AULA 2

Prévia do material em texto

AULA 2 
SEGURANÇA DE REDES DE 
COMPUTADORES
Prof. Luis Gonzaga de Paulo 
 
 
2 
TEMA 1 – SEGURANÇA DA INFORMAÇÃO – CONCEITOS E APLICAÇÕES 
É inegável que a informação, em nossa era, é um bem de valor para as 
pessoas e para as organizações. E, para que a informação possa atender aos 
seus propósitos e adequadamente à sua crescente demanda, é necessário 
preservar seu valor. A segurança da informação é a área de conhecimento 
humano que tem por finalidade planejar e operar processos, técnicas, ferramentas 
e mecanismos – não necessariamente tecnológicos – que possam prover a devida 
proteção à informação, isto é, preservar seu valor. E, para tanto, também deve 
garantir o uso correto e apropriado dessa informação. 
A palavra segurança tem significados distintos e por vezes até conflitantes, 
podendo se referir a ameaças intencionais, como intrusões, ataques, perda e 
roubo de informações (security, em Inglês). Pode ser referência para sistemas 
confiáveis, construídos para reagir perante as falhas do software, do hardware ou 
dos usuários (reliability, em Inglês). Outro significado remete aos problemas 
causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo 
acidentes que tenham impacto nas pessoas ou representem risco à vida (em 
inglês, safety). A segurança da informação abrange a todos esses aspectos. De 
acordo com a norma ABNT NBR ISO/IEC 27002:2013: 
A segurança da informação é alcançada pela implementação de um 
conjunto adequado de controles, incluindo políticas, processos, 
procedimentos, estrutura organizacional e funções de software e 
hardware. Estes controles precisam ser estabelecidos, implementados, 
monitorados, analisados criticamente e melhorados, quando necessário, 
para assegurar que os objetivos do negócio e a segurança da informação 
sejam atendidos. (ABNT, 2014) 
A segurança da informação é diferente de segurança de sistemas, de 
desenvolvimento de software, de segurança física, patrimonial, pública etc., mas 
é interdependente e relaciona-se com todas estas outras. 
1.1 A informação 
Informação são nomes, números, imagens e sons, sensações, ou tudo 
aquilo que podemos experimentar com nossos sentidos – e, além deles, com o 
uso da tecnologia – e que tenha algum uso, propósito, que possa ser utilizado por 
meio da razão ou da emoção. Tudo isto é informação, e tudo isto tem valor, seja 
um valor mensurável ou não. 
 
 
3 
Para as Tecnologias da Informação e Comunicação – TICs, o conceito é 
diferenciado, a começar pela separação entre a informação e os dados. Dados 
são elementos, valores, grandezas, medidas e ainda por analisar ou processar 
por meio de recursos computacionais. Informações são os resultados desta 
análise ou processamento que, mediante processos e regras definidas, tornam-
se inteligíveis e utilizáveis pelos seres humanos. Entretanto, ambos – dados ou 
informações – têm um valor intrínseco, requerendo um tratamento pelo qual 
possam manter sua utilidade e seu valor. 
A norma ABNT NBR ISO/IEC 27002:2013 define informação como sendo 
um ativo – isto é, bem, patrimônio – da organização, de grande importância e 
valor, e que por isso necessita de proteção adequada. Para isto, deve-se 
considerar a informação em suas diversas formas e nos diversos meios utilizados 
para obter, armazenar, transportar e modificar a informação: 
O valor da informação vai além das palavras escritas, números e 
imagens: conhecimentos, conceito, ideias e marcas são exemplos de 
formas intangíveis da informação. Em um mundo interconectado, a 
informação e os processos relacionados, sistemas, redes e pessoas 
envolvidas nas suas operações são informações que, como os outros 
ativos importantes, têm valor para o negócio da organização e, 
consequentemente, requerem proteção contra vários riscos. (ABNT, 
2014) 
Como existe uma grande diversidade de informações no ambiente pessoal 
e no ambiente corporativo, é necessário classificar as informações, isto é, 
diferenciá-las em função de níveis e critérios específicos, como a sua natureza, o 
seu valor e seu grau de importância, por exemplo. Esses critérios e níveis podem 
definir o grau de sigilo e confidencialidade a ser aplicado à informação. É, também, 
em função destes critérios que serão definidos os mecanismos de controle e 
proteção às informações. 
Além disso, a informação também percorre um ciclo de vida: ela é obtida 
ou produzida, então é trabalhada ou manuseada, transportada, armazenada e 
usada, e finalmente descartada. Cada uma das etapas desse ciclo de vida está 
sujeita a interferências e problemas, sendo que cada uma requer um tipo de 
atenção. 
1.2 Incidentes de segurança da informação 
A informação é um bem, um ativo de valor muitas vezes intangível, mas 
geralmente de grande valor. Na Era da Informação na qual vivemos, o volume de 
 
 
4 
informação que produzimos, manipulamos e armazenamos é muito elevado, dada 
a facilidade de fazê-lo por meio dos meios eletrônicos. Embora a informação 
possa manifestar-se em diversos meios – impressa ou eletrônica, analógica ou 
digital etc., é no modelo digital e eletrônico que tem seu expoente em termos de 
volume, flexibilidade e facilidade de uso e acesso. 
Nesse contexto, essa mesma informação está continuamente exposta a 
riscos de segurança, os quais atentam contra as características básicas da 
segurança da informação: a confidencialidade, a integridade e a 
disponibilidade da informação. Tais riscos implicam na possibilidade da perda 
de valor da informação devido a um evento provocado por uma ameaça que pode 
trazer danos a estas características. Uma vez concretizado o risco, este evento 
ou ocorrência é, então, denominado incidente de segurança da informação. 
Esses incidentes são eventos ocasionados ou provocados por imperícia ou 
imprudência, mau uso ou uso de má fé que, explorando a existência de falhas, 
situações não previstas ou fraquezas de um sistema computacional, ou em 
decorrência delas – as vulnerabilidades causam o uso indevido do sistema ou das 
informações tratadas por este. 
Os incidentes de segurança da informação mais conhecidos estão 
associados ao acesso, modificação ou divulgação da informação sem o 
consentimento dos seus proprietários ou gestores, além da violação de regras e 
políticas das organizações. Entretanto, os erros e as falhas dos sistemas 
computacionais de qualquer porte, a indisponibilidade ou a má qualidade de 
serviços, cuja finalidade é prover a informação – como uma conexão à internet ou 
até mesmo uma chamada telefônica – também podem configurar um incidente de 
segurança da informação. 
Sob um ponto de vista abrangente, os incidentes de segurança da 
informação incluem, além de tentativas e ações nitidamente fraudulentas ou 
criminosas, o baixo desempenho, as falhas e os erros dos sistemas 
computacionais em geral, pois tais eventos disponibilizam ou invalidam a 
informação necessária à uma atividade ou tarefa. 
A qualidade dos processos ou dos serviços cuja finalidade é prover a 
informação também pode afetar as características da segurança da informação e 
expor as informações a riscos ou depreciação de seu valor, tornando-a até mesmo 
inútil. 
 
 
5 
1.3 Faltas, erros e falhas 
Quando consideramos um sistema computacional, o uso da informação 
depende de um conjunto de componentes e funcionalidades que interagem entre 
si, com o usuário, com o próprio ambiente computacional no qual estes operam – 
hardware, sistema operacional, redes e programas de aplicação ou software – e, 
portanto, é dependente do comportamento e do correto funcionamento de todo 
este complexo sistema. Qualquer anomalia no funcionamento ou no 
comportamento de um ou mais desses elementos pode causar problemas, 
transformando-se em um incidente de segurança da informação. Estas anomalias 
poder ter origem intencional – causada por um agente malicioso – ou acidental, 
causada por falhas físicas, de projeto ou decorrente douso inadequado. 
Um software ou sistema computacional deve prover um serviço ao usuário 
por meio de suas interfaces – sendo a parte perceptível ao usuário decorrente da 
interface externa do sistema, e o restante decorrente de suas interfaces internas. 
Esses serviços são ameaçados por falhas, erros e faltas. 
Segundo Avizienis (2004) um serviço provido pelo software ou sistema 
pode falhar por não atender à especificação funcional ou porque essa 
especificação não reflete corretamente a necessidade do usuário, levando o 
serviço de seu estado correto para um estado incorreto – ou indisponibilidade – 
para o qual deverá ser providenciada uma recuperação. Esse desvio ou mudança 
de estado – de correto para incorreto – é denominado erro, e a causa do erro é 
uma falta. Ou seja, um erro é uma parte dos estados do sistema que pode levar a 
uma falha no serviço prestado por esse sistema, isto é, uma falha ativa. 
Entretanto, alguns erros podem não ocasionar uma falha de imediato ou na 
sequência das operações de determinada funcionalidade, redundando em uma 
falta dormente ou inativa. 
As falhas também podem resultar em uma degradação do serviço prestado, 
com redução do desempenho, inexatidão ou entrega parcial dos serviços, ou seja, 
em uma falha parcial que não comprometa todo o sistema, fazendo-o operar de 
forma mais demorada, em regime parcial, limitado ou de emergência. 
Considerando a ameaça representada por tais desvios, é necessário empregar 
todos os meios possíveis para mitigar – isto é, atenuar – os riscos que elas 
representam, buscando a confiabilidade do sistema. Os meios para atingir a 
confiabilidade necessária aos sistemas podem ser agrupados em: 
 
 
6 
 Prevenção de falhas, isto é, as formas de prevenir as ocorrências ou a 
introdução de falhas; 
 Tolerância a falhas, ou seja, evitar a falha dos serviços mesmo na 
ocorrência de falhas no sistema; 
 Remoção de falhas, o que significa reduzir o número e a gravidade das 
falhas. 
A garantia da confiabilidade é a manutenção da previsibilidade do 
comportamento do software ou do sistema como um todo, de modo que, dadas 
as condições estabelecidas no projeto, os resultados esperados sejam 
apresentados. 
1.4 Ameaças, ataques e malwares 
As ameaças estão presentes em todo o ciclo de vida da informação, desde 
sua geração até o descarte. Em se tratando de sistemas computacionais que 
suportam a informação, as ameaças permeiam todo o ciclo de vida dos sistemas, 
desde a concepção e projeto de desenvolvimento do software até seu momento 
de desativação. Parte dessas ameaças, como já visto, podem ser decorrentes de 
faltas, erros e falhas de causa não humana e/ ou não intencional. 
Existem também as ameaças causadas intencionalmente e por agentes 
humanos – os ataques – comandados por indivíduos mal-intencionados e com 
propósitos ruins, os quais, explorando fraquezas, falhas de projeto ou falta de 
proteção adequada, interferem no funcionamento dos sistemas e provocam danos 
às informações ou serviços providos por estes. Boa parte destes ataques fazem 
uso dos softwares maliciosos – os malwares, do Inglês malicious software – 
para conseguir seus objetivos. Este tipo de software recebe diversas 
denominações em função de suas características e propósitos, como as 
estabelecidas por Lapolla (2013), a saber: 
 Vírus – uma sequência de código cuja finalidade é reproduzir-se em áreas 
importantes dos dispositivos de armazenamento (discos, pendrives, 
memory cards etc.) ou se anexando a programas e arquivos. 
 Worms (vermes) – programas que se propagam por meio de cópias de si 
próprios para os dispositivos de armazenamento por meio das redes, sem, 
a princípio, contaminar programas e arquivos. 
 
 
7 
 Trojans (cavalos de Tróia) – uma forma de software com alguma 
funcionalidade específica e interessante, como a recuperação de senha de 
programas ou arquivos protegidos, a conversão de formatos de arquivos 
de dados ou a geração de números de licença para software licenciado, por 
exemplo, e que traz em seu código funcionalidades maliciosas com o intuito 
de explorar as vulnerabilidades. 
 Rootkits – códigos maliciosos que normalmente infectam o sistema 
operacional com o intuito de ocultar operações que demonstram a 
contaminação – por vírus ou cavalos de Tróia, por exemplo, desabilitar ou 
superar uma contramedida ou defesa – como antivírus ou firewalls, e 
também permitir que um usuário mal-intencionado tenha acesso ou mesmo 
controle o dispositivo infectado. 
 Botnets (de Robot Network) – agentes de software autônomos e 
automáticos cuja finalidade é colocar os dispositivos contaminados a 
serviço de um controlador, formando assim uma rede de zumbis prontos 
para executar tarefas como o envio de spam ou ataques de DoS. 
 Spywares – programas que recolhem informações fornecidas pelo usuário 
e sobre o uso que este faz do seu equipamento e as transmite a uma 
entidade externa, geralmente na internet. Essas informações são 
posteriormente usadas para burlar sistemas de autenticação e verificação 
de identidade ou como base para trabalhos de engenharia social com o 
intuito de possibilitar operações fraudulentas baseadas em falsidade 
ideológica. 
 Exploits – programas ou trechos de código que buscam explorar 
vulnerabilidades ou falhas de ambientes computacionais – geralmente dos 
sistemas operacionais – recentemente descobertas para conseguir acesso 
privilegiado aos sistemas; 
 RiskTools ou Riskware – programas ou funcionalidades de programas 
cujo intuito é avaliar vulnerabilidades do ambiente computacional para 
então comunicá-las à sua fonte, possibilitando assim a exploração dessas 
vulnerabilidades de forma mais efetiva. Seu modo de atuação assemelha-
se aos Trojans, com a diferença que geralmente trazem um apelo à 
elevação da segurança do ambiente, promovendo falsas notificações de 
ameaças ou falhas como reforço para a sua instalação. 
 
 
8 
 Adwares – programas ou funcionalidades de programas – normalmente 
shareware – que apresentam anúncios de versões mais completas ou 
outros produtos do fabricante, e muitas vezes obtém informações sobre o 
usuário e o ambiente computacional e as enviam, sem seu consentimento 
ou conhecimento, para uma base de dados remota, com o intuito de avaliar 
o perfil e o possível interesse do usuário. 
De maneira geral, o termo vírus de computador é usado pela mídia e pelo 
público como sinônimo de malware, representando qualquer software, programa 
ou agente que interfere no funcionamento de um sistema com o propósito de 
modificar seu funcionamento e obter algum proveito desta modificação. 
1.5 Vulnerabilidades 
As falhas decorrentes da interação – ou operacionais – ocorrem durante o 
uso do sistema e em função da interação deste com o ambiente e com os 
usuários, de problemas na configuração ou da mudança de parâmetros 
operacionais, da instalação, da manutenção ou da atualização do sistema. 
Geralmente, essas falhas ocorrem devido a uma vulnerabilidade, isto é, um 
evento ou situação interna que possibilita a um agente externo – geralmente 
malicioso – atingir o sistema. 
As vulnerabilidades podem ser de desenvolvimento ou operacionais. Elas 
podem ser maliciosas ou não – tal como podem ser os agentes que as exploram. 
Nesse aspecto, existem semelhanças interessantes e óbvias entre uma tentativa 
de intrusão e uma falha externa física que explora (exploits) uma vulnerabilidade. 
A vulnerabilidade também pode ser resultado de uma falha de desenvolvimento 
deliberado, por questões de redução de custo ou por questão de usabilidade, 
resultando em uma proteção limitada, ou mesmo na ausência total de proteção. 
As falhas físicas estão mais diretamente relacionadas a aspectos 
ambientais que interferem no hardware, como interferência eletromagnética, 
ruídos e problemas da alimentação elétrica ou de temperatura de operação e, de 
certo modo, podem ser tambémconsideradas como vulnerabilidades. 
Algumas características de dispositivos e ambientes computacionais 
favorecem as vulnerabilidades, como a mobilidade, a flexibilidade, a capacidade 
de personalização, a conectividade, a convergência de tecnologias e capacidades 
reduzidas de armazenamento e processamento de informações. Em função disso, 
 
 
9 
os dispositivos de computação móvel como smartphones e tablets são 
considerados os mais vulneráveis. 
TEMA 2 – PROTEÇÃO DA INFORMAÇÃO 
Os procedimentos que buscam dar à informação a necessária e devida 
proteção incluem processos, mecanismos, técnicas, métodos e ferramentas que 
permeiam os três níveis – estratégico, tático e operacional – da organização. Esta 
proteção está diretamente relacionada com o entendimento e comprometimento 
de todos os envolvidos – direta ou indiretamente – com o negócio da organização. 
Isto é um princípio básico da segurança da informação: a organização estará 
segura à medida em que todos os que dela fazem parte – ou se relacionam com 
ela no desempenho de suas atividades – estiverem protegidos e se submeterem 
aos procedimentos de segurança. 
Para isto, a organização deve dispor de uma Política de Segurança da 
Informação (PSI) que estabeleça claramente os objetivos a serem alcançados, o 
grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas 
as iniciativas da organização relativas à segurança da informação. É fundamental 
que todos na organização tenham conhecimento desta PSI, comprometam-se e 
atuem para colocá-la em prática e torná-la efetiva. 
2.1 Política de segurança da informação 
A PSI deve estar submetida à legislação, alinhada com as práticas de 
governança corporativa e adequada às normas e regulamentos aos quais a 
organização está sujeita. A este aspecto denominamos compliance ou 
conformidade, o que deve ser aferido por meio de processos de certificação e/ ou 
auditorias, e torna a organização digna de confiança por parte dos governos, das 
outras organizações e do público em geral. 
A PSI também estabelece a hierarquia e as responsabilidades pela 
segurança da informação da organização, levando em conta que a segurança da 
informação não é responsabilidade exclusiva da área de tecnologia da 
informação, comunicação e sistemas – TICS – e tampouco restrita aos aspectos 
tecnológicos. 
Derivam dessa PSI e, portanto, devem ser compatíveis com ela as normas 
internas, os regramentos e os procedimentos operacionais que visam a manter a 
 
 
10 
segurança da informação nos níveis adequados ao negócio da organização. Estes 
conjuntos de ordenamentos consideram as pessoas, os processos e as 
tecnologias envolvidas no ciclo de vida da informação, estabelecendo objetivos e 
critérios claros e compatíveis, além de mensuráveis e verificáveis, para que 
possam ser auditados e submetidos a processos de melhoria contínua, uma vez 
que a informação e os mecanismos que a suportam estão em constante processo 
de evolução. 
2.2 Serviços de segurança da informação 
Para garantir um determinado tipo de segurança a um sistema, com base 
na PSI, e implementar os processos e procedimentos necessários, são definidos 
os serviços de segurança. Um padrão estabelecido pela ITU-T1 e denominado 
recomendação X-800 – Service Architecture for OSI –, que é baseada no modelo 
ISO-OSI2 para a interconexão de sistemas abertos, aborda os ataques, os 
mecanismos e os serviços de segurança. Os serviços, em um total de quatorze, 
são distribuídos em cinco categorias, como mostramos a seguir: 
 Autenticação: que permite certificar-se que o interlocutor seja realmente 
aquele quem diz ser. Pode ser de entidade pareada, quando duas 
entidades conectadas fornecem reciprocamente as suas identificações, ou 
da origem de dados, para as comunicações em conexão, garantindo a 
identidade da origem dos dados. 
 Controle de acesso: previne o uso não autorizado, estabelecendo quem 
pode acessar, sob quais condições e o que é permitido nesse acesso. 
 Confidencialidade dos dados: trata da proteção contra o acesso e a 
divulgação não autorizada. Pode ser: 
 De conexão, abrangendo todos os dados em uma conexão; 
 Sem conexão, cobrindo uma determinada quantidade ou bloco de 
informações; 
 Com campo seletivo, tratando de informações específicas em um bloco 
ou conexão; 
 
1 ITU-T é a International Telecommunication Union – Telecommunication Standardization Sector, 
uma agência ligada à Organização das Nações Unidas – ONU –, voltada para a padronização das 
telecomunicações e a interconexão de sistemas abertos –OSI. 
2 O modelo ISO-OSI estabelece sete camadas nos processos de comunicação de dados entre 
sistemas abertos. 
 
 
11 
 De fluxo de tráfego, para os dados de uma conexão que são fornecidos 
em fluxo. 
 Integridade dos dados: dá a certeza que os dados recebidos são 
exatamente os que foram enviados. Pode ser: 
 Da conexão com recuperação, cuidando da integridade de uma 
conexão e identificando alterações e ativando as tentativas de 
recuperação da integridade; 
 Da conexão sem recuperação, semelhante à anterior, porém sem as 
tentativas de recuperação; 
 Com campo seletivo, verifica a integridade de campos específicos em 
um bloco de dados, identificando alterações; 
 Sem conexão, tratando da integridade de um bloco de dados, podendo 
também identificar, de forma limitada, o repasse dos dados; 
 Sem conexão com campo seletivo, valida a integridade de campos 
específicos em um bloco de dados em um processo desconectado. 
 Irretratabilidade, não repúdio ou responsabilização: protege contra a 
negação, por parte de um interlocutor, de ter participado do processo ou de 
parte dele. Pode ser: 
 Origem: garante que a informação foi enviada ou que o processo foi 
originado pela parte identificada; 
 Destino: garante que a informação foi recebida ou que o processo foi 
concluído pela parte identificada. 
2.3 Mecanismos de segurança da informação 
Para viabilizar a maioria dos ordenamentos da PSI, é necessário 
estabelecer os requisitos de segurança da organização e as características 
técnicas que definirão as escolhas de processos, produtos e serviços. 
Segundo Stallings (2013), os mecanismos de segurança constituem-se de 
processos, software ou equipamentos cujo objetivo é identificar, evitar, minimizar 
ataques à segurança da informação ou restabelecer a normalidade face a um 
incidente de segurança da informação. Os mecanismos de segurança são 
agrupados em mecanismos específicos e difusos. Os mecanismos específicos, 
que fazem parte de protocolos de comunicação específicos, são: 
 
 
12 
 Codificação: transforma a informação por meio de fórmulas matemáticas 
– algoritmos – e chaves de criptografia, de modo que não possa ser 
utilizada, porém, possa ser recuperada quando necessário. 
 Assinatura digital: acrescenta aos dados codificados informações que 
garantem sua integridade e origem, impedindo a falsificação. 
 Controle de acesso: identifica e autoriza as requisições para uso dos 
recursos de acordo com os direitos estabelecidos. 
 Integridade: estabelece formas de garantir que os dados não foram 
alterados indevidamente durante os processos ou tráfego de dados. 
 Autenticação: viabiliza a garantia das identidades envolvidas em um 
processo de modo a evitar a falsidade ideológica. 
 Preenchimento de tráfego: inserção de dados aleatórios (ou bits) para 
confundir a análise de um conjunto de dados armazenados ou em tráfego. 
 Controle de rota: seleção de rotas seguras para o tráfego de dados ou 
mudança de rota em caso de suspeita de falhas de segurança. 
 Notarização: garantia das propriedades de segurança por meio de um 
terceiro confiável (o “cartório”). 
Os mecanismos difusos, isto é, aqueles que não fazem parte de protocolos 
de comunicação ou de serviços específicos, são: 
 Funcionalidade confiável:algo que se pode constatar que é adequado ou 
correto segundo critérios previamente definidos, como na PSI, por exemplo. 
 Rótulo de segurança: uma identificação associada a recursos ou à 
informação que estabelece os seus atributos de segurança. 
 Detecção de evento: a identificação de incidentes de segurança. 
 Trilha de auditoria de segurança: registro das operações que possibilita 
a reconstituição dos eventos na sequência cronológica, independente dos 
registros e das operações do sistema. 
 Recuperação de segurança: operações de tratamento e gerenciamento 
de incidentes com o objetivo de restabelecer a normalidade. 
TEMA 3 – SEGURANÇA DA INFRAESTRUTURA 
A informação é suportada por diversos níveis de estruturas, desde as 
instalações físicas até os dispositivos de tecnologia utilizados para coletar, 
produzir, armazenar e transportar a informação. Essas estruturas necessitam ser 
 
 
13 
atendidas por medidas de segurança diversas, pois, uma vez atingidas por um 
incidente, comprometerão também a segurança da informação. 
Essa proteção, também denominada segurança física ou do ambiente, 
compreende: 
 O estabelecimento de medidas e mecanismos de segurança para a 
definição de áreas seguras, para as quais há o controle de acesso físico; 
 A proteção das instalações contra ameaças internas, externas e 
ambientais; 
 A definição e o monitoramento das atividades nas áreas seguras; 
 A definição e o tratamento adequado das áreas de conexão (recepção, 
entrega, carga e descarga, emergência etc.). 
No que se refere aos dispositivos e equipamentos, a gestão de ativos é de 
suma importância para a segurança da informação. Em um mundo conectado e 
mobile, o uso adequado da computação em nuvem, dos dispositivos portáteis e 
mídias removíveis é crucial para a garantia da segurança, e deve ser totalmente 
orientado pela PSI. Itens como BYOD3 e uso de equipamentos pessoais são 
questões críticas que merecem redobrada atenção. A segurança deve tratar pelo 
menos dos seguintes aspectos: 
 A identificação, a localização e a responsabilidade pelo uso (itens do 
inventário); 
 A composição, incluindo acessórios, suprimentos e unidades de apoio; 
 O controle de acesso, manutenção e os procedimentos para mudanças, 
remoção ou uso fora do local de instalação; 
 Os processos para alienação, reuso ou descarte. 
TEMA 4 – SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE 
Uma abordagem bastante efetiva para prover a segurança da informação 
é a adoção dos mecanismos de segurança desde o início do processo de 
desenvolvimento do software. Quanto mais cedo neste processo tratarmos os 
riscos, as ameaças e as formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quanto às 
 
3 BYOD ou Bring Your Own Device, literalmente “traga seu próprio dispositivo” implica em usar 
equipamentos pessoais – como os tablets e smartphones, por exemplo – para o desempenho das 
atividades profissionais ou no ambiente da organização. 
 
 
14 
estratégias e mecanismos de segurança a serem adotados, métodos, técnicas e 
ferramentas auxiliares e disponíveis para o processo de desenvolvimento e a 
redução do custo para a implementação da segurança. 
A segurança no processo de desenvolvimento deve contemplar o projeto 
do software, o ambiente de desenvolvimento em si e a garantia da segurança 
quando da operação do software. Uma boa parte desta segurança é estabelecida 
pelos procedimentos de testes de software, os quais são frequentemente 
negligenciados em função de custos e prazos reduzidos, já que as etapas de 
testes compõem o fim do processo de desenvolvimento e geralmente são usadas 
como “áreas de escape” para compensar os atrasos dos projetos. A consequência 
disto é que faltas, erros e vulnerabilidades são identificadas tardiamente, quando 
sua correção ou eliminação tornam-se muito dispendiosas ou inviáveis, 
normalmente quando o software já se encontra em operação. 
A norma ISO/IEC 15408 é um padrão internacional para o desenvolvimento 
de software seguro, contemplando os três aspectos citados: a segurança do 
software, a segurança do ambiente de desenvolvimento e a garantia de segurança 
do software desenvolvido. 
TEMA 5 – SEGURANÇA DE RECURSOS HUMANOS E DOS PROCESSOS 
A segurança da informação depende estritamente das pessoas envolvidas 
nos processos de tratamento da informação. É consenso que o elo mais fraco na 
cadeia de elementos da segurança da informação é o das pessoas, e, por isso, 
toda atenção é requerida no trato com esse elemento. 
Além da divulgação da PSI e procedimentos de conscientização, 
capacitação e comprometimento com a segurança da informação na organização, 
são necessários alguns procedimentos básicos e indispensáveis, como: 
 Procedimentos no processo de recrutamento e seleção, contratação e 
admissão de pessoal; 
 Procedimentos no processo de férias, afastamento ou demissão de 
pessoal; 
 Procedimentos no processo mudança ou realocação de pessoal; 
 Procedimentos no processo de terceirização de atividades e da prestação 
de serviços. 
 
 
15 
 No que se refere aos processos operacionais da organização, a segurança 
da informação depende significativamente dos fluxos de trabalho e da sequência 
de eventos de tratamento da informação. Por isso, é indispensável a aplicação de 
regras para os procedimentos operacionais e, mais ainda, a designação de 
responsabilidades tanto pelo respeito a essas regras quanto pela garantia de seu 
cumprimento, incluindo-se aí as penalizações. Além disso, é necessário 
estabelecer o processo de gerenciamento de capacidade operacional, de 
mudança, de versões e atualizações e de vulnerabilidades de todos os 
dispositivos utilizados na operação dos negócios. 
LEITURA OBRIGATÓRIA 
 TANENBAUM, 2011 – Capítulo 8 (p. 479–544) 
 STALLINGS, 2015 – Capítulo 1 (p. 6–19). 
 HINTZBERGEN, 2018 – Capítulos 8 e 11. 
 HINTZBERGEN, 2018 – Capítulo 14. 
 HINTZBERGEN, 2018 – Capítulos 7, 12 e 15. 
 
 
 
16 
REFERÊNCIAS 
ABNT – Associação Brasileira de Normas Técnicas. ISO 27002:2013. Segurança 
da Informação – coletânea eletrônica. Rio de Janeiro: ABNT, 2014. 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação com base 
na ISO 27.001 e na ISO 27.002. Rio de Janeiro: Brasport, 2018. 
KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: uma nova 
abordagem. São Paulo: Pearson, 2003. 
NIST – National Institute of Standards and Technology. An introduction to 
Information Security. Natl. Inst. Stand. Technol. Spec. Publ. 800-12 Rev. 1, jun. 
2017. Disponível em: . Acesso em: 22 
out. 2018. 
STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. 
São Paulo: Pearson Education do Brasil, 2015. 
TANENBAUM, A. S.; WETHERALL, D. Redes de computadores. 5. ed. São 
Paulo: Pearson, 2011. 
VELHO, J. A. Tratado de computação forense. Campinas: Millenium, 2016.