Sistemas de Informação 1

Segurança e Auditoria de Sistemas

Segurança de Informação

Segurança é a proteção das informações, sistemas, recursos e serviços contra desastres, erros e
manipulação não autorizada, de forma a reduzir o impacto de incidentes de segurança.
Os sistemas de informática necessitam de ambientes controlados , protegidos contra:
1. desastres naturais: incêndio, enchente, terremoto, furacão, etc.;
2. falhas estruturais: interrupção do fornecimento de energia elétrica, sobrecargas elétricas;
3. sabotagem, fraudes, acessos não autorizados e outros.
A segurança do ambiente computacional deve ser encarada como proteção ao patrimônio da
organização e aos investimentos feitos em equipamentos, software e pessoal.

Política de Segurança de Informações

Objetivos de segurança: variam de acordo com o tipo de ambiente computacional e a natureza do

sistema (administrativo, financeiro, militar, etc.).
Os analistas de segurança devem fazer uma análise da natureza da aplicação, dos riscos e impactos
prováveis para identificar os objetivos mais prioritários da organização.
Objetivos de segurança que devem ser considerados:
1. Confidencialidade ou Privacidade: proteger as informações contra acesso não autorizado.
2. Integridade de dados: evitar que dados sejam alterados ou apagados.
3. Disponibilidade: proteger os serviços contra indisponibilidade ou degradação.
4. Consistência: certificar-se que o sistema atua conforme as expectativas do usuário.
5. Isolamento ou uso legítimo: regular o acesso ao sistema.
6. Auditoria: proteger os sistemas contra erros e atos maliciosos cometidos por usuários
legítimos.
7. Confiabilidade: garantir que, mesmo em condições adversas, o sistema atuará conforme
esperado.
Dependendo do tipo de organização, alguns objetivos são mais importantes que outros. Exemplo:
§ Um sistema que não contém dados confidenciais, mas que precisa estar disponível 24 horas
por dia, não requer privacidade de dados, mas requer alta disponibilidade.
§ Em sistemas militares, a privacidade é o ponto mais crítico, sendo a disponibilidade o
objetivo menos importante.
§ Em sistemas bancários, a integridade e auditoria são os aspectos mais relevantes, seguidos da
privacidade e disponibilidade.
Os objetivos de segurança são pontos importantes na implementação de uma política de segurança
de informações na organização. Antes da implementação de um programa de segurança, as seguintes
questões devem ser respondidas:
1. O que se quer proteger?
2. Proteção contra o quê ou quem?
3. Quais são as ameaças mais prováveis?
4. Qual a importância de cada recurso?
5. Qual o grau de proteção desejado?
 Sistemas de Informação 2
Segurança e Auditoria de Sistemas

6. Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de
segurança desejados?
7. Quais as expectativas dos usuários e clientes em relação à segurança de informações?
8. Quais as conseqüências para a instituição se seus sistemas e informações forem corrompidos
ou roubados?
A segurança de informações ainda não alcançou sua devida importância nas empresas porque esse
assunto assume uma prioridade mínima em relação a outros projetos. Em alguns casos, a implementação de
uma política de segurança pode ser considerada muito dispendiosa. Outras vezes é vista como um inibidor,
ao invés de uma garantia de disponibilidade ou qualidade. O fato de impedir ou rastrear as atividades de
outras gerências pode gerar uma impressão negativa.
A política de segurança de informações deve ter o total apoio da alta gerência, que deve se
comprometer a implantá-la. Comprometimento expresso em documento formal onde constam as políticas de
segurança e como seus objetivos se encaixam no contexto dos objetivos estratégicos e dos negócios da
empresa.
A política deve ser clara e objetiva, concentrando-se em princípios, deixando os detalhes para outros
documentos mais específicos.
Em função da grande importância para a sociedade moderna, a segurança de informações deu origem
a diversos grupos de pesquisa, cujos trabalhos muitas vezes são traduzidos em padrões de segurança, e a
projetos legislativos que visam tratar o assunto sob o aspecto legal, protegendo os direitos da sociedade em
relação a suas informações e prevendo sanções legais aos infratores.
Os padrões de segurança são utilizados no âmbito internacional e as leis e normas são estabelecidas
em caráter nacional.
A política de segurança deve ter enfoque nos controles de acesso lógico, físico e ambiental, além de
controles administrativos.

Controles de Acesso Lógico

Controles de acesso lógico: conjunto de medidas e procedimentos adotados pela organização ou

intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas
de acesso não autorizado feitas por usuários ou não.
Objetivo: proteger os recursos computacionais contra perda, danos, modificação ou divulgação não
autorizada.
A conscientização do usuário é fundamental para que a estratégia de acesso seja eficaz. Um usuário
bem treinado é uma das melhores maneiras de garantir a segurança da informação.
Quando se trata de controles de acesso a primeira coisa a fazer é determinar o que se pretende
proteger.
Alguns recursos e informações normalmente sujeitos a controles lógicos são:
§ Aplicativos: programas fonte e objeto. O acesso não autorizado ao código fonte dos aplicativos pode
ser usado para alterar suas funções e a lógica do programa.
§ Arquivos de dados: base de dados, arquivos ou transações de bancos de dados devem ser protegidos
para evitar que os dados sejam apagados ou alterados sem autorização adequada.
§ Utilitários e sistema operacional: o acesso a utilitários como compiladores, softwares de
manutenção, de monitoração e diagnóstico deve ser restrito, pois essas ferramentas podem ser usadas
para alterar arquivos de dados, aplicativos e arquivos de configuração do sistema operacional.
§ O sistema operacional é bastante visado. Principalmente, arquivos de senha e arquivos de log. Os
logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitários,
 Sistemas de Informação 3
Segurança e Auditoria de Sistemas

quando o acesso ocorreu e que tipo de operações foram efetuadas. Se esses arquivos não forem
devidamente protegidos, um invasor poderá alterar seus registros para encobrir suas ações.

Elementos básicos do controle de acesso lógico

O Processo de Logon envolve a entrada de um usuário e uma senha. É recomendável limitar o
número de tentativas frustradas de logon, bloqueando a conta de usuário e desfazendo a conexão ao alcançar
o número limite. Para que o usuário possa auxiliar no controle de acesso à sua conta, pode-se apresentar a
data e hora do último logon e detalhes sobre tentativas frustadas, assim que o logon for efetivado com
sucesso.
§ A identificação do usuário deve ser única.
§ Autenticação: a maioria dos sistemas solicita uma senha, mas já existem sistemas utilizando cartões
inteligentes ou ainda características físicas, como o formato da mão, da retina ou do rosto, impressão
digital e reconhecimento de voz.
§ Senhas: é recomendável que os usuários sejam orientados a escolher senhas mais seguras, evitando o
uso de senhas muito curtas ou muito longas. É reprovável o uso de mesma senha em sistemas
distintos não relacionados entre si.os usuários devem evitar senhas de fácil identificação, como por
exemplo: seu nome, sua conta de usuário, nomes de membros da família ou amigos, nomes de
pessoas e lugares em geral, nome do SO ou da máquina que está sendo utilizada, datas, números de
telefone, cartão de crédito, identidade ou outros documentos pessoais, placas ou marcas de carro,
palavras de dicionário de vários idiomas, letras ou números repetidos, letras seguidas do teclado
(qwert).
§ Tokens: objeto que o usuário possui que o diferencia das outras pessoas e o habilita a acessar algum
sistema. Sua desvantagem é que podem ser roubados ou reproduzidos. Exemplo: cartão magnético.
§ Sistemas biométricos: são sistemas que identificam pessoas por alguma característica física. A
tecnologia deve ser capaz de medir determinada característica de tal forma que o indivíduo seja
realmente único. Um dos problemas desses sistemas é a alta taxa de erro, em função da mudança das
características de uma pessoa com o passar dos anos.

Proteção aos recursos

É necessário implementar um controle específico restringindo o acesso aos usuários apenas às
aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. Pode ser a
nível de menus, funções ou arquivos.
Os controles de menus podem ser usados para subdividir os usuários em categorias, restringido seu
acesso apenas àquele s aplicativos ou utilitários indispensáveis. Para acessar um banco de dados, por
exemplo, pode-se ter uma categoria de usuários que apenas consultam e aqueles que podem fazer alterações.
Deve-se definir quem e como poderá acessar as funções internas dos aplicativos, através de
autorização para uso de funções específicas ou restrição de acesso a funções de acordo com o usuário,
horário ou tipo de recursos.
A maioria dos SOs possui mecanismos de controle de acesso para proteção a arquivos em que são
definidas as permissões e os privilégios de acesso para cada recurso no sistema.

Monitoramento
O monitoramento dos sistemas por meio de registros de log, trilhas de auditoria ou outros
mecanismos de detecção de invasão são essenciais à equipe de segurança. Na ocorrência de uma invasão,
erro ou atividade não autorizada é importante reunir evidências suficientes para que possam ser tomadas as
medidas corretivas necessárias ao restabelecimento do sistema às suas condições normais, assim como as
medidas administrativas e/ou judiciais.
 Sistemas de Informação 4
Segurança e Auditoria de Sistemas

Um dos métodos mais simples e mais difundido de monitoramento são os arquivos de log. Eles
funcionam como trilhas de auditoria que registram cronologicamente as atividades do sistema e seus
usuários. Com os dados dos logs, pode-se identificar e corrigir falhas da estratégia de segurança. Por conter
informações essenciais à detecção de acesso não autorizado, o arquivo de log deve ser protegido contra
destruição ou alteração por usuários ou invasores.
Ao definir o que será registrado, é preciso levar em conta que quantidades enormes de registros
podem ser inviáveis de serem monitorados. Não adianta ter um log, se ele não é periodicamente revisado.
Existem softwares especializados disponíveis no mercado específicos para essa tarefa.

Outros controles de acesso lógico

§ Time-out automático: a sessão é desativada após determinado tempo sem uso.
§ Limitação do horário de uso dos recursos computacionais de acordo com a real necessidade dos
sistemas. Por exemplo, desabilitar recursos nos fins de semana ou à noite.
§ Limitar quantidade de sessões concorrentes, impedindo que o usuário acesse o sistema de mais de
um terminal ou computador simultaneamente.
Os controles de acesso inadequados comprometem a integridade e a confiabilidade dos dados e
aumentam os riscos de destruição ou divulgação indevida de dados.
A inexistência de controles de acesso permite que um indivíduo faça mudanças não autorizadas para
tirar alguma vantagem pessoal imediata, como por exemplo: aumentar seu salário na folha de pagamentos ou
alterar o inventário da empresa para esconder um furto cometido por ele.
A falta de controle de acesso sobre meios magnéticos, impressos e de telecomunicações pode resultar
nos mesmos problemas. Portanto, sem controles de acesso adequados, a organização pode se deparar com
perdas financeiras, decorrentes de fraudes, extorsões ou custos de restauração ao estado inicial de programas
e dados. Uma quebra de segurança pode resultar em perda de credibilidade, perda de fatias de mercado para a
concorrência e dependendo do ramo de atividade inviabilidade de continuidade de seus negócios, além disso,
a organização pode sofrer processos judiciais.