Introdução à segurança informática

Julho 2015
Com o desenvolvimento da utilização de Internet, cada vez mais empresas abrem o seu sistema de informação aos seus parceiros ou aos seus fornecedores, é por conseguinte essencial conhecer os recursos da empresa a proteger e dominar o controlo de acesso e os direitos dos utilizadores do sistema de informação. O mesmo aquando da abertura do acesso à empresa na Internet. Além disso, com o nomadismo, consistindo em permitir ao pessoal ligar-se ao sistema de informação a partir de qualquer lugar, o pessoal é levado a “transportar” uma parte do sistema de informação para fora da infra-estrutura protegida da empresa.

Introdução à segurança


O risco em termos de segurança carateriza-se geralmente pela equação seguinte :

risque = (menace * vulnerabilite) / contre mesure


A ameaça (em inglês “threat”) representa o tipo de acção susceptível de prejudicar em absoluto, enquanto a vulnerabilidade (em inglês “vulnerability”, chamada às vezes falha ou brecha) representa o nível de exposição à ameaça num contexto específico. Por último, a medida defensiva é o conjunto das acções implementadas para a prevenção da ameaça.

As medidas defensivas a aplicar não são unicamente soluções técnicas, mas igualmente medidas de formação e sensibilização para os utilizadores, bem como um conjunto de regras claramente definidas.

A fim de poder proteger um sistema, é necessário identificar as ameaças potenciais, e por conseguinte conhecer e prever a maneira de proceder do inimigo. O objectivo deste dossier é assim apresentar um resumo das motivações eventuais dos piratas, calassificar estes últimos, e por último dar uma ideia da sua maneira de proceder para compreender melhor como é possível limitar os riscos de intrusões.

Objectivos da segurança informática

O sistema de informação define-se geralmente como o conjunto dos dados e dos recursos materiais e software da empresa que permite armazená-los ou fazê-los circular. O sistema de informação representa um património essencial da empresa, que convém proteger.

A segurança informática, geralmente, consiste em garantir que os recursos materiais ou software de uma organização são utilizados unicamente no âmbito previsto.

A segurança informática visa geralmente cinco objectivos principais:

  • A integridade, ou seja, garantir que os dados são efectivamente os que crê ser;
  • A confidencialidade, consistindo em assegurar que só as pessoas autorizadas têm acesso aos recursos trocados;
  • A disponibilidade, permitindo manter o bom funcionamento do sistema de informação;
  • Não repudiação, permitindo garantir que uma transacção não pode ser negada;
  • A autenticação, consistindo em assegurar que só as pessoas autorizadas têm acesso aos recursos.

A confidencialidade

A confidencialidade consiste em tornar a informação initeligível para outras pessoas além dos actores da transação.

A integridade

Verificar a integridade dos dados consiste em determinar se os dados não foram alterados durante a comunicação (de maneira fortuita ou intencional).

A disponibilidade

O objectivo da disponibilidade é garantir o acesso a um serviço ou recursos.

A não-repudiação

A não répudiation da informação é a garantia de que nenhum dos correspondentes poderá negar a transacção.

A autenticação

A autenticação consiste em garantir a identidade de um utilizador, ou seja, garantir a cada um dos correspondentes que o seu parceiro é efectivamente aquele que crê ser. Um controlo de acesso pode permitir (por exemplo, por meio de uma senha que deverá ser codificada) o acesso a recursos unicamente às pessoas autorizadas.

Necessidade de uma abordagem global

A segurança de um sistema informático é frequentemente objecto de metáforas. Com efeito, compara-se regularmente a uma cadeia explicando que o nível de segurança de um sistema é caracterizado pelo nível de segurança do elo mais fraco. Assim, uma porta blindada é inútil numa construção se as janelas estiverem abertas para a rua.

Isto significa que a segurança deve ser abordada num contexto global e nomeadamente ter em conta os aspectos seguintes :

  • A sensibilização dos utilizadores para os problemas de segurança
  • A segurança lógica, ou seja, a segurança a nível dos dados, nomeadamente os dados da empresa, as aplicações ou ainda os sistemas de exploração.
  • A segurança das telecomunicações: tecnologias rede, servidores da empresa, redes de acesso, etc.
  • A segurança física, ou seja a segurança a nível das infra-estruturas materiais: salas protegidas, lugares abertos ao público, espaços comuns da empresa, postos de trabalho do pessoal, etc.

Implementação de uma política de segurança

A segurança dos sistemas informáticos limita-se geralmente a garantir os direitos de acesso aos dados e recursos de um sistema implementando mecanismos de autenticação e de controlo que permitem garantir que os utilizadores dos ditos recursos possuem unicamente os direitos que lhes foram concedidos.

Os mecanismos de segurança implementados podem no entanto provocar um embaraço a nível dos utilizadores e as instruções e regras tornam-se cada vez mais complicadas à medida que a rede se estender. Assim, a segurança informática deve ser estudada de maneira a não impedir os utilizadores de desenvolver os usos que lhes são necessários, e de fazer de modo a que possam utilizar o sistema de informação em total confiança.

É a razão pela qual é necessário definir inicialmente uma política de segurança, cuja implementação se faz de acordo com as quatro etapas seguintes :

  • Identificar as necessidades em termos de segurança, os riscos informáticos que pesam sobre a empresa e as suas eventuais consequências;
  • Elaborar regras e procedimentos a implementar nos diferentes serviços da organização para os riscos identificados;
  • Supervisionar e detectar as vulnerabilidades do sistema de informação e manter-se informado das falhas sobre as aplicações e materiais utilizados;
  • Definir as acções a empreender e as pessoas a contactar em caso de detecção de uma ameaça;



A política de segurança é por conseguinte o conjunto das orientações seguidas por uma organização (em sentido lato) em termos de segurança. A esse respeito ela deve ser elaborada a nível da direcção da organização interessada, porque se refere a todos os utilizadores do sistema.

A esse respeito, não cabe só aos administradores informáticos definir os direitos de acesso dos utilizadores mas aos responsáveis hierárquicos destes últimos. O papel do administrador informático é por conseguinte garantir que os recursos informáticos e os direitos de acesso a estes estão em coerência com a política de segurança definida pela organização.

Além disso, já que é o único a conhecer perfeitamente o sistema, cabe-lhe fazer aumentar as informações relativas à segurança à sua direcção, eventualmente aconselhar as instâncias de decisão sobre as estratégias a aplicar, bem como ser o ponto de entrada relativo à comunicação destinada aos utilizadores sobre os problemas e recomendações em termos de segurança.

A segurança informática da empresa assenta num bom conhecimento das regras pelos empregados, graças a acções de formação e de sensibilização junto dos utilizadores, mas deve ir além disso e nomeadamente cobrir os seguintes campos :

  • Um dispositivo de segurança físico e lógico, adaptado às necessidades da empresa e aos usos dos utilizadores;
  • Um procedimento de gestão das actualizações;
  • Uma estratégia de salvaguarda correctamente planificada;
  • Um plano de retoma após incidente;
  • Um sistema documentado actualizado;

As causas da insegurança

Distinguem-se geralmente dois tipos de insegurança:

  • o estado acivo de insegurança, ou seja,o não conhecimento pelo utilizador das funcionalidades do sistema, algumas das quais lhe podem ser prejudiciais (por exemplo, o facto de não desactivar serviços de redes não necessárias ao utilizador)
  • o estado passivo de insegurança, ou seja a ignorância dos meios de segurança implementados, por exemplo quando o administrador (ou o utilizador) de um sistema não conhece os dispositivos de segurança de que dispõe.
Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Introducao-a-seguranca-informatica .pdf

Veja também


Introduction to IT Security
Introduction to IT Security
Introducción a la seguridad informática
Introducción a la seguridad informática
Einführung in die Informatiksicherheit
Einführung in die Informatiksicherheit
Introduction à la sécurité informatique
Introduction à la sécurité informatique
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
Este documento, intitulado « Introdução à segurança informática »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.