Gestao Da Seguranca Da Informacao

Gesto de Segurana da Informao
Braslia-DF.
Elaborao
Wender F. Oliveira
Produo
Equipe Tcnica de Avaliao, Reviso Lingustica e Editorao
SUMRIO
APRESENTAO...................................................................................................................................... 5
ORGANIZAO DO CADERNO DE ESTUDOS E PESQUISA.................................................................................. 6
Introduo.......................................................................................................................................... 8
unidade I
Introduo Segurana da Informao.............................................................................................. 11
captulo 1
Classificao das Informaes.............................................................................................. 13
CAPTULO 2
Ciclo de Vida da Informao .................................................................................................. 18
CAPTULO3.
Segurana da Informao e seus Critrios............................................................................. 21
unidade II
Melhores prticas da Segurana da Informao................................................................................. 23
CAPTULO 1
Introduo ABNT NBR ISO/IEC 27002:2005................................................................................ 25
CAPTULO 2
Anlise/avaliao e tratamento dos riscos............................................................................ 29
CAPTULO 3
Gesto de ativos.................................................................................................................... 31
CAPTULO 4
Controle de acessos............................................................................................................. 33
CAPTULO 5
Auditoria............................................................................................................................... 36
CAPTULO 6
Gesto da Continuidade do Negcio........................................................................................ 38
unidade III
Aspectos Tcnicos.............................................................................................................................. 41
CAPTULO 1
Vulnerabilidades................................................................................................................... 43
CAPTULO 2
Ameaas................................................................................................................................ 45
CAPTULO 3
Ataques................................................................................................................................. 47
CAPTULO 4
Sistemas de Preveno e Deteco de Intruso...................................................................... 60
unidade IV
Sistemas de Proteo da Informao.................................................................................................. 67
captulo 1
Criptografia.......................................................................................................................... 69
CAPTULO 2
Assinatura e certificao digital........................................................................................... 76
referncias ...................................................................................................................................... 79
APRESENTAO
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa rene elementos que se entendem necessrios
para o desenvolvimento do estudo com segurana e qualidade. Caracteriza-se pela atualidade, dinmica
e pertinncia de seu contedo, bem como pela interatividade e modernidade de sua estrutura formal,
adequadas metodologia da Educao a Distncia EaD.
Pretende-se, com este material, lev-lo reflexo e compreenso da pluralidade dos conhecimentos a
serem oferecidos, possibilitando-lhe ampliar conceitos especficos da rea e atuar de forma competente
e conscienciosa, como convm ao profissional que busca a formao continuada para vencer os desafios
que a evoluo cientfico-tecnolgica impe ao mundo contemporneo.
Elaborou-se a presente publicao com a inteno de torn-la subsdio valioso, de modo a facilitar sua
caminhada na trajetria a ser percorrida tanto na vida pessoal quanto na profissional. Utilize-a como
instrumento para seu sucesso na carreira.
Conselho Editorial
ORGANIZAO DO CADERNO
DE ESTUDOS E PESQUISA
Para facilitar seu estudo, os contedos so organizados em unidades, subdivididas em captulos, de forma
didtica, objetiva e coerente. Eles sero abordados por meio de textos bsicos, com questes para reflexo,
entre outros recursos editoriais que visam a tornar sua leitura mais agradvel. Ao final, sero indicadas,
tambm, fontes de consulta, para aprofundar os estudos com leituras e pesquisas complementares.
A seguir, uma breve descrio dos cones utilizados na organizao dos Cadernos de Estudos e Pesquisa.
Provocao
Pensamentos inseridos no Caderno, para provocar a reflexo sobre a prtica
da disciplina.
Para refletir
Questes inseridas para estimul-lo a pensar a respeito do assunto proposto. Registre
sua viso sem se preocupar com o contedo do texto. O importante verificar
seus conhecimentos, suas experincias e seus sentimentos. fundamental que voc
reflita sobre as questes propostas. Elas so o ponto de partida de nosso trabalho.
Textos para leitura complementar

Novos textos, trechos de textos referenciais, conceitos de dicionrios, exemplos e
sugestes, para lhe apresentar novas vises sobre o tema abordado no texto bsico.
Sintetizando e enriquecendo nossas informaes

abc
Espao para voc, aluno, fazer uma sntese dos textos e enriquec-los com sua
contribuio pessoal.
Sugesto de leituras, filmes, sites e pesquisas

Aprofundamento das discusses.
Praticando
Atividades sugeridas, no decorrer das leituras, com o objetivo pedaggico de
fortalecer o processo de aprendizagem.
Para (no) finalizar

Texto, ao final do Caderno, com a inteno de instig-lo a prosseguir com a reflexo.
Referncias
Bibliografia consultada na elaborao do Caderno.
Introduo
Desde o incio dos tempos, tudo informao: o pensar, o ver, o sentir, o tocar etc. As informaes,
baseadas nos sentidos, so interpretadas por meios distintos (olhos, ouvidos, nariz etc.) e tratadas
diferentemente. Este tipo de informao a informao em seu estado natural e so tratadas de forma
autnoma, ou seja, automtica.
Deste tipo de informao, em seu estado natural, se evoluiu para a linguagem e para a escrita. A linguagem
meio o qual um grupo de pessoas utiliza para se comunicar mediante um sistema convencional de
smbolos e/ou fonemas. A escrita o ato de executar e registrar a linguagem cognitiva por meio dos
smbolos.
Diversos meios foram utilizados para o registro dos smbolos. Muitas civilizaes redigiam seus smbolos
em rochas e cavernas, outras em papiros e cermicas. At a criao dos livros que uma das formas mais
difundidas de registro de informao por meio dos sculos.
O ato de divulgar a informao acompanhou essa evoluo por meio da imprensa e dos servios de
postagem. Posteriormente, o uso do telgrafo deu continuidade divulgao de informaes por longas
distncias e foi, tempos depois, sucedido pelo telefone.
Aps o telefone, vieram os computadores e a que se inicia a nossa histria. Das vlvulas aos
semicondutores e do telefone internet, os computadores vieram para ficar. O computador, tal como
os livros, o principal meio de armazenamento de informaes enquanto a internet compartilha essas
informaes.
A velocidade da informao acompanha a evoluo a cada passo e com o uso da internet e outros meios
mais evoludos de comunicao (satlite, fibras pticas etc.) ficou instantnea a comunicao entre dois
cantos opostos no mundo. A velocidade tamanha que pessoas de idade elevada, nascidas no incio do
sculo passado, chegam a interpretar essa velocidade como mentira, manipulao e at magia.
Em todas as etapas da evoluo histrica da informao houve a preocupao com a segurana dessa
informao. A informao s tem valor se utilizada pela pessoa correta da maneira correta.
Tamanho era o medo de que uma informao casse em mos erradas que Csar (Gaius Julius Caesar
100 a.C. a 44 d.C.) utilizou de um mecanismo para cifrar uma informao que at hoje leva seu nome e
foi a base para os primeiros algoritmos criptogrficos na computao.
No apenas Csar, mas muitos outros lderes militares e estrategistas se preocupavam com isso. Napoleo
com o disfarce de seus mensageiros e Hitler com a espionagem e infiltrao so exemplos de preocupao
com as informaes prprias e dos oponentes.
Nota-se que independente da poca, e dos meios, a segurana da informao era algo prioritrio dentre
os lderes. A segurana mencionada no trata apenas da confidencialidade da informao, mas tambm
da autenticidade de quem a enviou e se ela chegou com integridade a seu receptor em tempo de sua
necessidade, ou seja, se a informao possua a disponibilidade necessria.
Nas prximas unidades sero apresentados conceitos inerentes segurana da informao, definies
e terminologia, normas e ferramentas. Analisar-se-o os riscos e ameaas, leis e padres, auditoria,
continuidade e aspectos tecnolgicos.
Objetivos
Apresentar os princpios da Segurana da Informao, suas classificaes, seus
ciclos de vida e seus critrios.
Abordar
conceitos sobre a Anlise e o Gerenciamento de Riscos, polticas de

segurana da informao, auditoria de sistemas, identificao de ameaas, deteco
de segurana e gesto dos ativos de TI.
Apresentar as vulnerabilidades mais comuns encontradas em sistemas de TI, a

sumarizao dos tipos de ataques aplicados em cada vulnerabilidade e a forma de
se proteger.
unidade
Introduo Segurana da
Informao
captulo 1
Classificao das informaes
Dado, informao e conhecimento

Para classificarmos a informao preciso, inicialmente, entender o que informao.
Informao o resultado do processamento, manipulao e organizao de dados, de tal forma que
represente uma modificao (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal
ou mquina) que a recebe. (WIKIPDIA, 2001)
Observe que essa definio diz que o [...] processamento, manipulao e organizao de dados.
normal encontrar pessoas, s vezes at profissionais, que confundem a diferena de dado e informao.
Ento vale definir o que dado. Dado qualquer coisa. Isso mesmo! Qualquer coisa! Exemplos de dados:
Figura 1 Exemplos de dados.
Os dados podem ser nmeros, datas, nomes, imagens, sons, fatos etc. Um dado, por si s, nada
representa. Ou seja, se dissermos o dado 05 de setembro de 2011, ele no representa nada. Sabemos
que se trata de uma data, mas e o que isto significa? A resposta nada. Um dado sem um contexto no
possui significado.
A partir do momento que adicionamos um contexto (unidade, metadado, nome do dado etc.) damos
significado ao dado. E este dado com significado recebe o nome de informao.
13
UNIDADE I | Introduo Segurana da Informao

Dado
26
11/9/2001
Ordem e Progresso
Azul
Contexto
Temperatura (C)
Ataque terrorista ao WTC
Lema do pavilho nacional
Cor do cu
Informao
26C
Ataque ao WTC aconteceu em 11/9/2011
A bandeira tem escrito Ordem e Progresso
O cu est azul
Figura 2 Exemplos de informaes.
Agora o dado contextualizado faz sentido. Porm a informao solitria tambm no o ltimo ponto
da cadeia. A informao tem que ser utilizada por quem a possui para que ela tenha valor. Quando a
informao tem valor e utilizada ela gera conhecimento.
Figura 3 Dado Informao Conhecimento.
Pilares da gesto da segurana da informao

A Gesto da Segurana da Informao GSI possui trs pilares bsicos:
Confidencialidade: a garantia de que a informao ser acessada apenas por

pessoas autorizadas.
Integridade: a garantia de que a informao no sofreu nenhuma alterao aps

sua emisso.
Disponibilidade: a garantia de que uma pessoa autorizada tenha acesso a uma

informao ntegra, no momento em que desejar.
14
Introduo Segurana da Informao
| UNIDADE I
Figura 4 Pilares da segurana da informao.
Alguns outros atributos importantes e que so baseados nos trs pilares so:
Autenticidade
Autenticidade do Emissor: a garantia de que a pessoa que enviou a informao

realmente quem diz ser; e
Autenticidade do Receptor: a garantia de que a informao foi recebida por
uma pessoa autorizada.
No repdio: tem por objetivo garantir que o receptor e o emissor no neguem a

autoria ou recebimento da informao.
Irretroatividade: garante que a informao foi gerada em determinado momento e

no anteriormente.
Legalidade: princpio que faz o elo entre as regras adotadas e a legislao local onde
est situada a empresa.
Privacidade: no ser identificado ao executar determinadas aes (como o voto

secreto, por exemplo).
Auditoria: divulga e confere as aes internas de uma empresa mediante ampla

transparncia nas informaes.
Classificao por disponibilidade

A informao pode ser classificada baseada em qualquer um dos trs pilares bsicos da segurana da
informao.
15

Quanto disponibilidade, a informao pode ser classificada como:
Disponvel: essa classificao diz que a informao deve permanecer disponvel

sempre que requisitada. Ex.: notcia, histrico etc.
Temporria substituvel: informao disponvel que pode ser substituda. Ex.: valor
de um ndice na bolsa de valores, um valor vlido at a substituio por outro mais

recente.
Temporria descartvel: informao disponvel e vlida at determinado momento

ou durante certo perodo. Ex.: campanha publicitria.
Indisponvel: informao que j esteve disponvel e foi descartada tornando-se

indisponvel ou informao retida. Ex.: campanha publicitria aps o seu trmino.
Classificao por integridade

Quanto integridade, a informao pode ser classificada como (FERREIRA, NETO e LEITE, 2009):
Vital: necessita de proteo especial no que diz respeito a sua integridade, pois a
empresa deve poder garantir que se preservou em seu estado original por todo o
tempo de sua guarda, podendo impactar de modo profundo o negcio.
Relevante: aquela cuja perda da integridade pode gerar transtornos de baixo
impacto para a empresa. Devem ser adotados controles usuais para a garantia da
integridade como a manuteno de uma cpia ou original de segurana, controle e
registro dos acessos etc.
Bsica (ou normal): aquela cuja perda de integridade a partir de um determinado
prazo no implica impactos empresa, e, portanto, no exige controles de auditoria

e de acesso.
Classificao por confidencialidade

A confidencialidade classifica a informao quanto ao seu nvel de acesso, isto , classifica quais as pessoas
(previamente autenticadas) tero acesso informao.
Dessa forma, a informao pode ser:
Pblica: informao livre e sem restrio de acesso ou necessidade de autenticao.

Informaes de conhecimento pblico. O acesso a essas informaes no compromete
os negcios ou imagem da organizao.
Interna: informao livre dentro do ambiente organizacional. Apesar de livre, uma
informao que pode prejudicar a empresa diretamente (implica os negcios) ou

indiretamente (ex.: queda nas aes ou comprometimento da marca).
16
| UNIDADE I
Restrita:
informao interna organizao, cujo acesso permitido apenas s

pessoas autorizadas (autenticadas). Informao com mdio teor de criticidade que
pode causar prejuzos organizao.
Confidencial:
informao de alta criticidade que se divulgada certamente

causar srios danos organizao. Apenas pessoas com nveis muito elevados de
autenticao podem acess-la.
17
CAPTULO 2
Ciclo de vida da informao
O ciclo de vida da informao baseado em trs grandes etapas: nascimento, manuseio e finalizao.
Figura 5 Ciclo de vida da informao.
Cada uma dessas grandes etapas pode ser dividida em etapas menores.
O nascimento constitudo pelas etapas:
Planejamento:
trata da identificao dos objetivos, necessidades e atividades

necessrias para a criao da informao.
Aquisio: a ao de levantar e agregar os dados necessrios criao da informao.

Criao:
a consolidao dos dados aplicados em contexto, ou seja, os dados

destinados a um propsito.
Aps a criao nascimento da informao ela estar pronta para ser utilizada, isto , manuseada. O
manuseio pode ser representado como:
Armazenamento:
o objeto literal onde estar a informao. Pode ser um

armazenamento fsico, lgico ou at mesmo mental.
Compartilhamento:
o ato de divulgao da informao, porm sempre com

respeito sua classificao.
Manuteno: a alterao ou adequao da informao. Algumas informaes no

podem ser alteradas e este ato cria uma nova informao.
Aplicao: a utilizao da informao. o instante em que uma informao se

torna em conhecimento.
18
| UNIDADE I
A ltima etapa, a finalizao, uma ao nica, porm com trs alternativas:
Descarte: o ato de desprezar a informao que est obsoleta ou que no possui

mais qualquer utilidade.
Arquivamento: o ato de deixar a informao armazenada para usos futuros ou

possveis consultas ao histrico, independente da informao ter sido utilizada
(aplicada) ou no.
Destruio: o ato de eliminar a informao independente de sua utilizao e aplicao.

Muitas vezes uma informao destruda devido sua classificao e criticidade.
O ciclo de gesto da informao pode ser visto como um processo.
Figura 6 Processo do ciclo de vida da informao.
Nota-se por meio deste processo que a informao criada e manuseada ciclicamente, ou seja, h um ciclo
interno de armazenamento, compartilhamento e manuteno da informao e tambm a sua constante
aplicao. Isso mostra que o conhecimento, a aplicao da informao, dinmico e deve ser reavaliado.
Uma aplicao (ou a falta dela) leva finalizao da informao em uma das trs formas: ou descarte, ou
arquivamento ou destruio. O descarte o ignorar a informao; o arquivamento o armazenamento de
um conhecimento adquirido ou de uma informao ainda no utilizada para possvel uso no futuro; e a
destruio a eliminao ntegra da informao.
Em termos fsicos podemos dizer que uma correspondncia recebida (informao), aps lida, ser jogada
na lixeira (descartada), ou colocada em uma pasta ou arquivo (arquivamento), ou, por fim, triturada,
picotada ou incinerada (destruda).
19
Gesto do ciclo de vida da informao

A gesto do ciclo de vida da informao (Information Lifecycle Management ILM) tem se tornado
fundamental para a gesto dos negcios, devido ao valor imensurvel que a informao tem para as
empresas.
sabido que a informao deve ser armazenada e utilizada para a gerao de conhecimento. Porm, a
pergunta : at quando?
Nem toda informao utilizada e dessa forma se analisa como armazen-la por determinado tempo e
quais as regras utilizadas para acessar essa informao e a infraestrutura necessria para tal.
.
Voc ouviu falar sobre a lei da transparncia que tem por objetivo acabar com o sigilo
eterno de documentos? Seriam documentos sigilosos de governos anteriores menos
importantes que de governos atuais? Reflita sobre as consequncias de se armazenar
tantas informaes e por quanto tempo. Qual seria a forma correta de descarte?
Pode-se dizer que o ILM uma ferramenta de mapeamento dos dados e da informao, por meio da
criao de processos de armazenamento, segurana e privacidade. Estes processos aperfeioam os
recursos aplicados em armazenamento de dados, por permitir que gestores de informaes saibam por
quanto tempo armazenar uma informao para ento descart-la.
Uma empresa com uma gesto eficaz do ciclo de vida da informao evita gastos desnecessrios com
equipamentos de armazenamento por descartar parte dos dados em datas adequadas, incrementando o
retorno esperado pela infraestrutura j existente no parque da empresa.
O que a empresa espera, ao implantar o ILM, aprimorar a produtividade de toda a informao, atravs
do ciclo de vida da informao, beneficiando a prpria empresa. Isso se d devido a questes inclusive
comerciais, ou seja, por exemplo, por meio do cumprimento de contratos por nvel de servio ou normas
corporativas, eficincia dos processos, segurana, integridade e privacidade da informao, reduo
na reteno da informao e agilidade no compartilhamento da informao em todas as esferas da
corporao.
20
CAPTULO 3
Segurana da informao e seus critrios
A tecnologia est em constante crescimento e, de certa forma, criou-se uma dependncia a essa tecnologia.
Desde a evoluo das redes locais, a internet e, mais recentemente, os dispositivos mveis e aplicaes
em nuvem, nota-se que no existe meio 100% seguro independente da mudana tecnolgica. O que se
consegue so mecanismos mais seguros e no totalmente seguros.
O aumento das vulnerabilidades se apresenta, principalmente, a uma maior exposio s ameaas.
Outros fatores, como os mecanismos de controle de privacidade, integridade e autenticidade, tambm
influenciam nessa anlise de exposio e de acesso no autorizado s informaes.
Diante dessa exposio e do incremento das ameaas, surgiu a necessidade de se sistematizar o
processo e as aes que formam meios de proteo da informao. Dessa forma se define a segurana
da informao como:
[...] proteo dos sistemas de informao contra a negao de servio a usurios
autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou
informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive,
a segurana dos recursos humanos, da documentao e do material, das reas e
instalaes das comunicaes e computacional, assim como as destinadas a prevenir,
detectar, deter e documentar eventuais ameaas a seu desenvolvimento.
(DOU, 2000)
Essa definio apresentada no Dirio Oficial da Unio, de 14/6/2000, uma sntese bastante vlida do
conceito segurana da informao. Porm, pode-se dizer resumidamente que a segurana da informao
a sistematizao de caractersticas bsicas que tm por intuito a proteo de dados, com o objetivo de
garantir e agregar valores para a organizao.
Com o objetivo de se padronizar conceitos e critrios, foram criadas diversas normas tcnicas, conhecidas
internacionalmente, com este propsito.
Evoluiu-se de outras normas a ISO/IEC 27002:2005 que teve seu texto representado por outras
instituies padronizadoras como a ABNT NBR ISO/IEC 27002:2005 que ser apresentada e detalhada
no captulo seguinte.
Para a criao das polticas de segurana da informao e sua avaliao, so aplicados critrios que se
baseiam nos princpios da segurana (confiabilidade, integridade e disponibilidade).
21

Dessa forma se analisam os riscos diante das ameaas, os custos e a implicao de se proteger de
determinada ameaa e quais as consequncias que uma organizao pode vir a encontrar em caso de
indisponibilidade devido ao aproveitamento de uma vulnerabilidade1.
A segurana tratada em trs mbitos ou nveis distintos: fsico, organizacional e pessoal. O nvel fsico
visa proteger os produtos, o organizacional os processos, e o pessoal, como o prprio nome diz, as pessoas.
Aps os trs nveis bsicos se observam os componentes a serem protegidos, ou seja, os equipamentos
(hardware), os aplicativos (software) ou os meios de comunicao. Estes possuem o propsito de identificar
e aplicar os padres normativos, mecanismos de preveno e de proteo nos trs nveis citados.
Os equipamentos em conjunto com os aplicativos devem prover a disponibilidade da informao. Os
aplicativos e os meios de comunicao devem prover sua integridade. E por fim os equipamentos e os
meios de comunicao devem estar protegidos garantindo a confidencialidade da informao.
22
Os termos ameaa, exploit, vulnerabilidade, riscos e outros sero apresentados na Unidade III.
unidade
Melhores prticas da Segurana da

Informao
II
CAPTULO 4
Introduo ABNT NBR ISO/IEC 27002:2005
A NBR ISO/IEC 27002:2005 uma norma tcnica padronizada pela a ABNT como o Cdigo de Prtica
para a Gesto de Segurana da Informao e foi baseada na ISO/IEC 27002:2005, que por sua vez evoluiu
de outras normas (ISO/IEC 17799 e BS 7799).
Essa norma tem por objetivo recomendar as melhores prticas na gesto de segurana da informao
para responsveis pela iniciao, implementao ou manuteno de sistemas de gesto de segurana da
informao.
A NBR 27002 diz:
Segurana da informao a proteo da informao de vrios tipos de ameaas para
garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno
sobre os investimentos e as oportunidades de negcio.
A segurana da informao obtida a partir da implementao de um conjunto de
controles adequados, incluindo polticas, processos, procedimentos, estruturas
organizacionais e funes de software e hardware (ABNT, 2005).
Como a informao tida estratgica para os negcios de uma empresa, a segurana desta estratgia
primordial. A informao, os processos de apoio, os sistemas de redes, ativos, pessoas etc. so todas fontes
de informao que devem ser protegidas.
Especialmente em meios eletrnicos (redes, servidores, computadores, dispositivos mveis etc.) h uma
exposio a diversos tipos de ameaas. Essas ameaas possuem as mais diversas formas e vo desde
invases de simples pichaes (que denigrem a confiabilidade e autenticidade da informao) at grandes
prejuzos financeiros atravs de fraudes eletrnicas.
Imagine uma situao semelhante da segunda guerra mundial. Que valor teria, para o exrcito alemo,
a informao de que a infantaria americana invadiria Omaha Beach no Dia D? Da mesma forma, se
a inteligncia americana soubesse dos ataques s torres gmeas e ao pentgono, quantas vidas seriam
poupadas?
Nota-se que h uma necessidade de se proteger as informaes no s em termos eletrnicos. A
inviolabilidade de correspondncia um meio constitucional de segurana da informao.
25
UNIDADE II | Melhores prticas da Segurana da Informao
Por que a segurana da informao

necessria?
A informao e os processos de apoio, sistemas e redes so importantes ativos
para os negcios. Definir, alcanar, manter e melhorar a segurana da informao
podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa,
a lucratividade, o atendimento aos requisitos legais e a imagem da organizao
junto ao mercado.
As organizaes, seus sistemas de informao e redes de computadores so
expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes
eletrnicas, espionagem, sabotagem, vandalismo, incndio e inundao. Danos
causados por cdigo malicioso, hackers e ataques de denial of service esto se
tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A segurana da informao importante para os negcios, tanto do setor pblico
como do setor privado, e para proteger as infraestruturas crticas. Em ambos
os setores, a funo da segurana da informao viabilizar os negcios como
o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar
ou reduzir os riscos relevantes. A interconexo de redes pblicas e privadas e
o compartilhamento de recursos de informao aumentam a dificuldade de se
controlar o acesso. A tendncia da computao distribuda reduz a eficcia da
implementao de um controle de acesso centralizado.
Muitos sistemas de informao no foram projetados para serem seguros. A
segurana da informao que pode ser alcanada por meios tcnicos limitada e
deve ser apoiada por uma gesto e por procedimentos apropriados. A identificao
de controles a serem implantados requer um planejamento cuidadoso e uma
ateno aos detalhes. A gesto da segurana da informao requer pelo menos a
participao de todos os funcionrios da organizao. Pode ser que seja necessria
tambm a participao de acionistas, fornecedores, terceiras partes, clientes ou
outras partes externas. Uma consultoria externa especializada pode ser tambm
necessria.
Fonte: (ABNT, 2005)
Para a correta proteo da informao preciso que a empresa identifique suas necessidades de segurana
da informao. A norma cita que estes requisitos podem ser de trs tipos: por anlise e avaliao de riscos;
pela legislao vigente; e por princpios, objetivos e requisitos do negcio da organizao.
Identificados os requisitos, a organizao pode comear a considerar a implementao de uma poltica de
segurana da informao.
26
Melhores prticas da Segurana da Informao
| UNIDADE II
Poltica de segurana da informao

O objetivo da poltica de segurana da informao orientar e apoiar a direo para a segurana da
informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes (ABNT,
2005).
Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre
apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma
poltica de segurana da informao para toda a organizao.
A poltica da organizao deve ser cumprida por todos os seus colaboradores por se tratar de uma
declarao dos compromissos com a proteo das informaes da organizao e/ou que dependam de
sua guarda.
Esta poltica deve ser implementada por meio da criao de um documento, aprovado pela direo,
publicado e comunicado aos colaboradores e aos agentes externos que tenham interesse em tais polticas,
como o caso de um banco que informa seus compromissos para os clientes (agentes externos).
necessrio que haja o comprometimento da direo tanto em suas aes como de forma explcita
no documento. Tambm preciso deixar evidente o foco da organizao no que tange a sua forma de
gerenciamento da informao, isto se d por:
definio de segurana da informao;

declarao de comprometimento;
estrutura de controle, anlise/avaliao e gerenciamento de riscos;
descrio das polticas, princpios e normas, como:
conformidade com legislaes;
requisitos de conscientizao;
gesto e continuidade do negcio; e
consequncias para o caso de violao das polticas.
definio de responsabilidades;
registro de incidentes; e
referncias a documentos de apoio.
A norma tambm prev que o documento de poltica de segurana da informao pode ser um captulo ou
parte de um documento de poltica geral da organizao. Este documento ao ser publicado externamente
organizao tem de ser criteriosamente verificado para que informaes relevantes, ou sensveis, no
sejam reveladas.
27

Para que a poltica de segurana da informao funcione preciso que se tenha um gestor ou responsvel
pela avaliao, controle e implantao da poltica na organizao.
Faz parte do papel desse gestor analisar criticamente em certos perodos ou em eventos que torne
necessria a anlise, para assegurar a continuidade, atualidade e eficcia das polticas de segurana da
informao.
necessrio que esse gestor tenha contato com a direo da organizao de modo que as polticas estejam
sempre alinhadas com o planejamento estratgico da empresa e suas metas.
28
CAPTULO 5
Anlise/avaliao e tratamento dos riscos
O objetivo da anlise/avaliao a identificao, quantificao e priorizao dos riscos com base em
critrios suficientes para determinar a aceitao dos riscos e dos objetivos da organizao.
Estes resultados indicaro as aes estratgicas de gesto a serem priorizadas no gerenciamento de riscos
e para a implementao de mecanismos de controle que protejam contra estes riscos.
A anlise dos riscos um processo contnuo e setorizado de forma que cubra toda a organizao ou todos
os sistemas (software) utilizados.
A avaliao apresenta indicadores que estimam quais riscos so mais importantes que outros e seus
impactos de implantao (ou no implementao) de preveno. Essa avaliao d um significado ao
risco em termos qualitativos (o que pode acontecer) e quantitativos (qual o custo associado ao risco).
necessrio que essa avaliao seja realizada de forma sistematizada por meio de processo ou mtodo
que permita a comparao e apresente os nveis de evoluo ou regresso dos riscos presentes na empresa.
Alguns mtodos para anlise e avaliao de riscos so apresentados em outra norma (ISO/IEC TR 13335-3).
Tratamento de riscos
O primeiro passo esperado no tratamento de riscos a definio dos critrios para determinar o nvel dos
riscos para a organizao. Riscos podem ser aceitos, ou no aceitos, de acordo com essa avaliao.
Um risco aceito quando se sabe da existncia dele, porm ele ser relevado devido baixa probabilidade
ou alto custo para tratamento do risco. Diz-se, em termos de segurana, que no existe ambiente totalmente
seguro. E a cada casa decimal a mais na segurana implica custo exponencialmente superior ao anterior,
ou seja, de 99,9% para 99,99% h um custo muito alto.
A NBR 17799 espera que os riscos, depois de identificados, recebam um dos tratamentos a seguir:
a. aplicao dos controles para reduo dos riscos;
b. aceitar o risco;
c. evitar o risco; e
d. transferir o risco.
29

A aplicao de controle para reduo o tratamento mais visvel, pois trata da implantao de mecanismos
destinados a proteger a organizao ou informao do risco de forma pr-ativa, ou seja, antecipadamente.
Por exemplo, para evitar o risco de invaso implantam-se fechaduras em todas as portas externas. Para
esses mecanismos, espera-se reduzir o risco para um nvel aceitvel, isto , deve-se considerar:
a. aspectos legais;
b. diretrizes da organizao;
c. requisitos e restries operacionais;
d. custo de implementao de mecanismo superior; e
e. o balanceamento entre o custo de implementao/operao contra a probabilidade
de danos.
A aceitao do risco o caso de no valer a pena o custo para reduo diante do prejuzo que o
aproveitamento daquele risco causa organizao. Seguindo a mesma linha de exemplos, sabe-se que
as fechaduras tetra ou eletrnica biomtrica so mais seguras, porm se aceita a existncia do risco de
arrombamento em uma fechadura simples que proteja um armrio de produtos de limpeza. Isto , o
custo de implantao de um mecanismo mais seguro muito alto diante do baixo prejuzo que o risco
(arrombamento) trar se explorado.
Para evitar o risco necessria a aplicao de mecanismos que no so diretamente relacionados quele
risco, mas que ainda assim o evitam, por exemplo, para se evitar o risco de arrombamento, um circuito
interno de monitoramento pode ser instalado. Isso inibe o arrombador em potencial devido possibilidade
de estar sendo vigiado a todo instante.
Por fim, a transferncia de risco significa repassar todo o risco a terceiros. o caso de incluso dos ativos
de uma organizao, ou at mesmo ativos pessoais, nos planos de uma seguradora.
Tratamentos aplicados a uma organizao no necessariamente implicam que possam ser aplicados s
outras. Por exemplo, um mecanismo de registro e identificao das pessoas que entram em uma academia
bastante razovel. Porm, o mesmo mecanismo aplicado a um motel fere diretamente a privacidade dos
clientes, o que no bem visto pelo aspecto legal ou costumeiro dos clientes.
Como nenhum tratamento eliminar por completo a possibilidade de ocorrncia de um risco, deve-se,
adicionalmente aos meios de tratamento, implementar sistemas para monitorar, avaliar, aprimorar tanto
a eficincia (fazer mais com menos) quanto eficcia (fazer o que deve ser feito).
30
CAPTULO 6
Gesto de ativos
Referente Gesto de Ativos, a ABNT NBR ISO/IEC 17799:2005 define seu objetivo como Alcanar e
manter a proteo adequada dos ativos da organizao.
Quando se fala de ativo refere-se parte ou totalidade dos bens de uma empresa ou pessoa. Dessa forma,
se o objetivo da gesto de ativos proteger os ativos infere-se que o ponto-chave proteger toda a
empresa nos quesitos fsicos e de informao.
Para que uma gesto de ativos seja eficaz preciso um mapeamento dos ativos da organizao, ou seja,
requer-se um inventrio de tudo o que a empresa possui e suas informaes. Cada item identificado
neste inventrio precisa de um proprietrio, ou responsvel, que ser identificado e ento definido como
responsvel pela manuteno apropriada dos controles de gesto e proteo de seus ativos.
Ao identificar os ativos necessria a definio, e de forma clara, a importncia deste para a organizao.
preciso identificar no s o ativo, mas tambm suas caractersticas, as informaes necessrias para
sua recuperao em caso de desastre, tipo de ativo, formato, localizao, responsvel, informaes sobre
cpias de segurana, licenas e sua importncia.
Tipos de ativos
definido pela norma ABNT NBR ISO/IEC 17799:2005 que so:
ativos de informao;
ativos de software;
ativos fsicos;
servios;
pessoas; e
intangveis.
Ao definir os ativos importante classific-los de acordo com seus tipos.
Os ativos de informao, principal ativo para a segurana da informao, so bases de dados, arquivos,
documentos de negcios (contratos, acordos etc.), documentaes, dados de pesquisas, planos de
continuidade, trilhas de auditoria e mapeamentos organizacionais.
31

J os softwares so aplicativos, ferramentas ou sistemas computacionais que so utilizados no processamento
e anlise das informaes. So editores de textos, editor de planilhas, sistemas corporativos, sistemas
gerenciais, ferramentas de bancos de dados, utilitrios, e quaisquer outros produtos utilizados na
atividade-fim ou operacional da empresa.
Os ativos fsicos so os equipamentos utilizados pela empresa. Computadores, telefones, cmeras,
impressoras, mveis etc. Tambm so considerados ativos fsicos as mdias mveis como CD-ROM,
DVD-ROM, fitas magnticas (backup) etc.
Os servios esto relacionados utilidade da organizao para com seus clientes. Servios de
comunicao, fornecimento de energia, gua, gs etc., servios computacionais e outros.
As pessoas so ativos avaliados pelas suas qualificaes, expertise, know how, experincias e conhecimentos.
Os ativos ou bens intangveis so ativos invisveis, mas que podem influenciar no andamento dos
negcios tal como a reputao de seus dirigentes, marca e imagem da organizao.
32
CAPTULO 7
Controle de acessos
Com base nos requisitos do negcio e estratgias da empresa, necessrio controlar o acesso s
informaes. Esse controle deve sempre levar em conta as polticas de segurana da informao tratando
de suas autorizaes e dos meios de disseminao da informao.
A poltica de controle de acessos deve compor parte da poltica de segurana da informao. Aquela
deve conter, ainda, as regras e direitos para cada usurio, grupos, sistemas e servios, e devem estabelecer
vnculo entre os controles lgico e fsico, de forma conjunta.
Existem trs maneiras bsicas de se proteger um ativo por controle de acessos:
Quem voc ?
O que voc possui?
O que voc sabe?
Com base nesses trs pontos se define a autenticidade e, assim, o privilgio que determinada pessoa
possui para um ativo.
Quem voc um mecanismo de autenticao dos mais seguros que utiliza diretamente uma anlise
corporal do indivduo como, por exemplo, leitura biomtrica digital, palma, ris ou reconhecimento de
voz. Isso garante que a pessoa que est solicitando o acesso realmente a autorizada.
Em casos de coao, uma pessoa autorizada daria acesso normal a uma pessoa no autorizada. Apesar
de alguns mecanismos, como o de reconhecimento de voz e/ou ris, possurem meios que permitam a
diferenciao do estado do autorizado em uma situao normal ou em estado de pnico (por meio da
presso ocular ou tonalidade da voz).
O que voc possui nada mais que um objeto qualquer que garante que a pessoa que o possui a
autorizada. Comum em sistemas bancrios como carto magntico, carto de cdigos ou tokens2.
Esses meios no garantem que o portador de fato quem diz ser, mas se associados com outros meios
fornecem um nvel a mais de controle de acesso. Da mesma forma que no caso anterior, em caso de coao
o autorizado pode entregar o mecanismo, passando, assim, privilgios para uma pessoa no autorizada.
Por fim, O que voc sabe o mecanismo de informaes conhecidas, a princpio, apenas pelo autorizado.
Trata-se de senhas ou questes pessoais (nome de familiares, datas, lugares ou situaes etc.).
2
Dispositivo eletrnico que possui uma assinatura ou meios de gerao de cdigos sincronizados com um dispositivo mestre.
33

Tal como nos outros casos, sempre h o risco de coao que leva o autorizado a dizer seus dados a
uma pessoa no autorizada. Alguns sistemas utilizam, por exemplo, senha normal e de coao (caso de
emergncia) para evitar tal situao.
Existem duas formas de se evitar problemas de coao, que so:
diviso de responsabilidade;
multicritrios.
A diviso de responsabilidade o compartilhamento de informaes ou dispositivos entre uma ou mais
pessoas. muito comum vermos nos filmes situaes em que para o lanamento de um mssil ou abertura
de um cofre altamente seguro, se precisam de duas pessoas juntas com seus respectivos cartes e senhas
ou chaves. A diviso de responsabilidade como voc colocar duas fechaduras em uma porta e entregar
a chave de cada uma para pessoas distintas, ou seja, a porta ser aberta apenas quando as duas pessoas
estiverem juntas.
Figura 7 Controle de acesso com diviso de responsabilidade.
Esta diviso reduz o risco de coao uma vez que apenas um pedao do controle no ser suficiente para
prejudicar o negcio, o ativo ou comprometer a segurana.
34
| UNIDADE II
A outra forma, os multicritrios, ocorre devido juno de mais de um dos trs pontos citados. Mais
uma vez, no caso dos sistemas bancrios, o correntista possui um carto e sabe a senha. Em alguns casos
mais restritos, a leitura da palma ou ris utilizada. Ou seja, um sistema individual bem mais seguro se
utilizar em paralelo dois ou trs dos meios bsicos de controle de acesso.
Figura 8 Controle de acesso multicritrio.
A diviso de responsabilidades e os multicritrios tambm podem ser utilizados em paralelo, porm

obrigando que sempre duas ou mais pessoas estejam juntas. Pode ser uma situao desejvel, mas em
determinados casos a privacidade do acesso exige que apenas uma pessoa acesse por vez e com isso fica
invivel a diviso de responsabilidades.
35
CAPTULO 8
Auditoria
A auditoria, na esfera da segurana de informao, a anlise de dados e fatores de uma empresa com o
objetivo de conferir se as atividades realizadas e que so vinculadas poltica de segurana esto sendo
respeitadas e se so eficazes.
O objetivo primordial da auditoria expressar uma opinio da pessoa, da organizao ou do sistema em
questo, sob a avaliao baseada no trabalho realizado em uma base de testes.
A auditoria, quase sempre, realizada com base em registros. Estes registros podem ser realizados de
forma manual (assinatura de um livro de visitantes, por exemplo) ou de forma eletrnica (por arquivos
de log, udio, imagens etc.).
comum visualizarmos cmeras de vigilncia nos mais variados estabelecimentos. O que essas cmeras
fazem de fato um registro que possa ser auditado no futuro de acordo com a necessidade ou uma
periodicidade predeterminada nas polticas de segurana da empresa.
Independente da forma de registro, existem alguns dados que so necessrios, por exemplo, data e hora
de acesso, quem acessou, se o acesso foi autorizado ou negado etc. Para o caso dos logs em uma rede de
computadores, como a internet, por exemplo, tambm se registra o endereo IP que originou o acesso, os
arquivos acessados, os programas utilizados, protocolos etc.
Diante de certas restries, o processo de auditoria visa prover apenas uma garantia razovel de que os
indicadores no possuem erros materiais. Por isso comum a adoo de amostragem estatstica para
representar a situao do objeto auditado.
Por exemplo, no caso de uma auditoria financeira, um conjunto de objetos dito como justo e perfeito
quando ele estiver livre de distores relevantes. Assim, o conceito utilizado para sua representao
influenciado por fatores quantitativos (numricos) e qualitativos.
No que foi apresentado, tratamos de uma auditoria destinada ao monitoramento das atividades. Porm, h
situao em que realizada uma auditoria com vistas a medir o grau de adequao de uma organizao
com as suas polticas de segurana.
Este outro caso aplicado em situaes onde a empresa contrata consultoria ou utiliza-se de equipe
especializada para verificar se certos critrios esto sendo aplicados. Estes critrios podem ser, por exemplo:
acessos autorizados;
operaes privilegiadas;
36
| UNIDADE II
tentativas de acessos negados (no autorizados);

alertas do sistema (falhas);
alteraes nos parmetros de segurana.
Para realizar essas atividades de forma eficiente preciso considerar a criticidade do processo, o valor da
informao, experincias anteriores e os prprios logs.
Auditor
O auditor o responsvel direto pela execuo de um processo de auditoria.
Ele pode ser um profissional que trabalhe na prpria organizao em que seu papel principal
garantir as conformidades necessrias para que a empresa prevalea sempre adequada a normas que,
muitas vezes, so ditadas por rgos externos ou instituies certificadoras que exijam determinadas
posturas da organizao para que seu ttulo prevalea. Eles executam vrios procedimentos de auditoria,
principalmente relacionados a procedimentos sobre a eficcia dos controles internos da empresa e sobre
relatrios financeiros. Tambm avaliam a eficcia dos seus controles internos.
Embora os auditores internos no sejam considerados independentes da organizao em que executam
os procedimentos de auditoria, os auditores internos das empresas de capital aberto so obrigados a se
reportar diretamente ao conselho de administrao e no gesto, de modo a reduzir o risco de que os
auditores internos sejam pressionados a produzir avaliaes favorveis.
Outra categoria de auditores a figura do auditor externo. Ele o revisor oficial de contas, documentos,
sistemas e processos.
O auditor externo um profissional de uma empresa independente contratada pelo cliente e tem a tarefa
de expressar uma opinio sobre se as demonstraes financeiras da companhia esto livres de distores
relevantes, quer devido fraude ou erros.
Para empresas de capital aberto, auditores externos tambm podem ser necessrios para expressar
uma opinio sobre a eficcia dos controles internos e seus relatrios financeiros, e tambm podem
ser contratados para realizar outros procedimentos acordados, relacionados ou no relacionados s
demonstraes financeiras como auditoria de processos, auditoria de qualidade, auditoria de sistemas e
auditoria de segurana.
Auditores externos, embora contratados e remunerados pela empresa a ser auditada, so considerados
como auditores independentes. E suas anlises tm poder de prevalncia sobre a dos auditores internos.
O auditor externo se diferencia do auditor interno porque ele segue os seus prprios padres de auditoria.
O nvel de independncia , portanto, a principal diferena entre os dois profissionais.
Uma terceira categoria a do consultor auditor. O consultor auditor pode trabalhar de forma independente
ou como parte da equipe de auditoria que inclui auditores internos. Consultores auditores so usados
quando a empresa no dispe de conhecimentos suficientes para determinadas reas de auditoria, ou
simplesmente para o aprimoramento e preparo para que seja recebida uma auditoria externa.
37
CAPTULO 9
Gesto da continuidade do negcio
O objetivo da gesto da continuidade do negcio no permitir a interrupo das atividades do negcio
e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua
retomada em tempo hbil, se for o caso (ABNT, 2005).
Sua implementao se d para minimizar o impacto sobre a organizao em casos de desastres naturais,
acidentes, falhas em equipamentos e/ou aes intencionais, como o caso de ataques direcionados aos
ativos da organizao, e tambm a recuperao dos ativos mediante aes de recuperao e preveno.
Para que haja uma continuidade eficiente preciso identificar previamente os processos crticos aos
negcios da empresa, os riscos que estes processos possuem, o nvel de aceitao para considerar o
processo recuperado ou ativo e uma anlise dos impactos em caso de indisponibilidade parcial ou integral.
preciso que esta implementao determine meios para assegurar que as operaes essenciais ao negcio
sejam recuperadas dentro de um tempo previsto e com um plano de aes de recuperao em que ambos
foram levantados previamente.
A correta priorizao dos ativos e seus riscos reduzem o tempo de recuperao e facilita a criao do
plano de aes para os casos extremos. Esta priorizao se d com base na probabilidade e impacto das
interrupes e suas consequncias para a segurana da informao.
Todo este levantamento e anlise de riscos devem estar alinhados com o planejamento estratgico da
organizao e total cincia da direo da empresa.
Em funo dos resultados da anlise/avaliao de riscos, convm que um plano
estratgico seja desenvolvido para se determinar a abordagem mais abrangente a ser
adotada para a continuidade dos negcios. Uma vez criada a estratgia, convm que ela
seja validada pela direo e que um plano seja elaborado e validado para implementar
tal estratgia (ABNT, 2005).
Plano de continuidade dos negcios

Para se garantir a manuteno ou recuperao das operaes e para assegurar a disponibilidade da
informao no tempo previsto em caso de interrupes no negcio da empresa, necessria a criao de
planos de continuidade.
38
Este plano baseado no mapeamento dos ativos, riscos, probabilidades, impactos e tempo de recuperao.
Devem conter toda identificao, procedimentos a serem realizados em casos de indisponibilidade e
parmetros de dependncia externa e de contratos existentes.
| UNIDADE II
A norma tambm recomenda que o plano de continuidade de negcio trate as vulnerabilidades, a

contingncia regional (para o caso de desastres naturais) e a cpia do plano de continuidade sempre
atualizado.
Convm que o plano de continuidade do negcio trate as vulnerabilidades da
organizao, que pode conter informaes sensveis e que necessitem de proteo
adequada. Convm que cpias do plano de continuidade do negcio sejam guardadas
em um ambiente remoto, a uma distncia suficiente para escapar de qualquer dano
de um desastre no local principal. Convm que o gestor garanta que as cpias dos
planos de continuidade do negcio estejam atualizadas e protegidas no mesmo nvel
de segurana como aplicado no ambiente principal. Convm que outros materiais
necessrios para a execuo do plano de continuidade do negcio tambm sejam
armazenados em local remoto (ABNT, 2005).
A norma tambm recomenda que o plano de continuidade tenha a seguinte estrutura:

a. condies para ativao dos planos, os quais descrevem os processos a serem
seguidos (como se avaliar a situao, quem deve ser acionado etc.) antes de cada
plano ser ativado;
b. procedimentos de emergncia que descrevam as aes a serem tomadas aps a
ocorrncia de um incidente que coloque em risco as operaes do negcio;
c. procedimentos de recuperao que descrevam as aes necessrias para a
transferncia das atividades essenciais do negcio ou os servios de infraestrutura
para localidades alternativas temporrias e para a reativao dos processos do
negcio no prazo necessrio;
d. procedimentos operacionais temporrios para seguir durante a concluso de
recuperao e restaurao;
e. procedimentos de recuperao que descrevam as aes a serem adotadas quando do
restabelecimento das operaes;
f. uma programao de manuteno que especifique quando e como o plano dever
ser testado e a forma de se proceder manuteno deste plano;
g. atividades de treinamento, conscientizao e educao com o propsito de criar
o entendimento do processo de continuidade de negcios e de assegurar que os
processos continuem a ser efetivo;
h. designao das responsabilidades individuais, descrevendo quem responsvel pela
execuo de que item do plano. Convm que suplentes sejam definidos quando
necessrio;
i. os ativos e recursos crticos precisam estar aptos a desempenhar os procedimentos
de emergncia, recuperao e reativao.
39

O plano de continuidade deve passar por testes, manuteno e reavaliao peridica de forma a garantir
sempre a sua atualidade se aplicada ao cenrio atual. Tambm preciso a realizao de avaliaes e
simulaes de sua eficcia.
Essas tcnicas podem ser utilizadas em qualquer organizao e preciso que representem fielmente a
natureza do plano de recuperao. Os resultados dos testes devem ser registrados e utilizados na melhoria
dos planos, caso necessrio.
40
unidade
Aspectos
Tcnicos
III
CAPTULO 10
Vulnerabilidades
Vulnerabilidade um conjunto de fatores que pode aumentar ou diminuir o risco a que um ativo est
exposto diante de uma srie de ameaas.
Digamos que h o risco de um ladro invadir sua casa. Se a porta estiver fechada e trancada, esse risco
mnimo, por exemplo, 0,2% de chance de que um ladro arrombe a porta e entre. Se a porta estiver
fechada, mas no trancada, o risco aumenta muito e vai para 30%. Porm, se a porta estiver aberta, a
chance muito maior, ou seja, o risco maior e, em nosso exemplo, aproxima a 100%.
Ento, digamos que a casa o ativo; o ladro a ameaa; a vulnerabilidade a porta aberta ou destrancada;
o risco a chance de que a ameaa ocorra; e o ataque o ato do ladro entrar na casa.
Figura 9 Ativo, ameaa, vulnerabilidade, risco e ataque.
De forma direta, a vulnerabilidade um erro ou problema que facilita o ataque.

Na segurana da informao esto relacionados os bugs, ou seja, os erros que existem na rede ou
equipamentos que a compe. As vulnerabilidades podem ser causadas por erros de fabricao nos
equipamentos, erros nos sistemas operacionais, erros nos aplicativos e tambm erros nas pessoas.
43
UNIDADE III | Aspectos Tcnicos

Uma boa gesto de segurana tende a reduzir ao mximo as vulnerabilidades com o objetivo de mitigar
os riscos. claro que os riscos jamais sero eliminados por completo.
Os analistas de segurana costumam dizer que no existem ambientes 100% seguros. O que de fato eles
tentam dizer com essa mxima que, por mais que se detecte e corrija as vulnerabilidades, as ameaas
continuam existindo e tambm o risco, por menor que seja.
No momento de se determinar o nvel de segurana de uma empresa preciso pesar o custo que o ataque
causar organizao (impacto) com o custo de implementao de meios de segurana mais eficazes.
Um ambiente de rede alcana nvel de segurana de 99% com um custo relativamente baixo. Porm, para
incrementar esse nvel em 0,1% se gasta tanto quanto se gastou para chegar a 99%.
44
CAPTULO 11
Ameaas
A ameaa uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema
ou para uma organizao (ABNT, 2005, apud ISO/IEC, 2004). Ou seja, ameaa qualquer fator, evento,
pessoa, problema ou situao que incide risco de ocorrncia a algum, a uma empresa ou a um ativo.
Em termos da segurana da informao, as ameaas esto relacionadas com a quebra de um ou mais pilares
da segurana, ou seja, perda da integridade, perda da confidencialidade ou perda da disponibilidade.
quantificada como a probabilidade de que possvel perigo venha a aproveitar de uma vulnerabilidade
para quebrar a segurana ou causar algum mal organizao e seus ativos.
Uma informao alterada por quem no devia, um documento interno visualizado fora da empresa ou
uma pgina da internet ficar inoperante por algumas horas so exemplos de problemas que antes de
ocorrerem eram tratados como ameaas.
As ameaas so provenientes de agentes (pessoas) com a inteno de prejudicar a organizao ou a
mando de algum com esse interesse. Essas pessoas fazem isso por razes pessoais como vingana, fama
ou autoestima, ou por dinheiro se contratados por algum para executar o servio.
Classificao das ameaas

As ameaas podem ser classificadas por tipo ou pela sua origem. Uma ameaa pode possuir diversas
origens, mas ser classificada em apenas um tipo.
Quanto ao tipo, as ameaas se classificam como:
Dano fsico: fatores fsicos que causam problemas como fogo, gua, poluio, quedas
e arrombamentos.
Eventos naturais: so os provenientes da natureza e que em sua grande maioria

no podem ser previstos ou dimensionados como eventos climticos (enchente,
alagamento, furaco, tempestade etc.), ssmicos (terremotos) ou vulcnicos.
Perda de servios essenciais: a falta de recursos necessrios para que o sistema
permanea em operao e que pode ser de responsabilidade da prpria organizao

ou de agentes externos. o caso de falta de energia eltrica, interrupo do sistema
de condicionamento de ar ou queda dos servios de telecomunicaes.
45
Comprometimento de informaes: o acesso indevido de pessoal no autorizado
a informaes da organizao e que possam lev-lo a denegrir ou chantagear

a empresa. o caso de escutas telefnicas, roubo de dispositivos ou mdias e a
recuperao de materiais descartados (lixo).
Falhas tcnicas: so problemas que envolvem falhas nos equipamentos (por estarem
obsoletos ou por falta de preveno e atualizao), sistemas (bugs) ou saturao da

capacidade como falta de espao em um banco de dados. Normalmente so falhas que
poderiam ter sido evitadas se administradas, atualizadas e prevenidas, corretamente.
Comprometimento de funes: este tipo de ameaa definido pela indisponibilidade
ou parcialidade em funes devido a erro humano ou jurdico. Mal uso de sistemas,

quebra ou abuso de direitos autorais e o impedimento de que aes sejam executadas
incidem no comprometimento de funes.
Quanto sua origem, temos:
Deliberada (intencional): que tem o intuito de causar danos ao ativo. o caso de

espionagem, arrombamento, processamento ilegal de dados etc.
Acidental: trata de algo inesperado como falha de equipamento ou aplicativo.

Ambiental ou contextual: independe da organizao, sendo atribuda a eventos
excepcionais da natureza ou de agentes externos como falta de energia ou a
ocorrncia de tempestade.
46
CAPTULO 12
Ataques
O fruto da execuo de uma ameaa o ataque.
O ataque pode se dar por meio do aproveitamento de uma vulnerabilidade ou no. No exemplo da casa e
do ladro, a porta poderia estar trancada e a vulnerabilidade eliminada, porm o ladro poderia quebrar
a janela, entrar pela chamin ou arrombar a porta para entrar.
Quando um ataque realizado por meio de uma vulnerabilidade, ele chamado de exploit. Exploit, de
fato, nada mais que aproveitar.
Muitos agentes maliciosos utilizam de mecanismos como sites, programas e e-mails para disseminar vrus
pelas redes, onde esses vrus criam vulnerabilidades para que eles possam aproveit-las para atacar.
Tipos de invasores
Invasores so os elementos maliciosos que atacam os ativos por meio ou no de vulnerabilidades.
Os principais tipos so:
Cracker
o pior tipo de invasor. So pessoas com alto conhecimento em redes, protocolos e programao capazes
de invadir sites e redes para atender, normalmente, fins pessoais. Os principais motivos para um cracker
invadir um ambiente so:
busca por fama;

aumento da autoestima;
vingana;
dinheiro.
Hacker
O hacker um termo erroneamente atribudo pela mdia aos crackers. Trata dos especialistas em segurana
que possuem os mesmos conhecimentos e habilidades que os crackers, porm sem a necessidade de causar
danos aos ativos.
47

Os hackers so, normalmente, vistos como caa falhas. Ao invadir um site, um hacker deixa uma
mensagem para o administrador da rede informando que h erro e qual procedimento para corrigi-lo.
um vilo eticamente correto.
Phisher
Tal como os hackers, os phishers no possuem interesse em causar danos, porm querem deixar a sua
marca. O phisher tem por objetivo entrar no maior nmero de pginas possveis e deixar seu nome ou
nome de seu grupo.
Phishers so semelhantes aos pichadores do mundo real na Internet.
Em junho de 2011, um torneio entre phishers levou a uma enxurrada de pichaes em pginas do
governo. Um dos afetados foi a pgina do Instituto Brasileiro de Geografia e Estatstica IBGE, veja a
imagem a seguir:
Carder/Banker
So especialistas em fraudes virtuais que envolvem invases a contas bancrias, clonagem de cartes ou
fraudes em sites de comrcio eletrnico com dados pessoais e contas bancrias de terceiros (ou laranjas).
o tipo de ataque que mais cresce no mundo.
Esse tipo de ataque tem uma caracterstica peculiar diante dos outros, que a possibilidade de aplicao
de dispositivo legal para penalidade do invasor. Os outros tipos de invasores no sofrem penalidades por
48
Aspectos Tcnicos
| UNIDADE III
no possuirmos um dispositivo legal (lei, cdigo, decreto etc.) para tal, j os carders ou bankers sofrem
algumas punies por estar diretamente vinculado a prejuzos reais (dinheiro).
Tipos de ataque
Existem diversos tipos de ataques e a maioria so exploits, ataques que dependem de vulnerabilidades.
Vejamos alguns dos mais comuns.
Buffer Overflow
o ataque que permite ao invasor ter total controle memria de programa do computador, fazendo com
que este realize a operao que seja de seu interesse.
Esse tipo de ataque gera uma vulnerabilidade para outros ataques e passado atravs de vrus transferidos
em imagens, vdeos ou msicas.
SQL Injection
SQL uma linguagem de manipulao de bases de dados padronizada internacionalmente. O SQL
utilizado em quase todos os bancos de dados e possui simples representaes textuais para os mais
complexos comandos.
Quando as pginas na internet comearam a criar pginas dinmicas, utilizando banco de dados, surgiu
esse tipo de ataque. Suponha uma pgina na internet que tenha seu cadastro com nome e e-mail. Ao
apertar o boto cadastrar, a pgina enviaria um comando SQL semelhante ao seguinte:
INSERT INTO TB_Cadastro VALUES (Fulano de Tal, fulano.tal@mymail.com)
Este comando adicionaria o Fulano de Tal e seu e-mail a uma tabela no banco de dados. O invasor
nesse caso faria o seguinte, injetaria outro comando SQL em meio aos valores dos campos de nome e
e-mail, por exemplo, se no lugar do e-mail ele colocasse a) DROP TABLE TB_Cadastro(, esse comando
resultaria no seguinte envio ao SQL:
INSERT INTO TB_Cadastro VALUES (Fulano de Tal, a) DROP TABLE TB_Cadastro()
Observe que o trecho informado como se fosse o e-mail do cliente entra como outro comando independente
para o SQL que o interpreta e, nesse caso, excluiria toda a tabela TB_Cadastro com os dados de todas as
pessoas.
Esse caso um exemplo de ataque destrutivo, porm um carder, por exemplo, poderia utilizar esse tipo
de ataque para conseguir dados bancrios de todos os clientes de um site de comrcio eletrnico e assim
fazer a clonagem de milhares de cartes.
Por ser um tipo de ataque comum e relativamente antigo, a maioria dos sites j est prevenida quanto
a esse tipo de ataque. Alguns programadores iniciantes ainda cometem esses erros por desconhecer as
49

formas de ataque e os meios de preveno utilizados nas mais diversas linguagens para impedir este tipo
de ataque.
Cross-site Scripting (XSS)

Semelhante ao SQL Injection, porm aplicado a scripts web como o javascript ou vbscript.
Este tipo de ataque causa menos danos que o SQL Injection, por no possuir acesso direto base de dados.
Porm um tipo de ataque relativamente simples para realizar pichao ou manipulao de arquivos nas
pginas.
No incio dos scripts era comum a existncia desse tipo de ataque para causar a indisponibilidade por
meio de um lao (loop) infinito. Pense no exemplo do SQL Injection se o invasor preenche o e-mail com
o seguinte cdigo: <script>while(1);</script>
Na hora que o site for exibir aquele e-mail, o que ele agregaria pgina seria o script que ficaria parado na
mesma linha infinitamente, exigindo que o servidor seja reiniciado.
Tal como o SQL Injection, o XSS um tipo de ataque mais raro por depender de vulnerabilidades
provenientes de programadores inexperientes ou despreparados.
Trojan/Backdoor
Trojan e Backdoor so termos distintos, porm so normalmente utilizados em conjunto com o propsito
de criar uma nova vulnerabilidade em computadores pessoais.
O trojan o ato de enviar um arquivo a uma pessoa que ao execut-lo se instalar de forma automtica
um aplicativo malicioso no computador. O trojan era realizado para a disseminao de vrus, mas com o
crescimento das redes e da Internet os invasores notaram que mais valia a pena manter o computador sob
controle e de forma silenciosa e invisvel, ou seja, dificilmente um usurio perceber que seu computador
o hospedeiro de um trojan.
Ento, os trojans comearam a ser utilizados para copiar senhas dos computadores, gravando tudo o
que o usurio digita e enviando, periodicamente, estas informaes para o e-mail do invasor ou para a
abertura de uma porta virtual, que serviria de entrada para que o invasor domine por completo aquele
computador para o propsito que ele desejar.
Ao entrar pela porta aberta pelo trojan, o invasor acabou de executar o ataque backdoor que, literalmente,
significa porta dos fundos.
Worm
comum visualizarmos os danos que um vrus causa a um computador. Ele utiliza algum meio fsico
(disco, pendrive etc.) para se proliferar entre computadores. E em determinada situao esse vrus
hospedado corrompe arquivos, exclui pastas ou danifica fisicamente um equipamento.
50
Aspectos Tcnicos
| UNIDADE III
Agora pense em um vrus inteligente em que capaz de procurar caminhos atravs de uma rede e se
propagar automaticamente sem a necessidade de uma interveno fsica do usurio. Ento, esse o Worm.
Figura 10 Representao de proliferao de um Worm.
Worm possui a caracterstica de, depois de hospedado em um computador, procurar outros dispositivos
na rede local, ou internet, e de se multiplicar automaticamente. Normalmente ele se aproveita (exploit) de
determinada ou conjunto de vulnerabilidade.
Negao de Servio (Denial of Service DOS)

Este tipo de ataque um dos mais complexos de se prevenir.
O ataque de negao de servio pode ser feito contra qualquer pgina, servidor ou dispositivo em rede.
Ele se d mediante o envio de grandes quantidades de informaes, de modo que o equipamento demore
muito para process-las e se torne inoperante para outros clientes.
Suponha que o agente malicioso envie 1MByte de informaes difceis de serem processadas a um
servidor de um banco a cada segundo.
Figura 11 Ataque de Negao de Servio.
51

O servidor vai tentar processar cada um desses pacotes de informaes que chegam. A cada pacote uma
conexo ocupada, uma linha de processamento iniciada no servidor, memria alocada, arquivos so
carregados etc.
Depois de algum tempo tentando processar tudo ao mesmo tempo, o servidor comea a ficar lento e
chega a travar; quando trava, o servio interrompido, ou seja, h uma quebra de disponibilidade.
A partir da os usurios que tentarem acessar esse servidor o enxergam como se estivesse desligado ou,
quando com sorte, o servio possui uma resposta muito lenta.
Em resumo, negao de servio quando o invasor sobrecarrega o servidor com informaes falsas,
invlidas e de difcil processamento, de modo a impedir que informaes verdadeiras sejam processadas.
Figura 12 Indisponibilidade devido a negao de servio.
Negao de Servio Distribudo

(Distributed Denial of Service DDOS)
Com o exponencial crescimento da internet e a evoluo das tecnologias de conexo que hoje esto muito
mais rpidas, a negao de servio por si s se tornou pouco eficaz.
Ento, os agentes maliciosos causaram dois tipos de ataques, o trojan/backdoor e o negao de servio.
Dessa forma, o invasor espalha para milhares de computadores um trojan que abre um backdoor.
O DDOS distribui um aplicativo de ataque por meio de Worm ou Trojan, de modo que o invasor tenha
total controle do computador infectado ou de manipular os atributos e aes desses aplicativos. Aps
centenas ou milhares de computadores estarem infectados, o invasor envia comandos remotos para
todos os dispositivos infectados executarem um ataque de negao de servio, simultaneamente e ao
mesmo alvo.
52
Aspectos Tcnicos
| UNIDADE III
Figura 13 Primeira Parte: o invasor envia um aplicativo que d domnio h diversos computadores.
Figura 14 Segunda Parte: por ordem do atacante, os infectados realizam o mesmo ataque
ao mesmo tempo e ao mesmo alvo.
Este tipo de ataque resulta em uma negao de servio muito mais poderosa que a convencional. Imagine
um ataque de negao de servio convencional em que apenas um computador capaz de derrubar um
servidor e torn-lo indisponvel. Agora multiplique a dimenso deste ataque por milhares de vezes.
53
Figura 15 Resultado: aps o ataque o servidor fica inoperante e nega o servio aos clientes
que tentam acess-lo normalmente.
Recentemente, na onda de ataques a sites do governo brasileiro, ao verificar a origem dos ataques
a Polcia Federal deparou que os endereos IP (Internet Protocol) dos ataques eram oriundos de
computadores na Itlia.
Ataque hacker foi o maior j sofrido por sites do

governo na internet
O ataque hacker s pginas da Presidncia da Repblica, Portal Brasil e da Receita na
madrugada desta quarta-feira (22) foi o maior j sofrido pela rede de computadores
do governo brasileiro. De acordo com o Servio Federal de Processamento de
Dados (Serpro), o ataque que no causou danos s informaes disponveis nas
pginas partiu de servidores localizados na Itlia.
Para derrubar os sites, os hackers utilizaram sistemas que faziam mltiplas tentativas
de acesso ao mesmo tempo, tcnica batizada de negao de servio e conhecida
pelas iniciais em ingls DDoS (Distributed Denial of Service). O objetivo dessa ao
tornar o servio indisponvel.
[...]
Nos ataques a sites do governo brasileiro, foram mais de 2 bilhes de tentativas
de acesso em um curto perodo de tempo. Entre as 0h30 e 3h as pginas ficaram
fora do ar por causa do ataque, mas entre a 0h40 e 1h40 foi o perodo de maior
concentrao dos ataques e o sistema ficou congestionado.
[...]
Fonte: G1
54
Aspectos Tcnicos
| UNIDADE III
Envenenamento de cache DNS

O envenenamento de cache DNS trata do comprometimento da segurana ou da integridade dos dados
em um servidor DNS, que o responsvel por armazenar os nomes de domnio em uma rede local ou
internet.
Este ataque faz com que o invasor tenha envenenado o DNS com endereos no autnticos de pginas
comuns de forma que, no endereo falso, haja um clone da pgina verdadeira, porm com comportamento
adulterado, por exemplo, a pgina de um banco ou de um site de comrcio eletrnico, para copiar senhas
e/ou nmeros de carto de crdito dos usurios do site.
Figura 16 Diagrama que representa um envenenamento de DNS.
Este ataque tem a caracterstica de a vtima estar totalmente confiante de que acessa o site autntico e
independe de uma vulnerabilidade no computador ou instalao de qualquer aplicativo.
Uma das maneiras de se evitar este ataque por meio do uso de Certificados Digitais que ser detalhado
na Unidade IV Sistemas de Proteo da Informao.
Man in the middle (MITM)

Este tipo de ataque, que literalmente significa homem no meio pode ser representado como uma ponte
entre dois interlocutores, ou seja, um homem no meio da conexo.
Quando criana, muitos brincaram de telefone sem fio, e o princpio mais ou menos o mesmo, porm
com o intuito de obter informaes sigilosas ou apenas de espionagem.
Funciona da forma que um indivduo mal intencionado cria uma conexo com os dois lados de uma
comunicao (A M B). Dessa forma, o que A envia para B, o atacante l e retransmite exatamente
a mesma informao para B como se fosse A. Dessa maneira, B entende que a informao veio de A e
55

a responde. Esta resposta o atacante tambm intercepta, l e envia a mesma mensagem para A de forma
que A entenda que a origem foi o lado B. Veja o diagrama a seguir:
Figura 17 Representao de ataque Man in the middle.
Observe que A envia uma informao que repassada para B e vice-versa.

Ento, suponha o seguinte dilogo:
A
Ol Bob, aqui a Alice.
Ol Bob, aqui a Alice.
Ol Alice, aqui o Bob.
Ol Alice, aqui o Bob.
J que o Bob, a senha Bazinga
J que o Bob, a senha Bazinga
A senha est correta Alice
Recebi sua senha Alice
(no enviou nada)
Bob, eu sou Alice e a senha Bazinga
(no recebeu nada)
A senha est correta Alice
Figura 18 Exemplificao de dilogo com Man in the Middle.
Observe que no dilogo, a partir das linhas destacadas, o atacante se passa por Alice por ter interceptado
suas informaes anteriormente. Para Bob, a informao vlida e por isso todos os privilgios seriam
concedidos ao atacante sem qualquer questionamento.
Este tipo de ataque pode ser usado para capturar qualquer informao. Seja o simples conhecimento de
uma conversa privativa (espionagem) ou a aquisio de dados realmente relevantes, como senhas, dados
bancrios, dados pessoais ou chaves criptogrficas.
Uma das maneiras de se impedir este ataque por meio da utilizao de criptografia de chave pblica, que
ser abordada na Unidade IV Sistemas de Proteo da Informao.
56
Aspectos Tcnicos
| UNIDADE III
Phishing
Phishing, ou Pishing Scam, significa pescar informaes que no lhe pertencem.
Este tipo de ataque se utiliza de meios alternativos, como e-mail, SMS, mensageria instantnea, pginas
na web, filmes, animaes etc., para capturar dados de seu interesse. Um dos meios mais conhecidos
o famoso e-mail que chega a sua caixa postal dizendo que sua conta bancria foi bloqueada e pede para
clicar em determinado link para verificar os dados e desbloquear a conta.
Ao acessar tal link, nota-se uma aparncia muitssimo semelhante do banco verdadeiro e com a solicitao
de informaes como Carto de Crdito, CSV (Cdigo de Segurana), Senha do Carto, Senha do Banco,
senha alfanumrica etc.
A partir da, os dados dessa vtima esto de posse do atacante que pode utiliz-los para outras fraudes
eletrnicas.
Normalmente, as tentativas de Phishing so feitas por pessoas que possuem amplos conhecimentos de
informtica, porm, nem sempre, em lngua portuguesa. Note na imagem a seguir a existncia de diversos
erros de portugus que comumente so encontrados neste tipo de golpe.
Figura 19 Exemplo de Phishing.

Fonte: http://www.linhadefensiva.org/avs/scr/scr-19.gif
57
Sniffing
o tipo de ataque realizado com a ajuda de um aplicativo ou equipamento (apelidado de sniffer, ou seja,
farejador) que capaz de ler os pacotes que trafegam pelo barramento de uma rede.
Figura 20 Diagrama de fluxo de pacotes em um barramento fsico.
Esse diagrama apresenta o funcionamento convencional de um barramento de rede (Ethernet, por

exemplo) em que os pacotes de dados so enviados a todos os dispositivos no barramento. Nesta topologia,
os dispositivos recebem todos os pacotes e verificam o destinatrio para que aquele pacote se coincida
com o seu prprio endereo (normalmente IP ou Mac Address3). Uma vez sendo ele o destinatrio, o
pacote interpretado, e caso no seja para ele o pacote ser descartado.
O que o sniffer faz ignorar os endereos e ler todos os pacotes que chegam at ele independente do
destinatrio. Alguns sniffers armazenam os dados, conseguem filtrar pacotes especficos, filtrar dados de
dispositivos especficos etc.
Para evitar este tipo de ataque podem-se utilizar equipamentos de rede que direcionam o pacote apenas
para o endereo correto (switch) ao invs de utilizar os integradores de barramento (hub). O uso de
criptografia de chave pblica tambm impede este tipo de ataque.
Spoofing
Spoofing o tipo de ataque que aproveita do padro de encapsulamento do protocolo de internet (IP
Internet Protocol) para dizer que determinado pacote malicioso foi enviado por um endereo confivel.
Ou seja, o mascaramento do IP de origem para envio de um pacote malicioso.
58
Endereo fsico e nico atribudo a cada dispositivo de rede.
Aspectos Tcnicos
| UNIDADE III
Figura 21 Representao do ataque de IP Spoofing.
Observe na figura que o atacante utiliza como endereo de origem o mesmo IP de um servidor confivel.
Note-se, tambm, que o usurio ao responder este pacote enviar para o IP correto e desta forma o
atacante no ter acesso resposta do usurio.
Devido a este problema, muitas vezes o spoofing aplicado com outros tipos de ataque como trojan,
envenenamento de cache DNS etc., de modo que no necessite da resposta do usurio uma vez que o
pacote malicioso tenha chegado a seu destino.
59
CAPTULO 13
Sistemas de preveno e deteco de intruso
Existem diversos meios de se prevenir e/ou detectar uma intruso. Dentre os mais famosos esto o
firewall, Sistema de Deteco de Intruso (Intrusion Detection System IDS) e o Sistema de Preveno
de Intruso (Intrusion Prevention System IPS).
Antes de abordarmos os trs tipos de sistemas, vale ressaltar que todos eles podem ser implementados via
software ou por um equipamento dedicado que recebe o nome de appliance.
Firewall
O firewall , sem dvida, o mecanismo de segurana mais usado e um dos mais eficientes. Esse mecanismo
permite a criao de listas de permisso ou de bloqueio para endereos e/ou portas tanto de origem como
de destino.
O firewall fica instalado entre a rede externa (internet) e a rede interna (intranet).
Figura 22 Exemplificao de simples locao de um firewall.
Este tipo de instalao convencional tima em redes simples para que o administrador tenha o controle
de quais dispositivos (ou usurios) tero acesso a determinados endereos na internet.
Porm, neste tipo de locao, no interessante a utilizao de servios externos como servidor de
internet, e-mail, FTP etc. Isso se d porque em caso de ataque a um desses ativos (servidores), o atacante
possui amplo acesso a toda rede interna da organizao.
60
Aspectos Tcnicos
| UNIDADE III
Observe na figura a seguir que o firewall pode liberar acesso externo apenas ao servidor. Porm, como este
servidor est locado na rede interna, ele pode acessar todos os ativos na mesma rede. Dessa forma, caso
um invasor ganhe controle total sobre o servidor, ele ter acesso a toda rede atravs deste equipamento
que foi comprometido.
Figura 23 Canal de acesso externo ao servidor.
Zona Desmilitarizada (DMZ)

Para evitar essa questo de um invasor ter acesso rede local, criou-se um conceito de locao de
servidores em uma sub-rede chamada de Zona Desmilitarizada, conhecida por DMZ.
A DMZ pode ter acesso tanto externo quanto interno, porm um ativo locado nesta regio pode acessar
apenas ativos na mesma regio, deixando assim a rede interna segura em casos de domnio de um ativo
por parte de um invasor.
Figura 24 Exemplo de utilizao de DMZ com dois firewalls.
61

O problema da criao de uma DMZ nesta configurao a necessidade de utilizao de dois firewalls.
Esta configurao, apesar de mais cara, a mais segura e chamada de Multiple Firewall DMZ.
Uma alternativa mais barata, porm mais vulnervel, utiliza um nico firewall para criao de uma DMZ
Virtual, ou seja, uma DMZ separada apenas pelas diretivas implementadas no firewall.
Figura 25 Implementao de DMZ utilizando um nico firewall.
Tabela de Regras (Rule Table)

A configurao de um firewall se d por meio da incluso de regras em uma tabela, tambm conhecida
por Rule Table.
Esta tabela deve possuir, obrigatoriamente, os campos:
Protocolo: TCP/UDP
Origem: endereo e porta
Destino: endereo e porta
Ao: permitir ou bloquear
62
Aspectos Tcnicos
| UNIDADE III
Um exemplo de tabela de regras pode ser visto a seguir. Neste exemplo, observe que os itens 1 e 2
bloqueiam todos os acessos de qualquer endereo e porta para qualquer endereo e porta. um tpico
caso de que o que no explicitamente permitido bloqueado. O contrrio tambm pode ocorrer em
que o que no proibido permitido, e nesse caso tudo seria liberado e apenas os itens no permitidos
seriam adicionados na tabela.
Nmero
Protocolo
1
2
3
4
5
6
7
TCP
UDP
TCP
TCP
TCP
UDP
TCP
Origem
Endereo
Porta
Destino
Endereo
Porta
*
*
*
*
*
*
192.168.1.35
*
*
*
*
*.google.*
*.google.*
192.168.1.20
*
*
*
*
*
*
1755
*
*
80
443
*
*
80
Ao
Bloquear
Bloquear
Permitir
Permitir
Permitir
Permitir
Permitir
Figura 26 Exemplo de tabela de regras de um firewall.
Sistema de deteco de intruso IDS

O sistema de deteco de intruso tem a nica atribuio de identificar possveis invases e armazenar as
informaes desta invaso. Por identificar invases, este dispositivo colocado aps o firewall que separa
a rede interna ou DMZ da rede externa.
Figura 27 Exemplo de instalao de um IDS.
No exemplo, o IDS est locado na rede interna e detecta efetivamente quando um ataque ocorre. O
funcionamento do IDS baseado no sniffing, ou seja, ele abre todos os pacotes e compara se o contedo
daquele pacote semelhante ao de sua base de tipos de invases. Se detectado, ele adiciona em um
registro (log) onde o administrador da rede pode acessar posteriormente para verificar, apreender e
prevenir contra novos ataques.
63

Este registro contm apenas alertas de possveis invases. Estes alertas podem, de fato, ser ou no invases.
Se um alerta foi de fato uma invaso, ento se diz que este alerta do tipo True Positive (VerdadeiroPositivo), ou seja, foi um ataque verdadeiro, que cruzou as barreiras de segurana e levou quebra de um
dos trs pilares da segurana da informao.
Caso um alerta no seja um ataque de fato, este alerta classificado como um False Positive (FalsoPositivo) o que significa que o IDS detectou uma invaso que de fato foi um acesso legtimo e que no
ameaou de fato nenhum ativo.
Tambm podem ser classificadas a no criao de alertas, ou seja, uma invaso no detectada seria
um True Negative (Verdadeiro-Negativo) e uma transao convencional um False Negative (FalsoNegativo).
Sistema de preveno de intruso IPS

O IPS, diferentemente do IDS, locado em linha com a rede de entrada para a rede interna. O IPS colocado
em substituio ao firewall, ou antes do firewall, de modo que ele seja capaz de bloquear uma possvel
invaso, impedindo o invasor a comprometer qualquer ativo que esteja situado aps a posio do IPS.
Figura 28 Exemplo de arquitetura de rede com IPS e firewall.
O IPS possui a versatilidade do IDS ao ser capaz de identificar uma invaso e a segurana do firewall ao
bloquear conexes ou descartar pacotes. Como nem tudo no mundo so flores, o IPS possui a desvantagem
de ser mais lento que o firewall, e muitas vezes pode criar um gargalo nas conexes criando uma negao
de servio no intencional. Por isso, o IPS utilizado, por vezes, em srie com um firewall, de modo que
o firewall fica responsvel pelas polticas bsicas (baseadas em endereo), enquanto o IPS fica analisando
apenas as polticas referentes a pacotes.
Note no diagrama que h uma conexo da rede interna com o IPS. Esta conexo necessria para que o
administrador da rede possa verificar a existncia de alertas no IPS, ou seja, ler as possveis invases e o
comportamento que o IPS tomou em determinadas situaes, tal como feito para o IDS.
64
Aspectos Tcnicos
| UNIDADE III
Honeypot e Honeynet
Vale ressaltar, tambm, como um sistema de proteo e deteco a utilizao das chamadas honeypots e
das honeynets.
Honeypot um ativo criado para ser invadido. Estranho de se ler e acreditar, mas exatamente isso,
imagine um servidor Web que pode ser invadido a qualquer instante. O administrador cria um servidor
quase idntico e o coloca disponvel na internet com algumas restries a menos, de modo que atraia
a viso de um atacante. Dessa forma, ao atacar o honeypot, o atacante no estar comprometendo nada
na estrutura interna da empresa. Porm, para o administrador, este ataque utilizado como aprendizado
para verificar as possveis vulnerabilidades, evoluo das tcnicas invasivas e estudar meios de preveno.
A honeynet possui ideia semelhante da honeypot, porm a armadilha trata de uma rede inteira com
ativos falsos. Toda esta infraestrutura de servidores, estaes e demais ativos falsa e tambm utilizada
para estudo.
Como cara a implementao de uma honeynet real, com o surgimento das mquinas virtuais se tornou
comum este tipo de implementao, pois tornou possvel a criao de uma rede inteira em um nico
equipamento e um recurso extremamente til para identificao de novos padres e auxilia a organizao
na preveno de possveis ataques.
65
unidade
Sistemas de Proteo
da Informao
IV
captulo 14
Criptografia
Criptografia uma palavra oriunda do grego que significa escrita oculta, e trata do estudo e aplicao de
tcnicas para ocultar ou tornar informaes seguras diante de terceiros.
Historicamente, a criptografia comeou a ser utilizada h milhares de anos pelos romanos, egpcios,
hebreus, gregos e espartanos.
Com o advento dos computadores, a criptografia ganhou muita amplitude diante da necessidade de se
garantir que a informao esteja segura, pois no basta ocultar, preciso proteger.
A criptografia caracterizada pela possibilidade de se ocultar uma mensagem e posteriormente retomar
mensagem original. O que possibilita este caminho de mo dupla , normalmente, uma chave. A chave
criptogrfica pode ser tanto um dispositivo como um cdigo ou uma combinao de meios de segurana
(Quem voc ? O que voc sabe? O que voc possui?).
Figura 29 Exemplo de criptografia.
Existem basicamente duas categorias de criptografia, a de chave simtrica e a de chave assimtrica, ou

pblica.
O ato de codificar uma mensagem utilizando algoritmos criptogrficos chamado de cifrao,
enquanto o caminho reverso a decifrao. A mensagem cifrada chamada de criptograma.
Alm da criptografia existem algoritmos chamados de disperso que geram outra categoria de
codificao chamada hash. O hash, diferentemente da criptografia, no possvel recuperar a
informao original. Sendo assim, informaes que no precisam ser lidas em sua origem tm
preferncia pelo uso do hash.
69
UNIDADE Iv | Sistemas de Proteo da Informao

Vejamos detalhadamente estas trs categorias.
Criptografia simtrica
O ponto crucial da criptografia simtrica o fato de que tanto o emissor quanto o receptor da mensagem
possuem a mesma chave.
Isto quer dizer que, se o emissor A faz a codificao de uma mensagem com uma chave K, apenas
o conhecedor de tal chave K poder ler. Se B for o conhecedor, ao aplicar a chave K, ele recupera a
informao enviada por A.
Figura 30 Exemplo de criptografia simtrica.
Note na figura que as chaves utilizadas por Bob e por Alice so idnticas. Pois s mediante a chave ser
possvel a recuperao da mensagem original. Dessa forma, em um ataque do tipo man in the middle, por
exemplo, o atacante no teria acesso informao original por no possuir a chave. Porm, o atacante
teria acesso ao criptograma de modo que poderia armazenar um nmero suficientemente de mensagens
para tentar quebrar a chave ou o algoritmo criptogrfico.
Tipos de algoritmos simtricos

Todos os algoritmos simtricos funcionam de forma similar diferenciando-os pelo nmero de bits
aplicados na chave e do mtodo de cifrao utilizado. Os mtodos podem ser:
Em fluxo: aplicado independente do nmero de bits na informao.

Em bloco: aplicado em blocos de um nmero predeterminado de bits.
Na cifrao em fluxo, os bits da mensagem original so combinados com um conjunto de bits chave, por
meio de operaes lgicas XOR, ou exclusivo. Dessa forma, a codificao (a cifrao) realizada um bit
por vez.
70
Sistemas de Proteo da Informao
| UNIDADE IV
Figura 31 Exemplo de algoritmo simtrico em fluxo.
J no algoritmo simtrico em bloco, a informao cifrada em blocos de n bits. O nmero de bits em cada
bloco determinado pelo algoritmo. Esses atributos definidos antes da cifrao devem ser repetidos pelo
receptor para que ele possa decifrar a mensagem. Ou seja, se o emissor envia uma mensagem codificada
em blocos de 16 bits e o receptor tenta decifr-la em blocos de 32 bits, a mensagem resultante ser invlida
e diferente da original.
Neste tipo de algoritmo h outra caracterstica importante que a existncia de dois algoritmos. Um
exclusivo para a cifrao e outro (inverso) para a decifrao.
Ento, pode-se dizer que um algoritmo simtrico em bloco obedece seguinte relao:
Ak(M) = Mc | Ak-1(Mc) = M
Equao 1 Relao dos algoritmos de cifrao e decifrao.
Assim sendo, podemos ler a equao como:

O algoritmo A aplicado com a chave K em uma mensagem M resulta na mensagem codificada Mc
tal que o algoritmo inverso de A com a chave K na mensagem codificada Mc resulta na mensagem
original M.
Figura 32 Algoritmo simtrico de cifrao.
71

Note que na cifrao de um algoritmo em bloco, os bits so lidos de forma invertida em relao ao
algoritmo em fluxo. Isso se d porque o algoritmo em fluxo l os bits um a um a partir de seu envio,
enquanto no mtodo em bloco se espera o bloco ficar completo para ento iniciar a cifrao.
Dentro dos algoritmos simtricos, atualmente, os que mais se destacam so:
Data Encryption Standard (DES)

Triple DES (3DES)
Advanced Encryption Standard (AES Rijndael)
ARCFOUR (RC4)
O DES caracterizado por possuir uma chave de 64 bits, onde 56 bits so a chave, efetivamente, e 8 so
bits de paridade, e por trabalhar com blocos de 64 bits. Sua desvantagem a suscetibilidade a ataques que
revelam a mensagem original e a chave utilizada.
O sucessor do DES o 3DES que utiliza o mesmo algoritmo DES, porm com o uso de trs chaves, ou
seja, trs chaves de 64 bits que totalizam 192 bits. Este algoritmo realiza a cifra com a primeira chave,
depois decifra com a segunda e cifra novamente com a terceira. E no lado do receptor ele decifra com
a terceira, cifra com a segunda e decifra com a primeira, retornando, assim, mensagem original. A
desvantagem do 3DES o desempenho (tempo para cifrar uma mensagem), porm nos equipamentos
atuais este tempo mnimo comparado ao dos equipamentos dos anos 1970 quando o 3DES
foi desenvolvido.
O AES trabalha com chaves de 128, 192 ou 256 bits e blocos de 128 bits. Uma variao do AES, conhecida
por Rijndael, pode trabalhar com blocos e chaves mltiplas de 32 bits limitados entre 128 e 256 bits. o
atual padro americano de criptografia e um dos mais seguros mtodos criptogrficos.
O RC4 um algoritmo simtrico em fluxo e popular por estar presente no protocolo SSL que
amplamente utilizado na Internet e tambm no WEP encontrado em roteadores e Access points wi-fi.
Criptografia assimtrica
A criptografia assimtrica, tambm conhecida por criptografia de chave pblica, um mecanismo de
criptografia que utiliza duas chaves onde uma pblica e outra privada, de forma que uma chave
utilizada para cifrar e a outra para decifrar.
72
| UNIDADE IV
Figura 33 Exemplo de criptografia de chave pblica.
importante ressaltar que uma mensagem cifrada com uma das chaves s pode ser decifrada pela outra.
Assim, se Alice deseja enviar uma mensagem para todo mundo, e com a garantia de que ela enviou essa
mensagem, ela cifra a mensagem com sua chave privada e envia a todos a sua chave pblica; dessa forma,
todos so capazes de decifrar a mensagem com a chave pblica que j conhecida como Alice.
Se algum quer enviar uma mensagem para Alice e com a garantia de que apenas ela poder l-la,
basta cifrar a mensagem com sua chave pblica, e dessa forma apenas a chave privada poder decifrar a
mensagem, ou seja, apenas Alice conseguir ler a mensagem.
Este mtodo utilizado em meios de certificao e assinaturas digitais e sero abordados posteriormente
nesta unidade.
O RSA o algoritmo de chave pblica mais famoso e leva o nome de seus criadores (Rivest, Shamir e
Adleman). considerado um dos mais seguros por no ter sido quebrado e tambm contribui para sua
fama o fato de ser o algoritmo utilizado em assinatura digital.
O RSA trabalha com chaves de 128 at 2048 bits e utilizado em troca de senhas pela internet em que
o servidor envia uma chave pblica e o cliente cifra a senha utilizada com a chave pblica e envia ao
servidor, que o nico capaz de decifr-la com a chave privada, e ento a utiliza para autenticar o cliente.
Este procedimento de troca de senhas ser explicado na sesso que trata de certificados digitais.
Hash
O hash um clculo determinstico realizado sobre qualquer informao e que gera sempre uma
sequncia de caracteres de tamanho fixo com uma pequena probabilidade de repetio. Ou seja, qualquer
informao de qualquer tamanho possuir sempre um cdigo hash nico e de tamanho fixo.
Este tipo de clculo possui a garantia de que a mensagem original no ser recuperada. Ou seja, o hash
utilizado para verificar a integridade de uma informao e no como meio de proteo da informao
como a criptografia utilizada.
73

O fator que deixa o hash seguro o fato de que uma nica letra alterada em uma mensagem muda
por completo o cdigo hash gerado. um clculo rpido de ser executado computacionalmente, e
extremamente difcil modificar uma mensagem de forma consciente sem alterar o seu hash tal como
encontrar duas mensagens distintas com o mesmo hash.
O hash utilizado na verificao de integridade de mensagens e arquivos e por meio deste procedimento
que funcionam os dispositivos de assinatura digital. Outra aplicao muito comum no armazenamento
de senhas em banco de dados. Geralmente as senhas no so armazenadas em texto claro e mais seguro
a impossibilidade de recuper-la, de modo que o que o servidor armazena, de fato, seja o hash de uma
senha e quando o usurio autenticar posteriormente no servidor, o procedimento novamente realizado
e apenas os caches so comparados.
Dentre os algoritmos de hash os mais famosos so:
MD4
MD5
SHA-1
SHA-256
SHA-512
Ataques criptogrficos e fraquezas
Tal como existem pessoas especialistas em ataques a sistemas de redes, existem outras que tentam
encontrar as vulnerabilidades em dados cifrados. A diferena entre essas duas categorias de especialistas
est que, para a quebra de vulnerabilidade em dados cifrados, normalmente, so precisos computadores
muito poderosos, extremo conhecimento matemtico e muito, mas muito tempo mesmo de estudo e de
processamento.
Vejamos algumas vulnerabilidades e tcnicas mais comuns.
Fora bruta
Este o ataque bsico, o ato de tentar combinaes distintas de palavras para se tentar descobrir a chave
utilizada para cifrar determinado dado. Este tipo de ataque praticamente impossvel de se evitar, pois
depende apenas do tempo para que, em um momento, seja quebrada a senha.
comum vermos os sites exigindo senhas de oito caracteres, com letras maisculas, minsculas, nmeros
e caracteres especiais sem repetio. O objetivo das restries cadastrais o de evitar que um ataque de
fora bruta descubra senhas, rapidamente.
74
| UNIDADE IV
Criptoanlise diferencial
O ataque de fora bruta tenta descobrir a chave, j a criptoanlise diferencial tenta identificar os processos
realizados nos blocos de cifrao para obter a chave. Uma chave conhecida aplicada a um algoritmo
com uma determinada mensagem e tenta-se analisar qual o procedimento geraria uma mensagem cifrada
igual que se quer quebrar.
Antigamente, os algoritmos eram ocultos e a segurana era baseada em seu processo. Hoje os algoritmos
so abertos e todos podem acess-los sem problemas, ou seja, a segurana hoje est na chave e no no
encapsulamento do algoritmo.
Criptoanlise linear
Mtodo de ataque semelhante ao da criptoanlise diferencial. Porm, enquanto a criptoanlise linear
aplicada em cifras em bloco, a criptoanlise diferencial pode ser aplicada tanto em algoritmos em bloco
como de fluxo.
Ataque de Davies
um tipo de ataque dedicado ao algoritmo DES que se utiliza de clculos estatsticos para identificar a
chave, desde que se tenha em mos uma quantidade considervel de texto cifrado com a mesma chave.
Teorema do Aniversrio
Raciocnio aplicado aos algoritmos para clculo de hash. baseado na probabilidade de que em um
mesmo ambiente com n pessoas, duas delas faam aniversrio no mesmo dia. Este raciocnio levado
para o hash, ou seja, a probabilidade de que duas mensagens possuam o mesmo cdigo hash.
Quanto maior o nmero de bits de um algoritmo hash, menor a probabilidade que duas mensagens
possuam o mesmo cdigo. Por exemplo, para o SHA-512, h 1,1 x 10154 possveis combinaes e ainda
assim uma segunda mensagem que venha a gerar o mesmo hash dificilmente ter algum dado vlido
para que seja confundido.
75
CAPTULO 15
Assinatura e certificao digital
Assinaturas digitais
A assinatura digital baseada no PKI (Public Key Infrastructure) que a arquitetura adotada pelos
rgos regulamentadores brasileiros, aqui chamada de ICP (Infraestrutura de Chave Pblica) utiliza
basicamente dois mtodos criptogrficos: RSA e SHA-512.
O objetivo da assinatura digital garantir que um documento esteja ntegro (livre de alteraes) e que seja
confivel, ou seja, que a pessoa que o enviou realmente quem diz ser.
Ao enviar um documento assinado digitalmente ocorre primeiro o clculo do hash do documento a ser
enviado, o que suficiente para garantir a integridade do documento. Porm o hash no garante que
quem enviou o documento foi realmente quem diz que o enviou, ou apenas um impostor dizendo que
outra pessoa. Por isso , ento, aplicado o algoritmo RSA com a chave privada do emissor sobre o hash
calculado do documento. Dessa forma, o hash ser recuperado apenas se a chave pblica que faz par com
a chave privada daquele emissor for utilizada para decifrar o hash.
Figura 34 Funcionamento do processo de assinatura digital.
76
Ao receber um documento assinado digitalmente, o receptor aplica a chave pblica do emissor para
decifrar a assinatura. Tambm calculado o hash do documento e ento so comparados o hash
do documento e o recuperado aps a decifrao da assinatura. Se os dois hashes forem idnticos, o
documento ntegro e confivel, caso contrrio, o documento duvidoso e/ou foi corrompido ou foi
assinado por outra pessoa.
| UNIDADE IV
Figura 35 Verificao de integridade e autenticidade de documento assinado digitalmente.
Certificados digitais
O certificado digital um arquivo que contm as informaes de uma entidade que possui aquele
certificado, mais a chave pblica, a qual a chave privada de posse exclusiva da entidade certificada.
Para garantir que aquelas informaes so verdadeiras, um certificado digital assinado por uma
organizao conhecida como Autoridade Certificadora e que garante que aquele certificado autntico.
Uma autoridade certificadora pode ter outras entidades hierarquicamente reconhecidas por ela como
autorizadoras e tambm reconhecidas em seus certificados que so as Autoridades Registradoras.
Essas entidades emitem o certificado com os dados e chave pblica assinados digitalmente garantindo
que o possuidor daquela chave pblica quem o diz ser.
Quando um cliente acessa determinado servidor ele envia este certificado digital, assinado por autoridade
reconhecida, e ento toda a troca de informaes entre o servidor e o cliente cifrada utilizando a chave
contida no certificado digital.
77
Figura 36 Demonstrao de envio de certificado digital para o cliente.
Isso d a garantia de que um atacante no tenha acesso ao meio de transmisso entre cliente e servidor
tornando a comunicao segura.
Figura 37 Criao de canal seguro utilizando certificao digital.
78
referncias
ABNT. Cdigo de prtica para a gesto da segurana da informao (ABNT NBR 17799:2005). ABNT.
Rio de Janeiro, p. 120, 2005.
ARAJO, M.; FERREIRA, F. N. Poltica de segurana da informao. 2. ed. [S.l.]: Ed. Cincia Moderna,
2008.
DIGERATI. Segurana e espionagem digital. [S.l.]: Ed. Digerati, 2006.
DOU. Decreto no 3.505. Dirio Oficial da Unio, Braslia, 13 jun. 2000.
FERREIRA, J. C. P.; NETO, E. M.; LEITE, R. A. C. Classificao da Informao de acordo com a norma
ISO/IEC 17799:2005. Faculdade Inforium de Tecnologia. Belo Horizonte, 2009. 5.
FONTES, E. Segurana da informao. [S.l.]: Ed. Saraiva, 2005.
ISO/IEC. Concepts and models for information and communications (ISO/IEC 13335:2004). ISO/
IEC. [S.l.], 2004.
STALLINGS, W. Criptografia e segurana de redes. 4. ed. [S.l.]: Ed. Prentice Hall, 2007.
WIKIPDIA. Informao. Wikipdia A enciclopdia Livre, 2001. Disponivel em: <http://pt.wikipedia.
org/wiki/Informa%C3%A7%C3%A3o>. Acesso em: 5 set. 2011.
79

Gestao Da Seguranca Da Informacao

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gestao Da Seguranca Da Informacao

Загружено:

Авторское право:

Доступные форматы

Gesto de Segurana da Informao

Textos para leitura complementar

Sintetizando e enriquecendo nossas informaes

Sugesto de leituras, filmes, sites e pesquisas

Para (no) finalizar

conceitos sobre a Anlise e o Gerenciamento de Riscos, polticas de

Apresentar as vulnerabilidades mais comuns encontradas em sistemas de TI, a

Dado, informao e conhecimento

Figura 1 Exemplos de dados.

UNIDADE I | Introduo Segurana da Informao

Figura 2 Exemplos de informaes.

Figura 3 Dado Informao Conhecimento.

Pilares da gesto da segurana da informao

Confidencialidade: a garantia de que a informao ser acessada apenas por

Integridade: a garantia de que a informao no sofreu nenhuma alterao aps

Disponibilidade: a garantia de que uma pessoa autorizada tenha acesso a uma

Introduo Segurana da Informao

Figura 4 Pilares da segurana da informao.

Autenticidade do Emissor: a garantia de que a pessoa que enviou a informao

No repdio: tem por objetivo garantir que o receptor e o emissor no neguem a

Irretroatividade: garante que a informao foi gerada em determinado momento e

Privacidade: no ser identificado ao executar determinadas aes (como o voto

Auditoria: divulga e confere as aes internas de uma empresa mediante ampla

Classificao por disponibilidade

UNIDADE I | Introduo Segurana da Informao

Disponvel: essa classificao diz que a informao deve permanecer disponvel

de um ndice na bolsa de valores, um valor vlido at a substituio por outro mais

Temporria descartvel: informao disponvel e vlida at determinado momento

Indisponvel: informao que j esteve disponvel e foi descartada tornando-se

Classificao por integridade

Relevante: aquela cuja perda da integridade pode gerar transtornos de baixo

Bsica (ou normal): aquela cuja perda de integridade a partir de um determinado

prazo no implica impactos empresa, e, portanto, no exige controles de auditoria

Classificao por confidencialidade

Pblica: informao livre e sem restrio de acesso ou necessidade de autenticao.

Interna: informao livre dentro do ambiente organizacional. Apesar de livre, uma

informao que pode prejudicar a empresa diretamente (implica os negcios) ou

Introduo Segurana da Informao

informao interna organizao, cujo acesso permitido apenas s

informao de alta criticidade que se divulgada certamente

Figura 5 Ciclo de vida da informao.

trata da identificao dos objetivos, necessidades e atividades

Aquisio: a ao de levantar e agregar os dados necessrios criao da informao.

a consolidao dos dados aplicados em contexto, ou seja, os dados

o objeto literal onde estar a informao. Pode ser um

o ato de divulgao da informao, porm sempre com

Manuteno: a alterao ou adequao da informao. Algumas informaes no

Aplicao: a utilizao da informao. o instante em que uma informao se

Introduo Segurana da Informao

A ltima etapa, a finalizao, uma ao nica, porm com trs alternativas:

Descarte: o ato de desprezar a informao que est obsoleta ou que no possui

Arquivamento: o ato de deixar a informao armazenada para usos futuros ou

Destruio: o ato de eliminar a informao independente de sua utilizao e aplicao.

O ciclo de gesto da informao pode ser visto como um processo.

Figura 6 Processo do ciclo de vida da informao.

UNIDADE I | Introduo Segurana da Informao

Gesto do ciclo de vida da informao

UNIDADE I | Introduo Segurana da Informao

Melhores prticas da Segurana da

UNIDADE II | Melhores prticas da Segurana da Informao

Por que a segurana da informao

Melhores prticas da Segurana da Informao

Poltica de segurana da informao

definio de segurana da informao;