You are on page 1of 44

FACULDADE DE TECNOLOGIA DA ZONA LESTE FATEC-ZL

GUILHERME MASAHIRO IWAMOTO SCARDUELLI

Segurana da Informao nas Empresas,


problemas frequentes.

So Paulo
2009

GUILHERME MASAHIRO IWAMOTO SCARDUELLI

Segurana da Informao nas Empresas, problemas frequentes.

Monografia apresentada Faculdade de


Tecnologia da Zona Leste FATEC - ZL
para obteno do Ttulo de Tecnlogo em
Informtica para a Gesto de Negcios.

Orientador:
Lorenzo

So Paulo
2009

Prof.

Carlos

Alberto

Di

Autorizo a reproduo e divulgao total ou parcial deste trabalho, por qualquer meio
convencional ou eletrnico, para fins de estudo e pesquisa, desde que citada a fonte.

Aos meus amados pais, Eloi e Elisabete e minha irm


Paula.
Pelo carinho, amor e dedicao que me fora dedicado.
Sem eles no teria chego at aqui.

Agradecimentos
Agradeo primeiramente a Deus, por estar sempre presente.
Aos meus pais Eloi e Elisabete e a minha irm Paula pela compreenso,
apoio, pacincia e incentivo para eu no desistir.
Ao professor Carlos Alberto Di Lorenzo orientador, professor e amigo que me
ajudou durante o desenvolvimento deste trabalho.
Aos colegas e amigos que me apoiaram e incentivaram sempre que eu estava
perdendo as foras e me realocaram em meu caminho.

Nome: SCARDUELLI, Guilherme Masahiro Iwamoto


Titulo: Segurana da Informao nas empresas, problemas frequentes.

Monografia apresentada Faculdade de


Tecnologia da Zona Leste Fatec ZL,
para obteno do ttulo de Tecnlogo em
Informtica para Gesto de Negcios.

Aprovado em:

Banca Examinadora
Prof. Dr. ___________________________ Instituio: ________________________________
Julgamento_____________________ Assinatura: ___________________________
Prof. Dr. ___________________________ Instituio: ________________________________
Julgamento_____________________ Assinatura: ___________________________
Prof. Dr. ___________________________ Instituio: ________________________________
Julgamento_____________________ Assinatura: ___________________________

Resumo
SCARDUELLI, G. M. I. Segurana da Informao nas empresas, problemas
frequentes. 2009. 44 f. Monografia Faculdade de Tecnologia da Zona Leste, So
Paulo, 2009
A segurana da informao um aspecto muito importante e que preocupa a
maioria das organizaes existentes. Uma falha, um descuido e a falta de
conhecimento podem gerar prejuzos altssimos as organizaes. Atualmente as leis
que a defendem so fracas, porm a formas de preveno de que incidentes
ocorram dentro das organizaes. nesse contexto que o presente trabalho est
estruturado, apresentando sinteticamente e de forma introdutria, um apanhado
sobre os principais conceitos relacionados a Segurana da Informao e Direito
Digital para, a partir da, estudar os processos para implantao de normas de
segurana com a finalidade de proteger a informao dentro das organizaes.
Palavras-chave: segurana da informao, direito digital.

Abstract
SCARDUELLI, G. M. I. Enterprise Information security, frequent problems. 2009.
44 f. Monografia Faculdade de Tecnologia da Zona Leste, So Paulo, 2009
Information security is very important and concern to the majority of existing
organizations. A failure, the carelessness and the lack of knowledge can lead high
losses. Currently information security laws are weak, but there are many ways to
prevent incidents. This work is structured in this context, presenting an introductory
and summarized overview of the main concepts related to the Information Security
and Justice Digital. From there, it studies the process for implementation of security
rules in order to protect the information within organizations.
Keywords: Information security, Justice Digital

LISTA DE FIGURAS
Figura 1: Oito setores da segurana da informao.................................................19
Figura 2: Crescimento de cdigos maliciosos desde 2002 a 2008...........................22
Figura 3: Firewal.......................................................................................................27
Figura 4: Criptografia de chave pblica....................................................................28

SUMRIO
1.0 INTRODUO ....................................................................................................12
2.0 DIREITO E A SEGURANA DA INFORMAO ................................................13
2.1 Direito Digital .......................................................................................................13
2.2 Direito da Informtica ..........................................................................................13
2.3 Ambiente corporativo: Internet, e-mail e direitos .................................................13
2.3 Informao ..........................................................................................................17
2.4 Segurana da Informao ...................................................................................17
2.5 Setores da Segurana da Informao.................................................................19
2.5.1 Setor de segurana da informao administrativa e organizativa ....................20
2.5.2 Setor de segurana do pessoal........................................................................20
2.5.3 Setor de segurana fsica.................................................................................21
2.5.4 Setor de segurana do software.......................................................................21
2.5.5 Setor de segurana das telecomunicaes......................................................22
2.5.6 Setor de segurana das instalaes ................................................................23
2.5.7 Setor de segurana das operaes..................................................................23
2.5.8 Setor de segurana da informao ..................................................................24
2.6 Engenharia social................................................................................................24
2.7 Riscos a Segurana da Informao: Ameaas e Vulnerabilidades .....................25
2.7.1 Risco ................................................................................................................25
2.7.2 Ameaas ..........................................................................................................25
2.7.3 Vulnerabilidades...............................................................................................25
2.8 Princpios e mecanismo por trs da segurana...................................................26
2.8.1 Autenticao de usurio ...................................................................................26
2.8.2 Autorizao de uso...........................................................................................26
2.8.3 Controle de Acesso ..........................................................................................27
2.8.4 Criptografia.......................................................................................................27
2.9 Incidentes de Segurana.....................................................................................28
2.10 Polticas de Segurana......................................................................................29
2.10.1 Poltica de Uso Aceitvel................................................................................29
3.0 O CASO FICT TELECOMUNICAES ..............................................................31
3.1 Fict Telecomunicaes........................................................................................31
3.2 O Caso ................................................................................................................32

3.3 Anlise.................................................................................................................32
4.0 CONCLUSO......................................................................................................34
REFERNCIAS.........................................................................................................36
ANEXOS ...................................................................................................................38

12

1.0 INTRODUO
Cada vez mais o trabalho de Segurana da Informao exige um maior
preparo a fim de evitar riscos no uso das prprias medidas de proteo da empresa.
A falta de informao geralmente o que leva as pessoas a cometerem
condutas inadequadas. Se a empresa orienta-se seus funcionrios devidamente os
incidentes como sair de sua estao de trabalho deixando o computador ligado e
habilitado para uso atravs de sua identificao, passar sua senha e identificao de
acesso a outro colega, utilizar a internet para fins pessoais, deixar documentos
confidenciais soltos esquecidos na impressora, portar dados sigilosos em
dispositivos mveis como um pen-drive ou notebook, entre outros incidentes que
bastaria uma boa orientao e a criao de um cdigo de tica para preveni-los.
O extravio das informaes gera um custo enorme, muitas empresas esto
sujeitas a encar-lo, seja por descuido ou aes furtivas. Muitos eventos podem ser
poupados apenas supervisando de maneira clara e sem invadir a privacidade de
seus clientes internos.
Desta forma, fica clara a necessidade da criao de um cdigo de tica
abrangendo tambm a Tecnologia de Informao e o uso de normas e processos
para preveno e medidas a serem tomadas aps incidentes.

13

2.0 DIREITO E A SEGURANA DA INFORMAO

2.1 Direito Digital


Com a evoluo surgiram as mquinas e com elas novas formas de pensar,
novos horizontes a desvendar.
Como diz Patrcia Peck Pinheiro (2009, trilha 5),
De forma simples o direito digital a evoluo do prprio direito aplicado a atual
situao da sociedade logo rene um conjunto de princpios fundamentais e
instrumentos jurdicos j existentes. exige a releitura de normas j vigentes dentro
dos novos casos prticos e tambm abrange novas leis que so criadas como forma
natural de atualizao do prprio ordenamento jurdico. Trata-se do direito
multidisciplinar. Refere-se ao estrategista de direito voltado muito mais preveno
do que reao. Acaba exigindo mais dos cidados e no s dos profissionais de
direito. necessrio guardar todas as provas eletrnicas assim como guardamos os
documentos impressos, notas fiscais, entre outros.

2.2 Direito da Informtica


Como diz Fabrizio Rosa (2007, p.46):
pode-se dividir o chamado Direito da Informtica em dois ramos principais: O Direito
Civil da Informtica e o Direito Penal da Informtica. No mbito concernente ao de
Direito Civil da Informtica, este passaria a concentrar seus estudos no conjunto de
normas que regulariam as relaes privadas que envolvem a aplicao da
Informtica, quais sejam: computadores, sistemas, programas, cursos, direitos
autorais, documentos eletrnicos, assinaturas digitais, etc. J no que se refere ao
Direito Penal da Informtica, este seria o conjunto de normas destinadas a regular a
preveno, a represso e a punio relativamente aos fatos que atendem contra o
acesso, uso, explorao, segurana, transmisso e sigilo de dados armazenados e
de sistemas manipulados por estes equipamentos, os computadores.

2.3 Ambiente corporativo: Internet, e-mail e direitos

14

A internet foi desenvolvida pela Advanced Research Projects Agency , setor


de inteligncia do departamento de defesa dos Estados Unidos da Amrica
conhecida como ARPA, em 1969 devido a necessidades militares.
O correio eletrnico, chamado comumente de e-mail, foi criado por Ray
Tomlison, no ano de 1971, em Cambribge, Massachusetts. Permitindo usurios
enviar e receber mensagens, anexando documentos em vrios formatos (texto,
udio, vdeo, etc.), em funo de um software instalado em um computador que fica
ligado a uma rede de telecomunicao, como telefone, cabo, etc.
Com o tempo passou a ser utilizado nas mais diversas reas de atuao
(militar, trabalho, pesquisa, lazer, etc.), chegando ao ambiente de trabalho. Esta
utilizao otimiza o trabalho e agiliza a comunicao entre diferentes setores da
mesma empresa, gera economia de papel e outros bens, promovendo significativos
avanos para as empresas. Mas, infelizmente, existe o uso incorreto dessa
ferramenta de trabalho que, por sua recente utilizao, no est previsto em Lei
ocasionando diversas contradies.
Segundo Falco (2007)
Com o uso mais atenuado da internet no ambiente de trabalho, um conflito entre os
direitos fundamentais (sobretudo da tutela constitucional acerca da intimidade, sigilo
e inviolabilidade) e o direito propriedade, entendendo-se como tal a ampla
possibilidade de uso e fiscalizao dos bens colocados disposio dos obreiros
inevitvel.

O artigo 5 da Constituio Federal Brasileira garante aos cidados o direito


privacidade, intimidade, assim como a inviolabilidade da correspondncia e da
comunicao, classificando-os como direitos fundamentais de aplicabilidade
imediata.
Segundo Falco (2007)
A aplicao de tais direitos ao cenrio laboral, no qual os meios de produo
pertencem ao empregador, se afastam um pouco da idia de liberdade que o
constituinte prev na Carta Maior. Mas os direitos fundamentais teriam sua aplicao
ameaada no ambiente de trabalho, em especial atravs do uso do correio
eletrnico.

15

O mau uso do e-mail corporativo pode sobrecarregar a rede utilizada


internamente por toda a empresa, o que justifica a preocupao dos empregadores
em monitor-los. Um banco, por exemplo, com a rede sobrecarregada pode ficar
inoperante por algum tempo, e mesmo que seja segundos esse tempo pode fazer
com que vrias transaes no ocorram.
A diferena entre e-mail corporativo e e-mail particular de que, o primeiro
uma ferramenta de trabalho, entregue pelo empregador exclusivamente para o
trabalho. Algumas empresas para evitar riscos, bloqueiam o acesso de seus
colaboradores ao e-mail particular.
O uso indevido do e-mail corporativo pode causar diversos prejuzos a
empresa. Ao enviar um e-mail o nome da empresa est atrelado, ento tudo o que o
funcionrio fizer utilizando este e-mail as pessoas vo atrel-lo a empresa.
Caso no possa exercer seu poder diretivo atravs de formas firmes e claras
de controle sobre o uso da internet e do e-mail corporativo as empresas ficam
vulnerveis aos funcionrios.
Alguns autores so firmes defensores das garantias individuais, inseridas no
ambiente de trabalho, inclusive, na utilizao do e-mail corporativo.
Segundo Falco (2007)
Um dos defensores, Antnio Silveira Neto (p.75, 2007) diz que: Embora as
mensagens se encontrarem dentro de um bem pertencente empresa, este fato, por
si s, no afeta a privacidade das informaes ali expressas. Tal autor faz uma
analogia desta situao com o uso dos telefones da empresa, cuja utilizao como
meio de prova considerada ilcita quando a empresa se vale de escutas ou
mecanismos utilizados sem a cincia do empregado. Como no artigo 5, LVI, da
Constituio da Repblica, no se poderia utilizar em juzo prova colhida sem a plena
cincia do empregado

Os argumentos para aqueles que defendem a proteo do e-mail utilizado


pelo empregado no trabalho se baseiam em premissas como a funo social do
contrato (art. 421, CC1), a possibilidade de abuso de direito por parte do empregador
e a quebra do princpio da boa-f objetiva, previstos no Cdigo Civil.

Artigo 421 CC: "A liberdade de contratar ser exercida em razo e nos limites da funo social do

contrato".

16

Segundo Falco (2007)


para alguns autores, o empregado no seria o nico a ver o seu direito
inviolabilidade ou privacidade atingido. Tal se explica pela possibilidade de o
empregador monitorar e-mails de seu empregado e outros cidados, os quais no
fazem parte da sua empresa. Seria uma ocasio em que o poder diretivo,
ultrapassaria as fronteiras do contrato de trabalho. No entanto, ao enviar uma
mensagem para um destinatrio vinculado a uma empresa, este estaria assumindo
de certa forma, o risco de seu e-mail ser examinado pelo departamento de
informtica desta empresa.

Vale destacar a expressa disposio legal acerca da responsabilidade civil do


empregador pelos atos praticados por seus empregados, durante o periodo de
servio contratado, insculpida no artigo 932, III, do CC2.
Segundo Falco (2007)
a favor do monitoramento dos e-mails corporativos, so utilizados argumentos que
soam mais claros e coerentes. Inicialmente, o exerccio pleno do poder de direo do
empregador, considerado como justa a sua interveno sobre os meios de
produo por ele adquiridos. Alm disso, ele contrata o empregado para que este lhe
propicie o trabalho e no est remunerando o cio do trabalhador que, ao utilizar sem
responsabilidade o equipamento, pode gerar prejuzos diretos (falta de produtividade)
ou indiretos (exemplo do e-mail ofensivo).

Seguindo este pensamento, no h invaso privacidade em razo do


monitoramente do e-mail, pois, o e-mail de propriedade da empresa.
Segundo Falco (2007)
Embora a problemtica do uso da internet e do e-mail seja atual, h muito tempo se
utilizam cartas ou outras formas de correspondncias com fins meramente comerciais
ou corporativos, sem que se aviltasse qualquer direito individual com interceptao
destas. A mesma idia deve ser utilizada no trato dos e-mails corporativos, eis que
nada mais so que formas modernas de correspondncia empresarial.

Artigo 932, CC: "So tambm responsveis pela reparao civil: III o empregador ou comitente,

por seus empregados, serviais ou prepostos, no exerccio do trabalho que lhes competir, ou em
razo dele".

17

2.3 Informao
A informao tornou-se um patrimnio tanto de uma empresa quanto da
prpria pessoa que a possui. Segundo Patrcia Peck Pinheiro (2009, trilha 6),
A informao recebe o titulo de ativo intangvel, ou seja, o uso indevido ou
divulgao no autorizada pode gerar danos e envolver ilcitos que vo desde quebra
de sigilo profissional, a vazamento de informao confidencial de uma instituio ou
exposio da vida intima ou privacidade de uma pessoa.

2.4 Segurana da Informao


A segurana da informao a forma para proteger, envolve um conjunto de
aes que devem ser planejadas e programadas de forma a abranger as questes
tcnicas, comportamentais e jurdicas. O trabalho de Segurana da Informao exige
um preparo adequado de modo a evitar riscos no uso das medidas de proteo da
empresa.
Visa garantir a confidencialidade, autenticidade, integridade e disponibilidade
das informaes. A confidencialidade restringe o acesso a informao somente as
pessoas autorizadas. A autenticidade permite a prova de autoria. A integridade
protege a informao no tempo contra a adulterao.
Segundo a CERT.BR (CERT.BR,2006)
Um computador (ou sistema computacional) dito seguro se este atende a trs
requisitos bsicos relacionados aos recursos que o compem: confidencialidade,
integridade e disponibilidade. A confidencialidade diz que a informao s est
disponvel para aqueles devidamente autorizados; a integridade diz que a informao
no destruda ou corrompida e o sistema tem um desempenho correto, e a
disponibilidade diz que os servios/recursos do sistema esto disponveis sempre
que forem necessrios.

necessrio aplicar maior segurana ao processo, por vivermos um cenrio


complexo devido ao aumento da facilidade de carregar informaes. Atravs de pendrives (dispositivos de armazenamento de dados porttil), notebooks e smartphones.
Cada vez mais os colaboradores das empresas possuem maior conhecimento e
facilidade de acesso a tecnologia.

18

As condutas inadequadas mais comuns no ambiente de trabalho envolvem na


maioria dos casos, falta de informao. As empresas no orientam adequadamente
seus colaboradores, ento incidentes que poderiam simplesmente ser evitados como
deixar o computador ligado e operacional sem bloquear o acesso, nesse caso, outro
colaborador mal intencionado pode utilizar rapidamente a estao de trabalho e
realizar algo no autorizado.
essencial para aumentar o nvel da segurana da informao, a criao de
um Cdigo de tica da TI, para estar preparado para eventuais incidentes. Nessa
hora a Segurana de Informao envolve a preveno e preservao de evidncias.
Dessa forma tende a garantir que determinada pessoa ou mquina esteve envolvida
em determinado evento. Devido a m formulao ou a inexistncia do cdigo de
tica, inmeros casos no possuem as evidncias necessrias para encontrar o
culpado pelo incidente.
Empresas do mundo todo esto sujeitas a terem seus dados extraviados, seja
por descuido de seus clientes internos, como por aes furtivas realizadas pelos
mesmos ou por algum externo.
O extravio das informaes gera um custo enorme as empresas, e muitos
eventos podem ser poupados apenas supervisando seus clientes internos.
Segundo pesquisa encomendada pela Intel e realizada pelo Instituto
Ponemon3 foi calculado que as empresas tem um prejuzo mdio de US$49,246,00
(quarenta e nove mil, duzentos e quarenta e seis dlares americanos) gerado pela
perda ou roubo de um notebook. Esse nmero resultado da anlise de 138 (cento
e trinta e oito) casos. O estudo tambm mostrou que ao contrrio do que se pode
pensar, os notebooks utilizados por gerentes e diretores so mais valiosos do que de
diretores-executivos. A mquina de um executivo snior est avaliada em mdia, em
US$28,449(vinte e oito mil e quatrocentos e quarenta e nove dlares americanos) ,
para um gerente US$60,781(sessenta mil e setecentos e oitenta e um dlares
americanos) e para o diretor US$61,040 (sessenta e um mil e quarenta dlares
americanos).
3

Retirado de:< http://communities.intel.com/servlet/JiveServlet/download/3076-3-

1994/Cost%20of%20a%20Lost%20Laptop%20White%20Paper%20Final%202.pdf;jsessionid=B47156
92FE8C7BD3B031D7628ADB52FF.node5COMS >, acessado em 28 de setembro de 2009.

19

Considerando que normalmente o preo de compra de um notebook para


uma empresa em mdia US$1,500 (mil e quinhentos dlares americanos) fica fcil
nessa pesquisa identificar o quo valiosa a informao dentro de uma empresa.
As empresas tendem a pensar que uma vez que se contrata um funcionrio, o
mesmo se torna confivel e ser sempre leal as causas da empresa. Muitas delas
no se preocupam em verificar as referencias antes de contrat-los. O que pode ser
um erro muito caro.
Por isso, algumas empresas tm adotado o papel de orientar sobre a
Segurana de Informao ao contratar um funcionrio. Criando polticas para uso de
e-mail e internet corporativos e fazendo com que este assine um contrato
demonstrando estar ciente de tais polticas.

2.5 Setores da Segurana da Informao


Segundo o Cibernarium (Cibernarium, 2009), um projeto colaborativo entre a
Europa e a Amrica latina coordenado em Barcelona a segurana da informao
pode ser dividida em oito setores.

Figura 1: Oito setores da segurana da informao


Fonte: Cibernarium (Cibernarium, 2009)

20

2.5.1 Setor de segurana da informao administrativa e organizativa


Segundo o Cibernarium (Cibernarium, 2009) Pode-se dizer que a segurana
administrativa a parte mais importante da segurana da informao e constitui sua
pedra angular, ou seja, o ponto de partida. Sem uma poltica e princpios de
segurana bem planejados a implementao de um sistema de segurana pode ruir.
necessrio definir, organizar e registrar as responsabilidades, assim como
as medidas a serem tomadas em caso de perigo ou acidente. Para implementar um
sistema de segurana necessrio instruir os colaboradores. A segurana da
informao responsabilidade de todos, sendo assim, todos devem seguir e
anunciar as regras e medidas relativas a mesma.
Segundo o Cibernarium (Cibernarium, 2009)
Sem um desenho, uma gesto e implementao bem organizados, possvel que o
sistema de segurana da informao tenha grandes lacunas ou que os objetivos das
medidas de proteo sejam errneos.

2.5.2 Setor de segurana do pessoal


A segurana do pessoal e a segurana administrativa seguem sempre juntas.
Para nada ir servir uma administrao bem definida se o pessoal no conhecer ou
no pratic-la. Segundo o Cibernarium (Cibernarium, 2009)
A formao o elemento chave para a implementao da segurana no que referese aos colaboradores. Alm de aprender a utilizar software de proteo e ampliar
conhecimentos, para a implementao de um sistema de segurana da informao,
tambm necessrio ter outro tipo de conhecimentos gerais sobre informtica. Com
isto, tambm reduz o nmero de acidentes no intencionados.

Outro aspecto importante em relao a segurana pessoal so os


colaboradores que saram da empresa. muito importante definir como sero
administrados os assuntos confidenciais e o acesso a empresa, seja acesso fsico,
como a empresa, ou acesso lgico, como computadores e banco de dados.
Algumas empresas dependendo do cargo do colaborador, quando o mesmo
desligado da empresa, oferecem um acordo no qual continuar recebendo o salrio
durante um perodo, para que o mesmo no possa entrar em outra empresa do ramo
por levar consigo muitas informaes triviais ou confidenciais.
Ao invs de criar regras individuais para cada funcionrio, atravs do sistema
de segurana da informao, tais medidas se definidas, so tomadas imediatamente

21

alertando os responsveis pelas aes, evitando que alguma ao como, por


exemplo, o bloqueio de acesso seja esquecida.
Nesse setor tambm definido as regras de acesso a visitantes.

2.5.3 Setor de segurana fsica


Neste setor decidido medidas de segurana fsica, com intuito de proteger
sistema de dados dos danos fsicos e de acessos no autorizados.
Pode incluir computadores ou redes, como por exemplo, cabos e roteadores,
assim como arquivos. Este tipo de proteo necessrio em caso de danos por
incndio, gua, falha eltrica ou roubos. A segurana fsica pode implementar um
controle de acesso a fim de proteger os equipamentos do sistema de dados em um
lugar fechado sob chave e a prova de incndio.

2.5.4 Setor de segurana do software


Segundo o Cibernarium (Cibernarium, 2009) A segurana do software referese ao desenho de sistemas de dados e a aquisio de software com o objetivo de
ajudar a manter a segurana da informao. Ao serem adquiridas mquinas e
licenas de softwares, necessrio levar em considerao os assuntos relativos
segurana da informao. A compatibilidade do software, a verso, qual mquina
necessria para rod-lo, tudo isso precisa ser analisado. Este setor abrange tambm
o software relativo segurana da informao, garantindo sua qualidade e
funcionalidade.
Atualizaes frequentes dos sistemas e softwares so altamente necessrias,
pois cdigos maliciosos so criados a toda hora.
Segundo a Symantec (Symantec, 2008)
Um aumento significativo de novas ameaas de cdigos maliciosos ocorreu durante
o ano de 2008. A Symantec criou 1.656.225 novas assinaturas de cdigos maliciosos
durante esse perodo de tempo. Isso representa um aumento de 265% sobre 2007,
quando 624.267 novas assinaturas de cdigos maliciosos foram adicionadas. Isso
significa que, de todas as assinaturas de cdigos maliciosos criadas pela Symantec,
mais de 60% foram criadas em 2008. O crescimento explosivo pode ser atribudo ao
profissionalismo mostrado no desenvolvimento de cdigos maliciosos, que atende
demanda por produtos e servios que facilitam as fraudes on-line.

22

Figura 2: Crescimento de cdigos maliciosos desde 2002 a 2008.


Fonte: Symantec (Symantec, 2008)

Isso nos mostra que nenhuma atualizao em excesso, pois, sem as


mesmas nossas mquinas ficam desprotegidas.

2.5.5 Setor de segurana das telecomunicaes


Segundo o Cibernarium (Cibernarium, 2009),
A segurana das telecomunicaes garante que a confidencialidade da informao
permanea inalterada ao ser transferida de um sistema a outro, tanto se for dentro da
prpria empresa como se tratando de uma transferncia a um destinatrio externo.

Garante para o usurio o uso seguro de e-mail, internet e a segurana de


conexes remotas.
Para garantir a segurana da informao se faz necessrio utilizar de
diferentes programas e equipamentos para segurana. Firewalls, mtodos de
criptografia e identidade dos usurios diante de uma assinatura digital, mtodos
estes explicados mais adiante.
Segundo o Cibernarium (Cibernarium, 2009) Para proteger uma conexo
remota, importante organizar um controle de acesso e proteger a telecomunicao
ao transmitir a informao.
Este setor inclui a identificao de computadores e usurios. Os
computadores que esto conectados entre si tm seus prprios identificadores.
Tambm podem emitir-se certificados para os servios. Segundo o Cibernarium
(Cibernarium, 2009) Um certificado um identificador eletrnico que garante que a

23

informao enviada pelo equipamento objetivo precisa. Se o emissor do certificado


for de confiana, tambm podemos confiar no contedo do certificado.
Cada colaborador precisa julgar se o organismo certificador ou no
confivel. Se o emissor do certificado conhecido, ou se o registro de certificado
que pode ser consultados.
Para controlar o acesso dos usurios aos sistemas definido uma senha e
uma identificao nica. Atravs da identificao pode aloc-lo a um grupo e definir
a este grupo suas permisses de acesso. Os dados que o mesmo pode acessar,
alterar ou excluir. As senhas no so infalveis, j que outras pessoas podem
adivinhar ou descobrir durante a transmisso de informao. Para evitar que as
senhas sejam descobertas necessrio aplicar um nvel de complexidade e alterlas com alguma frequncia.
Se uma rede interna esta conectada diretamente a Internet, necessrio
assegurar de que no existe nenhuma forma direta, sem que seja filtrada pelo
servidor, de acessar contedo externo. As conexes devem ser permitidas de
diferentes formas para cada grupo. Conexes no autorizadas entre a Internet e as
redes internas podem ser evitadas mediante um firewall.
Segundo o Cibernarium (Cibernarium, 2009) O uso de firewall controla os
servios e acessos permitidos, monitora o uso e tentativas de violao e protege
contra invases externas.
O requisito prvio para uma telecomunicao segura a criptografia. Pode-se
criptografar a informao de seu computador. Existem diferentes formas e nveis de
criptografia, cabe ao setor definir qual ir utilizar.

2.5.6 Setor de segurana das instalaes


Segundo o Cibernarium (Cibernarium, 2009) O objetivo da segurana das
instalaes diminuir os riscos da segurana da informao devidos a avarias das
mquinas. A segurana das instalaes abrange o uso correto das mquinas e os
locais a serem armazenadas para proteger contra avarias.

2.5.7 Setor de segurana das operaes


Segundo o Cibernarium (Cibernarium, 2009)
A segurana das operaes ocupa o funcionamento sem falhas dos sistemas de
dados. Incluem o fato de ensinar a fazer um uso seguro dos sistemas de dados,

24

especialmente referente a programas de segurana da informao, identificadores de


usurio e senhas, etc. Alm disso, deve acostumar os empregados a fazer uso
seguro do correio eletrnico e Internet.

Para manter a segurana da informao em todas as operaes de uma


empresa necessrio atribuir diversas circunstncias, estas, definidas neste setor.
Os colaboradores devem receber apenas direito de aceso necessrio para a
realizao de suas tarefas. Cada rea da empresa deve possuir direitos de acessos
nicos. No h a necessidade de conceder privilgios de administrador para os
colaboradores, e somente para os verdadeiros administradores.

2.5.8 Setor de segurana da informao


Segundo o Cibernarium (Cibernarium, 2009) A segurana da informao
refere-se identificao, classificao, controle da informao e o sistema que
contm a informao nas diferentes fases de processamento da mesma.
A segurana da informao inclui a classificao e proteo da informao, a
realizao de cpias de segurana e o arquivo e destruio da mesma.

2.6 Engenharia social


A engenharia social quando uma pessoa tenta enganar a outra para obter
algum proveito. Pode ocorrer quando uma pessoa solicita senha emprestada, ou
acessa um e-mail com cdigo malicioso, entre outros.
Segundo a CERT.BR(CERT.BR, 2006)
descreve um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes
abusando da ingenuidade ou confiana do usurio, para obter informaes que
podem ser utilizadas para ter acesso no autorizado a computadores ou
informaes.

Infelizmente no Brasil as pessoas tratam as senhas apenas como um cdigo


para acesso esquecendo que atravs deste pode ser provado autoria. Ao emprestar
uma senha a algum esta pode realizar algo no permitido, e, nesse caso, quem
sofrer pena ser o detentor da senha.

25

2.7 Riscos a Segurana da Informao: Ameaas e Vulnerabilidades


Os riscos associados segurana da informao podem ser classificados em
duas categorias: ameaas e vulnerabilidades. Ameaas refere-se as aes e a
natureza tomadas pelas pessoas a qual coloca em perigo a informao e infraestrutura de uma empresa. Vulnerabilidades refere-se as deficincias na infraestrutura e organizao que expem riscos a eventos imprevistos e indesejveis a
empresa.
Ameaas e vulnerabilidades andam em conjunto. As ameaas so aes em
potenciais que seguira o caminho de menor resistncia, ou seja, vulnervel.

2.7.1 Risco
O risco medido atravs da probabilidade de que uma ameaa pode
acontecer e o dano que pode ser gerado empresa.

2.7.2 Ameaas
A ameaa de segurana a inteno da parte de algum em causar dano a
um individuo ou uma organizao. Podem ser realizadas por pessoas na prpria
organizao como funcionrios, fornecedores e visitantes, como por pessoas
externas. Os tipos de danos so ilimitados. Entre eles podem ser: sabotagem de
hardware ou software, o roubo de informaes, ataques a infra-estrutura, entre
outros.

2.7.3 Vulnerabilidades
A vulnerabilidade qualquer fraqueza em computadores ou rede, seja em
hardware ou software, que deixa uma abertura para que seja realizado ataques.
Pode ser resultado de uma imperfeio, implantao ou configurao. Entre elas
podem ser: m configurao do sistema operacional o qual permite ao usurio total
direito administrativo sobre a mquina, um sistema de banco de dados com defeitos
nas prioridades de acesso, uma falha em um programa que permite acesso aos
dados do usurio, entre outros.

26

2.8 Princpios e mecanismo por trs da segurana


H diversas maneiras de proteger a informao dentro das empresas,
tanto de pessoas internas quanto externas. Entre elas: autenticao de usurio,
autorizao de acesso, controle de acesso, criptografia, confidencialidade,
integridade, disponibilidade, no-repdio e auditoria.

2.8.1 Autenticao de usurio


A autenticao do usurio no define somente sua identidade, ela a prova
do mesmo. Quando uma pessoa realiza a autenticao, ela somente aceita como
identidade quando ela prova ser a mesma. No conceito de sistemas de informao
essa prova acontece geralmente atravs de um login (nome de acesso) de um
usurio seguido por sua senha. Somente a pessoa referida ao nome de acesso
deve possuir a senha, pois quando a mesma a utiliza, o sistema, se bem
configurado, armazena suas aes.
Para prevenir que seus colaboradores no sejam vitimas de roubo de senha
h algumas medidas simples que podem ser tomadas. Referente as senhas
necessrio definir o nmero mnimo de caracteres que a mesma possui, tipos de
caracteres obrigatrios, validade, ou seja, um tempo a qual a senha expira e h a
necessidade de alter-la, um nmero mnimo de dias necessrios para que a senha
possa ser alterada novamente, alert-los que a senha nica e que serve como
prova de autoria, entre outros.

2.8.2 Autorizao de uso


Define quais informaes o usurio tem acesso, quais dados ele pode
visualizar, alterar ou excluir. Autorizao e controle de acesso a maneira de dividir
responsabilidades. Como cita Peter Gregory (2003, p.39,traduo nossa),
Organization data is (or needs to be!) classified and released to individuals
on a need-to-know basis. Authentication is part of the means for controlling who can
see what information.
Os dados de uma organizao so ou precisam ser classificados e liberados
de acordo com a necessidade individual. A Autenticao um dos meios de controlar
quem pode visualizar o que de cada informao.

27

Pelo fato do controle de acesso ser dependente da identificao do usurio, a


autorizao de uso frequentemente integrada com os mecanismos de
autenticao.

2.8.3 Controle de Acesso


Toda organizaes tem controle total para limitar o acesso ao contedo de
seus funcionrios. Atravs dos conhecidos e mais utilizados firewalls para proteo.
Um firewall, segundo Peter Gregory (2003, p.41), is a coarse-grained filter designed
to block or admit various kinds of network traffic, ou seja, um filtro projetado para
bloquear ou admitir vrios tipos de trfico na rede. Por exemplo, pode bloquear um
e-mail ou sites definidos como imprprios pelo administrador de rede.

Figura 3: Firewal
Fonte: Peter Gregory (p.42, 2003)

Na figura acima Gregory demonstra um firewall como uma parede que entre
as redes internas e as externas como a Internet e Extranet.

2.8.4 Criptografia
Criptografia segundo Peter Gregory (2003, p.48), refers to the process of
transforming data into a secret code that can be read only by someone (or
something) that has possession of a secret key., ou seja, refere-se ao processo de
transformar dados em um cdigo secreto que pode ser lido somente por algum ou
algo que possui a uma senha secreta.

Com ela possvel adicionar maior

28

segurana aos dados da empresa, como por exemplo os e-mails corporativos, os


dados de clientes, funcionrios, entre outros.
Segundo Peter Gregory (2003, p.49, traduo nossa)
existe cinco tipos de criptografias atualmente em uso. Criptografia simtrica,
criptografia de senha publica, troca de senhas, assinatura digital e resumo da
mensagem (symmetric encryption,public key encryption, key exchange, digital
signature and message digest).

Figura 4: Criptografia de chave pblica


Fonte: (TJPE, 2009)

A figura ilustra a criptografia de chave pblica ou assimtrica. A criptografia


assimtrica considerada mais segura do que a criptografia simtrica, porque a
chave usada para criptografar os dados diferente da que usada para
descriptograf-los. Primeiro Alice criptografa seu texto definindo sua chave privada a
qual somente ela ir possuir para poder alter-la, depois Alice gera uma chave
pblica que permite a outras pessoas visualizar seu texto.
Segundo o Instituto Ponemon, quando os dados de um notebook esto
criptografados o custo gerado pela perda ou roubo do mesmo diminui em mdia
U$20,000 (vinte mil dlares).

2.9 Incidentes de Segurana


Segundo a CERT.BR (CERT.BR,2006),

29

Um incidente de segurana pode ser definido como qualquer evento adverso,


confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou
de redes de computadores

2.10 Polticas de Segurana


So polticas adotadas de maneira formal pelas organizaes de maneira a
descrever como a empresa deve ser protegida. O objetivo das polticas de
descrever o que fazer para proteger a informao.
Segundo a CERT.BR (CERT.BR,2006),
A poltica de segurana atribui direitos e responsabilidades s pessoas que lidam
com os recursos computacionais de uma instituio e com as informaes neles
armazenados. Ela tambm define as atribuies de cada um em relao segurana
dos recursos com os quais trabalham. Uma poltica de segurana tambm deve
prever o que pode ser feito na rede da instituio e o que ser considerado
inaceitvel. Tudo o que descumprir a poltica de segurana pode ser considerado um
incidente de segurana. Na poltica de segurana tambm so definidas as
penalidades s quais esto sujeitos aqueles que no cumprirem a poltica.

Antes que a poltica de segurana seja escrita, necessrio definir a


informao a ser protegida. Segundo a CERT.BR (CERT.BR,2003)
Uma poltica de segurana deve cobrir os seguintes aspectos: aspectos
preliminares; poltica de senhas; direitos e responsabilidades dos usurio; direitos e
responsabilidades do provedor dos recursos; e aes previstas em caso de violao
da poltica

2.10.1 Poltica de Uso Aceitvel


Segundo a CERT.BR(CERT.BR, 2003)
A poltica de uso aceitvel (AUP -- Acceptable Use Policy) o documento que define
como os recursos computacionais da organizao podem ser utilizados. Ela deve ser
pblica e estar disponvel a todos os que utilizam a infra-estrutura computacional da
organizao, sendo recomendvel que a autorizao para uso dos recursos seja
condicionada

uma

concordncia

expressa

com

os

seus

termos.

A AUP geralmente parte integrante da poltica de segurana global. Para muitas


organizaes, ela ser composta pelos itens da poltica que afetam diretamente os
usurios de recursos computacionais, principalmente os que definem seus direitos e
responsabilidades.
Por outro lado, organizaes que oferecem acesso a usurios externos (tais como
provedores de acesso Internet) devem definir uma poltica de uso aceitvel para

30

esses usurios que seja independente da AUP qual esto sujeitos os seus usurios
internos. importante que os usurios externos tomem conhecimento dessa poltica
e saibam que o uso dos recursos est condicionado ao seu cumprimento.

Ou seja, necessrio informar aos usurios dos recursos computacionais a poltica


da empresa informando seus direitos e responsabilidades.

31

3.0 O CASO FICT TELECOMUNICAES


3.1 Fict Telecomunicaes
A Fict Telecomunicaes (nome fictcio utilizado para proteger a imagem da
empresa) especializada em servios de comunicao de dados em banda larga,
conectividade IP e solues de transporte para voz, dados e imagens, em fibra
ptica ou wireless.
A rede prpria de longa distncia da Fict Telecomunicaes possui 6.000 km
de extenso, interligando os principais centros econmicos do pas.
Os portflios de produtos da Fict Telecomunicaes esto voltados a trs
segmentos de mercado: Operadoras de Telecomunicaes e Provedores de Rede;
Corporativo (grandes empresas) e Provedores de Internet e PME (pequenas e
mdias empresas). Neste ltimo, os setores de atuao so: Financeiro
(seguradoras, corretoras de seguro, bancos de investimento, empresas de cobrana
e contabilidade), Turismo (agncias, hotis, locadoras, operadoras e companhias
areas), Educao (berrios, escolas e universidades) e Publicidade (agncia de
propaganda, birs e grficas). "Estamos desenvolvendo pacotes sob medida para
esses segmentos.
A criao da Fict Telecomunicaes comeou a ser articulada em 1994.
Naquela poca o cenrio mundial comeava a sinalizar para um novo mercado: a
transmisso de dados. Em maio de 1998, foram outorgadas as licenas para
explorar o servio limitado de telecomunicaes em mbito nacional. Nascia assim,
a Fict Telecomunicaes, que iniciou oficialmente suas operaes em Julho de
1999.
Em 2000 a Fict Telecomunicaes adquiriu a VIS Tecnologia e a rede de
fibras pticas da rea metropolitana de So Paulo da Metrofibra-Pipeline. Tornou-se
naquele ano a primeira operadora do pas a instalar o DWDM, tecnologia de ponta
que permite a ampliao da capacidade da rede de fibra ptica. Dentro da rea
metropolitana de So Paulo a rede possui 520 km de extenso e est presente nos
bairros de Cerqueira Csar, Jardins, Pinheiros, Morumbi, Brooklin, Chcara Santo
Antnio, Santo Amaro, Campo Belo, Jabaquara, Moema, Itaim Bibi, Vila Mariana,
Sade, Ipiranga, Cambuci, Mooca e Belm.

32

Para manter os elevados padres de disponibilidade da rede exigidos pelo


mercado, a Fict Telecomunicaes conta com um dos mais avanados Centros de
Gerncia de Redes. Com atendimento ininterrupto para os seus clientes, monitora o
funcionamento da rede 24 horas por dia, 7 dias por semana. Aliado a sistemas
independentes de energia e infra-estrutura, o Centro possui segurana total na
manuteno da rede. Tcnicos qualificados identificam e detectam possveis
problemas antes mesmo que os clientes percebam, disparando aes preventivas.

3.2 O Caso
Durante a manuteno do computador da diretora de relacionamentos
humanos da empresa, o tcnico na hora de realizar o backup dos arquivos da
mquina, (cpia de segurana dos arquivos presentes no computador) os
disponibilizou no ambiente de rede corporativo separado ao RH, porm, no havia
critrios de segurana, sendo assim, todos os funcionrios possuam acesso. Neste
evento foi revelado um arquivo com informaes de todos os funcionrios inclusive
do presidente da empresa, contendo nome, telefone, endereo e salrio. Dentre os
problemas agravados nessa situao, a constatao de salrios diferentes para um
mesmo cargo, no qual, a empresa teve que igualar todos ao maior salrio da grade.
Tambm foi averiguada a quebra de sigilo funcionrio-empresa. Isto gerou
grandes processos de funcionrio atacando a Fict Telecomunicaes.
Na poca a empresa no possua uma regra de conduta relacionada a rea
de tecnologia, sendo assim, cada funcionrio poderia fazer o que bem entendesse
que no seria localizado. Neste caso, somente o tcnico fora localizado e
penalizado, pelo fato deste ter sido o nico usurio presente e comprovado. J o
funcionrio que vasculhou a pasta disponibilizada ao RH e espalhou o arquivo para
os demais funcionrios da empresa no fora localizado.

3.3 Anlise

33

O incidente relacionado poderia ter sido evitado se a empresa tivesse um


cdigo de tica abrangendo incidentes relacionados a Tecnologia da Informao e
uma poltica de segurana de acesso bem definidos.
Ao ingressar na empresa, estando de acordo e assinando o cdigo de tica
da empresa o funcionrio se faz responsvel e ciente das regras estipuladas pela
empresa. Caso o funcionrio quebre uma poltica de segurana e efetue aes no
permitidas possvel localiz-lo e penaliz-lo.
Nas regras de segurana necessrio abranger as normas e processos para
todos os funcionrios, mesmos para os responsveis pela segurana da informao
e tecnologia na empresa. Por exemplo, no caso em questo, necessrio definir
regras para realizar a cpia de segurana das informaes e regras de acesso aos
locais de rede. O ambiente de rede no um local recomendvel para efetu-la, pois
os usurios que possurem acesso ao local podem visualizar os arquivos ali
colocados. Definidas as regras de acesso, somente os funcionrios relacionados e
permitidos pela rea podem ter acesso aos arquivos.
Caso ocorra de um arquivo confidencial ser copiado, possvel realizar a
busca de quem o acessou atravs de um log de acesso (arquivo contendo o
histrico de aes realizadas em um determinado local). Porm serviria apenas para
ao ps o ocorrido.
necessrio maior preveno, e atravs da criptografia, os arquivos
confidenciais e sigilosos mesmo que copiados sem a senha para descriptograf-lo
no apresentam um risco muito grande, claro que para maior segurana deve ser
definido uma senha com alto padro de segurana.
Cabe a rea de tecnologia atrelada a de recursos humanos passarem a toda
a empresa o conhecimento, atravs de treinamentos, palestras e memorandos. Com
um bom treinamento e conhecimento das regras e normas da empresa, os
incidentes passam a diminuir e possuir maior controle.

34

4.0 CONCLUSO
O desenvolvimento de uma poltica de segurana bem detalhada em conjunto
com um cdigo de tica, pode evitar muitos inconvenientes. Caso ocorra algum
incidente possvel tomar uma ao a fim de punir os responsveis e prevenir novos
incidentes.
A Segurana da Informao uma ferramenta essencial para alcance do
sucesso nos negcios de toda organizao. Gerir ativos, informaes, recursos e
usurios, de forma confivel e ntegra, estruturada e sustentvel o grande desafio
dos profissionais dessa rea em suas organizaes.
Em Segurana da informao, chama-se Engenharia Social todas as prticas
utilizadas para obter acesso a informaes importantes ou sigilosas em
organizaes ou sistemas por meio da enganao ou explorao da confiana das
pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que um profissional de determinada rea, etc. uma forma
de entrar em organizaes que no necessita da fora bruta ou de erros em
mquinas. Explora as falhas de segurana das prprias pessoas que, quando no
treinados para esses ataques, podem ser facilmente manipuladas.
Esta Engenharia Social, compreende a inaptido dos indivduos manterem-se
atualizados com diversas questes pertinentes a tecnologia da informatica, alm de
no estarem conscientes do valor da informatica que eles possuem e, portanto, no
terem preocupao em proteger essa informao conscientemente. importante
salientar que, a engenharia social aplicada em diversos setores da segurana da
informao independente de sistemas computacionais, software e ou plataforma
utilizada, o elemento mais vulnervel de qualquer sistema de segurana da
informao o ser humano, o qual possui traos comportamentais e psicolgicos
que o torna suscetvel a ataques de engenharia social.
muito comum hoje em dia, ocorrer incidentes entre funcionrios dentro das
empresas, sejam elas grandes ou pequenas, gerando assim um desfoque em todo o
processo de produo, por isso, muito importante que dentro desta empresa, seja
criado um cdigo de tica, para que quando ocorra algum problema, este ser
resolvido conforme est registrado no cdigo.
Esses incidentes muitas vezes, ocorrem por descuido dos prprios
funcionrios, e isto acaba interferindo na produo da empresa, fazendo assim com

35

que o rendimento de produtividade seja reduzido. Isto gera tambm conflitos internos
entre os funcionrios, pois para que aja uma boa produtividade, muito importante
que estes estejam unidos, fazendo assim, cada um o seu trabalho.
Algumas vezes ouvimos histrias de funcionrios que deixaram documentos
importantssimos, e estes por sua vez, foram extraviados, colocando em risco a
produtividade da empresa, gerando assim um custo muito alto para a empresa.

36

REFERNCIAS
CERT.BR, Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurana
no Brasil, Cartilha de Segurana para Internet <http://cartilha.cert.br> , acessado em
20 de setembro de 2009.
CERT.BR, Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurana
no Brasil, Prticas de Segurana para Administradores de Redes Internet
<http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html#subsec2.1> , acessado
em 21 de setembro de 2009.
CIBERNARIUM,<http://www.cibernarium.tamk.fi/tietoturva2_pr/yrityksen_tietoturva_2
.htm>, acessado em 28 de setembro de 2009.
DARPA, <http://www.darpa.mil/Docs/Internet_Development_200807180909255.pdf>,
acessado em 20 Setembro de 2009
FALCO, Felipe Hack de Barros, O monitoramento do e-mail corporativo e a
restrio privacidade do empregado, < http://jus2.uol.com.br/doutrina/texto.asp?id=
12881 >, acessado em 5 de outubro de 2009.

GREGORY, Peter. Enterprise Information Security, Information Security for nontechnical decision makes, 2003.

INSTITUTO PONEMON, <http://communities.intel.com/servlet/JiveServlet/download/


3076-3-1994/Cost%20of%20a%20Lost%20Laptop%20White%20Paper%20Final%
202.pdf;jsessionid=B4715692FE8C7BD3B031D7628ADB52FF.node5COMS>,
acessado em 28 de setembro de 2009.

PINHEIRO, Patrcia Peck. Tudo o que voc precisa ouvir sobre direito digital no diaa-dia (Audiolivro), 2009.

37

ROSA, Fabrizio, Crimes da Informtica, 2007.

RUARO, Regina Linden. O contedo essencial dos direitos fundamentais


intimidade e vida privada na relao de emprego: o monitoramento do correio
eletrnico pelo empregador in Direitos Fundamentais, Informtica e Comunicao:
algumas aproximaes / org. Ingo Wolfgang Sarlet,2007.

SILVEIRA NETO, Antonio. A privacidade do trabalhador no meio informtico. (online) apud Junior, Eugnio Hainzenreder. O poder diretivo do empregador frente
intimidade e vida privada do empregado na relao de emprego: conflitos
decorrentes da utilizao dos meios informticos no trabalho in Questes
Controvertidas de Direito do Trabalho e outros estudos / Gilberto Strmer, org. Porto
Alegre: Livraria do Advogado, 2006.

SYMANTEC,<http://www.symantec.com/pt/br/business/theme.jsp?themeid=threatrep
ort>, acessado em 1 de outubro de 2009.
TJPE,disponvel

em:

<http://www.tjpe.gov.br/Boletim/N41/dicadahora01.htm>,

acessado em 1 de outubro de 2009.

38

ANEXOS
ANEXO 1 Artigo 5 da Constituio Federal Brasileira
Art. 5 Todos so iguais perante a lei, sem distino de qualquer natureza,
garantindo-se aos brasileiros e aos estrangeiros residentes no Pas a inviolabilidade
do direito vida, liberdade, igualdade, segurana e propriedade, nos termos
seguintes:
I - homens e mulheres so iguais em direitos e obrigaes, nos termos desta
Constituio;
II - ningum ser obrigado a fazer ou deixar de fazer alguma coisa seno em virtude
de lei;
III - ningum ser submetido a tortura nem a tratamento desumano ou degradante;
IV - livre a manifestao do pensamento, sendo vedado o anonimato;
V - assegurado o direito de resposta, proporcional ao agravo, alm da indenizao
por dano material, moral ou imagem;
VI - inviolvel a liberdade de conscincia e de crena, sendo assegurado o livre
exerccio dos cultos religiosos e garantida, na forma da lei, a proteo aos locais de
culto e a suas liturgias;
VII - assegurada, nos termos da lei, a prestao de assistncia religiosa nas
entidades civis e militares de internao coletiva;
VIII - ningum ser privado de direitos por motivo de crena religiosa ou de
convico filosfica ou poltica, salvo se as invocar para eximir-se de obrigao legal
a todos imposta e recusar-se a cumprir prestao alternativa, fixada em lei;
IX - livre a expresso da atividade intelectual, artstica, cientfica e de
comunicao, independentemente de censura ou licena;
X - so inviolveis a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenizao pelo dano material ou moral decorrente de sua
violao;
XI - a casa asilo inviolvel do indivduo, ningum nela podendo penetrar sem
consentimento do morador, salvo em caso de flagrante delito ou desastre, ou para
prestar socorro, ou, durante o dia, por determinao judicial;
XII - inviolvel o sigilo da correspondncia e das comunicaes telegrficas, de
dados e das comunicaes telefnicas, salvo, no ltimo caso, por ordem judicial, nas

39

hipteses e na forma que a lei estabelecer para fins de investigao criminal ou


instruo processual penal; (Vide Lei n 9.296, de 1996)
XIII - livre o exerccio de qualquer trabalho, ofcio ou profisso, atendidas as
qualificaes profissionais que a lei estabelecer;
XIV - assegurado a todos o acesso informao e resguardado o sigilo da fonte,
quando necessrio ao exerccio profissional;
XV - livre a locomoo no territrio nacional em tempo de paz, podendo qualquer
pessoa, nos termos da lei, nele entrar, permanecer ou dele sair com seus bens;
XVI - todos podem reunir-se pacificamente, sem armas, em locais abertos ao
pblico, independentemente de autorizao, desde que no frustrem outra reunio
anteriormente convocada para o mesmo local, sendo apenas exigido prvio aviso
autoridade competente;
XVII - plena a liberdade de associao para fins lcitos, vedada a de carter
paramilitar;
XVIII - a criao de associaes e, na forma da lei, a de cooperativas independem
de autorizao, sendo vedada a interferncia estatal em seu funcionamento;
XIX - as associaes s podero ser compulsoriamente dissolvidas ou ter suas
atividades suspensas por deciso judicial, exigindo-se, no primeiro caso, o trnsito
em julgado;
XX - ningum poder ser compelido a associar-se ou a permanecer associado;
XXI - as entidades associativas, quando expressamente autorizadas, tm
legitimidade para representar seus filiados judicial ou extrajudicialmente;
XXII - garantido o direito de propriedade;
XXIII - a propriedade atender a sua funo social;
XXIV - a lei estabelecer o procedimento para desapropriao por necessidade ou
utilidade pblica, ou por interesse social, mediante justa e prvia indenizao em
dinheiro, ressalvados os casos previstos nesta Constituio;
XXV - no caso de iminente perigo pblico, a autoridade competente poder usar de
propriedade particular, assegurada ao proprietrio indenizao ulterior, se houver
dano;
XXVI - a pequena propriedade rural, assim definida em lei, desde que trabalhada
pela famlia, no ser objeto de penhora para pagamento de dbitos decorrentes de
sua atividade produtiva, dispondo a lei sobre os meios de financiar o seu
desenvolvimento;

40

XXVII - aos autores pertence o direito exclusivo de utilizao, publicao ou


reproduo de suas obras, transmissvel aos herdeiros pelo tempo que a lei fixar;
XXVIII - so assegurados, nos termos da lei:
a) a proteo s participaes individuais em obras coletivas e reproduo da
imagem e voz humanas, inclusive nas atividades desportivas;
b) o direito de fiscalizao do aproveitamento econmico das obras que criarem ou
de que participarem aos criadores, aos intrpretes e s respectivas representaes
sindicais e associativas;
XXIX - a lei assegurar aos autores de inventos industriais privilgio temporrio para
sua utilizao, bem como proteo s criaes industriais, propriedade das
marcas, aos nomes de empresas e a outros signos distintivos, tendo em vista o
interesse social e o desenvolvimento tecnolgico e econmico do Pas;
XXX - garantido o direito de herana;
XXXI - a sucesso de bens de estrangeiros situados no Pas ser regulada pela lei
brasileira em benefcio do cnjuge ou dos filhos brasileiros, sempre que no lhes
seja mais favorvel a lei pessoal do "de cujus";
XXXII - o Estado promover, na forma da lei, a defesa do consumidor;
XXXIII - todos tm direito a receber dos rgos pblicos informaes de seu
interesse particular, ou de interesse coletivo ou geral, que sero prestadas no prazo
da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja
imprescindvel segurana da sociedade e do Estado;
XXXIV - so a todos assegurados, independentemente do pagamento de taxas:
a) o direito de petio aos Poderes Pblicos em defesa de direitos ou contra
ilegalidade ou abuso de poder;
b) a obteno de certides em reparties pblicas, para defesa de direitos e
esclarecimento de situaes de interesse pessoal;
XXXV - a lei no excluir da apreciao do Poder Judicirio leso ou ameaa a
direito;
XXXVI - a lei no prejudicar o direito adquirido, o ato jurdico perfeito e a coisa
julgada;
XXXVII - no haver juzo ou tribunal de exceo;
XXXVIII - reconhecida a instituio do jri, com a organizao que lhe der a lei,
assegurados:
a) a plenitude de defesa;

41

b) o sigilo das votaes;


c) a soberania dos veredictos;
d) a competncia para o julgamento dos crimes dolosos contra a vida;
XXXIX - no h crime sem lei anterior que o defina, nem pena sem prvia cominao
legal;
XL - a lei penal no retroagir, salvo para beneficiar o ru;
XLI - a lei punir qualquer discriminao atentatria dos direitos e liberdades
fundamentais;
XLII - a prtica do racismo constitui crime inafianvel e imprescritvel, sujeito pena
de recluso, nos termos da lei;
XLIII - a lei considerar crimes inafianveis e insuscetveis de graa ou anistia a
prtica da tortura , o trfico ilcito de entorpecentes e drogas afins, o terrorismo e os
definidos como crimes hediondos, por eles respondendo os mandantes, os
executores e os que, podendo evit-los, se omitirem;
XLIV - constitui crime inafianvel e imprescritvel a ao de grupos armados, civis
ou militares, contra a ordem constitucional e o Estado Democrtico;
XLV - nenhuma pena passar da pessoa do condenado, podendo a obrigao de
reparar o dano e a decretao do perdimento de bens ser, nos termos da lei,
estendidas aos sucessores e contra eles executadas, at o limite do valor do
patrimnio transferido;
XLVI - a lei regular a individualizao da pena e adotar, entre outras, as seguintes:
a) privao ou restrio da liberdade;
b) perda de bens;
c) multa;
d) prestao social alternativa;
e) suspenso ou interdio de direitos;
XLVII - no haver penas:
a) de morte, salvo em caso de guerra declarada, nos termos do art. 84, XIX;
b) de carter perptuo;
c) de trabalhos forados;
d) de banimento;
e) cruis;
XLVIII - a pena ser cumprida em estabelecimentos distintos, de acordo com a
natureza do delito, a idade e o sexo do apenado;

42

XLIX - assegurado aos presos o respeito integridade fsica e moral;


L - s presidirias sero asseguradas condies para que possam permanecer com
seus filhos durante o perodo de amamentao;
LI - nenhum brasileiro ser extraditado, salvo o naturalizado, em caso de crime
comum, praticado antes da naturalizao, ou de comprovado envolvimento em
trfico ilcito de entorpecentes e drogas afins, na forma da lei;
LII - no ser concedida extradio de estrangeiro por crime poltico ou de opinio;
LIII - ningum ser processado nem sentenciado seno pela autoridade competente;
LIV - ningum ser privado da liberdade ou de seus bens sem o devido processo
legal;
LV - aos litigantes, em processo judicial ou administrativo, e aos acusados em geral
so assegurados o contraditrio e ampla defesa, com os meios e recursos a ela
inerentes;
LVI - so inadmissveis, no processo, as provas obtidas por meios ilcitos;
LVII - ningum ser considerado culpado at o trnsito em julgado de sentena
penal condenatria;
LVIII - o civilmente identificado no ser submetido a identificao criminal, salvo
nas hipteses previstas em lei;
LIX - ser admitida ao privada nos crimes de ao pblica, se esta no for
intentada no prazo legal;
LX - a lei s poder restringir a publicidade dos atos processuais quando a defesa da
intimidade ou o interesse social o exigirem;
LXI - ningum ser preso seno em flagrante delito ou por ordem escrita e
fundamentada de autoridade judiciria competente, salvo nos casos de transgresso
militar ou crime propriamente militar, definidos em lei;
LXII - a priso de qualquer pessoa e o local onde se encontre sero comunicados
imediatamente ao juiz competente e famlia do preso ou pessoa por ele indicada;
LXIII - o preso ser informado de seus direitos, entre os quais o de permanecer
calado, sendo-lhe assegurada a assistncia da famlia e de advogado;
LXIV - o preso tem direito identificao dos responsveis por sua priso ou por seu
interrogatrio policial;
LXV - a priso ilegal ser imediatamente relaxada pela autoridade judiciria;
LXVI - ningum ser levado priso ou nela mantido, quando a lei admitir a
liberdade provisria, com ou sem fiana;

43

LXVII - no haver priso civil por dvida, salvo a do responsvel pelo


inadimplemento voluntrio e inescusvel de obrigao alimentcia e a do depositrio
infiel;
LXVIII - conceder-se- "habeas-corpus" sempre que algum sofrer ou se achar
ameaado de sofrer violncia ou coao em sua liberdade de locomoo, por
ilegalidade ou abuso de poder;
LXIX - conceder-se- mandado de segurana para proteger direito lquido e certo,
no amparado por "habeas-corpus" ou "habeas-data", quando o responsvel pela
ilegalidade ou abuso de poder for autoridade pblica ou agente de pessoa jurdica no
exerccio de atribuies do Poder Pblico;
LXX - o mandado de segurana coletivo pode ser impetrado por:
a) partido poltico com representao no Congresso Nacional;
b) organizao sindical, entidade de classe ou associao legalmente constituda e
em funcionamento h pelo menos um ano, em defesa dos interesses de seus
membros ou associados;
LXXI - conceder-se- mandado de injuno sempre que a falta de norma
regulamentadora torne invivel o exerccio dos direitos e liberdades constitucionais e
das prerrogativas inerentes nacionalidade, soberania e cidadania;
LXXII - conceder-se- "habeas-data":
a) para assegurar o conhecimento de informaes relativas pessoa do impetrante,
constantes de registros ou bancos de dados de entidades governamentais ou de
carter pblico;
b) para a retificao de dados, quando no se prefira faz-lo por processo sigiloso,
judicial ou administrativo;
LXXIII - qualquer cidado parte legtima para propor ao popular que vise a
anular ato lesivo ao patrimnio pblico ou de entidade de que o Estado participe,
moralidade administrativa, ao meio ambiente e ao patrimnio histrico e cultural,
ficando o autor, salvo comprovada m-f, isento de custas judiciais e do nus da
sucumbncia;
LXXIV - o Estado prestar assistncia jurdica integral e gratuita aos que
comprovarem insuficincia de recursos;
LXXV - o Estado indenizar o condenado por erro judicirio, assim como o que ficar
preso alm do tempo fixado na sentena;
LXXVI - so gratuitos para os reconhecidamente pobres, na forma da lei:

44

a) o registro civil de nascimento;


b) a certido de bito;
LXXVII - so gratuitas as aes de "habeas-corpus" e "habeas-data", e, na forma da
lei, os atos necessrios ao exerccio da cidadania.
LXXVIII a todos, no mbito judicial e administrativo, so assegurados a razovel
durao do processo e os meios que garantam a celeridade de sua tramitao.
1 - As normas definidoras dos direitos e garantias fundamentais tm aplicao
imediata.
2 - Os direitos e garantias expressos nesta Constituio no excluem outros
decorrentes do regime e dos princpios por ela adotados, ou dos tratados
internacionais em que a Repblica Federativa do Brasil seja parte.
3 Os tratados e convenes internacionais sobre direitos humanos que forem
aprovados, em cada Casa do Congresso Nacional, em dois turnos, por trs quintos
dos votos dos respectivos membros, sero equivalentes s emendas constitucionais.
4 O Brasil se submete jurisdio de Tribunal Penal Internacional a cuja criao
tenha manifestado adeso.