Skip to main content
Global

13.6: Protegendo computadores e informações

  1. Last updated
  2. Save as PDF
  • Page ID
    179984

    • \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

    5. Quais são as melhores formas de proteger os computadores e as informações que eles contêm?

    Você já perdeu um trabalho de conclusão de curso em que trabalhou por semanas porque seu disco rígido travou ou você excluiu o arquivo errado? Você estava chateado, irritado e frustrado. Multiplique esse papel e seus sentimentos centenas de vezes e você entenderá por que as empresas devem proteger computadores, redes e as informações que armazenam e transmitem contra uma variedade de ameaças em potencial. Por exemplo, as violações de segurança dos sistemas de informações corporativas — de hackers humanos ou de versões eletrônicas, como vírus e worms — estão aumentando a um ritmo alarmante. A dependência cada vez maior de computadores exige planos que cubram erros humanos, quedas de energia, falhas de equipamentos, hackers e ataques terroristas. Para resistir a desastres naturais, como grandes incêndios, terremotos e inundações, muitas empresas instalam sistemas de computador especializados tolerantes a falhas.

    Os desastres não são a única ameaça aos dados. Muitos dados, muitos deles confidenciais, podem ser facilmente explorados ou destruídos por qualquer pessoa que conheça computadores. Manter suas redes protegidas contra acesso não autorizado — de fontes internas e externas — exige políticas de segurança formais e procedimentos de fiscalização. A crescente popularidade dos dispositivos móveis — laptops, tablets e telefones celulares — e das redes sem fio exige novos tipos de provisões de segurança.

    Em resposta às crescentes preocupações de segurança, as empresas aumentaram os gastos com tecnologia para proteger sua infraestrutura de TI e seus dados. Junto com hardware e software especializados, as empresas precisam desenvolver estratégias de segurança específicas que adotem uma abordagem proativa para evitar problemas técnicos e de segurança antes que eles comecem. No entanto, um artigo recente do CIO lamentou a falta de políticas básicas de segurança que as empresas só implementam após uma invasão ou crise de dados. 15

    Problemas de segurança de dados

    O acesso não autorizado aos sistemas de computadores de uma empresa pode ser caro, e não apenas em termos monetários. A Juniper Networks estima que o cibercrime custará às empresas mais de $2 trilhões em 2019, em comparação com apenas $450 milhões em 2001. As categorias de ameaças mais caras incluem worms, vírus e cavalos de Tróia (definidos posteriormente nesta seção); roubo de computador; fraude financeira e acesso não autorizado à rede. O relatório também afirma que quase todas as empresas dos EUA relatam pelo menos um problema de segurança e quase 20% sofreram vários incidentes de segurança. 16

    Os criminosos de computadores estão se tornando cada vez mais sofisticados, encontrando novas maneiras de entrar em sites ultra-seguros. “À medida que empresas e consumidores continuam avançando em direção a uma economia em rede e da informação, há mais oportunidades para os cibercriminosos aproveitarem as vulnerabilidades em redes e computadores”, diz Chris Christiansen, vice-presidente do programa da empresa de pesquisa tecnológica IDC. 17 Enquanto os primeiros cibercriminosos eram tipicamente hackers amadores trabalhando sozinhos, os novos são mais profissionais e geralmente trabalham em gangues para cometer crimes em grande escala na Internet em troca de grandes recompensas financeiras. A internet, onde os criminosos podem se esconder atrás de nomes de tela anônimos, aumentou os riscos e expandiu o mundo das oportunidades de cometer roubo de identidade e crimes semelhantes. Capturar esses cibercriminosos é difícil e menos de 5% são pegos. 18

    Uma fotografia mostra um laptop com números de streaming na tela e um grande ícone de cadeado vermelho.
    Figura 13.8 A segurança de dados está sob constante ataque. Em 2017, os cibercriminosos invadiram a Equifax, uma das maiores agências de crédito do país, e roubaram os dados pessoais de mais de 145 milhões de pessoas. Até o momento, é considerada uma das piores violações de dados de todos os tempos devido à quantidade de dados confidenciais roubados, incluindo os números do Seguro Social dos consumidores. Qual o impacto que o roubo de identidade e outros problemas de segurança de dados têm nas redes globais e no comércio eletrônico? (Crédito: Blogtrepreneur/flickr/ Attribution 2.0 Generic (CC BY 2.0))

    As empresas estão tomando medidas para evitar esses caros crimes e problemas informáticos, que se enquadram em várias categorias principais:

    • Acesso não autorizado e violações de segurança. Seja de fontes internas ou externas, o acesso não autorizado e as violações de segurança são a principal preocupação dos gerentes de TI. Isso pode causar estragos nos sistemas de uma empresa e prejudicar o relacionamento com os clientes. O acesso não autorizado também inclui funcionários, que podem copiar informações confidenciais de novos produtos e fornecê-las aos concorrentes ou usar os sistemas da empresa para negócios pessoais que possam interferir na operação do sistema. Os links de rede também facilitam o acesso de alguém de fora da organização aos computadores de uma empresa.

      Uma das formas mais recentes de cibercrime envolve a instalação secreta de software de registro de chaves por meio de downloads de software, anexos de e-mail ou arquivos compartilhados. Em seguida, esse software copia e transmite as teclas digitadas pelo usuário — senhas, PINs e outras informações pessoais — de sites selecionados, como sites bancários e de cartão de crédito, para ladrões.

    • Vírus de computador, worms e cavalos de Tróia. Vírus de computador e problemas de segurança relacionados, como worms e cavalos de Tróia, estão entre as principais ameaças à segurança de computadores pessoais e comerciais. Um programa de computador que se copia em outro software e pode se espalhar para outros sistemas de computador, um vírus de computador pode destruir o conteúdo do disco rígido de um computador ou danificar arquivos. Outra forma é chamada de worm porque ela se espalha automaticamente de computador para computador. Ao contrário de um vírus, um worm não exige que o e-mail se replique e se transmita para outros sistemas. Ele pode entrar por meio de pontos de acesso válidos.

      Cavalos de Troia são programas que parecem ser inofensivos e de fontes legítimas, mas induzem o usuário a instalá-los. Quando executados, eles danificam o computador do usuário. Por exemplo, um cavalo de Tróia pode alegar que se livrou dos vírus, mas infecta o computador. Outras formas de cavalos de Tróia fornecem um “alçapão” que permite o acesso sem documentos a um computador, sem o conhecimento do usuário. No entanto, os cavalos de Tróia não infectam outros arquivos nem se autorreplicam. 19

      Os vírus podem se esconder por semanas, meses ou até anos antes de começarem a danificar as informações. Um vírus que “infecta” um computador ou uma rede pode se espalhar para outro computador compartilhando discos ou baixando arquivos infectados pela Internet. Para proteger os dados contra danos causados por vírus, o software de proteção contra vírus monitora automaticamente os computadores para detectar e remover vírus. Os desenvolvedores do programa disponibilizam atualizações regulares para se proteger contra vírus recém-criados. Além disso, os especialistas estão se tornando mais proficientes em rastrear autores de vírus, que estão sujeitos a acusações criminais.

    • Danos deliberados ao equipamento ou às informações. Por exemplo, um funcionário insatisfeito do departamento de compras pode entrar no sistema de computador da empresa e excluir informações sobre pedidos anteriores e necessidades futuras de estoque. A sabotagem pode prejudicar gravemente a produção e o sistema de contas a pagar. Atos intencionais para destruir ou alterar os dados nos computadores são difíceis de evitar. Para diminuir os danos, as empresas devem respaldar informações críticas.
    • Spam. Embora você possa pensar que spam, ou e-mail não solicitado e indesejado, é apenas um incômodo, ele também representa uma ameaça à segurança das empresas. Os vírus se espalham por meio de anexos de e-mail que podem acompanhar e-mails de spam. O spam agora está obstruindo blogs, mensagens instantâneas e mensagens de texto de telefones celulares, bem como caixas de entrada de e-mail. O spam representa outras ameaças a uma corporação: perda de produtividade e despesas com o tratamento do spam, como abrir as mensagens e procurar mensagens legítimas que filtros especiais de spam impedem a entrada.
    • Pirataria de software e mídia. A cópia de programas de software, jogos e filmes protegidos por direitos autorais por pessoas que não pagaram por eles é outra forma de uso não autorizado. A pirataria, definida como o uso de software sem licença, retira receita da empresa que desenvolveu o programa — geralmente a um custo alto. Isso inclui a criação de CDs falsificados para vender, bem como a cópia pessoal de software para compartilhar com amigos.

    Prevenindo problemas

    A criação de políticas formais de segurança da informação por escrito para definir padrões e fornecer a base para a fiscalização é o primeiro passo na estratégia de segurança de uma empresa. Infelizmente, uma pesquisa recente com executivos de TI em todo o mundo revelou que mais de dois terços esperam um ataque cibernético em um futuro próximo. Stephanie Ewing, especialista em segurança de dados, afirma: “Ter um processo documentado e testado coloca ordem em situações caóticas e mantém todos focados em resolver os problemas mais urgentes”. Sem estratégias de segurança da informação implementadas, as empresas passam muito tempo em um modo reativo — respondendo às crises — e não se concentram o suficiente na prevenção. 20

    Os planos de segurança devem ter o apoio da alta gerência e, em seguida, seguir os procedimentos para implementar as políticas de segurança. Como a TI é um campo dinâmico com mudanças contínuas em equipamentos e processos, é importante revisar as políticas de segurança com frequência. Algumas políticas de segurança podem ser tratadas automaticamente, por meio de medidas técnicas, enquanto outras envolvem políticas administrativas que dependem de humanos para executá-las. Exemplos de políticas administrativas são “Os usuários devem alterar suas senhas a cada 90 dias” e “Os usuários finais atualizarão suas assinaturas de vírus pelo menos uma vez por semana”. A Tabela 13.4 mostra os tipos de medidas de segurança que as empresas usam para proteger os dados.

    Cinco áreas de preocupação em relação à proteção de dados
    Porcentagem Preocupação com a proteção de dados
    52 Não tenho certeza de como proteger dispositivos e aplicativos conectados
    40 Não altere imediatamente as senhas padrão
    33 Não pense que eles podem controlar como as empresas coletam informações pessoais
    33 Os pais admitem que não conhecem os riscos o suficiente para explicar aos filhos
    37 Use serviços de monitoramento de crédito

    Tabela 13.4 Fonte: Adaptado de Tony Bradley, “As 5 principais preocupações para focar no Dia da Privacidade”, Forbes, https://forbes.com, 27 de janeiro de 2017.

    Evitar problemas dispendiosos pode ser tão simples quanto fazer backup regular de aplicativos e dados. As empresas devem ter sistemas que façam backup automático dos dados da empresa todos os dias e armazenem cópias dos backups externamente. Além disso, os funcionários devem apoiar seu próprio trabalho regularmente. Outra boa política é manter um banco de dados completo e atualizado de todos os detalhes de hardware, software e usuário de TI para facilitar o gerenciamento de licenças e atualizações de software e diagnosticar problemas. Em muitos casos, a equipe de TI pode usar a tecnologia de acesso remoto para monitorar e corrigir problemas automaticamente, bem como atualizar aplicativos e serviços.

    As empresas nunca devem ignorar o fator humano na equação de segurança. Uma das formas mais comuns pelas quais pessoas de fora entram nos sistemas da empresa é se passando por funcionário, primeiro obtendo o nome completo e o nome de usuário do funcionário em uma mensagem de e-mail e, em seguida, ligando para o suporte técnico para pedir uma senha esquecida. Os criminosos também podem obter senhas visualizando-as em notas anexadas a uma mesa ou monitor de computador, usando máquinas que os funcionários deixam conectadas quando saem de suas mesas e deixando os laptops com informações confidenciais desprotegidas em locais públicos.

    Dispositivos portáteis, de computadores portáteis a pequenos pen drives plug-and-play e outros dispositivos de armazenamento (incluindo telefones celulares), também representam riscos à segurança. Eles geralmente são usados para armazenar dados confidenciais, como senhas, dados bancários e calendários. Os dispositivos móveis podem espalhar vírus quando os usuários baixam documentos infectados por vírus para os computadores da empresa.

    Imagine os problemas que poderiam surgir se um funcionário visse uma entrada no calendário em um dispositivo móvel, como “uma reunião sobre demissões”, um estranho visse uma “reunião sobre fusão com a ABC Company” ou um funcionário perdesse um pen drive contendo arquivos sobre planos de marketing para um novo produto. Os fabricantes estão respondendo às preocupações dos gerentes de TI com relação à segurança adicionando proteção por senha e criptografia aos pen drives. As empresas também podem usar um software de monitoramento de pen drive que impede o acesso não autorizado em PCs e laptops.

    As empresas têm várias maneiras de evitar uma crise de TI, conforme descreve a Tabela 13.5.

    Procedimentos para proteger os ativos de TI
    • Desenvolva um plano e políticas abrangentes que incluam equipamentos portáteis e fixos.
    • Proteja o próprio equipamento com rigorosas medidas de segurança física nas instalações.
    • Proteja os dados usando uma tecnologia de criptografia especial para codificar informações confidenciais para que somente o destinatário possa decifrá-las.
    • Impeça o acesso indesejado de dentro ou de fora com sistemas de autorização especiais. Eles podem ser tão simples quanto uma senha ou tão sofisticados quanto a impressão digital ou a identificação por voz.
    • Instale firewalls, hardware ou software projetados para impedir o acesso não autorizado de ou para uma rede privada.
    • Monitore a atividade da rede com sistemas de detecção de intrusão que sinalizam possíveis acessos não autorizados e documentam eventos suspeitos.
    • Realize auditorias periódicas de TI para catalogar todos os dispositivos de armazenamento conectados, bem como os computadores.
    • Use uma tecnologia que monitore portas em busca de dispositivos conectados não autorizados e desative aqueles que não estão aprovados para uso comercial.
    • Treine os funcionários para solucionar problemas com antecedência, em vez de simplesmente reagir a eles.
    • Realize sessões frequentes de treinamento de funcionários para ensinar os procedimentos corretos de segurança, como sair das redes quando eles vão almoçar e alterar senhas com frequência.
    • Certifique-se de que os funcionários escolham senhas sensatas, com pelo menos seis e, idealmente, oito caracteres, contendo números, letras e sinais de pontuação. Evite palavras do dicionário e informações pessoais.
    • Estabeleça um banco de dados de informações úteis e perguntas frequentes (perguntas frequentes) para que os funcionários possam resolver os problemas sozinhos.
    • Desenvolva uma atmosfera de comunicação saudável.

    Tabela 13.5

    Mantenha a TI confidencial: preocupações com a privacidade

    A própria existência de enormes gabinetes de arquivos eletrônicos cheios de informações pessoais representa uma ameaça à nossa privacidade pessoal. Até recentemente, nossos registros financeiros, médicos, fiscais e outros eram armazenados em sistemas de computador separados. As redes de computadores facilitam o agrupamento desses dados em data warehouses. As empresas também vendem as informações que coletam sobre você de fontes como cartões de registro de garantia, registros de cartão de crédito, registro em sites, formulários de dados pessoais necessários para comprar on-line e cartões de clubes de descontos em supermercados. Os operadores de telemarketing podem combinar dados de diferentes fontes para criar perfis bastante detalhados dos consumidores.

    A tragédia de 11 de setembro de 2001 e outras violações massivas de segurança levantaram outras preocupações com a privacidade. Como resultado, o governo começou a procurar maneiras de melhorar a coleta de informações domésticas e analisar as ameaças terroristas nos Estados Unidos. Aplicativos sofisticados de banco de dados que buscam padrões ocultos em um grupo de dados, um processo chamado mineração de dados, aumentam o potencial de rastrear e prever as atividades diárias das pessoas. Legisladores e ativistas da privacidade temem que programas como esse e aqueles que escutam eletronicamente possam levar a uma vigilância governamental excessiva que invade a privacidade pessoal. Os riscos também são muito maiores: erros na mineração de dados por empresas comerciais podem fazer com que o consumidor seja alvo de publicidade inadequada, enquanto um erro governamental ao rastrear suspeitos de terrorismo pode causar danos incalculáveis a uma pessoa injustamente visada.

    Cada vez mais, os consumidores estão lutando para recuperar o controle dos dados pessoais e de como essas informações são usadas. Os defensores da privacidade estão trabalhando para bloquear as vendas de informações coletadas por governos e corporações. Por exemplo, eles querem impedir que os governos estaduais vendam informações sobre a carteira de motorista e os supermercados coletem e vendam informações coletadas quando os compradores usam cartões de desconto de plástico com código de barras. Com informações sobre seus hábitos de compra, os anunciantes podem segmentar consumidores para programas de marketing específicos.

    O desafio para as empresas é encontrar um equilíbrio entre coletar as informações de que precisam e, ao mesmo tempo, proteger os direitos individuais dos consumidores. A maioria dos formulários de registro e garantia que fazem perguntas sobre renda e juros tem uma caixa para os consumidores marcarem para evitar que a empresa venda seus nomes. Muitas empresas agora declaram em suas políticas de privacidade que não abusarão das informações coletadas. Os reguladores estão tomando medidas contra empresas que não respeitam a privacidade do consumidor.

    VERIFICAÇÃO DE CONCEITO

    1. Descreva as diferentes ameaças à segurança dos dados.
    2. Como as empresas podem proteger as informações contra destruição e uso não autorizado?
    3. Por que os defensores dos direitos de privacidade estão alarmados com o uso de técnicas como data warehouses e mineração de dados?