Mestrado em Ciência da Informação
Segurança da Informação nas Organizações
Ana Helena da Silva, MCI12017
Cristiana Raquel Coelho, MCI12013
Disciplina: Segurança da Informação
Docente/ Orientador: José Manuel Magalhães Cruz
Porto
2012/2013
Sumário
1. Introdução ............................................................................................................................ 3
2. A importância das Tecnologias da Informação e da Comunicação nas Organizações ........ 4
3. Princípios de Segurança ....................................................................................................... 5
3.1. Dificuldades na Segurança Informática.................................................................................... 7
3.2. Pré-condições para a segurança ................................................................................................ 7
4. A Segurança da Informação nas Organizações .................................................................... 9
5. Modelos e Políticas de Segurança nas Organizações ........................................................ 11
6. Importância da implementação de uma Política de Segurança numa Organização........... 14
7. Identificação e Autentificação do Controlo de Acesso ...................................................... 15
8. Segurança e Software......................................................................................................... 17
8.1. Software Malicioso e vírus digitais ........................................................................................ 17
8.1.1.
Tipificação de Software Malicioso ......................................................................................... 18
8.1.2.
Proteção e Detecção de Software Malicioso .......................................................................... 19
9. PwC implementa Sistema de Gestão de Segurança da Informação ................................... 21
10.
Conclusão .................................................................................................................... 23
11.
Bibliografia .................................................................................................................. 24
2/24
1.
Introdução
Este trabalho é realizado no âmbito da disciplina Segurança da Informação, lecionada
na Faculdade de Engenharia da Universidade do Porto (FEUP) pelo docente José Magalhães
Cruz.
Ao longo dos últimos anos têm ocorrido inúmeros problemas relacionados com a
segurança da informação. Um dos fatores causadores destes problemas refere-se ao aumento e
à difusão da Internet, isto porque, estamos suscetíveis à infecção através de software
malicioso, invasão de sistemas, fraudes internas e externas, furto de informações proprietárias,
entre outros.
Atualmente, a segurança da informação é um requisito fundamental para permitir à
empresa a competição numa economia globalizada com o objetivo de atingir resultados
sustentáveis a longo prazo. A crescente utilização das Tecnologias da Comunicação e da
Informação (TIC) possibilita vantagens competitivas criando fronteiras de segurança.
Deste modo, a abordagem tradicional de gestão da segurança torna-se inadequada,
uma vez que a segurança se encontra num contexto organizacional e operacional mais amplo.
Por isso, com a evolução das novas tecnologias é importante identificar, quantificar e
minimizar os riscos de forma a obter uma gestão de segurança mais eficaz.
Ao longo deste trabalho abordaremos assuntos relacionados com a Segurança da
Informação nas Organizações e o caso prático da PwC que implementou um Sistema de
Gestão de Segurança da Informação para se proteger e reduzir incidentes relacionados com a
perda e partilha de dados confidenciais com o mundo exterior.
Atualmente, a segurança da informação é um conceito que abrange diversas áreas,
mas, todas elas relacionadas com ambientes computacionais e com a integridade física e
lógica dos mesmos. A segurança da informação está relacionada com riscos e com a
precaução e minimização dos mesmos.
3/24
2.
A importância das Tecnologias da Informação e da Comunicação nas
Organizações
As Tecnologias da Informação e da Comunicação (TIC) desempenham um papel cada
vez mais importante numa organização.1
Com o crescimento exponencial da informação, a recolha, o armazenamento, o
processamento e a transmissão de informação tornaram-se processos cada vez mais relevantes
no seio de uma empresa.
Para proteger e garantir a segurança da informação é necessária a utilização de
Tecnologias da Informação e da Comunicação seguras, suscetíveis a falhas e com a garantia
de formação junto dos profissionais que lidam com os recursos e dados confidenciais.
Cada vez mais se assiste à necessidade de aplicação de medidas de segurança numa
organização, isto é, requerem medidas que se encontrem em ambientes difíceis e impossíveis
de atacar. Assim sendo, a implementação de uma cultura de segurança é cada vez mais
imprescindível num sistema de informação.
1
A importância das Tecnologias da Informação e da Comunicação nas Organizações feita com base em: Instituto
de Informática – Carta de princípios de Segurança Informática e privacidade. [Em linha]. Lisboa :
Ministério das Finanças, 2008. [Consult. 15 Novembro 2012]. Disponível em WWW: <URL: http://www.instinformatica.pt/o-instituto/instrumentos-gestao/seguranca-informatica-e-privacidade>
4/24
3. Princípios de Segurança
Para o processamento e armazenamento de informação em formato digital são
utilizados os sistemas informáticos. Desta forma, os sistemas informáticos estão relacionados
com a segurança de dados e da informação.2
Segundo Edward Waltz “os dados constituem observações individuais, medidas e
primitivas de mensagens, estando na base da comunicação humana, das mensagens textuais,
das interrogações electrónicas e nos instrumentos científicos de medição de fenómenos. A
informação consiste em conjuntos organizados de dados, sendo que este processo
organizacional pode incluir a ordenação, classificação, indexação e estabelecimento de
relações, de forma a colocar os dados num determinado contexto para subsequente pesquisa e
análise. A informação, uma vez analisada e compreendida, transforma-se em conhecimento.”
Os dados representam um fenómeno físico com o objetivo de desempenhar certos
aspectos do nosso mundo real e conceptual. Estes são usados para difundir e depositar
informação e para separar novas informações pela manipulação dos mesmos conforme regras
formais definidas.
À segurança informática acrescenta-se a dúvida em relação aos utilizadores sem
sensibilidade para as questões que estão inteiramente relacionadas com a segurança, isto é,
apesar destes possuírem requisitos de segurança não têm experiência nesta área. É a este
problema que os profissionais em segurança informática devem dar resposta, identificando e
desenvolvendo soluções que possibilitem respostas aos requisitos das organizações e dos
utilizadores.
Se o que pretendemos é a criação de sistemas que sejam seguros é necessária a
utilização de mecanismos que protejam e permitam atingir os objetivos inicialmente propostos
de forma a se conseguirem os níveis ambicionados. Como estes mecanismos podem ser
desenvolvidos sob diferentes panoramas, há que definir qual a incidência que os mesmos
devem ter.
Um dos motivos que causam vulnerabilidade na segurança deve-se à dificuldade em se
conseguir dar o mesmo grau de atenção aos diversos aspectos.
2
Princípios de Segurança feito com base em: MAMEDE, Henrique São - Segurança informática nas
organizações. Lisboa: FCA - Editora de Informática, 2006. p.4-10
5/24
O impacto que cada um dos elementos sofre quando é atribuído um nível de
ocorrência maior ou menor a cada um dos restantes também deve ser reflectido, isto porque o
mesmo tem influência no sistema final que se desenvolve.
A segurança tem a ver com o abrigo de bens, mas para isso estes têm de ser
conhecidos, assim como o respectivo valor de cada um. É este conhecimento que nos
possibilita a toma de diversos tipos de ação, designadamente:
 Prevenção: determinação do valor de cada bem e dos riscos a que o mesmo
está sujeito, na tentativa de os suprimir ou diminuir.
 Detecção: monitorização e acompanhamento persistentes que permitam
estabelecer com precisão quando passou o incidente, como aconteceu e quem
foi o culpado pelo mesmo.
 Reação: ações que podem ser tomadas no sentido de restituir a situação antes
do incidente, fazendo em simultâneo com que desapareça o risco de voltar a
acontecer o mesmo.
A segurança em sistemas informáticos, está relacionada com três aspectos principais:
 Confidencialidade: relacionada com a precaução da utilização não outorgada
de informação.
 Integridade: relacionada com a premunição da alteração não outorgada da
informação.
 Disponibilidade: relacionada com a precaução da retenção não outorgada de
informação ou recursos.
Não existe no entanto, uma definição unânime para a segurança de informação.
Existem autores que adicionam outros itens à lista cuja ordem também é discutida, como por
exemplo a autenticidade.
A segurança de sistemas informáticos tem de garantir cinco princípios,
designadamente:
 Confidencialidade: diz respeito ao estabelecimento de segredo, certificando
que sempre que algo ou alguém não tenha licença, não possa tomar
conhecimento de algo que está amparado.
 Integridade: diz respeito à segurança de que tudo está como deve estar e assim
se mantem ao longo do tempo.
 Disponibilidade: encarrega-se de defender que os recursos estão disponíveis
na altura em que são essenciais.
6/24
 Registo: diz respeito à recolha de informação sobre o uso dos sistemas e seus
recursos, garantindo a presença de dados para a execução de auditorias.
 Fiabilidade e segurança: dizem respeito à segurança de que os sistemas não
introduzirão modificações a dados e que o uso dos recursos deixará sempre
estes e os sistemas em estados intactos.
3.1. Dificuldades na Segurança Informática
Não existe uma definição exclusiva de segurança informática, mas sim linhas gerais
que nos podem levar a um nível de implementação que seja o apropriado para o nosso caso
em particular. Os problemas com a segurança estão relacionados com os indivíduos com
finalidades maliciosas. As ameaças aos dados provêm dos blackhats, dos crackers, dos
hackers, dos script kiddies, entre outros.3
Somos intimidados pelos indivíduos que tentam o acesso não outorgado ou a
utilização da nossa infraestrutura de computação. O indivíduo que tenta entrar no nosso
sistema é denominado de atacante e o indivíduo que consegue entrar nos nossos sistemas é o
intruso. A maioria dos atacantes provém do interior das organizações.
3.2. Pré-condições para a segurança
A segurança de uma instituição deve ser estudada num teor alargado, tendo em conta
diversos panoramas (dados, operações, aplicações, etc.). Devido a múltiplos assuntos
relacionados com a segurança de uma organização deve-se tentar alinhar todos os aspectos
que colaboram para a sua execução. Contudo, advoga-se muitas vezes à fixação desta
abrangência, por parte daqueles que estão responsáveis pela segurança da instituição, que se
fixam apenas nos temas ligados à segurança física, sendo o departamento da área de
informática que define e promove as restantes medidas de segurança sem uma política que
espelhe os preceitos de negócio nem os usos de auditorias. Assim sendo, acaba por não existir
3
Dificuldades na Segurança Informática feita com base em: MAMEDE, Henrique São - Segurança informática
nas organizações. Lisboa: FCA - Editora de Informática, 2006. p.10-13
7/24
um plano exclusivo (integrado) de segurança. A ausência de um plano adaptado de segurança
pode causar deficiências graves na instituição.4
A toma de percepção por parte dos profissionais responsáveis da entidade em relação
ao decurso de uma política de segurança estabelece a pré-condição fundamental para a
realização da mesma. A segurança de uma instituição deve arrogar-se como um método cujo
cumprimento a habilita no abrigo da sua infraestrutura assim como na fiscalização de ingresso
à sua informação. A implementação de uma política de segurança numa organização acessível
deverá ser o passo inicial para o aperfeiçoamento da segurança integral de qualquer
instituição.
A formação é outro passo importante e é encarada como algo desnecessário, mas tal
formação é elementar para a criação de um ambiente que circunde toda a organização,
devendo comunicar-se a todos os colaboradores com nitidez qual o seu papel em todo este
procedimento.
Após a determinação, documentação e comunicação de uma política acessível deve ser
avaliada a situação atual da instituição (ex. realização de auditorias). É também importante
manter um plano de segurança sólido ao longo do tempo. É imprescindível a presença de um
método constante no tempo, com diversas facetas.
A única forma para se conquistar segurança numa organização é administrar os
requisitos totais de segurança e do que é executável, mantendo-se atento e comunicado sobre
os riscos.
4
Pré-condições para a segurança feita com base em: MAMEDE, Henrique São - Segurança informática nas
organizações. Lisboa: FCA - Editora de Informática, 2006. p.13-16
8/24
4. A Segurança da Informação nas Organizações
Atualmente, não se pode afirmar que nenhuma organização possui as medidas de
proteção suficientes para se tornar segura. Cada vez mais se assiste a uma diversidade de
ataques que exploram vulnerabilidades de software, aplicacional ou de sistema operativo. Os
ataques mais frequentes são os de acesso remoto, as backdoors aplicacionais, os erros de
sistema de operativo, as bombas do correio electrónico, os vírus e o spam.5
O ataque de acesso remoto acontece quando o atacante consegue a capacidade de se
ligar ao computador de uma organização, de forma remota, e tomar controlo sobre este.
Os backdoors aplicacionais existem em muitos programas para possibilitar o acesso
remoto ou que ultrapasse medidas de segurança para a correção rápida de erros.
Os erros de sistema operativo são causados pelas vulnerabilidades existentes que vão
surgindo através do processo de criação do software bem como de algumas backdoors.
As bombas de correio electrónico apresentam-se, normalmente, como um ataque
dirigido em particular a alguém. O atacante envia a mensagem sucessivamente até ao sistema
de correio electrónico do destinatário já não poder aceitar mais mensagens.
Os vírus são a ameaça informática mais conhecida. Estes são pequenos programas
capazes de se copiarem a si próprios de computador para computador, disseminando-se
rapidamente entre sistemas.
A instalação de sistemas antivírus é essencial assim como a sua configuração de forma
a poderem executar-se automaticamente em cada arranque do sistema garantindo a protecção.
A actualização do sistema operativo também é importante.
O spam é o equivalente electrónico do correio não solicitado. As mensagens spam
podem ser muito perigosas uma vez que podem conter ligações para sites web que, ao serem
visitados, instalam no nosso sistema um script que, por sua vez, pode estabelecer uma
backdoor para o nosso sistema.
É necessário educar os utilizadores para que estes não reencaminhem ou distribuam
material relacionado com o trabalho. É, também, importante sensibilizá-los para não abrirem
anexos de mensagens de remetentes desconhecidos.
Existem várias políticas que podem contribuir para um nível de segurança consistente
no que diz respeito à proteção contra malware. A política de segurança deve ser constituída
5
A Segurança da Informação nas Organizações feita com base em: MAMEDE, Henrique São - Segurança
informática nas organizações. Lisboa: FCA - Editora de Informática, 2006. p.377-383
9/24
essencialmente por um programa de sensibilização e formação que capacite os utilizadores na
identificação de possíveis ameaças e a saber como proteger a organização.
O software malicioso constitui uma das principais preocupações para um
administrador de segurança de uma organização. Assim, deve desenvolver-se uma política de
segurança que enderece a ameaça aos sistemas e recursos de informação.
Apesar de inúmeras medidas que possam ser adoptadas no seio organizacional não se
pode confiar que estas sejam suficientes e que a organização está protegida relativamente a
ameaças. Existem muitos erros cometidos por autores menos informados ou consultores
menos cuidadosos ou, por se permitir menos rigor no processo de segurança.
10/24
5. Modelos e Políticas de Segurança nas Organizações
A política de segurança, dentro de uma organização, vai designar a segurança de
determinado sistema e esta pode ser formal ou informal. Quando falamos em modelos de
segurança, estamos a referir-nos a uma política de segurança em particular, ou então a um
conjunto de políticas. Nos modelos de segurança utilizam-se linguagens formais para a sua
explicação.6
As fontes para o desenvolvimento de uma política são variadas, pois intervêm os
factores internos e os factores externos. Assim sendo, internamente deve ser analisada a
missão e os objetivos da organização, as funções existentes, os riscos, as ameaças, os recursos
financeiros e todos os outros factores que constituem a empresa. Externamente os riscos
também devem ser analisados, bem como os custos e até mesmo as questões legais.
Uma política de segurança não pode nunca caracterizar-se por ser estática, visto que, a
sua adaptação às novas realidades que vão surgindo na empresa é fundamental, devendo ainda
conseguir adaptar-se às mais diversas situações que sucedem.
Ora, como já se referiu, os modelos de segurança que são integrados na organização
formalizam as políticas implementadas, sendo descritas as regras a adoptar. Irão, por isso, ser
apresentados modelos por vários autores, tendo em conta que os modelos podem ser
qualificados por “confidencialidade, integridade, híbridos, composição e não interferência e
baseados em critérios do senso comum”. Os modelos mais populares são o Modelo de BellLaPadula, o modelo de Harrisson-Ruzzo-Ullman, o modelo Chinese-Wall, o modelo de Biba,
o modelo de Goguen-Meseguer e o modelo de Sutherland.
Para implementar a política devem ser seguidas várias etapas (Hartley e Locke, 2001),
sendo a primeira a avaliação e entendimento das necessidades de segurança, depois se já
existirem políticas estas devem ser revistas. A terceira etapa consiste em definir os requisitos
de proteção e por fim deve ser realizada a formalização da política.
As principais características de uma política são a precisão, a perceptibilidade,
devendo esta explicar o motivo de ser utilizada e quem são os responsáveis pela mesma.
Os procedimentos para a implementação da segurança são executados em partes: o
objetivo, a descrição, as responsabilidades, a validade e a aprovação.
6
Modelos e Políticas de Segurança nas Organizações feito com base em: MAMEDE, Henrique São - Segurança
informática nas organizações. Lisboa: FCA - Editora de Informática, 2006. p.38-66
11/24
Um primeiro procedimento na implementação da segurança, consiste na autentificação
e controlo de acesso aos recursos tecnológicos e aos recursos de informação, através de
códigos PIN (Personal Identification Number), senhas, cartões e outros métodos, devendo terse em atenção os funcionários contratados, pois estes podem constituir também uma ameaça.
Neste sentido na criação e gestão de palavras-passe é fundamental existirem preocupações,
pois é necessário definir prazos de validade, critérios na criação, alterar senhas quando
necessário, tudo isto para evitar falsificações e outras fraudes.
O estabelecimento do nível de serviço é um acordo com os vários departamentos que
consiste em apresentar a garantia de assegurar os vários sistemas e aplicações ou indicar
alternativas e é outro dos comportamentos fundamentais.
Um procedimento que pode evitar catástrofes na organização e que é bastante
importante é a existência de cópias de segurança para a recuperação de documentos, devendo
estes backups serem regularmente verificados para que sejam mantidos e atualizados nas
melhores condições.
Deve existir uma gestão do perímetro de segurança que consiste em manter a estrutura
interna resguardada do mundo exterior, o que não é fácil, por exemplo, com a utilização da
Internet, e por isso para a utilização da mesma deve existir uma configuração estabelecida.
Para que se proteja o sistema, toda a rede deve ser controlada, criando limites de tráfego e de
acesso utilizando as firewall. Também todos os equipamentos de hardware devem ser
monitorizados.
Deve ser sempre realizada a formação e prática em segurança informática aos
funcionários, pois só assim a política será uma mais-valia, visto que será adequadamente
aplicada e deve neste mesmo âmbito informar os novos utilizadores de todos os
procedimentos relativos à política de segurança.
Um procedimento óbvio é a existência de critérios seguros na aquisição de produtos e
sistemas informáticos e após a posse dos mesmos é muito importante que só os funcionários
apropriados os utilizem, e mais ainda, só os funcionários especializados os podem reparar em
casos que sejam necessários. É obrigatório, evidentemente que estejam corretamente
instalados e bem acondicionados.
Uma ação também imprescindível é o controlo ao acesso físico às instalações que deve
estar bem definido e descrito, como todos os outros procedimentos.
Obviamente é muito importante, e ainda mais hoje em dia, que todo o sistema esteja
protegido contra todo tipo de malware.
12/24
Para concluir e não sendo menos importante deve existir um controlo no que diz
respeito ao correio electrónico não só para prevenir software malicioso como também para
garantir confidencialidade, por isso também deve ser descrita a utilização do email
institucional.
13/24
6.
Importância da implementação de uma Política de Segurança numa
Organização
A informação representa um recurso essencial numa organização. A perda de
confidencialidade, integridade ou disponibilidade pode causar uma perda de confiança nos
serviços que a empresa presta.7
Atualmente, as organizações e os respectivos sistemas de informação e redes estão
expostos a muitas ameaças relacionadas com a segurança. Os vírus, os hackers e outros
ataques têm-se tornado cada vez mais difíceis de resolver.
A informação é armazenada e transferida de diversas formas. Esta pode ser partilhada
através do correio tradicional, correio electrónico ou outros meios informáticos, escrita em
papel, etc. Esta informação deve ser protegida independentemente do seu suporte. Por isso,
algumas medidas devem ser tomadas numa organização:
 A proteção da informação deve ser ajustada à sua importância e valor;
 Apenas o detentor da informação pode permitir o acesso à mesma;
 A segurança da informação deve ser tão importante como o cumprimento dos
objetivos no seio de uma organização;
 A segurança da informação permite alcançar e manter um nível de qualidade
elevado. Para isso, deve ser criada uma equipa de gestão da segurança da
informação;
 A segurança da informação é um requisito essencial para o sucesso dos
serviços de uma organização. Assim, todos os colaboradores ou pessoas que
têm acesso à informação devem garantir a sua segurança e confidencialidade;
 É necessário adaptar de forma contínua as medidas de segurança de forma a
acompanhar modificações tecnológicas e/ou sociais.
7
Importância da implementação de uma Política de Segurança numa Organização feita com base em: Instituto
de Informática – Carta de princípios de Segurança Informática e privacidade. [Em linha]. Lisboa :
Ministério das Finanças, 2008. [Consult. 15 Novembro 2012]. Disponível em WWW: <URL: http://www.instinformatica.pt/o-instituto/instrumentos-gestao/seguranca-informatica-e-privacidade>
14/24
7.
Identificação e Autentificação do Controlo de Acesso
Atualmente, é necessária a existência de segurança informática nas organizações, uma
vez que protege o acesso não autorizado, ou seja, dá segurança aos dados para que estes não
se encontrem acessíveis a quem não estiver autenticado para os consultar. Além do mais, é
necessário proteger a informação em relação à sua utilização e modificação.8
É importante tentar definir o controlo de acesso, que se baseia na limitação do acesso
aos recursos de um sistema auxiliando apenas os servidores. Para além disso, este controlo
consiste em restringir o acesso físico a dispositivos de armazenamento de informação, entre
outros. Salienta-se que os controlos de acesso podem dividir-se em duas partes tais como:
controlos preventivos e controlos reativos. No que diz respeito aos controlos preventivos,
estes têm como finalidade evitar que os indivíduos que não fazem parte da entidade tenham
acesso às instalações de hardware (documentação de sistemas). Já os controlos reativos
destinam-se a alertar os controlos de acesso físico que estão a ser invadidos (ex. sensores).
Além dos controlos de acesso que foram mencionados, também existem outros como:
controlos de recuperação (recuperam alguns recursos que deixaram de existir).
É de grande importância afirmar que deve existir uma política de segurança nas
entidades institucionais, pois essa política tem como objetivo descrever os requisitos num
sistema e, sobretudo, proteger a informação existente nas instituições. Segundo Amoroso, o
modelo de segurança constitui um meio de formalização de políticas de segurança. Esta
formalização pode ser feita com base em dois paradigmas:
 O paradigma do controlo de acesso que consiste na existência de um sujeito
passivo a tentar aceder a um recurso.
 O paradigma do controlo de fluxo de dados que tem como finalidade o
controlo da informação que flui de um objeto para um sujeito passivo.
Relativamente aos modos de acesso temos que ter em conta que se podem dividir em
duas partes: o modo de observação (verifica o conteúdo do recurso, sem introduzir qualquer
modificação) e o modo de alteração (possibilita qualquer alteração ao objeto).
Já os direitos de acesso, têm como objetivo a definição de uma política de acesso. Os
direitos de acesso com mais relevância são: Execute, Read, Append, Write.
8
Identificação e Autentificação do Controlo de Acesso feita com base em: MAMEDE, Henrique São -
Segurança informática nas organizações. Lisboa: FCA - Editora de Informática, 2006. p.69-80
15/24
Uma lista de controlo de acesso (ACL) armazena os direitos de acesso que os
servidores terão na base de dados, ou seja, é um recurso de segurança que controla ou
determina o que cada utilizador pode executar. No entanto, tem como inconveniente a
dificuldade de possibilitar permissões de um servidor em particular. É importante afirmar que
existem premissas negativas, utilização de grupos, mecanismos de anéis de proteção,
utilização de privilégios e esquema de um sistema de segurança multinível. No que diz
respeito às premissas negativas, estas baseiam-se na definição de uma política de segurança.
Relativamente à utilização de grupos, estes servem para agrupar vários utilizadores. Já os
mecanismos de anéis de proteção baseiam-se na atribuição de servidores e objetos a um
respectivo anel. A utilização de privilégios tem como objetivo permitir que os sujeitos
executem operações. Por fim, o sistema de segurança de multinível corresponde a uma
sequência limitada de políticas de segurança.
Com o desenvolvimento das novas tecnologias, nomeadamente com a evolução da
digitalização, a informação pode ser codificada e transmitida mais facilmente. Para as
instituições assegurarem a documentação é necessário recorrer às tecnologias de cifra, uma
vez que disponibilizam os seguintes meios:
 Confidencialidade: tem como objetivo garantir e assegurar o conteúdo de uma
mensagem, evitando que possa ser acedido por outros servidores ou indivíduos.
 Identificação: é a identidade da fonte da mensagem ou da informação.
 Não-repudiação: garante que não é possível que alguém aceda à mensagem.
Assim, podemos afirmar que cifrar “é uma operação que consiste na transformação de
mensagens claras, legíveis e perceptíveis (...)”.
É fundamental que exista um sistema seguro para a segurança informática nas
entidades, uma vez que é essencial proteger a informação existente nas empresas. Por isso,
torna-se importante a existência de um sistema eficaz para ser capaz de verificar a identidade
dos utilizadores. É necessária a existência de passwords (palavras chave) para não permitirem
que qualquer sujeito faça a invasão aos recursos e, sobretudo, é fundamental que haja uma
política de segurança. Salienta-se também a importância da existência de autenticação e
autorização para o acesso à informação nas organizações.
16/24
8. Segurança e Software
Os problemas básicos relacionados com a segurança informática são oriundos de
software e de redes. O software malicioso ou malware tem sido uma das maiores intimações
aos sistemas e utilizadores.9
8.1. Software Malicioso e vírus digitais
O conceito malware foi concebido para endereçar a necessidade de detectar programas
ou software propositadamente gerados para atravessar um sistema, fragmentar as políticas de
segurança ou mesmo para acarretar assuntos maliciosos ou intencionalmente deteriorados.
Este termo tenta representar o conjunto de todos os tipos de software malicioso (vírus, vermes
ou bombas lógicas).10
O malware está apto para agredir e arruinar a integridade de um sistema de diversas
formas. Os vírus são por norma delimitados em termos da sua aptidão de se vincularem a
programas e assim sujeitarem a integridade das aplicações ou dos sistemas operativos, já que
alguns dos vírus são capazes de residir no sistema ou de se invocarem de cada vez que este
arranca.
O malware pode transportar assuntos que apagam ficheiros do sistema contaminado
ou mesmo, intrometer-se com dados de aplicações sujeitando a integridade dos mesmos
fazendo com que estes fiquem inválidos/ inutilizáveis. O malware pode assim sujeitar
aplicações e dados de forma a que estes fiquem totalmente inutilizáveis ou indisponíveis.
O êxito do malware está intimamente ligado à importância do sistema agredido no
ambiente computacional geral. Normalmente os ataques são feitos de modo aleatório fazendo
com que as tentativas em ambientes incompatíveis sejam ignoradas e as tentativas em
ambientes compatíveis tenham ou não êxito.
Os vírus digitais têm sofrido uma rápida evolução. A IBM (International Business
Machines) tem-se interessado em estudar as semelhanças e as dissemelhanças entre estes e os
vírus biológicos e as respectivas epidemiologias.
9
Segurança e software feita com base em: MAMEDE, Henrique São - Segurança informática nas
organizações. Lisboa: FCA - Editora de Informática, 2006. p.129
10
Software malicioso e vírus digitais feito com base em: MAMEDE, Henrique São - Segurança informática
nas organizações. Lisboa: FCA - Editora de Informática, 2006. p.132-135
17/24
O progresso dos vírus digitais tem acelerado de forma dramática devido ao rápido
desenvolvimento das tecnologias de informação assim como a homogeneização dos
computadores.
8.1.1. Tipificação de Software Malicioso
Ainda está por revelar o grau de risco do software astucioso, podendo este ser um
pequeno problema de abertura de janelas de forma constante com mensagens na interface do
utilizador, ou mesmo a destruição de ficheiros. De seguida, serão explicadas de forma
resumida os tipos de software malicioso (cavalos-de-tróia, vírus, vermes, rootkits, spyware,
adware, bombas lógicas, os hoaxes e pranks).11
Os cavalos-de-tróia são conhecidos por serem o maior grupo de software malicioso
depois dos vírus. São programas exequíveis que se camuflam no sistema destino como
programas verdadeiros mas que na verdade, efetuam atos astuciosos, atuando em background
durante a dissimulação da sua atividade como jogos ou proteções de ecrã.
O vírus informático é um programa pequeno criado para contagiar ficheiros digitais,
com intuitos que podem variar entre a abertura constante de janelas na interface de um
utilizador, assim como a demolição de dados, através da eliminação de ficheiros ou através da
formatação do disco rígido do computador. Os vírus informáticos possuem ainda outra
característica que se traduz na reprodução e propagação sem o conhecimento ou mesmo
autorização do utilizador do sistema contaminado.
Os vermes são uma variante dos vírus informáticos que são veiculados pela Internet,
carregando-se na memória dos sistemas que contagiam, explorando defeitos conhecidos
incitando a paragem destes. Os rootkits são aplicações usadas para arrogar o controlo global
de um sistema tendo sido vulgarizados nos sistemas Unix. São conjuntos de programas que se
mascaram como programas de linha de comando de administração ou se integram no kernel
(componente que gerência os recursos do sistema e que permite que os programas façam uso
dele) do sistema operativo.
O spyware é o nome outorgado à tecnologia que ajuda na colheita de informação sobre
o sistema que foi alvo de contágio e os utilizadores desse mesmo sistema. Adopta, muitas
vezes a forma de um programa que é ocultamente colocado num computador de modo a fazer
11
Tipificação de software malicioso feita com base em: MAMEDE, Henrique São - Segurança informática nas
organizações. Lisboa: FCA - Editora de Informática, 2006. p. 136-142
18/24
a recolha de informação sobre o utilizador e facultá-la a prováveis atacantes. O adware é uma
forma de spyware menos intrusiva. Pretende monitorizar a navegação na Internet, ou seja,
provoca a abertura de páginas não solicitadas pelo utilizador, forçando-o deste modo a ver o
interior das mesmas.
A bomba lógica é um programa que se exerce sob certas condições (data ou hora
exclusivas). São por norma introduzidas ou codificadas como sendo partes de determinada
aplicação no instante do seu progresso ou administração.
Os hoaxes possuem uma ligação dupla com os vírus. Constituem avisos sobre
presumíveis vírus, que evidentemente são inexistentes e costumam carregar consigo uma
diretiva para que o utilizador os reencaminhe (sem saber) a todos os contactos existentes no
seu livro de endereços. Por fim, os pranks constituem a cultura de computadores. Hoje em dia
podem ser conseguidos comercialmente como pacotes de software que efetuam artifícios, sem
contabilizar os produtos infinitos disponíveis como shareware.
8.1.2. Proteção e Detecção de Software Malicioso
No momento em que apreciamos os vírus digitais é necessário expor as três partes
estruturais que integram o mesmo: o mecanismo de replicação ou contaminação, o evento
que despoleta a respectiva ação e o playload.12
Podemos dizer que a única parte essencial no vírus é o mecanismo de replicação, isto
porque este código possibilita a reprodução do vírus. O mecanismo de replicação é composto
por diversas funções das quais se distinguem a aptidão de pesquisa dos objetos a atingir e a
própria infecção.
A pesquisa do objeto alvo a infectar, ou seja, do objeto apropriado, pode ser ativa ou
passiva. Ativa por se traduzir na pesquisa direta em listas de diretórios localizando no sistema
ficheiros de dimensões adequadas. Passiva no sentido de se despoletar em situações como a
infecção de cada ficheiro que é gravado no computador. Assim que é localizado o objeto,
várias precauções podem ser tomadas para evitar a detecção. Muitos dos vírus também
averiguarão se o objeto situado não estará já contaminado.
A próxima ação será a infecção que pode resumir-se na adição de uma nova secção de
código ao sector de arranque do sistema, adição de código a um programa, entre outras
12
Proteção e detecção de software malicioso feita com base em: MAMEDE, Henrique São - Segurança
informática nas organizações. Lisboa: FCA - Editora de Informática, 2006. p.142-146
19/24
medidas. Nesta fase de infecção podem ser também realizados passos de forma a desviar a
detecção de vírus. O segundo mais valorizado componente de um vírus é o evento que
despoleta a sua ação, que faz com que o vírus efetue a procura de um determinado número
de infecções. Se por um lado, um vírus possui a capacidade que despoleta dada ação, também
possui um playload. O playload pode arrogar diversas formas de uma mensagem que surge
uma vez exclusiva no ecrã que leva o utilizador a formatar o disco rígido do sistema.
20/24
9.
PwC implementa Sistema de Gestão de Segurança da Informação
As empresas têm vindo a valorizar as suas Políticas de Segurança da Informação,
investindo muitas vezes verbas que estavam destinadas a outras áreas.13
Cada vez mais as organizações enfrentam riscos significativos e complexos. A
proteção dos recursos humanos, dos processos e da tecnologia é cada vez mais difícil. O
conceito de “segurança” tem mudado de paradigma e passou a incluir a proteção da marca,
propriedade intelectual, falsificação, perdas, comércio paralelo, fraude online e fraude
tradicional.
O Facebook, Twitter, LinkedIn e outras redes sociais permitem a comunicação entre a
empresa e os clientes de forma prática, mas também permitem a partilha de dados e
informação confidencial com o mundo exterior de forma fácil. As empresas combatem de
forma geral, as ameaças de segurança colocadas pelas redes sociais e outras tecnologias da
Web 2.0, como blogues e wikis, recorrendo a tecnologias de segurança.
De acordo com a PwC Global of Information Security Survey de 2011, 77% das
empresas não possuem políticas e práticas de segurança específicas para a utilização
corporativa de redes sociais, ou seja, da tecnologia Web 2.0.
É importante referir que a segurança da informação é um problema organizacional e
não um problema de Tecnologias de Informação. Mais de 70% das ameaças são internas e
60% das fraudes são praticadas por pessoas que nunca fizeram este tipo de crime.
Para a implementação de um Sistema de Gestão de Segurança da Informação é
necessário fazer uma abordagem baseada nos processos e a existência de cooperação entre os
processos que integram a cadeia de valor. Estas atividades requerem o conhecimento da
cultura organizacional, do ambiente interno e externo da empresa, dos processos, objetivos de
negócio, fluxos e tecnologias de informação.
Assim, a ISO 27001 foi elaborada para estabelecer um modelo robusto de sistema de
gestão para governar a segurança dos sistemas de informação, exigindo a existência de uma
estrutura de gestão baseada na ISO 9001 e a aplicação de controlos indicados na ISO 27002
13
Testemunho real retirado de: AMADOR, Cristina Pacheco – Testemunho: A importância de um sistema de
gestão de segurança da informação. [Em linha]. [S.l : s.n.]. [Consult. 21 Novembro 2012]. Disponível em
WWW:
<URL:http://www.apcer.pt/index.php?option=com_content&view=article&id=326%3Atestemunho-a-
importancia-de-um-sistema-de-gestao-de-seguranca-da-informacao&Itemid=491&lang=pt>
21/24
que estabelece as directrizes e princípios gerais para implementar, manter e melhorar a gestão
da segurança da informação dentro de uma organização.
A PwC utiliza a ISO 27001 como benchmark para gerir a segurança da sua
informação, bem como aquela que lhe é confiada pelos seus clientes. As vantagens desta
abordagem dizem respeito à diminuição de custos como consequência da diminuição de
incidentes e investigação operacional de processos numa perspectiva preventiva, uma gestão
de riscos objetiva e a inexistência de sistemas de informação redundantes, a existência de um
plano de continuidade de negócio, a eliminação de perda de informação, a abrangência de
todos os aspectos de segurança da informação e a garantia da confidencialidade da sua
informação comercial, dos colaboradores e dos clientes.
22/24
10. Conclusão
O desenvolvimento deste trabalho foi importante na medida em que nos ajudou a
adquirir alguns conceitos e a perceber o quão importante é a segurança da informação nas
organizações. Foi abordado este tema com o intuito de compreender como é essencial a
existência de métodos ou medidas para que este problema diminua.
A segurança da informação é uma prioridade cada vez mais relevante numa
organização. Esta é encarada como um requisito essencial para a garantia de vantagens
competitivas a longo prazo. Com a crescente utilização das Tecnologias da Informação e da
Comunicação verifica-se a obtenção de resultados sustentáveis nos processos de negócio,
expandindo desta forma as fronteiras da segurança.
Devido às crescentes ameaças aos sistemas existe a necessidade da gestão da
segurança num contexto organizacional e operacional. A informação é um bem precioso
dentro de uma organização e deve ser protegida de forma adequada. A segurança da
informação protege a informação contra as ameaças. Esta é obtida através da implementação
de um conjunto de controlos que podem ser: práticas, procedimentos, políticas, funções de
software, entre outras.
Devido à difusão da Internet, a informação tornou-se um meio de negócio mas
também alvo de ataques que colocam em risco a segurança de uma organização. A facilidade
de ataque através da Internet aumentou. Devido ao seu crescimento exponencial outros
factores contribuíram para impulsionar o crescimento dos incidentes relacionados com a
segurança. Um destes factores deve-se às vulnerabilidades existentes nos sistemas.
Assim, a implementação de uma política de segurança para proteger os sistemas contra
os tipos de malware é fundamental. Para além disso, pensamos que toda a informação numa
organização deve conter a autenticação para o controlo do acesso à mesma, isto é, os sujeitos
devem ter requisitos para utilizarem, modificarem ou eliminarem os dados ou a documentação
que faz parte da entidade. Por isso, a elaboração de uma lista de controlo de acesso é
importante, visto que controla o que cada utilizador pode executar.
Além disso, concluímos que é indispensável que todas as empresas implementem um
sistema que garanta a confidencialidade da informação relativamente aos indivíduos que não
estão autenticados.
Este assunto continua a ser muito problemático portanto colocamos a questão: “Será
que todas as entidades possuem algum sistema de Segurança de Informação seguro?”.
23/24
11. Bibliografia
AMADOR, Cristina Pacheco – Testemunho: A importância de um sistema de
gestão de segurança da informação. [Em linha]. [S.l : s.n.]. [Consult. 21 Novembro 2012].
Disponível
em
WWW:
<URL:http://www.apcer.pt/index.php?option=com_content&view=article&id=326%3Ateste
munho-a-importancia-de-um-sistema-de-gestao-de-seguranca-dainformacao&Itemid=491&lang=pt>
Instituto de Informática – Carta de princípios de Segurança Informática e
privacidade. [Em linha]. Lisboa : Ministério das Finanças, 2008. [Consult. 15 Novembro
2012]. Disponível em WWW: <URL: http://www.inst-informatica.pt/o-instituto/instrumentosgestao/seguranca-informatica-e-privacidade>
MAMEDE, Henrique São - Segurança informática nas organizações. Lisboa: FCA Editora de Informática, 2006. ISBN 978-972-722-441-8.
SELLA, Danilo (Org.) - Segurança da informação: um diferencial determinante
na competitividade das corporações. São Paulo : Promon, 2005. [Consult. 19 Outubro
2012].
Disponível
em
WWW:
<URL:
http://www.promon.com.br/portugues/noticias/download/Seguranca_4Web.pdf>
VALDEZ, Fernando - Falar de tecnologia. [Em linha]. [S.l : s.n.]. [Consul.19
Outubro 2012]. Disponível em WWW: <URL: http://falardetecnologia.com/?p=1>
24/24