Este comumente usado para softwares comercializados:
a) Softwares de prateleira: so aqueles comercializados no varejo, ou seja,
cadeias de supermercados, lojas de informtica etc. So tutelados por um
tipo de contrato, ainda que seja licena de uso, conhecido como contrato
eletrnico;
b) Softwares de gesto: so mais complexos, pois so solues desenvolvidas especificamente para aquele usurio, como so os casos dos sistemas
de gesto ERP, sistemas que diferem de uma empresa para outra de acordo
com as necessidades acordadas em contrato. Geralmente, fazem parte dos
contratos clusulas de manuteno, onde correes e alteraes necessrias
sero atendidas pelo fornecedor caso seja necessrio, ou o custo dessas manutenes, caso o comprador necessite.
CONTRATO DE LICENA DE USO

O contrato de licena de uso aquele pelo qual o licenciante/proprietrio
concede a outra pessoa o direito de us-lo por tempo indeterminado. Este uso
poder ser em seus computadores e ou servidores (equipamentos onde sero
instalados o software).
O licenciado aquele que adquire a licena de uso, e possui somente o direito
de uso e no de propriedade, no podendo transferir, comercializar, doar, arrendar, alienar, sublicenciar e tampouco dar o objeto em garantia.
Um outro termo muito utilizado licena comercial, associada a contratos
de licena de uso. importante observar que, de acordo com o modelo de licenciamento de software comercial, o que o usurio adquire o direito de utiliz-lo
segundo as regras definidas por seu contrato. Uma analogia pode ser feita com
livros: quando se compra um livro, est se adquirindo a mdia impressa, mas o
direito autoral do contedo do autor ou da editora.
As duas restries mais comuns nas licenas comerciais so:
49
50
segurana de dados
a) o direito de redistribuio, isto , realizar uma cpia dele e repass-la para

outro usurio. A cpia em desacordo com sua licena comercial considerada uma cpia ilegal e esta prtica conhecida pelo termo pirataria;
b) o direito de alterar o funcionamento do software, adaptando-o para um
fim especfico. Como o software comercial raramente distribudo com seu
cdigo fonte, para alter-lo seria necessrio utilizar a prtica da engenharia
reversa, o que costuma ser terminantemente proibido por esse tipo de licena.
A licena comercial define tambm, em muitos casos, os servios que a empresa que vende o software disponibiliza aos usurios, tais como suporte, correo de
erros de funcionamento, atualizao peridica e acesso a documentao de uso e
outros materiais, normalmente via internet (WIKIPDIA, 2011).
A GARANTIA
comum os licenciantes imporem uma contraprestao pelo pagamento de
manuteno do software, composto por atualizaes, correes e novas verses,
cujo perodo inicia-se justamente na data da assinatura do contrato. Na prtica,
grande parte das empresas de software fornecem junto com a licena de uso um
perodo no qual novas verses com atualizaes e correes podem ser instaladas sem custo, desde que este perodo no tenha expirado.
CONTRATO DE SERVIO
O contrato especifica os termos e condies sob os quais o licenciante prestar servios ao licenciado em relao a produtos de software licenciados, onde o
licenciante concorda em prestar servios profissionais que deveriam estar descritos no prprio contrato, assinado pelas partes e mediante a contraprestao do
pagamento pelos mesmos.
Baseado em cronogramas de trabalho, o licenciante dever fornecer um oramento do custo dos servios, bem como os detalhes dos servios que sero
executados (MBITO JURDICO, 2011).
Voc poder aprender mais sobre a lei do software em: <http://www.planalto.
gov.br/ccivil_03/leis/L9609.htm>.
Neste tpico, voc aprendeu que existem diferentes tipos de software comercializados e que cada um protegido por um tipo de licena diferente, alm de
conhecer os contratos vigentes em relao ao uso e ao servio de licenciantes.
3.12 LEGISLAO BRASILEIRA EM VIGOR

O software desempenha um papel singular no mundo moderno, seja no mbito econmico, poltico, social, jurdico ou acadmico. Sua relevncia tem se
tornado mais estratgica. Afinal, a automao das informaes relacionadas com
as mais diversas atividades humanas, realizada com computadores e/ou outros
equipamentos, depende necessariamente de softwares.
Diante deste contexto em constante e rpida evoluo, o governo brasileiro
editou leis que tratam da tecnologia da informao.
Segue abaixo um breve resumo:
a) Lei de Programa de Computador n 9.609/98: Promulgada em 19/02/1998,
substitui a Lei 7.646/87, entrando em vigor na data de sua publicao. Dispe sobre a proteo de propriedade intelectual de softwares e sua comercializao no Brasil. Disponvel em: <www.planalto.gov.br/ccivil_03/leis/
L9609.htm>;
b) Lei de Direitos Autorais n 9.610/98: Tambm promulgada em 19/02/1998,
substitui a Lei 5.988/73, entrando em vigor 120 dias aps sua publicao.
Disponvel em: <www.planalto.gov.br/ccivil_03/leis/L9610.htm>;
c) Decreto N 2556, 20 de abril de 1998: Regulamenta o registro previsto
no art. 3 da Lei N 9.609, de 19 de fevereiro de 1998. Disponvel em: <www.
planalto.gov.br/ccivil_03/decreto/d2556.htm>;
d) Decreto N 91.873, de 4 de novembro de 1985: D novas atribuies
ao Conselho Nacional de Direito Autoral. Disponvel em: <www2.camara.
gov.br/legin/fed/decret/1980-1987/decreto-91873-4-novembro-1985-442056-publicacaooriginal-1-pe.html>;
e) Resoluo CNDA N 057, de 5 de dezembro de 1988: O Conselho Nacional de Direito Autoral, no uso das atribuies que lhe conferem o artigo 4
da Lei n 7.646, de 18/12/1987, e o artigo 7, item IV, do Decreto n 96.036,
de 12/05/1988. Disponvel em: <www.assespro-rj.org.br/publique/media/
re_CNDA057.pdf>.
O desrespeito aos direitos autorais do software , geralmente, chamado de pirataria. Esta consiste em prticas de conduta que violam as regras de direito autoral, tanto em relao ao software gratuito como ao proprietrio, seja ele fechado
ou aberto. A pirataria um crime com pena prevista de at 4 anos de recluso em
caso de condenao.
Para enfatizar a preocupao sobre o tema pirataria, segundo pesquisa realizada pelo International Data Corporation (IDC), a pirataria no Brasil atinge cerca de
64% dos computadores, ou seja, a cada 100 computadores, mais de 60 possuem
software pirata instalado.
51
segurana de dados
Denis Pacher (2012)
52
Figura 9 - Campanha no Brasil contra pirataria
CRIMES CIBERNTICOS
So crimes realizados atravs e com o auxlio de computadores, geralmente
usando a internet para este tipo de contraveno.
No existe ainda no Brasil legislao especfica para a internet. A que aplicada a mesma para os crimes cometidos no mundo real. A internet tida como
apenas mais um meio de cometer crimes.
A investigao no crime ciberntico no difere muito do crime tradicional. O
problema a dificuldade de encontrar as provas e o autor em um ambiente virtual. Para identific-lo, deve ser feito um rastreamento bem minucioso, sob o risco
de o crime ficar impune.
As denncias sobre os mais diversos tipos de crimes praticados na internet
podem ser feitas no site da SaferNet Brasil, instituio que possui convnios com
o Ministrio Pblico Federal, bem como com diversos outros rgos de investigao criminal. A SaferNet Brasil criou e mantm a Central Nacional de Denncias de Crimes Cibernticos (<www.denunciar.org.br>) que, desde 29/03/2006,
operada em parceria com o Ministrio Pblico Federal. Reconhecida e recomendada pelo poder pblico como nico hotline da Amrica Latina e Caribe, a central
oferece o servio gratuito de recebimento, processamento, encaminhamento e
acompanhamento on-line de denncias annimas sobre crime ou violao aos
Direitos Humanos praticado por meio da internet.
A Central Nacional de Denncias de Crimes Cibernticos recebe uma mdia
de 2.500 denncias por dia, envolvendo pginas suspeitas de conter evidncias
de crimes de pornografia infantil, racismo, intolerncia religiosa, apologia e/ou
incitao a crimes contra a vida, homofobia e maus-tratos contra animais (SAFER
NET BRASIL, 2011).
SPAM
o envio de mensagens indesejadas ou no solicitadas. O Projeto de Lei n
1.589/99 e o 2.358/00 tratam do assunto, dispondo que aqueles que praticarem
essa conduta devero informar o carter da mensagem, sob pena de multa (PL
2358).
Nos pases da Unio Europeia, deve haver registro especfico para esse tipo de
correspondncia. Nos Estados Unidos, aquele que proceder como spammer pode
ser condenado civil (multas de US$ 500 a US$ 25.000) e criminalmente.
Independentemente de normas especiais, no Brasil, aquele que enviar spam
poder ser responsabilizado nos termos das leis em vigor, desde que haja a efetiva demonstrao do prejuzo causado.
Voc aprendeu, neste tpico, que existem leis federais que tratam de assuntos
da Tecnologia da Informao e conheceu alguns crimes cibernticos, como a pirataria e o envio de spam.
CASOS E RELATOS
Cuidados com a informao
Confira as ideias de Jeferson Daddario, consultor de gesto de riscos, a
respeito dos cuidados que se deve ter com a informao:
Faa uma mapeamento de todas as informaes pblicas que esto disponveis. Verifique se no h nada que pode ser utilizado para prejudicar
a imagem, negcios e fornecer inconscientemente informaes privilegiadas a concorrentes.
Informaes trocadas com fornecedores, prestadores de servio, parceiros e outros pblicos podem estar alm do que realmente precisam. Ou
at mesmo violando leis e regulamentos. Faa uma verificao jurdica
quanto a aspectos de Direito Digital.
Verifique o que orientado aos colaboradores para o envio de e-mails.
Se permite o envio de fotos e imagens. Se h necessidade de que seja
monitorado e controlado. Se existem informaes financeiras, arquivos
em CAD, projetos, obras, oramentos, planilhas de custos, folha de pagamento, contbeis e fiscais que andam flutuando pelos e-mails e internet.
53
54
segurana de dados
Cuidado com o uso abusivo de aplicativos como ORKUT, MSN e Skype. H

condies seguras de permitir alguns recursos destes. H empresas que
s os usam profissionalmente, mas eu recomendo muito cuidado na permisso destes recursos. Eles reduzem custos de comunicao, agilizam
atendimento a clientes, permitem grupos de relacionamento, aproximao de clientes e marketing de baixo custo, porm so muito vulnerveis
e difceis de monitorar (DADDARIO, 2009).
Recapitulando
Voc aprendeu os conceitos principais das Normas e Legislao de Software. Com base nos estudos, conheceu que existem normas, como a
ISO/IEC 17799:2005, que formalizou o conceito da Segurana de Informao, e a srie ISO/IEC 27000, que serve para tratar de seus padres.
Tambm definiu e listou os tipos de software que temos, que cada um
tem um tipo de licena de uso e que devemos respeitar essas licenas ou
ento estaremos desrespeitando a lei.
Por fim, compreendeu que em sua futura profisso de extrema importncia estar bem informado sobre essas normas para no cometer erros e
perder sua credibilidade perante seus clientes.
Anotaes:
55
Poltica de Segurana
4
Este captulo tem como objetivo apresentar a Poltica de Segurana, pois esta fundamental
para qualquer organizao. Sem ela, no teramos como proteger as informaes, um dos bens
mais preciosos que temos.
Para ser um profissional bem-sucedido na rea de informtica, voc deve conhecer como
reduzir incidentes, reduzir os danos provocados caso ocorram incidentes e definir normas e
tcnicas para a preveno e para assegurar a proteo das informaes.
Ao terminar o captulo voc estar apto a:
a) definir o que uma poltica de segurana;
b) definir segurana em redes de computadores e servidores;
c) conceituar e reconhecer a segurana na internet;
d) definir o que firewall;
e) reconhecer controles de acesso;
f) utilizar poltica de senhas;
g) definir, discutir e usar criptografia;
h) definir certificados digitais;
i) definir infraestrutura de chaves pblicas.
Dedique-se aos seus estudos no entendimento da poltica de segurana para que, num futuro prximo, voc ganhe projeo no mercado!
58
segurana de dados
4.1 O QUE UMA POLTICA DE SEGURANA

Poltica de segurana define o que cada pessoa tem de direitos e deveres em
uma organizao. Define tambm as responsabilidades sobre as informaes da
mesma, prevendo o que pode acontecer se algo falhar, e quais as penalidades
sobre os responsveis pela perda ou vazamento de informaes.
Podemos entender que a poltica de segurana da informao um conjunto
de documentos que definem os principais objetivos de uma organizao para
com a segurana da informao, alm de estabelecer de que maneira os usurios
devem se comportar nas mais diversas situaes com o objetivo de minimizar
riscos.
Estes documentos possuem um conjunto de diretrizes elaboradas em parceria
com a alta gerncia, e tem por objetivo buscar o alinhamento de negcio, alm
de mostrar comprometimento da empresa com a segurana.
Voc deve ter percebido que essa poltica possui uma srie de normas e procedimentos, documentos que formalizam a necessidade de uma srie de controles.
Tambm possui outras caractersticas:
a) nela esto registradas as regras e diretrizes a serem observadas por todos os
integrantes e colaboradores, e so aplicadas a todos os sistemas de informao e processos corporativos;
b) deve ser suficientemente clara e de fcil compreenso, de forma que possa
ser aceita e seguida por todos os indivduos que fazem parte da organizao,
sendo flexvel o suficiente para abordar uma vasta gama de dados, atividades e recursos;
c) permite que as empresas faam uso de um conjunto de prticas e procedimentos que reduziro significativamente a probabilidade da ocorrncia de
incidentes de segurana que podem provocar a perda de dados ou afetar a
integridade, disponibilidade e confidencialidade das informaes.
A poltica de segurana fundamental em qualquer organizao e pode
abranger, entre outras coisas (FAUSTINI, 2011):
a) padres para utilizao de criptografia;
b) regras para utilizao do e-mail e acesso internet;
c) normas para utilizao de programas e equipamentos;
d) procedimentos para guarda adequada das informaes;
e) definio de responsabilidades e permetros de segurana;
f) plano de contingncia (documento adicional que estabelece como responder a incidentes de segurana);
4 POLTICA DE SEGURANA
g) segurana lgica (polticas de senha, sistemas de autenticao de usurio,

programas de deteco de vrus);
h) segurana fsica (acesso de pessoas, guarda e proteo dos equipamentos,
condio das instalaes eltricas).
A poltica de segurana no envolve apenas a rea de tecnologia da informao, mas a organizao como um todo e, como toda poltica institucional, deve ser
aprovada pela alta gerncia e divulgada aos funcionrios e demais colaboradores.
Deve ser sempre revista e analisada criticamente, nunca pode ficar ultrapassada, pois as ameaas e o ambiente computacional tambm esto em rpida e
constante evoluo.
Alm do aspecto puramente tcnico, importante ressaltar que praticar algo
com o mnimo de segurana envolve, sobretudo, a adoo de mudanas comportamentais, pois sem dvida alguma, o ser humano o elo mais fraco dessa
corrente. Um fator crtico de sucesso ao adotar uma poltica de segurana uma
boa estratgia de divulgao e treinamento de usurios, clientes e fornecedores.
Lembre-se de que a politica de seguranca requisito para a norma 9001 e faz
parte integrante do contrato de trabalho na maioria das empresas.
SAIBA
MAIS
Conhea a poltica de segurana divulgada pela BMF/BOVESPA em <ri.bmfbovespa.com.br/upload/portal_investidores/

pt/governanca_corporativa/estAgradeo patutos_politicas/
Politica_da_Seguranca_da_Informacao.pdf>.
Neste tpico, voc aprendeu o que so e para que servem as polticas de segurana da informao; viu como importante uma empresa formalizar esse documento; e compreendeu que a prtica de algo com segurana envolve toda a
empresa.
4.2 SEGURANA EM REDES DE COMPUTADORES

A proteo de redes e dispositivos de telecomunicaes uma das reas mais
importantes relacionadas segurana da informao. Por conta dos altssimos
nveis de automatizao existentes hoje na grande maioria das organizaes e
do papel que a internet assumiu como principal meio de comunicao empresarial, desbancando em alguns anos at as redes de telefonia convencional, grande parte das informaes que precisamos proteger se encontra armazenada em
computadores ou trafegando por diversos tipos de tecnologias de rede e comunicao remota.
59
60
segurana de dados
3 Kernel
o ncleo do sistema
operacional. Sua funo
fazer o vnculo entre o
hardware e os softwares
executados pelo
computador.
Para protegermos essas informaes, precisamos de pessoal com conhecimento especializado e uma avaliao das reais condies de segurana existentes.
Alm disso, os profissionais de segurana em redes precisam ter, primeiramente,
um amplo conhecimento sobre o seu funcionamento e sobre as tecnologias que
as suportam.
As informaes trafegam em redes e tambm por componentes bastante
especficos que demandam bastante ateno, os links de comunicao. Essas
tecnologias so diversas: internet, linhas privadas, links de rdio, frame relay etc.
Cada uma delas traz, em geral, preocupaes particulares do ponto de vista da
segurana, mas sempre com os mesmos objetivos: garantir a confidencialidade, a
integridade e a autenticidade da comunicao.
Para que seja possvel entendermos as implicaes de segurana existentes
no uso de redes, no basta conhecermos os problemas mais comuns. necessrio
que o profissional saiba a finalidade das principais tecnologias disponveis, alm
de suas caractersticas relevantes para a segurana, como mecanismos nativos de
integridade e confidencialidade.
Um exemplo Kevin David Mitnick, hacker americano conhecido mundialmente. Foi preso em 1995 e liberto em 2000. Foi acusado de 25 tipos de fraudes
diferentes no sistema de telefonia e de roubo de software proprietrio. Por ter
grande conhecimento na rea, atualmente trabalha como gerente em uma grande empresa de segurana.
Figura 10 - Kevin David Mitnick
COMPONENTES BSICOS
As redes de computadores possuem um conjunto bsico de componentes
que as formam:
a) Hosts: nome genrico dado aos computadores que conectam a uma rede.
Exemplos: estaes de trabalho, servidores e mainframes. Do ponto de vista
da segurana, estes so os principais alvos dos ataques, j que dentro dos
hosts que as informaes mais crticas costumam ficar armazenadas;
b) Interfaces: componentes utilizados pelos hosts para se comunicar com a
rede. Devem usar o mesmo tipo de tecnologia da rede qual esto conectadas. So crticas, pois, por sua arquitetura de hardware e software, passam toda
a comunicao que tem como origem ou destino as mquinas de uma rede.
Ataques visando as interfaces de rede no so muito comuns, pois internamente a arquitetura de drivers dos sistemas operacionais costuma ser complicada, com poucos recursos para os desenvolvedores, demandando privilgios altos que nem sempre o atacante possui;
c) Dispositivos de rede: existem diversos dispositivos responsveis pela criao
da estrutura fsica da rede na qual os hosts se conectaro. Esses dispositivos interconectam os cabos entre si, criando uma mdia de comunicao para a rede.
Os tipos mais comuns so: hubs, switches, bridges, roteadores e access points.
Por serem mais simples, historicamente apresentam menos problemas de
segurana. Porm, como suas funes so crticas, problemas nesses dispositivos costumam trazer implicaes muito maiores, permitindo ao atacante
a interceptao de todo o trfego que passa pelo dispositivo comprometido;
d) Mdias: responsveis pelo armazenamento das informaes. So extremamente crticas, pois no costumam implementar segurana internamente,
salvo o uso de criptografia. Os ataques tendo mdias como alvo so menos
frequentes, pois demandam acesso fsico na maioria das vezes. As implicaes, porm, so enormes e a proteo de mdias costuma ser erroneamente
negligenciada, o que faz com que incidentes de vazamento de informaes
relacionadas a elas sejam frequentes;
e) Telefonia convencional: outro meio de comunicao extremamante importante por onde trafegam muitas informaes crticas a rede de telefonia convencional. Alm das implicaes relacionadas s conversas telefnicas, essa rede pode ainda ser utilizada como plataforma para a transmisso
de dados, burlando controles de segurana colocados na rede.
VOC
SABIA?
As redes pblicas sem fio so convenientes, mas, se no

estiverem devidamente protegidas, pode ser arriscado
se conectar a uma delas.
Somente se conecte a redes sem fio que exijam uma chave de segurana de
rede ou que tenham alguma outra forma de segurana, como um certificado. As
61
62
segurana de dados
informaes enviadas por essas redes so criptografadas, o que pode ajudar a

proteger seu computador contra acessos no autorizados. Na lista de redes sem
fio disponveis, cada rede rotulada com segurana habilitada ou desabilitada.
Se voc se conectar a uma rede sem segurana, tome cuidado, pois uma pessoa
que esteja usando as ferramentas apropriadas poder ver todas as suas aes,
incluindo os sites visitados, seus documentos de trabalho, os nomes de usurio e
as senhas usadas. No trabalhe em documentos nem visite sites que contenham
informaes pessoais, como registros bancrios, enquanto estiver conectado a
essa rede.
Voc aprendeu, neste tpico, sobre a segurana na rede de computadores.
Cada vez mais devemos nos precaver, pois a rede pode ter muitas vulnerablidades. Voc no pode esquecer que nunca deve se conectar a uma rede sem ter a
certeza de que segura, pois do contrrio isso pode lhe trazer prejuzos no futuro.
4.3 SEGURANA EM SERVIDORES

Ao discutirmos sobre segurana em servidores, importante levarmos em
considerao um dos principais componentes envolvidos, o sistema operacional.
Esta poro de cdigo est presente em praticamente todos os equipamentos
informatizados, sendo responsvel pelo seu funcionamento bsico. O sistema
operacional tambm responsvel por oferecer segurana aos dispositivos e informaes armazenadas e manipuladas pelos equipamentos.
A proteo do sistema tem como principal objetivo evitar ataques internos
para o host, evitando, por exemplo, exploraes de falhas no kernel3. Os ataques
considerados podem ser realizados com um acesso local ou remoto ao host em
questo. Para isso, necessrio que o atacante tenha ao menos uma das duas
condies: conta para autenticao ou acesso fsico. Evitando que isso ocorra,
conseguimos diminuir sensivelmente os riscos de ocorrncia de incidentes de
segurana.
A seguir so listadas as principais medidas de segurana que devemos adotar
em servidores:
a) Salvar configurao da BIOS: toda a configurao da BIOS deve ser salva,
para que ajustes finos do equipamento possam ser recuperados em caso de
falhas fsicas que necessitem de reconfigurao;
b) Senha na BIOS: feita para evitar alteraes no autorizadas por usurios
que possuam acesso fsico ao equipamento;
c) Gerenciador de boot: aconselhvel a utilizao de senhas para recursos
avanados, impedindo o atacante de realizar acessos privilegiados atravs
do acesso fsico mquina;
d) Acesso mdia removvel: caso o usurio no necessite ou no tenha autorizao para o acesso fsico mquina, todas as permisses para utilizao
de CDs/DVDs/Blu-rays, disquetes, pen drives e outros dispositivos devem ser
impedidos;
e) Reinicializao do sistema: nos sistemas Unix, deve-se desabilitar o boot
atravs das teclas Ctrl+Alt+Del. Nos sistemas Windows, deve ser impedido
que um usurio reinicie a mquina sem estar autenticado no sistema;
f) Ocultar verso e outras informaes do sistema: manter ocultas informaes sobre verses de servios e aplicaes. A segurana por obscuridade
ajuda a proteger o ambiente no sentido de dificultar o levantamento de informaes por um atacante. Porm, no elimina a necessidade de atualizao e correo de falhas existentes;
g) Limitar a utilizao de recursos (memria, processador etc.) no servidor: um ponto importante para evitar ataques de negao de servio. O
nmero de acessos permitidos a servios e sistemas tambm deve ser controlado para evitar problemas como mltiplas autenticaes.
A segurana em servidores um processo fundamental na implementao de
controles de uma gesto de segurana. Esses sistemas costumam ser os mais visados por armazenarem uma grande quantidade de informaes, muitas delas crticas para uma organizao, alm de armazenarem as contas de usurios, sendo,
portanto, altamente necessrio proteg-los.
Garantir o sigilo das informaes, disponibilidade e integridade nesses ambientes obrigatrio rea de segurana. Alm desse controle, procedimentos
para verificao constante, como testes, devem ser aplicados de maneira a acompanhar quaisquer mudanas ou comportamentos inadequados nesses servidores, adotando assim contramedidas que preservem o ambiente e mantenham
protegidos os usurios e informaes armazenadas.
Um processo importante na manuteno de servidores a atualizao do sistema e demais aplicaes, j que basta apenas que um servio esteja desatualizado para comprometer a segurana do servidor. Assim, importante o acompanhamento e atualizao constante.
Atravs de listas de discusso, pginas de notcias e boletins possvel acompanhar as ltimas atualizaes disponibilizadas. O administrador deve sempre estar a
par dessas notcias, mantendo-se informado sobre tais atualizaes, quais as falhas
corrigidas, quais as novas funcionalidades adicionadas e eventuais problemas.
Neste tpico voc estudou sobre a segurana de servidores. Viu as principais
medidas de segurana que devemos adotar e aprendeu que garantir o sigilo das
informaes, disponibilidade e integridade nesses ambientes obrigatrio rea
de segurana.
63
64
segurana de dados
4.4 SEGURANA NA INTERNET

Quando falamos em segurana, a internet pode servir de comparao ao mundo real, no sentido de que nela podemos encontrar tanto pessoas bem-intencionadas como mal-intencionadas. No mundo virtual, precisamos estar sempre
atentos.
Contamos com uma diversidade de programas para garantir a segurana,
como antivrus, firewall, antispybot, antispyware etc. Porm, alm de programas
defensivos, o nosso comportamento no uso da internet fundamental para minimizar os riscos, principalmente em relao s fraudes bancrias, perda de dados
e invaso de privacidade.
Para se manter seguro, necessrio desenvolver hbitos seguros na navegao. Conhea alguns:
USO DO E-MAIL
Geralmente, os criminosos virtuais se utilizam da curiosidade para infectar
computadores. Em caso de dvidas sobre origem de e-mails, contate o remetente
e apague-o sem abri-lo.
No abra e-mail de origem ignorada e desconfie de mensagens que, mesmo
vindo de pessoas ou empresas conhecidas, contenham anexos ou links. Caso
voc necessite abrir algum arquivo anexo, tenha sempre o hbito de passar o
antivrus antes. Para isso, clique com o boto direito do mouse sobre o arquivo e
escolha a opo de varredura do arquivo com o antivrus.
Figura 11 - E-mail falso enviado em nome do TSE
Os e-mails so uma das principais formas de disseminao de malwares. Tome

cuidado ao receber mensagens que pedem para abrir anexos (supostas fotos, por
exemplo), principalmente se voc no conhece o remetente.
USE SEMPRE PROGRAMAS ATUALIZADOS

Usar navegadores atuais garante no s que voc consiga acessar tecnologias
novas para a internet, como HTML5, mas tambm conte com recursos de segurana que combatem perigos mais recentes, como sites falsos que se passam por
pginas de banco, por exemplo.
Navegadores atualizados geralmente contam com correes contra falhas de
segurana exploradas em verses anteriores. Por isso, sempre utilize a ltima verso disponvel. Verifique se o seu browser possui atualizao automtica, recurso
existente no Firefox, Google Chrome e Opera, por exemplo (ALECRIM, 2011).
Figura 12 - Atualizao do navegador Opera
Assim como os navegadores, os antivrus e demais programas de segurana

tambm devem estar sempre atualizados, pois todos os dias surgem novas ameaas. Isso faz com que haja necessidade de atualizao dos programas de segurana. A maioria dos fabricantes trabalha com atualizaes automticas. Antes de
acessar dados sigilosos, verifique se a verso dos softwares instalados no computador a mais recente.
CUIDADO COM DOWNLOADS

Se voc usa programas de compartilhamento ou costuma obter arquivos de
sites especializados em downloads, fique atento ao baix-los. Ao trmino do download, verifique se o arquivo possui alguma caracterstica estranha, como, por
exemplo, mais de uma extenso (cazuza.mp3.exe), tamanho muito pequeno ou
informaes de descrio suspeitas, pois muitas pragas digitais se passam por
arquivos de udio, vdeo, foto, aplicativos e outros. Sempre examine o arquivo
baixado com um antivrus.
65
66
segurana de dados
Tome cuidado com sites que pedem para voc instalar programas para continuar a navegar ou para usufruir de algum servio, e desconfie de ofertas de softwares milagrosos, capazes de dobrar a velocidade de seu computador ou de
melhorar a performance (ALECRIM, 2011).
USO DE REDES SOCIAIS

Desconfie de recados que tragam links, pois podem direcion-lo para sites falsos onde voc ser induzido a instalar programas maliciosos em seu computador.
Na dvida, entre em contato direto com quem enviou o recado, para saber se
legtimo.
Muitas vezes, essas mensagens trazem vdeos ou fotos que, ao serem clicados,
parecem no estar funcionando. Na verdade, esses so programas maliciosos.
Assim que informado o erro, o programa malicioso j foi instalado no seu computador. s vezes esses programas no so detectados por antivrus, por serem
programas novos.
ATUALIZE O SISTEMA OPERACIONAL

O Windows o sistema operacional mais usado no mundo e, quando uma falha de segurana descoberta nele, uma srie de pragas digitais pode ser desenvolvida para explor-lo. Por isso, sempre o mantenha atualizado. Faa isso procurando a opo Windows Update. Para no ter que se preocupar com essa tarefa,
habilite a funcionalidade de atualizao automtica.
Note que utilizar uma verso pirata do sistema operacional um risco, afinal,
softwares nessa condio podem no contar com todas as atualizaes e recursos
de segurana do desenvolvedor.
Se for usurio de outro sistema operacional, como MacOS ou alguma distribuio Linux, saiba que essas dicas tambm so vlidas, pois falhas de segurana existem em qualquer plataforma, mesmo naquelas mais protegidas (ALECRIM, 2011).
CUIDADO AO UTILIZAR SITES DE BANCO

Ao utilizar sites de banco, sempre fique atento barra de endereos e verifique
se na mesma consta no incio as letras https, que significa que o contedo que
trafega entre o computador e o banco est criptografado atravs de um protocolo seguro.
Evite sempre acessar sua conta em computadores pblicos, como em lan houses, pois estes podem estar infectados e dessa forma armazenar os dados de acesso sua conta.
Por ltimo, nunca clique em links que se propem a direcion-lo ao site do seu
banco. Isso pode ser uma armadilha para direcion-lo a um site falso.
Voc aprendeu neste tpico medidas de segurana para navegar na internet.
Siga as orientaes e aproveite esse mar de informaes, mas lembre-se sempre
de acessar sites confiveis e conhecidos.
4.5 FIREWALL
Nos primrdios da internet, as primeiras iniciativas para proteger redes conectadas ao mundo externo passaram pela tentativa de implementar mecanismos
de controle de acesso nos roteadores. Essas tecnologias foram evoluindo gradativamente, tornando-se mais complexas e sofisticadas.
No incio, o termo firewall era atribudo a um conjunto de componentes responsveis por efetuar o controle de acesso entre duas redes com nveis de confiana distintos, como a internet e uma rede interna, por exemplo.
Basicamente, um firewall permite a criao de regras, definindo que tipos de
servios e trfegos so permitidos entre as redes conectadas. Alm disso, comum que ele tambm inclua funcionalidades de segurana ou conectividade
complementares, como a traduo de endereos ou a criao de VPNs (Virtual
Private Networks).
Firewall
Denis Pacher (2012)
Internet
Figura 13 - Esquema de um firewall
67
68
segurana de dados
O firewall , basicamente, um dispositivo de controle de acesso, um dos principais elementos quando o assunto segurana em redes, e desempenha um
papel fundamental no s na proteo de hosts como tambm na segmentao
de permetros.
O firewall, do ingls parede corta-fogo, construda em volta de casas de madeira com o propsito de prevenir que incndios se propaguem rapidamente,
faz algo semelhante para a segurana em redes de computadores. Geralmente,
posicionado na juno de duas redes com nveis de confiana distintos, isto , redes cujos recursos e os usurios no podem, por diversas razes, confiar uns nos
outros. O exemplo mais comum a instalao do dispositivo entre a rede interna
das organizaes e a internet. Este uso to comum que se pode at dizer que firewall virou sinnimo de software para conectar uma empresa internet de forma
segura. Os profissionais de segurana devem fugir de simplificaes exageradas e
tentar compreender o potencial da tecnologia e a real aplicabilidade.
POLTICA DE SEGURANA
As principais funcionalidades de um firewall costumam ser implementadas
atravs de um conjunto de regras, frequentemente chamado de poltica de segurana em rede, que visa definir os servios permitidos e quem pode us-los. Essas
regras devem se basear em anlises de segurana detalhadas sobre riscos e benefcios associados ao uso de cada um dos servios demandados pelos usurios
internos. A deciso de liberar ou bloquear tais servios independe da existncia
ou no do firewall, ou seja, as regras devem ser pensadas antes do seu uso e no
o contrrio, como feito frequentemente.
comum que um firewall seja implementado e, posteriormente, servios que
deveriam estar bloqueados, devido aos riscos por eles trazidos, acabam sendo
liberados por presses polticas de usurios insatisfeitos.
Independentemente da soluo utilizada como firewall, seja proprietria ou
open source, comercial ou gratuita, o que esse dispositivo ir fazer analisar pacotes de dados que passam por ele e compar-los a um conjunto de regras para
saber qual a deciso tomar.
FIREWALL PESSOAL
Com a popularizao das conexes de banda larga que fornecem um link com
a internet, natural que cada vez mais usurios fiquem com suas mquinas conectadas em tempo integral, o que as tornam alvos em potencial para ataques.
Da uma razo importante para o uso de personal firewall, que utiliza tecnologia
semelhante de um firewall, porm, ao invs de funcionar dentro de um gateway,

analisando o trfego que passa com destino a diversas mquinas, ele roda dentro
da prpria mquina protegida, controlando seu trfego. Um exemplo bastante
conhecido de personal firewall o firewall do Windows.
Voc aprendeu neste tpico que firewall , basicamente, um dispositivo de
controle de acesso e um dos principais elementos quando falamos de segurana
em redes.
4.6 CONTROLE DE ACESSO

As tecnologias de controle de acesso so um dos principais componentes da
arquitetura de segurana dos sistemas. So responsveis por definir quais recursos esto disponveis para acesso, quais so as operaes que podem ser executadas nesses recursos e quais so os componentes autorizados a desempenhar tais
operaes (WIKIPDIA, 2011).
As tecnologias responsveis pelas atividades de controle de acesso podem ser
classificadas em trs tipos:
a) Host: enquadram-se as tecnologias que controlam acesso a recursos normalmente disponibilizados por sistemas operacionais, como arquivos e objetos. Apesar de ser implementada localmente dentro do host, serve tambm para controlar o acesso de clientes via rede;
b) Sistemas: podem funcionar dentro de hosts ou de forma distribuda, porm, independentemente da tecnologia, possuem mecanismos prprios de
controle de acesso. Os controles visam, normalmente, proteger informaes
disponibilizadas nos sistemas como registros de banco de dados;
c) Rede: existem diversas tecnologias para controle de acesso em rede, normalmente implementadas atravs de firewall.
IDENTIFICAO E AUTENTICAO
Quase todas as tecnologias de controle de acesso dependem de um elemento
bsico para que possam funcionar de maneira adequada, ou seja, usam mecanismos que permitem aos usurios informar aos sistemas quem elas so, alm de
mtodos para provar se eles so realmente quem dizem ser.
A identificao o processo atravs do qual o usurio diz ao sistema quem ele
, normalmente utilizando um elemento nico que permita ao sistema diferenciar os usurios. Esse elemento permite tambm responsabilizar os usurios, de
69
70
segurana de dados
forma individual, por suas aes dentro do sistema, j que registros das atividades
podem ser gerados utilizando esses identificadores.
Os elementos mais comuns usados para identificao so:
a) nome de usurio;
b) traos biomtricos;
c) cartes magnticos ou de proximidade.
Alm de identificar os usurios, o sistema deve possuir mecanismos para confirmar positivamente essa identificao. As principais tecnologias existentes so:
a) Conhecimento: baseada em algo que o usurio sabe, um segredo que
compartilhado entre o sistema e o componente que vai se identificar como
usurio. Senhas ou frases so os mtodos mais comuns de autenticao por
conhecimento e vem sendo usadas em sistemas praticamente desde o surgimento da informtica;
b) Posse: quando a autenticao baseada em posse, ela se vale de algum objeto, real ou virtual, que o elemento autenticado deve possuir. Os exemplos
mais comuns so os tokens (pequenos dispositivos de hardware, parecidos
com um pen drive), arquivos ou pequenos programas;
c) Caracterstica: este mtodo tem sido tambm largamente utilizado no
processo de autenticao, e consiste do emprego de dispositivos que sejam
capazes de analisar caractersticas fsicas dos usurios. Essas tecnologias recebem o nome de biometria e vm ocupando uma posio de destaque por
conta de sua facilidade de uso.
No mtodo de autenticao por caracterstica podemos citar:
a) Impresso digital: verifica a impresso digital de um dedo do usurio, fazendo com que a imagem seja transformada em um vetor matemtico, que
confrontado com um valor armazenado previamente;
b) Reconhecimento facial: compara imagens capturadas por cmeras com informaes semelhantes previamente armazenadas, sendo usada mais para
identificao do que autenticao. Tem grande potencial de crescimento financiado pela indstria antiterrorismo. Em um aeroporto, por exemplo, seria
possvel confrontar a imagem de um suspeito, capturada com uma cmera
de circuito fechado, com uma base de dados;
c) Retina: analisa o padro formado pelas veias internas do globo ocular; entretanto, seu mtodo considerado intrusivo e causa certo desconforto aos
usurios, e no caso de doenas oculares, como conjuntivite, sua preciso
pode ser afetada;
Dreamstime (2012)
d) ris: analisa o padro externo formado pela ris do globo ocular. Precisa, vem
sendo adotada por diversos bancos na sia como mtodo de autenticao
em caixas eletrnicos, alm de tambm ser comum para o controle de acesso fsico.
Dreamstime (2012)
Figura 14 - Autenticao por impresso digital
Figura 15 - Autenticao por biometria
Do ponto de vista da segurana, h uma srie de problemas inerentes ao uso

de senhas, entre eles o fato de que as senhas so normalmente fornecidas aos
sistemas atravs do teclado ou mouse, dispositivos de entrada que podem ser facilmente interceptados por malwares, ou mesmo atravs de olho nu ou com o uso
de cmeras no momento em que os usurios as digitam. Por conta disso, outros
mtodos de autenticao devem sempre ser considerados e a substituio deve
ser feita quando a anlise de risco sugerir e justificar.
Voc aprendeu neste tpico que temos vrias maneiras de controle de acesso e
vrios mtodos de autenticao. sempre bom considerar essas diversas opes.
SAIBA
MAIS
Assista a um vdeo sobre biometria, da Justia Eleitoral, em

<www.youtube.com/user/justicaeleitoral?feature=mhee#p/
search/8/oyYJuFbppOQ>.
71
72
segurana de dados
4 Hash
a transformao de
uma grande quantidade
de informaes em uma
pequena quantidade de
informaes.
4.7 POLTICA DE SENHAS

As senhas so um aspecto importante da segurana do computador. Uma senha mal escolhida pode resultar em acesso no autorizado e/ou explorao de
recursos indevidamente. Portanto, necessrio elaborar uma poltica de senhas
com a finalidade de assegurar o uso de senhas minimamente seguras, a fim de
proteger a segurana da rede, a integridade de dados e os sistemas de informao.
A razo para a alterao de senhas que, se um atacante obtm uma cpia do
hash4 criptografado ou de uma parte da senha, ele pode, eventualmente, quebrar
a senha usando um ataque de fora bruta. Isso leva certa quantidade tempo e
requer um alto poder de processamento, mas como os computadores esto cada
vez mais poderosos, esse tempo vem diminuindo.
COMO DEFINIR E IMPLANTAR UMA POLTICA DE SENHAS

Todos os funcionrios e pessoas com acesso aos sistemas de informao de
organizaes devem obrigatoriamente aderir poltica de senhas definida. Esta
elaborada para proteger os recursos organizacionais na rede, exigindo senhas
fortes junto com a devida proteo dessas senhas, e o estabelecimento de um
tempo mnimo entre mudanas de senhas.
Esse documento se aplica a toda e qualquer pessoa que tenha algum tipo de
conta de computador exigindo uma senha na rede organizacional, incluindo, mas
no limitado, uma conta de domnio e de e-mail.
A PROTEO DA SENHA
a) Nunca anote as senhas de cabea para baixo, ao guard-las.
b) Nunca envie senhas por e-mail.
c) Nunca inclua senhas em um documento no criptografado.
d) Nunca diga sua senha a ningum.
e) Nunca revele sua senha por telefone.
f) Nunca escreva uma dica para sua senha.
g) Nunca revele ou insinue sua senha em um formulrio na internet.
h) Nunca utilize o Lembrar senha, recurso de programas de aplicao, tais
como Internet Explorer, gerenciador de e-mails ou qualquer outro programa.
i) Nunca use sua senha corporativa ou de rede em uma conta na internet que
no tenha um login seguro, onde o endereo do navegador web comea
com https:// em vez de http://.
j) Relate qualquer suspeita de que a sua senha tenha sido descoberta para o
departamento de segurana de TI.
k) Se algum pedir sua senha, nunca atenda e informe isto ao departamento
de segurana de TI.
l) No use siglas comuns como parte de sua senha.
m) No use palavras comuns ou palavras de trs para a frente em nenhuma
parte de sua senha.
n) No use nomes de pessoas ou lugares como parte de sua senha.
o) No use parte do seu nome de login em sua senha.
p) No use partes de nmeros facilmente lembrados como nmeros de telefone, de CPF ou endereos.
q) Tenha cuidado para no deixar algum ver voc digitar sua senha.
Ao definir a poltica de senhas, devemos lembrar que elaborar regras muito
difceis para definio de senhas pode diminuir a segurana. Se os usurios decidirem que as regras so impossveis ou muito difceis de cumprir, eles tendem
a anot-las ou fazer uma variante de uma senha antiga que um atacante, com
posse da senha antiga, pode adivinhar.
Os requisitos de senha a seguir devem ser definidos pelo departamento de
segurana de TI da corporao:
a) comprimento mnimo: 8 caracteres (recomendado);
b) comprimento mximo: 14 caracteres;
c) complexidade mnima: sem palavras de dicionrio includo. As senhas devem usar trs de quatro dos seguintes tipos:
a)minsculas;
b)maisculas;
c)nmeros;
d)caracteres especiais, como !@#$%^&*(){}[].
d) as senhas so case sensitive e o nome do usurio ou ID de login no case
sensitive;
e) histrico de senhas: exigir um nmero de senhas nicas antes que uma senha antiga possa ser reutilizada. Esse nmero deve ser inferior a 24;
73
74
segurana de dados
f) durao mxima da senha: 60 dias;

g) durao mnima da senha: dois dias;
h) armazenar senhas usando criptografia reversvel: no deve ser feito sem autorizao especial do departamento de TI, uma vez que reduziria a segurana de senha do usurio;
i) limite de bloqueio de conta: 3 tentativas de login;
j) definir o bloqueio de conta depois de alcanada a quantidade de tentativas
dentro de certo intervalo de tempo. Valor recomendado 20 minutos. Isto
significa que, se h trs tentativas malsucedidas, em 20 minutos a conta seria
bloqueada;
k) durao do bloqueio de conta: alguns especialistas recomendam que o bloqueio de conta deve durar entre 30 minutos e 2 horas. No entanto, isto pode
resultar em uma grande quantidade de chamadas ao suporte. Portanto, este
item depende do bom-senso da equipe de segurana;
l) a proteo de tela deve ser configurada para que proteja o computador em
caso de cinco minutos de inatividade. Os usurios devem ter o hbito de no
deixar seus computadores desbloqueados.
Uma vez determinada a segurana da senha, fundamental para a segurana
da organizao e de todos, os funcionrios que no aderirem a essa poltica ficam
sujeitos a punies disciplinares, podendo at mesmo ser demitidos.
FIQUE
ALERTA
Senhas de administradores devem ser protegidas com

muito cuidado. Contas de administrador devem ser restritas e em menor quantidade possvel, e no ser compartilhadas nunca.
4.8 O QUE CRIPTOGRAFIA

Do grego kriptos secreto e graphos escrita , a criptografia, escrita secreta, surgiu como a cincia ou, para alguns, a arte de escrever mensagens de forma
codificada, impossibilitando a leitura a terceiros no autorizados. Aps sculos
de evoluo, a criptografia continua sendo uma das mais poderosas armas para
a proteo da confidencialidade e integridade de informaes. Apesar disso,
pouco compreendida por algumas pessoas.
A HISTRIA DA CRIPTOGRAFIA
Para se entender o presente, necessrio estudar o passado, a fim de que se
compreendam os fundamentos que influenciaram a situao atual. O primeiro exemplo de criptografia documentado data de aproximadamente 1900 a.C,
quando um escriba egpcio registrou um texto usando um conjunto diferente de
hierglifos. Aps 1.300 anos, por volta de 600 a.C., escribas hebreus usaram um
sistema simples de substituio, que consistia em usar o alfabeto em ordem reversa, denominado Atbash. Utilizando o alfabeto portugus, o equivalente seria:
ABCDEFGHIJLMNOPQRSTUVXZ
Sendo transformado em:
ZXVUTSRQPONMLJIHGFEDCBA
E
NLKR
D
T
VFR
Y
DBG
R
V
HB J
O
TEXT
O
T
TEX
O
TEXT
O
T
X
TE
TEXTO
NORMAL
CIFRAGEM
TEXTO
CIFRADO
O
TEXT
O
T
TEX
O
TEXT
O
T
X
TE
DECIFRAGEM
TEXTO
NORMAL
Denis Pacher (2012)
Assim, para a criptografia da palavra SEGREDO, o resultado gerado seria

FTRGTUJ.
Figura 16 - Criptografia
Fonte: Adaptado de VIANA, 2011
Ao longo dos anos, muitas evolues aconteceram no campo da criptografia,

como por exemplo, o surgimento de novos algoritmos, como o IDEA (International Data Encryption Algorithm), Blowfish e Twofish.
De acordo com a Lei de Moore (WIKIPDIA, 2011), a capacidade de processamento dos processadores deve dobrar a cada 18 meses. Por isso, a evoluo
contnua da capacidade de processamento dos sistemas computacionais vem
criando processadores cada vez mais potentes, que geram novos desafios para
a criptografia. Clculos que antes levariam milhes de anos para quebrarem um
algoritmo criptogrfico passaram a ser executados em poucos anos, meses, dias
ou mesmo horas pelos processadores atuais.
Como se pde perceber pela histria da criptografia, ela sempre esteve intimamente ligada ao conceito de sigilo das comunicaes, pois independentemente
75
76
segurana de dados
da informao (o registro do escriba egpcio, os relatrios de campo dos generais

de Csar ou os alvos dos bombardeios da Alemanha nazista), ela sempre serviu ao
objetivo de segurana da confidencialidade.
No entanto, os avanos mais recentes da criptografia permitem seu emprego
para atender, tambm, ao objetivo de segurana da integridade das informaes,
que se d atravs do uso de diversos servios de segurana, como:
a) confidencialidade;
b) autenticao;
c) autenticidade;
d) integridade;
e) no repdio ou irretratabilidade.
Voc aprendeu neste tpico um pouco da histria da criptografia e que ela
sempre esteve intimamente ligada ao conceito de sigilo das comunicaes, servindo segurana da confidencialidade.
4.9 UTILIZAO DE CRIPTOGRAFIA

O crescente uso de computadores interligados em rede para transmisso ou
armazenamento de informaes torna o fator de segurana essencial. necessrio, portanto, que em tais informaes seja garantida a integridade, origem e
autenticidade.
Como todas as mensagens que trafegam na internet esto sujeitas a ataques,
violaes ou interceptaes, a soluo o emprego de tcnicas que enfatizem a
proteo do contedo dessas mensagens, como a criptografia.
NAVEGADORES
A maioria dos usurios provavelmente j usou a criptografia em um navegador da web. Quando visualizamos na barra de endereos os caracteres https://...,
significa que navegamos atravs de um protocolo seguro, criptografado, e mesmo que algum consiga interceptar nossa transmisso, no conseguir decifrar o
contedo.
Veja imagem abaixo, retirada do site do Banco do Brasil.
Portal Banco do Brasil (2012)
Figura 17 - Uso de criptografia no navegador
E-MAIL
O projeto original do correio eletrnico no se preocupava com a segurana.
Como evoluiu para um meio de comunicao de massa, os usurios comearam a
usar duas solues para graves problemas existentes com a segurana de e-mail:
a) Autenticao: servios de e-mail no verificam a identidade do remetente,
eles s informam o endereo de uma mensagem que afirma ser de fulano.
fcil mudar esse endereo e enviar mensagens atravs do nome de outros. A
maioria dos usurios atuais tem experimentado a frustrao de receber grandes quantidades de spam provenientes de endereos forjados, ou mesmo
descobriu que seus prprios endereos foram utilizados como uma fonte de
spam. Esta mesma vulnerabilidade permitiu que autores de vrus os disseminassem via e-mail, fazendo com que um anexo infectado parecesse ser de
uma fonte confivel. Tcnicas de criptografia modernas permitem que um
e-mail seja digitalmente assinado por um remetente. O destinatrio de tal
mensagem pode verificar a assinatura para determinar se uma mensagem
veio realmente da pessoa que afirma ser o remetente;
b) Transmisso segura: gerenciadores de e-mail, por padro, foram construdos para enviar mensagens em texto simples. Como consequncia, qualquer
pessoa que use um software de captura de pacotes chamado de packet sniffer, para bisbilhotar uma rede, pode facilmente ler mensagens que trafegam atravs dela. Quando voc envia uma mensagem via e-mail, deve pensar
como um carto postal legvel que pode ser manuseado por qualquer um, e
no como uma carta dentro de um envelope. Isso claramente apresenta problemas para quem deseja trocar informaes sigilosas. A criptografia oferece
uma soluo.
77
78
segurana de dados
ARMAZENAMENTO DE DADOS CONFIDENCIAIS

Muitos usurios de computadores manipulam dados que poderiam ser considerados sensveis, como, por exemplo, corretores que armazenem o histrico de
seus clientes financeiros. Essas informaes so vulnerveis exposio, no caso
de roubo do computador.
Essa preocupao especialmente grave para os usurios de laptops. Mesmo
se estes possurem uma senha para o funcionamento, um ladro pode acessar
o contedo do disco rgido, bastando lig-lo em outro computador. Uma forma
de garantir a segurana de dados sensveis em seu disco rgido criptograf-los.
Alguns produtos podem at mesmo criptografar todo o disco rgido, fornecendo
um nvel adicional de segurana para todo o sistema.
4.10 PRtica de UTILIZAO de CRIPTOGRAFIA

Como sabemos, existem ferramentas poderosas para a segurana de nossos
dados. A criptografia uma delas, extremamente importante para manter a premissa de confidencialidade da informao.
Neste tpico, aprenderemos a usar o utilitrio BlowFish, que serve para criptografar e decriptografar arquivos. Este utilitrio utiliza o algoritmo de criptografia
Blowfish.
O BlowFish um exemplo de algoritmo simtrico, desenvolvido em 1993 por
Bruce Schneier como uma alternativa mais rpida aos algoritmos existentes. Alm
do fato de ser rpido, o BlowFish no patenteado e sua utilizao livre. Esses
dois fatores fizeram com que o algoritimo se tornasse muito popular, sendo utilizado em inmeras sutes criptogrficas e produtos que requerem comunicao
segura, notoriamente, o OpenSSH.
Para usar o BlowFish, basta arrastar e soltar arquivos e pastas para proteger
rapidamente seus documentos sensveis e inserir uma chave de criptografia para
codificar e decodificar os arquivos que deseja proteger. Lembre que esse pequeno utilitrio livre para testes. Caso deseje mant-lo, dever ser comprado.
ROTEIRO
a) Baixe o aplicativo BlowFish 2000 do site <www.gregorybraun.com/BlowFish.html>.
Figura 18 - Download do BlowFish
b) Instale o aplicativo, como visto nas figuras 19 a 24.
Figura 19 - Instalao BlowFish 1
79
80
segurana de dados
Figura 24 - Final da instalao
c) Digite no Word (ou outro processador de textos) um documento que servir

de exemplo. Adicione o documento ao BlowFish atravs do boto ( + ), ou
acesse o menu Encrypt e ento Add Files (essa opo possibilita a adio de
diversos arquivos).
Figura 25 - Adiconando o arquivo Word no BlowFish
81
82
segurana de dados
d) Execute o BlowFish.
Figura 26 - Executando a cifragem com BlowFish
e) Clique no boto que possui um cadeado ou acesse o menu Encrypt e ento

Encrypt Files.
Figura 27 - Passo 6
f) Informe duas vezes a senha (chave criptogrfica). Guarde-a com cuidado,

pois necessitar da mesma no futuro.
Figura 28 - Informando a senha
g) Pronto, seu arquivo est criptografado.
Figura 29 - Final da criptografia
h) Tente visualizar o arquivo atravs do Word.

i) Utilizando o menu Decode do BlowFish, realize a descriptografia do arquivo.
Nas figuras 30 a 32, voc poder visualizar os passos.
Figura 30 - Ver o arquivo
Figura 31 - Digitando a senha criada
83
segurana de dados
Figura 32 - Informao de descriptografia
Voc percebeu como fcil? Voc pode aprender mais sobre o BlowFish visitando o site <www.schneier.com/blowfish.html>.
Neste tpico, voc aprendeu a criptografar informaes usando o BlowFish.
Mas lembre-se de que existem diversas outras solues no mercado, tanto para
Windows como Linux.
4.11 CERTIFICADOS DIGITAIS

Certificados digitais so documentos eletrnicos gerados para verificao da
autenticidade de um usurio e para assegurar que ele possua um par de chaves
(pblica e privada) para um determinado sistema criptogrfico de chaves assimtricas. Esses certificados so usualmente emitidos por uma terceira parte confivel, denominada autoridade certificadora (AC).
CERTISIGN (2012)
84
Figura 33 - Certificado digital
Certificados digitais so geralmente emitidos para pessoas (fsicas ou jurdicas), mquinas e processos. Seu uso requer o estabelecimento do que se denomina Infraestrutura de Chaves Pblicas (ICP), como o recentemente estabelecido
pelo governo brasileiro, a ICP-Brasil.
ICPs como a ICP-Brasil pressupem a existncia de pelo menos uma AC, cujo
prprio certificado autoassinado. Ela prpria atesta sua identidade e a deteno
de seu par de chaves assimtricas, sendo ao mesmo tempo, para esse fim, emissor
e sujeito no ato de certificao.
Na prtica, da mesma forma que as secretarias de segurana pblica dos estados emitem um documento nico atestando a identidade das pessoas, as ACs
emitem para cada indivduo um nico atestado de propriedade de sua respectiva
chave pblica, o certificado digital, aps a comprovao de sua identidade. Esta
comprovao se d por meios especficos natureza e ao nvel de segurana do
certificado desejado, bem como a requisitos legais e regulatrios existentes, o
que pode variar de uma AC para outra.
Um certificado digital normalmente apresenta as seguintes informaes:
a) nome da pessoa ou entidade a ser associada chave pblica;
b) perodo de validade do certificado;
c) chave pblica;
d) nome e assinatura da entidade que assinou o certificado;
e) nmero de srie.
Um exemplo comum do uso de certificados digitais o servio bancrio fornecido via internet. Os bancos possuem certificado para autenticar-se perante o
cliente, assegurando que o acesso est realmente ocorrendo com o servidor do
banco. E o cliente, ao solicitar um servio, como, por exemplo, acesso ao saldo da
conta corrente, pode utilizar o seu certificado para autenticar-se perante o banco.
O certificado digital, diferentemente dos documentos utilizados para identificao pessoal, como CPF e RG, possui um perodo de validade. S possvel
assinar um documento enquanto o certificado vlido. possvel, no entanto,
conferir as assinaturas realizadas mesmo aps o certificado expirar.
O certificado digital pode ser revogado antes do perodo definido para expirar.
As solicitaes de revogao devem ser encaminhadas AC que o emitiu ou para
quem foi designada essa tarefa. As justificativas podem ser por diversos fatores,
como comprometimento da chave privada e alteraes de dados, entre outras.
A AC, ao receber e analisar o pedido, adiciona o nmero de srie do certificado
a um documento assinado chamado Lista de Certificados Revogados (LCR) e a
publica. As LCRs so publicadas de acordo com a periodicidade que cada AC definir. Essas listas so pblicas e podem ser consultadas a qualquer momento para
verificar se um certificado permanece vlido ou no.
Aps a revogao ou expirao do certificado, todas as assinaturas realizadas
com este tornam-se invlidas; entretanto, as assinaturas realizadas antes da revogao continuam vlidas se houver uma forma de garantir que esta operao
85
86
segurana de dados
5 Token
Dispositivos fsicos que
auxiliam o usurio quanto
segurana pessoal ao gerar
uma senha temporria de
proteo para as contas que
ele utiliza.
foi realizada durante o perodo de validade. Existem tcnicas para atribuir a indicao de tempo a um documento, chamadas carimbo de tempo. Eles adicionam
uma data e hora assinatura, permitindo determinar quando o documento foi
assinado.
O usurio pode solicitar a renovao do certificado para a AC aps a perda de
validade deste. Na solicitao, pode manter os dados do certificado e at mesmo
o par de chaves, se a chave privada no tiver sido comprometida. Mas, por que
no emitir os certificados sem data final de validade? Porque a cada renovao da
validade, renova-se tambm a relao de confiana entre seu titular e a AC.
Essa renovao pode ser necessria para a substituio da chave privada por
uma outra tecnologicamente mais avanada ou para atender a possveis mudanas ocorridas nos dados do usurio. Essas alteraes tm como objetivo tornar
mais robusta a segurana em relao s tcnicas de certificao e s informaes
contidas no certificado (ITI GOV, 2011).
SAIBA
MAIS
Acesse o site <www.certisign.com.br/certificacao-digital/

por-dentro-da-certificacao-digital> e obtenha mais informaes sobre a certificao digital.
A instalao e uso de um certificado digital simples: conectamos a qualquer

computador atravs de uma porta USB depois de instalarmos seu driver e um gerenciador criptogrfico. Dessa forma, logo que o token5 for conectado, ser reconhecido pelo sistema operacional.
So caractersticas do token, incluindo recursos fsicos e lgicos: assegurar a
identificao do portador (que precisa de uma senha pessoal e intransfervel para
utiliz-lo); permitir a integridade e o sigilo das informaes contidas nele; proteger e armazenar essas informaes (as chaves e os certificados); e impossibilitar a
separao da chave criptogrfica do hardware criptogrfico.
Voc aprendeu nesse tpico que os certificados digitais foram criados para que o
sigilo e a integridade de todas as informaes do usurio permaneam protegidos.
4.12 INFRAESTRUTURA DE CHAVES PBLICAS

O ICP, ou Infraestrutura de Chaves Pblicas, a sigla no Brasil para PKI (Public
Key Infrastructure), um conjunto de tcnicas, prticas e procedimentos elaborado
para suportar um sistema criptogrfico com base em certificados digitais.
Desde julho de 2001, o Comit Gestor da ICP-Brasil estabelece a poltica, os
critrios e as normas para licenciamento de Autoridades Certificadoras (AC), Au-
toridades de Registro (AR) e demais prestadores de servios de suporte em todos os nveis da cadeia de certificao, credenciando as respectivas empresas na
emisso de certificados no meio digital brasileiro (CERTSIGN, 2011).
Figura 34 - ICP Brasil
Denis Pacher (2012)
A AC-Raiz tambm est encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro
e demais prestadores de servio habilitados na ICP-Brasil. Alm disso, verifica se
ACs esto atuando em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor (ITI GOV, 2011).
Figura 35 - Certificado digital

Fonte: YROSS (2012)
COMPONENTES DE UMA ICP

A relao exata dos componentes de uma ICP varia de acordo com as necessidades e os recursos disponveis. Porm, seis componentes bsicos esto sempre
presentes:
a) usurios;
b) aplicaes;
c) autoridades certificadoras;
d) certificados digitais;
e) autoridades registradoras: tem por finalidade distanciar as ACs de elementos externos a ela. Para isso, toda a interao com o mundo externo, como,
por exemplo, a solicitao de novos certificados digitais, ou a renovao de
87
88
segurana de dados
certificados existentes, intermediada pela AR, pois ela interage com os usurios e repassa suas solicitaes para que a AC possa process-las. Em alguns
casos, esta comunicao sequer se d por rede. Por exemplo, um arquivo
gerado e armazenado em algum tipo de dispositivo de armazenamento
removvel, como um CD, que levado fisicamente at uma sala cofre, isolada fisicamente, onde se encontra instalada a AC. Esta separao tem por
finalidade proteger a AC contra aes externas, reduzindo sua exposio ao
mnimo necessrio e se faz necessria, pois, caso a AC seja comprometida,
toda a infraestrutura estar em jogo;
f) diretrios/repositrios: tem por finalidade fornecer um local de fcil acesso para que terceiros possam acessar os certificados digitais emitidos pelas
ACs. Por exemplo, se Janana deseja enviar uma mensagem para Roberto, e
no possui seu certificado, ela no precisa solicitar a ele e esperar a resposta
para s ento enviar a mensagem, ela pode acessar o diretrio, pesquisar
pelo nome de Roberto e baixar seu certificado digital, sem depender dele.
Um outro elemento importante a Lista de Certificados Revogados (LCR),
que tem por finalidade identificar certificados cujo uso foi revogado antes de sua
expirao. Isto acontece caso algum certificado tenha sido comprometido durante seu perodo de validade, ou caso haja suspeita sobre isso. O roubo do arquivo
onde a chave privada estava armazenada um exemplo de situao onde o certificado deve ser revogado e todos devem saber que, a partir daquele momento,
ele no mais tem validade como comprovao da identidade de seu proprietrio.
As LCRs normalmente so publicadas em sites na web e contm uma relao com
os nmeros de srie dos certificados revogados.
Vimos nesse tpico que ICP um conjunto de tcnicas, prticas e procedimentos elaborado para suportar um sistema criptogrfico com base em certificados
digitais.
4.13 Aplicao de poltica de segurana

Para entendermos um pouco mais sobre polticas de segurana, uma premissa
bsica da ISO/IEC NBR 17799 e 27002:2008, vamos ver um estudo de caso.
CASOS E RELATOS
Usurios e polticas de segurana
Ao assistir uma palestra sobre segurana, ministrada por um especialista
de uma empresa que comercializa antivrus, pude observar que, em linhas
gerais, grande parte dos argumentos utilizados por ele sustentava a tese
de que os usurios eram os principais responsveis pelos problemas de segurana da informao, uma vez que eles no seguiam as recomendaes
bsicas. Abriam e-mails que obviamente continham cdigo malicioso ou
levavam a sites fraudulentos, alm de tentarem o tempo todo burlar as medidas de segurana criadas justamente para proteg-los.
Em um dado momento, fugindo completamente do tema, o palestrante se
ps a reclamar das medidas de segurana que foram adotadas nos aeroportos norte-americanos aps os atentados de 11 de setembro. Sentia-se
impactado pelas medidas, as quais julgava exageradas e contraproducentes. O que antes estava sendo criticado pelo palestrante (as reclamaes e
atitudes dos usurios), agora estava sendo feito por ele mesmo, sendo ele
tambm um usurio de aeroportos americanos.
Esta gafe mostra que no so apenas os usurios que no gostam de medidas de segurana, ningum gosta delas. No geral, isso acontece porque
muitas delas se caracterizam por um esforo ou gasto de tempo que devemos ter para, em caso de problemas, no termos prejuzos maiores. No
entanto, quando esses problemas no ocorrem, podemos ficar com a sensao de que os recursos e o tempo foram desperdiados. Muito parecido
com um seguro de carro, ou casa.
Por isso, devemos sempre buscar adotar medidas eficazes que tragam pouco impacto para as tarefas dirias. Caso no seja possvel, h o trabalho de
conscientizao para explicar as medidas aos usurios e o porqu de suas
necessidades.
O estabelecimento da poltica de segurana da informao somente o
estgio inicial do processo de mudana de cultura na rea de segurana.
A preparao de polticas para o estabelecimento de um ambiente seguro
somente se efetiva por meio do comprometimento de todos os profissionais e colaboradores que utilizam as tecnologias.
Todos devem perceber que tm a sua parcela de contribuio para que o
objetivo final possa ser alcanado.
89
90
segurana de dados
No relato acima pudemos notar a contradio entre a crena terica em algo,

a necessidade do usurio em colaborar com a segurana da informao e o momento em que o especialista se transforma em usurio, assumindo os mesmos
erros. Voc j pensou como voc se comporta perante uma poltica de segurana
estabelecida? Pense sobre o assunto e discuta com colegas, tendo em mente:
g) a importncia das medidas de segurana;
h) conscientizao dos usurios;
i) equipe de segurana (os chatos que bloqueiam todos os sites);
j) usurios que tentam burlar a segurana;
k) os nveis de proteo (economia x proteo x produtividade);
l) os benefcios de um ambiente seguro;
m) a segurana no cotidiano;
n) a necessidade de contribuio de todos os envolvidos.
4.14 Prtica com politica de seguranca

Leia o documento Poltica de Segurana da Autoridade Certificadora do Serpro SRF, que pode se encontrado em <https://ccd.serpro.gov.br/egba/docs/psserprosrf.pdf>, com ateno especial ao item 9.3, que o ajudar na elaborao da
atividade proposta.
VOC
SABIA?
O ITI (Instituto de Tecnologia da Informao), rgo

ligado Casa Civil da Presidncia da Repblica, o responsvel por estabelecer as polticas de segurana para
o governo federal.
O controle de acesso pode ser entendido como a habilidade de permitir ou

negar a utilizao de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivduo ou um processo).
J a identificao o processo atravs do qual o usurio diz ao sistema quem
ele , normalmente utilizando um elemento nico que permita ao sistema diferenciar os usurios. Este elemento nico permite tambm responsabiliz-los, de
forma individual, por suas aes dentro do sistema, j que registros das atividades
podem ser gerados utilizando estes identificadores.
No controle de acesso baseado em host, enquadram-se as tecnologias que
controlam acesso a recursos normalmente disponibilizados por sistemas opera-
cionais, como arquivos e objetos. Apesar de ser implementada localmente dentro

do host, ela serve tambm para controlar o acesso de clientes via rede.
Tomando como base o documento exemplo da poltica de segurana do
Serpro SRF, e em seus conhecimento de polticas de segurana e da Norma
27002:2008, elabore um documento que normatize a poltica de controle de
acesso lgico e senhas para uma organizao fictcia, levando em conta a necessidade de manuteno de um nvel de segurana bsico em relao a criao e
utilizao de senhas de acesso ao sistema.
Depois de criar sua poltica de segurana, compare-a com outras que conhea
e verifique se est adequada Norma 27002:2008.
RECAPITULANDO
Voc aprendeu que a Poltica de Segurana um conjunto de regras definidas pelos administradores de redes e a equipe gestora de uma organizao, com o objetivo de proteger e prevenir os recursos tecnolgicos e as
informaes.
Com base nesses estudos, viu que essa poltica deve ser implementada no
s como medida de proteo, mas tambm de preveno de invases
rede. Entendeu que deve ser um documento claro, que define responsabilidades por setores gestores, funcionrios e usurios , alm de definir
claramente as sanes aos que no a cumprirem.
E tambm compreendeu que, em sua futura profisso, de extrema importncia estar ciente de que necessrio seguir e administrar essas normas
para no deixar a organizao em risco.
91
Backup
5
Neste captulo, ser ressaltada a importncia de se fazer backup, para assegurar a proteo
das informaes valiosas para uma empresa ou para ns mesmos. Voc dominar normas, tcnicas e mecanismos para elabor-lo.
Para isso, voc deve conhecer mtodos de preveno a danos aos dados dos clientes, alm
de assegurar a proteo de informaes.
Ao concluir este captulo voc estar apto a:
a) definir o que backup;
b) definir tipos de backup;
c) definir, criar e implantar as polticas de backup;
d) definir a automatizao de backup;
e) listar mecanismos de backup;
f) listar as ferramentas de backup do Windows 7;
g) fazer testes de recuperao de backup;
h) verificar os logs de backup;
i) discutir e definir as mdias de armazenamento para backup;
j) descrever outros itens de segurana.
Dedique-se aos seus estudos no entendimento e utilizao de backups das informaes e,
no futuro, ter o respeito e a confiana de seus clientes.
segurana de dados
5.1 O QUE BACKUP

Backup o termo na lngua inglesa para cpia de segurana. Em informtica,
cpia de segurana a cpia de dados de um dispositivo de armazenamento
para outro com a finalidade de garantir que as informaes possam ser restauradas em caso da perda dos arquivos de dados originais, o que pode acontecer
atravs de apagamentos acidentais, corrupo de dados ou falhas de hardware.
O uso de backup de extrema importncia para a proteo e preservao de
informaes relevantes de qualquer organizao. Vrias ameaas influenciam a
operao de uma empresa em vrios nveis, desde uma estao individual at
uma rede corporativa inteira. Quando algum desastre acontece, ao invs de se
descobrir a origem, o foco principal restaurar os recursos de tecnologia da informao para sua total funcionalidade, restaurando as operaes do negcio.
Quanto maior for a demora, maiores sero as consequncias para a empresa.
Dentre as principais ameaas a que estamos sujeitos, podemos citar:
a) Fora maior: aes da natureza (incndios, enchentes, terremotos, furaces
etc.) podem destruir equipamentos e, consequentemente, os dados;
b) Erros inocentes: usurios autorizados podem inadvertidamente destruir
ou sobrescrever dados vitais enquanto estiverem administrando os sistemas;
c) Falhas mecnicas: na era do hardware barato e produo em massa, falhas
mecnicas so comuns;
d) Falhas em programas: algum programa que possua falhas ou erros de programao pode danificar dados importantes.
Dreamstime (2012)
94
Figura 36 - Ameaas
Por causa dessas ameaas, alm de vrus, ataques ou qualquer outra atividade
maliciosa, preciso realizar backups frequentes dos sistemas, incluindo os dados
essenciais para operao da empresa. Backup um componente vital para restaurao de desastres e para manuteno das funes de organizaes.
5 BACKUP
Apesar de ser uma medida de segurana antiga, muitas organizaes no possuem um sistema de backup, ou o fazem de maneira incorreta. Mont-lo requer
um pouco de cautela. importante, por exemplo, saber escolher o tipo de mdia
para se armazenarem as informaes, como fitas magnticas ou discos ticos.
Outro ponto importante de se lembrar que a maioria de falhas nas redes
corporativas fruto de erro humano. Isto significa que necessrio treinamento
dos envolvidos, para que estes possam agir de maneira correta em caso de emergncia (restaurao do backup).
Entre as falhas mais comuns, alm da falta de preparo dos envolvidos, est
o armazenamento dos disquetes ou outra mdia de armazenamento no prprio
local onde se localiza o computador, o que no caso de qualquer desastre, levar
perda total dos dados. O mais indicado a utilizao de dois conjuntos de backups: um disponvel localmente para o uso imediato e outro guardado em um
local diferente.
Neste tpico, vimos que o processo de backup importante para a recuperao de dados contra ameaas, para o bom funcionamento de organizaes.
Aprendemos que deve haver um plano de ao para montar um sistema de backup: as estratgias tanto de emergncia como da prpria rotina devem ser estudadas e padronizadas para que todos estejam preparados.
5.2 TIPOS DE BACKUP

Muitos acham que, para realizar um backup, basta fazer uma cpia idntica de
todos os arquivos de dados armazenados no computador em outra mdia que possa ser guardada e utilizada em caso de perda das informaes. Porm, esquecem-se
de que os dados mudam constantemente, e aqueles armazenados, em poucos dias
ou horas, podem estar completamente diferentes. Para entender mais sobre este
assunto, devemos primeiro conhecer os tipos diferentes de backup. Veja-os:
BACKUP DE CPIA
Copia todos os arquivos selecionados, mas no os marca como arquivos que
passaram por backup (ou seja, o atributo de arquivo no desmarcado). til
caso voc queira fazer backup de arquivos entre os backups normal e incremental,
pois no afeta essas outras operaes de backup.
95
96
segurana de dados
BACKUP DIRIO
Copia todos os arquivos selecionados que foram modificados no dia de execuo do backup dirio. Os arquivos no so marcados como arquivos que passaram por backup (o atributo de arquivo no desmarcado).
BACKUP DIFERENCIAL
Copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o
ltimo backup normal e o ltimo backup diferencial.
BACKUP INCREMENTAL
Copia somente os arquivos criados ou alterados desde o ltimo backup normal
ou incremental, e os marca como arquivos que passaram por backup (o atributo
de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal
e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.
BACKUP NORMAL (FULL)

Copia todos os arquivos selecionados e os marca como arquivos que passaram
por backup (ou seja, o atributo de arquivo desmarcado). Com backups normais,
voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, executado quando voc cria um conjunto
de backup pela primeira vez.
Voc deve observar que o backup de dados que utiliza uma combinao de
backups normal e incremental exige menos espao de armazenamento, e o mtodo mais rpido. No entanto, a recuperao de arquivos pode ser difcil e lenta
porque o conjunto de backup pode estar armazenado em vrios discos ou fitas.
O backup dos dados que utiliza uma combinao dos backups normal e diferencial mais longo, principalmente se os dados forem alterados com frequncia,
mas facilita a restaurao de dados, pois o conjunto de backup geralmente armazenado apenas em alguns discos ou fitas (MICROSOFT, 2011).
5 BACKUP
Voc aprendeu que existem vrios tipos de backups, e que a combinao dos
backups normal e diferencial, apesar de ser mais demorada, facilita a restaurao
de dados por armazen-los apenas em alguns discos ou fitas.
5.3 POLTICA DE BACKUP

Voc sabe que, para garantir a segurana de informaes pessoais ou de um
empresa, precisamos definir estratgias para que a proteo vire uma rotina. Essas estratgias formam uma poltica, que em relao a cpias, chamamos de poltica de backup.
Uma poltica de backup documento formal que descreve as rotinas de cpia,
rotinas de restaurao, frequncia de realizao, tipo, armazenamento e atribuies que visam garantir de forma ntegra e confivel a restaurao de qualquer
tipo de dado registrado nos sistemas de informao.
Uma poltica de backup e recuperao de dados deve ser bem elaborada e
executada para proteger a organizao contra a perda de informao causada
por falhas de hardware, defeitos de software, erros humanos, intrusos, sabotagem
e desastres naturais, podendo tambm ser utilizada para armazenamento do histrico de dados. Para que esta soluo cumpra com os seus objetivos, necessrio que tenha sempre o aval da administrao.
Figura 37 - Analogia poltica de backup
Com isso ela permite obtermos dois resultados significativos: primeiro, define
os requisitos da organizao em termos de proteo e integridade da informao
e, segundo, proporciona a concretizao desses requisitos atravs da sua aplicao, baseada em procedimentos e ferramentas adequados.
O seu contedo deve abordar os prazos de manuteno dos diferentes tipos
de dados (o que implica, naturalmente, a existncia de procedimentos de classificao da informao), bem como descrever os procedimentos para o arquivamento e destruio de dados em equipamentos que sero descartados.
97
98
segurana de dados
Ao falar de dados, no nos referimos apenas a pastas de arquivos (incluindo

correio eletrnico), mas tambm a toda informao em suporte fsico. Lembremo-nos de que uma poltica de backup adequada deve identificar os relacionamentos e interdependncias entre as informaes nos mais variados graus. Por
outro lado, essencial contemplar medidas que previnam a obsolescncia dos
equipamentos mecnicos de leitura e gravao de dados. Quanto tempo mais
iremos encontrar drives ZIP no mercado?
Uma poltica de backup permite, ainda, reduzir a duplicao de dados, customizar os investimentos em equipamentos de armazenamento e obter economias
efetivas em termos de custos de gesto.
No caso de computadores pessoais, o prprio usurio deve estabelecer uma
poltica de segurana para seus principais arquivos, o que garante a restaurao
dos dados a partir de cpias de segurana. importante ressaltar que mesmo no
caso de cpias de arquivos pessoais, devemos guard-la fisicamente longe do
equipamento que estamos utilizado, pois, se houver um incndio no local ou um
roubo, a cpia de pode ser atingida.
O ciclo de vida da poltica de backup pode, de forma resumida, ser vista assim:
a) Criao de uma equipe que deve conter no s membros do departamento de TI, mas tambm usurios, juristas e representantes de todas as partes
envolvidas;
b) Inventariao de recursos e da respectiva utilizao: a infraestrutura deve
ser analisada e classificada, assumindo que nenhum sistema imune a ataques, acidentes ou falhas;
c) Levantamento de padres de utilizao: deve-se olhar para o modo como
as tarefas so efetivamente realizadas e no como em teoria deveriam ser
feitas, de modo a identificar os padres reais de utilizao dos sistemas;
d) Teste de ferramentas Storage Resource Management (SRM) e anlise de equipamentos de armazenamento, procurando solues que permitam aplicar a
poltica da forma mais eficaz e racional possvel (automatizao);
e) Definio da poltica: criao formal e aprovao ao nvel da Administrao.
f) Divulgao da poltica: devem ser comunicadas aos destinatrios as razes
que levaram sua adoo, as consequncias da sua entrada em vigor, os
comportamentos a adotar etc;
g) Entrada em vigor da poltica: implementao dos mecanismos selecionados;
h) Manuteno da poltica: monitoramento e aperfeioamento da soluo em
funcionamento, sem nunca perder de vista os reais objetivos da organizao.
5 BACKUP
Voc aprendeu que os princpios da confidencialidade, integridade e disponibilidade encontram-se intimamente ligados ao conceito de proteo da informao, onde a poltica de backup um elemento essencial.
5.4 CRIAO E IMPLANTAO DE POLTICAS DE BACKUP

Agora vamos ver que, para a definio de uma poltica de backup, alguns passos devem ser seguidos para que se consiga atingir os objetivos almejados pela
organizao.
DEFINIO DA EQUIPE RESPONSVEL

O passo inicial a definio da equipe responsvel pela elaborao, implantao e manuteno da poltica. Esta equipe normalmente composta pela equipe
de informtica juntamente com a direo da organizao.
Figura 38 - Equipe
ANLISE DOS SISTEMAS INFORMATIZADOS E SEUS DADOS

Levantamento de todos os sistemas informatizados da instituio e sua relevncia estratgica. Com isso, possvel a elaborao de um mapa de dados da
instituio, e com este mapa, pode-se definir os dados que sero inseridos na
poltica de backup. importante ressaltar que nem todos os dados registrados
nos sistemas de informao so necessrios, pois comum o armazenamento do
lixo digital, ou seja, de informaes que no agregam valor nenhum.
99
100
segurana de dados
IDENTIFICAO DOS DADOS CONSIDERADOS CRTICOS

Aps o levantamento do mapa de dados, possvel identificar aqueles considerados crticos para o funcionamento e tomada de decises da organizao. Estes
dados devem ser preservados e includos de forma definitiva na poltica de backup.
ESTABELECIMENTO DE NORMAS E PROCEDIMENTOS DE USO DOS

SISTEMAS DE INFORMAO
Esta fase definida de acordo com as fases anteriores e consiste no estabelecimento de normas e procedimentos de uso dos sistemas de informao, os quais
devem ser seguidos por todos que utilizam os sistemas de informao da organizao. Este estabelecimento fundamental para que haja uma padronizao
no uso da informao, assim como em seu armazenamento, pois, se for possvel
identificar onde est armazenada, possvel fazer um backup eficiente.
Os principais tpicos para para este procedimento so: acessos externos; acessos internos; uso da intranet; uso da internet; uso de correio eletrnico; poltica de
uso e instalao de softwares; poltica de senhas; poltica de backup; uso e atualizao de antivrus; acesso fsico; acesso lgico; trilhas de auditoria; padres de
configurao de rede.
ESTABELECIMENTO DA POLTICA DE BACKUP DA ORGANIZAO

A poltica de backup o resultado de toda anlise realizada nas etapas anteriores, pois com esta ela possvel a definir os dados que devem ser preservados e
restaurados quando necessrio. Existem vrias tcnicas de backup, porm a mais
utilizada o de unidades de fita, as quais tm grande capacidade de armazenamento, so pequenas e fceis de serem manipuladas.
O backup, normalmente realizado em fitas, deve ser armazenado em local externo organizao em cofres antichamas. Tambm deve-se manter uma cpia
atual no CPD2, caso exista este ambiente, em local apropriado.
Alguns aspectos devem ser considerados para elaborao de um sistema de
backup eficiente:
a) local onde sero armazenadas as fitas de backup;
b) duas Centrais de Processamento de Dados;
c) uso de cofres;
d) controle da ordem cronolgica de baixa dos backups;
5 BACKUP
e) controle da vida til das fitas de backup;

f) simulaes peridicas da restaurao dos backups;
g) conscientizao do uso das polticas de backup.
Sabemos que a conscientizao do uso das polticas de backup fundamental
para a eficincia do sistema, pois caso os usurios no observarem as regras definidas, corre-se o risco da no realizao do backup destas informaes.
O objetivo da conscientizao a orientao aos usurios para utilizarem os
sistemas informatizados de forma correta, garantido mxima eficincia na recuperao dos dados armazenados em backup.
DIVULGAO DA POLTICA DE BACKUP

A poltica de backup deve ser de conhecimento de todos os colaboradores.
Deve ser amplamente divulgada, inclusive para novos usurios. A divulgao
deve conscientizar todos os usurios dos sistemas informatizados sobre os riscos
da no utilizao das prticas de segurana, assim como os benefcios da utilizao do sistema de backup.
IMPLANTAO
Consiste na aplicao formal das regras descritas na poltica de backup. Deve
ser realizada de forma gradativa e aps o programa de divulgao e conscientizao dos funcionrios.
REVISO DA POLTICA DE BACKUP

A poltica de backup deve ser revista periodicamente, pelo menos uma vez ao
ano, sendo atualizada frente s novas tendncias e acontecimentos do mundo da
segurana da informao (INNARELLI, 2010).
Neste tpico, voc estudou as etapas sobre criao e implantao de polticas
de backup, aprendendo dicas para que d certo.
5.5 AUTOMATIZAO DE BACKUP

Voc sabe a importncia de se fazer backup, mas, medida que as tecnologias
de armazenamento de dados so aperfeioadas e os sistemas de processamento
101
102
segurana de dados
de informao tornam-se mais complexos, o volume de dados armazenados segue a mesma tendncia, atingindo propores significativas.
Diante deste cenrio, as empresas deparam-se com a necessidade de proteo de um conjunto cada vez maior e mais complexo de informaes, disperso
atravs de vrios dispositivos e gerado por diferentes aplicaes. Felizmente, as
solues de backup atuais acompanharam esta evoluo e oferecem nveis de
desempenho e de proteo satisfatrios.
A soluo mais simples e comum para criar cpias de segurana consiste na
utilizao de unidades de backup, instaladas no prprio sistema ou autnomas,
que realizam automaticamente todas as tarefas necessrias cpia dos dados
para as fitas magnticas de armazenamento de dados.
Devido ao seu incomparvel grau de procura no mercado, estas solues h
muito deixaram de ser lineares, passando a oferecer uma ampla gama de possibilidades: desde as simples unidades individuais de fitas com capacidade para
algumas dezenas de gigabytes, at bibliotecas de tapes robotizadas, complexas e
autnomas, podendo armazenar vrios terabytes.
A oferta existente supre, certamente, as necessidades mais diversas, oferecendo a soluo para vrios nveis. Recentemente, comearam a verificar-se algumas
evolues tecnolgicas, dignas de referncia, e que se destacam pela capacidade
individual de cada unidade:
a) Super DLT (Digital Linear Tape): a nova gerao da plataforma DLT, a
qual pode ser considerada o padro do mercado devido ao tempo que vem
sendo usada. Baseando-se na experincia de vrios anos, adquirida no desenvolvimento deste tipo de produtos de cpia de segurana, os fabricantes
aumentaram a capacidade destas tapes que, atualmente, atingem 110 GB,
sem compresso. Sendo uma evoluo da DLT, a Super SDLT garante compatibilidade com as geraes anteriores;
b) LTO (Linear Tape Open technology): resultante de um consrcio de vrias
marcas, caracteriza-se pelo fato de ser um formato tecnolgico aberto que
visa permitir o desenvolvimento de solues nesta rea por parte de vrios
fabricantes que aderirem ao padro. Os produtos baseados na tecnologia
LTO so designados Ultrium, e encontram-se atualmente na segunda gerao de um total de quatro previstas. A capacidade dos suportes de segunda
gerao de 200 GB por tape (sem compresso), visando a meta de 800 GB
para a quarta.
Observe abaixo uma soluo de backup automatizada, onde um rob cuida do
processo de backup de uma biblioteca de fitas.
5 BACKUP
Figura 39 - Backup automatizado

Fonte: http://computing.fnal.gov
Voc aprendeu neste tpico que as solues de backup atuais acompanham

a evoluo tecnolgica e oferecem nveis de desempenho e de proteo amplamente satisfatrios; e que a mais simples consiste no uso de unidades de backup
instaladas no prprio sistema ou autnomas, que realizam automaticamente as
tarefas necessrias cpia dos dados para armazenamento.
5.6 MECANISMOS DE BACKUP

Voc sabe quanto so valiosas as informaes de uma organizao e como
devemos seguir as polticas para mant-las protegidas. Para isso que isso ocorra
com eficincia, devemos dominar alguns tipos de mecanismos de backup.
Independentemente da capacidade desses mecanismos, dos sistemas utilizados e da complexidade das solues adotadas, um ponto que dever ser observado por todas as organizaes a gesto diria dos mecanismos.
Uma das primeiras questes a considerar o local onde so armazenadas as
cpias de segurana. bvio que a colocao de tapes na mesma sala onde se
encontram os sistemas cujos dados elas protegem no uma atitude muito inteligente. Dependendo da durao pretendida do prazo de reteno (que abordaremos de seguida), as cpias de segurana podem ser armazenadas no mesmo
edifcio (on-site), num piso diferente e protegidas por cofres anti-fogo, podem ser
transferidas para outro edifcio da organizao.
103
104
segurana de dados
ou podem ser armazenadas por prestadores de servios (off-site).

A rotao desses suportes , igualmente, um fator de extrema importncia
para a implementao de uma poltica de backup eficaz. Deve existir um plano de
entregas e de recolhimento ajustado s necessidades da organizao e ao esquema de reteno adotado.
Durante o trajeto das unidade de fita de backup, estas devem ser devidamente
protegidas contra todas as ameaas. Caso se opte pela contratao do servio de
armazenamento de terceiros, o contrato deve especificar claramente o calendrio
de recolhimento e devoluo dos itens, bem como o prazo mximo de resposta
em caso de emergncia (quando a organizao precisar recuperar dados perdidos).
Geralmente, os esquemas de backup mais comuns enquadram-se na clssica
definio de trs ciclos: av, pai e filho. O que diferencia estas trs geraes ,
precisamente, a durao do seu prazo de reteno e, eventualmente, o seu local
de armazenamento. A cpia de segurana da gerao av tipicamente a que
mais tempo retida, enquanto que o filho constitui, normalmente, um backup
de rotao rpida. Exemplo:
a) Cpia de segurana av: backup completo dos sistemas, realizado na ltima sexta-feira de cada ms e retido durante trinta dias (ou mais);
b) Cpia de segurana pai: backup completo dos sistemas, realizado todas as
sextas-feiras, e retido durante quinze dias;
c) Cpia de segurana filho: backup completo de todos os sistemas, realizado
diariamente, e retido durante sete dias.
Dependendo do prazo de reteno das cpias de segurana, devemos ento
delinear um esquema de armazenamento on-site e off-site, como forma de garantir a segurana e disponibilidade dos suportes. Caso exista um grande nmero de
suportes, com prazos de reteno diferenciados e vrios locais remotos de armazenamento, a gesto da rotatividade dos backups pode ser complexa.
Para solucionar essa questo, foi desenvolvida uma tecnologia conhecida
como vaulting eletrnico, que consiste simplesmente na ligao das instalaes
da empresa a um local remoto, com bibliotecas de backups de elevada capacidade, atravs de linhas dedicadas, preferencialmente de alta velocidade. Esta soluo retira grande parte da complexidade gesto do armazenamento local e remoto dos suportes de backup, uma vez que as cpias de segurana so realizadas
diretamente nos locais onde ficam guardadas.
Neste tpico, aprendemos que devemos fazer a gesto diria dos mecanismos
de backup, e vimos que h um esquema de trs geraes de backups, av, pai e
filho.
5 BACKUP
5.7 FERRAMENTA DE BACKUP DO WINDOWS 7

O utilitrio de Backup e Restaurao existente no Windows 7 ajuda a criar cpias de segurana de arquivos pessoais mais importantes, como informaes armazenadas no disco rgido atravs da imagem do sistema. A ferramenta permite
escolher o que acrescentar ao backup escolhendo as pastas, criar imagem ISO ou
mesmo um disco de reparao do sistema. Caso os dados originais no disco rgido forem apagados, substitudos por engano ou se tornem inacessveis devido a
falhas mecnicas ou lgicas, poder ser utilizada a cpia previamente realizada
para restaurar os dados perdidos e/ou danificados.
Figura 40 - Tela principal do Microsoft Backup
O utilitrio de backup pode ser utilizado para criar uma cpia dos dados que
esto no disco rgido e arquiv-los em outro dispositivo de armazenamento. A
mdia de armazenamento de backup pode ser uma unidade lgica, como uma
unidade de disco rgido ou um dispositivo separado para armazenamento, como
um disco removvel ou uma biblioteca inteira de discos ou fitas organizados em
um pool de mdia e controlados por um alterador robtico. Se os dados originais
do disco rgido forem apagados ou substitudos acidentalmente ou se ficarem
inacessveis devido a um defeito do disco rgido, voc poder restaurar facilmente os dados usando a cpia arquivada.
O utilitrio de backup cria uma cpia do volume dos dados para criar uma cpia pontual e precisa do contedo da unidade de disco de rgido, incluindo arquivos abertos ou arquivos que estejam sendo usados pelo sistema. Os usurios
podem continuar a acessar o sistema enquanto o utilitrio de backup est em
execuo sem, com isso, correrem o risco de perder dados.
105
106
segurana de dados
Com o utilitrio de backup, voc pode:

a) arquivar arquivos e pastas selecionados no disco rgido.
b) restaurar os arquivos e pastas arquivados no disco rgido ou em qualquer
outro disco que voc possa acessar.
c) usar a recuperao automatizada do sistema para salvar e restaurar todos
os arquivos do sistema e as definies de configurao necessrios para a
recuperao completa em caso de uma falha do sistema.
d) fazer uma cpia dos dados do armazenamento remoto e dos dados armazenados nas unidades montadas.
e) fazer uma cpia do estado do sistema do computador, que inclui os arquivos do sistema, o registro, os servios de componentes, o banco de dados do
Active Directory e o banco de dados dos servios de certificado.
f) fazer uma cpia da partio do sistema, da partio de inicializao e dos
arquivos necessrios para inicializar o sistema caso ocorra uma falha do computador ou da rede.
g) agendar backups regulares para manter atualizados os dados arquivados.
VOC
SABIA?
O utilitrio de backup executa funes simples de gerenciamento de mdia, como, por exemplo, formatao.
Tarefas de gerenciamento mais complicadas, como a
montagem e desmontagem de uma fita ou de um disco,
so realizadas por um servio denominado armazenamento removvel.
5.8 PRTICA de FERRAMENTA DE BACKUP DO WINDOWS 7

Backup um item essencial para garantir o quesito de disponibilidade em segurana da informao. Vamos praticar agora um pouco como fazer um backup,
tomando como exemplo o sistema operacional Windows 7.
O utilitrio de backup existente no Windows 7 utilizado para ajudar a criar
uma cpia de segurana das informaes armazenadas no disco rgido. Caso os
dados originais no disco rgido forem apagados ou substitudos por engano ou
se tornem inacessveis devido a falhas mecnicas ou lgicas, poder ser utilizada
a cpia previamente realizada para restaurar os dados perdidos ou danificados.
Abaixo temos uma sequncia de procedimentos que devem ser utilizados para a
realizao de uma cpia de segurana (backup).
5 BACKUP
Criando o backup
a) Para iniciar um backup, v em Iniciar\Painel de Controle\Sistema e Segurana\Backup e Restaurao.
b) A janela de boas-vindas ir abrir e ento teremos as opes:
a) criar uma imagem do sistema;
b) criar um disco de reparao do sistema;
c) ativar o agendamento;
d) restaurar backup.
c) Neste momento, o Assistente de Backup e Restaurao ir orient-lo durante o processo conforme o cenrio escolhido de forma muito didtica.
Obs.: Para que este passo se conclua, necessrio um entendimento mnimo
sobre: unidades de disco rgido, dispositivos com armazenamento removvel e locais de rede. Estas informaes so relevantes porque determinar
onde o backup ser salvo e/ou de onde o arquivo de restaurao do backup
realizado ser obtido. Como tambm as pastas e arquivos selecionados no
processo de backup e/ou restaurao do sistema.
timo, agora voc j sabe como realizar o procedimento de backup. Vamos
tentar restaurar o backup realizado para entender o processo. Mos obra!
Restaurando o backup
a) Para restaurar um backup realizado com o Assistente de Backup e Restaurao do Windows 7, v em Iniciar\Painel de Controle\Sistema e Segurana\
Backup e Restaurao). A tela de boas-vindas ir se abrir. A seguir, clique no
boto Restaurar meus arquivos e na tela seguinte clique em Pesquisar.
b) Nesta tela iremos localizar os arquivos de backup a serem restaurados. Portanto, deve-se digitar o nome do arquivo de backup efetuado e teclar ENTER.
Aps a pesquisa concluda, dever aparecer uma relao de arquivos de backup a restaurar.
c) Sugesto, restaure o backup em outra pasta ou disco, simulando a perda das
informaes inicialmente copiadas. Para evitar substituio de informaes
indesejadas e consequentemente a perda de informaes atuais.
d) A etapa da restaurao est configurada. Nesta tela podemos observar mais
opes sobre a restaurao que temos a possibilidade de fazer, no sendo
ela obrigatria para finalizao at este passo de uma restaurao de backup.
107
108
segurana de dados
Viu como foi fcil? Continue realizando os seus backups periodicamente e tomando o cuidado de armazenar as mdias fsicas ou lgicas em um local seguro.
SAIBA
MAIS
Aprenda mais sobre esta ferramenta em <windows.microsoft.com/pt-BR/windows-vista/Windows-Backup-and-Restore-Center>.
5.9 REGISTROS DE LOG DO BACKUP

Os logs de um backup so muito importantes para a administrao segura de
um sistema de backup, pois registram informaes sobre o seu funcionamento e
sobre eventos por eles detectados. Muitas vezes, os logs so o nico recurso que
um administrador possui para descobrir as causas de um problema ou comportamento anmalo.
A verificao e armazenamento dos logs de backup um procedimento importante no contexto da poltica de backup para usurios avanados, pois certifica que o backup realmente est sendo executado como foi planejado. Sem esta
verificao um backup que acreditava-se estar sendo feito diariamente pode no
estar sendo realizado, e o administrador do backup s iria saber disso quando
fosse precisar deste backup, e com certeza teria uma grande decepo.
O utilitrio de backup do Windows no tem um parmetro especfico de linha
de comando para especificar o local ao qual os relatrios (log) so salvos aps
uma operao de backup ser concluda. O relatrio de backup salvo na pasta
C:\Windows\Logs\WindowsBackup. Voc pode exibir os relatrios como usurio
avanado utilizando o Visualizador de Eventos do prprio Sistema Operacional,
incorporando os logs de backup no Visualizador de Eventos para administrao
da ferramenta de Backup e Restaurao.
Essa ferramenta de backup mantm os relatrios de atividade dos backups e
restauraes realizados, com a extenso .etl localizados na pasta C:\Windows\
Logs\WindowsBackup.
Quando ocorre algum procedimento diferente do solicitado pelo usurio, a
ferramenta registra na mesma pasta mencionada acima, arquivos com a extenso
.txt, informando os acontecimentos indesejveis. Por exemplo: problema ao realizar o backup de um determinado arquivo ou pasta.
5 BACKUP
Figura 41 - Arquivos de log do sistema de backup e restaurao
conveniente manter os relatrios de backup armazenados, especialmente se

existir um grande nmero de fitas de backup ou execuo de um grande nmero
de operaes de backup e existir a necessidade de referenciar relatrios antigos
(arquivos de log) em uma base regular. Tambm til caso vrios usurios executem operaes de backup no mesmo computador; neste caso pode ser necessrio
que todos os relatrios backup sejam copiados para uma pasta compartilhada
comum para facilitar o acesso aos relatrios.
Para exibir uma lista de todos os parmetros e opes disponveis de Wbadmin.exe, digite a seguinte linha em um prompt de comando: Wbadmin /?
Portanto, a verificao dos logs de backup e o cuidado com o seu armazenamento uma tarefa de extrema importncia e devem ser rotineiramente verificados.
5.10 PRTICA: VERIFICAR LOG DE BACKUP

Os relatrios de logs de um backup so muito importantes para a administrao segura de um sistema de backup, pois registram informaes sobre o seu
funcionamento e sobre eventos por eles detectados. Muitas vezes, os logs so o
nico recurso que um administrador possui para descobrir as causas de um problema ou comportamento anmalo.
A verificao e armazenamento dos logs de backup um procedimento importante no contexto da poltica de backup, pois certifica que o backup realmente
est sendo executado como foi planejado. Sem esta verificao um backup que
acreditava-se estar sendo feito diriamente pode no estar sendo realizado, e o
administrador do backup s iria saber disso quando fosse precisar deste backup, e
com certeza teria uma grande decepo.
Neste tpico iremos realizar um backup e depois faremos a sua restaurao, com
a finalidade de verificarmos o relatrio de logs gerado pela aplicao de backup.
a) Em Iniciar\Painel de Controle\Sistema e Segurana\Backup e Restaurao,
realize um backup empregando seus conhecimentos.
109
110
segurana de dados
b) Para exibir o relatrio de backup atravs dos logs de backup e restaurao

do sistema, v em Visualizador de Eventos do Windows e carregue os arquivos em C:\Windows\Logs\WindowsBackup.
Observao importante: Voc deve monitorar e excluir arquivos de log antigos manualmente com base no espao livre em disco ou requisitos de histrico
de log.
c) Realize a restaurao do primeiro backup realizado, analise o relatrio de
log (passo 2), verificando as operaes que foram realizadas.
Aprendemos como trabalhar com logs de backup, sendo que da mesma forma
que a ferramenta do Windows, outros produtos que implementam backup tambm proveem mecanismos de logs.
5.11 ARMAZENAMENTO DE BACKUP

O armazenamento das mdias de backup deve ser sempre realizado em localidade diferente de onde esto armazenados os equipamentos geradores da informao, pois a integridade pode ser comprometida se estiverem no mesmo lugar.
Desastres naturais ou atos maliciosos podem destruir ou danificar os equipamentos e suas cpias, comprometendo o processo de reconstituio.
Alm dos backups realizados por terceiros, como, por exemplo, provedores
de sites de contingncia, deve-se produzir cpias adicionais de segurana dos
backups considerados mais crticos, para serem armazenadas nas instalaes da
prpria organizao, em um cofre para mdias, construdo para resistir ao fogo,
umidade, arrombamentos etc. (FERREIRA, 2006).
Figura 42 - Cpias de segurana

Fonte: CERTTUM (2012)
5 BACKUP
PERIODICIDADE E RETENO
Devemos lembrar que a frequncia com que os backups so realizados, bem
como o tempo de reteno, deve ser determinado considerando a velocidade e
volatilidade da informao, ou seja, dependendo da frequncia com que os dados so alterados.
O perodo de reteno consiste no tempo do qual os dados gravados em backup no podem ser apagados, nem pelo sistema e nem por intervenes humanas convencionais. A nica forma para apagar seria explicitamente indicando que
a ferramenta o fizesse. Esta proteo tem por finalidade evitar erros de um operador. Depois de terminado o tempo de reteno, se diz que este backup expirou e,
dessa forma, o volume poder ser sobrescrito em um prximo trabalho de backup
(FARIA, 2010).
IDENTIFICAO DO BACKUP
Para todos os backups, deve existir registros das operaes envolvidas na realizao da cpia. Numa identificao devem constar as seguintes informaes:
a) nome do servidor;
b) quantidade total de mdias;
c) tipo de mdia;
d) localizao do servidor;
e) descrio do contedo;
f) perodo de reteno;
g) horrio;
h) tipo de backup;
i) restries.
RECOMENDAES IMPORTANTES
a) Manter os backups em local fsico diferente do local de armazenamento dos
dados originais.
b) Realizar com frequncia testes nas mdias que armazenam os backups, a fim
de assegurar que estes podem ser restaurados em caso de necessidade.
c) Assegurar que estas mdias estejam em segurana e que o acesso a elas seja
controlado.
111
112
segurana de dados
d) Desenvolver e manter a documentao dos procedimentos de backup e restore sempre atualizada.

e) Assegurar que seja mantido um inventrio sobre as mdias que armazenam
os backups.
f) Controlar, atravs do inventrio, a vida til das mdias de backup de acordo
com o recomendado pelos fabricantes.
Neste tpico conhecemos procedimentos para armazenamento de backups.
5.12 MDIAS DE ARMAZENAMENTO

Voc com certeza j utilizou algum tipo de mdia para armazenar seus arquivos. Atualmente, uma das mais utilizadas o pen drive. Em organizaes h outras
opes mais prticas. Vamos conhec-las.
As mdias de armazenamento so utilizadas como principais mecanismos para
armazenar as informaes processadas nos sistemas das organizaes. A criticidade desses componentes em relao confidencialidade enorme. A disponibilidade outra preocupao de igual importncia, pois muitas vezes as mdias so
a nica salvao da empresa em caso de problemas nos sistemas.
No intuito de proteger a integridade da informao, diversas medidas podem
ser tomadas. Dentre elas podemos destacar:
a) Criptografia: uma das medidas mais eficientes contra o roubo e utilizao
no autorizada de informaes;
b) Controle de entrada e sada: restringir a entrada e sada de mdias de backup e marcar todas com selo patrimonial, com a finalidade de facilitar a identificao pelo pessoal da segurana;
c) Armazenamento off-site: o uso de localidades fsicas separadas para armazenar mdias e sistemas. Excelente medida do ponto de vista de segurana,
mas que tem implicaes na velocidade de reparo em caso de necessidade
de restaurao. Esta opo deve ser analisada cuidadosamente;
d) Controle de armazenamento: estocar as mdias em salas ou cofres climatizados com proteo contra incndios;
e) Destruio de mdias: mdias que no sero mais utilizadas precisam ter
seus dados permanentemente apagados. Fazer isso com o uso do prprio
gravador de forma segura pode ser uma tarefa demorada, por conta dos
problemas de remanescncia de dados. indicado para esta finalidade o uso
de degaussers, equipamentos que apagam o contedo de mdias magnticas por aproximao.
5 BACKUP
TIPOS DE MDIA
Alm da necessidade de determinar o tipo de backup que deve ser feito e
quando faz-lo, precisamos avaliar os tipos de mdia de armazenamento disponveis no mercado e selecionar a mais apropriada para cada necessidade.
Ao escolher uma mdia de armazenamento, precisamos levar em considerao
alguns fatores:
a) a quantidade e o tipo de dados para backup;
b) o perodo de tempo para backup;
c) o ambiente;
d) a distncia entre os sistemas em que est sendo feito backup e o dispositivo
de armazenamento;
e) o oramento de sua organizao.
Dentre as mdias atualmente disponveis podemos citar as seguintes:
a) Fita magntica: utilizada para backup de grandes volumes de dados. As
principais vantagens das unidades de fita so a grande capacidade de armazenamento, associada boa confiabilidade e custo relativamente baixo das
mdias. Sua desvantagem est no acesso aos dados, que necessariamente
sequencial, alm do alto custo das unidades de fita;
b) Discos pticos: se popularizaram com a utilizao dos CDs e DVDs. Dependendo da quantidade de informaes, uma boa opo, pois tem custo acessvel, razovel capacidade de armazenamento (4,3 Gb para os DVDs)
alm da alta durabilidade. Sua desvantagem est na velocidade de leitura e
gravao de dados;
c) Discos magnticos: mais conhecidos como discos rgidos (HDs), tm tido
seu uso aumentado recentemente, devido grande reduo dos custos, associado alta capacidade de armazenamento. uma alternativa relevante
para aqueles que necessitam de rapidez no processo de backup, pois sua
velocidade e confiabilidade so seus pontos fortes.
VOC
SABIA?
Hoje, existem unidades de fita com mdias de at 800

Gb, como a Tandberg LTO-4 FH. Entretanto, elas so
muito caras, o que torna os HDs uma opo mais atrativa, j que existem no mercado HDs de 1 Tb a preos
competitivos.
Existem tambm os casos em que o volume de dados a armazenar pequeno,

o que torna vivel utilizar DVDs ou mesmo CD-ROMs para realizar os backups.
113
114
segurana de dados
A vantagem nesse caso que as mdias so baratas e voc pode simplesmente queimar uma nova a cada backup, armazenando todas as cpias antigas. Os
CDs e DVDs possuem boa longevidade e qualidade, e, se armazenadas em um
ambiente sem luz e com baixa umidade, duram cerca de 20 anos ou, em muitos
casos, at mais.
Neste tpico aprendemos que h diversas mdias de armazenamento, e que
devemos pesar o custo-benefcio e a segurana ao escolh-las.
5.13 SEGURANA FSICA

A segurana fsica cuida da proteo dos ativos valiosos da organizao. Seu
escopo extremamente abrangente, englobando todas as instalaes fsicas, internas e externas, em todas as localidades em que a organizao est presente.
Alm disso, cuida da proteo de ativos importantes que estejam sendo transportados, como valores ou fitas de backup.
Sua implementao, na maioria das organizaes, provavelmente tem uma
histria mais longa que a da segurana da informao, assunto que tomou o
grande pblico junto com a exploso da internet.
Embora muitas vezes confundimos segurana da informao com segurana
puramente computacional, restringindo a viso para incorporar apenas os dados
armazenados nos sistemas, a segurana fsica engloba a proteo de todos os ativos valiosos da organizao, e no apenas os ativos de informao, independente
de onde quer que eles estejam.
MEDIDAS DE SEGURANA
Os procedimentos a ser seguidos para garantir a segurana no uso de chaves e
fechaduras devem ser semelhantes aos seguidos com o uso de senhas. Podemos
citar a documentao e controle sobre a emisso e uso, procedimentos peridicos de troca de combinao etc.
A segurana fsica um elemento fundamental da segurana da informao.
No possvel termos a segunda sem a primeira. O foco de atuao a proteo
dos ativos fsicos, incluindo a preocupao com todos os ativos humanos.
Dentre as diversas ameaas que podemos reconhecer, encontram-se tambm
problemas como falhas no fornecimento de servios bsicos, como energia eltrica e gua. Alm disso, os servios de suporte ao funcionamento da organizao,
como ar condicionado, por exemplo, devem ser sempre considerados (RAMOS;
BASTOS; LYRA, 2008).
5 BACKUP
Na imagem abaixo podemos perceber o esquema de uma sala cofre, utilizada

para abrigar equipamentos de informtica.
Figura 43 - Sala cofre para equipamentos de informtica
Portanto, de forma complementar, a segurana fsica fundamental para qualquer iniciativa de proteo de sistemas por diversas razes. A principal se deve ao
fato de que a maioria dos controles lgicos implementados em sistemas pode ser
facilmente desativada caso uma pessoa mal-intencionada possua acesso fsico ao
equipamento. Uma outra razo relevante a de que vrias pesquisas apontam
que os maiores problemas de segurana sofridos pelas organizaes hoje so
ocasionados por pessoas internas como funcionrios e prestadores de servios.
CASOS E RELATOS
Falta de planejamento
A Comgs, a maior empresa de distribuio de gs natural canalizado do
Brasil, com mais de 1 milho de clientes, precisava agilizar seu sistema de
gerenciamento de dados e integrar as ferramentas de backup com base
nas melhores prticas implementadas no mercado. Preocupada com este
cenrio, a Comgs procurou a Brasoftware.
115
116
segurana de dados
Aps a implantao da soluo, a infraestrutura de TI da Comgs, que

antes tinha algumas restries, como o aumento na janela de backup, ficou mais gil e eficiente. Conseguimos consolidar nosso gerenciamento de TI, o que resultou em maior compatibilidade com novos produtos,
reduo do tempo de backup, alm da interao entre as ferramentas,
comenta Marcelo Koyama, analista de tecnologia da Comgs.
A companhia ainda abre destaque para outras melhorias: reduo do
crescimento desnecessrio de armazenamentos; recuperao dos arquivos em apenas alguns minutos; eliminao de at 98% dos dados duplicados; e a agilizao do processo de administrao de backups.
Com o sucesso da implantao, a Comgs define seus planos para o futuro. Estamos prontos para atender novas demandas das reas de negcios, aumentando a nossa capacidade de absorver volumes maiores
de dados e melhorando o prazo de resposta para os usurios, finaliza
Marcelo.
Adaptado de Brasoftware otimiza ambiente de Backup da Comgs. Disponvel em: <http://www.s2publicom.com.br/imprensa/ReleaseTextoS2Publicom.aspx?press_release_id=26702#.T476vnmDiFU>. Acesso em:
12 abr. 2012.
Recapitulando
Voc aprendeu que backup o ato de fazer cpias de segurana da informao em algum tipo de mdia (CD-R, CD-RW, DVD-R, DVD-RW, fitas, pen
drives etc). Estudou e entendeu que sua funo armazenar informaes
confidenciais e valiosas para que, se necessrio, seja possvel recuper-las
com integridade caso haja necessidade.
Conheceu, definiu e listou os documentos dos quais devemos fazer o backup; definiu qual a periodicidade com que devemos faz-lo; e viu como
importante armazenar as cpias de backup num lugar externo ao local
de origem.
5 BACKUP
Por ltimo, testou nas aulas prticas seus conhecimentos e percebeu que
em sua futura profisso ter muita responsabilidade com seus clientes ao
realizar procedimentos de backup.
117
Ferrramentas de segurana
6
Asegurana da informaoest relacionada proteo de um conjunto de dados, no sentido de preservar o valor que tais informaes possuem para um indivduo ou uma organizao.
A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas.
Pensando nisso, neste captulo voc conhecer algumas ferramentas que surgiram para auxiliar organizaes a assegurar suas informaes, tais como:
a) ferramentas de anlise de vulnerabilidade;
b) sistemas de deteco de invaso;
c) ferramentas de log e auditoria;
d) quesitos estratgicos, como disponibilidade e redundncia.
importante que um profissional que atuar na rea de tecnologia conhea diversas ferramentas de segurana, seja para proteger suas atividades ou para orientar o seu cliente na
escolha do melhor mtodo de proteo.
120
segurana de dados
6.1 FERRAMENTAS DE ANLISE DE VULNERABILIDADE

Com anncios de vulnerabilidades sendo lanados a uma velocidade incrvel,
a maioria das organizaes se depara com uma rdua batalha, quando se trata
de caar brechas de segurana que residem em seus sistemas. Em uma tentativa
de auxiliar as organizaes nessa misso, vrios esforos comerciais e de cdigo
aberto surgiram para automatizar o processo de descoberta de vulnerabilidades.
Essas ferramentas de anlise de vulnerabilidade, ou scanners, surgem em muitas
formas e tamanhos, com algum grau de variao de exatido (SHIPLEY, 2001).
FUNCIONAMENTO
A varredura automatizada de vulnerabilidades, basicamente realiza uma varredura de porta, identificando o sistema operacional e registrando em log todas
as portas de escuta. A ferramenta fornece relatrios detalhados sobre quais servios esto rodando em determinada porta e se eles esto vulnerveis ou no,
com base em um banco de dados interno atualizado com frequncia, que ajuda a
identificar exatamente os pontos de exposio associadas a esse servio.
Conhea alguns scanners de vulnerabilidade:
a) ISS Internet Scanner
Fornecedor: IBM; Plataforma:Windows NT; URL: <www.iss.net>.
Muito conhecida para varredura de vulnerabilidade, tem como ponto forte a interface para gerao de relatrios, alm de um conjunto abrangente
de verificaes de vulnerabilidades associada a uma inteface com o usurio
bem trabalhada. Fornece uma grande quantidade de informaes sobre
cada verificao de vulnerabilidade, armazenadas em um banco de dados.
b) Nessus project
Fornecedor: open source; Plataforma: Unix; URL: <www.nessus.org/products/nessus>.
tima ferramenta de varredura de vulnerabilidades com o cdigo fonte
aberto. Emprega um modelo de plug-in extensvel que permite que a comunidade de segurana adicione mdulos de varredura vontade. Isso fornece
a ferramenta um diferencial no desenvolvimento, pois qualquer verificao
que ele no tenha pode ser criada por qualquer pessoa com algum tempo e
capacidade de codificao.
c) OSSIM (Open Source Security Information Management)
Fornecedor: Alien Vault; Plataforma: open source; URL: <www.alienvault.
com/>.
6 Ferrramentas de segurana
Seu objetivo reunir todas as ferramentas num nico local e correlacionar

os eventos, exibindo na interface grficos e estatsticas aprimorados. Fornece ao administrador de redes uma viso detalhada sobre cada aspecto de
sua rede, hosts, acesso fsico a dispositivos, servidores etc. uma distribuio derivada do Debian e tem um conjunto de softwares:
Arpwatch deteco de anomalia de uso de MAC.
P0f anlise passiva de sistema operacional.
Pads deteco de anomalia de servios.
Nessus scan de vulnerabilidades.
Snort IDS.
Spade engine de deteco de anomalia e anlise;
E outros.
Embora os scanners de vulnerabilidade sejam uma soluo genrica para identificar vulnerabilidades e bloquear sistemas, eles ainda podem ser ferramentas
valiosas. Mas, como qualquer ferramenta de segurana, deve-se estar ciente das
fraquezas que essas estas possuem. Por exemplo, quando se trata de anncios de
vulnerabilidades, esto sempre um passo atrs.
A soluo ideal para reduzir as vulnerabilidades o uso de um scanner de vulnerabilidade em conjunto com um esforo slido de identificao de vulnerabilidades, alm de procedimentos de bloqueio do sistema.
6.2 SISTEMAS DE DETECO DE INVASO

A deteco de invases uma das reas mais ativas no cenrio de segurana
da informao. Tecnologias que automaticamente detectam, alertam e possivelmente interrompam os invasores so extremamente atraentes, embora recentes.
Um sistema de deteco de invaso IDS (Intrusion Detection System) se prope a detectar um usurio hostil ou invasor que est tentando ganhar acesso no
autorizado.
Alguns mtodos so populares quando se pretende detectar invasores, como,
por exemplo, a inspeo de atividade hostil ou incomum nos logs de sistema, da
web, de aplicativos, de firewall e de roteadores. Embora todos sejam teis, eles se
tornam difceis de ser realizados diariamente. Some isto a algumas centenas de
mquinas e a tarefa se torna praticamente impossvel. Surge a necessidade de um
sistema de deteco de invaso. Atualmente, a maioria projetada para ajudar a
automatizar o processo de procura por invasores.
121
122
segurana de dados
Os sistemas de deteco de invaso se classificam em modelos, vistos a seguir:
IDS BASEADO EM REDE (NETWORK BASED INTRUSION DETECTION

SYSTEMS NIDS)
Sistema de deteco baseado no modelo de deteco de mau uso, usa mecanismos de anlise de pacotes crus, como sniffers de alto nvel. Eles capturam trfego de rede e o comparam a um conjunto de padres de ataques ou assinaturas
conhecidos. Os dispositivos NDIS comparam essas assinaturas a cada pacote que
eles veem, na esperana de capturar os invasores em flagrante. Podem ser instalados passivamente, sem exigir modificaes importantes nos sistemas ou redes.
IDS BASEADO EM HOST (HOST BASED INTRUSION DETECTION

SYSTEMS HIDS)
Tambm baseado no modelo de deteco de mau uso. Usam componentes
que analisam logs de sistema e observam logins e processo de usurio. Alguns
tm at a capacidade de capturar instalaes de cdigo de cavalo de troia. Sistemas baseados em host so compostos de agentes, que requerem a instalao de
um programa nos sistemas que eles protegem. Isto permite que eles sejam mais
completos em alguns nveis, mas tambm exigem maior dedicao para instalar,
distribuir e administrar.
Segundo Cunha Neto (2012), em relao ao tipo de deteco, podem ser divididos em:
IDS baseado em assinaturas: prope uma deteco de intrusos atravs do
uso de assinaturas de ataques. Estas assinaturas so formadas por um conjunto
de regras que caracteriza o intruso. Possui a vantagem de uma deteco imediata
e impossibilidade de falsos positivos, mas essa abordagem somente detecta botnets conhecidas.
IDS baseados em anomalias: detectam intrusos com base nas anomalias do
trfego de rede, como, por exemplo, elevados volumes de trfego. A vantagem
a deteco de botnets desconhecidas. Como desvantagem, produz um grande
nmero de falsos positivos, devido ao comportamento imprevisvel dos usurios.
IDS hbrido: combina os dois mtodos de anlise de dados, implantando estes em duas fases, para identificar ataques novos e desconhecidos. Seu objetivo
elevar a taxa de deteco e reduzir a taxa de falsos positivos. Um mdulo de
tomada de deciso usado para integrar os resultados, detectar e relatar os tipos
de ataques.
IDS
Internet
Um sistema IDS, em poucas

palavras, coloca um guarda na
sua rede que fica vigiando
todos os acessos, e caso detecte
algo estranho, relata aos
responsveis e toma aes que
garantem a sua segurana
Figura 44 - Sistema IDS

Fonte: Adaptado de SISTEMAS IDS (2012)
Ateno: muitas pessoas no familiarizadas com o campo de sistema de deteco de invaso, confundem a tecnologia com dispositivos de controle de acesso,
como firewall. Os sistemas de deteco de invaso, em sua forma atual, no servem como um mtodo de controle de acesso. Embora vrios deles possam ser
configurados para interagir com firewall, esse no o seu principal propsito.
Voc aprendeu neste tpico que existem vrios tipos de sistema de deteco
de invaso, aos quais devemos sempre encarar como um tipo de alarme contra
roubo e no como um bloqueio ou tranca.
6.3 FERRAMENTAS DE LOG E AUDITORIA

Os logs so um conjunto de softwares que residem nos bastidores de sistema.
Sua importncia frequentemente subestimada. Neles, so registradas todas as
atividades do sistema, como, por exemplo, quem fez login, em que horrio, por
quanto tempo etc. Os logs so teis de vrias maneiras, podem ajudar a resolver
problemas muitas vezes complicados, ser utilizados para detectar anomalias de
rede, ajudar a rastrear os passos de um invasor ou a fornecer provas a um caso
em tribunal.
Praticamente todos os sistemas operacionais atualmente tm suporte a logs,
mas nem sempre podemos confiar nestes registros gerados pelo prprio sistema
operacional, pois alterar logs para apagar rastros uma das primeiras coisas que o
crackers aprendem. A prtica tornou-se to comum que existem at ferramentas
que automatizam este processo.
Para se precaver contra adulteraes das entradas de log pelos crackers, devemos criar uma estratgia de registro em log que seja difcil de superar. A maneira
mais fcil de alcanar isso gravar seus logs em um dispositivo de gravao one-way write-once (de uma nica vez e uma nica via), ou copiar seus logs para um
servidor de registro em log protegido. Ao enviar os logs de sistema para uma
123
124
segurana de dados
mquina separada e segura, estamos dificultando a tentativa dos invasores de

limpar seus rastros.
Alm de centralizarmos os registros de log, talvez tambm seja interessante
considerar o uso de alguma ferramenta independente para anlise e registro de
log. Devido grande quantidade de informaes existente nestes registros, muitas vezes se torna humanamente impossvel sua anlise por completo. Geralmente as ferramentas de anlise extraem os dados e fazem relatrios simplificados.
FERRAMENTA DE REGISTRO DE LOG INDEPENDENTE

Ao utilizarmos uma ferramenta independente para o registro de logs, estamos garantindo que nossos registros de log no sejam adulterados, pois a grande
maioria dos invasores so familiarizados com logs baseados em sistemas operacionais, o que no ocorre com os softwares independentes. Alm de ser uma boa
fonte de informao sobre invases, saberemos que invasores penetraram no sistema quando compararmos as informaes de log do sistema independente e do
sistema operacional.
Suponha que estejamos utilizando uma ferramenta de log independente para
verificar a integridade de logs baseados em sistema operacional. Embora isto possa custar caro, pois necessrio gravar estes logs em mdia de nica gravao
(one-way write-once), garantimos que um conjunto de logs confivel, e isto
importante.
Nunca devemos subestimar a importncia de manter logs detalhados. No
apenas so essenciais quando estamos investigando uma invaso de rede, como
tambm so um requisito para contra-atacar invasores.
Nos ltimos anos, a maioria dos casos de invaso criminosa (cracking) terminaram em acordos extrajudiciais. Uma das principais razes disso que os criminosos eram frequentemente crianas que estavam apenas tentando se divertir um
pouco. Mas os acordos extrajudiciais se tornaro menos predominantes quando
criminosos de verdade migrarem para a internet.
Verdadeiros criminosos sabem que provar um caso diante de um juiz ou do
jri muito difcil, especialmente se falando de um assunto to recente onde
poucos tem experincia. Quando juzes e jurados so perguntados sobre enviar
ou no um ser humano para a priso, eles precisam de provas substanciais. A
nica maneira de conseguir essas provas substanciais tendo vrios mtodos
prova de falhas, ou seja os registros em log.
Dentre vrias ferramentas de anlise de log podemos citar:

a) Logview4net: Monitor e visualizador de logs de eventos, capaz de destacar
ou esconder mensagens de acordo com seus contedos. gratuito (APEX
SQL LOG, 2012);
b) Apex SQL Log: Analisador de log de bancos de dados SQL, permitindo uma
boa auditoria em seus dados e relatrios. O Apex SQL Log lido diretamente, e com ele, os logs criados antes da instalao da ferramenta tambm podem ser analisados. Software proprietrio (LOGVOEW4NET, 2012);
Neste tpico voc aprendeu que logs so um conjunto de softwares que atuam
invisivelmente num sistema operacional e podem ajudar a resolver problemas
complicados, como, por exemplo, deteco de anomalias de rede e ajuda no rastreamento de crackers.
6.4 DISPONIBILIDADE
Atualmente, diversas organizaes funcionam baseadas na disponibilidade
dos seus dados e na infraestrutura da informao, como, por exemplo, as lojas
virtuais. Neste cenrio, a disponibilidade dos dados um quesito estratgico, pois
sua falta pode inviabilizar negcios e a capacidade de existncia da organizao.
Nesse ambiente, surge uma caracterstica importante para estas empresas
altamente dependentes da disponibilidade dos seus dados: os sistemas de alta
disponibilidade.
A disponibilidade de um sistema informatizado indicada pela funo A(t),
que calcula a probabilidade de que um sistema esteja em pleno funcionamento
em um determinado instante de tempo t. Essa disponibilidade pode ser classificada em trs classes, de acordo com a faixa de valores desta probabilidade (CONECTIVA, 2003):
DISPONIBILIDADE BSICA
Encontrada em mquinas comuns, sem nenhum mecanismo especial, em software ou hardware, que vise atenuar eventuais falhas de disponibilidade. Costumamos dizer que mquinas nesta classe tem uma disponibilidade de 99 a 99,9%,
o que equivale dizer que em um ano de operao, estas mquinas podem permanecer indisponveis por um periodo compreendido entre 9 horas a 4 dias. Estes
dados so empricos e no consideram possveis paradas planejadas, porm so
aceitas como senso comum na literatura da rea (CONECTIVA, 2003).
125
126
segurana de dados
ALTA DISPONIBILIDADE
Adicionando-se mecanismos especializados de deteco, recuperao e mascaramento de falhas, podemos aumentar a disponibilidade do sistema, vindo
este a se enquadrar na classe de alta disponibilidade. Nesta classe, as mquinas
devem apresentar uma disponibilidade compreendida entre 99,99 e 99,999%,
podendo ficar indisponveis somente por um perodo compreendido entre 5 minutos a uma hora, durante um ano de operao. Aqui se encaixam grande parte
das aplicaes comerciais de alta disponibilidade, como as centrais telefnicas
(CONECTIVA, 2003).
DISPONIBILIDADE CONTNUA
Com a adio subsequente de noves, se obtm uma disponibilidade cada vez
mais prxima de 100%, diminuindo o tempo de indisponibilidade de forma que
este venha a ser desprezvel ou mesmo inexistente. Aproxima-se ento da disponibilidade contnua, onde todas as paradas planejadas e no planejadas so
tratadas, e o sistema permanece sempre disponvel (CONECTIVA, 2003).
Sistemas que contam com alta disponibilidade so informatizados, resistentes
a falhas de software, hardware e energia, cujo objetivo manter os servios disponveis o mximo de tempo possvel (WIKIPDIA, 2011). Este objetivo atingido
atravs de redundncia ou replicao de hardware e reconfigurao de software.
6.5 REDUNDNCIA
Voc sabe o que significa a palavra redundncia? Vamos aprender neste tpico o que e quando acontece uma redundncia no sistema de informaes.
Redundncia descreve a capacidade de um sistema em superar a falha de
um de seus componentes atravs do uso de recursos redundantes. Um sistema
redundante possui um segundo dispositivo que est imediatamente disponvel
para uso quando da falha do dispositivo primrio.
Para conseguirmos uma maior disponibilidade, a redundncia surge como a
melhor maneira de conseguir alcan-la. Tal como guardamos cpias das chaves
das portas de nossa casa, para o caso de perdermos a original, existem mecanismos, de complexidade varivel, que permitem criar cpias da informao contida
nos diversos sistemas informatizados.
A redundncia pode ser obtida de vrias formas, quer atravs de cpias manuais de dados, quer atravs de sistemas automatizados de proteo da informao. Na sua expresso mais complexa, estes mecanismos de proteo podem
assumir a duplicao total da infraestrutura da informao existente, numa localizao remota, com transferncia automatizada de dados entre locais. Este tipo
de soluo, normalmente adotada para estruturas extremamente crticas e sem
qualquer tolerncia de downtime (tempo de parada), implica um investimento
inicial alto e custos de manuteno que podem ser igualmente elevados.
Por esse motivo, as solues mais comuns passam pela criao de clusters de
mquinas e pela implementao de solues de RAID (Redundant Array of Inexpensive Disks) com paridade, em que a informao compartilhada em vrios discos, sendo que a indisponibilidade de um deles no implica a indisponibilidade
dos dados nele contidos (WIKIPDIA, 2011).
Em qualquer dos casos, a soluo adotada deve levar em conta o valor da informao a proteger. No caso de contedos estticos, pouco atualizados e de valor referencial, basta talvez a criao e manuteno de cpias de segurana. No
caso de bases de dados dinmicas, com atualizaes e consultas muito frequentes, talvez se justifique equacionar a criao de um cluster, ou de um sistema de
armazenamento centralizado, com duplicao.
Ao nvel da infraestrutura de suporte aos dados, existe a possibilidade de criar
solues redundantes a praticamente todos os nveis. Para alm dos clusters de
mquinas, j referidos, os prprios equipamentos ativos da rede de dados (roteador, switch, hub etc.) podem ser duplicados, criando estruturas redundantes.
Roteador
primrio
Servidor
Internet
Switch
Usurios
Denis Pacher (2012)
Roteador
secundrio
Figura 45 - Infraestrutura redundante
No exemplo visto acima, caso ocorra uma falha no roteador primrio, imediatamente o roteador secundrio entrar em atividade de forma a no interromper
comunicao da rede local com o ambiente externo (internet).
Um exemplo prtico da aplicao de redundncia est nos sistemas embarcados de aviao, quando impe que avies comerciais possuam dois computadores de bordo, dois sistemas para controle dos trens de aterrissagem etc. Se
um sistema falhar, o outro sistema deve ser to eficiente e operacional como o
primeiro, pronto para entrar em operao, testado, treinado e suficiente.
127
128
segurana de dados
Voc aprendeu que, com a finalidade de buscar maior disponibilidade, a redundncia surge como uma boa maneira de conseguir alcan-la. Voc tambm
viu, neste tpico, que a redundncia uma caracterstica que deve ser sempre
considerada para qualquer sistema, e, no caso de sistemas que operam em atividades crticas, imprescindvel.
CASOS E RELATOS
Melhorando processos
Lucia da auditores S/A foi contratada para analisar os procedimentos sendo desenvolvidos na empresa Girsan. Ao analisar a estrutura da empresa
Girsan, Lucia notou que todos os dias o administrador da rede verificava
as dezenas de mquinas da empresa procurando por potenciais vulnerabilidades, conforme politica de seguranca da empresa. Este processo
alm de cansativo se mostrava lento e sujeito a erros. A empresa de auditoria recomendou a adoo de uma ferramenta de automao.
A empresa adotou o OSSIM e tem gostado muito dos resultados, por ter,
alm das facilidades de verificao de vulnerabilidades, a possibilidade
de gerar relatorios conforme o ITIL e ISO 27000 empregados na Girsan.
Recapitulando
Voc aprendeu que existem ferramentas que auxiliam na segurana de
dados e informaes que diariamente esto expostas a fatores e pessoas
mal intencionadas.
Dentre essas ferramentas vimos que possvel fazer uma varredura automatizada, gerando relatrios detalhados sobre possveis vulnerabilidades do sistema, bem como detectar invasores no autorizados.
Outra ferramenta importante para assegurar informaes em uma rede
criar estratgias que dificultem o registro de logs, precavendo o acesso
de crackers.
Anotaes:
129
REFERNCIAS
ABNT. Tecnologia da informao: Tcnicas de segurana Diretrizes para implantao de um
Sistema de Gesto da Segurana da Informao. Disponvel em: <www.abnt.org.br/>. Acesso em:
28 set. 2011.
ALECRIM, E. Dicas de segurana na internet. Disponvel em: <www.infowester.com/
dicaseguranca.php>. Acesso em: 4 out. 2011.
MBITO JURDICO. Software & Direito: Dos contratos Licena de uso e servios. Disponvel em:
<www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=1914>.
Acesso em: 10 out. 2011.
NGELO, Fernanda. Em falta no mercado, profissionais de Segurana da Informao tem
salrio inflado. 2010. Disponvel em: <http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/
start.htm?infoid=24025&sid=71>. Acesso em: 29 mar. 2012.
APEX SQL LOG. Disponvel em: <www.superdownloads.com.br/download/87/apex-sql-log/>.
Acesso em: 9 mar. 2012.
BRASOFTWARE. Brasoftware otimiza ambiente de Backup da Comgs. 2012. Disponvel
em: <http://www.s2publicom.com.br/imprensa/ReleaseTextoS2Publicom.aspx?press_release_
id=26702#.T476vnmDiFU>. Acesso em: 13 abr. 2012.
CERTSIGN. Certificao Digital. Disponvel em: <icp-brasil.certisign.com.br/>. Acesso em: 9 out.
2011.
CERTTUM. Cpias de segurana Procedimentos. Disponvel em: <www.certtum.com.br/geracaode-conhecimento/0/copias-de-seguranca-procedimentos/14>. Acesso em: 8 mar. 2012.
CGI.BR. Cartilha de segurana para internet: Conceitos de segurana Criptografia. Verso 3,
2006. Disponvel em: <cartilha.cert.br/conceitos/sec8.html>. Acesso em: 30 nov. 2011.
CONECTIVA. Alta Disponibilidade. In: Guia do Servidor Conectiva Linux. 2003. Disponvel em:
<conectiva.com/doc/livros/online/9.0/servidor/ha.html>. Acesso em: 8 nov. 2011.
CUNHA NETO, R. et al. Sistema de deteco de intrusos hbrido para botnets utilizando
algoritmo de otimizao de enxame de partculas. So Lus: Universidade Federal do Maranho
(UFMA). Disponvel em: <www.die.ufpi.br/ercemapi2011/artigos/ST2_09.pdf>. Acesso em: 9 mar.
2012.
DADDARIO, Jeferson. Enfrentando a crise e reduzindo custos com uma administrao
adequada de TI e Gesto de Riscos. 2009. Disponvel em: <http://www.daddario.com.br/
enfrentando-a-crise-e-reduzindo-custos-com-uma-administracao-adequada-de-ti-e-gestao-deriscos/>. Acesso em: 29 mar. de 2012.
FARIA, H. O que reteno (ou retention)?. 2010. Disponvel em: <www.bacula.com.
br/?p=246>. Acesso em: 26 nov. 2011.
FAUSTINI, R. Poltica de segurana da informao. Disponvel em: <www.faustiniconsulting.com/

artigo05.htm>. Acesso em: 15 set. 2011.
FERREIRA, N. F. F., ARAJO T. M.. Poltica de segurana da informao: Guia prtico para
elaborao e implementao. Rio de Janeiro: Cincia Moderna, 2006.
GABINESKI, R. Como elaborar uma anlise de riscos. 2007. Disponvel em: <www.testexpert.com.
br/?q=node/235>. Acesso em: 10 set. 2011.
GAIVO, M. Anlise e gesto do risco em segurana da informao. 2007. Disponvel em: <www.
sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868>. Acesso em: 10 set. 2011.
INNARELLI, H. C. Apostila preservao de documentos digitais: Iniciao ao Backup. Campinas:
UNICAMP, 2010.
ITI GOV. Estrutura da ICP-Brasil. Disponvel em: <www.iti.gov.br/twiki/bin/view/Certificacao/
EstruturaIcp>. Acesso em: 9 out. 2011.
ITI GOV. O que certificao digital. Disponvel em: <www.iti.gov.br/twiki/pub/Certificacao/
CartilhasCd/brochura01.pdf>. Acesso em: 9 out. 2011.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informao gerenciais. So Paulo: Prentice Hall, 2004.
LOGVOEW4NET. Disponvel em: <www.superdownloads.com.br/download/178/logview4net/>.
Acesso em: 9 mar. 2012.
MICROSOFT. Use o controle de acesso para restringir quem pode usar os arquivos. Disponvel
em: <www.microsoft.com/brasil/windowsxp/using/security/learnmore/accesscontrol.mspx>.
Acesso em: 30 nov. 2011.
MICROSOFT. Tipos de Backup. Disponvel em: <technet.microsoft.com/pt-br/library/
cc784306%28WS.10%29.aspx>. Acesso em: 14 out. 2011.
MDULO SOLUTION FOR PC. Disponvel em: <www.modulo.com.br/o-que-e-e-para-que-serve-aanalise-de-vulnerabilidades>. Acesso em: 9 set. 2011.
PEOTTA, L.; GONDIM, P. Anlise de risco em ambientes corporativos na rea de Tecnologia da
Informao. Disponvel em: <www.aedb.br/seget/artigos07/1049_risco.pdf>. Acesso em: 9 set.
2011.
RAMOS, A; BASTOS, A; LYRA, A; Guia oficial para a formao de gestores em segurana da
informao. 2. ed. Porto Alegre: Zouk, 2008.
SABINO, V.; KON, F. Licenas de software livre: Histrias e caractersticas. Disponvel em: <ccsl.ime.
usp.br/files/relatorio-licencas.pdf>. Acesso em: 9 out. 2011.
SAFER NET BRASIL. Preveno. Disponvel em: <www.safernet.org.br/site/prevencao/cartilha/saferdicas/safernet>. Acesso em: 12 out. 2011.
SNCHEZ, L. et al. Practical approach of a secure management system based on ISO/IEC 17799.
ARES, 2006.
SCHNEIER, B. Beyond Fear: Thinking sensibly about security in an uncertain world. New York:
Copernicus Books, 2003.
SMOLA, M. Gesto da segurana da informao: Uma viso executiva. Rio de Janeiro: Campus,
2003.
SHIPLEY, G. et al. Segurana mxima. 3. ed. Rio de Janeiro: Campus, 2001.
SISTEMAS IDS. Disponvel em: <www.mknod.com.br/?q=ids>. Acesso em: 9 mar. 2012.
TAVARES, P. et al. Segurana dos sistemas de informao: Gesto estratgica da segurana
empresarial. Lisboa: Centro Atlntico, 2003.
TOTAL DE INCIDENTES REPORTADOS AO CERT.BR. Disponvel em: <www.cert.br/stats/
incidentes/>. Acesso em: 12 ago. 2011.
VAUGHAN, E. Risk Management. New Baskerville: John Wiley & Sons, 1997.
VIANA, R. Blog Matemtica. Disponvel em: <1.bp.blogspot.com/-hsHn189mPAY/Td69fGRER4I/
AAAAAAAAAgM/gcvn3p392UM/s320/01.jpg>. Acesso em: 7 out. 2011.
VIDA DE SUPORTE. Plula vermelha: Imagem. Disponvel em: <vidadesuporte.com.br/wp-content/
uploads/2011/09/Suporte_282.jpg>. Acesso em: 22 set. 2011.
WIKIPDIA. Identificao por radiofrequncia. Disponvel em: <pt.wikipedia.org/wiki/
Identifica%C3%A7%C3%A3o_por_radiofrequ%C3%AAncia>. Acesso em: 30 out. 2011.
______. Lei de Moore. Disponvel em: <pt.wikipedia.org/wiki/Lei_de_Moore>. Acesso em: 7 out.
2011.
______. Cifra de Csar. Disponvel em: <pt.wikipedia.org/wiki/Cifra_de_C%C3%A9sar>. Acesso
em: 7 out. 2011.
______. Licena comercial. Disponvel em: <pt.wikipedia.org/wiki/Licen%C3%A7a_comercial>.
Acesso em: 10 out. 2011.
______. RAID. Disponvel em: <pt.wikipedia.org/wiki/RAID>. Acesso em: 26 nov. 2011.
______. Segurana da Informao. Disponvel em: <pt.wikipedia.org/wiki/Seguran%C3%A7a_da_
informa%C3%A7%C3%A3o>. Acesso em: 6 ago. 2011.
______. Sistema de alta disponibilidade. Disponvel em: <pt.wikipedia.org/wiki/Sistema_de_
alta_disponibilidade>. Acesso em: 8 nov. 2011.
YROSS. Certificao digital. Disponvel em: <yross.wordpress.com/2010/07/14/certificadodigital/>. Acesso em: 6 mar. 2012.
ZAPATER, M.; SUZUKI, R. Segurana da informao: Um diferencial determinante na
competitividade das corporaes. So Paulo: PROMON, 2005. Disponvel em: <www.promon.com.
br/portugues/noticias/download/Seguranca_4Web.pdf>. Acesso em: 11 ago. 2011.
MINICURRCULO Do autor
Rafael Ddimo Santos, graduado em Cincia da Computao pela PUC-GO, especialista em Banco
de Dados pela UFG. Trabalha atualmente no Tribunal Regional Eleitoral de Gois exercendo a funo de Analista de Sistemas.
ndice
D
Denial of service 24
H
Hash 72
K
Kernel 62
M
Mitigar 25
P
Planejamento 115
T
Token 70, 86

Unidade de Educao Profissional e Tecnolgica UNIEP
Rolando Vargas Vallejos
Gerente Executivo
Felipe Esteves Morgado
Gerente Executivo Adjunto
Diana Neri
Coordenao Geral do Desenvolvimento dos Livros
SENAI Departamento Regional de Gois
Ariana Ramos Massensini
Coordenao do Desenvolvimento dos Livros no Departamento Regional
Rafael Ddimo dos Santos
Elaborao
Cludio Martins Garcia
Reviso Tcnica
FabriCO
Bruno Lorenzzoni
Camilla Lckmann
Jaqueline Tartari
Loureno Tristo
Wania Maria de Almeida Pereira
Design Educacional
Carmen Garcez
Reviso Ortogrfica, Gramatical e Normativa
Bruno Lorenzzoni
Denis Pacher
Thiago Rocha
Victor Amrico Cardoso
Ilustraes
Denis Pacher
Thiago Rocha
Tratamento de Imagens
Carmen Garcez
Normalizao
Mariana Bugo
Thiago Rocha
Denis Pacher
Diagramao
i-Comunicao
Projeto Grfico

ME - Segurança de Dados

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ME - Segurança de Dados

Загружено:

Авторское право:

Доступные форматы

Srie tecnologia da informao (TI)

Srie TECNOLOGIA DA INFORMAO (TI)

CONFEDERAO NACIONAL DA INDSTRIA CNI

Robson Braga de Andrade

Rafael Esmeraldo Lucchesi Ramacciotti

Robson Braga de Andrade

Rafael Esmeraldo Lucchesi Ramacciotti

Srie tecnologia da informao (TI)

2012. SENAI Departamento Nacional

SENAI-Departamento Regional de Gois

1. Segurana da informao. 2.Normas e legislao de software.

Setor Bancrio Norte Quadra 1 Bloco C Edifcio Roberto

Figura 40 - Tela principal do Microsoft Backup..................................................................................................105

Quadro 1 - Habilitao Profissional Tcnica em Manuteno e Suporte em Informtica........................13

5.3 Poltica de backup........................................................................................................................................97

Fundamentos para Documentao Tcnica

Terminologia de Hardware, Software e Redes

Arquitetura e Montagem de Computadores

Instalao e Manuteno de Computadores

Instalao e Configurao de Rede

Tendncias e Demandas Tecnolgicas em TI

2.1 O QUE SEGURANA?

Denis Pacher (2012)

Reflita sobre o conceito de segurana. Lembre-se de que devemos ter em

Denis Pacher (2012)

Figura 2 - Exemplo de percepo de segurana

Da mesma forma, podemos achar que no corremos o risco de um assalto

O QUE VOC QUER PROTEGER?

QUAIS SO OS RISCOS QUE SE APRESENTAM PARA O QUE VOC QUER

QUAL A EFICCIA DA SOLUO DE SEGURANA DIANTE DESSES RISCOS?

QUAIS OS RISCOS GERADOS PELA SOLUO DE SEGURANA?

QUAIS SO OS CUSTOS E ESCOLHAS QUE A SOLUO IMPLICA?

2.2 O QUE A SEGURANA DA INFORMAO

Denis Pacher (2012)

Figura 3 - Caractersticas bsicas da segurana da informao

a) Disponibilidade: garante que a informao estar sempre disponvel para

b) Irretratabilidade ou no repdio: capacidade do sistema de garantir a

2.3 CARACTERSTICAS DA SEGURANA DA INFORMAO

sistema ou desrespeito poltica de segurana de uma corporao, eventos que

GARANTINDO A DISPONIBILIDADE DOS RECURSOS

GARANTINDO A INTEGRIDADE DAS INFORMAES

O valor de uma informao reside na sua confiabilidade: o erro de uma vrgula

GARANTINDO A CONFIABILIDADE DAS INFORMAES

2.4 A IMPORTNCIA DA SEGURANA DA INFORMAO

qualquer, geralmente dados confidenciais de clientes de empresas que tenham

Assista ao seguinte vdeo: Venda de dados sigilosos API Informao, em <www.youtube.com/

Um dos principais motivadores desse aumento a difuso da internet, que

Ano (1999 a junho de 2011)

que as ameaas segurana continuem a crescer no apenas em ocorrncia,

Normas e Legislao de Software

3.1 NORMAS SOBRE A SEGURANA DA INFORMAO

3 NORMAS E LEGISLAO DE SOFTWARE

Como forma de dar suporte implantao da ISO/IEC 27001:2005, o Comit

3.2 O QUE UM SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Figura 5 - Sistema de gesto de segurana

3 NORMAS E LEGISLAO DE SOFTWARE

Lembrando que faz parte do SGSI a necessidade de manter documentao

3.3 IMPLANTAO DE UM SISTEMA DE GESTO DE SEGURANA DA

d) linguagem nica internacional com padres da famlia ISO 27000;

FASES DE IMPLANTAO DE UM SGSI

3 NORMAS E LEGISLAO DE SOFTWARE

Monitorao: anlise crtica do desempenho e eficcia do SGSI. O comit de

Denis Pacher (2012)

A NBR ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA),

Fundamentos para Documentao Tcnica

Terminologia de Hardware, Software e Redes