PROJEO PIM VII PRONTO

Prévia do material em texto

UNIVERSIDADE PAULISTA-EAD 
PROJETO INTEGRADO MULTIDICIPLINAR 
CURSOS SUPERIORES DE TECNOLOGIA 
 
 
 
 
 
 
 
 
 
 
 
 
 
Projeto – Plano de Auditoria de Sistemas, amparado em testes de 
invasão com foco específico para Organização selecionado e 
devidamente alinhado ao Plano de Negócios da Organização sob o prisma 
da Segurança da Informação- UNIP - PIMVII 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
UNIP Araçatuba polo Planalto 
2021 
 
UNIP EaD 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
 
 
 
Projeto – Plano de Auditoria de Sistemas, amparado em testes de 
invasão com foco específico para Organização selecionado e 
devidamente alinhado ao Plano de Negócios da Organização sob o prisma 
da Segurança da Informação- UNIP - PIMVII 
 
 
 
 
 
 
 
 
 
 
Nome(s) Jorge Cury Sayeg 
RA(s): 0593420 
Curso: Segurança da Informação. 
Semestre: 2º semestre de 2021. 
 
 
 Prof. Ricardo Sewaybriker 
 
 
 
 
 
 
 
 
UNIP Araçatuba polo Planalto 
2021 
 
 
 
 
RESUMO 
 
 
 
 
O Trabalho consiste em selecionar um ramo específico de atividade (financeiro, 
comércio, e-commerce, entre outros), descrevendo a estrutura organizacional (de 
forma resumida) e seu plano de negócios (de forma resumida). Selecionar para o ramo 
escolhido dois sistemas críticos de negócio, descrevendo suas funcionalidades de 
forma simplificada. Após esses levantamentos, estabelecer e documentar 
planejamento, com ações e cronograma para uma auditoria de sistemas nos sistemas 
críticos escolhidos, que deve ter por base o modelo adotado para os testes de invasão 
que, por sua vez, deve priorizar a estrutura organizacional, devidamente alinhado ao 
Plano de Negócios da Organização. 
Aplicando os conhecimentos adquiridos nas disciplinas de Empreendedorismo, 
Gestão da Qualidade, Auditoria de Sistemas (conceito e aplicação) e Pareceres e 
Testes de Invasão, deverá propor um documento Plano de Auditoria de Sistemas, que 
deverá priorizar os sistemas críticos mapeados, ajustados ao Plano de Negócio. 
 
 
 
 
 
 
 
 
 
Palavras Chaves: Empreendedorismo, Gestão da Qualidade, Auditoria de Sistemas 
e Pareceres e Testes de Invasão, Sistemas Críticos. 
 
 
 
 
ABSTRACT 
 
 
 
 
The Work consists of selecting a specific branch of activity (finance, commerce, e-
commerce, among others), describing the organizational structure (in a summarized 
form) and its business plan (in a summarized form). Select two critical business 
systems for the chosen branch, describing their functionalities in a simplified way. After 
these surveys, establish and document planning, with actions and schedule for a 
systems audit in the chosen critical systems, which should be based on the model 
adopted for the penetration tests, which, in turn, should prioritize the organizational 
structure, properly aligned to the Organization's Business Plan. 
Applying the knowledge acquired in the disciplines of Entrepreneurship, Quality 
Management, Systems Audit (concept and application) and Intrusion Tests and 
Opinions, it should propose a System Audit Plan document, which should prioritize the 
mapped critical systems, adjusted to the Plan of Business. 
 
 
 
 
 
 
 
 
 
 
Keywords: Entrepreneurship, Quality Management, Systems Audit and Opinions and 
Penetration Testing, Critical Systems. 
 
 
 
SUMÁRIO 
RESUMO..................................................................................................................... 3 
ABSTRACT ................................................................................................................. 4 
INTRODUÇÃO ............................................................................................................ 7 
1- ESTRUTURA ORGANIZACIONAL ....................................................................... 7 
1.1- TIPOS DE ESTRUTURAS ORGANIZACIONAIS .............................................. 8 
2- MODELO ORGANIZACIONAL ............................................................................. 9 
3- PLANO DE NEGÓCIOS ............................ ERRO! INDICADOR NÃO DEFINIDO. 
4- GESTÃO DE QUALIDADE ................................................................................. 10 
5- ESTRUTURA DO SISTEMA DE QUALIDADE ................................................. 122 
6- MODELOS DE GESTÃO .................................................................................. 133 
7- TIPOS DE GESTORES ...................................................................................... 14 
8- EMPRRENDEDORISMO .................................................................................... 15 
9- AUDITORIA DE SISTEMAS DE INFORMAÇÃO ................................................ 18 
10- PARECERES E TESTES DE INVASÃO E SISTEMAS CRÍTICOS ................. 19 
11- TIPOS DE PENTEST ...................................................................................... 20 
12- PLANO DE AUDITORIA DE SISTEMAS EM UMA EMPRESA FICTÍCIA ....... 21 
13- TESTE DE INTRUSÃO EXTERNO, RELATÓRIO DE ATIVIDADES E 
RESULTADOS E RECOMENDAÇÕES .................................................................... 24 
13.1- SUMÁRIO EXECUTIVO ................................................................................... 24 
13.2- DEFINIÇÃO DO ESCOPO ............................................................................... 25 
13.3- ATAQUE FORÇA BRUTA ................................................................................ 25 
13.4- TESTE DE INTRUSÃO EXTERNO .................................................................. 26 
13.5- SISTEMA CRÍTICO DE ALTO IMPACTO ........................................................ 27 
13.6- SOLUÇÃO PROPOSTA ................................................................................... 27 
.14- ATAQUE NEGAÇÃO DE SERVIÇO E SEU IMPACTO ERRO! INDICADOR NÃO 
DEFINIDO. 
14.1- SOLUÇÃO PROPOSTA....................................................................................29 
 
CONCLUSÃO.............................................................................................................30 
REFERÊNCIAS ......................................................................................................... 31 
 
7 
 
INTRODUÇÃO 
 
 
 
Devido ao grande volume de dados que são manipulados a cada segundo pelos 
sistemas de informação, surge a necessidade da proteção dos ativos corporativos 
com utilização de mecanismos de segurança da informação para que os valores 
financeiros das diversas empresas permaneçam seguros. A falta de prevenção e a 
indisponibilidade desses sistemas podem ocasionar uma elevada perda financeira, 
consequência da interrupção de processos corporativos, e que o vazamento de 
informações podem levar danos irreversíveis a suas imagens. O objetivo deste 
trabalho é identificar a importância de um processo conhecido como Auditoria Teste 
de Invasão, um método que realiza simulações reais de ataque aos ativos de 
informação das empresas que solicitam este serviço. 
 
 
 
1- ESTRUTURA ORGANIZACIONAL 
 
 
A estrutura organizacional de uma empresa repercute diretamente na capacidade 
de trabalho e até mesmo na produção/lucratividade. A Estrutura Organizacional 
eficiente, bem estudada e planejada com funcionários bem treinados e com 
experiência na área pode render lucros bem significativos para a Empresa, podendo 
até um aumento de produtividade e faturamento acima de 100%. 
A estrutura organizacional é a forma de alocar, distribuir e organizar a mão de 
obra/pessoas que fazem parte da empresa, de modo a potencializar o aproveitamento 
e atingir o máximo do desempenho de cada uma. Alguns dos problemas enfrentados 
quando a estrutura organizacional está incorreta são a dificuldade em controlar os 
níveis de demanda, contratação de funcionários, falta de plano de carreira eficiente,baixo desempenho dos empregados, entre outros. Ambientes de negócios onde 
trabalham com criatividade ou inovadores, o ambiente é colaborativo, objetivando 
obter pró-atividade e participação espontânea dos funcionários, gerando maior 
motivação para o trabalho proporcionando melhores resultados. 
8 
 
 
 
1.1- TIPOS DE ESTRUTURAS ORGANIZACIONAIS 
 
 
- Estrutura organizacional Linear: É o formato mais antigo e simples de estrutura 
organizacional e, por isso, o mais comum nas empresas de pequeno porte. Ele é 
inspirado na estrutura dos exércitos e possui uma hierarquia clara e bem definida. 
A estrutura organizacional linear se caracteriza pela autoridade única e absoluta do 
superior em relação a seus subordinados. As linhas de comunicação são formais, e 
as decisões são centralizadas. 
 
-Estrutura organizacional Linear: Nesse esquema, em vez da autoridade, o que define 
a hierarquia é a especialização das funções. Cada setor contribui com seu maior 
conhecimento para o funcionamento da organização como um todo, ganhando a 
palavra para decidir nos temas sobre os quais domina. 
Em uma estrutura organizacional funcional, nenhum chefe de setor tem controle 
absoluto sobre seus subordinados. Além disso, cada colaborador pode ter de 
responder a várias chefias. 
 
- Estrutura organizacional matricial: Esse tipo de organização mantém a divisão da 
organização como um todo, mas cria uma forma de hierarquia paralela, por projeto. 
A equipe de um projeto costuma reunir elementos de diversos setores da empresa. Por 
exemplo, um funcionário do departamento financeiro pode ser encarregado de cuidar 
das finanças desse projeto específico. Esse colaborador continuará respondendo ao 
chefe do seu departamento. No entanto, também irá se reportar ao líder do projeto em 
que trabalha. 
 
- Estrutura organizacional linha-staff: é uma combinação dos modelos linear e 
funcional. Ela segue o esquema da estrutura linear, mas se distingue pela existência 
de órgãos de consulta. 
A consultoria pode fazer recomendações técnicas e especializadas aos escalões 
inferiores, mas não pode comandá-los. A função de comando continua restrita aos 
chefes de cada departamento. 
9 
 
Na estrutura organizacional linha-staff, portanto, a importância do conhecimento 
especializado é reconhecida, mas seu formato mantém a unidade de comando. 
 
2- MODELO ORGANIZACIONAL 
 
 
Hoje em dia existem basicamente dois modelos organizacionais mais praticados no 
Brasil. 
- Organograma: é o modelo mais clássico, nele a empresa possui divisões em 
setores: financeiro, administrativo, recursos humanos, comercial, marketing, vendas, 
estoque e etc. É uma boa forma de organizar um negócio, mas lembre-se de 
estabelecer as dependências e chefes de setores; Você encontrará esta estrutura em 
empresas com atividades repetitivas, que buscam uma especialização dos seus 
funcionários para maximizar os resultados. 
- Projetista: é o modelo composto de núcleos interdependentes, os quais irão atuar 
do início ao fim para resolver as dificuldades dos clientes. Embora estes núcleos 
possam ter atividades específicas, o que diferencia é a autonomia que cada um 
possui. São vários micro grupos responsáveis por X atividades. Ao escolher o modelo 
organizacional que melhor se adapta a sua empresa, comece as modificações de 
setores, cargos, quantidade de funcionários, colaboradores, interdependências, graus 
de hierarquias e demais etapas. Um ponto importante em uma estrutura 
organizacional é a comunicação entre os setores da Empresa, para que haja um 
desempenho eficiente e eficaz. Empresas para organizar melhor seus departamentos 
usam sistema de integração de informações (ERP ou SIG), para melhorar bastante a 
comunicação interna da empresa, mas mesmo assim, é interessante a regra de no 
máximo 3 graus de hierarquia da Presidência até a linha de frente. 
 
 
 
 
 
10 
 
3- PLANO DE NEÇÓCIOS 
 
 
O plano de negócios é o ponto de partida de um novo empreendimento, uma 
ferramenta de gestão para o planejamento de iniciativas empresariais. Ele ajuda o 
empreendedor a medir se sua ideia é viável, seja ela uma nova empresa, um 
lançamento de um produto ou a expansão de uma companhia já existente. 
Na prática, o plano de negócios é como um relatório em que constam todas as 
informações essenciais para o empreendimento ser colocado em prática. Ele deverá 
indicar o percurso a ser seguido, desde a ideia até o alcance dos objetivos traçados. 
O plano de negócios deve mostrar tudo o que é preciso para colocar o negócio em 
operação, considerando todas as áreas da empresa envolvidas, como o financeiro, o 
marketing e o jurídico. Deve constar estudos de mercado, definição do público-alvo e 
das melhores estratégias de marketing para atingi-lo, as estimativas de contratações 
e as previsões para as receitas e despesas, por exemplo. Também é importante 
indicar os pontos fracos e fortes do negócio para antecipar possíveis problemas. 
 
4- GESTÃO DE QUALIDADE 
 
 
O objetivo da disciplina Qualidade de Software é apresentar, definir e avaliar os 
conceitos e a gestão da qualidade de processos e produtos de software, mostrando 
de que modo a garantia da qualidade pode ser implantada nas organizações de TI, 
em um mercado competitivo e exigente. Deming (1982) define que qualidade é 
atender continuadamente às necessidades e expectativas dos clientes a um preço 
que eles estejam dispostos a pagar. Deming é reconhecido pelos estudiosos da 
qualidade como o grande líder no gerenciamento da qualidade e como fundador da 
terceira onda industrial (revolução da informação). Segundo Cortês e Chiossi (2001), 
a qualidade é um grau previsível de uniformidade e dependência, baixo custo e 
satisfação do mercado, ou seja, é sempre aquilo que o cliente necessita e quer, é a 
ausência de falhas ou defeitos. 
Segundo Molinari (2003), a norma internacional ISO 9126, publicada em 1991, e que 
na versão brasileira de agosto de 1996 recebeu o número NBR 13596, define 
11 
 
qualidade de software como sendo a totalidade de características de um produto de 
software que lhe confere a capacidade de satisfazer necessidades explícitas e 
implícitas. Necessidades explícitas são as condições e os objetivos propostos por 
aqueles que produzem o software. São, portanto, fatores relativos à qualidade do 
processo de desenvolvimento do produto e percebidos somente pelas pessoas que 
trabalham no seu desenvolvimento. Necessidades implícitas são subjetivas dos 
usuários (inclusive operadores, destinatários dos resultados do software e 
mantenedores do produto), e são também chamadas de fatores externos, podendo 
ser percebidas tanto pelos desenvolvedores quanto pelos usuários. As necessidades 
implícitas são ainda chamadas de qualidade em uso, e devem permitir aos usuários 
atingir metas com efetividade, produtividade, segurança e satisfação em um contexto 
de uso especificado. 
A qualidade de software resulta de um conjunto completo de atividades 
interdependentes, entre as quais a análise e os testes necessários, mas que não são 
suficientes. As atividades de análise e teste ocorrem ao longo do desenvolvimento e 
da evolução d e sistemas de software, desde o início da engenharia de requisitos até 
a entrega e subsequente evolução. A qualidade depende de cada parte do processo 
de software, não apenas da análise e do teste. Nenhuma quantidade de teste pode 
compensar a baixa qualidade causada por outras atividades do processo. Por outro 
lado, uma característica essencial dos processos de software, que geram produtos de 
alta qualidade, é que o teste e a análise estão profundamente integrados ao processo, 
e não são pensados a posteriori (PEZZÉ; YOUNG, 2008). 
Existem diversas certificações, tanto para as empresas quanto para os profissionais 
de software, como: Certificação em Teste de Software, do Instituto IBQTS, 
certificações das normas ISO para as empresasem processos de qualidade de 
software, como CMMI -DEV e MPS.BR. 
Gestão de Qualidade é o planejamento de uma estrutura específica, com funções e 
ações bem definidas. Conforme a NBR ISO 9000, o Sistema de Gestão da Qualidade 
objetiva a direção e o controle numa empresa no que diz respeito à qualidade. Para 
compreensão do sistema, é necessário o esclarecimento das palavras-chave mais 
utilizadas. Os Princípios de Gestão de Qualidade que são importantes para Empresa, 
Foco no cliente, liderança, envolvimento das pessoas, abordagem de processo, 
abordagem do sistema para gestão, melhora contínua, abordagem dos fatos e 
benefícios mútuos com fornecedores. Excelente equipe de TI treinada e em constante 
12 
 
avaliação. Além dos princípios, os Fundamentos de Sistemas de Gestão de Qualidade 
tem como necessário para sua sobrevivência no mercado, a Satisfação de clientes, 
requisitos, abordagem do sistema, abordagem de processo, política da qualidade, 
objetivos da qualidade, alta direção, documentação, avaliação, auditoria, análise 
crítica, auto avaliação, melhora contínua, técnicas estatísticas, integração com outros 
enfoques e relação com modelos de excelência. Gestão, organização, processo, 
produto, características, conformidade, documentação, exame, auditoria e garantia da 
qualidade de processos de medição. Improvisação não combina com Sistema de 
Gestão da Qualidade, pois a partir de um sistema de gestão, as atividades da empresa 
são consideradas processos, cujo foco principal é a satisfação do cliente. 
Processos: 
- Entradas: são os valores, as estratégias, políticas da empresa para a qualidade, 
diretrizes organizacionais e normas da qualidade, decisões e informações, estudos de 
mercado e análise do comportamento do consumidor. 
- Saídas: são os produtos ou serviços que respondam às exigências e satisfaçam os 
clientes, bem como as atitudes, comportamentos e ações que priorizem a qualidade. 
- Componentes: são a produção, os laboratórios, as áreas de inspeção e as demais 
áreas da empresa cujas atividades afetem a qualidade. 
- Princípios básicos de funcionamento: são os procedimentos e políticas da empresa 
com relação à qualidade, geralmente estão presentes no Manual da Qualidade. 
Princípios esses que são fundamentais para que possa ter um bom andamento desde 
a compra de insumos e tudo que for necessário para a produção até o produto final. 
- Objetivos: são na verdade os produtos ou serviços com qualidade. 
- Realimentação: é o acompanhamento permanente dos resultados obtidos pelo 
produto ou serviço no campo. Em determinadas Empresas como vendas, pode se 
dizer que é o pós-venda. 
 
 
 
 
5- ESTRUTURA DO SISTEMA DE QUALIDADE 
 
 
13 
 
O Sistema da Qualidade deve prever um ciclo de gerenciamento semelhante ao PDCA 
(Plan-Do-Check-Act). Ou seja, o administrador deve planejar o que vai ser feito, redigir 
os procedimentos e instruções. O segundo passo é fazer conforme o planejado. Em 
seguida, se deve verificar o que foi feito e registrar os resultados. Finalmente, ele deve 
adotar ações corretivas para o caso de não conformidades. 
Todos os processos de qualidade têm como objetivo final impactar positivamente nas 
vendas. E entender a percepção do cliente é importante para se definir planos de 
ações focados e efetivos. 
Se o produto é caro, imagina-se que ele seja de boa qualidade ou vice-versa. Preço é 
a quantidade de dinheiro que o consumidor desembolsa para adquirir determinado 
produto e que a empresa recebe por ter fabricado um produto ou prestado um serviço. 
Mas nem sempre o mais caro pode ter a melhor qualidade. Para que a Empresa tenha 
lucro e bons resultados tem que avaliar o potencial da área onde será comercializado 
determinado produto ou serviço. Exemplo: não se vende guarda-chuvas no deserto. 
Penso que deve haver uma relação entre produto e preço e onde será comercializado. 
Preço comunica valor. Se o produto custa mais, o consumidor cria expectativa de que 
tem muita qualidade. Se o produto é barato, o consumidor tende a achar que a 
qualidade não deve ser tão boa assim. Para o cliente o valor que ele paga tem que 
corresponder a expectativa e criar uma satisfação a mais do que ele esperava por 
aquele produto. 
Todo preço tem como base o custo. Para competir por preço, deve-se viabilizar o 
custo mais baixo, pois quem fixa o preço é o mercado. O custo não pode ser ignorado, 
mas também não deve ser usado como única base de decisão para determinação do 
preço. 
 
 
 
6- MODELOS DE GESTÃO 
 
 
 
Toda Empresa precisa seguir um modelo de Gestão e a que se adequa melhor ao 
ramo escolhido. Como a Empresa quer se relacionar com os colaboradores, clientes 
internos e externos, esse relacionamento depende muito dos gestores envolvidos 
14 
 
diretamente com os profissionais. Os relacionamentos dependem de fatores como: 
liderança, capacidade de se relacionar, ser um ótimo gerenciador e medidor de 
conflitos, ter equilíbrio emocional, ter iniciativa, criatividade com base em fundamentos 
da área de atuação, pro-atividade e automação, sempre seguir aprendendo, e 
mapeamento e retenção de talentos. 
- Gestão por Resultados: modelo baseado por metas à alcançar tratadas entre líderes 
e liderados. 
- Gestão por processos: baseia no desejo de atingir resultados a partir da diminuição 
de custos operacionais, ganhos na produtividade e da satisfação dos clientes. 
.A Gestão executa, monitora, controla e melhora os processos de negócio. Ela exige 
da organização uma cultura de busca por evolução permanente, auxilia na definição 
das políticas que orientam as operações da empresa, com foco na eficiência e 
eficácia. Baseada na Metodologia PDCA, que em português quer dizer Planejar, 
Fazer, Verificar e Agir. 
- Gestão Participativa: Todos os colaboradores participam, é um formato mais aberto, 
pois a tomada de decisão está na mão de todos, onde o bom relacionamento entre 
diretores e gestores é a chave do sucesso. Nesta gestão os colaboradores tão 
qualificados quanto os gestores e otimiza-se as tarefas diárias. 
 
 
 
7- TIPOS DE GESTORES 
 
 
 
- Autoritário: Tem como base a Hierarquia, e para eles o funcionário é substituível e 
pouco importam, e a atenção é total nos lucros. 
- Paternalista: Está mais preocupado com os funcionários do que com os lucros, sendo 
assim, o sentimento dos funcionários são prioridades com base em direitos e 
responsabilidades. Acarreta prejuízo para Empresa. 
- Democrático: Tem como base a flexibilidade e abertura, os colaboradores expressam 
suas opiniões, constrói uma boa relação com todos, e grande capacidade para 
administrar conflitos e tarefas. 
15 
 
- Coaching- Prioriza o desenvolvimento dos colaboradores para que cresçam 
profissionalmente. O gestor tem que ter a capacidade de identificar talentos na equipe. 
- Meritocrático- exerce a cultura do merecimento, são reconhecidos conforme seu 
desempenho, trazendo motivação e até promoções. 
 
 
 
8- EMPRRENDEDORISMO 
 
 
O objetivo da disciplina Empreendedorismo é entender os diferentes tipos de 
organizações envolvendo conceitos de administração, abordando questões históricas 
e fundamentando as principais bases das teorias administrativas. Nela, serão 
estudados a função e o papel da administração e do administrador no contexto das 
organizações para que s e adquira uma visão integrada do processo gerencial e do 
papel dos dirigentes. Todo negócio envolve necessariamente o ato de produzir ou 
vender um produto ou de prestar um serviço. Um produto é um bem concreto: algo 
que se pode pegar, ver e apalpar. Uma mercadoria ou um bem que pode ser destinado 
ao consumo (bens consumo) ou à produção de outros bens (bens d e produção); um 
bem ou produto é um complexo de atributos tangíveis e intangíveis, incluindo 
embalagem, cor, prestígio do varejista, serviços proporcionados pelo produtor ou 
varejista, que o comprador aceita como satisfatórios para suas necessidades e 
desejos. Mas um serviço é também uma atividade especializada (CHIAVENATO, 
2008). 
Segundo Chiavenato (2008), o objetivo de um negócio é obter lucro a partir da 
comercialização de bens ou serviços que atendam às expectativas e desejos da 
sociedade. 
 A Administração estratégica integra o planejamento estratégico e a Administração em 
um único processo, sendo que o primeiro torna-se uma atividade contínua em que os 
administradores são encorajados a pensar estrategicamente, focando na visão 
estratégica de longo prazo, assim como em questões táticas e operacionais em curto 
prazo (BATEMAN; SNELL, 1998). 
De acordo com Hamel e Prahalad (1995), a Administração Estratégica pode ser 
conceituada como sendo a Administração voltada a fortalecer as competências d a 
16 
 
organização, com vistas à obtenção da vantagem competitiva ante a concorrência. Ela 
é viabilizada com o envolvimento das áreas de conhecimento da organização que 
concebem uma empresa como um portfólio de competências, surgindo daí uma 
enorme gama de possíveis oportunidades. 
O clima organizacional é um conjunto de fatores e itens de caráter permanente que 
distingue uma organização da outra, influenciando o comportamento de indivíduos. A 
cultura organizacional é um sistema sociocultural que revela a identidade da 
organização a partir d e padrões de comportamento. A mudança organizacional é 
qualquer modificação ou transformação na forma como uma organização funciona, 
seja na composição dos seus membros, nos recursos utilizados ou nas tarefas 
executadas. 
O termo empreendedorismo foi empregado em todos os processos do projeto (a partir 
das reuniões em grupo, orientações com o professor, brainstorming, desenvolvimento 
do sistema e a apresentação), pois se trata de uma atividade em equipe onde se 
tornou possível colocar em prática tudo que aprendemos durante o curso despertando 
o espírito empreendedor de cada integrante do grupo. 
Características empreendedoras dos sócios-proprietários da Empresa 
O empreendedor pode possuir diversas características. De acordo com Dornelas 
(2008), os empreendedores de sucesso possuem as seguintes: 
Iniciativa: são pessoas que não ficam esperando que os outros (o governo, o 
empregador, o parente, o padrinho) venham resolver seus problemas. A iniciativa, 
enfim, é a capacidade da quele que, tendo uma adversidade qualquer, age: arregaça 
as mangas e parte para a solução; 
Persistência: por estar motivado, convicto, entusiasmado e crente nas possibilidades, 
o empreendedor é capaz de persistir até que as coisas comecem a funcionar 
adequadamente; 
Autoconfiança: o empreendedor tem autoconfiança, isto é, acredita em si mesmo. 
Se não acreditasse, seria difícil tomar a iniciativa. A crença em si mesmo faz o 
indivíduo arriscar mais, ousar, oferecer-se para realizar tarefas desafiadoras, enfim, 
torna -o mais empreendedor; 
Aceitação dos riscos: ainda que muitas vezes seja cauteloso e precavido, a verdade 
é que o empreendedor os aceita em alguma medida; 
 Ausência de temor do fracasso e da rejeição: o empreendedor fará tudo o que for 
necessário para não fracassar, mas não é ator mentado pelo medo paralisante d a 
17 
 
derrota. Pessoas com grande amor próprio e receio do fracasso preferem não tentar 
correr o risco de não acertar – ficam, então, paralisadas; 
Decisão e responsabilidade: o empreendedor não fica esperando que os outros 
decidam por ele. Ele toma decisões e aceita a responsabilidade que elas acarretam; 
Energia: é necessária uma dose de energia para se lançar em novas realizações, que 
usualmente exigem intensos esforços iniciais. O empreendedor dispõe dessa reserva 
de energia, vinda provavelmente de seu entusiasmo e motivação; 
Automutilação e entusiasmo: pessoas empreendedoras são capazes de 
automotivação relacionada a desafios e tarefas em que acreditam. Não necessitam 
de prêmios externos, como compensação financeira. Igualmente, por sua motivação, 
são capazes de se entusiasmarem com suas ideias e projetos; 
Controle: o empreendedor acredita que sua realização depende de si mesmo, e não 
de forças externas sobre as quais não tem controle. Ele se vê capaz de controlar a si 
mesmo e de influenciar o meio de modo a poder atingir seus objetivos; 
Ser voltado para equipe: o empreendedor em geral não é um fazedor, no sentido 
obreiro da palavra. Ele cria equipe, dele, acredita nos outros e obtém resultados por 
meio disso; 
Otimismo: o empreendedor é otimista, o que não quer dizer sonhador ou iludido. 
Acredita nas possibilidades que o mundo oferece, na chance de solução de problemas 
e no potencial de desenvolvimento; 
Capacidade empreendedora: se uma pessoa tem capacidade empreendedora, ela 
tem boa probabilidade de acertar no mundo do pequeno negócio. Mas a verdade é 
que os negócios exigem um pouco mais do que pura e simplesmente talento 
empreendedor. 
Empreendedores de sucesso são líderes determinados e eficazes, obcecados por 
oportunidades, criativos, motivados, autoconfiantes e tolerantes a incertezas e riscos. 
A liderança é uma das mais importantes habilidades para se conseguir ser um 
empreendedor bem-sucedido. Na verdade, um líder reúne várias habilidades, para 
influenciar os outros no atingimento das metas das empresas. O grande líder é aquele 
que tem visão, que sabe criar e realizar visões. Ter uma visão de futuro e saber 
comunicá -la aos outros é hoje uma das principais funções da liderança. “Visão é uma 
imagem mental de um estado futuro possível e desejável para a organização. Grandes 
líderes imaginam um futuro ideal para suas organizações, um futuro que vai além do 
18 
 
comum e do que os outros possam ter considerado possível” (BATEMAN; SNELL, 
1998, p. 336). 
 
 
9- AUDITORIA DE SISTEMAS DE INFORMAÇÃO 
 
 
A auditoria sistemas tem como objetivo analisar se as operações e processos de 
determinada organização estão em conformidade com as diretrizes pré-determinadas, 
realizada por profissionais capacitados para o tal trabalho. A auditoria procura analisar 
e avaliar a eficácia dos processos, exercendo também uma função preventiva, a fim 
de determinar se esses são adequados e se cumprem com seus determinados 
objetivos ou estratégias, assim é possível estabelecer mudanças necessárias à 
obtenção dos objetivos. Trata-se da segurança de informação, processo que tem 
como principal foco, operações na área de tecnologia da informação. A auditoria não 
pode ser realizada de qualquer maneira. Para isso, existem organizações de 
normatização dedicadas ao estabelecimento de modelos de padronização de 
processos. A ISO, por exemplo, sigla para Organização Internacional de 
Padronização, é um desses órgãos. Sua função é promover a normatização de 
produtos e serviços, a fim de conferir qualidade aos mesmos. É extremamente 
importante a preparação do profissional auditor, e atualização constante do 
conhecimento permanente. 
O processo de auditoria de gestão, por exemplo, tem como referência a norma ISO 
19001:2018 e a ISSO 27000. Quando as organizações determinam estratégias para 
garantir qualidade e competitividade aos seus produtos e serviços, ou ainda quando 
é preciso estabelecer salvaguardas para o atendimento de requisitos técnicos, há a 
necessidade de implementar um sistema de gestão. São definidos os requisitos para 
a implementação de um programa de auditoria, papeis, responsabilidades e o escopo 
do programa de auditoria. Uma organização pode passar por diferentes tipos de 
auditoria de sistemas, os principais são: Interna e Externa. 
- Auditoria Interna: é um processo realizado pela própria organização para auditar 
seus sistemas e procedimentos e visa garantir que seus parâmetros estejam sendo 
seguidos devidamente e que os resultados esperados sejam atingidos. A organização 
19 
 
toma conhecimentos dos processos que não estão em conformidade com suas 
diretrizes e identifica oportunidadesde melhorias. A auditoria interna não pode 
ser realizada por qualquer profissional. Para ser um auditor é preciso ter as 
competências necessárias, habilidades e experiências para executar sua 
função com êxito e de acordo com a ISO 19011 bem como no sistema ao qual será 
auditado. 
Esse tipo de auditoria é de suma importância para organizações que desejam medir, 
de forma eficaz, seu desempenho em relação às normas e diretrizes a serem 
seguidas. 
 
- Auditoria Externa: é realizada por um auditor independente. A auditoria 
externa e especializada é fundamental para averiguar se os processos estão, 
de fato, adequados às normas e diretrizes pré-determinadas, e por ser 
independente em relação a empresa, sua opinião não pode sofrer nenhum tipo 
de influência. Pode ser contratada pela própria empresa ou pode ser um 
processo determinado pelas leis relacionadas ao setor de atuação da empresa, 
tornando a auditoria externa obrigatória, sendo exercida normalmente por um 
órgão regulador. A realização constante de auditorias de sistemas dentro de uma 
organização é fundamental para a diminuição de falhas e fraudes que podem estar 
presentes nesses sistemas. 
 A auditoria externa, em especial, também garante à organização credibilidade quanto 
aos seus serviços, tanto perante clientes quanto fornecedores. Os fundamentos de 
uma auditoria de sistemas para uma performance eficaz e segura são: Desempenho, 
privacidade, confiabilidade, integridade, e confidencialidade. Uma auditoria completa 
se resume em quatro passos básicos: Planejamento, Execução, Relatório e Plano de 
ação. 
 
 
10- PARECERES E TESTES DE INVASÃO E SISTEMAS CRÍTICOS 
 
 
20 
 
Conhecido mundialmente como Penetration Testing (teste de penetração) ou apenas 
Pentest, o teste de invasão é um método que realiza testes, analisa e explora todas 
as possibilidades de vulnerabilidades em uma rede ou sistemas operacionais. Essa 
auditoria pode ser executada sobre os ativos de informação do cliente. É um processo 
que avalia detalhadamente o nível de segurança de um sistema ou rede usando a 
mesma visão de um invasor (blackhat), verifica em tempo real o nível de segurança 
de determinadas infraestruturas corporativas e as informações nelas contidas. 
Tem o objetivo de simular ataques de maneira controlada como se fosse alguém 
mal intencionado na tentativa de invadir um sistema. Obtendo informações do que 
poderá acontecer se realmente o ambiente for invadido, é extremamente importante 
à aplicação destes testes, pois através deles serão criados mecanismos de defesa, 
garantindo assim a possibilidade de prevenção sobre os riscos e impactos associados 
à exploração das vulnerabilidades. 
 
 
 
11- TIPOS DE PENTEST 
 
 
- Black Box: O pentester, ou seja, a pessoa responsável pela execução do teste, faz 
a análise como se o sistema fosse uma espécie de “caixa vedada”, que protegesse 
informações sobre infraestrutura e sistemas da rede auditada. É feito uma análise 
inicial um pouco mais prolongada que no modelo White Box, onde é necessário uma 
pesquisa sobre a empresa e suas características, diretores, filiais, serviços prestados, 
softwares adotados por ela, arquitetura da rede e outros fatores que ajudem a 
identificar as variáveis para o teste de invasão. O intuito deste teste de invasão é 
simular um ataque hacker por alguém externo à empresa, ou seja, alguém que 
realmente não tenha um acesso fácil às informações da mesma. É um teste “às cegas” 
em relação aos dados fornecidos antecipadamente, mas que pode identificar as 
vulnerabilidades que poderiam facilitar esse tipo de invasão. 
 
- White Box: Neste caso, a pessoa que faz o teste tem conhecimento prévio de toda a 
infraestrutura analisada: mapeamento de rede, IPs, firewalls, roteadores e outras 
informações da empresa. O auditor possui um grande nível de informações para 
21 
 
analisar todos os serviços que puder e focar seus esforços em identificar e explorar 
vulnerabilidades, sem ter que descobrir informações básicas. Identifica 
vulnerabilidades que podem ser exploradas de dentro da empresa, por um 
colaborador ou consultor com objetivos questionáveis. A intenção é entender que tipo 
de informações confidenciais poderiam ser roubadas e evitar os ataques. 
Para que uma visão interna seja ainda mais nítida, o auditor pentester pode receber 
um acesso de usuário do sistema interno ou ainda uma conta de e-mail comumente 
usada por um colaborador da empresa. Todo esse processo começa com um 
planejamento e pré-acordo do que será testado escolhendo a modalidade de análise, 
Objetivos a serem alcançados e termo de confidencialidade. Após planejamento, a 
etapa do reconhecimento e avaliação que vai obter mais dados sobre o ambiente da 
Empresa, tipo os servidores, IPs, servidores, SOs, portas, aplicações de segurança e 
dados e tudo que compõe o ambiente físico e digital. A partir do que foi analisado e 
identificado no passo anterior, é definido o pentest mais assertivo para o momento, É 
possível explorar cada item de forma isolada, seja por um “exploit” que é software ou 
código que tem como objetivo assumir o controle de computadores ou roubar dados 
de rede ou um “brute force” que é um ataque onde se força a entrada em algum 
sistema, site, servidor, aplicativo, dependendo do ativo ou aplicação que está sendo 
analisada ou explorada. 
 
 
 
12- PLANO DE AUDITORIA DE SISTEMAS EM UMA EMPRESA FICTÍCIA 
 
Em uma cidade também fictícia chamada Primorium do Sul – SP funciona uma 
empresa especializada em venda de veículos nacionais, denominada MUSGO 
VEÍCULOS. Grande parte da negociação dos veículos é realizada por meio de 
serviços disponibilizados em seu website (www.musgoweb.com.br) que está online há 
pouco mais de dois anos. A empresa vende em média dois veículos por semana com 
valores que variam de R$ 20.000,00 a R$ 25.000,00. Representada por vinte e seis 
funcionários alocados nas mais diversas funções, das quais a maioria utiliza 
computador para execução de suas tarefas, com um técnico de TI E um auxiliar. 
A estrutura organizacional composta hierarquicamente em; 
Sócios Proprietários 
22 
 
Presidência 
Diretoria Comercial 
Diretoria Administrativa 
Financeiro 
Marketing 
Vendas 
TI- gerente e técino 
 
Considerada uma empresa de pequeno porte, a MUSGOWEB possui uma modesta 
estrutura de TI composto por: 24 Desktops, 4 Servidores, 2 Switches de 24 portas e 
um link de internet dedicado. Os três servidores executam as seguintes funções: 
Hospedagem do site, serviço de DNS, E-mail e armazenamento de arquivos. Para 
proteção do ambiente de rede existe um Firewall. Em determinado dia de trabalho, um 
cliente interessado na compra de um veículo tentou acessar o site da empresa para 
verificar o modelo do seu interesse, ao abrir a página ele se deparou com a mensagem 
e que sua página foi hackeada. 
 
Imediatamente entrou em contato por telefone com a área comercial para informar o 
ocorrido. O questionamento foi repassado para a área de tecnologia para verificar 
o que aconteceu que deixou o site indisponível. A resposta do administrador de TI 
foi simples e categórica. “Nosso site foi invadido”. 
Tendo ciência da gravidade do caso, o gerente da TI verificou imediatamente se o 
servidor sofreu maiores danos. Após várias horas com o serviço de vendas 
indisponível, foi realizada uma análise nos arquivos, banco de dados, estrutura do site 
e logs de acesso, o mesmo constatou que o único dano causado pela invasão foi o 
chamado defacement (conhecido pelo ato de modificar a estrutura da aparência do 
site), e depois da restauração de um Backup recente, o site voltou ao normal, não 
havendo perda de dados críticos. Na manhã do dia seguinte, de posse das 
informações do fato ocorrido o diretor administrativo solicita ao departamento de T.I 
uma checagem completa das fragilidades possivelmente existentes na rede da sua 
empresa. Surge então a necessidadeda contratação de uma empresa terceirizada 
com especialização em teste de invasão em redes corporativas, para verificar se os 
controles de segurança aplicados pela equipe interna de T.I fornecem a proteção 
adequada ao seu ambiente. Após uma reunião com a diretoria e pesquisa de mercado 
23 
 
de uma empresa que atendesse as necessidades da MUSGOWEB, chegaram ao 
acordo da escolha da empresa JORGE SOLUTICON. Os trabalhos se iniciaram uma 
semana seguinte a invasão. 
 
Procedimentos Realizados 
Primeiramente a empresa contratada juntamente com a contratante reuniu-se para 
definir o escopo do trabalho que será realizado, onde determinaram quais 
equipamentos serão alvos do teste de invasão. O teste inicia-se com a identificação 
das informações de rede da organização, o procedimento começou com uma busca 
na internet dos dados públicos referente à MUSGOWEB. 
De posse dessas informações foram encontrados alguns servidores e respectivos 
endereços IP dos quais foram alvos das varreduras em busca de portas de serviços 
abertas. Obtendo conhecimento dos serviços disponíveis, foi possível a realização de 
ataques bem sucedidos a estes servidores, possibilitando exploração de suas 
vulnerabilidades que pode ocasionar a obtenção de dados sensíveis da empresa e 
provável indisponibilidade dos serviços. Detalhes técnicos de todo procedimento 
realizado pela consultoria JORGE SOLUTION na infraestrutura de redes de 
computadores da MUSGOWEB resultaram em um relatório de Auditoria teste de 
invasão descrito no Anexo A deste trabalho. A empresa tem como principal foco a 
venda online de veículos, onde a indisponibilidade dos servidores que sustenta os 
serviços e sistemas pode acarretar em enormes prejuízos financeiros. Com a 
contratação da consultoria JORGE SOLUTION a MUSGOWEB alcançou seu objetivo 
no que diz respeito a verificação das fragilidades dos servidores disponíveis para 
acesso de seus clientes. A Consultoria ajudou a contratante na conscientização da 
gerência administrativa e também da equipe de tecnologia dos princípios referentes a 
segurança da informação como aliada de seus negócios, para que as tentativas de 
ataques oriundas da Internet sejam devidamente bloqueadas e prevenidas com o 
auxilio de técnicas de proteção aplicadas em todo ambiente computacional. 
A execução do teste de invasão em ambiente controlado demonstrou de maneira 
clara para a contratante a quantidade de ferramentas que podem ser utilizadas por 
blackhats para exploração de vulnerabilidades que não são verificadas pela equipe 
interna de segurança. 
A importância da realização de testes periódicos auxiliam na manutenção da 
conformidade técnica dos controles de segurança implementados, além de reforçar a 
24 
 
ideia de que a contratante sempre deverá estar focada na melhoria dos controles e 
processos para proteção de Sua estrutura de TI. Portanto, a auditoria teste de invasão 
se tornou uma aliada da instituição na verificação e correção destes controles, 
proporcionando aos gestores mais confiança e segurança de que seus sistemas 
estarão sempre acessíveis, garantindo a disponibilidade da informação que 
consequentemente acarretará na saúde financeira da contratante. 
 
13- TESTE DE INTRUSÃO EXTERNO, RELATÓRIO DE ATIVIDADES E 
RESULTADOS E RECOMENDAÇÕES 
 
- Cliente(Fictício): MUSGO WEB VEÍCULOS LTDA 
Destinatário: Sócio Majoritário 
Remetente(Fictício): JORGE SOLUTION 
 
Este documento contém informações privilegiadas e confidenciais, e seu acesso é 
autorizado apenas aos seus destinatários, descriminados acima. Fica o seu receptor 
notificado de qualquer disseminação, distribuição ou cópia, exceto quando 
expressamente autorizada por um dos destinatários acima, é estritamente proibida. 
Se você leu este documento indevidamente ou por engano, por favor, informe este f 
Este documento detalha à diretoria de forma abrangente o relatório, logo depois o 
escopo das atividades que serão realizadas neste trabalho de teste de intrusão. 
Posteriormente, existe a descrição das vulnerabilidades encontradas, bem como 
níveis de criticidade, impacto e as recomendações necessárias para segurança do 
Ambiente. 
 
13.1- SUMÁRIO EXECUTIVO 
 
O objetivo do trabalho realizado pela JORGE SOLUTION foi alcançado, com a 
realização da execução dos testes de invasão demonstrados nesse relatório, na qual 
a empresa MUSGOWEB foi submetida a uma auditoria de segurança no dia 10 de 
outubro de 2021 pelo período de 08:00 às 20:00 horas, momento em que o presente 
trabalho foi concluído. Os resultados das análises e testes indicaram fragilidades nos 
controles de segurança dos servidores que disponibilizam os serviços externos, na 
presença das irregularidades e falhas apontadas no corpo deste relatório. 
25 
 
Percebemos que, nitidamente não houve nenhum tipo de proteção quanto à execução 
das atividades executadas pela JORGE SOLUTION, que os ataques direcionados ao 
escopo definido no neste trabalho não foram bloqueados por nenhum tipo de controle. 
Nesse contexto, diante do volume de apontamentos negativos no relatório, 
entendemos ser de fundamental importância o engajamento da área de tecnologia da 
informação com atuação no processo de segurança da infraestrutura computacional, 
para que haja um retorno do investimento realizado com a contratação da auditoria de 
segurança para identificação e recomendações de melhoria nos controles de proteção 
à segurança do ambiente tecnológico da MUSGOWEB. 
 
 
13.2- DEFINIÇÃO DO ESCOPO 
 
Realização de diversos testes conhecidos como BlackBox, ou seja, sem 
conhecimento do ambiente a ser testado, sem fornecimento de credenciais de acesso 
aos sistemas da MUSGOWEB para os testes nas partes internas das aplicações em 
ambiente de produção. 
O serviço de segurança proposto para este processo realizou testes de segurança no 
escopo abaixo definido pela MUSGOWEB. 
Lista dos servidores que serão testados (são meramente fictícios para exemplo neste 
trabalho): 
170.20.0.1/24-servidor DNS 
170.20.0.3/24- Servidor WEB responsável pela hospedagem da página do site da 
empresa. URL: www.musgoweb.com.br 
 
13.3- ATAQUE FORÇA BRUTA 
 
Um ataque de Força Bruta, ou Brutal Force, Consiste em gerar todas as combinações 
de senha possíveis em sequência para fazer acesso à um sistema. Geralmente são 
iniciadas com os logins padrão, como admin, administrador, root, etc. 
Foram realizados tipos de ataques com base nos serviços encontrados em cada 
endereço IP. Iniciamos pela realização de um levantamento de informações (footprint) 
da empresa alvo. Foi utilizado um comando chamado WHOIS que reúne informações 
disponíveis na internet sobre determinado domínio. 
26 
 
Exemplo: root@bt: ~# whois musgoweb.com.br > musgoweb.txt 
 root@bt: ~# 
O resultado obtido no levantamento de informações foi copiado para um documento 
de texto com todas as informações da MUSGOWEB disponíveis na Internet: 
 
13.4- TESTE DE INTRUSÃO EXTERNO 
 
 
Com posse das informações importantes e confidenciais, podemos então realizar a 
fase de varredura de portas nos endereços IPs dos servidores encontrados. A primeira 
varredura foi realizada no servidor que hospeda a página web da empresa no 
endereço IP 170.20.0.3/24. Utilizamos o comando nmap –sV 170.20.0.3 com a 
finalidade de extrair os banners dos serviços que estão rodando no servidor. 
Após a realização da varredura do servidor, identificamos no sistema operacional 
OPENSUSE duas portas abertas relacionadas a serviços SSH e HTTP. O próximo 
passo será a tentativa de ganho de acesso ao sistema / invasão. Primeiramente 
realizamos a tentativa de conexão com o serviço SSH. O SSH é um protocolo de rede 
desenvolvido para comunicação de dados, login remoto por linha de comando e 
execução remota de comandos de forma criptografada. Verificamos então se é 
possível se conectar ao servidor pela porta do SSH utilizando o comando ssh 
170.20.0.3.Exemplo: root@:~# ssh 170.20.0.3 
Password: 
O servidor solicita o Password (senha) para conexão. 
 
Por padrão alguns administradores costumam acessar seus servidores como root. 
Então usamos uma ferramenta em interface gráfica chamada xHydra que é muito 
utilizada para escalação de privilégios através da quebra de senhas para obtermos 
acesso ao servidor, e depois realizamos a descoberta da senha de root utilizando uma 
wordlist (lista de palavras) com senhas mais comuns. Este ataque é conhecido como 
ataque de dicionário ou força bruta. A ferramenta retorna a porta e o serviço atacado, 
o endereço IP do servidor, o login de acesso e a senha do root. O próximo passo será 
a tentativa de invasão com escalação de privilégio. 
 
27 
 
 
Novamente utilizamos o comando ssh 172.20.0.3, já que o sistema disponibilizava o 
acesso ao SSH como root, foi necessário apenas informar a senha “123456” 
encontrada com a ferramenta xHydra. 
Após a inserção da senha, obtemos o ganho de acesso como root a todos os principais 
diretórios do sistema operacional OPENSUSE que hospeda o website da 
MUSGOWEB podendo realizar qualquer tipo de operação com todos os privilégios no 
sistema auditado. 
 
 
13.5- SISTEMA CRÍTICO DE ALTO IMPACTO 
 
 
Através da exploração de uma falha humana, deixando um servidor na internet com a 
porta 22 do serviço de SSH com a configuração de usuário e senha padrão, um 
atacante tem acesso ao sistema vulnerável, onde pode abusar de credencial 
administrativa com a qual acessa toda raiz do sistema com o máximo de privilégios, 
como: Criar contas no sistema, instalar softwares, mudar senhas, realizar downloads 
e uploads de arquivos, além de extrair e até mesmo excluir dados do servidor. 
 
 
13.6- SOLUÇÃO PROPOSTA 
 
Tratar todas as senhas do sistema com configurações de senha forte, que devem ser 
compostas por letras maiúsculas, símbolos e números, não utilizar palavras contidas 
em dicionários, não disponibilizar acesso ao SSH diretamente com usuário root e 
alterar a numeração da porta do SSH para outra de preferência do administrador do 
sistema. 
 
14- ATAQUE NEGAÇÃO DE SERVIÇO E SEU IMPACTO 
 
Um ataque de negação de serviço também é conhecido como DOS Attack, consiste 
na tentativa de tornar os recursos de um sistema indisponível para seus utilizadores. 
Este tipo de ataque não se trata de uma invasão de sistema, mais sim da sua 
28 
 
invalidação por sobrecarga. Foram realizados tipos de ataques com base nos serviços 
encontrados no endereço IP do servidor DNS. Novamente realizamos uma varredura 
com a ferramenta NMAP em cima do endereço IP do servidor DNS, que é responsável 
pelo sistemas de resolução de nomes da MUSGOWEB. O comando utilizado foi nmap 
–sV 170.20.0.1. A ferramenta novamente retorna informações importantes a respeito 
do Servidor que hospeda o serviço de DNS. Várias portas relacionadas a serviços 
conhecidos encontram–se abertas, a versão do sistema operacional é Windows 
Server 2003 (sistema que tem o suporte já descontinuado pela microsoft). 
Portanto, iremos testar uma vulnerabilidade já conhecida como MS 12-020 em cima 
do serviço de Desktop remoto conhecido como RDP. O ferramenta nmap nomeia este 
serviço como ms-wbt-server porta 3389. 
Utilizamos para realizar o ataque ao servidor DNS uma ferramenta conhecida como 
metasploit. O metasploit é um framework open source que contém programas 
preparados especificamente para tirarem partido de vulnerabilidades encontradas nos 
softwares e sistemas operativos, permitindo assim a execução de códigos maliciosos 
e consequentemente a invasão de maquinas. 
Com posse do endereço IP do servidor alvo, executamos o metasploit com o comando 
msfconsole para execução dos códigos de ataque ao serviço vulnerável. 
O próximo passo foi utilizar um exploit existente no metasploit com os comandos 
abaixo: 
use auxiliary/dos/window/rdp/ms12_020_maxchennelids 
set Rhost 170.20.0.1 
exploit 
no momento da execução do comando exploit o servidor atacado fica indisponível 
imediatamente. Ataque de negação de serviço realizado com sucesso deixando o 
sistema de DNS da MUSGOWEB indisponível para acesso. 
 
 
 
29 
 
 
 
Através da exploração de uma falha do protocolo RDP no Windows Server 2003, 
possibilitando a indisponibilidade do servidor DNS com um ataque de negação de 
serviço na porta 3389 do serviço RPD, um atacante é capaz de deixar indisponível um 
serviço de extrema importância para a empresa MUSGOWEB, impossibilitando a 
resolução de nomes internos e externos por parte dos clientes da companhia 
possibilitando na perda financeira pela falta de acesso dos serviços online. 
 
 
14.1- SOLUÇÃO PROPOSTA 
 
 
A empresa deve sempre estar alinhada com as principais atualizações de segurança 
de todos os sistemas operacionais, impedindo que as falhas mais comuns sejam 
sanadas impossibilitando a exploração das vulnerabilidades pelos crackers na 
Internet. Também é necessário que os sistemas operacionais rodem apenas serviços 
que estejam ativos no servidor, bloqueando as portas não utilizadas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
30 
 
 
 
 
 CONCLUSÃO 
 
 
 
A segurança da informação possui um papel fundamental para as organizações que 
usufruem dos benefícios da tecnologia, pois impacta diretamente e indiretamente no 
negócio, provendo a proteção do ambiente tecnológico minimizando os riscos e 
impactos. A segurança da informação visa à manutenção dos dados particulares da 
instituição, de forma integra, provendo a confidencialidade, integridade e 
disponibilidade, eliminando todo tipo de ameaça a estas informações. 
Portanto, realizar a proteção ofensiva na infraestrutura destas redes de computadores 
corporativas, por meio da auditoria teste de invasão é de extrema importância, pois a 
realização de testes controlados através de tentativas de ataques reais, como se fosse 
executado por um blackhat oriundo da internet, auxilia na identificação de possíveis 
fragilidades nos sistemas, como a falta de controle técnico e ausência de 
conformidade com as normas de segurança nacionais e internacionais, e 
posteriormente na orientação para correção das vulnerabilidades encontradas. 
Este trabalho apresentou conceitos de segurança da informação, auditoria contábil, 
auditoria de tecnologia da informação e teste de invasão para elucidar e conectar as 
informações que compõem uma auditoria teste de invasão. Apresentou também de 
maneira pratica através de um estudo de caso fictício em ambiente corporativo, 
ferramentas que podem realmente comprometer sistemas que disponibilizam 
serviços, tanto públicos quanto privados, através da invasão de servidores 
vulneráveis. A auditoria teste de invasão é um modo de detecção e correção de falhas 
e vulnerabilidades no sistema de informação da organização contratante deste 
serviço. É de grande valia a manutenção da segurança da instituição, realizando 
auditorias preventivas para que de maneira alguma o negócio seja afetado por conta 
da indisponibilidade e do vazamento de dados críticos, causando danos e perdas 
financeiras ao negócio da empresa. Por fim, com o conhecimento sobre segurança, 
auditoria e teste de invasão, o leitor tem a possibilidade de perceber com clareza os 
processos de uma auditoria de segurança da informação e terá a consciência da 
31 
 
importância da execução de testes sobre os controles técnicos implementados, para 
proteção da informação das instituições. A finalidade deste trabalho proposto foi 
demonstrar através de um estudo de casos os procedimentos realizados pelo teste de 
invasão com o objetivo de aumentar preventivamente a segurança da informação 
identificando e corrigindo possíveis falhas de segurança provendo a proteção do 
ambiente computacional das empresas. 
 
 
REFERÊNCIAS 
 
 
Fundamentos da gestão da qualidade 
Disponível em:<https://www.sebrae.com.br/sites/PortalSebrae/artigos/fundamentos-da-gestao-da-ualidade,527e438af1c92410VgnVCM100000b272010aRCRD>.acesso 
em: 28 de setembro de 2021. 
Empreendedorismo: o que é, vantagens e como se tornar um empreendedor 
Disponível em: <https://fia.com.br/blog/empreendedorismo-2/>. acesso em: 28 de 
setembro 2021. 
O que é empreendedorismo? Quais os tipos e quem pode empreender? 
Disponível em. <https://blog.nubank.com.br/o-que-e-empreendedorismo/> acesso 
em: 27 de setembro de 2021. 
Melhores políticas de segurança de dados para home office. Disponível em:< 
https://blog.runrun.it/seguranca-da-informacao-home-office/>. acesso em: 28 de maio 
de 2021. 
Estrutura Organizacional:Tudo o que você precisa saber.Disponível em: 
<https://blog.bomcontrole.com.br/estrutura-organizacional/> acesso em: 17 de outubro de 
2021. 
A importância dos Tipos de Estrutura Organizacional para um negócio de 
sucesso.Disponivel em: <https://www.treasy.com.br/blog/tipos-de-estrutura-organizacional/> 
acesso em: 17 de outubro de 2021. 
Como fazer um plano de negócios simples, passo a passo.Disponível em: 
https://sambatech.com/blog/insights/plano-de-negocios/ acesso em 17 de outubro de 
2021. 
Pentest ou Testes de Invasão: O que é e quais são as etapas? Disponível 
em:<https://www.softwall.com.br/blog/pentest-testes-de-invasao-o-que-e-quais-
etapas/> acesso em: 17 de outubro de 2021. 
Quais as fases do Pentest? Disponível em:< https://blog.siteblindado.com/quais-as-
32 
 
fases-do-pentest/> acesso em: 17 de outubro de 2021. 
Modelos de estrutura organizacional: conheça os principais. Disponível em: acesso 
em: < https://www.roberthalf.com.br/blog/dicas/modelos-de-estrutura-organizacional-conheca-
principais-rc>17 de outubro de 2021.