Introdução à segurança informática

Março 2017

Com o desenvolvimento do usa da Internet, cada vez mais empresas abrem o seu sistema de informação aos seus parceiros ou fornecedores, então, é essencial conhecer os recursos da empresa para proteger e dominar o controle de acesso e os direitos dos usuários do sistema de informação. O mesmo acontece na abertura do acesso à empresa na Internet. Além disso, com o nomadismo, que consiste em permitir aos funcionários conectarem-se ao sistema de informação em qualquer lugar, eles são levados a transportar uma parte do sistema de informação para fora da infraestrutura protegida da empresa.

Introdução à segurança

O risco em termos de segurança caracteriza-se geralmente pela seguinte equação:
Risco = (Ameaça x Vulnerabilidade) / Medida defensiva]

A ameaça (em inglês, threat) representa o tipo de ação susceptível de prejudicar, enquanto a vulnerabilidade (em inglês, vulnerability, às vezes chamada de falha ou brecha) representa o nível de exposição à ameaça num contexto específico. Por último, a medida defensiva é o conjunto das ações implementadas para a prevenção da ameaça.

As medidas defensivas a serem aplicadas não são apenas soluções técnicas, mas também medidas de formação e sensibilização para os usuários, assim como um conjunto de regras claramente definidas.

A fim de poder proteger um sistema, é preciso identificar as ameaças potenciais e, consequentemente, conhecer e prever a maneira de proceder do inimigo. O objetivo deste artigo é apresentar um resumo das motivações eventuais dos hackers, classificar estes últimos e, por último, dar uma ideia sobre a sua maneira de proceder para compreender melhor como é possível limitar os riscos de intrusões.

Objetivos da segurança informática

O sistema de informação define-se geralmente como o conjunto dos dados e dos recursos materiais e softwares da empresa que permite armazená-los ou fazê-los circular. O sistema de informação representa um patrimônio essencial da empresa, que deve ser protegido. De um modo geral, a segurança informática consiste em garantir que os recursos materiais ou softwares de uma organização sejam utilizados apenas no âmbito previsto.

A segurança informática tem cinco objetivos principais:

A integridade, ou seja, garantir que os dados sejam exatamente o que pensamos ser,
A confidencialidade, que consiste em garantir que só as pessoas autorizadas têm acesso aos recursos trocados,
A disponibilidade, que permite manter o bom funcionamento do sistema de informação,
O Não-repúdio, que permite garantir que uma transação não possa ser negada,
A autenticação, que consiste em garantir que só as pessoas autorizadas têm acesso aos recursos.

A confidencialidade

A confidencialidade consiste em tornar a informação ininteligível para outras pessoas além dos atores da transação.

A integridade

Verificar a integridade dos dados consiste em determinar se eles não foram alterados durante a comunicação (de maneira fortuita ou intencional).

A disponibilidade

O objetivo da disponibilidade é garantir o acesso a um serviço ou recursos.

O não-repúdio

O não-repúdio da informação é a garantia de que nenhum dos correspondentes poderá negar a transação.

A autenticação

A autenticação garante a identidade de um usuário, ou seja, que cada um dos correspondentes assegure que o seu parceiro é efetivamente aquele que ele acredita ser. Um controle de acesso pode permitir (por exemplo, por meio de uma senha que deverá ser codificada) o acesso a recursos às pessoas autorizadas, unicamente.

Necessidade de uma abordagem global

A segurança de um sistema informático é frequentemente objeto de metáforas. Na verdade, a comparamos regularmente com uma corrente, explicando que o nível de segurança de um sistema é caracterizado pelo nível de segurança do elo mais fraco. Desta forma, uma porta blindada é inútil numa construção se as janelas estiverem abertas para a rua. Isto significa que a segurança deve ser abordada num contexto global e, principalmente, levar em conta os seguintes aspectos:


A sensibilização dos usuários para os problemas de segurança.
A segurança lógica, ou seja, a segurança a nível dos dados, principalmente os dados da empresa, os aplicativos ou ainda os sistemas operacionais.
A segurança das telecomunicações : tecnologias de rede, servidores da empresa, redes de acesso, etc.
A segurança física, ou seja, a segurança a nível das infraestruturas materiais: salas protegidas, lugares abertos ao público, espaços comuns da empresa, postos de trabalho do pessoal, etc.

Implementação de uma política de segurança

A segurança dos sistemas informáticos limita-se a garantir os direitos de acesso aos dados e recursos de um sistema implementando mecanismos de autenticação e de controle, que permitem garantir que os usuários dos ditos recursos possuem unicamente os direitos que lhes foram concedidos. No entanto, os mecanismos de segurança implementados podem provocar um embaraço a nível dos usuários e as instruções e regras tornam-se cada vez mais complicadas à medida que a rede se estender. Assim, a segurança informática deve ser estudada de maneira a não impedir os usuários de desenvolver os usos necessários e fazer com que possam utilizar o sistema de informação em total confiança. Esta é a razão pela qual é preciso definir, em primeiro lugar, uma política de segurança cuja implementação seja feita de acordo com as quatro seguintes etapas:


Identificar as necessidades em termos de segurança, os riscos informáticos que pesam sobre a empresa e as suas eventuais consequências.
Elaborar regras e procedimentos a serem implementados nos diferentes serviços da organização para os riscos identificados.
Supervisionar e detectar as vulnerabilidades do sistema de informação e manter-se informado sobre as falhas nas aplicações e hardwares utilizados.
Definir as ações a serem empreendidas e as pessoas a serem contatadas em caso de detecção de uma ameaça.

A política de segurança é o conjunto das orientações seguidas por uma organização (em sentido lato) em termos de segurança. A esse respeito ela deve ser elaborada a nível da direção da organização em questão, porque se refere a todos os usuários do sistema. A esse respeito, não cabe só aos administradores informáticos definir os direitos de acesso dos usuários, mas aos responsáveis hierárquicos dos mesmos. O papel do administrador informático é garantir que os recursos informáticos e os direitos de acesso a estes estejam conformes à política de segurança definida pela organização. Além disso, já que ele é o único a conhecer perfeitamente o sistema, cabe a ele passar as informações relativas à segurança à sua direção e, eventualmente, aconselhar os tomadores de decisão sobre as estratégias a serem aplicadas, assim como ser o ponto de entrada relativo à comunicação destinada aos usuários sobre os problemas e recomendações em termos de segurança.

A segurança informática da empresa se baseia num bom conhecimento das regras pelos funcionários, graças a ações de formação e de sensibilização junto aos usuários, mas ela deve ir além disso e, principalmente, cobrir os seguintes campos:


Um dispositivo de segurança físico e lógico, adaptado às necessidades da empresa e aos usos dos usuários,
Um procedimento de gestão das atualizações,
Uma estratégia de backup corretamente planificada,
Um plano de retomada após incidentes,
Um sistema documentado atualizado.

As causas da insegurança

Geralmente, distinguimos dois tipos de insegurança:


O estado ativo de insegurança, ou seja, o não conhecimento pelo usuário das funcionalidades do sistema, algumas delas podendo ser-lhe prejudiciais (por exemplo, o fato de não desativar serviços de redes não necessárias ao usuário).
O estado passivo de insegurança, ou seja, o não conhecimento dos meios de segurança implementados, por exemplo, quando o usuário (ou o administrador) de um sistema não conhece os dispositivos de segurança de que dispõe.

Veja também


Introduction to IT Security
Introduction to IT Security
Introducción a la seguridad informática
Introducción a la seguridad informática
Introduction à la sécurité informatique
Introduction à la sécurité informatique
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
Este documento, intitulado 'Introdução à segurança informática', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.