O documento discute segurança da informação, incluindo políticas de segurança, logs e sistemas de detecção de intrusão. Ele fornece diretrizes sobre engenharia social, transações online e boatos, além de discutir responsabilidades relacionadas à segurança.

1. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
Índice
1.0. Introdução..........................................................................................................................2
2.0. Segurança de Informação..................................................................................................3
3.0. Politica de Segurança ........................................................................................................3
3.1. Política de Uso Aceitável (PUA)...................................................................................4
3.2. Uso abusivo da rede.......................................................................................................4
4.0. Logs & sistema de detecção de intrusão (IDS) .................................................................4
4.1. Atividades que podem gerar logs ..................................................................................5
5.0. Metodologia de Proteção...................................................................................................5
5.1. Método de Proteção.......................................................................................................5
5.1.1. Engenharia Social...................................................................................................5
5.1.2. Em caso de Transações Bancárias ou Comerciais .....................................................6
5.1.3. Em caso de Boatos .................................................................................................7
6.0. Responsabilidade...............................................................................................................7
7.0. Conclusão..........................................................................................................................8
8.0. Bibliografia........................................................................................................................9

2. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
1.0.Introdução
Com o aumento da utilização e dependência do computador traz uma preocupação básica e
fundamental às organizações que é a segurança.
A decisão da adoção ou não de uma política de segurança deve basear-se em uma avaliação de
riscos, mediante custo e benefício. Feita essa análise, torna-se mais simples tomar uma decisão.
É importante ter em mente que as ameaças não partem somente de autores externos. A
segurança de qualquer sistema, em parte, está nas mãos das pessoas que o gerenciam e operam.
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos
recursos tecnológicos da empresa.
As decisões que nós como administrador tomamos ou deixamos de tomar, relacionadas à
segurança, irão determinar quão segura ou insegura é a nossa rede, quantas funcionalidades ela
irá oferecer, e qual será a facilidade de utilizá-la. No entanto, não conseguiremos tomar boas
decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que
determinemos quais sejam elas, não faremos uso efetivo de qualquer coleção de ferramentas de
segurança pois simplesmente não saberemos o que checar e quais restrições impor.

3. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
2.0.Segurança de Informação
Segundo ABNT NBR ISO/IEC 27002:2005, “Segurança da informação é a proteção da
informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o
risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”
Os princípios da segurança da informação abrangem, basicamente, os seguintes aspetos:
1º. Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser
realizadas nas informações;
2º. Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter
acesso à informação;
3º. Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que
necessário ou demandado.
3.0. Politica de Segurança
A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos
computacionais de uma instituição e com as informações neles armazenados. Ela também define
as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.
Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição
e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é
considerado um incidente de segurança.
Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles
que não cumprirem a política.

4. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
3.1.Política de Uso Aceitável (PUA)
A política de uso aceitável (AUP, de Acceptable Use Policy) é um documento que define como
os recursos computacionais de uma organização podem ser utilizados. Também é ela quem
define os direitos e responsabilidades dos usuários.
Os provedores de acesso à Internet normalmente deixam suas políticas de uso aceitável
disponíveis em suas páginas. Empresas costumam dar conhecimento da política de uso aceitável
no momento da contratação ou quando o funcionário começa a utilizar os recursos
computacionais da empresa.
3.2.Uso abusivo da rede
Internamente às empresas e instituições tem situações que caracterizam o uso abusivo da rede,
estas estão definidas na política de uso aceitável. Na Internet como um todo, os comportamentos
listados abaixo são geralmente considerados como uso abusivo:
 Envio de Spam;
 Envio de correntes da felicidade e de correntes para ganhar dinheiro rápido;
 Cópia e distribuição não autorizada de material protegido por direitos autorais;
 Utilização da Internet para fazer difamação, calúnia e ameaças;
 Tentativas de ataques a outros computadores;
 Comprometimento de computadores ou redes.
4.0.Logs & sistema de detecção de intrusão (IDS)
Os logs são registros de atividades gerados por programas de computador. No caso de logs
relativos a incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas
de detecção de intrusão.
Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um
conjunto de programas, cuja função é detectar atividades incorretas, maliciosas ou anômalas.

5. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a
uma rede.
4.1.Atividades que podem gerar logs
Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta
acessar um computador e este acesso é barrado pelo firewall. Sempre que um firewall gera um
log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa
de ataque.
Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques,
quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se
uma atividade detectada por um IDS foi um ataque com sucesso.
5.0.Metodologia de Proteção
A metodologia a ser utilizada para elaboração do plano de segurança procura abranger os
seguintes itens:
 Análise de riscos, através da identificação, probabilidade de ocorrências e
consequências, das ameaças existentes;
 Verificação e avaliação das medidas de proteção existente na área de
informática;
 Estabelecimento de prioridades de proteção;
 Determinação dos requisitos de segurança;
 Conscientização e treinamento de
pessoal;
 Simulação e testes periódicos;
5.1.Método de Proteção
5.1.1. Engenharia Social
Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso
da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter

6. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
informações que podem ser utilizadas para ter acesso não autorizado a computadores ou
informações.
Neste caso devemos prestar atenção nos métodos seguintes:
 Não fornecer dados pessoais, números de cartões e senhas através de contato telefônico;
 Ficar atento a e-mails ou telefonemas solicitando informações pessoais;
 Não acessar sites ou seguir links recebidos por e-mail ou presentes em páginas sobre as
quais não se saiba a procedência;
 Sempre que houver dúvida sobre a real identidade do autor de uma mensagem ou
ligação telefônica, entrar em contato com a instituição, provedor ou empresa para
verificar a veracidade dos fatos.
5.1.2. Em caso de Transações Bancárias ou Comerciais
 Seguir todas as recomendações sobre utilização do browser de maneira segura;
 Estar atento e prevenir-se dos ataques de engenharia social;
 Realizar transações somente em sites de instituições que você considere confiáveis;
 Certificar-se de que o endereço apresentado em seu browser corresponde ao site
que você realmente quer acessar, antes de realizar qualquer ação;
 Antes de aceitar um novo certificado, verificar junto à instituição que mantém o site
sobre sua emissão e quais são os dados nele contidos;
 Procurar sempre digitar em seu browser o endereço desejado. Não utilize links em
páginas de terceiros ou recebidos por e-mail;
 Certificar-se que o site faz uso de conexão segura, ou seja, que os dados
transmitidos entre seu browser e o site serão criptografados e utiliza um tamanho de
chave considerado seguro;
 Verificar o certificado do site, para assegurar-se que ele foi emitido para a
instituição que se deseja acessar e está dentro do prazo de validade;
 Não acessar sites de comércio eletrônico ou Internet Banking através de
computadores de terceiros;

7. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
 Desligar sua webcam (caso vecê possua alguma), ao acessar um site de comércio
eletrônico ou Internet banking.
5.1.3. Em caso de Boatos
 Verificar sempre a procedência da mensagem e se o fato sendo descrito é verídico;
 Verificar em sites especializados e em publicações da área se o e-mail recebido já
não está catalogado como um boato.
6.0.Responsabilidade
Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o
suporte de todos os níveis de empregados dentro da organização. É especialmente importante
que a gerência corporativa suporte de forma completa o processo da política de segurança, caso
contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivíduos
que deveriam estar envolvidas na criação e revisão dos documentos da política de segurança:
 O administrador de segurança do site;
 O pessoal técnico de tecnologia da informação;
 Os Administradores de grandes grupos de usuários dentro da organização;
 A equipe de reação a incidentes de segurança;
 Os Representantes de grupos de usuários afetados pela política de segurança;
 O Conselho Legal.
A ideia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e
política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho
legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode
ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as políticas
resultantes deverão alcançar a maior aceitabilidade possível. Também é importante mencionar
que o papel do conselho legal irá variar de país para país.

8. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
7.0.Conclusão
A segurança informática é de facto uma problemática bastante complexa. Como já foi referido,
não existem soluções concretas para fazer face aos “ataques”, e para posteriormente podermos
afirmar ser fiável falar em segurança informática. Existem sim, procedimentos e ações que
apenas tentam minimizar os riscos provenientes de tais situações.
O grande problema reside no facto de, existir grande dificuldade em identificar uma pessoa na
organização que seja o responsável global pela segurança, física e informática. Enquanto houver
responsabilidades distribuídas por diversas pessoas, com escasso poder de decisão e visão
restritiva da segurança, o resultado não será brilhante e a situação atual manter-se-á, ou seja, os
riscos e as ameaças de “ataques”, continuarão a existir, e a crescer, e continuará a existir uma
ausência de medidas proporcionais do lado da proteção.

9. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
8.0.Bibliografia
Henrique São Mamede, Segurança Informática nas Organizações, 978-972-722-441-8;
Cláudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel
Books 142, ISBN 85-7323-231-9
Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. University
College London.
Morris, R. & Thompson, K. (1979). Password security: a case history. Communications of the
ACM, 22, 594-597.
Sieberg, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports - Online
Security. Publicado em 26 de setembro de 2005.
Smith, R.E. (2002). The strong password dilemma. Authentication: From Passwords to Public
Keys. Chapter 6. Addison-Wesley.