SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

SEGURANÇA E 
AUDITORIA DE 
SISTEMAS
Professora Esp. Adriane Joyce Xavier
GRADUAÇÃO
UniCesumar
C397 CENTRO UNIVERSITÁRIO DE MARINGÁ. Núcleo de Educação a 
Distância; XAVIER, Adriane Joyce. 
Segurança e Auditoria de Sistemas. Adriane Joyce Xavier. 
Maringá-Pr.: UniCesumar, 2016. Reimpresso em 2021.
168 p.
“Graduação - EaD”.
1. Segurança. 2. Auditoria. 3. Sistemas EaD. I. Título. 
ISBN 978-85-459-0343-7
CDD - 22 ed. 658
CIP - NBR 12899 - AACR/2
Coordenador de Conteúdo
Fabiana de Lima
Design Educacional
Ana Cláudia Salvadego
Iconografia
Amanda Peçanha dos Santos
Ana Carolina Martins Prado
Projeto Gráfico
Jaime de Marchi Junior e José Jhonny Coelho
Arte Capa
Arthur Cantareli Silva
Editoração
José Jhonny Coelho
Qualidade Textual
Hellyery Agda
Revisão Textual
Kaio Vinicius Cardoso Gomes
Ilustração
Bruno Pardinho
Ficha catalográfica elaborada pelo bibliotecário 
João Vivaldo de Souza - CRB-8 - 6828
Impresso por:
Reitor
Wilson de Matos Silva
Vice-Reitor
Wilson de Matos Silva Filho
Pró-Reitor Executivo de EAD
William Victor Kendrick de Matos Silva
Pró-Reitor de Ensino de EAD
Janes Fidélis Tomelin
Presidente da Mantenedora
Cláudio Ferdinandi
NEAD - Núcleo de Educação a Distância
Diretoria Executiva
Chrystiano Minco�
James Prestes
Tiago Stachon 
Diretoria de Graduação
Kátia Coelho
Diretoria de Pós-graduação 
Bruno do Val Jorge
Diretoria de Permanência 
Leonardo Spaine
Diretoria de Design Educacional
Débora Leite
Head de Curadoria e Inovação
Tania Cristiane Yoshie Fukushima
Gerência de Processos Acadêmicos
Taessa Penha Shiraishi Vieira
Gerência de Curadoria
Carolina Abdalla Normann de Freitas
Gerência de de Contratos e Operações
Jislaine Cristina da Silva
Gerência de Produção de Conteúdo
Diogo Ribeiro Garcia
Gerência de Projetos Especiais
Daniel Fuverki Hey
Supervisora de Projetos Especiais
Yasminn Talyta Tavares Zagonel
Viver e trabalhar em uma sociedade global é um 
grande desafio para todos os cidadãos. A busca 
por tecnologia, informação, conhecimento de 
qualidade, novas habilidades para liderança e so-
lução de problemas com eficiência tornou-se uma 
questão de sobrevivência no mundo do trabalho.
Cada um de nós tem uma grande responsabilida-
de: as escolhas que fizermos por nós e pelos nos-
sos farão grande diferença no futuro.
Com essa visão, o Centro Universitário Cesumar 
assume o compromisso de democratizar o conhe-
cimento por meio de alta tecnologia e contribuir 
para o futuro dos brasileiros.
No cumprimento de sua missão – “promover a 
educação de qualidade nas diferentes áreas do 
conhecimento, formando profissionais cidadãos 
que contribuam para o desenvolvimento de uma 
sociedade justa e solidária” –, o Centro Universi-
tário Cesumar busca a integração do ensino-pes-
quisa-extensão com as demandas institucionais 
e sociais; a realização de uma prática acadêmica 
que contribua para o desenvolvimento da consci-
ência social e política e, por fim, a democratização 
do conhecimento acadêmico com a articulação e 
a integração com a sociedade.
Diante disso, o Centro Universitário Cesumar al-
meja ser reconhecido como uma instituição uni-
versitária de referência regional e nacional pela 
qualidade e compromisso do corpo docente; 
aquisição de competências institucionais para 
o desenvolvimento de linhas de pesquisa; con-
solidação da extensão universitária; qualidade 
da oferta dos ensinos presencial e a distância; 
bem-estar e satisfação da comunidade interna; 
qualidade da gestão acadêmica e administrati-
va; compromisso social de inclusão; processos de 
cooperação e parceria com o mundo do trabalho, 
como também pelo compromisso e relaciona-
mento permanente com os egressos, incentivan-
do a educação continuada.
Seja bem-vindo(a), caro(a) acadêmico(a)! Você está 
iniciando um processo de transformação, pois quando 
investimos em nossa formação, seja ela pessoal ou 
profissional, nos transformamos e, consequentemente, 
transformamos também a sociedade na qual estamos 
inseridos. De que forma o fazemos? Criando oportu-
nidades e/ou estabelecendo mudanças capazes de 
alcançar um nível de desenvolvimento compatível com 
os desafios que surgem no mundo contemporâneo. 
O Centro Universitário Cesumar mediante o Núcleo de 
Educação a Distância, o(a) acompanhará durante todo 
este processo, pois conforme Freire (1996): “Os homens 
se educam juntos, na transformação do mundo”.
Os materiais produzidos oferecem linguagem dialógica 
e encontram-se integrados à proposta pedagógica, con-
tribuindo no processo educacional, complementando 
sua formação profissional, desenvolvendo competên-
cias e habilidades, e aplicando conceitos teóricos em 
situação de realidade, de maneira a inseri-lo no mercado 
de trabalho. Ou seja, estes materiais têm como principal 
objetivo “provocar uma aproximação entre você e o 
conteúdo”, desta forma possibilita o desenvolvimento 
da autonomia em busca dos conhecimentos necessá-
rios para a sua formação pessoal e profissional.
Portanto, nossa distância nesse processo de cresci-
mento e construção do conhecimento deve ser apenas 
geográfica. Utilize os diversos recursos pedagógicos 
que o Centro Universitário Cesumar lhe possibilita. Ou 
seja, acesse regularmente o AVA – Ambiente Virtual de 
Aprendizagem, interaja nos fóruns e enquetes, assista 
às aulas ao vivo e participe das discussões. Além dis-
so, lembre-se que existe uma equipe de professores 
e tutores que se encontra disponível para sanar suas 
dúvidas e auxiliá-lo(a) em seu processo de aprendiza-
gem, possibilitando-lhe trilhar com tranquilidade e 
segurança sua trajetória acadêmica.
A
U
TO
R
A
Professora Esp. Adriane Joyce Xavier
Permita-me que eu me apresente. Sou a professora Adriane Joyce Xavier, autora 
deste livro. Sou bacharel em Sistemas de Informação pela Faculdade de Apucarana 
(FAP) e especialista em Gestão Financeira, Contábil e Auditoria pela INBRAPE/
UNESPAR (Universidade Estadual do Paraná). Trabalho como desenvolvedora 
de sistemas utilizando a linguagem de programação Progress na plataforma 
OpenEdge. Trabalhei como analista de requisitos em uma empresa desenvolvedora 
de sistemas para dispositivos móveis e, como uma das responsáveis pelo setor de 
qualidade de uma empresa que desenvolvia sistemas para empresas e indústrias 
que desejavam automatizar suas atividades operacionais.
SEJA BEM-VINDO(A)!
Caro(a) aluno(a), é com grande prazer que lhe escrevo este livro esperando que ele pos-
sa contribuir com sua futura formação. 
Nos dias atuais, a informação é de notória relevância para uma organização e funda-
mental para os negócios, por isso, é importante que ela seja , adequadamente, protegi-
da. Com o crescimento da interconectividade entre os ambientes de trabalho, a infor-
mação fica exposta a uma grande variedade de ameaças, com isso, as organizações têm 
se preocupado cada vez mais em aumentar a segurança e o controle das informações. 
Daí a necessidade da segurança da informação, que consiste na proteção da informação 
contra os vários tipos de ameaças, minimizando os riscos relacionados com o negócio.
Para obter a segurança da informação, torna-se necessário um conjunto de controles 
adequados, com o intuito de garantir que os objetivos do negócio e de segurança da 
organização sejam concretizados. Esses controles devem ser alterados e aperfeiçoados 
com o passar do tempo, permitindo que as organizações cuidem da segurança e se pre-
vinam contra eventuais riscos causados pela falta dela . 
Outra forma de controle com a segurança da informação ocorre por meio de um pro-
cesso de auditoria de sistemas, que busca descobrir as irregularidades em tais departa-
mentos ou nos centros de processamento. A auditoria também identifica os pontos que 
desagradarão a alta administração, para que eles possam ser corrigidos.
Este livro visa elucidar a importância da segurança e da auditoria dos sistemas de infor-
mações bem como destacar modelos e normas que possam ser utilizados para proteger 
a informação e os cuidados ao se desenvolver umsoftware mais seguro. Os temas que 
serão abordados são detalhados a seguir..
A Unidade 1 tratará do tema Sistemas de Informação e seu conceito, das atividades que o 
compõem e seus principais componentes. Também serão detalhados os diferentes níveis 
organizacionais de um sistema de informação e seus tipos. 
Na Unidade 2, o assunto será: Segurança da Informação, muito importante nos dias 
atuais, devido ao expressivo aumento de acessos à internet; conceito de segurança da 
informação e os pilares a serem considerados quando se deseja realizá-la; a classificação 
das informações; o que são vulnerabilidades e como se classificam; quais são os tipos 
de ameaças existentes; quais os riscos, os incidentes e os ataques existentes hoje. Você 
verá, ainda, alguns tipos de ataques que ameaçam a segurança da informação.
Na Unidade 3, o tema é Segurança Informática, um complemento da Unidade 2, onde 
abordarei os mecanismos de controles que existem para proteger os sistemas de infor-
mação, os equipamentos de informática, a política de segurança da informação que as 
organizações devem possuir bem como suas regras e normas de conduta a fim de dimi-
nuir as ocorrências de incidentes.
APRESENTAÇÃO
SEGURANÇA E AUDITORIA DE SISTEMAS
Na Unidade 4, abordarei a Auditoria de Sistemas. Veremos o conceito de auditoria, 
quais as estratégias a serem utilizadas no levantamento de informações da audito-
ria, quais os tipos de auditorias existentes, as principais áreas da auditoria interna e 
quais normas e modelos podem ser utilizados para auxiliar a auditoria de sistemas.
A Unidade 5 tratará do Desenvolvimento de Software Seguro. Nela, você entenderá a 
necessidade de se desenvolver um software com segurança desde o ciclo de vida ini-
cial de um sistema bem como se deve tomar o mesmo cuidado com as alterações em 
um sistema já existente, conhecerá quais as atividades e os processos do ciclo de vida 
para desenvolvimento de software com segurança e quais os modelos de maturidade 
que podem ser utilizados para auxiliar no desenvolvimento de software seguro.
Espero que você possa fazer bom uso deste material. Tenha uma ótima leitura!
Prof.ª Esp. Adriane Joyce Xavier.
APRESENTAÇÃO
SUMÁRIO
09
UNIDADE 1
SISTEMAS DE INFORMAÇÃO
15 Introdução
16 Informação 
18 Sistemas de Informação (SI) 
35 Considerações Finais 
41 Gabarito 
UNIDADE 2
SEGURANÇA DA INFORMAÇÃO
45 Introdução
46 Segurança da Informação 
48 Classificações da Informação 
50 Vulnerabilidades da Informação 
54 Ameaças à Segurança da Informação 
58 Risco 
60 Incidente 
61 Ataques à Segurança da Informação 
67 Considerações Finais 
72 Gabarito 
SUMÁRIO
10
UNIDADE 3
SEGURANÇA INFORMÁTICA
75 Introdução
76 Segurança Informática 
77 Mecanismos de Segurança da Informação 
93 Política de Segurança da Informação 
96 Considerações Finais 
102 Gabarito 
UNIDADE 4
AUDITORIA DE SISTEMAS
105 Introdução
106 Auditoria 
107 Auditoria de Sistemas 
118 Normas e Ferramentas de Apoio à Auditoria Informática 
125 Considerações Finais 
132 Gabarito 
SUMÁRIO
11
UNIDADE 5
DESENVOLVIMENTO DE SOFTWARE SEGURO
135 Introdução
136 Desenvolvimento de Software Seguro 
156 Considerações Finais 
163 Conclusão 
166 Gabarito 
U
N
ID
A
D
E 1
Professora Esp. Adriane Joyce Xavier
SISTEMAS DE 
INFORMAÇÃO
Objetivos de Aprendizagem
 ■ Entender o conceito de Informação e Sistemas de Informação.
 ■ Entender o que é um Sistema de Informação e quais os tipos de 
sistemas de informações existentes.
 ■ Conhecer os sistemas de informação que podem apoiar os processos 
de atuação de uma empresa, na tomada de decisões administrativas 
e nas estratégias voltadas à vantagem competitiva.
Plano de Estudo
A seguir, apresentam-se as aulas que você estudará nesta unidade:
 ■ A Informação
 ■ Sistemas de Informação
INTRODUÇÃO
A Informação é um elemento básico para a humanidade desde o início da sua 
existência. Atualmente, consiste em um dos principais patrimônios de uma 
organização, pois se trata de um item muito importante para a sobrevivên-
cia das empresas. Ela viabiliza o sucesso delas, possibilita que sejam efetuados 
planejamentos estratégicos e que as atividades operacionais da empresa sejam 
realizadas e controladas. 
Informações que foram adulteradas, que estejam disponíveis ou estejam em 
mãos de pessoas mal-intencionadas ou de concorrentes podem comprometer, 
significativamente, o andamento dos processos institucionais ou a imagem da 
instituição perante seus clientes.
Várias são as maneiras como a Informação pode ser manipulada e visuali-
zada, à medida que circula pelos mais variados ambientes, percorrendo diversos 
fluxos de trabalho. Ela pode ser armazenada para os mais variados fins, possibi-
litando que seja lida, arquivada, modificada, controlada ou, até mesmo, apagada, 
processo ao qual damos o nome de Sistemas de informação.
Sistemas de informação são formas utilizadas para manipular dados e gerar 
informações, podendo serem automatizadas, ou não. Desde a inserção do com-
putador como dispositivo que auxilia em variadas atividades, até os dias atuais, 
ocorreu uma evolução nos modelos computacionais e nas tecnologias usadas 
para manipular, armazenar e apresentar informações. 
Hoje, muitas empresas, pequenas ou grandes, usam os sistemas de informa-
ção para atingir importantes objetivos organizacionais, relacionar-se melhor com 
clientes, assegurar a sua própria sobrevivência, promover vantagem competitiva, 
melhorar a tomada de decisão e criar novos produtos e serviços.
Neste capítulo, estudaremos, de forma detalhada, o que são sistemas de infor-
mação e como podem ser empregados com sucesso em um ambiente de negócios.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
15
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E16
INFORMAÇÃO
Segundo Beal (2001), informação é o dado modificado em sua forma crua e 
sem sentido, permitindo ao gestor uma tomada de decisão assertiva. Chiavenato 
(2000) diz que para ser considerada informação, um conjunto de dados pre-
cisa possuir significado, ou seja, ele, por si só, não é informação, só será, se 
este possuir sentido.
Conforme alerta Beal (2001, p. 78), “a informação é um patrimônio, ela 
agrega valor à organização”. A partir desse contexto, sendo a informação um 
bem que agrega valor a uma empresa ou a um indivíduo, é necessário fazer uso 
de recursos de TI de maneira apropriada, ou seja, é preciso utilizar ferramentas, 
sistemas ou outros meios que façam das informações um diferencial competitivo.
Informação quer dizer dados apresentados de forma significativa e útil para 
as pessoas. Dados, ao contrário, são sequências de fatos brutos que representam 
eventos que ocorrem nas organizações ou no ambiente físico, antes de terem sido 
organizados e arranjados de forma que as pessoas possam entendê-los e usá-los.
©shutterstock
Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
17
Para comparar dados e informação, um exemplo pode ser dado por meio 
de vendas realizadas no caixa de um supermercado, que registram milhões de 
dados no dia, como o código de barras e a quantidade de cada produto. Esses 
dados somados podem gerar, no fim do dia, informações, como o total de ven-
das realizadas de determinado produto, que tipo de marca do produto tem mais 
saída, e assim por diante.
Atualmente, tem-se dedicado especial atenção à informação, devido à sua 
importância para os negócios e para a realização de novos empreendimentos. 
Quando se trata de uma boa informação, verdadeiras oportunidades são abertas 
para quem as possue, o que torna o cenário dos negócios mais dinâmico e acir-
rado na busca por novos mercados, acordos internacionais, podere qualidade, 
entre outros. Isso gera competitividade e transforma a informação no princi-
pal elemento motriz desse ambiente altamente competitivo, requerendo, assim, 
proteção especial. Em contrapartida, a ausência da informação ou a informação 
de má qualidade, constitui uma grande ameaça e pode levar empresas à extin-
ção. Tudo isso atribui à informação um relevante valor, transformando-a num 
ativo essencial aos negócios de uma organização. A informação pode existir de 
várias formas:
 ■ Impressa ou escrita em papel.
 ■ Armazenada, eletronicamente.
 ■ Transmitida pelo correio ou por meios eletrônicos.
 ■ Mostrada em vídeos.
 ■ Verbal.
O ato de transferir e pro-
cessar informações ocorre 
por meio de um sistema de 
informação, mas não, neces-
sariamente, por um sistema de 
TI, como veremos nos próxi-
mos capítulos.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E18
SISTEMAS DE INFORMAÇÃO (SI)
Um Sistema de Informação pode ser definido como um conjunto de componentes 
inter-relacionados, automatizado ou não, que coleta, processa, armazena e dis-
tribui informações destinadas a apoiar a tomada de decisões, a coordenação e o 
controle de uma organização, auxiliando, também, os gerentes e os trabalhado-
res a analisar problemas, visualizar assuntos complexos e criar novos produtos. 
Em todas as organizações de negócios, é cada vez mais fundamental seu 
papel, podendo ter um enorme impacto na estratégia corporativa e no sucesso 
organizacional.
Os sistemas de informação surgiram antes mesmo da informática. Antes 
dos computadores, as organizações se baseavam, basicamente, em técnicas de 
arquivamento e recuperação de informação, existia a pessoa responsável em 
organizar os dados, registrar, catalogar e recuperá-los quando necessário. Este 
método exigia um grande esforço para manter os dados atualizados e também 
para acessá-los. As informações em papel não possibilitavam o cruzamento de 
informações e análise de dados, devido a isso, era exigido um grande número de 
pessoas para atualizações de determinados processos, o que aumentava a pro-
babilidade de erros. Com o surgimento da tecnologia da informação, todo esse 
processo passou a ser informatizado. “A adoção de TI possibilita às pessoas fazer 
mais em menor espaço de tempo, de modo que a eficiência resulte em economia 
de tempo que, por sua vez, pode ser reinvestida na eficácia pessoal” (TAPSCOTT, 
1997, p. 84). Algumas organizações ainda utilizam o método manual citado, mas 
como a maioria das organizações passou a automatizar seus processos, o foco 
desse capítulo será sobre os sistemas de informação informatizados.
O Sistema de Informação, tanto manual quanto automatizado, possui 3 ati-
vidades conforme definido na Figura 1.
Figura 1 - Atividades de um Sistema de Informação
Entrada Processamento Saída
Sistemas de Informação
Fonte: o autor.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
19
 Entrada: são dados inseridos ou coletados. Exemplo: nome cliente, ende-
reço, entre outros.
 Processamento: converte os dados da entrada em informações mais 
significativas.
 Saída: transfere as informações processadas às pessoas que as utilizarão. Essas 
informações processadas poderão auxiliar o gerente na tomada de decisão 
dentro da organização.
Os Sistemas de Informação também requerem um feedback, o qual se trata da 
saída que retorna a determinados membros da organização para avaliar ou cor-
rigir o estágio de entrada.
Um sistema de informação é um sistema composto de pessoas e computa-
dores que processam ou interpretam informação e consiste em 6 componentes 
principais interligados, que dependem um do outro, e são eles:
 ■ Recursos de Hardware: são todos os dispositivos físicos e materiais uti-
lizados no processamento das informações. Referem-se às máquinas e às 
mídias de máquinas, tais como computador, monitor de vídeo, disposi-
tivos de entrada e de saída, dispositivos de armazenagem e dispositivos 
de comunicação. 
 ■ Recursos de Software: são programas de computador semelhantes a pro-
gramas de sistemas operacionais, planilhas eletrônicas, programas de 
processamento de textos, folhas de pagamentos e procedimentos, como 
entrada de dados, correção de erros, entre outros.
 ■ Dados: são fatos utilizados por programas para produzir informações 
úteis, como descrição de produto, cadastro de cliente, estoque, entre outros.
 ■ Recursos de Redes: são mídias de comunicação e apoio de rede, utili-
zadas para executar atividades de entrada. Redes de telecomunicações, 
como a Internet, intranets e extranets tornaram-se essenciais ao sucesso 
de operações de todos os tipos de organizações e de seus SI baseados no 
computador. Essas redes consistem em computadores, processadores de 
comunicações e outros dispositivos interconectados por mídia de comu-
nicação e controlados por software de comunicações. 
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E20
 ■ Procedimentos: conjunto de instruções e procedimentos, são as políticas 
que regem o funcionamento de um sistema de computador. 
 ■ Pessoas: incluem os usuários finais e especialistas em Sistemas de 
Informação. 
Qualquer sistema de informação específico tem como 
objetivo apoiar operações, gestão e tomadas de decisão. 
Um sistema de informação é a tecnolo-
gia da informação e comunicação que 
uma organização utiliza e, também, a 
maneira como as pessoas interagem 
com esta tecnologia em apoio dos pro-
cessos de negócio. 
Devido à existência de diferentes interesses, 
especialidades e níveis dentro de uma organiza-
ção, são necessários diferentes tipos de Sistemas 
de Informação para que possa, dessa forma, aten-
der a todos os níveis organizacionais em que atuam. 
Os diferentes níveis organizacionais são: 
 ■ Sistemas de Informação em Nível Operacional: dão suporte aos gerentes 
operacionais, acompanham atividades e transações da organização, como 
vendas, compras, depósitos, transação de matéria -prima, entre outros. 
Fornecem informações de fácil acesso, precisas e atualizadas.
 ■ Sistemas de Informação em Nível de Conhecimento: auxiliam a empresa 
a integrar novas tecnologias ao negócio e ajuda a controlar o fluxo de 
documentos.
 ■ Sistemas de Informação em Nível Administrativo ou Gerencial: atendem 
as atividades de monitoração, tomada de decisão, controle e procedimentos 
administrativos gerenciais. Têm como característica a produção de relató-
rios periódicos acerca das operações, e não de informações instantâneas.
 ■ Sistemas de Informação em Nível Estratégico: auxiliam a gerência a 
enfrentar questões estratégicas e tendências tanto no ambiente interno 
quanto no externo da empresa. 
https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Information_and_communication_technology&usg=ALkJrhgE51WNcLCVP2D9mIFwiM7j5GI0KQ
https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Information_and_communication_technology&usg=ALkJrhgE51WNcLCVP2D9mIFwiM7j5GI0KQ
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
21
Para cada nível organizacional citado, existem vários tipos de Sistemas de 
Informação que podem ser utilizados nas organizações. Os sistemas foram 
classificados de acordo com seus objetivos e tipos de informações que manipu-
lam, mas nada impede que um mesmo Sistema de Informação encontrado em 
alguma organização esteja classificado em mais de um tipo. No Quadro 1, serão 
listados os cinco tipos de Sistemas de Informação mais importantes.
Quadro 1 - NívelOperacional x Tipo de Sistemas de Informação
NÍVEL ORGANIZACIONAL TIPO DE SISTEMASDE INFORMAÇÃO
Nível Operacional Sistemas de Processamento de Transações (SPT)
Nível de Conhecimento Sistemas de Automação de Escritórios (SAE)
Nível Gerencial
Sistemas de Informação Gerenciais (SIG)
Sistemas de Apoio a Decisão (SAD)
Nível Estratégico Sistemas de Informação Executiva (SIE)
Fonte: o autor.
SISTEMAS DE PROCESSAMENTO DE TRANSAÇÕES (SPT) 
São sistemas de suporte em nível operacional, utilizados em transações rotinei-
ras, repetitivas e, geralmente, comuns de negócios, dando apoio à monitoração 
e à realização das negociações de uma organização, gerando e armazenando 
dados sobre as mesmas. 
Os Sistemas de Processamento de Transações são utilizados na automa-
ção de atividades da rotina diária que ocorrem no curso normal dos negócios, 
são tarefas repetitivas e transacionais, como controle de estoques, cobrança, 
contabilidade, folha de pagamento, entre outros. O SPT é o tipo de sistema de 
informação mais antigo que existe, oferece respostas rápidas e e deve ser confi-
ável, fornecendo uma base sólida de operação para que, baseada nela a empresa 
melhore seus produtos e serviços. 
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E22
Cada transação do Sistema de Processamento de Transações requer:
 ■ Entrada e alimentação de dados: processo de coleta de todos os dados 
necessários para completar uma ou mais transações. Podem ser execu-
tados de forma manual ou por meio de equipamentos de coleta, como 
scanners, dispositivos de ponto de venda, terminais, entre outros.
 ■ Processamento e armazenamento de dados: processo, como execução 
de cálculos e outras transformações de dados relacionadas a uma ou mais 
transformações empresariais e armazenamento dos dados da transação 
em um ou mais bancos de dados. Quando processadas e armazenadas, 
essas informações podem servir de entrada para outros sistemas, como 
Sistema de Informação Gerencial e Sistema de Apoio à Decisão.
 ■ Geração de documentos e relatórios: envolve a saída de registros e rela-
tórios que podem ser impressos em papel ou exibidos por meio da tela 
do computador.
Com a utilização do Sistema de Processamento de Transações, as empresas não 
conseguem mais prezar pela organização de dados sem este tipo de ferramenta 
ao seu alcance. Entre seus vários objetivos, as organizações esperam obter mais 
lucratividade e apoio ao sucesso da organização, por meio dos seguintes serviços:
 Processar os dados gerados pelas transações: capturar, processar e armaze-
nar transações e produzir uma grande variedade de documentos relacionados 
às atividades rotineiras da empresa.
 Manter alto grau de precisão: consiste na entrada e no processamento de 
dados sem erros. Antes do início das transações, várias pessoas conferem e 
verificam, rigorosamente, todas as entradas para assegurar a real situação 
do negócio, inibindo erros de processamento. 
 Assegurar a integridade dos dados e da informação: informações exatas 
e atuais antes de serem armazenadas.
 Produzir documentos e relatórios em tempo: os sistemas manuais podem 
levar dias, semanas e até meses, com o SPT informatizado este tempo de 
resposta foi reduzido. A capacidade de conduzir transações de negócios de 
uma forma imediata pode ser muito importante para a operação lucrativa 
da organização.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
23
 Aumento da eficiência do trabalho: efetuado por meio de terminais de 
processamento. 
 Ajuda no fornecimento de mais serviços e serviços melhorados: o SPT pode 
ser fundamental no aumento do portfólio das empresas com relação aos servi-
ços prestados ou no aumento da eficiência dos serviços, atualmente, existentes.
Todos estes serviços representam um critério que deve ser definido pela empresa 
no seu planejamento estratégico. O uso de Sistemas de Processamento de 
Transações adequado e bem planejado potencializa a capacidade das empresas 
nas mais diversas áreas. Esta potencialidade se reverte em uma vantagem com-
petitiva, centrada, principalmente, nas seguintes evoluções:
 ■ Mais qualidade ou produtos melhores.
 ■ Serviços superiores aos clientes.
 ■ Melhor agrupamento de informações.
 ■ Aperfeiçoamento de previsões e planejamento.
Algumas das aplicações dos Sistemas de Processamento de Transações são:
 Controle de estoque: controla produtos armazenados de uma empresa e a 
movimentação de entrada e saída dos produtos do estoque.
 Logística: responsável por interligar as atividades logísticas de uma empresa 
e pela entrega dos produtos ao menor custo possível. É constituída por quatro 
níveis de funcionalidade: transações; controle de gestão; análise de decisão 
e planejamento estratégico.
 Financeiro: responsável pela gestão de ativos financeiros da empresa, abran-
gendo categorias de processo, como Contas a pagar, Contas a receber, Faturas, 
Compras, entre outras.
 Vendas: a principal característica dessa categoria é obter dados e gerar esta-
tísticas para gerar um melhor planejamento sobre o processo de vendas 
da empresa. Dessa maneira, é possível antecipar tendências econômicas e 
variações do mercado, podendo, assim, confrontar dados reais com os pla-
nejamentos, antecipar a decisão, auxiliando, deste modo, na melhor medida 
a ser tomada.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E24
 Compras: o sistema de informação para Compras é relacionado à área de 
compras da empresa, podendo ser de produtos ou de serviços terceirizados. 
Por meio dele é possível analisar dados de mercado para um melhor plane-
jamento de compras em longo prazo.
Um Sistema de Informação eficiente pode ter um grande impacto na estratégia 
corporativa e no sucesso da organização, beneficiar a organização, os usuários 
do sistema de informação e qualquer indivíduo ou grupo que interagir com o 
sistema de informação. Dentre os benefícios que as empresas procuram obter 
por meio dos sistemas de informação destacam-se:
 ■ Maior segurança.
 ■ Vantagens competitivas.
 ■ Menor incidência de erros.
 ■ Maior precisão.
 ■ Produtos de melhor qualidade.
 ■ Maior eficiência.
 ■ Maior produtividade.
 ■ Administração mais eficiente.
 ■ Custos reduzidos.
 ■ Maior e melhor controle sobre as operações.
 ■ Tomadas de decisões gerenciais superiores.
 ■ Aumento da fidelidade do cliente.
SISTEMAS DE AUTOMAÇÃO DE ESCRITÓRIOS (SAE)
Consistem em um sistema de nível estratégico de uma organização em que é 
possível reunir dados de toda a organização, permitindo que, dessa forma, os 
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
25
gerentes possam selecionar e ajustar os dados para os fins necessários. 
Automação de escritório é um conceito que envolve o uso de equipamentos 
de informática e softwares para criar, coletar, armazenar, manipular e retransmitir, 
digitalmente, informações necessárias para a realização de tarefas e cumprimento 
de objetivos em um escritório. O Sistema de Automação de Escritório permite 
aos executivos analisar os dados reunidos de maneira única e padronizada, dis-
ponibilizando diversas funções como processadores de textos, gráficos, agendas 
eletrônicas, editores de imagens, a possibilidade de gerenciamento de diversos tipos 
de projetos, entre outros. Ele auxilia no aumento da produtividade, na redução 
de custos e um resultado de maior qualidade, tendo como foco o processamento 
de informações nos escritórios e a automação das atividades que possibilitam as 
organizações na busca de informações mais rápidas e confiáveis.
Alguns dos benefícios que o Sistema de Automação de Escritório possui são: 
 ■ Amplia aabrangência de controle da alta administração.
 ■ Acelera o processo de tomada de decisão.
 ■ Melhora o desempenho administrativo.
O Sistema de Automação de Escritório (SAEs) ajuda nas atividades de escritório, 
tais como preparação e comunicação da correspondência. Exemplos:
 ■ Processadores de Texto: programa usado para escrever no computador. 
Com ele é possível criar desde documentos simples até arquivos profis-
sionais, que são mais complexos, tais como: fax, cartas, currículos, ofícios, 
procurações e apostilas. Um processador de texto é, essencialmente, um 
programa que simula o funcionamento de uma máquina de escrever, mas 
com recursos que facilitam e agilizam a produção, a edição e a finaliza-
ção de texto.
 ■ Planilhas eletrônicas: aplicativo que oferece ferramentas para efetuar 
cálculos por meio de fórmulas e funções e para a análise destes dados. 
Algumas das principais funções das planilhas eletrônicas possibilitam 
que você possa armazenar, manipular, calcular e analisar dados tais como 
números, textos e fórmulas. Pode acrescentar gráficos, diretamente, em 
sua planilha, elementos gráficos, tais como retângulos, linhas e caixas de 
texto, entre outros. Um exemplo de planilha eletrônica é o Excel.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E26
 ■ Gerenciador de banco de dados: módulo de um programa que provê a 
interface entre os dados de baixo nível armazenados num banco de dados 
e os programas de aplicação e as solicitações submetidas ao sistema. É de 
vital importância para as empresas. O gerenciador de banco de dados é 
responsável pelas seguintes tarefas:
 ■ Interação com o gerenciamento de arquivos. 
 ■ Cumprimento de integridade: os valores de dados armazenados 
num banco de dados precisam satisfazer certos tipos de restrições de 
consistência. 
 ■ Cumprimento de segurança: nem todo usuário do banco de dados 
necessita ter acesso a todo o banco de dados para impor requisitos de 
segurança de acesso aos dados.
 ■ Cópias de reserva (backup) e recuperação (restore): um computador, 
como qualquer outro dispositivo mecânico ou elétrico, está sujeito a 
falhas.
 ■ Controle de concorrência: se diversos usuários atualizam o banco de 
dados, concorrentemente, a consistência dos dados pode não ser mais 
preservada. Controlar a interação entre usuários simultâneos é outra 
atribuição do gerenciador de banco de dados.
 ■ Apresentação Gráfica: programa que, por meio de slides, apresenta deter-
minado tema em reuniões palestras ou mesmo em cursos, facilitando a 
comunicação.
 ■ Navegadores da internet: a finalidade elementar de um navegador é per-
mitir a visualização de conteúdos disponíveis na internet e redes internas. 
Para isso, basta que seja informado o endereço ao navegador. Devido à 
constante necessidade de oferecer mecanismos de segurança na navega-
ção, estabilidade, interatividade e velocidade na exibição de conteúdo, a 
escolha de um navegador passou a representar uma diferença significa-
tiva para os usuários.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
27
Os sistemas de Automação de Escritório exigem uma visão ampla das pessoas, 
pois, além de saber usar os aplicativos dos escritórios, essas pessoas precisam 
saber utilizar o que o aplicativo oferece para criar novas informações.
Após a automação das atividades realizadas nos escritórios, a organização 
das informações tornou-se mais rápida e mais confiável. O foco, então, passou 
para a busca e comparação de diversas alternativas para o mesmo problema, 
auxiliando o tomador de decisões. Com base nesta necessidade, surgiram os 
Sistemas de Apoio à Decisão.
Você sabe a diferença entre Dado, Informação e Conhecimento?
Dado: é a informação não tratada, representa um ou mais significados que,
isoladamente, não podem transmitir uma mensagem ou representar algum
conhecimento.
Informação: é um conjunto de dados tratados, devidamente ordenados e 
organizados de forma a terem significado.
Conhecimento: trata-se de várias informações organizadas, de forma lógica, 
e suficientes para criar um evento e o tornar possível por meio do entendi-
mento.
SISTEMAS DE INFORMAÇÃO GERENCIAIS (SIGS)
São Sistemas de Informação Gerencial (SIG) ou processos que fornecem as infor-
mações necessárias para gerenciar, com eficácia, as organizações. Um SIG gera 
produtos de informação que apoiam muitas necessidades de tomada de decisão 
administrativa e é o resultado da interação colaborativa entre pessoas, tecnolo-
gias e procedimentos, que ajudam uma organização a atingir suas metas. 
http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E28
Os sistemas de informações gerenciais estão relacionados às atividades de 
gestão, tendo como objetivo fornecer subsídios às diversas áreas funcionais da 
organização e oferecer assistência às tomadas de decisões para identificar e cor-
rigir problemas de competência gerencial. Além disso, também auxiliam no 
processo de planejamento e no controle empresarial, tratando os vários bancos 
de dados dos sistemas transacionais.
Um SIG pode incluir um software que auxilia na tomada de decisão, recur-
sos de dados, tais como bancos de dados, o hardware de um sistema de recursos, 
sistemas de apoio à decisão, sistemas especialistas, sistemas de informação exe-
cutiva, gestão de pessoas, gestão de projetos e todos os processos informatizados 
que permitem que a empresa funcione, eficientemente. É um sistema que dis-
ponibiliza a informação certa para a pessoa certa, no lugar certo, na hora certa, 
da forma correta e com o custo certo. 
Os SIG’s possuem uma multiplicidade de produtos de informação, que são 
apresentados por meio de relatórios que ajudam os gerentes com o fornecimento 
de dados e informações para a tomada de decisões. Os relatórios oferecidos por 
esses sistemas são: 
 ■ Relatórios programados: estes relatórios são uma forma tradicional de 
fornecimento de informações para os gerentes. Exemplos típicos desses 
relatórios são os relatórios de vendas diários e semanais ou demonstra-
tivos financeiros mensais. 
 ■ Relatório de exceção: são casos excepcionais de relatórios nos quais o 
gerente pode obter informações específicas. Como exemplo, um gerente 
de crédito pode receber um relatório que contém informações apenas 
sobre clientes que excedem os limites de crédito. 
 ■ Informes e respostas por solicitação: este tipo de relatório mostra as 
informações sempre que o gerente requisitar. Possibilitam, por meio de 
suas estações de trabalho, respostas imediatas, ou que encontrem e obte-
nham respostas imediatas. 
 ■ Relatórios em pilhas: as informações são empilhadas na estação de tra-
balho em rede do gerente. 
http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/
http://www.infoescola.com/administracao_/sistema-de-apoio-a-decisao/
http://www.infoescola.com/administracao_/sistema-de-informacao-executiva/
http://www.infoescola.com/administracao_/sistema-de-informacao-executiva/
http://www.infoescola.com/administracao_/sistema-de-informacao-gerencial/
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
29
Todas as funções de gestão, planejamento, organização, direção e controle são 
necessárias para o bom desempenho organizacional. Os sistemas de informa-
ção gerenciais são fundamentais para suportar estas funções, especialmente a 
de planejamento e controle. 
Os Sistemas de Informação Gerencial são parte integrante das estratégias 
empresariais, pois a comunicação e a informação são de grande valor nas orga-
nizações. A qualidade da decisão tomada pelo gerente dependeráda qualidade 
e relevância das informações disponíveis. Por isto, é muito importante investir 
em um SIG para oferecer informações rápidas, precisas e, principalmente, úteis, 
que garantirão uma estruturação de gestão diferenciada, o que resultará em van-
tagem competitiva sobre as demais empresas. 
SISTEMAS DE APOIO A DECISÃO (SAD)
Sistema de informação computadorizado que apoia as atividades de tomada de 
decisões organizacionais e de negócios. Um Sistema de Apoio à Decisão proje-
tado corretamente é baseado em software interativo destinado a ajudar os gerentes 
do nível tático e estratégico de uma organização a compilar informações úteis 
a partir de dados brutos, documentos, conhecimento pessoal e/ou modelos de 
negócios para identificar e resolver problemas e tomar decisões.
Os SAD são interativos, permitem aos usuários levantar suposições e incluir 
novos dados, realizar diferentes perguntas e refinar os rumos das ações a serem 
tomadas, constituindo, assim, o feedback do sistema.
As principais características dos SAD são:
 ■ Possibilidade de desenvolvimento rápido, com a participação ativa do 
usuário em todo o processo.
 ■ Facilidade para incorporar novas ferramentas de apoio à decisão, novos 
aplicativos e novas informações.
 ■ Flexibilidade na busca e manipulação das informações.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E30
 ■ Individualização e orientação para a pessoa que toma as decisões, com fle-
xibilidade de adaptação ao estilo pessoal de tomada de decisão do usuário.
 ■ Real pertinência ao processo de tomada de decisão, ajudando o usuário 
a decidir por meio de subsídios relevantes.
 ■ Usabilidade, ou seja, facilidade para que o usuário o entenda, use e modi-
fique, de forma interativa.
Os Sistemas de Apoio à Decisão também devem permitir várias decisões inde-
pendentes ou sequenciais, como:
 ■ Abranger todas as fases do processo de decisão: identificação, desenho, 
seleção e implementação.
 ■ Suportar uma variedade de processos de tomada de decisão.
 ■ Devem ser adaptativos ao longo do tempo e devem ser flexíveis para que 
os seus utilizadores possam acrescentar, eliminar ou mudar certos ele-
mentos chave.
 ■ Ser de fácil utilização, com fortes capacidades gráficas e com uma inter-
face utilizador-máquina que possa aumentar a sua eficiência.
 ■ Melhorar a eficiência das suas decisões (no nível da qualidade, tempo, 
exatidão) em vez de se preocupar com o custo dessas decisões.
Existem algumas vantagens e desvantagens de um SAD, conforme mostra o 
Quadro 2:
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
31
Quadro 2 - Vantagens e Desvantagens do Sistema de Apoio à Decisão
VANTAGENS DESVANTAGENS
• Rapidez.
• Ultrapassar limites cognitivos (por meio do 
computador).
• Redução de custos.
• Qualidade (obtenção do valor ótimo mais 
próximo dos nossos objetivos).
• Decisões mais eficazes.
• Decisões mais eficientes.
• Melhor comunicação entre os decisores.
• Melhor utilização do processo de aprendi-
zagem.
• Problema de ação.
• Orientação para escolha.
• Suposição da relevância da res-
posta do sistema.
• Transferência de poder ao siste-
ma que não é intencional.
• É mais difícil atribuir responsabi-
lidades.
Fonte: o autor.
Este sistema dá apoio e assistência em todos os aspectos da tomada de decisões 
sobre um problema específico.
SISTEMAS DE INFORMAÇÃO EXECUTIVA (SIE)
São sistemas que combinam muitas características dos sistemas de informação 
gerencial e dos sistemas de apoio à decisão e foram desenvolvidos com o objetivo 
de atender às necessidades de informações estratégicas da alta administração. 
Neste sistema, a informação é apresentada segundo as preferências dos executi-
vos, as quais enfatizam o uso de uma interface gráfica com o usuário e exibições 
gráficas, que possam ser personalizadas de acordo com as preferências de infor-
mação dos executivos que o utilizam. A ênfase do sistema como um todo é a 
interface fácil de usar e a integração com uma variedade de fontes de dados.
Segundo Pozzebon e Freitas (1996, p. 29), o SIE “[...] é uma solução em ter-
mos de informática que disponibiliza informações corporativas e estratégicas 
para os decisores de uma organização, de forma a otimizar sua habilidade para 
tomar decisões de negócios importantes”.
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E32
O sistema deve ser criado de maneira que sua operação seja intuitiva e dê 
legibilidade e compreensão dos resultados de forma instantânea, pois os execu-
tivos que tomam decisões estratégicas não dispõem do tempo necessário para 
realizar um treinamento em sistemas desenvolvidos, tradicionalmente, para usu-
ários de escalões mais baixos. 
Este tipo de sistema de informação tem como objetivo primordial ampliar 
as possibilidades de alternativas para problemas organizacionais, assim como 
permitir a exploração das informações disponíveis que possibilitem ao gestor 
traçar novos rumos e se comportar de maneira proativa face ao ambiente em 
que se encontra.
Um Sistema de Informação Executiva possui as seguintes características:
 ■ Destinam-se a atender às necessidades de informação dos executivos.
 ■ Possuem apresentação de dados por meio de recursos gráficos de alta 
qualidade.
 ■ Recuperam informações de forma rápida para a tomada de decisão.
 ■ Oferecem facilidade de uso, intuitivo, sem necessidade de treinamento 
específico em informática.
 ■ São desenvolvidos de modo a se enquadrarem na cultura da empresa e 
no estilo de tomada de decisão de cada executivo.
 ■ Filtram, resumem, acompanham e controlam dados ligados aos indica-
dores de desempenho dos fatores críticos de sucesso.
 ■ Utilizam informações do ambiente externo (concorrentes, clientes, for-
necedores, indústrias, governo, tendências de mercado).
 ■ Proporcionam acesso a informações detalhadas subjacentes às telas de 
sumarização organizadas numa estrutura top-down. 
Para que as organizações continuem competitivas, as informações são neces-
sárias para apoiar decisões e, por meio dos Sistemas de Informação Executiva, 
grandes quantidades de informação são apresentadas aos executivos de forma 
compacta e manejável.
Sistemas de Informação (SI)
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
33
Um SIE é bastante interativo, permitindo ao usuário obter relatórios que 
indiquem situações fora dos parâmetros estipulados pelos planos da empresa, 
além disso, permite que o executivo antecipe situações que alterem o panorama 
de negócios em que a organização atua. Algumas pessoas se confundem sobre 
quando utilizar e quem são as pessoas que devem utilizar os SIE, SAD e o SIG. 
No Quadro 3 consta um comparativo explicando sobre as diferenças que esses 
tipos de Sistemas de Informação possuem.
Quadro 3 - Comparativo entre modelos SIE, SAD e SIG
DIMENSÃO SIE SAD SIG
Foco
Acesso aos status 
indicadores de 
desempenho
Análise e apoio à 
decisão
Processamento de 
informações
Usuário 
 típico Executivos
Gerentes interme-
diários e analistas
Gerentes de nível 
médio
Objetivo Conveniência Eficácia Eficiência
Aplicação
Avaliação de de-
sempenho, acom-
panhamento de 
fatores críticos de 
sucesso
Tomada de decisão 
operacional
Controle de pro-
dução, projeção de 
vendas, análise 
de custos, etc.
Apoio 
oferecido à 
decisão
Indireto, problemas 
de alto nível e não 
estruturados
Apoio direto Direto ou indireto
Banco 
de dados Especial Especial Da empresa
Tipo de 
informação
Operações internas, 
tópicos críticos, 
informações exter-
nas, exceções
Informação de 
apoio para situa-
ções específicas
Relatório das ope-
rações internas, 
fluxo estruturado
Uso principal Acompanhamento econtrole
Planejamento, 
organização e 
controle
Controle
SISTEMAS DE INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
1U N I D A D E34
Os executivos esperam que a informática traga de fato o que precisam de 
modo operacionalmente simples e intuitivo, sem a necessidade de treina-
mento especial.
(José Davi Furlan, Ivonildo da Motta Ivo e Francisco Piedade Amaral)
DIMENSÃO SIE SAD SIG
Adaptação 
ao usuário
Adaptável ao estilo 
decisório do exe-
cutivo
Permite recursos de 
simulação, julga-
mento e escolha de 
estilos de diálogos
Normalmente 
nenhuma
Recursos grá-
ficos Essencial
Parte integrada de 
muitos SAD Desejável
Facilidadecon-
versacional Essencial Essencial Desejável
Tratamento das 
informações
Filtra e resume 
informações, apre-
sentando exceções 
e tópicos essenciais
Utiliza informações 
geradas pelo SIG 
ou SIE como input 
(entrada)
Sumariza e relata 
informações para 
serem tratadas 
pelos usuários
Detalhamento 
de informações
Acesso instantâneo 
aos detalhes de 
qualquer resumo
Podem ser progra-
mados
Inflexibilidade dos 
relatórios
Banco de 
modelos
Pode ser 
acrescentado Essência do sistema
Disponível, mas 
não gerenciável
Desenvolvi-
mento
Especialista em 
sistemas
Usuários, com trei-
namento oferecido 
pelos especialistas
Especialistas em 
sistemas
Fonte: Turban e Schaeffer (1991, p. 353).
Considerações Finais
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
35
CONSIDERAÇÕES FINAIS
Nesta unidade, ponderamos que, com o surgimento da informática, algumas 
organizações mudaram em seu aspecto estrutural, funcional, comportamental 
e de desempenho, com isso, elas passaram a valorizar um elemento que é pri-
mordial para sua sobrevivência, a informação. 
Estudamos, também, o significado da informação e como ela é importante 
para a sobrevivência de uma organização. Sem ela não é possível para o gestor 
tomar decisões que poderão garantir o futuro da empresa. Por meio dela, as orga-
nizações se tornaram cada vez mais competitivas, organizadas e aptas a responder 
às mudanças exigidas pelo cenário mundial. Com isso, os sistemas de informa-
ção também foram evoluindo de acordo com as necessidades organizacionais. 
Antes o processo era todo feito de forma manual e levava dias para se obter uma 
informação desejada, hoje, com a automatização dos sistemas de informação, 
é possível obter as informações desejadas em tempo real bem como tomar as 
decisões de forma mais rápida com o mínimo de erro possível. 
Foram apresentados, aqui, alguns tipos de sistemas de informação mais uti-
lizados pelas empresas, porém, existem vários outros que podem ser utilizados 
pela organização, de acordo com a necessidade de cada uma. Com o surgimento 
da informatização, devemos tomar várias precauções para que a informação das 
empresas não vá parar em mãos erradas, ou possa ser utilizada por outra pes-
soa de forma que o/a prejudique, a a seus clientes e fornecedores. Devido a isso, 
existem várias precauções que devem ser tomadas para garantir a segurança das 
informações, conforme veremos nos próximos capítulos.
36 
1. Proporciona benefícios específicos aos gerentes de todos os níveis da organiza-
ção porque os capacita a recuperar, manipular e exibir informações de bancos 
de dados integrados para tomar decisões específicas. Esta aplicação do uso da 
tecnologia da informação é conhecida como sistema de:
a. Automação de Escritório.
b. Registro de Informações.
c. Informações Executivas.
d. Processamento de Transações.
e. Apoio à decisão.
2. O que pode ser definido, tecnicamente, como um conjunto de componentes in-
ter-relacionados que coletam, processam, armazenam e distribuem informações 
destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma 
organização?
a. Tecnologia da informação.
b. Informação.
c. Sistema de informação.
d. Telecomunicações.
e. Processamento de dados.
3. Assinale a alternativa que descreve, ordenadamente, as funções de um sistema 
de informação.
a. Armazenamento, entrada, saída.
b. Entrada, saída, transmissão.
c. Entrada, processamento, saída.
d. Entrada, armazenamento, transmissão.
e. Armazenamento, processamento, saída.
37 
4. Sobre os objetivos organizacionais pelos quais as empresas investem em siste-
mas de informação. Observe as afirmações a seguir:
I. Atingir a excelência operacional (produtividade, eficiência e agilidade).
II. Desenvolver novos produtos e serviços.
III. Assegurar a sobrevivência.
IV. Melhorar sua relação com os fornecedore
Podemos afirmar que está(ão) correta(s):
a. Somente a I.
b. Somente I e II.
c. Somente I, III e IV.
d. Somente I, II e III.
e. Todas as afirmativas estão corretas.
5. Quais são as três dimensões dos sistemas de informação?
a. Tecnológica, Administrativa e Informativa.
b. Organizacional, Humana e Tecnológica.
c. Operacional, Organizacional e Administrativa.
d. Comunicativa, Administrativa e Humana.
e. Humana, Administrativa e Comunicativa.
6. Os _________ são sistemas ou processos que fornecem as informações neces-
sárias para gerenciar com eficácia as organizações, gerando informações que 
apoiam na tomada de decisão administrativa. Assinale a alternativa que preen-
che, corretamente, a lacuna.
a. Sistemas de Informação Executiva (SIE).
b. Sistemas de Apoio à Decisão (SAD).
c. Sistemas de Informação Gerencial (SIG).
d. Sistemas de Automação de Escritório (SAE).
e. Sistemas de Processamento de Transações (SPT).
MATERIAL COMPLEMENTAR
Sistemas de Informação e as decisões 
gerenciais na era da Internet
James A. O’Brien 
Editora: Saraiva
Sinopse: a obra fornece um conteúdo muito mais abrangente do que os 
textos tradicionais, abordando os diversos temas com exemplos, casos 
reais e inúmeros exercícios. O objetivo é permitir aos leitores em geral que 
compreendam, utilizem e gerenciem a tecnologia da informação para 
revitalização e aperfeiçoamento dos processos de tomada de decisão e empresariais como um 
todo, conquistando vantagem competitiva.
39 
O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NO AMBIENTE DE NEGÓCIOS
Para Laudon e Laudon (2001) Tecnologia da 
Informação se restringe somente aos aspec-
tos técnicos como hardware e software. 
Laurindo (2002) por sua vez, considera que 
o sucesso da gestão da área de Tecnologia 
da Informação, desenvolvimento, instala-
ção e operação de computadores e ainda 
sistemas de informação, não dependem 
somente da eficiência dos equipamen-
tos e softwares, obtida pelos analistas e 
engenheiros de projetos de tecnologia, 
mas dependem também da eficácia que 
compatibiliza os objetivos dos sistemas de 
informação e do uso dos computadores às 
necessidades da organização e dos usuários 
finais. A eficácia da Tecnologia da Informa-
ção depende da empresa e de sua estrutura 
organizacional, podendo inspirar a própria 
mudança estratégica do negócio. 
A inovação é o grande caminho para o 
sucesso na era digital. O caminho da ino-
vação nos negócios significa fazer algo 
diferente, mais inteligente, ou melhor, 
que fará uma diferença positiva em ter-
mos de valor, qualidade ou produtividade, 
utilizando comprovadas tecnologias do 
mundo. A Tecnologia da Informação (TI) 
mudou drasticamente a vida dos indiví-
duos e organizações. Atualmente compras 
on-line, marketing digital, redes sociais, 
comunicação digital e computação em 
nuvem são os melhores exemplos de 
mudanças que surgiram com ela. 
O sucesso de qualquer negócio depende 
de alguns fatores, por isso, é relevante que 
seja efetuada uma análise precisa para que 
se possa escolher a tecnologia certa para o 
sucesso da organização.
Estudos feitos de algumas décadas para 
cá, que as organizações que investiram em 
tecnologia aumentaram seus dados finan-
ceiros e aumentaram sua competitividade. 
A tecnologia da informação proporciona 
a oportunidade de analisar dados espe-
cíficos, comunicações rápidase aquisição 
de inteligência de mercado. A TI também 
fornece muitas ferramentas que podem 
resolver problemas complexos, ajudam a 
empresa a melhorar os processos de negó-
cios, auxiliam no planejamento futuro nas 
organizações, e o mais importante, garan-
tem que aumentam o crescimento das 
receitas, mantendo uma vantagem com-
petitiva no mercado.
Pode-se afirmar que a busca de vantagens 
competitivas é o principal motivo pelo qual 
as empresas utilizam a TI. Desde o início de 
sua utilização, buscava-se obter essa van-
tagem através da redução de custos por 
meio da automação e aumento da efici-
ência de processos. Em seguida, buscou-se 
a melhoria da qualidade das informações 
disponíveis para os gerentes médios, de 
maneira que pudessem controlar melhor 
as operações. Na etapa seguinte, busca-
40 
va-se utilizar a TI para gerar diferenciação 
competitiva, como a criação de barrei-
ras de entrada ou elevação dos custos de 
substituição por meio dos então chama-
dos sistemas estratégicos. A redução de 
custos, a melhoria no controle dos proces-
sos e a utilização de sistemas estratégicos 
estão diretamente ligadas à busca pela 
melhoria da competitividade da empresa. 
Mais recentemente, a integração das ativi-
dades da empresa por meio da chamada 
computação em rede busca melhorias 
na competitividade, beneficiando-se da 
melhor coordenação entre as diversas ati-
vidades da empresa.
No cenário atual no qual a globalização, o 
aumento da competitividade e a interliga-
ção de clientes e fornecedores em cadeias 
de suprimento são preponderantes, a uti-
lização de Tecnologia da Informação pode 
ser considerada como fator de sobrevivên-
cia da organização.
Torna-se difícil alcançar o sucesso comer-
cial de longo prazo sem alavancar os 
benefícios da tecnologia da informação 
na era digital. As empresas têm de supor-
tar um custo razoável para alcançar esse 
sucesso, porque o uso de uma aborda-
gem inovadora na estratégia de negócios, 
empregando profissionais de TI altamente 
treinados e a tomada der decisões certas 
no momento certo são o pré-requisito do 
sucesso do negócio. Como soluções de TI 
continuam a aumentar produtividade, efici-
ência e eficácia das operações de negócios 
e comunicação, as empresas continuarão a 
confiar em Tecnologia da Informação para 
seu sucesso. 
Fonte: adaptado de Borges, Parisi e Gil 
(2005).
GABARITO
41
1. E.
2. C.
3. C.
4. D.
5. B.
6. C.
U
N
ID
A
D
E 2
Professora Esp. Adriane Joyce Xavier
SEGURANÇA 
DA INFORMAÇÃO
Objetivos de Aprendizagem
 ■ Entender o conceito de Segurança de Informação.
 ■ Entender como as informações são classificadas para que possamos 
analisar o grau de sua importância para a organização.
 ■ Entender o que é uma ameaça e quais são as vulnerabilidades da 
Segurança da Informação.
 ■ Conhecer os riscos que podem ocorrer na segurança da informação e 
entender o que significa um incidente.
Plano de Estudo
A seguir, apresentam-se as aulas que você estudará nesta unidade:
 ■ Segurança da Informação
 ■ Classificação da Informação
 ■ Vulnerabilidades da Informação
 ■ Ameaças à Segurança da Informação
 ■ Risco
 ■ Incidente
 ■ Ataques à Segurança da Informação
INTRODUÇÃO
Conforme estudamos na aula anterior, o mundo moderno tem dedicado espe-
cial atenção à informação, devido à sua importância para a manutenção dos 
negócios e a realização de novos empreendimentos. A boa informação abre ver-
dadeiras oportunidades para quem a possui, o que torna o cenário dos negócios 
mais dinâmico e acirrado em busca de novos mercados, acordos internacio-
nais, poder e qualidade, entre outros. Isso gera a competitividade e transforma 
a informação no principal elemento motriz desse ambiente altamente compe-
titivo que requer, assim, proteção especial. Tudo isso atribui à informação um 
importante valor, transforma-a num ativo essencial aos negócios de uma orga-
nização, necessitando ser protegida. 
Vale ressaltar que, atualmente, a grande maioria das informações disponíveis 
nas organizações encontra-se armazenada e é trocada entre os mais variados sis-
temas automatizados. Dessa forma, por inúmeras vezes, decisões e ações tomadas 
decorrem das informações manipuladas por esses sistemas. Dentro deste con-
texto, toda e qualquer informação deve ser correta, precisa e estar disponível a 
fim de ser armazenada, recuperada, manipulada ou processada, além de poder 
ser trocada, de forma segura e confiável. Por esta razão, a segurança da informa-
ção tem sido uma questão de elevada prioridade nas organizações.
É possível inviabilizar a continuidade de uma instituição se não for dada a 
devida atenção à segurança de suas informações. Com a chegada dos computa-
dores pessoais e das redes de computadores, que conectam o mundo inteiro, os 
aspectos de segurança atingiram tamanha complexidade que há a necessidade de 
desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados. 
Para proteger a informação, a empresa precisa ter um processo organiza-
cional de segurança da informação, que tem por objetivo permitir e possibilitar 
que a organização funcione adequadamente, ao depender da informação e dos 
recursos de informação.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
45
Segurança da
Informação
Não Repúdio
Integridade Con�dencialidade
Autencidade Disponibilidade
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E46
SEGURANÇA DA INFORMAÇÃO
Conforme a NBR ISO/IEC 27002, (ABNT, 2005). Segurança da Informação é a 
proteção da informação quanto a vários tipos de ameaças, de modo a garantir a 
continuidade do negócio, minimizar o risco para o negócio, maximizar o retorno 
sobre o investimento e as oportunidades de negócio. 
A segurança da informação diz respeito à pro-
teção de determinados dados com a intenção 
de preservar seus respectivos valores para uma 
organização ou um indivíduo. Compreende um 
conjunto de medidas que busca proteger e pre-
servar informações e sistemas de informações, 
assegurando-lhes a confidencialidade, a integridade 
e a disponibilidade. Alguns autores ainda incluem 
outros aspectos de segurança, como o não repúdio e a 
autenticidade. Esses elementos constituem os pilares da 
segurança da informação (Figura 1) que devem ser leva-
dos em consideração, pois toda ação que venha a comprometer qualquer uma 
dessas qualidades estará atentando contra a sua segurança.
Figura 1-5 Pilares que compõem a Segurança da Informação
Fonte: o autor.
Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
47
 ■ Confidencialidade: informação que diz respeito ao direito de acesso. 
Ocorre a quebra da confidencialidade da informação ao se permitir que 
pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da con-
fidencialidade é a perda do segredo da informação. Medidas de segurança 
devem garantir que a informação esteja acessível apenas para quem tem 
permissão de acesso, evitando, assim, revelação não autorizada.
 ■ Integridade: garantir a integridade é permitir que a informação não 
seja modificada, alterada ou destruída sem autorização, que ela seja legí-
tima e permaneça consistente. Ocorre a quebra da integridade quando 
a informação é corrompida, falsificada, roubada ou destruída. Medidas 
de segurança devem garantir que a informação seja alterada somente por 
pessoas e/ou ativos associados autorizados e em situações que, efetiva-
mente, demandem a alteração legítima. 
 ■ Disponibilidade: acesso aos serviços do sistema/máquina para usuários 
ou entidades autorizadas. É a garantia de que os usuários autorizados 
obtenham acesso à informação e aos ativos correspondentes sempre que 
necessário. Ocorre a quebra da disponibilidade quando a informação não 
está disponívelpara ser utilizada, ou seja, ao alcance de seus usuários e 
destinatários, não podendo ser acessada no momento em que for neces-
sário utilizá-la. Medidas de segurança devem garantir que a informação 
esteja disponível, sempre que necessário, aos usuários e/ou aos sistemas 
associados que tenham direito de acesso a ela.
 ■ Autenticidade: diz respeito à certeza da origem da informação. Medidas 
de segurança devem garantir que a informação provém da fonte anun-
ciada e que não foi alvo de mutação ao longo de sua transmissão.
 ■ Não Repúdio: diz respeito à garantia de que o autor de determinada ação 
não possa negar tal ação. Medidas de segurança devem garantir meios 
que identifique, inequivocamente, o autor de uma ação.
A preservação da confidencialidade, integridade e disponibilidade da informação 
utilizada nos sistemas de informação requer medidas de segurança que, por vezes, 
são também utilizadas como forma de garantir a autenticidade e o não repúdio. 
Todas estas medidas, independentemente do seu objetivo, necessitam ser implemen-
tadas antes de o incidente ocorrer. As medidas de segurança podem ser classificadas, 
em função da maneira como abordam as ameaças, em duas grandes categorias: 
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E48
 ■ Prevenção: é o conjunto das medidas que busca reduzir a probabilidade 
de concretização das ameaças existentes. O efeito destas medidas extin-
gue-se quando uma ameaça se transforma num incidente. 
 ■ Proteção: é o conjunto das medidas que busca dotar os sistemas de infor-
mação com capacidade de inspeção, detecção, reação e reflexo, permitindo 
reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente.
Um Programa de Segurança bem estruturado deverá reduzir as vulnerabilida-
des dos sistemas de informação e fazer evoluir as suas capacidades de inspeção, 
detecção, reação e reflexo, assentando num conjunto universal de princípios que 
garanta o seu equilíbrio e eficiência.
CLASSIFICAÇÕES DA INFORMAÇÃO 
A classificação da informação contribui para a manutenção das principais carac-
terísticas da informação (confidencialidade, integridade e disponibilidade). A 
norma NBR ISO 27002(ABNT, 2005). não estabelece classificação para as infor-
mações, apenas recomenda que a informação seja classificada considerando-se 
valor, requisitos legais, sensibilidade e criticidade para a organização. 
A classificação das informações propostas por Beal (2005) para atender aos 
requisitos de Confidencialidade, disponibilidade, integridade e autenticidade, 
foram definidas da seguinte forma:
 ■ Confidencialidade: para os requisitos de confidencialidade são:
 ■ Confidencial: toda informação cuja divulgação para pessoas não auto-
rizadas pode causar danos graves à organização.
 ■ Reservada: informações que, no interesse da organização, devem ser 
de conhecimento restrito e cuja revelação não autorizada pode frus-
trar o alcance de objetivos e metas.
 ■ Pública: informações de livre acesso.
Classificações da Informação 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
49
 ■ Disponibilidade: orienta que a informação deve ser classificada de acordo 
com o impacto que a sua falta pode provocar para a empresa, podendo 
ser estabelecidas categorias para o tempo de recuperação (de minutos a 
semanas). Exemplifica, classificando-as por tempo de recuperação em: 
curto, médio, sem exigência e com exigência (sazonalidade).
 ■ Integridade classifica as informações em alta, média e baixa exigência 
de integridade.
 ■ Autenticidade: classifica-as quanto à exigência da verificação da 
autenticidade ou não, que podem ser, por exemplo, informações que 
devem ter a sua procedência confirmada antes da utilização, como 
no caso de um pedido de criação de senha de acesso a um sistema 
de informação.
Outra classificação possível é com relação ao grau de importância dos dados para 
os principais processos de negócios e o custo para a sua recuperação no caso da 
ocorrência de um evento ou desastre. Esses dados podem ser classificados em:
 ■ Crítico: dados ou documentos que devem ser mantidos por razões legais, 
para uso nos processo-chaves dos negócios, ou para uma mínima restau-
ração aceitável nos níveis de trabalho em um evento ou desastre. 
 ■ Vital: dados ou documentos que devem ser mantidos para uso nos proces-
sos normais e que representam um investimento substancial de recursos 
da companhia, que podem dificultar ou impossibilitar a sua recuperação, 
mas podem não ser necessários numa situação de recuperação de desas-
tre. Informações que necessitam de sigilo especial podem ser incluídas 
nesta categoria. 
 ■ Sensível: dados ou documentos que devem ser necessários nas ope-
rações normais, mas para os quais existem fornecimentos alternativos 
disponíveis em um evento de perda. Dados que podem ser reconstruí-
dos rapidamente, por completo, mas que possuem algum custo, podem 
ser classificados nesta categoria. 
 ■ Não crítico: dados ou documentos que podem ser reconstruídos facil-
mente com custo mínimo ou cópias de dados críticos, vitais e sensíveis, 
que não necessitem de pré-requisitos de proteção. 
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E50
Outro esquema de classificação das informações pode ser feito considerando-
-se os níveis estratégico, tático e operacional da empresa. Essa opção poderia 
considerar, por exemplo, que as informações do nível estratégico sejam classi-
ficadas como confidenciais (críticas ou vitais), as do nível tático como restritas 
(sensíveis), e as do nível operacional como sensível (algumas) e públicas ou 
ostensivas (não críticas). 
Como visto, a classificação tende a variar de organização para organização, 
sejam elas públicas sejam privadas, e a diferença está no critério a ser adotado. 
Em geral, a classificação da informação objetiva assegura um nível adequado de 
proteção, e o importante é que seja feita uma classificação que objetive preser-
var os requisitos fundamentais estabelecidos pela organização para a segurança 
das informações, durante o seu ciclo de vida.
VULNERABILIDADES DA INFORMAÇÃO
Vulnerabilidades são fragilidades que, de alguma forma, podem vir a pro-
vocar danos. A NBR ISO/IEC 27002(ABNT, 2005) define a vulnerabilidade 
como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada 
por uma ou mais ameaças. Beal (2005) define a vulnerabilidade como uma fra-
gilidade que poderia ser explorada por uma ameaça para concretizar um ataque.
Como verificado, as vulnerabilidades estão relacionadas, diretamente com 
as fragilidades que podem estar nos processos, políticas, equipamentos e nos 
recursos humanos. Por si só, elas não provocam incidentes, pois são elementos 
passivos, necessitando, para tanto, de um agente causador ou de condição favo-
rável, já que se trata de ameaças.
Hoje em dia, a internet é um dos principais pontos de invasão, o que demons-
tra que esta tecnologia tem contribuído para o aumento das vulnerabilidades. 
Outro ponto que desperta a atenção é que, apesar da evolução da segurança da 
Vulnerabilidades da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
51
informação, os ataques ainda permanecem em patamar preocupante, os vírus 
permanecem como a principal fonte de grandes perdas financeiras, seguido do 
acesso não autorizado.
Outro ponto de vulnerabilidade tem relação com os funcionários e prestadores de 
serviço. Sabemos que a fuga das informações e a sua exposição involuntária ocorrem 
em momentos simples do dia a dia da empresa, o que torna os recursos humanos 
uma das maiores preocupações para a implementação de políticase treinamentos 
voltados para a proteção das informações. Tudo isso demonstra o quanto existe de 
vulnerabilidade no ambiente de negócios bem como o tamanho da preocupação 
dos especialistas em segurança da informação com o crescimento da tecnologia. É 
certo que ela torna a vida mais prática e as informações mais acessíveis, proporcio-
nando conforto, economia de tempo e segurança, mas esta aparente segurança não 
é motivo de tranquilidade, pois a ausência de uma cultura da segurança das infor-
mações cria um ambiente vulnerável às informações, porque os mesmos benefícios 
que a tecnologia oferece são, também, utilizados para a prática de ações danosas 
às empresas, como visto nos argumentos apresentados anteriormente 
©shutterstock
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E52
A origem das vulnerabilidades pode advir de vários aspectos , como insta-
lações físicas desprotegidas contra incêndio, inundações e desastres naturais, 
material inadequado empregado nas construções, ausência de políticas de segu-
rança para RH, funcionários sem treinamento e insatisfeitos nos locais de trabalho, 
ausência de procedimentos de controle de acesso e de utilização de equipamen-
tos por pessoal contratado, equipamentos obsoletos, sem manutenção e sem 
restrições para sua utilização, software sem patch de atualização e sem licença 
de funcionamento, entre outros. 
Para melhor compreensão das vulnerabilidades, podemos classificá-las como: 
 ■ Naturais: estão relacionadas com as condições da natureza ou do meio 
ambiente que podem colocar em risco as informações. Podem ser: 
locais sujeitos a incêndios em determinado período do ano, locais 
próximos a rios propensos a inundações, terremotos, maremotos, 
furacões, entre outros. 
 ■ Organizacionais: dizem respeito a políticas, planos, procedimentos e a 
tudo mais que possa constituir a infraestrutura de controles da organi-
zação e que não seja enquadrado em outras classificações. Podem ser: 
ausência de políticas de segurança e treinamento, falhas ou ausência de 
processos, procedimentos e rotinas, falta de planos de contingência, recu-
peração de desastres e de continuidade, entre outros. 
 ■ Física: diz respeito aos ambientes em que estão sendo processadas ou 
gerenciadas as informações. Podem ser: instalações inadequadas, ausên-
cia de recursos para combate a incêndio, disposição desordenada dos 
cabos de energia e de rede, portas destrancadas, acesso desprotegido às 
salas de computador, entre outros. 
 ■ Hardware: possíveis defeitos de fabricação ou configuração dos equipa-
mentos que podem permitir o ataque ou a alteração dos mesmos. Exemplo: 
a conservação inadequada dos equipamentos, falta de configuração de 
suporte ou equipamentos de contingência, patches ausentes, firmware 
desatualizado, sistemas mal configurados, protocolos de gerenciamento 
permitidos por meio de interfaces públicas, entre outros. 
Vulnerabilidades da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
53
 ■ Software: são constituídos por todos os aplicativos que possuem pon-
tos fracos que permitem acessos indevidos aos sistemas de computador, 
inclusive sem o conhecimento de um usuário ou administrador de rede. 
Os principais pontos de vulnerabilidade encontrados estão na configura-
ção e instalação indevida, nos programas, inclusive, no uso de email, que 
permitem a execução de códigos maliciosos, editores de texto que per-
mitem a execução de vírus de macro.
 ■ Meios de armazenamento: são todos os suportes físicos ou magnéticos 
utilizados para armazenar as informações, tais como: disquetes, CD ROM, 
fita magnética, discos rígidos dos servidores e dos bancos de dados, tudo 
o que está registrado em papel. As suas vulnerabilidades advêm de prazo 
de validade e expiração, defeito de fabricação, utilização incorreta, local 
de armazenamento em áreas insalubres ou com alto nível de umidade, 
magnetismo ou estática, mofo, entre outros. 
 ■ Humanas: constituem a maior preocupação dos especialistas, já que o 
desconhecimento de medidas de segurança é a sua maior vulnerabilidade. 
Sua origem pode ser: falta de capacitação específica para a execução das 
atividades inerentes às funções de cada um, falta de consciência de segu-
rança diante das atividades de rotina, erros, omissões, descontentamento, 
desleixo na elaboração e segredo de senhas no ambiente de trabalho, não 
utilização de criptografia na comunicação de informações de elevada cri-
ticidade, quando possuídas na empresa.
 ■ Comunicação: incluem todos os pontos fracos que abrangem o tráfego 
das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de 
rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão rela-
cionados com a qualidade do ambiente que foi preparado para o tráfego, 
o tratamento, armazenamento e a leitura das informações, a ausência de 
sistemas de criptografia nas comunicações, a má escolha dos sistemas de 
comunicações para o envio da mensagem, os protocolos de rede não crip-
tografados, as conexões a redes múltiplas, os protocolos desnecessários 
permitidos, a falta de filtragem entre os segmentos da rede.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E54
AMEAÇAS À SEGURANÇA DA INFORMAÇÃO 
No ambiente atual, as empresas devem estar sempre atentas para as ameaças 
aos negócios corporativos, que, se concretizadas, poderão tirá-las deste cená-
rio, encerrando suas atividades para sempre. Com a automação dos sistemas 
de processamento e de armazenamento de informações, a própria informação 
torna-se mais susceptível às ameaças uma vez que ela (a informação) está mais 
acessível e disponível para usuários de uma forma geral.
Mas o que são ameaças? 
 Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas. A ISO/IEC 13335-1 define ameaças como 
a causa potencial de um incidente indesejado, que pode resultar em dano 
para um sistema ou para a organização.
Sêmola (2003) define ameaças como agentes ou condições que causam inci-
dentes que comprometem as informações e seus ativos, por meio da exploração 
de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e 
disponibilidade e, consequentemente, causa impactos aos negócios de uma 
organização. Para Beal (2005), ameaças são expectativas de acontecimento aci-
dental ou proposital, causado por agente, o qual pode afetar um ambiente, um 
sistema ou um ativo de informação.
Observa-se que as vulnerabilidades estão relacionadas com situações de fra-
gilidade existentes no ambiente ou nos ativos e que elas estão relacionadas com 
um incidente indesejado que, em decorrência dessas vulnerabilidades pode vir 
a provocar algum dano. 
As ameaças podem ser: 
 ■ Naturais: são aquelas que se originam de fenômenos da natureza, tais 
como terremotos, furacões, enchentes, maremotos, tsunamis.
 ■ Involuntárias: são as que resultam de ações desprovidas de intenção para 
causar algum dano. Geralmente, são causadas por acidentes, erros ou por 
ação inconsciente de usuários, tais como vírus eletrônicos, que são ativa-
dos pela execução de arquivo anexado às mensagens de e-mail.
Ameaças à Segurança da Informação 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
55
 ■ Intencionais: são aquelas deliberadas, que objetivam causar danos, tais 
como hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e 
furtos de informações, entre outras.
Fontes de diversas origens apresentam tipos de ameaças à informação, contudo o 
ponto referencial mais confiável refere-se às pesquisas sobre segurança da infor-
mação, as quais apresentam as principais ameaças que permeiam o ambiente das 
informações.Seguem alguns exemplos de ameaças e o impacto que elas causam:
Exemplo de a meaças:
 ■ Funcionários descontentes ou desmotivados.
 ■ Baixa conscientização nos assuntos de segurança.
 ■ Crescimento do procedimento distribuído e das relações entre profissio-
nais e empresa.
 ■ Aumento da complexidade e eficácia das ferramentas de hacking e do vírus.
 ■ E-mail.
 ■ Inexistência de planos de recuperação a desastres.
 ■ Desastres (naturais ou não, como incêndio, inundação, terremoto, 
terrorismo).
 ■ Falta de políticas e procedimentos implementados.
Exemplo de impacto:
 ■ Perda de clientes e contratos.
 ■ Danos à imagem.
 ■ Perda de produtividade.
 ■ Aumento no custo do trabalho para conter, reparar e recuperar.
 ■ Aumento de seguros.
 ■ Penalidade e multas.
Segundo IT Forum 365 (2015, on-lne)1, recente pesquisa realizada pela ESET 
sobre o mercado brasileiro, foi identificado que 65,18% das 224 empresas con-
sultadas admitem que já tiveram problemas com segurança.  O mais recorrente 
deles, citado por 83,56% das empresas, foi a infecção por códigos maliciosos 
(malware). Esta porcentagem representa quase o dobro da contabilizada nos 
demais países da América Latina, conforme mostra o Quadro 1.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E56
Quadro 1 - Ranking dos incidentes entre as empresas no Brasil e na América Latina
BRASIL AMÉRICA LATINA
Infecção por malware 83,56% 44%
Exploração de vulnerabilidades 19% 14%
Phishing 18% 15%
Acesso Indevido 9% 44%
Fraude interna 8% 12%
Indisponibilidade 7% 14%
Ataques DdoS 6% 16%
Nenhum 34,82% 25%
Fonte: IT Forum 365 (2015, on-line)1.
Os principais incidentes identificados nas organizações são:
 ■ Vazamento de informações.
 ■ Mau uso da tecnologia da informação.
 ■ Perda de informações.
 ■ Códigos maliciosos.
 ■ Falhas em equipamentos.
 ■ Tentativas de invasão.
 ■ Engenharia social.
 ■ Acesso não autorizado (lógico e físico).
Pelos dados de pesquisas efetuadas referentes à segurança da informação, obser-
va-se que, apesar da evolução da tecnologia da segurança da informação, as 
ameaças ainda permanecem em patamares que demandam bastante atenção, 
colocando em foco a eficácia das medidas de proteção ao longo desse período.
 Para melhor visualização da consolidação dessas ameaças, são apresenta-
das a seguir as principais ameaças da segurança da informação: 
 ■ Vírus, worm, cavalo de Troia (Trojan horse).
 ■ Phishing, pharming e spyware.
 ■ Adware, spam.
Ameaças à Segurança da Informação 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
57
 ■ Roubo de dados confidenciais da empresa e de cliente, da propriedade da 
informação e da propriedade intelectual.
 ■ Acesso não autorizado à informação. 
 ■ Perda de dados de clientes. 
 ■ Má conduta e acesso indevido à network por funcionários e gerentes bem 
como abuso de seus privilégios de acesso e utilização indevida da rede wireless.
 ■ Acesso e utilização indevida da internet e dos recursos dos sistemas de 
informação.
 ■ Software de má qualidade, mal desenvolvido e sem atualização.
 ■ Fraude financeira e de telecomunicações.
 ■ Interceptação de telecomunicação (voz ou dados) e espionagem.
 ■ Sabotagem de dados e da network.
 ■ Desastres naturais.
 ■ Ciberterrorismo.
Das ameaças citadas , observa-se que é dispensada uma atenção especial para os 
malware (códigos maliciosos). Os principais códigos maliciosos são: 
 ■ Vírus um programa ou parte de um programa de computador, o qual se 
propaga por meio de cópias de si mesmo, infectando outros programas 
e arquivos de computador.
 ■ Cavalos de Troia: um programa que executa funções maliciosas sem o 
conhecimento do usuário.
 ■ Adware: um tipo de software projetado para apresentar propagandas, seja 
por meio de um navegador (browser), seja com algum outro programa 
instalado em um computador.
 ■ Spyware: é um software espião que tem como objetivo monitorar ativi-
dades de um sistema e enviar as informações coletadas para terceiros.
 ■ Backdoors: são programas que procuram dar a garantia de retorno a um 
computador comprometido, sem utilizar novas técnicas de invasão, ou 
retornarem ao computador comprometido sem serem notados.
 ■ Keyloggers: são programas capazes de capturar e armazenar as teclas 
digitadas pelo usuário no teclado de um computador.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E58
 ■ Worms: é um programa capaz de se propagar , automaticamente, por meio 
de redes, enviando cópias de si mesmo de computador para computador.
 ■ Bots: é um programa capaz se propagar, automaticamente, explorando 
vulnerabilidades existentes ou falhas na configuração de softwares insta-
lados em um computador.
 ■ Botnets: são as redes formadas por computadores infectados com bots.
 ■ Rootkits: um conjunto de programas que utiliza mecanismos para escon-
der e assegurar a presença do invasor no computador comprometido.
Na próxima unidade do livro, você verá cada uma dessas ameaças e o que deve 
ser feito para evitá-las.
RISCO
O risco é compreendido como algo que cria oportunidades ou produz perdas, é 
a possibilidade de determinada ameaça se concretizar em algo que comprometa 
a informação, por meio de uma vulnerabilidade. É medido pela possibilidade de 
um evento vir a acontecer e produzir perdas.
O risco somente existirá se a probabilidade de uma vulnerabilidade for 
explorada e resultar no impacto da segurança da informação. Em decorrência 
disso, um risco é classificado de acordo com os três seguintes fatores: grau de 
Você sabe a diferença entre eficiência e eficácia?
A eficiência avalia como se faz, refere-se a alguém ou alguma coisa que dá 
ou obtém bons resultados. Algo ou alguém produtivo que origna bons re-
sultados com o mínimo de recurso possível. Eficácia refere-se a algúem ou 
algo que produz o efeito ou resultado esperado. Alguém ou algo capaz, útil, 
seguro, que realiza aquilo ao qual foi destinado. 
Risco
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
59
importância da vulnerabilidade, probabilidade de exploração dessa vulnerabi-
lidade e o impacto causado devido aos dois outros fatores.
Conforme definido anteriormente, o risco é representado pela combinação 
de dois elementos: a consequência e a probabilidade, variáveis podem ser repre-
sentadas pela seguinte equação:
R= C x P
R = risco; C = consequência; e P= frequência.
Geralmente, a frequência é estimada em dados históricos ou calculada com base 
na possibilidade de combinação de eventos externos, erros humanos e falhas de 
equipamentos e sistemas que mais contribuem para a ocorrência do risco. Uma 
opção para o auxílio do levantamento desses dados são as pesquisas acerca de 
segurança da informação, para que seja possível obter maior confiabilidade.
O risco pode ter várias origens, pode ser oriundo de eventos da natureza, 
pode ser decorrente de problemas técnicos bem como ser o resultado de uma 
ação intencional. Entender a sua origem e estabelecer uma classificação é um 
ponto facilitador para se compreender o risco.
Os riscos podem ser classificados em três categorias:
 ■ Naturais são aqueles oriundos de fenômenos da natureza.
 ■ Involuntários resultam de ações não intencionais, relacionados com vul-
nerabilidades humanas, físicas, de hardware, de software, dos meios de 
armazenamento e das comunicações.
 ■ Intencionais são aqueles derivados de ações deliberadas para causarem 
danos e têm sua origem no ser humano.
Esta classificação se dá com base na origem das ameaças e das vulnerabilida-
des, por meio delas é possível facilitar a compreensão do risco uma vez que fica 
mais clara a sua identificação, tornando mais direta a sua compreensão e o esta-
belecimento de açõespara o seu tratamento. É justamente essa capacidade de 
percepção e de entender os negócios, missão e ativos corporativos, que torna o 
processo de gerenciamento de riscos mais eficiente e eficaz.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E60
INCIDENTE
Segundo o ITIL, incidente é qualquer evento que não faz parte da operação padrão 
de um serviço e que pode causar uma interrupção do serviço ou ainda uma redu-
ção da sua qualidade. Um incidente pode ser definido como qualquer evento 
adverso, confirmado ou em suspeita, relacionado à segurança da informação, 
levando a perda de um ou mais princípios básicos de Segurança da Informação
 ■ Alguns exemplos de incidentes de segurança:
 ■ Tentativas de ganhar acesso não autorizado a sistemas ou dados.
 ■ Ataques de negação de serviço.
 ■ Uso ou acesso não autorizado a um sistema.
 ■ Modificações em um sistema, sem conhecimento, sem instruções ou sem 
consentimento prévio do dono do sistema.
 ■ Desrespeito à política de segurança ou à política de uso aceitável de uma 
empresa ou provedor de acesso.
Alguns exemplos de incidentes de acesso não autorizados e, tecni-
camente, estimulados incluem:
 ■ Ataques de estouro de buffer (ou  transbordamento 
de dados) para tentar ganhar privilégios de um usuário 
específico (ex.: administrador).
 ■ Exploração de  vulnerabilidades de 
protocolos. 
 ■ Outros tipos de tentativas de elevar 
privilégios.
 ■ Falhas em sistemas operacionais.
São situações que representam riscos justa-
mente por abrirem a possibilidade da existência de ações intencionais de violação 
do acesso à informação e, portanto, devem ser observadas. 
http://www.lasca.ic.unicamp.br/srac/SdS - Vulnerabilidades e Ataques.pdf
http://www.lasca.ic.unicamp.br/srac/SdS - Vulnerabilidades e Ataques.pdf
Ataques À Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
61
ATAQUES À SEGURANÇA DA INFORMAÇÃO
Ataque é qualquer tentativa de destruir, expor, alterar, inutilizar, roubar, ganhar 
acesso não autorizado, ou fazer uso não autorizado de uma informação. É a explo-
ração de uma falha de um sistema informático para fins não conhecidos pelo 
explorador dos sistemas e, geralmente, prejudiciais à organização.
Para enfrentar os ataques, é indispensável conhecer os principais tipos de ata-
ques a fim de recorrer a disposições preventivas. Os motivos dos ataques podem 
ocorrer por diversas finalidades: 
 ■ Obter um acesso ao sistema. 
 ■ Roubar informações, como segredos industriais ou propriedades 
intelectuais.
 ■ Recuperar informações pessoais sobre um usuário (utilizador). 
 ■ Roubar dados bancários.
 ■ Informar-se sobre a organização (dados da empresa). 
 ■ Perturbar o bom funcionamento de um serviço. 
 ■ Utilizar o sistema do utilizador como “salto” para um ataque.
 ■ Utilizar os recursos do sistema do utilizador, nomeadamente, quando a 
rede sobre a qual está situado possui uma banda corrente elevada.
Os ataques podem ser classificados em quatro tipos, são eles:
 ■ Interrupção: afetará, diretamente, a disponibilidade da informação, 
fazendo com que ela seja inacessível. Seu propósito é meramente preju-
dicar a informação entre as partes interessadas pela informação.
 ■ Interceptação: afetará a confidencialidade da informação, e o invasor 
lerá e monitorará o tráfego de informação, antes de a mensagem chegar 
ao seu destino final.
 ■ Modificação: afetará a integridade da informação. Ocorre a alteração da 
mensagem que está sendo transmitida.
 ■ Fabricação: afetará a autenticidade da informação. O atacante se passa 
por um usuário do sistema com o objetivo de obter informações e trans-
mitir dados na rede.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E62
Os ataques também podem ser classificados em dois tipos: 
 ■ Ataques Ativos: o invasor prejudica o sistema atingindo os dados ou 
degradando os serviços, as informações são alteradas com a intenção de 
danificar ou destruir os dados ou a própria rede. Neste momento, utili-
zam-se os dados coletados no ataque passivo para, por exemplo, derrubar 
um sistema, infestar o sistema com malwares, realizar novos ataques a 
partir da máquina-alvo ou, até mesmo, destruir o equipamento. 
 ■ Ataques Passivos: leitura ou coleta de informações não autorizada. Nada 
acontece ao conteúdo da informação, envolve apenas monitorar a troca 
de informações sem ser percebido. O sistema continua sem a percepção 
de ter um invasor na rede.
Alguns dos tipos mais comuns de ataques são:
Vírus 
Os ataques a computador mais famosos são os de vírus que se instalam nos 
computadores e se espalham para os outros arquivos do sistema. Muitas vezes, 
espalham por meio de discos rígidos externos ou de determinados sites da 
Internet ou, ainda, por meio de anexos de e-mail. São arquivos maliciosos que 
podem replicar-se, automaticamente, e criar brechas nos computadores invadi-
dos. Disseminam-se por meio de redes sem segurança.
Password Cracking
São programas utilizados para descobrir senhas dos usuários. O método mais 
comum utilizado é chamado ataque brute force, ou força bruta que consiste em 
gerar combinações de senhas a cada segundo e testá-las em um local, geralmente, 
um site que contenha campos de login e senha, ou somente senha. As senhas 
são geradas a partir de um algoritmo e testadas no momento em que surgem, 
podendo demorar anos ou minutos até que a senha desejada seja encontrada. 
Quanto mais complexa for a senha, mais tempo demorará para ser descoberta.
Ataques À Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
63
Cavalo de Troia
Conhecido como Trojan, este é um programa disfarçado que executa algumas 
tarefas maliciosas. Na lista de ataques informáticos, cavalos de Troia se clas-
sificam logo após o vírus. Muitas vezes, eles se disfarçam em um pedaço de 
software, proteção de tela, ou em um jogo, que parece funcionar normalmente. 
No entanto, uma vez que eles são copiados para o sistema, infectarão o sistema 
com um vírus ou rootkit. Em outras palavras, atuam como portadores de vírus 
para infectar o sistema.
Worms
Os worms podem ser chamados primos de vírus. A diferença entre eles é que 
os worms infectam o sistema, sem qualquer tipo de assistência do usuário. São 
arquivos maliciosos que podem replicar-se, automaticamente, e criar brechas 
nos computadores invadidos. Disseminam-se por meio de redes sem segurança.
Espionagem 
A maioria das comunicações de rede ocorre em um formato inseguro que permite 
a um invasor interpretar a conversa entre dois computadores. Pode ocorrer em 
um sistema fechado ou por meio da internet. A capacidade de um intruso para 
monitorar a rede é, geralmente, o maior problema de segurança que os admi-
nistradores enfrentam em uma empresa. Sem serviços de criptografia fortes, os 
dados podem ser lidos por outras pessoas, uma vez que atravessa a rede de dados. 
Ataques baseados em senha 
Um dos tipos mais comuns de ataques cibernéticos são ataques baseados em 
senha. Isso significa que seus direitos de acesso a um computador e a recursos 
de rede são determinados por quem você é, ou seja, o seu nome de usuário e sua 
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E64
senha. Quando um atacante encontra uma conta de usuário válida, o atacante 
tem os mesmos direitos que o usuário real. Portanto, se o usuário tem direitos 
de administrador, o invasor também pode criar contas de acesso posterior em 
um momento posterior. Depois de ganhar acesso à sua rede com uma conta 
válida, um atacante pode : 
 ■ Obter listas de utilizador válido e nomes de computador e, ainda,infor-
mações de rede. 
 ■ Modificar configurações do servidor e de rede, incluindo controles de 
acesso e tabelas de roteamento. 
 ■ Modificar, redirecionar ou apagar seus dados. 
Ataque de negação de serviço 
Ao contrário de um ataque baseado na senha, o ataque de negação de serviço 
impede o uso normal do computador ou rede por usuários válidos. O atacante 
pode não ter. necessariamente. o acesso à rede, mas assegura que o utilizador 
não é capaz de utilizar o sistema. Este é um dos tipos de ataques muito difícil de 
evitar. Quando ganha acesso à sua rede, o atacante pode: 
 ■ Randomizar a atenção da equipe interna de Sistemas de Informação para 
que eles não vejam a intrusão, imediatamente, permitindo, dessa forma, 
que o atacante possa fazer vários ataques enquanto a atenção da equipe 
esteja desviada. 
 ■ Enviar dados inválidos para aplicações ou serviços de rede, o que pro-
voca a rescisão ou o comportamento das aplicações ou serviços anormais. 
 ■ Inundar um computador ou toda a rede com tráfego até um desligamento 
ocorrer por causa da sobrecarga. 
 ■ Bloquear o tráfego, o que resulta em perda de acesso aos recursos de rede 
por usuários autorizados. 
Ataques À Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
65
Uma das técnicas mais utilizadas para ataque é conhecida como Engenharia 
Social. Ela designa a arte de manipular pessoas a fim de coletar informações 
com o intuito de descobrir falhas na segurança. As fontes de coletas das infor-
mações podem ser telefone, correio eletrônico, correspondência tradicional e 
até o contato direto.
A Engenharia Social é baseada na utilização da força de persuasão e na explo-
ração da ingenuidade das pessoas. Geralmente, os métodos de engenharia social 
ocorrem da seguinte forma:
 ■ Vaidade pessoal e/ou profissional: o ser humano costuma ser mais 
receptivo à avaliação positiva e favorável aos seus objetivos, aceitando, 
basicamente, argumentos favoráveis à sua avaliação pessoal ou profis-
sional ligadas, diretamente, ao benefício próprio ou coletivo, de forma 
demonstrativa.
 ■ Autoconfiança: buscam transmitir em diálogos individuais ou coletivos 
o ato de fazer algo bem, procurando transmitir segurança, conhecimento, 
saber e eficiência, bem como criar uma estrutura base para o início de 
uma comunicação ou ação favorável a uma organização ou indivíduo.
 ■ Formação profissional: o ser humano busca valorizar sua formação e suas 
habilidades adquiridas na faculdade, buscando o controle em uma comu-
nicação, uma execução ou uma apresentação, seja profissional seja pessoal, 
e o reconhecimento pessoal, inconscientemente, em primeiro plano.
 ■ Vontade de ser útil: comumente, procuramos agir com cortesia bem 
como ajudar os outros quando necessário.
 ■ Busca por novas amizades: costumamos agradar a nós mesmos e nos 
sentirmos bem quando elogiados, ficando mais vulneráveis e abertos a 
ceder informações.
 ■ Propagação de responsabilidade: trata-se da situação na qual o ser 
humano considera que não é o único responsável por um conjunto de 
atividades.
SEGURANÇA DA INFORMAÇÃO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
2U N I D A D E66
 ■ Persuasão: considerada quase uma arte a capacidade de persuadir 
pessoas para obter respostas específicas. Isto é possível porque as 
pessoas possuem características comportamentais que as tornam 
vulneráveis à manipulação.
Na maioria das vezes, temos a sensação de extrema complexidade e o custo para 
garantir e manter os pilares da segurança da informação, porém existem contra-
medidas bastante simples e de fácil implantação que trazem um retorno eficiente 
a um custo, na maioria das vezes, muito baixo.
Segurança da Informação é como uma corrente cuja força é medida pelo 
seu elo mais fraco.
(José Davi Furlan, Ivonildo da Motta Ivo e Francisco Piedade Amaral)
Considerações Finais
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
67
CONSIDERAÇÕES FINAIS
Nesta unidade, vimos que, com o crescente aumento das tecnologias de infor-
mação e com a rápida disseminação dela, aumentaram, também, os crimes 
relacionados, e surgiu a necessidade de manter as informações das organizações 
livre de riscos e perigos que possam danificá-la.
As empresas precisam estar um passo à frente das pessoas mal-intencionadas 
e se precaverem de forma que seus dados e suas informações não sejam coloca-
dos em perigo. A segurança da informação deve ser usada como arma estratégica 
para as organizações, pois, seguindo as normas da segurança da informação, é 
possível manter as informações de forma segura e idônea, reduzindo bastante 
os riscos de perda, extravio ou roubo de informações.
Vivemos na sociedade da informação, na qual quem possui maior conheci-
mento ou mais informação tende a sair na frente, ademais a informação é uma 
arma estratégica em todas as empresas, portanto, se uma organização almeja 
ter suas informações livre de riscos e perigos, deve se precaver usando técnicas 
de segurança da informação, como medidas de prevenção contra possíveis ata-
ques à empresa. Dessa forma, a segurança da informação passa a ser mais do 
que apenas uma preocupação do pessoal da informática e se torna fundamen-
tal para todos os membros da organização. 
É importante salientar que, embora nenhum modelo de segurança seja 100% 
seguro, deve-se sempre procurar a excelência de modo que se alcance, pelo menos, 
a minimização dos prejuízos causados por invasões. O reconhecimento de que a 
proteção é necessária, a identificação de qual tipo e nível de proteção se deseja, a 
participação da alta administração e o comprometimento de todos os usuários 
são passos essenciais para que as políticas de segurança sejam realmente eficazes.
No próximo capítulo, veremos quais os procedimentos devem ser tomados 
para prevenir os frequentes ataques e as ameaças que ocorrem nas organizações.
68 
1. A Segurança da Informação (SI) está associada a um conjunto de atributos bá-
sicos que devem ser respeitados na análise e o planejamento de mecanismos e 
procedimentos para proteção. Sobre esses atributos da Segurança de Informa-
ção, considere a lista a seguir:. 
I. Autenticidade. 
II. Confidencialidade. 
III. Conformidade. 
IV. Integridade.
Podemos afirmar que:
a. I, II, III e IV estão corretas.
b. Somente I, II e III estão corretas.
c. Somente I está correta.
d. Somente I e II estão corretas.
e. Nenhuma das afirmativas está correta.
2. Assinale a alternativa que nomeia um dos princípios básicos da segurança da in-
formação garantindo que a informação não seja alterada, durante seu percurso, 
da origem ao seu destino. 
a. Integridade.
b. Disponibilidade.
c. Autenticidade.
d. Confidencialidade.
e. Não Repúdio.
3. Quanto à classificação da informação, é correto afirmar: 
a. O proprietário e a classificação da informação devem ser acordados e docu-
mentados para cada um dos ativos de informação. O mesmo nível de proteção 
deve ser identificado e aplicado a todos os ativos de informação. 
b. Um sistema de classificação da informação deve ser usado para definir um 
conjunto apropriado de níveis de proteção e determinar a necessidade de me-
didas especiais de tratamento. 
c. A informação deve ser classificada, exclusivamente, em termos do seu valor, 
sua sensibilidade e criticidade para a organização. 
69 
d. A responsabilidade de definir a classificação de um ativo, analisá-lo e assegu-
rar que ele esteja atualizado e no nível apropriado é de todos os funcionários 
da organização. 
e. A informação nunca deixa de ser sensível ou crítica, mesmo quando se torna 
pública.
4. Sobre segurança da informação, considere: 
I. Ameaça: algo que possa provocar danos à segurança da informação, prejudi-
car as ações da empresa e sua sustentação no negócio, mediante aexploração 
de determinada vulnerabilidade. 
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o 
dano potencial à empresa. 
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas infor-
mações corrompidas. 
Está correto o que consta em:
a. II e III.
b. I e II.
c. I e III.
d. I.
e. III.
5. Quanto ao incidente de segurança de informação, é correto afirmar:
a. É a possibilidade de determinada ameaça se concretizar em algo que compro-
meta a informação, por meio de uma vulnerabilidade.
b. Pode ser definido como qualquer evento adverso, confirmado ou em suspeita, 
que pode levar à perda de um ou mais princípios básicos de Segurança da 
Informação.
c. Engloba todos os suportes físicos ou magnéticos utilizados para armazenar as 
informações.
d. É constituído por todos os aplicativos que possuem pontos fracos e que per-
mitem acessos indevidos aos sistemas de computador, inclusive, sem o conhe-
cimento de um usuário ou administrador de rede.
e. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma 
ou mais ameaças.
70 
ESTUDO REVELA AUMENTO DOS RISCOS DE SEGURANÇA DE DADOS DE 
PAGAMENTOS 
A pesquisa global foi conduzida pelo 
Ponemon Institute, a pedido da Gemalto, 
empresa de segurança digital com mais 
de 3,7 mil profissionais de segurança de TI 
em 10 países. O levantamento identificou 
a expectativa de os pagamentos via dis-
positivos móveis dobrarem nos próximos 
dois anos. E ainda a necessidade crítica de 
as organizações melhorarem suas práticas 
de segurança de dados de pagamentos. 
De acordo com o estudo, 54% dos entrevis-
tados disseram que sua empresa enfrentou 
casos de violação de segurança ou de dados 
envolvendo pagamento, em média quatro 
vezes nos últimos dois anos. Isso não é uma 
surpresa, considerando os investimentos, as 
práticas e os procedimentos de segurança 
destacados pelos entrevistados.
Mais de 50% dos entrevistados disse-
ram que não sabiam onde os dados de 
pagamento estavam armazenados ou 
localizados. A propriedade da segurança 
dos dados de pagamento não é centrali-
zada, e 28% dos entrevistados disseram 
que a responsabilidade está com o CIO; 
26% afimaram que está com uma unidade 
de negócios; 19% com o departamento de 
compliance; 15% com o Chief Information 
Security Officer (CISO) e 14% com outros 
departamentos.
Na avaliação de 54% dos participantes, a 
segurança dos dados de pagamento não 
é uma das cinco principais prioridades de 
segurança para a empresa. E somente um 
terço (31%) sente que a empresa direciona 
recursos suficientes para proteger os dados 
de pagamento.
Um dado curioso é que 59% afirmaram que 
sua empresa permite que terceiros aces-
sem os dados de pagamentos e que desses, 
somente 34% utilizam a autenticação mul-
tifator para proteger o acesso.
Menos da metade dos entrevistados (44%) 
disseram que suas empresas usam cripto-
grafia de ponta a ponta para proteger os 
dados de pagamento desde o ponto de 
venda, até quando eles são armazenados 
e/ou enviados para a instituição financeira.
Grande parte (74%) afirma que suas empre-
sas não cumprem os PCI DSS (Payment Card 
Industry Data Security Standard) ou cum-
prem apenas parcialmente.
Fonte: Calvo (2016, on-line)2. 
Material Complementar
MATERIAL COMPLEMENTAR
Segurança da Informação - O usuário faz a diferença
Autor: Edison Luiz Gonçalves Fontes
Editora: Saraiva
Sinopse: o livro explica o que é segurança da informação, a razão de sua 
existência e alguns procedimentos básicos e necessários para garanti-
la dentro de uma organização. Repleto de exemplos, modelos e casos 
publicados, reúne a experiência do autor em três frentes distintas: das 
corporações, das consultorias e da academia.
GABARITO
1. A.
2. A.
3. C.
4. B.
5. B.
U
N
ID
A
D
E 3
Professora Esp. Adriane Joyce Xavier
SEGURANÇA 
INFORMÁTICA
Objetivos de Aprendizagem
 ■ Entender o conceito de Segurança Informática.
 ■ Conhecer os ataques que podem ocorrer na informática.
 ■ Conhecer quais os mecanismos que podem ser utilizados para 
proteger a informação.
 ■ Conhecer a importância de ter uma política de segurança da 
informação em uma organização.
Plano de Estudo
A seguir, apresentam-se as aulas que você estudará nesta unidade:
 ■ Segurança Informática
 ■ Mecanismos de Segurança da Informação
 ■ Política de Segurança da Informação
INTRODUÇÃO
A importância da informática, nos dias de hoje, é indiscutível. Milhões de pessoas 
utilizam, diariamente, os computadores nas mais variadas áreas e para as mais 
variadas funções e ganhou uma maior importância estratégica no mundo dos 
negócios. A partir dos anos 60 até os dias atuais, a informática tem sido aplicada 
nas organizações, nos mais diversos setores. As organizações requerem tecnolo-
gia de informação cada vez mais complexas e sofisticadas, muito além do simples 
tratamento de dados. Desde a informatização, todas as informações de determi-
nada área dentro da organização estão interligadas por meio dos computadores. 
Outra tecnologia muito utilizada hoje pelas organizações é a internet. 
Com a utilização dela existe a troca interativa de informações em que cada 
vez mais as organizações abrem o seu sistema de informação a seus parceiros 
e fornecedores e, em decorrência desta prática, torna-se necessário conhecer 
os recursos existentes para proteger, controlar o acesso e os direitos dos utili-
zadores do sistema de informação.
Todas essas tecnologias utilizadas nos dias de hoje, como internet, correio 
eletrônico, mensagens instantâneas, entre outros, trazem imensas vantagens para 
a organização, porém, é necessário cuidar para que essas informações não sejam 
perdidas ou até roubadas, e para isso, é necessário que as organizações pensem 
na segurança informática.
A segurança informática é uma das etapas mais importantes na informá-
tica, pois com ela é possível reduzir possíveis ataques aos sistemas empresariais 
e domésticos. 
A seguir, tratarei sobre a segurança informática e quais os meios e as tec-
nologias que devem ser utilizados para manter em segurança a informação e os 
equipamentos de informática de uma organização.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
75
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E76
SEGURANÇA INFORMÁTICA
A Segurança Informática ou Segurança de Computadores é responsável pela pro-
teção da integridade e da privacidade das informações armazenadas num sistema 
informático. Ela está intimamente relacionada com a Segurança da Informação, 
incluindo, não apenas, a segurança de dados/informação, mas também a segu-
rança de sistemas (softwares) e equipamentos em si. Esta é, sem dúvida, uma 
das áreas mais importantes dentro de uma organização e deve ser vista com a 
mesma atenção com que se olha para outros bens da empresa, como documen-
tos, equipamentos, entre outros.
Apesar de muitas organizações pensarem que segurança da informação tra-
ta-se apenas de um antivírus ou do controle de acesso de usuários, a segurança 
da informação é algo muito mais complexo e abrange diversos aspectos. É neces-
sário pensar na segurança física e lógica de todos os recursos existentes dentro 
da organização, em proteção dos equipamentos, sejam eles servidores, computa-
dores, equipamentos de redes sejam meramente dados, e na prevenção de falhas, 
seja criando redundância nos sistemas seja por meio de sistemas que facilitem 
a recuperação após as falhas ocorridas.
©shutterstock
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
77
De qualquer modo, não existe nenhuma técnica que permita assegurar 
a inviolabilidade de um sistema, este pode ser protegido do ponto de vista 
lógico, com o desenvolvimento de softwareou físico, em termos de manuten-
ção elétrica, por exemplo. Além do mais, as ameaças podem vir de programas 
maliciosos que se instalam no computador do usuário, como um vírus, ou che-
gar por via remota, por meio infratores que se ligam à Internet e entram em 
diferentes sistemas. Entre as ferramentas mais comuns de segurança informá-
tica, encontram-se os programas antivírus, firewall, encriptação da informação 
e uso de senhas de acesso (passwords).
Um sistema seguro deve: ser íntegro, e o acesso a mudanças nas informa-
ções somente feita por pessoas autorizadas; ser confidencial, os dados têm de 
ser legíveis apenas para os utilizadores autorizados; ser irrefutável, e o utilizador 
não tem forma de negar as ações que tenha realizado e ter boa disponibilidade, 
devendo ser estável. No entanto, como na maioria dos âmbitos de segurança, o 
essencial continua a ser a capacitação dos utilizadores. Uma pessoa que saiba 
como se proteger das ameaças saberá usar os seus recursos da melhor forma pos-
sível para evitar ataques ou acidentes.
Em outros termos, pode-se dizer que a segurança informática tem como 
objetivo assegurar que os recursos de um sistema de informação possam ser 
usados conforme uma organização ou um utilizador o tenha decidido, sem 
qualquer interferência.
MECANISMOS DE SEGURANÇA DA INFORMAÇÃO
Os mecanismos de Segurança da Informação são mecanismos projetados para 
detectar, prevenir ou se recuperar de um ataque de Segurança e são responsá-
veis pela concretização das políticas de segurança, nos sistemas computacionais. 
Desta forma, as políticas de segurança e os comportamentos que recomendam 
são implantados por mecanismos de segurança da informação cujos mecanis-
mos exercem os controles físicos e/ou lógicos necessários para garantir que as 
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E78
propriedades de segurança sejam mantidas em conformidade com as 
necessidades do negócio.
Os modelos de segurança da informação correspondem a descri-
ções formais do comportamento de um sistema que atua segundo 
regras de uma política de segurançae são representados na 
forma de um conjunto de entidades e relacionamentos.
Existem dois tipos de controles que podem 
ser efetuados com relação à segurança 
informática, que são os físicos e os 
lógicos.
CONTROLES FÍSICOS
Controles físicos são conjuntos de medidas que devem ser tomadas para garantir a 
segurança e a existência de algum produto contra roubo, espionagem, sabotagem 
ou algum outro dano. São barreiras que limitam o contato ou acesso direto à infor-
mação ou à infraestrutura (que garante a existência da informação) que a suporta. 
Quando se fala em proteger os recursos a nível físico, deve-se levar em conta 
vários tipos de ameaças, e, de acordo com Carneiro (2002), as principais são:
 ■ Desastres naturais, incêndios acidentais, trovoadas e inundações.
 ■ Ameaças ocasionadas por elementos humanos.
 ■ Distúrbios, sabotagens internas e externas deliberadas.
Para evitar tais ameaças e garantir a segurança física, devem ser considerados 
vários aspectos dentre os quais se destacam: 
 ■ Localização geográfica das instalações: deve-se levar em consideração a 
localização em que será instalado o centro de informática. Deve cuidar 
para que não seja instalado próximo a esgotos ou a condutas de água, que 
seja em local onde possa ser, facilmente, monitorado, deverá existir sis-
tema de detecção e combate a incêndios, entre outros.
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
79
 ■ Controle de acesso: permite acesso apenas a pessoas autorizadas.
 ■ Segurança do equipamento: deve-se definir um conjunto de procedimentos 
que permitam manter os recursos informáticos em segurança, particular-
mente os equipamentos que suportam atividades críticas.
Além de todas estas formas de proteção dos equipamentos informáticos, Carneiro 
(2002) acrescenta que estes devem ser, periodicamente, sujeitos a uma verificação 
técnica e monitorizado o seu estado de conservação e de limpeza. Todos estes 
mecanismos de defesa do controle de acesso físico permitem evitar o arromba-
mento físico, ou seja, evitar este tipo de ataque que acontece quando há acesso 
físico não autorizado ao departamento dos recursos de TI, podendo atentar à 
integridade física das máquinas. Do mesmo modo que se preocupa em garan-
tir a segurança física, dados/informações também devem estar protegidos, daí 
a importância do controle de segurança lógica.
CONTROLES LÓGICOS
Segundo Carneiro (2002), a segurança lógica refere-se à segurança da utilização 
do software, proteção dos dados, dos processos e programas e do acesso autori-
zado dos utilizadores. Isso mostra que, sem a segurança lógica, toda informação 
de uma organização fica exposta aos vários tipos de ataques e, por isso, deverá 
ser criado um conjunto de medidas que impeça o acesso indevido a informa-
ções, seja no local seja remotamente. 
Para garantir a segurança lógica, existem vários aspectos a serem levados 
em consideração: autenticação e autorização (controle de acesso) e combate a 
ataques e invasões (firewall, detecção de intrusões, antivírus, criptografia, assi-
naturas digitais, certificados digitais, redes privadas virtuais).
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E80
Controle de Acesso
O Controle de acesso é o processo de conceder ou negar direitos a usuários ou 
sistemas, definindo quais atividades serão realizadas, desta forma, gerando os cha-
mados perfis de acesso. Pode ser um controle físico (permitir acesso a uma sala, 
a um prédio ou a uma propriedade somente ao pessoal autorizado), ou controle 
lógico (permitir acesso ao sistema, por meio de senha de acesso, por exemplo). 
O controle lógico de acesso é composto pelos processos de autenticação (quem 
acessa o sistema), autorização (o que o usuário pode fazer) e auditoria (o que o 
usuário fez), assim:
 ■ Autenticação: é o meio para se certificar de que o usuário ou o objeto 
remoto é realmente quem está afirmando ser. É um serviço essencial de 
segurança, pois uma autenticação confiável assegura o controle de acesso, 
determina quem está autorizado a ter acesso à informação, permite tri-
lhas de auditoria e assegura a legitimidade do acesso.
 ■ Autorização: define direitos e permissões que determinado usuário pos-
sui. Após autenticado o usuário, o processo determina o que ele pode 
fazer no sistema.
 ■ Auditoria: refere-se à coleta de informações (registro de eventos – logs) 
relacionadas à utilização dos recursos do sistema pelo usuário, podendo 
essas informações serem utilizadas para gerenciamentos, planejamen-
tos e cobranças. 
O processo de autenticação está baseado em três métodos distintos:
 ■ Identificação positiva: o que você sabe. O requerente demonstra o conhe-
cimento de alguma informação utilizada no processo de autenticação, por 
exemplo, uma senha.
 ■ Identificação proprietária: o que você tem. O requerente demonstra 
possuir algo a ser utilizado no processo de autenticação, como um car-
tão magnético.
 ■ Identificação Biométrica: o que você é. O requerente exibe alguma carac-
terística própria, tal como a sua impressão digital.
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
81
Combate a ataques e invasões
Destinados a suprir a infraestrutura tecnológica com dispositivos de software e 
hardware de proteção, controle de acesso e, consequentemente, combate a ataques 
e invasões, esta família de mecanismos tem papel importante no modelo de gestão 
de segurança, à medida que as conexões eletrônicas e tentativas de acesso indevido 
crescem, exponencialmente. Nesta categoria,existem dispositivos destinados ao moni-
toramento, filtragem e registro de acessos lógicos, bem como dispositivos voltados 
para a segmentação de perímetros, identificação e tratamento de tentativas de ataque.
Firewall
Um firewall é um software que reforça a norma de segurança entre uma rede 
interna segura e uma rede não confiável como a internet. O firewall é respon-
sável por gerar uma barreira de segurança para o tráfego de dados contra as 
ameaças que podem ocorrer na rede externa, por meio do monitoramento das 
portas do computador.
Os firewalls tendem a serem vistos como uma proteção entre a internet e a 
rede privada. A não utilização de um firewall deixa o computador desprotegido 
e vulnerável ao acesso de pessoas e programas mal-intencionados, deixando as 
portas de conexão com o computador livre para acesso de qualquer um desses.
Um firewall pode ser um PC, um roteador, um computador de tamanho 
intermediário, um mainframe ou a combinação destes que determine qual infor-
mação ou serviços podem ser acessados de fora e a quem é permitido usar a 
informação e os serviços de fora. Geralmente, um firewall é instalado no ponto 
Você sabe o que é log de dados?
Descreve todo o processo de registro de eventos relevantes, realizados por 
um usuário dentro de um sistema computacional. Por meio deles, é possível 
identificar a autoria de ações realizadas no sistema, que ações foram realiza-
das , data e horário em que foram realizadas.
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E82
onde a rede interna segura e a rede externa não confiável se cruzam, ponto este 
que também é conhecido como ponto de estrangulamento, onde o firewall pro-
tegerá as informações de uma organização, controlando o acesso entre a rede 
interna e a rede externa. 
É importante lembrar que o firewall mais adequado para a empresa variará 
de acordo com as características de navegação de cada usuário, e, mesmo se o 
firewall tiver sido projetado para permitir que somente dados confiáveis passem 
a proteger a rede interna contra-ataques externos, um ataque recém-criado pode 
penetrar o firewall a qualquer hora. O administrador da rede deve examinar, 
regularmente, os registros de eventos e alarmes gerados pelo firewall.
O trabalho de um firewall pode ser realizado de várias formas. O que define 
uma metodologia ou outra são fatores, como critérios do desenvolvedor, neces-
sidades específicas do que será protegido, características do sistema operacional 
que o mantém, estrutura da rede e assim por diante. Devido a isso, é comum 
encontrar mais de um tipo de firewall. A seguir, os dois tipos mais conhecidos: 
filtragem de pacotes e servidor Proxy.
Filtragem de Pacotes
A filtragem de pacotes é uma das primeiras soluções que surgiu, trata-se de uma 
tecnologia mais simples, com isso, torna-se mais limitada, embora ofereça um 
nível de segurança significativo. É importante saber que cada pacote possui um 
cabeçalho com diversas informações a seu respeito, como endereço IP de ori-
gem, endereço IP do destino, tipo de serviço, tamanho, entre outros. O Firewall 
analisa estas informações de acordo com as regras estabelecidas para liberar, ou 
não, o pacote (seja para sair seja para entrar na máquina/rede), podendo, tam-
bém, executar alguma tarefa relacionada, como registrar o acesso (ou tentativa 
de) em um arquivo de log.
O modelo mais simples de firewall é conhecido como o dual homed system, 
ou seja, um sistema que interliga duas redes distintas e possui um servidor com 
duas placas de rede que faz com que os usuários possam se comunicar entre si. 
Um exemplo do modelo firewall entre uma Intranet e a Internet, está de defi-
nido na Figura 1.
Internet
Firewall
Dualhomed-Host
internes Netz
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
83
Figura 1 - Modelo de firewall dual homed system
Fonte: o autor.
Firewall de Aplicação ou Servidor Proxy
Firewall de Aplicação ou apenas servidor Proxy é uma solução de segurança que 
atua como intermediária entre uma rede interna e outra externa, normalmente 
a internet. Geralmente são instalados em servidores potentes, pois armazenam 
uma cópia das páginas mais acessadas para agilizar a abertura delas quando 
forem solicitadas novamente. Um Proxy é utilizado em muitos casos como ele-
mento de aceleração de conexão em links lentos. 
A figura 2 ajuda a compreender esse conceito. Ao invés de a rede interna se 
comunicar diretamente com a internet, há um equipamento entre ambos que 
cria duas conexões, entre a rede e o Proxy, e entre o Proxy e a internet. 
Figura 2 - Servidor Proxy
Fonte: o autor.
Proxy Rede exterma
(internet)
“ Visão do
usuário”
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E84
Detector de Intrusos
Os Sistemas de Detecção de Intrusão, ou IDS, de acordo com Silva (2003), ofe-
recem visibilidade a uma organização das várias tentativas de intrusão tanto no 
que sucede em seu exterior quanto no que sucede internamente. 
Um IDS refere-se aos meios técnicos de descobrir, em uma rede de acesos 
não autorizados, ações de um cracker ou, até mesmo, de funcionários mal-in-
tencionados existentes na empresa. Ele pode ser instalado de modo a monitorar 
as atividades relativas a um computador ou a uma rede. Nos últimos anos, a 
tecnologia de detecção de intrusão tem se mostrado uma grande aliada dos 
administradores de segurança. Basicamente, o que esses sistemas fazem é ten-
tar reconhecer um comportamento ou uma ação intrusiva, por meio da análise 
das informações disponíveis em um sistema de computação ou rede, para alertar 
um administrador e/ou, automaticamente, disparar contramedidas. Para realizar 
a detecção, várias tecnologias estão sendo empregadas em produtos comerciais ou 
em projetos de pesquisas, incluindo análise estatística, inferência, inteligência arti-
ficial, data mining, redes neurais e diversas outras.
O IDS tem como principal objetivo detectar se alguém está tentando entrar 
em um sistema, ou se algum usuário legítimo está fazendo mau uso do mesmo. 
Esta ferramenta é executada, constantemente, em background e somente gera 
uma notificação quando detecta alguma ocorrência que seja suspeita ou ilegal. 
Os sistemas em uso podem ser classificados com relação à sua forma de monito-
ração (origem dos dados) e aos mecanismos (algoritmos) de detecção utilizados.
Existem, basicamente, dois tipos de implementação de ferramentas IDS:
 ■ Host Based IDS (HIDS): são instalados em servidores para alertar e iden-
tificar ataques e tentativas de acesso indevido a própria máquina, sendo 
mais empregados nos casos em que a segurança está focada em informa-
ções contidas em um servidor.
 ■ Network Based IDS (NIDS): são instalados em máquinas responsáveis 
por identificar ataques direcionados a toda a rede, monitorando o conte-
údo dos pacotes de rede e seus detalhes, como informações de cabeçalhos 
e protocolos.
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
85
Os sistemas NIDS podem monitorar diversos computadores, simultaneamente, 
todavia sua eficácia diminui à medida que o tamanho e a velocidade da rede 
aumentam, pela necessidade de analisar os pacotes mais rapidamente. A veloci-
dade da rede e o uso de criptografia não são problemas para os sistemas HIDS, 
entretanto, como esse sistema é instalado na própria máquina a monitorar, pode 
ser desativado por um invasor bem-sucedido. Existem IDS que trabalham de 
forma híbrida, ou seja, combinando as duas técnicas citadas anteriormente.
Antivírus
Nos dias de hoje, com a proliferação de técnicas cada vez mais sofisticadas de 
códigos maliciosos, torna-se necessário, emqualquer organização que lida com 
os recursos de TI, dispor de mecanismos antivírus no seu sistema informático. 
Downing (2001, p. 26) define antivírus como “software que protege o computa-
dor de vírus (modificações destrutivas de software), impedindo as modificações 
que um vírus tente efetuar ou ainda detectando, logo que seja possível um vírus 
que se introduza no computador”.
Segundo Mamede (2006, p. 150), são diversos os sinais que podem alertar 
a existência de vírus em um sistema: 
 ■ O sistema aparenta ter menos memória do que deveria.
 ■ O sistema reinicia sozinho.
 ■ Alguns ficheiros ficam corrompidos ou não se comportam como 
o esperado.
 ■ Alguns ficheiros ou programa desaparecem.
 ■ Ficheiros ou programas desconhecidos aparecem no sistema.
 ■ Mensagens estranhas aparecem no ecrã entre outros.
As soluções de antivírus podem ser baseadas em assinatura ou em comporta-
mentos. A assinatura segundo Silva (2003, p. 98) é “um excerto de código binário 
único de um vírus, que permite a identificação do vírus em questão por um 
simples processo de comparação”. A Assinatura procura características binárias 
identificativas de código malicioso. 
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E86
O comportamento, segundo Silva (2003, p. 99) “inspira-se na detecção de 
intrusões e promete um nível superior de eficácia na detecção e contenção de 
infecções”. A atualização é igualmente um aspecto fundamental, independente-
mente da TI que utilizará, o sistema antivírus deve estar configurado para fazer 
atualização automática. 
Criptografia
Oliveira (2000, p. 405) define a criptografia como “um conjunto de técnicas que 
tornam uma mensagem incompreensível permitindo apenas que o destinatário 
que conhece a chave de encriptação consiga desencriptar e ler a mensagem com 
clareza”. O objetivo da criptografia, neste caso, é utilizar algoritmos de codifica-
ção e descodificação, permitindo que o conteúdo da mensagem possa ser visto 
somente pelo destinatário desejado.
Criptografia é, hoje, sem dúvida, a maneira mais segura de se enviar informa-
ções, por meio de um canal de comunicação inseguro, como a internet. Existem 
duas categorias básicas de mecanismos de codificação: criptografia simétrica, ou 
de chave privada, e criptografia assimétrica, ou de chave pública.
Simétrica ou de chave privada
Estes são os algoritmos convencionais de criptografia, nos quais a mesma chave 
secreta é utilizada tanto para cifrar como para decifrar uma mensagem, devendo 
ser conhecida por ambos os lados do processo. A chave deve ser entregue aos par-
ticipantes de modo seguro, e as transações só podem ser realizadas depois disso. 
O fato de ambos os lados conhecerem a chave também leva à possibilidade 
de repúdio da transação, pois um lado pode sempre alegar que o outro usou a 
chave e realizou a transação em seu nome, indevidamente.
Os algoritmos de chave simétrica podem ser divididos em duas categorias:
 ■ Algoritmos de Bloco: cifram os dados a partir de blocos, ou seja, se o dado 
a ser cifrado é um texto, este será dividido em blocos, e a criptografia será 
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
87
aplicada em cima de cada bloco. Um problema com essa cifragem é que 
se o mesmo bloco de texto simples aparecer em dois lugares, ele encrip-
tará o mesmo texto, gerando, assim, um padrão de repetição.
 ■ Algoritmos de Fluxo: cifram os dados byte a byte. O dado a ser cripto-
grafado não é cifrado por blocos, como o anterior, e sim, serialmente. A 
informação vai sendo criptografada do início ao fim, sem separações.
Assimétrica ou de chave pública
A criptografia assimétrica ou pública utiliza um par de chaves diferentes, uma 
pública que pode ser, livremente, divulgada, e uma privada que é mantida, secre-
tamente, e deve ficar apenas na posse e uso da pessoa ou entidade a que pertence. 
O emissor cifra a mensagem com a chave pública do receptor, este, ao receber a 
mensagem, decifrará a mensagem com a sua chave privada.
Assinatura Digital
Mamede (2006, p. 88) defende que “uma assinatura digital nada mais é do que 
um código digital anexado a uma mensagem transmitida de forma electrônica 
e que identifica univocamente o emissor e garante a integridade da mensagem”. 
Ou seja, uma assinatura digital tanto garante que a mensagem não foi alterada, 
como garante que o remetente é realmente quem diz ser. A assinatura digital 
providencia a prova de autenticidade e origem dos dados.
Segundo Mamede uma assinatura digital pode ser feita tanto com base na 
criptografia simétrica, como na criptografia assimétrica. Na assinatura digital 
com base na criptografia simétrica, faz-se necessária a existência de um árbi-
tro que desempenha o papel central de todo o processo e partilha com cada 
utilizador uma chave secreta. O emissor cifra a mensagem com a chave que 
partilha com o árbitro e o envia. Este decifra a mensagem e cifra novamente 
com a chave que partilha com o receptor e envia ao receptor juntamente com 
o certificado de validade. Este, ao receber a mensagem, decifra com a chave 
que partilha com o árbitro, podendo ver em anexo o certificado de validade. 
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E88
Como se pode ver neste tipo de assinatura digital, o árbitro tem de ser uma 
pessoa de confiança para ambas as partes para não comprometer todo o processo. 
No caso da assinatura digital, é inadequado cifrar toda a mensagem ou docu-
mento a ser assinado, digitalmente, devido ao tempo gasto na criptografia de um 
documento utilizando chaves assimétricas. 
Qualquer participante pode verificar a autenticidade de uma assinatura digi-
tal, bastando decifrá-la com a chave pública do signatário, a qual todos podem 
ter acesso. Se o resultado é significativo, está garantido o uso da chave secreta 
correspondente na assinatura, e, portanto, sua autenticidade. 
Certificado digital
Os certificados digitais permitem ultrapassar o problema existente na assi-
natura digital, ou seja, como obter, de forma segura, a chave pública de 
determinado utilizador. 
Oliveira (2000, p. 408) afirma que o certificado digital “é o processo de garan-
tir que uma chave pública pertença efetivamente a uma pessoa ou entidade. 
[...] é garantido pela assinatura digital de uma pessoa ou entidade confiável, a 
Autoridade Certificadora (CA)”. Pode-se dizer, então, que os certificados digi-
tais são ficheiros que contêm a chave pública e as informações pessoais do seu 
dono, ou seja, associa a identidade do utilizador à sua chave pública correspon-
dente e são assinados, digitalmente, pela CA. 
Para o mesmo autor, existem várias situações em que os certificados podem 
ser revogados:
 ■ Quando estes possuem uma validade, previamente, definida depois da 
que deixa de produzir efeitos.
 ■ Quando uma chave é comprometida, pois se torna necessário proceder-
-se à sua invalidação. 
Compete ao certificado digital, após a revogação, emitir listas de certificados 
inválidos e disponibilizar essas listas a toda a comunidade de utilizadores.
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
89
VPN ou Rede Privada Virtual
Virtual Private Network (VPN), ou Rede Privada Virtual, túneis de criptografia 
entre pontos autorizados, criados por meio da internet, ou outras redes públicas 
e/ou privadas para transferência de informações, de modo seguro, entre redes 
corporativas ou usuários remotos. A segurança é a primeira e mais importante 
função da VPN. Uma vez que dados privados serão transmitidos pela internet, 
que é um meio de transmissão inseguro, eles devem ser protegidos de forma a 
não permitirque sejam modificados ou interceptados.
Outro serviço oferecido pelas VPNs é a conexão entre corporações (Extranets) 
por meio da internet, além de possibilitar conexões dial-up criptografadas que 
podem ser muito úteis para usuários móveis ou remotos, bem como filiais distan-
tes de uma empresa. Uma das grandes vantagens decorrentes do uso das VPNs é 
a redução de custos com comunicações corporativas, pois elimina a necessidade 
de links dedicados de longa distância que podem ser substituídos pela internet. 
As LANs podem, por meio de links dedicados ou discados, conectar-se a algum 
provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de 
dados pela internet. Esta solução pode ser bastante interessante sob o ponto de 
vista econômico, sobretudo, nos casos em que enlaces internacionais ou nacio-
nais de longa distância estão envolvidos. 
A seguir, são apresentadas as três aplicações mais importantes para as VPNs.
 ■ Acesso Remoto via Internet: o acesso remoto a redes corporativas por 
meio da internet pode ser viabilizado com a VPN por ligação local a algum 
provedor de acesso (Internet Service Provider - ISP). A estação remota 
disca para o provedor de acesso, conectando-se à internet, e o software 
de VPN cria uma rede virtual privada entre o usuário remoto e o servi-
dor de VPN corporativo por meio da internet. 
 ■ Conexão de Lans via Internet: uma solução que substitui as conexões 
entre LANs por meio de circuitos dedicados de longa distância é a utili-
zação de circuitos dedicados locais interligando-as à internet. O software 
de VPN assegura esta interconexão formando a WAN corporativa. A 
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E90
depender das aplicações, também se pode optar pela utilização de cir-
cuitos discados em uma das pontas, devendo a LAN corporativa estar, 
preferencialmente, conectada à internet via circuito dedicado local, ficando 
disponível 24 horas por dia para eventuais tráfegos provenientes da VPN.
 ■ Conexão de Computadores numa Intranet: em algumas organizações, 
existem dados confidenciais cujo acesso é restrito a um pequeno grupo 
de usuários. Nestas situações, redes locais departamentais são implemen-
tadas, fisicamente, separadas da LAN corporativa. Esta solução, apesar de 
garantir a confidencialidade das informações, cria dificuldades de acesso 
aos dados da rede corporativa por parte dos departamentos isolados. As 
VPNs possibilitam a conexão física entre redes locais, restringindo aces-
sos indesejados por meio da inserção de um servidor VPN entre elas. 
Com o uso da VPN, o administrador da rede pode definir quais usuários 
estarão credenciados a atravessar o servidor VPN e acessar os recursos 
da rede departamental restrita. Adicionalmente, toda comunicação ao 
longo da VPN pode ser criptografada assegurando a confidencialidade 
das informações. Os demais usuários não credenciados sequer enxerga-
rão a rede departamental. 
Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja exis-
tência é anterior as VPNs. Ele pode ser definido como processo de encapsular 
um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um 
novo componente a esta técnica: antes de encapsular o pacote que será transpor-
tado, este é criptografado de forma a ficar ilegível caso seja interceptado durante 
o seu transporte. O pacote criptografado e encapsulado viaja pela Internet até 
alcançar seu destino no qual é desencapsulado e decriptografado, retornando ao 
seu formato original. Uma característica importante é que pacotes de determi-
nado protocolo podem ser encapsulados em pacotes de protocolos diferentes. 
Por exemplo, pacotes de protocolo IPX podem ser encapsulados e transporta-
dos dentro de pacotes TCP/IP.
Mecanismos de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
91
Segurança dos recursos humanos 
Quando se fala em segurança informática, é necessário levar em consideração 
aspectos muito importantes como os recursos humanos, pois são estes que inte-
ragem, diretamente, com os recursos tecnológicos, com os sistemas e geram a 
informação dentro da organização. Grande parte dos problemas de segurança 
acontece, internamente, e, na maioria das vezes, são causados (acidental ou 
intencionalmente) por colaboradores sem a formação adequada,por falta de 
experiência, por negligência, por insatisfação entre outros. 
Para desenvolvimento deste ponto, alguns subpontos serão objetos de aná-
lise, como o recrutamento, a formação e a segregação de responsabilidades. 
Recrutamento
A segurança dos recursos humanos deverá começar desde a seleção dos can-
didatos, com os melhores requisitos para preencher os postos de trabalho 
disponibilizados pela organização. Para os que lidarão com informações críti-
cas, as exigências deverão ser acrescidas, relativamente, a questões de segurança. 
Silva (2003) afirma que, no ato da contratação de um novo colaborador, este 
deverá receber todas as informações que lhe permitam estar a par do conjunto 
de normas, regras e princípios existentes na organização, sobre as suas permis-
sões e o que lhe é proibido fazer. Isso é realizado por meio de um acordo entre 
o colaborador e a organização, o que compromete o cumprimento de ambas as 
partes. Esta atitude permite impedir que, posteriormente, possa surgir afirma-
ções de alegado desconhecimento dos princípios estipulados pela organização. 
De acordo com Mamede (2006), a segurança dos recursos humanos apre-
senta os seguintes objetivos:
 ■ Reduzir os riscos de erro humano, roubo, fraude ou utilização indevida 
de qualquer parte do sistema. 
 ■ Assegurar que os utilizadores estão sensíveis às ameaças à segurança da 
informação e que estão, devidamente, equipados para suportar a política 
de segurança da organização no decurso normal das suas actividades.
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E92
 ■ Minimizar os danos de incidentes de segurança e mau funcionamento e, 
ainda, aprender com esses mesmos incidentes. 
Formação/sensibilização 
Para a concretização dos objetivos mencionados, é fundamental a questão de 
informação e formação/sensibilização de todos os colaboradores, principal-
mente dos que lidam com informações críticas, estes precisam ter um nível mais 
elevado de sensibilização para as questões de segurança. Mamede (2006, p. 54) 
afirma que “a formação em segurança deve ser disponibilizada a todos os cola-
boradores que concebam, implementem ou efetuem a manutenção de sistemas 
de rede, bem como a todos os colaboradores da organização, sensibilizando-os 
para os variados problemas”. 
É igualmente importante a definição de um plano de carreira e salário capaz 
de motivar o colaborador naquilo que ele faz. Convém ressaltar que, para além 
da remuneração direta (salário), há a remuneração indireta (planos de benefí-
cios: recompensa ou beneficio social, como subsídio de férias, abono de família, 
entre outros).
Segregação de responsabilidades
Silva (2003) defende que se deve evitar atribuir funções vitais a uma única pes-
soa, estas devem ser atribuídas, pelo menos, a duas pessoas. A possibilidade de 
falhas ou erros nas organizações pode muitas vezes, estar relacionada com a 
concentração de atividades ou funções críticas a uma única pessoa. No caso de 
ausência destas pessoas ou de ocorrência de algum erro por parte delas, a orga-
nização pode comprometer o seu funcionamento. 
Política de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
93
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Para Dantas (2001), pode-se definir a política de segurança como um documento 
que estabelece princípios,valores, compromissos, requisitos, orientações e res-
ponsabilidades sobre o que deve ser feito para alcançar um padrão desejável de 
proteção para as informações. Ela é, basicamente, um manual de procedimen-
tos que descreve como os recursos de TI da empresa devem ser protegidos e 
utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-es-
tabelecidas, ela se torna inconsistente, e vulnerabilidades podem surgir. 
A política tende a estabelecer regras e normas de conduta com o objetivo de 
diminuir a probabilidade da ocorrência de incidentes que provoquem, por exem-
plo, a indisponibilidade do serviço, furto ou, até mesmo, a perda de informações. 
As políticas de segurança, geralmente, são construídas a partir das necessidades 
do negócio e, eventualmente, aperfeiçoadas pela experiência do gestor.
As políticas de segurança devem ter implementação realista e definir, 
claramente, as áreas de responsabilidade dos utilizadores, do pessoal de 
gestão de sistemas e redes e da direção. Deve, também, adaptar-se a alte-
rações na organização. 
©shutterstock
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E94
As políticas de segurança fornecem um enquadramento para a implementação 
de mecanismos de segurança, definem procedimentos de segurança adequados, 
processos de auditoria à segurança e estabelecem uma base para procedimentos 
legais na sequência de ataques. O documento que define a política de segurança 
deve deixar de fora todos os aspectos técnicos de implementação dos mecanis-
mos de segurança, pois essa implementação pode variar ao longo do tempo. Deve 
ser, também, um documento de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração 
ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada 
pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira 
desta primeira). A ISO começou a publicar a série de normas 27000, em subs-
tituição à ISO 17799 (e, por conseguinte, à BS 7799), das quais a primeira, ISO 
27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibi-
tiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo 
que não é proibido é permitido).
Os elementos da política de segurança que devem ser considerados são:
 ■ Disponibilidade: o sistema deve estar disponível quando o usuário neces-
sitar. Dados críticos devem estar disponíveis, ininterruptamente.
 ■ Utilização: o sistema deve ser utilizado apenas para os determinados 
objetivos.
 ■ Integridade: o sistema deve estar sempre íntegro e em condições de ser 
usado.
 ■ Autenticidade: o sistema deve ter condições de verificar a identidade dos 
usuários, e este ter condições de analisar a identidade do sistema.
 ■ Confidencialidade: dados privados devem ser apresentados somente aos 
donos dos dados ou ao grupo por ele liberado.
Política de Segurança da Informação
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
95
A política é a materialização da intenção do que se deseja fazer, e essa inten-
ção é transformada em princípios, valores, compromissos, requisitos, objetivos 
e orientações sobre o que deve ser feito para alcançar um padrão desejável de 
proteção para as informações. Nesse sentido, pode-se definir a política de segu-
rança da informação como: um documento que estabelece princípios, valores, 
compromissos, requisitos, orientações e responsabilidades com a segurança da 
informação. A sua forma, seu escopo e seus detalhes estão, diretamente, rela-
cionados com as atividades de negócios e a decisão da organização do nível e 
padrão de segurança que se pretende alcançar. 
Existem vários tipos de políticas, entretanto a norma ISO 27002(ABNT, 
2005), ao apresentar as diretrizes para uma política de segurança da informa-
ção, afirma que esse documento deve conter:
 ■ definição de segurança da informação, suas metas globais, escopo e impor-
tância da segurança da informação como um mecanismo que habilita o 
compartilhamento da informação.
 ■ declaração de comprometimento da direção, apoiando metas e princípios 
da segurança da informação, alinhada com os objetivos e as estratégia de 
negócios.
 ■ estrutura para estabelecer os objetivos de controle e quais são esses con-
troles, incluindo a estrutura de avaliação e o gerenciamento de riscos.
 ■ breve explanação de políticas, princípios, normas e requisitos da con-
formidade de segurança da informação, específicos para a organização.
 ■ definição das responsabilidades gerais e específicas na gestão da segu-
rança da informação, incluindo o registro dos incidentes de segurança 
da informação.
 ■ referências à documentação que possam apoiar a política, por exemplo, 
políticas e procedimentos de segurança mais detalhados de sistemas espe-
cíficos ou regras de segurança que os usuários devem seguir. 
Esta norma ainda orienta que a política deve ser comunicada a toda a organi-
zação para os usuários, de forma que seja relevante, acessível e compreensível 
para o leitor em foco. 
SEGURANÇA INFORMÁTICA
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
3U N I D A D E96
CONSIDERAÇÕES FINAIS
Com o grande avanço da internet, o ataque aos computadores teve um expressivo 
aumento, por meio de vírus, worms (vermes), cavalos de Troia, entre outros. Esses 
ataques têm por finalidade causar danos nas máquinas (seja para causar prejuízos 
seja apenas por diversão), ou como tem acontecido nos últimos anos, ser cada vez 
mais utilizado para fins lucrativos e maliciosos, como roubo de senhas, roubo de 
números de contas bancárias e de cartões de crédito, o que a torna bastante perigoso.
Com hackers e crackers cada vez mais habilidosos criando softwares mais e 
mais sofisticados, a internet se tornou um ambiente sem muita segurança, no qual 
qualquer um que esteja conectado a ela, tanto o computador quanto o próprio 
internauta, está sujeito a todos os tipos de perigos que é oferecido. Os ataques a 
computadores configuram-se em uma área em constante expansão, devendo o 
internauta estar bem atento ao que acontece em seu computador.
Existem vários mecanismos de segurança que podem ser utilizados pelas 
organizações a fim de manter seus dados seguros. Para isso, devemos levar em 
consideração três níveis importantes: segurança lógica, segurança física e segu-
rança de recursos humanos. Enquanto a segurança lógica refere-se ao conjunto 
de medidas que devem ser levadas a cabo para proteger softwares e dados/infor-
mações, a segurança física destina-se a proteger os recursos físicos. Em paralelo 
aos recursos físicos e lógicos, estão os recursos humanos, fator de extrema 
importância na garantia da segurança informática, pois são eles que interagem, 
diretamente, com os recursos de TI, e, por isso, têm que estar sensibilizados e pos-
suir formação adequada para lidar com questões de segurança. A verdade é que 
não se pode afirmar que nenhum dos níveis de segurança é mais importante que 
outro, pois todos têm a sua importância e devem funcionar de forma integrada.
Mesmo com os melhores mecanismos de segurança implementados, a or-
ganização pode estar sujeita a ameaças ou riscos, sendo necessário um bom 
plano de segurança que deverá especificar os procedimentos que garan-
tirão o funcionamento das atividades críticas e a continuidade de serviço.
97 
1. É o processo de conceder ou negar direitos a usuários ou a sistemas, definindo 
quais atividades poderão ser realizadas, desta forma, gerando os chamados per-
fis de acesso. A que tipo de controle de segurança estamos nos referindo? 
a. Controle de Autenticação.
b. Controle de Auditoria.
c. Detector de Intrusos.
d. Chave de Acesso.
e. Controle de Acesso.
2. Os firewalls ajudam a impedir que crackers ou softwaresmal-intencionados ob-
tenham acesso ao seu computador por meio de uma rede ou da internet. Assim, 
é correto afirmar que os firewalls: 
a. Normalmente, comparam os dados recebidos pela rede com as diretivas de 
segurança e liberam, ou bloqueiam, os pacotes.
b. Impedem que os funcionários da empresa executem ações que comprome-
tam o funcionamento da rede interna de computadores.
c. Fazem parte do Sistema Operacional do computador, por isso, não podem vir 
incorporados a roteadores ou a modems de banda larga.
d. Já vêm instalados em todas as versões do Windows, mas não podem ser desa-
bilitados nem desinstalados.
e. Dispensam a instalação de antivírus, pois bloqueiam, automaticamente, arqui-
vos suspeitos recebidos pela rede.
3. Alice e Maria são gerentes de uma mesma empresa que possui filial em diversos 
estados do país. Maria trabalha no Rio de Janeiro, e Alice, no Rio Grande do Sul. 
As duas manipulam informações de grande valor para a empresa cuja divulga-
ção não autorizada pode comprometer os projetos em desenvolvimento na or-
ganização. Maria e Alice costumam criptografar os arquivos que trocam entre si 
pela Internet para evitar acessos indevidos a eles. As duas gerentes utilizam uma 
chave secreta na origem para codificar o arquivo e uma pública no destino para 
decodificar o arquivo. O tipo de criptografia baseado em uso de chave secreta e 
pública utilizado por Maria e Alice é:
a. Certificado digital.
b. Chave assimétrica.
c. Hash.
d. Chave simétrica.
e. Assinatura digital.
98 
4. A função principal de uma ferramenta de segurança do tipo antivírus é: 
a. Monitorar o tráfego da rede e identificar possíveis ataques de invasão.
b. Fazer backup de segurança dos arquivos considerados críticos para o funcio-
namento do computador.
c. Bloquear sítios de propagandas na internet.
d. Verificar arquivos que contenham códigos maliciosos.
e. Evitar o recebimento de mensagens indesejadas de email, tais como mensa-
gens do tipo spams.
5. Sobre o mecanismo de segurança para controles lógicos, observe as afirmativas 
a seguir:
I. Firewall.
II. Criptografia.
III. Autenticação e Autorização.
IV. Blindagem.
Podemos afirmar que:
a. Somente a afirmativa I está correta.
b. Somente as afirmativas II e III estão corretas.
c. Somente as afirmativas I e IV estão corretas.
d. Somente as afirmativas I, II e IIII estão corretas.
e. Todas as afirmativas estão corretas
6. Um _________ refere-se aos meios técnicos de descobrir em uma rede de acesos 
não autorizados que podem indicar a ação de um cracker ou, até mesmo de fun-
cionários mal-intencionados.
a. Antivírus.
b. Firewall.
c. Sistema de Detecção de Intrusão (IDS).
d. Controle de Acesso.
e. Processo de Segurança.
99 
COMPLIANCE NAS ORGANIZAÇÕES
Desde o século passado, as sociedades se 
preocupam em buscar mecanismos para 
obter maior controle sobre suas ativida-
des de modo a assegurar a estabilidade 
de seus produtos no mercado. Em deter-
minados momentos, é possível notar que 
as sociedades capitalistas identificaram a 
necessidade de implantar regras visando 
à correção dos problemas decorrentes do 
capitalismo, a fim de fortalecer a sua eco-
nomia e desenvolver a credibilidade ao 
mercado de capitais.
A partir dessas regras, surgiu o termo 
“compliance”, que advém do verbo “to 
comply”, e significa agir de acordo com 
uma regra, uma instrução interna, um 
comando ou um pedido.
Compliance é um conjunto de disciplinas 
destinado a se fazer cumprir as normas e 
regulamentos, as políticas e as diretrizes 
estabelecidas para o negócio e para as ati-
vidades da organização, assim como evitar, 
detectar e tratar qualquer desvio ou incon-
formidade que possa ocorrer.
A palavra Compliance é basicamente o 
atendimento de leis, normas e códigos orga-
nizacionais e de conduta, assim como aos 
princípios da boa governança corporativa.
O Departamento de Compliance é o res-
ponsável por garantir o cumprimento de 
todas as leis, regras e regulamentos apli-
cáveis, tendo uma vasta gama de funções 
dentro da empresa, como monitoramento 
de atividades, prevenção de conflitos de 
interesses, entre outros. Atuando como a 
política interna de uma empresa, é impro-
vável que o Departamento de Compliance 
seja a unidade mais popular internamente, 
mas trata-se de um departamento com 
grande importância na manutenção da 
integridade e reputação de uma empresa. 
Embora os custos com Compliance sejam 
muito altos, os custos pelas não conformi-
dades, mesmo que acidental, podem ser 
muito maiores para uma organização. O 
não cumprimento de leis e regulamentos 
pode levar a pesadas multas monetárias, 
sanções legais e regulamentares, além da 
perda de reputação.
Importante mencionar que as regras legais 
de compliance nasceram nos Estados Uni-
dos, a partir de casos como, por exemplo, 
a concordata da empresa americana Worl-
dcom e a falência da empresa Enron. Daí, 
podemos extrair a importância da ado-
ção de compliance para mitigar os riscos 
legais e de negócios.
No Brasil, as regras de compliance inicia-
ram-se no âmbito do sistema financeiro, 
no qual as instituições financeiras obriga-
ram-se a adotar procedimentos rigorosos 
de controle interno e de gerenciamento 
de riscos, em consonância com as nor-
mas internacionais.
As novas exigências do mercado, decorren-
tes do crescimento e da profissionalização, 
têm obrigado muitas organizações a repen-
sar seus modelos de gestão.
Atualmente, as empresas, independente 
de estarem ou não sujeitas a determinado 
órgão regulador em razão das atividades 
que desenvolvem, têm buscado adotar 
https://pt.wikipedia.org/wiki/Norma
100 
mecanismos de controle e fiscalização no 
cumprimento de normas legais e regras 
de conduta para garantir a adequada 
administração de riscos inerentes ás suas 
atividades, e, assim, minimizam tais ris-
cos e por consequência evitam perdas 
financeiras ou problemas ligados à sua 
imagem e reputação.
No entanto a compliance deve ir além da 
simples adoção e verificação da confor-
midade e adequação às leis, deve buscar 
inserir na cultura das organizações a consci-
ência de que cada indivíduo e colaborador 
necessita conhecer, desenvolver e aplicar 
impedindo problemas e desconformidades 
que possam gerar diversas consequências 
negativas.
Pode-se entender que as regras de com-
pliance, para serem efetivas e cumprirem 
seus objetivos, devem estar inseridas no 
dia-a-dia das empresas, inclusive cultural-
mente, de forma que busquem monitorar 
todas as áreas da empresa e assegurem o 
cumprimento de seus processos internos.
É possível perceber que as empresas em 
compliance possuem maior acesso ao cré-
dito, pois apresentam menores riscos e, por 
outro lado, conseguem aumentar a atuação 
no mercado em que estão inseridas, pois 
transmitem aos seus clientes e potenciais 
clientes maior segurança no cumprimento 
de suas obrigações.
Aproximadamente, entre 70 e 80% dos 
investidores estão dispostos a pagar um 
valor maior no mercado de ações pelas 
organizações que praticam Governança 
Corporativa, isso acontece no mundo 
inteiro independentemente do porte das 
empresas.
Compliance é, verdadeiramente, um dos 
pilares em que se apoia a Governança 
Corporativa, e sua adoção demonstra, clara-
mente, o comprometimento das empresas 
em fortalecer os seus negócios, por meio 
de bases sólidas e sustentáveis.
Fonte: Fernandes e Abreu (2012).
Material Complementar
MATERIAL COMPLEMENTAR
Segurança Informática nas Organizações
Autor: Henrique São Mamede 
Editora: FCA – Editora Informática
Sinopse: a presente obra como principal objetivo fornecer as bases para 
compreensão e desenvolvimento de políticas e mecanismos de segurança 
informática, nas suas várias perspectivas.
GABARITO
1. E.
2. A.
3. B.
4. D.
5. D.
6. C.
U
N
ID
A
D
E 4
Professora Esp. Adriane Joyce Xavier
AUDITORIA 
DE SISTEMAS
Objetivos de Aprendizagem
 ■ Entender o conceito de auditoria.
 ■ Entender o conceito de auditoria de sistemas e as formas utilizadas 
para levantamento de informações.■ Conhecer normas e ferramentas disponíveis no mercado que 
auxiliam no processo de auditoria.
Plano de Estudo
A seguir, apresentam-se s aulas que você estudará nesta unidade:
 ■ Auditoria
 ■ Auditoria de Sistemas
 ■ Normas e ferramentas de apoio à auditoria informática
INTRODUÇÃO
Como estudado na aula anterior, a segurança informática deve ser vista como um 
processo de extrema importância nas organizações, sobretudo, devido às mudan-
ças que ocorrem, constantemente, no mundo das tecnologias, que influenciam, 
diretamente, o comportamento das organizações. 
Esta rápida evolução das tecnologias e a dependência cada vez maior das 
mesmas, por parte das organizações, levam a uma necessidade cada vez maior 
de controle, já que se trata de informações de vital importância para as empresas, 
tornando-se necessário que medidas de controle e de segurança de sistemas sejam, 
sistematicamente, revisadas e avaliadas por meio de um processo de auditoria.
O processo de auditoria busca descobrir as irregularidades que ocorrem 
nos centros de processamento da empresa, por meio de avaliação e adequa-
ção das tecnologias e dos sistemas de informação utilizados. A auditoria efetua 
essa avaliação por intermédio de revisão e avaliação dos controles, desenvolvi-
mento de sistema, procedimentos de TI, infraestrutura, operação, desempenho 
e segurança da informação, sendo possível, assim, identificar e avaliar os pos-
síveis riscos, como erros, falhas, irregularidades, ineficiência, que por ventura 
estejam ocorrendo, ou que possam ocorrer, e faz recomendações para correção 
e melhoria dos controles internos a fim da diminuição dos riscos levantados. 
A Auditoria, também, identifica os pontos que desagradarão a alta admi-
nistração, para que possam ser corrigidos. Para isso, durante o processo de 
auditoria, o auditor deve reunir, agrupar e avaliar evidências que ajudem a 
determinar se certo sistema de informação suporta, adequadamente, um ativo 
de negócio, de modo a manter a integridade das informações e realizar os obje-
tivos esperados pela alta administração, atendendo às regulamentações e às 
leis estabelecidas.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
105
©shutterstock
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E106
AUDITORIA
Segundo Dias (2000, p. 9), o conceito genérico de auditoria relaciona-se com 
“o exame das operações, processos, sistemas e responsabilidades gerenciais de 
uma entidade ou organização, com o propósito de verificar a sua conformidade 
com os objetivos e políticas organizacionais, orçamentos, normas ou padrões”.
O termo auditoria esteve vinculado, quase que exclusivamente, ao campo 
contábil, contudo diversos autores têm um ponto de vista mais amplo e argu-
mentam que ela engloba toda a organização, estendendo seu campo de ação 
com a comunidade: clientes, fornecedores, instituições públicas e privadas com 
as quais a empresa se relaciona. 
Cassaro (1997, p. 32) afirma:
Cabe à auditoria a responsabilidade de examinar e avaliar a ocorrên-
cia de atos e fatos empresariais, com o objetivo de assegurar que eles 
estejam em conformidade com as políticas, diretrizes e normas da ad-
ministração. [...] A auditoria é uma função de assessoria à alta admi-
nistração que, mediante a aplicação de procedimentos de trabalho ade-
quadamente planejados, obedecendo a normas e padrões geralmente 
aceitos, contribui para o cumprimento das funções de controle das 
operações da empresa.
Auditoria de Sistemas
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
107
AUDITORIA DE SISTEMAS
Carneiro (2004, p. 21) afirma que “a auditoria informática é um conjunto de 
procedimentos e de técnicas para avaliar e controlar total ou parcialmente um 
sistema informático”. 
A Auditoria Informática pode ser definida como um conjunto de procedi-
mentos e técnicas utilizados para avaliar e controlar um sistema informático com 
a finalidade de constatar se suas atividades são corretas e de acordo aos regula-
mentos informáticos da organização. Deve avaliar a eficiência e a eficácia do uso 
adequado dos recursos de computação, gerenciamento de dados e se estas têm 
fornecido apoio adequado aos objetivos e às metas da empresa.
A Auditoria de Sistemas engloba exame das operações, processos, sistemas 
e responsabilidades de uma das áreas mais críticas e dispendiosas das empre-
sas, verifica o retorno dos investimentos em Tecnologia da Informação e exerce 
uma função preventiva e saneadora ao confirmar a veracidade e a integridade 
dos registros e a confiabilidade das informações.
A Auditoria de Sistemas tem como objetivo analisar se as operações da área 
de TI estão em conformidade com objetivos, políticas institucionais, orçamentos, 
regras, normas, padrões e melhores práticas da empresa. Por meio da Auditoria 
de Sistemas, a empresa promove transparência na governança de Tecnologia da 
Informação, permite o controle de gastos, identifica a adoção de ferramentas e 
sistemas mais adequados e garante melhores controles internos e uma análise 
mais apurada dos riscos em TI.
Conforme afirma Mamede (2006, p. 416) “a auditoria é parte integrante 
do processo de segurança na organização, na medida em que permite avaliar 
a implementação da política de segurança e identificar lacunas e omissões na 
mesma, permitindo a introdução de alterações e ajustes na mesma”. A Auditoria 
Informática deverá avaliar os sistemas de informação de modo geral desde entra-
das, procedimentos, controles, arquivos, segurança e obtenção de informação, 
além disso, deve avaliar todo o ambiente envolvido: equipamentos, centro de 
processamento de dados e software.
A auditoria informática, segundo Carneiro (2004, p. 17), apresenta os seguin-
tes objetivos:
https://pt.wikipedia.org/wiki/Centro_de_processamento_de_dados
https://pt.wikipedia.org/wiki/Centro_de_processamento_de_dados
https://pt.wikipedia.org/wiki/Software
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E108
 ■ Avaliar os meios físicos, as tecnologias adequadas e o processamento dos 
dados necessários para obter as informações necessárias.
 ■ Examinar a existência de controles apropriados e avaliar a sua eficácia.
 ■ Concluir sobre a qualidade e a utilidade da informação obtida.
 ■ Garantir a montagem e a adequação de procedimentos e sistemas de 
controle que assegurem a segurança do SI na sua relação direta com os 
materiais informáticos (hardware e software).
A concretização destes objetivos, contudo,exige não só a definição de metodolo-
gias e técnicas específicas, como é preciso, também, que o auditor disponha tanto 
de conhecimentos técnicos como de algumas características, como a honesti-
dade, objetividade, aptidão crítica, capacidade de análise e síntese, flexibilidade, 
comunicação com clareza, tendência à atualização dos conhecimentos, possi-
bilidade de compreender, rapidamente, capacidade de iniciativa e criatividade. 
A auditoria de sistemas possui, ao menos, quatro etapas:
 ■ Planejamento e preparação.
 ■ Execução da auditoria.
 ■ Relatório de auditoria.
 ■ Plano de ação. 
Estas etapas têm como resultado alguns documentos de grande importância para 
a empresa, pois elas contêm informações sobre os riscos encontrados e a avalia-
ção desses riscos, os controles em conformidade ou não com normas e, ainda, 
recomendações de melhoria. Esses documentos são apresentados à área de TI e 
à administração da empresa.
Além do relatório de auditoria funcionar como um “mapa” que mostra a dire-
ção a ser seguida pela área de TI, serve, também, como um guia para auxiliar a 
administração no planejamento estratégico e na priorização de investimentos. 
O levantamento das informações podeser feito recorrendo a várias estratégias, 
conforme descritas a seguir.
Auditoria de Sistemas
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
109
ESTRATÉGIAS DA AUDITORIA
A informação pode vir de diversas formas e fontes, mas se deve levar em conta 
uma escolha adequada de estratégias. Neste sentido, Carneiro (2004) destaca as 
seguintes estratégias para a realização de uma auditoria: 
 ■ Questionários.
 ■ Entrevistas.
 ■ Checklist.
Questionário
Os questionários são técnicas de levantamento de informação e consistem numa 
série ordenada de perguntas, podendo ser respondidas sem a presença do audi-
tor. Segundo o pensamento de Gil (1999, p. 70) o questionário “corresponde 
à elaboração de um conjunto de perguntas com a finalidade de verificação de 
determinado ponto de controle do ambiente computacional”. 
De acordo com Carneiro (2004, p. 72), os questionários devem ser “cui-
dadosamente elaborados em conteúdo ou no que se refere à forma, é muito 
aconselhável que estes questionários sejam muito específicos para cada situação”. 
Tudo isso, para que seja de fácil entendimento por parte do auditado, podendo 
, assim, obter as respostas que se pretende. 
Gil (1999, p. 125) afirma, ainda, que o fato de os questionários poderem ser apli-
cados a distância, podem estar sujeitos a interpretações subjetivas, contudo este tipo 
de estratégia possibilita um diagnóstico para depois obter maiores níveis de detalhes, 
quando a sua aplicação se faz juntamente com outras técnicas, como a entrevista.
Entrevista
A entrevista constitui outro instrumento de levantamento de informação e 
se baseia em questões, previamente preparadas, as quais o entrevistado, na 
presença do entrevistador, deve respondê-las. Essas entrevistas podem ser 
abertas ou fechadas. 
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E110
A entrevista é uma ferramenta primordial para obter informações sobre 
controles internos e riscos de fraudes internas. A importância da entrevista 
para a auditoria se deve ao fato de que, entre outras questões, os empregados 
envolvidos diretamente no processo investigado possuem um conhecimento 
mais aprimorado, e, embora a maioria dos empregados não seja envolvida, 
diretamente, em fraudes, pode originar pistas ou detalhes com relação a um 
possível suspeito ou responsável.  A entrevista possui diversas vantagens e limi-
tações, conforme listadas a seguir.
Vantagens: 
 ■ Permite a obtenção de dados em profundidade acerca do comportamento 
investigado.
 ■ Os dados obtidos podem ser classificados e quantificados.
 ■ Não exige que o respondente saiba ler ou escrever.
 ■ Maior flexibilidade no trabalho de investigação (pode-se explicar o sig-
nificado das perguntas, captar expressões corporais, tonalidade de voz e 
ênfase das respostas).
Limitações:
 ■ Falta de motivação do entrevistado para responder.
 ■ Facilidade de fornecimento de respostas falsas. 
 ■ Inabilidade ou incapacidade do entrevistado para responder (vocabulá-
rio insuficiente, problemas psicológicos).
 ■ Influência exercida pelo aspecto pessoal do entrevistador; influência das 
opiniões do entrevistador sobre as respostas do entrevistado.
 ■ Custo do treinamento dos entrevistadores e da aplicação das entrevistas.
A fim de conduzir uma entrevista eficiente, o entrevistador deve utilizar um tom 
formal, amigável, e não ameaçador. Deve seguir uma estrutura predeterminada 
e conduzir a um levantamento de informações significativas. O entrevistador 
deve, ainda, preparar um jogo de perguntas indiretas e diretas sobre o processo 
analisado e, em complemento, uma indicação introdutória que explique a fina-
lidade da entrevista. Esta preparação ajustará o tom para uma entrevista séria, 
Auditoria de Sistemas
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
111
decidida e eficaz. A forma como as perguntas são estruturadas também é um 
fator que pode influenciar no resultado da entrevista.
O entrevistador deverá possuir habilidade de criar um clima de confiança 
e cooperação mútua, por meio de um contato amistoso com o auditado. As 
entrevistas devem ser, previamente, preparadas, e o auditor não deve influen-
ciar o sentido das respostas, pois estas se constituem a forma de complementar 
a informação fornecida na aplicação dos questionários e, por isso, um dos 
momentos em que o auditor obtém informação relevante para o seu pro-
cesso de análise.
Por fim, devemos lembrar que a principal característica do auditor é conse-
guir ser um bom ouvinte e saber extrair informações até mesmo na ausência de 
respostas para as perguntas.
Checklist
De acordo com Carneiro (2004), Checklist são conversas informais ou conjunto 
de perguntas de formulação flexível para conduzir o auditor a respostas coeren-
tes que permitem uma correta descrição dos pontos fracos e fortes. Como as 
entrevistas, os checklists complementam as informações fornecidas pelos ques-
tionários. Carneiro (2004, p. 73) ainda afirma que “regra geral, as checklist devem 
ser respondidas oralmente, pois podem fornecer conteúdos mais individualiza-
dos e mais ricos do que as outras formas”. 
Apesar de a decisão para realizar uma auditoria depender das circunstân-
cias específicas de cada organização, Silva (2003) afirma que se deve escolher o 
momento adequado para a realização de uma auditoria de segurança e aponta 
algumas possibilidades, nomeadamente: 
 ■ Na nomeação do responsável pela segurança. 
 ■ Após a implementação de medidas de segurança. 
 ■ Com regularidade temporal e, ainda, em outras situações de testes pontuais. 
As auditorias realizadas podem ser internas ou externas, conforme serão des-
critas a seguir. 
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E112
AUDITORIA INTERNA E AUDITORIA EXTERNA
Para Carneiro (2004), uma auditoria pode ser realizada tanto por recursos 
internos, realizadas por funcionários da organização a ser auditada (auditoria 
interna), como por consultores externos, que são as entidades que não pertencem 
à organização auditada e normalmente se dedicam exclusivamente em firmas de 
auditoria (auditoria externa). 
Carneiro (2004, p. 8) afirma que a auditoria interna tem por função auxiliar 
a equipe de gestão no seu desempenho, enquanto a auditoria externa é realizada, 
normalmente, quando se pretende “uma maior objetividade com relação à audi-
toria interna, devido a um maior distanciamento entre auditores e auditados”.
Comparativamente com a auditoria externa, a auditoria interna segundo 
Ferreira (2001) apresenta algumas vantagens entre as quais podemos citar: 
 ■ Não são tão perceptíveis aos funcionários quanto às auditorias externas.
 ■ São mais econômicas, pois, neste caso, os auditores já conhecem o sis-
tema a ser analisado. 
 ■ Atuam muito rapidamente nos casos de emergência. 
 ■ São fortes fontes de consulta atualizada. 
 ■ Constituem ponto de apoio e base para as auditorias externas, entre outras.
Apesar de todas as vantagens de auditoria interna mencionadas, Mamede (2006) 
afirma que as melhores auditorias são realizadas por auditores externos, sem 
quaisquer ligações com ambiente da organização, por estarem menos sujeito à 
influência de subjetividade na produção dos resultados do processo. 
Tanto na auditoria interna quanto na auditoria externa, segundo 
Mamede (2006), é importante que a equipe dos 
auditores assuma uma postura imparcial, 
ou seja, não deverão existir problemas 
de relacionamento pessoal entre os 
auditores e os auditados para não 
interferir nos resultados do processo, 
podendo, dessa forma, traduzir a 
realidade da organização.
Auditoria de Sistemas
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
ale
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
113
PRINCIPAIS ÁREAS DA AUDITORIA INFORMÁTICA
Conforme afirma Carneiro (2004, p. 114), “a auditoria da segurança do sistema 
pode referir-se à segurança global de toda a instalação ou à segurança de uma 
área particular e denomina-se então segurança específica”. Isto quer dizer que, 
de acordo com as necessidades de cada organização pode-se fazer uma análise 
específica a cada área, ou, então, pode ser feita uma análise completa e exaustiva 
de todo o sistema informático. Este último, como afirma Silva (2003), por ser 
mais abrangente, demora mais tempo é também mais dispendioso, podendo ser 
bastante volumosos os resultados obtidos com esse tipo de auditoria, contudo, 
é importante que sejam resultados úteis. Tendo em mente as diferentes possi-
bilidades de testes e auditorias, podemos promover, aqui, uma referência a três 
áreas principais que, de certa forma, acabam por abranger os recursos (lógicos, 
físicos e humanos) que devem ser examinados/analisados no decorrer de uma 
auditoria informática.
Auditoria em segurança física
A segurança física possibilita aos auditores verificar a conformidade dos pro-
cedimentos, as medidas e os princípios utilizados, como os especificados pela 
política de segurança referente aos recursos físicos. Carneiro (2009, p. 183) 
afirma que “esta auditoria avalia as proteções físicas de dados, programas, ins-
talações, equipamentos, redes e suportes e considera, também, a integridade 
física dos utilizadores, por exemplo, condições de trabalho, medidas de eva-
cuação, alarmes e saídas alternativas”. 
Em relação à realização de uma auditoria na segurança física, de acordo 
com Mamede (2006), deve ser levado em consideração um conjunto de tare-
fas, as quais se destacam: 
 ■ Verificação dos sistemas de energia: deverão verificar se existem siste-
mas de alimentação e proteção adequados. Se os equipamentos críticos 
dispõem de sistemas de alimentação ininterrupta de energia elétrica que 
suportam o seu funcionamento por determinado período de tempo. Se 
os não críticos estão ligados a estabilizadores de corrente eléctrica. 
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E114
 ■ Verificação das condições ambientais: devem ser verificadas as condi-
ções ambientais nas salas onde residem os equipamentos informáticos, 
ou seja, se existem mecanismos que permitem controlar calor, umidade 
e se existem sistemas de alerta em caso de alteração das condições ideais.
 ■ Verificação dos controles de acesso físico: deverão ser auditados aspectos, 
como verificar se as salas dos equipamentos informáticos e, particular-
mente, os dispositivos críticos dispõem de controles de acessos adequados, 
permitindo o acesso apenas a pessoas autorizadas.
 ■ Verificação da existência de equipamentos e de planos de emergência: 
deverão constar os extintores, alarmes de fogo e intrusão e, ainda deverão 
verificar se tais equipamentos são, regularmente, testados.
 ■ Nível de monitorização física das localizações: os auditores deverão 
verificar a presença de guardas, sistemas de vídeo-vigilância, sensores de 
portas e sistemas de registos que permitam controlar as entradas e saídas. 
 ■ Cablagem e montagem de elementos físicos: verificar em todas as áreas 
onde existem equipamentos se os cabos estão montados de forma orga-
nizada e com a devida identificação e se certificar, ainda, de que eles se 
encontram em locais de acesso controlado para evitar a indisponibili-
dade dos serviços.
Auditoria em segurança lógica
Grande parte dos ataques são realizados em aplicações e dados da empresa, 
daí a necessidade de serem verificados, periodicamente, os aspectos referen-
tes à manutenção da segurança lógica, ou seja, validar e avaliar se os vários 
aspectos relacionados à segurança lógica existem e se estão em conformidade 
com os procedimentos definidos pela política de segurança da organização. 
Quando se pretende efetuar uma auditoria de segurança lógica, devem ser con-
siderados vários aspectos.
O controle de acesso é um dos aspectos importantes que se deve levar em 
consideração, é o ponto mais suscetível a falhas. O objetivo do controle de acesso 
é proteger dados, programas e sistemas contra tentativas de acesso não autori-
zadas promovidas por usuários ou outros programas.
Auditoria de Sistemas
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
115
Nesse sentido, a auditoria de controle de acesso lógico permite identifi-
car e reduzir falhas de acesso aos recursos. Alguns procedimentos devem ser 
levados em consideração neste tipo de auditoria, tais como: utilizar software 
de controle de acesso; desabilitar as senhas de ex-funcionários; não armazenar 
senhas em log; desabilitar contas inativas. Pode-se afirmar, neste caso, que o 
auditor tem a tarefa de analisar como é feita a gestão das contas dos utilizado-
res desde o momento da sua criação, respeitando os requisitos de segurança 
definidos até a sua desativação, verificando, ainda, se apenas utilizadores auto-
rizados possuem acesso ao sistema.
Apesar de serem utilizados outros métodos de autenticação e controle de 
acesso, tais como o método de biometria, o método mais utilizado, segundo 
Carneiro (2009) é o de password, neste, deverão ser verificadas se as políticas 
para a sua definição e utilização estão sendo aplicadas de acordo com as normas 
e padrões definidos pela organização. Torna-se, assim, necessário considerar que 
não é suficiente apenas a utilização de sistemas de password, mas é igualmente 
importante que, numa rede de computadores, as políticas existentes evitem que 
os passwords sejam fáceis de descobrir, pois como Mamede (2006, p. 439) argu-
menta, “uma palavra-passe fraca é o suficiente para ultrapassar com sucesso por 
todas as configurações seguras de servidores, atualizações de sistemas e regras 
de firewall muito apertadas”. 
Para detectar tentativas de acesso não autorizado a um, Silva (2003) afirma 
que devem ser realizados testes de intrusão, podendo ser realizados tanto do 
interior da rede da organização, como a partir da organização. O auditor pode, 
num cenário mais realista, assumir o papel de hipotético atacante, nesse caso, 
ele não tem qualquer conhecimento do sistema a testar, ou pode obter o conhe-
cimento completo das características do sistema a analisar e, consequentemente, 
detectará maior número de vulnerabilidades.
Mamede (2006) afirma que devem tentar localizar todas as vulnerabilida-
des existentes por meio dos acessos a serviços internos e ressalta que os pontos 
mais vulneráveis de acessos a serviços internos são as ligações internet, modems 
ativos, pontos de acesso sem fio e pontos de acesso por meio de rede virtual pri-
vada. Desta forma, a auditoria deve ser alargada a todos estes pontos para evitar 
que elementos não confiáveis possuam acessos a recursos internos.
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E116
Para que isso ocorra, Mamede (2006) destaca um conjunto de tarefas a serem 
realizadas pelos auditores: localizar os dispositivos que estão visíveis e sujeitos 
as tentativas de intrusão e suas vulnerabilidades diretas: 
 ■ Routers, switches, servidores, entre outros. 
 ■ Verificar a existência de várias camadas de segurança, se firewall e outros 
dispositivos de segurança encontram-se, devidamente, configurados e 
atualizados, verificando a sua conformidade com as políticas definidas 
pela organização. 
 ■ Pesquisar pontos de entrada que não sejam conhecidos, por exemplo, 
localizar a existência de modems não autorizados na rede da organização.
O auditor deve, ainda, fazer uma auditoria às aplicações de uma organização, ou 
seja, verificar se as aplicações dispõem dos requisitos e se são implementados 
de acordo com as políticasde segurança vigentes. Assim sendo, alguns aspec-
tos deverão ser analisados, especificamente, a política de atualização e a política 
de controle de acesso. 
Tendo em vista que as aplicações disponibilizem acessos a dados, estas devem 
transcorrer de forma mais segura possível, evitando que informações críticas pos-
sam ser acessadas por entidades não autorizadas. Para evitar tal risco, Carneiro 
(2004) ressalta a importância de um controle específico que permite que apenas 
utilizadores autorizados tenham acesso a funções concretas dentro das aplicações.
O software antivírus é outro aspecto importante a considerar numa auditoria 
de segurança lógica, nesse caso, segundo Mamede (2006), o auditor deve veri-
ficar a sua correta utilização, ou seja, verificar se o antivírus está a executar-se 
normalmente, se o software antivírus é atualizado, regular e automaticamente, 
se todos os serviços desnecessários estão desativados e se foram aplicadas todas 
as atualizações ao sistema operativo.
Carneiro (2009, p. 187) argumenta que a continuidade das operações consti-
tui um aspecto importante que se deve considerar numa auditoria de segurança, 
ou seja, além do documento sobre o plano de contingência, o auditor deverá 
certificar de que este plano funciona com as garantias necessárias e com idonei-
dade técnica, “se é completo e atualizado, se cobre os diferentes processos, áreas 
e plataformas [...]”. Outro ponto fundamental a ser validado numa auditoria 
Auditoria de Sistemas
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
117
de segurança, segundo o mesmo autor, é a existência de cópias atualizadas dos 
recursos vitais. Essas cópias devem ficar em locais seguros e protegidos de aces-
sos indevidos e devem ainda, possibilitar a reposição de sistemas. 
Auditoria em segurança dos recursos humanos
Segundo a norma ISO/IEC 27002, o objetivo da segurança de recursos humanos 
é reduzir riscos de erros humanos, roubos, fraudes ou uso indevido das facilida-
des. Importa, nesse sentido, dizer que a auditoria de recursos , numa organização, 
vem no sentido de garantir estes objetivos, cabendo ao auditor fazer um levan-
tamento exaustivo dos requisitos da segurança de recursos humanos e verificar 
se estes estão sendo aplicados.
Um dos aspectos a verificar na auditoria em segurança dos recursos huma-
nos é a possibilidade de ocorrência de ataques, tais como a engenharia social. De 
acordo com Silva (2003, p. 129), “este teste tem como objetivo detectar o grau 
de vulnerabilidade da organização a ‘ataques sociais’”. São testes realizados com 
simples tentativas de recolher informações pessoalmente, ou por telefone fazen-
do-se passar por terceiros para ver até que ponto os utilizadores dos recursos de 
TI estão sensibilizados com aspectos de segurança. 
Faz sentido considerar situações, como deficiente qualificação, omissões e 
descuidos dos recursos humanos, apontadas por Carneiro (2009), como aspec-
tos a serem analisados numa auditoria. Assim, torna-se necessário ao auditor 
verificar se estão estipulados nas políticas de segurança da organização progra-
mas de sensibilização e formação, e se eles estão sendo realizados, estimulando 
atitudes técnicas e de responsabilidade individual. 
Mamede (2006) refere-se à necessidade da auditoria aos administradores dos 
sistemas, muitas vezes, por existir muita concentração de funções, esta sobre-
carga pode levar à falta de cumprimento de algumas funções referentes a práticas 
de segurança da organização. 
Convém, neste caso, segundo Mamede (2006, p. 429), verificar pontos, 
como “criação de novas contas de acesso, alteração de privilégios de acesso 
e de palavras-passe, verificar as políticas de gestão de palavras-passe fracas e 
por todas as que não estão em conformidade com o estabelecido na política de 
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E118
segurança [...]”. Para Carneiro (2009), outro ponto importante a ser conside-
rado nesta auditoria é a existência de segregação de funções a fim de impedir 
que, perante a prática de uma fraude por parte de um colaborador, não lhe seja 
possível ocultá-la. Carneiro (2009, p. 59) afirma ainda que “a ausência ou inade-
quação da segregação de funções aumenta o risco da ocorrência de transações 
incorretas, de alterações impróprias e de danos em recursos computacionais”.
NORMAS E FERRAMENTAS DE 
APOIO À AUDITORIA INFORMÁTICA
Para que a organização não fique exposta aos riscos que podem ocorrer em 
seu sistema informático, é necessária a criação de controles que devem esta-
belecer um processo formal para avaliar, identificar e desenvolver respostas 
aos riscos analisados pela auditoria. Por conta disso, as organizações devem 
demonstrar controles crescentes em segurança. Para isso, existem normas e 
ferramentas (frameworks), como o 
CobiT, COSO e Normas ISO, que 
auxiliam os gerentes de TI em seus 
objetivos, alinhados com os objeti-
vos da organização. A seguir, serão 
apresentadas algumas ferramentas 
e normas que podem auxiliar as 
organizações a melhorarem o seu 
ambiente de controle em segurança 
da informação dos recursos de TI.
Normas e Ferramentas deApoio À Auditoria Informática 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
119
CobiT
Isaca (2012) define CobiT como um conjunto de ferramentas de apoio que per-
mite aos gestores definir uma política, com base nas boas práticas, para controle 
de TI, em outras palavras, ajuda a controlar e compreender benefícios e reduzir 
os riscos associados à utilização de TI. 
O Cobit (Control Objectives for Information and related Technology) é um 
guia de boas práticas dirigido à gestão de Tecnologia da Informação e representa 
um consenso de especialistas da área. Tais práticas são fornecidas por meio de 
um modelo de domínios e processos e apresenta atividades em uma estrutura 
lógica e gerenciável. Ele foi criado, inicialmente, para a auditoria de TI e repre-
sentava uma compilação de itens a serem verificados na auditoria. À medida que 
este foi evoluindo em suas diversas versões, acabou se tornando um modelo de 
controle de governança de TI. 
Vale salientar que o CobiT não é um padrão definitivo, ele serve como apoio 
para a implementação de controles na governança de TI. 
O CobiT está orientado para auxiliar três audiências distintas:
 ■ Gerentes que necessitam avaliar o risco e controlar os investimentos de 
TI em uma organização. 
 ■ Usuários que precisam ter garantias de que seu produto e serviço de TI 
estão sendo bem gerenciados.
 ■ Auditores que podem se apoiar nas recomendações do CobiT para avaliar 
o nível da gestão de TI e aconselhar o controle interno da organização. 
Apesar de estas três audiências estarem interligadas, é sobre esta última que 
interessa enfocar nesse capítulo, ou seja, o que se pretende é destacar o CobiT 
como um padrão das melhores práticas para a realização de auditorias, cons-
tituindo, assim, uma ferramenta importante para auxiliar uma organização na 
gestão controlada das suas TI.
A visão deste modelo, segundo Pedro (2005), “[...] sustenta que a sobrevivência 
das organizações depende da gestão efetiva da informação e da tecnologia”. Gestão 
essa, que conforme afirma o mesmo autor está associada a quatro problemas: 
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E120
 ■ Aumento da dependência das organizações, relativamente, as Tecnologia 
da Informação e Comunicação (TIC). 
 ■ Aumento das vulnerabilidades e ameaças a que as organizações que lidam 
com as TIC estão sujeitas.
 ■ Escala de custos com o SI (Sistemas de Informação), ou seja, os investi-
mentos cada vez maiores que as organizações de diferentes setores fazem 
nas TIC. 
 ■ O grandepotencial associado à utilização adequada das TIC em todos os 
processos organizacionais.
Segundo Ferreira (2001), CobiT encontra-se estruturado em quatro domínios: 
 ■ Planejar e Organizar (PO): fase do planeamento estratégico das TIC de 
acordo com a estratégia da organização.
 ■ Adquirir e Implementar (AI): após o planejamento, identificam-se as 
soluções e procede a sua execução, controlando as mudanças que cons-
tantemente ocorrem.
 ■ Produzir e Suportar (DS): o objetivo aqui é fornecer serviços eficien-
tes, mas é importante assegurar que o sistema continue a funcionar a um 
nível desejado e de forma contínua, mesmo perante situações de desastre.
 ■ Monitorar e Avaliar (ME): consiste na verificação de todos os processos 
e na avaliação da adequação dos controles internos.
Cada domínio é constituído por um conjunto de processos que auxiliam os ges-
tores e auditores no controle das TIC. Contudo, convém salientar que o CobiT 
não é uma solução pronta, devido à sua flexibilidade ele pode ser adaptado con-
forme as necessidades de cada organização, dependendo das atividades sobre as 
quais se pretende ter o controle. 
O CobiT apresenta inúmeras vantagens dentre os quais Isaca destaca: 
 ■ Ajuda os gestores a alinhar os seus objetivos com os da organização. 
 ■ Possibilita aos gestores uma visão mais alargada sobre o papel/impor-
tância das TIC. 
Normas e Ferramentas deApoio À Auditoria Informática 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
121
 ■ Ajuda os gestores na aplicação das melhores práticas, por meio de um 
conjunto de ferramentas que auxiliam uma gestão mais flexível das TIC.
 ■ Ajuda na redução dos riscos.
COSO
COSO (Committee of Sponsoring Organizations of the Treadway Commission) é 
uma iniciativa conjunta de cinco organizações do setor privado dedicado a orien-
tações sobre gerencimento de riscos corporativos, controle interno e dissuassão 
da fraude, ou seja, orienta as empresas sobre como prevenir e evitar fraudes nos 
procedimentos e processos internos da empresa.
Pedro (2005) afirma que COSO é “um modelo de gestão de risco empresarial 
[...] que pode ser útil para o desenho e enquadramento da auditoria das tecno-
logias de informação e comunicação”. Pode-se, então, afirmar que este é mais 
um método que fornece recomendações de como avaliar e melhorar os sistemas 
de controle, tendo por base a gestão dos riscos empresariais, podendo, assim, a 
organização estar mais capacitada para lidar com as incertezas e ter um sistema 
de informação mais fiável.
Segundo Rego et al. (S. d.), o modelo COSO apresenta a grande vantagem 
de oferecer uma solução ideal para o processo de gestão de riscos das organiza-
ções, já que este se baseia na gestão de risco. Este modelo ultrapassa o enfoque 
tradicional que baseava na avaliação abrangente dos controles e assenta numa 
auditoria baseada em riscos. Uma auditoria centrada em risco é mais eficaz que a 
Você sabe o que é governança de TI?
É o alinhamento da TI com o negócio da empresa, é ter uma organização 
eficiente, ter controle sobre toda informação que circula dentro da organi-
zação, justamente por uma questão de transparência da informação.
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E122
auditoria centrada apenas nos controles, pois o auditor, nesse caso, pode direcio-
nar o seu trabalho diretamente, para áreas de maior risco, em vez de identificar 
os controles. A finalidade da auditoria baseada em riscos é a de antecipar e pre-
venir riscos, ou seja, há um processo de levantamento da informação que permite 
ao auditor identificar os riscos e as formas de mitigar tais riscos. 
Existe um relacionamento direto entre os objetivos que uma organização se 
empenha em alcançar e os componentes do gerenciamento de riscos corporativos 
que representam aquilo que é necessário para o seu alcance. Esse relacionamento 
é apresentado na Figura 1, por meio de uma matriz tridimensional, em forma de 
cubo, na qual se apresentam as quatro categorias de objetivos (estratégicos, ope-
racionais, de comunicação e conformidade), que estão representadas nas colunas 
verticais, os oito componentes, nas linhas horizontais, a organização e as unida-
des de uma organização, na terceira dimensão do cubo.
Figura 1 - Cubo tridimensional do COSO
Fonte: Coso (2007, p. 7).
A figura ilustra a capacidade de manter o enfoque na totalidade do gerencia-
mento de riscos de uma organização ou na categoria de objetivos, componentes, 
unidade da organização ou qualquer um dos subconjuntos.
Normas e Ferramentas deApoio À Auditoria Informática 
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
123
O gerenciamento de riscos corporativos é constituído de oito componentes 
inter-relacionados, que se originam na maneira como a administração geren-
cia a organização, e se integram ao processo de gestão. Esses componentes são 
os seguintes:
 ■ Ambiente Interno: determina os conceitos básicos sobre a forma como 
os riscos e os controles serão vistos e abordados pelos empregados da 
organização.
 ■ Fixação de Objetivos: os objetivos devem existir antes que a administração 
identifique as situações em potencial que poderão afetar a realização destes.
 ■ Identificação de Eventos: os eventos em potencial que podem impactar 
a organização devem ser identificados, uma vez que, gerados por fontes 
internas ou externas, afetam a realização dos objetivos. Durante o pro-
cesso de identificação de eventos, estes poderão ser diferenciados em 
riscos, oportunidades ou ambos.
 ■ Avaliação de Riscos: os riscos identificados são analisados com a finali-
dade de determinar a forma como serão administrados e, depois, serão 
associados aos objetivos que podem influenciar. Avaliam-se os riscos 
considerando seus efeitos inerentes e residuais, bem como sua probabi-
lidade e seu impacto.
 ■ Resposta a Risco: os empregados identificam e avaliam as possíveis res-
postas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administração 
seleciona o conjunto de ações destinadas a alinhar os riscos às respecti-
vas tolerâncias e ao apetite a risco.
 ■ Atividades de Controle: políticas e procedimentos são estabelecidos e 
implementados para assegurar que as respostas aos riscos selecionados 
pela administração sejam executadas com eficácia. 
 ■ Informações e Comunicações: a forma e o prazo como as informações 
relevantes são identificadas, colhidas e comunicadas permitem que as 
pessoas cumpram suas atribuições.
 ■ Monitoramento: a integridade do processo de gerenciamento de riscos 
corporativo é monitorada, e as modificações necessárias são realizadas. O 
monitoramento é realizado, por meio de atividades gerenciais contínuas, 
avaliações independentes ou uma combinação desses dois procedimentos.
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E124
De acordo com Pedro (2005) “a gestão de risco empresarial permite aos gestores 
lidar eficazmente com a incerteza e risco associado, melhorando a capacidade de 
criar valor”. No entendimento de COSO, o objetivo de qualquer entidade é criar 
valor, mas para isso está sujeito a riscos, pois existem as incertezas. A gestão de 
risco capacita uma organização a estar preparada para as incertezas.
Norma ISO/IEC 27002
Anteriormente, esta norma era conhecida 
como ISO 17799, mas, a partir de 2007, foi 
incorporado um novo sistema de numera-
ção e passou a ser conhecida por ISO 27002. 
A ISO 27002(ABNT, 2005) tem por obje-
tivo estabelecer diretrizes e princípios gerais 
para iniciar, implementar, manter e melhorar a 
gestão de segurança da informação em uma orga-
nização. Em outras palavras, significa que esta norma 
assegura que as informações que são consideradas importantespara a continui-
dade, e a manutenção dos objetivos do negócio estarão protegidas. 
Para a concretização dos processos de gestão de segurança da informação, a 
norma ISO 27002(ABNT, 2005) encontra-se organizada em onze capítulos com 
o objetivo de abranger os diferentes tópicos ou áreas de segurança.
 ■ Política de segurança da informação.
 ■ Organizando a segurança da informação.
 ■ Gestão de ativos.
 ■ Segurança em recursos humanos.
 ■ Segurança física e ambiental.
 ■ Gestão de operações e comunicações.
 ■ Controle de acesso.
 ■ Gestão de incidentes de segurança da informação.
 ■ Gestão de continuidade do negócio.
 ■ Conformidade.
Considerações Finais
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
125
Esta estrutura mostra a abrangência desta norma, o que significa que ela possui 
implicações na organização como um todo. Nota-se, ainda, que a ISO não aponta 
medidas específicas para cumprir os requisitos inerentes de segurança, mas for-
nece uma base comum, ou seja, oferece sugestões de segurança que apontam 
para níveis de segurança extremamente elevados, os quais devem ser adaptados 
às reais necessidades de cada organização. 
CONSIDERAÇÕES FINAIS
Perante um mundo tecnológico cada vez mais complexo e dinâmico no qual se 
vive hoje, torna-se necessária uma mudança de cultura nas organizações, inse-
rindo medidas de controle que garantem a segurança do sistema informático. 
Surge daí a importância da prática da auditoria como meio fundamental para 
implementar controles adequados, podendo, dessa forma, acompanhar este dina-
mismo e reduzir os riscos a ele direcionados. Esta prática é feita tendo por base 
vários padrões internacionais, alguns deles destacados neste capítulo.
 Pode-se afirmar que a auditoria se resume em um conjunto de procedi-
mentos que permite verificar a aplicação e a eficácia de controles apropriados 
à organização, ou seja, verificar se uma organização possui as práticas de segu-
rança no seu sistema informático e se elas estão em conformidade com as 
regras e os procedimentos existentes na política de segurança da organização. 
O gerenciamento de riscos corporativos não apenas permite identificar, ava-
liar e administrar riscos diante de incertezas, como também integra o pro-
cesso de criação e preservação de valor.
(Committee of Sponsoring Organizations of the Treadway Commission).
AUDITORIA DE SISTEMAS
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
4U N I D A D E126
Apesar de a auditoria ser de grande importância no desempenho de um sis-
tema informático, suas atividades não devem ser excessivas para não interferir 
no funcionamento da organização.
Deve-se verificar se existem práticas de segurança adequadas, e se os pro-
cedimentos adaptados estão em conformidade com a política de segurança, e 
com esta finalidade, são feitas avaliações periódicas com recurso à auditoria de 
segurança. Este deve ser um recurso complementar no processo de segurança , 
apesar de ser uma prática adaptada na sua grande parte apenas por grandes orga-
nizações, poderá ser, também, praticada por de qualquer dimensão, pois, desta 
forma, estando a informação protegida, pode ser utilizada como uma vantagem 
estratégica, agregando valor para a organização.
Por fim, também vimos que para auxiliar a auditoria interna da empresa, 
existem algumas ferramentas e normas, como o Cobit, COSO e a ISO 27002, 
muito úteis para auxiliar o auditor no processo de controle, avaliação, identi-
ficação de problemas e, ainda, no desenvolvimento de soluções para possíveis 
problemas que possam ocorrer nas organizações. 
127 
1. Sobre a Auditoria de Sistemas, é correto afirmar:
a. Refere-se ao exame das operações, dos processos, dos sistemas e das respon-
sabilidades gerenciais de uma entidade ou uma organização, com o propósito 
de verificar a sua igualdade com os objetivos e as políticas organizacionais, os 
orçamentos, as normas ou os padrões.
b. Pode ser definida como um conjunto de procedimentos e técnicas utilizados 
para avaliar e controlar um sistema informático com a finalidade de constatar 
se suas atividades são corretas e de acordo com os regulamentos informáticos 
da organização.
c. Está diretamente relacionada com proteção de um conjunto de informações, 
no sentido de preservar o valor que possuem para um indivíduo ou uma or-
ganização.
d. É utilizado para descrever um sistema, seja ele automatizado seja manual, que 
abrange pessoas, máquinas e/ou métodos organizados para coletar, proces-
sar, transmitir e disseminar dados que representam informação para o usuário 
e/ou cliente.
e. Desenvolve relatórios sobre o desempenho atual da organização, permitindo 
monitorar e controlar a empresa e , até mesmo, prevê seu desempenho futuro.
2. Considerando as definições apresentadas a respeito da Auditoria de Sistemas de 
Informação: é correto afirmar que a Auditoria de Sistemas
a. Pode ser feita por profissionais internos à empresa proprietária dos sistemas. 
b. Não abrange os sistemas de bancos de dados da empresa. 
c. Não pode ser feita por profissionais externos à empresa proprietária dos sis-
temas. 
d. Não se importa com o tipo de controle existente nos sistemas de informação. 
e. Somente deve ser feita uma vez a cada dois anos. 
128 
3. Sobre os objetivos referentes à auditoria de sistemas, analise as informações 
abaixo:
I. Examinar a existência de controles apropriados e avaliar a sua eficácia.
II. Avaliar os meios físicos, as tecnologias adequadas e o processamento dos da-
dos necessários para obter as informações necessárias.
III. Concluir sobre a qualidade e a utilidade da informação obtida.
IV. Garantir a montagem e a adequação de procedimentos e sistemas de controle
Podemos afirmar que:
a. Somente a afirmativa I está correta.
b. Somente as afirmativas III e V estão corretas.
c. Somente as afirmativas II, III e IV estão corretas.
d. Somente as afirmativas I, II,e III estão corretas.
e. Todas as afirmativas estão corretas.
4. O que permite aos auditores verificar a conformidade dos procedimentos, medi-
das e os princípios utilizados como os especificados pela política de segurança 
referente aos recursos físicos? 
a. Auditoria em Segurança Lógica.
b. Auditoria em Segurança Física.
c. Auditoria Interna.
d. Auditoria em Segurança de Recursos Humanos.
e. Auditoria Externa.
5. ______________ é um conjunto de ferramentas de apoio que permite aos ges-
tores definir uma política com base nas boas práticas, para controle de TI, em 
outras palavras, ajuda a controlar e compreender benefícios e reduzir os riscos 
associados à utilização das TI. Que informação preenche, corretamente a lacuna?
a. Auditoria.
b. Auditoria de Sistemas.
c. COSO.
d. Norma ISO 27002.
e. Cobit.
129 
FERRAMENTAS PARA AUDITORIA DE SISTEMAS E SUAS VANTAGENS
Em todo e qualquer trabalho de auditoria 
interna, as ferramentas que serão utiliza-
das no seu desenvolvimento devem ser 
baseadas nos instrumentos que foram 
desenvolvidos e aplicados na auditoria 
externa. Essas ferramentas serão instrumen-
tos que o auditor possuirá para conseguir 
alcançar suas metas, tal como foram defi-
nidas no planejamento prévio da auditoria, 
independente do seu caráter. Elas podem 
ser classificadas como generalistas, de uti-
lidade geral, ou especializadas.
As ferramentas classificadas como gene-
ralistas são os softwares que possuem a 
capacidade de processar, analisar e simular 
amostras, sumarizar, apontar possíveis dupli-
cidades, gerar dados estatísticos e diversas 
outras funções que o auditor pode desejar.
Com esse tipo de ferramenta, você estará 
utilizando softwares que processam vários 
arquivos ao mesmo tempo, em diferentes 
formatos e tamanhos, que permitem a 
integração sistêmica com outros tipos de 
softwares e hardwares e reduzem a depen-
dência de auditor quanto ao especialista 
de informática.
Alguns exemplos de softwares generalistassão:
• Audit Command Language (ACL): pode 
auxiliar auditores na realização de tes-
tes em arquivos de dados, entre outras 
funções.
• Interactive Data Extraction & Analisys 
(IDEA): Atua na extração e análise de 
dados utilizados para controles inter-
nos e detecção de fraudes, além de ler, 
exibir, manipular e analisar amostras ou 
extratos de arquivos de dados, a partir de 
diversas fontes diferentes (desde main-
frames até PCs).
• Pentana: É um software para realização 
de planejamento de auditoria e moni-
toramento de recursos, registro de 
check-lists, programas de auditoria, dese-
nho e gerenciamento de planos de ação. 
Muito útil para governança e adequação 
a leis. Também apresenta resultados em 
gráficos coloridos em alta resolução e 
produz, automaticamente, documentos 
MS Office, com base em relatórios prévios 
de auditoria e formulários.
As ferramentas de utilidade geral podem 
ser classificadas com softwares utilitários, 
próprios para a execução de funções muito 
comuns de processamento, como sortear 
arquivos, concatenar, sumarizar e gerar 
relatórios. Sua grande vantagem está na 
capacidade que possuem de servir como 
substitutos na ausência de recursos mais 
completos.
As ferramentas especializadas são softwares 
desenvolvidos para executarem atividades 
em certos momentos específicos. Podem 
ser desenvolvidos pelo auditor, por ter-
ceiros, contratados pelo auditor ou por 
especialistas da empresa que está sendo 
“auditada”. A grande vantagem desse tipo 
de ferramenta é que o auditor pode desen-
volver um software especializado, em uma 
área muito complexa, utilizando isso como 
uma vantagem competitiva.
130 
Por fim, os softwares de controle das ati-
vidades do corpo de funcionários são 
utilizados para, além de estabelecer esse 
controle sobre as equipes, permitirem o 
gerenciamento das redes e comunica-
ções, ajudando a evitar que a empresa seja 
lesada, por meio de espionagem indus-
trial, engenharia social, de colaboradores 
que podem enviar formulários e/ou cur-
rículos, mantendo, assim, contato com 
concorrentes e, até, com o simples envio 
despreocupado de informações estratégi-
cas da empresa. 
Fazendo uso desse tipo de ferramenta, você 
conseguirá: 
• Rastrear e registrar, automaticamente, as 
mudanças de localização e de configu-
ração de dispositivos, com alertas para 
cada mudança, criando um rastro mais 
do que eficiente.
• Auditar máquinas de usuários remotos, 
através de qualquer conexão IP.
• Acessar relatórios que mostrem os níveis 
de acesso aos computadores, sabendo, 
por exemplo, a que horas um usuário fez 
login ou logout.
• Criar regras de notificação para o caso 
de um sistema de qualquer computa-
dor, com agente, for alterado, tanto na 
parte de hardware quanto de software.
Alguns exemplos de softwares para con-
trole de atividades são:
• Suíte Trauma Zer0, que possui recursos 
para realizar descobrimento de softwa-
res e tipos de arquivos, além de rastrear 
a localização física de recursos, realizar 
auditorias remotas e bloquear aplicações 
e URL’s, entre outras funções.
• MailMarshal Exchange, que controla e 
monitora a troca de mensagens internas 
de corporações que fazem uso do Micro-
soft Exchange, auxiliando na manutenção 
de um ambiente de trabalho seguro e 
muito mais produtivo e ainda na prote-
ção contra os incômodos vírus e spams.
• Velop Escudo, que é importante para 
evitar a perda de produtividade, blo-
quear spams, prevenir ataques de vírus, 
interrupções nos negócios e congestões 
na rede, além de racionalizar recursos 
de computação e minimizar o risco de 
infrações legais e de ações judiciais no 
trabalho, acompanhando e qualificando 
os resultados, em tempo real.
Portanto, deve-se estar sempre atento às 
ferramentas que podem ser muito úteis, 
na hora de realizar uma auditoria em uma 
organização!
Fonte: Teruel (on-line)3. 
Material Complementar
MATERIAL COMPLEMENTAR
Auditoria de Sistemas de Informação
Autor: Joshua Onome Imoniana 
Editora: Atlas
Sinopse: Auditoria de sistemas de informação reúne um conjunto de 
conhecimentos e práticas empresariais em constante mutação, exigindo dos 
profissionais das áreas organizacionais constante atualização.
GABARITO
1. B.
2. A.
3. E.
4. B.
5. E.
U
N
ID
A
D
E 5
Professora Esp. Adriane Joyce Xavier
DESENVOLVIMENTO 
DE SOFTWARE SEGURO
Objetivos de Aprendizagem
 ■ Entender a importância de se desenvolver um software com 
segurança.
 ■ Conhecer as atividades e os processos que podem ser utilizados no 
desenvolvimento do software seguro.
 ■ Conhecer os modelos de maturidade que podem ser utilizados para 
controle e desenvolvimento de um software seguro.
Plano de Estudo
A seguir, apresentam-se a aula que você estudará nesta unidade:
 ■ Desenvolvimento de Software Seguro
INTRODUÇÃO
A cada dia um número maior de computadores está conectado à internet e, 
concomitante a esta expansão, crescem, também, os ataques aos sistemas infor-
matizados, colocando softwares, organizações e usuários em grande risco. Mesmo 
com as organizações adotando mecanismos de controles e políticas de segurança, 
o software sempre foi e será o vetor de ataques. Os estudos para o desenvolvi-
mento de software seguro surgiram, devido aos sucessivos ataques às aplicações, 
que exploraram vulnerabilidades que, até então, não tiveram seu grau de peri-
culosidade analisado e avaliado, corretamente.
Nos dias atuais, a preocupação com a segurança no desenvolvimento de 
Software tornou-se o agente mais importante para a garantia na credibilidade do 
uso de um aplicativo, bem como as informações gerenciadas pelo mesmo, frente 
aos inúmeros tipos de ameaças às instituições e aplicações em todo mundo. No 
desenvolvimento de software, a qualidade do produto está, diretamente, rela-
cionada à qualidade do processo de desenvolvimento, sendo comum, portanto, 
que a busca por um software de maior qualidade passe, necessariamente, por 
uma melhoria nesse processo. 
Apesar de grande parte dos sistemas de informação possuir a segurança 
como requisito fundamental, constantemente, há notícias sobre vulnerabilida-
des e falhas de segurança. Isto se deve, principalmente, pelo fato deste requisito 
ser, raramente, considerado nos estágios iniciais do desenvolvimento de software 
e ser delegado como segundo plano ao longo do mesmo. Portanto, são necessá-
rias novas formas de desenvolver um software seguro, baseadas não somente na 
aplicação das teorias existentes, como na adoção de um processo de desenvolvi-
mento que considere os requisitos de segurança como parte integral do projeto 
de construção de software. Neste contexto, a utilização de padrões de projeto de 
segurança e de uma abordagem orientada a modelos pode auxiliar arquitetos e 
projetistas a construir sistemas seguro.
Introdução
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
135
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E136
DESENVOLVIMENTO DE SOFTWARE SEGURO
A melhor maneira de desenvolver um software seguro é incorporar a segurança 
desde o início do desenvolvimento de software. Além disso, o desenvolvedor deve 
conhecer as vulnerabilidades em diferentes artefatos do ciclo de vida do desen-
volvimento do software para que estes possam ser removidos assim que possível, 
pois, quanto mais cedo forem identificadas as vulnerabilidades, menores serão 
os gastos no projeto, sendo de suma importância que os níveis de segurança de 
um produto sejam mensurados de acordo com o risco que apresentam. 
É importante conhecer as vulnerabilidades de cada etapa do desenvolvi-
mento para que as ameaças iminentes possam ser removidas da forma mais 
célere possível, eliminando assim, os riscos da má gestão de custos e da desco-
berta de vulnerabilidades já na finalização do software. Quando a empresa sofre 
essas ameaças, como ataques ou tentativasde ataques, é importante coletar dados 
das situações anteriores, a fim de que esses dados possam ser analisados sempre 
que um novo sistema for desenvolvido. 
©shutterstock
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
137
Os níveis de segurança de um produto alteram de acordo com o âmbito de 
negócio que a empresa possui, logo, é importante os stakeholders para propor 
quais serão os critérios de avaliação para a implantação da segurança e quais 
serão os níveis de segurança.
A segurança em aplicações visa manter a confidencialidade, a integridade 
e a disponibilidade dos recursos de informação a fim de permitir que as ope-
rações de negócios sejam bem sucedidas. Geralmente, é mais barato construir 
software seguro do que corrigir as vulnerabilidades de segurança após a entrega 
do software. Para que os problemas no desenvolvimento de softwares sejam ate-
nuados, é necessário adotar padrões de códigos, normas e manuais de segurança 
a fim de que se possam evitar erros no código fonte, além da etapa de testes, que 
será muito importante a cada nova implementação de levantamento de requisi-
tos. Normalmente, uma má gestão no processo de desenvolvimento de software 
pode levar a um código mal estruturado e, por sua vez, a problemas de segurança.
Oferecer um software seguro é obrigação do desenvolvedor, e, para que este 
objetivo seja alcançado, é necessário avaliar a segurança de todo o ciclo de vida 
de desenvolvimento da aplicação. Esta avaliação melhora os produtos de TI, pois 
identifica vulnerabilidades ou erros que podem ser corrigidos pelo desenvolvedor, 
reduzindo a probabilidade de futuras falhas de segurança, além disso, faz o desen-
volvedor tomar mais cuidado com a estrutura e desenvolvimento do software.
A seguir estão relacionadas algumas boas práticas de segurança que auxi-
liam no desenvolvimento de softwares:
 ■ Gerenciamento de código fonte: permite organizar a interação entre 
desenvolvedores, garante a integridade e possibilita o gerenciamento de 
versões do código, evitando equívocos relacionados à versão colocada 
em produção.
 ■ Realização de testes: utilização de teste, desde pequenos trechos de código 
por vez (como os testes unitários), até práticas que buscam uma avalia-
ção geral do software.
 ■ Gerenciamento de correção de bugs: a utilização de uma ferramenta 
de Bug Tracking permite manter registro das falhas encontradas no sis-
tema e facilitar a comunicação entre os envolvidos na identificação e na 
correção de bugs.
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E138
 ■ Utilização de processo de integração contínua: esta prática busca garan-
tir a qualidade no software desenvolvido, automatizando verificações no 
processo de build da ferramenta, garantindo, assim, que seja possível gerar 
um novo release com o mínimo possível de bugs.
 ■ Documentação do software e da arquitetura que o suporta: uma docu-
mentação clara da arquitetura e código fonte ajuda a aumentar a qualidade 
do software desenvolvido. Uma documentação clara, objetiva e bem 
estruturada é de fundamental importância para que o software possa ser 
expandido de forma sustentável e segura.
 ■ Utilização de padrões de código seguro e checklists: define padrões de 
códigos seguros e boas práticas de acordo com a linguagem adotada e 
ambiente definido pela organização. Cria checklists para verificar as princi-
pais ações durante o desenvolvimento e revisão de segurança do software.
CICLO DE VIDA DO DESENVOLVIMENTO DE SOFTWARE
Um modelo de ciclo de vida organiza as atividades de desenvolvimento de 
software e provê um framework para monitorar e controlar o seu projeto de 
construção e operação. 
Sem a adoção de um modelo, é difícil saber em que momento o desenvol-
vimento e a validação do projeto se encontram e, até mesmo, como e em que 
situações os pontos de controle devem ser aplicados (RAKITIN, 2006; MCGRAW, 
2006). O ciclo de vida faz parte dos controles do projeto, e estes são necessá-
rios para reduzir a probabilidade de inserção de defeitos no dispositivo médico 
Você sabe o que é um Stakeholder?
Trata-se de qualquer pessoa ou organização que tenha interesse, ou faça par-
te de determinado projeto. Compreende todos os envolvidos em um proces-
so, podendo ter caráter temporário (um projeto) ou duradouro (negócio da 
empresa).
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
139
(VOGEL, 2011). Então, para mitigar o problema das vulnerabilidades dentro do 
software, é essencial indicar atividades de segurança de software a serem aplicadas 
entre as fases do ciclo de vida das aplicações. Estas atividades estão relaciona-
das à identificação, à construção e à validação de técnicas que impossibilitem a 
exploração de vulnerabilidades na operação do software. 
Com a adoção de padrões de construção de software seguro dentro do seu 
ciclo de vida, a partir de atividades que garantam identificação, avaliação, trata-
mento, aplicação e validação de controles de segurança da informação, espera-se 
aumento da qualidade e diminuição máxima das possibilidades de ataque den-
tro das aplicações. O levantamento e o desenvolvimento de checklists com os 
controles a serem aplicados pode auxiliar a incorporação de práticas de codifica-
ção defensiva ao longo da construção das aplicações. O tratamento dos aspectos 
relacionados à segurança do software não necessariamente representa aumento 
do custo no seu ciclo de vida de desenvolvimento, tendo em vista que corrigir 
problemas e falhas desta natureza custam mais depois da aplicação pronta e em 
produção (MCGRAW, 2006). 
A adoção de técnicas de segurança nos dispositivos é esperada porque o 
software pode ser executado em diversos tipos de plataformas, entre elas compu-
tadores pessoais e dispositivos móveis computacionais. Toda esta diversidade de 
plataformas pode trazer riscos de lesões e vazamento de informações, dado que 
toda informação coletada e transmitida por estes dispositivos é sensível, confi-
dencial, ou até pode mudar o funcionamento dos equipamentos.
©shutterstock
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E140
A experiência da Microsoft com a segurança de software do mundo real 
levou a um conjunto de princípios de alto nível para a compilação de um sof-
tware mais seguro. A Microsoft refere-se a esses princípios como SD3+C: Seguro 
por Design, Seguro por Padrão (Default), Seguro na Implantação (Deployment) 
e Comunicações. As definições resumidas desses princípios são:
 ■ Seguro por Design: a arquitetura, o design e a implementação do software 
devem ser executados de forma a protegê-lo e proteger as informações 
que ele processa, além de resistir a ataques. 
 ■ Seguro por Padrão (Default): na prática, o software não atingirá uma 
segurança perfeita, portanto, os designers devem considerar a possi-
bilidade de haver falhas de segurança. Para minimizar os danos que 
ocorrem quando invasores miram nessas falhas restantes, o estado 
padrão do software deve aumentar a segurança. Por exemplo, o sof-
tware deve ser executado com o privilégio mínimo necessário, e os 
serviços e recursos que não sejam amplamente necessários devem ser 
desabilitados por padrão, ou ficar acessíveis apenas para uma pequena 
parte dos usuários. 
 ■ Seguro na Implantação (Deployment): o software deve conter ferra-
mentas e orientação que ajudem os usuários finais e/ou administradores 
a usá-lo com segurança. Além disso, a implantação das atualizações 
deve ser fácil. 
 ■ Comunicações: os desenvolvedores de software devem estar preparados 
para a descoberta de vulnerabilidades do produto e devemcomunicar-
-se de maneira aberta e responsável com os usuários finais e/ou com os 
administradores e, assim, ajudá-los a tomar medidas de proteção (como 
instalar patches ou implantar soluções alternativas). 
Todos os elementos do SD3+C impõem requisitos no processo de desenvolvi-
mento, mas os dois primeiros elementos, seguro por design e seguro por padrão, 
fornecem as maiores vantagens de segurança. Seguro por design determina os 
processos que têm por objetivo impedir a introdução de vulnerabilidades em 
primeiro lugar, enquanto seguro por padrão requer que a exposição padrão do 
software, sua superfície de ataque seja minimizada.
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
141
Atividades no Ciclo de Vida do Software 
Um modo para melhorar a segurança e a qualidade do software é realizar atividades 
ou boas práticas de segurança por meio do ciclo de vida do software. Estas atividades, 
que são, na realidade, boas práticas de segurança de software, são responsáveis por 
lidar com as preocupações de segurança e precisam ser aplicadas dentro das fases do 
ciclo de vida da aplicação em vez de fazê-lo apenas na fase de requisitos. Uma cor-
relação entre as fases do ciclo de vida e as atividades pode ser visualizada na Figura 
1 e foram descritas, de forma geral, para projetos de software por McGraw (2006). 
Figura 1 - Atividades de segurança no ciclo de vida do software
Requisistos e
Casos de Uso
Casos de
abuso
Requisitos de
Segurança
Análise de
Riscos
Projeto Planos de
Teste
Codi�cação Resultado
dos teste
Feedbacks
do campo
Revisão
externa
Testes de
segurança
baseados
em risco
Análise
estática do
código
fonte Brechas de
segurança
Análise de
Riscos
Testes de
penetração
Fonte: Mcgraw (2004).
A seguir, uma breve descrição das atividades a serem realizadas ao longo do ciclo 
de vida (MCGRAW, 2006): 
 ■ Casos de abuso: construir casos de abuso é relevante para realizar uma 
relação entre os problemas e a análise de risco. É importante observar 
neste momento se algum padrão de ataque se encaixa no sistema ou nos 
requisitos do software. Este é um bom momento para modelar cenários 
de vulnerabilidades que podem ser exploradas nas fases de revisão de 
código ou teste de penetração.
 ■ Requisitos de segurança: estes precisam cobrir os requisitos funcionais 
e de segurança, casos de abuso e levantar a maior quantidade possível de 
dados e padrões de ataque. Nesta fase, toda a necessidade de segurança 
do software precisa ser mapeada para garantir sua correta implementa-
ção. Um bom exemplo de requisito de segurança está relacionado com o 
uso correto de criptografia para proteger dados críticos. 
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E142
 ■ Análise de risco arquitetural: complementa a análise de riscos orientada 
pela ISO 14971 (2007). Esta análise está relacionada com o levantamento 
dos riscos de segurança que podem estar presentes na arquitetura da 
aplicação que será construída e é uma pequena parte do processo de 
gerenciamento de risco que todo fabricante necessita aplicar para garan-
tir aderência à referida norma, de acordo com IEC ( 62304, 2006). 
 ■ Teste de segurança baseado em riscos: a estratégia de testes da aplica-
ção precisa cobrir, pelo menos, dois tópicos principais, que são os testes 
dos requisitos de segurança com técnicas de teste para requisitos funcio-
nais e testes de segurança baseados em riscos, levantados pelos casos de 
abuso e pela avaliação dos padrões de ataque. 
 ■ Revisão de código fonte: após a fase de codificação e antes da fase de 
testes, a análise de código fonte é uma boa atividade para garantir que os 
requisitos de segurança foram bem implementados e que as vulnerabilida-
des listadas na análise de casos de abuso não estão presentes no software. 
A revisão de código pode ser automática e manual, e cada estratégia tem 
prós e contras. Ferramentas automatizadas não cobrem todos os cenários, 
por este motivo a análise manual é sempre necessária (LONG et al., 2012). 
 ■ Testes de penetração: este é um composto de técnicas e ferramentas utiliza-
das em conjunto para testar, dinamicamente, um software ou sistema contra 
falhas de projeto ou vulnerabilidades. Esta atividade é importante para garan-
tir que a aplicação ou sua infraestrutura não possuam nenhum problema 
potencial que possam ser explorados de uma forma particular para alterar o 
comportamento da aplicação em tempo de execução (MICROSOFT, 2008). 
 ■ Operação segura: é importante responsabilizar as atividades do usuário 
no momento da utilização do sistema de software. Ainda mais impor-
tante é manter estes dados de forma correta e protegida para garantir que 
o atacante ou as atividades de ataque possam ser rastreadas após qual-
quer tentativa, bem sucedida ou não. 
Vale ressaltar que as atividades de segurança descritas podem ser aplicadas a 
qualquer tipo de ciclo de vida de software bem como independem do modelo 
de desenvolvimento de software adotado pelos desenvolvedores. Estas atividades 
não têm nenhuma ligação direta com o modelo de desenvolvimento de software, 
apesar da sua eficácia na melhoria da qualidade das aplicações. 
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
143
Para apoiar a implementação das boas práticas de software, pode-se esta-
belecer a criação de um Grupo de Segurança de Software com pessoas que 
possuem experiência real em desenvolvimento de aplicações. Esta é uma 
maneira de garantir que estas atividades serão acompanhadas por pessoas 
com conhecimento técnico especializado no desenvolvimento de software 
seguro (BSIMM, 2012).
Processo do ciclo de vida do 
desenvolvimento de software seguro
O SDL (Security Development Lifecycle ou Ciclo de Vida do Desenvolvimento
da Segurança) é um processo utilizado e proposto pela Microsoft no desen-
volvimento de softwares que necessitem resistir a ataques mal-intencionados. 
Engloba a adição de uma série de atividades e produtos concentrados na segu-
rança em cada fase do processo de desenvolvimento de software. Essas atividades 
e esses produtos incluem o desenvolvimento de modelos de ameaças, durante 
o design do software, o uso de ferramentas de verificação de código de análise 
estática durante a implementação e a realização de revisões de código e testes 
de segurança, durante um “esforço de segurança” direcionado. Antes que o sof-
tware sujeito ao SDL possa ser lançado, ele deve passar por uma Revisão final de 
segurança feita por uma equipe independente de seu grupo de desenvolvimento. 
Quando comparado a um software que não foi sujeitado ao SDL, o software que 
passou pelo SDL apresentou uma taxa, significativamente, reduzida de desco-
bertas externas de vulnerabilidades de segurança. 
Em seguida, há uma visão geral das fases do SDL:
 ■ Fase de Requisitos.
 ■ Fase de Design.
 ■ Fase de Implementação.
 ■ Fase de Verificação.
 ■ Fase de Suporte e Manutenção.
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E144
Fase de requisitos 
A necessidade de considerar a segurança “de baixo para cima” é um princípio 
fundamental do desenvolvimento de sistemas seguros. Embora vários projetos 
de desenvolvimento produzam “outras versões” baseadas nas versões anterio-
res, a fase de requisitos e o planejamento inicial de uma nova versão oferecem a 
melhor oportunidade para criar um software seguro. 
Durante a fase de requisitos, a equipe de produto entra em contato com a equipe 
de segurança central para solicitar a designação de um supervisor de segurança que 
serve como um ponto de contato, pesquisa e orientação, durante o planejamento.O supervisor de segurança ajuda a equipe de produto revisando os planos, fazendo 
recomendações e garantindo que a equipe de segurança planeje recursos apropriados 
para dar suporte ao cronograma da equipe de produto. O supervisor de segurança 
aconselha a equipe de produto sobre os marcos de segurança e os critérios de saída 
que serão exigidos com base no tamanho, na complexidade e no risco do projeto. 
O supervisor de segurança continua sendo o ponto de contato da equipe 
de produto com a equipe de segurança, desde o início do projeto até a conclu-
são da revisão final de segurança e o lançamento do software. O supervisor de 
segurança também serve como ponto de contato entre a equipe de segurança 
e a gerência da equipe de produto e aconselha a gerência da equipe quanto ao 
controle do elemento de segurança de seus projetos, de forma a evitar surpresas 
relacionadas à segurança, durante e após o processo.
A fase de requisitos é a oportunidade para a equipe de produto considerar 
como a segurança será integrada no processo de desenvolvimento, identificar os 
objetivos-chave de segurança e maximizar a segurança de software, reduzindo a 
quebra de planos e cronogramas. Como parte deste processo, a equipe precisa con-
siderar como os recursos de segurança e as medidas de controle de seu software 
serão integradas com outros softwares que, provavelmente, serão usados com ele. 
A perspectiva geral da equipe de produto sobre os objetivos, os desafios e os pla-
nos de segurança devem se refletir nos documentos de planejamento produzidos, 
durante a fase de requisitos. Embora os planos estejam sujeitos a alterações con-
forme o andamento do projeto, a articulação precoce desses planos ajuda a garantir 
que nenhum requisito seja desconsiderado ou estabelecido na última hora.
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
145
Cada equipe de produto deve considerar os requisitos de recursos de segu-
rança como parte desta fase. Embora alguns requisitos de recursos de segurança 
sejam identificados em resposta à modelagem de ameaças, é provável que os 
requisitos do usuário determinem a inclusão de recursos de segurança em 
resposta às exigências do cliente. Os requisitos dos recursos de segurança tam-
bém serão definidos de acordo com a necessidade de obedecer aos padrões da 
indústria e dos processos de certificação, como os critérios comuns. A equipe 
de produto deve reconhecer e refletir esses requisitos como parte de seu pro-
cesso de planejamento normal.
Fase de design 
A fase de design identifica a estrutura e os requisitos gerais do software. Da pers-
pectiva de segurança, os elementos-chave da fase de design são: 
 ■ Definir as diretivas de design e a arquitetura de segurança: definir a estru-
tura geral do software, tendo como ponto de vista a segurança e identificar 
os componentes cujo funcionamento correto é essencial para a segurança. 
Identificar, também, técnicas de design, como a organização em camadas, 
o uso de linguagem com rigidez de tipos, a aplicação de privilégios míni-
mos e a minimização da superfície de ataque, que se aplicam ao software, 
globalmente. As particularidades dos elementos individuais da arquitetura 
serão detalhadas nas especificações individuais de design, mas a arquite-
tura de segurança identifica uma perspectiva geral no design da segurança. 
 ■ Documentar os elementos da superfície de ataque do software: como o 
software não atingirá uma segurança perfeita, é importante que apenas os 
recursos que serão usados pela grande maioria dos usuários sejam expostos 
a todos eles por padrão, e que esses recursos sejam instalados com o nível 
de privilégio mais baixo possível. A medição dos elementos da superfície 
de ataque fornece à equipe de produto uma métrica constante da segurança 
padrão e permite que a equipe detecte as instâncias em que o software se 
torna mais suscetível a ataques. Algumas instâncias com maior superfície 
de ataque podem ser justificadas pela usabilidade ou função de produto 
avançada, mas é importante detectar e questionar cada uma dessas instân-
cias durante o design e a implementação, de forma a fornecer software com 
uma configuração padrão tão segura quanto possível. 
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E146
 ■ Realizar a modelagem de ameaças: a equipe de produto realiza a modela-
gem de ameaças componente por componente. Usando uma metodologia 
estruturada, a equipe do componente identifica os ativos que o software 
deve gerenciar e as interfaces pelas quais esses ativos podem ser aces-
sados. O processo de modelagem de ameaças identifica as ameaças que 
podem danificar cada ativo e a probabilidade de acontecerem danos (uma 
estimativa de risco). A equipe do componente identifica, então, as contra-
medidas que atenuam o risco na forma de recursos de segurança, como 
a criptografia, ou na forma de funcionamento adequado do software 
que protege os ativos contra danos. Sendo assim, a modelagem de ame-
aças ajuda a equipe de produto a identificar as necessidades de recursos 
de segurança, bem como as áreas em que são especialmente necessários 
testes de segurança e revisão cuidadosa do código. O processo de mode-
lagem de ameaças deve ter o suporte de uma ferramenta que capture 
modelos de ameaças em um formulário legível por máquina para arma-
zenamento e atualização. 
 ■ Definir critérios de fornecimento complementar: os critérios básicos de 
fornecimento de segurança devem ser definidos no nível da organização, 
mas as equipes de produto individuais ou de versões do software podem 
ter critérios específicos que devem ser atendidos antes do lançamento do 
software. Por exemplo, uma equipe de produto que desenvolva a versão 
atualizada de um software fornecido aos clientes e sujeito a ataques exten-
sivos pode solicitar que, por determinado tempo, a nova versão fique livre 
de vulnerabilidades relatadas, externamente, antes de ser considerada 
pronta para o lançamento. Ou seja, o processo de desenvolvimento deve 
localizar e remover as vulnerabilidades antes que elas sejam relatadas, em 
vez de a equipe de produto precisar “corrigi-las” depois de serem relatadas. 
Fase de implementação 
Durante a fase de implementação, a equipe de produto gera o código, testa e inte-
gra o software. As etapas seguidas para remover falhas de segurança ou evitar sua 
inserção inicial durante essa fase têm um aproveitamento alto; elas reduzem, sig-
nificativamente, a probabilidade de que vulnerabilidades de segurança estejam 
presentes na versão final do software que é lançada para os clientes.
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
147
Os resultados da modelagem de ameaças fornecem uma orientação parti-
cularmente importante, durante a fase de implementação. Os desenvolvedores 
dedicam atenção especial em corrigir o código de modo a atenuarem as amea-
ças de alta prioridade, e os testadores concentram seus testes na garantia de que 
essas ameaças estejam, de fato, bloqueadas ou atenuadas.
Os elementos do SDL que são executados na fase de implementação são:
 ■ Aplicar padrões de codificação e teste: os padrões de codificação ajudam 
os desenvolvedores a evitar a introdução de falhas que podem levar a vul-
nerabilidades de segurança. Por exemplo, a utilização de construções de 
manipulação de sequências e de buffer mais consistentes e seguras pode 
ajudar a evitar a introdução de vulnerabilidades de saturação do buffer. 
As práticas recomendadas e os padrões de testes ajudam a garantir que os 
testes se concentrem na detecção de possíveis vulnerabilidades de segu-
rança, e não apenas na operação correta de funções e recursos do software. 
 ■ Aplicar ferramentasde testes de segurança, incluindo ferramentas de 
difusão. Esta oferece entradas estruturadas, embora inválidas para APIs 
(Interfaces de Programação de Aplicativo) de software e interfaces de rede, 
de forma a maximizar a probabilidade de detectar erros que podem levar 
a vulnerabilidades de software. 
 ■ Aplicar ferramentas de verificação de código de análise estática: as fer-
ramentas podem detectar alguns tipos de falhas de código que resultam 
em vulnerabilidades, incluindo saturações do buffer, de números intei-
ros e variáveis não inicializadas. 
 ■ Realizar revisões de código: as revisões de código complementam os tes-
tes e as ferramentas automatizadas, para isso, elas aplicam os esforços 
de desenvolvedores treinados no exame do código-fonte e na detecção 
e remoção de possíveis vulnerabilidades de segurança. Constituem uma 
etapa essencial no processo de remoção de vulnerabilidades de segurança 
do software, durante o processo de desenvolvimento. 
Fase de verificação 
A fase de verificação é o ponto em que o software está, funcionalmente, conclu-
ído e entra em testes beta por usuários. Durante essa fase, enquanto o software 
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E148
passa por testes beta, a equipe de produto realiza um “esforço de segurança”, que 
inclui revisões do código de segurança além das concluídas na fase de imple-
mentação, bem como testes de segurança direcionados. 
É importante notar que as revisões de código e os testes do código de alta 
prioridade (aquele que é parte da “superfície de ataque” do software) são críti-
cos para várias partes do SDL. Por exemplo, essas revisões e esses testes devem 
ser exigidos na fase de implementação para permitirem a correção precoce de 
quaisquer problemas, além da identificação e da correção da origem desses pro-
blemas. Eles também são críticos na fase de verificação, quando o produto está 
perto de ser concluído.
Fase de suporte e manutenção 
Apesar da aplicação do SDL durante o desenvolvimento, as práticas de desen-
volvimento mais avançadas ainda não dão suporte ao fornecimento de software, 
completamente, livre de vulnerabilidades, e há bons motivos para acreditarmos 
que isso nunca acontecerá. Mesmo que o processo de desenvolvimento pudesse 
eliminar todas as vulnerabilidades do software fornecido, novos ataques seriam 
descobertos e o software que era seguro estaria vulnerável. Assim, as equipes de 
produto devem se preparar para responder a vulnerabilidades recém-descober-
tas no software fornecido aos clientes. 
Parte do processo de resposta envolve a preparação para avaliar relatórios de 
vulnerabilidades e lançar orientações e atualizações de segurança quando preciso. 
O outro componente do processo de resposta é a condução de um post-mortem das 
vulnerabilidades relatadas e a adoção de medidas, conforme necessário. As medi-
das em resposta a uma vulnerabilidade variam de emitir uma atualização para um 
erro isolado até atualizar as ferramentas de verificação de código e iniciar revi-
sões do código dos principais subsistemas. O objetivo, durante a fase de resposta, 
é aprender a partir dos erros e utilizar as informações fornecidas em relatórios de 
vulnerabilidade para ajudar a detectar e eliminar mais vulnerabilidades antes que 
sejam descobertas no campo e utilizadas para colocar os clientes em risco. O pro-
cesso de resposta também ajuda a equipe de produto e a equipe de segurança a 
adaptar processos de forma que erros semelhantes não sejam introduzidos no futuro.
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
149
Cada uma dessas fases está dividida em uma sequência de atividades que 
devem ser seguidas, além do relacionamento entre as fases. A partir de padrões e 
normas de segurança de software, foi proposto um conjunto de atividades do pro-
cesso seguro para desenvolvimento do software, conforme definido no quadro 1.
Quadro 1 - Atividades do processo seguro para desenvolvimento do software
MACRO-ATIVIDADE ATIVIDADE
Planejar Segurança
Definir objetivos de planejamento de segurança e 
identificar seus mecanismos.
Atribuir responsabilidades de segurança no projeto.
Implementar ambientes de processamento.
Planejar o gerenciamento de incidentes de segurança.
Avaliar 
Vulnerabilidade 
de Segurança
Executar métodos de identificação de vulnerabilidade 
de segurança.
Analisar as vulnerabilidades de segurança identificadas.
Modelar Ameaça 
de Segurança
Identificar as ameaças de segurança aos ativos críticos.
Classificar as ameaças de segurança aos ativos.
Desenvolver estratégias de redução das ameaças de 
segurança.
Avaliar Impacto 
de Segurança
Priorizar processos críticos influenciados pelo sistema.
Revisar ativos do sistema que se referem à segurança.
Identificar e descrever impactos de segurança.
Avaliar Risco 
de Segurança
Identificar exposição de segurança.
Avaliar risco de exposição de segurança.
Priorizar riscos de segurança.
Especificar 
Necessidades 
de Segurança
Compreender as necessidades de segurança do cliente.
Capturar uma visão de alto nível orientada à segurança 
da operação do sistema.
Definir requisitos de segurança.
Obter acordo sobre requisitos de segurança.
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E150
MACRO-ATIVIDADE ATIVIDADE
Fornecer Informação 
de Segurança
Entender e revisar necessidades de informação de 
segurança.
Determinar considerações e restrições de segurança.
Identificar e analisar alternativas de segurança.
Fornecer orientação de segurança.
Identificar e revisar requisitos de garantia de segurança.
Verificar e Validar 
Segurança
Definir a abordagem de verificação e validação de 
segurança.
Realizar verificação de segurança.
Realizar validação de segurança.
Revisar e comunicar resultados de verificação e 
validação de segurança.
Gerenciar 
Segurança
Gerenciar e controlar serviços e componentes 
operacionais de segurança.
Gerenciar percepção, treinamento e programa de 
educação de segurança.
Gerenciar a implementação de controles de segurança.
Monitorar 
Comportamento 
de Segurança
Analisar registro de evento com impacto na segurança.
Preparar a resposta aos incidentes de segurança 
relevantes.
Monitorar mudanças em ameaças, vulnerabilidades, 
impactos, riscos, no ambiente.
Reavaliar mudanças em ameaças, vulnerabilidades, 
impactos, riscos e no ambiente.
Revisar o comportamento de segurança do sistema 
para identificar mudanças necessárias.
Realizar auditorias de segurança.
Garantir 
Segurança
Definir estratégia de manutenção da garantia de segurança.
Conduzir análise de impacto de segurança das mudanças.
Controlar as evidências da manutenção da garantia de 
segurança.
Fonte: Nunes e Belchior (2006).
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
151
MODELOS DE MATURIDADE 
Um modelo de maturidade é uma representação simplificada do mundo e con-
tém elementos essenciais para a construção de processos efetivos. Modelos 
de maturidade focam no melhoramento dos processos em uma organização. 
Eles contêm os elementos essenciais para a construção de processos efetivos 
para uma ou mais disciplinas e descrevem um caminho de melhoria evolu-
cionária que vai desde processos ad-hoc, seguindo por processos imaturos, 
disciplinados e finalizando nos processos maduros com qualidade e efetivi-
dade melhorada (SEI, 2010). 
Os modelos de maturidade concedem a orientação a ser utilizada no desen-
volvimento de processos efetivos, porém não são processos ou descrições de 
processos. O processo adotado em uma organização depende de inúmeros 
fatores, incluindo seus domínios de aplicações e a estruturae o tamanho da 
organização. Em particular, as áreas de processo de um modelo de maturi-
dade não mapeiam um a um com os processos usados na organização como 
um todo (SEI, 2010). 
OpenSAMM 
O OpenSAMM (Open Software Assurance Maturity Model) é um framework 
aberto para auxiliar organizações a formular e implementar suas estratégias 
de segurança de software que são adaptadas aos riscos específicos enfrenta-
dos pela organização. Os recursos oferecidos pela OpenSAMM ajudarão em 
(CHANDRA, 2009): 
 ■ Avaliar as práticas de segurança de software existentes na organização. 
 ■ Construir e equilibrar o programa de garantia de segurança de software 
em interações bem definidas. 
 ■ Demonstrar melhoramentos concretos no programa de garantia de 
segurança.
 ■ Definir e mensurar atividades relacionadas à segurança por toda 
organização. 
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E152
A OpenSAMM foi concebida com flexibilidade, de forma que pode ser utilizada 
por pequenas, médias ou grandes organizações e que façam uso de qualquer 
estilo de desenvolvimento. Este modelo pode ser aplicado por toda organização, 
para uma única linha de negócios ou para um projeto individual (CHANDRA, 
2009). Além dessas características, a OpenSAMM foi construída pelos princí-
pios a seguir (CHANDRA, 2009): 
 ■ Comportamento da organização se modifica, lentamente, no decorrer do 
tempo. Um software de segurança bem-sucedido deve ser especificado 
em pequenas interações que entreguem ganhos de garantias tangíveis, 
enquanto trabalha para objetivos de longo prazo. 
 ■ Não há uma única receita que funcione para todas as organizações. O 
framework de segurança de software deve ser flexível e permitir que as 
organizações formem suas escolhas, baseado em sua tolerância de riscos 
e na direção na qual constrói e usa o software.
 ■ Orientação relacionada a atividades seguras devem ser prescritivas. Todos 
estes passos na construção e na avaliação em um programa de garan-
tia devem ser simples, bem definidos e mesuráveis. Este modelo oferece 
modelos de roteiros para tipos comuns de organizações. 
A fundação do modelo é construída sobre o núcleo das funções do negócio de 
desenvolvimento de software com práticas seguras associadas a cada função. 
Os tijolos da construção do modelo são os três níveis de maturidade, definidos 
para cada uma das suas doze práticas de segurança. Sua definição dá-se por uma 
vasta variedade de atividades, nas quais a organização pode reduzir os riscos de 
segurança e aumentar a garantia de qualidade de software (CHANDRA, 2009). 
BSIMM 
O BSIMM (Building Security In Maturity Model) é um estudo de iniciativas de 
segurança de software existente focado em segurança de software. Quantificando 
as práticas de várias organizações distintas, pode-se descrever o solo comum 
compartilhado por muitas, e também as variações que fazem cada uma única 
(MCGRAW, 2012). 
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
153
O principal objetivo é ajudar o plano comunitário de software seguro a rea-
lizar e medir suas próprias iniciativas. O BSIMM não é um guia de como fazer, 
ele é um reflexo do estado da arte do software seguro aplicado às organizações 
(MCGRAW, 2012). 
O trabalho com o modelo BSIMM mostra que mensurar a iniciativa de 
segurança de uma organização é possível e extremamente útil. As mensurações 
do BSIMM podem ser utilizadas para planejar, estruturar e executar as evolu-
ções de uma iniciativa de segurança de software (MCGRAW, 2012). O BSIMM 
pode ser usado por alguém responsável por criar e executar iniciativas de segu-
rança de software e traz a confiança do conhecimento das melhores práticas 
sobre software seguro para estabelecer um framework de segurança de software 
(MCGRAW, 2012). 
Durante a criação do modelo BSIMM, foi conduzida uma série de entrevis-
tas com executivos responsáveis por nove iniciativas de software seguro. Nestas 
entrevistas, foram identificadas atividades em comum às nove iniciativas ava-
liadas, atividades estas que compõem o framework de segurança de software do 
BSIMM (MCGRAW, 2012). 
A seguir, foram criados cartões com pontuações mostrando as atividades 
que foram utilizadas para cada uma das nove iniciativas avaliadas (MCGRAW, 
2012). A fim de validar o trabalho, foi solicitado para cada participante revi-
sar o framework, as práticas e os cartões com as pontuações que foram criados 
para suas iniciativas. As 51 organizações participantes foram retiradas de doze 
diferentes setores: serviços financeiros, vendedores independentes de software, 
empresas de tecnologia, computação nas nuvens, mídia, segurança, telecomunica-
ções, seguros, energia, varejo, saúde e provedores de internet (MCGRAW, 2012). 
Em média, os participantes tinham prática com segurança de software por, 
aproximadamente, seis anos. Todas as 51 empresas concordaram que o sucesso 
de seus programas ocorreu, devido ao seu grupo de segurança de software 
(MCGRAW, 2012). O BSIMM foi criado para instruir a forma como iniciativas 
de software seguro fornecem recursos para organizações que procuram consti-
tuir ou melhorar suas próprias iniciativas de software seguro (MCGRAW, 2012). 
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E154
Em geral, qualquer iniciativa de software seguro é criada com alguns obje-
tivos em mente. O BSIMM é apropriado se os objetivos de seu negócio para 
segurança de software incluem (MCGRAW, 2012): 
 ■ Decisões de gerenciamento de risco informadas. 
 ■ Clareza no que concerne a coisa certa a fazer para todos envolvidos em 
segurança de software. 
 ■ Melhoria da qualidade de código.
Quando se fala em segurança no desenvolvimento de software, também é impor-
tante citar a OWASP (Open Web Application Security Project ou Projeto Aberto 
de Segurança em Aplicações Web). Trata-se de uma organização mundial, sem 
fins lucrativos, focada em melhorar a segurança de softwares, em especial os 
softwares baseados na web. A OWASP elabora uma rica documentação sobre a 
segurança de softwares e uma parte desta documentação é composta pelos guias 
de desenvolvimento, revisão de código e testes, que vale a pena ser considerada 
no desenvolvimento de software.
©shutterstock
Desenvolvimento de Software Seguro
Re
pr
od
uç
ão
 p
ro
ib
id
a.
 A
rt
. 1
84
 d
o 
Có
di
go
 P
en
al
 e
 L
ei
 9
.6
10
 d
e 
19
 d
e 
fe
ve
re
iro
 d
e 
19
98
.
155
Existem, também, as Normas ISO, que podem ser utilizadas para auxiliar 
no desenvolvimento de software seguro que são: 
 ■ ISO/IEC 15408(ISO, 2005): consiste em um framework para especifica-
ção de requisitos de segurança para sistemas computacionais, que busca 
garantir a implementação dos atributos de segurança dos produtosÉ 
possível, também, fazer avaliações do produto, em laboratórios, a fim de 
determinar se eles, realmente, satisfazem as reivindicações de segurança.
 ■ NBR ISO/IEC 17799: objetiva preservar a confidencialidade, Aintegridade 
e A disponibilidade das informações, por meio da implementação de con-
troles, implementação de políticas, práticas ou processos. Esses controles 
garantem que os objetivos estabelecidos para a segurança serão atendi-
dos, satisfatoriamente.
Um incidente de segurança da informação é indicado por um simples ou 
por uma série de eventos de segurança da informação indesejados ou ines-
perados, que tenham uma grande probabilidade de comprometer as opera-
ções do negócio e ameaçar a segurança da informação.
(Associação Brasileira de Normas Técnicas).
DESENVOLVIMENTO DE SOFTWARE SEGURO
Reprodução proibida. A
rt. 184 do Código Penal e Lei 9.610 de 19 de fevereiro de 1998.
5U N I D A D E156
CONSIDERAÇÕES FINAIS
O desenvolvimento de sistemas é uma dasáreas mais afetadas pelos aspectos da 
segurança. Muitos dos problemas de segurança existentes são devidos a erros de 
programação ou de arquitetura. Muitas vezes, para não perder muito tempo e 
entregar a solução o quanto antes para o cliente, os requisitos de segurança são 
deixados de lado. Os clientes, por sua vez, não possuem noção sobre segurança 
de um sistema e só aprenderão mais tarde quando é encontrada uma vulnerabi-
lidade. Isso acontece porque poucos analistas preocupam-se em especificar bem 
os requisitos de segurança. 
A segurança em sistemas sempre foi importante, e, com o aumento do uso 
da internet, a segurança torna-se o foco principal, uma vez que os sistemas ten-
dem a ficar mais interconectados, facilitando acessos indevidos. Dessa forma, a 
segurança será cada vez mais uma preocupação no desenvolvimento de sistemas. 
Nenhum software é 100% seguro, e mesmo tomando todo o cuidado com 
segurança na hora de desenvolvê-lo, ela é afetada porque se podem executar 
outros procedimentos que não foram propostos. Se fosse realizado, exatamente, 
o que o sistema foi destinado a fazer, a segurança não seria uma preocupação. 
Portanto, existe uma facilidade para invasores investigarem vulnerabilidades des-
conhecidas, em contrapartida uma dificuldade dos desenvolvedores em garantir 
que todos os pontos de entrada do sistema estejam protegidos.
Atualmente, é necessário que as empresas de desenvolvimento de sistemas, 
façam adaptações em seus processos com a finalidade de atender ao desenvolvi-
mento seguro em todas as fases do ciclo de vida do desenvolvimento, pois, quanto 
mais cedo as vulnerabilidades forem identificadas, menores serão os gastos com 
o projeto, sendo de extrema importância mensurar a segurança de acordo com 
os riscos apresentados.
157 
1. Sobre o Desenvolvimento de software seguro, é correto dizer:
a. A melhor maneira de desenvolver software seguro é incorporar a segurança 
no final do desenvolvimento de software.
b. Deve-se levar em consideração a segurança na fase inicial dos testes.
c. O desenvolvedor deve conhecer as vulnerabilidades que ocorrem no final do 
ciclo de vida do desenvolvimento do software, para que estes possam ser re-
movidos antes de chegar ao cliente final.
d. Deve-se incorporar a segurança desde o início do desenvolvimento do sof-
tware Registro de Informações.
e. Nenhuma das alternativas está correta.
2. A _____________ serve para documentar elementos da superfície de ataque do 
software. Assinale a alternativa que preencha corretamente a lacuna da frase 
apresentada.
a. Fase de implementação.
b. Fase de verificação.
c. Fase de design.
d. Fase de manutenção.
e. Fase de requisitos.
3. Sobre a OpenSAMM, é correto afirma que:.
a. Seu objetivo é ajudar o plano comunitário de software seguro a realizar e me-
dir suas próprias iniciativas.
b. Auxilia as organizações a formular e implementar estratégias de segurança de 
software que são adaptadas aos riscos específicos enfrentados pela organiza-
ção. 
c. É um framework para especificação de requisitos de segurança para sistemas 
computacionais, que busca garantir a implementação dos atributos de segu-
rança dos produtos.
d. Seu objetivo é preservar a confidencialidade, integridade e disponibilidade 
das informações por meio da implementação de controles, implementação 
de políticas, práticas ou processos.
e. Trata-se de um documento sobre a segurança de softwares, composto pelos 
guias de desenvolvimento, revisão de código e testes, que vale a pena ser con-
siderado no desenvolvimento de software.
158 
4. Referente a atividades que devem ser realizadas ao longo do ciclo da vida de um 
software seguro, analise as informações seguintes:
I. Requisitos de Segurança.
II. Revisão do Código Fonte.
III. Casos de abuso.
IV. Casos de poder.
Podemos afirmar que:
a. Somente a afirmativa I está correta.
b. Somente as afirmativas I, II e IV estão corretas.
c. Somente as afirmativas II, III e IV estão corretas.
d. Somente as afirmativas I, II e III estão corretas.
e. Todas as afirmativas estão corretas.
5. Sobre a fase de verificação, é correto afirmar que:
a. A necessidade de considerar a segurança “de baixo para cima” é um princípio 
fundamental do desenvolvimento de sistemas seguros.
b. Reduzem, significativamente, a probabilidade de que vulnerabilidades de se-
gurança estejam presentes na versão final do software que é lançada para os 
clientes.
c. Identifica a estrutura e os requisitos gerais do software.
d. A equipe de produto gera o código, testa e integra o software.
e. É o ponto em que o software está, funcionalmente, concluído e entra em tes-
tes por usuários.
159 
OWASP TOP 10 – RISCO DE SEGURANÇA EM APLICAÇÕES
A Open Web Application Security Project (OWASP) é uma organização mundial 
sem fins lucrativos focada em melhorar a segurança do software, oferecendo gra-
tuitamente, diversos projetos de segurança de software. 
O documento mais conhecido e que mais contribui para a segurança de 
software é o OWASP Top 10, um poderoso documento que conscientiza para 
a segurança de aplicações web, tendo como objetivo a sensibilização sobre a 
segurança em aplicações, identificando os riscos mais graves enfrentados pela 
organização. 
O OWASP Top 10 contém uma lista dos 10 riscos mais críticos de segurança 
em aplicações web. Seu principal objetivo é educar desenvolvedores, projetistas, 
arquitetos, gestores e organizações sobre as consequências das mais importan-
tes vulnerabilidades de segurança de aplicações web. O Top 10 fornece técnicas 
básicas para se proteger contra essas áreas problemáticas de alto risco e também 
fornece orientação de qual caminho seguir.
Os atacantes usam vários caminhos diferentes por meio de uma aplicação 
com intuito de causar danos à organização ou a seu negócio. Cada um desses 
caminhos representa um risco que pode, ou não, trazer graves consequências 
para a organização. 
Os nomes dos riscos no Top 10 derivam-se do tipo de ataque, do tipo de vul-
nerabilidade, ou do tipo de impacto causado. Os nomes escolhidos refletem com 
precisão os riscos e, quando possível, alinham-se com a terminologia mais pro-
vável para auxiliar na conscientização das pessoas. A seguir, pontuam-se cada 
um desses riscos.
A1 – Injeção
As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e 
de LDAP, ocorrem quando dados não confiavéis são enviados para um inter-
pretador como parte de um comando ou consulta. Os dados manipulados 
pelo atacante podem iludir o interpretador para que este execute comandos 
indesejados ou permita o acesso a dados não autorizados.
160 
A2 – Quebra de Autenticação e Gerenciamento de Sessão
As funções de aplicação relacionadas com autenticação e gerenciamento 
de sessão, geralmente são implementadas de forma incorreta, permitindo 
que os atacantes comprometam senhas, chaves e tokens de sessão ou, 
ainda, explorem outra falha da implementação para assumir a identidade 
de outros usuários.
A3 – Cross-Site Scripting (XSS)
Falhas XSS ocorrem sempre que uma aplicação recebe dados não con-
fiáveis e os envia ao navegador sem validação ou filtro adequado. XSS 
permite aos atacantes executarem scripts no navegador da vítima que 
podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar 
o usuário para sites maliciosos.
A4 – Referência Insegura e Direta a Objetos
Uma referência insegura e direta a um objeto ocorre quando um programa-
dor expõe uma referência à implementação interna de um objeto, como um 
arquivo, diretório, ou registro da base de dados. Sem a verificação do controle 
de acesso ou outra proteção, os atacantes podem manipular estas referên-
cias para acessar dados não autorizados.
A5 – Configuração Incorreta de Segurança
Uma boa segurança exige a definição de uma configuração segura e imple-
mentada na aplicação, frameworks, servidor de aplicação, servidor web, banco 
de dados e plataforma. Todas essas configurações devem ser definidas, imple-
mentadas e mantidas, já que geralmente aconfiguração padrão é insegura. 
Adicionalmente, o software deve ser mantido atualizado.
A6 – Exposição de Dados Sensíveis
Muitas aplicações web não protegem devidamente os dados sensíveis, tais 
como cartões de crédito, IDs fiscais e credenciais de autenticação. Os atacan-
tes podem roubar ou modificar esses dados desprotegidos com o propósito 
de realizar fraudes de cartões de crédito, roubos de identidade, ou outros 
crimes. Os dados sensíveis merecem proteção extra como criptografia no 
armazenamento ou em trânsito, bem como precauções especiais quando 
trafegadas pelo navegador.
161 
A7 – Falta de Função para Controle do Nível de Acesso
A maioria das aplicações web verificam os direitos de acesso em nível de fun-
ção antes de tornar essa funcionalidade visível na interface do usuário. No 
entanto, as aplicações precisam executar as mesmas verificações de controle 
de acesso no servidor quando cada função é invocada. Se estas requisições 
não forem verificadas, os atacantes serão capazes de forjar as requisições, com 
o propósito de acessar a funcionalidade sem autorização adequada.
A8 – Cross-Site Request Forgery (CSRF)
Um ataque CSRF força a vítima que possui uma sessão ativa em um navega-
dor a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da 
vítima e qualquer outra informação de autenticação incluída na sessão, a uma 
aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador 
da vítima a criar requisições que a aplicação vulnerável aceite como requisi-
ções legítimas realizadas pela vítima.
A9 – Utilização de Componentes Vulneráveis Conhecidos
Componentes, tais como bibliotecas, frameworks, e outros módulos de 
software quase sempre são executados com privilégios elevados. Se um 
componente vulnerável é explorado, um ataque pode causar sérias perdas de 
dados ou o comprometimento do servidor. As aplicações que utilizam com-
ponentes com vulnerabilidades conhecidas podem minar as suas defesas e 
permitir uma gama de possíveis ataques e impactos.
A10 – Redirecionamentos e Encaminhamentos Inválidos
Aplicações web frequentemente redirecionam e encaminham usuários para 
outras páginas e sites, e usam dados não confiáveis para determinar as páginas 
de destino. Sem uma validação adequada, os atacantes podem redirecionar 
as vítimas para sites de phishing ou malware, ou usar encaminhamentos para 
acessar páginas não autorizadas.
Existem centenas de problemas que podem afetar a segurança de uma apli-
cação web, por isso não se deve parar apenas nos 10 riscos citados.
Fonte: OWASP... (2013, on-line)4.
MATERIAL COMPLEMENTAR
Segurança no Desenvolvimento de Software
Autores: Ricardo Albuquerque e Bruno Ribeiro 
Editora: Campus
Sinopse: o objetivo deste livro é auxiliar o desenvolvedor de software a 
incluir, melhorar ou, simplesmente, avaliar os aspectos de segurança da 
aplicação em processo de desenvolvimento, ou a ser desenvolvido, bem 
como do ambiente de desenvolvimento em si.
CONCLUSÃO
163
Observamos, neste livro, que a informação é algo de extrema importância para uma 
organização e fundamental para os negócios, sendo necessário ser protegida. Com 
o aumento do uso da internet, as organizações passaram a se preocupar cada vez 
mais em controlar e manter as informações seguras. Diante disso, surgiu a neces-
sidade da segurança da informação, que se constitui na proteção da informação 
contra os vários tipos de ameaças, tende a minimizar os riscos relacionados com o 
negócio e maximizar o retorno sobre os investimentos.
Para obter a segurança da informação, torna-se necessário um conjunto de contro-
les adequados com o intuito de garantir que os objetivos do negócio e de segurança 
da organização sejam alcançados. Esses controles têm sido alterados e aperfeiçoa-
dos com o passar do tempo, permitindo que as organizações cuidem e se previnam 
contra eventuais riscos causados pela falta de segurança.
Outra forma de manter a segurança da informação é efetuando a auditoria destes 
sistemas, sendo possível controlar acessos e informações, de acordo com as infor-
mações propostas na política de segurança da informação. Para ter um ambiente 
seguro, é necessária a criação de um conjunto de normas e recomendações para a 
gestão da segurança da informação, usado por aqueles que são responsáveis pela 
implantação, implementação ou manutenção da segurança nas respectivas organi-
zações. 
Conforme vimos, existem diversos mecanismos que devem ser utilizados para man-
ter a segurança da informação, assim como frameworks, normas e modelos de ma-
turidade que podem auxiliar os gerentes de projetos e auditores na segurança da 
informação. 
Espero que, por meio deste livro, seja possível obter o conhecimento necessário 
para que possa manter os sistemas de informação cada vez menos vulnerável a pos-
síveis ameaças e ataques.
Uma boa leitura e muito sucesso! Um forte abraço!
CONCLUSÃO
REFERÊNCIAS
ABNT. NBR. ISO/IEC 27002. Tecnologia da informação – Técnicas de segu-
rança – Código de prática para a gestão da segurança da informação. Rio de 
Janeiro: ABNT, 2005.
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção 
dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
BORGES, T. N.; PARISI, C.; GIL, A. de L. O papel da Tecnologia da Informação no Am-
biente de Negócios. RAC, v. 9, n. 4, out./dez. 2005. Disponível em: http://www.scielo.
br/pdf/rac/v9n4/v9n4a07. Acesso em: 16 ago. 2021.
CARNEIRO, A. Introdução à Segurança dos Sistemas de Informação. Lisboa: FCA, 
Editora de Informática Lda, 2002.
CARNEIRO, A. Auditoria de Sistemas de Informação. 2. ed. Lisboa: FCA - Editora de 
Informática, 2004. 
CARNEIRO, A. Auditoria e Controlo de Sistemas de Informação. Lisboa: FCA - Edi-
tora de Informática, 2009.
CASSARO, A. C. Controles Internos e Segurança de Sistemas. 1. ed. São Paulo: LTR, 
1997.
CHIAVENATO, I. Introdução à teoria geral da administração. 6. ed. Rio de Janeiro: 
Campus, 2000.
DIAS, C. Segurança e Auditoria da Tecnologia da Informação. 1. ed. Rio de Janei-
ro: Axcel Books, 2000.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governança de TI. Rio de Janei-
ro: Brasport, 2012.
FERREIRA, D. et al. Proposta para uma Política de Segurança de Dados aplicada 
às Secretarias de Receita. Projeto (Pós-Graduação em Redes de Computadores) 
- UNEB - União Educacional de Brasília, Brasília, 2001. Disponível em: http://www.
scribd.com/doc/ 6841289/298Redes. Acesso em: 18 ago. 2021.
GIL, A. L. de. Auditoria de computadores. 4. ed. São Paulo: Atlas, 1999.
ISACA. Cobit 5 – A business Framework for the Governance and Management of 
Enterprise It. Schaumburg: Ed. Isaca, 2012.
ISO. ISO/IEC 13335-1. Information technology – Security techniques – Evaluation 
criteria for IT security – Part 1: Concepts and models for information and communi-
cations technology security management. Geneva: ISO, 2004. 
ISO. ISO/IEC 15408-1. Information technology – Security techniques – Evaluation 
criteria for IT security – Part 1: introduction and general model. Geneva: ISO, 2005.
MAMEDE, H. S. Segurança Informática nas Organizações. Lisboa: FCA - Editora de 
Informática, 2006.
REFERÊNCIAS
165
NUNES, F. J. B.; BELCHIOR, A. D. Um Processo Seguro para Desenvolvimento de 
Software. Disponível em: http://ceseg.inf.ufpr.br/anais/2006/conteudo/artigos/ re-
sumos/19500.pdf. Acesso em: 19 ago. 2021.
POZZEBON, M.; FREITAS, H. M. R. Construindo um E.I.S. (Enterprise Information Sys-
tem)da (e para) empresa. Revista de Administração, São Paulo, v. 31, n. 4, out/
dez1996.
PEDRO, J. M. Segurança informática em auditoria. Know Kapital, 2005. Disponível 
em:http://knowkapital.eu/extra/artigos/Seg_e_Auditoria_IGF.pdf. Acesso em: 19 
ago. 2021.
SÊMOLA, M. Gestão da segurança da informação: visão executiva da segurança da 
informação. Rio de Janeiro: Campus, 2003.
SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança dos Sistemas de Informação - 
Gestão Estratégica de Segurança Empresarial. Lisboa: Centro Atlântico, 2003.
TAPSCOTT, D. Economiadigital: promessa e perigo na era da inteligência em rede. 
São Paulo: Makron Books, 1997.
TURBAN, E.; SCHAEFFER, D. M. Uma comparação entre sistemas de informação para 
executivos, DSS e sistemas de informação gerencial. In: SPRAGUE JR., R. H.; WATSON, 
H. J. (Org.). Sistemas de apoio à decisão: colocando a teoria em prática. Rio de 
Janeiro: Campus, 1991.
REFERÊNCIAS ON-LINE:
1 Em: https://cio.com.br/gestao/maioria-das-empresas-brasileiras-admite-ter-sofri-
do-incidentes-de-seguranca-da-informacao/. Acesso em: 16 ago. 2021.
2 Em: http://www.gemalto.com/press/Pages/Estudo-da-Gemalto-revela-aumento- 
dos-riscos-de-seguranca-de-dados-de-pagamentos-e-falta-de-confianca-nos--me-
todos-de-pagamen.aspx. Acesso em: 17 ago. 2021.
3 Em: http://www.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e pes-
quisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-infor-
macao-aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf. Acesso em: 19 
ago. 2021.
4 Em: https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf. Aces-
so em: 19 ago. 2021.
GABARITO
1. D.
2. C.
3. B.
4. D.
5. E.
	SISTEMAS DE
INFORMAÇÃO
	Introdução
	Informação
	Sistemas de Informação (SI)
	Considerações Finais
	Gabarito
	SEGURANÇA
DA INFORMAÇÃO
	Introdução
	Segurança da Informação
	Classificações da Informação 
	Vulnerabilidades da Informação
	Ameaças à Segurança da Informação 
	Risco
	Incidente
	Ataques a Segurança da Informação
	Considerações Finais
	Gabarito
	SEGURANÇA
INFORMÁTICA
	Introdução
	Segurança Informática
	Mecanismos de Segurança da Informação
	Política de Segurança da Informação
	Considerações Finais
	Gabarito
	AUDITORIA 
DE SISTEMAS
	Introdução
	Auditoria
	Auditoria de Sistemas
	Normas e Ferramentas de
Apoio a Auditoria Informática
	Considerações Finais
	Gabarito
	DESENVOLVIMENTO
DE SOFTWARE SEGURO
	Introdução
	Desenvolvimento de Software Seguro
	CONSIDERAÇÕES FINAIS
	Conclusão
	Gabarito
	_GoBack