DANIEL TVORA VITORINO HERCULINO

CENTRO UNIVERSITRIO ESTCIO DO CEAR FIC

MBA EM GOVERNANA DE TECNOLOGIA DA INFORMAO

SISTEMAS DE INFORMAO E SEGURANA COMO

PLANEJAMENTO ESTRATGICO

FORTALEZA

2017
 DANIEL TVORA VITORINO HERCULINO

SISTEMAS DE INFORMAO E SEGURANA COMO

PLANEJAMENTO ESTRATGICO

Artigo apresentado ao curso de Governana de

Tecnologia da Informao para obteno do
ttulo de Especializao.

Orientador (a): Prof. Otvio Fernandes Frota

FORTALEZA

2017
 DANIEL TVORA VITORINO HERCULINO

SISTEMAS DE INFORMAO E SEGURANA COMO

PLANEJAMENTO ESTRATGICO

Relatrio final apresentado a Universidade

Estcio do Cear como parte das exigncias
para a obteno do ttulo de Especializao.

Fortaleza, 31 de Maro de 2017

BANCA EXAMINADORA

________________________________________
Prof. Otvio Fernandes Frota
 RESUMO

Este trabalho faz um estudo sobre o sistema de informao alinhado com o Planejamento
Estratgico. Ter informaes guardadas de forma suficientemente segura importante
para que as empresas no tenham suas informaes acessadas e assim possam garantir
a continuidade dos negcios, minimizar os danos, maximizar o retorno sobre os
investimentos e gerar oportunidades. A segurana necessria para que organizaes
possam desempenhar seu planejamento sem que seja copiado, fraudado ou levado ao
conhecimento dos concorrentes. Os documentos internos que estabelecem a poltica de
segurana precisam ser de fcil leitura e compreenso, alm de resumido para que se
consiga atingir aos objetivos estabelecidos.

Palavras chave: Sistema; Planejamento; Segurana; Informao.

ABSTRACT

The present study analyzes the information system aligned with Strategic Planning.
Keeping secure information is so important to companies doesnt have their information
accessed and so they can ensure business continuity, minimize damages, maximize
return on investment and generate opportunities. Security is necessary for organizations to
perform their planning without being copied, fraudulent or brought to competitors
knowledge. Internal documents that establish the security policy needs to be easy to be
read and understanding, besides being summarized in order to achieve the established
goals.

Key words: System; Planning; Safety; Information.

 SUMRIO

1 INTRODUO ............................................................................................. 6

2 TIPO DE PESQUISA .................................................................................... 7

2.1 COLETA DE DADOS ...................................................................... 8

2.2 TRATAMENTO E ANLISE ........................................................... 8

3 REFERENCIALTERICO ............................................................................ 9

3.1 ESTRATGIA EMPRESARIAL ...................................................... 9

3.2 AMEAAS E SEGURANA DA INFORMAO ........................... 11

3.3 PRINCPIOS DE SEGURANA DA INFORMAO ...................... 13

3.4 AMEAA AOS SISTEMAS DE INFORMAO ............................. 15

3.4.1 MALWARE ......................................................................... 16

3.4.2 VULNERABILIDADES DE SEGURANA ......................... 19

3.4.3 VULNERABILIDADES FSICAS E DE SISTEMA ............. 19

4. RISCO ......................................................................................................... 20

5 ATAQUES .................................................................................................... 21

6 CONCLUSO............................................................................................... 25

7 REFERNCIA BIBLIOGRFICA ................................................................. 26

 6

1 INTRODUO

No presente estudo sero abordadas diversas modalidades de segurana

estabelecidas pelas empresas. So informaes que fornecem aos usurios produtos de
informao que apoiam em grande parte suas necessidades de tomada de deciso no dia
a dia. Os SIs fornecem uma diversidade de informaes que garantem mais certeza ao
escolher o caminho a ser seguido de pela empresa.
O alinhamento do Planejamento Estratgico com um Sistema de Informao e
Segurana fornecem dados de rotina aos administradores e tomadores de deciso que
auxiliam na produo de relatrios gerenciais (pagamento a fornecedores, desempenho
de vendas, nveis de estoque e outros) com vistas eficincia operacional dos dados da
empresa. uma forma de assegurar a informao no que se trata das mais diversas
ameaas, sejam elas externas ou internas, alm de garantir que a organizao tenha
continuidade nos negcios, reduz danos e aumenta o retorno da rentabilidade.
Este trabalho pretende apresentar uma pesquisa com o intuito de obter
informaes para anlise e verificao a respeito das polticas de segurana. Desta
forma, sero abordadas as medidas de segurana em rede tais como segurana de
permetro, autenticao e autorizao.
A presente pesquisa tem como objetivo geral analisar o Sistema de Informao e
Segurana em conjunto com o Planejamento Estratgico e como objetivos especficos
tem o propsito de identificar os princpios e ameaas a competitividade da empresa, as
vulnerabilidades de segurana, risco e preveno de sistemas de informao. O trabalho
relata os procedimentos metodolgicos que foram utilizados para atender aos objetivos
pretendidos.
Houve uma investigao atravs de pesquisas exploratria e bibliogrfica, alm de
artigos, livros e textos para embasar o estudo apresentado. Foi disposta a tipologia da
pesquisa quanto aos fins e aos meios, seguindo com a delimitao da rea de estudo e
explicitao dos mtodos e instrumentos utilizados para coleta, tratamento e anlise dos
dados
O estudo em anlise foi estruturado em partes: Inicia com a Introduo, passa pelo
desenvolvimento com embasamento terico em que foram levantados os conceitos e
fundamentos sobre o Planejamento Estratgico, alm das consideraes finais.
 7

2 TIPO DE PESQUISA

A classificao da pesquisa foi feita baseada em conhecimentos de autores da

rea. Com isso, foi identificado que se classifica em dois aspectos: quanto aos fins e
quanto aos meios.

... quanto aos fins, esta pesquisa tem natureza exploratria e descritiva.
Exploratria porque tem como objetivo proporcionar maior familiaridade com o
problema, com objetivo de torn-los explcito ou a construir hipteses, onde os
estudos sobre o assunto so ainda incipientes. Descritivo porque visa a
identificar, descrever e analisar criticamente as vises estratgicas que
subsidiam decises. (VERGARA, 2012, p. 54).

Outras considerveis informaes tambm foram destacadas.

"As principais caractersticas dos estudos exploratrios, segundo estes autores

so a informalidade, a flexibilidade e a criatividade, e neles procura-se obter um
primeiro contato com a situao a ser levantada e hipteses a serem
confirmadas. Os estudos exploratrios so realizados a partir de dados
secundrios; conversas informais com pessoas especializadas no assunto de
interesse e estudos de casos selecionados, em que se incluem pesquisas
tambm j realizadas. J os estudos descritivos, procuram descrever situaes
de mercado a partir de dados primrios obtidos originalmente por meio de
entrevistas pessoais ou discusses em definio do problema de pesquisa que
ordene ser quantitativos ou qualitativos." (VERGARA, 2012, p. 84).

O estudo se caracteriza como pesquisa bibliogrfica, pois foi efetuado atravs de

publicaes como monografias, teses, livros, artigos, ou seja, fontes secundrias de
pesquisa. Ela fundamental, pois alm de ser autnoma, serve de alicerce para o
alcance dos objetivos pretendidos. Segundo MARCONI, 2016, A pesquisa bibliogrfica,
ou de fontes secundrias, abrange toda bibliografia j tornada pblica em relao ao tema
em estudo, desde publicaes avulsas, boletins, jornais, revistas, livros, pesquisas,
monografias, teses, material cartogrfico etc.(pg 166).
 8

2.1 COLETA DE DADOS

As fontes de dados utilizadas foram as primrias (estudo em livros e artigos) e as

secundrias (as pesquisas). A coleta de dados foi efetuada de diversos tipos de fontes
que pudessem enriquecer o contexto atual do comrcio internacional e assim entender
melhor o tema proposto.

"Dados primrios so aqueles que no foram antes coletados, estando ainda

em posse dos pesquisadores, e so coletados com o propsito de atender s
necessidades especficas da pesquisa em andamento. As fontes bsicas de
dados primrios so: pesquisado, pessoas que tenham informaes sobre o
pesquisado e situaes similares; Dados secundrios so aqueles que j foram
coletados, tabulados, ordenados e, s vezes, at analisados, com propsitos
outros ao de atender s necessidades da pesquisa em andamento, e que esto
catalogados disposio dos interessados. As fontes bsicas de dados
secundrios so: a prpria empresa, publicaes, governos, instituies no
governamentais e servios padronizados de informaes de marketing."
(MATTAR, 2009, p. 153).

2.2 TRATAMENTO E ANLISE DE DADOS

A metodologia da pesquisa ser quantitativa e ter um carter exploratrio e

descritivo. quantitativa, pois implica a construo de inquritos, alm de gerar medidas
precisas e confiveis que permitam uma anlise. Para GODOY, 2009, pesquisa
quantitativa ... considera o ambiente como fonte direta dos dados e o pesquisador como
instrumento chave. (pg. 71).
exploratria porque trabalha com levantamento de bibliografias direcionadas com
o que pesquisado. Para GIL, 2006, pesquisa exploratria ... visam proporcionar uma
viso geral de um determinado fato, do tipo aproximativo. (pg. 54).
descritiva por procurar relatar as caractersticas de uma determinada situao e
 9

obter a compreenso do levantamento efetuado. Pesquisa descritiva:

... so aquelas que visam descrever caractersticas de grupos (idade, sexo,

procedncia etc.) como tambm a descrio de um processo numa
organizao, o estudo do nvel de atendimento de entidades, levantamento de
opinies, atitudes e crenas de uma populao etc. (OLIVEIRA, 2012, p 52).

3 REFERENCIAL TERICO

3.1 ESTRATGIA EMPRESARIAL

A palavra estratgia surgiu h mais de 2.000 anos, provm do grego strategos ou

general que tambm chamado de ministro da guerra e comandante de armada. A
estratgia foi e continua a ser muito importante para sistemas militares, pois estabelece
os melhores caminhos a serem percorridos com o propsito de atingir determinados
objetivos. Devido a essa caracterstica Drucker no sculo XX a incorpora no ambiente
administrativo como fator crucial de desenvolvimento, j que trabalha a interao de uma
organizao com o seu meio, atravs de movimentos que visam melhorias corporativas.
Para OLIVEIRA, (2013, p. 172), estratgia ... estabelecer quais sero os caminhos, os
cursos, os programas de ao que devem ser seguidos para serem alcanados os
objetivos e desafios estabelecidos.
A estratgia trabalha os meios pelos quais oportunidades so identificadas de
forma satisfatria para atingir os objetivos traados anteriormente ou resultados
esperados, e atravs de um caminho bem elaborado as empresas conseguem
diferenciais competitivos, pois cumprem objetivos, analisam o ambiente que a compe e
implantam ferramentas como anlise SWOT (ameaas, oportunidades, pontos fortes e
 10

fracos), controle, eficincia e eficcia, alm de articular resultados e auferir retorno acima
da mdia.
Com isso CHIAVENATO, (2009, p. 312), diz que A estratgia organizada constituiu
o primeiro e principal passo para organizar, articular, alcanar esta capacidade de
manobra em um cenrio cada vez mais complexo e dinmico.
Segundo OLIVEIRA, (2013, p. 178), estratgia ... definida como um caminho, ou
maneira, ou ao formulada e adequada para alcanar, preferencialmente, de maneira
diferenciada, os objetivos estabelecidos, no melhor posicionamento da empresa perante
seu ambiente.
O planejamento um processo constante dentro das organizaes que buscam a
competitividade, e suas decises administrativas precisam ser baseadas nesse mtodo
apesar de sua conceituao como funo no ser de fcil mensurao. Isso decorrente
de sua abrangncia como conceito, pois engloba fatores como filosofias, princpios, reas
da empresa, programas e normas, alm de necessitar de um tempo mnimo para
elaborao e com isso chegar a situaes desejadas. Segundo DRUCKER, (2003, p.
117), ... no diz respeito a decises futuras, mas as implicaes futuras de decises
presentes. Portanto, aparece como um processo sistemtico e constante de tomada de
decises, cujos efeitos e consequncias devero ocorrer em futuros perodos de tempo.
Planejar significa raciocinar e tomar atitudes em relao ao futuro, sendo uma
ferramenta que permite estabelecer objetivos e seus meios de consecuo. Isso ocorre
porque as empresas precisam lidar com a incerteza na tentativa de minimiz-la, e na
mesma medida que os concorrentes tentam alcanar os mesmos objetivos, conquistar os
mesmos clientes, desenvolver os mesmos produtos ou servios, aumenta ainda mais
essa varivel to difcil de ser mensurada.

Planejamento pode ser definido como o desenvolvimento de

processos, tcnicas e atitudes administrativas, as quais
proporcionam uma situao vivel de avaliar as implicaes
futuras de decises presentes em funo dos objetivos
empresariais que facilitaro a tomada de deciso no futuro, de
modo mais rpido, coerente, eficiente e eficaz (OLIVEIRA, 2013,
p. 41).
 11

Outro autor tambm relata em seu livro que:

Planejamento a funo administrativa que defini objetivos e

decide sobre os recursos e tarefas necessrias para alcan-los
adequadamente. A principal consequncia dos planejamentos so
os planos, estes no somente tornam uma organizao bem-
sucedida na realizao de suas metas, mas funcionam como
verdadeiros guias e balizamentos. (CHIAVENTO, 2009, p. 245)

Nas organizaes vrios fatores crticos em relao ao planejamento so

encontrados. Polticas mal estabelecidas, utilizao como mecanismo para resoluo de
todos os problemas ou at mesmo a falta do prprio planejamento. Para que esse tipo de
problema no ocorra, grandes autores publicam em seus livros, na tentativa de
conscientizao dos executivos que um planejamento quando bem trabalhado, permite
uma srie de vantagens como facilidade e agilidade na tomada de deciso, gerao de
melhores resultados, melhoria dos mais variados processos deixa a organizao mais
proativa e estabelece um maior fluxo de informaes, ocasionado pelo trabalho bem
definido e inter-relacionado

3.2 AMEAAS E SEGURANA DA INFORMAO

Segurana uma palavra bastante presente atualmente e refere-se a um estado de

proteo, em que afasta, mesmo que no totalmente, os perigos e incertezas. A
Tecnologia da informao s se torna uma ferramenta capaz de alavancar
verdadeiramente os negcios, quando seu uso est vinculado s medidas de proteo
dos dados corporativos, para assegurar a sobrevivncia da empresa e a continuidade dos
negcios da organizao.
 12

Segurana da informao garante uma maior proteo de dados no que diz respeito
aos mais tipos de ameaas, sejam elas internas ou externas. Com isso minimiza danos,
garante a continuidade dos negcios, maximizar oportunidades e o retorno dos
investimentos. Conforme Arajo e Ferreira (2008, pg. 36) Segurana define o conjunto de
normas, mtodos e procedimentos utilizados para manuteno da segurana da
informao.
Problemas surgem dos mais diversos tipos de graus e pontuais solues no
possibilitam resolver todo o contexto relacionado segurana da informao. Segurana
feita atravs de divises, porm com uma interligao, como se fossem uma corrente.
Quando preciso garantir a segurana da informao, necessrio se faz eliminar pontos
fracos do ambiente em que a informao est armazenada. Reduzir que os riscos
aconteam eliminar ao mximo a vulnerabilidade com que a segurana da informao
seja violada. No deve existir uma tratativa isolada referente a segurana da informao,
mas sim um propsito como uma gesto crtica em todos os ambientes, passando pela
tecnologia alm de infraestrutura e as pessoas.
Os ativos de uma empresa (pessoas, tecnologia e fsico) devem ser protegidos
como um todo, j que compem o negcio e propsito de existncia de uma companhia.
Afinal, o poder de proteo est relacionado diretamente com o lado mais frgil da
empresa. Em uma corporao, a segurana est ligada a tudo o que manipula direta ou
indiretamente a informao, incluindo-se a prpria informao alm, tambm, de usurios.
Esses elementos so chamados de ativos, e podem ser divididos em:
Tangveis: informaes impressas, mveis, hardware. Exemplo: impressoras,
scanners;
Intangveis: marca de um produto, nome da empresa, confiabilidade de um
rgo federal;
Lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de
gesto integrada).;
Fsicos: galpo, sistema de eletricidade, estao de trabalho;
Humanos: funcionrios.
Os ativos so os elementos que sustentam a operao do negcio e estes sempre
traro consigo vulnerabilidades que, por sua vez, submetem os ativos a ameaas.
Conforme CPC 00 Ativo um recurso controlado pela entidade como resultado de
eventos passados e do qual se espera que resultem futuros benefcios econmicos para a
entidade.
 13

Dependendo do porte da empresa, assim ser a dependncia com relao

informao, que pode estar armazenada de vrias formas: meios digitais, impressa em
papel, em meios digitais, na mente das pessoas, em imagens armazenadas em
fotografias.
Nesse sentido, propsito da segurana proteger os elementos que fazem parte da
comunicao, so eles:
As informaes;
Os equipamentos e sistemas que oferecem suporte a elas;
As pessoas que as utilizam.

3.3 PRINCPIOS DE SEGURANA DA INFORMAO

Um trip que forma e estabelecem os princpios da informao o CID

Confidencialidade, Integridade e Disponibilidade. Uma vez que definem a implementao,
anlise e o planejamento da segurana nas organizaes. Segundo a norma ABNT-ISO-
IEC 27001, adicionalmente outras propriedades, tais como autenticidade,
responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas.
Confidencialidade: tem o foco nas pessoas que acessaro os dados. Algo s
confidencial a partir de quando pessoas especficas tm acesso aos dados, pois um
resguardo das informaes para evitar revelao a pessoas no autorizadas. Isso pode
ser decorrente de informao em qualquer tipo de mdia como papel, CD, Pen Drive, entre
outros. Conforme Arajo e Ferreira (2008, pg. 44) confidencialidade garantia de que a
informao acessvel somente por pessoas autorizadas a ter acesso.
A informao deve ser completamente protegida contra acessos indevidos. Como
exemplo h a Internet, em que os dados trafegam por vrios caminhos e passam por
diversas redes de computadores at chegarem ao destino, a confidencialidade deve
garantir que os dados no sero vistos nem copiados por agentes no autorizados
durante todo o percurso que realizarem na grande rede mundial.
 14

Integridade: significa manter caractersticas originais. Estas caractersticas so feitas

pelo proprietrio dos dados quando criam a informao (se a informao for alterada por
quem possui direito para tal, no invalida a integridade).
H diversos tipos de ataques efetuados integridade da informao: alterao em
mensagens que trafegam na rede; modificao de sites da Internet; substituio de textos
impressos ou em mdia digital, alm de outros. Conforme Arajo e Ferreira (2008, pg. 44)
Integridade salvaguarda da exatido da informao e dos mtodos de processamento.
A Integridade o princpio da proteo da informao contra a criao ou
modificao no autorizada. A violao da integridade pode estar relacionada com erro
humano, por atos dolosos ou culposo. Esta violao pode tornar a informao sem valor
ou, at, perigosa, especialmente se a violao for uma alterao da informao, o que
pode levar a decises equivocadas e causadoras de prejuzos.
Disponibilidade: possibilita a disponibilidade da informao ao devido usurio para
quando ele necessitar. A informao est l quando for necessrio recuper-la. Isso no
se trata de uma violao da disponibilidade de dados, mas sim de interrupes de acesso
de forma autorizada como nos casos de manuteno de sistema. Conforme Arajo e
Ferreira (2008, pg. 44) Disponibilidade garantia de que os usurios autorizados
obtenham acesso a informao e aos ativos correspondentes sempre que necessrios.
A segurana da informao tem como propsito reduzir o risco de perder a
informao disponvel. O objetivo evitar que ocorram incidentes quaisquer que afetem o
conjunto de dados. Segundo a ABNT, um simples ou uma srie de eventos de
segurana da informao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e ameaar a segurana da
informao.
O evento trata-se identificada de algo que aconteceu dentro do sistema, servio ou
rede, relatando uma violao ou uma situao desconhecida que possa ser relevante
para a segurana da informao. Um risco para a segurana da informao uma
combinao de alguns fatores, tais como uma ameaa e uma vulnerabilidade.
As vulnerabilidades so fatores ligadas aos sistemas de informao, sejam eles
fsicos ou lgicos. Alguns fatores naturais podem resultar em incidentes de segurana
como incndio, terremotos e inundaes. Sem esquecer dos incidentes com causa
humana: negligncia, impercia, imprudncia, vingana e terrorismo, e os de fatos
puramente tcnicos: equipamentos com defeito, gastos e rudos.
 15

Ameaa qualquer comportamento que afete a operao, a disponibilidade, a

integridade da informao. Uma ameaa busca explorar uma vulnerabilidade fraqueza
por meio de um ataque (tcnica para explorar a vulnerabilidade). Do outro lado esto os
meios de defesa, que so as tcnicas contra os ataques ou para reduzir essas
vulnerabilidades.
As principais origens das vulnerabilidades residem em falhas de projeto de hardware
ou software, falhas na implantao (configurao errada, falta de treinamento), falhas de
gerenciamento (problemas de monitoramento, procedimentos inadequados ou incorretos).

3.4 AMEAA AOS SISTEMAS DE INFORMAO

Ataque trata-se de dano causado segurana da informao, afetam as rotinas da

empresa e alm da sustentao da atividade, isso gerado devido a explorao de
vulnerabilidade. Ou seja, ameaa tudo que compromete a segurana de um sistema,
muitas vezes acidental (problema em hardware, falha de programao, acontecimentos
de fora maior, erros, bugs de software, uma ameaa secreta enviada a um endereo
incorreto) ou provocada (fraude, furto, roubo, espionagem, sabotagem e invaso de
hackers). Conforme Arajo e Ferreira (2008, pg. 171) ameaa a possibilidade de um
invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz.
Ameaa aparece das mais diversas formas, pode ser proveniente de pessoas, ideia
ou evento capaz de causar qualquer tipo de dano no que diz respeito a disponibilidade,
confidencialidade e integridade. Dois tipos de ameaas so as mais comuns: internas e
externas. As ameaas internas so provenientes do prprio ambiente da organizao, j
as externas so representadas por todas as tentativas de ataque e desvio de informaes
vindas de fora da empresa.
Normalmente essas tentativas so realizadas por pessoas com o intuito de causar
algum dano a empresa ou para utilizar seus recursos para invadir outras empresas.
 16

3.4.1 MALWARE

Malware um termo usado para designar softwares maliciosos, ou seja, so

estabelecidos com o intuito de causar dano aos sistemas de informao, modificar o
funcionamento, furtar e roubar informaes, retardar o processamento dentro dos
programas, alm de vrios outros propsitos. Esses programas efetuam deliberadamente
aes mal-intencionadas com o propsito de danificar. Destre os diversos tipos de
malware, os mais comuns so: vrus, worms, bots, cavalos de troia, spyware, keylogger,
screenlogger.
Vrus: so cdigos de programao pequenas, porm maliciosos que se unem aos
arquivos e passam a ser so transmitidos quando os arquivos so repassados. Assim que
abre um arquivo RAM, o vrus se dissemina e passa proliferar dentro do sistema, ou seja,
faz cpias de si mesmo o que passa a se tornar parte de outros programas no
computador. A execuo do programa passa a ser fator ideal para o tipo de vrus que ir
ser inserido. O arquivo passa hospedar o vrus que se torna sempre ativo e assim
propaga a infeco.
Alguns vrus so inofensivos, outros, porm, podem danificar um sistema
operacional e os programas de um computador. Dentre os tipos de vrus conhecidos,
podemos citar o Vrus de Boot: infectam o setor de boot dos discos rgidos e o Vrus de
macro: vrus de arquivos que infectam documentos que contm macros. Conforme Arajo
e Ferreira (2008, pg. 92) Vrus um dos principais problemas de segurana da
informao.
Macro uma diversidade de comandos que so armazenados em alguns aplicativos
e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor
de textos, definir uma macro que contenha a sequncia de passos necessrios para
imprimir um documento com a orientao de retrato e utilizando a escala de cores em
tons de cinza.
Macro tem um vrus bastante conhecido chamado Vrus de Macro. Ele foi efetuado
de modo a explorar a automatizao, alm de um arquivo manipulado por um aplicativo
que utiliza macros e assim tenha facilidade na explorao de documentos. Para a
execuo do vrus, o arquivo que o consta precisa ser aberto e, ento, o vrus pode
efetuar diversos comandos automaticamente e infectar outros arquivos no computador.
 17

Auto Spam: esse bastante conhecido dos mais diversos usurios, pois o vrus de
macro envia e-mails com arquivo infectado para endereos de e-mail. Um vrus repassado
por e-mail recebido como um arquivo em anexado a mensagem de correio eletrnico. A
mensagem tem como objetivo fazer com que o usurio abra o arquivo em anexo e a partir
da, executa o vrus no programa.
Quando este tipo de vrus entra em ao, ele infecta arquivos e programas e envia
cpias de si mesmo para os contatos encontrados nas listas de endereos de e-mail
armazenadas no computador do usurio. importante ressaltar que este tipo especfico
de vrus no capaz de se propagar automaticamente. O usurio precisa executar o
arquivo anexado que contm o vrus, ou o programa leitor de e-mails precisa estar
configurado para auto executar arquivos anexados.
Vrus Stealth: este se esconde para burlar o antivrus no momento em que acontece
a limpeza (varredura) do programa, o ponto interessante que ele se sai,
momentaneamente, da memria para que o antivrus o detecte.
Vrus polimrficos: tem esse nome porque mudam de forma constantemente. No
momento em que ocorre a infeco, eles geram novos bytes em seu cdigo, fazendo com
que o antivrus se confunda e no reconhea o invasor, com isso ele no excludo do
sistema.
Vrus de script: so disseminados por meio de scripts, nome que quer dizer uma
srie de comandos previamente estabelecidos e que so executados automaticamente
em um sistema, sem necessidade de interveno do usurio. Existem dois tipos de scripts
bastante usados que so os projetados com as linguagens Javascript (JS) e Visual Basic
Script (VBS). A maior parte das vezes realizam tarefas teis que ajudam a vida dos
usurios, como exemplo h que se a execuo dos scripts for desativada, a maioria dos
sites passar a ser apresentada de forma incompleta ou incorreta.
Worms (vermes): similares aos vrus, porm com o poder de propagao atravs de
redes, enviando cpias de si mesmo atravs dos computadores. Eles mesmo fazem
autocpias sem infectar outros arquivos. Geralmente utilizam as redes de comunicao
para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc.).
Diferentemente do vrus, o worm no embute cpias de si mesmo em outros
programas ou arquivos e no necessita ser explicitamente executado para se propagar.
Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na
configurao de softwares instalados em computadores.
 18

Worms consomem diversos recursos. Afetam negativamente a desenvoltura das

redes e muitas vezes enchem o disco rgido devido enorme quantidade suas que ele
mesmo efetua. Muitas vezes, geram diversos transtornos aos computadores que recebem
as cpias. Muito raramente so identificados, at porque eles usam a prpria propagao
sem que o usurio tenha o conhecimento. Muitas vezes o prprio antivrus no identifica a
disseminao do worms.
Bots: modo similar ao worm, um programa capaz de se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de
software instalado em um computador. Adicionalmente ao worm, dispe de mecanismos
de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Os
bots esperam por comandos de um hacker, podendo manipular os sistemas infectados,
sem o conhecimento do usurio.
Cavalo de troia: aparentemente um programa que no afeta o sistema, ele
inserido no computador geralmente atravs de um carto virtual ou jogo, e que
posteriormente executado. Ele abre umas portas que possibilitam o intercambio de
informao que invadem o computador. O Cavalo de Troia diferente por no se
propagar e nem infectar outros arquivos ele tambm no um vrus exatamente por no
se duplicar ou disseminar. Ele existe em dois tipos: o servidor (encontra-se oculto em
algum outro arquivo e se instala no computador) e o cliente (recebedor do arquivo).
Exemplos mais conhecidos so os que se obtm atravs de algum site e que
parecem ser cartes virtuais, jogos, fotos, layout, entre outros. Assim que executados,
eles enviam dados para outro computador de modo que mudam dados, muitas vezes
apagam arquivos e formatam o computador.
Adware: so meros poluidores. Apresentam comerciais ou alteraes no sistema
operacional com o intuito de exibir alguma propaganda. Muitas vezes no so maliciosos.
O adware atravs do navegador abre uma janela que direciona para venda de produtos,
pginas de cassinos, filmes erticos, etc.
 19

3.4.2 VULNERABILIDADES DE SEGURANA

Trata-se de falha no projeto, implementao ou configurao de software ou sistema

operacional que, quando explorada por um atacante, resulta na violao da segurana de
um computador. Em outras palavras, vulnerabilidade uma fragilidade que poderia ser
explorada por uma ameaa para concretizar um ataque. Conforme Arajo e Ferreira
(2008, pg. 173) vulnerabilidade uma potencial ameaa em um sistema informatizado.
O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de
segurana tomar medidas para proteo, evitando assim ataques e consequentemente
perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser
levantada junto a cada organizao ou ambiente em questo. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as
ameaas existentes.
Como exemplos de vulnerabilidades h uso de senhas no encriptadas, mal
formuladas e mal utilizadas, ambientes com informaes sigilosas com acesso no
controlado, software mal desenvolvido, hardware sem o devido acondicionamento e
proteo, falta de atualizao de software e hardware, falta de mecanismos de
monitoramento e controle (auditoria), ausncia de pessoal capacitado para a segurana e
inexistncia de polticas de segurana.

3.3.3 VULNERABILIDADES FSICAS E DE SISTEMA

So aquelas presentes em ambientes onde se armazenam as informaes, como

instalaes prediais fora do padro, ausncia de recursos para combate a incndios,
CPDs mal planejados, disposio desorganizada de fios de energia e cabos de rede e
ausncia de controle de acesso fsico, alm de outras.
A vulnerabilidade de Hardware compreende possveis defeitos de fabricao, erros
de configurao ou falhas nos equipamentos. Como exemplos h os erros decorrentes da
instalao, desgaste, obsolescncia ou m utilizao do equipamento etc. importante
 20

observar detalhes como o dimensionamento adequado do equipamento, ou seja, se sua

capacidade de armazenamento, processamento e velocidade esto compatveis com as
necessidades, de modo a no sub ou super dimension-lo.
As vulnerabilidades de Software so possveis falhas de programao, erros de
instalao e configurao, que podem, por exemplo, causar acesso indevido, vazamento
de informaes, perda de dados etc. Sistemas operacionais so altamente visados para
ataque, pois atravs deles possvel ter acesso ao hardware do computador. Ataques
como estes so de alta gravidade, e podem comprometer todo o sistema.
Um grande nmero de empresas, ao identificar alguma vulnerabilidade em seus
softwares, lanam boletins informativos a fim de alertar os usurios, e normalmente
disponibilizam pacotes de atualizao, denominados Service Packs, para correo desta
vulnerabilidade.
A vulnerabilidade de armazenamento relacionada com a forma de utilizao das
mdias (disquetes, CD-ROMs, fitas magnticas, discos rgidos dos servidores, etc.) em
que esto armazenadas as informaes, como armazenamento de disquetes em local
inadequado etc.
As vulnerabilidades humanas so relacionadas aos danos que as pessoas podem
causar s informaes e ao ambiente tecnolgico que as suporta, podendo ser
intencionais ou no. Podem ocorrer devido a desconhecimentos das medidas de
segurana, falta de capacitao para execuo da tarefa dentro dos princpios de
segurana, erros e omisses.

4 RISCO

Alguns conceitos necessitam ser expostos para o correto entendimento do que

risco e suas implicaes. Risco a medida da exposio qual o sistema computacional
est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque. Conforme Arajo e Ferreira (2008, pg. 179) risco a
probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de
confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos
negcios.
 21

Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um

martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da
informao. Assim pode-se entender como risco tudo aquilo que traz danos s
informaes e com isso promove perdas para a organizao.
medido pela probabilidade de uma ameaa acontecer e causar algum dano
potencial empresa. Existem algumas maneiras de se classificar o grau de risco no
mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e
baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que,
baseado na vulnerabilidade encontrada, a ameaa associada de alto risco.

5 ATAQUES

O ataque conhecido como uma modificao no fluxo da informao que afetam os

servios oferecidos pela segurana da informao. Ele decorrente de uma
vulnerabilidade que explorada por um atacante em potencial. H quatro ameaas
possveis para a segurana de um sistema de informao:
Interrupo: ataque na transmisso da mensagem, em que o fluxo de dados
interrompido. Um exemplo pode ser a danificao de componentes de
hardware ou a queda do sistema de comunicao por sabotagem.
Interceptao: este um ataque sobre a confidencialidade. Ocorre quando
uma pessoa no autorizada tem acesso s informaes confidenciais de
outra. Um exemplo seria a captura de dados na rede ou a cpia ilegal de um
arquivo.
Modificao: este um ataque integridade da mensagem. Ocorre quando
uma pessoa no autorizada, alm de interceptaras mensagens, altera o
contedo da mensagem e envia o contedo alterado para o destinatrio.
Fabricao: este um ataque sobre a autenticidade. Uma pessoa no
autorizada insere mensagens no sistema assumindo o perfil de um usurio
autorizado.
 22

J os principais tipos de ataque so:

Engenharia Social

Mtodo em que se obtm informaes atravs de pessoas. uma tcnica que

explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. A tecnologia
avana a passos largos, mas a condio humana continua na mesma em relao a
critrios ticos e morais. Enganar os outros deve ter sua origem na pr-histria, portanto o
que mudou foram apenas os meios para isso.
Em redes corporativas que so alvos mais apetitosos para invasores, o perigo
ainda maior e pode estar at sentado ao seu lado. Uma pessoa poderia tentar obter a
senha de acesso de um colega mesmo tendo uma prpria, pois uma sabotagem feita com
sua senha parece bem mais interessante do que com a senha do prprio autor.

Phishing

um tipo de fraude eletrnica projetada para roubar informaes particulares que

sejam valiosas para cometer um roubo ou fraude posteriormente. O golpe de phishing
realizado por uma pessoa mal-intencionada atravs da criao de um website falso e/ou
do envio de uma mensagem eletrnica falsa, geralmente um e-mail ou recado atravs de
scrapbooks como o Facebook.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a
fornecer informaes sensveis (nmeros de cartes de crdito, senhas, dados de contas
bancrias, entre outras). Uma variante mais atual o Pharming. Nele, o usurio
induzido a baixar e executar arquivos que permitam o roubo futuro de informaes ou o
acesso no autorizado ao sistema da vtima, podendo at mesmo redirecionar a pgina
da instituio (financeira ou no) para os sites falsificados.
A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em
que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados
financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo
utilizado tambm para se referir aos casos de mensagem que procura induzir o usurio
instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio
de dados pessoais e financeiros de usurios.
 23

Pharming

uma tcnica que utiliza o sequestro ou a "contaminao" do DNS (Domain Name

Server) para levar os usurios a um site falso, alterando o DNS do site de destino. O
sistema tambm pode redirecionar os usurios para sites autnticos atravs de proxies
controlados pelos phishers, que podem ser usados para monitorar e interceptar a
digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas,
senhas e nmeros de documentos. Isso feito atravs da exibio de um pop-up para
roubar a informao antes de levar o usurio ao site real. O programa mal-intencionado
usa um certificado autoassinado para fingir a autenticao e induzir ou usurio a acreditar
nele o bastante para inserir seus dados pessoais no site falsificado. Outra forma de
enganar o usurio sobrepor a barra de endereo e status de navegador para induzi-lo a
pensar que est no site legtimo e inserir suas informaes.

Phishers

Utilizam truques para instalar programas criminosos nos PCs dos consumidores e
roubar diretamente as informaes. Na maioria dos casos, o usurio no sabe que est
infectado, percebendo apenas uma ligeira reduo na velocidade do computador ou
falhas de funcionamento atribudas a vulnerabilidades normais de software. Um software
de segurana uma ferramenta necessria para evitar a instalao de programas
criminosos se o usurio for atingido por um ataque.

Ataques de senhas

A utilizao de senhas seguras um dos pontos fundamentais para uma estratgia

efetiva de segurana. As senhas garantem que somente as pessoas autorizadas tero
acesso a um sistema ou rede. Infelizmente isso nem sempre realidade. As senhas
geralmente so criadas e implementadas pelos prprios usurios que utilizam os sistemas
ou a rede. Palavras, smbolos ou datas fazem com que as senhas tenham algum
significado para os usurios, permitindo que eles possam facilmente lembr-las. Neste
 24

ponto que existe o problema, pois muitos usurios priorizam a convenincia ao invs da
segurana. Como resultado, eles escolhem senhas que so relativamente simples.
Enquanto isso permite que possam lembrar facilmente das senhas, tambm facilita
o trabalho de quebra dessas senhas por hackers. Em virtude disso, invasores em
potencial esto sempre testando as redes e sistemas em busca de falhas para entrar. O
modo mais notrio e fcil a ser explorado a utilizao de senhas inseguras. A primeira
linha de defesa, a utilizao de senhas, pode se tornar um dos pontos mais falhos. Parte
da responsabilidade dos administradores de sistemas garantir que os usurios estejam
cientes da necessidade de utilizar senhas seguras.
Isto leva a dois objetivos a serem alcanados: primeiro, educar os usurios sobre a
importncia do uso de senhas seguras; e segundo, implementar medidas que garantam
que as senhas escolhidas pelos usurios so efetivamente adequadas. Para alcanar o
primeiro objetivo, a educao do usurio o ponto chave. J para alcanar o segundo
objetivo, necessrio que o administrador de sistemas esteja um passo frente,
descobrindo senhas inseguras antes dos atacantes. Para fazer isso necessria a
utilizao das mesmas ferramentas utilizadas pelos atacantes.
As duas principais tcnicas de ataque a senhas so: Ataque de Dicionrio: nesse
tipo de ataque so utilizadas combinaes de palavras, frases, letras, nmeros, smbolos,
ou qualquer outro tipo de combinao geralmente que possa ser utilizada na criao das
senhas pelos usurios. Os programas responsveis por realizar essa tarefa trabalham
com diversas permutaes e combinaes sobre essas palavras. Quando alguma dessas
combinaes se referir senha, ela considerada como quebrada (Cracked).
Geralmente as senhas esto armazenadas criptografadas utilizando um sistema de
criptografia HASH. Dessa maneira os programas utilizam o mesmo algoritmo de
criptografia para comparar as combinaes com as senhas armazenadas. Em outras
palavras, eles adotam a mesma configurao de criptografia das senhas, e ento
criptografam as palavras do dicionrio e comparam com senha.

Sniffing

o processo de captura das informaes da rede por meio de um software de

escuta de rede (sniffer), que capaz de interpretar as informaes transmitidas no meio
fsico. Para isso, a pilha TCP/IP configurada para atuar em modo promscuo, ou seja,
desta forma ir repassar todos os pacotes para as camadas de aplicao, mesmo que
no sejam endereados para a mquina.
 25

6 CONCLUSO

Com o levantamento efetuado atravs de estudo realizado em livros, artigos e

peridicos foi possvel entender a importncia do alinhamento entre Planejamento
Estratgico com o Sistema de Informao. Uma vez que a Segurana da informao
permite que sejam protegidos e preservados dados que asseguram a integridade,
disponibilidade e autenticidade dos dados da empresa. Esses elementos que passaram a
ser pilares essenciais para uma maior desenvoltura do planejamento do caminho a ser
percorrido por uma organizao.
Nesse sentido, esses pilares, tem por objetivo prover um maior suporte ao sistema
informaes, adicionando-lhes capacidades deteco, reao e proteo a toda
companhia. Vale, no entanto, destacar que o uso do sistema de informao feito em
conformidade com as necessidades especficas de cada organizao que estabelecem
cenrios de acordo com o seu negcio. Assim, o uso desses pilares pode ser determinado
pela suscetibilidade das informaes ou sistemas de informaes, alm do nvel de
ameaas ou interferncias que a empresa venha a sofrer.
Portanto, possvel concluir que se torna necessrio dispor de uma estratgia
bastante alinhada de modo a evitar que informaes sejam perdidas, invadidas ou at
mesmo alteradas na consecuo dos propsitos empresariais. Atualmente, numa era
em que a segurana de suma importncia para qualquer organizao o sigilo dos
dados um pr-requisito para todo e qualquer sistema de negcios.
Pode-se concluir que, os diferenciais competitivos da companhia como; maior
integridade e veracidade da informao, otimizao do fluxo de informao, mais
estabilidade e segurana e ganho de produtividade so diferenciais competitivos oriundos
de um planejamento estratgico bem elaborado, com anlise de concorrentes, clientes e
governo permite que a empresa faa parte de um grupo de organizaes que gerenciam
bem o seu planejamento garantindo que suas informaes no sejam fraudadas.
A partir dessa pesquisa possvel sugerir outros temas a serem abordados
futuramente e que teriam uma inter-relao com o estudo efetuado. So eles: Softwares
no autorizados, Uso de controles de Criptografia e Segurana e tratamento de mdias.
 26

7 REFERNCIA BIBLIOGRFICA

ARAJO, Mrcio Tadeu e FERREIRA, Fernando Nicolau Freitas. Poltica de

Segurana da Informao. Rio de Janeiro: Ed. Cincia Moderna. 2008.

BARROS, A. J. S. e LEHFELD, N. A. S. Fundamentos de Metodologia: Um Guia para a

Iniciao Cientfica. 7 Ed. So Paulo: Ed. Makron Books, 2010.

DOMINGOS, Parra F. Apresentao de Trabalhos Cientficos - Monografia - Tcc -

Teses - Dissertaes. So Paulo: Ed. Futura. 2008.

FERREIRA, Aurlio Buarque de. Dicionrio Aurlio. Rio de Janeiro: Ed. Nova
Fronteira. 2010.

FOSCHETE, Mozart. Relaes Econmicas Internacionais. So Paulo: Ed. Aduaneiras.

2009.

GIL, Antnio Carlos. Mtodos e Tcnicas de Pesquisa Social. 7 ed. So Paulo: Atlas.
2009.

GODOY, A. S. Introduo pesquisa qualitativa e suas possibilidades. In: Revista de

Administrao de Empresas. So Paulo: v.35, n.2, p. 57-63, abril 2009.

LUZ, Rodrigo. Relaes Econmicas Internacionais. 3 ed. So Paulo: Ed. Campus-

Elsevier, 2011

MAIA, Jayme. Economia Internacional e Comrcio Exterior. 13 ed. So Paulo: Ed. Atlas,
2014.

MATTAR, Joo. Metodologia Cientfica na Era da Informtica. 3 ed. So Paulo: Ed.

Saraiva. 2009.

OBSTFELD, Krugman. Economia Internacional. So Paulo: Ed. Pearson. 2012.

OLIVEIRA, Djalma de Pinho Rebouas. Planejamento Estratgico, Mtodos e

Conceitos. 26 Ed. So Paulo: Ed. Atlas. 2012.

OLIVEIRA, Silvio Luiz de. Metodologia Cientfica aplicada ao Direito. 3 Ed. So Paulo:
Ed. Thomson. 2012.