1

SEGURANA DA INFORMAO
Adrielle Fernanda Silva do Esprito Santo
Departamento de Cincia da Computao - Instituto Cuiabano de Educao (ICE)
Caixa Postal 78.065-130 Cuiab MT Brasil
adrielle.espiritosanto@gmail.com
Abstract.With the increasing number of information technology and the rapid
spread of it also increased the crimes related to it and it became necessary to
keep the information free of business risks and hazards that might damage it,
so research on this subject is to seek more knowledge and get to understand
the importance of implementing information security in enterprises. So the
problem is, why bother with the data security of your company? To solve this
problem we resort to consultation of bibliographical references, which we seek
through analysis, ideas, suggestions and arguments that help us in this
reflection.
Resumo. Com o crescente aumento das tecnologias de informao e com a
rpida disseminao dela, cresceu tambm os crimes relacionados a ela e
surgiu a necessidade de manter as informaes das empresas livre de riscos e
perigos que possam danific-la; portanto pesquisar sobre este assunto buscar
maior conhecimento e assim conseguir entender a importncia de implantar a
segurana da informao nas empresas. Portanto o problema , por que se
preocupar com a segurana dos dados da sua empresa? Para resolver este
problema recorremos a consulta de referncias bibliogrficas, onde por meio
de anlise buscamos, idias, sugestes e argumentos que nos ajudem nesta
reflexo.

Segurana da informao
Atualmente a informao arma estratgica em qualquer empresa e tambm um recurso de
vital importncia nas organizaes. A segurana da informao um recurso que tem por
finalidade proteger e tambm uma forma de gesto. "A segurana da informao de uma
empresa garante, em muitos casos, a continuidade de negcio, incrementa a estabilidade e
permite que as pessoas e os bens estejam seguros de ameaas e perigos." [BLUEPHOENIX,
2008].

A informao est em toda a parte e pode ser armazenada em papis impressos,

eletronicamente em ficheiros e banco de dados, em imagens ou vdeos e at em conversas
entre os funcionrios. Porm s reconhecida a importncia da informao quando
destruda, perdida ou at roubada. "O custo de se proteger contra uma ameaa deve ser menor
que o custo da recuperao se a ameaa o atingir" [DAVIS, 1997 APUD BLUEPHOENIX,
2008]. Custo nesta citao significa apurar o valor das perdas tanto em dinheiro quanto na
reputao da organizao, na confiana e em outros valores que a organizao mantm como
princpio de sua misso como empresa.
Para se implantar um projeto de segurana da informao em uma organizao
preciso primeiramente estabelecer as diretrizes, mecanismos de segurana, polticas e
procedimentos, ferramentas de proteo e autenticao, e a sua relao custo beneficio.
Estabelecer o nvel de segurana fundamental. Este nvel de segurana deve garantir que
cada funcionrio s poder acessar o contedo que lhe permitido; por exemplo um
contador ele deve ter acesso apenas ao contedo de informao que faz parte do seu trabalho e
no poder acessar um dado que for de outro departamento que no tenha nenhuma relao
com as funes na qual ele desempenha. O que este exemplo demonstra que a informao
tem que estar segura e disponvel apenas a quem esteja autorizado. "Em termos
organizacionais, a informao tem um papel vital no que diz respeito gesto, organizao e
subsistncia das entidades. O valor que a informao representa no mensurvel e a sua
perda

pode

resultar

em

paragens,

produtividade,

desorganizao

instabilidade."[BLUEPHOENIX, 2008].
Para a montagem desta poltica, deve-se levar em conta:

Riscos associados falta de segurana;

Benefcios;

Custos de implementao dos mecanismos.

Os riscos associados falta de segurana o que pode ser perdido por exemplo

com um bug em seu banco de dados, os hackers podem se beneficiar destas falhas e conseguir
se infiltrarem no sistema da organizao. Dentro do sistema da empresa eles tem acesso a
todos a dados relacionados empresa, bem como dados de seus clientes. Por esse fato para
adotar uma poltica de segurana da informao deve-se levar em conta isso. Alm de fatores
naturais como incndios, inundaes, terremotos.

Os benefcios esperados so evitar vazamentos, fraudes, espionagem comercial,

uso indevido, sabotagens e diversos outros problemas que possam prejudicar a empresa. A
segurana visa tambm aumentar a produtividade dos funcionrios atravs de um ambiente
mais

organizado

viabilizar

aplicaes

crticas

das

empresas.

Os custos de implementao dos mecanismos variam de acordo com o que a organizao

pretende implementar.

Vulnerabilidades, Perigos e Ameaas Segurana

As ameaas a segurana podem ser de diferentes formas como incndios,

inundaes, falhas de energia, sabotagem, vandalismo, roubo, e outros. O uso da Internet nas
organizaes trouxe novas vulnerabilidades na rede interna. Se no bastassem as
preocupaes existentes com espionagem comercial, fraudes, erros e acidentes, agora as
empresas tambm precisam se preocupar com os hackers, invases, vrus e outras
ameaas que penetram atravs desta nova porta de acesso. Os sistemas de informao, as
redes de computadores, os bancos de dados, sistema de energia e comunicao so um dos
pontos de vulnerabilidade e risco. Para obter segurana em uma aplicao para Internet ou
Intranet, preciso cuidar de quatro elementos bsicos:

Segurana na estao (cliente);

Segurana no meio de transporte;

Segurana no servidor e

Segurana na Rede Interna.

Segurana na estao
No uso de Internet e Intranet, um dos elementos mais vulnerveis sem dvida a estao de
trabalho. As estaes dos usurios podem armazenar chaves privadas e informaes pessoais
na maioria das vezes sem proteo ou controle de acesso. Estaes de trabalho esto ainda
sujeitas a execuo de programas desconhecidos sendo expostas a grampos de teclado e outras
armadilhas de ganho de acesso.

Segurana no meio de transporte

Um mtodo usado para garantir a privacidade e a integridade das informaes enviadas pela
Internet / Intranet, a segurana no meio de transporte. A segurana nos meios de transporte
faz uso de algumas tecnologias como firewalls, criptografia, e outros. A criptografia uma
ferramenta fundamental para garantir que a informao chegue ao seu destino sem que algum
sem ser o destinatrio faa uso da informao. A criptografia est sendo utilizada
frequentemente nas empresas para manter a segurana no correio eletrnico. A criptografia
resguarda a privacidade e integridade das informaes que circulam na Internet ou Intranet,
alm de garantir a validade e a autenticidade das mensagens, remetentes e destinatrios. A
criptografia transforma as informaes em textos que so impossveis de serem
compreendidos enquanto a informao no chegou em seu local de destino, quando a
informao est no seu destino torna compreensivo para seu remetente, por isso uma
ferramenta de alta segurana. Uma aplicao muito interessante para as empresas a
possibilidade de interligar via Internet as matrizes com suas filiais distantes. "Uma soluo
simples e segura para este problema a VPN (Virtual Private Network) que utiliza
encapsulamento e tneis de criptografia para trafegar informaes de forma segura atravs de
meio pblico (Internet). [ISTF, 2009]. Porm a VPN um recurso que as empresas devem
tomar muito cuidado pois a ela interliga a rede interna com um funcionrio que possa estar em
qualquer lugar, tornando frgil o sistema da empresa.

Segurana nos servidores

O uso de Internet / Intranet exige ainda segurana nos servidores das empresas. As empresas
tm conectado sua rede interna Internet, mas, no gostariam de conectar a Internet rede
interna. Para isto, torna-se necessrio o uso de firewalls que protegem o acesso atravs de um
servidor

de

controle

no

ponto

nico

de

entrada/sada

dos

dados.

O uso de firewall controla os servios e acessos permitidos, monitora o uso e

tentativas de violao e protege contra invases externas embora, exija ainda avanados
conhecimentos tcnicos devido a sua complexidade de uso e configurao. Um servio
bastante utilizado pelas empresas para avaliar a segurana de seus servidores so os testes de
invaso. Este servio busca normalmente identificar falhas de segurana nos servidores das
empresas, informando os pontos de vulnerabilidade e recomendando aes de melhoria ou
correes dos problemas. Estes testes devem ser realizados por empresas de confiana sendo
fundamental o acompanhamento constante de um responsvel da empresa contratada.

Segurana na Rede Interna

A segurana deve prever a proteo e controle da Rede Interna. O modelo atual para
segurana das redes tem assumido que o inimigo; est do lado de fora da empresa enquanto
que dentro, todos so confiveis. Porm, sabemos que a maior parte dos problemas ocorre em
funo de ameaas internas. Uma soluo completa abrange:

Poltica de Segurana Corporativa com definio clara das diretrizes, normas,

padres e procedimentos que devem ser seguidos por todos os usurios;

Programa de treinamento e capacitao dos tcnicos e usurios;

Recursos e ferramentas especficas para a segurana, e

Monitorao constante da intranet; e trilhas de auditoria.

Pontos de controle de segurana

Aps identificar os riscos, determinar os nveis de proteo e determinar as conseqncias que
os riscos podem causar, deve-se implementar os pontos de controle para garantir que os riscos
sejam reduzidos a um nvel aceitvel, j que no existe a total garantia de eliminao dos
riscos.
Os controles podem aplicar-se a diversos pontos, na seguinte forma:
"1. Polticas de Segurana da informao;
2. Organizao da Segurana da Informao;
3. Gesto e Controle de Ativos;
4. Segurana em Recursos Humanos;
5. Segurana Fsica e do Ambiente;
6. Gesto das Operaes e Comunicaes;
7. Controle de Acessos;
8. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao;
9. Gesto da Continuidade do Negcio;
10. Conformidade Legal." [BLUEPHOENIX, 2008].
As polticas de segurana da informao servem para dar suporte a todo o
planejamento sobre o que vai ser implantado, sobre como deve agir cada integrante da
corporao, como ser abordada a poltica de segurana na empresa, etc. Polticas de
segurana so geralmente construdas a partir das necessidades da organizao e

aperfeioadas pala experincia do gestor de segurana da informao que deve transformar

seu trabalho em algo prtico, objetivo e que tenha valor corporativo. "Cada organizao deve
estabelecer quais polticas sero utilizadas tendo como base suas necessidades, requisitos
legais, cultura interna e sistemas informatizados." [FERREIRA, ARAJO , 2008, 34].
Organizao da segurana da informao so as medidas tomadas pelo gestor de
segurana da informao na empresa, as formas pelas quais ele organiza as medidas a serem
implantadas na corporao para que a

empresa

possa

estar

em

segurana.

"As

responsabilidades pela segurana da informao so atribudas aos funcionrios e

colaboradores atravs de aes realizadas pela rea de Recursos Humanos." [SANTANDER,
2009].
"Ativo qualquer coisa que tenha valor para a organizao." [RIO DE JANEIRO,
2010]. Gesto e controle de ativos so as medidas de controle e preveno tomadas pelo
gestor de segurana da informao que visa gerir e controlar o acesso de funcionrios, bem
como definir o que cada profissional pode

acessar

de informao da empresa. Uma

gesto de ativos de qualidade deve seguir essas trs caractersticas:

Deve existir um inventrio de ativos;

Para cada ativo deve ter um profissional responsvel;

Deve existir uma poltica de classificao da informao, ou seja, classificar em

importncia as informaes.
Segurana em recursos humanos: "As responsabilidades pela segurana da
informao so atribudas aos funcionrios e colaboradores atravs de aes realizadas pela
rea de Recursos Humanos."[SANTANDER, 2009]. O gestor de segurana da informao
deve estabelecer em conjunto com o departamento de recursos humanos as seguintes
diretrizes; a realizao de anlises de idoneidade pessoal e profissional das pessoas que
pleiteiam uma vaga na empresa; definir uma poltica de confidencialidade ou cdigo de tica
entre trabalhadores e organizao; realizar treinamentos em segurana da informao para
todos os funcionrios e no apenas para os profissionais de tecnologia da informao; definir
uma poltica que d acesso a funcionrios ativos e que solicite a remoo de profissionais
desligados da empresa.
Segurana fsica e do ambiente so os recursos que regulamentam tanto o controle
de acesso, quanto a preveno de sinistros como tempestades, furaces, terremotos, acidentes,

roubos, e outros. So medidas que previnem a empresa contra qualquer ocasio em que possa
acontecer a perda, dano ou extravio de informaes da empresa.
Gesto das operaes e comunicaes "Vale lembrar que a comunicao um fator
crtico de sucesso para a correta disseminao das polticas corporativas, j que esta provoca
alterao no status quo de praticamente todos os colaboradores. Consequentemente obriga a
mudanas na forma de trabalho e qualquer mudana gera resistncia, sendo a comunicao a
melhor maneira de reduzir os conflitos inerentes a ela."[FERREIRA, ARAJO, 2008, 32].
Controle de acesso so as medidas tomadas pelo gestor de segurana da informao
que visam controlar o acesso por permisses tanto aos sistemas computacionais da
organizao quanto ao de pessoas no ambiente da empresa. " O controle de acesso, na
segurana da informao, composto dos processos de autenticao, autorizao e auditoria
(accounting). Neste contexto o controle de acesso pode ser entendido como a habilidade de
permitir ou negar a utilizao de um objeto (uma entidade passiva, como um sistema ou
arquivo) por um sujeito (uma entidade ativa, como um indivduo ou um processo). Com a
autenticao possvel identificar quem acessa o sistema, a autorizao determina o que um
usurio autenticado pode fazer, e a auditoria diz o que o usurio fez."[WIKIPEDIA,2009].
Aquisio, desenvolvimento e manuteno de sistemas de informao a aquisio
dos mecanismos fundamentais ao funcionamento do projeto, bem como a sua manuteno
preventiva e frequente, alm de melhorias no projeto. A manuteno da poltica deve ser uma
orientao para o estabelecimento de um processo de reviso peridico e formal.
Gesto da continuidade do negcio o planejamento de como ser a segurana da
informao nos anos seguintes da implantao e principalmente a longo prazo. Tem por
finalidade permitir com que no haja interrupo das atividades da empresa e protege os
processos crticos contra falhas significativas e assegura a retomada da empresa em um tempo
consideravelmente rpido. Uma boa gesto de continuidade deve ter os seguintes processos:

Realizao de anlises de risco no mbito do plano de continuidade do

negcio;

Desenvolvimento, reviso e testes no mnimo anualmente no mbito do

plano de continuidade de gerenciamento de pessoas dentro da organizao;

Desenvolvimento, reviso e testes no mbito do plano de continuidade no

gerenciamento de tecnologia da informao.

Conformidade legal so controles destinados a tratar as leis, normas e requisitos de

segurana. "A conformidade da organizao com os requisitos legais (leis, regulamentaes,
estatutos, etc.) garante uma confiabilidade e o comprometimento da organizao junto aos
rgos regulatrios." [SANTANDER, 2009]. Um

processo de conformidade legal deve

cumprir os seguintes requisitos:

Garantir o cumprimento das leis e outras legislaes vigentes;

Zelar pelos direitos de propriedade de todos os aplicativos de informtica da

empresa;

Consultar uma auditoria para verificao de pontos crticos de melhorias no

ambiente da empresa.
"Tenho observado que a maioria dos problemas de segurana da informao
ocorrida em organizaes est relacionada a um conjunto bsico de falhas na implantao e
desenvolvimento do processo de segurana da informao." [SILVA, 2008].
Esto citados aqui segundo SILVA, 2008 os dez principais erros cometidos pelos
gestores de segurana da informao os quais se devem prestar muita ateno para que no
ocorra dentro da sua empresa.
1. A falta de polticas;
2. A falta de uma gesto de controle de acesso;
3. A falta de um gestor da informao;
4. No cumprir os planos de continuidade;
5. Falta de registros das aes realizadas;
6. Cpias de segurana;
7. A falta de um gestor de processo de segurana;
8. A falta de uma gesto de risco;
9. A no existncia de um paralelo entre a segurana e o negcio;
10. Funcionrio pouco treinado e no conscientizado.
A falta de polticas de segurana da informao dentro de uma organizao um
erro muito grave, pois o gestor de segurana no tem como ter controle sobre as medidas que
ele est tomando dentro da empresa. A existncia de uma estrutura de polticas, normas e
procedimentos a serem seguidos existem para explicar como a organizao deseja que o
recurso informao deva ser tratado.

Uma gesto de controle de acesso para uso comum ter controle sobre qual
funcionrio acessou a informao, essa medida muito importante porque possvel controlar
o acesso a informao e o descumprimento dela implica em que o sistema est falho, pois,
qualquer funcionrio pode ter acesso a ela sem necessidade de se identificar. Para ter controle
sobre a informao deve-se colocar senhas de acessos para que somente o usurio permitido
tenha disponvel essa informao.
No ter um gestor de segurana da informao torna ainda mais complicada a
implantao dela, e vital para o sucesso do processo de segurana da informao a existncia
de um gestor da informao. ele o responsvel por autorizar ou negar o acesso dos demais
usurios da empresa quela informao.
No cumprir os planos de continuidade engavetando ou deixando-os desatualizados
torna as metas de segurana falhas, pois, deve se manter atualizados os planos de continuidade
para que a segurana possa ser eficiente e assim conseguir os objetivos que a empresa espera.
A falta de registros sobre as aes realizadas uma falha grave, pois se deve
guardar registros para possveis investigaes de auditoria onde preciso ter arquivos para
poder efetuar a auditoria. Esses registros devem ter seu tempo de durao quando forem
arquivados.
As cpias de segurana devem existir para que em situaes de perda possam ser
recuperadas facilmente, cumprimento de requisitos legais, para ter informaes sobre o
histrico da empresa e para possveis auditorias.
Um profissional especializado deve ser responsvel pelo processo de segurana da
informao e seu funcionamento, e outros. A falta de um gestor de processo de segurana
pode pr todo o processo de implantao da segurana da informao a perder, por isso um
profissional deve ser responsvel pela existncia do processo de segurana da informao.
Empresas de mdio e grande porte podem ter um funcionrio dedicado a esta funo,
evidentemente desde que ele tenha os pr-requisitos para a mesma.
Uma gesto que previna uma empresa sobre possveis erros no pode ser deixada
de lado, pois de fundamental importncia para o sucesso da implementao da segurana na
organizao.
Os princpios da segurana devem complementar com as normas j vigentes na

10

empresa e no competir com elas. A segurana da informao no deve atrapalhar o

funcionamento da organizao e deve existir um paralelo entre a segurana e o negcio para
no dificultar os processos da corporao. Se a segurana da informao est atrapalhando o
funcionamento da empresa deve ser revisto as diretrizes da segurana para no afetar o
negcio.
As empresas devem adotar medidas para qualificar seus funcionrios sobre o que
vai ser implantado na organizao, como ser implantado e como o funcionrio deve agir de
acordo com as novas regras que devem ser seguidas. Por esse fato deve-se treinar e
conscientizar o funcionrio como ser o funcionamento da organizao com as normas de
segurana da informao que passou a vigorar na empresa.

Concluso
As empresas tm que estar um passo a frente das pessoas mal intencionadas e se precaver de
forma que seus dados, suas informaes no sejam colocadas em perigo. A segurana da
informao deve ser usada como arma estratgica para as organizaes, pois seguindo as
normas da segurana da informao, possvel manter as informaes de forma segura e
idnea, reduzindo bastante os riscos de perda, extravio ou roubo de informaes.
vivemos na sociedade da informao, onde quem tem

Enfim

maior conhecimento ou mais

informao sai na frente, alm de que a informao arma estratgica em todas as empresas,
portanto se uma organizao quer ter suas informaes livre de riscos e perigos; deve se
precaver usando tcnicas de segurana da informao como medidas de preveno contra
possveis ataques empresa.

Referncias
ALBERTIN,Alberto Luz; SANCHEZ,Otvio Prspero. Outsourcing de ti. Rio de Janeiro :
FGV, 2008.
BLUE PHOENIX. Boas prticas de segurana. Disponvel em: www.bluephoenix.pt.
Acessado em: 15/05/2010.
CARVALHO,Joo Antnio. Informtica ESAF. Rio de Janeiro : Elsevier,2007.
CENTRO DE TECNOLOGIA DA INFORMAO E COMUNICAO DO ESTADO DO
RIO DE JANEIRO - PRODERJ. Diretrizes gerais de segurana da informao. Disponvel

11

em:

http://www.proderj.rj.gov.br/Poltica%20de%20Segurana%20da%20Informa%20o.pdf.

Acessado em: 20/05/2010.

Controle de acesso. Disponvel em: http://pt.wikipedia.org/wiki/Controle_de_acesso.
Acessado em: 15/05/2010.
CRASH. Segurana da informao. Disponvel em: http://www.istf.com.br/vb/gestao-daseguranca/4417-seguranca-da-informacao.html. Acessado em:15/05/2010.
FERREIRA, Fernando Nicolau Freitas . ARAJO, Mrcio Tadeu de. Polticas de segurana
da informao - Guia prtico para elaborao e implementao. Rio de Janeiro: Cincia
Moderna, 2008.
OLIVEIRA,Rogrio Amigo de. Informtica. Rio de Janeiro : Elsevier, 2007.
POLLONI,Enrico Giulio Franco; FEDELI,Ricardo Daniel; PERES,Fernando Eduardo.
Introduo cincia da computao. So Paulo : Cengage Learning, 2003.
RIBEIRO,Bruno; ALBUQUERQUE,Ricardo. Segurana no desenvolvimento de software.
Rio de Janeiro : Campus, 2002.
SANTANDER.

Principais

itens

em

segurana da informao.

Disponvel

em:

http://www.santander.com.br/document/gsb/seguranca_parceiros_principais_itens.pdf.
Acessado em: 25/05/2010.
SILVA, Alexandro. Dez falhas em segurana da informao. Disponvel em:
http://softwarelivre.org/alexos/blog/dez-falhas-em-seguranca-da-informacao.
em: 20/05/2010.
TANAKA,Edson. Adobe Acrobat 6.0. Rio de Janeiro : Elsevier, 2004.

Acessado