1

Curso de Cincia da Computao

Disciplina: Segurana e Auditoria da Informao - 8 perodo
Professor: J os Maurcio S. Pinheiro


AULA 1 Conceitos e Normas para Segurana da Informao


1. Sistemas, Processos e Informaes

Ao observarmos o funcionamento de um setor especfico ou uma organizao
em sua totalidade, podemos verificar a existncia de um padro na forma como
os diversos recursos (equipamentos, procedimentos, informaes entre outros)
juntamente com as pessoas se configuram, fato este que se repete inclusive
em organizaes de diversos portes e com caractersticas de operao
diferentes.
Desta forma se pode perceber que o controle da informao essencial para o
monitoramento eficiente dos procedimentos. Com base nesta linha de
argumentos surgem as seguintes questes:

Seria possvel estabelecermos um modelo genrico para estudo e
compreenso de uma organizao e suas respectivas reas?
Como compreender, classificar e modelar os fluxos de informaes intra
e extra-organizacionais?

1.1. Sistemas

O termo Sistema poderia ser definido como Conjunto de partes, componentes,
que interagem entre si, de forma ordenada, a fim de atingir um objetivo comum.
De acordo com esse conceito, todos os sistemas tm partes que interagem
entre si, possuem ordem ou normas e visam um objetivo comum.
Outra forma de se analisar um sistema seria atravs do modelo baseado em
entradas, componentes, sadas e feedback. Neste modelo as entradas
correspondem a tudo aquilo que o sistema necessita para operar e que so
recursos obtidos externamente. Componentes correspondem aos
procedimentos internos do sistema, necessrios para a transformao dos
elementos de entrada. J as sadas correspondem aos resultados que o
sistema devolve ao meio externo. Feedback corresponde a tipos de sadas que
servem de referncia para modificar as entradas e/ou processamento, por
exemplo, ao se analisar a queda das vendas atravs de um relatrio, os
gestores decidem modificar as polticas de preo da empresa (processamento).
A Figura 1 se prope a demonstrar graficamente o relacionamento envolvendo:
entradas, componentes, sadas e retroalimentao.

OUTROSTRABALHOSEM:
www.projetoderedes.com.br


2


1.1.1. Classificao de Sistemas

Os sistemas podem ser classificados de inmeras formas, que no so
mutuamente excludentes. A seguir, temos as principais:

Aberto e Fechado: Sistemas abertos so aqueles que possuem um
elevado grau de interao com o ambiente. As organizaes assim
como os seres vivos necessitam interagir com o meio externo,
realizando trocas de recursos e informaes em todos os nveis da
organizao. Os sistemas fechados so o oposto, contudo vale a
ressalva de que no possvel a existncia de um sistema
completamente fechado, o que ocorre so graus diferentes de interao.
Assim um sistema de uma organizao militar tende a ser considerado
como mais fechado que um sistema de uma instituio bancria.
Adaptvel e No-Adaptvel: Os sistemas adaptveis so aqueles que
respondem adaptativamente s mudanas do ambiente atravs de um
monitoramento contnuo. Os No-Adaptveis no preveem mudanas
significativas diante das alteraes do ambiente. No contexto
organizacional, as empresas vistas como sistemas no-adaptveis
normalmente no sobrevivem s turbulncias do ambiente de negcio.
Sistemas Permanentes e Temporrios: Os permanentes so sistemas
sem um prazo predeterminado para deixar de existir. De maneira geral,
uma organizao no estabelece um horizonte de vida. Os Sistemas
temporrios tm um tempo de operao pr-definido, por exemplo, um
sistema composto por pessoas e recursos para executar um projeto
especfico.

De acordo com as classificaes acima, podemos inferir que um sistema pode
ser classificado simultaneamente em diversas categorias: Por exemplo, um
consrcio de empresas formado para participar de uma concorrncia especfica
pode ser classificado como: Aberto, adaptvel e temporrio.


3
1.2. Sistema de Informao

um tipo especializado de Sistema, que formado por um conjunto de
componentes, inter-relacionados, que visam coletar dados e informaes,
manipul-los e process-los para finalmente dar sada novos dados e
informaes.
Em um Sistema de Informao consideramos que os elementos de entrada e
sada so sempre dados e ou informaes, e o conjunto dos procedimentos do
processamento no envolvem atividades fsicas e sim manipulao,
transformao de dados em informao conforme pode ser observado na
Figura 2, a seguir.



Na figura anterior observam-se os diversos componentes de um Sistema de
Informao (Entrada, Processamento e Sada), os mecanismos de
armazenamento e controle do sistema, alm dos diversos recursos (Hardware,
Redes, Software entre outros) que oferecem Suporte.


2. Classificao dos Sistemas de Informao Segundo o Nvel
Organizacional

Tal classificao apresenta como critrio de categorizao o nvel
organizacional aos quais os sistemas de informao buscam atender. Assim
so definidas trs categorias essenciais:

Os Sistemas de Processamento de Transao (SPT) que atendem ao
nvel operacional da organizao.
Os Sistemas de Informaes Gerenciais (SIG) que atendem ao nvel
gerencial.


4
Sistemas de Apoio deciso (SAD) ou Sistemas de Suporte Deciso
(SSD) que visam atender s necessidades do nvel estratgico da
organizao.

A Figura 3, procura relacionar os tipos de sistemas de informao aos
respectivos grupos de usurios envolvidos.



2.1. Sistema Processamento de Transao (SPT)

Esta categoria de sistemas, que utilizada atualmente na maioria das
organizaes, monitora, coleta, armazena, processa e distribui os dados das
diversas transaes realizadas dentro da empresa, servindo como base para
os demais sistemas existentes dentro da mesma.
Esses sistemas so considerados de extrema importncia para o
funcionamento das organizaes, pois do suporte a diversas operaes do
tipo cho-de-fbrica e frente-de-loja, como tambm so essenciais para
suportar as atividades de interface, envolvendo atividades tais como: gesto de
materiais, faturamento, elaborao de folha de pagamento, entre outras. Toda
vez que a empresa produz ou presta um servio, ocorre uma transao que
ser processada por um ou mais SPTs.
O objetivo principal deste tipo de sistema o fornecimento de todas as
informaes legais ou organizacionais referentes empresa, para manter
eficientemente os seus negcios. As principais vantagens de utilizao deste
tipo de sistema so a preciso e confiabilidade obtidas, reduo no custo e
tempo de obteno das informaes.
Tais sistemas normalmente processam um grande volume de dados para
funes rotineiras e, desta forma, so elaborados para suportar o alto grau de
repetio do processo, a realizao de operaes simples, a necessidade de
grande capacidade de armazenamento e, por fim, o impacto sobre um grande
nmero de funcionrios.



5
2.2. Sistema de Informao Gerencial (SIG)

A nfase dos SIGs est sobretudo na sada das informaes. Esses sistemas
extraem as informaes de base de dados compartilhada e de processos que
esto de acordo com o que o SIG necessita para suas operaes. Cumpre
informar, entretanto, que estes dados so originrios dos SPTs. Segundo
Oliveira (1998), aps a coleta dos dados e a transformao dos mesmos em
informao, ele tem como principal funo prover o gerente com informaes
passadas e presentes sobre as operaes internas e sobre o ambiente da
empresa, orientando assim a execuo do processo decisrio e,
paralelamente, assegurando que as estratgias do negcio sejam
implementadas fazendo com que os objetivos traados sejam alcanados de
modo satisfatrio. O SIG influencia as diferentes reas funcionais dentro da
organizao, no nvel gerencial, reunindo informaes pertinentes a cada uma
delas.
As sadas de um SIG envolvem relatrios de natureza variada, sendo os
principais listados a seguir:

Relatrios Programados Contm dados rotineiros, que so
frequentemente solicitados pela gerencia, com informaes sintticas.
Relatrios de Pontos Crticos Visam exibir apenas situaes que esto
fora dos parmetros normais, a exemplo de itens de estoque que esto
abaixo do ponto mnimo para reposio ou produtos cuja data de
validade est prxima do vencimento.
Relatrios Ad hoc So documentos concebidos sob demanda,
implicam na possibilidade do sistema oferecer facilidades para que
sejam criadas novas consultas a partir de novas necessidades dos
gerentes.

Enquanto o SPT tem a viso da organizao a partir de cada operao com
cada cliente (interno ou externo organizao), o SIG busca agregar os dados
de determinada operao, fornecendo informaes consolidadas sobre aquela
operao num determinado perodo de tempo, para que o gerente tenha um
panorama global inerente quele tipo de operao.

2.3. Sistema de Apoio Deciso (SAD)

Estes sistemas tm como essncia o tratamento de situaes onde os
problemas so semi-estruturados ou no-estruturados. Embora os SADs
sejam concebidos para atender aos nveis estratgicos, onde problemas desta
natureza so mais freqentes, estes podem servir para toda a organizao,
pois todos os nveis defrontam-se com problemas pouco- estruturados.
Os SADs apresentam como suas principais caractersticas o uso de dados de
diferentes fontes, preocupao com o estilo do decisrio e possibilidades de
simulao. Tal preocupao, ou estilo cognitivo, importante, uma vez que as
formas de percepo dos dados e a formulao do conhecimento diferem para
cada pessoa.



6
So exemplos de caractersticas destes sistemas:

Manipulao de grande volume de dados A anlise de longas sries
histricas de dados essencial para apoiar anlises e decises
eficazes;
Obter e processar dados de fontes diversas Os SADs necessitam de
um grande volume de dados que retirado a partir de sistemas distintos
e de fontes externas e internas, a sua eficincia depende desta
capacidade de conexo;
Flexibilidade de relatrios e apresentaes Para representar de forma
condensada grande volume de informaes, os relatrios devem permitir
representaes grficas e textuais, assim como manipulaes de
detalhamento ou generalizaes dos dados, conforme necessidade do
executivo;
Anlise de simulaes por metas Consiste em permitir ao usurio a
criao de cenrios hipotticos, visando construir projees de novas
situaes de negcio. Estas simulaes utilizam dentre outros, modelos
matemticos e estatsticos.
Suporte a abordagens de otimizao, satisfao e heurstica As
abordagens de otimizao correspondem ao emprego de modelos
matemticos determinsticos e estruturados onde a resposta
facilmente encontrada. A abordagem de satisfao envolve problemas
semiestruturados e modelos de soluo probabilsticos onde no existe
um valor nico e sim uma faixa de valores que tem a probabilidade de
ocorrer. Nas abordagens de heurstica temos problemas no-
estruturados, com grande complexidade onde o sistema pode encontrar
uma boa soluo, mas no a melhor.

2.4. Tecnologia por si s no garante segurana da informao

Os dois itens mais importantes no momento de manter as informaes da
empresa em segurana so: a elaborao de polticas de segurana e o
gerenciamento de suporte adequados, seguido do nvel de conscientizao dos
funcionrios.
A poltica de segurana atribui os direitos e responsabilidades s pessoas que
lidam com os recursos computacionais de uma instituio e com as
informaes neles armazenados. Ela tambm define as atribuies de cada um
em relao segurana dos recursos com os quais trabalham. Uma poltica de
segurana tambm deve prever o que pode ser feito na rede da instituio e o
que ser considerado inaceitvel. Tudo o que descumprir a poltica de
segurana pode ser considerado um incidente de segurana.
Os incidentes de segurana devem ser notificados para os responsveis pela
mquina que originou a atividade e tambm para os grupos de resposta a
incidentes e abusos das redes envolvidas. De modo geral a lista de
pessoas/entidades a serem notificadas inclui os responsveis pela rede que
originou o incidente, incluindo o grupo de segurana e abusos, se existir um


7
para aquela rede, bem como o grupo de segurana e abusos da rede em que o
usurio est conectado, seja um provedor, empresa, universidade, etc.


3. Uso das Normas
Normas so entendidas como um conjunto de regras ou orientaes que visam
qualidade, na atuao de uma tarefa. As normas em estudo buscam tornar o
ambiente computacional das empresas mais seguro com relao a mitigar os
incidentes computacionais, alm de orientar sobre aes a serem tomadas,
quando estes incidentes ocorrerem.
Aplicar normas de segurana em um ambiente computacional mais do que
modismo, uma forma de garantir a existncia de coerncia nas aes dos
coordenadores e executores das tarefas de administrao dos ambientes
computacionais. Adotar padres reconhecidamente eficientes minimiza-se
problemas de incidentes relacionados s operaes sustentadas por
computadores.


3.1. Entendendo a ABNT NBR ISO/IEC 27002

Segurana para sistemas de informaes foi um dos primeiros itens a definirem
padres. A gerncia de segurana da informao visa identificar os riscos e
implantar medidas que de forma efetiva tornem estes riscos gerenciveis e
minimizados.
A NBR ISO 27002 um cdigo de prticas de gesto de segurana da
informao. Sua importncia pode ser dimensionada pelo nmero crescente de
pessoas e variedades de ameaas a que a informao exposta na rede de
computadores.


3.2. Objetivos da Norma
O principal objetivo da Norma estabelecer um referencial para as
organizaes desenvolverem, implementarem e avaliarem a gesto da
segurana de informao. Em sua documentao a norma aborda 11 tpicos
principais:

1. Poltica de segurana - onde descreve a importncia e relaciona os
principais assuntos que devem ser abordados numa poltica de
segurana.
2. Segurana organizacional - aborda a estrutura de uma gerncia para a
segurana de informao, assim como aborda o estabelecimento de
responsabilidades incluindo terceiros e fornecedores de servios.
3. Classificao e controle de ativos de informao - trabalha a
classificao, o registro e o controle dos ativos da organizao.
4. Segurana em pessoas - tem como foco o risco decorrente de atos
intencionais ou acidentais feitos por pessoas. Tambm abordada a
incluso de responsabilidades relativas segurana na descrio dos


8
cargos, a forma de contratao e o treinamento em assuntos
relacionados segurana.
5. Segurana ambiental e fsica - aborda a necessidade de se definir
reas de circulao restrita e a necessidade de proteger equipamentos e
a infra-estrutura de tecnologia de Informao.
6. Gerenciamento das operaes e comunicaes - aborda as principais
reas que devem ser objeto de especial ateno da segurana. Dentre
estas reas destacam-se as questes relativas a procedimentos
operacionais e respectivas responsabilidades, homologao e
implantao de sistemas, gerncia de redes, controle e preveno de
vrus, controle de mudanas, execuo e guarda de backup, controle de
documentao, segurana de correio eletrnico, entre outras.
7. Controle de acesso - aborda o controle de acesso a sistemas, a
definio de competncias, o sistema de monitorao de acesso e uso,
a utilizao de senhas, dentre outros assuntos.
8. Desenvolvimento e manuteno de sistemas - so abordados os
requisitos de segurana dos sistemas, controles de criptografia, controle
de arquivos e segurana do desenvolvimento e suporte de sistemas.
9. Gesto de incidentes de segurana - includa na verso 2005,
apresenta dois itens: Notificao de fragilidades e eventos de segurana
da informao e gesto de incidentes de segurana da informao e
melhorias.
10. Gesto da continuidade do negcio - refora a necessidade de se ter
um plano de continuidade e contingncia desenvolvido, implementado,
testado e atualizado.
11. Conformidade - aborda a necessidade de observar os requisitos legais,
tais como a propriedade intelectual e a proteo das informaes de
clientes.


4. Norma ABNT NBR ISO/IEC-27001
A norma ABNT NBR ISO/IEC 27001:2005 relaciona os requisitos mandatrios
na definio do escopo do Sistema de Gesto da Segurana da Informao, a
avaliao de riscos, a identificao de ativos e a eficcia dos controles
implementados.
Esta Norma promove a adoo de uma abordagem de processo para
estabelecer e implementar, operar, monitorar, analisar criticamente, manter e
melhorar o SGSI - Sistema de Gerenciamento da Segurana da Informao, de
uma organizao. Para esta abordagem, a norma orienta observao de um
conjunto de aes e tarefas. Estas aes devem ser planejadas visando
eficincia de sua aplicao.




9
4.1. Entendendo a NBR 27001
A abordagem de processo para a gesto da segurana da informao
apresentada nesta norma encoraja que seus usurios enfatizem a importncia
de:

Entendimento dos requisitos de segurana da informao de uma
organizao e da necessidade de estabelecer uma poltica e objetivos
para a segurana da informao;
Implantao e operao de controles para gerenciar os riscos de
segurana da informao de uma organizao no contexto dos riscos de
negcio globais da organizao;
Monitorao e analise crtica do desempenho e eficcia do SGSI;
Melhoria contnua baseada em medies objetivas.

Administrar ambientes computacionais implica em atender as normas e
diretrizes da organizao. A no conformidade s normas ou o
descumprimento ou a no observncia implica em penalizao legal por
omisso a estas. A alegao de desconhecimento no tem valor legal.