FACULDADE JK

LEONARDO VIEIRA GOMES BARBOZA

SEGURANA DA INFORMAO: UM MTODO PARA

CONSCIENTIZAR E DIRIMIR A INAO

BRASLIA-DF
2016
 LEONARDO VIEIRA GOMES BARBOZA

Segurana da Informao: Um mtodo para conscientizar e dirimir a

inao

Trabalho de Concluso de Curso apresentado

ao curso de Ps-Graduao em Infraestrutura e
Gesto de Servios de TI da Faculdade JK,
como requisito parcial para obteno do ttulo
de Especialista em Infraestrutura e Gesto de
Servios de TI.
Orientador: MSc. Csar Augusto Borges de
Andrade.

BRASLIA-DF
2016
 LEONARDO VIEIRA GOMES BARBOZA

Segurana da Informao: Um mtodo para conscientizar e dirimir a

inao

Trabalho de Concluso de Curso apresentado

ao curso de Ps-Graduao em Infraestrutura e
Gesto de Servios de TI da Faculdade JK,
como requisito parcial para obteno do ttulo
de Especialista em Infraestrutura e Gesto de
Servios de TI.

Aprovado em _____/_____/______.
Banca Examinadora

____________________________________________________________________
Presidente: Prof. MSc. Csar Augusto Borges de Andrade - Faculdade JK
(Orientador)

____________________________________________________________________
Membro Titular: Prof. MSc. Rmulo Ferreira dos Santos - Faculdade JK

____________________________________________________________________
Membro Titular: Prof. MSc. Gleyson Azevedo da Silva - Faculdade JK

BRASLIA-DF
2016
 Segurana da Informao: Um mtodo para conscientizar e
dirimir a inao
Leonardo Vieira Gomes Barboza1, Csar Augusto Borges de Andrade1
1
Faculdade JK - Especializao em Gesto de Infraestrutura e Servios de TI
QI 03, Lotes 1 a 4, Avenida Samdu Norte, Taguatinga/DF - CEP: 72.135-030
{leogobar@gmail.com, caborges72}@gmail.com
Abstract. This article presents the information technology path, the need for
information protection, alarming data on information security incidents and
proposes means that aim at reducing neglect and gaining vigilance over
information security contexts. A proposal establishes generalized awareness
through rewards. A methodology ensures safety prevention and involvement in
IT activities, such as in projects and solutions.
Keywords: Information security, rewards and secure developing.
Resumo. Este artigo apresenta o caminho da Tecnologia da Informao, a
necessidade de proteo da informao, alarmantes dados sobre incidentes de
segurana da informao e prope meios que objetivam a reduo do
negligenciamento e ganho de vigilncia sobre os contextos de segurana da
informao. Uma proposta estabelece a conscientizao generalizada por meio
de recompensas. Uma metodologia garante preveno e envolvimento da
segurana nas atividades da TI, como nos projetos e solues.
Palavras-chave: Segurana da informao, recompensas e desenvolvimento
seguro.

1. INTRODUO

As organizaes ao usufrurem de Sistemas de Informao passaram a produzir e

administrar uma grande massa de informaes, com o tempo ocorreram evolues
tecnolgicas no apenas no mbito da capacidade de processamento, mas tambm em
sistemas, cada vez mais velozes e versteis. Tendo como meta muitas vezes vantagem
competitiva, a informao o ativo primrio no tangvel e mais importante de uma
organizao, baseando-se nessas caractersticas e necessidades emergidas por meados de
1970 a Tecnologia da Informao surge para mediar o conhecimento e as informaes
das empresas pblicas ou privadas, ora to sensveis e ora to facilmente acessveis no
mundo globalizado.
A tecnologia forneceu uma atrativa gama de recursos e flexibilidade as estratgias
de negcio, mas tambm por outro lado incidiu-se uma dependncia. Por consequncia
de tamanha importncia que a informao para uma organizao, uma mais do que justa
ateno e dedicao aos contextos de segurana deste ativo teve que se tornar pauta
corriqueira no apenas nos ncleos operacionais quanto estratgicos, pois falhas,
desastres e vazamentos de dados podem levar grandes prejuzos e at falncia de uma
empresa. Atualmente a segurana pode adicionar valor ao negcio e a segurana da
informao passou a ser componente da estratgia do negcio ou servio, podendo se
manifestar em lucro, aumento de competitividade e fator de reduo de perdas
(FREITAS, 2009, p. 8).
Para um melhor gerenciamento e adequao de seus processos de TI uma
organizao pode empregar normas internacionais elaboradas por comits especializados
no assunto. Uma dessas normas intitulada ISO/IEC 27002 amplamente difundida e ser
utilizada na proposta deste artigo. Este tipo de norma tcnica visa garantir que os ativos
da organizao esto razoavelmente seguros e protegidos contra danos, agindo como um
facilitador dos negcios. A segurana da informao alcanada pela implementao de
um conjunto adequado de controles, incluindo polticas, processos, procedimentos,
estrutura organizacional e funes de software e hardware. Um sistema de gesto da
segurana da informao (SGSI) ter como atribuio estabelecer, implementar,
monitorar, analisar, criticamente e melhorar, quando necessrio, estes controles para
assegurar que os objetivos do negcio e a segurana da informao da organizao sejam
atendidos (ABNT 27002, 2013, p. xi).
Conforme previamente exposto, atualmente j se observa a existncia de vasta
documentao, normativos ou at mesmo polticas de segurana da informao inerentes
a cada organizao, muita das vezes conduzindo seus colaboradores a prticas mais
seguras quanto ao tratamento de informaes sensveis intrnsecas as suas atribuies no
meio corporativo. Mas toda esta documentao e prticas por certas vezes encontram
obstculos para ganhar apoio por parte da alta administrao, tambm sofrem de baixo
ndice de comprometimento dos empregados e forte resistncia a mudanas de cultura
que venham a alterar seu processo habitual de trabalho. Por outro lado, as ameaas e
riscos, sempre presentes e mutveis espreitam no aguardo de qualquer brecha
comportamental ou funcional. Tais comportamentos tambm atingem membros do
departamento de TI e especificamente nestas equipes que o procedimento descrito neste
artigo sugere atuao.
Portanto, a proposta deste artigo descrever um mtodo motivacional aos
integrantes do departamento de TI objetivando a constante busca por requisitos de
segurana da informao em suas solues desenvolvidas internamente ou adquiridas de
terceiros.
Conforme alerta a norma complementar 16/IN01/DSIC/GSIPR (2012, p. 2):

Novas formas de ataques foram elaboradas sendo que, atualmente, o

foco concentra-se na explorao de vulnerabilidades de segurana
existentes nos sistemas desenvolvidos ou adquiridos pelos rgos, uma
vez que muitos deles no foram implementados considerando boas
prticas de codificao segura, ou, que no foram objeto de um processo
de desenvolvimento suportado por testes que validem os controles
aplicados.
2. CONCEITOS BSICOS

Para que o entendimento de todos os procedimentos, metodologias e tcnicas que sero

descritos neste artigo, esta seo foi destinada a apresentar breves conceitos.
TECNOLOGIA DA INFORMAO - O conjunto de todas as atividades e
solues providas por recursos de computao que visam a produo, o armazenamento,
a transmisso, o acesso, a segurana e o uso das informaes.
SEGURANA DA INFORMAO A segurana da informao garante a
confidencialidade, disponibilidade e integridade da informao. A segurana da
informao envolve a aplicao e o gerenciamento de controles apropriados que
envolvem a considerao de uma ampla gama de ameaas, com o objetivo de assegurar o
sucesso e continuidade de negcios sustentados e minimizar as consequncias de
incidentes de segurana da informao. A segurana da informao conseguida atravs
da implementao de um conjunto de controles aplicveis, selecionados pelo processo de
gerenciamento de riscos escolhido e gerenciados usando um SGSI, incluindo polticas,
processos, procedimentos, estruturas organizacionais, software e hardware para proteger
os ativos de informao identificados. Esses controles precisam ser especificados,
implementados, monitorados, revistos e aprimorados quando necessrio, para garantir
que os objetivos especficos de segurana da informao e de negcios da organizao
sejam atendidos. Espera-se que controles de segurana de informaes relevantes sejam
integrados perfeitamente com os processos de negcios de uma organizao.
CONFIDENCIALIDADE Propriedade de que a informao no esteja
disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e
credenciado;
INTEGRIDADE Propriedade de que a informao esteja acessvel e utilizvel
sob demanda por uma pessoa fsica ou determinado sistema, rgo ou entidade;
DISPONIBILIDADE Propriedade de que a informao esteja acessvel e
utilizvel sob demanda por uma pessoa fsica ou determinado sistema, rgo ou entidade;
AUTENTICIDADE Propriedade de que a informao foi produzida, modificada
ou descartada por uma determinada pessoa fsica, rgo, entidade ou sistema;
NORMA NBR ISO/IEC 27002:2013 Esta norma fornece diretrizes para prticas
de gesto de segurana da informao e normas de segurana da informao para as
organizaes, incluindo a seleo, a implementao e o gerenciamento de controles,
levando em considerao os ambientes de risco da segurana da informao da
organizao.
POLTICA DE SEGURANA DA INFORMAO - Possibilita o
gerenciamento da segurana em uma organizao, estabelecendo regras e padres para
proteo da informao.
NORMA NBR ISO/IEC 27005:2011 Esta norma fornece diretrizes para o
processo de gesto de riscos de segurana da informao.
REQUISITOS DE SEGURANA - Conjunto de obrigaes de segurana que o
software deve atender, sendo tais necessidades influenciadas fortemente pela poltica de
segurana da organizao, compreendendo aspectos funcionais e no funcionais
(16/IN01/DSIC/GSIPR, 2012, p. 4).
 VULNERABILIDADE - Conjunto de fatores internos ou causa potencial de um
incidente indesejado, que podem resultar em risco para um sistema ou organizao, os
quais podem ser evitados por uma ao interna de segurana da informao.

3. ESTIMULANDO A COLABORAO

Todas as ideias sugeridas neste artigo tiveram forte alicerce em diretrizes e

recomendaes existentes na norma ABNT NBR ISO/IEC 27002 publicada em 2013.
Este artigo aconselha um mtodo disciplinar primeiramente focado em incentivos
e recompensas positivas para aqueles indivduos que demonstrarem um comportamento
mais condizente com as polticas de segurana da informao vigentes em sua
organizao.
Conforme orienta ISO/IEC 27002 (2013, p. 15) O processo disciplinar pode
tambm torna-se uma motivao ou um incentivo, se recompensas positivas forem
definidas por comportamento destacvel no que se refere segurana da informao.
Mesmo com as mais atuais e caras solues do mercado para proteger as
informaes ou mitigar riscos, o empregado, servidor ou prestador de servio o principal
elo de interao com as informaes de uma organizao. Por tal importncia diversas
pesquisas j apontam o trabalhador como principal responsvel por vazamento de dados
confidenciais de uma organizao.
Uma destas pesquisas coordenada pela PwC informa que no Brasil 41% de 600
empresas indicaram os funcionrios ativos como maiores causadores de incidentes de
segurana da informao, no necessariamente causados intencionalmente pelos
empregados. Aliado a estes dados, considerar-se- a quadruplicao de incidentes
cibernticos no Brasil desde 2014, exposto na Figura 1.

Figura 1 - Nmero mdio de incidentes de segurana nos ltimos 12 meses.

Fonte: PWC (2016)

A pesquisa PwC - Pesquisa Global de Segurana da Informao 2016 (2016, p. 7) sobre

segurana da informao comandada pela PricewaterhouseCoopers em 127 pases
aponta:
 Em 2015, os entrevistados detectaram 38% mais incidentes de
segurana da informao. 274% foi o crescimento da mdia dos
incidentes detectados no Brasil. Pequenas organizaes relataram um
aumento dramtico nos incidentes, enquanto o nmero de
comprometimentos detectados entre grandes empresas cresceu em
ritmo mais lento.
Aliado a estes dados prope-se um tratamento mais dinmico dos assuntos de
segurana da informao em uma organizao em favorecimento da reduo da
negligencia imposta sobre as polticas de segurana da informao por todos os
colaboradores no excluindo inclusive os integrantes dos departamentos da TI. Esta
abordagem visa motivar os envolvidos a galgar constantemente maiores melhorias em
suas solues ou projetos.

3.1. DOS INCENTIVOS E RECOMPENSAS

Aos colaboradores que no estejam lotados no setor de Tecnologia da Informao ou no

possuam qualquer atribuio de administrao, manuteno ou gesto do ambiente
tecnolgico os ser disposto pgina web para rpida retro informao sobre possveis
infraes de segurana da informao ou qualquer outra anormalidade encontrada em
solues de desenvolvimento interno, terceirizado ou adquirido, podendo serem
informadas anonimamente ou no. Paralelamente a estas aes competir um constante
policiamento do empregado quanto as demais condutas organizadas em normativo de
segurana da informao da organizao.
Esta metodologia foi elaborada por referncia a uma diretriz contida no controle
intitulado de Responsabilidade da Direo que possui a seguinte escrita tenham
disponvel um canal de notificao, de forma annima, para reportar violaes nas
polticas e procedimentos de segurana da informao (ABNT 27002, 2013, p. 13).
de suma importncia que seja mnima ou nula a entrega de solues contendo
falhas, graves vulnerabilidades ou brechas de segurana aos seus usurios ou qualquer
outra caracterstica que demonstre baixa qualidade, porem o usurio final ter a sua
disposio um ambiente de retro informao para expor vulnerabilidades que tenham
escapado aos olhos dos analistas de qualidade da TI.
Este relato cadastrado pelo usurio dever ser apurado por profissionais
capacitados objetivando uma reproduo da falha informada e em caso do que tenha sido
alertado seja legtimo, ou seja, a falha, erro ou vulnerabilidade esteja presente incorrero
as seguintes categorizaes e propostas de recompensas ao informante balizando-se
sempre na severidade do que foi alertado:
Classificao: Severidade Alta.
Risco de perda financeira e interrupo de atividades do negcio.
Recompensa proposta:
Este funcionrio assim como seus colegas de equipe devero receber
acrscimo de 4% sobre sua remunerao bruta.
Classificao: Severidade Mdia.
 Risco de dano a reputao e ou reduo do desempenho do negcio.
Recompensa proposta:
Este funcionrio assim como seus colegas de equipe devero receber
acrscimo de 3% sobre sua remunerao bruta.
Classificao: Severidade Baixa.
Risco de escalao de direitos no autorizada.
Recompensa proposta:
Este funcionrio assim como seus colegas de equipe devero receber
acrscimo de 2% sobre sua remunerao bruta.

Todas as recompensas so tratadas apenas como propostas, tendo em vista que a

TI no dispe de autoridade para execuo das mesmas. Portando, caber ao setor de
recursos humanos em conjunto com o setor de lotao do funcionrio acatar com a
sugesto.
Este recurso foi esquematizado conforme convenincia proposta a todos os
funcionrios e partes interessadas sejam motivados para cumprir com as polticas de
segurana da informao da organizao (ABNT 27002, 2013, p. 13).

3.2. A PREVENO SURGE PELOS REQUISITOS

J aos funcionrios pertencentes a departamentos de TI, sendo eles membros com

atribuies de Governana, Desenvolvimento, Infraestrutura ou Projetos, alm da mesma
ateno a condutas publicadas em polticas da organizao, estes sero dirigidos a buscar
que suas solues e projetos atendam e evoluam nas trs categorias previamente
determinadas. A nomenclatura foi baseada em deuses da mitologia grega, sendo eles,
Hades, Hefesto e Hera.
Categoria Hades, em referncia a mitologia grega ilustrado pela Figura 2, o
governante do subterrneo. O bsico para qualquer soluo de TI contemplando ainda
baixos requisitos de segurana. Cor: Vermelha.

Figura 2 Hades Responsvel pelo mundo inferior.

Fonte: MUNDOESTRANHO (2008).
 A soluo atende o bsico determinado por normas ou melhores prticas de
segurana da informao de acordo com a tecnologia, metodologias de desenvolvimento
ou linguagem empregada.
Sendo indispensvel que a soluo atenda a quantidade determinada abaixo de
diretrizes da norma ISO/IEC 27002:2013:
As diretrizes obrigatrias:
a) No mostre a senha que est sendo informada;
b) No transmita senhas em texto claro pela rede;
c) Obrigue os usurios a mudarem as suas senhas temporrias no primeiro acesso
ao sistema;
d) No mostre as senhas na tela quando forem digitadas;
As diretrizes prefereis:
Duas diretrizes do controle 9.4.1 Restrio de acesso informao;
o Preferencialmente, fornecer menus para controlar o acesso s funes
dos sistemas de aplicao e controlar os direitos de acesso dos
usurios, por exemplo, ler; escrever; excluir; e executar.
Quatro diretrizes do controle 14.1.3 Protegendo as transaes nos aplicativos
de servios;
o Preferencialmente, o uso de assinaturas eletrnicas para cada uma das
partes envolvidas na transao, o caminho de comunicao entre todas
as partes envolvidas criptografado, protocolos usados para
comunicaes entre todas as partes envolvidas so seguros e todos os
aspectos da transao, ou seja, garantindo, informao de autenticao
secreta de usurio sejam vlidas e verificadas para todas as partes, a
transao permanea confidencial e a privacidade de todas as partes
envolvidas criptografado.

Categoria Hefesto, apresentado pela Figura 3, o deus da forja, do fogo, das

armaduras, onde aps muito trabalho, se obtm uma posio mediana de segurana, as
solues j devero atribuir a segurana como pauta no ciclo de vida. Cor: Laranja.

Figura 3 Hefesto - Deus grego do fogo e da forja.

Fonte: MUNDOESTRANHO (2008).
 A soluo j atende as diretrizes impostas a categoria Hades, porem, para elevar
sua categoria dever tambm contemplar as seguintes diretrizes:
Duas diretrizes do controle 14.2.1 Poltica de desenvolvimento seguro;
o Preferencialmente, orientaes sobre a segurana no ciclo de vida do
desenvolvimento do software e requisitos de segurana na fase do
projeto.

Categoria Hera, ilustrada pela Figura 4, representa a unio, o casamento. Onde

atinge-se o pice, considerveis diretrizes e melhores prticas foram embarcadas na
concepo de uma soluo consistente com os contextos de segurana da informao.
Cor: Verde.

Figura 4 Hera - Deusa do matrimnio.

Fonte: MUNDOESTRANHO (2008).
Para ingresso nesta categoria sero indispensveis todo o conjunto de diretrizes
das categorias anteriores mais as seguintes:
Uma diretriz do controle 9.4.5 Controle de acesso ao cdigo-fonte de
programas;
o Preferencialmente, convm que seja mantido um registro de auditoria
de todos os acessos a cdigo-fonte de programas.
Duas diretrizes do controle 14.2.6 Ambiente seguro para desenvolvimento;
o Preferencialmente, controle de acesso ao ambiente de
desenvolvimento e monitoramento de mudanas ao ambiente e do
cdigo armazenado no ambiente.
Trs diretrizes do controle 14.2.7 Desenvolvimento terceirizado;
o Preferencialmente, requisitos contratuais para um projeto seguro,
prticas de cdigo e teste, teste de aceitao relativos qualidade e
exatido dos itens entregues e fornecimento de evidencia de que os
princpios de segurana foram usados para estabelecer um nvel
mnimo de segurana aceitvel e a qualidade da privacidade.
A infraestrutura devera prover meios de aplicao dos conceitos de
desenvolvimento seguro. Consentindo a separao dos ambientes de testes e
homologao, assim como a descaracterizao de dados de produo para os ambientes
de teste.
3.3. DAS VIOLAES

As transgresses das polticas implantadas tero consequncias disciplinares ao

empregado conforme gravidade e impacto no negcio, incumbindo atuaes mais
drsticas em caso de reincidncia de delito.
Conforme averiguao prvia e evidenciado violao de segurana da informao
no intencional, identificando-se como um primrio delito deste indivduo, priorizar-se-
um processo de treinamento pontual a este infrator.

4. VULNERABILIDADES A SE MITIGAR

Todo o esforo e comprometimento dos colaboradores resultar em proteo ao negcio

atravs da mitigao de inmeras vulnerabilidades. Nesta seo apenas algumas sero
apresentadas, tendo como referncia as vulnerabilidades eliminveis por prticas no
processo de desenvolvimento de software, criticadas por analistas de segurana da
informao assim como engenheiros de software.
O aumento do uso de software e aplicaes baseadas na web atravs da Internet
aumentou a exposio a vrios tipos de ataques. Assim, proteg-los efetivamente deve ser
o foco de todos os designers e desenvolvedores de tais sistemas. As pessoas podem
acreditar em "Se algo tem de dar errado, vai dar errado." Pode ser assim. Mas porque algo
pode dar errado - no agir sobre os possveis problemas semelhante a um rei convidando
um inimigo com um tapete vermelho, mesmo sem lutar a batalha, que s pode custar caro
ao rei. No entanto, se olharmos para a histria e os dados da histria, muito claro que
estamos muito atrs na corrida contra-ataques a aplicaes de software e aplicaes web
(RAO; NAYAK, 2014, p. 115).
Rao e Nayak (2014, p. 120) ressaltam que, um tempo efetivo deve ser empregue
durante as fases iniciais do ciclo de vida de desenvolvimento de software: coleta de
requisitos e anlise e arquitetura e design para entender completamente as expectativas
ou requisitos da aplicao. Estes tambm devem se concentrar em requisitos no
funcionais como tempo de processamento, tempo de resposta, requisitos de integridade,
requisitos de disponibilidade, requisitos de escalabilidade, requisitos de flexibilidade,
requisitos de usabilidade, requisitos de confiabilidade e requisitos de segurana. A
integridade dos dados e a segurana dos dados so muito cruciais para serem consideradas
em cada fase do ciclo de vida de projeto e desenvolvimento. Deve ser prevista uma
considerao suficiente para todos os requisitos funcionais e no funcionais aplicveis na
fase de concepo, de acordo com uma reflexo adequada. Em cada fase, um forte
enfoque na avaliao de risco deve ser fornecido para que apresente o que pode dar errado.
Com base nos resultados da avaliao de riscos, as medidas necessrias de
mitigao do risco ou de controle do risco tm de ser integradas nas solicitaes ou nos
procedimentos que regem essas aplicaes, tais como a segregao de funes entre os
trabalhadores e averiguaes mltiplas.
As linguagens de programao e o prprio cdigo podem trazer problemas de
segurana. Esto surgindo normas de codificao segura. Arquitetos de aplicativos,
designers e desenvolvedores esto aprendendo atravs de dificuldades que encontraram,
brechas tecnolgicas ou deficincias que observaram, ou aqueles que foram relatados na
mdia, e assim por diante. Deficincias dos instrumentos de terceiros utilizados, as
deficincias das plataformas subjacentes, incluindo as do sistema operacional, e os
sistemas de banco de dados devem ser considerados.
Ainda segundo Rao e Nayak (2014, p.120), os procedimentos de testes devem ser
fortes em vrias fases de desenvolvimento, desde Testes de Unidade at Testes de Sistema
para Testes Integrados devem ser garantidos. Quando as alteraes so realizadas para os
produtos existentes, Testes de regresso deve ser assegurado. Esses testes se
complementam e tm de ser feitos sem falhas. Os casos de teste e os dados de teste
correspondentes tm de ser bem pensados e includos como parte do Desenho do Caso de
Teste. Da mesma forma, o teste no deve se concentrar apenas no que esperado para ser
feito pela aplicao, mas tambm o que no se deve fazer.
A fim de assegurar que as aplicaes so eficazes, isto , elas fazem apenas o que
se espera e no fazem o que no se espera delas, h que pensar cuidadosamente e
adequadamente durante cada fase do ciclo de vida do Design e Desenvolvimento de
Aplicaes. Esta pr-atividade tende a gerar aplicaes eficazes, fortes e robustas que so
capazes de proteger seus interesses e funes.

4.1 DAS VULNERABILIDADES

Segundo McConnell (2012), citado por Conrad, Misenar, Feldman, Simon (2016, p. 462)
A experincia sugere que existem entre 15 a 50 erros em 1000 linhas de cdigo.
BUFFER OVERFLOW - O Buffer Overflow pode ocorrer quando um programador
falha ao implementar uma checagem de limitao de varivel (CONRAD et al, 2016).
Um ataque de buffer overflow executado ao inserir mais dados do que a
aplicao esteja esperando de uma entrada particular, por exemplo, ao inserir 1000
caracteres em um campo que espera apenas 10. Dependendo de como a aplicao tenha
sido escrita, poderemos encontrar os 900 caracteres extras escritos em algum lugar na
memria, talvez em locais de memria utilizados por outras aplicaes ou at pelo sistema
operacional. Isto as vezes permite a execuo de comandos embarcados neste excesso de
dados (ANDRESS, 2011, p. 139).
CONDIES DE CORRIDA Ocorrem quando mltiplos processos
compartilham um recurso particular e a correta manipulao deste recurso depende de
ordenao adequada ou oportunidade de transao (ANDRESS, 2011, p. 149).
ESCALAO DE PRIVILGIOS uma categoria de ataque que faz uso de
qualquer nmero de mtodos para obter o nvel de acesso acima do que realmente foi lhe
concedido e autorizado a ter. um ataque dirigido a ganhar acesso administrativo ao
sistema em decorrncia de executar outros ataques sem preocupar em ter os privilgios
requeridos (ANDRESS, 2011, p. 158.).
CREDENCIAIS GRAVADAS EM CDIGO - Backdoors so trilhas em um
sistema que permitem que um usurio ignore verificaes de segurana (como
autenticao de nome de usurio ou senha) para fazer o login. Os atacantes geralmente
instalam um backdoor aps comprometer um sistema. Por exemplo, um invasor obtm
acesso ao shell1 a um sistema explorando uma vulnerabilidade causada por um patch
ausente. O atacante quer manter o acesso (mesmo se o sistema corrigido), ento ela
instala um backdoor para permitir o acesso futuro.
ATAQUES CRIPTOGRFICOS Estar aberto ao fracasso aqueles que no
prestam ateno o suficiente para projetar seus mecanismos de segurana enquanto
implementam controles criptogrficos em suas aplicaes. Criptografia fcil de
implementar mal, e isso pode nos dar uma falsa sensao de segurana. Uma das grandes
surpresas na implementao da criptografia ceder tentao de desenvolver um
esquema criptogrfico de nossa prpria concepo. Os principais algoritmos
criptogrficos em uso hoje, como Advanced Encryption Standard (AES) e RSA, foram
desenvolvidos e testados por milhares de pessoas que so muito hbeis e ganham a vida
desenvolvendo tais ferramentas. Alm disso, tais algoritmos so de uso geral porque eles
tm sido capazes de suportar o teste do tempo sem compromisso srio. Embora seja
possvel que nosso algoritmo caseiro possa ter algo a oferecer, o software que armazena
ou processa qualquer tipo de dados confidenciais provavelmente no um bom lugar para
test-lo. Alm de usar algoritmos conhecidos, tambm devemos planejar os mecanismos
que selecionamos para tornarem-se obsoletos ou comprometidos no futuro. Isso significa
que, no nosso design de software, devemos permitir o uso de diferentes algoritmos, ou
pelo menos projetar nossas aplicaes de tal forma que mud-las no uma tarefa
herclea. Tambm devemos planejar a alterao das chaves de criptografia que o software
usa, caso nossas chaves se quebrem ou se tornem expostas (ANDRESS, 2011, p.152).

4.2 ORIENTAES DE DESENVOLVIMENTO SEGURO

Um aplicativo de software to bom quanto o que ele faz. No deve fazer mais do que o
que se espera que ele faa. Ao mesmo tempo, no deve deixar de realizar o que se espera
que ele faa.
A programao de computadores data da madrugada dos computadores
eletrnicos, no final da dcada de 1940. Os programadores usaram primeiro cdigo de
mquina ou montagem; A primeira linguagem de programao de alto nvel foi Fortran,
que estreou em 1954. Os programadores de computador original muitas vezes trabalham
sozinhos, criando programas inteiros como um esforo solo. Nesse caso, as metodologias
de gerenciamento de projetos eram simples ou desnecessrias: o programador s vezes
poderia conceituar todo o projeto em memria (humana) e simplesmente escrever o
cdigo. Como o software cresceu em complexidade, a programao de software tem se
tornado cada vez mais um esforo de equipe. Projetos baseados em equipe exigem
gerenciamento de projetos: fornecendo uma estrutura de projeto com resultados e marcos,
dividindo tarefas, comunicao de equipe, avaliao de progresso e relatrios e um
produto final entregue. Em ltima anlise, grandes projetos de desenvolvimento de
aplicativos podem se assemelhar a projetos.
Que no tm nada a ver com o software, como fazer edifcios ou construir pontes.
Mtodos de desenvolvimento de aplicativos, como os Modelos Cachoeira e Espiral,
geralmente so primos prximos de modelos que no so de programao. Esses mtodos

1
Programa que opera entre o usurio e o sistema operacional, normalmente para tornar o sistema
operacional mais amigvel ou mais fcil de usar.
podem ser considerados como mtodos de gerenciamento de projetos, com recursos
adicionais para suportar a criao de cdigo.
Aos times de desenvolvimento e design de software novas etapas podem ser
inseridas ao ciclo de vida de desenvolvimento conforme Rao e Nayak (2014, p. 121)
sugerem:
Compreender os Requisitos de Segurana do aplicativo (funcionalidade e dados
relacionados) e document-los como parte do Documento de Especificaes de
Requisitos;
Certifique-se de que os requisitos de segurana so considerados durante a
arquitetura e design;
Seguir padres de codificao segura;
Validar todas as entradas, incluindo as verificaes de limites, verificar os valores
permitidos e o formato;
Garantir mecanismos de login fortes (incluindo a necessidade de senhas fortes);
Garantir a transmisso criptografada de dados (onde a confidencialidade dos
dados deve ser mantida e a integridade de primordial importncia) - como no
caso de aplicaes bancrias, software mdico envolvendo sade e segurana do
paciente, aviao, segurana nuclear, sistemas militares e armamento, Sistemas
de satlites e outros domnios ou sistemas crticos;
Garantir a alterao obrigatria peridica de senhas;
Privilgios ou direitos de acesso apropriados a vrios processos das aplicaes e
vrios papis - trabalho sobre o princpio de privilgio mnimo;
Manipulao adequada de erros (incluindo mensagens de erro personalizadas que
no fornecem informaes desnecessrias);
Mecanismos de manipulao de exceo apropriados incorporados na aplicao;
Configurao apropriada - Todos os ajustes devem ser adequadamente feitos;
Uso de algoritmos vetados;
Controle de cheques para garantir processamento completo e preciso de
processamento crtico;
Eliminar todas as funes e rotinas indesejadas ou no utilizadas;
Certifique-se de que os mecanismos de log-out so eficientes;
Usar protocolos seguros;
Garantir mecanismos adequados de registro e auditoria;
Possurem forte gerenciamento de configurao durante o desenvolvimento;
Ter processos de testes fortes;
Tem um forte controle sobre as verses de software;
4.3 ORIENTAES AOS ADMINISTRADORES DA INFRAESTRUTURA

Os experientes Rao e Nayak (2014, p. 128) citam tambm formas de reduzir

vulnerabilidades presentes nos ambientes que so responsveis pela disponibilizao das
aplicaes web. Muitas dessas precaues so consideradas simples e devem se tornar
integrantes dos processos daqueles que venham a administrar os servidores web.
Abaixo listam-se estas precaues:
Alterar e Desativar contas padres, Configuraes Padres e Configurar o
servidor web apropriadamente;
Desabilite o uso de tipos de arquivos maliciosos que no sejam requisitos do
aplicativo Web;
Aplique correes de segurana regularmente o servidor da Web;
Arquivos de exemplo e scripts desnecessrios e indesejados a serem removidos;
Aplique correes ao sistema operacional;
Configurar adequadamente as permisses de arquivo e diretrio - Usar o mtodo
de privilgio mnimo;
Configure privilgios como somente o necessrio;
Avaliar privilgios antes de fornec-los;
Aplicar o mnimo de privilgios at mesmo para o banco de dados e para os
processos;
Analisar o impacto das mudanas de uma perspectiva de segurana e realiz-las
apropriadamente;
No saltar e executar as alteraes sem anlise de impacto;
Assegure senhas fortes para as contas de usurio e para as contas de administrador;
Implementar a alterao obrigatria peridica de senha;
Assegure-se de que somente as portas baseadas em necessidades estejam abertas
e somente os servios necessrios ativos;
Desativar servios como FTP, SMTP e assim por diante se no for necessrio;
Criptografe o trfego conforme necessrio;
Assegure-se de que os arquivos de dados sejam mantidos fora do servidor Web;
Monitorar os logs regularmente;
Excluir compartilhamentos de arquivos desnecessrios;
Desabilitar rastreamento e depurao;
Verificar a validade dos Certificados;
Tanto quanto possvel, use uma mquina dedicada para o servidor web, outros
servidores como o banco de dados;
Os servios devem ser instalados em servidores fsicos separados;
Nenhum logon local na mquina do Servidor da Web deve ser permitido;
Validao de ID de sesso do lado do servidor;
Analise o servidor Web periodicamente atravs de Scanners de vulnerabilidade
para identificar e corrigir as vulnerabilidades;
Realizar verificao e validao de limites nas entradas.
4.4 FONTES DE CONHECIMENTO

Existem comunidades, fruns e institutos que j disponibilizam na internet boas prticas,

conhecimentos adquiridos, fraquezas existentes em algumas linguagens de programao
e principalmente como evita-las. Estas pginas servem para que muitos educadores,
desenvolvedores ou interessados em segurana da informao conheam essas
vulnerabilidades assim como tambm podero relatar algum comportamento em sua
aplicao tendo em vista alertar a comunidade.
A primeira base de informaes que ser apresentada a Common Weakness
Enumeration, conhecida como CWE, que representa uma enumerao comum de
fraquezas. Esta base uma iniciativa da comunidade em listar fraquezas de softwares em
diferentes linguagens, contendo at o momento 719 fraquezas documentas, conforme
Figura 5. Tem como objetivo dispor de descries e definies de forma completa e
sucinta. A CWE tambm oferece orientaes e meios de mitigao em diferentes fases
do projeto.

Figura 5 Dados da pgina CWE em dezembro de 2016.

Fonte: CWE (2016).

A segunda organizao com proposta similar de aprimorar a segurana em

sistemas a Open Web Application Security Project, identificada por OWASP, esta
comunidade j tem um foco mais internacional e prov mais atividades para produes
de discusses, criaes de projetos e artigos sobre o tema. Sua pgina tem como uma de
suas aes informar em uma lista anual, os 10 riscos mais crticos em segurana de
aplicaes web e tambm em dispositivos mveis conforme ilustra-se na Figura 6. Entre
suas publicaes constam orientaes para coleta de requisitos e arquitetura de aplicaes
visando segurana desde o princpio do ciclo de vida.
 Figura 6 Lista das 10 vulnerabilidades em mobile mais crticas de 2014.
Fonte: OWASP (2016)

A terceira e ltima fonte de conhecimento para desenvolvimento seguro

hospedada pela Universidade de Carnegie Mellon. Possui uma vasta e rica pgina com
padres de desenvolvimento para as mais diferentes linguagens. O Software Engineering
Institute - SEI produziu estes padres baseados em mais de 1700 contribuintes e atravs
de longas pesquisas. Designers e desenvolvedores podem aplicar seus padres de
codificao durante o desenvolvimento do software para criar sistemas seguros assim
encoraja a diviso CERT (2016) em sua pgina na internet. A Figura 7 expe um trecho
de apresentao, onde afirma que as vulnerabilidades dos softwares so to ubquas
quanto os prprios softwares que atualmente so essenciais na vida pessoal e profissional.
Entre suas publicaes existem: livros, cursos, bases de vulnerabilidades, seminrios
virtuais, metodologia, vdeos e apresentaes.

Figura 7 Trecho de apresentao do Instituto de Engenharia de Software.

Fonte: SEI (2016)
5. CONCLUSO

Conclui-se com este artigo que mesmo com as organizaes que possuam uma concreta
poltica de segurana da informao implementada a anos, o empregado, a pessoa humana
o grande pilar de interao com as informaes em uma organizao e por consequncia,
tornando-a sempre vencedora nas pesquisas anuais sobre incidentes de segurana da
informao.
Tendo este fato como norte evidente que muitas vezes apenas a presena da
poltica no tem abrangncia no cotidiano dos colaboradores. Surgindo a necessidade um
meio para dinamizar o ambiente garantindo uma conscientizao como consequncia.
A segurana da informao uma preocupao diria para organizaes de
qualquer dimenso, particularmente aquelas que lidam com qualquer tipo de informao
pessoal, dados financeiros, dados de sade, dados educacionais ou outros tipos de dados
que so regulados pelas leis do pas que operam. No caso de uma organizao que no
perde tempo para se colocar corretamente em uma boa base relacionada segurana da
informao, as repercusses podem ser graves no sentido de impacto reputacional,
multas, aes judiciais, ou at mesmo a incapacidade de continuar a conduzir negcios se
dados crticos forem irremediavelmente perdidos. Em suma, a segurana da informao
um componente-chave do mundo empresarial moderno.
Conforme levantado, so inmeras as vulnerabilidades j documentadas, algumas
sanveis por comportamentos ao se desenvolver o aplicativo e outras por simples
processos de administrao que reduzem consideravelmente os riscos. Porm, existem e
continuaro a existir diversas vulnerabilidades, brechas, falhas ou erros em linguagens,
em protocolos ou sistemas operacionais cabendo aos envolvidos a busca constante por
conhecimento e conservao do que se encontra produzido.
Pelo proposto como recompensa, equipes de diversos setores da organizao tero
maior observncia quanto a falhas nos sistemas.
Portanto, a TI mais do que nunca no poder se permitir a disponibilizao em
produo de solues contendo a mais mnima brecha de segurana.
Referncias

ANDRESS, Jason. The basics of information security: understanding the fundamentals

of InfoSec in theory and practice. Waltham: ELSEVIER, 2011. p. 190.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002:2013:
Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para controles de
segurana da informao. Rio de Janeiro: ABNT, 2013.
COMMON WEAKNESS ENUMERATION - CWE. Top 25 Most Dangerous Software
Error. Bel Air, MD: MITRE, 2016. Disponvel em:
<http://cwe.mitre.org/data/slices/2000.html>. Acesso em: 04 dez. 2016.
CONRAD, Eric; MISENAR, Seth; FELDMAN, Joshua. CISSP Study Guide. 3. Ed.
Waltham: ELSEVIER, 2016. p. 598.
DEPARTAMENTO DE SEGURANA DA INFORMAO E COMUNICAES.
16/IN01/DSIC/GSIPR: Diretrizes Para Desenvolvimento e Obteno De Software
Seguro Nos rgos E Entidades Da Administrao Pblica Federal. Braslia: Gabinete
de Segurana Institucional, 2012.
FREITAS, E. A. M. Gesto de Riscos Aplicada a Sistemas de Informao: Segurana
Estratgica da Informao. 2009. 72 f. Trabalho de Concluso de Curso (Ps-Graduao
Lato Sensu em Gesto Estratgica e Qualidade) - Universidade Cndido Mendes,
Braslia, 2009. [Orientador: Prof. Koffi Djima Amouzou]. Disponvel em:
<http://bd.camara.gov.br/bd/bitstream/handle/bdcamara/3564/gestao_riscos_freitas.pdf>
. Acesso em: 30 out. 2016.
MUNDO ESTRANHO. Quais so os principais deuses gregos?. So Paulo, SP: Abril,
2016. Disponvel em: <http://mundoestranho.abril.com.br/cultura/quais-sao-os-
principais-deuses-gregos/>. Acesso em: 04 dez. 2016.
OPEN WEB APPLICATION SECURITY PROJECT OSWAP. Top 10 Mobile Risks
- Final List 2014. McLean, VA: OWASP Foundation, 2016. Disponvel em:
<https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project>. Acesso em:
05 dez. 2016.
PRICEWATERHOUSECOOPERS - PWC. Pesquisa Global de Segurana da
Informao. So Paulo, SP: PwC Brasil, 2016. Disponvel em:
<http://www.amchamrio.com.br/srcreleases/ap_lnc_pes_gb_de_seg_da_inf_2016_pwc_
edgar_d_andrea_e_rodrigo_milo.pdf>. Acesso em: 05 dez. 2016.
RAO, Umesh Hodeghatta; NAYAK, Umesha. The InfoSec Handbook. Nova Iorque:
Apress Media, 2014. p. 376.
SOFTWARE ENGINEERING INSTITUTE - SEI. From Secure Coding to Secure
Software. Pittsburgh, PA: Universidade de Carnegie Mellon, 2016. Disponvel em:
<http://resources.sei.cmu.edu/asset_files/Webinar/2016_018_101_483656.pdf>. Acesso
em: 05 dez. 2016.