SEGURANÇA, CONTROLE E
AUDITORIA DE DADOS
6 – Riscos Envolvendo Informação
RISCOS


Advento do processamento de informações
usando computadores modernos: concentração
em um único lugar de um grande volume de
informações.
Microcomputadores, Redes, Internet: riscos
agravados, devido à disseminação da cultura de
informática em segmentos expressivos da
sociedade.
RISCOS

A mesma facilidade proporcionada pelos
computadores também implica alto risco de
violação. O mesmo programa usado pelo diretor
de marketing para emitir um relatório de
projeção de vendas pode ser usado por um
“espião” para emití-lo para a empresa
concorrente.
RISCOS


Expansão dos microcomputadores: pessoas com
pouco ou nenhum contato anterior com
computadores, sem nenhuma cultura prévia de
informática, tratam os computadores como mais
um equipamento de escritório, que supostamente
não exige nenhuma medida especial de proteção.
Até o início dos anos 80, a segurança de
informática era preocupação maior apenas nos
meios militares e governamentais.
CONCENTRAÇÃO DE INFORMAÇÕES


Esse problema já existia, mesmo antes ao
advento
dos
computadores.
Porém,
os
computadores tornaram esse esse problema
muito mais crítico devido à altíssima e crescente
capacidade de armazenamento de informações
dos mesmos.
Qualquer microcomputador já vem com mídia
magnética ou óptica com capacidade mínima da
ordem de gigabytes. Além disso, um disco rígido
de vários gigabytes pode caber dentro de bolsos.
CONCENTRAÇÃO DE INFORMAÇÕES



A Internet ampliou ainda os riscos ao interligar
dezenas de milhares de sites ao redor do mundo.
Um eventual atacante pode ter acesso a
informações
não
acessíveis
antes
da
popularização da rede.
Além do roubo de informações, há que se
considerar os ataques de “negação de acesso”
(DoS), que podem restringir a sua capacidade
operacional.
CONCENTRAÇÃO DE INFORMAÇÕES


Quanto menor o espaço de armazenamento para
o mesmo volume de informações, mais facilmente
elas podem ser fisicamente destruídas.
Os meios de registro informatizados são todos
inflamáveis, não suportando altas temperaturas
por mais do que alguns minutos.
ACESSO INDISCRIMINADO


Mesmo com a melhoria de condições de segurança
física nos últimos anos, muitos CPDs ou
servidores de redes ainda estão em ambientes de
fácil acesso.
Mais grave ainda é a falta de critério no controle
do acesso lógico às informações.
ACESSO INDISCRIMINADO


Ainda hoje é muito comum usuários terem acesso
a mais informações do que as necessárias para
executar as suas funções.
Há muitos casos também onde usuários
compartilham os mesmos recursos, sem que haja
controle sobre o seu uso (senhas compartilhadas,
por exemplo).
ACESSO INDISCRIMINADO


As redes de microcomputadores agravaram para
o problema do acesso indiscriminado, pois várias
redes não possuem ferramentas de segurança de
acesso adequadamente instaladas.
Mesmo onde tais ferramentas existem, muitas
estações, e até servidores, estão em local de fácil
acesso físico, possibilitando o roubo físico dos
disco rígidos das mesmas.
OBSCURIDADE DAS INFORMAÇÕES

Devido ao fato das informações não serem
“visíveis” diretamente, as mesmas são de difícil
controle e podem ser mais facilmente roubadas
ou fraudadas.
CONCENTRAÇÃO DE FUNÇÕES


A concentração de funções permite que um
mesmo indivíduo adquira o conhecimento
necessário para executar fraudes e, ao mesmo
tempo, saiba como obter vantagens com as
informações que manuseia.
Torna a organização vulnerável ao humor e
caráter desses indivíduos.
FALTA DE CONTROLE


A falta de controle não é conseqüência da
informática, porém a velocidade com que as
informações são processadas e acessadas torna o
problema mais sério.
Pode implicar a impossibilidade de se descobrir
irregularidades ou a descoberta somente após a
ocorrência das mesmas, quando muito pouco pode
ser feito para remediar a situação.
FALTA DE CONTROLE

A falta de controle em relação aos acessos à
Internet, ou da Internet em relação à rede da
organização abre as portas para milhões de
atacantes em potencial, grande parte deles com
interesse em obter lucros financeiros com suas
informações.
RETENÇÃO


Informações armazenadas em meios de registros
informatizados não são realmente apagadas
quando se elimina o arquivo a elas associado.
No lapso de tempo entre a eliminação do arquivo
e a real destruição dos dados, um eventual
violador com o conhecimento necessário de
computação pode acessar essas informações.
RETENÇÃO

Existem diversos programas utilitários capazes
de recuperar arquivos que tenham sido
eliminados dos diretórios dos discos e que são do
conhecimento
geral
entre
usuários
de
computadores.
RELACIONAMENTO E COMBINAÇÃO DE
INFORMAÇÕES


Antes do advento da informática, era mais difícil
cruzar informações de diversos arquivos para se
obter uma nova informação.
A facilidade de se recuperar e cruzar informações,
principalmente em bancos de dados relacionais,
pode levar à revelação de informações sigilosas ou
até mesmo à invasão de privacidade das pessoas.
RELACIONAMENTO E COMBINAÇÃO DE
INFORMAÇÕES


Informações inocentes, que foram armazenadas
individualmente e sem maior proteção, quando
combinadas com outras entre si podem gerar
novas informações de natureza altamente valiosa
para empresas e indivíduos.
No caso da Internet, informações da organização
atacada podem ser combinadas com outras,
obtidas de outros ambientes, ampliando o risco.
INTRODUÇÃO DE ERROS



Velho ditado em informática: "O lixo que entra é
o lixo que sai.".
Na realidade, o lixo é muito maior, pois os
computadores têm o poder de multiplicação.
Um erro introduzido em determinada fase do
processamento, seja através dos dados, seja
através de programas, se não for descoberto a
tempo pode se propagar rapidamente, tornando
difícil e cara a sua eliminação.
INTRODUÇÃO DE ERROS


Quanto mais aumenta a capacidade dos
computadores, mais grave se torna este risco.
A introdução de dados espúrios, através de
ataques pela Internet, agrava ainda mais a
situação.
LEALDADE DOS PROFISSIONAIS



É um problema muito sério na área de
informática,
devido
à
concentração
de
informações vitais em um único lugar e, às vezes,
em um único profissional.
Não é só uma questão de salários, mas também
envolve o relacionamento humano.
Eventuais descontentamentos nunca devem ser
deixados sem solução.
LEALDADE DOS PROFISSIONAIS

Funcionários demissionários não devem, em
hipótese nenhuma alguma, continuar a ter acesso
a facilidades computacionais, muito menos acesso
externo à rede (por meio da Internet ou acesso
remoto privado).
ACESSO NÃO AUTORIZADO


Para todos os efeitos práticos, as tentativas de
acesso não autorizado não se diferenciam do
acesso indiscriminado.
Entretanto, após o advento do processamento em
tempo real, o problema tornou-se mais sério.
ACESSO NÃO AUTORIZADO


Associados
ao
acesso
não
autorizado,
encontramos alguns termos que se tornaram
comuns
até
mesmo
na
imprensa
não
especializada.
São: os "hackers", os vírus, a bomba lógica, o
cavalo de Tróia e o alçapão ("trap door").
ACESSO NÃO AUTORIZADO


"Hackers" - aficionados por informática,
normalmente com alto grau de inteligência e
capacitação no ramo.
Sua principal diversão é conseguir ultrapassar
barreiras de acesso dos grandes sistemas de
computação que operam em rede, principalmente
na Internet.
ACESSO NÃO AUTORIZADO


O risco envolvido com "hackers" é crescente,
devido não somente à popularização da Internet,
mas também devido à constante troca de
informações entre os hackers e à própria
divulgação de informações na área de invasão de
sistemas em rede.
Encontra-se hoje, em qualquer livraria ou banca
de jornais, informações sobre técnicas de invasão
de sistemas, antes restritas a uns poucos
"iniciados“.
ACESSO NÃO AUTORIZADO



Vírus - suspeita-se que os primeiros vírus foram obra
de empresas fabricantes de software, que intentavam
proteger seus produtos contra cópias não autorizadas.
Normalmente, os vírus são raros em computadores de
grande porte, ocorrendo com mais freqüência em
microcomputadores.
Podem ser classificadas na categoria de vírus, a
bomba lógica e sua variante, a bomba-relógio, o cavalo
de Tróia e os alçapões ("trap doors" e "backdoors").
ACESSO NÃO AUTORIZADO



Bomba lógica - também conhecida como bombarelógio, pois na maioria dos casos o disparo é
efetuado pela data do sistema, causando danos ao
sistema onde foi instalada.
É talvez a forma de modificação não autorizada
mais difícil de ser detectada e potencialmente
mais perigosa.
Pode ser obra de funcionários, ou ex-funcionários,
descontentes com a empresa.
ACESSO NÃO AUTORIZADO


Cavalo de Tróia - o nome se deve ao fato de
funcionar através de estratégia similar ao
mitológico cavalo da guerra de Tróia, na Grécia
antiga.
O meio de infiltração pode ser através de um jogo
interessante ou desafiador, através de um
programa similar aos sistemas de captação e
verificação de senhas em terminais e estações de
trabalho de redes.
ACESSO NÃO AUTORIZADO

Enquanto capturar informações valiosas como o
senha do usuário, o sistema pode estar enviando
essa e outras informações ao seu autor
(provavelmente um "hacker" interessado em uma
posterior invasão ao sistema alvo) e ainda
realizando operações não autorizadas no sistema,
tais como eliminação de arquivos, alteração de
dados, etc.
ACESSO NÃO AUTORIZADO


Alçapão - modo de acesso ao sistema que de
outra
forma não
seria permitido; seu
funcionamento é similar às passagens secretas
dos castelos medievais.
São também chamados de "trap doors" ou
"backdoors".
ACESSO NÃO AUTORIZADO


Atualmente, uma das principais portas de
entrada para acessos não autorizados é a
Internet.
O controle de acesso nos dois sentidos deve ser
rígido para redes interligadas à Internet,
principalmente no tráfego de fora para dentro.
QUEBRA DE INTEGRIDADE


É comum, na maioria das organizações,
funcionários terem acesso a mais informações do
que as necessárias para o desempenho de suas
funções.
Isso pode acarretar conflitos de acesso, com o
risco de dois ou mais usuários atualizarem a
mesma informação de maneira praticamente
simultânea; certamente, a última sobrepondo a
primeira.
QUEBRA DE INTEGRIDADE

Como decorrência do acesso não autorizado ou
indiscriminado, uma organização pode incorrer
no risco de não ter como garantir a integridade
das
informações
armazenadas
em
seus
computadores.
TÉCNICAS DE DEFESA


Existe um sem número de técnicas de defesa que
podem ser usadas para prevenir e ou combater os
efeitos dos riscos aqui mencionados.
Como tais técnicas vão ser tratadas com maior
grau de detalhes mais adiante, vamos somente
citar algumas das principais.
TÉCNICAS DE DEFESA




Implantação efetiva de uma política de segurança
da informação;
Manutenção permanente de cultura formal e
informal de segurança;
Uso de softwares de administração de redes;
Uso de softwares de segurança (autenticação,
firewall, sistemas de detecção de intrusão,
antivírus, etc.);
TÉCNICAS DE DEFESA




Uso de softwares de
configuração de software;
gerenciamento
de
Implantar sistema de controle de mídia usada
para cópias de segurança (fitoteca, discoteca);
Uso de ferramentas de análise de desempenho de
sistemas operacionais;
Uso de pacotes de administração de espaço em
disco;
TÉCNICAS DE DEFESA


Manutenção de disciplina de uso de chaves de
acesso individuais para cada funcionário
autorizado a acessar facilidades computacionais;
Evitar
ao
máximo
o
acúmulo
de
responsabilidades e funções nas mãos de poucas
pessoas;
TÉCNICAS DE DEFESA

Manutenção de documentação organizada e
atualizada, tanto para a infra-estrutura da
plataforma computacional, quanto para os
aplicativos desenvolvidos e instalados nessa
plataforma.
SEGURANÇA, CONTROLE E
AUDITORIA DE DADOS
6 – Riscos Envolvendo Informação