1

3
REITOR
Prof. Ms. Stefano Barra Gazzola

GESTOR
Prof. Ms. Wanderson Gomes de Souza

Supervisora Tcnica
Prof.Ms.SimonedePaulaTeodoroMoreira

Design Instrucional
VictorRocha
DigenesCaxin

Coord. do Ncleo de Comunicao

MariaFernandaGuadalupedeMorais

Coord. do Ncleo de Recursos Tecnolgicos

RogrioMartinsSoares

Coordenadora do Ncleo Pedaggico

TerezinhaNunesGomesGarcia

Equipe de Tecnologia Educacional

DanbiaPinheiroTeixeira
MariaCarolinaSilvaCastroOliveira

4
Reviso Ortogrfica / Gramatical
GiseleSilvaFerreira
ErikaSousa

5
Autor
Fabrcio Pelloso Piurcosky
MBAemGestodeTI,EspecialistaemRedesdeComputadores,
Bacharel em Cincia da Computao e, atualmente, Mestrando
em Engenharia Eltrica pela UFSJ. Leciona desde 2006 em
cursos de graduao e ps-graduao do Unis, foi gestor de TI
do Unis at 07/2009 e desde 2006 Coordenador do Curso de
CinciadaComputaodoUnis.

6












PIURCOSKY, Fabrcio Pelloso.
Guia de Estudo Segurana e Auditoria de
Sistemas. Fabrcio Pelloso Piurcosky -
Varginha: GEaD-UNIS, 2012, 232p.

7
Sumrio
EMENTA........................................................................................................................11
INTRODUO............................................................................................................15
DINMICA....................................................................................................................17
AVALIAO..................................................................................................................18
1.SEGURANADAINFORMAO..........................................................20
1.1ConceitosePrincpiosdeSeguranadaInformao..........21
1.2ASeguranaeoCiclodeVidadaInformao........................31
1.3ClassificaoeControledosAtivosdeInformao...............37
1.4ClassificaodoAtivodaInformao...........................................39
1.4.1QuantoConfidencialidade........................................................39
1.4.2QuantoDisponibilidade..............................................................41
1.4.3QuantoIntegridade.......................................................................43
1.4.4QuantoAutenticidade..................................................................43
1.4.5MonitoramentoContnuo...............................................................43
1.5AspectosHumanosdaSeguranadaInformao................45
1.5.1 Segurana nos Termos, Condies e
ResponsabilidadesdeTrabalho...........................................................52
1.5.2 Segurana no Processo de Seleo de Pessoal e
TreinamentodeUsurios..........................................................................53

8
1.6SeguranadoAmbienteFsico...........................................................55
1.6.1 Segurana em Escritrios, Salas e Instalaes de
ProcessamentodeDados........................................................................58
1.6.2SeguranadeEquipamentos.....................................................60
1.6.3SeguranadeDocumentosemPapeleEletrnicos....60
1.6.4SegurananoCabeamento.........................................................64
1.7SeguranadoAmbienteLgico.......................................................64
1.7.1SeguranaemRedes......................................................................64
1.8ControledeAcesso....................................................................................68
1.8.1ControledeAcessoLgico...........................................................68
1.8.2ControledeAcessoFsico.............................................................70
1.9AOrganizaodaSegurana............................................................71
1.10ASegurananoContextodaGovernanadeTI..................74
2.SEGURANANODESENVOLVIMENTODESOFTWARES...84
2.1ModelosdeEspecificaodaSegurana...................................86
2.2EspecificaodaSeguranaDesejada........................................90
2.3EspecificaodaSeguranadaAplicao................................91
2.4SeguranadoAmbientedeDesenvolvimento.........................92
2.5 Segurana no Ciclo de Vida de Desenvolvimento da
Aplicao.................................................................................................................98

9
3.AUDITORIAEMSISTEMASDEINFORMAO..........................102
3.1FundamentosemAuditoria...............................................................104
3.2TiposdeAuditoria....................................................................................107
3.3MetodologiadeAuditoriadeSistemasdeInformao.....108
3.3.1 Planejamento e Controle do Projeto de Auditoria de
SistemasdeInformao.........................................................................108
3.3.2 Levantamento do Sistema de Informao a ser
Auditado...........................................................................................................110
3.3.3 Na Identificao e Inventrio dos Pontos de Controle
................................................................................................................................127
3.3.4 Priorizao e Seleo dos Pontos de Controle do
SistemaAuditado........................................................................................128
3.3.5AvaliaodosPontosdeControle........................................129
3.3.6ConclusodaAuditoria................................................................129
3.3.7AcompanhamentodaAuditoria............................................130
3.4FerramentasdeAuditoriadeSistemasdeInformao....131
3.5TcnicasdeAuditoriadeSistemasdeInformao.............134
3.6MelhoresPrticasdeAuditoriadeSistemasdeInformao
....................................................................................................................................137
3.6.2 Associao de Auditores de Sistemas e Controles
(ISACA)..............................................................................................................140

10
4.POLTICADESEGURANA....................................................................144
4.1PlanosdeSegurana...........................................................................146
4.1.1PlanoDiretordeSegurana......................................................149
4.1.2PlanodeContinuidadedeNegcios...................................154
4.1.3PlanodeAdministraodeCrise...........................................162
4.1.4PlanodeContinuidadeOperacional....................................170
4.2CiclodeVidadeDesenvolvimentoSeguro..............................181
4.3ForenseComputacional.......................................................................181
4.4ValorEmpresarialdaSegurana....................................................191
4.5 Software mal-intencionado: vrus, worms, cavalos de Troia
espywares...........................................................................................................192
4.6SeguranadaInformaoumanecessidadelatente....201
4.7SeguranadaInformaoumenfoquemaissriodoque
imaginamos........................................................................................................219
4.8FormasdeProteoltimasDicas...........................................224
BIBLIOGRAFIA....................................................................................................230

11
EMENTA

Os conceitos e os tipos de ameaas, riscos e vulnerabilidades

dos sistemas de informao. O conceito e os objetivos da
segurana de informaes. O planejamento, implementao e
avaliaodepolticasdeseguranadeinformaes.Oconceito
e os objetivos da auditoria de sistemas de informao. O
planejamento, implementao e avaliao de auditorias de
sistemasdeinformao.

12

13

Caro(a)aluno(a),
Vivemos na chamada Era da Informao, por isso vital
sabermos utilizaroque elatemdemaisinteressante etambm
estarmospreparadosparaela.
Com o aumento do uso da tecnologia da informao,
novos problemas e desafios surgem diariamente para a
sociedade: malwares, spam, crakers, engenharias sociais e
outros. Cada vez mais os profissionais de computao

14
necessitam saber como ter segurana em suas aplicaes.
Estaremos construindo nosso conhecimento por meio de
fruns, leitura de artigos, reportagens, exemplificaes e
discusses. Para isso, temos o apoio do nosso ambiente
virtual de aprendizagem, com o qual, sem dvida, todos j
devemestarhabituados.
OgrandeempresrioJ.WillardMarriottdisse,certavez:"A
boa madeira no cresce com sossego; quanto mais forte o
vento,maisfortesasrvores".
Portanto,esperamosquesopremfortesventosemnossa
caminhada, pois, assim, todos se tornaro valorosos, quer
profissionalmente,querpessoalmente.

Contemcomigo,forteabrao!
ProfessorFabrcioPellosoPiurcosky.

15
INTRODUO

Na disciplina de Segurana e Auditoria de Sistemas

estudaremos os conceitos e os tipos de ameaas, riscos e
vulnerabilidades dos sistemas. Conceituaremos o que
segurana e os objetivos de se manter uma poltica que cuide
disso. Tambm conceituaremos auditoria de sistemas e
veremosaimportnciadeimplementareplanejaraesassim.
Teremosquatrounidades:naUnidadeI,estudaremos
o que Segurana da Informao, veremos seu conceito,
classificao, aspectos humanos, segurana fsica e lgica e o
contextodamesmaemrelaoGovernanadeTI.
NaUnidadeII,abordaremosaimportnciadasegurana
no desenvolvimento de softwares. Abordaremos modelos de
especificao de segurana, ambiente de desenvolvimento,
segurana da aplicao. Tambm veremos os conceitos e os
tiposdeameaas,riscosevulnerabilidades.

16
Na Unidade III, conceituaremos o que auditoria,
destacando as metodologias existentes, ferramentas, tcnicas,
melhoresprticaseoutrosaspectosligadosaotema.
E, finalmente, na Unidade IV, falaremos sobre poltica de
segurana, apresentando exemplos de ciclo de vida de
desenvolvimentoseguro,NBRISO/IECePlanosdeSegurana.
A Ementa de nossa disciplina : Os conceitos e os tipos
de ameaas, riscos e vulnerabilidades dos sistemas de
informao. O conceito e os objetivos da segurana de
informaes. O planejamento, implementao e avaliao de
polticas de segurana de informaes. O conceito e os
objetivos da auditoria de sistemas de informao. O
planejamento, implementao e avaliao de auditorias de
sistemasdeinformao.

17
DINMICA

Nossa disciplina ter atividades pelo ambiente virtual e

encontros presenciais. As atividades sero publicadas com
prazos de incio e trmino (por meio da agenda da pgina
principal). Ressalto que os prazos sero seguidos
rigorosamente. Teremos como local de comunicao,
exclusivamente, o ambiente, pois l encontramos todas as
ferramentas (correio, mural, frum, portflio e bate-papo)
necessrias para tal. Assim, o e-mail externo no ser utilizado.
Disponibilizareiumcronogramacomtodasasatividadesque
devero ser cumpridas, alm de uma sugesto de ritmo de
leituradonosso material.Tambmteremoso sistemadeaulas
complantesemdeterminados horriosduranteasemana, em
quepoderointeragirpelaferramentaWEBEXetambmassistir
aulasqueserogravadas.

18
AVALIAO

Na Etapa I (avaliao a distncia), sero distribudos 45

pontos nas atividades orientadas como: produo, interao,
anlise e aplicao dos conhecimentos adquiridos; auto-
avaliao; fruns; chats e portflio. Na Etapa II (avaliao
presencial),serodistribudos 55pontos, emavaliaesque
exigiro uma reviso do guia de estudo que ser trabalhado
duranteomdulo.Poderoserutilizadasprovasindividuais,em
duplas, relatrios e grupos de discusso. As provas tero
questesabertase fechadas.Tambm,nestadivisodepontos
teremos a Avaliao Institucional que corresponder a uma
porcentagem desse valor sendo constituda por uma avaliao
comquestesdetodasasdisciplinas.

19


META
Apresentar conceitos de Segurana, caractersticas da Informao e
seu Ciclo de Vida, Segurana em Ambiente Fsico e Lgico,
SegurananoContextodaGovernanadeTI.

OBJETIVOS GERAIS
Esperamos que, aps o estudo do contedo desta unidade,
vocsejacapazde:
1.Conceituarseguranadainformao;
Identificar as caractersticas da informao, seu ciclo de vida
eaimportnciadelaemambientesfsicoelgico;
ConceituarasegurananocontextodagovernanadeTI.

20

SEGURANA DA INFORMAO

21

1.1 Conceitos e Princpios de Segurana da

Informao

Como ter segurana nesse mundo tecnolgico? Essa pergunta

sempre feita e, com certeza, o debate sobre ela continuar a
existir. Falo isso porque muito pouco provvel que um dia
tenhamos um sistema que seja plenamente seguro sob todos
osseusaspectos.Humtempoatrsmuitosafirmavamqueum
computador somente estaria seguro se no estivesse
conectadoaalgumarede.Essepensamentofazsentidoquando
pensamos somente em ataques que envolvem aspectos
lgicos. A grande maioria dos roubos de informaes acontece
com invases fsicas e por uso da persuaso. Assim, enquanto
tivermos o fator humano como preponderante na relao com
as mquinas, improvvel um sistema seguro em sua
totalidade. Com certeza, um dos assuntos mais discutidos e

22
importantes na atualidade Segurana da Informao. Em
2009, a revista InformationWeek publicou uma retrospectiva de
alguns dos maiores acontecimentos mundiais ligados
tecnologia,eolhesoquetemos:

Figura1:RetrospectivadeAcontecimentos(Fonte:RevistaInformationWeek,2009)

Temos uma notcia que mostra a importncia do tema que

estamos estudando. Se no conseguiu observar, volte e olhe
maisumaveza figura.Notouagora?Isso mesmo!Oataqueao
World Trade Center mudou a forma das empresas pensarem
emseguranaecontingncia.

23
Pense um pouco no caso e, com base no que leu a
respeito, reflita um pouco agora na importncia do tema que
estudaremos.
Antes de passarmos diretamente ao tema de segurana,
vamosrelembraralgunsconceitosimportantes.
DeacordocomFilho(2008),informaoaformafinalda
transformao ou processamento dos dados originais, em algo
comvaloresignificadoparaousurio.Todoodadotrabalhado,
til,tratadocomvalorsignificativoatribudoouagregadoaelee
comumsentidonaturalelgicoparaquemusaainformao.
Assim,estastmimportnciafundamental nasempresas.
Vivemos a chamada Sociedade da Informao e do
Conhecimento (informao disponvel e fluindo a toda
velocidade), mercados globalizados (a informao estratgia
de competio). Filho (2008) destaca a importncia da
informaoparaasempresas,evidenciandoqueumativonas
organizaes e estas devem trat-la como um bem, pois

24
representa a inteligncia competitiva. Dessa forma, para se
montar uma estratgia ou um planejamento vital ter total
confiana nas informaes que transitam nos sistemas de
informaodaempresa,afinaldecontas,elasseroabasepara
atomadadedeciso.
Mas, e quanto ao valor da informao? Voc sempre l
queinformaoobemmaisprecioso...mascomoquantificar?
Nodifcil!Analisecomigo:
Seumainformaodeprevisodemercadousadapara
produzirumnovoprodutoqueirresponderporumlucro
X,nestecaso,essainformaopossuiessevalorX.
Se um novo sistema computadorizado de pedidos custa
R$ 100.000,00, mas isto poder gerar um adicional de R$
150.000,00 nas vendas, o valor adicionado pelo novo
sistemadeR$50.000,00
Vrios autores j concordam que o valor econmico
advindo da gerao, do uso e da venda da informao est
crescendo muito mais depressa que o valor agregado pela

25
produo tradicional de bens e servios. Por essa ideia, j
consegue notar como esse tema vai ganhar importncia cada
vezmais?
Temosdoisexemplosdecomomedirovalorde
uma informao. Conseguiria realizar isso tendo como
base algum sistema implantado em sua empresa ou que
voctenhacriadooubaseadoemalgumapesquisa?
Vamos l, mos obra! Tente mensurar o valor
de uma informao. Faa isso em um documento
.doc ou .pdf e poste em seu portflio individual.

Lyra (2008) destaca que a segurana da informao tem vrios

aspectosimportantes,mas,semdvida,trsdelessedestacam:
Confidencialidade capacidade de um sistema de
permitir que alguns usurios acessem determinadas

26
informaes ao mesmo tempo em que impede que
outros,noautorizados,avejam.
Integridade a informao deve estar correta, ser
verdadeiraenoestarcorrompida.
Disponibilidade a informao deve estar disponvel
para todos que precisarem dela para a realizao dos
objetivosempresariais.

Estestrsaspectossoosprincipais,muitosautoresconcordam
queseainformaocontivertodoseles,podemostrat-lacomo
umainformaosegura.
Noentanto,almdestestrsaspectos,aindatemos:
Autenticao garantir que um usurio de fato quem
alegaser;
No-repdiocapacidadedosistemadeprovarqueum
usurioexecutouumadeterminadaao;
Legalidade garantir que o sistema esteja aderente

27
legislaopertinente;
Privacidade capacidade de um sistema de manter
annimoumusurio,impossibilitandoorelacionamentoentreo
usurioesuasaes;
Auditoria capacidade do sistema de auditar tudo que
foirealizadopelosusurios,detectandofraudesoutentativasde
ataque.
Para elucidar a importncia das informaes para as
empresasecomoessaumareadegrandepreocupao,
o jornal Estado de So Paulo de 27 de maio de 2012 trouxe
uma reportagem intitulada: Nos EUA um bunker para US$6
tri. Esta reportagem revela como a operadora Visa protege
seu data Center que autoriza 78 bilhes de transaes ao
ano e processam 10 mil mensagens por segundo. Fiz
questoderelatarissoaquiemvirtudedefuturamentetalvez
no encontrarmos mais o link da mesma, que at este ano
encontra-se em

28
http://www.estadao.com.br/noticias/impresso,nos-eua-um-
bunker-para-us-6-tri-,878538,0.htm.
Voc poder confirmar o que vou relatar aqui. As
operaesdaVisaacontecememumcaixotedeconcretode
13 mil metros quadrados na cidade de Ashburn, no estado
americano da Virginia. O local tem por objetivo proteger-se
tanto fisicamente com fossos reais quanto logicamente com
muralhas virtuais. Isso mesmo necessrio, pois o data
Center capaz de autorizar uma mdia de 150 milhes de
transaes com cartes de crdito no mundo por dia - o
equivalente a US$ 6 trilhes ao ano - e de processar 10 mil
mensagensporsegundo.
O responsvel pelo Centro de Operaes do Leste (COE,
na sigla em ingls), Michael Dreyer, diz: Tudo aqui
redundante.
Por dentro do local, h poucas placas indicativas do que
cada sala ou representa. O crebro da Visa est em um

29
salo de 1.858 metros quadrados sem nenhuma indicao
de sua funo na porta. Segundo Freyer, a regra isolar ao
mximo esse centro vital do contato humano e, com isso,
evitaracidentesefalhas.Emtodaaplanta,trabalhamapenas
de150a200pessoas.
O comando do data center visto por visitantes de uma
ampla vidraa da sala de reunies apenas quando as luzes
se apagam. O acesso s possvel depois de se cruzar um
portal onde feita a leitura das informaes funcionais
contidasnocrachdoresponsvelpelavisita,bemcomode
seus dados biomtricos e de seu rosto. Para chegar ao
crebro da Visa, outros trs portais so transpostos. Um
deles,comcmerascapazesdeenxergaroquehdentrode
bolsasacercadequatrometros.
Segundo Dreyer, em 1992, as fraudes identificadas pela
Visa causavam um custo de 18 pontos bsicos para cada
operao. Atualmente, de apenas cinco pontos bsicos.

30
Uma rede de inteligncia capaz de prevenir 1,5 bilho de
tentativasdefraudesaoano.
Fisicamente, a estrutura tambm de causar inveja, do
lado de fora, muralhas podem aguentar o impacto de um
caminhodegrandeporte emaltavelocidade.Canaissecos
rodeiamboapartedoprdio.
No interior, as paredes brancas tm 20 centmetros de
concretodeespessuraecompemvrioscorredoresde300
metrosdecomprimento.
A construo tambm est preparada para desastres
naturais. Oprdiofoiconstrudoparaaguentarumterremoto
de 7 graus na escala Richter, como o que destruiu Porto
Prncipe, no Haiti, em janeiro de 2010, e ventanias de 270
quilmetrosporhora.Otetoestpreparadoparasuportarat
60centmetrosdeneve.
O prdio tem um estoque de 1,5 milho de gales de
gua purificada, para manter a refrigerao dos

31
computadores, e geradores a diesel capazes de gerar
eletricidadeparaumacidadede25milcasas(22MGW).
No h dvidas de que Segurana hoje fundamental para
osnegcios!

Um bom exemplo de um sistema com privacidade trata-

se das urnas eletrnicas utilizadas pelo TSE. Utilizamos o
sistema para realizar nosso voto no relacionando o usurio
com a ao executada, garantindo assim que o nosso voto
seja secreto.

1.2 A Segurana e o Ciclo de Vida da Informao

Quando realizamos um levantamento de informaes
para uma implantao ou um desenvolvimento de um sistema,
vital ter uma preocupao em como a informao ir fluir na

32
organizao. Assim, a identificao das necessidades e dos
requisitosdainformaoquemditarociclodamesma.
Conforme a Figura 2, a identificao das necessidades e
requisitosfundamentalparaqueorestantedoprojetoconsiga
uma boa fluidez e sucesso. Voc j deve ter lido, estudado ou
praticado algumas das tcnicas que auxiliam neste processo.
Podemos at mesmo destacar algumas, tais como a
observao pessoal, entrevistas e questionrios. No h uma
receita de bolo que devemos seguir sempre que precisamos
realizar um levantamento de informaes. Isso depender da
situao do ambiente, do tempo que temos e da possvel
reaodosusurios.Afiguratambmservepararefletirmosum
pouco em como difcil darmos segurana informao.
Observem que, tanto na Obteno, como na Distribuio, h
relacionamentos com o meio externo e com o meio interno.
Estessodificultadoresquenopodemserrestringidos,pois ao
mesmo tempo em que podem trazer problemas, eles tambm
podemserimportantesnaobtenoeseleodainformao.

33

Figura 2: Ciclo de Vida da Informao. (Fonte: Lyra, 2008)
Lyra(2008)explicacadacomponentedesteciclodevida:
Identificao das necessidades e dos Requisitos
Geralmente dentro de uma organizao nossa principal funo
desenvolver produtos e servios informacionais com
especificidade. Isso pode ser desde um simples relatrio, um
produto ou um novo processo. Ser que voc conseguiria fazer
isso sem conhecer as necessidades e as caractersticas que
envolvem a situao? De forma alguma, por isso importante
gastartemponestaetapa.

34
Obteno nesta etapa so desenvolvidos
procedimentos para a captura e recepo da informao
originria de uma fonte externa ou mesmo em como ela ser
criada. Para o primeiro caso (fonte externa), necessrio que
vocsepreocupecomaintegridadedainformao,garantindo
que ela genuna, produzida por uma pessoa ou entidade
autorizada e que, portanto, est completa e compatvel com os
requisitosqueforamlevantadosanteriormente.
Tratamento antes da informao ser utilizada ou
consumida, imprescindvel que ela seja classificada,
formatada, organizada. Tambm interessante torn-la mais
acessveledefcilutilizao.Masaquivaiumalerta!Depoisde
tratada, preciso dar a garantia de que ela continue ntegra,
bemcomoconfidencial.
Distribuio esta etapa um verdadeiro desafio! Mais
frente veremos o porqu. Consiste em levar a informao at
quem ser seu consumidor. Para isso quanto mais capilar for a
redededistribuio,melhoremaisseguroser.

35
Uso aqui que veremos o quanto a informao ser
til para gerar valor organizao. Devemos aplicar, portanto,
osconceitosdedisponibilidade,integridadeeconfidencialidade.
Armazenamento importante para que futuramente a
informao possa ser utilizada novamente. Ela ser mais
onerosaseainformaoestiveremvriosformatosoumdias.A
preocupao com a integridade e a disponibilidade devem ser
constantes, bem como confidencialidade, se a mesma for
sigilosa.
Descarte Beal (2005) diz que quando uma informao
torna-se obsoleta ou perde a utilidade para a organizao, ela
deve ser objeto de processo de descarte, obedecendo normas
legais, polticas operacionais e exigncias internas. Isso ajudar
no processo de gesto da informao. Essa cada vez mais
umaaoimportante.Jhvriosestudossobreissotendoem
vista a criao de um novo tipo de lixo: o lixo digital. Percebam
que no se trata do lixo eletrnico (equipamentos eletrnicos
quenoutilizamosmais)quesodeixadosemcasaounotm

36
o destino mais apropriado, poluindo assim o meio ambiente ou
danificando a nossa sade. Com o barateamento dos recursos
de hardware como HD e outros dispositivos de memria,
armazenamos cada vez mais informao. Se voc observar,
ver em seus dispositivos uma quantidade enorme de
informaes que voc nunca acessou e que talvez tenha feito
download h muito tempo. Com usurios que j possuem HDs
na ordem de Terabytes, as pessoas baixam tudo que veem e
ouvem na web, gerando assim um lixo digital muito grande. E
voc? Tem muitos arquivos que no utiliza ou nunca acessou?
Tenhocertezaquesim.
O Descarte uma etapa muito importante para as
organizaes, uma vez que auxilia a gesto da informao.
Faa uma pesquisa sobre o tema e apresente que
informaes voc possui em seu notebook ou desktop e em
sua casa e que j poderiam ser descartadas.

37
1.3 Classificao e Controle dos Ativos de
Informao

DeacordocomLyra(2008),aclassificaodainformao
o processo pelo qual estabelecemos o grau de importncia
das informaes frente a seu impacto no negcio ou processo
queelassuportam. Entendemosassimque,quanto maisela for
estratgica ou decisiva para o negcio, mais importante ela
ser.
Afigura3ilustracomoosativosdainformaopodemser
divididosemgrupos:

Softwar
e
Fsico

Servio
s

Pesso
as
Doc
em

papel

Informa
o
AtivosdaInformao

38
Figura3:CiclodeVidadaInformao.(Fonte:Lyra,2008)
Voc no consegue classificar os ativos da informao
sem ter um bom conhecimento do negcio. Isso permitir que
vocjulgueograudeimportnciadecadaum.Outropontoque
preciso levar em conta a definio clara dos critrios de
classificao que sero adotados, regras, exigncias e normas
corporativas.
O ideal seria que todos conseguissem ler a Norma ISO
17.799; no entanto, ela sai com os seguintes preos:
Norma ISO 17799: R$ 290,00
NBR ISO/IEC 17799: R$30,00
Assim, coloquei em nossa Midiateca um checklist de
uma auditoria sobre os itens mais importantes. Assim voc
poder ter uma ideia do que se trata. Vamos leitura, pois os
citaremos vrias vezes no decorrer do guia!

39
1.4 Classificao do Ativo da Informao

Lyra (2008) destaca que existem vrias formas de
classificar o ativo da informao, no entanto, esta no deve ser
difcildecompreender edeveconstar napolticadesegurana.
Deve ter um nmero equilibrado de nveis de classificao e
servir para demonstrar a diferenciao entre a importncia dos
ativos. Esta, ento, deve estar centrada em quatro eixos:
confidencialidade, disponibilidade, integridade e autenticidade.
Vamos,ento,tratardecadaumdessesquatroeixos.
1.4.1 Quanto Confidencialidade

Nvel 1: Informao Pblica Aqui devem estar os
ativos pblicos ou no classificados. Como entendemos isso?
Ora, so informaes que, se forem divulgadas fora da
organizao, no traro impactos para o negcio. No vital a
integridadeeseuusolivre.

40
Um bom exemplo de informao pblica trata-se dos
folders corporativos, brochuras, etc.
Nvel 2: Informao Interna Ativos cujo acesso do
pblico externo deve ser evitado, mas, se por acaso estes
venham a ter acesso, as consequncias no so crticas ou
preocupantes.
Listas de Telefones e ramais, agendas dos executivos,
planejamentosemanal.
Nvel 3: Informao Confidencial Os ativos devem ter
acesso restrito dentro da organizao e protegidos do acesso
externo.Oacessonoautorizadopodetrazercomprometimento
s operaes da organizao e causar at mesmo perdas
financeiras.
Dados de clientes, senhas de acesso, informaes sobre
vulnerabilidadesdaorganizao

41
Nvel 4:InformaoSecretaNessenvel,oacessotanto
internocomoexternopodesercrticoparaaorganizao.Deve-
se controlar o nmero de pessoas que tem acesso a ela,
integridade das informaes e criar regras restritas para o uso
dasmesmas.
Podemos citar informaes de concorrentes, contratos
confidenciais,informaesestratgicas,etc.

1.4.2 Quanto Disponibilidade

Geralmente sentimos falta ou avaliamos o quanto uma informao
importante quando precisamos dela e no conseguimos acess-la.
J aconteceu isso com voc? Com todos ns. Quem j no precisou
acessar um site que disponibilizaria o resultado de um processo de seleo
ou de um concurso? Se a informao atrasa 10 minutos do horrio proposto
ficamos totalmente indignados. Nesse momento, quanto valeria essa
informao? Valeria muito, no mesmo?
Agora, pense em outra situao: voc acessa uma informao nesse
instante e daqui a meia hora ela no est mais disponvel. Qual a falta que a
informao faz? Isso depender da importncia dela. Mas imagine que voc

42
administrador de um site de e-commerce e um cliente solicitou seu nmero
de pedido de compra, mas ao entrar no site no consegue recuperar esse
nmero. Isso poderia causar alguns problemas.
Dessa forma, podemos estabelecer uma ordem para recuperao de
informaes em casos de indisponibilidade, seria assim:
Nvel 1 Informaes que devem ser recuperadas em minutos.
Nvel 2 Informaes que devem ser recuperadas em horas.
Nvel 3 Informaes que devem ser recuperadas em dias.
Nvel 4 Informaes que no so crticas.

No h dvidas de que a classificao dos nveis de uma informao
no deve ser feita apenas pela equipe de Tecnologia da organizao. Esta
deve ser feita por um comit especfico da empresa. necessrio que a
equipe de TI se rena com o corpo diretivo e verifique que tipos de
informaes so fatores crticos para empresa. Ou seja, h informaes e
estruturas que no podem ficar inoperantes? De posse de tais informaes, o
departamento pode montar um planejamento caso algo a acontea. Isso evita
problemas como, por exemplo, um funcionrio no saber por onde comear
na recuperao de uma informao ou depender exclusivamente de algum
para determinar o que fazer.

43
Faa uma pesquisa e aliste pelo menos duas formas de
recuperao de informao existentes no mercado. Tente, se
possvel, listar o custo dessas formas de recuperao.
1.4.3 Quanto Integridade

A depender da deciso a ser tomada, se a informao estiver errada,
isso pode significar transtornos e problemas srios. Assim, conseguir
realizar um trabalho de identificar as informaes que so relevantes ao
negcio far com que voc consiga direcionar seus esforos para os alvos
corretos, permitindo controlar, prevenir, detectar e corrigir as informaes
que a empresa, de fato, precisar.
1.4.4 Quanto Autenticidade

A ISO 17.799 recomenda que tanto dados como informaes que
sero acessadas por meios externos devem apresentar requisitos de
verificao da autenticidade. Dessa forma, mais uma vez voc dever
estabelecer em conjunto com a empresa quais as informaes que sero
tratadas neste contexto.
1.4.5 Monitoramento Contnuo

44
Lyra (2008) argumenta que, aps a classificao dos
ativos da informao, necessrio elaborar e manter
procedimentos de reavaliao peridica dos mesmos. Como
fazerisso?Tantoareadeseguranacomoosproprietriosda
informao,devemreavaliarapertinnciadacategoriaatribuda
a cada ativo para assegurar que os mesmos esto
adequadamenteclassificados.
Vamosfazerumaavaliaodasinformaesemnosso
ambiente?
Tarefa 1:DividaosativosdaInformao.
Tarefa 2:Classifiqueoativosoftwarequanto
Confidencialidade.
Tarefa 3:ClassifiqueoativosoftwarequantoDisponibilidade
emtodososnveis.

45
1.5 Aspectos Humanos da Segurana da Informao

Filho (2008) destaca que a segurana da informao se
preocupa com os objetivos de garantir a continuidade do
negcio, minimizar as perdas do negcio pela preveno e
reduo do impacto de incidentes de segurana, habilitar as
informaes a serem compartilhadas enquanto estabelece a
proteo da informao e do acesso aos Sistemas de
Informaes.
Isso se torna cada vez mais difcil porque o cenrio da
tecnologia mutante e evolutivo. H algumas dcadas a
realidade de tecnologia e as preocupaes trazidas por ela
eram totalmente diferentes das principais atenes que
precisamos ter hoje. Analise que na maioria das casas j existe
uma rede de Computadores, a Evoluo da Internet algo
mundialeadiversidadedesistemas.

46
Assim,dizemosqueainformaoseguraequecumpre
seu propsito quando a informao certa comunicada s
pessoascertas(nahoracerta).
Pessoassooselementoscentraisparaqueasegurana
da informao acontea. Todos os incidentes sempre
envolvero pessoas, seja pelas vulnerabilidades que foram
exploradas, seja pelas ameaas que exploram as
vulnerabilidades.
muito comum a ideia de que manter a informao
segura papelobrigatriodaequipedetecnologia. Almdisso,
muitos ainda acham que somente eles devem se preocupar
com isso. Na verdade, essa preocupao deve ser de toda a
organizao. Se isso no estiver claro em um ambiente
corporativo, pode-se investir milhes em segurana que o
retornonoseroesperado.

47
Acesse o site do CERT.BR
(http://www.cert.br/stats/incidentes/)
eanaliseosincidentesdesegurana
registrados no ano mais recente.
Compare com os incidentes
reportados nos ltimos 5 anos.
Analise que ataques tm crescido
mais e veja como cada dia que
passa mais difcil manter a
informaosegura.

Com o crescimento
dosnmerosdevruse
de casos de invaso,
cadavezmaisveremos
a figura de um novo
profissional nas
empresas: Security
Officer ou CSO (Chief
Security Officer). Este
tem o papel de
coordenar, planejar, implementar, monitorar e melhorar o
SistemadeSeguranadaInformao.Eledeveterasseguintes
atribuies:

Coordenar rea de segurana e de infraestrutura

organizacional;
Planejarinvestimentosdesegurana;
Definir ndices e indicadores para segurana da

48
corporao;
Definir, elaborar, divulgar, treinar, implementar e
administrar a poltica de segurana, plano de
continuidadedenegciosedecontingncia;
Investigarincidentesdesegurana;
Analisarriscosenvolvendosegurana.
Pense nas atribuies que falamos para o profissional de
segurana. Quais delas voc j fez na empresa em que atua?
Qual delas considera mais importante? Que ao prtica
envolvendo os usurios da empresa que voc atua poderia
ser implementada?
OSANSInstitutedefineEngenhariaSocialcomoaartede
utilizar o comportamento humano para quebrar a segurana
sem que a vtima sequer perceba que foi manipulada. O
CERT.BR define como um mtodo de ataque onde algum faz
uso da persuaso, muitas vezes abusando da ingenuidade ou
confiana do usurio, para obter informaes que podem ser

49
utilizadas para ter acesso no autorizado aos ativos da
informao.
Esta prtica acaba fazendo com que pessoas
desavisadas passem informaes importantes, pois confiam
demais no seu atacante. Ela pode ser dividida em duas
categorias:fsicaepsicolgica.
Lyra (2008) apresenta as aes relacionadas categoria
fsica como sendo: procura de informaes no lixo, presena
fsica, observao do comportamento, escuta de conversa
telefnica, busca de papis e relatrios sobre as mesas da
organizao,usodeportasUSBeroubodepen-drives.
Nas questes psicolgicas, o problema est
relacionado ao comportamento humano e tendncia do ser
humano em ser prestativo, corts, e de no ver maldade nas
pessoas. Dessa forma, o atacante consegue informaes
para preparar o seu ataque.

50
Voc recebe um telefonema de um pesquisador que
muito educado e fala muito bem; aos poucos ele pode extrair
informaes tais como tipo de rede, sistema operacional
utilizados, etc.

No h dvidas de que o elo mais fraco do sistema

quando este interage com humanos. Dessa maneira, preciso
desenvolverinterfacesquefaamaseguranadeformamenos
inoportunaeintrusiva.
Quandosefalasobrepessoas,devemostambmlembrar
que os problemas de comportamento acontecem em qualquer
nvel, desde os que esto no topo at os que nem mesmo
utilizam computador. Nesse aspecto, pense no zelador que vai
abrir a sala de servidores para limpeza do cho e que por
descuido deixa a porta aberta enquanto vai buscar a vassoura
em outro lugar do prdio. Nestes poucos minutos como se a
empresaestivessetotalmentedesprotegidaouescancarada.

51
Paravocterumaideiadecomofcilobterinformaes
pessoais, tente levantar informaes sobre voc mesmo.
Procure em sites da internet informaes sobre a sua pessoa.
Comeceaanalisarquenodifcilencontrarcoisascomoseus
gostospessoais,ondetrabalha,ondeestudaouestudou,cidade
emquemora,etc.
Atravs disso, perceba como as informaes esto
disponveis e como vital cuidar bem delas e estar sempre
prevenido.
Em nossa Midiateca, temos um artigo
chamado Engenharia Social. Ele traz
informaes importantes sobre as formas de
ataque mais comuns e outras informaes
sobre essa prtica cada vez mais comum.
A figura 4 retrata um ambiente que em alguns aspectos
podemos at ver em nosso dia-a-dia. Poste no portflio
individual o que est sendo pedido e tente apontar 5 aes
urgentes a serem tomadas neste ambiente que no envolveria
custosparaaempresanasuaimplantao

52

Figura4:AmbientecomVulnerabilidades(Fonte:Espode,2002)

1.5.1 Segurana nos Termos, Condies e Responsabilidades de

Trabalho
necessrio precaver-se para que exista um mnimo de garantia de
responsabilidade daqueles que utilizaro a informao da empresa. Deve ser
claro que responsabilidade de todos a segurana da informao e que as
aes dos funcionrios devem ser de acordo com a poltica de segurana.
Vamos identificar as
vulnerabilidades
presentes neste
biente ?

53
Lyra (2008) destaca que os termos e condies de trabalho devem conter o
que est relacionado ao cargo, as obrigaes, cuidados e condutas relativas
segurana da informao. Tais itens devem estar registrados no contrato de
trabalho. A isso, pode ser adicionado ainda um termo de confidencialidade
por ocasio da admisso do colaborador.

1.5.2 Segurana no Processo de Seleo de Pessoal e Treinamento de
Usurios
O processo de seleo deve ser alvo de ateno da segurana da
informao uma vez que a porta de entrada da organizao. Nem sempre
referncias, cpias de documentos e currculo suficiente para ter confiana
no entrevistado. preciso fazer aes de checagem de informaes,
confirmar dados, entrar em contato com as pessoas e empresas citadas,
confirmar diplomas nas instituies de ensino alistadas, verificar conduta,
etc.
No podemos falar em segurana da informao sem
mencionar algo fundamental que treinar, educar e
conscientizar os usurios. Todos os colaboradores, quer
internos,querexternosdevemconhecerapolticadesegurana
da empresa, diretrizes, entender os conceitos de
confidencialidade, integridade e disponibilidade e os

54
desdobramentos das mesmas. Somente assim pode-se cobrar
uma conduta compatvel com as boas prticas de segurana.
Um erro bastante comum o de fornecer treinamento num
determinadoperodoe no repetiros mesmos.Ora,aspessoas
mudam,asformasdeataquemudam,ossistemasmudam.Isso
implica ento, em treinamentos peridicos e sistemticos,
desenvolvendoaculturadaseguranadainformao.
EntrevistadeKevinMitnickCNN:
http://edition.cnn.com/2005/TECH/internet/10/07/k
evin.mitnick.cnna/index.html

Umbommercadodeatuaoodefornecertreinamentos
e capacitaes de segurana para as empresas. No so raras
as empresas e rgos que no detm nenhum tipo de cuidado
com as suas informaes. Recentemente fui convidado para
ministrarumapalestrasobreSegurana,eagrandemaioriados
funcionrios no tinha nenhum tipo de cuidado com as senhas
pessoais do sistema. Algo que encaramos como premissa

55
bsicadesegurana.Eramvriososcasosde funcionriosque
acessavamosistemacomousurioesenhadocolega.

No ano passado, convidei um ex-aluno do curso de Cincia da

Computao do Unis para ministrar uma palestra. Na
oportunidade, ele falava como Gerente de uma Unidade
BradescodeSoPauloenosfalouumpoucosobreaspolticas
de segurana da entidade. Entre as aes citadas, ele nos
mostrouqueseofuncionrioselevantarparabuscarumagua
ouumcafnormadaempresaelebloquearocomputador;se
no o fizer, ele advertido. Isso uma norma imposta pela
polticadesegurana.

1.6 Segurana do Ambiente Fsico

Um problema comum que deve ser evitado o de

preocupar-se somente com a segurana lgica. Muitas vezes

56
soesquecidasasmedidasdepreveno,detecoereao a
possveisincidentesdeseguranafsicadosativos.
Sobreisso,aISO 17.799chamadebarreiradesegurana
qualquermedidapreventivaquesirvaparaimpedirumataquea
algum ativo da informao. Mas o que poderia ser encarado
como barreira de segurana ou medida preventiva? Estas
podemserdetrstipos:
Fsicasmuros,cercas,trancas;
Lgicassenhasdelogon;
CombinaodasAnteriorestoken.

Alm de tais cuidados, importante definir um permetro

de segurana. Mas o que vem a ser isso? Trata-se de um
contorno ou linha imaginria que delimita uma rea ou regio
separada de outros espaos fsicos por um conjunto de
barreiras de segurana. E aqui vai uma dica: quanto mais clara
for a definio desse permetro, mais acertados sero os
investimentos e as barreiras a serem implementadas. Surge

57
outra pergunta: que permetros podem ser protegidos? Bem,
isso depender de cada situao, mas podemos citar prdios,
geradores, cofres, etc. Mas, se pensarmos somente na
informao e sua segurana, teremos os permetros que
seguemnosprximositensdoguia.
Agora, vamos fazer um rpido teste para verificar a
questo da segurana fsica de sua empresa. Quanto mais
respostaspositivasvocder,melhor:
Voc sabe quantas pessoas da sua empresa possuem a chave
dasaladoservidor?
Voc sabe quantas pessoas da sua empresa conhecem a
senhadoservidor?
Voc sabe quantos incidentes de segurana j houve em sua
empresa?
Voc sempre avisado quando algum entra na sala do
servidor?
Vocsabeseachavedasaladoservidorj foitrocadaalguma
vez?

58
Voc sabe se a chave da sala do servidor fica em uma rea
pblica?
Voc sabe se o acesso a esta sala ou a esta chave
controlado? Ou seja, a pessoa que empresta esta chave anota
quemfoioltimoqueapegou?
Voc sabe se quem controla a chave da sala sabe da
importnciadosrecursosqueestol?

1.6.1 Segurana em Escritrios, Salas e Instalaes de

Processamento de Dados

A ISO 17.799 recomenda a elaborao de um projeto de
reas de segurana. Este deve contemplar escritrios fechados
ou com vrias salas dentro de um permetro seguro que
considere as ameaas de fogo, poeira, fumaa, vibrao,
vazamentodegua,exploso,manifestaescivisoudesastres
naturais.

59
necessrio ainda um cuidado especial com
equipamentos instalados em reas comuns. Nesses casos,
muito til aplicar medidas especficas de proteo contra
acessonoautorizado,danooufurto.Anormasugere,inclusive,
mecanismos de bloqueio, como time-out e treinamento
especfico para prestadores de servios de limpeza e
manuteno.
Nodifcilencontrarmosempresas emqueaimpressora
fica numa rea de livre circulao. Conseguem perceber o
perigo que isso tem? Algum manda imprimir um documento
importante, algum passa uma ligao importante. Enquanto
atende essa ligao, que pode ser demorada, pode passar
algum e levar a informao impressa. E grandes problemas
podemsurgir.

60
1.6.2 Segurana de Equipamentos

Um medo mrbido que todos ns temos o de falha de energia.
Geralmente, isso acontece quando menos esperamos, e, detalhe: quando a
energia retorna, ela traz consigo uma srie de problemas. A norma ISO mais
uma vez fornece auxlio. Ela aponta algumas opes para garantir a
continuidade do fornecimento eltrico, veja:
Alimentao com mltiplas fontes;
Uso de nobreaks;
Geradores de reserva.
Outro aspecto que voc no pode esquecer o hardware. Estes so
defeitos inerentes, podem estar funcionando muito bem e podem no estar
no minuto seguinte. Assim, algumas medidas podem ser tomadas, como por
exemplo:
Planejamento de manutenes peridicas;
Treinamento de melhores prticas de utilizao dos equipamentos.

1.6.3 Segurana de Documentos em Papel e Eletrnicos

Geralmente,quandosefalaemseguranadainformao,
instantaneamente pensamos na segurana atravs do

61
computador. No entanto, de nada adianta termos um perfeito
esquema de segurana para os meios eletrnicos ou que
geram a informao se no h nenhuma estrutura segura para
aguardadasinformaesfsicas.
Lyra (2008) prope a adoo de procedimentos de
tratamentodascpias,armazenamento,transmissoedescarte
seguros. necessrio preocupar-se com umidade, acidez do
papel,tcnicasderestaurao,etc.lgicoque,deacordocom
onegcioda organizao,serdecididoquepapisdevemser
guardados e existe uma lei que rege sobre o tempo de guarda
de cada documento. Se a organizao precisar guardar
documentos, ela ento precisa dispor de controles, que podem
ser:
Usodertulosparaidentificardocumentos;
Polticadearmazenamentodepapisemlocaladequado;
Procedimentos especiais para impresso, cpia e
transmisso;
Recepoeenviodecorrespondnciassigilosas.

62

interessante ainda criar procedimentos especiais para

armazenamento e manipulao de papis sensveis luz e
ambiente,comochequesenotasfiscais.

Um bom mercado de atuao hoje em dia o

de digitalizao de documentos. H empresas especializadas
nisso. Pense em uma instituio de ensino como o Unis. Existe
h mais de 40 anos. Imagine que amanh aparea um aluno
que perdeu o seu diploma e necessite de uma cpia ou uma
novaemisso.Detalhe:ele se formou em Engenharia Mecnica
em1975,porexemplo.Parateremumaideia,entreicomoaluno
no Unis em 2000 e atuo profissionalmente l desde 2003. De
2000 para c, o Unis trocou de Sistema de Informao 3 vezes.
Perceberam a importncia de manter em segurana os
documentos impressos? No exemplo que dei, a instituio na
oportunidadenopossua nem mesmosistemacomputacional.
Uma boa sada para garantir essas informaes seria a
digitalizao de todos os documentos que a instituio possui.
Agoraimaginemquantomercadoestetipodeaotem.

63

Mas, e quanto aos documentos salvos na rede da empresa ou

mesmo nos computadores? Estes documentos eletrnicos
trazemtrspreocupaes:

Dispor de um aparato de tecnologia que os deixe visveis

ecompreensveisaosseususurios;
Manter a integridade da informao, pois o documento
eletrnico pode ser mais facilmente alterado que o
documentoempapel;
No se esquecer das evolues tecnolgicas (migrar
documentosarmazenadosemdisquetesefitas);
Estabelecerprocedimentosdebackup.

Sobre o ltimo item, essencial criar como isso vai

funcionar e controlar tambm o acesso a essas informaes e
quandoecomodevemserdescartadas.

64
1.6.4 Segurana no Cabeamento

Mais uma vez a norma ISO nos auxilia. Ela recomenda controles
para cabeamento eltrico e de telecomunicaes:

Sempre que possvel utilizar linhas subterrneas;
Proteger cabeamento de rede contra interceptaes no autorizadas
ou danos;
Separar cabos eltricos dos cabos de comunicao;
Uso de condoeis blindados e salas trancadas para os sistemas
crticos.


1.7 Segurana do Ambiente Lgico

1.7.1 Segurana em Redes

Lyra (2008) destaca que as preocupaes neste aspecto
passam pelos problemas de autenticao de usurios e

65
equipamentos e de restrio de acesso dos usurios aos
serviosautorizados,buscando,comisso,estabelecerinterfaces
seguras entre a rede interna e a rede pblica ou de outra
organizao. A norma mais uma vez nos ajuda. Ela menciona
diversos mecanismos de proteo de redes, tais como
criptografia, tokens, VPN's, antivrus, gateways e firewalls, que
podem controlar o trfego, estabelecer rotas de redes
obrigatrias e dividir grandes redes em domnios lgicos
separados, sendo que, com isso, pode-se dar proteo por
permetrosdeseguranaespecficos.
Embora alguns dos mecanismos de proteo voc j
conhea, convm que os apresentemos para relembrar alguns
conceitos.
Quandoa normacita firewall,issorepresentarecursosde
segurana com objetivo de controlar o acesso s redes. Serve
como uma barreira de proteo entre um computador e seu
ambiente externo. Com isso, possvel examinar e bloquear o
trfego. Mas que desvantagem esse mecanismo traz? Se voc

66
respondeu gargalo na rede, acertou. Pelo fato de todo trfego
passarporele,necessriodimensionardeformacorretaoseu
servio,senofatalmenteocorrerlentidonarede.
Jospermetroslgicosouzonasdesmilitarizadas(DMZ),
protegem o computador ou segmento da rede que fica entre
umaredeinternaeaInternet.Assim,podemosentenderqueela
atuacomointermediriatantoparaotrfegodeentradaquanto
paraodesada.AsVPN'sso outraalternativapararacionalizar
os custos de redes corporativas, dando confidencialidade e
integridade no transporte de informaes por meio das redes
pblicas. H vrios exemplos de softwares de VPN's que criam
tneisvirtuaiscriptografadosentreospontosautorizadosparaa
transfernciadasinformaes.
Laudon (2010) aborda a questo dos desafios da
segurana sem fio. Se vamos a um shopping, a um aeroporto
ou qualquer lugar pblico, no raro, nos deparamos com uma
rede sem fio. Tanto a tecnologia Bluetooth quanto Wi-Fi so

67
suscetveis. A internet est recheada de materiais e guias
ensinandocomopenetrarnestestiposderedes.
As redes Wi-FI, por exemplo, atravs da identificao do
SSID (Service Set Identifiers) por uma ferramenta de anlise,
podem acessar recursos da rede e identificar usurios ao
mesmo tempo em que acessa documentos. Tambm podem
obter os endereos IP e SSID para estabelecer pontos de
acessoilcitosemumcanaldiferente.

Faa uma pesquisa

sobre outra forma de
mecanismo de
seguranaabaixo:
ESTEGANOGRAFIA

68
1.8 Controle de Acesso

Se no houver um controle de acesso informao,

impossvel garantir os trs princpios bsicos de segurana.
Porm, este controle no pode engessar a organizao, no
deveimpedirosprocessosdenegciodamesma.
O item 11 da norma citada todo dedicado a esse
assunto. Recomenda que nada deve ser permitido, tudo deve
serproibido,amenosquesetenhapermissoexpressaparatal.

1.8.1 Controle de Acesso Lgico

Para esse controle, preciso que voc preste ateno a

recursos comumente usados como arquivo-fonte, sistema
operacional, bancos de dados, utilitrios, etc. Para estes ativos
temos de estabelecer, de acordo com Lyra (2008), os seguintes
controles:

69
IdentificaoeAutenticaodoUsurio aidentificao
se faz atravs da criao de contas de usurios com uma
identificaonica.Dessaforma,possvelautenticarousurio
atravs da senha de acesso que o prprio usurio sabe. As
melhores prticas recomendam troca peridica de senhas,
identificao de senhas fceis, bloqueio de acesso aps um
certo nmero de tentativas erradas. Se possvel, muito
interessante que voc agregue autenticao baseada em algo
que o usurio tem (token, smart card, carto com chip). Alm
disso,cadavezmaiscomumsera utilizaodoque ousurio
. Caractersticas fsicas como impresso digital,
reconhecimentofacial,voz,ris,etc.socadavezmaiscomuns.
AdministraodosPrivilgiosdeUsurios importante
realizar uma administrao adequada dos privilgios
concedidos. O uso de perfis e grupos de usurios com
diferentesnecessidades epermissespermiteogerenciamento
de forma mais eficiente dos privilgios e os acessos aos ativos.
Deve-serevisarfrequentementeosperfiseoscomponentesdos

70
grupos, uma vez que pessoas so trocadas de cargos e
responsabilidades, so demitidas e nem sempre o
departamentodetecnologiacomunicado.
Monitorao do Uso e Acesso ao Sistema
imprescindvel que os sistemas possuam registros das
atividades de cada usurio. Embora isso represente uma carga
de informaes a mais no servidor, afetando sua performance,
essesmecanismos,oulog's,devemregistrardataehora,tipode
atividade e eventuais alteraes de dados. Isso ser importante
para a comprovao de uma futura auditoria em caso de
violao da integridade da informao. Hoje h sistemas que
permitem o cadastro do intervalo de tempo em que o usurio
estautorizadoautilizarosistema.
1.8.2 Controle de Acesso Fsico

necessriocontrolesdeentradaapropriadosparaevitar
quepessoasnoautorizadasobtenhamacessoaosrecursosde
informao. Estes precisam ser proporcionais importncia da

71
informao ou criticidade da mesma. Como exemplo, temos
crachsdeidentificao,cartocomPIN,dispositivosdesenha
nasportasdeacesso,etc.
1.9 A Organizao da Segurana

Smola (2003) prope um modelo de gesto corporativa

de segurana da informao cclico e encadeado; este prev
que cada etapa gera resultados que sero importantes para a
prxima.Eleformadopelasetapasqueseguem:
ComitCorporativodeSeguranadaInformao papel
de orientar as aes corporativas, medindo os resultados
parciais e finais; alinhar o plano de ao s diretrizes
estratgicas do negcio; coordenar os agentes de segurana
em seus Comits Interdepartamentais e garantir o sucesso de
implantao, pois dar autonomia na gesto dos seus
associados; e promover a consolidao do modelo como um
processoautogerido.
Mapeamento de Segurana identificar o grau de

72
relevncia e as relaes diretas e indiretas entre os diversos
processos de negcio, permetros e infraestruturas; inventariar
os ativos fsicos, tecnolgicos e humanos que sustentam a
operao da empresa; identificar o cenrio atual ameaas,
vulnerabilidadeseimpactoseespecularaprojeodocenrio
desejado de segurana; e mapear as necessidades e as
relaesdaempresaassociadasaomanuseio,armazenamento,
transporteedescartedeinformaes.
Estratgia de Segurana definir um plano de ao,
geralmente plurianual, considerando todas as particularidades
estratgicas, tticas e operacionais do negcio, bem como
aspectos de risco fsicos, tecnolgicos e humanos; e criar
sinergia entre o cenrio atual e desejado, buscando apoio
explcitodosexecutivossmedidaspropostas.
Planejamento de Segurana organizar os Comits
Interdepartamentais, deixando claro as responsabilidades,
escopo de atuao; iniciar aes preliminares de capacitao
dos executivos e tcnicos, com objetivo de direcionar para os

73
desafios; elaborar Poltica de Segurana de Informao slida,
considerando as caractersticas de cada processo de negcio
permetro e infraestrutura, procurando criar diretrizes, normas,
procedimentos e instrues que oficializaro o posicionamento
da empresa destacando as melhores prticas; e realizar aes
corretivas emergenciais de acordo com o que foi levantado no
mapeamento.
Implementao de Segurana divulgar para toda a
corporao a Poltica de Segurana, com vistas a torn-la um
instrumento oficial; capacitar e conscientizar os usurios em
relao ao comportamento; e implementar mecanismos de
controlefsicos,tecnolgicosehumanos.
Administrao da Segurana monitorar os controles
que foram implantados, medindo eficincia e mostrando as
possveis mudanas que interferem no negcio; projetar a
situaodoRetornosobreoInvestimento(ROI),identificandoos
resultados alcanados; garantir a adequao e a conformidade
do negcio com normas associadas, padres e legislao; e

74
manterplanosestratgicosparacontingnciaerecuperaode
desastres.
Segurana na Cadeia Produtiva equalizar as medidas
de segurana adotadas pela empresa aos processos de
negcio comuns, mantidos junto aos parceiros da cadeia
produtiva: fornecedores, clientes, governo, etc. Isso deve ser
comobjetivodenivelarofatorderiscosemqueumadaspartes
exponhasuasinformaescompartilhadas.
1.10 A Segurana no Contexto da Governana de TI

O Control Objectives for Information and Related

Technology (COBIT) trata-se de um guia dirigido para a gesto
de Tecnologia da Informao. Este recomendado pelo
Information Systems Audit and Control Fundation (ISACA) e
possui uma srie de recursos que podem servir como modelo
de referncia para a gesto. Inclui ainda controle de objetivos,
mapas de auditoria, ferramentas para a sua implementao e
tcnicas de gerenciamento. um meio de otimizar os

75
investimentos, melhorar o ROI percebido com mtricas para
avaliaoderesultados.
COBITabrangequatrodomnios:
Planejar e Organizar cobre o uso de informao e
tecnologia e como isso pode ser usado para que a empresa
atinja seus objetivos e metas. Como objetivos de alto nvel para
esse domnio esto: Definir um Plano Estratgico de TI e
orientaes; Definir Arquitetura de informao; Determinar o
gerenciamento tecnolgico; Definir os processos de TI;
Gerenciar o investimento em TI; Comunicar os objetivos de
gerenciamentoeorientar;GerenciarosrecursoshumanosdeTI;
Gerenciar a qualidade; Estimar e gerenciar os riscos de TI e
Gerenciarprojetos.
Adquirir e Implementar este domnio cobre os
requisitos de TI, aquisio de tecnologia e sua implementao
dentro dos processos de negcios da empresa. Foca ainda o
desenvolvimento do plano de manuteno. Como objetivos de
alto nvel temos: Identificar solues automatizadas; Adquirir e

76
manter software de aplicao; Habilitar operao e uso; Obter
recursos de TI; Gerenciar mudanas; Instalar e credenciar
soluesemudanas.
Entregare DarSuporte focaaexecuodeaplicaes
dentrodosistemadeTI eseus resultados,almdo suportedos
processos. Pode-se incluir questes de segurana e
treinamento.Paraessedomniotemososseguintesobjetivosde
controle:Definiregerenciarnveisdeservio;Gerenciarservios
de terceiros; Gerenciar performance e capacidade; Assegurar
servio contnuo; Assegurar segurana de sistema; Identificar e
alocar recursos; Treinar usurios; Gerenciar servios de
escritrio e incidentes; Gerenciar a configurao; Gerenciar
problemas; Gerenciar dados; Gerenciar o ambiente fsico e
Gerenciaroperaes.
Monitorar e Avaliar este domnio lida com a estimativa
estratgicadasnecessidadesdaorganizaoeavaliaseoatual
sistema atinge os objetivos que foram especificados para tal.
Cobre ainda questes de estimativa independente da

77
efetividadedosistemadeTIesuacapacidadedeestaralinhado
s estratgias. Essa avaliao ainda feita por auditorias
internas e externas. Tem por objetivos de alto nvel: Monitorar
processos; Assegurar avaliao dos controles internos; Obter
avaliaoindependenteeProverauditoriaindependente.
Bernardes e Moreira (2006) prope um modelo que permite ao
conselho administrativo de uma organizao a incorporao
daGovernanadaSeguranadaInformaocomopartedoseu
processo de Governana Organizacional. A ideia do modelo
que o conhecimento sobre os riscos relacionados
infraestruturadeTecnologiasejaapresentadodeformaobjetiva
no momento da definio do planejamento estratgico. Uma
novadimensoapresentadaparacontemplar:controles(o
que), processos (como), pessoas (quem) e tecnologia
(ferramentas automatizadas). O modelos COBIT e a norma ISO
17799foramutilizadasparadefiniodosobjetivosdecontrolea
serem implementados e o modelo ITIL foi utilizado para definir
os processos responsveis pela implementao. Os autores

78
defendem que para que o modelo COBIT, o modelo ITIL e a
normaISO17799possamserutilizadosemum Modelode
Governana da Segurana da Informao, importante
demonstrar uma correlao entre os objetivos de controle
apresentadosnomodeloCOBITeosapresentadosnanorma
ISO17799.

Figura 5 : Relacionamento de Processos ITIL, COBIT E ISO.
Fonte: Bernardes e Moreira (2005)

79
Verifique que na figura 5 so mostrados quais objetivos
decontrole soreferenciadospelosprocessosdescritos no
modelo ITIL (Suporte a Servios e Entrega de Servios).
Tambmevidenciaapropostaparaestruturaodosobjetivos
decontroleemnveisorganizacional,tticoeestratgico.
Bernardes e Moreira (2005) destacam que o ponto de
partida para a construo do modelo de Governana da
Segurana da Informao est em definir uma estrutura
baseadanosmodelosdetomadadedecisoemSistemasde
InformaesGerenciais.Talestruturaconsistedeumadiviso
em 3nveis:nveloperacional(dadosdodiaadia,pontuais),
nvel ttico (informao obtida a partir de dados agrupados,
sintetizados, totais, percentuais, acumulados, plurais, etc) e
nvelestratgico(conhecimentomacro,objetivoerelacionadoa
todo o ambiente interno e externo). Nos nveis operacionais-
ttico-estratgicos,omodelosereferea:
a)Operacional:Atividadesdirias,cotidianasereativas;

80
b)Ttico:Atividadeproativascomrevisesperidicas,busca
contnua pela qualidade e possibilidade de planejamento em
longoprazo;
c) Estratgico: Gerar conhecimento para permitir a viso
organizacional para as questes de segurana computacional
a partir de avaliaes, auditorias, definio de nveis de
maturidade dos objetivos de controle definidos e processos
deextraodeconhecimentodebasededados.
Outro modelo de referncia para
gerenciamento de TI o ITIL. Voc dever montar uma
apresentao em .ppt sobre o tema acima e postar em
seu portflio individual. Ao final da apresentao, no se
esquea da bibliografia e um ltimo slide comentando
se em seu departamento voc desempenha alguma
ao parecida e se seria difcil implementar esse
modelo.

81

Em nossa Midiateca temos o texto COBIT. Apresenta de

formasucintaemuitoclaraessaferramenta.Leituraobrigatria.

Para mais detalhes sobre COBIT:

http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

CONCLUSO
base de todos esse conceitos que vimos e revimos,
pode-se observar como cada vez mais com a evoluo dos
dispositivos, a globalizao e o contnuo aumento de uso da
tecnologia ser ainda mais desafiador manter a informao
segura. Nos Estados Unidos, os dados sobre roubo de
identidadesocadavezmaisalarmantes,aprivacidade cada
vez menor. Assim, se as empresas no levarem a srio os
investimentos emsegurana eosdepartamentosdetecnologia

82
noforemcriativos,grandesperdasacontecero.
Vimos ainda que existem vrias formas, e muitas delas
so simples, de fornecer um nvel melhor de segurana. Daqui
parafrente,veremosumanovafiguradentrodasempresas,que
o profissonal responsvel somente pela segurana da
informao. Tambm importante ressaltar o quanto a norma
ISO17.799nosajudounasdefinies.
Mais frente, notamos que pessoas so o elo
fundamental para ter segurana. No basta apenas
investimentosemseguranalgica,cadavezmaisosincidentes
acontecem no meio fsico, envolvendo pessoas. O alerta foi at
mesmoenvolvendoacontrataodepessoas.
O COBIT e o ITIL so os modelos mais amplamente
usados no mundo. Muitas das aes propostas so prticas de
nosso dia a dia, no entanto, precisamos colocar isso no papel,
tentando tangibilizar nossas aes e criar um escopo de
aplicaodessasprticas.
Enfim, conclumos que tanto as organizaes como as

83
pessoasnopodemignorarasnormasdeseguranaeasboas
prticasdeusodatecnologia.Opreopodeseraltssimo!

APONTAMENTOS SOBRE A PRXIMA UNIDADE
Em nossa prxima unidade, veremos a importncia de
desenvolver software com tcnicas de segurana. Veremos
modelosdeespecificaodeseguranaparaaaplicao,para
oambientededesenvolvimentoenociclodevidadaaplicao.

84
SEGURANA NO DESENVOLVIMENTO DE SOFTWARES

85

META
Apresentar a importncia da segurana no
desenvolvimento de softwares. Modelos de especificao de
segurana, ambiente de desenvolvimento, segurana da
aplicao. Tambm veremos os conceitos e os tipos de
ameaas,riscosevulnerabilidades.

OBJETIVOS DA UNIDADE
Esperamosque,apsoestudodocontedodestaunidade,
vocsejacapazde:
1. Construir um software atravs de um modelo de
segurana;
2. Conceituar e identificar as maiores ameaas e riscos
quantosegurana.

86

2.1 Modelos de Especificao da Segurana

De acordo com Laudon (2010), anualmente as empresas

de segurana identificam cerca de 5 mil vulnerabilidades de
software na internet em programas para PC. Em 2008, a
Symantecidentificou47vulnerabilidadesnoInternetExplorer,99
nosnavegadoresMozillae40noSafari.
Common Criteria nome do padro de mercado que deu
origem Norma ISO/IEC 15.408. Seu objetivo fornecer um
conjunto de critrios para especificar a segurana de uma
aplicao de forma clara, estabelecendo caractersticas para o
ambiente de aplicao e definindo formas de garantir a
seguranadaaplicaopara ocliente final.Emsuma,elepode
ser usado para desenvolver um sistema seguro ou ainda,
realizaraavaliaodeumjexistente.

87
Masavocpergunta:oquefazcomqueumsistemaseja
seguro?
Estepadronosdresposta.Eleestabelecequequalquer
sistemaparaserseguro,precisaterseuSecurityTarget(objetivo
ou alvo de segurana) elaborado. Este deve indicar quais
aspectos de segurana foram considerados importantes para o
sistemaemquesto.
Ele define ainda sete nveis de garantia de segurana. A
cada nvel h um maior rigor nos testes. Esses so chamados
de EAL (do ingls Evalution Assurance Level, ou nvel de
garantia da avaliao) e so classificados entre os nveis 1 a 7,
sendo o nvel 7 o mais alto. Atingir este ltimo nvel no fcil,
envolvetempo edinheiro.Podemosafirmarqueatingiro nvel 3
j seria bastante interessante para a maioria dos aplicativos
comerciais.
preciso dizer que aplicar a norma em questo em sua
totalidade seria bastante oneroso. Embora seja muito

88
interessante, possvel atingir um bom nvel de segurana no
sendonecessrioaplicaranormatotalmente.
Albuquerque & Ribeiro (2002) apresenta um modelo mais
simples, e, portanto, mais interessante e plausvel de aplicao.
Se for iniciar uma aplicao do zero, ele apresenta quatro
passos,osquaisso:
Especificar a segurana na fase de anlise gerar um
documento de especificao utilizando a ISO/IEC 15.408
como guia. No necessrio, aqui, seguir o padro
impostoporelanoquetangeaoSecurityTarget;
Manter ambiente de desenvolvimento e testes seguros e
capazesdeatenderaoEAL3;
Desenvolver aplicao utilizando boas prticas de
programao e fazer uso dos requisitos de segurana
criar processo de desenvolvimento definido e planejar
implantaodosrequisitosespecificados,e

89
testarosistemainternamente gerarasevidnciaspara
verificar aderncia s especificaes realizadas
anteriormente,comoEAL3.
Serquesoosmesmospassosseaaplicaojestiver
desenvolvida? No, necessrio realizar algumas adaptaes,
queseguem:
EspecificaraseguranaparaaaplicaousandoISO/IEC
15.408;
Levantar quais requisitos de segurana a aplicao
possui e quais esto presentes em seu ambiente de
desenvolvimento;
Verificar se os requisitos implementados atendem
necessidade de segurana verificada na especificao
inicial,e
escolherumnveldegarantiadesegurana(somenteat
EAL3, pois nveis 4 a 7 exigem testes e procedimentos
durante a implementao e portanto inviveis para

90
aplicaes prontas) e fazer os testes para garantir a
seguranadaaplicao.

2.2 Especificao da Segurana Desejada

Assim como na anlise de sistemas, em segurana

tambm necessrio conhecer as necessidades do cliente, bem
comodousurio.
Essa preocupao com segurana vlida tendo em
vistaaslegislaes epolticasdesegurana estabelecidaseas
ameaasaonegcio.Dessamaneira,aprimeiraaoaserfeita
levantar as necessidades legais e as polticas de segurana
que vertem sobre a aplicao. Tambm deve ser realizado um
levantamentodostiposdeameaas.
Com tais levantamentos em mos, hora de consolidar
os objetivos de segurana. Cada um deles deve estar ligado a
pelomenosumaameaaouaumalegislaoounorma.

91

2.3 Especificao da Segurana da Aplicao

Para conseguir realizar esta especificao primordial

identificar as ameaas, pontos crticos, os ativos valiosos,
legislaoaplicveleasmedidasdecontingnciaexistentesno
ambiente.(LYRA,2008)
Comorealizarisso?
Mais uma vez, a norma ISO/IEC 15.408 nos auxilia. Ela
sugere a realizao de uma busca extensiva, passando por
quatroaspectos:
Poltica de segurana documento de normatizao,
sendo importante levantar os motivos dos requisitos
existirem;

92
Ameaas levantar somente as que so significativas,
que podem ocorrer com maior probabilidade e com
impacto;
Objetivosdeseguranatrata-sedaseguranaqueser
implementada;
Premissas ambiente esperado para a construo do
sistema,lembrandoquedeveserautorizadopelousurio;
Estratgia procurar atender cada objetivo de
seguranaanterior.
2.4 Segurana do Ambiente de Desenvolvimento

Lyra (2008) diz que no possvel desenvolver uma
aplicao segura em um ambiente no seguro. Abaixo, temos
um modelo esquemtico de como seria esse ambiente, tendo
porbaseasnormas.Aproveitee faaumaanlise respondendo
as3ltimasperguntasdecadaquadro:

93

Avaliao de Vulnerabilidades
Objetivo Analisarameaasquepodemser
exploradas.
Como? Procurar por possibilidades de
falhas, quer nos mecanismos de
segurana, quer na documentao,
quernousodosistema.
Fao isso?
Quando?
Possomelhorarao

Testes de Segurana
Objetivo Garantirquesistemaestatendendo
aosrequisitosdesegurana

94
Como? Testesdeunidade,integrao,
sistema,instalaoeaceitao.
Fao isso?
Quando?
Posso melhorar ao
Gerncia de Configurao
Objetivo PreservarIntegridadedoSistema.
Como? Prevenindomudanas,acrscimose
exclusessemautorizaona
documentaodosistema.
Fao isso?
Quando?
Posso melhorar ao

Distribuio

95
Objetivo Nocomprometeratransioentre
desenvolvimentoeaproduo.
Como? Assegurarversocom
especificaesdesegurana.

Fao isso?
Quando?
Posso melhorar ao

Documentao
Objetivo Operaoseguradosistema
Como? Manualcomorientaesde
configurao,manutenoe
administraodosistema.
Fao isso?
Quando?

96
Posso melhorar ao
Desenvolvimento
Objetivo Representarasfuncionalidadesde
Seguranaemtodasasfasesde
desenvolvimento.
Como? Particionarasespecificaesde
segurana.
Fao isso?
Quando?
Posso melhorar ao

SuporteaoCiclodeVida
Objetivo Atingirrequisitosfuncionaisde
segurana.
Como? UtilizaodemodeloscomoCMMI,

97

Questionrio Importante
1 - Relacione que cuidado padronizado tem sido tomado por
minhaequipededesenvolvimentonoquetangesegurana.
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
2 - Que testes fazemos para verificar o nvel de segurana
dasaplicaescriadas?
RUP
Faoisso?
Quando?
Possomelhorarao

98
___________________________________________________________
___________________________________________________________
_______________________________________________________
3 H um consenso entre as tcnicas de desenvolvimento e a
prticadodiaadia?
___________________________________________________________
___________________________________________________________
___________________________________________________________
________________________________________________________
2.5 Segurana no Ciclo de Vida de Desenvolvimento
da Aplicao

Lyra (2008) aconselha a escolha de uma metodologia de

desenvolvimento. No entanto, alm disso, ele cita as boas
prticasdeprogramao:
Criarfunesintrinsecamenteseguras;
Usarfunesintrinsecamenteseguras;

99
Testaroretornodefunes;
Documentarfunescorretamente;
Tratarasentradasdedados;
Terumapolticadeversoconsistente;
Usarcomponentesebibliotecasconfiveis;
Evitarinformaessensveisemarquivostemporrios;
Noarmazenarsenhasechavescriptogrficasnocdigo;
Operarcomoprivilgionecessrio,e
tratartodasasentradasdosistemacomonoseguras.
Temos um Frum chamado Boas Prticas de
Programao. Antes de postar sua participao, voc dever
escolher duas boas prticas e pesquisar o que de fato elas
significamecomentarsevoctemocostumedeutiliz-la.
Para finalizar nossa unidade, disponibilizei em nossa
Midiateca, uma monografia com o tema: Um Guia para

100
ImplantaodeSeguranaBsicaemSistemas.Vocsdevero
ler da pgina 12 a 48, em que so apresentados os principais
problemas e aspectos de segurana. Aps a leitura, dever ser
construda uma resenha com metodologia cientfica (vide
manualdenormatizaodoUnispginas79e80,disponvelem
www.unis.edu.br,portaldoaluno).
CONCLUSO
Nestaunidadevimosaimportnciadeconstruiraplicaes
com segurana, ou mesmo verificar em aplicaes j
implantadas.Importante ressaltarquenadadissopodeser feito
do nada, existem ferramentas, metodologias, prticas e normas
para nos auxiliar neste aspecto. Dessa forma,
responsabilidadenossacadavez maiscuidardisso. Percebe-se
quenobastasimplesmenteserumbomprogramador,teruma
boalgicasenohcuidadonenhumcomasegurana.Vimos
que importante comear a tratar do assunto ainda nas
primeirasfasesdelevantamentoderequisitos.

101

APONTAMENTOS SOBRE A PRXIMA UNIDADE

Em nossa prxima unidade veremos os conceitos de
auditoria, fudamentos, metodologias, ferramentas e prticas.
Veremosqueelaimportanteemvriasfasescomo:aquisio,
desenvolvimento,documentaoemanutenodesistemas.

102

AUDITORIA EM SISTEMAS DE
INFORMAO

103
META
Apresentar conceitos de auditoria, destacando as metodologias
existentes, ferramentas, tcnicas, melhores prticas e outros
aspectosligadosaotema.

OBJETIVOS DA UNIDADE
Esperamos que, aps o estudo do contedo desta unidade,
vocsejacapazde:
1.ConceituarAuditoriadeSistemas;
2.EntenderoobjetivoeimportnciadasAuditorias;
3.Aprendersobreasmelhoresprticaseferramentas.

104

3.1 Fundamentos em Auditoria

O objetivo de realizar uma Auditoria de um Sistema de

Informao o de conseguir adequar, revisar, avaliar e
recomendar alteraes positivas nos processos internos, bem
como avaliar a utilizao dos recursos humanos, materiais e
tecnolgicosenvolvidos(LYRA,2008).
Gil (2000) destaca que a Auditoria de Sistemas
importante tendo em vista os recentes altos investimentos das
organizaes em sistemas, a necessidade de segurana dos
computadores e seus sistemas e a garantia do alcance da
qualidadedossistemascomputadorizados.
Podemos resumir que a Auditoria de Sistemas de
Informaopossuialgunsobjetivosprincipais,quaisso:
Integridade terconfiananastransaesprocessadas
pelo sistema. Isso permite que os usurios tomem

105
decises sem receio, sem desconfiana. Muitas vezes
dentro de empresas ao extrair um relatrio ningum se
compromete em assin-lo ou em tomar uma deciso
tendosomenteeleporbasedeinformaes.
Confidencialidade informaes reveladas somente s
pessoas que de fato precisam delas. muito comum em
empresas, um funcionrio assumir outra funo ou no
ter mais uma funo anterior e continuar com acesso s
informaesdocargoanterior.
Privacidade enxergar apenas as informaes que lhe
socabveisparaexecuodesuasatividades.
Acuidade validar as transaes realizadas. Evitar que
dados incompatveis populem o sistema, gerando
transaesindevidasouinvlidas.
Disponibilidade sistema disponvel para realizar as
tarefas. Queda ou problemas no sistema podem gerar

106
Em nossa Midiateca
temos um Glossrio
com termos utilizados
em Auditoria. A leitura
ajudar na
compreenso mais
fcil dos termos.
(Leitura obrigatria.)
despesasouprejuzosincontveis.Lembramdaquedade
serviodaSpeed?
Auditabilidade documentarlogsoperacionais.Embora
isso possa trazer um pouco de lentido ao sistema,
maiores gastos em infraestrutura
computacional, extremamente
vantajoso.
Versatilidade sistema deve ser
amigvel, adaptvel e ter condies
de uso para exportar e importar
dados. Nos dias atuais
extremamenteimportantenoteraesdedigitaonos
sistemas, quanto mais se conseguir automatizar as
tarefas,menoserrosocorrero.
Manutenibilidade os procedimentos devem conter
controles. Estes devem incluir testes, converses e
documentao.

107
3.2 Tipos de Auditoria

HvriasmodalidadesdeAuditoria,porm,tendoem
vista o assunto que discutimos e de acordo com Lyra
(2008),destacamos:
AuditoriaDuranteoDesenvolvimentodeSistemas:auditar
todo o processo de construo do sistema, desde a fase
de requisitos at a implantao, passando ainda pela
metodologiadedesenvolvimento;
Auditoria de Sistemas em Produo: auditar os
procedimentoseresultadosdossistemasjimplantados;
AuditorianoAmbienteTecnolgico:auditaroambientede
informtica, no que tange a estrutura organizacional,
contratos,normastcnicas,custos,planos,etc.;
Auditoria em Eventos Especficos: auditar eventos novos
oueventosnodetectadosporauditoriasanteriores.

108
3.3 Metodologia de Auditoria de Sistemas de
Informao

Quando falamos em metodologia, necessrios uma
palavra de cautela. Nem sempre podemos seguir risca, com
os olhos fechados uma metodologia do incio ao fim. Cada
empresa, cada poca, cada situao tm as suas
particularidades.Noentanto,estabelecerumnortedeatuao
sempre til, mas no se deve deixar de lado o chamado jogo
de cintura, pois assim o trabalho torna-se peculiar e mais
interessante. A metologia proposta por Lyra (2008) est descrita
abaixoedivididoemfases,conformepoderver:

3.3.1 Planejamento e Controle do Projeto de Auditoria de
Sistemas de Informao

Para isso interessante levar em considerao a

abrangncia das aes, o enfoque desejado, alm de um

109
levantamento do quantitativo de sistemas que sero auditados.
Esteserentooplanejamentoinicialdasaesedosrecursos
necessriosparaexecutaraauditoria.
Mas a voc pergunta, como vou fazer isso de forma
correta? A vo algumas dicas ou recomendaes:
FormeumaEquipedeTrabalho;
DividaessaEquipeemdoisgrupos:CoordenaoeExecuo;
Coordenao: composto pelo gerente de auditoria, gerente da
rea usuria responsvel pelo sistema de informao, gerente
dareadeTIegerenteouresponsveltcnicodosistema;
Execuo: composto por auditores e tcnicos da rea de
informticaedareausuria.
O grupo Coordenao dever: definir procedimentos a serem
utilizados durante o trabalho de auditoria, escolher alternativas
paraacompanhartrabalhos,acompanharecontrolar resultados
obtidos;

110
OgrupoExecuorealizaraAuditoria;
Utilizarferramentas e mtodosconsagradoscomo PMBoKpara
auxiliarnoplanejamentodasatividades.

3.3.2 Levantamento do Sistema de Informao a ser Auditado

Aps essa primeira fase, necessrio levantar as
informaes relevantes sobre o sistema. Este deve ser o mais
abrangente possvel, para que assim exista um entendimento
dascaractersticasdosistema.Nestepontovocdeveaplicar o
que aprendeu em Anlise e Projetos de Sistemas. Isso mesmo!
hora de entrevistas, analisar documentaes existentes, criar
diagramas, grficos, etc. Lembra de algumas ferramentas para
auxiliar nisso? Se voc lembrou de DFD, MER, dicionrio de
dados, casos de uso, diagramas de classe, sequenciais, voc
acertou. hora de utilizar esses conceitos e ferramentas. Ele

111
ajudaro a explicar o comportamento do sistema e como ele
figuranosprocessosdaempresa.
No se esquea de que, nessa fase, o mais importante
conseguir determinar o escopo. Com isso voc poder
determinaraabrangnciadaauditoriaeoseupossvelalcance.
Muitas vezes, o levantamento de informaes exerce um papel
fundamental. Segue agora algumas possibilidades para ser
fazerisso,conformeArajo(2000).
Umaauditoriacompreendeum estudoorganizacional,ecomo
tal,precisasedesenvolverpautadoporumaestratgiaqueo
auxilienodiagnsticoetratamentodosprincipaisproblemasda
empresa. A estratgia de atuao contempla uma etapa de
sensibilizao, onde a ideia tornar o indivduo parte da
mudana, promovendo o entendimento acerca das razes
quelevamnecessidadedetransformao.
Existem trs mtodos bsicos:
Questionrio,

112
Entrevistae
ObservaoPessoal.
No caso do Questionrio, as condies para aplicao se
justificariam por:
Faltadetempoparaentrevista;
Dificuldadeparaentrevistar(quebradegelo);
Distanciamentogeogrfico;
Levantamentodedadosquantificveis.

As Vantagens de um Questionrio esto em:

Maiorabrangncia(maiornmerodeindivduos);
Permite a obteno de informaes enquanto outras
atividadessorealizadas;
Permiteaoentrevistadomaiortempopararespostas;

113
Respostasmaisdetalhadas;
Servedealternativasentrevistas.

As Desvantagens de um Questionrio esto em:
Inibeascrticasesugestes;
Resistnciaaopreenchimento;
Possibilidadedeinformaesfalsas;
Diversasinterpretaesmesmapergunta;
Podetrazerumamaiorlentido.

Algumas precaues e recomendaes para utilizar um

Questionrio:
Concisoeclareza
Poucaspalavrasesimplicidadenasquestes

114
Explicaodafinalidade
Terminologiaadequada
Da mesma forma que na entrevista tentar usar o
vocabulriodaspessoasquesoobjetodeestudo
Experimentaoprvia
De preferncia, mas no obrigatoriamente, com um grupo
daprpriaorganizao.
No caso da Entrevista, existem duas formas:
Entrevista dirigida - em geral, efetuada a partir de um
questionrio elaborado previamente, onde existem questes
objetivas a serem respondidas pelo entrevistado.
Distinguimos esta entrevista do questionrio, pois feita a
partir do contato direto entre entrevistado e entrevistador. O
questionrio pode ser aplicado de forma a dispensar essa
relaopessoal.

115
Entrevista informal - Nesta entrevista, no existe um
protocoloestabelecidocomquestesprvias.Oentrevistado
convidadoadiscorrerlivrementesobrealgumasquestes
dirigidas pelo entrevistador. O que caracteriza este tipo de
entrevista o fato de no haver obrigao de uma amostra
representativa, nem de uma anlise estatstica das
informaes.

Asvantagensdaentrevistaestoem:
Maioraberturaparaosentrevistados(anonimato);
Exposioverbal(maiorfacilidade);
Conhecimentomaisprofundoparaoanalista;
Acessoainformaesarmazenadasinformalmente;
Melhorjulgamentosobrechefiasefuncionriosenvolvidos;
Estimulaoraciocniodoentrevistadoedoentrevistador.

116

AsDesvantagensdaentrevistaestoemrazode:
Certadificuldadeparafazeranotaes;
Existnciadepalpiteseadivinhaes;
Possvelenvolvimentoemocional.
Algumas precaues e recomendaes ao se realizar uma
entrevista:
Envolveroentrevistadonoestudo(contribuio);
Estabelecerumroteiroprvio;
Evitaranotaespessoaisnafrentedoentrevistado;
Evitarcrticasejulgamentosantecipadosempresa;
Evitarpromessasdefuturosbenefcios;
Evitarinterromperoentrevistado(imparcialidade);
Familiarizar-secomoassunto(terminologia);

117
Evitarserextremamentetcnico(vocabulrio);
Evitarinduziraresposta;
Serformaleobjetivo.
A outra arma (no bom sentido) para que o auditor obtenha
informaes a observao pessoal. Esta deve ser utilizada
comosubsdioaoestudoenocomoinstrumentoprincipal
de obteno de dados. Uma observao, por mais bem feita
que seja, no permite uma concluso definitiva do que est
ocorrendo numa determinada organizao. O observador
normalmente no est familiarizado com as caractersticas
particularesdaorganizaoqueestsendoobservadadeforma
a tirar concluses sem maiores explicaes. Dessa forma,
fica sujeita interpretao. Normalmente, as observaes
oferecem validade para outras tcnicas. A confrontao
entre os dados obtidos a partir de observaes com as
declaraes obtidas atravs das entrevistas muito
interessantepoispodeevidenciarpontoscrticos.Elapodeser:

118
Observao aberta - utilizada no incio de qualquer anlise
para se ter uma primeira ideia da situao. Exige um
mnimo de planejamento preliminar. Pode fornecer questes
a serem colocados aos usurios e tambm orientar na
escolhadetcnicasmaisespecficas;
Observao armada - praticada com a ajuda de
instrumentos - filmadora, gravador - permitindo ao
pesquisador aumentar a preciso dos dados recolhidos, bem
como prolongar a durao das observaes. Em alguns casos,
permite,inclusive,eliminarapresenadoobservador;
Observao participante - praticada quando o pesquisador
participa da situao que est analisando, colocando-se no
lugardousurio.
As vantagens desse tipo de tcnica:
Permite comparar as informaes obtidas por outros
instrumentoscomarealidade;
Maiorreceptividadessugestesdecorrentesdoestudo;

119
Propiciaummelhorconhecimentotcnicodoassuntoestudado.
As suas desvantagens so:
Podetornaroprocessomaisdemorado;
Permiteimpresseserrneas;
Podecausarperturbaonoambientedetrabalho.
As precaues e recomendaes para a observao so:
Evitarocarterdeinspeo
Marcaravisitacomantecedncia
Serinformal
Darumacaractersticaamistosavisita.
Outra tarefa que um auditor tambm realiza, a Anlise de
processos. Esta, muitas vezes, responde os motivos dos
problemas e os pontos com evaso de informao e dados. As
empresas, no importando seu porte ou seu nicho de
atuao,possuemumamovimentaodepessoas,papise

120
informao.Dadaessarealidade,precisoassegurarafluidez.
Para isso, necessrio criar processos internos e externos. Os
objetivosdevemser:
Identificarautilidadedecadaetapadoprocesso;
Verificar as vantagens em alterar a sequncia das
operaes(passos);
Adequarasoperaes(passos)spessoasqueasexecutam;
Identificarnecessidadedetreinamentoespecfico.
Paraidentificarqueprocessocriarouqueprocessoalterar,
pode-se prestar ateno a algumas situaes, como:
indicadores de problemas (queixas, filas, etc.). Ao identificar,
precisoestabeleceralgumasanlises:
Porqueestarotinanecessria?
Queinformaesgera?
Oquefeitonestarotina?
Quedadossousados?
Quemteminteressenasinformaesgeradas?
Quandoessasinformaesdevemestardisponveis?

121
Algumas ferramentas e metodologias foram desenvolvidas
para documentar diversos aspectos do processo de
construo de sistemas. As mais utilizadas so os
diagramasdefluxodedadoseosfluxogramasdesistemas.
Podemserusadosduranteaanlisedeumproblemapara
documentar um sistema existente ou durante o projeto de
soluoparaajudaravisualizarumanovasoluo.
DiagramasdeFluxodeDadossoteisparaadocumentao
doprojetolgicodeumSI.Eles mostramcomo osdadosfluem
para, de e dentro de um SI e os diversos processos que
transformamessesdados.

122
Figura6:Fluxogramas.(Fonte:Autor)

Figura 7: Fluxogramas. (Fonte: Autor)

Alguns mtodos desenvolvidos para orientar os rumos de uma

soluo englobam funes demarcadastantoparausurios
finais como para os especialistas tcnicos. A metodologia
mais antiga denominada ciclo de vida de sistemas

123
tradicional.Elesubdivide odesenvolvimentode um sistema
em um conjunto formal de estgios, de modo semelhante ao
ciclo de vida de um ser humano ou de outro organismo,
podendo,ento,serdivididoem:
Definiodoprojeto
Estudosdosistema
Projeto
Programao
Instalao
Ps-Implementao
Temos:
Definio do Projeto a anlise do problema -
especialistas da rea da empresa identificam
reas/questes problemticas; especialistas tcnicos
determinam se o problema requer mais pesquisa e
projetamsoluo.

124
Estudo dos Sistemas o entendimento do
problema, tomada de deciso; especialistas da rea da
empresa fornecem documentos, descrevendo
problemas/requisitos e fornecendo restries;
especialistas tcnicos coletam/sintetizam informaes,
analisam problemas, fornecem restries tcnicas e
projetamsoluesalternativasavaliandoaviabilidade.
Projeto o projeto da soluo; especialistas
da rea da empresa fornecem especificaes do
projeto e a aprovam; tcnicos modelam e
documentamespecificaesdoprojetolgicoefsico.
Ps-implementao especialistas da rea da
empresa avaliam desempenho (auditoria), novas
exigncias. Tcnicos avaliam desempenho tcnico e
executammanuteno.
Programao, Instalao a implementao.
Tcnicos escrevem o cdigo-fonte dos programas,

125
finalizam hardware, planos de testes, documentao,
converso. Especialistas da rea da empresa contribuem
com os testes, validam resultados, avaliam desempenho
dosistema,supremnovasexignciaseutilizamosistema.
Para auxiliar a viso dos processos, existe o Fluxograma, que
tem como objetivos:
Padronizar a representao de mtodos
administrativos;
Permitir maior rapidez da descrio de mtodos
administrativos;
Facilitarleituraeentendimento;
Melhoraraanlise;
Facilitarlocalizaoeidentificaodospontosmais
importantes.
As vantagens da utilizao dessa tcnicas:

126
Levantamento e anlise de qualquer mtodo
administrativo;
Apresentaorealdofuncionamento;
Visualizao integrada de um mtodo
administrativo;
Usodeconvenesesmbolos(facilitaaleitura).
Porincrvelqueparea,jfizconsultoriasemempresasqueno
possuem nenhum processo consolidado em fluxogramas. Tais
empresas se surpreendem quando montam seus processos
nessas ferramentas. Alm de melhorar o processo, ainda
permiteumageraodeconhecimentointerno.
Algumasferramentasparaauxiliarnacriaodosfluxogramas:
MS-Windows
Visio
EdgeDiagrammer

127
SmartDraw
HarvardGraphics
MS-Office
Linux
Kivio
DIA
OpenOffice.Org
3.3.3 Na Identificao e Inventrio dos Pontos de Controle

possvelvocconseguirdeterminarospontosdecontroleque
precisam ser validados. Isso o inventrio de pontos de
controle. Eles podem ser encontrados em documentos de
entrada do sistema, relatrios de sada, telas, arquivos, pontos
de integrao, bancos de dados. Cada ponto deve estar
relacionado e seus objetivos tambm devem ser conhecidos. O

128
resultado deste levantamento deve ser enviado ao Grupo
Coordenaoparaumavalidaodepertinncia.
3.3.4 Priorizao e Seleo dos Pontos de Controle do
Sistema Auditado

Essa etapa seleciona e prioriza os pontos de controle
inventariados anteriormente. Mas como selecionar esses
pontos? Essa seleo deve ser baseada no Grau de Risco
existente no ponto, na existncia de ameaas e na
disponibilidadederecursos.
Quando se fala em Grau de Risco, isso consiste em
verificar os prejuzos que podero ser acarretados pelo sistema
acurto,mdioelongoprazo.Prevasameasprovveisdeum
ponto. Sobre a existncia de ameaas, consiste em classificar
os pontos e dar ateno primeiro aos que possuem forte
ameaa. Finalmente, sobre Disponibilidade de Recursos, inclui
daratenoaospontosquepodemseratendidosdentrodoque
foilevantadocomorecursosparaaauditoria.

129
Levando em conta essas trs caractersticas, pode-se
conseguir elencar os pontos de controle que devero ser
revisadoseauditadoscommaiorprioridade.
3.3.5 Avaliao dos Pontos de Controle

SomentenestafasecomeaaAuditoriarealmente.aqui
que os testes dos pontos de controle selecionados sero feitos.
As tcnicas aplicadas devero procurar falhas e pontos que
podem ser melhorados. Para isso, interessante aplicar
ferramentas e tcnicas para um melhor resultado.
Apresentaremosalgumasdestasumpoucomaisfrente.
3.3.6 Concluso da Auditoria

Ao trmino da execuo dos testes, voc dever elaborar
um relatrio contendo o resultado encontrado. Detalhe: o
resultado deve ser o encontrado, independente se for ruim ou
bom.

130
Oquevocachaquedeveconterumrelatrioassim?
Ele deve conter o diagnstico da situao atual dos
pontos de controle, e se existirem, as falhas ou fraquezas dos
controlesinternos.
Se encontrar um ponto de controle que possui fraqueza
oufalha,estesetransformaemPontodeAuditoria.Vocpoder,
ento,apontarmelhoriasousoluesparaesteponto.
Estes Pontos de Auditoria devero periodicamente sofrer
avaliaes ou revises para verificar se a falha ou fraqueza foi
sanada. Esta anlise pode ser feita por analistas ou usurios
responsveis.
3.3.7 Acompanhamento da Auditoria

O Acompanhamento da Auditoria ou follow-up deve ser
feito at que todas as recomendaes tenham sido atendidas
em um nvel satisfatrio. Este deve verificar se os Pontos de

131
Auditoria esto sendo revistos e avaliados e o comportamento
referenteaosmesmos.
3.4 Ferramentas de Auditoria de Sistemas de
Informao

Imagine extrair, sortear, selecionar dados e transaes

sem o apoio de ferramentas computacionais. Seria muito
exaustivo. H uma grande variedade de ferramentas para
auxiliarnesteaspecto.
Entre essas ferramentas, h softwares de uso em
ambiente batch que podem processar, simular, analisar
amostras, gerar dados, apontar duplicidade, entre outros. Entre
as vantagens da utilizao de uma ferramenta, podemos
destacar o fato de um aplicativo conseguir processar vrios
arquivos ao mesmo tempo, processar vrios arquivos de
diferentesformatos,integrarsistemicamentecomvriostiposde
estruturas diferentes, reduzir a dependncia do auditor em

132
relao ao pessoa da TI da empresa. Este tipo de sistema
chamadodeferramentasgeneralistas.Abaixo,temosexemplos:

Audit Command Language (ACL) extrao e
anlisededados.
Interactive Data Extraction & Analisys (IDEA)
extraoeanlisededados.
Audimation extraoeanlisededados.
Galileo gesto de auditoria, incluindo gesto de
risco,documentaoeemissoderelatrios.
Pentana permite a elaborao de um
planejamento estratgicodeauditoria,complanejamento
e monitoramento de recursos, controle de horas, registro
de checagens e desenho e gerenciamento de plano de
ao.

133
Surge uma dvida: a utilizao de ferramentas como as
que vimos apresentam somente vantagens? No. H algumas
desvantagens como a no utlizao das mesmas em ambiente
online e quando se torna necessrio a execuo de clculos
maiscomplexosquenopodemser resolvidosporferramentas
generalistas.
Em vista disso, existem as chamadas ferramentas
especializadas. Trata-se de sistemas desenvolvidos para
execuodetarefasemcirscuntnciadefinida.Estaspodemser
desenvolvidaspeloauditor,peloespecialistadaempresaoupor
outros. A vantagem desse tipo de ferramenta est no fato de
conseguir atender necessidades especficas. As desvantagens
estoemcustoeemproblemasdeatualizaodesistema.
H ainda os programas utilitrios que realizam tarefas
comuns como ordenar um arquivo, concatenar textos,
sumarizar, etc. Estes so verdadeiros quebra-galhos para
algumas aes que podero economizar principalmente tempo
eesforo.

134
Este espao abaixo para voc complementar este guia.
Pesquise, converse com colegas, entreviste auditores e liste
outras ferramentas de auditoria utilizadas hoje em dia. Procure
alistarvantagensedesvantagensdasmesmas.

3.5 Tcnicas de Auditoria de Sistemas de Informao

Lyra (2008) afirma que as variadas metodologias de auditoria
podemserchamadasdetcnicas.Emvistadisso,selecionamos
algumas delas que podero orientar sobretudo se for ter uma
primeiraexperincianestembito.
DADOS DE TESTE envolvem o uso de um conjunto de
dados especialmente projetados e preparados com o
objetivo de testar as funcionalidades de entrada de dados
no sistema. interessante realizar uma entrada com os
mesmos e verificar os resultados obtidos. Ser que este
resultado era o esperado ou existe alguma discrepncia?

135
Quanto mais combinaes de transaes puderem ser
feitasnoarquivodecarga,maiorseracoberturadoteste.
FACILIDADE DE TESTE INTEGRADO melhor aplicada
em ambientes online e real time. Os dados de teste so
introduzidos nos ambientes reais de processamento,
formando, assim, uma linha de produo. Envolve aplicar
situaes inusitadas e novas ao sistema para avaliar seu
comportamento e consistncia. Pode-se confrontar dados
reaiscomosdadosfictcioslanados.
SIMULAO PARALELA envolve utilizar um
programa desenvolvido de forma especial que simule as
funcionalidades do programa em produo. So
realizadas transaes em ambos e comparam-se os
resultados.Esteinteressanteprincipalmentepararotinas
queapresentaminconstnciaemseusresultados.
LGICA DE AUDITORIA EMBUTIDA NOS
SISTEMAS incluso da lgica de auditoria nos

136
sistemas em fase de desenvolvimento. Criar relatrios de
auditoriaparaacompanhamentodosprocedimentos.
RASTREAMENTO E MAPEAMENTO elaborar e
implementar umatrilhadeauditoriaparaacompanhar os
principais pontos de lgica do processamento das
transaes crticas, registrando seu comportamento e
resultadosparaumaanliseaserfeitafuturamente.Essas
trilhas,naverdade,sorotinasdecontroleparapermitiro
alcance da informao tanto aps o processamento
comoantes.
ANLISE DA LGICA DE PROGRAMAO
certificao de que as instrues construdas para
execuo pelo computador esto de acordo com as
regrasdenegciodaempresaedeacordocomoquefoi
passadoparaaAuditoria.

137
3.6 Melhores Prticas de Auditoria de Sistemas de
Informao

Ainda no h uma conveno de padro para Auditoria

de Sistemas de Informao. Lyra (2008) informa que vrias
associaes apresentam regras do exerccio da profisso que
servemparanortearaatuaodeseusmembros.
3.6.1 Comit de Padres da Associao de Controle e
Auditoria de Tecnologia da Informao
Trata-se de uma associao norte-americana que d
recomendaes para quem trabalha com auditoria de
tecnologia da informao. (LYRA, 2008). Entre as
recomendaes,temos:
Responsabilidade, Autoridade e Prestao de
Contas: Estas devem estar documentadas em uma carta
propostaoudeadernciaaoescopo.

138
Independncia Profissional: O auditor deve ser
independente em atitude e aparncia. Ele deve ser
independente inclusive da rea auditada para que assim
seutrabalhotenhaumaconclusoobjetiva.
tica Profissional e Padres:Ozeloprofissionalea
observnciadospadresprofissionaisdeauditoriadevem
ser exercidos em todos os aspectos do trabalho do
auditor.
Competncia: Deve possuir habilidades e
conhecimento necessrios para a execuo do seu
trabalho. Deve manter a competncia tcnica por estar
sempreseaprimorando.
Planejamento:Deveterumbomplanejamentoque
permita atingir seus objetivos. Deve supervisionar sua
equipe e ter capacidade de analisar e interpretar
informaespermitindoumaconclusolgica.

139
Emisso de Relatrio: Na concluso de seu
trabalho, deve ser elaborado um relatrio contendo
escopo, objetivos, perodo de abrangncia, natureza e
extenso do trabalho. Deve ainda elaborar observaes,
concluses,recomendaesepossveissoluesparaas
situaesencontradasduranteaauditoria.
Atividades de Follow-up: Deve requisitar e avaliar
as informaes apropriadas sobre pontos, concluses e
recomendaes anteriores. Assim, h condies de
avaliar se foi conseguido solucionar os pontos em tempo
satisfatrio.

140
3.6.2 Associao de Auditores de Sistemas e Controles
(ISACA)

Elacriouumcdigode ticaprofissionalcom objetivode

guiar as atividades de seus membros. Entre as aes que eles
devemfazer,esto:
Apoiar a implantao e encorajar o cumprimento
comospadressugeridosdosprocedimentosecontroles
dossistemasdeinformaes;
exercersuasfunescom objetividade,dilignciae
zelo profissional, de acordo com os padres profissionais
easmelhoresprticas;
servir aos interesses dos stakeholders de forma
legal e honesta, atentando para a manuteno de alto
padrodeconduta ecarterprofissional,eno encorajar
atosdedescrditoprofisso;

141
manter privacidade e confidencialidade das
informaes obtidas no decurso de suas funes, exceto
quando exigido legalmente. Tais informaes no devem
ser utilizadas em vantagem prpria ou entregue a
pessoasdesautorizadas;
manter competncia nas respectivas
especialidades e assegurar que nos seus exerccios
somente atua nas atividades em que tenha razovel
habilidadeparacompetirprofissionalmente.
Imagine que voc foi chamado para participar de uma
Auditoria de Sistemas de Informao. Voc ento dever
tentar montar esse processo. Para isso, voc dever montar
inicialmente 4 fases, quais so: Planejamento da Auditoria,
Definio da Equipe, Documentao do Trabalho e Produtos
Gerados pela Auditoria. Monte esse processo com detalhes
em cada fase.

142
CONCLUSO

NestaunidadevimosaimportnciaqueasAuditoriastm
dentro das organizaes. Embora possam existir dificuldades
para a sua realizao, tais como defasagem tecnolgica, falta
de bons profissionais, falta de cultura da empresa e tecnologia
variada e abrangente, ela ganha fora a cada dia. Isso porque,
conforme vimos, os resultados so tangveis, expressos em
relatrios e de fcil verificao de seus resultados. Vimos ainda
a variedade de ferramentas existentes e tambm um passo-a-
passo para uma primeira auditoria. Tente realizar isso
internamente,proveoqueaAuditoriapodefazerporvoceseu
departamento.Osresultadospodemsurpreender!

143
APONTAMENTOS SOBRE A PRXIMA UNIDADE

Em nossa prxima unidade, veremos Poltica de

Segurana, apresentando exemplos de ciclo de vida de
desenvolvimentoseguroePlanosdeSegurana.

144
POLTICA DE SEGURANA

145
META
Apresentar a importncia do estabelecimento de uma poltica
de segurana, destacando exemplos de ciclo de vida de
desenvolvimentoseguroePlanosdeSegurana.


OBJETIVOS DA UNIDADE
Esperamos que, aps o estudo do contedo desta unidade,
vocsejacapazde:
1.Elaborarumapolticadesegurana;
2.Entenderoobjetivoeimportnciadeumplanode
segurana;
3.Conhecerumciclodevidadedesenvolvimentoseguro.

146
4.1 Planos de Segurana

UmaPolticadeSegurananopodesercriadadanoiteparao
dia.Trata-sedeumprocessocultural.Paratal, necessrioque
todos os que compem a empresa, mais os parceiros ou
terceiros,estejaminteressadosnisso.WanderleyeMoura(2000),
abordamaimportnciadeutilizarboastecnologiasparaisso.
A necessidade e o medo so tantos que, muitas vezes,
pensamos em construir algo como demonstra a figura 5. Em
muitas empresas, h resistncia por parte da gerncia no que
tange a investir em programas ou polticas de segurana. Isso
se deve, muitas vezes, ao fato de economizar recursos, manter
satisfao dos funcionrios em no ser vigiados ou dar
liberdade na utilizao dos equipamentos. Porm, a conta
podesairmuitocara.muito melhoriniciaruminvestimentode
conscientizao, criao de uma poltica a ser estabelecida,
criar normas que perder dados ou no ter segurana nas
informaestransacionadasinternamente.

147

Figura 8: Segurana. (Fonte:www.gta.ufrj.br/.../images/antispam_2.png)

OusodeCertificadosDigitais,bemcomocriptografia,no
apenas uma opo para quem vai construir um Plano de
Segurana. Antes,trata-sedeumanecessidade.Afiguraabaixo
nos mostra uma viso geral de uma poltica de segurana, de
acordocomWanderleyeMoura(2000).

148

Figura 9: Poltica de Segurana. (Fonte: Wanderley e Moura, 2000)

A figura mostra o que necessrio em uma poltica de

segurana para estabelecer aes para autenticao e
autorizao:
ServidorWebconfigurarpararequerercertificadosdos
clientes;
Certificados de clientes obtidos pelos usurios e
instaladosemseusnavegadoresWeb;
Diretrio de usurio projetado para armazenar chaves
pblicaseinformaessobreusurios;

149
Definies de grupos e regras dar ou negar acesso
aosrecursos;
Cdigo fonte da aplicao checando o acesso e
regrasdecontrole.

4.1.1 Plano Diretor de Segurana

O primeiro passo para quem quer dar segurana sua
informaocriarum PlanoDiretordeSegurana.Elenodeve
ser algo muito rgido, antes, deve ser flexvel e pronto para se
ajustarsnecessidadesdeseguranadaorganizao.
Este plano deve objetivar o fornecimento de orientaes
sobre como ser o comportamento da organizao em relao
segurana.Assim,nopossvelestabelecerumplanoedizer
que ele serve para todo e qualquer ambiente corporativo. H
determinadas aes que, para uma empresa, seria um risco
elevadodeseguranaeparaoutrasumriscomoderado.Assim,

150
cada uma pode estabelecer como agir de acordo com sua
realidade.Eletambmdeve,deacordocomLyra(2008),
montar um mapa de relacionamento e dependncia entre
processos de negcio, aplicaes e infraestrutura fsica,
tecnolgica e humana.

Embora no exista uma receita de bolo para guiar a
construo deste plano, Smola (2003) prope uma
metodologiaparaelaboraresteplano.
Em nossa Midiateca, temos um arquivo pds.ppt que contm as
seisetapasdistintaspropostasporSmola(2003)paraacriao
deumPlanoDiretordeSegurana.Leia,confira!
Nestaproposta,identifica-seclaramentequeasaesde
segurana devem ter foco no negcio da empresa e nas
informaes que sustentam esse negcio. Assim, primordial
conseguir levantar quais so os processos mais vitais. Quem
deve participar desse levantamento obrigatoriamente a alta

151
gerncia,poiselaconhecequaisprocessossoessenciaispara
suatomadadedeciso.
Apsessemapeamento,deve-seestabelecerarelevncia
de cada um realizando uma classificao dos mesmos. Isso
tambm deve ser feito junto com gestores que conhecem a
organizaocomoumtodo.Paraisso,pode-secriarumaescala
de1a 5para realizarapontuao(1 menosrelevantee5 mais
relevante). Depois de descobrir quais processos so mais
importantes, hora de relacion-los com incidentes de
segurana. Para este estudo de impacto, pode ser feita uma
anlise CIDAL (conceitos de confidencialidade, integridade,
disponibilidade, autenticidade, legalidade). Nesse ponto no se
leva em conta o todo, e, sim, uma viso mais pontual do
processo. Deve-se, ento, analisar o processo e verificar o que
poderia acontecer se ocorresse uma quebra em um dos trs
aspectos de segurana (CID) ou nos aspectos de segurana
(AL). O prximo passo seria estabelecer uma prioridade para

152
cada processo sob ameaa. Esta prioridade pode ser montada
atravsdeumamatrizGUT(Gravidade,Urgncia,Tendncia).
Estamatrizrepresentaprocessossobameaas:
Gravidade seria muito grave para o processo do
negcioemanlisesealgumfatooatingisseprovocando
aquebradeseguranadainformao?
Urgnciaqualseriaaurgnciacasoumprocesso fosse
atingido?
Tendncia qual seria a tendncia dos riscos caso no
fossetomadanenhumamedidapaliativa?
Assim, podemos utilizar o seguinte processo, conforme Lyra
(2008):

GRAVIDADE URGNCIA TENDNCIA

1 SEM
GRAVIDADE
1 SEM PRESSA 1 NO VAI
AGRAVAR

153
2 BAIXA
GRAVIDADE
2 TOLERANTE
ESPERA
2 VAI AGRAVAR A
LONGO PRAZO
3 MDIA
GRAVIDADE
3 O MAIS CEDO
POSSVEL
3 VAI AGRAVAR A
MDIO PRAZO
4 ALTA
GRAVIDADE
4 COM ALGUMA
URGNCIA
4 VAI AGRAVAR A
CURTO PRAZO
5 ALTSSIMA
GRAVIDADE
5
IMEDIATAMENTE
VAI AGRAVAR
IMEDIATAMENTE
Tabela 1: GUT. Fonte: Lyra(2008)
Aprioridadedoprocessopodeseranalisadapormultiplicarmos
osfatores.
A classificao ficar entre 1 (menor prioridade) e 125 (mxima
pontuaoe,portanto,maisprioritrioegrave).
Depois de todas estas atividades importante identificar os
ativos (infraestrutura, tecnologia, aplicaes, informaes e
pessoas). Estes ativos so os que fazem os processos de
negcioexistireacontecer.Elespossuemfalhasefraquezasem
relao segurana; e somente as pessoas que trabalham
nesse ambiente sabero exatamente os pontos que devem ser

154
melhorados.Agora,portanto,horadeesqueceraaltagestoe
trabalhar com o pessoal tcnico. Por ltimo, a montagem do
plano. Que solues so mais interessantes? Que projetos
podero j ser implantados? Que aes ocorrero em
ambientes e permetros distintos e isolados? Portanto, nessa
fase que so indicadas as atividades e/ou projetos juntamente
comumcronograma.

4.1.2 Plano de Continuidade de Negcios

Lyra (2008) aborda este tipo de plano como tendo por
objetivo assegurar a continuidade das atividades exercidas por
cada processo dentro da organizao. Entre seus objetivos,
destacam-se:
Garantirseguranadosempregadosevisitantes;
Minimizar danos imediatos e perdas numa situao de
emergncia;

155
Assegurar a restaurao das atividades, instalaes e
equipamentosomaisrpidopossvel;
Assegurar a rpida ativao dos processos de negcio
crticos;
Fornecerconscientizaoetreinamentoparaaspessoas-
chaveencarregadasdestaatividade.

Lyra (2008) cita o Disaster Recovery Institute (DRI

International) que elaborou uma proposta de um padro de
desenvolvimentodeumPlanodeContinuidadedeNegcios.As
etapas devem ser feitas na ordem em que aparecem, sendo
sucessivas:
1 - Incio e Administrao do Projeto definir o
escopo/necessidade para o PCN, incluindo questes sobre
patrocnio,organizaoegerenciamentodeprojeto

156
2 - Avaliao e Controle dos Riscos definir os possveis e
provveis cenrios que fazem parte da organizao e que
podemafetaroambiente.Determinarosdadosquepodemvira
existir e que medidas podem ser tomadas para reduzir o
problema. Uma boa alternativa uma anlise ROI (Return of
Investment) para justificar o investimento em segurana ou no
plano.
3 - Anlise de Impacto nos Negcios identificar e avaliar os
impactos de uma possvel interrupo e dos cenrios
pessimistas. Definir a criticidade dos processos, prioridades de
recuperaoeinterdependncia.
4-DesenvolvimentodeEstratgiasdeContinuidadedeNegcio
definir as estratgias operacionais para a recuperao dos
processos e dos componentes de negcios dentro dos prazos
de recuperao esperados. Pode-se dividir os procedimentos
em Plano de Recuperao de Desastres que seria um plano
para atividades relacionadas recuperao ou substituio de

157
componentesePlanodeContingnciaqueamanutenodos
processosdenegcios.
5 - Respostas e Operaes de Emergncia desenvolver e
implementar procedimentos de resposta e estabilizao de
situaespormeiodeumincidenteouevento.Pode-secriarum
Centro Operacional de Emergncia (COE) que servir como
centralduranteumacrise.
6-DesenvolvimentoeImplantaodoPCN integrartodos os
componenteselaboradoseplanejados.
7 - Implantao dos Programas de Treinamento desenvolver
programa para incrementar a cultura corporativa, incentivar as
habilidades necessrias, executar o Plano. O Treinamento das
Equipes pode acontecer de vrias formas, mas um primeiro
passo comea por distribuir o plano para conhecimento de
todos.
8 - Manter e Exercitar os PCN's elaborar um pr-plano para
coordenar exerccios do PCN, buscando avaliar os resultados

158
obtidos. Deve-se analisar e atualizar constantemente o PCN
para que o mesmo seja vlido. Procedimentos devem ser
inclusos.Devesertestadoregularmenteparagarantireficcia.
9- GerenciamentodeCrise desenvolver,coordenar,avaliar e
exercitar o manuseio de mdias e documentos. Assegurar o
fornecimentodeinformaesparainvestidores.
10 - Parcerias com Entidades Pblicas estabelecer
procedimentos e polticas de coordenao de respostas,
atividades de continuidade e restaurao de negcios,
buscandoajudadergospblicosecumprindonormaseleis.
11-ParceriascomEntidadesPrivadasestabelecerdiretrizese
coordenao de resposta, atividades de continuidade e
restauraodenegcios,comajudadeorganizaesprivadas.
Ufa! O assunto bem extenso e d ampla margem para
discussoeconversa.Mas,perceberamquenaetapa4falamos
sobrePlanode Contingncia.Estetipodeplano umdos mais
falados hoje em dia. Por isso interessante explorar um pouco

159
mais o tema. Quais seriam algumas das estratgias de
contingncia?Jprecisouestabeleceralguma?muitocomum
confundir esse plano que estamos falando com outros, tais
como odeRecuperaodeDesastresoudeContingncia.Lyra
(2008)nosajudacomatabelaabaixo:
Plano Foco 1
Plano de
Continuidade de
Negcios
Manter funes crticas do negcio durante e aps a
ocorrncia de um incidente. Ele geralmente contm o
plano de recuperao de desastres e o de contingncia.
Plano de
Recuperao de
Desastres
Montagem e estabelecimento de procedimentos
detalhados para a recuperao de servios ou produtos
de TI.
Plano de
Contingncia
Procedimentos e capacidades necessrias para a
recuperao de uma aplicao especfica ou sistemas
complexos.
Tabela 2: Diferenas entre os Planos. Fonte: (Lyra(2008))
Lyra (2008) destaca que uma das estratgias de contingncia
o HOT-SITE. Trata-se de uma iniciativa pronta para entrar em
operao assim que uma situao de risco acontecer. O seu
tempo de operacionalizao est diretamente ligado ao tempo

160
de tolerncia a falhas do objeto. Outra estratgia o WARM-
SITE, que se aplica a objetos com maior tolerncia falha ou
paralisao, podendo ficar mais tempo indisponvel. A BUREAU
DE SERVIOS possibilita a transferncia da atividade atingida
para um ambiente terceirizado, fora da empresa, ou seja, no
pertencente a ela. O ACORDO DE RECIPROCIDADE prope a
aproximao e um acordo formal com empresas que mant m
caractersticas fsicas, tecnolgicas ou humanas semelhantes.
Dessa forma, concordam em estabelecer um conjunto de
situaes de contingncia em que compartilhariam recursos.
COLD-SITE prope uma alternativa de contingncia a partir de
um ambiente com os recursos mnimos de infraestrutura e
telecomunicaes, mas sem processamento de dados. Assim,
torna-se interessante quando h tolerncia para as falhas. A
AUTO-SUFICINCIA , muitas vezes, a melhor ou a nica
estratgia possvel para determinada atividade. Isso acontece
quando nenhuma outra estratgia aplicvel, quando os

161
impactos possveis no so altos ou inviveis em vrios
aspectos.
Oquevocaprendeuaolersobreasestratgias?
Um aspecto muito importante sempre se lembrar de
que a escolha de qualquer estratgia depende diretamente do
nvel de tolerncia que a empresa consegue suportar e o nvel
deriscoqueaaltagestoestdispostaacorrer.

Dexemplosdesituaesemquepoderiaaplicarasestratgias
citadas acima: HOT-SITE, WARM-SITE, REALOCAO DE
OPERAO BUREAU DE SERVIOS, ACORDO DE
RECIPROCIDADEeCOLD-SITE.

162
4.1.3 Plano de Administrao de Crise

De acordo com Lyra (2008), trata-se de um documento
que tem a finalidade de definir como funcionaro as equipes
envolvidas com o acionamento da contingncia antes, durante
e depois da ocorrncia de um incidente. Define ainda,
procedimentos a serem executados quando tudo est normal.
Uma ao que tambm tratada por esse documento como
comunicaroincidente,suasoluoeseuspossveistranstornos
imprensa.
muitocomum,almdessetipodeao,criarumGrupo
deRespostasaIncidentesdeSegurana.
No site do CERT existe um documento traduzido com
permisso especial do Software Engineering Institute, que
citaremosapartirdeagora. De acordo com o CERT (2010),
manter a segurana da informao se torna mais difcil
medidaemquesolanadosnovosprodutosparaaInternet, e
novasferramentasdeataquesodesenvolvidas.

163
Assim, voc deve concordar que impossvel criar uma
soluo nica, como um b a b" de segurana. Mas o que
fazer?

O CERT (2010) fala sobre a necessidade de se ter uma

estratgia de segurana composta de vrias camadas. Uma
dessascamadastrata-sedoGrupodeRespostaaIncidentesde
Segurana em Computadores, conhecido como CSIRT (do
ingls"ComputerSecurityIncidentResponseTeam").
Osmotivosparaessaaoestoem:
aumento na quantidade de incidentes de segurana
sendoreportados(videsitedocert.br);
aumento na quantidade e na variedade de organizaes
afetadasporincidentesdeseguranaemcomputadores ;
uma maior conscincia da necessidade de polticas e
prticasdesegurana;

164
novasleiseregulamentosqueafetamamaneiracomoas
organizaesprecisamprotegerassuasinformaes;
apercepodequeadministradoresderedesesistemas
no podem proteger sozinhos os sistemas e as
informaesdaorganizao.

Assim, o objetivo de criar um CSIRTs o de buscar

respostas para a construo de um mecanismo de auxlio para
os incidentes. Porm, isso no tarefa fcil, o CERT (2010) lista
asdificuldadesequestionamentosparatal:
Quais so os requisitos bsicos para se estabelecer um
CSIRT?
QuetipodeCSIRTsernecessrio?
Quetiposdeserviosdevemseroferecidos?
QualdeveserotamanhodeumCSIRT?
OndeoCSIRTdeveestarlocalizadonaorganizao?

165
QualocustoparaimplementaremanterumCSIRT?
Quaissoospassosiniciaisquedevemserseguidospara
criarumCSIRT?
Sevocest esperandoumarespostaobjetivaparacada
pergunta acima, sinto em dizer que no existem. Cada CSIRT
singular como a sua organizao. Assim, se hoje voc
estabelece uma estrutura dessas em um empresa e amanh
est em outra empresa, o CSIRT da segunda no ser igual ao
da primeira. Aps implementar o CSIRT voc ter as respostas
paraosquestionamentosacima.

Embora no seja uma receita de bolo, o artigo

supracitado considera alguns passos para a criao de um
CSIRT:
Obter o Apoio e a Aprovao da Administrao Superior
semaaprovao eoapoiodaaltaadministrao,fica muito
difcil a criao de um CSIRT. Quando se fala em apoio, isso

166
significa recursos materiais e financeiros, e de tempo para
trabalhar (tanto para a pessoa como para a equipe). Outro
aspecto importante ouvir o que a administrao espera do
CSIRT. Tambm eles podem confirmar o compromisso de
sustentarasoperaeseaautoridadedoCSIRTalongoprazo.
Determinar o Plano de Desenvolvimento Estratgico do
CSIRT esta ao deve procurar gerenciar o desenvolvimento
do CSIRT. Para que isso seja feito de forma correta, so
recomendadas algumas questes: Quais questes
administrativas e de gerncia do projeto devem ser
consideradas? Existem prazos especficos a cumprir? Estes
prazos so realistas? Se no, eles podem ser alterados? Existe
um grupo de projeto? Qual a origem dos membros do grupo?
Um bom procedimento para fazer isso aplicar prticas em
gernciadeprojetos,teoriadocomportamentoorganizacionale
teoria da comunicao. Essas prticas podero fornecer um
maiorembasamentosaesquesequeirarealizar,bemcomo
garantir sucesso na implantao. Outra dica criar um

167
ambiente online em que todos os componentes do grupo
podem se comunicar e acessar documentos importantes e
relevantesaoprojeto.
Coletar as Informaes Relevantes Este passo muito
importante, pois permite que se saiba exatamente quais so as
necessidades da organizao. vital coletar informaes de
departamentosestratgicosaoCSIRTesaberouviraquelesque
podem contribuir. Para isso, importante aplicar tcnicas de
coleta de informaes. Isso vai ajudar a determinar que
estratgias devero ser aplicadas primeiro, que alvos so mais
necessriosouqueprecisamdemaisateno.
D exemplos de Tcnicas de Coleta de Informaes e tente
levantarasvantagensedesvantagensdecadatcnica.
Quase todos os dias as organizaes lidam com incidentes de
segurana.

168
Tente montar uma situao hipottica ou que seja comum e
apresente como voc montaria uma resposta a esse incidente.
Paraisso,tenteutilizaroespaoabaixo.

Um exemplo de resposta atividade proposta acima dada
peloCERT(2010):
Imagine que uma organizao foi vtima de um vrus ou
"worm, incidentes muito comuns. Sero necessrios
procedimentos de busca, eliminao e recuperao de vrus
com ferramentas antivrus. Talvez sero necessrios
treinamentos e produzir documentao para ajudar a
desenvolverprogramasdeconscientizaodosusurios.

ConceberaVisodoseuCSIRT opassoanteriorajuda
adefinirumavisodoCSIRTeseus objetivosefunes.Assim,
vital alcanar um entendimento da definio e das
expectativas para o CSIRT. No se pode esquecer que o foco

169
principal prevenir e responder a incidentes. Assim, o CERT
(2010)citaquedeveexistirasseguintespreocupaesaocriara
viso:IdentificaracomunidadeaseratendidaDefiniramisso
e os objetivos do seu CSIRT Selecionar os servios a serem
prestados comunidade (ou a outros) Determinar o modelo
organizacional Identificar os recursos necessrios
DeterminaromodelodefinanciamentodoseuCSIRT.
ComunicaraVisodoCSIRT Comunicaravisocriada
no passo anterior fundamental. E isso deve ser feito a todos,
da alta gerncia a toda a comunidade. Outro aspecto
importante lembrar que ajustes so permitidos e devem ser
feitos.
IniciaraImplementaodoCSIRT Paraimplementar,
importante treinar o pessoal inicial do CSIRT, comprar os
equipamentosemontarainfraestruturaderedenecessriapara
dar suporte ao grupo, desenvolver um conjunto inicial de
polticas e procedimentos para o CSIRT, definir as
especificaes para o sistema de acompanhamento de

170
incidentes e implementar e, por fim, desenvolver
recomendaes e formulrios para que todos possam reportar
incidentes. Este aspecto muito importante, pois um incidente
reportadodeformaerradapodegeraresforosdesnecessrios.
4.1.4 Plano de Continuidade Operacional

Objetivo de definir os procedimentos para contingncia
dos ativos que suportam cada processo de negcio, com
objetivo de reduzir o tempo de indisponibilidade e os possveis
impactos.Almdisso,deveorientarasaesparaqueoservio
da empresa no fique indisponvel por muito tempo. Um
clssicoexemplodissoseria umaquedadaconexoInternet.
Que aes deveriam ser feitas? Este plano traaria exatamente
queaesdeveriamserfeitas.(LYRA,2008).
OMS-ProjectdaMicrosoftemsuaverso2007trazumexemplo
de um projeto para Aperfeioamento da Infraestrutura de
Segurana. Embora no seja um modelo testado e criado para
esse fim, vale a pena dar uma boa olhada em como essa

171
estrutura de planejamento foi montada. Espelhando-se nessa
ideiadeplanejamento,vocpodetentarestruturarsuasaese
verificar como tal plano pode auxiliar em momentos que voc
menos espera. Alm disso, ele pode se tornar um ciclo de
melhoria contnua para o seu departamento ou organizao
validando as aes e buscando sempre correes e aspectos
deexcelncia.Vejaabaixo:
Plano de Aprimoramento da Infraestrutura de
Segurana
Leia a observao para obter uma explicao sobre os
objetivosdestemodelo.
Identificarequipedeavaliaodenecessidades.

Realizar Avaliao de Necessidade

RealizaravaliaodenecessidadescentradaemTI

172
Realizaravaliaodenecessidadesdaempresa
Reconciliar necessidades centradas em TI com requisitos
denegcios
Documentarrequisitosreconciliadoseper ododetempo
AvaliaodeNecessidadesCONCLUDA

Realizar Avaliao do Domnio de Soluo

Avaliartecnologiasatualmentedisponveis

Para cada tecnologia identificada

Avaliar como a tecnologia se integrar infraestrutura
atual

173
Avaliar como a tecnologia se ajustar s estratgias
corporativasatuais
Avaliarcomplexidadedamanutenodatecnologia
Avaliarflexibilidadedatecnologia
Avaliarriscosassociadosaessatecnologia
Avaliar conjunto de qualificaes necessrias a essa
tecnologia
Avaliar os nveis de preo ou o valor fornecido por essa
tecnologia
Avaliar o tempo necessrio para implementar essa
tecnologiaemumasoluo
"Pesquisar""Tecnologia""LigadaaoTempo"

Possibilidades de solues (combinaes de

tecnologias)

174

Avaliar como as solues se integram infraestrutura
atual
Avaliar como as solues se ajustam s estratgias
corporativasatuais
Avaliarcomplexidadedemanutenodasoluo
Avaliarflexibilidadedasoluo
Avaliarriscosassociadosasolues
Avaliar conjunto de qualificaes necessrias a cada
soluo
Avaliar os nveis de preo ou o valor fornecido para cada
soluo
Avaliar tempo necessrio implementao de cada
soluo

175
Avaliar mapas temporrios da soluo e de implantao
datecnologia
DesenvolvimentodeSoluo"LigadoaoTempo"

Realizar Seleo de Solues

Comparaoeseleodesolues
SeleodeSoluesConcluda

Planejando a Soluo

Preparar o desenvolvimento da soluo e a implantao
docronograma
Preparar planos de treinamento, suporte e manuteno
dasoluo

176
Prepararplanodeimplantao/migraodasoluo

Executar Implementao da Soluo

Implementaodasoluo
Testedasoluo
Aprovaodamigraodeproduodasoluo

Implantao da Soluo
Migraopara
Aceitaodasoluo
SoluoImplantadaeAceita

177
Agora, tente montar um planejamento pensando em sua
realidade de emprego, ou mesmo pessoal, para os seus
prpriosdados:
Plano de Aprimoramento da Infraestrutura de Segurana
Aes





Realizar Avaliao de Necessidade
Aes

178
Realizar Avaliao do Domnio de Soluo
Aes









Para cada tecnologia identificada
Aes

179

Possibilidades de solues (combinaes de tecnologias)
Aes








Realizar Seleo de Solues
Aes

180
Planejando a Soluo
Aes






Executar Implementao da Soluo
Aes





Implantao da Soluo
Aes

181
4.2 Ciclo de Vida de Desenvolvimento Seguro

Lyra (2008) apresenta um processo chamado SDL, sigla
do ingls, que significa Trustworthy Computing Software
DevelopmentLifecycle.
O processo citado acima utilizado pela Microsoft e est
disponvelnolinkabaixo:
http://msdn.microsoft.com/pt-br/library/ms995349.aspx

4.3 Forense Computacional

Cada vez mais os crimes tornam-se mais invasivos e
fortuitos.Issotemobrigadoasautoridadesaestabelecerformas
cada vez mais inteligentes de combate. Guimares et. al (2001)
destaca que a eliminao de fronteiras realizada pela Internet
gerou um grande problema para as instituies de combate ao
crime. Ele aborda que os crimes eletrnicos passaram a ter
vtima e criminoso em pases distintos. Com isso, nota-se uma
obrigatoriedade de troca de informaes e evidncias

182
eletrnicasentreasagnciasdecombateaocrime.Noentanto,
aindanohpadresinternacionais,oque fazcomqueovalor
jurdicodeumaprovaeletrnicasejacontestvel.
Voc ento se pergunta: como realizada uma
verificaoemumcomputador?
Bem, antes de responder a essa pergunta, importante
saber o que acontece com todos os bits armazenados em um
sistema.
Farmer e Venema (2006) coletaram dados sobre vrios
servidores UNIX para ver o tempo em que os dados foram
acessados.Observeatabelaabaixo:
TEMPO www.things
.org
www.fish2.
com
news.earthlin
k.net
1 ano 76,6 75,9 10,9
6 meses a 1
ano
7,6 18,6 7,2

183
1 a 6 meses 9,3 0,7 72,2
1 dia a 1 ms 3,6 3,1 7,4
Dentro de 24
horas
2,9 1,7 2,3

Tabela 3: Utilizao da informao. Fonte: (Farmer e Venema(2006))
A tabela representa a porcentagem de arquivos lidos ou
executados para alguns servidores Internet. Observe que fcil
perceberqueumaquantidademuitograndedearquivosnofoi
usada em um ano. Isso acontece porque a maioria das
atividades das pessoas envolve uma rotina que acessa os
mesmosdados,programaserecursos.
Consegue perceber que isso facilita a busca de uma
percia?
Sim, pois atividades incomuns se destacam porque
quebramumarotinaoucomportamentodosistema.

184
Farmer e Venema (2006) destacam que a anlise forense
de um sistema envolve um ciclo de coleta de dados e
processamentodasinformaescoletadas.Seestesforemmais
precisosecompletos,auxiliamaqualidadedapercia.
Oquesepretendeumacpiaexatadosistemainteiroe
detodososseusdados.
Uma percia envolve uma srie de conhecimentos
tcnicos e a utilizao de ferramentas. Para isso, necessrio
um conhecimento de alto nvel em relao aos sistemas
operacionais.(GUIMARES,2001).
As ferramentas precisam ser especficas para o caso e
nopodemafetarouperturbaroqueestsendoanalisadoouo
alvodapercia.Umadasatividades,por exemplo, anlisedos
arquivos (MAC times). Estes so uma maneira abreviada de se
referir aos trs atributos de tempo, quais so mtime, atime e
ctime. Tais so anexados a qualquer arquivo ou diretrio do
UNIX,Windowseoutros.

185
NocasoespecficodoWindows,FarmereVenema(2006),
descrevem que este possui sistemas de arquivos com quatro
datas/horas semelhantes: ChangeTime, CreationTime,
LastAccessTimeeLastWriteTime.
Tais arquivos podem fornecer informaes sobre as
ltimasaesrealizadas.
A ferramenta utilizada no pode perturbar estes arquivos,
pois poderia facilmente rasurar as utilizaes recentes do
computador.
Alguns profissionais, quando atacados, passam a querer
reconstruirumalinhadotempodeacontecimentosparaauxiliar
as suas aes. No entanto, sempre importante se lembrar da
LeideSegal,quereza:
Umhomemcomumrelgiosabequehorasso.
Umhomemcomdoisrelgiosnuncaestarseguro.

Sobre isso, precisamos lembrar que no existe uma

maneira de representar o tempo em sistemas de computao

186
de forma padro. Outros problemas lembrados por Farmer e
Venema(2006)so:
Exatido nenhum relgio no mundo real mantm uma
data/horaperfeita;
Deriva computadores no possuem mecanismos de
correo;
Sincronizao -nohgarantiadequalidade.
Assim, para se ter uma ideia do tamanho desse
problema, imagine que voc precise relacionar diversos
arquivos acessados em diversos dias por diversos
computadores com diversos horrios diferentes. Uma
alternativa interessante o Network Time Protocol (NTP) que
sincroniza data/hora. Uma atividade interessante verificar
comoocorremasexclusesdearquivosFATouFFS.
Hvriastcnicasparacombateratacantes.Umdasmais
famosas o Honeypots. Trata-se de uma armadilha em que se
conseguemonitoraroinvasoremumambienteemqueeleno

187
poderia causar danos e, ao mesmo tempo, o atacante ainda
atradoparaoutrosrecursos.
Farmer e Venema (2006) relatam a experincia de Cliff
Stoll, que inventou um projeto governamental completo com
documentosememorandosdeaparnciarealista.
Sempre ouvimos falar sobre o Wikiliks. Voc j o visitou?
Embora no se fale sobre como muitos documentos dali foram
conseguidos,sensatopensarquemuitosforamporintermdio
decrimedigital.
No Brasil no existem normas para a forense
computacional,porm,hleisquepodemserusadasoucitadas
para este tipo de percia. Guimares et. al.(2001) fala que no
caso de uma percia criminal existe a figura do Perito Oficial
(dois para cada exame), onde o seu trabalho deve servir para
todasaspartesinteressadas(Polcia,Justia, Ministrio Pblico,
Advogados, etc.). Para desempenhar seu papel, necessrio
nveluniversitrioeprestarconcursopblicoespecfico.

188
Guimareset.al(2001)citaasprincipaisentidades:
IOCE (International Organization on Computer
Evidence): Estabelecida em 1995 com o objetivo de
facilitar a troca de informaes entre as diversas
agncias, investiga crimes envolvendo computadores ou
outrosassuntosrelacionadosaomeioeletrnico.Formula
padres para evidncias computacionais e desenvolve
servios de comunicao entre as agncias e organiza
conferncias.
SWGDE (Scientific Working Group on Digital Evidence):
Criado em 1998, nos Estados Unidos, se esfora em
padronizar os conceitos sugeridos e conduzidos pela
IOCE.
HTCIA (High Technology Crime Investigation
Association): Discute e promove a troca de informaes
paraauxiliarnocombateaocrimeeletrnico.

189
IACIS (International Association of Computer
Investigatibe Specialists):Compostaporvoluntrioscom
objetivo de treinar novos peritos em forense
computacional.
SACC (Seo de Apurao de Crimes por Computador):
Age no mbito do Instituto Nacional de
Criminalstica/Polcia Federal, dando suporte em crimes
ouincidenteemquehpresenadecomputadores.

Exemplos de ferramentas existentes so para Percia

Forenseso:
Coroner's Toolkit (TCT) Coleo de utilitrios forenses.
Criado em 1999 e demonstrado pela primeira vez no IBM
T.J. Watson Reserach Center. Criado por Farmer e
Venema.
Abaixo descrito como esse software com os seus
utilitriosfunciona.

190
Grave-robber Trata-se de um comando que coleta
informaes forenses. Ele pode ser utilizado em uma
mquina ao vivo da vtima ou em uma imagem do disco
dosistemadearquivosdavtima.
Anlise do tempo com mactimeEstecomandorecebe
as informaes sobre atributos de arquivo a partir de um
arquivo produzido pelo comando anterior e produz um
relatrio cronolgico de todos os mtodos de acesso de
arquivo.
Reconstruo de arquivo com lazarus O lazarus um
programa que fornece dados no-estruturados de algum
tipoquepossaservisualizvelemanipulvel.
Utilitrios de sistema de arquivos de baixo nvel
Acessam informaes de arquivos existentes e de
arquivosexcludos.
Utilitrios de memria de baixo nvel pcat faz o dump
de memria de um processo em execuo e o

191
memdumpfazodumpdamemriadosistemaeinterfere
omenospossvel.
Tente encontrar tcnicas utilizadas pelos peritos forenses.
Descreva abaixo algumas tcnicas que voc encontrou, e
tente at mesmo realiz-las em seu computador.
4.4 Valor Empresarial da Segurana
Laudon (2010) destaca que as empresas possuem ativos
de informao valiosssimos para proteger. Estudos recentes
mostram que se uma grande empresa tem sua segurana
afetada,emdoisdiaselapodechegaraperder2,1porcentode
seu valor de mercado. A imagine uma empresa que valha
milhes ou acima de bilhes! Tambm imagine uma empresa
quetenhasuaseguranaafetadamaisdeumaveznoano.
Laudon(2010)citaocasodaBJsWholesaleClub,quefoi
processada pela Comisso Federal de Comrcio por permiti r
que hackers roubassem dados de cartes de crdito e dbito.

192
Resultado? Os bancos pediram 13 bilhes de dlares de
indenizao.
4.5 Software mal-intencionado: vrus, worms,
cavalos de Troia e spywares

Laudon (2010) destaca que programa de software mal-

intencionados so designados malware e possuem uma srie
devariedades.Emumaltimapesquisa,Laudon(2010)destaca
que existiam mais de 200 tipos de vrus e worms para
dispositivos mveis como Cabir, Commwarrior e Frontal. Outro
caminho natural dessas pragas virtuais so as redes sociais.
Estes tm causado perdas financeiras enormes para empresas.
Pesquisas tm mostrado que consumidores americanos
perderam 7,5 bilhes de dlares por conta de malware e
varreduras on-line. Abaixo, temos uma definio sobre essas
variedadescadavezmaiscomuns:

193

Tipo de
malware
Definio
Vrus Programa de software que se anexa a outros
softwares ou arquivos com objetivo de ser
executado de forma que no seja percebido pelo
usurionamaioriadasvezes.
Worms Programasindependentesquecopiamasimesmos
de um computador para outro ou por meio de uma
rede.Elesnoprecisamseanexaraoutrosarquivos
ousoftwares.
CavalodeTroia Programa que parece no representar perigo, mas
produz algo diferente do esperado pelo usurio.
Estenoumvrus,poisnosereplica.
Ataquespor
SQLinjection
Tiram proveito das vulnerabilidades em aplicaes
Web. Muitos sites e sistemas online no foram
construdos com requisitos de segurana e essas
falhassoexploradasporessetipo.
Spyware Instalam-se para monitorar a atividade do usurio.
Alguns se aproveitam para produzir informaes
paraosnegciosdeempresas.

194
Keyloggers Um tipo de spyware que registra todas as teclas
digitadaspelousurio.

Alguns exemplos de cdigos que ficaram famosos pelos danos

causadosoupelagrandedisseminaoso:
Conficker trata-se de um worm que foi conhecido em
2008equeusafalhasdoWindows.Podefazercomqueo
computador infectado seja controlado a distncia. Mais
de5milhesdecomputadores.
Storm cavalo de Troia conhecido em 2007 e chega
como um spam. Infectou mais de 10 milhes de
computadores. Faz com que o processamento do
computador seja utilizado em rede zumbi ligado a
atividadecriminal.
Sasser.ftp worm detectado em 2004. Popularizou-se
atacando Ips aleatrios e faz com que os computadores

195
travem e reiniciem a todo momento. Causou um dano
estimadoemat18,6bilhesdedlares.
ILOVEYOU vrus detectado em 2000. Feito em Visual
Basicetransmitidoporemail.Atingiaarquivosdemsica,
imagens e outros. Dano na casa dos 15 bilhes de
dlares.
Melissa detectado em maro de 1999. Macro do Word
infectava arquivos do Word dos 50 primeiros endereos
do Outlook. Infectou 29% dos computadores do mundo
comdanosemat600milhesdedlares.
Outro aspecto interessante a analisarmos o
cibervandalismo. Muitos atacantes, na tentativa de ocultar sua
identidade, utilizam de tcnicas bastante criativas, como o
spoofing em que ele usa e-mails falsos ou fingem ser outra
pessoa.Otermotambmutilizadopara:
Probe - Um probe caracterizado por uma tentativa no
usual de ganhar acesso a um sistema ou de descobrir

196
informaes sobre ele. Os probes so, algumas vezes,
seguidos por um evento de segurana mais srio, mas
so, frequentemente, resultados de curiosidade ou
confuso.
Scan - Um scan simplesmente um grande nmero de
probesfeitoapartirde umaferramentaautomatizada. Os
scans podem, algumas vezes, ser o resultado de um
sistema mal configurado ou outro erro, mas eles so
frequentemente os anncios de um ataque mais
direcionado a um sistema em que o invasor encontrou
algumavulnerabilidade.
Spoofing envolve o redirecionamento de um link para
um endereodiferentedodesejado.Issomuitocomum
com bankline, onde o cliente acessa um clone do site
oficialdobancoe,nopercebendo,digitasuasenha.
Sniffer um tipo de programa que monitora as
informaes da rede. Isso pode fornecer informaes

197
importantes sobre a rede, como pontos de fragilidade e
informaesmenosseguras.
Ataques de recusa de servioataquesDosouDenialof
Service acontecem quando o servidor inundado com
centenasderequisiesfazendocomquearedepare.
Ataque distribudo de recusa de servioataquesDDOS
oudistributeddenialofserviceusavrioascomputadores
parasobrecarregararedeemdiferentespontos.
Botnets milhares de computadores que, sem os donos
saberem,ficam organizadosem umaredeservindoaum
computador mestre. Os recursos de todos os
computadores so utilizados para um ataque distribudo
derecusadeservio.
Roubo de identidade crime em que algum obtm
informaes pessoais importantes, como documentos.
Essas informaes j causaram perdas de mais de 48
bilhesdedlares.

198
Phishing uma forma de spoofing que envolve montar
sites falsos ou e-mails parecidos com os originais de
empresas renomadas para que usurios digitem
informaes pessoais e valiosas. Exemplos de empresas
quejforamatacadassoEbay,AmazoneWalmart.
Evil twins nova tcnica de phishing que, na verdade,
so redes sem fio que parecem ser conexes confiveis,
com o mesmo nome de uma rede que voc j conectou
anteriormente,masquevaicapturardadospessoais.
Pharming nova tcnicas de phishing que redireciona
para uma pgina falsa mesmo com o endereo web
correto.
Uso indevido do computador a prtica mais comum
de spam. Esse tipo de uso relaciona-se a aspectos
antiticos.
Fraude do clique ocorre quando um usurio ou
softwareclicadeformafraudulentaemumanncioonline

199
sem inteno de descobrir mais sobre o anunciante ou
realizar uma compra. Muitas empresas contratam
empresas estrangeiras para clicar de forma fraudulenta
em anncios de concorrentes para fazer com que sua
marcaenfraqueaouaumenteseucustodemarketing.
Spam -Spam mensagemnosolicitada.Suadefinio,
em termos prticos, refere-se ao envio abusivo de
mensagens de correio eletrnico no solicitadas,
geralmente em grande quantidade, distribuindo
propaganda, correntes, esquemas de "ganhe dinheiro
fcil" etc. o envio de mensagens de correio eletrnico
tentando forar a leitura pela pessoa que recebe e que,
normalmente, no optou por esse recebimento. No
ambiente internet, spam significa enviar uma mensagem
qualquer para uma grande quantidade de usurios, sem
primeiro verificar a utilidade do contedo da mensagem
paraaquelesdestinatrios.Oautordo spam conhecido
como"spammer".Apesarde,aparentemente,nocausar

200
perdas diretas aos sistemas que recebem um spam,
quando bem planejado, um spam pode levar o sistema
alvo a experimentar a indisponibilidade de seus servios
dee-mail.
Mail Bomb - Trata-se da tcnica de enviar uma grande
quantidade de mensagens eletrnicas a um destinatrio. Em
geral,oagressor usaumscriptparagerarumfluxocontnuode
mensagens e sobrecarregar a caixa postal de algum. A
sobrecarga tende a provocar negao de servio (DoS) no
servidordee-mail.
J houveram ataques em que uma botnet assumiu o
controle de 65 mil computadores. Muitos em sua maioria vm
da China ou Coreia do Norte e Rssia. Em 2007, uma rede da
Rssia tirou do ar o site do governo estoniano e em 2008 do
georgiano.

201
4.6 Segurana da Informao uma necessidade
latente
Fernandes (2007) destaca que a Segurana da
Informao uma prtica antiga. J no passado existiam
prticasdecriptografia.
No entanto, foi a partir da dcada de 90, com a
popularizao da Internet, que a Segurana ganhou outro
enfoque.
Assim, importante analisar neste ltimo captulo o
contexto atual de Segurana da Informao. Os dados
apresentadosabaixo sode umapesquisaanual realizadapela
PricewaterhouseCoopers.(FERNANDES,2007)
60 por cento das empresas possuem uma rea de
seguranadainformaocomatquatroempregados;
30porcentodasempresasconsideramsua estratgiade
seguranaalinhadaaonegcio;

202
65 por cento das empresas j sofreram incidentes de
segurana;
40 por cento das empresas j ficaram mais do que 4
horas com as operaes paralisadas em virtude de
incidentes;
70 por cento das empresas identificam como interna a
origem dos ataques e incidentes de segurana da
informao,e
27 por cento das empresas possuem um processo nico
eautomatizadodegestodeidentidadesdeusurios.
Oqueachoudosdadosdapesquisa?
Concorda que ficou evidente que a maioria das empresas
aindanopossuiumaestruturaencorpadadesegurana?
Ao analisar a pesquisa, Fernandes (2007) aborda que a
minoriadasempresasconsiderasuasestratgiasdesegurana
alinhadas ao negcio. Isso demonstra uma evoluo por parte

203
das organizaes. Evidncia disso est em outro dado, em que
70 por cento das empresas entendem que a origem dos
incidentes de segurana interna, mas apenas 27 por cento
aplicamseusinvestimentosemsolues relacionadasgesto
deusurioseidentidadesdigitais.
OlheagoraestesoutrosdadoscitadosporLaudon(2010):
Acontecimento
Probabili-
dade de
ocorrncia
Faixa
de
prejuzo
Prejuzoanualesperado
Falta de
energia
eltrica
30% $5000 a
200.000
$30.750
Apropriao
indbita
5% $1.000
a
50.000
$1.275
Erro de 98% $200 a $19.698

204
usurio 40.000
Tabela5:IncidenteseSegurana.Fonte:Laudon(2010)

Comtaisaspectosconsiderados,concordaque necessrio
cada vez mais ter uma viso holstica? Para tal, preciso
considerar Processos, Tecnologia e Pessoas. Fernandes (2007)
destaca que, quando os esforos so direcionados para tratar
das pessoas e da influncia das mesmas sobre o nvel de
segurana, o desafio grande. A conscientizao pode ser
desenvolvida de vrias formas, mas deve ser desenvolvida.
Deve servir de suporte legal Poltica de Segurana da
Informao.
interessanteobservarquemedidaqueotempopassa,
a segurana da informao comea a ser incorporada em
outrasreas,poiscom oavanodatecnologia essastornaram-
seautomatizadas.

205
O site Universo Jurdico (www.uj.com.br) aborda sobre
essanecessidadedesegurana.Emumartigosobreoassunto,
oMestreemDireitoJosCarlosdeArajoAlmeidaFilhoanalisa
a necessidade da proteo de dados no sistema da
informatizao judicial do processo, recm implantada pela Lei
n.11.419/2006.
Esta fala sobre a transmisso de peas processuais atravs de
meios eletrnicos.
Assim,oautorabordaaquestodoGEDgerenciamento
eletrnico de documento, a questo da segurana da
informao e a necessidade de normas previamente
estipuladas e sempre de acordo com a ABNT27001.
Em nosso pas, privacidade de dados se encontra
regulamentadapeloDecreto3505/2000,queinstituiaPolticade
Segurana da Informao nos rgos e entidades da
Administrao Pblica Federal. Entre seus atributos
encontramos garantias como assegurar a garantia ao direito
individual e coletivo das pessoas, inviolabilidade da sua

206
intimidadeeaosigilodacorrespondnciaedascomunicaes,
nos termos previstos na Constituio; uso soberano de
mecanismos de segurana da informao, com o domnio de
tecnologias sensveis e duais; criao, desenvolvimento e
manutenodementalidadedeseguranadainformao;
Notaram como muitos aspectos tratados pela Lei foram
discutidosnodecorrerdonossoGuia?
Esta Lei foi construda e se refere apenas
Administrao Pblica Federal.
O autor aborda que a preocupao se
justifica quanto possibilidade que as pessoas
tm de consultar a Internet. Ele destaca, por
exemplo, que a Internet no permite o
esquecimento de dados. Estes ficam,
permanentemente, alocados nos servidores e
possveis de serem analisados a qualquer
momento.
Exemplo dessa preocupao dada pela

207
invaso de privacidade das comunidades de
natureza virtual, como o Orkut e, agora, o
Youtube, que violam, diariamente, os direitos
maissagradosdoserhumano.Elecitaaobrado
jornalista Herdoto Barbeiro:
Hoje, usurios de microcomputador tm mais capacidade na ponta de
seus dedos do que a NASA tinha como os computadores que usou na
primeira viagem do homem Lua. A tendncia de uma capacidade,
velocidade, reduo de preos e mobilidade cada vez maior ter
enorme implicao poltica: milhares de pessoas e de pequenos grupos
muitos dos quais nunca tiveram tanta capacidade no apenas de
conectaro com os outros, mas tambm planejaro, mobilizaro e
cumpriro tarefas com resultados potencialmente mais satisfatrios e
eficientes do que seus governos poderiam imaginar. Isso certamente
afetar o relacionamento entre indivduos, seus governos e diretrizes
governamentais, bem como gerar presso em alguns governos para
que respondam de maneira mais gil.

Podemos concluir que trata-se de uma realidade

impensada h tempos atrs e que seus efeitos ainda sero
sentidos futuramente.
Aseguir,oautordoartigodestacaqueumsistemaseguro
deve obrigatoriamente ter uma certificao digital. Ainda

208
destacando este aspecto, ele destaca os requisitos mnimos:
adoo de portais com criptografia e sistema ssl; adoo de
stringafimderestringirabuscaatravsdosmotoresnaInternet,
como Google, Yahoo!, dentre outros; a necessidade de adoo
de certificao digital, dentro da hierarquia ICP-Brasil, nos
termos da Medida Provisria 2.200-2/2001; adoo das normas
ABNT 27001/2006; adoo do GED com filtros informticos que
impeam a visualizao do documento a no ser atravs de
pessoascadastradas.
Em outro artigo, intitulado Necessidade de uma Poltica de
Proteo Informao para o Legislativo Federal, Alexandre
Bento Hilgenberg destaca a necessidade de segurana,
sobretudo para as Comisses Parlamentares de Inqurito
CPI's. Em seu artigo ele focaliza vrios casos em que houve
vazamentos de informaes e isso prejudicou em muito o
andamento das investigaes. Destaca ainda que isso
desmoraliza o Parlamento, gerando desconfiana por parte da

209
populao. Tambm apresenta aes necessrias para
segurana,como:
otreinamentodorecursohumano;
apreparaodosambientesdestinadosaproduo;
anliseearquivamentodessasinformaes;
a execuo de contra-medidas, ou seja, medidas de
deteco das falhas de segurana e a conscientizao
quanto responsabilidade em preservar as informaes
sigilosas.
Essas informaes que consideramos nos levam uma
boareflexo.
Notemqueosrgospblicosestopreocupadoscoma
questo de segurana. Isso, sem dvida um aspecto
interessante, pois demonstra que investimentos sero feitos e
consequentemente aportes para pesquisa nesse ramo sero
destinados.

210
Alm disso, percebemos que cada vez mais os servios
estosendoconvergidosparaomeiodigital. O primeiro
artigo destacou a sistematizao computacional na rea
jurdica, o segundo destacou a necessidade de segurana no
Parlamento.
Observem que estamos falando de aspectos
profundamente importantes para um pas. Assim, se as
camadas mais altas da repblica esto preocupadas com isso,
quantomaisasempresasdevemestar.
Dessa forma, imperativo que a preocupao exista.
Caminhamos para um mundo em que utilizaremos menos
dinheiro(papel-moeda),estesercadavezmaisvirtual(cartes
de dbito, crdito), e com isso, melhoramos a segurana fsica,
masprecisaremosaindamaisdaseguranalgica.
Noprecisaremossairdecasapararealizarumacompra,
masprecisaremosdeinvestimentosparaquealojasaibaqueo
cliente que est comprando trata-se do cliente real mesmo, e

211
noalgumsepassandoporele. Alm disso, transaes
virtuaisdenegcios sorealizadasaostrilhesemtodomundo,
sem nemmesmosvezesterumencontroformaldenegcios.
Julgamentos j podem ser realizados pelo Juiz via
videoconferncia.Ovototambmeletrnico.
Tais exemplos, apenas demonstram que a rea de
segurana estar em crescente expanso sempre, pois sempre
teremos novas tecnologias, novos servios e aspectos de
segurana sendo quebrados e a necessidade, portanto, de se
criar novas formas criativas e at certo ponto simples para
garantirosnveisaceitveisdomundovirtualparaoreal.
Lembro que h 8 anos atrs, quando se falava em
compras pela Internet, no raro as pessoas torciam o nariz.
Hoje,jcomprovamosquemaisseguroforneceronmerode
seu carto pela Web logicamente em um site com um bom
nvel de segurana a dar seu carto nas mos do atendente
dalojaoudomercado.

212
Tudo isso que falamos somente nos mostra a
necessidade enorme que teremos de ter pessoas para pensar
emcomoprovermelhorseguranaaosdadosquelheinteressa.
J conversaram com algum que teve sua conta de e-
mailoudacomunidadevirtualinvadida?Ouquecomproueno
recebeu?Creioquetodosnsjconhecemosalgum.Comisso
percebemosquerealmentefaltambonsemelhoresmtodosde
seguranatantononvelempresarialcomononvelpessoal.
Isso importante destacar tendo em vista que os alvos
so desde grandes corporaes reconhecidas por investir
milhesemseguranaatomaissimplesusuriodeInternet.
Interessanteisso,no?
Isso somente refora o que estamos falando, pois se h
ataques a todo momento em instituies de grande porte, isso
evidencia que o nvel de segurana no alto. Seno, os
ataques seriam menores e um certo desnimo em quebrar a
barreiradesegurana.

213
Notem que no estou dizendo que as tcnicas de
seguranasotodasruins.
Estamos vivendo esse mundo agora, estamos
construindoasbarreirasdeseguranahmuitopoucotempo.
Podemos comparar nossas seguranas atuais s armas
que existiam nos perodos feudais. Mesmo grandes fortalezas
eraminvadidas.Umdia,algumdescobriaumpontofraco.
A segurana de sistemas igual. Por mais investimentos
quesefaa,pormaistcnicasqueexistamhoje,umdiaalgum
descobreumpontofraco.
Mas notem que, a cada ano, surgem novos sistemas
operacionais e novos aplicativos, que apresentam, por
consequncia,novosdesafiosparaproversegurana.
Mais um exemplo disso o artigo publicado na Revista
InformationWeek de Edgar D'Andrea. Ele cita um estudo da
symantec que revelou que a Copa do Mundo o evento mais
atrativo do ano para os autores de malwares e spams. Isso

214
levou a empresas a monitorar e analisar o trfego de rede na
frica do sul, com o objetivo de alertar o mercado sobre
ameaasdeseguranarelacionadasaoevento.
Ataqui,nenhumanovidade,masoautorcitaastcnicas
esperadasparaosataques,quaisso:
usotradicionaistcnicasdespam;
phising;
roubodeidentidade;
vendadeingressosfalsos;
vrus,denial-of-serviceecavalosdetroia.
Alm do prprio evento ser alvo, as possibilidades do
pas-sede tambm ser alvo de ataques de hackers muito
grande. Estes objetivam propagar o terrorismo, desmoralizar a
organizaodaCopaemancharaimagemdanao.
O artigo cita outra empresa, a McAffe. Segundo a revista,
esta empresa menciona que o aumento das atividades de

215
phisingrelacionadasaoMundialereforaoativismopolticode
hackersforadoeixoEUA-China,destacandoatividadesrecentes
deterrorismoviawebempasescomoIr,Dinamarca,Suciae
Polnia.
Noentanto,ointeressanteodesfechodoautor. Ele nos
cita como pas um alvo enorme durante a Copa. Por qu?
Por causa da nossa paixo pelo futebol. Seria muito fcil
conseguir com que usurios no Brasil abrissem mensagens
maliciosas ou com contedo invasivo com desculpa de ser
informaessobrenossaSeleo.
Recentemente,oportalTerratrouxeumareportagem com
nmeros interessantes nmeros citados no artigo acima.
Apresentou dados da Symantec realizado em cerca de 20 mil
sensores do DeepSight Threat Management System, instalados
emmaisde180pases.
A avaliao mostra que 64% dos novos ataques visam
vulnerabilidades com menos de um ano. Alm disso, 66% das

216
invases detectadas no primeiro semestre deste ano usaram
brechas de segurana classificadas como altamente crticas. O
estudo ainda recomendou aos usurios e administradores de
rede a adoo das seguintes prticas para melhorar a
seguranadaInternet:
Desligueeremovaserviosdesnecessrios;
Mantenha os sistemas atualizados com os patches de
correo, especialmente em computadores que
hospedam servios pblicos e so acessveis por meio
de um firewall, como servios de HTTP, FTP, e-mail e
DNS;
Reforceapolticadesenhas;
Configure os servidores de e-mail para bloquearem ou
removerem as mensagens que contenham arquivos
anexados usados normalmente para disseminar vrus,
comoosarquivos.vbs,.bat,.exe,.pife.scr;

217
Isole rapidamente os computadores infectados para
prevenirfuturoscomprometimentosnaempresa.
Realize uma anlise detalhada e restaure os
computadorespormeiodesoluesconfiveis;
Treine os funcionrios para abrir arquivos anexados
somente se forem documentos solicitados pelo usurio.
Oriente-os tambm para no fazerem download de
software pela Internet, a no ser que tenha sido
verificadoporumantivrus;
Certifique-se de que os procedimentos de respostas a
emergnciasforamimplementados;
Teste a segurana para garantir que os controles
adequadosforamadotados.
Oquesoessasaesacima?Comoimplement-las?
Poltica de Segurana. Cada vez mais vital para
sobrevivnciadasorganizaes.Nohsada.

218
Interessante que essa reportagem citada acima foi de
2004.ElacitaoBrasilem15lugarcomoalvodeataques.
Noentanto,notemnodia20deabril,ositedaRevistaInfo
publicou uma pesquisa realizada em 2009, em que coloca
nossopasem3lugarnorankingmundial.
Um salto enorme em pouco tempo. A reportagem
mostrou os Estados Unidos em primeiro, com 19%, a China em
segundo, 8%, e o Brasil, terceiro, com 6%. De acordo com o
estudo, software de segurana falso foi o maior problema de
segurana online para os usurios de computadores em 2009.
Ressaltou ainda como novidade os grandes e fortes
ataquesaossitesdegrandesempresas,comooGoogle.
Apontou como forma mais comum de crime de
computaoofalsosoftwaredesegurana.Issoseriaumalert a
que surge em na tela do usurio dizendo que o computador
estinfectado.Juntocomisso humlinkparaumsoftwareser

219
baixado, mediante pagamento. O usurio, no entanto, em lugar
derecebersoftwaredeseguranarecebeumvrus.
Assim, mais uma vez comprovamos a necessidade
urgente de cada vez mais pesquisa e desenvolvimento na rea
desegurana.
Abaixo, reserveiumespaoparaquevocalistealgumas
ideias inovadoras sobre segurana. Pense nas j existentes e
tente mold-las para novas realidades, pensando em novas
tecnologias.
Bomtrabalho!
4.7 Segurana da Informao um enfoque mais
srio do que imaginamos
Recentemente, todos ns vimos vrios movimentos dos
governos muito preocupados em controlar contedos da
Internet.OmaiorexemplodissoaChina.
Essa preocupao se torna maior e mais evidente ainda
em razo da primavera rabe. A derrocada de alguns governos

220
iniciou-se em conversas por meio de redes sociais e o
movimento aumentou e tomou propores grandes, como a
prpria queda do presidente egpcio. Em razo do apoio de
algunsgovernoseempresasaoselementosdasituao,grupos
hackerstirarampginasdeempresasdoar.
Aqui no Brasil, tivemos uma onda de ataques em 2012 a
sites de bancos. Em uma semana um banco por dia teve sua
pgina atacada. Entre eles, Ita, Banco do Brasil, Caixa e
Santander.
Assim, muitos j passam a pregar e defender que a 3
GuerraMundialservirtual.Temosmotivosparapensarnisso?
Em julho de 2009, 27 agncias governamentais dos
Estados Unidos e da Coreia do Sul foram vtimas de ataque
DDoS. De acordo com Laudon (2010), cerca de 65 mil
computadores pertencentes a botnets estrangeiras inundaram
ossitescomsolicitaes.Entreossitesafetadosestavam:

221
CasaBranca
Tesouro
ComissoFederaldoComrcio
DepartamentodeDefesa
ServioSecreto
BolsadeValoresdeNovaYork
WashingtonPost
MinistriodeDefesaCoreano
AssembleiaNacional
CasaAzulPresidencial
Emboraosataquesnotenhamsidodealtonveltcnico,
foram prolongados. Os impactos se deram, por exemplo, na
velocidade de acesso dos sites. A acusao foi de que grupos
da Coreia do Norte estavam por detrs, mas o governo norte
coreanonoassumiuaculpa.

222
Outro exemplo citado por Laudon (2010) foi o de ataques
Agncia Federal de Aviao que em 2006 teve interrompida a
comunicaodossistemasareosnoAlasca.
Em 2007 e 2008, espies invadiram o projeto Joint Strike
Fighter, do Pentgono, avaliado em 300 bilhes de dlares.
Exploraram vulnerabilidades de dois ou trs fornecedores que
trabalhavamnoprojetodeaviescaa.Entresuasaes:
copiar terabytes de dados relacionados ao projeto e a
sistemaseletrnicos;
apagarterabytesdedados.
J em 2009, o ataque foi contra a rede eltrica norte-
americana, utilizando pontos frgeis. Dessa vez, a identificao
foidequeosataquesforamprovenientesdaChinaeRssia.
Diante desse cenrio, em junho de 2009, Robert Gates,
secretrio de defesa norte-americana, ordenou a criao da
primeira matriz com finalidade de coordenar os esforos de

223
cibersegurana do governo, denominado Cybercom. Tem por
objetivos:
coordenar a operao das redes de computadores
militaresedoPentgono;
coordenar a proteo das redes de computadores
militaresedoPentgono.
Em2008,opresidenteBarackObamaanunciou17bilhes
dedlaresparaexpandiroprograma.Oobjetivofinaleprincipal
prevenirataquesvirtuaiscatastrficosaosEUA.
O site do Estado revela que desde o incio de seu
mandato,opresidenteBarack Obamasecretamenteacelerou o
usodeumcdigodecomputadorcapazdeatrasaroprograma
nucleariraniano.OvrusStuxnetfoiaprimeirapragadigitalaser
consideradaumaciberarma.
A usina de Natanz foi atingida por uma verso mais
recente do programa. Outros ataques se sucederam, com o
ltimodasriesendoalgumassemanasdepoisdeoStuxnetser

224
detectado ao redor do mundo. Foram danificadas cerca de mil
das5milcentrfugasdoIrparaenriquecerurnio.
Apenas recentemente o governo dos Estados Unidos
reconheceu publicamente que desenvolve ciberarmas, apesar
de nunca ter admitido us-las. Questionados sobre o vrus de
espionagem Flame, cujo alvo maior tambm fora o Ir, os
oficiais negaram qualquer envolvimento na criao da praga
digital,apesardeumministrodeIsraeljterdefendidoousodo
vruscontraopasdostestesnucleares.DepoisdoIr,Israelo
segundopascommaiscontaminaesdoFlame.
Assim, conclumos que no se devem guardar somente
as fronteiras fsicas do pas. Cada vez mais as fronteiras virtuais
seromaisimportantesqueasfsicas.
4.8 Formas de Proteo ltimas Dicas
Bernardes(2006)apontaqueatarefadoadministradorde
rede torna-se extremamente sobrecarregada cada vez mais.

225
Isso acontece devido ao grande nmero de alertas e
vulnerabilidadesdescobertasquetrafegampelainternet.
Entre as principais ferramentas de combate, destacam-se as
seguintes:
Firewall - coleo de hardware e software projetado para
examinar o trfego em uma rede e os servios requisitados.
Impede o acesso de pessoas externas sua rede. Ele
compostodeum roteador,umcomputador, umcomputador
isoladoqueexecutaumfiltrodepacotesindependenteeum
software proxy. importante cuidar bem da sua
configurao.
Sistema de Deteco de Intruso (SDI) - utilizaferramentas
automatizadas e inteligentes para detectar tentativas de
invasoemtemporeal.
Criptografia - significa a arte de escrever em cdigos de
forma a esconder a informao. De acordo com Bernardes
(2006), a informao codificada chamada de texto

226
criptografado. O processo de codificao ou ocultao
chamadodecifragem, eoprocessoinverso, ouseja, obtera
informao original a partir do texto cifrado, chama-se
decifragem. Existem dois tipos de criptografia: a simtrica
que realiza a cifragem e a decifragem de uma informao
por meio de algoritmos que utilizam a mesma chave, e a
assimtrica (ou de chave pblica) que trabalha com duas
chaves, a privada e a pblica. Elas so geradas
simultaneamente.
Certificao Digital garante a identidade de uma pessoa
ou instituio utilizando um arquivo eletrnico assinado
digitalmente. Tem por objetivo criar um nvel maior de
segurana nas transaes eletrnicas. Oferta: autenticidade
do emissor e do receptor da transao ou do documento, a
integridadedosdadosounodocumento,confidencialidadee
no-repdiodastransaes.
Biometria de acordo com Bernardes (2006), o estudo
estatstico das caractersticas fsicas ou comportamentais

227
dos seres vivos. Se baseia em medir de forma precisa os
traos biolgicos, como a ris (se baseia na leitura dos anis
coloridos existentes em torno da pupila, sendo um formato
equivalenteoumaisprecisoqueaimpressodigital),aretina
(analisa a formao de vasos sanguneos no fundo do olho;
A estrutura dos vasos sanguneos est relacionada com os
sinais vitais da pessoa), a impresso digital (captura da
formao de sulcos na pele dos dedos e das palmas das
mos de uma pessoa. Esses sulcos possuem determinadas
terminaes e divises que diferem de pessoa para pessoa.
Para esse tipo de identificao, existem, basicamente, trs
tipos de tecnologia: ptica, que faz uso de um feixe de luz
para ler a impresso digital; capacitiva, que mede a
temperatura que sai da impresso; e ultrassnica, que
mapeia a impresso digital por meio de sinais sonoros), a
voz (dico de uma frase que atua como senha. A
dificuldade que deve ser usada em ambientes sem rudos,
ecasooindivduoestivercomavozdiferentecomoroucoou

228
gripado,poderatrapalharsuavalidao),oformatodorosto
(processo que considera o formato do nariz, do queixo, das
orelhas, etc.) eageometriada mo(mediodo formatoda
mo em que deve posicionar sua mo no dispositivo leitor
sempre da mesma maneira), assinatura (comparao da
assinaturacomuma versogravada. feitaaverificaoda
velocidade da escrita, a fora aplicada, entre outros fatores).
Futuramente, ainda poder ser utilizado o DNA
(DeoxyribonucleicAcid)eodoresdocorpo.

229
CONCLUSO
Esta unidade objetivou evidenciar a importncia de
estabelecer uma poltica de segurana. Um incidente pode
acontecer a qualquer momento e, portanto, necessrio
conseguirestabelecerumpasso-a-passodeaesquedevero
nortear a recuperao ao incidente. Do contrrio, as aes
sero desordenadas e no conseguiro estabelecer um plano
inteligenteelgico.Emboranosejaalgorelativamentesimples,
importante estabelecer planos mesmo para pequenos
incidentes;issogeraconfianaeexperinciatantoparasoluo
deproblemascomoparapreversituaesmaiscrticas.
Nesse aspecto, vimos ainda como importante incluir o
corpo diretivo da organizao e conscientiz-lo de que no
sero despesas, mas sim investimentos em segurana.
primordialconseguirexplicarai mportnciadissoe,sempreque
possvel, tentar tangibilizar a soluo de incidentes. Isso implica
em estabelecer valor para os servios e mostrar o quanto
economizououoquantodelucrofoigeradocomamanuteno
doservio.

230
BIBLIOGRAFIA
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no
desenvolvimentodeSoftware.RiodeJaneiro:Campus,2002.
ARAUJO, Luis Csar G. de. Organizao, sistemas e mtodos e
asmodernas ferramentasdegesto organizacional.So Paulo:
Atlas,2000.
BEAL,Adriana.SeguranadaInformao.SoPaulo:Atlas,2005.
BERNARDES, Mauro Csar. Guia de Estudo: Gesto de
Segurana.2006
BERNARDES, Mauro Csar. MOREIRA, Edson dos Santos. Um
Modelo para Incluso da Governana da Segurana da
Informao no Escopo da Governana Organizacional. Artigo
USP.2005
CERT.<http://www.cert.br/certcc/csirts/Creating-A-CSIRT-
br.html>Acessadoem10/01/2010.

231
ESPODE,EltonRgis.AuditoriaeSeguranade Sistemas.Santa
Maria: 2008. (Notas de Aula da disciplina de Segurana e
AuditoriadeSistemas,CursodeSistemasdeInformao,Unifra)
FARMER,Dan.VENEMA,Wietse. PerciaForenseComputacional
TeoriaePrticaAplicada.SoPaulo:Pearson,2006
FERNANDES, Marcelo Lemos. Tecnologia da Informao e da
ComunicaoABuscadeumaVisoAmplaeEstruturada.So
Paulo:EditoraPearson,2007
FILHO, Hlio Alano. Segurana e Auditoria de Sistemas.
Salvador: 2008. (Apostila da disciplina de Segurana e Auditoria
deSistemas,CursodeSistemasdeInformao,FaculdadeHlio
Rocha)
GIL,AntniodeLoureiro.AuditoriadeComputadores,2000,Atlas,
5Edio
GUIMARES, Celio Cardoso, et al. Forense Computacional:
AspectosLegaisePadronizao.2001:Unicamp

232
LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de
Informao.RiodeJaneiro:EditoraCinciaModernaLtda.,2008
SMOLA, Marcos. Gesto de segurana da informao: uma
visoexecutiva.RiodeJaneiro:Campus,2003.
WANDERLEY, Euriclia Viana. MOURA, Maria Teresa. A
Integrao de LDAP e Certificados Digitais em uma Poltica de
Segurana.BoletimRNP:2000