Seguranca Da Informacao

1
CENTRO PAULA SOUZA

FACULDADE DE TECNOLOGIA DE OURINHOS

SEGURANA DA INFORMAO

SERGIO DUQUE CASTILHO

OURINHOS - SP
JUNHO/2011

2
Lista de Figuras
Figura 1 Valor da Informao.................................................................................. 7
Figura 2 Elementos que fazem Parte da Comunicao. ............................................... 9
Figura 3 Princpios Bsicos da Segurana da Informao.......................................... 13
Figura 4 Pontos Fracos ou Vulnerabilidades............................................................. 15
Figura 5 Ciclo de segurana .................................................................................. 19
Figura 6 Fluxograma de sanitizao ....................................................................... 59

3
Lista de Tabelas
Tabela 1 rupos de Ativos ................................................................................ 10
Tabela 2 Principais ameaas s informaes das empresas ................................... 14
Tabela 3 Formulario para documentao de sanitizao............................................. 61
Tabela 4 Matriz de Sanitizao ............................................................................ 62

4
Sumrio
1 SEGURANA DA INFORMAO...................................................................................... 6
1.1 Introduo............................................................................................................................. 6
1.2 InIormao............................................................................................................................ 6
1.3 A importncia da inIormao................................................................................................. 7
1.4 Segurana da inIormao....................................................................................................... 8
1.5 Ativos ................................................................................................................................. 10
1.6 Principios basicos da segurana da inIormao.................................................................... 12
1.6.1 Integridade da inIormao: ........................................................................................ 12
1.6.2 ConIidencialidade da inIormao:.............................................................................. 12
1.6.3 Disponibilidade das inIormaes: .............................................................................. 12
1.7 Ameaa ............................................................................................................................... 13
1.7.1 Tipos de ameaas....................................................................................................... 13
1.8 Vulnerabilidade................................................................................................................... 14
1.8.1 Vulnerabilidades Iisicas ............................................................................................. 14
1.8.2 Vulnerabilidades naturais........................................................................................... 15
1.8.3 Vulnerabilidades de hardware.................................................................................... 16
1.8.4 Vulnerabilidades de soItwares.................................................................................... 16
1.8.5 Vulnerabilidades dos meios de armazenamento ......................................................... 16
1.8.6 Vulnerabilidades de comunicao.............................................................................. 17
1.8.7 Vulnerabilidades humanas ......................................................................................... 17
1.9 Impacto............................................................................................................................... 18
1.10 Risco................................................................................................................................... 18
1.11 Excelncia operacional das empresas................................................................................... 19
2 LEIS ...................................................................................................................................... 21
3 PESQUISA DE SEGURANA DA INFORMAO......................................................... 25
3.1 Origem dos eventos de segurana da InIormao................................................................. 29
4 NORMAS.............................................................................................................................. 30
4.1 Historico ............................................................................................................................. 30
4.1.1 ABNT ISO/IEC 27002 / 17799.................................................................................. 30
4.1.2 ISO/IEC 27001 SGSI - Sistemas de Gesto de Segurana da InIormao (ISMS
- InIormation Security Management System) .......................................................................... 31
4.1.3 ISO/IEC 27003 Guia de Implementao do Sistema de Gerenciamento de
Segurana da InIormao........................................................................................................ 33
4.1.4 ISO / IEC 27004 Tecnologia da inIormao - Tecnicas de segurana - Gesto de
segurana da inIormao - Medio........................................................................................ 34
4.1.5 ISO / IEC 27005 Tecnologia da inIormao Tecnicas de Segurana
Gerenciamento de Risco em Segurana da InIormao ........................................................... 36
4.1.6 ISO / IEC 27006 A tecnologia da inIormao - Tecnicas de segurana
Requisitos para organismos que prestem servios de auditoria e certiIicao de sistemas
de inIormao de gesto de segurana..................................................................................... 37
5 CLASSIFICAO DA INFORMAO............................................................................ 39
5.1 Introduo........................................................................................................................... 39
5.2 Proteo .............................................................................................................................. 39
5.3 Economia ............................................................................................................................ 39
5.3.1 Conscientizao......................................................................................................... 40
5.4 Conceitos ............................................................................................................................ 41
5.4.1 Politica de ClassiIicao da InIormao..................................................................... 41
5.4.2 ClassiIicao, DesclassiIicao e ReclassiIicao....................................................... 42

5
5.4.3 Papeis de Responsabilidades...................................................................................... 43
6 ROSI...................................................................................................................................... 45
6.1 QuantiIicao da Exposio ao Risco .................................................................................. 47
6.2 Perda de Produtividade........................................................................................................ 48
7 DESCARTE E SANITIZAO DE MIDIAS..................................................................... 51
7.1 Tipos de Midia .................................................................................................................... 52
7.2 Tendncias das midias de armazenamento........................................................................... 52
7.3 Tecnologias Emergentes...................................................................................................... 53
7.4 Tipos de Sanitizao............................................................................................................ 53
7.4.1 Eliminao................................................................................................................. 54
7.4.2 Limpeza Digital ......................................................................................................... 54
7.4.3 Purgar........................................................................................................................ 55
7.4.4 Destruio ................................................................................................................. 56
7.5 Fatores que InIluenciam as Decises de Sanitizao............................................................ 57
7.6 As decises de Sanitizao durante o ciclo de vida do sistema............................................. 58
7.6.1 IdentiIicao da necessidade de Sanitizao............................................................... 58
7.6.2 Reutilizao de Midia ................................................................................................ 60
7.7 Controle da Midia ............................................................................................................... 60
7.7.1 Sob Controle da Organizao..................................................................................... 60
7.7.2 No esta sob controle Organizao ............................................................................ 61
7.8 Documentao..................................................................................................................... 61

6
1 Segurana da Informao
1.1 Introduo
Por que e to importante proteger as inIormaes nos dias de hoje? Sera possivel
manter a segurana de uma organizao, onde as inIormaes so ativos de extrema
importncia para sua sobrevivncia?
Devido as organizaes estarem Iortemente ligadas a Tecnologias (servidores,
internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias so
riscos para o negocio, e as Ialhas na proteo dos ativos da inIormao correlacionados
com essa Tecnologia, transIormam-se em perdas Iinanceiras, comprometem a imagem da
empresa e reduzem a eIicincia operacional, chegando ao extremo de levar a encerrar suas
operaes.
Restrita no passado para areas de nicho, como bancaria, aeroespacial ou aplicaes
militares a segurana digital cresce lentamente mas segura, tornando-se assunto de todos.
As organizaes tm a necessidade de criar e manter um ambiente tecnologico no
qual os processos de negocio possam Iuncionar de Iorma correta e segura. SigniIica
assegurar a conIidencialidade e privacidade dos dados na organizao, bem como a sua
integridade. Para que esses objetivos sejam alcanados, no devemos dar nIase apenas a
implantao de hardware e soItware, mas a realizao eIiciente do processo de
Gerenciamento de Risco de TI
1
, no qual todos os riscos devem ser identiIicados e
minimizados.
1.2 Informao
E um conjunto de dados que representam um ponto de vista.
Dados>> nformao>> Conhecimento

1
TI Tecnologia da InIormao

7
Dados no so inIormaes, estes apos uma analise ou processo geram inIormao.
A inIormao possui signiIicado e causa impacto em grau maior ou menor, tornando o
elemento essencial da extrao e criao do conhecimento.
N conhecimento so pode ser Iormado a partir da exposio do
individuo a inIormao.
N Os aspectos da gerao de conhecimento a partir da inIormao e o
principal interesse das organizaes.
N Expor colaboradores a inIormao gera conhecimento, melhora a
tomada de deciso e proporciona valor aos negocios, Como pode
ser visto na Iigura 3.
N Proporcionar valor contribui diretamente para o lucro.
N E possivel aIirmar que a inIormao e um bem, um ativo da
organizao e deve ser preservada e protegida.
N E possivel encontrar inIormao na Iorma escrita, impressa,
armazenada em arquivos( discos, cds, etc) e ate transitando nos
meios de comunicao.

igura 1 Valor da nformao

1.3 A importncia da informao
Atualmente, as inIormaes tornam-se o objeto de maior valor para as empresas. O
avano da inIormatica e das redes de comunicao nos mostra um novo cenario, no qual os

8
objetos do mundo real esto representados por bits e bytes, sem deixar de ter o mesmo valor
que os objetos reais e, na maioria das vezes, o valor e ainda maior.
Segundo um estudo realizado pela Universidade do Texas, apenas 6 das empresas
que soIrem um desastre inIormatico sobrevivem. Os demais 94 desaparecem, mais cedo ou
mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, conIirmam essa
tendncia ao indicar que duas de cada cinco empresas que enIrentam ataques ou danos em
seus sistemas deixam de existir.
1.4 Segurana da informao
E a proteo da inIormao, de diversos tipos de ameaas, para garantir a
continuidade dos negocios, minimizar os danos e maximizar o retorno do investimento e as
oportunidades de negocio.
Segundo a NBR 27001(2006), segurana da inIormao consiste na preservao da
conIidencialidade, integridade e disponibilidade da inIormao. Tambem suplementa, outras
propriedades, tais como autenticidade, responsabilidade, no repudio e conIiabilidade,
podem estar incluidas.
Para a Academia Latino Americana de Segurana da InIormao, as empresas esto
expostas a ameaas constantes em seus ativos, o que pode representar prejuizos inestimaveis.
As vulnerabilidades em nossos sistemas de inIormao podem representar problemas de
grande impacto negativo para a empresa, a importncia de compreender os conceitos
necessarios para que se possa combat-los e deIender as inIormaes de possiveis ataques e
uma Iorma de sobrevivncia para a empresa.
A segurana da inIormao tem a Iinalidade de proteger as inIormaes registradas,
independente de onde estejam situadas: impressas em papel, nos discos rigidos dos
computadores ou ate mesmo na memoria das pessoas que as conhecem.
E elementos so: as inIormaes, os equipamentos que oIerecem suporte a elas e as
pessoas que as utilizam.
Segundo Geus e Nakamura (2002), a necessidade de segurana ja excede o limite da
produtividade e da Iuncionalidade, de Iorma que a velocidade e a eIicincia tornam-se uma
vantagem competitiva nos processos de negocios e a Ialta de segurana nos meios

9
tecnologicos que permitem essa velocidade e eIicincia, muitas vezes pode acarretar
prejuizos inestimaveis.

igura 2 Elementos que fazem Parte da Comunicao.

Segundo Geus e Nakamura (2002), a necessidade de segurana ja excede o limite da
produtividade e da Iuncionalidade, de Iorma que a velocidade e a eIicincia tornam-se uma
vantagem competitiva nos processos de negocios e a Ialta de segurana nos meios
tecnologicos que permitem essa velocidade e eIicincia, muitas vezes pode acarretar
prejuizos inestimaveis.
Aumentar o nivel de segurana de sistemas de inIormao e um desaIio para
qualquer organizao. O primeiro passo neste empenho e avaliar a exposio atual da
organizao e decidir que passos esta devem seguir. Tomar decises e, encontrar solues
pode ser a parte mais diIicil do processo de assegurar os sistemas de inIormao
(CISSP,2003)

10
Existem alguns riscos em relao a segurana que devem ser considerados como: a
Ialta de classiIicao da inIormao quanto ao seu valor, o controle de acesso mal deIinido,
diIiculdade de controle do administrador, a Internet, o traIego de inIormaes e senhas pela
rede, e-mails enviados, qualquer conexo entre redes pode ser considerada um risco.
No se pode garantir total segurana, pois no existe segurana a prova de hackers.
'A segurana e complexa, envolvendo aspectos humanos, sociais e tecnologicos (GEUS;
NAKAMURA,2002,p.37). Por esse motivo cabe a organizao deIinir o nivel necessario de
segurana, mas assumindo os riscos.
Administrar a segurana de uma organizao, no e uma tareIa Iacil, pois a segurana
e inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos
usuarios aos servios e dessa Iorma aIeta a sua produtividade
1.5 Ativos
De acordo com a NBR 27001(2006), tudo que constitui valor para a organizao e
considerado ativo.
'Um ativo e todo elemento que compe o processo da comunicao, partindo da
inIormao, seu emissor, o meio pelo qual ela e transmitida, ate chegar a seu receptor
(MICROSOFT TECHNET BRASIL 2010; p.2). E ainda inIorma que, os ativos so
elementos que precisam ser protegidos, pois constituem valor para as empresas e, por esse
motivo precisam de uma proteo adequada para que seus negocios no venham a ser
prejudicados.
Os elementos que Iazem parte do que chamamos de ativos so trs: As inIormaes,
os equipamentos que oIerecem suporte a elas, as pessoas que as utilizam.
Tabela 1 Grupos de Ativos

11
A. Informaes:
Neste grupo de ativos, tudo que contm inIormao registrada, em meio eletrnico ou
Iisico. Exemplo: documentos, relatorios, correspondncias, patentes, codigo de programao,
planilhas de remunerao de Iuncionarios, etc.1

. Equipamentos que oferecem Suporte
.1 Software:
Este grupo de ativos e Iormado pelos programas usados na execuo dos processos,
por exemplo: o acesso, a leitura, o trnsito e o armazenamento das inIormaes. Alguns
exemplos so: sistemas operacionais (Unix, Windows, Linux, sistemas inIormatizados,
aplicativos especiIicos etc.), programas de correio eletrnico e sistemas de suporte, entre
outros.
.2 Hardware:
Equipamentos tecnologicos que oIerecem suporte a inIormao durante sua
utilizao, trnsito e armazenamento. Por exemplo: os computadores, os servidores, os
mainIrames, os meios de armazenamento, os equipamentos de conectividade, roteadores,
switchs,etc.
.3 Organizao:
Componentes da estrutura Iisica e organizacional das empresas.
Exemplos de estrutura organizacional : a estrutura departamental e Iuncional, o
quadro de alocao dos Iuncionarios, a distribuio de Iunes e os Iluxos de inIormao da
empresa.
Exemplos de ambiente fsico: salas e armrios onde esto localizados os
documentos, sala de servidores de arquivos.
C. Usurios:
O grupo usuarios so os individuos que utilizam os equipamentos da empresa e que
trabalham com a inIormao, desde a alta direo ate os usuarios Iinais da inIormao,

12
incluindo os grupos que mantm em Iuncionamento a estrutura tecnologica, como tecnicos,
operadores e ministradores de ambientes tecnologicos .
1.6 Princpios bsicos da segurana da informao
Proteger os ativos signiIica deIende-los das ameaas que podem prejudicar sua
Iuncionalidade: corrompendo-a, tendo acesso a ela de Iorma indevida, ou eliminando-a ou
Iurtando-a. Existem trs principios basicos usados como base para proteo desses ativos:
N Integridade:
N ConIidencialidade
N Disponibilidade da inIormao.
1.6.1 Integridade da informao:
O principio da integridade nos permite garantir que a inIormao no tenha sido
alterada em seu conteudo. Um exemplo de Ialta de integridade ocorre quando a inIormao e
corrompida, IalsiIicada ou roubada.
Como seria se o quadro de salarios dos Iuncionarios Iosse alterado acidentalmente ou
propositalmente? Esse e um exemplo de dano que a empresa soIre com a Ialta de integridade
das inIormaes.
1.6.2 ConfidenciaIidade da informao:
O principio da conIidencialidade da inIormao assegura o acesso apenas das pessoas
autorizadas a inIormao que sera compartilhada. So inIormaes que precisam ser
mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimaveis. Exemplo:
numero e senha do carto de credito, da conta bancaria,etc
1.6.3 DisponibiIidade das informaes:
O principio da disponibilidade das inIormaes garante que a inIormao possa ser
acessada no momento em que Ior solicitada. A conIigurao segura de um ambiente e
Iundamental. Fazer copias de segurana backup tambem e importante.

13
1.7 Ameaa
Ativos sempre tero vulnerabilidades, que podem submet-los as ameaas. As
ameaas so agentes que exploram os pontos Iracos ou vulnerabilidades (Ialhas na
segurana), provocando perdas ou danos aos ativos, aIetando os negocios da empresa.
As ameaas podem colocar em risco a integridade, a conIidencialidade e a
disponibilidade das inIormaes. Ameaas esto ligadas a causas que representam riscos, so
elas:
N Causas naturais ou no-naturais
N Causas internas ou externas

igura 3 Princpios Bsicos da Segurana da nformao

1.7.1 Tipos de ameaas
As ameaas esto divididas em trs grandes grupos:
N Ameaas naturais - condies da natureza que podem provocar danos aos
ativos como fogo, inundao, terremotos.
N Intencionais - so ameaas premeditadas, fraudes, vandalismo, sabotagens,
espionagem, invases e furtos de informaes.

14
N InvoIuntrias - so ameaas procedentes de atitudes inconscientes de
usurios, por vrus eletrnicos, causados pela falta de conhecimento na
utilizao dos ativos, como erros e acidentes.

Tabela 2 Principais ameaas s informaes das empresas

1.8 VuInerabiIidade
Os pontos Iracos ou vulnerabilidades so os meios pelos quais as ameaas, aIetam a
conIidencialidade, a disponibilidade e a integridade das inIormaes de uma empresa. Pode-
se esperar que, a medida que a tecnologia avana, mais expostas Iicam as inIormaes. Por
esse motivo e importante conhecer a estrutura geral de como se classiIicam as
vulnerabilidades ou pontos Iracos, responsaveis pelos danos causados por uma serie de
ameaas.
1.8.1 VuInerabiIidades fsicas

Encontra-se no ambiente em que esto sendo armazenadas ou gerenciadas as
informaes.
Exemplo:
1. Virus
2. Divulgao de senhas
3. Hackers
4. uncionrios insatisfeitos
5. Acessos indevidos
6. Vazamento de informaes
7. Erros e acidentes
8. alhas na segurana fsica
9. Acessos remotos indevidos
10. Superpoderes de acesso
12. Pirataria
13. Lixo informtico
14. Divulgao indevida
15. Roubo/urto
16. raudes

15
N nstalaes inadequadas do espao de trabalho
N Ausncia de recursos para o combate a incndios
N Disposio desorganizada dos cabos de energia e de rede
N No-identificao de pessoas e de locais, entre outros.
N Computadores: podem sofrer danos internacionais ou naturais.
N Meios de transmisso.
N Ambiente: incndio, inundao, terremoto.

igura 4 Pontos racos ou Vulnerabilidades
1.8.2 VuInerabiIidades naturais

So aqueles relacionados as condies da natureza que podem colocar em risco as
inIormaes.
Exemplo:
N Ambientes sem proteo contra incndios
N Locais prximos a rios propensos a inundaes

16
N nfra-estrutura incapaz de resistir s manifestaes da natureza, como
terremotos, maremotos, furaces, etc.
1.8.3 VuInerabiIidades de hardware
DeIeitos de Iabricao ou conIigurao dos equipamentos da empresa que
possibilitem o ataque ou a alterao dos mesmos.
Exemplo:
A ausncia de atualizaes de acordo com as orientaes dos Iabricantes dos
programas utilizados
A conservao inadequada dos equipamentos.
1.8.4 VuInerabiIidades de softwares
Possibilitam a ocorrncia de acessos indevidos aos sistemas de computador.
A conIigurao e a instalao indevidas dos programas de computador;
Os aplicativos;
Os sistemas operacionais.
1.8.5 VuInerabiIidades dos meios de armazenamento
Se os meios que armazenam as inIormaes no Iorem utilizados de Iorma adequada,
seu conteudo Iica vulneravel a uma serie de ameaas que podero aIetar a integridade, a
disponibilidade e a conIidencialidade das inIormaes.
Exemplo:
N Prazo de validade e expirao
N Defeito de fabricao
N Local de armazenamento em locais insalubres ou com alto nvel de umidade,
magnetismo ou esttica, mofo, etc.
N Computadores: podem sofrer danos internacionais ou naturais.

17
N Meios de transmisso.
N Pessoa: por natureza tendem a divulgar informaes(conversa informal).
N Processos: falta de regra especifica nas empresas em relao a informao.
N Ambiente: incndio, inundao, terremoto.

1.8.6 VuInerabiIidades de comunicao
Os meios que transitem as inIormaes, seja por cabo, satelite, Iibra optica ou ondas
de radio, tambem necessitam de segurana.
A Ialha na comunicao Iaz com que uma inIormao Iique indisponivel para os seus
usuarios, ou Iique disponivel para pessoas que no deveriam ter acesso a ela, permitindo que
sejam alteradas, aIetando sua integridade.
A ausncia de sistemas de criptograIia nas comunicaes;
A ma escolha dos sistemas de comunicao para envio de mensagens.
1.8.7 VuInerabiIidades humanas
Esto relacionadas aos danos que as pessoas podem causar as inIormaes e ao
ambiente tecnologico que lhes oIerece suporte.
Exemplo:
N Senhas fracas;
N alta de uso de criptografia na comunicao;
N Compartilhamento de identificadores como nome de usurio.
N Pessoa: por natureza tendem a divulgar informaes(conversa informal).
N Processos: falta de regra especifica nas empresas em relao a informao.

18
1.9 Impacto
ReIere-se a perdas ou prejuizo, causado nos negocios ou pessoas devido a um
incidente de Segurana da InIormao., podendo causar perdas Iinanceiras, danos a imagem
de pessoas ou empresas,
Exemplo: perda de cliente, perda de produtividade, danos morais.
Fica evidente que o grau de ameaa e de vulnerabilidade inIluenciam diretamente a
pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos,
ira diminuir a probabilidade de ocorrer um impacto.
1.10 Risco
'Risco e a probabilidade de que as ameaas explorem os pontos Iracos causando
perdas ou danos aos ativos e impactando os negocios, ou seja aIetando: a conIidencialidade,
a integridade e a disponibilidade da inIormao. (ACADEMIA LATINO AMERICANA
DE SEGURANA DA INFORMAO;2010; P.2)
Os riscos aumentam a medida que as ameaas conseguem explorar as
vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da
conIidencialidade, a integridade ou a disponibilidade da inIormao causando impactos no
negocio da empresa.
RSCO = AMEAA + VULNERABLDADE.

19

igura 5 Ciclo de segurana

1.11 ExceIncia operacionaI das empresas
As organizaes que Iocam a excelncia operacional, oIerecem produtos de
qualidade em relao ao mercado.
A padronizao das operaes e uma Iorte caracteristica.
Tudo isso e suportado por uma gama de inIormaes em organizadas e disponiveis.
O que podia ocorrer se o sistema de inIormao que compem os processos de suprimento e
atendimento estiverem Iora do ar, se os procedimentos Iicarem indisponiveis.
No resta a menor duvida de que possuir um sistema de gesto de segurana da
inIormao que mantem a disponibilidade, a integridade e a conIidencial idade das
inIormaes e uma necessidade.
Um sistema de gesto de segurana da inIormao SGSI o primeiro passo e deIinir
em que direo seguir etapas do planejamento

20
DeIinio do Escopo~~ Politica para SGSI~~ Analise de Risco ~~ Tratamento do
Risco.

21
2 Leis
A evoluo da internet no trouxe apenas benefcios para a sociedade, como
globalizao, comercio eletrnico, acesso a informaes entre outras, vieram
tambm os crimes virtuais e diversas expresses algumas utilizadas de forma
equivocada como: 'crimes de informtica', 'crimes tecnolgicos', 'crimes
cibernticos', crimes virtuais etc. O termo adotado foi: "crimes informticos, este
termo traduz, de forma ampliativa, os crimes cometidos contra ou utilizando sistemas
informativos.
A Organizao para Cooperao Econmica e Desenvolvimento da ONU
(Organizao das Naes Unidas) define o conceito de crimes informticos como:
"qualquer conduta ilegal no tica, ou no autorizada, que envolva processamento
automtico de dados e/ou transmisso de dados.
O juiz Guilherme Guimares eliciano, define crimes informticos como:
"recente fenmeno histrico-scio-cultural caracterizado pela elevada incidncia de
ilcitos penais (delitos, crimes e contravenes) que tm por objeto material ou meio
de execuo o objeto tecnolgico informtico (hardware, software, redes, etc.) .
Para combater os crimes informticos ou punir quem os comete, foram criadas
algumas leis como: A Lei 11.277 de 7 de fevereiro de 2006, que acrescentou ao
Cdigo de Processo Civil o artigo 285-A, artigo 285-B, artigo 285-C, Artigo 154-A,
artigo 163, artigo 163-A, entre outros, descritos a seguir:
N Artigo 285-A (Cdigo PenaI).
Acesso no autorizado a rede de computadores, dispositivo de comunicao
ou sistema informatizado.
Acessar, mediante violao de segurana, rede de computadores, dispositivo
de comunicao ou sistema informatizado, protegidos por expressa restrio de
acesso: Pena - recluso, de 1 (um) a 3 (trs) anos, e multa.
Pargrafo nico - Se o agente se vale de nome falso ou da utilizao de identidade
de terceiros para a prtica do crime, a pena aumentada de sexta parte.
Comete o crime quem acessa uma rede de computadores (que no apenas a
nternet, pode ser uma rede de computadores conectados entre si, como uma rede

22
coorporativa ou de governo) violando alguma medida de segurana, em rede ou
sistema informatizado ou dispositivo de comunicao que contenha expressa
restrio de acesso.
N Artigo 285- (Cdigo PenaI).
Obteno, transferncia ou fornecimento no autorizado de dado ou
informao.
Obter ou transferir, sem autorizao ou em desconformidade com autorizao
do legtimo titular da rede de computadores, dispositivo de comunicao ou sistema
informatizado, protegidos por expressa restrio de acesso, dado ou informao
neles disponvel:
Pena - recluso, de 1 (um) a 3 (trs) anos, e multa.
Pargrafo nico - Se o dado ou informao obtida desautorizadamente
fornecida a terceiros, a pena aumentada de um tero.
Esse novo crime tambm busca proteger os dados eletrnicos (por exemplo,
fotos pessoais, um trabalho acadmico ou artstico, etc.) de ser obtido ou transferido
sem autorizao para terceiros.
Mas quando exatamente ocorre esse crime? .Diferentemente do crime anterior,
esse acontece quando ocorre a transferncia ou obteno do dado eletrnico sem a
autorizao do titular da rede de computadores ou do proprietrio, ou do dispositivo
de comunicao ou sistema informatizado.
N Artigo 285-C (Cdigo PenaI).
Nos crimes deIinidos neste Capitulo somente se procede mediante representao,
salvo se o crime e cometido contra a Unio, Estado, Municipio, empresa concessionaria de
servios publicos, agncias, Iundaes, autarquias, empresas publicas ou sociedade de
economia mista e subsidiarias."
O paragraIo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), so
procedem se houver representao da pessoa oIendida, isso quer dizer, que policia ou o
Ministerio Publico no podem processar por conta propria.

23
Divulgar, utilizar, comercializar ou disponibilizar dados e inIormaes pessoais
contidas em sistema inIormatizado com Iinalidade distinta da que motivou seu registro, salvo
nos casos previstos em lei ou mediante expressa anuncia da pessoa a que se reIerem, ou de
seu representante legal.
Pena - deteno, de 1 (um) a 2 (dois) anos, e multa.
ParagraIo unico - Se o agente se vale de nome Ialso ou da utilizao de identidade de
terceiros para a pratica do crime, a pena e aumentada da sexta parte.
Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a
divulgao de Iotos e inIormaes pessoais (dados da receita Iederal comercializados por
camels por exemplo).
Comete o crime quem divulga as Iotos ou dados sem a permisso dos donos (ou
representantes legais dos donos) das Iotos ou dados.
N Artigo 163 (Cdigo PenaI).
Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrnico alheio:
Esse artigo ja existe no Codigo Penal, apenas acrescentamos o "dado eletrnico" para
proteg-lo de dano.
Insero ou diIuso de codigo malicioso.
Inserir ou diIundir codigo malicioso em dispositivo de comunicao, rede de
computadores, ou sistema inIormatizado.
Pena - recluso, de 1 (um) a 3 (trs) anos, e multa.
Esse crime comete quem diIunde virus ou o insere em rede de computadores. Note-se
que esse crime, tal como os demais, no existe em modalidade culposa, apenas dolosa, o que
quer dizer que aquele que recebe o virus e sem perceber passa a distribui-los, no comete
crime (no existe dolo na conduta).

24
ParagraIo 1 - Se do crime resulta destruio, inutilizao, deteriorao, alterao,
diIicultao do Iuncionamento, ou Iuncionamento desautorizado pelo legitimo titular, de
dispositivo de comunicao, de rede de computadores, ou de sistema inIormatizado:
Pena - recluso, de 2(dois) a 4 (quatro) anos, e multa.
ParagraIo 2 - Se o agente se vale de nome Ialso ou da utilizao de identidade de
terceiros para a pratica do crime, a pena e aumentada de sexta parte".

25
3 Pesquisa de Segurana da Informao
A modulo technology Ior risk management :
Fundada em 1985 a modulo e especializada em tecnologia para gesto de risco.
250 proIissionais permanentemente atualizados.
Pesquisa realizada com cerca de 600 proIissionais atuantes na area de segurana e
tecnologia da inIormao.
Pesquisa nos seguintes setores:
N Governo 21%
N inanceiro 15%
N nformtica 14%
N ndustria 9%
N Servio 8%
N Telecomunicaes 5%
Funcionarios por empresa.
N 500 ou + 59%
N 100 a 499 17%
N 1 a 99 24%
Problemas que geram perdas Iinanceiras.
N Vrus 15%
N Spam 10%
N *raudes 8%
N *Roubo de Notebooks 8%
N *alhas na segurana fsica 7%
N *Vazamento de informao 7%

26
N *Erros e acidentes 6%
N *Lixo nformativo 6%
N Acesso Remoto ndevido 6%
N *Divulgao/ Roubo de Senha 5%
N nvaso de sistemas internos 4%
N Ataque de Negao de servio 3%
N *Roubo de nformaes 2%
N *Sabotagem 2%
N *Pirataria 2%
N *Espionagem 1%
N Outros 8%
54 devido a Ialha na politica de segurana, Ialta de conscientizao ou
treinamento dos colaboradores.
Viso por segmento
Organizao do governo so as menos quantiIicadas, 56 no sabem dizer em
quanto Iicou o prejuizo, no comercio 26 no Iinanceiro 24 e no industrial 36
Quando identiIicado o problema, no setor Iinanceiro os causadores so os
Iraudadores ja no setor industrial so os ex-Iuncionarios. O setor Iinanceiro e o que mais
tomam providencia legal e possuem planejamento de segurana.
Estruturao da rea de segurana da informao
N Gerente de T/Redes 28%
N Diretor de T/CO 16%
N Diretor de Segurana/CSO 13%
N Coordenador de T 12%
N Coordenador de Segurana 11%
N Gerente de Segurana 11%

27
Empresas com CSO
N inanceiro 27%
N Telecomunicaes 23%
Empresas com departamento de segurana.
N inanceiro 56%
N Telecomunicaes 50%
N Comercio 39%
N Servios 35%
Nvel de conhecimento sobre normas e legislao.
N Possui conhecimento 43%
N Possui pouco conhecimento 25%
N Possui Conhecimento mas no adotou medidas 24%
N No possui 8%
Empresas que possuem procedimento metodologia formalizado
N 65% No
N 35% Sim
Valor gasto com capacitao de funcionrios:
N 29% at R$1000,00
N 19% at R$2000,00
N 28% acima de R$5000,00
N 24% at R$5000,00
Profissionais da equipe que possuem certificao:

28
45 nenhuma
21
MCSO-Modulo CertiIied Security
OIIicer ( exame R$500,00 , Curso
R$2850,00)
14 Outros
9
CISSP-CertiIied InIormat System
security ProIessional. Mantida pelo
(ISC)
4
CISM-Certified nformation
Security Manager, criado pela
SACA
7
CISA- CertiIied InIormation
System Auditor
Principais Medidas
N Adequao a norma/ regulamentao/ legislao 9%
N Analise de risco no ambiente 9%
N Analise de vulnerabilidade 8%
N Politica de segurana 7%
N Campanha de Sensibilidade 7%
N Antivrus 6%
N Plano de continuidade 5%
N Capacitao de equipe tcnica 5%

29
N Capacitao digital 4%
3.1 Origem dos eventos de segurana da Informao
As origens dos problemas de segurana podem ser dividida em trs categorias
conIorme tabela.
Natural Fenmenos Meteorologicos
Acidental Erros de Usuarios ou Falhas nos Sistemas
Intencional Invases,Terrorismo Ideologicos ou
criminoso
Espionagem e Inteligncia competitiva
Chantagem e extorso

30
4 Normas
Ferreira e Araujo (2006), deIinem as normas e metodologias como melhores praticas
em segurana da inIormao e governana de TI, reconhecidas mundialmente e bastante
utilizadas. A busca por padres de mercado e as diIiculdades das areas de TI, tornam essas
normas e metodologias necessarias para que as empresas possam sustentar seus proprios
modelos e estruturas de controle, ja que as transIormaes tecnologicas exigem constantes
atualizaes desses modelos.
Atualmente a tecnologia da inIormao esta enraizada em todas as empresas, da mais
simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negocios. O
sucesso da empresa depende da alta disponibilidade das inIormaes, da segurana e
desempenho dos servios de TI. Esta dependncia Ioi quem determinou o desenvolvimento
de normas que propem praticas para implantao de sistemas de gesto dos servios de TI
4.1 Histrico
4.1.1 ANT ISO/IEC 27002 / 17799
N ISO/IEC 27002:2005- InIormation technology -- Security techniques -- Code
oI practice Ior inIormation security management
N ISO/IEC- 17799- InIormation Technology- Security tec- Code oI Pratice Ior
InI. Security Management.
So provavelmente as mais conhecidas normas sobre segurana da inIormao, seu
surgimento teve inicio com a preocupao em gerar uma serie de procedimentos sobre
segurana da inIormao na Inglaterra, mais especiIicamnete no DTI- Department oI Trade
and Industry.
Um grupo criado em 1987 tinha a misso de criar um conjunto de criterios que
pudesse proporcionar a validao da segurana da inIormao e um codigo de boas praticas
que orientasse na implementao das aes, este trabalho gerou uma norma em 1989.
Este codigo orientava na aplicao das aes de segurana da inIormao, mas ainda
era diIicil validar essas aes ou assegurar que estavam sendo realizadas. Para isso Ioi criada
uma lista de veriIicaes, surgindo assim as normas:

31
N BS-7799-1
N BS-7799-2
Inumeras melhorias Ioram implementadas e passou a ser utilizada Iora da Inglaterra,
contribuindo com a ISO ( International Organization Ior Standard ) . Em 2000 a BS-7799-1
Ioi lanada como ISO 17.799 InIormation technology -- Security techniques -- Code oI
practice Ior inIormation security management
Porem a segunda parte, ou seja a BS-7799-2 no Ioi transIormada em ISO, gerando
um demanda por normas internacionais.
A British Standard adequou a BS-7799-2 aos padres ISO (9000 e 14000),passando a
ser usada como norma para certiIicao de segurana da inIormao em 2002. Formando um
instrumento para orientao na implantao de um Sistema de Gesto de segurana da
inIormao (SGSI).
Em 2007 a ISO 17799 Ioi renomeada para ISO 27.002 denominada:
N ABNT-NBR ISSO/IEC 27002 Tecnologia da inIormao Tecnicas de
segurana Codigo de Pratica para a gesto da segurana da inIormao.
Esta norma oIerece diretrizes e principios gerais para iniciar implementar e manter a
melhor Gesto de SI e as deIinies basicas do que e a Segurana da InIormao, o sua
necessidade e como estabelecer os requisitos de segurana.
4.1.2 ISO/IEC 27001 - SGSI - Sistemas de Gesto de Segurana da
Informao (ISMS - Information Security Management System)
E uma norma internacional utilizada como padro para os sistemas de gesto
de segurana da inIormao, Ioi publicada pelo International Organization Ior
Standardization (ISO) e pelo International Electrotechnical Commision (IEC)
A Norma 27001 Ioi idealizada para cobrir todos os tipos de organizaes , pois seus
requisitos so genericos.
O Sistema de Gesto de Segurana da InIormao (SGSI), deIine como sero
reduzidos os riscos para segurana da inIormao atraves da aplicao planejada de
objetivos, diretrizes, politicas, procedimentos, modelos e outras medidas administrativas.

32
Um Sistema de Gerenciamento de Segurana da InIormao (SGSI), e uma cadeia
de decises tomadas para gerenciar a segurana da inIormao, incluindo pessoas, inIra-
estrutura e negocios, diminuindo os riscos a um nivel aceitavel, ao mesmo tempo que
mantem em ponto de vista os objetivos do negocio e as expectativas do cliente.
Um SGSI e um sistema de gesto analogo a um Sistema da Qualidade e como tal e
passivel de certiIicao. Esta certiIicao se da a partir das evidncias (documentos e
praticas) do conjunto de controles implantados e que devem ser continuamente executados e
devidamente registrados.
Segundo a NBR 27001(2006), o SGSI e projetado para certiIicar a seleo de
controles de segurana apropriados e ajustados para proteger os ativos de inIormao, o
modelo conhecido como "Plan-Do-Check-Act (PDCA), e aplicado para estruturar todos os
processos do SGSI. O sistema de gesto da segurana da inIormao consiste na parte do
sistema de gesto global, Iundamentada na abordagem de riscos do negocio, para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a
segurana da inIormao.

Durante o processo de estabelecimento e gerenciamento a organizao deve:

33
DeIinir o escopo e os limites do SGSI nos termos das caracteristicas do negocio da
organizao, sua localizao, ativos e tecnologia. A deIinio do escopo inclui o
levantamento dos ativos que sero envolvidos, tais como: Equipamentos; sistemas; nome da
organizao; estrutura de comunicao (Internet, correio eletrnico); pessoas; servios; inIra-
estrutura de rede interna e externa e classiIicao da inIormao.
A medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta
reviso e baseada no escopo do projeto, pois a declarao do escopo e um documento que
contem a base para as Iuturas decises. A delimitao do escopo e extremamente necessaria,
pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.
4.1.3 ISO/IEC 27003 - Guia de ImpIementao do Sistema de
Gerenciamento de Segurana da Informao.
Denominada como: ISO/IEC 27003:2010 InIormation technology Security
techniques InIormation security management system implementation guidance.
Foi publicada no inicio de Ievereiro 2010, a Iim de Iornecer um guia para a
implementao de controles relacionados com a gesto de um SGSI, permitindo Iazer um
planejamento claro sobre como implementar e deIinir uma estrategias segurana relacionada
com o negocio de uma empresa de acordo com os requisitos da ISO 27001.
A sequncia mostrada na Iigura a seguir mostra um guia baseado na 27003 com as
principais Iases para implementao de um sistema de gesto de segurana da inIormao.

34
4.1.4 ISO / IEC 27004 TecnoIogia da informao - Tcnicas de
segurana - Gesto de segurana da informao - Medio

Esta norma abrange medidas de gesto da segurana da inIorma, geralmente
conhecido como metricas de segurana. A norma Ioi publicada em dezembro de 2009.
A norma se destina a ajudar as organizaes a medir, gerar relatorio sobre a
sistematica de segurana da inIormao e portanto, melhorar a eIicacia dos seus Sistemas de
Gesto de Segurana da InIormao.
OIerece orientao sobre o desenvolvimento e a utilizao de medidas e de medio,
a Iim de avaliar a eIicacia de um sistema de gesto implementado de segurana da
inIormao (SGSI) e controles ou grupos de controles, como especiIicado na ISO/IEC
27001. Isso pode incluir a politica, a inIormao de gesto de riscos de segurana, objetivos
de controle, processos e procedimentos para apoiar sua reviso, ajudando a determinar se
qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados.
BS ISO / IEC 27004 da as seguintes recomendaes sobre as atividades como base
para uma organizao cumprir os requisitos de medio especiIicadas na norma ISO/IEC
27001:
1. Medidas de desenvolvimento (isto e, medidas basicas, medidas derivadas e
indicadores
2. Implementao e operao de um Programa de Medio de Segurana da
InIormao
3. Coletar e analisar dados
4. Desenvolvimento de resultados de medio
5. Comunicao dos resultados de medio desenvolvidos para as partes
interessadas
6. Utilizando os resultados de medio, Iatores que contribuem para ISMS
decises relacionadas

35
7. Utilizando os resultados de medio para identiIicar as necessidades para
melhorar o SGSI implementado incluindo seu escopo, politicas, objetivos,
controles, processos e procedimentos
8. Facilitar a melhoria continua do Programa de Medio de Segurana da
InIormao.
Um dos Iatores que iro impactar a capacidade da organizao para alcanar a
medio e o seu tamanho. Geralmente o tamanho e a complexidade do negocio, em
combinao com a importncia da segurana da inIormao aIetam o grau de medida
necessaria, tanto em termos do numero de medidas a serem selecionados e a Irequncia da
recolha e analise de dados. Para as PME (Pequenas e Medias Empresas), o programa de
medio menos abrangente de segurana sero suIicientes, enquanto que as grandes
empresas iro implementar e operar varios programas de medio de Segurana da
InIormao.
A unica inIormao do Programa de Medio de Segurana pode ser suIiciente para
uma organizao de pequeno porte, enquanto que para as grandes empresas a necessidade de
varios programas de medio de Segurana da InIormao.
A orientao Iornecida por esta Norma ira resultar na produo de documentao que
ira contribuir para demonstrar que a eIicacia de controle esta sendo medido e avaliado.
Esta norma e bem detalhada em termos de mecnica de processos de medio. Ela
laboriosamente descreve como coletar "medidas basicas", a agregao de uso e calculos
matematicos para gerar "medidas derivadas", e ento aplicar tecnicas de analise e criterios de
deciso para criar "indicadores", utilizada para ajudar no SGSI. InIelizmente, ele no oIerece
muita orientao sobre quais medidas basicas, medidas derivadas ou indicadores pode
realmente valer a pena em todo esse esIoro.
Embora seja consensual que a orientao pragmatica sobre metricas de segurana e
extremamente necessario pela proIisso e que complementam os padres ISO27k restantes,
este Ioi um projeto longo e diIicil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque
o campo de metricas de segurana e bastante imaturo. Como com a norma ISO / IEC 27003,
centenas de paginas de comentarios dos organismos nacionais Ioram recebidos ainda na Iase
Iinal FCD e poucos Ioram resolvidas antes da publicao. Parece provavel que muitos

36
comentarios tero de ser revistos em uma reviso pos-publicao da norma, embora isso no
esta planejado ...
4.1.5 ISO / IEC 27005 TecnoIogia da informao - Tcnicas de
Segurana - Gerenciamento de Risco em Segurana da Informao
Conhecida internacionalmente como ISO/IEC 27005 InIormation technology
Security Techniques - InIormation security risk management, esta norma suporta os
conceitos gerais especiIicados na norma ISO/IEC 27001 e e projetado para auxiliar a
implementao satisIatoria de segurana da inIormao com base em uma abordagem de
gesto de risco, esta norma ajuda a organizao a deIinir seu modelo de gerenciamento de
risco.
E aplicavel a todos os tipos de organizaes (por exemplo, empresas comerciais,
agncias governamentais, organizaes sem Iins lucrativos) que pretendam gerir os riscos
que poderiam comprometer a segurana de inIormao da organizao.
Trata-se de um padro pesado, embora a parte principal tem apenas 24 paginas,
sendo o resto em sua maioria, anexos com exemplos e inIormaes adicionais para os
usuarios.
Embora a norma deIina risco como "uma combinao das conseqncias que se
seguem derivadas da ocojrrncia de um evento indesejado e da probabilidade de ocorrncia
do evento", o processo de analise de risco descritos na norma indica a necessidade de
identiIicar os ativos de inIormao em risco, as ameaas potenciais ou Iontes de ameaas, as
vulnerabilidades potenciais e as potenciais consequncias (impactos), se os riscos se
materializar. Exemplos de ameaas, vulnerabilidades e impactos esto tabulados nos anexos,
embora incompleta, estes podem ser uteis para os riscos relativos de ativos de inIormao
sob avaliao.
E clara a veriIicao que sistemas de segurana automatizados Ierramentas de
avaliao de vulnerabilidade so insuIicientes para a analise de risco, sem levar em conta
outras vulnerabilidades alem das ameaas e impactos: a simples existncia de certas
vulnerabilidades no signiIica necessariamente que sua organizao enIrenta riscos
inaceitaveis se as ameaas correspondentes ou impactos de negocios so insigniIicantes em
determinadas situao particulares.

37
A norma inclui uma seo e anexo sobre a deIinio do mbito e limites da gesto de
riscos de segurana que deve ser o Ioco do SGSI.
A norma no especiIica, recomenda ou mesmo nomeia um metodo especiIico,
sistematico e rigoroso de analise de riscos ate mesmo a criao do plano de gerenciamento
de riscos.
O padro deliberadamente permanece agnostico
2
sobre os metodos de avaliao
quantitativa e qualitativa de risco, essencialmente, recomendando que os usuarios escolham
os metodos que melhor lhes convm. Observe o plural - 'metodos' - o que implica que
diIerentes metodos podem ser utilizados, uma avaliao de risco de alto nivel pode ser
seguida por um aproIundamento na analise de risco nas areas de alto risco. Os pros e contras
dos metodos quantitativos de avaliao de risco so um pouco conIuso nesta norma.

4.1.6 ISO / IEC 27006 A tecnoIogia da informao - Tcnicas de
segurana - Requisitos para organismos que prestem servios de
auditoria e certificao de sistemas de informao de gesto de
segurana

Esta norma especiIica os requisitos e Iornece orientao para organismos que
prestam auditoria e certiIicao de um sistema de gesto de segurana da inIormao (SGSI),
alem dos requisitos contidos na ISO/IEC 27001. E destinada principalmente a apoiar a
acreditao de organismos de certiIicao que Iornecem certiIicao em SGSI, sendo que as
exigncias contidas nesta norma precisam ser demonstradas em termos de competncia e
conIiabilidade por qualquer organismo de certiIicao.
Estas certiIicaes incluindo reunies de inIormao, reunies de planejamento,
analise de documentos e acompanhamento de itens que no esto em conIormidades com a
norma. Organizar e participar como palestrante em cursos de Iormao, desde que, estes
cursos digam respeito a gesto da segurana da inIormao e sistemas de gesto relacionados
a auditoria. Os organismos de certiIicao devem limitar-se a prestao de inIormaes
genericas e conselhos que esto disponiveis no dominio publico.

2

Questes metaIisicas inacessiveis ao espirito humano por no serem passiveis de analise pela razo.

38
As atividades de auditoria tm o unico objetivo de determinar uma certiIicao, no
entanto, tais atividades no deve resultar na prestao de recomendaes ou conselhos, e sim
agregar valor durante as auditorias de certiIicao e visitas de vigilncia, atraves da
identiIicao de oportunidades de melhoria sem recomendar solues especiIicas.
O organismo de certiIicao deve ter criterios para a Iormao de equipes de
auditoria que garante:
N O conhecimento do padro do SGSI e outros documentos normativos
pertinentes;
N A compreenso da segurana da inIormao;
N A compreenso da avaliao e gesto de riscos a partir da perspectiva de
negocios;
N Conhecimento tecnico da atividade a ser auditada;
N Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs;
N Conhecimento de sistemas de gesto;
N A compreenso dos principios de auditoria com base na ISO 19011;
N Conhecimento do SGSI reviso eIicacia e avaliao da eIicacia de controle.
Mas especiIicamente esta norma inIorma as caracteristicas necessarias para a um
proIissional ou empresa que Iornece certiIicao do SGSI, incluindo uma viso das
competncias dos auditores.

39
5 Classificao da informao
5.1 Introduo
O processo de classiIicao da inIormao consiste em identiIicar quais so os niveis
de proteo que as inIormaes demandam e estabelecer classes e Iormas de identiIica-las.
Alem de determinar os controles de proteo necessarios a cada uma delas
O Iato de algumas inIormaes demandarem mais protees que outras cria dois
cenarios indesejaveis que as organizaes buscam evitar:
InIormaes sensiveis ou criticas sem niveis de proteo adequado, geralmente
incidentes de segurana que trazem prejuizos e comprometem a eIicacia das operaes;
InIormaes que no precisam de proteo, sendo protegidas de Iorma excessiva,
consumindo recursos de Iorma desnecessaria e direcionando erroneamente o escasso
oramento de segurana
5.2 Proteo
Quando adotamos uma viso de proteo Iocada unicamente nas ameaas e nas
vulnerabilidades que um local o um sistema possuem, corremos um grande risco de no
estarmos protegendo a inIormao mais criticas e sensiveis ao longo de todo o seu ciclo de
vida. Esses ciclos possuem diversas Iases, desde a criao e o descarte, passando pela
manipulao, processamento, armazenamento etc. A melhor Iorma de protegermos as
inIormaes e justamente pela adoo de uma abordagem que analisa as demandas de
segurana pela otica do proprio ativo e suas necessidades. Dessa Iorma, podemos combinar
diversos mecanismos e obtermos niveis de proteo uniIormes independentes da Iorma como
a inIormao esta sendo usada
5.3 Economia
Quando maior o nivel de proteo que um controle oIerece. Maiores so os custos
Iinanceiros em termos de aquisio e manuteno. Controles costumam trazer custos
indiretos como perda de produtividade e outras inconvenincias.

40
BeneIicios
O Processo de classiIicao da InIormao traz diversos beneIicios para uma
organizao. Dos beneIicios mais tangiveis e mensuraveis podemos dizer :
5.3.1 Conscientizao
O Programa de ClassiIicao da InIormao requer o envolvimento de praticamente
de todas as pessoas dentro da organizao. Esse envolvimento Iaz com que as pessoas
tenham uma dimenso maior das diIiculdades de proteger os ativos de inIormao e da
inIinidade de situaes que podem comprometer essa proteo.
Responsabilidades A ClassiIicao da InIormao necessita de uma diviso e
atribuio de responsabilidades para poder trabalhar. Essas responsabilidades dizem a
respeito a quem deve classiIicar, quem deve proteger e que cuidados os usuarios devem
tomar , entre outras coisas. A deIinio desses papeis distribui o peso da proteo entre os
colaboradores de uma organizao, Iazendo com que todos Iiquem responsaveis por ela.
Niveis de proteo A atribuio de responsabilidades e melhora da conscincia dos
colaboradores Iaz com que eles mesmos tragam situaes que demandam proteo e que ,
muitas vezes, Iogem aos olhos daqueles que devem se responsabilizar pela proteo.
Ninguem conhece melhor o Iluxo das inIormaes que as pessoas que Iazem uso delas
Tomadas de decises Quando as inIormaes so bem categorizados no ponto de
vista da segurana, o processo de tomada de decises, sejam relacionadas a Gesto de SI ou
a propria organizao, e extremamente beneIiciada.
Uso dos recursos Recursos desperdiado em um controle normalmente Iazem Ialta
em um outro lugar no qual, a organizao tera uma situao inversa, isto e , Ialta de controle
de inIormaes criticas que esto armazenadas junto com outras que no precisam de
proteo.
N Exemplos
As inIormaes so classiIicadas mediante sua necessidade de sigilo. Porem uma
organizao tambem pode elaborar procedimentos para classiIica-las perante suas
necessidades de integridades e disponibilidades

41
Decreto 4.553 Casa Civel niveis de classiIicao em nivel Iederal
Cada nivel de classiIicao e criado visando a um tipo de inIormao, temos que
desenvolver criterios para avaliar uma inIormao
Exemplos de Rotulos
Governo Brasileiro Empresas Privadas
3

Ultra-Secreto Irrestrita
Secreto Protegida
ConIidencial ConIidencial
Reservado Restrita
Irrestrita: InIormao Publica (incluindo inIormaes consideradas publicas pela
legislao, ou atraves de uma politica de divulgao de rotina). Disponivel ao publico, todos
os Iuncionarios, empreiteiros, subempreiteiros e agentes.
Protegida: InIormao que e sensivel para a empresa e precisa de ser protegida.
Acesso autorizado (para Iuncionarios, Iornecedores, subcontratados e agentes). E uma
inIormao necessaria para realizar uma Iuno ou trabalho: "need-to-know".
ConIidencial: InIormao mais sensivel que esta disponivel apenas para uma Iuno
especiIica ou grupo especiIico de pessoas.
Restringido: InIormao que e altamente sensivel e esta disponivel apenas para
individuos especiIicos (ou posies especiIicas).
5.4 Conceitos
5.4.1 PoItica de CIassificao da Informao
A ClassiIicao da InIormao deve ser constituida por uma politica , nesse caso a
Politica de ClassiIicao da inIormao e o nome utilizado para reIenciar o conjunto de
normas , procedimento e instrues existente na politica de Segurana da InIormao
Por meio do uso dessa politica e que deIinimos quais os tipos de classiIicao
existentes, com seus respectivos criterios de avaliao e proteo, alem das
responsabilidades associados ao processo como um todo. O conjunto de documentos que tem

3
Este padro e utilizado pelo Public Sector CIO Council (PSCIOC, 2004) do Canada.

42
apoio direto de alta direo da organizao , permitira mostrar comprometimento e deIinira
todo o Iuncionamento das atividades relacionadas a ClassiIicao da inIormao
Need-to-Know DeIine a necessidade que uma pessoa possui , devido a rotina diaria
de trabalho e desempenho de suas Iunes, de acessar determinadas inIormaes. Essa
terminologia Ioi criado no ambiente militar / governo, podemos utiliza-las para Iazer
reIerncia . A necessidade que usuarios de uma organizao possuem de acessar certas
inIormaes. Esse conceito e Iundamental ara entendermos Least privilege
Least Privilege So todas as pessoas devem ter todos os direitos de acesso
necessarios para o desempenho de suas Iunes . Porem , nada mais que o minimo deve ser
permitido , Quando maior a exposio maiores sero os riscos associados a ela. O conceito
de need-to-know , postulando que o conceito de privilegio minimo e garantir a todos os
usuarios que no tenham acesso a nada que no Iaa parte de seu nedd-to-know.
5.4.2 CIassificao, DescIassificao e RecIassificao.
Os dois procedimentos basicos da ClassiIicao da InIormaes so a ClassiIicao e
a DesclassiIicao das inIormaes
ClassiIicaes Atribuir um nivel de classiIicao a um inIormao , Faz com que as
inIormaes passe a se sujeitar as protees especiIicas pelo nivel de classiIicao escolhido
. Algumas organizaes optam por criar um nivel de classiIicao onde, a partir da
implementao do progrma de CI, todas as inIormaes da organizao passam a se
enquadrar nesse nivel. No existe o estado no-classiIicado , eliminando o processo de
classiIicae e desclassiIicao. Nesse caso o procedimento de reclassiIicao e permitido.
ReclassiIicao Alterao no nivel classiIicao de um inIormao . So nivel de
proteo mais baixa, de Iorma a evitar o comprometimento da conIidencialidade
DesclassiIicao Remoo do nivel de proteo. Aplicavel apenas quando o estado
no-classiIicado Ior previsto . Pode ser Ieita de Iorma automatica, o prazo cairia de
alguns anos para o niveis mais baixos de classiIicao ate decadas para os mais altos no setor
governamental

43
5.4.3 Papis de ResponsabiIidades
Uma das principais Iunes da ClassiIicao da inIormao e deIinir e atribuir
responsabilidades relacionadas a segurana diversas pessoas dentro de uma organizao .
Esses papeis e responsabilidades variam de acordo com a relao que a pessoa tem com a
inIormao em questo.
Proprietario da InIormao E responsabilidade do proprietario atribuir os niveis de
classiIicao que uma inIormao demanda. Dessa Iorma ele tambem sera participado do
processo de escolha dos niveis de proteo e sera tambem exposto ao processo de balancear
as necessidades de proteo, com a Iacilidade de uso e o oramento disponivel para se
investir em controles.
Exemplo : O papel de dono normalmente deve ser exercido por um gerente da area
cujas inIormaes so de sua responsabilidade direta
Umas das responsabilidades do dono so a classiIicao /reclassiIicao
/desclassiIicao das inIormaes, deIinir requisitos de proteo para cada nivel de
classiIicao,, autorizar pedidos de acesso a inIormaes de sua propriedade e autorizar a
divulgao de inIormaes
Custodiante E aquele que zela pelo armazenamento e preservao de inIormaes
que no lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de
Arquivos ou coIres para armazenamento de ativos valiosos .
Existe dois tipos de Custodiante :
a) O proprietario de Aplicao Um proIissional de perIil tecnico responsavel pela
administrao e Iuncionamento de algum sistema , cabe a ele proteg-las e garantir que
enquanto eles se encontrem sob sua responsabilidade os requisitos da classiIicao em
termos de proteo estejam sendo obedecidos.
b) O proprietario do Processo - E a pessoa responsavel pelo processo de negocio, um
exemplo e um processo de emisso de nota Iiscal , que so inIormaes sendo geradas e
processadas ao longo do seu Iuncionamento.
Equipe de segurana e o ponto de apoio das unidades de negocios de Iorma de
desenvolver, implementar e monitorar estrategias de segurana que atendem aos objetivos da

44
organizao, responsavel pela avaliao e seleo de controles apropriados para oIerecer as
inIormaes os niveis de proteo exigidos por cada classiIicao . Esse equipe no pode
assumir a total responsabilidade pela proteo, ja que deve ser compartilhada por todos.
Cabe ela sim selecionar os melhores controles, conscientizar os usuarios a respeito do seu
uso, administra-los e monitora-las, alem de veriIicar se todos na organizao colaboram com
as medidas.
Gerente de Usuarios Responde pela ao de grupos de usuarios de sua
responsabilidade, alem dos Iuncionarios reponde pela ao dos visitantes, prestadores de
servios que Iazem o uso de inIormaes da organizao
Desempenha outro papel Iundamental que e a solicitao, transIerncia e revogao
de IDs de acesso para os seus Iuncionarios.
Usuario Final Pessoal que Iaz uso constante das inIormaes e o que mais tem
contato com elas , e o responsavel pelo seguimento das recomendaes de segurana.

45
6 ROSI
Antes de gastar dinheiro em um produto ou servio, tomadores de deciso querem
saber que o investimento e Iinanceiramente justiIicado. Segurana da InIormao no e
diIerente - ela tem de Iazer sentido para os negocios.
O que os gerentes ou empresarios precisam so metricas de seguras que mostram
como o impacto das despesas em segurana vo retornar. No ha nenhum possibilidade de
implementao de uma soluo se o seu verdadeiro custo e maior do que a exposio ao
risco. Sonnenreich et all apresentam um modelo para calcular o valor Iinanceiro das despesas
de segurana, indicando as tecnicas para obteno das inIormaes necessarios para
estabelecer um modelo.
O Retorno Sobre investimento (ROI), Ioi criado para resolver estrategias de
investimento alternativas. Por exemplo, uma empresa pode usar o ROI como um Iator para
decidir se vai investir em desenvolver uma nova tecnologia ou estender as capacidades do
seu parque com a tecnologia existente.
Re

torno esperado Custo do Investimento
ROI
Custo do Investimento

Uma equao simples para calcular o Retorno Sobre o Investimento Segurana da
inIormao (ROSI) e como se segue:
( )(Pr Pr )

Custo do Incidente obabilidade de evinir Custo de Soluo
ROSI
Custo de Soluo

O exemplo a seguir mostra o Iuncionamento desta equao.
Supondo um aempresa que Iature R$ 100.000/mes. A mesma Ioi inIectada por 4
virus em um ano, causando uma parada de 1 dia a cada evento. A probabilidade de prevenir
este incidente atraves do escaner de virus e de 75. o custo de soluo e de 5.000,00 qual o
retorno sobre o investimento?

46
R$100.000/22 R$4.545/dia4 R$ 18.180,00
Dividir o Iaturamento messal pelo numero de dias trabalhados e multiplicar pelo
numero de dias em que a empresa Iicou inoperante, chega-se ao valor aproximado de
R$18.000,00 (dezoito mil reais).
A probabilidade de prevenir o evento e de 75
18.1800, 75 5.000/ 5.000 1, 727 ROSI
O custo com o escaner de virus parece valer a pena mesmo com uma probabilidade
de 75 de deteco, pois existe um retorno sobre o investimento de 173 em um ano.
Chegar com valor signiIicativo como no exemplo para o calculo do ROSI no e tao
simples. No existe um modelo padro para determinar o risco Iinanceiro associado ao
incidente de segurana, nem mesmo um modo de mitigar o risco.
Existem algumas tecnicas para medir exposio ao risco, mas no so precisas e
variam muito para empresas diIerentes.
Existe como de calcular o ROSI se os dados subjacentes so impreciso?
Aparentemente sim, ja que algumas industrias tiveram sucesso usando as metricas
imprecisas do ROI por decadas. O industria da publicidade e um exemplo. Anuncios so
pagos com base no numero de telespectadores potenciais, que e muitas vezes extrapoladas a
partir de dados de circulao e demograIia. Os compradores de anuncios supe que o
verdadeiro numero de espectadores de anuncios esta diretamente correlacionado com o
numero de potenciais espectadores, se a base espectador duplica, aproximadamente o dobro
de pessoas provavelmente vera o anuncio. Portanto, mesmo que nunca venhamos a saber o
verdadeiro numero de espectadores, os compradores de anuncios podem, contudo, Iazer
decises de compra baseados em outras medies mais conIiaveis.
Se o metodo para a determinao do ROSI puder ser repetido e obter resultados
consistentes, ento pode servir como uma Ierramenta util para comparar solues de
segurana baseadas em valor relativo. Na ausncia de preciso, uma abordagem alternativa e
a de encontrar medies consistentes para os Iactores do ROSI que retornam resultados
comparavelmente signiIicativos.

47
6.1 Quantificao da Exposio ao Risco
E importante para a empresa quantiIicar e mitigar os riscos para justiIicar o ROSI.
Em circunstncias normais, as solues de segurana no criam diretamente qualquer valor
tangivel, ao contrario, elas evitam as perdas. A perda pode ser evitada se Ior conhecida pela
a empresa.
Um metodo analitico simples de calcular a exposio ao risco e multiplicar o custo
projetado de um incidente de segurana (Single Loss Exposure, or SLE) com a sua taxa
anual estimada de ocorrncia (Annual Rate oI Occurrence ARO). O valor resultante e
chamado de perda anual por exposio (Annual Loss Exposure ALE).
S RO
Embora no existam metodos padronizados para estimar SLE ou ARO, existem
tabelas que do valores medios estatisticos de danos com base em relatorios do mundo real.
Essas tabelas so criadas a partir de dados de reclamao de seguro, a pesquisa acadmica,
ou pesquisas independentes.
InIelizmente, os metodos utilizados para calcular estes custos variam de empresa para
empresa. Por exemplo, uma empresa pode valorizar um laptop roubado pelo seu custo de
substituio. Outra pode levar em considerao a perda de produtividade e tempo de suporte
de TI, e outro ainda pode levar em considerao os custos de perda de propriedade
intelectual. Como resultado, algumas empresas avaliam um roubo de laptop de RS $ 3000;
outras podem coloca-lo como R$ 100.000. O numero Iinal e mais susceptivel de ser
inIluenciado por Iatores de negocio (quanto o segura ira reembolsar, quais so as
implicaes Iiscais, este impacto vai gerar uma grande perda no preo das aes) do que pela
realidade Iinanceira.
Um custo potencialmente signiIicativa e a perda de inIormaes altamente
conIidenciais.como sua propriedade intelectual, uma violao de segurana. O roubo de
inIormaes pode criar uma perda signiIicativa para os negocios, mesmo no impactando a
produtividade. O custo de um incidente de segurana neste caso e o valor estimado da
propriedade intelectual que esta em risco.

48
6.2 Perda de Produtividade
E possivel realizar uma avaliao do tempo de paralisao para estimar a perda de
produtividade associada com um incidente que ainda no tenha acontecido. Se uma
organizao quiser prever o impacto de um virus, ela pode realizar uma avaliao do tempo
de inatividade. O resultado seria um intervalo de perda de produtividade potencial, o que
poderia ser usado para calcular um ROSI maximo e minimo para uma soluo de preveno
de um virus. Uma Ierramenta util para este tipo de analise e uma simulao Monte Carlo,
que automatiza o processo de variar um certo numero de variaveis, ao mesmo tempo e
retorna uma gama de resultados potenciais.
Outra avaliao util e sobre o tempo de inatividade quando se examina o impacto
geral da segurana na produtividade organizacional.
O Retorno sobre o Investimento de Segurana equao assume um novo signiIicado
se a perda de produtividade diaria Ior usada como a Iigura de exposio ao risco. A ideia e
que uma organizao altamente segura tera menos incidente de segurana, menores Ialhas
tecnicas e portanto menos perda de produtividade.
A produtividade e importante porque a segurana vem quase sempre as custas de
convenincias. A maioria das solues de segurana acabam criando obstaculos que os
Iuncionarios precisam de saltar para Iazer seus trabalhos. Dependendo do tamanho e
Irequncia destes obstaculos, o custo perda de produtividade pode aumentar muito. A Tabela
6.1 mostra como o tempo pode Iacilmente ser perdido devido a problemas criados pelas
solues proprias destinadas a corrigir problemas de segurana.
Perda de produtividade pode ter um serio impacto sobre a o custo do investimento em
segurana. Apenas dez minutos de inatividade por dia por Iuncionario pode adicionar uma
quantidade signiIicativa de custo
Exemplo: Uma empresa com 20 Iuncionarios que aplicou um sistema de Iiltragem de
e-mail que gera 15 minutos de perda de produtividade por dia por Iuncionario em um ano
(240 dias uteis) tera 800 horas perdidas.
2015240 40.000 800 total de perda ou horas por ano
Supondo de R$ 11,50 o custo da hora por Iuncionario,

49
80011, 50 $9.200, 00 R
Tera portanto uma perda adicional de R$ 9.200,00 por ano
Tabela 6.1 Fatores que aIetam a produtividade
Problema
Tempo medio de
Parada (em Minutes)
Falhas de aplicao e do sistema 10
E-mail Iiltragem, classiIicao e spam 15
EIicincia de largura de banda e a transIerncia real 10
IneIicientes e ineIicazes politicas de segurana 10
Execuo de politicas de segurana 10
Relacionados com o sistema: Iora de operao e upgrades para TI 10
Os patches de segurana para sistemas operacionais e aplicativos 10
Topologia de rede inseguras e ineIicientes 15
Virus, veriIicao de virus 10
Worms 10
Cavalo de Troia 10
Spyware, 10
Anuncios pop-up 10
Problemas de compatibilidade de hardware e soItware 15
Permisses baseadas em problemas de segurana (usuario / senha) 15
Desorganizao do sistema de arquivos 10
Dados corrompidos ou inacessiveis 15
InIormaes hackeadas ou roubado e dados 15
Backup / restaurao 15
Uso de problemas de aplicativos 15

Somando ao custo da soluo a perda de produtividade, pos se trata de um custo
adicional, o novo ROSI Iicara da seguinte Iorma:
18.1800, 75 (5.000 9.200) /(5.000 9.200) 0, 03 ROSI
Ou seja, no compensa o investimento.
Investimentos em segurana so Ieitas apos analise adequada dos requisitos de
segurana, avaliaes de risco, desempenho do produto, Iornecedor e mais importante, o
alinhamento do plano de segurana para os objetivos gerais do negocio.
A segurana deve ser considerada como um negocio capacitador no como um
inibidor. JustiIicar o custo da segurana e uma questo de garantir que a tecnologia permitira

50
que a politica de segurana e procedimentos esta alinhada diretamente com os objetivos de
negocio.
Nenhum evento ou soluo de segurana e isolado dos outros.

51
7 Descarte e Sanitizao de Mdias
Decises de descartar InIormao ou sanitizar dispositivos de armazenamento
ocorrem durante todo o ciclo de vida do sistema. Quando uma midia e descartada, e
responsabilidade do dono da inIormalo armazenada, ou de um departamento (normalmente
o departamento de T.I), sanitizar a midia (apagar todos os dados nela contidos).
A inIormao armazenada na midia possui uma classiIicao de segurana que
muitas vezes revisitada e revalidada ao longo da vida do sistema, e as alteraes necessarias
para a classiIicar conIidencialidade pode ser alterada. Uma vez que a qualiIicao de
segurana estiver concluida, o proprietario do sistema pode ento projetar um processo de
higienizao que ira garantir uma proteco adequada das inIormaes do sistema.
Muita da inIormao no esta associado com um sistema especiIico, mas esta
associado com as comunicaes de negocios internos, normalmente sobre o papel. As
organizaes devem rotular estes meios de comunicao com suas classiIicaes de
Iuncionamento interno e associar um tipo de sanitizao.
Fatores criticos que aIetam o descarte de inIormaes e sanitizao de midia so
decididos no inicio do desenvolvimento de um sistema. Os requisitos iniciais do sistema
devem incluir especiIicaes de hardware e soItware, bem como documentos de
interconexes de rede e Iluxo de dados que iro ajudar o proprietario da inIormao a
identiIicar os tipos de midia utilizados no sistema. As especiIicaes devem ser Ieitas
durante a Iase de especiIicao de quais tipos midia sero usadas para criar, capturar
armazenar ou transIerrir de inIormaes utilizadas pelo sistema. Esta analise, equilibrando
as necessidades de negocio e de risco a conIidencialidade, ira Iormalizar os meios de
comunicao que sero considerados para o sistema em conIormidade com FIPS 200,
Minimum Security Requirements Ior Federal InIormation and InIormation Systems..
Sanitizao das midias e disponibilizao das inIormaes geralmente e mais intensa
durante a Iase de eliminao no ciclo de vida do sistema ou da propria inIormao. No
entanto, durante a vida de um sistema de inIormao, muitos equipamentos contendo dados
sero transIeridos para Iora do controle da organizao. Esta atividade pode ocorrer por
motivos de manuteno, atualizaes de sistema, ou durante uma atualizao de
conIigurao.

52
Sanitizao de midia e um elemento chave para garantia de conIidencialidade ou seja
preservar restries de acesso e divulgao de inIormaes, incluindo os meios para proteger
a privacidade pessoal e das. Uma Ionte muitas vezes rica de inIormao so os lixos, os
'dumpster diving ou mergulhadores de contineres se especializam em reviar papeis
descartados por enpresas. As midia impressas Iluem para dentro e Iora das organizaes
muitas vezes sem controle atraves de lixeiras em Iormulario de papel. Esta vulnerabilidade
potencial pode ser mitigado atraves da compreenso adequada de onde a inIormao esta
armazenada, o que e inIormao e como proteg-la.
7.1 Tipos de Mdia
Existem dois tipos primarios de midia comunmente utilizados:
Copia Iisica: e a representao Iisica da inIormao. Impresses em papel,
impressora, Iax e Iitas, estes tipos de midia costumam ser menos controladas. InIormaes
jogadas nas lixeiras e contineres de lixo expe uma vulnerabilidade signiIicativa para os
'dumpster diving, e Iuncionarios curious, levando a divulgaes acidentais de inIormao.
Copia eletronica: so os bits e bytes contidos em discos rigidos, memoria de acesso
aleatorio (RAM), Read-Only Memory (ROM), discos, dispositivos de memoria, teleIones,
aparelhos de computao movel, equipamentos de rede, e muitos outros tipos.
7.2 Tendncias das mdias de armazenamento
As tecnologias utilizadas na computao e armazenamento de dados mudam muito e
rapidamente. Novas tecnologias procuram aumentar a taxa de tranIerencia e diminuir o
tamanho. Essas novas tecnologias necessitam melhores praticas de sanitizao para purgar os
dados nelas contidos.
Para ter uma ideia, os discos Ilexiveis(Ilop disk), podem ter sua inIormao
recuperada apos ter sido totalmente sobrescrito com zeros. Ja os discos rigidos produzidos a
partir de 2001, maiores que 15 GB podem ser purgados com uma unica regavao devido a
dencidade das midias, segundo o nist(2008) e Hughes(2007).
Nos EUA existem varias leis que dizem respeito a conIidencializao dos dados e
sanitizao em dispositivos de armazenamento Ex: Health InIormation Portability and
Acountability (ato de portabilidade e Responsabilidade de inIormaes sobre saude), uma

53
empresa qe se encontra em descumprimento com as praticas de segurana da HiPAA podera
soIrer uma multa de U$250.000 e enIrentar 10 anos de priso.
7.3 TecnoIogias Emergentes
Armazenamento holograIico: Armazena dados em uma imagem 3D, e criada
passando o laser atraves de cristais sensiveis que mantem os padres de luz. Os
pesquisadores acreditam que blocos de dados com 1cm podem armazenar 10GB
SSD Solid State drive (unidade de armazenamento de estado solido), armazenam
dados em circuito integrado semicondutores. A Iamilia SSD 320 da Intel tem capacdade de
40, 80 , 120, 160, 300 e 600GB, ja a IBM esta testando um dispositivo SSD de 4 Terabyte.
Memoria molecular. Armazenamentos de dados usando uma proteina chamada
bacteriorodopsina. Um laser pode alterar a proteina para bR (0 estado) para Q (1 estado), o
que torna uma porta ideal de armazenamento e dados, ou Ilip-Ilop. Memoria molecular e
barata de produzir e pode operar sobre uma ampla gama de temperaturas comparando com a
memoria de semicondutor. Uma molecula muda de estado dentro de microssegundos; os
passos combinados para ler ou escrever demora cerca de 10 milissegundos. Isso pode parecer
lento. No entanto, como o armazenamento holograIico, este dispositivo obtem paginas de
dados em paralelo, de modo uma velocidade de transIerncia 10 Mbps e possivel.
7.4 Tipos de Sanitizao
A chave para decidir a Iorma de gerenciar midia em uma organizao e a primeiro
considerar a inIormao, ento o tipo de midia. A segurana da inIormao juntamente com
com Iatores ambientais devem conduzir as decises sobre como lidar com a midia.
Novamente, a chave e a primeira pensar em termos de conIidencialidade da
inIormao, em seguida, por tipo de midia. Nas organizaes algumas inIormao podem
no estar associado a qualquer sistema de classiIicao. Esta inIormao em muitos casos
so comunicaes internas, tais como memorandos, artigos ou apresentaes. Em alguns
casos esta inIormao pode ser considerada sensivel. Exemplos podem ser as cartas internas
disciplinares, negociaes Iinanceiras ou salario, ou atas de reunies de estrategia. As
organizaes devem rotular estes meios de comunicao interno com suas classiIicaes de
Iuncionamento interno e associar um tipo de sanitizao.

54
Existem diIerentes tipos de sanitizao para cada tipo de midia. Inicialmente a
sanitizao de midia pode ser dividida em quatro categorias: eliminao, limpeza, expurgo e
destruio.
7.4.1 EIiminao
As midias so jogadas Iora sem nenhum tratamento especial dado a ela, pois as
inIormaes contidas no teriam nenhum impacto sobre a misso da organizao ou seja,
sua eliminao no resultaria em danos aos ativos organizacionais, no resultaria em perda
Iinanceira ou seria, no resultaria em prejuizo para todos os individuos.
A eliminao no e tecnicamente um tipo de sanitizao mas e um metodo valido
para manuseio de midia contendo inIormaes no conIidenciais, ela e mencionado para
indicar que as organizaes simplesmente eliminaram as midia.
A eliminao e o ato de descartar a midia sem consideraes de sanitizao. Isso
geralmente e Ieito atraves da reciclagem de papel que contem inIormaes no
conIidenciais, mas pode tambem incluir outras midias.
7.4.2 Limpeza DigitaI
O processo de destruio de dados de e recomendado para os seguintes casos:
N Os sistemas de computadores pessoais, o usuario se procupa em proteger seus
dados contra roubo de identidade, assegurando que todos os dados pessoais so
eliminados antes do computador ser vendido ou reutilizado.
N Projetos que envolvem um pequeno numero de unidades de disco rigido
N Situaes em que ha baixo risco de ataque avanado de laboratorio de recuperao
de dados
A limpeza digital no deve permitir que a inIormao possa ser recuperada atraves
utilitarios de recuperao de arquivos como 'kevboard attack. A regravao e um metodo
aceitavel para a limpeza digital de midia de armazenamento.
Existem harware e soItware que reescrevem o conteudo das midias com dados no
sensiveis. Este processo pode incluir a substituio no so do local de armazenamento logico

55
de um arquivo (s) (por exemplo, a tabela de alocao de arquivos), mas tambem pode incluir
todos os locais endereaveis. O objectivo do processo de segurana e substituir os dados
gravados por dados aleatorios. Substituies no pode ser usada para as midias daniIicadas
ou no gravavel.
O tipo de midia e tamanho pode inIluenciar na sanitizao, estudos tm demonstrado
que a maior parte dos meios de armazenamento de hoje podem ser eIicazmente sanitizado
por uma unica regravao.
7.4.3 Purgar
Purgar a inIormao e um processo de sanitizao de midia que protege a
conIidencialidade das inIormaes contra um ataque de laboratorio. Para algumas midias a
midia limpeza e suIiciente para purgar as inIormaes contidas. No entanto, para unidades
de disco ATA Iabricado depois de 2001 (mais de 15 GB) os termos limpesa digital e purga
convergem..
Opurgar as inIormaes e um processo de processo de destruio recomendado para
os seguintes casos:
N Computadores de empresa ou qualquer computador que contem inIormaes
de Iuncionarios, inIormaes de clientes ou quaisquer outros dados sensiveis.
N Quando a responsabilidade pelo tratamento e descarte adequado da
inIormao sensivel e uma preocupao
N Projetos que envolvem um grande numero de discos rigidos
N O processo de destruio deve ser capaz de proteger contra tentativas
soIisticadas de laboratorio para recuperao de dados
Um ataque de laboratorio envolveria uma ameaa com os recursos e conhecimentos
para utilizar sistemas no padronizados para realizar tentativas de recuperao de dados em
midia Iora do seu ambiente operacional normal. Este tipo de ataque envolve o uso de
equipamentos de processamento de sinal e pessoal especialmente treinado.
Executar o comando 'Secure rase (apenas para drives ATA) e desmagnetizao
so exemplos de metodos aceitaveis para purgar as inIormaes. Desmagnetizao de

56
qualquer disco rigido normalmente destroi a unidade bem como o Iirmware que gerencia o
dispositivo (trilha de localizao). A desmagnetizao e expor os meios magneticos de um
Iorte campo magnetico, a Iim de interromper os dominios magneticos gravados. Um
desmagnetizador e um dispositivo que gera um campo magnetico utilizado para esterilizar
meios magneticos. Desmagnetizadores so classiIicados com base no tipo (energia, isto e,
baixa ou alta energia) de meios magneticos podem purga.
Desmagnetizadores operam utilizando uma im permanente Iorte ou uma bobina
eletromagnetica. A desmagnetizao pode ser um metodo eIicaz para purgar midias
daniIicadas, midia com capacidades de armazenamento excepcionalmente grandes, ou para a
rapida sanitizao de disquetes. A desmagnetizao no e eIicaz para purgar midia no
magneticos, tais como midias opticas como discos compactos (CD DVD, etc).
7.4.4 Destruio
Destruio dos meios de armazenamento e a ultima Iorma de sanitizao. Depois que
as midia so destruidos, eles no podem ser reutilizados como inicialmente previsto. A
destruio Iisica pode ser realizada utilizando uma variedade de metodos, incluindo a
desintegrao, a incinerao, pulverizao, triturao e Iuso.
Se a destruio e decidida devido a classiIicao de alta segurana da inIormao ou
devido a Iactores ambientais, qualquer meio residual deve ser capaz de resistir a um ataque
de laboratorio.
Incinerao, desintegrao, pulverizao e Iuso: Estes metodos de higienizao
projetados para destruir completamente as midias. Eles so normalmente so realizadas por
terceiros transIormando em sucata metalica, essas atividades so realizadas de Ioorma eIicaz,
e com segurana.
Fragmentao: So trituradores de papel que podem ser usados para destruir midias
Ilexiveis, tais como disquetes, uma vez as midias so Iisicamente removidos de suas
embalagens externas. O tamanho do Iragmento deve ser pequeno o suIiciente para que haja
segurana razoavel em proporo ao nivel de conIidencialidade de modo que a inIormao
no pode ser reconstruida.

57
Meios de armazenamento opticos incluindo discos compactos (CD, CD-RW, CD-R,
CD-ROM), discos opticos (DVD), e magneto-optica (MO) devem ser Iragmentado ou
pulverizao,
7.5 Fatores que InfIuenciam as Decises de Sanitizao
Varios Iatores quando a tomada de decises de sanitizao devem ser considerados
juntamente com a classiIicao da inIormao e da conIidencialidade do sistema. O custo
versus beneIicio de um processo de sanitizao de midia deve ser entendido antes de uma
deciso Iinal. Por exemplo, pode no ser rentavel desmagnetizar uma midia de baixo custo,
tais como disquetes. A destruio pode ser a soluo recomendada quato comparado com o
custo eIetivo de uma Iormao (considerando, monitoramento, validao, etc) para destruir a
midia basta a documentao.
Indicada por uma avaliao do risco existente, a organizaes podem aumentar o
nivel da sanitizao aplicada se achar que e necessario.
As organizaes devem considerar os seguintes Iatores ambientais. Note que a lista
no e completa:
N Que tipos (por exemplo, optica no regravavel, magnetico) e tamanho (por
exemplo, megabyte, gigabyte e terabyte) de armazenamento de midia que a
organizao necessita sanitizar?
N Qual e a conIidencialidade dos dados armazenados na midia?
N Sera que a midia precisa ser processada em uma area controlada?
N processo de higienizao sera realizado dentro da organizao ou
terceirizada?
N Qual e o volume previsto de midia a ser sanitizada, por tipo de midia?
N Qual e a disponibilidade de equipamentos de sanitizao e Ierramentas?
N Qual e o nivel de especializao do pessoal, os equipamentos de higienizao
e as Ierramentas necessarias?

58
N Quanto tempo vai levar sanitizao?
N Que tipo de sanitizao vai custar mais considerando, treinamento,
Ierramenta, validao e reentrada da midia no Iluxo de suprimentos?
As organizaes podem usar o Iluxograma da Figura 6 para ajuda-las na tomada de
decises de sanitizao de acordo com a classiIicao da conIidencialidade das inIormaes
contidas. O processo de deciso baseia-se na conIidencialidade da inIormao, e no o tipo
de midia. Quando as organizaes decidem que tipo de sanitizao e melhor cada caso
individual, ento o tipo de midia e a tecnica utilizada vai inIluenciar para atingir o objetivo
sanitizao.
7.6 As decises de Sanitizao durante o ciclo de vida do sistema
A necessidade e os metodos para conduzir a sanitizao das midias devem ser
identiIicadas e desenvolvidas antes de chegar a Iase de eliminao das mesmas, durante o
ciclo de vida do sistema. No inicio do desenvolvimento do sistema, quando o plano inicial de
segurana e desenvolvido, controles de sanitizao de midia so documentados e
implantados.
Uma das principais decises que aIetaro a capacidade de conduzir uma sanitizao e
escolher qual midia sera utilizada no sistema. Embora esta seja mais uma deciso de
negocio, os proprietarios de sistemas devem entender desde cedo que esta deciso aIeta os
tipos de recursos necessarios para higienizao durante todo o resto do ciclo de vida do
sistema.
As organizaes devem tomar cuidado na identiIicao de meios para sanitizao.
Muitos itens usados contero diversas Iormas de midia que podem exigir diIerentes metodos
de higienizao. Por exemplo, um computador pode conter uma unidade de disco rigido,
RAM e ROM, e dispositivos moveis contm memoria volatil, bem como a memoria no
volatil removivel na Iorma de um modulo SIM (Subscriber Identity).
7.6.1 Identificao da necessidade de Sanitizao
Um dos primeiros passos para tomar e decidir se e quando existe a necessidade de
sanear midia.

59

igura 6 luxograma de sanitizao

60
Em todos os pontos no ciclo de vida do sistema, midias que contm as representaes
das inIormaes contida no sistema so geradas. Estas midia pode assumir diIerentes Iormas,
tais como impresses simples de dados, captura de tela, ou memoria cache de atividades do
usuario e das organizaes. Este entendimento vai permitir que as organizaes identiIique
quando ha uma necessidade de realizar higienizao adequada para a eliminao de midia.
Estas decises sobre o descarte adequado pode ser to simples como garantir a colocao de
trituradores de papel nas areas de trabalho durante o sistema em estado estacionario
atividades ou de endereo destruindo equipamentos eletrnicos no Iinal do seu ciclo de vida.
7.6.2 Reutilizao de Mdia
Uma deciso-chave em sanitizao e se as midias esto planejadas para reutilizao
ou reciclagem. Muitas vezes, algumas Iormas de midia so reutilizadas para conservar
recursos de uma organizao.
Se as midias no esto destinadas a ser reutilizadas dentro ou Iora da organizao
devido a danos armazenados ou outra razo, o metodo mais simples e com melhor custo-
beneIicio de controle pode ser destruio.
7.7 Controle da Mdia
Um Iator que inIluencia uma deciso sanitizao organizacional e quem tem o
controle e acesso a midia. Este aspecto deve ser considerado quando a midia deixa a
organizao. O controle da midia pode ser transIerido quando esta e devolvida a partir de um
contrato de locao, esta sendo doada ou revendida para ser reutilizado Iora da organizao.
Os seguintes so exemplos de controlo:
7.7.1 Sob Controle da Organizao
As midias que esto sendo entregue para a manuteno ainda so considerados sob
controle da organizao se os acordos contratuais em vigor com a organizao e o provedor
de manuteno especiIicamente prev a conIidencialidade da inIormao.
Manuteno quando realizada nas locaes de uma organizao, sob a superviso da
organizao, por um Iornecedor de servio de manuteno tambem esta sob o controle da
organizao.

61
7.7.2 No est sob controle Organizao
A midia que esto sendo trocados por garantia, desconto de custo, ou outros Iins
especiIicos, onde no sero devolvidos a organizao so considerados Iora de controle
organizacional.
7.8 Documentao
E Iundamental que uma organizao mantenha um registro de suas sanitizaes para
documentar qual midia Ioi higienizada, quando e como Ioi realizado o processo. Muitas
vezes quando uma organizao e suspeita de perder o controle da inIormao, e por causa do
registro inadequada manuteno de sanitizao da midia.
As organizaes devem assegurar que os Iuncionarios de que gerenciam ou
supervisionam o controle de sanitizao esto incluidos na documentao do processo, a Iim
de estabelecer uma responsabilizao adequada e controle de estoque.
Um Iormulario de exemplo para as organizaes e apresentado na tabela 3.
Tabela 3 Formulrio para documentao de sanitizao

Organizao:
Descrio do item:
Marca / Modelo:
Numero de Serie (s) / Numero de Propriedade (s):
Backup Ieito da InIormao: Sim ( ) No ( )
Se Sim, Localizao Backup:
Metodo: Eliminao ( )
Limpesa digital ( )
Purgar ( )
Destruio ( )
Conduzido por:
Validado por:
Metodo de sanitizao utilizado:
Destino Final: Reutilizada internamente ( )
Reutilizada Externamente ( )
Devolvido ao Iabricante ( )
Outros:

62
Tabela 4 Matriz de Sanitizao

Tipo de Mdia Limpeza Digital Purgar Destruio Fsica
Cpias Fsicas
Papel e microIichas Destruio Iisica. Destruio Iisica. Utilizar picotadores com corte
transversal que produzem particulas
de 1 x 5 milimetros de tamanho.
Destruir as microIichas (microIilmes,
microIichas ou outros negativos de
Iotos reduzidas de imagens) atraves
da queima. Quando o material e
queimado, o residuo deve ser
reduzido a cinzas
Dispositivos mveis
TeleIone Celular Excluir manualmente
todas as inIormaes,
como as chamadas
realizadas, numeros de
teleIone, em seguida,
executar os
procedimentos deIinidos
pelo Iabricante.
Mesmo que Limpeza
Digital.
Desintegrar, pulverizar ou incinerar
pela queima dos equipamentos em um
incinerador autorizado.
Personal Digital Assistant
(PDA) (Palm, PocketPC, outros
)
Excluir manualmente
todas as inIormaes e
em seguida executar um
hard reset de acordo com
o Iabricante para levar o
PDA ao estado de
Iabrica.
Mesmo que Limpeza
Digital.
Dispositivos de Rede
Routers (home, home oIIice e
empresarial)
Execute um reset total
para redeIinir o roteador
com as conIiguraes
padro de Iabrica.
Mesmo que Limpeza
Digital.
Equipamentos
Copiadoras Execute um reset total
para redeIinir a
copiadora com as
conIiguraes padro de
Iabrica.
Mesmo que Limpeza
Digital.
Discos Magnticos
Floppies Sobrescrever a midia
usando soItware
aprovado pela agncia de
e validao ou pela
empresa.
Desmagnetizadores Desintegrar, pulverizar ou incinerar
pela queima os Iloppies em um
Disco Rigido Sobrescrever midia
usando tecnologias /
metodos / Ierramentas
aprovado e validado.
1. Purgar usando o soItware
'Secure Erase da
Universidade da CaliIornia,
San Diego local CMRR
(UCSD).

2. Purgar o disco rigido por
um desmagnetizador
automatico ou desmontar a
unidade de disco rigido e
purgar os discos.
3. Limpar midia usando
tecnologias e Ierramentas
aprovadas.
A desmagnetizao
qualquer disco rigido
tornara a unidade
permanentemente
inutilizada.
Fitas Magnticas

63
Fita Cassette ou Magnetic
Tapes
Apagar as Iitas
magneticas por
regravao (substituio)
ou desmagnetizao.
Apagar uma Iita
magnetica por
regravao (substituio)
pode ser impraticavel
para a maioria das
aplicaes uma vez que o
processo ocupa o
quipamento por periodos
de tempo excessivos.
Desmagnetizar usando um
desmagnetizador aprovado.
Purga por desmagnetizao:
Purge a Iita magnetica em
qualquer desmagnetizador
que limpe o sinal
suIicientemente para
impedir a reproduo. Purga
por desmagnetizao e um
processo mais Iacil
Incinerar pela queima das Iitas em um

Etapas preparatorias, como remover a
Iita do rolo ou cassete antes da
destruio, so desnecessarios. No
entanto, a separao dos componentes
(a Iita e as bobinas ou cassetes)
podem ser necessarios para cumprir
os requisitos de uma instalao de
destruio ou para a reciclagem de
medidas.
Discos pticos
Cds e DVDs Destruio Iisica. Destruio Iisica. Desintegrar, pulverizar ou incinerar
incinerador autorizado.Use
dispositivos trituradores ou
desintegradores que reduzem a uma
dimenso nominal de cinco
milimetros 5 mm (25 mm2).

Memorias
Compact Flash Drives, SDD Sobrescrever midia
usando tecnologias,
metodos e Ierramentas
Destruio Iisica. Desintegrar, pulverizar ou incinerar
Dynamic Random Access
Memory (DRAM)
Purgar a DRAM
desligando o
equipamento e
removendo a bateria.
Mesmo que limpeza digital Desintegrar, pulverizar ou incinerar
Erasable Programmable ROM
(EPROM)
Realizar de um expurgo
utilizando luz ultravioleta
de acordo com as
recomendaes do
Iabricante, mas aumentar
a exigncia de tempo por
um Iator de 3.
2. Sobrescrever midia
usando tecnologias,
Mesmo que limpeza digital Desintegrar, pulverizar ou incinerar
RAM Purgar a DRAM
desligando o
equipamento e
removendo a bateria.
Mesmo que Limpeza
Digital.
ROM Destruio Iisica. Destruio Iisica. Desintegrar, pulverizar ou incinerar
USB Removable Media (Pen
Drives, Flash Drives, Memory
Sticks)
Sobrescrever midia
usando tecnologias,
Mesmo que Limpeza
Digital.

64
8 Controle de acesso
O controle de acesso pode ser deIinido de varias Iormas, tais como:
Uma politica: Conjunto de Regras que delimita operaes de entrada a um
determinado componente;
Componente de soItware: Sistemas Operacionais, que do permisses a arquivos e
recursos, tais como Windows NT 4.0, Windows 2000 Active Directory, ou a Iamilia Novell
NetWare com Novell Directory Services (NDS);
Componentes de hardware: Cartes inteligentes, Tokens, dispositivos biometricos,
roteadores, etc..
Tais deIinies so utilizadas para o mesmo objetivo, conceder ou negar privilegios
ou acesso sobre determinado recurso ou aplicao. Existem trs modelos basicos de controle
de acesso:
MAC: Controle de Acesso Obrigatorio (mandatory access control);
DAC: Controle de Acesso discricionario (discretionary access control);
RBAC: Controle de Acesso Baseado em PerIil de Usuario (role-based access
control);
8.1 ControIe de Acesso Obrigatrio (MAC)
Controle de acesso geralmente utilizados em sistemas operacionais tais como: UNIX,
Linux, sistemas baseados no Windows NT operacional da MicrosoIt, Open BSD dentre
outros. Pode ser projetado de acordo com cada aplicao. Suas conIiguraes de controle so
codiIicadas pelo sistema operacional e no podem ser modiIicadas pelo usuario ou
proprietario, apenas pelo 'root ou super usuario. Este tipo de controle apresenta varios niveis
de privilegios de acesso deIinidos em varios niveis de acesso, e pode ser aplicada a todos os
objetos.

65
8.2 ControIe de Acesso Discricionrio (DAC)
Controle de acesso onde o principal Ioco e o usuario ou um aplicativo criado pelo
proprietario, tendo controle sobre um determinado objeto (Pastas, Arquivos, dentre outros).
Ao contrario do MAC ele no oIerece controle codiIicados, ou seja, ele no e
automaticamente criado pelo Sistema Operacional.
8.3 ControIe de Acesso aseado em PerfiI de Usurio (RAC)
O conceito RBAC consiste na criao de grupos de usuarios, sendo que cada grupo
possuira seus determinados privilegios de acesso, Iazendo com que cada membro de
determinado grupo tenha permisso de acesso somente ao que diz respeito ao seu grupo.
Isto permite uma centralizao da Iuno de controle de acesso, com individuos ou
processos que esto sendo cadastrados, permitindo o acesso a rede e aos recursos deIinidos.
Este tipo de controle de acesso exige mais custo de desenvolvimento, mas e superior ao
MAC sendo mais Ilexivel e capaz de ser redeIinido com mais Iacilidade. RBAC tambem
pode ser usado para conceder ou negar acesso a um determinado roteador ou protocolo
exemplo: File TransIer Protocol (FTP), Telnet, entre outros.
8.3.1 enefcios do RAC
O modelo RBAC permite um ganho expressivo de produtividade administrativa, ja
que a mesma esta relacionada com as permisses que so liberadas aos colaboradores para o
acesso aos recursos, reviso e seleo para remoo de acessos que no so mais necessarios
do ponto de vista organizacional.
Segundo Ferraiolo (2003), o RBAC reIora a politica de segurana corporativa e
aprimora a segurana e integridade dos sistemas.
Alem disto, o RBAC e capaz de impedir que a Politica de Segurana implantada na
organizao seja violada, pois este modelo consegue mapear todas as estruturas
organizacionais e de negocios da empresa, sendo assim todos os sistemas e inIormaes
presentes na empresa podem ser controladas de maneira mais rigorosa Iicando suscetivel a
uma Politica de Controle de Acesso.

66
No RBAC os usuarios que tem mais por delegar quais so as responsabilidades que
cada usuario tera dentro do seu ambiente de trabalho, alem de inIormar ao mesmo qual sero
as medidas tomadas em caso de descumprimento das regras estabelecidas para os usuarios.

67
9 Segurana para Teleinformtica e
Comunicaes de Banda Larga
Segurana uma necessidade bsica dos seres humanos, especialmente na era da
globalizao, aumentando a mobilidade e dependncia crescente de tecnologias de
informao e comunicao pelas naes, a necessidade de segurana est se tornando
cada vez mais pronunciada. Junto com a evoluo das telecomunicaes, novos tipos de
ameaas segurana tm surgido
O aumento da vulnerabilidade est forando empresas a tomar medidas para evitar
danos e minimizar o risco residual de segurana necessrias nas telecomunicaes.
Como os servios de computao e telecomunicaes evoluram e fazem parte da vida
diria, nas ICT - Informao e Tecnologias das Comunicaes, a segurana est sendo
falada no s entre os especialistas em segurana digital, mas tambm nos governos,
prestadores de servios e pelos consumidores. Em todo o mundo, o governo e a indstria
tornaram-se dependentes de redes de telecomunicaes para suportar o negcio em
todos os sectores econmicos mais importantes. Ao mesmo tempo, por causa da
evoluo tecnolgica, poltica, regulamentao, atendimento ao cliente e implantaes
tecnolgicas rpidas para atender as demandas do mercado, a rede pblica de telefonia
comutada ou RPTC est se tornando mais vulnervel a violaes de segurana.

Os meios de comunicao formam o aparato mais crtico que exige medidas de
segurana de informaes est distribudo em todo o mundo na forma de redes de
telecomunicaes. Empresas e consumidores em geral esto normalmente conectados a
trs tipos de rede pblica comutada, no confiveis: a rede pblica de telefonia
comutada, a rede de telefonia mvel e rede de longa distncia (WAN) ou Internet.
Telefones tradicionais conectar ao RPTC para permitir chamadas de voz, modem e
comunicaes de fax, vdeo e teleconferncias. Telefones celulares conectados a redes
mveis para permitir comunicao de dados e voz em movimento. Computadores
conectados as WANs ou na Internet para comunicao de dados e acesso informao.
Embora quase todas as empresas protejam suas redes internas com firewalls e
tecnologias relacionadas, a responsabilidade central de possibilitar a comunicao pblica
est com as operadores de telecomunicaes. Durante o planejamento dos
procedimentos de segurana, importante que seja um processo bem pensado desde o
incio do projeto da rede, sua operao, implementao e utilizao. Durante a execuo
do processo de desenvolvimento de novas redes, a segurana deve ser sempre um
elemento de trabalho inicial e no um pensamento para o futuro.
Acredita-se que as necessidades de segurana em telecomunicaes exijam um alto
investimento e que sua implementao requer pessoal altamente qualificado. No entanto,
isso pode no ser o caso frequnte. Os principais ingredientes do sucesso so o bom
senso, bom planejamento, procedimentos organizacionais, diretrizes, um corpo tcnico
qualificado que habilmente observa os requisitos de segurana e disciplinada. A
segurana no um estado esttico, mas um processo contnuo. A criao e
implementao de uma diretriz de segurana efetiva de telecomunicaes no precisa ser
necessariamente cara.
Segurana de Comunicao significa que a informaes fluir apenas entre os pontos
finais autorizados. Esta dimenso trata de medidas para controlar os fluxos de trfego de
rede para a preveno do desvio de trfego ou interceptao.
9.1 Consideraes necessrias para a Segurana em
TeIeinformtica
Organizaes do suporte as necessidades de teleinformtica devem estabelecer e seguir
uma poltica de segurana razovel e consistente para seus usurios. Idealmente, a

68
organizao deve fornecer o teletrabalhador de um sistema para ser utilizado em sua
residncai configurado com a mesma poltica e as diretrizes que empregadas para os
funcionrios no escritrio. Polticas variam de acordo com as necessidades
organizacionais, mas alguns recursos bsicos da poltica so comuns a maioria das
organizaes. Esta seco descreve algumas consideraes fundamentais para uma
poltica de segurana teleinformatica que pode ser usado como uma base para um
documento de acordo com as necessidades da organizao.
9.1.1 ControIando o acesso ao sistema

Seguranca Da Informacao

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguranca Da Informacao

Încărcat de

Drepturi de autor:

Formate disponibile

1

CENTRO PAULA SOUZA

S-ar putea să vă placă și