UNIVERSIDADE ZAMBEZE

FACULDADE DE CIÊNCIAS E TECNOLOGIA

CURSO DE ENGENHARIA INFORMÁTICA

SISTEMAS DE INFORMAÇÃO
Ética e Segurança em Sistemas de Informação

Apostila de apoio aos estudantes de

Engenharia Informática na quinta unidade
temática da disciplina de Sistemas de
Informação

Docente:
MSc. Engo. Félix Macueia
“[email protected]”

Beira, Outubro de 2015.

Sumário
A segurança dos sistemas de informação tem revelado uma importância cada vez maior. Assim,
urge ter sempre presente o nível de segurança informática das instituições e a tomada de medidas
visando uma melhor garantia de autenticidade, confidencialidade integridade e disponibilidade
dos sistemas. A presente apostila visa dotar os estudantes da disciplina de Sistemas de
Informação em fundamentos de segurança em SI e princípios de ética profissional.
Objectivos da unidade

 Identificar diversos tipos de controlos de sistemas de informação, controles de

procedimentos e controles de instalações e explicar como eles podem ser utilizados para
garantir a qualidade e segurança dos sistemas de informação.
 Identificar diversas questões éticas no modo como a tecnologia da informação afecta o
emprego, individualidade, condições de trabalho, privacidade, crime, saúde e soluções
para problemas sociais.
 1. Segurança em Sistemas de Informação

Da mesma forma como as pessoas protegem sua integridade física ao usar cintos de segurança
nos carros, câmeras em prédios, cães e seguranças armados; a informação também deve ser
protegida, pois ela gera conhecimento que pode ser utilizado para as mais diversas finalidades.
De modo geral organizações produzem informações para obter competitividade no mercado,
portanto é de suma importância que essa esteja segura. Esse conhecimento normalmente é
proveniente da coleta e armazenamento de dados feitos pelos SI. Estes por sua vez encontram-se
em redes internas das empresas, as intranets; porém mesmo não estando conectadas a Internet
ainda existe o risco de infecção por vírus, corrupção dos dados ou furto interno de informação.
Dentre as ameaças aos sistemas de informação, podemos citar:

 DNS (Domain Name System): Serviço que converte o endereço IP em um nome

único para identificação na internet. Quando possuem problemas de configuração,
podem servir para clonar páginas de Internet ou desferir ataques para consumo de
banda.
 Vírus: Programas ou parte de programas que precisam ser ativados e de uma
máquina hospedeira para se proliferar. Normalmente distribuídos dentro de
arquivos como planilhas eletrônicas, documentos eletrônicos e links
 Worms: Diferente dos vírus os worms são ativos e procuram por portas abertas
nos sistemas para, invadir, se multiplicar e infectar redes inteiras causando
problemas aos sistemas. Transmitido de máquina a máquina via rede ou
periféricos.
 Trojan Horses (Cavalos de Troia): Programas que realizam a função para qual
foram feitos e alguma outra ação maliciosa, não desejada. Esses programas são
recebidos como “presentes”: jogos, proteções de tela, cartões virtuais, fotos e etc.
 Spywares: Programas que ao se alojarem em um computador transmitem
informações para computadores remotos, para que sejam usadas por terceiros.
 Spams: Emails de distribuídos em massa e sem autorização, podendo ou não
conter vírus.
  SQL Injection (Injeção de SQL): Sistemas online mal configurados ficam
vulneráveis a inserções de instruções externas que permitem acesso a sua base de
dados, a esse tipo de instruções chamamos de SQL Injection.
 Hackers: Denominação genérica para pessoas com bom conhecimento de
informática, que usam esse conhecimento para invadir sistemas e obter
informações ou por diversão.
 Engenharia Social: Diversa técnica para obtenção de informação sobre a vítima
de um futuro ataque a seu sistema de informação. Essas técnicas vão desde a
simples montagem de um perfil da vítima, a obtenção de dados e falhas do
sistema, como até o disfarce de técnico de suporte para se infiltrar nas empresas.

Com tantos tipos de ameaças, administradores, quando decidem informatizar suas

empresas, devem se preparar para criar planos de segurança digital. Para tal devem considerar o
auxílio de um profissional de TI, que deve participar ativamente das decisões estratégica da
empresa. Sendo responsável não apenas pela montagem e administração da rede, controle de
senhas, armazenamento de dados e seleção dos softwares; mas também pela disponibilidade das
informações, criar relatórios operacionais, gerenciais e administrativos e garantir a segurança dos
mesmos.

Por outro lado afirma Carneiro (2005) que a segurança de sistemas de informação é caracterizada
pela disponibilidade, confidencialidade integridade e privacidade no acesso aos dados e
funcionalidades dos SI. Na dinâmica do seu armazenamento, processamento e transmissão, as
informações armazenadas podem sofrer vários tipos de ameaças:
• Intrusos – utilizadores não autorizados a aceder ou modificar informações, tentam fazê-lo.
• Utilizadores autorizados maliciosos – utilizadores autorizados a utilizar o sistema, aproveitam
para praticar actos ilícitos actuam como intrusos, acedendo ou modificando dados de uma forma
ilícita.
• Utilizadores autorizados e negligentes – utilizadores autorizados a aceder à informação que
de uma forma não deliberada realizam certas acções que levam à modificação da informação ou
permite que pessoas não autorizadas o façam.
Essas ameaças podem ser classificadas de acordo com o resultado que podem produzir:
• Rejeição – perda de atribuição
• Revelação – perda de confidencialidade e privacidade
• Modificação – perda de integridade
• Falsificação – perda de autenticidade
Cada uma dessas ameaças possui formas específicas de actuar sobre os dados nos servidores,
clientes, ou em trânsito. Os itens seguintes, analisam sinteticamente essas ameaças.

1.1.Áreas de Segurança
1.1.1. Segurança da Informação
A missão principal do responsável pela segurança do SI numa determinada instituição é a
garantia da segurança da informação. Isso deverá abarcar as diversas áreas de segurança. Neste
contexto, enfatizasse a necessidade de se garantir a confidencialidade, integridade e
disponibilidade da informação. A protecção da informação deverá ser feita após uma
classificação da mesma de acordo com a sua sensibilidade. Uma politica de salvaguarda e
recuperação da informação elaboradamente executada é igualmente de grande importância para
evitar a perda de informação por falhas de hardware, de software, desastres, etc.

1.1.2. Segurança física

O ambiente físico no qual a organização opera pode constituir um elemento importante no que
diz respeito segurança da informação. A segurança física dever ser pensada de forma a
incrementar os níveis de protecção contra acessos não autorizados. Assim, a escolha da
localização do centro de dados ou dos arquivos com informação crítica da empresa deverá ser
cuidadosamente feita. Por outro lado, o controlo da entrada e saída das pessoas no edifício é algo
de extrema importância para a segurança física do mesmo. O registo das entradas e saídas dos
técnicos e administradores na sala dos servidores, incluindo as datas e as horas, a utilização de
mecanismos de controlo automático como cartões magnéticos por exemplo são exemplos de
mecanismos que incrementam a segurança física. Contudo, essas soluções de controlo físico não
deverão ser meramente decorativos. Deverão existir formas de assegurar que tais mecanismos de
controlo de acesso não sejam ultrapassados.
 1.1.3. Segurança do pessoal
Na maioria dos casos, dá-se muita importância às áreas da segurança físicas e lógicas, relegando-
se para segundo plano a segurança do pessoal. Esta área da segurança dos SI, deverá começar
mesmo no processo recrutamento, com uma explicação clara das componentes de segurança
relacionadas com a tarefa do novo funcionário. Neste contexto, deverá haver uma articulação
muito próxima entre o departamento dos recursos humanos e a pessoa responsável pela
segurança dos SI na instituição. Um documento formal com as políticas normas e procedimentos
deverá ser divulgado de forma clara a todos os utilizadores, e colocado na intranet. Linhas de
conduta especificando as boas práticas na utilização dos recursos disponíveis e estabelecendo
balizas de comportamento às pessoas no que diz respeito a questões de segurança deverão ser
dados a conhecer a todos os utilizadores. Preferencialmente, deverá ser assinado no ato da
contratação.
Constitui prática importante na segurança do pessoal, a ministração de formação a todos os
utilizadores no uso seguro das tecnologias de informação e comunicação. Ainda no âmbito da
segurança do pessoal, deve-se evitar a atribuição a uma única pessoa de funções vitais para a
organização, distribuindo preferencialmente para dois ou mais colaboradores.

1.1.4. Segurança lógica

Esta é indubitavelmente área mais rica, mais complexa e mais difícil de gerir no que diz respeito
à segurança de sistemas de informação. Isso deve-se essencialmente ao ritmo acelerado de
evolução tecnológica acompanhado pelo aumento da sua complexidade. Eis alguns aspectos
importantes que deverão ser levados em consideração nesta área:
• Autenticação e controlo de acesso – permite aos utilizadores se autenticarem perante o
sistema de informação, isto é, assegurar que os utilizadores são efectivamente quem alegam ser.
Com as suas vantagens e desvantagens, o recurso à palavra passe é o meio mais utilizado.
Existem contudo outras alternativas, como por exemplo smart cards e biometria (leitores de
impressão digital, leitores de íris ocular e de reconhecimento facial). Este último possui o
problema de “falsos-negativos” e em alguns casos de custos elevados associados.
• Redundância – no campo da protecção da informação, este mecanismo permite evitar a
indisponibilidade da informação. Pode ser concretizado, por exemplo através da utilização de
RAID (Redundant Array of Unresponsive Disks) com paridade. O planeamento redundante das
rotas de redes poderá ser um mecanismo muito útil na mitigação de ataques.
• Criptografia – processo de protecção de um conjunto de dados de modo a que só possa ser
desprotegido por alguém que conheça um determinado segredo. Vários algoritmos de cifra
podem ser utilizados, tanto os simétricos (utilizam a mesma chave tanto para cifrar como para
decifrar a mensagem) como os assimétricos (utilizam chaves diferentes para cifrar e decifrar).
Triple DES e AES são os algoritmos mais recentes.
• Antivírus – Com a actual proliferação de código malicioso torna-se imprescindível a utilização
de antivírus em qualquer sistema utilizado actualmente, a fim de protegê-lo contra essas
ameaças.
• Filtragem de conteúdos – O bloqueio de acesso a sítios Web de conteúdo nocivo com base no
URL ou palavras-chave, é um importante mecanismo de protecção do SI. Contribui até para
economizar recursos evitando o seu uso em práticas não relacionadas com actividades da
instituição.
• Salvaguarda da informação – A salvaguarda regular das informações armazenadas em meio
seguro, é fulcral para a recuperação das funções da empresa em caso falhas.
• Detecção de intrusões – Os sistemas que possuam routers e firewalls ficam imunes a um
grande número de ataques. Contudo não permite saber o que passa dentro do sistema nem o os
ataques de que o sistema é alvo. Os sistemas de detecção de intrusão, possuem como grande
objectivo, saber o que se passa na rede, tentativas intrusão oriundas do exterior e mesmo acções
internas de violação da segurança, como tentativas de acesso a recursos protegidos por partes de
funcionários, etc.
• Resposta a ataques – qualquer organização que possui os seus recursos informáticos em rede
está exposta a ataques. É importante definir as acções a serem levadas a cabo em caso de
ocorrência desses ataques.
Testes e auditorias
Testes e auditorias aos sistemas de informação, são importantes para que se possa determinar o
grau de protecção do sistema e determinar as acções a serem implementadas para aumentar os
níveis de segurança. Deverão ser realizados regularmente. Contudo, é aconselhável a sua
realização a título extraordinário, aquando da nomeação de um novo responsável pela SSI4 ou
após a implementação de novas medidas de segurança. Entre os aspectos que deverão ser
considerados aquando da realização destes testes, destacam-se.
• Auditoria completa dos sistemas – análise exaustiva de todo sistema informático da
instituição, tanto ao nível interno como externo (disponibilizados na Internet).
• Testes de intrusão – tentativas de acesso aos sistemas da empresa por parte de pessoas não
autorizadas. Os resultados deverão, entretanto ser úteis e não apenas descrições de ataques.
• Teste de vulnerabilidades – confronto dos sistemas e aplicações existentes com a lista das
vulnerabilidades conhecidas. São normalmente realizadas por aplicações que possuem uma base de
dados das vulnerabilidades existentes.
• Engenharia Social – consiste num conjunto simples de tentativas de obtenção de informação por
exemplo através do telefone ou de acções mais complexas como tentativa de entrar nas instalações.

1.2.Segurança face ao desastre

“Um desastre consiste num acontecimento imprevisto que origina dificuldades e perdas à
organização afectando significativa e de forma negativa a sua capacidade de executar serviços
essenciais”. (Silva, Carvalho e Torres, 2003): Como a probabilidade de ocorrência de desastres é
algo real, torna-se necessário a definição de um plano de recuperação ou continuidade de
negócio que visa garantir a recuperação das funcionalidades críticas da empresa de forma
suficientemente rápida, de modo a garantir o não comprometimento da viabilidade institucional.
Portanto esse planeamento visa identificar as actividades a serem realizadas em caso de
desastres, os responsáveis pela sua execussão, os meios necessários e o modo de realização
dessas actividades. Esse projecto é implementado em 5 fases:
1. Arranque;
2. Redução de riscos e avaliação do impacto;
3. Desenvolvimento do plano
4. Implementação do plano
5. Manutenção e actualização

1.3.Plano Global de Segurança (PGS)

Após a análise de risco, a organização deverá desenvolver um plano de segurança para as
vulnerabilidades e ameaças identificadas ao nível físico, lógico e dos recursos humanos. A sua
implementação levará em consideração todos os riscos e vulnerabilidades identificadas. Esse
plano é portanto o documento principal de segurança da empresa. Nele encontramos a análise de
risco e o plano de acção para a implementação das medidas. Existem igualmente outros
documentos de segurança que contribuem para dar consistência e exequibilidade às medidas
implementadas:
• Política de segurança – conjunto reduzido de regras que definem em linhas gerais o que é
considerado pela empresa como aceitável ou inaceitável, contendo referência às medidas a impor
aos infractores.
• Normas de segurança – documentos composto por todas as regras de segurança da
organização concretizando de forma detalhada as orientações da política de segurança. Neste
documento são especificadas as tecnologias utilizadas e a forma segura de utilização.
• Procedimentos – documento que descreve as operações de forma muito detalhada, indicando
todos os seus passos. Os procedimentos deverão estar em conformidade com as normas de
segurança.

2. Ética em Sistemas de Informação:

Quando o profissional se questiona sobre se deve fazer algo em seu trabalho, ele faz uma
verificação moral de seus atos. Por assim ser Condi (2003, p.62) define: “ética é a reflexão
sistemática sobre o comportamento moral. Ela investiga, analisa e explica a moral de uma
determinada sociedade”.
A ética profissional normalmente acompanha o regulamento da profissão, porém algumas
premissas podem ser elencadas para qualquer profissional que trabalhe com sistemas de
informação:

 Ser honesto e digno de confiança

 Ser justo e agir de forma a não discriminar.
 Honrar os direitos de propriedade, incluindo direitos autorais
 Dar crédito apropriado a propriedade intelectual
 Respeitar a privacidade de terceiros
 Honrar a confidencialidade
 Garantir a consistência e integridade da informação e analisar os riscos
Seguir essas premissas e sempre se questionar sobre se pode e/ou deve fazer algo com a
informação obtida são requisitos imprescindíveis, para que um profissional seja considerado
ético quando trabalha com SI.

2.1.TI e os desafios éticos no ambiente organizacional

Para O´Brien (2004, p. 413) é importante que a gestão de segurança compreenda as dimensões
éticas do trabalho em organizações e da utilização da tecnologia, porque nas tomadas de decisões
quanto ao uso da TI, pode haver uma dimensão ética que precisa ser considerada, pois as pessoas
utilizam filosofias éticas básicas como: egoísmo, lei natural, utilitarismo e o respeito pelas
pessoas ou defendem valores éticos nas decisões.
O desenvolvimento da TI e a aplicação dos seus recursos disponíveis nas organizações têm
gerado muitas situações de caráter ético no ambiente organizacional, que vem tornando-se a cada
dia mais complexo, com definições de certo ou errado nem sempre claras no PGS elaborado com
as políticas de segurança e os tipos de controles adotados para implementação pela gestão de
segurança da informação.
Definir o código ética, que é um conjunto de princípios da organização, é fundamental para
servir de guia nas tomadas de decisões na gestão de segurança, considerando os princípios e as
questões éticas. Segundo Turban (2003, p. 503) a diversidade de aplicações de TI e o crescente
desenvolvimento criaram diversas questões éticas que foram estruturadas por R. O. Manson e
outros em quatro categorias, que são:
 Privacidade – coleta, armazenagem e disseminação de informações sobre os indivíduos;
 Precisão – autenticidade, fidelidade, precisão das informações coletadas e processadas;
 Propriedade – valor intelectual da informação;
 Acessibilidade – direito de acesso à informação ou pagamento pelo acesso.
As organizações e, consequentemente, a gestão de segurança devem estar preparadas para
elaborar e implementar regras e para monitorar e controlar o ciclo da informação no SI da
organização, considerando os princípios e filosofias éticos da instituição. Isso deve ser
compartilhando com cada ser humano comprometido ou envolvido nos processos do negócio da
organização, visto que são diversos os modelos éticos utilizados pelos seres humanos na
aplicação das suas filosofias éticas nas escolhas feitas diariamente, seja na vida pessoal ou no
trabalho.
O ser humano, no seu desenvolvimento, passa por diversos estágios da revolução moral que está
dividida em vários ambientes, conforme Figura abaixo, até absorver em um nível de raciocino
ético capaz de perceber que necessariamente o que não é ético, é ilegal.

Os desafios éticos da TI nas organizações podem ser minimizados quando o treinamento, a

conscientização, a sensibilização e a publicação do PDS são realizados e aplicados desde a
seleção e admissão dos profissionais da organização, até o relacionamento com fornecedores e a
formação de parcerias.

O código de prática NBR ISO/IEC 17799 define que a gestão da segurança envolvendo
pessoas tem como objetivo ‘reduzir os riscos de erro humano, roubo, fraude ou uso indevido
das instalações da corporação’. Assim, a norma recomenda que estas medidas sejam tomadas
‘na fase de recrutamento, incluídas em contrato e monitoradas durante a vigência de cada
contrato de trabalho’. (Módulo Security Magazin, 2005)

Situações controversas, como monitoração de correio eletrônico ou uso de câmeras e gravação de

conversas telefônicas, têm gerado processos trabalhistas e judiciais em todo no Brasil,
influenciados na maioria dos casos, pela falta de definições éticas das organizações e dos
profissionais.
A monitoração por computador tem sido criticada como uma invasão de privacidade
dos funcionários porque em muitos casos, eles não sabem que estão sendo
monitorados ou não sabem como a informação está sendo utilizada. (O´BRIEN, 2004,
p. 418).
Cabe às organizações protegerem seu ambiente, seu patrimônio e seus ativos, utilizando os
recursos legais de TI na gestão de segurança, conforme as normas nacionais e internacionais para
atingir os objetivos, gerando impactos positivos e visíveis para o desempenho das organizações e
reduzindo os níveis de incerteza para tomada de decisão. Os usuários ou profissionais, também
devem ter a responsabilidade de implementar princípios e filosofias éticas da TI, e de assumirem,
seja na vida pessoal ou profissional, em qualquer ambiente, esse procedimento que é vital para as
organizações, usuários e profissionais na utilização dos SI.
Conclusões
Cabe ao leitor (estudante) chegar a conclusões individuas, por forma a incentivar o espírito
de análise.
Referências e Bibliografias
 Silva, P. T., Carvalho, H., Torres C. B.(2003). Segurança dos Sistemas de Informação.
Centro Atlântico. Lisboa
 Carneiro, A. (2001). Auditoria de sistemas de informação. FCA – Editora de Informática.
 Loukis, E. and Loukis, E. and Spinellis D. (2001) Information Systems Security in the
Greek Public Sector. Information Management & Computer Security, Vol. 9 N 1.
 SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança
da informação: aplicada ao Security Officer/Marcos Sêmola e Módulo Security Solutions
S.A. Rio de Janeiro: Campus, 2003.
 STAIR, R. M.; REYNOLDS, G. W. Princípios de sistemas de informação. Tradução de
Alexandre M. de Oliveira. 4. ed. Rio de Janeiro: LTC, 2002.
 TURBAN, Efrain; RAINER, K. R.; POTTER, Jr., R. E. Administração de Tecnologia
da informação. Tradução de Tereza Cristina Felix de Souza. Rio de Janeiro: Elsevier,
2003.