PRONATEC

E. E. PROF. MARIA RITA LISBOA PEREIRA SANTORO

Prof. Ricardo Ostroski Fernandes
SEGURANA E AUDITORIA DE SISTEMAS
1. INTRODUO

Antes de iniciarmos diretamente sobre o tema Segurana vamos recordar sobre a evoluo
dos Sistemas da Informao.
Os sistemas de computadores surgiram, na dcada de 1960, como ferramentas para gerncia
de informaes e para o processamento de dados coorporativos, substituindo os sistemas
manuais.
Desde essa poca, os avanos tecnolgicos tm proporcionado s empresas maior eficincia e
rapidez na troca de informaes e tomadas de decises.
Computadores cada vez mais rpidos so lanados em curto espao de tempo, as redes de
computadores so cada vez mais usadas por organizaes para conduzir seus negcios e o
uso da Internet tornou-se essencial, estando agora, disponvel para todos e permitindo a
qualquer empresa praticar o comrcio eletrnico.
Nos ltimos anos, com a queda dos preos e o aumento de velocidade e capacidade de
processamento dos computadores, at pequenas empresas e pessoas fsicas aderiram a essa
tecnologia. As grandes organizaes esto cada vez mais dependentes dessa nova tecnologia,
sendo quase impossvel manter seus negcios sem o auxilio do computador.
Dentro desse contexto e, devido a extrema importncia das informaes internas e externas
organizao, surgiu, ento a necessidade de se utilizar melhores mecanismos para prover a
segurana das transaes e do armazenamento de informaes, principalmente informaes
confidenciais e/ou crticas para o negcio.

O que iremos aprender nessa matria?

Os conceitos de Segurana;
Caractersticas da Informao e seu Ciclo de Vida;
Segurana em Ambiente Fsico e Lgico;
Segurana no Contexto da Governana de TI.

SEGURANA E AUDITORIA DE SISTEMAS

PRONATEC
E. E. PROF. MARIA RITA LISBOA PEREIRA SANTORO
Prof. Ricardo Ostroski Fernandes
SEGURANA E AUDITORIA DE SISTEMAS
Antes de passarmos diretamente ao tema de segurana, iremos abordar alguns conceitos
importantes:
Informao a forma final da transformao ou processamento dos dados originais, em algo
com valor e significado para o usurio. Todo o dado trabalhado, til, tratado com valor
significativo atribudo ou agregado a ele e com um sentido natural e lgico para quem usa a
informao.
Assim, a Informao tem importncia fundamental nas
empresas. Vivemos a chamada Sociedade da Informao e do
Conhecimento (informao disponvel e fluindo a toda
velocidade),

mercados

globalizados

(a

informao

estratgia de competio).
Mas e quanto ao valor da informao? Voc sempre l que informao o bem mais
precioso, mas como quantificar?

Se uma informao de previso de mercado usada para produzir um novo produto

que ir responder por um lucro X, neste caso, essa informao possui esse valor X.

Se um novo sistema computadorizado de pedidos custa R$ 100.000,00, mas isto

poder gerar um adicional de R$ 150.000,00 nas vendas, o valor adicionado pelo novo
sistema de R$ 50.000,00.

Vamos imaginar qual o valor da informao que Bill Gates teve para criao da
Microsoft? ________________________________________________________________________________
_____________________________________________________________________________________________
Se eu desenvolver uma nova rede social, e com ela vender espaos para propagandas de
terceiros, quanto valeria minha informao?______________________________________________
_____________________________________________________________________________________________

A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua
conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou
padres.

SEGURANA E AUDITORIA DE SISTEMAS

PRONATEC
E. E. PROF. MARIA RITA LISBOA PEREIRA SANTORO
Prof. Ricardo Ostroski Fernandes
SEGURANA E AUDITORIA DE SISTEMAS
A segurana da informao tem vrios aspectos importantes, mas sem dvida trs deles se
destacam:

Confidencialidade O acesso as informaes sensveis de uma empresa deve estar

protegido por sistemticas que garantam que apenas as pessoas autorizadas possam
obter essas informaes;

Integridade J a garantia de integridade deve garantir tanto a exatido dos dados

(confiabilidade) quanto a proteo no que tange perda;

Disponibilidade a informao deve estar disponvel para todos que precisarem dela
para a realizao dos objetivos empresariais.

No entanto, alm destes trs aspectos, ainda temos:

Autenticao garantir que um usurio de fato quem alega ser;

No-Repdio capacidade do sistema de provar que um usurio executou uma

determinada ao;

Legalidade garantir que o sistema esteja aderente legislao pertinente;

Privacidade capacidade de um sistema de manter annimo um usurio,

impossibilitando o relacionamento entre o usurio e suas aes. Exemplo: Urnas
Eletrnicas utilizadas pelo TSE um sistema que realiza a captao e contagem dos
votos no relacionando o usurio com a ao executada, garantindo assim a
privacidade do eleitor;

Auditoria capacidade do sistema de auditar tudo que foi realizado pelos usurios,
detectando fraudes ou tentativas de ataque.

1.2 A Segurana e o Ciclo de Vida da Informao

Quando realizamos um levantamento de informaes para uma implantao ou um desenvolvimento
de um sistema, vital ter uma preocupao em como a informao ir fluir na organizao. Assim, a
identificao das necessidades e dos requisitos da informao quem ditar o ciclo da mesma.
Destacamos a sequncia a que a informao submetida: obteno, tratamento, armazenamento,
distribuio, uso e descarte da informao. Analise a figura abaixo:

SEGURANA E AUDITORIA DE SISTEMAS

PRONATEC
E. E. PROF. MARIA RITA LISBOA PEREIRA SANTORO
Prof. Ricardo Ostroski Fernandes
SEGURANA E AUDITORIA DE SISTEMAS

Identificao das necessidades e dos Requisitos geralmente dentro de uma organizao nossa
principal funo desenvolver produtos e servios. Isso pode ser desde um simples relatrio, um
produto ou um novo processo.

Obteno nesta etapa so desenvolvidos procedimentos para a captura e recepo da

informao originria de uma fonte externa. Para o primeiro caso (fonte externa), necessrio que
voc se preocupe com a integridade da informao, garantindo que ela genuna, produzida por
uma pessoa ou entidade autorizada e que, portanto, est completa e compatvel com os requisitos
que foram levantados anteriormente.

Tratamento antes da informao ser utilizada ou consumida, imprescindvel que ela seja
classificada, formatada, organizada. Tambm interessante torn-la mais acessvel e de fcil
utilizao. Mas aqui vai um alerta! Depois de tratada, preciso dar a garantia de que ela continue
ntegra, bem como confidencial.

Distribuio consiste em levar a informao at quem ser seu consumidor. Para isso quanto
mais centralizado for a rede de distribuio, melhor e mais seguro ser.

Uso aqui que veremos o quanto a informao ser til para gerar valor organizao.
Devemos aplicar, portanto, os conceitos de disponibilidade, integridade e confidencialidade.

SEGURANA E AUDITORIA DE SISTEMAS

PRONATEC
E. E. PROF. MARIA RITA LISBOA PEREIRA SANTORO
Prof. Ricardo Ostroski Fernandes
SEGURANA E AUDITORIA DE SISTEMAS

Armazenamento importante para que futuramente a informao possa ser utilizada novamente.
Ela ser mais onerosa se a informao estiver em vrios formatos ou mdias. A preocupao com a
integridade e a disponibilidade devem ser constantes, bem como confidencialidade, se a mesma
for sigilosa.

Descarte quando uma informao torna-se obsoleta ou perde a utilidade para a organizao, ela
deve ser objeto de processo de descarte obedecendo a normas legais, polticas operacionais e
exigncias internas. Isso ajudar no processo de gesto da informao.

1.3 Classificao e Controle dos Ativos de Informao

A classificao da informao o processo pelo qual estabelecemos o grau de importncia
das informaes frente a seu impacto no negcio ou processo que elas suportam.
Entendemos assim que, quanto mais ela for estratgica ou decisiva para o negcio mais
importante ela ser.
A figura ilustra como os ativos da informao podem ser divididos em grupos:

Existem vrias formas de classificar o ativo da informao, no entanto, esta no deve ser difcil
de compreender e deve constar na poltica de segurana. Deve ter um nmero equilibrado de
nveis de classificao e servir para demonstrar a diferenciao entre a importncia dos ativos.
Esta, ento, deve estar centrada em quatro eixos: confidencialidade, disponibilidade,
integridade e autenticidade. Vamos ento tratar de cada um desses quatro eixos.
1.3.1 Quanto Confidencialidade
Nvel 1: Informao Pblica aqui devem estar os ativos pblicos ou no classificados. So
informaes que se forem divulgadas fora da organizao no traro impactos para o
negcio. No vital a integridade e seu uso livre.

SEGURANA E AUDITORIA DE SISTEMAS

PRONATEC
E. E. PROF. MARIA RITA LISBOA PEREIRA SANTORO
Prof. Ricardo Ostroski Fernandes
SEGURANA E AUDITORIA DE SISTEMAS
Exemplo: Um bom exemplo de informao pblica trata-se dos folders corporativos,
brochuras, etc.
Nvel 2: Informao Interna ativos cujo acesso do pblico externo deve ser evitado, mas se
por acaso estes venham a ter acesso, as consequncias no so crticas ou preocupantes.
Exemplo: Listas de Telefones e ramais, agendas dos executivos, planejamento semanal
Nvel 3: Informao Confidencial os ativos devem ter acesso restrito dentro da organizao
e protegidos do acesso externo. O acesso no autorizado pode trazer comprometimento s
operaes da organizao e causar at mesmo perdas financeiras.
Exemplo: Dados de clientes, senhas de acesso, informaes sobre vulnerabilidades da
organizao
Nvel 4: Informao Secreta nesse nvel o acesso tanto interno como externo pode ser
crtico para a organizao. Deve-se controlar o nmero de pessoas que tem acesso a ela, a
integridade das informaes e criar regras restritas para o uso das mesmas.
Exemplo: Podemos citar informaes de concorrentes, contratos confidenciais, informaes
estratgicas, etc.

SEGURANA E AUDITORIA DE SISTEMAS