TECNOLOGIA EM DESENVOLVIMENTO DE SOFTWARES

Ameaas de phishing, utilizadas para roubar dados dos usurios, continuam a aparecer na lista de problemas da rede social Facebook. A estratgia dessas farsas fazer com que o usurio pense que est acessando contedo legtimo do sistema. Em alguns casos, o aplicativo pode lev-lo a uma pgina falsa de login do prprio Faceebook, onde acontece o roubo dos dados de cadastro. Uma notificao conhecida como: sex sex sex and more sex traz aplicativos que prometem transmisses de vdeo e material adulto. Ao ativ-las, o navegador redireciona a pgina para um domnio chamado fucabook.com. L, um JavaScript garante que seus dados sero gravados no servidor da pgina maliciosa. Sem que o visitante perceba, sofre uma atualizao automtica mostrando o endereo oficial da rede social. Rik Ferguson, pesquisador da Trend Micro, Ferguson, afirma que est em contato direto com o Facebook, mas a cada ameaa desabilitada, novas surgem para tomar o seu lugar. O problema pode estar relacionado ao pacote de alteraes criado para facilitar a entrada de desenvolvedores na rede, como o Open Stream API.

PROTEGENDO PASTAS E ARQUIVOS DE SEU NOTEBOKE Uma ferramenta GRATUITA poder lhe ajudar na rdua tarefa de preservar o seu ativo mais caro. A informao. O FILELOCKER mais uma tima opo para proteger seus arquivos. Muito til para quem tem notebook ou compartilha o computador com outras pessoas. 1. Aps instalar o utilitrio voc dever definir uma senha forte para o software. 2. Atravs do prprio recurso de browser do software escolha pastas e arquivos a serem protegidos. 3. A proteo poder definida em diversos nveis como: Proteo de Acesso, Escrita, Excluso e Visibilidade Outras opes existem, mas o File Locker uma das mais amigveis, fceis e intuitivas. E grtis. Uma das maiores facilidades promovidas pelo Windows desde sempre o famoso copiar e colar que integra o sistema operacional a toda a gama da camada de aplicativos que o permeia. Alis, esta sempre foi uma das estratgias caractersticas do sistema operacional mais utilizado no mundo. Oferece o bsico e outras companhias desenvolvem o avanado. Um exemplo disso pode ser o MS Paint. A seu reboque l no

incio da dcada de 90 vieram Corel Draw, Ventura e Pagemaker dentre outros. o milagre da multiplicao das APIs. Olha a o Twitter que no me deixa mentir. Certo. Mas o que isto pode ter a ver com segurana da informao? Tem a ver com prejuzo financeiro que a evaso de informaes e roubo de contedo acarreta. Cita-se tambm o crime de violao do direito autoral. Pois qual o produto principal dos veculos de informao? Claro que a prpria informao em formato de notcias, artigos, imagens, vdeos, podcasts, etc. e tal. Ento como controlar esse drag and drop desenfreado pelas nuvens virtuais da vida? J est mais do que provado que de nada adianta bloquear o recurso de cpia online. Em questo de poucos minutos transforma-se a pgina em imagem e atravs de uma antiga tecnologia, OCR, se obtm o texto. Sons, vdeos e imagens so ripados ao toque do mouse. Foi pensando nisso que um ex-executivo do Yahoo ajudou a fundar na Califrnia a empresa Attributor. Hoje Rich Pearson VP de marketing desta empresa. E conversando com ele tive o prazer de ver os produtos da Attributor em pleno funcionamento. Atravs da identificao do contedo original do autor que comea a busca por toda a internet que est praticamente toda indexada no datacenter deles na Califrnia mesmo. A base de dados do Attributor possui mais de 30 bilhes de pginas listadas. E por dia so acrescentadas aproximadamente mais 50 milhes. Meta buscadores de algoritmos e tecnologias prprias varrem websites, redes sociais, blogs e tudo o mais que est pblico na rede mundial a procura de cpias indevidas de contedo que no foi disponibilizado via agncias. O resultado impressionante ao se perceber o quanto um contedo copiado sem ao menos ter a sua fonte de origem citada. A audincia de determinados veculos muito maior do que a oficialmente por eles e experts em rating. A que pode estar o ralo financeiro. Exemplo: A partir de um nico texto foram encontradas mais de 3.000 cpias em diversas instncias de um pouco mais de 600 localidades. Poucas foram as que, no mnimo, citaram a fonte das matrias. A empresa autora foi lesada e nem sabe. Talvez desconfie mas no sabe como localizar a tungada. Poderia estar alavancando a sua receita seja pela venda do contedo ou pelo menos aumentando a sua visibilidade ao requisitar a sua citao. O relatrio mostra tambm que atrelado ao contedo roubado esto anexos anncios e banners que tambm no deixam de representar uma perda indireta para o autor. Pois quem est percebendo lucro com o contedo alheio atravs de propagandas online o gatuno oportuno. Este ento um recurso e um investimento que se paga rapidamente na medida em que identifica por onde anda o trabalho e o suor dos produtores, editores, redatores, jornalistas e reprteres. Ao mesmo tempo em que ajuda a enfrentar os novos desafios propostos pelas tecnologias emergentes, determina uma tendncia a virar regra, ferramenta usual e estratgica nas empresas de mdia e grandes veculos.

TWINTTER USADO PARA BOTNETS PARA DISTRIBUIR MALWARES E ROUBAR SENHAS DE BANCOS

Uma das ameaas envolvidas no ataque via botnet um Cavalo de Tria que rouba senhas e utiliza a interfaces iguais as de alguns bancos brasileiros. Como j foi informado pelo tweet recentemente postado, o Symantec Security Response unidade da Symantec responsvel pela deteco de ameaas online est monitorando uma botnet que usa o Twitter como estrutura de comando e controle para distribuir malwares e batizou a ameaa identificada como Downloader.Sninfs. O malware, que est sendo baixado pelo Downloader.Sninfs, conhecido pela Symantec como Infostealer.Bancos. O principal objetivo da distribuio deste malware permitir que criminosos virtuais roubem senhas, neste caso por meio de sites de phishing que imitam o de conhecidos bancos brasileiros. Este um novo meio que os autores de ameaas virtuais esto utilizando para roubarem informaes. Apesar do Twitter.com estar sendo utilizado neste caso, existem uma srie de outros websites que tambm poderiam servir como vetor para infeces. A investigao e anlise dessa ameaa pelo Symantec Security Response demonstrou que os computadores infectados estavam seguindo o Twitter Upd4t3 (j suspenso pela rede social) por meio de um RSS, e que essa conta de Twitter tambm estava enviando outras informaes de sistema comprometidas onde diferentes ameaas podiam ser baixadas. Essencialmente, o arquivo de RSS do Twitter estava atuando como um arquivo de configurao para o malware. At o presente momento no foram identificados comandos adicionais que possam baixar arquivos enviados pelo RSS do Twitter.com, mas continua a investigao para confirmar se de fato trata-se de uma botnet. Os clientes da Symantec j esto protegidos contra as ameaas Downloader.Sninfs e Infostealer.Bancos. A Symantec recomenda que todos os usurios de computador mantenham seus softwares de segurana atualizados com as ltimas definies, conservem seus sistemas sempre limpos e continuem se protegendo tambm por meio de medidas preventivas padro. Essas medidas so principalmente no aceitar amigos ou pedidos para seguir de pessoas que no conhea ou confie dentro dessas redes sociais. Tambm aconselha-se que os usurios no cliquem em links the fontes noconfiveis e criem senhas fortes para acessar redes sociais e outros sites da Internet, a fim de evitar que os criminosos digitais consigam acessar informaes confidenciais. TECNOLOGIA EM SEGURANA LGICA/CONFIDENCIALIDADE ORGANIZACIONAL EM INFORMTICA A segurana organizacional estabelece os instrumentos (normas e procedimentos formais e informais) para atuao dos profissionais de informtica, no trabalho com ativos tangveis e intangveis empresariais.

Os princpios para o exerccio da segurana lgica, organizacional e de confidencialidade, nos momentos ciclo administrativo (planejamento, execuo, controle, auditoria) e nvel empresarial (operacional, ttico, estratgico). a) Estabelecer autoridade dos recursos humanos engajados com as plataformas de informtica; b) Assegurar lealdade e proporcionar confiabilidade aos profissionais usurios e de informtica da organizao. c) Viabilizar meios para o reconhecimento de aes empresariais autorizadas; d) Avaliar o grau de segurana que cada informao requer; e) Manter vigilncia sobre sistemas e informaes computadorizados; f) Determinar o nvel de criticidade de cada funo e atividade no ambiente operacional de informtica; g) Controlar o acesso aos sistemas aplicativos e s informaes; h) Fixar responsabilidade pelos sistemas e informaes; i) Documentar os atos que afetam sistemas e informaes; j) Investigar todas as discrepncias; k) Alcanar padres de desempenho para as medidas de segurana; l) Mecanismo de segurana deve desempenhar a funo para o qual foi concebido; m) No supor ignorncia por parte do agente agressor em potencial; n) Demonstrar que o funcionamento da sistemtica operacional e de segurana completo e correto; o) Os mecanismos de segurana devem ser simples e flexveis; p) A manuteno dos mecanismos de segurana deve ser possvel no prprio ambiente/plataforma de informtica; q) Os mecanismos de segurana devem ser a prova de erros comuns; r) Os mecanismos de segurana devem produzir o menos nmero possvel de alarmes falsos; s) A sistemtica de segurana deve considerar seus custos de desenvolvimento, implantao e operao; t) O sistema de segurana deve estar sintonizado com a plataforma de informtica para o qual foi criado. SEGURANA LGICA EM INFORMATICA

Esses ativos intangveis so: programas de computador integrantes de sistemas aplicativos; software de suporte e bsico; procedimentos praticados para atuao com a tecnologia de informtica; dados e informaes, armazenados em banco de dados e arquivos, sustentados por dispositivos de computao. Para o funcionamento desses ativos intangveis organizacionais praticamos atividades de: validao da informao operacional; validao das rotinas de processamento; proteo do sigilo das informaes e dos programas; proteo dos procedimentos; induo correo de rumo.

importante destacar que a tecnologia de informtica (hardware e software) apresenta peculiaridades que tornam a segurana em informtica altamente sofisticada, tais como: a) densidade mais elevada a quantidade de informaes administradas pela tecnologia de informtica do que em outros mecanismos de processamento; b) obscuridade no possvel a identificao/conhecimento direto do contedo da informao por meio visual no ambiente/plataformas de informtica; c) acesso maior em quantidade e rapidez a consulta e atualizao a um maior volume de dados armazenados em banco de dados do que em outros meios de arquivamento tradicionais; d) falsificao implica dificuldades na preveno, deteno e correo de modificaes e de captao de informaes e de programas, realizadas por agentes agressores no autorizados; e) reteno

a possibilidade de eliminaes lgicas, ou seja, desativao do acesso lgico s informaes, porm, com sua manuteno fsica em meios magnticos de informtica.

TECNOLOGIA EM SEGURANA DE SOFTWARES Os principais momentos de insegurana, no ambiente computacional, podem ser analisados segundo os focos de:

1. Falhas de hardware em virtude de: A) deficincia da proteo a circuitos, chips ou dispositivos

(impressora, hard disk, teclados, monitores) das plataformas de informtica;

B) uso de instrues de firmware (softwares gravados em hardware,

em nvel de fbrica) privilegiadas;

C) emanaes magnticas nos links de comunicao ou work

stations. 2. Falhas de software em face de:

A) erro/deficincia e sistema operacional/software de apoio,

adquiridos de terceiros;

B) m operacionalizao/estruturao/desenvolvimento de softwares
aplicativos, de criao prpria ou adquiridos de terceiros; c) falhas nos procedimentos de segurana lgica, existentes em normas/metodolgicas/plano informtica. 3. Falhas dos usurios nos momentos: a) deturpao/falsificao/m identificao de arquivos e programas; b) abandono de terminais com dados expostos nas telas; c) tentativas e busca de maneiras de burlar a integridade de informaes e sistemas; d) administradores que no possuem suas responsabilidades em termos de segurana; e) displicncia de gestores/usurios/profissionais de informtica, em no cuidar dos relatrios, em funo do nvel de sensibilidade das informaes neles contidas; de contingncia empresarial/em

f) curiosidade/uso

indevido,

por

profissionais

insatisfeitos/demissionrios/demitidos/com ideologias conflitantes com o foco da organizao. 4. Falhas de profissionais de informtica quando de: a) acesso a software (aplicativos, de suporte, bsico) e a arquivos, em nvel operacional; b) desenvolvimento de sistemas, programas quebra-galho, que aplicam procedimentos operacionais inadequados, em noconformidade com normas e metodologias; c) acerto e realizao e cpias de arquivos e de programas por meios no autorizados; d) desarme/descumprimento de esquemas de segurana, noentendimento ou no-aceitao de prticas de segurana. CARACTERSTICAS DE VULNERABILIDADES E DE AMEAAS EM SEGURANA LGICA EM INFORMTICA. As principais vulnerabilidades, em termos de segurana lgica, podem ser identificadas como: impedimento de execuo de servio ou descontinuidade operacional;

- perda, revelao e modificao no autorizada de informaes e de

software; uso no autorizado de informaes, software, plataformas de informtica; criao no autorizada de informaes e relatos negociveis. Fatores que afetam/acirram/exacerbam a concretizao de ameaas em face das vulnerabilidades dos bens: 1. equipe tcnica incompetente ou mal treinada; 2. intenso uso e complexidade das aplicaes de informtica; 3. escassez de treinamento em informtica aos profissionais das organizaes;

4. desatualizao dos currculos dos cursos de informtica, principalmente em termos de qualidade e segurana em informtica; 5. fraca nfase da alta direo das organizaes ao fator de segurana; 6. inadequaes na estrutura organizacional de informtica; 7. inexistncia de polticas de segurana; 8. cronogramas de trabalho falhos; 9. fragilidade nos critrios de seleo de pessoal de informtica ou envolvidos/partcipes com o ambiente de informtica; 10. no-formalizao de mtodos de trabalho; 11. falta de anlise de situaes de insegurana existentes/ocorridas em plataformas de informtica/sistema aplicativos; 12. atuao espria de agentes internos e externos ao ambiente de informtica; 13. infiltraes intencionais ou acidentais em canais de comunicao; 14. ataques dissimulados ou disfarados de empregados insatisfeitos/demissionrios e de agentes externos ao ambiente computacional. Entretanto, a maioria dos incidentes que causam perdas em informtica no so de natureza criminosa/intencional, mas ocorrem, fundamentalmente, por negligncia/incompetncia/displicncia/falta de treinamento de usurios e do pessoal de informtica. CONCEITOS E PRINCPIOS DE SEGURANA LGICA EM INFORMTICA. Segurana lgica exercida em termos de processos e resultados de controle que buscam evitar, destacar e monitorar processos e resultados operacionais. O fluxo da mecnica/processamento/sistemtica da segurana lgica implica o exerccio do Walkthrough (reviso das prticas de segurana).

Segurana lgica em informtica. Segurana lgica consiste num conjunto de mtodos e procedimentos manuais e automatizados destinados a proteger os recursos tecnolgicos/intangveis contra quebra de integridade, modificao no autorizada, acesso e uso indevido, intencional/acidental. CONFIDENCIALIDADE EM INFORMTICA Uma mecnica de proteo pode ser exercida atravs da concesso de autorizao de acesso em funo de: grau de sigilo necessrio informao ou programa; nvel de confiana pessoal adquirido pelo profissional; fidelidade/cargo/nvel hierrquico do funcionrio.

Uma sistemtica para segregao de funes e correspondente controle de acesso a programas e informaes implica a atribuio de nveis de confidencialidade, consoante, por exemplo, a seguinte estrutura: controle especial (ultra-secreto); confidencial (secreto); privado (confidencial/pessoal); uso interno (restrito); divulgao (conhecimento geral).

Algumas providncias para manuteno do sigilo das informaes implicam: armazenagem de ativos intangveis confidenciais consoante procedimentos padronizados, particularmente no tocante nodisseminao de sua existncia e de limitao de seu tempo de exposio em locais de segurana fragilizada, como normalmente ocorre quando de seu transporte; utilizao de mensageiros especiais para a distribuio de ativos computacionais intangveis sensveis; envelopar e usar recipientes adequados para o transporte de ativos intangveis crticos;

cuidados especiais devem ser dedicados alienao de volumes magnticos, microfichas, microcomputadores, principalmente, portteis; criptografia do contedo de transaes e registros, em momentos de transmisso de dados e transporte de meios magnticos.

A caracterizao da poltica de concesso de passwords um momento marcante da estratgia de confidencialidade em informtica, com a ativao dos seguintes procedimentos: a) definio de norma com detalhamento do binmio nveis de acesso/parmetros determinantes do nvel de confidencialidade e das funes responsveis pela aplicao/operacionalizao dos conceitos; b) atuao dos executivos incumbidos da atribuio do nvel de acesso a cada faixa profissional atuante na organizao;

C)
d)

comunicao, ao administrador de dados, dos critrios definidos pelas reas organizacionais, de atribuio de passwords; administrador formata e instala tabelas de controle de acesso com os critrios definidos pelas reas organizacionais.

SEGURANA ORGANIZACIONAL EM INFORMTICA O acompanhamento comportamental dos profissionais com potencial ou j integrantes da estrutura da empresa ocorre antes, durante e aps a vigncia do contrato de trabalho, implicando as seguintes atividades: 1. procedimentos de seleo e de contratao:

- especificar, corretamente, as qualificaes pessoais, profissionais e o nvel de

experincia na funo, necessrios para a contratao do profissional pela empresa, inclusive, sob o foco segurana;

- detalhar a sistemtica operacional da entidade em termos comportamentais, para

que o candidato possa decidir quanto ao seu interesse em relao ao posto de trabalho;

- realizar verificao dos antecedentes do candidato, principalmente se ele for

atuar nas reas mais sensveis de informtica, como software bsico, de suporte, ou, ainda, sistemas aplicativos de linhas de negcios sensveis da organizao;

- acompanhar o perodo de experincia do novo profissional da organizao,

inclusive, quanto ao nvel de rejeio pelo grupo ao qual est sendo integrado;

- estabelecer as caractersticas de personalidade, os conflitos de interesse e as

mudanas comportamentais, ao nvel do ciclo de vida profissional dos funcionrios, tendo em vista rodzio e readequao funcional. 2. Programa de treinamento: reciclagem profissional, em face da necessidade atualizao tecnolgica em nvel operacional (eficincia, eficcia e segurana organizacional). 3. Comportamento profissional:

A) conscientizar os profissionais quanto segurana como elemento da qualidade,

em face dos fatores: integridade dos ativos tangveis e intangveis da organizao; trabalho em equipe gera respeito mtuo e confiana aos trabalhadores; postura tica de todos os profissionais da organizao, principalmente, aqueles em posio de chefia.

B) Sustentar uma poltica de remunerao justa e com a concesso de incentivos

por desempenho;

C) Praticar atitudes de motivao e de moral elevada junto aos profissionais, via:

rotao de posies entre os funcionrios, ao longo de seu ciclo de atuao na empresa; manter uma poltica de reajustes reais de remunerao em funo de antiguidade no trabalho, como forma de garantir fidelidade dos funcionrios empresa; buscar a disciplina e o respeito mtuo como forma bsica de conduta no trabalho. 4. Procedimento de desligamento do funcionrio: investigar os motivos de demisso voluntria; minimizar as conseqncias das dispensas com pagamento de indenizaes e ativao de programas de recolocao de demitidos. Alguns dos riscos derivados da interveno de pessoas no ambiente de processamento de dados, so: 1. Riscos que afetam a garantia dos servios:

negligncia ou abandono do servio por operadores, programadores, usurios, analistas; greves, conflitos, paralisaes motivadas por divergncias entre profissionais ou destes com a organizao; falta de disponibilidade extra do pessoal em momentos crticos ou de emergncia; inadequado uso das instalaes; dependncia de sistemas aplicativos dos profissionais que os conceberam/desenvolveram.

2. Riscos que afetam a segurana dos dados/informaes: roubo de informao (ativos intangveis computacionais); manipulao indevida da informao; uso indevido voluntrio, ou, no) das chaves e cdigos de segurana; negligncia no arquivamento/transmisso de dados/distribuio de informaes; falta de confidencialidade no tratamento de arquivos e programas; fraude, vingana, displicncia no tratamento dos recursos integrantes das plataformas de informtica. 3. Riscos de natureza diversa: sabotagem, terrorismo, dano voluntrio s instalaes; interveno (intruso, captao) nas linhas de transmisso; negligncia na observao de normas.

Para orientao e sustentao de uma adequada segurana, que no seja frgil, nem agrida os profissionais atuantes no ambiente de informtica, um cdigo de tica deve ser implantado e praticado, consoante as seguintes linhas bsicas: a) b) c) d) e) f) difundir o conhecimento dos princpios de informtica e dos instrumentos utilizados e do valor/importncia dos sistemas aplicativos; aceitar encargos profissionais apenas quando estiver capacitado; contribuir para o progresso de informtica e do tratamento das informaes atravs da troca de experincia; no ocultar conhecimento e experincia adquirida; no utilizar um proveito prprio eventual acesso a dados e programas confidenciais; ter sempre presente a exigncia de proteo informao e aos programas;

g) h) i) j)

abster-se de cpia para lucro, sem a devida autorizao; observar segredo absoluto sobre informaes e programas casualmente acessados; no difundir nem comunicar dados de carter pessoal registrados em banco de dados; respeito a personalidade e intimidade de todas as pessoas sobre as quais puder vir a ter informaes.

Freqentemente o profissional de informtica identifica-se mais com a tecnologia do que com a empresa ou segmento econmico. Medidas no sentido de sua motivao implicam aumento da segurana em informtica. Desta forma os seguintes vetores devem ser objeto de ateno quando da estruturao de segurana em informtica: 1. Motivao: insatisfao e desmotivao contribuem para o abandono de pontos fundamentais de qualidade e segurana (faltas, paradas sem motivos, indisponibilidade em momentos crticos, vinganas pessoais). 2. Organizao: inexistncia de cdigo de conduta, deficincia no controle do pessoal de informtica, indefinio de atribuio aos profissionais de segurana. 3. Definio de responsabilidades: definio de tarefas, autoridade de alada de cada rea e das funes organizacionais (cada local, departamento ou pessoa deve, de modo abrangente, entender as funes pela qual responsvel). 4. Segregao de funes: as funes de desenvolvimento, manuteno, suporte tcnico, operao e controle devem ser claramente separadas. Assim, a probabilidade de fraudes e alteraes indevidas/inadequadas de programas, ou dados/transaes, ser fortemente minimizada. Quando, em microinformtica, as condies de segregao de funes forem drasticamente reduzidas, procedimentos compensatrios devero ser adotados, tais como: existncia de esquemas de substitutos para os profissionais exercendo funes crticas em informtica; estabelecimento de critrios rgidos para um esquema de rodzio e acompanhamento rotineiro de entrada de frias; implantao de esquema de auto-auditoria e de auditoria interreas; montagem de sistema de monitorao, via indicadores de qualidade, administrativo-tcnico-operacional, dos parmetros segurana, eficcia, eficincia e atendimento s regulamentaes;

privilgio da atuao em equipe como forma de aumentar o controle dentro dos grupos de trabalho em informtica.

5. Rotao de responsabilidades: rodzio peridico dos profissionais para evitar ncleos de controle sobre determinados procedimentos (principalmente para sistemas com alto grau de risco). 6. Formao adequada do pessoal para: uso das instalaes e plataformas de informtica; utilizao eficiente e eficaz dos sistemas aplicativos no sentido do atendimento das linhas de negcios e de produtos da organizao;

- manejo apropriado de linhas/links de comunicaes;

atualizao profissional contnua, no sentido do acompanhamento de mudanas tecnolgicas. 7. Auditoria de sistemas: como ferramenta disponibilizada a cada funo organizacional, para atuao em nvel de acessria, na otimizao dos processos e resultados de informtica. 8. Agresses externas: preocupaes especiais com pessoal externo ao ambiente organizacional e de informtica, quanto possibilidade de acesso fsico e lgico a softwares e informaes empresariais, com a institucionalizao de um forte esquema de controle de visitas particulares, de fornecedores, vendedores em geral. 9. Treinamento: o ponto central de qualquer esquema de segurana o homem. Falta de treinamento/de motivao gera incompetncia. QUESTES A CONSIDERAR 1. quais so os ativos intangveis de informtica objeto de segurana lgica e de confiabilidade? 2. Quais so as principais vulnerabilidades, em termos de segurana lgica, no ambiente computacional? 3. Como a confidencialidade em informtica quebrada? 4. Discuta a segregao de funes, em termos de segurana lgica, em informtica. 5. Cite procedimentos da poltica de concesso de passwords. 6. Discuta as linhas bsicas de um cdigo de tica em informtica.

SEGURANA AMBIENTAL EM INFORMTICA A segurana ambiental em informtica sofre forte impacto e passa a ter maior nvel de interao com a segurana empresarial medida que a distribuio dos sistemas aplicativos e das plataformas e das plataformas de informtica ganha carter mais intenso no sentido da descentralizao. Uma das opes de proteo, para a organizao, a adoo de seguro para os momentos crticos de informtica. Figura 3.3 Informtica , contudo, tecnologia vital para a continuidade administrativa e produtiva das empresas e, portanto, a descontinuidade/destruio, parcial ou total, de funcionamento de informtica mortal, em termos empresariais, tendo em vista a gravidade e intensidade das situaes de insegurana como; produo de informaes inadequadas, inoportunas ou de forma incorreta, induzindo a tomada de decises precipitadas e malficas organizao; captao indevida de informaes sigilosas, causando elevados prejuzos imagem organizacional, com possvel perda de mercado. Segurana ambiental visa continuidade operacional da infra-estrutura dos ambientes/sistemas/plataformas de informtica e como tal ser estruturada consoante os focos: 1. Localizao do ambiente de informtica. a) A escolha da localizao fsica das plataformas de informtica fundamental para uma adequada sistemtica de segurana, que possa evitar acidentes operacionais e barrar possibilidade de violaes a sistemas aplicativos. b) Devem ser evitados permetros e proteo de alto risco tais como: tanques de combustvel; estoques de ferro e ao; depsitos de tintas; zonas sujeitas a inundao;

c) -

cabos energizados e cabos lgicos devem ser passados em dutos e calhas independentes. Os seguintes requisitos quanto localizao devem ser atendidos: evitar subsolos para prevenir inundaes; evitar locais onde freqentemente ocorram aglomeraes ou manifestaes pblicas; evitar reas de alto risco de incndio; evitar proximidades com antenas de TV, rdio, radar, pra-raios; evitar locais prximos a garagens, estacionamentos, por causa da possibilidade de sabotagens e atentados; evitar ltimos andares, por causa da tendncia de propagao de fogo e fumaa; evitar reas de trfego pesado e intenso; evitar proximidade com linhas de transmisso de energia eltrica e instalaes com aparelhagem de raios X e de alimentadores eltricos; evitar proximidade de depsitos de material explosivo e de cursos de gua. Portanto, o local dever permitir a instalao da plataforma de informtica em ambiente empresarial livre de gua, vibraes, excesso de p, umidade, quaisquer agentes ou substncias poluentes, radioativas, corrosivas, campos de alta freqncia, campos eletromagnticos intensos, enchentes.

2. Layout do ambiente de informtica. Na elaborao do layout do ambiente empresarial, onde ser instalada a plataforma de informtica, alm dos aspectos de engenharia, da necessidade de espaos para os equipamentos e os profissionais que iro trabalhar com os mesmos, os seguintes aspectos de segurana devem ser contemplados: acesso dos funcionrios aos diversos ambientes de informtica consoante suas funes; acesso de terceiros integrantes da empresa ou de outras organizaes ao ambiente computacional para retirada de relatrios, realizao de reunies; facilidade para o fluxo de procedimentos praticados pelos funcionrios; possibilidade de manuteno e limpeza de equipamentos; armazenamento adequado de suprimentos e formulrios de informtica.

Algumas reas mais sensveis em termos de segurana em informtica so: - almoxarifados em geral; sala de malotes, recepo de documentos e de distribuio de relatrios;

sala de controle de comunicaes; sala de geradores de energia; sala de equipamentos de ar-condicionado e de torres de refrigerao; reservatrios e bombas de gua;

- fitotecas principal e de backup.

Sala de equipamentos de computao, abrangendo a configurao da plataforma de informtica. 3. Armazenagem externa de dados. A armazenagem, em um mesmo ambiente fsico, de dados originais e suas cpias de segurana implica destruio total ou parcial de informaes no caso da ocorrncia de sinistro, ou em face da impossibilidade de acesso para seu uso, quando de greves e manifestaes pblicas, o que invalida esforos e dispndios financeiros para gerao de arquivos de segurana. Cuidados especficos precisam ser tomados, quanto ao transporte fsico dos meios magnticos, entre as instalaes base e de backup. As precaues, quanto ao transporte fsico dos meios magnticos, devem ser tomadas para que sejam evitados riscos como choque trmico, choque fsico, desmagnetizao. Em situaes de redes de computadores, o backup de um momento de uma plataforma de informtica deve ser: uma rota alternativa; outro momento da mesma ou um momento de outra plataforma.

Os cuidados, quando, quando da realizao de transmisso lgica o contedo dos arquivos, podem indicar a necessidade de uso de softwares criptogrficos. Os princpios fundamentais para armazenagem externa de dados so:

- as plataformas de base e de backup devem estar em locais fisicamente afastados

para impossibilitar destruio simultnea dos dados em um mesmo sinistro;

- em funo dos riscos envolvidos, da extenso da rede e do nvel de sensibilidade

dos dados a serem copiados, devem ser utilizadas duas ou mais plataformas de informtica para efeito de backup;

- o acesso plataforma de informtica, ao meio magntico e ao canal/link de

transmisso deve ser restrito e ter seus procedimentos de acesso/manuseio regulamentados;

- a freqncia de realizao de backup deve ser maximizada e os prazos de

armazenagem/reteno das informaes definidos, segundo critrios de risco e de custo/benefcio; devem ser observados aspectos idnticos aos relativos escolha do local para a instalao de plataformas de informtica; observar requisitos mnimos indispensveis quanto ao controle das condies ambientais. Ocorrncias com possveis perda de dados: - acidentes no transporte fsico dos meios magnticos de backup; roubos/furtos/desvios de informaes e de meios magnticos;

- incndio ou inundao das plataformas base e de backup;

desmagnetizao dos meios magnticos quando do transporte ou por armazenagem por prazo excessivo; choques por ocasio do transporte fsico; atentados/sabotagem a qualquer das plataformas de informtica;

- intruso, captao de informaes quando da transmisso de backup.

4. link/dispositivos/canal de comunicaes de dados, terminais e

microcomputadores. Os seguintes momentos so merecedores de ateno quanto aos aspectos de segurana: a) na comunicao de dados: a transmisso de dados entre computadores ou destes com seus perifricos pode ocorrer via linhas telefnicas, fibras ticas, microondas e satlites; na fase de transmisso, os dados ficam mais vulnerveis, ou seja, sua exposio a situaes de insegurana aumenta, principalmente, nos pontos iniciais e terminais ( estaes de origem e de destino) da transmisso;

- equipamentos integrantes de redes, tais como front-end, modems, unidadesde

controle de transmisso, terminais de caixa bancrios, terminais de pontos-devenda e sesores analgicos e digitais devem ser atendidos pelos esquemas de segurana aplicados a servidores e mainframes; nos ambientes de redes de informtica devem ser objeto de ateno especial de prticas de segurana: cabos de conexo fsica; caixas de passagem; eletrocalhas para conduo de cabos; passagem entre prdios.

diversos agentes agressores afetam cabos de conexo de equipamentos integrantes da configurao e das redes de computadores, como interferncias eletromagnticas, inundaes, rompimentos por m manuteno ou acidentais, ao de roedores. Algumas prticas e aspectos tcnicos de segurana ambiental em reas empresariais e plataformas de informtica correspondem a:

1. Controle de acesso. Exercer reviso detalhada nas instalaes no tocante a piso, teto, muros, portas, janelas, dutos de ventilao, passagens para os cabos eltricos e de dados, telefone, gua, esgoto, iluminao, existncia de cadeados. Sistemas semi-automticos. Normalmente conhecido como sistema de porteiro eletrnico, onde o acesso requerido junto a um dispositivo/interfone, com o qual o visitante mantm comunicao com a pessoa a ser visitada, ou, com um atendente o qual libera ou no o acesso em funo de certas condicionantes preestabelecidas. 2. Incndio. Proteo contra o fogo de suma importncia, porque incndio o risco fsico mais srios e que maiores conseqncias acarreta ao ambiente empresarial e de informtica. 3. Outros riscos.

Contemplam uma srie de situaes e momentos, dos ambientes empresariais informatizados com microcomputadores, redes de micros, conexo micro-mainframe e, mesmo, o centro de computao central -, os quais podem ser agentes de segurana, ou ainda, elementos que devam ser protegidos para a correta operacionalidade de informtica, tais como: Interferncias afetando a continuidade operacional das plataformas de informtica. COMPONENTES BSICOS DO SISTEMA ELTRICO DE UM AMBIENTE/PLATAFORMA DE INFORMTICA Incluir como componentes bsicos do sistema eltrico: quadro de alimentao geral de energia da concessionria do ambiente externo para a rea empresarial em que se encontra a plataforma de informtica; interface da regulao da alimentao geral; cabos de alimentao do quadro geral de energia para o quadro de distribuio da plataforma de informtica; quadro de distribuio da plataforma de informtica; cabos de alimentao individuais do quadro de distribuio para os equipamentos que compem a configurao das plataformas de informtica; atender s seguintes precaues principais: providenciar isolamento entre os circuitos eltricos; manter eletrodutos e eletrocalhas, para conduo de cabos eltricos, independentes, consoante as linhas de abastecimento para conforto do ambiente organizacional, configurao principal do computador, equipamentos perifricos e auxiliares; ter os eletrodutos metlicos adequadamente aterrados;

no compartilhar quadros de distribuio, nem utiliz-los como passagem para outros circuitos eltricos; quadros de distribuio devem ter portas e dobradias metlicas e estar, sempre, trancados a chave ou a cadeado; dimensionar adequadamente os elementos componentes dos quadros eltricos; observar as normas tcnicas para instalaes eltricas; registrar indicaes apropriadas nas chaves e botoeiras dos quadros de distribuio eltrica; estabelecer facilidades para ligar, desligar e realizar manuteno em todo o sistema eltrico;

fazer aterramento dos equipamentos integrantes no ambiente e das plataformas de informtica para: diminuir o nvel de eletricidade esttica no ambiente organizacional; limitar a possibilidade de rudos eltricos; evitar acidentes pessoais com energia eltrica. Choques eltricos de baixa tenso podem ter conseqncias graves, inclusive causar o morte por parada cardaca ou por insuficincia respiratria. Descargas estticas no so perigosas para as pessoas, mas causam desconforto e podem ocasionar problemas ao funcionamento dos equipamentos.

QUESTES A CONSIDERAR 1. Especifique medidas de segurana para proteo fsica de recursos materiais de informtica. 2. Por que a segurana ocupacional em informtica necessria? 3. Que consideraes de segurana devem ser feitas quando da elaborao do layout do ambiente de informtica? 4. Discuta a situao de segurana em informtica armazenagem externa de arquivos magnticos de informtica. 5. Quais so as precaues bsicas para deter violaes ao ambiente de informtica? 6. Discuta os critrios bsicos para o controle de acesso.

7. Quais as caractersticas de um sistema eficiente de combate a incndio? 8. Quais as caractersticas de piso falso em ambiente de informtica? 9. Quais os componentes bsicos de um sistema eltrico? 10. Quais as principais precaues com um sistema eltrico? Por que fazer aterramento com os equipamentos de um ambiente de informtica?