Segurança de Dados.pdf

Série tecnologia da informação (TI)
SEGURANÇA DE
DADOS

Série TECNOLOGIA DA INFORMAÇÃO (TI)
segurança de
dados

CONFEDERAÇÃO NACIONAL DA INDÚSTRIA – CNI
Robson Braga de Andrade
Presidente
DIRETORIA DE EDUCAÇÃO E TECNOLOGIA - DIRET
Rafael Esmeraldo Lucchesi Ramacciotti
Diretor de Educação e Tecnologia
SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL – SENAI
Conselho Nacional
Robson Braga de Andrade
Presidente
SENAI – Departamento Nacional
Rafael Esmeraldo Lucchesi Ramacciotti
Diretor-Geral
Gustavo Leal Sales Filho
Diretor de Operações

Série tecnologia da informação (TI)
segurança de
dados

SENAI
Serviço Nacional de
Aprendizagem Industrial
Departamento Nacional
Sede
Setor Bancário Norte • Quadra 1 • Bloco C • Edifício Roberto
Simonsen • 70040-903 • Brasília – DF • Tel.: (0xx61) 3317-
9001 Fax: (0xx61) 3317-9190 • http://www.senai.br
© 2012. SENAI – Departamento Nacional
© 2012. SENAI – Departamento Regional de Goiás
A reprodução total ou parcial desta publicação por quaisquer meios, seja eletrônico, mecâ-
nico, fotocópia, de gravação ou outros, somente será permitida com prévia autorização, por
escrito, do SENAI.
Esta publicação foi elaborada pela equipe do Núcleo de Educação a Distância do SENAI de
Goiás, com a coordenação do SENAI Departamento Nacional, para ser utilizada por todos os
Departamentos Regionais do SENAI nos cursos presenciais e a distância.
SENAI Departamento Nacional
Unidade de Educação Profissional e Tecnológica – UNIEP
SENAI Departamento Regional de Goiás
Núcleo de Educação – NED
______________________________________________________________
S477s
SENAI-Departamento Regional de Goiás
Segurança de dados/SENAI – Departamento Regional de
Goiás –Goiânia, 2012.
140p.: il.
1. Segurança da informação. 2.Normas e legislação de software.
3., Política de segurança. 4. Backup. 5. Educação a distância
I. Autor. II. Título.
CDD – 004
______________________________________________________________

Lista de ilustrações
Figura 1 - Segurança........................................................................................................................................................16
Figura 2 - Exemplo de percepção de segurança....................................................................................................17
Figura 3 - Características básicas da segurança da informação.......................................................................19
Figura 4 - Total de incidentes reportados – 1999 a 2011....................................................................................25
Figura 5 - Sistema de gestão de segurança.............................................................................................................30
Figura 6 - Plan-Do-Check-Act.......................................................................................................................................33
Figura 7 - Gestão do risco...............................................................................................................................................38
Figura 8 - Ameaças...........................................................................................................................................................41
Figura 9 - Campanha no Brasil contra pirataria......................................................................................................52
Figura 10 - Kevin David Mitnick ..................................................................................................................................60
Figura 11 - E-mail falso enviado em nome do TSE................................................................................................64
Figura 12 - Atualização do navegador Opera.........................................................................................................65
Figura 13 - Esquema de um firewall.........................................................................................................................67
Figura 14 - Autenticação por impressão digital.....................................................................................................71
Figura 15 - Autenticação por biometria....................................................................................................................71
Figura 16 - Criptografia...................................................................................................................................................75
Figura 17 - Uso de criptografia no navegador........................................................................................................77
Figura 18 - Download do BlowFish.............................................................................................................................79
Figura 19 - Instalação BlowFish 1................................................................................................................................79
Figura 24 - Final da instalação......................................................................................................................................81
Figura 25 - Adiconando o arquivo Word no BlowFish.........................................................................................81
Figura 26 - Executando a cifragem com BlowFish................................................................................................82
Figura 27 - Passo 6............................................................................................................................................................82
Figura 28 - Informando a senha...................................................................................................................................82
Figura 29 - Final da criptografia...................................................................................................................................83
Figura 30 - Ver o arquivo.................................................................................................................................................83
Figura 31 - Digitando a senha criada.........................................................................................................................83
Figura 32 - Informação de descriptografia..............................................................................................................84
Figura 33 - Certificado digital.......................................................................................................................................84
Figura 34 - ICP Brasil.........................................................................................................................................................87
Figura 35 - Certificado digital.......................................................................................................................................87
Figura 36 - Ameaças.........................................................................................................................................................94
Figura 37 - Analogia à política de backup..............................................................................................................97
Figura 38 - Equipe.............................................................................................................................................................99
Figura 39 - Backup automatizado.............................................................................................................................103

Figura 40 - Tela principal do Microsoft Backup..................................................................................................105
Figura 41 - Arquivos de log do sistema de backup e restauração................................................................109
Figura 42 - Cópias de segurança...............................................................................................................................110
Figura 43 - Sala cofre para equipamentos de informática..............................................................................115
Figura 44 - Sistema IDS................................................................................................................................................123
Figura 45 - Infraestrutura redundante....................................................................................................................127
Quadro 1 - Habilitação Profissional Técnica em Manutenção e Suporte em Informática........................13
Quadro 2 - Plan-Do-Check-Act......................................................................................................................................33
Quadro 3 - Capítulos da norma ISO 27001................................................................................................................35

Sumário
1 Introdução.........................................................................................................................................................................13
2 Segurança da Informação............................................................................................................................................15
2.1 O que é segurança?.....................................................................................................................................16
2.2 O que é a segurança da informação......................................................................................................19
2.3 Características da segurança da informação......................................................................................21
2.4 A importância da segurança da informação......................................................................................23
3 Normas e Legislação de Software.............................................................................................................................27
3.1 Normas sobre a segurança da informação.........................................................................................28
3.2 O que é um sistema de gestão de segurança da informação......................................................29
3.3 Implantação de um sistema de gestão de segurança da informação -
norma ISO 27001.........................................................................................................................................31
3.4 Requisitos da norma ISO 27001..............................................................................................................34
3.5 A certificação NBR/ISO 27001..................................................................................................................36
3.6 O que são riscos?..........................................................................................................................................38
3.7 O que são ameaças?....................................................................................................................................40
3.8 O que são vulnerabilidades?....................................................................................................................42
3.9 O que é análise de riscos?..........................................................................................................................44
3.10 Tipos de licenças de softwares...............................................................................................................46
3.11 Direitos proprietários e direitos de uso.............................................................................................48
3.12 Legislação brasileira em vigor...............................................................................................................51
4 Política de Segurança....................................................................................................................................................57
4.1 O que é uma política de segurança.......................................................................................................58
4.2 Segurança em redes de computadores...............................................................................................59
4.3 Segurança em servidores..........................................................................................................................62
4.4 Segurança na internet................................................................................................................................64
4.5 Firewall..............................................................................................................................................................67
4.6 Controle de acesso.......................................................................................................................................69
4.7 Política de senhas.........................................................................................................................................72
4.8 O que é criptografia.....................................................................................................................................74
4.9 Utilização de criptografia..........................................................................................................................76
4.10 Prática de utilização de criptografia....................................................................................................78
4.11 Certificados digitais...................................................................................................................................84
4.12 Infraestrutura de chaves públicas........................................................................................................86
4.13 Aplicação de política de segurança....................................................................................................88
4.14 Prática com politica de seguranca.......................................................................................................90
5 Backup.................................................................................................................................................................................93
5.1 O que é backup..............................................................................................................................................94
5.2 Tipos de backup............................................................................................................................................95

5.3 Política de backup........................................................................................................................................97
5.4 Criação e implantação de políticas de backup..................................................................................99
5.5 Automatização de backup......................................................................................................................101
5.6 Mecanismos de backup...........................................................................................................................103
5.7 Ferramenta de backup do Windows 7...............................................................................................105
5.8 Prática de ferramenta de backup do Windows 7............................................................................106
5.9 Registros de log do backup....................................................................................................................108
5.10 Prática: verificar log de backup..........................................................................................................109
5.11 Armazenamento de backup................................................................................................................110
5.12 Mídias de armazenamento..................................................................................................................112
5.13 Segurança física.......................................................................................................................................114
6 Ferrramentas de segurança.....................................................................................................................................119
6.1 Ferramentas de análise de vulnerabilidade.....................................................................................120
6.2 Sistemas de detecção de invasão........................................................................................................121
6.3 Ferramentas de log e auditoria............................................................................................................123
6.4 Disponibilidade..........................................................................................................................................125
6.5 Redundância...............................................................................................................................................126
Referências.........................................................................................................................................................................131
Minicurrículo do Autor..................................................................................................................................................133
Índice...................................................................................................................................................................................137

1
Caro aluno, nesta unidade curricular você conhecerá os fundamentos de segurança de da-
dos, os quais o auxiliarão na compreensão de conceitos, normas e procedimentos de proteção
de informação.
Aprenderá assuntos sobre Segurança da Informação, Normas e Legislação de Software, Po-
lítica de Segurança e Backup, visando ao desenvolvimento de capacidades organizativas e me-
todológicas para que você alcance o mais alto nível de excelência no exercício de sua atividade.
A seguir, são descritos na matriz curricular os módulos e as unidades curriculares do curso,
assim como suas cargas horárias.
Quadro 1 - Habilitação Profissional Técnica em Manutenção e Suporte em Informática
Módulos
Unidades
curriculares
Carga
horária
Carga horária
do módulo
Básico
•
Fundamentos para DocumentaçãoTécnica 140h
320h
• Eletroeletrônica Aplicada 120h
•
Terminologia de Hardware, Software e Redes 60h
Específico I
• Arquitetura e Montagem de Computadores 160h
880h
• Instalação e Manutenção de Computadores 250h
• Instalação e Configuração de Rede 160h
• Segurança de Dados 50h
• Sistemas Operacionais 120h
• Tendências e DemandasTecnológicas emTI 60h
• Gerenciamento de Serviços deTI 80h
Introdução

2
Segurança da Informação
A proposta deste capítulo é apresentar conceitos básicos sobre segurança, para contribuir
na proteção de algo que nos é muito valioso, a informação. A Segurança de Dados ou Infor-
mação é uma área que evoluiu nos últimos anos e nos proporciona o uso de excelente apoio
tecnológico e jurídico.
Hoje, os computadores estão criticamente expostos a invasões, sobretudo através da inter-
net, e são visados por pessoas mal-intencionadas que querem se apropriar indevidamente de
informações pessoais, bancárias e ou outros dados que sejam úteis para seus propósitos. Como
bom profissional, você deve aprender a proteger essas informações.
Ao terminar este capítulo você estará apto a:
a) definir o que é segurança;
b) descrever o que é segurança da informação;
c) descrever as características da segurança da informação;
d) compreender e descrever a importância da segurança da informação.
Você, de maneira geral, aprenderá os conceitos apresentados e como aplicá-los. Estude para
dominar esse conhecimento e ter sucesso no mercado profissional!

segurança de dados
16
2.1 O QUE É SEGURANÇA?
A palavra “segurança” deriva do latim segurus, que significa aquilo que se
encontra firme, livre de perigo. No entanto, a definição mais encontrada para o
termo é: “Segurança é a percepção de se estar protegido de riscos, perigos ou
perdas”. Veja um exemplo:
ENTÃO, AGORA SÓ
PRECISO FICAR
SENTADO
ESPERANDO A
RECOMPENSA DO
GOVERNO POR
ACHAR UMA
FALHA NA SUA
SEGURANÇA...
CONSEGUI INVADIR
O SISTEMA DO
GOVERNO.
SENHOR, PODEMOS
CONVERSAR UM
MINUTO?
BOM, ACHO
QUE ELES TAMBÉM
ENCONTRARAM
UMA FALHA NA
MINHA SEGURANÇA...
Denis
Pacher
(2012)
Figura 1 - Segurança
Fonte: Adaptado de Vida de Suporte (2011)
Reflita sobre o conceito de segurança. Lembre-se de que devemos ter em
mente o sentimento de proteção:
a) Estamos protegidos?
b) Contra o quê? Ou quem?
c) Por quanto tempo?
d) A que custo?
A sensação de estar seguro surge da ausência de ameaças ou riscos que pos-
sam mudar a percepção da sensação de segurança que sentimos.
Segundo Bruce Schneier (2003), especialista em segurança computacional e
escritor, segurança é uma reação psicológica aos riscos e as medidas adotadas
para combater esses riscos, um sentimento que às vezes não corresponde às con-
dições reais: você pode se sentir protegido e não estar, ou vice-versa. Podemos
sentir um medo terrível de sofrer um atentado terrorista ou podemos sentir que é
algo com que não vale a pena se preocupar.

2 Segurança da informação
17
Denis
Pacher
(2012)
Figura 2 - Exemplo de percepção de segurança
Da mesma forma, podemos achar que não corremos o risco de um assalto à
nossa residência, e nosso vizinho, nas mesmas condições, pode se sentir altamen-
te ameaçado.
Contrariamente ao que muitos acreditam, segurança não é um mistério ou
ideal inatingível. O difícil é separar o medo e as falsas ideias do que realmente
importa. Para isso, o ponto de partida é a resposta de algumas perguntas apa-
rentemente muito simples – a serem respondidas por governos, empresas e até
mesmo por indivíduos.
O QUE VOCÊ QUER PROTEGER?
A pergunta é básica, mas um grande número de pessoas simplesmente não
pensa nisso. Essa questão é essencial para definir o escopo do problema. Por
exemplo, a segurança de um avião, de sistemas de transporte ou de um país con-
tra ameaças terroristas são problemas diferentes, que exigem soluções distintas.
QUAIS SÃO OS RISCOS QUE SE APRESENTAM PARA O QUE VOCÊ QUER
PROTEGER?
A resposta envolve a compreensão do que exatamente se busca preservar, as
consequências de um possível ataque bem-sucedido, quem poderia estar inte-
ressado nesse ataque e por quê.

segurança de dados
18
QUAL A EFICÁCIA DA SOLUÇÃO DE SEGURANÇA DIANTE DESSES RISCOS?
Para Schneier, esta pergunta vem sendo sistematicamente ignorada. Se a solu-
ção de segurança não resolve o problema, ela não é boa. Mas para uma conclusão
precisa, não basta examinar a solução em si. É preciso considerar todo o ambiente
e avaliar como opera a solução e suas eventuais falhas.
QUAIS OS RISCOS GERADOS PELA SOLUÇÃO DE SEGURANÇA?
A maioria das soluções de segurança gera novos problemas de segurança.
Resta saber se os novos problemas são menores do que os originais.
QUAIS SÃO OS CUSTOS E ESCOLHAS QUE A SOLUÇÃO IMPLICA?
Sabemos que segurança custa dinheiro, e às vezes muito. Para uma boa relação
custo-benefício, é necessário fazer escolhas, que normalmente envolvem definir o
que é mais ou menos importante, do que você pode abrir mão e do que não pode.
Ao trabalhar com segurança, estamos gerenciando riscos, por exemplo, dei-
xar o carro em casa tem a segurança 10 em relação a ter o carro roubado, mas
também tem funcionalidade 0. O mesmo pode ser dito da pessoa que investe R$
1.000,00 em um cofre de última geração para guardar R$ 100,00. Daí a necessi-
dade de se gerenciarem os riscos, de forma a contrabalançá-los com as medidas
adotadas para combatê-los, e o custo que essas medidas terão, seja em valor mo-
netário ou em conveniência.
Neste tópico vimos que é preciso compreender o que é segurança. Ela é mais
do que um simples produto ou tecnologia, é um processo contínuo e abrangen-
te, com implicações em todas as áreas empresariais, desde a administração aos
colaboradores que executam as operações cotidianas mais elementares. Deve ser
um processo em permanente evolução, mudança e transformação, que requer
um esforço constante para o seu sucesso e uma forte capacidade para provocar e
gerir mudanças, tanto nos hábitos instituídos como na infraestrutura de suporte
da organização (TAVARES, 2003).

19
2.2 O QUE É A SEGURANÇA DA INFORMAÇÃO
A informação é atualmente o sistema ativo mais valioso que possuímos, seja
para uma organização ou indivíduo. Ela não se limita só a sistemas computacio-
nais, informações eletrônicas ou sistemas de armazenamento, seja ela um docu-
mento em papel ou mesmo uma conversa ao telefone. Esse conceito se aplica a
todos os aspectos de proteção das informações e dados.
São características básicas da segurança da informação a tríade de atributos:
D
i
s
p
o
n
i
b
i
l
i
d
a
d
e
Confidencialidade
Integridade
Denis
Pacher
(2012)
Figura 3 - Características básicas da segurança da informação
a) Disponibilidade: garante que a informação estará sempre disponível para
o uso legítimo, ou seja, para usuários autorizados pelo proprietário da infor-
mação;
b) Integridade: garante que a informação manipulada mantenha as caracte-
rísticas originais estabelecidas pelo proprietário, incluindo controle de mu-
danças e garantia do seu ciclo de vida (nascimento, manutenção e destrui-
ção);
c) Confidencialidade: limita o acesso à informação tão somente às entidades
legítimas, ou seja, àquelas autorizadas pelo proprietário (WIKIPEDIA, 2011).
Esta tríade de atributos é interdependente: se a integridade de um sistema for
perdida, os mecanismos que controlam a confidencialidade não são mais confiá-
veis, e se a esta for perdida, a integridade e a disponibilidade estarão em risco. Por
exemplo: a perda da senha de administrador do sistema pode acarretar a desati-
vação dos mecanismos de integridade e disponibilidade.
Outras características que merecem ser destacadas são:
a) Autenticidade: garantia de que um usuário é de fato quem ele alega ser.
Em segurança da informação, um dos meios de comprovar a autenticidade é
através da biometria, ligada diretamente ao controle de acesso, o qual refor-
ça a confidencialidade e é garantido pela integridade;

segurança de dados
20
b) Irretratabilidade ou não repúdio: capacidade do sistema de garantir a
identidade de quem realizou determinada ação, impossibilitando o usuário
de negar a autoria em relação aquele ato;
c) Privacidade: capacidade de um sistema de resguardar informações de um
usuário, controlando a exposição e disponibilidade desses dados;
d) Auditoria: possibilidade de rastreamento dos diversos passos que um ne-
gócio ou processo realizou, ou que uma informação foi submetida, identi-
ficando os participantes, os locais e horários de cada etapa. Auditoria em
software significa uma parte da aplicação, ou conjunto de funções do siste-
ma, que viabiliza uma auditoria; consiste do exame do histórico dos eventos
dentro de um sistema para determinar quando e onde ocorreu uma violação
de segurança.
A elaboração de políticas que protejam as informações contra fraudes, roubos,
perda ou vazamentos são responsabilidade dos gestores e analistas de segurança
da informação.
Segundo a norma NBR 17799, a segurança da informação pode ser definida
como a proteção contra um grande número de ameaças às informações, de for-
ma a assegurar a continuidade do negócio, minimizando danos comerciais e ma-
ximizando o retorno de possibilidades e investimentos.
MECANISMOS DE SEGURANÇA
Mecanismos de segurança são projetados para detectar, prevenir ou se recu-
perar de ataques à segurança. Podem ser dividos em:
a) Controles físicos: barreiras que limitam o contato ou acesso direto à infor-
mação ou à infraestrutura que a suporta. Como exemplos temos: portas, tran-
cas, blindagens, guardas, a restrição de acesso à sala dos servidores, switches;
b) Controles lógicos: barreiras que impedem ou limitam o acesso à informa-
ção, que está em ambiente controlado, geralmente eletrônico, e que, de
outro modo, ficaria exposta à alteração não autorizada por elemento mal-
-intencionado. Um exemplo de controle lógico é a utilização de senhas para
acesso ao sistema de informação. Hoje, existe um elevado número de fer-
ramentas e sistemas que pretendem fornecer segurança. Alguns exemplos
são os detectores de intrusões, antivírus, firewall, filtros antispam, fuzzers,
analisadores de código etc.

21
NÍVEIS DE SEGURANÇA
Definidos os mecanismos utilizados, será preciso decidir o nível de segurança
que se pretende garantir. Devem ser quantificados os custos associados a uma
possível violação de segurança, assim como a implementação de mecanismos de
proteção para minimizar a probabilidade de ocorrência de incidentes.
Os níveis de segurança devem ser estabelecidos considerando o custo-bene-
fício das medidas, não só em valor monetário, mas também em conveniência.
Muitas vezes podemos pensar em um nível altíssimo, que irá nos garantir plena
segurança, mas os inconvenientes poderão nos trazer problemas maiores ainda.
Um exemplo é um sistema de segurança física em que todos os funcionários ne-
cessitam ser revistados na saída do trabalho; isso pode ser interessante para uma
joalheria, mas para uma empresa de engenharia pode ser um problema.
Para definirmos os níveis de segurança, devemos considerar todos os tipos
de ameaças, desde as físicas, como incêndios, desabamentos, relâmpagos, ala-
gamento e acesso indevido de pessoas, até as lógicas, como as ocasionadas por
vírus, acessos remotos à rede, backupdesatualizado e violação de senhas, além da
proteção de sistemas contra erros não intencionais, como remoção acidental de
importantes arquivos de sistema ou aplicações.
Neste tópico, vimos o que é segurança da informação. Aprendemos que a in-
formação é o sistema ativo mais valioso que temos, e que possui três caracterís-
ticas básicas: disponibilidade, integridade e confidencialidade. Vimos ainda que,
segundo a norma NBR 17799, a segurança da informação pode ser definida como
a proteção contra um grande número de ameaças às informações, e também
conhecemos mecanismos projetados para detectar, prevenir ou se recuperar de
ataques à segurança.
2.3 CARACTERÍSTICAS DA SEGURANÇA DA INFORMAÇÃO
Você já viu alguma vez um furto no local onde trabalha ou em outro lugar
qualquer? Esse é um exemplo prático de incidente de segurança.
Em contrapartida, um incidente de segurança da informação é indicado por
um ou uma série de eventos indesejados ou inesperados, confirmados ou sob
suspeita, que tenham grande probabilidade de comprometer as operações do
negócio e ameaçar a segurança da informação (ABNT NBR ISO/IEC 17799:2005).
Em Tecnologia da Informação, os principais incidentes referem-se a tentati-
vas de acesso não autorizado a sistemas ou dados, acesso não autorizado a um
serviço, modificação de sistemas sem o consentimento prévio dos gestores do

segurança de dados
22
sistema ou desrespeito à política de segurança de uma corporação, eventos que
são notícias constantes.
Os incidentes de segurança são cruciais na hora de lidar com segurança por-
que proporcionam conhecimento sobre a real situação de segurança da empresa,
funcionando como indicadores da situação. Se você não detectar mudanças, seria
difícil reagir apropriadamente e a tempo para manter-se seguro.
GARANTINDO A DISPONIBILIDADE DOS RECURSOS
Recursos de informação, como dados, servidores, aplicações e equipamentos
de telecomunicações, devem estar sempre disponíveis à demanda e às necessi-
dades do negócio. É preciso mapear quais são esses recursos críticos ao negócio
e controlar as necessidades de atualizações da infraestrutura, a fim de minimizar
paradas no ambiente.
Essas paradas ainda podem ser causadas por variáveis não controláveis, como
falhas de hardware, problemas de software, ataques à rede computacional e au-
sência de recursos humanos, entre outras. Devemos ter o cuidado de desenvolver
processos detalhados para enfrentar problemas, impactos provenientes de falhas
e indisponibilidade de recursos.
Possuir a informação necessária, mas não tê-la disponível no momento ade-
quado equivale a não possuí-la.
É importante conseguir equilibrar a necessidade de acesso à informação com
a necessidade de preservação da confidencialidade da mesma. As medidas de
proteção utilizadas não devem expor os dados (permitir o acesso indevido) nem
impedir ou dificultar significativamente o acesso a esses dados (TAVARES, 2003).
GARANTINDO A INTEGRIDADE DAS INFORMAÇÕES
Garantimos a integridade da informação quando a disponibilizamos aos recur-
sos que a utilizarão na forma de sua última versão atualizada.
A integridade é a propriedade que garante que a informação manipulada
mantenha as características originais estabelecidas pelo proprietário da informa-
ção, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,
manutenção e destruição).
Recursos como firewall, antivírus, criptografia, assinatura digital, backup, pro-
cessos e outros devem ser usados para garantir o bom funcionamento do am-
biente.

23
O valor de uma informação reside na sua confiabilidade: o erro de uma vírgula
(ou ponto decimal) pode comprometer a integridade de um enorme volume de
dados e acarretar prejuízos significativos. A integridade é igualmente vital para a
recuperação de informações perdidas, uma vez que o valor das cópias que não
apresentam garantias de integridade é praticamente nulo (TAVARES, 2003).
Devemos nos preocupar com a integridade das informações mesmo em si-
tuações em que os incidentes possam acontecer de forma involuntária, como
quando um colaborador autorizado altera por engano (ou falta de atenção) uma
informação importante em um sistema. Por exemplo: em um site de comércio
eletrônico de grande popularidade, uma informação errada de preço pode acar-
retar milhares de reais em prejuízo.
GARANTINDO A CONFIABILIDADE DAS INFORMAÇÕES
Ao garantir a confidencialidade, certificamos que as informações são dispo-
nibilizadas apenas às pessoas que tenham direito a elas. Com isso em mente,
podemos trabalhar para minimizar ataques à rede computacional da empresa;
vazamento de dados através do envio de informações de negócios sem autoriza-
ção por e-mails, impressões e cópias em dispositivos móveis, além de restringir os
acessos a informações de departamentos e projetos armazenadas em servidores
por pessoas não autorizadas.
Não se esqueça também das variáveis incontroláveis, como perda ou furto de
dispositivos, como notebooks, smartphones e pen drives, que possam conter infor-
mações confidenciais.
Muitas vezes, a vantagem competitiva das empresas assenta na informação
que detêm e na capacidade de controlar a sua divulgação (por exemplo, empre-
sas de investigação, desenvolvimento de sistemas, ou organizações que resguar-
dam suas metodologias específicas). Deverão, por isso, existir mecanismos que
garantam a confidencialidade, mas que não impeçam o acesso de pessoas auto-
rizadas. Os requisitos de confidencialidade são claramente influenciados, senão
mesmo definidos pela classificação dada à informação (TAVARES, 2003).
Vimos, neste tópico, que se garantirmos a disponibilidade de recursos, inte-
gridade e confidenciabilidade nas informações, podemos controlar incidentes e,
com certeza, não ter prejuízos financeiros e/ou morais.
2.4 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO
Você já deve ter ouvido falar de pessoas que receberam e-mails não solicitados
(spam) oferecendo dados sigilosos de pessoas físicas ou jurídicas por um preço

segurança de dados
24
qualquer, geralmente dados confidenciais de clientes de empresas que tenham
sofrido algum tipo de incidente de segurança.
Estamos falando de falha de confidencialidade: alguém não autorizado teve
acesso a informações confidenciais de empresas, e agora pretende vendê-las a
outras pessoas, também não autorizadas.
O que ocorreu, provavelmente, foi um vazamento de informações causado por
algum funcionário mal-intencionado. Alguém com a devida autorização copiou in-
formações com a finalidade de vendê-las a terceiros. Este ataque interno poderia
ser evitado com medidas de controle (auditoria) sobre essas informações sigilosas.
Hoje, as empresas estão cada vez mais dependentes dos sistemas de informação
e da internet para realizar seus negócios e atingir os seus objetivos, não podendo se
dar o luxo de sofrer algum tipo de interrupção em suas operações. Um incidente de
segurança pode impactar direta e negativamente as receitas, a confiança de seus
clientes e o relacionamento com a rede de parceiros e fornecedores.
Lembremos que a confidencialidade das informações que estão em bancos
de dados corporativos é protegida por lei, e cada instituição é responsável por
manter o sigilo.
Um incidente de segurança está diretamente relacionado a prejuízos financei-
ros, sejam eles devidos à parada de um sistema por conta de um vírus, o furto de
uma informação confidencial ou à perda de uma informação importante. Estima-
-se que worms e vírus que atingiram grandes proporções de propagação – como,
por exemplo, MyDoom, Slammer, Nimda – tenham ocasionado prejuízos da or-
dem de bilhões de dólares.
Em última instância, um incidente pode impedir, direta ou indiretamente, a
organização de cumprir sua missão e de gerar valor. Essa perspectiva traz a segu-
rança da informação para um patamar novo, não apenas relacionada à esfera da
tecnologia e das ferramentas necessárias para proteger a informação, mas tam-
bém como um dos pilares de suporte à estratégia de negócios.
SAIBA
MAIS
Assista ao seguinte vídeo: Venda de dados sigilo-
sos – API Informação, em www.youtube.com/
watch?v=XucO2FRbXIA.
Os incidentes de segurança da informação vêm aumentando consideravel-
mente e assumem as formas mais variadas, como, por exemplo: infecção por ví-
rus, acesso não autorizado, ataques denial of service1
contra redes e sistemas, furto
de informação proprietária, invasão de sistemas, fraudes internas e externas, uso
não autorizado de redes sem fio.
1 Denial of service
É uma tentativa em tornar
os recursos de um sistema
indisponíveis para seus
utilizadores.
2 Mitigar
Acalmar, atenuar, diminuir.

25
Um dos principais motivadores desse aumento é a difusão da internet, que
cresceu de alguns milhares de usuários no início da década de 1980 para cente-
nas de milhões hoje. Ao mesmo tempo que colaborou com a democratização da
informação e se tornou um canal on-line para fazer negócios, também viabilizou
a atuação de ladrões do mundo digital e a propagação de códigos maliciosos (ví-
rus, worms, trojans etc.), spam e outros inúmeros inconvenientes que colocam em
risco a segurança de uma corporação.
A facilidade da realização de ataques através da internet aumentou significa-
tivamente com a popularização de ferramental apropriado espalhado ao longo
da rede mundial de computadores, habilitando desde hackers até leigos mal-in-
tencionados a praticarem investidas contra sistemas de informação corporativos.
Juntamente com a difusão da internet, outros fatores contribuíram para im-
pulsionar o crescimento dos incidentes de segurança. Um deles é o aumento do
número de vulnerabilidades nos sistemas existentes, como, por exemplo, as bre-
chas de segurança nos sistemas operacionais utilizados em servidores e estações
de trabalho. Outro, que é muito trabalhoso e custoso, é o processo de mitigar2
tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas
vezes de forma manual e individual: de máquina em máquina. Por último, a com-
plexidade e a sofisticação dos ataques também contribuíram de maneira direta
para o aumento dos incidentes.
No gráfico abaixo, podemos ter uma ideia da evolução na quantidade de inci-
dentes de segurança registrados pelo Centro de Estudos, Resposta e Tratamento
de Incidentes de Segurança no Brasil.
3107
54607
Ano (1999 a junho de 2011)
Total de
incidentes
reportados
ao CERT.br
por ano
12301
68000
358343
5997
75722
222528
25092
197892
160080
142844
217840
1999 2003 2007
2001 2005 2009
2000 2004 2008
2002 2006 2010 2011
Figura 4 - Total de incidentes reportados – 1999 a 2011
Fonte: CERT.Br (2011)
É a conjunção dessas condições que culmina, por exemplo, na parada genera-
lizada de sistemas e redes corporativas ao redor do mundo, causada pela atuação
de worms que se propagam pela internet em questão de minutos. A tendência

segurança de dados
26
é que as ameaças à segurança continuem a crescer não apenas em ocorrência,
mas também em velocidade, complexidade e alcance, tornando o processo de
prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado.
Pesquisas apontam que mais de dois terços dos incidentes de segurança
têm origem interna; porém, o número de investimentos destinados a minimizar
a ocorrência desses incidentes é muito menor do que os destinados a prevenir
ameaças externas. Como garantir que os próprios colaboradores não se tornem
causadores de incidentes de segurança? Como minimizar esses riscos? Esse é o
desafio (ZAPATER, 2005).
Diante de um cenário em que as tecnologias de comunicação de dados e in-
formação estão em constante evolução, ajudando as empresas a tomarem de-
cisões de forma mais rápida e eficiente, as chances de uma empresa não utilizar
sistemas informatizados é praticamente nula. Neste contexto, a importância de
utilizar mecanismos de segurança é vital para a sobrevivência e competitividade.
Vimos, neste tópico, que no passado a questão de segurança das informações
era bem mais simples, pois arquivos com inúmeros papéis podiam ser trancados
fisicamente. Com os avanços da internet e da tecnologia, as empresas têm suas
tomadas de decisões mais rápidas e eficientes, mas têm que investir em mecanis-
mos de segurança apropriados à sua realidade.
CASOS E RELATOS
Entrando no mercado de Segurança da Informação
Em entrevista concedida em primeira mão para o IT Careers, Pedro Goyn,
presidente da True Access Consulting, avalia o mercado profissional de
TI com foco em segurança da informação. O executivo fala sobre os de-
safios, a capacitação profissional e dá dicas para um plano de carreira na
área de segurança da informação.
“Tecnologia da informação sempre foi e será uma área muito especia-
lizada. O surgimento de novas tecnologias força os profissionais dessa
área, assim como as empresas, a buscar ciclos de reciclagem de forma
constante. Na área de segurança não seria diferente e avalio ser ainda
mais complexa, dado o avanço das tecnologias, assim como a habilidade
de pessoas que buscam a fraude.

27
Esse cenário leva as empresas a três grandes desafios: capacitação, reten-
ção e reciclagem de profissionais. Isso é muito difícil e não é por acaso
que as empresas estão, cada vez mais, buscando soluções que eliminem
ou transfiram a carga de responsabilidade da segurança para outras so-
luções.”
Goyn aponta que é preciso buscar especializações na área de segurança
da informação, além da graduação na área de TI, e é importante que ter
certificações baseadas em normas como a ISO 27000. O conhecimento
da língua inglesa também é imprescindível. Acima de tudo, o profissional
deve estar sempre renovando seus conhecimentos (ÂNGELO, 2010).
RECAPITULANDO
Você aprendeu os conceitos principais sobre Segurança da Informação. Es-
tudou que sua função é proteger um conjunto de informações confiden-
ciais e importantes na vida de uma pessoa ou organização; conheceu, defi-
niu e listou as principais características: confidencialidade, disponibilidade,
integridade e autenticidade; e compreendeu que em sua futura profissão,
você deverá dominar aspectos da Segurança da Informação para também
garantir a segurança de sistemas operacionais.

3
Normas e Legislação de Software
A proposta deste capítulo é apresentar as normas que regem a segurança de dados, e a ins-
talação e uso de softwares que auxiliam a prevenir problemas de segurança em uma empresa,
como, por exemplo, o uso de licenças não apropriado. Serão apresentadas normas, técnicas e
procedimentos para que você seja um profissional respeitado no mercado de trabalho.
Na área de manutenção de computadores, você deve ter informações ao instalar softwares
e não cair no erro de deixar o sistema vulnerável a invasões. Para isso, queremos prepará-lo,
visando promover sua integridade pessoal e profissional para que tenha sucesso.
Ao terminar o capítulo você deve estar apto a:
a) listar normas sobre a segurança da informação;
b) definir o que é um Sistema de Gestão de Segurança da Informação;
c) listar como implantar um Sistema de Gestão de Segurança da Informação – Norma ISO
27001;
d) listar os requisitos da norma ISO 27001;
e) reconhecer a certificação ISO 27001;
f) descrever o que são riscos;
g) discutir o que são ameaças e vulnerabilidades;
h) comparar e fazer a análise de riscos;
i) listar os tipos de licenças de software;
j) definir o que são direitos do proprietário e direito de uso;
k) listar a legislação brasileira em vigor.
Aprenderemos, de maneira geral, a entender e aplicar os conceitos apresentados. Dedique-
-se e tenha bons estudos! Você alcançará seu maior objetivo: qualificação profissional.

segurança de dados
28
3.1 NORMAS SOBRE A SEGURANÇA DA INFORMAÇÃO
A segurança tornou-se um dos temas mais relevantes para gestores de TI. Um
verdadeiro arsenal de regulamentações, metodologias e certificações, associado
a um grande aparato de ferramentas de hardware, software e sistemas de pre-
venção está em permanente ebulição. As normas são criadas para estabelecer
diretrizes e princípios para melhorar a gestão de segurança nas empresas e orga-
nizações.
Visando minimizar esses riscos, a ISO (International Standartization Organiza-
tion) publicou, em 1o
de dezembro de 2000, a norma ISO/IEC 17799 para garantir
a segurança das informações nas empresas. Esta norma teve como base inicial a
norma britânica BS7799:1995.
Com a homologação, diversos países, incluindo o Brasil, criaram suas próprias
normas de segurança de dados, baseadas na norma ISO/IEC 17799. A norma bra-
sileira ABNT NBR ISO IEC 17799:2005 foi publicada em sua primeira versão em 31
de agosto de 2005. Você pode acessá-la em http://www.abnt.org.br/.
O objetivo fundamental dessas normas é assegurar a continuidade, minimizar
e prevenir o dano de incidentes de segurança a empresas.
A ISO/IEC 17799 é abrangente e divide-se em 12 capítulos ou partes, cada qual
abordando um aspecto da segurança da informação. A norma brasileira segue a
mesma estrutura.
ISO/IEC 27001
A ISO/IEC 27001:2005 fornece apoio na proteção das informações contra ame-
aças e vulnerabilidades, minimizando riscos, assegurando a continuidade dos ne-
gócios, o atendimento aos requisitos legais e regulamentares, ao mesmo tempo
em que preserva a imagem e a reputação da organização. A proteção é feita a
partir da implementação de uma série de controles como, por exemplo, políticas,
procedimentos, recursos de software e de hardware, contemplando pessoas, pro-
cessos e sistemas de TI.
A ISO 27001:2005 é a revisão da ISO/IEC 17799, com melhorias e adaptações,
contemplando o ciclo PDCA de melhorias e a visão de processos que as normas
de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico
de âmbito internacional, formado pela ISO e pelo IEC (The International Eletrote-
chnical Comission).
A ISO/IEC JTC 1, subcomitê SC 27, que, através de um trabalho conjunto que
ocorreu desde 2000, efetuou as alterações que são a compilação de diversas su-
gestões que os membros deste comitê apresentaram ao longo do trabalho, cujas
reuniões de discussão e apresentação dos resultados ocorreram em diversos paí-
ses até o primeiro semestre de 2005.

3 NORMAS E LEGISLAÇÃO DE SOFTWARE
29
Como forma de dar suporte à implantação da ISO/IEC 27001:2005, o Comitê
decidiu pela criação de uma família de normas sobre gestão da segurança da in-
formação. Essa família foi batizada pela série 27000.
ISO IEC NWIP 27000 – Information Security Management Systems – Fundamen-
tals and Vocabulary: apresenta os principais conceitos e modelos relacionados à
segurança da informação.
ISO IEC 27001:2005 – Information Security Management Systems – Require-
ments: define requisitos para estabelecer, implementar, operar, monitorar, revi-
sar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
Usada para fins de certificação, substitui a norma britânica BS 7799-2:2002. Uma
organização que deseje implantar um SGSI deve adotar essa norma.
ISO IEC 27002:2005 – Information Technology – Code of practice for informa-
tion Security Management: os objetivos de controle e os controles definidos nes-
ta norma têm como finalidade atender aos requisitos identificados na análise de
riscos.
ISO IEC 1 st WD 27003 – Information Security Management Systems – Imple-
mentation Guidance: fornece um guia prático para implementação de um Sistema
de Gestão da Segurança da Informação, baseado na ISO IEC 27001.
ISO IEC 2nd WD 27004 – Information Security Management – Measurements:
diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficá-
cia dos controles de segurança da informação implementados, dos processos de
segurança da informação e do Sistema de Gestão da Segurança da Informação.
ISO IEC 2nd CD 27005 – Information Security Management Systems – Informa-
tion Security Risk Management: diretrizes para o gerenciamento de riscos de segu-
rança da informação.
Você aprendeu neste tópico que as normas são criadas para estabelecer dire-
trizes e princípios para melhorar a gestão de segurança nas empresas e organi-
zações; que a norma brasileira segue a mesma estrutura da ISO/IEC 17799; e que
temos a ISO/IEC 27001:2005, a qual fornece apoio à proteção das informações.
3.2 O QUE É UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Um Sistema de Gestão de Segurança da Informação (SGSI) pode ser definido
como um sistema utilizado para estabelecer e manter um ambiente seguro para
as informações de uma organização (SÁNCHEZ, 2006). Esse sistema deve estar em
constante aperfeiçoamento, devendo ser revisado e melhorado a todo momento,
pois ameaças e riscos também estão em constante mudança/evolução.

segurança de dados
30
Dreamstime
(2012)
Figura 5 - Sistema de gestão de segurança
Segundo a ABNT NBR ISO/IEC 27001:2006, um Sistema de Gestão da Segu-
rança da Informação SGSI é parte do sistema de gestão global, baseado na abor-
dagem de riscos do negócio, para estabelecer, implementar, operar, monitorar,
analisar, manter e melhorar a segurança da informação.
A adoção de um SGSI deve ser uma decisão estratégica para as empresas. A
especificação e a implementação do SGSI de uma organização devem ser influen-
ciadas pelas suas necessidades e objetivos, requisitos de segurança, processos
empregados, tamanho e estrutura da organização. É esperado que a implemen-
tação seja escalada conforme as necessidades da organização; por exemplo, uma
situação simples requer uma solução de um SGSI simples, daí a importância de
uma característica fundamental de um SGSI, o constante aprimoramento.
Um SGSI deve ser submentido a revisões periódicas com a finalidade de avaliar
a necessidade de mudanças/melhorias, principalmente levando em conta a rapi-
dez com que a área de Tecnologia da Informação evolui.
Um SGSI tem como principais objetivos:
a) estabelecer;
b) implementar;
c) operar;
d) monitorar;
e) rever;
f) manter;
g) melhorar a segurança da informação.

31
Lembrando que faz parte do SGSI a necessidade de manter documentação
sobre:
a) todos os procedimentos, controles, políticas e objetivos que foram definidos;
b) o âmbito do SGSI;
c) as metodologias de avaliação dos riscos;
d) os relatórios de avaliação;
e) registros detalhados de incidentes de segurança;
f) os planos de tratamento dos riscos.
Tudo isso com a finalidade de operacionalizar e controlar o processo de se-
gurança da informação. Um SGSI deve ser seguido obrigatoriamente por todos
aqueles que se relacionam direta ou indiretamente com a infraestrutura de Tec-
nologia da Informação da empresa, tais como funcionários, prestadores de servi-
ços, parceiros e terceirizados; e deve possuir obrigatoriamente o aval da direção
e do departamento jurídico da organização a fim de conferir maior legitimidade.
Neste tópico, vimos como é importante para a empresa ter seu Sistema de
Gestão da Segurança da Informação (SGSI), quais seus principais objetivos e quais
as documentações que a empresa deve manter.
SAIBA
MAIS
Quer se aprofundar no assunto? Leia Segurança da Infor-
mação, de Marcio Zapater e Rodrigo Suzuki, disponível
em: www.promon.com.br/portugues/noticias/download/
Seguranca_4Web.pdf.
3.3 IMPLANTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA
INFORMAÇÃO - NORMA ISO 27001
Aprenderemos agora os procedimentos para que o Sistema de Gestão de Se-
gurança da Informação (SGSI) seja implantado na empresa e o que trará de bene-
fícios.
Segundo Ramos, Bastos e Lyra (2008), a implantação desse sistema representa
uma série de benefícios para as organizações:
a) fortalece a percepção de segurança perante os usuários, clientes, fornece-
dores, sociedade, funcionários e acionistas;
b) integra a segurança da informação com os objetivos de negócio;
c) segurança da informação demonstrável e monitorada;

segurança de dados
32
d) linguagem única internacional com padrões da família ISO 27000;
e) atende a requisitos jurídicos e regulatórios;
f) fortalece a cadeia de valor de segurança e tecnologia da informação;
g) melhoria do poder de negociação de Riscos Operacionais e Seguros;
h) fortalece a área e profissionais de segurança da informação.
Caso o objetivo da empresa seja a certificação, por exemplo, na norma NBR/
ISO 27001, o SGSI trará muito mais benefícios.
Essa norma é utilizada em todo o mundo por organizações comerciais e go-
vernamentais como base para a gestão da política de gestão da organização e
implementação da segurança da informação. É utilizada por pequenas e grandes
organizações, pois é um padrão que foi projetado para ser flexível.
A norma também estabelece os critérios para a certificação e, para uma or-
ganização obtê-la, deverá estar em conformidade com todos os requisitos ne-
cessários.
Uma certificação NBR ISO/IEC 27001 é um meio de garantir que a organização
certificada implementou um SGSI de acordo com os padrões mundialmente re-
conhecidos. Credibilidade é a chave de ser certificado por uma terceira parte que
é respeitada, independente e competente para avaliar.
Essa garantia estabelece confiança à gerência, parceiros de negócios, clientes
e auditores de que a organização é séria sobre gerência de segurança da infor-
mação, não perfeita, mas está rigorosamente no caminho de melhoria contínua.
Baseando-se na norma, o gestor de segurança tem a possibilidade de fazer um
planejamento de todo o processo de implantação do SGSI em sua organização,
desde os custos envolvidos até o retorno que o projeto trará.
FASES DE IMPLANTAÇÃO DE UM SGSI
Planejamento: em um primeiro momento, deve ser realizado um planeja-
mento, onde o gestor de segurança estudará e compreenderá todos os requi-
sitos da norma ISO 27001, a qual norteará a condução durante todo o projeto.
Também nessa fase deve ser exposto todo o projeto aos gestores e personagens
envolvidos com os negócios (funcionários, clientes, fornecedores e parceiros), e
definidas as pessoas que irão compor o comitê do SGSI.
Implementação: é feita a implementação e operação de controles para ge-
renciar os riscos de segurança da informação de uma organização no contexto
dos riscos de negócios, e é elaborada a política de segurança da informação, onde
serão definidos os mecanismos utilizados para prover segurança.

33
Monitoração: análise crítica do desempenho e eficácia do SGSI. O comitê de
segurança faz contato com grupos especiais de interesse, como funcionários, par-
ceiros e fornecedores. É uma forma de monitorar o funcionamento do sistema e
tem como finalidade obter subsídios para melhorar o SGSI.
Melhoria contínua: melhoria contínua, baseada em medições objetivas.
A NBR ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA),
que é aplicado para estruturar todos os processos do SGSI.
Denis
Pacher
(2012)
Figura 6 - Plan-Do-Check-Act
Quadro 2 - Plan-Do-Check-Act
Plan (planejar – esta-
belecer)
Estabelecer a política, objetivos, processos e procedimentos relevantes
para a gestão de riscos e a melhoria da segurança da informação, para
produzir resultados de acordo com as políticas e objetivos globais de
uma organização.
Do (fazer – implementar e
operar)
Implementar e operar a política, controles, processos e procedimentos.
Check (checar – monitorar
e analisar
criticamente)
Avaliar e, quando aplicável, medir o desempenho de um processo frente
à política, objetivos e experiência prática; apresentar os resultados para
a análise crítica pela direção.
Act (agir – manter e
melhorar)
Executar as ações corretivas e preventivas, com base nos resultados da
auditoria interna e da análise crítica pela direção ou outra informação
pertinente, para alcançar a melhoria contínua.
Fonte: NBR ISO 27001
Você pode notar que, ao adotar o modelo PDCA proposto pela norma, é pos-
sível construir projetos em menor tempo sem deixar de atacar as prioridades no
combate aos mais diferentes tipos de riscos.
O número de organizações certificadas aumenta a cada dia, e isso demonstra a
preocupação com suas práticas internas e das informações de parceiros e clientes.
Atualmente, a norma ISO 27001 é a principal referência para todos os tipos de
organizações (empreendimentos comerciais, agências governamentais, organi-

segurança de dados
34
zações sem fins lucrativos) que procuram tratar a questão da segurança da infor-
mação com base em um modelo reconhecido internacionalmente.
FIQUE
ALERTA
Ao pensar na implantação de um SGSI, é importante fazer
uso de ferramentas da qualidade, como o ciclo PDCA.
Neste tópico vimos: os benefícios e as fases de implantação do SGSI; o que
uma organização precisa fazer para conseguir a certificação NBR/ISO 27001; e que
organizações que a adquirem têm maior credibilidade no mercado.
VOCÊ
SABIA?
Danos causados por código malicioso, hackers e ataques
denial of service estão se tornando cada vez mais co-
muns, uma vez que estes estão cada vez mais ambicio-
sos e incrivelmente mais sofisticados.
3.4 REQUISITOS DA NORMA ISO 27001
A norma ISO 27001 é elaborada pelo ISO, uma organização com sede na Suíça
que tem como função desenvolver e promover padrões que possam ser utiliza-
dos uniformemente em todos os países. O Brasil é representado pela Associação
Brasileira de Normas Técnicas – ABNT (ABNT, 2011).
A ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adapta-
ções, contemplando o ciclo PDCA (Plan, Do, Check, Act) de melhorias e a visão de
processos que as normas de sistemas de gestão já incorporaram.
A BS7799 foi dividida em duas partes: a primeira foi usada para criar a norma
17799, e posteriormente se usou a segunda parte para criar a 27001.
REQUISITOS DA NORMA ISO 271001
1. Escopo: abrangência da norma.
2. Referência normativa: normas e padrões relacionados à 27001 e que ser-
vem de referência para sua aplicação.
3. Termos e Definições: relacionados à segurança da informação que são uti-
lizados na norma.
Como você pode ver, estes três primeiros requisitos são apenas informativos
que descrevem a finalidade da norma, qual documento ela utiliza como referên-

35
cia (no caso, utiliza a norma ISO 27002) e também tem uma lista de termos e de-
finições utilizados.
Confira os demais requisitos:
4. Descrever a criação, implementação, monitoramento e melhoria do
SGSI: é através deste que definimos os membros participantes do SGSI, os docu-
mentos necessários e quais registros devemos manter.
5. Apresentar e definir as responsabilidades da direção no que se refere à
atribuição das responsabilidades do SGSI, tais como provisionar treinamen-
tos e recursos necessários ao SGSI.
6. Tratar das auditorias internas e definir quais áreas devem ser audita-
das, a periodicidade das mesmas e quem poderão ser os auditores respon-
sáveis: com relação a este último ponto, é importante salientar que o auditor não
deve avaliar processos de áreas pelas quais é responsável. Aqui, verificamos se os
objetivos estabelecidos para o SGSI estão sendo alcançados.
7. Análise crítica do SGSI: a direção verifica as ações efetuadas pelo SGSI, e
atua como um elemento de controle do mesmo.
8. Melhoria do SGSI: o SGSI, por meio do comitê de segurança da informação,
que possui uma dinâmica que leva em conta as auditorias internas e análise críti-
ca da direção, pode propor novas ações a fim de melhorar o sistema e deste modo
aperfeiçoar a segurança da informação.
Abaixo temos um quadro com os capítulos da norma ISO 27001
Quadro 3 - Capítulos da norma ISO 27001
Capítulo Nome Descrição
0 Introdução Apresentação da norma
1 Objetivo Abrangência da norma
2 Referencia normativa Outras normas necessárias ou importantes para
implantação do SGSI
3 Termos e definições Termosedefiniçõessobresegurançadainformação
4 Sistema de Gestão de Segurança
da Informação SGSI
Informações sobre o estabelecimento, a imple-
mentação, o monitoramento e a melhoria de um
SGSI
5 Responsabilidades da direção Comprometimento da direção, treinamento e
provisão de recursos para o SGSI
6 Auditorias internas do SGSI Auditorias internas realizadas por pessoal treinado
e comprometido com o SGSI
7 Análise crítica do SGSI pela
direção
Análise realizada pela direção da organização das
ações efetuadas pelo SGSI
8 Melhoria do SGSI Ações corretivas e preventivas efetuadas pelo SGSI
Fonte: NBR ISO IEC 27001

segurança de dados
36
A norma ISO 27001 pode ser adquirida na ABNT. Disponível em www.abnt.
org.br.
Neste tópico, você aprendeu um pouco mais sobre a norma ISO 27001, que
surgiu para desenvolver e promover padrões que podem ser utilizados uniforme-
mente em todos os países, e quais são seus requisitos.
3.5 A CERTIFICAÇÃO NBR/ISO 27001
Você sabe o que é uma certificação? É um documento emitido por uma enti-
dade certificadora independente que garante que uma organização implantou
corretamente todos os controles aplicáveis de determinada norma. É emitida
após uma auditoria externa para verificação da conformidade com a norma em
questão.
A certificação NBR/ISO 27001 tem a finalidade de comprovar que a segurança
da informação está garantida de forma efetiva, o que não significa que a empresa
esteja imune a violações de segurança. O mais importante, porém, é que a certifi-
cação comprova, para os clientes e fornecedores da organização, a preocupação
que esta tem com a segurança da informação, reforçando sua imagem junto ao
mercado. Dependendo da atividade, essa certificação pode ser essencial para a
realização de certos negócios.
Os principais benefícios da certificação são:
a) certificar que as melhores práticas estão sendo seguidas;
b) requisitos governamentais;
c) diferencial de marketing;
d) resultado natural de uma necessidade do mercado e da atualidade.
Os certificados são emitidos por entidades acreditadas por órgãos de creden-
ciamento nacionais ou internacionais após realização de auditorias.
A auditoria do Sistema de Gestão da Segurança da Informação é dividida em
2 etapas:
Auditoria de Documentação, conhecida como Fase 1; e Auditoria de Cer-
tificação, conhecida como Fase 2. Pode existir também a Pré-Auditoria, sendo
esta opcional.
A Auditoria de Documentação existe porque essa norma envolve documen-
tos e informações, que muitas vezes podem ser confidenciais. Desta forma, é ne-
cessário uma análise prévia destes nas instalações da própria empresa, visando à
verificação de sua adequação e a segurança dos dados. É o primeiro contato com
a equipe auditora.

37
As Auditorias de Manutenção são obrigatórias e devem ocorrer no mínimo
uma vez ao ano, para que a certificação continue assegurada.
Normalmente, a equipe auditora é formada por um ou dois auditores com ex-
periência em auditoria e conhecimentos do segmento de negócio da empresa.
Por se tratar de uma norma específica, devem contar sempre com auditores que
detenham conhecimentos técnicos suficientes para compreender a linguagem
dos auditados.
Por fim, lembre que a norma ISO 27001 pertence à série (ou família) ISO 27000,
que compreende normas relacionadas à segurança de informação publicadas
pela ISO. A série 27000 está para a Segurança da Informação assim como a série
ISO 9000 e a série ISO 14000 estão, respectivamente, para a Qualidade e para a
Proteção Ambiental.
Algumas das normas que compõem a família 27000, além da 27001, são:
a) 27000 – Visão geral da família de padrões ISO 27000, glossário e termos co-
muns;
b) 27003 – Guia para implementação de um SGSI;
c) 27004 – Gerenciamento de métricas de segurança de informação;
d) 27005 – Implementação de segurança da informação baseada em uma
abordagem de gestão de riscos;
e) 27006 – Guia para o processo de certificação e registro;
f) 27011 – Guia para gerenciamento de segurança da informação na indústria
de telecomunicações;
g) 27034 – Guia para segurança de aplicações.
Saiba que atualmente não existe legislação que obrigue o uso da ISO 27001.
Geralmente, as leis variam de país para país. No Brasil, existem recomendações no
sentido de empregarem-se as normas emitidas por entidades como a Fenabam,
o Conselho Federal de Medicina e a ICP-Brasil, entre outras. No Reino Unido, a
Data Protection Act promulgada em 1998, e, nos Estados Unidos, a lei Sarbanes-
-Oxley (que atinge subsidiárias de empresas americanas de capital aberto instala-
das no Brasil), promulgada em 2002, determinam cuidados no trato das informa-
ções que, na prática, obrigam as empresas a empregarem a ISO 27001/ISO 17799
como uma forma de demonstrar que estão procurando cumprir os requisitos de
segurança determinados.
Você aprendeu neste tópico a finalidade de se obter certificação NBR/ISSO
27001 para a empresa, como se dá a auditoria, e que não existe legislação que
obrigue o uso da ISO 27001.

segurança de dados
38
3.6 O QUE SÃO RISCOS?
Compreender o conceito de riscos, quando falamos em segurança da informa-
ção, é primordial. Avaliá-los, na maioria das vezes, é uma tarefa com um grande
nível de subjetividade, mas existem alguns critérios objetivos que devem ser con-
siderados.
O termo risco pode ser definido como a probabilidade de uma situação que
possa causar danos em decorrência da exposição de uma vulnerabilidade duran-
te um determinado espaço de tempo. A vulnerabilidade é definida como uma
fraqueza em um sistema, que pode envolver pessoas, processos ou tecnologias
que venham a ser explorados para se obter acesso a informações.
Os riscos ocorrem pelo fato de que todos os ativos de uma empresa estão su-
jeitos a vulnerabilidades em maior ou menor escala e, neste caso, estas proporcio-
nam riscos para a empresa e são causadas muitas vezes por falhas no seu controle.
COMO ENFRENTAR OS RISCOS
Denis
Pacher
(2012)
Figura 7 - Gestão do risco
Devemos sempre fazer uma avaliação dos riscos, identificando, estimando e
finalmente escolhendo técnicas para o seu controle.
Para se lidar com riscos, são possíveis algumas técnicas:
a) Eliminar riscos: quando uma organização se recusa a aceitar um deter-
minado risco, a exposição a este é tão crítica que não permite à empresa
permanecer nesta situação. Segundo Vaughan (1997), esta técnica é mais
negativa do que positiva, pois a utilização constante faz com que o negócio

39
perca as oportunidades de lucro e, consequentemente, a possibilidade de
atingir seus objetivos;
b) Mitigar riscos: é desenvolver mecanismos para reduzir o risco até um nível
aceitável para a organização. Segundo Vaughan (1997), isto pode ser feito
em cima da prevenção contra perdas, diminuindo o impacto e a probabili-
dade de esta ocorrer. Programas de saúde e medidas de prevenção, como
posto médico, plano de saúde, brigada de incêndio, sistemas de sprinklers,
segurança física e patrimonial, sistemas de alarmes etc., são exemplos de
mitigar riscos através da prevenção contra perdas. Outra forma é diluir o
risco em grandes volumes, desde que se tenha um bom controle sobre as
probabilidades de ocorrência. Por exemplo, uma seguradora pode assumir
a possibilidade de perda devido à exposição de um indivíduo do grupo e
ainda assim, não afetar sua rentabilidade;
c) Reter o risco: talvez seja a mais utilizada para se lidar com o risco. As em-
presas, como os indivíduos, visualizam uma série de riscos e, na maio-
ria dos casos, não fazem nada a respeito. De acordo com Vaughan
(1997), a retenção do risco pode ser consciente, quando a organização
identifica o risco, mas não toma nenhuma atitude em relação ao mes-
mo, ou inconsciente, quando a organização não conseguiu identificá-
-lo. Exemplo: quando a empresa identifica um risco, sabe que é possí-
vel evitá-lo, atenuá-lo ou transferi-lo, mas prefere não fazer nada em
relação a isto, assumindo os possíveis prejuízos e as demais consequências.
A retenção do risco é um método legítimo e, em muitos casos, a melhor solu-
ção. De forma genérica, pode-se dizer que se deve reter os riscos que repre-
sentem uma perda relativamente insignificante para a organização;
d) Transferir o risco: o risco deve ser transferido quando o tomador não pode
arcar com o mesmo e, portanto, transfere-o para outro que seja capaz de
tomá-lo. A transferência serve tanto para riscos especulativos como para
riscos puros. Um exemplo clássico é o processo de hedging, executado nas
principais bolsas de mercadorias. Hedging é o método de transferir o risco
das variações de preço de uma entrega futura. Um exemplo de transferência
de risco puro é realizar o seguro de algum bem patrimonial;
e) Dividir o risco: é um caso específico de transferência do mesmo e também
uma forma de sua retenção. Quando o risco é dividido, a possibilidade de
perda é transferida de um indivíduo para o grupo, que de certa forma reteve
este risco. Aplicar em um fundo de ações e realizar um seguro são exemplos
de formas de dividir os riscos.
O que irá acontecer no futuro? Geralmente não temos esta informação. Por
isso, o conhecimento dos elementos envolvidos no ambiente avaliado, no caso

segurança de dados
40
específico de segurança da informação. Ativos de informação, ameaças e vulnera-
bilidades, e ainda uma boa formação e conhecimentos na área de segurança são
cruciais para uma boa avaliação.
Vimos, neste tópico, que é importante compreender o conceito de riscos. Ava-
liá-los para depois pensar qual técnica mais se encaixa na situação da empresas é
muito importante.
3.7 O QUE SÃO AMEAÇAS?
A norma ABNT NBR ISO/IEC 17799:2005 define ameaça como sendo uma causa
potencial de um incidente indesejado, que pode resultar em prejuízo. Podemos
dizer que uma ameaça é qualquer ação, acontecimento ou entidade que possa
agir sobre um ativo, processo ou pessoa, através de uma vulnerabilidade e por
consequência gerar algum tipo de impacto. As ameaças apenas existem se hou-
ver vulnerabilidades. Sozinhas, pouco fazem.
Quando falamos em segurança da informação, estamos certos que ameaças
sempre vão existir, desde um funcionário mal-intencionado que tenha acesso a
uma sala reservada até um aplicativo pirata não avaliado devidamente.
SAIBA
MAIS
Assista ao vídeo de um grande fabricante de soluções de
segurança que trata das ameaças na web: www.youtube.
com/watch?v=puDmfCLgfUA.
Conforme descrito em Sêmola (2003), as ameaças podem ser classificadas
quanto a sua intencionalidade e ser divididas em grupos:
a) Naturais: surgem de fenômenos naturais, como incêndios espontâneos,
enchentes, terremotos etc;
b) Não maliciosas: são inconscientes, quase sempre causadas pelo desconhe-
cimento. Podem ser exemplos: acidentes, erros, falta de energia etc;
c) Maliciosas: são propositais, causadas por agentes humanos, como hackers,
invasores, espiões, ladrões, criadores e disseminadores de vírus de compu-
tador, incendiários etc;
d) Não humanas: ameaças não causadas por agentes humanos, como falhas
de hardware, mal funcionamento de softwares etc.

41
Denis
Pacher
(2012)
Figura 8 - Ameaças
Como podemos observar, as ameaças existem tanto no ambiente externo
como no interno das organizações, sendo fundamental entendê-las para que
possamos propor medidas de segurança voltadas a eliminar a causa do problema.
As ameaças sempre exploram as vulnerabilidades, resultando em riscos. Um
exemplo, são os vírus de computador, ameaças externas não controladas que
sempre irão existir, por isso é preciso estar preparado para enfrentá-los. Já em
uma ameaça interna, como no caso de funcionários mal treinados, por exemplo,
pode-se treiná-los para reduzir este tipo de vulnerabilidade. É necessário ressaltar
que a ameaça de um funcionário, por acidente, efetuar algum tipo de dano não
pode ser eliminada por completo, apenas reduzida por meio de conscientização
e treinamentos. O que podemos fazer é reduzir as vulnerabilidades.
Outro exemplo é o caso de um ambiente restrito, como um Data Center: po-
demos implementar mecanismos de segurança física como controle de acesso
biométrico, dessa forma reduzir a vulnerabilidade contra algum acesso indevido;
porém, a ameaça de alguém mal-intencionado tentar entrar no ambiente conti-
nuará existindo.
Uma ameaça pode ser identificada através dos seguintes elementos:
a) Agente: o catalisador que executa a ameaça. Pode ser humano, máquina ou
a natureza;
b) Motivo: aquilo que incentiva o adversário a atuar. Esta ação pode ser aci-
dental ou intencional;
c) Resultado: efeito causado pela execução da ameaça. No caso da segurança
da informação, pode ser: perda de acesso, acesso não autorizado, perda de
privacidade, indisponibilidade de serviços, divulgação, alteração ou destrui-
ção de informações.

segurança de dados
42
Vimos neste tópico que ameaça é tudo aquilo que causa um prejuízo a um
sistema ou organização, e que elas existem se houver vulnerabilidades. Também
aprendemos que existem vários tipos de ameaças e que elas podem ser identifi-
cadas pelos elementos agente, motivo e resultado.
3.8 O QUE SÃO VULNERABILIDADES?
O termo vulnerabilidade é utilizado para definir um ponto fraco ou falha exis-
tente num determinado sistema ou recurso, que pode ser explorada, propositada
ou inadvertidamente, causando prejuízo ao sistema ou recurso em questão.
Na existência de uma vulnerabilidade, há um risco que acarreta o surgimento
de uma ameaça. Lembre que ameaça é uma circunstância ou evento que pode
causar algum efeito sobre a confidencialidade, integridade ou disponibilidade da
informação (PEOTTA, 2011).
Algumas ferramentas, metodologias ou mesmo pessoas mal-intencionadas
tentam explorar as vulnerabilidades diretamente, o que pode levar à perda de
informações, comprometimento dos serviços e muitas vezes à sobrecarga de ser-
vidores ou da própria rede.
Um exemplo é o caso de como um incêndio afeta ou não os negócios de uma
empresa. Isto depende da ausência ou existência de mecanismos de prevenção,
detecção e extinção do incêndio, além do correto funcionamento dos mesmos. A
ameça do fogo só afeta a empresa se esta estiver vulnerável ao risco de incêndio
(a falta de extintores, por exemplo).
O nível de risco implícito à exploração de uma determinada vulnerabilidade,
por parte de uma ou mais ameaças, pode ser caracterizado ou calculado, aten-
dendo a três fatores distintos, mas relacionados:
a) o grau de vulnerabilidade existente;
b) a probabilidade da ocorrência de um incidente de segurança (concretiza-
ção de uma ameaça);
c) o impacto resultante do mesmo.
Desta forma, vimos que qualquer alteração no âmbito dos recursos de uma or-
ganização, das vulnerabilidades diretamente associadas, das ameaças a que estes
se encontram expostos e dos controles de segurança utilizados para protegê-los
terão efeito positivo ou negativo no que diz respeito ao nível de risco existente.
Percebemos que a vulnerabilidade é o ponto onde qualquer sistema é suscetí-
vel a um ataque, ou seja, é uma condição encontrada em determinados recursos,
processos, configurações etc.

43
Todos os ambientes são vulneráveis, partindo do princípio de que não existem
ambientes totalmente seguros. Muitas vezes encontramos vulnerabilidades nas
medidas implementadas pela empresa. Identificá-las pode contribuir para que as
ocorrências de incidentes de segurança sejam reduzidos, e é um aspecto impor-
tante na identificação de medidas adequadas de segurança.
As vulnerabilidades estão presentes no dia a dia e se apresentam nas mais
diversas áreas de uma organização. Não existe uma única causa para seu surgi-
mento. A negligência por parte dos administradores de rede e a falta de conhe-
cimento técnico são exemplos típicos, porém, cada vulnerabilidade pode estar
presente em diversos ambientes computacionais, e cada uma delas pode permitir
a ocorrência de determinados incidentes de segurança.
Concluímos que são as vulnerabilidades as principais causas das ocorrências
de incidentes de segurança.
POR QUE SISTEMAS DE SEGURANÇA SÃO VULNERÁVEIS?
Quando grandes quantidades de dados são armazenadas sob formato ele-
trônico, ficam vulneráveis a mais tipos de ameaças. Os avanços nas telecomuni-
cações e nos sistemas de informação ampliaram essas vulnerabilidades porque
esses sistemas, mesmo estando em locais diferentes, podem ser interconectados
por meio de redes de telecomunicações. Logo, a facilidade para acesso não auto-
rizado, abuso ou fraude não fica limitada a um único lugar, mas pode ocorrer em
qualquer ponto de acesso à rede. Além disso, arranjos mais complexos e diversos,
de hardware, software, pessoais e organizacionais, são exigidos para redes de tele-
comunicação, criando novas áreas e oportunidades para invasão e manipulação.
Redes sem fio que utilizam tecnologias baseadas em rádio são ainda mais vul-
neráveis à invasão, pois é fácil fazer a varredura das faixas de radiofrequência. A
internet apresenta problemas especiais porque foi projetada para ser acessada
facilmente por pessoas com sistemas de informações diferentes.
As redes de telecomunicação são altamente vulneráveis a falhas naturais de
hardware e software e ao uso indevido por programadores, operadores de com-
putador, pessoal de manutenção e usuário finais. É possível, por exemplo, gram-
pear linhas de telecomunicação com a finalidade de interceptar dados ilegalmen-
te (LAUDON LAUDON, 2004).

segurança de dados
44
ANÁLISE DE VULNERABILIDADES
Novas vulnerabilidades surgem em decorrência de brechas em softwares, im-
perfeições na configuração de aplicativos e falha humana. A análise de vulnera-
bilidades é responsável por garantir a detecção, remoção e controle das mesmas.
Seus principais objetivos são:
a) identificar e tratar falhas de softwares que possam comprometer seu desem-
penho, funcionalidade e segurança;
b) providenciar uma nova solução de segurança como, por exemplo, o uso de
um antivírus, com possibilidade de update constante;
c) alterar as configurações de softwares a fim de torná-los mais eficientes e me-
nos suscetíveis a ataques;
d) utilizar mecanismos para bloquear ataques automatizados (worms, bots
etc.);
e) implementar a melhoria constante do controle de segurança.
A análise de vulnerabilidades torna a tomada de decisão em relação à segu-
rança mais fácil, pois reúne informações essenciais que indicam a melhor estra-
tégia para se manter protegido de falhas, ataques e invasões (MÓDULO..., 2011).
Vimos neste tópico que as vulnerabilidades são as principais causas da ocor-
rência de incidentes de segurança, e que fazendo a análise de segurança e se-
guindo seus principais objetivos podemos manter um sistema protegido.
3.9 O QUE É ANÁLISE DE RISCOS?
Atualmente, com dependência crescente dos sistemas de informação e o sur-
gimento de novas tecnologias e formas de trabalho, como o comércio eletrônico,
as redes virtuais privadas e os funcionários móveis, as organizações começaram a
despertar para a necessidade de segurança, uma vez que se tornaram vulneráveis
a um número maior de ameaças.
Diante desses desafios, é necessário estarmos preparados para impedir, difi-
cultar, minimizar ou transferir os riscos a que estamos expostos. É neste cenário
que chamamos a atenção sobre a necessidade de analisar os riscos.
Segundo a norma NBR ISO 31000, que trata sobre a gestão de riscos, o termo
análise de risco pode ser definido como o processo pelo qual se busca compreen-
der a natureza do risco e determinar o seu nível. A análise de riscos fornece a base
para a avaliação de riscos e para as decisões sobre o seu tratamento, incluindo a
estimativa de riscos.

45
A IMPORTÂNCIA DA ANÁLISE DE RISCOS
Ao tomar conhecimento dos riscos a que se expõem as organizações e pesso-
as, é mais fácil aplicar as soluções de segurança. Se não os conhecermos, dificil-
mente saberemos os mecanismos que devemos aplicar.
A primeira coisa que se recomenda fazer é uma análise dos riscos e sua classifi-
cação segundo sua prioridade. Dependendo desta, podemos calcular os recursos
exigidos para que os riscos sejam atenuados, eliminados ou assumidos. Sempre
há uma faixa dentro da qual há um risco inaceitável e outro aceitável; tentaremos
ficar em uma faixa no meio, que é a “administração do risco” (GABINESKI, 2007).
Através dos resultados da análise, são orientadas e determinadas as ações de
gestão apropriadas e as prioridades para o gerenciamento dos riscos de seguran-
ça da informação, e para a implementação dos controles selecionados. O proces-
so de avaliar os riscos e selecionar os controles pode ser realizado várias vezes,
de forma a cobrir diferentes partes da organização ou de sistemas de informação
específicos.
AS PRINCIPAIS ETAPAS DE UMA ANÁLISE DE RISCOS
A realização de uma análise de risco compreende genericamente diversas eta-
pas ou passos, dentre elas (GAIVÉO, 2007):
a) identificação dos bens e seus valores considerados críticos para a atividade
e sobrevivência da organização, recursos estes que são valorizados de acor-
do com a sua relevância para o negócio, facilidade de substituição e investi-
mento (direto e/ou indireto) necessário para reparação ou substituição;
b) identificação e avaliação das vulnerabilidades que se encontram associa-
das a estes recursos e das ameaças a que estes se encontram expostos, bem
como a sua probabilidade de ocorrência e impacto esperado (quantificado,
sempre que possível);
c) determinação, o mais realista possível, das perdas e danos (tangíveis e intan-
gíveis) associados aos impactos resultantes da concretização de uma ou mais
ameaças, sobre um dado recurso. Deste cálculo decorre o nível de risco as-
sociado ao recurso em questão. Os impactos podem ser avaliados de modo
quantitativo ou qualitativo, ou até mesmo de uma combinação de ambos;
d) de acordo com o nível de risco identificado, segue-se a classificação deste
quanto à sua aceitação ou necessidade de mitigação, atendendo ao grau de
conforto pretendido pela organização.
Um nível de risco pode ser aceito caso a organização decida que este não acar-
reta consequências significativas à concretização de suas atividades críticas de

segurança de dados
46
negócio, sendo que a aceitação de um determinado nível pode, contudo, pre-
sumir a realização de esforços no sentido de mitigá-lo, reduzindo-o a um valor
considerado aceitável para a organização, dotando-a de um nível de conforto
desejável.
A avaliação das ameaças e das vulnerabilidades são classificadas em ALTA,
MÉDIA e BAIXA, geralmente feitas através de questionários feitos aos funcioná-
rios, inspeções nos locais e revisões de documentação. Feito isso, pode-se medir
o risco. Para cada recurso, as vulnerabilidades relevantes e suas correspondentes
ameaças são consideradas: se existe uma vulnerabilidade sem ameaça, ou amea-
ça sem vulnerabilidade, então não há risco.
Você aprendeu neste tópico que uma análise de risco é o processo pelo qual se
busca compreender a natureza do risco e determinar seu nível; e que a avaliação
de riscos e seleção dos controles podem ser realizadas várias vezes, de forma a
cobrir diferentes partes da organização ou de sistemas de informação específicos.
3.10 TIPOS DE LICENÇAS DE SOFTWARES
Quando precisamos de algum software e o procuramos para download, o site
de onde o baixamos normalmente cita o tipo de licença. Conhecer as diferenças
entre essas licenças é importante para não induzirmos algum cliente a utilizar um
software não apropriado.
As licenças de software muitas vezes são documentos de alta complexidade
jurídica,sendo necessário um estudo cuidadoso de seus termos para avaliar o que
é permitido ounão. Estudaremos a seguir os principais tipos de licença.
FREEWARE
Tipo de distribuição para programas gratuitos, estas licenças não expiram e
pode-se utilizá-los livremente sem nunca precisar se preocupar em pagar nada.
Alguns programas são gratuitos apenas para pessoas físicas ou uso não comer-
cial. É muito comum em sites de download de programas.
ADWARE
Também é um tipo de distribuição para programas gratuitos, mas tem o in-
conveniente de trazer publicidade de diferentes formas, geralmente em formato
de banners que patrocinam os custos de desenvolvimento e manutenção do sof-

47
tware. Muitos adwares oferecem também versões pagas, sem propagandas, mas
a compra neste caso é opcional.
SHAREWARE
Tipo de distribuição em que, após um determinado tempo de uso ou núme-
ro de utilizações, o software em questão perde algumas ou a totalidade de suas
funcionalidades. Após este período, utilizado geralmente para avaliação, você
deve apagá-lo ou registrá-lo através da compra de uma licença de utilização. Um
usuário registrado possui alguns benefícios, como suporte técnico e atualizações
gratuitas do programa. Seu preço costuma não ser muito alto em comparação
aos outros produtos proprietários.
DEMO
Tipo de distribuição comum em jogos. Os demos de jogos apresentam apenas
algumas fases e servem para você analisar se vale a pena comprá-lo ou não. Não
expiram nem podem ser registrados. Se você quiser comprar o software, terá que
recorrer a uma loja.
TRIAL
Semelhante ao tipo demo, mas se aplica a programas. Você pode testá-lo em
sua totalidade, com todos os recursos e por quanto tempo quiser, mas geralmen-
te não pode salvar ou exportar os trabalhos feitos. Se quiser comprá-lo deve ir a
uma loja.
Alguns programas trial permitem que você salve e exporte trabalhos por um
certo tempo.
PRODUTO COMPLETO (PROPRIETÁRIO)
Produto completo se refere a softwares licenciados embalados e vendidos
através de distribuidores a revendedores. Clientes geralmente adquirem FPPs
(full packaged product - produtos licenciados em caixas) através de lojas de varejo
locais e varejistas de software. Tipicamente, cada produto completo inclui uma
licença, mídia e documentação, e destina-se a atender necessidades de baixo vo-
lume. Geralmente são softwares como Microsoft Office, pacotes antivírus etc.

segurança de dados
48
INTEGRADOR DE SISTEMAS OEM (PROPRIETÁRIO)
Um integrador de sistemas fabricante de equipamento original (OEM) geral-
mente é um fabricante de computadores que vende seu hardware com software
pré-instalado. Uma licença de OEM frequentemente é a maneira mais fácil e eco-
nômica para clientes receberem seu software de sistema operacional Windows.
É muito comum quando se adquirem computadores novos de grandes marcas,
como DELL, IBM, Sony etc.
SOFTWARE LIVRE OU OPENSOURCE
Pode ser usado, copiado, estudado, modificado e redistribuído sem restrição.
A forma comum de um software ser distribuído livremente é sendo acompanha-
do por uma licença de software livre (como a GPL ou a BSD), e com a disponibili-
zação do seu código-fonte.
Para saber mais sobre software livre, leia a LICENÇA PÚBLICA GERAL GNU Ver-
são 2, de junho de 1991 em http://www.magnux.org/doc/GPL-pt_BR.txt.
As licenças de software livre são documentos através dos quais os detentores
dos direitos sobre um programa de computador autorizam seu uso que, de outra
forma, estaria protegido pelas leis vigentes no local.
Além do uso como usuário final, esses usos autorizados permitem que desen-
volvedores possam adaptar o software para necessidades mais específicas, utilizá-
-lo como fundação para construção de programas mais complexos, entre diversas
outras possibilidades (SABINO; KON, 2011).
SOFTWARE DE DOMÍNIO PÚBLICO
É semelhante ao software livre, com a exceção de que o autor do software re-
nuncia à propriedade do programa (e a todos os direitos associados) e este se
torna bem comum. No software livre estão garantidos os direitos autorais do pro-
gramador ou organização.
Neste tópico, você viu que existem várias licenças de software e que, depen-
dendo da necessidade ou aplicação, devemos comprar ou não uma licença.
3.11 DIREITOS PROPRIETÁRIOS E DIREITOS DE USO
Você já deve ter ouvido falar que a comercialização de qualquer tipo de sof-
tware cabe apenas ao desenvolvedor ou a um distribuidor regularmente autori-

49
zado. Quando adquirimos um programa de computador, não nos tornamos pro-
prietários dele, estamos apenas recebendo uma licença de uso.
CONTRATOS DE SOFTWARE E SEUS DIFERENTES TIPOS
Em uma relação jurídica onde o objeto é o software, esta relação fica estabele-
cida através do contrato de licença de uso. Este é comumente usado para softwa-
res comercializados:
a) Softwares de prateleira: são aqueles comercializados no varejo, ou seja,
cadeias de supermercados, lojas de informática etc. São tutelados por um
tipo de contrato, ainda que seja licença de uso, conhecido como contrato
eletrônico;
b) Softwares de gestão: são mais complexos, pois são soluções desenvolvi-
das especificamente para aquele usuário, como são os casos dos sistemas
de gestão ERP, sistemas que diferem de uma empresa para outra de acordo
com as necessidades acordadas em contrato. Geralmente, fazem parte dos
contratos cláusulas de manutenção, onde correções e alterações necessárias
serão atendidas pelo fornecedor caso seja necessário, ou o custo dessas ma-
nutenções, caso o comprador necessite.
CONTRATO DE LICENÇA DE USO
O contrato de licença de uso é aquele pelo qual o licenciante/proprietário
concede a outra pessoa o direito de usá-lo por tempo indeterminado. Este uso
poderá ser em seus computadores e ou servidores (equipamentos onde serão
instalados o software).
O licenciado é aquele que adquire a licença de uso, e possui somente o direito
de uso e não de propriedade, não podendo transferir, comercializar, doar, arren-
dar, alienar, sublicenciar e tampouco dar o objeto em garantia.
Um outro termo muito utilizado é licença comercial, associada a contratos
de licença de uso. É importante observar que, de acordo com o modelo de licen-
ciamento de software comercial, o que o usuário adquire é o direito de utilizá-lo
segundo as regras definidas por seu contrato. Uma analogia pode ser feita com
livros: quando se compra um livro, está se adquirindo a mídia impressa, mas o
direito autoral do conteúdo é do autor ou da editora.
As duas restrições mais comuns nas licenças comerciais são:

segurança de dados
50
a) o direito de redistribuição, isto é, realizar uma cópia dele e repassá-la para
outro usuário. A cópia em desacordo com sua licença comercial é considera-
da uma cópia ilegal e esta prática é conhecida pelo termo “pirataria”;
b) o direito de alterar o funcionamento do software, adaptando-o para um
fim específico. Como o software comercial raramente é distribuído com seu
código fonte, para alterá-lo seria necessário utilizar a prática da engenharia
reversa, o que costuma ser terminantemente proibido por esse tipo de licença.
A licença comercial define também, em muitos casos, os serviços que a empre-
sa que vende o softwaredisponibiliza aos usuários, tais como suporte, correção de
erros de funcionamento, atualização periódica e acesso a documentação de uso e
outros materiais, normalmente via internet (WIKIPÉDIA, 2011).
A GARANTIA
É comum os licenciantes imporem uma contraprestação pelo pagamento de
manutenção do software, composto por atualizações, correções e novas versões,
cujo período inicia-se justamente na data da assinatura do contrato. Na prática,
grande parte das empresas de software fornecem junto com a licença de uso um
período no qual novas versões com atualizações e correções podem ser instala-
das sem custo, desde que este período não tenha expirado.
CONTRATO DE SERVIÇO
O contrato especifica os termos e condições sob os quais o licenciante presta-
rá serviços ao licenciado em relação a produtos de software licenciados, onde o
licenciante concorda em prestar serviços profissionais que deveriam estar descri-
tos no próprio contrato, assinado pelas partes e mediante a contraprestação do
pagamento pelos mesmos.
Baseado em cronogramas de trabalho, o licenciante deverá fornecer um or-
çamento do custo dos serviços, bem como os detalhes dos serviços que serão
executados (ÂMBITO JURÍDICO, 2011).
Você poderá aprender mais sobre a lei do software em: http://www.planalto.
gov.br/ccivil_03/leis/L9609.htm.
Neste tópico, você aprendeu que existem diferentes tipos de software comer-
cializados e que cada um é protegido por um tipo de licença diferente, além de
conhecer os contratos vigentes em relação ao uso e ao serviço de licenciantes.

51
3.12 LEGISLAÇÃO BRASILEIRA EM VIGOR
O software desempenha um papel singular no mundo moderno, seja no âm-
bito econômico, político, social, jurídico ou acadêmico. Sua relevância tem se
tornado mais estratégica. Afinal, a automação das informações relacionadas com
as mais diversas atividades humanas, realizada com computadores e/ou outros
equipamentos, depende necessariamente de softwares.
Diante deste contexto em constante e rápida evolução, o governo brasileiro
editou leis que tratam da tecnologia da informação.
Segue abaixo um breve resumo:
a) LeideProgramadeComputadornº9.609/98:Promulgadaem19/02/1998,
substitui a Lei 7.646/87, entrando em vigor na data de sua publicação. Dis-
põe sobre a proteção de propriedade intelectual de softwares e sua comer-
cialização no Brasil. Disponível em: www.planalto.gov.br/ccivil_03/leis/
L9609.htm;
b) LeideDireitosAutoraisnº9.610/98:Tambémpromulgadaem19/02/1998,
substitui a Lei 5.988/73, entrando em vigor 120 dias após sua publicação.
Disponível em: www.planalto.gov.br/ccivil_03/leis/L9610.htm;
c) Decreto Nº 2556, 20 de abril de 1998: Regulamenta o registro previsto
no art. 3º da Lei Nº 9.609, de 19 de fevereiro de 1998. Disponível em: www.
planalto.gov.br/ccivil_03/decreto/d2556.htm;
d) Decreto Nº 91.873, de 4 de novembro de 1985: Dá novas atribuições
ao Conselho Nacional de Direito Autoral. Disponível em: www2.camara.
gov.br/legin/fed/decret/1980-1987/decreto-91873-4-novembro-1985-
-442056-publicacaooriginal-1-pe.html;
e) Resolução CNDA Nº 057, de 5 de dezembro de 1988: O Conselho Nacio-
nal de Direito Autoral, no uso das atribuições que lhe conferem o artigo 4º
da Lei nº 7.646, de 18/12/1987, e o artigo 7º, item IV, do Decreto nº 96.036,
de 12/05/1988. Disponível em: www.assespro-rj.org.br/publique/media/
re_CNDA057.pdf.
O desrespeito aos direitos autorais do software é, geralmente, chamado de pi-
rataria. Esta consiste em práticas de conduta que violam as regras de direito auto-
ral, tanto em relação ao software gratuito como ao proprietário, seja ele fechado
ou aberto. A pirataria é um crime com pena prevista de até 4 anos de reclusão em
caso de condenação.
Para enfatizar a preocupação sobre o tema pirataria, segundo pesquisa realiza-
da pelo International Data Corporation (IDC), a pirataria no Brasil atinge cerca de
64% dos computadores, ou seja, a cada 100 computadores, mais de 60 possuem
software pirata instalado.

Segurança de Dados.pdf

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Segurança de Dados.pdf

Semelhante a Segurança de Dados.pdf (20)

Mais de Os Fantasmas !

Mais de Os Fantasmas ! (20)

Último

Último (20)

Segurança de Dados.pdf