Livro_SEGURANCA E AUDITORIA_DE_SISTEMAS_EAD_UNIVERSO

Prévia do material em texto

Segurança e Auditoria de Sistemas 
1 
 
Segurança e Auditoria 
de Sistemas 
Celso Cardoso Neto 
1
ª 
e
d
iç
ã
o
 
Segurança e Auditoria de Sistemas 
2 
 
DIREÇÃO SUPERIOR 
Chanceler Joaquim de Oliveira 
Reitora Marlene Salgado de Oliveira 
Presidente da Mantenedora Wellington Salgado de Oliveira 
Pró-Reitor de Planejamento e Finanças Wellington Salgado de Oliveira 
Pró-Reitor de Organização e Desenvolvimento Jefferson Salgado de Oliveira 
Pró-Reitor Administrativo Wallace Salgado de Oliveira 
Pró-Reitora Acadêmica Jaina dos Santos Mello Ferreira 
Pró-Reitor de Extensão Manuel de Souza Esteves 
 
DEPARTAMENTO DE ENSINO A DISTÂNCIA 
Gerência Nacional do EAD Bruno Mello Ferreira 
Gestor Acadêmico Diogo Pereira da Silva 
 
FICHA TÉCNICA 
Texto: 
Revisão Ortográfica: Rafael Dias de Carvalho Moraes 
Projeto Gráfico e Editoração: Antonia Machado, Eduardo Bordoni, Fabrício Ramos e Victor 
Narciso 
Supervisão de Materiais Instrucionais: Antonia Machado 
Ilustração: Eduardo Bordoni e Fabrício Ramos 
Capa: Eduardo Bordoni e Fabrício Ramos 
 
COORDENAÇÃO GERAL: 
Departamento de Ensino a Distância 
Rua Marechal Deodoro 217, Centro, Niterói, RJ, CEP 24020-420 www.universo.edu.br 
 
Ficha catalográfica elaborada pela Biblioteca Universo – Campus 
Niterói 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Bibliotecária: ELIZABETH FRANCO MARTINS – CRB 7/4990 
 
Informamos que é de única e exclusiva responsabilidade do autor a originalidade desta obra, não se responsabilizando a ASOEC 
pelo conteúdo do texto formulado. 
© Departamento de Ensino a Distância - Universidade Salgado de Oliveira 
Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, arquivada ou transmitida de 
nenhuma forma ou por nenhum meio sem permissão expressa e por escrito da Associação Salgado de Oliveira de 
Educação e Cultura, mantenedora da Universidade Salgado de Oliveira (UNIVERSO). 
http://www.universo.edu.br/
Segurança e Auditoria de Sistemas 
3 
 
Palavra da Reitora 
Acompanhando as necessidades de um mundo cada vez mais complexo, 
exigente e necessitado de aprendizagem contínua, a Universidade Salgado de 
Oliveira (UNIVERSO) apresenta a UNIVERSOEAD, que reúne os diferentes segmentos 
do ensino a distância na universidade. Nosso programa foi desenvolvido segundo as 
diretrizes do MEC e baseado em experiências do gênero bem-sucedidas 
mundialmente. 
São inúmeras as vantagens de se estudar a distância e somente por meio dessa 
modalidade de ensino são sanadas as dificuldades de tempo e espaço presentes nos 
dias de hoje. O aluno tem a possibilidade de administrar seu próprio tempo e 
gerenciar seu estudo de acordo com sua disponibilidade, tornando-se responsável 
pela própria aprendizagem. 
O ensino a distância complementa os estudos presenciais à medida que permite 
que alunos e professores, fisicamente distanciados, possam estar a todo o momento, 
ligados por ferramentas de interação presentes na Internet através de nossa 
plataforma. 
Além disso, nosso material didático foi desenvolvido por professores 
especializados nessa modalidade de ensino, em que a clareza e objetividade são 
fundamentais para a perfeita compreensão dos conteúdos. 
A UNIVERSO tem uma história de sucesso no que diz respeito à educação a 
distância. Nossa experiência nos remete ao final da década de 80, com o bem-
sucedido projeto Novo Saber. Hoje, oferece uma estrutura em constante processo 
de atualização, ampliando as possibilidades de acesso a cursos de atualização, 
graduação ou pós-graduação. 
Reafirmando seu compromisso com a excelência no ensino e compartilhando as 
novas tendências em educação, a UNIVERSO convida seu alunado a conhecer o 
programa e usufruir das vantagens que o estudar a distância proporciona. 
 
Seja bem-vindo à UNIVERSOEAD! 
Professora Marlene Salgado de Oliveira 
Reitora. 
Segurança e Auditoria de Sistemas 
4 
 
 
Sumário 
 
Apresentação da disciplina ...................................................................................... 
Plano da disciplina ................................................................................................... 
Unidade 1 – Conceitos de Segurança da Informação ............................................. 
Unidade 2 – Segurança no Desenvolvimento de Software .................................... 
Unidade 3 – Técnicas de Auditoria em Sistemas de Informação ........................... 
Unidade 4 – Política de Segurança .......................................................................... 
Considerações finais ................................................................................................ 
Conhecendo o autor ................................................................................................ 
Referências ............................................................................................................... 
 
 
Segurança e Auditoria de Sistemas 
5 
 
Apresentação da Disciplina 
 
Essa disciplina complementa os estudos nos cursos da área de informática, 
sendo que o correto entendimento dos conceitos associados à Segurança e Auditoria 
de Sistemas vai permitir ao profissional de informática uma melhor compreensão do 
seu ambiente de trabalho, resultando no desenvolvimento de soluções com maior 
qualidade e eficiência. 
Essa disciplina tem por objetivo fazer com que o aluno conheça os aspectos 
básicos relacionados aos conceitos e princípios da segurança da informação, tanto 
nos aspectos físico e lógico, quanto no desenvolvimento de software, discutir 
metodologias, técnicas e métodos que permitam a validação e auditoria desses 
sistemas e apresentar planos de segurança da informação e os principais tópicos 
para sua elaboração. 
 
 
 
Segurança e Auditoria de Sistemas 
6 
 
Plano da Disciplina 
 
O estudo dessa disciplina baseia-se em um plano que organiza o estudo em 
diversas unidades didáticas, conforme descrito a seguir. 
✓ UNIDADE 1. Conceitos de Segurança da Informação 
✓ UNIDADE 2. Segurança no Desenvolvimento de Software 
✓ UNIDADE 3. Técnicas de Auditoria em Sistemas de Informação 
✓ UNIDADE 4. Política de Segurança 
 
 
 
 
 
Segurança e Auditoria de Sistemas 
7 
Conceitos de 
Segurança da Informação 
 1 
Segurança e Auditoria de Sistemas 
 
8 
 
Nesta unidade, veremos os conceitos básicos de auditoria, os aspectos 
relacionados à auditoria de sistemas na área de Sistemas de Informação, os 
conceitos de auditoria interna e externa, finalizando pelos tipos de auditoria. 
Objetivos da unidade: 
Compreender os fundamentos e conceitos sobre auditoria, com enfoque na 
área de Sistemas de Informação, detalhando a auditoria interna e externa e os tipos 
de auditoria. 
Plano da unidade: 
1.1 Conceitos básicos de auditoria 
1.2 Auditoria de sistemas e a área de Sistemas de Informação 
1.3 Auditoria Interna e Externa 
1.4 Tipos de auditoria 
Bons estudos! 
 
 
 
Segurança e Auditoria de Sistemas 
 
9 
 
 Conceitos básicos de Auditoria 
 
A evolução no mundo dos negócios tem exigido que os números contábeis 
das empresas estejam em conformidade com os melhores padrões internacionais, 
registrando os valores reais dos ativos, dos passivos e do patrimônio. Nesse 
contexto, a auditoria contábil se reveste de elevada importância, sendo um processo 
essencial para empresas de todos os segmentos, pois verifica a precisão dos registros 
contábeis. 
No bojo da auditoria, a palavra informação assume papel de destaque, 
podendo ser definida como um conjunto de dados tratados e organizados de tal 
modo que tragam algum significado ou sentido dentro de um dado contexto. 
A figura 1 abaixo ilustra o fluxo da informação em uma organização. 
Figura 1: Ciclo de Vida da Informação 
 
Fonte: LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio 
de Janeiro: Ciência Moderna, 2008, p.9 (adaptado) 
 
A informaçãoé elemento essencial para todos os processos de negócio da 
organização, sendo, portanto, um bem ou ativo de grande valor. Associada à 
informação estão os termos sistemas de informação e tecnologia da informação. 
Sistemas da Informação (SI) pode ser entendido como o modelo 
automatizado ou manual, de processos responsáveis por coletar e transmitir dados 
que sejam úteis ao desenvolvimento de produtos ou serviços das empresas, 
organizações e de demais projetos. 
Segurança e Auditoria de Sistemas 
 
10 
Tecnologia da Informação (TI) é a área que emprega a computação como 
um meio para produzir, transmitir, armazenar e utilizar as informações. A tecnologia 
é empregada para executar o tratamento da informação, auxiliando quem usa a 
alcançar um determinado objetivo. A TI pode ser dividida de acordo com as 
seguintes áreas: 
• Hardware e seus componentes; 
• Software e seus meios; 
• Sistemas de telecomunicações; 
• Gestão de informações e de dados. 
 
Atualmente, estamos vivenciando a era da informação e a potencialidade 
das novas tecnologias é inegável. É fato que as instituições estão se tornando cada 
vez mais e mais dependentes dos sistemas de informação. Em contrapartida, os 
clientes estão mais preocupados com o uso adequado das informações, 
particularmente com a privacidade dos seus dados pessoais. Neste contexto, como 
base da vantagem competitiva, a informação vem sofrendo ameaças que aumentam 
a cada dia, sendo vital garantir sua segurança. 
A palavra informação é definida como um conjunto de dados tratados e 
organizados de tal maneira que tragam algum significado ou sentido dentro de um 
dado contexto. A partir desse conceito, busca-se a definição de segurança da 
informação, podendo-se caracterizá-la como a aplicação adequada de dispositivos de 
proteção sobre um ativo ou um conjunto de ativos, com o objetivo de preservar o 
valor que este possui para as organizações, buscando-se preservar a 
confidencialidade, a integridade e a disponibilidade (CID), não estando restritos 
somente a sistemas ou aplicativos, mas também às informações armazenadas ou 
veiculadas tanto no meio eletrônico ou como em papel. 
A informação é um ativo e um bem de grande valor para os processos de 
negócio das empresas, não esquecendo também da tecnologia, do meio que a 
suporta, que a mantém e que possibilita a sua existência, que permite às pessoas 
que a manipulam e o ambiente onde ela está inserida. 
Segundo Lyra, a segurança da informação possui diversos aspectos 
importantes, com destaque para: 
• Confidencialidade - associada à ideia da capacidade de um 
sistema de permitir que alguns usuários acessem determinadas 
informações, ao mesmo tempo em que impede que outros, não 
autorizados, a vejam. Esse princípio é respeitado quando apenas 
as pessoas explicitamente autorizadas podem ter acesso à 
Segurança e Auditoria de Sistemas 
 
11 
informação. 
• Integridade – associada à ideia de que a informação deve estar 
correta, ser verdadeira e não estar corrompida. Esse princípio é 
respeitado quando a informação acessada está completa, sem 
alterações e, portanto, confiável. 
• Disponibilidade – associada à ideia de que a informação deve 
estar disponível para todos que precisarem dela para a realização 
dos objetivos empresariais. Esse princípio é respeitado quando a 
informação está acessível, por pessoas autorizadas, sempre que 
necessário. 
• Autenticação – associada à ideia da garantia que um usuário é de 
fato quem alega ser. 
• Não-repúdio – associada à ideia da capacidade de um sistema de 
provar que um usuário executou uma determinada ação. 
• Legalidade - associada à ideia da garantia que o sistema esteja 
aderente à legislação pertinente. 
• Privacidade - associada à ideia da capacidade de um sistema de 
manter anônimo um usuário, impossibilitando o relacionamento 
entre o usuário e suas ações, como no caso no sistema de voto 
eletrônico. 
• Auditoria - associada à ideia da capacidade de um sistema de 
auditar tudo o que foi realizado pelos usuários, detectando 
fraudes ou tentativas de ataque. 
 
A segurança da informação é garantida pela preservação de três aspectos 
essenciais: confidencialidade, integridade e disponibilidade, de acordo com o 
triângulo CID da figura 2. 
Segurança e Auditoria de Sistemas 
 
12 
Figura 2: Triângulo CDI 
 
Fonte: HINTZBERGEN, J., HINTZBERGEN, K., SMULDERS, A. e BAARS, H. Fundamentos 
de Segurança da Informação, com base na ISO27001 e na IS27002, Rio de Janeiro: 
Brasport, 2018 (adaptado) ISBN 9788574528670, Disponível em 
http://universo.bv3.digitalpages.com.br/users/publications/9788574528670, Acesso 
em 06/12/2018 
 
 
No contexto da segurança da informação existem diversos termos de 
interesse, conceituados a seguir: 
(I) Incidente de segurança – é a ocorrência de um evento que pode 
causar interrupções nos processos de negócio, em consequência 
da violação de algum dos aspectos tratados anteriormente. Cabe 
ressaltar que outros fatores, do tipo greves, manifestações e 
relacionados às intempéries da natureza, também podem gerar 
incidentes, além dos decorrentes da operação incorreta ou 
ataque ao sistema. 
(II) Ataque de ocorrência de um incidente de segurança – tipo 
caracterizado pela existência de um agente que busca obter 
algum tipo de retorno, atingindo algum ativo de valor. É uma 
tentativa de destruir, expor, alterar, inutilizar, roubar ou obter 
acesso não autorizado a, ou fazer uso não autorizado de um 
ativo. 
(III) Vulnerabilidade dos ativos da informação – são pontos fracos que 
podem gerar de forma intencional ou não, a indisponibilidade 
e/ou quebra de confidencialidade ou de integridade. São as 
fraquezas presentes nos ativos de informação, que podem 
causar, intencionalmente ou não, a quebra de um ou mais dos 
três princípios de segurança da informação (confidencialidade, 
integridade e disponibilidade). 
http://universo.bv3.digitalpages.com.br/users/publications/9788574528670
Segurança e Auditoria de Sistemas 
 
13 
(IV) Ameaça de ocorrência de um incidente de segurança – é um tipo 
de ataque potencial a um ativo da informação, constituindo-se 
em um agente externo que, aproveitando-se da vulnerabilidade, 
pode quebrar um ou mais princípios da segurança da informação. 
É a causa potencial de um incidente indesejado, que pode 
resultar em um dado a um sistema em uma organização. 
(V) Probabilidade de ocorrência de um incidente de segurança – é a 
chance de uma falha de segurança ocorrer, considerando-se as 
vulnerabilidades do ativo e as ameaças que venham a explorar 
essas vulnerabilidades. 
(VI) Impacto de um incidente de segurança – é medido pelas 
consequências que possa causar aos processos de negócio 
suportados pelo ativo da informação. 
(VII) Análise de riscos – é definida como um processo para 
empreender a natureza do risco a fim de determinar o seu nível. 
Uma análise de riscos propicia a base para a estimativa do risco e 
para as decisões sobre o tratamento do risco. A análise de riscos 
inclui a estimativa do risco. 
(VIII)Risco - é a relação entre a probabilidade e o impacto. É a base 
para a identificação dos pontos que demandam por 
investimentos em segurança da informação. 
 
 
Mais informações sobre as definições e conceitos de segurança podem ser 
encontradas no livro HINTZBERGEN, J., HINTZBERGEN, K., SMULDERS, A. e BAARS, H. 
Fundamentos de Segurança da Informação, com base na ISO27001 e na IS27002, Rio 
de Janeiro: Brasport, 2018. 
A classificação da informação engloba um processo pelo qual é 
estabelecido o grau de importância das informações frente a seu impacto no negócio 
suportado. Quanto mais estratégica para o sucesso do negócio, mais importante 
será. A figura 3 abaixo ilustra a classificação dos ativos da informação. 
Figura 3: Ativos da Informação 
 
Segurança e Auditoria de Sistemas 
 
14 
Fonte: LYRA, M. R. (organizador)/ TORRES, F. C. Governança da Segurança 
da Informação, ISBN: 978-85-920264-1-7, Brasília, 2015, p.10 (adaptado) 
 
A figura 4 abaixo ilustra o relacionamento entre os ativos de informação. 
Figura 4: Relacionamento entre os Ativos de Informação 
 
Fonte: LYRA, M. R. (organizador) / TORRES, F. C. Governança da Segurança 
da Informação, ISBN: 978-85-920264-1-7, Brasília, 2015, p.16 
 
De acordo com LYRA, existem diversas formas de classificar o ativo da 
informação, devendo estar centrada nos aspectos da confidencialidade, 
disponibilidade, integridade e autenticidade. 
 
➢ CLASSIFICAÇÃO QUANTO À CONFIDENCIALIDADE 
(I) NÍVEL 1 – INFORMAÇÃO PÚBLICA 
✓ Estão os ativos públicos ou não classificados. 
✓ São informações que se forem divulgadas fora da organização, não 
trarão impactos para o negócio. 
✓ A integridade não é vital e o uso é livre. 
✓ Exemplos: folder da organização e brochuras. 
(II) NÍVEL 2 – INFORMAÇÃO INTERNA 
✓ Estão os ativos cujo acesso do público externo deve ser evitado, 
entretanto, caso venham a se tornar públicos, as consequências não 
são críticas. 
✓ Exemplos: lista de telefones e ramais, agendas dos executivos. 
Segurança e Auditoria de Sistemas 
 
15 
(III) NÍVEL 3 – INFORMAÇÃO CONFIDENCIAL 
✓ Estão os ativos de acesso restrito dentro da organização e protegidos 
do acesso externo. 
✓ A integridade é vital. 
✓ O acesso não autorizado destas informações pode comprometer as 
operações da organização e causar prejuízos financeiros. 
✓ Exemplos: dados de clientes, senhas de acesso, informações sobre 
vulnerabilidades da organização. 
(IV) NÍVEL 4 – INFORMAÇÃO SECRETA 
✓ O acesso interno e externo a essas informações é extremamente 
crítico para a organização. 
✓ A quantidade de pessoas que tem acesso a essas informações deve 
ser muito controlada. 
✓ A integridade das informações é vital. 
✓ Devem existir restritas para uso dessas informações. 
✓ Exemplos: informações de concorrências, contratos confidenciais, 
informações militares. 
 
➢ CLASSIFICAÇÃO QUANTO À DISPONIBILIDADE 
(I) NÍVEL 1 – Informações que devem ser recuperadas em minutos 
(II) NÍVEL 2 – Informações que devem ser recuperadas em horas 
(III) NÍVEL 3 – Informacções que devem ser recuperadas em dias 
(IV) NÍVEL 4 – Informações que não são críticas 
 
➢ CLASSIFICAÇÃO QUANTO À INTEGRIDADE 
✓ Uma informação errada pode trazer vários transtornos aos processos de 
trabalho. 
✓ Identificar as informações fundamentais ao negócio da organização ajuda a 
apontar o local correto para direcionar os controles, prevenir, detectar e 
corrigir a produção de informações sem integridade ou alteração indevida 
das mesmas. 
 
➢ CLASSIFICAÇÃO QUANTO À AUTENTICIDADE 
✓ De acordo com a ISO 17.799, dados e informações destinados ao público 
externo devem apresentar requisitos de verificação da autenticidade. 
Segurança e Auditoria de Sistemas 
 
16 
✓ Estabelecer quais são estas informações facilita a identificação dos 
requisitos de segurança e a definição de processos sistematizados para 
controlar a autenticidade .de informações e documentos. 
 
Cabe ressaltar que uma excelente referência para o tema segurança para a 
internet é encontrada em Cartilha de Segurança para a Internet publicada pela 
Cert.br - Disponível em https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf 
 
 Auditoria de Sistemas e a área de 
 Sistemas de Informação 
 
Nos diferentes setores da organização, pode-se considerar que existem 
quatro principais níveis com sistemas de informação específicos: 
(I) Sistemas de nível estratégico - nível responsável por ajudar os 
executivos a criarem estratégias a longo prazo para 
acompanharem as tendências do ambiente externo no que tange 
a mercado e consumo, por meio do chamado Sistema de Apoio 
ao Executivo (SAEx). 
(II) Sistemas de nível gerencial / nível tático – nível responsável pela 
produção de relatórios periódicos sobre os procedimentos 
administrativos dos gerentes médios da organização, por do 
Sistema de Informações Gerenciais (SIG’s) e do Sistema de Apoio 
a Decisão (SAD). 
(III) Sistemas do nível do conhecimento – nível responsável por 
possibilitar a integração de novas tecnologias e informações a 
organização, por meio dos Sistemas de Trabalhadores de 
Conhecimento (STC) e Sistemas de Automação de Escritório 
(SAE). 
(IV) Sistemas do nível operacional – nível responsável por fornecer 
informações de fácil acesso, precisas e atualizadas por meio dos 
Sistemas de processamento de transações (SPT), que dão 
suporte aos gerentes operacionais, oferecendo respostas rápidas 
as questões de rotina da organização. 
 
No que âmbito da auditoria e dos sistemas da informação, o planejamento 
estratégico se reveste de importância capital. É por meio dele, com execução 
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
Segurança e Auditoria de Sistemas 
 
17 
periódica e cuja finalidade é fazer uma reavaliação crítica da situação atual, que as 
organizações estabelecem, a nível estratégico, os objetivos para os anos seguintes. 
Conceitualmente, um planejamento estratégico é realizado em três etapas 
básicas: 
(I) DIAGNÓSTICO – aqui a situação atual da organização é analisada 
criticamente em relação aos objetivos propostos; 
(II) PROSPECÇÃO – aqui são concebidos os cenários futuros para a 
organização e estabelecidos novos objetivos estratégicos para os 
anos futuros; 
(III) ELABORAÇÃO DE PLANOS – aqui os objetivos estratégicos 
estabelecidos são desdobrados em planos de ações para cada 
área de organização (finanças, marketing, vendas, recursos 
humanos, tecnologia e produção). 
 
 Auditoria Interna e Externa 
 
A auditoria tem por finalidade a revisão ou exame das demonstrações 
contábeis, como o Balanço Patrimonial, bem como as transações, operações, 
processos, registros que afetam o patrimônio de uma empresa. Este exame visa 
proporcionar razoável segurança quanto à posição financeira e patrimonial da 
empresa no período. 
A auditoria é um recurso que visa atestar a saúde financeira e fiscal de uma 
empresa. É por meio desse processo sistemático que a organização e seus 
investidores confirmam que as demonstrações contábeis, transações, registros e 
processos estão bem executados e que as normas estão sendo seguidas 
corretamente. 
Existem dois tipos de Auditoria, denominados Auditoria Externa e 
Auditoria Interna, desempenhados de maneiras semelhantes, porém guardando 
diferenças e objetivos diferentes uma da outra. São tipos de auditoria 
complementares, mas essenciais para a gestão da organização. Os procedimentos e 
metodologias utilizados são similares, mas os objetivos e a forma de execução são 
distintos. 
❖ Auditoria Interna 
✓ É um tipo de auditoria realizada por profissionais da própria 
empresa auditada e na maioria dos casos são funcionários da 
Segurança e Auditoria de Sistemas 
 
18 
área contábil, mas que também podem ser de outras áreas 
dependendo do ramo de atuação da empresa. 
✓ O auditor interno pode ter formação multidisciplinar, isto é, não 
necessariamente precisa ser graduado em ciências contábeis. 
✓ Diferente da AUDITORIA EXTERNA, a AUDITORIA INTERNA não 
procura apenas averiguar e comprovar os dados emitidos nas 
demonstrações. 
✓ Esse tipo de processo não se restringe ao controle financeiro, 
mas busca fazer uma avaliação sobre os processos e regimentos 
internos da organização. 
✓ Trata-se de um apoio importante para a gerência da empresa, 
apontando as falhas e pontos fracos na operação e identificando 
os gaps que podem afetar a produtividade. 
✓ Ao final da auditoria interna é entregue à administração um 
relatório com uma análise sistêmica, apontando as falhas e 
possíveis riscos que podem afetar sua operação. 
✓ O auditor também sugere melhorias para sanar os pontos 
negativos. Esse profissional ajuda a gerência a tomar decisões 
mais assertivas,fornecendo informações importantes sobre a 
real situação da empresa. 
✓ A auditoria interna não possui necessariamente uma 
periodicidade pré-estabelecida. É um processo contínuo que 
busca a manutenção e a eficiência os processos internos. 
❖ Auditoria Externa 
✓ A auditoria externa é realizada por empresa terceirizada que 
emite sua opinião quanto à fidedignidade dos dados 
apresentados nas demonstrações da empresa auditada, constitui 
uma análise realizada por uma pessoa de fora da organização, 
um auditor independente. 
✓ Os auditores externos devem ser graduados em ciências 
contábeis e registrados nos órgãos e institutos que regulam a 
profissão, como o Conselho Regional de Contabilidade, Instituto 
dos Auditores Independentes do Brasil (IBRACON) e Comissão de 
Valores Mobiliários (CVM). 
✓ O objetivo da auditoria externa é confirmar a veracidade dos 
dados fornecidos nas demonstrações da empresa, identificando 
possíveis falhas que possam impactar nas finanças da 
organização. Os objetivos aos quais ela atende são 
principalmente de terceiros, como investidores e instituições 
bancárias, para atestar a credibilidade da empresa que está 
sendo auditada. 
✓ As sociedades de grande porte (sociedade ou conjunto de 
sociedades sob controle comum que tiver, no exercício social 
http://www.ibracon.com.br/ibracon/Portugues/lisDocumentos.php
http://www.ibracon.com.br/ibracon/Portugues/lisDocumentos.php
http://www.cvm.gov.br/
http://www.cvm.gov.br/
Segurança e Auditoria de Sistemas 
 
19 
anterior, ativo total superior a R$ 240.000.000,00 ou receita 
bruta anual superior a R$ 300.000.000,00) são obrigadas pela Lei 
11.638 a terem suas demonstrações financeiras analisadas por 
auditor independente registrado na CVM. Isso é importante para 
passar segurança sobre as informações e dados apresentados, 
principalmente quando a organização possui ações negociadas 
na bolsa de valores. 
✓ É importante que o auditor tenha conhecimento prévio da 
organização antes da realização da auditoria, com detalhes sobre 
o funcionamento da mesma, conhecimento sobre os 
departamentos e suas atividades, além de relatórios de 
auditorias anteriores. 
✓ Ao final do processo o auditor externo deve atestar ou não a 
credibilidade das demonstrações financeiras, bem como 
identificar falhas no sistema interno e financeiro da organização. 
✓ São apresentadas também sugestões para melhoria dos pontos 
fracos apontados. 
✓ A auditoria externa é realizada periodicamente, com uma 
frequência pré-estabelecida. 
 
 Tipos de Auditoria 
 
Segundo Lyra, a função da auditoria de sistemas é promover adequação, 
revisão, avaliação e recomendação para o aprimoramento dos controles internos nos 
sistemas de informação de uma empresa, bem como avaliar a utilização dos recursos 
humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. 
A auditoria de sistemas deve atuar em todos os sistemas da empresa, seja 
no nível operacional, tático e estratégico. 
De acordo com o COBIT, os objetivos da auditoria de sistemas de 
informação devem estar pautados na efetividade, eficiência, confidencialidade, 
integridade, disponibilidade, compliance e confiança. 
Do exposto acima, do alinhamento das duas definições, pode-se definir 
como objetivos globais da auditoria de sistemas da informação: 
(I) INTEGRIDADE 
✓ Confiança nas transações processadas pelo sistema. 
✓ O sistema garante a consistência das transações. 
✓ Os elementos de correção e completude das transações são 
evidentes. 
✓ Os usuários tomam decisões baseadas nas informações sem 
receio. 
(II) CONFIDENCIALIDADE 
✓ As informações são reveladas somente às pessoas que 
necessitam conhecê-las. 
http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2007/lei/l11638.htm
http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2007/lei/l11638.htm
Segurança e Auditoria de Sistemas 
 
20 
(III) PRIVACIDADE 
✓ As funções incompatíveis nos sistemas são segregadas. No 
processo de autorização os usuários enxergam apenas as 
informações necessárias à execução de suas tarefas. 
(IV) ACUIDADE 
✓ As transações processadas podem ser validadas. 
✓ Um módulo de consistência de entrada de dados pode 
auxiliar na verificação dos dados-fonte, atentando para sua 
veracidade. 
✓ Isso é fundamental para evitar que dados não qualificados 
sejam alimentados nos sistemas, gerando transações 
indevidas ou inválidas. 
(V) DISPONIBILIDADE 
✓ O sistema precisa estar disponível para o cumprimento dos 
objetivos empresariais. 
✓ Sua falta pode resultar em perda financeira ou gerar 
problemas de continuidade do negócio. 
(VI) AUDITABILIDADE 
✓ Os sistemas devem documentar logs operacionais que 
permitam trilhas de auditoria. 
(VII) VERSATILIDADE 
✓ O sistema deve ser amigável, fácil de se adaptar ao workflow 
operacional da empresa, utilizar recursos de importação e 
exportação de dados de forma simples, etc. 
(VIII) MANUTENIBILIDADE 
✓ Políticas e procedimentos operacionais devem contemplar 
controles quanto a teste, conversão, implantação e 
documentação de sistemas novos ou modificados. 
✓ Quando da manutenção do sistema, os riscos de 
contaminação dos ambientes de teste e produção devem ser 
eliminados. 
✓ Não há risco de os sistemas virarem colchas de retalhos por 
falta de uma metodologia apropriada para a manutenção. 
 
São tipos de auditoria: 
(1) AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS 
Compreende auditar todo o processo de construção de sistemas de 
informação, da fase de requisitos até a sua implantação, bem como o 
próprio processo ou metodologia de desenvolvimento. 
 
(2) AUDITORIA DE SISTEMAS EM PRODUÇÃO 
Preocupa-se com os procedimentos e resultados dos sistemas já 
implantados, sua segurança, correção e tolerância a falhas. 
 
Segurança e Auditoria de Sistemas 
 
21 
(3) AUDITORIA NO AMBIENTE TECNOLÓGICO 
Compreende a análise do ambiente de informática em termos de 
estrutura organizacional, contratos, normas técnicas, custos, nível de 
utilização de equipamentos e planos de segurança e de contingência. 
(4) AUDITORIA EM EVENTOS ESPECÍFICOS 
Compreende a análise das causas, consequências e ações corretivas 
cabíveis em eventos não cobertos pelas auditorias anteriores. Podem 
ser eventos detectados por outros órgãos e entidades externas ou 
evento específico e localizado. 
 
Alguns autores incluem na Auditoria Interna as seguintes modalidades: 
➢ Auditoria contábil – está associada ao patrimônio da empresa. Trata-
se de uma análise criteriosa para avaliar se o patrimônio da 
organização está sendo gerido de acordo com os direcionamentos 
estabelecidos pela própria empresa e também se estão em 
conformidade com os princípios da contabilidade. Seu objetivo é 
reduzir os índices de improbidade corporativa. 
➢ Auditoria operacional - o objetivo é avaliar o funcionamento da 
empresa em seu dia a dia, fornecendo um diagnóstico operacional e 
propondo soluções voltadas para a maior eficiência e economia. O 
principal objeto a ser avaliado é a relação entre os processos internos 
da empresa e a utilização de recursos. 
➢ Auditoria de sistemas - Grande parte do crescimento, prosperidade e 
sucesso de grandes empresas nos tempos atuais pode ser atribuído à 
adoção de softwares de gestão. Atenta a essa nova realidade, a 
auditoria não poderia deixar de avaliar a eficiência e o desempenho 
das soluções tecnológicas adotadas pela empresa. O emprego de 
soluções de Escrituração Contábil Fiscal (ECF), por exemplo, diminui 
em muito a possibilidade de ocorrência de inconsistências fiscais. 
➢ Auditoria de qualidade - A auditoria de qualidade avalia se os 
produtos ou serviços prestados pela empresa estão de acordo com as 
diretrizes estabelecidas pela própria companhia. Além disso, verificam 
se estão em conformidade com normas externas, tais quais as 
editadas pelas autoridades públicas responsáveis pela vigilância 
sanitária ou, ainda, normas de padronização internacional, como é o 
caso da ISO9.000. 
➢ Auditoria ambiental - Esse tipo de auditoria se preocupa com o 
impacto das atividades da empresa no meio ambiente em que se 
insere. A escolha de fornecedores que poluem menos ou que não 
http://checklistfacil.com/blog/software-de-gestao-entenda-porque-sua-empresa-precisa-de-um/?utm_source=blog&utm_campaign=rc_blogpost
http://checklistfacil.com/blog/4-melhores-praticas-para-seguir-as-regras-da-vigilancia-sanitaria/?utm_source=blog&utm_campaign=rc_blogpost
http://checklistfacil.com/blog/4-melhores-praticas-para-seguir-as-regras-da-vigilancia-sanitaria/?utm_source=blog&utm_campaign=rc_blogpost
http://checklistfacil.com/blog/3-maneiras-de-melhorar-a-padronizacao-de-servicos-na-sua-empresa/?utm_source=blog&utm_campaign=rc_blogpost
http://checklistfacil.com/blog/como-voce-deve-preparar-a-internacionalizacao-da-sua-empresa/?utm_source=blog&utm_campaign=rc_blogpost
Segurança e Auditoria de Sistemas 
 
22 
promovam testes laboratoriais em animais seriam exemplos de 
soluções em auditoria ambiental. 
➢ Auditoria de gestão - é direcionada aos gestores da organização. O 
grande objetivo é identificar se os administradores utilizaram os 
recursos da organização com a maior eficiência, economicidade e 
eficácia possíveis. Em outras palavras, a auditoria de gestão pretende 
aferir o desempenho dos gestores e do empreendimento, com o 
intuito de indicar a adequabilidade da performance alcançada. 
 
Já a Auditoria Externa normalmente se vale de auditores independentes, 
sem vínculo empregatício com a empresa auditada. Assim como na Auditoria 
Interna, sua função também é a de avaliar os sistemas internos da empresa. Por isso, 
o ideal é que o auditor externo trabalhe em parceria com o interno. 
Os tipos de auditoria usados pela Auditoria Externa não são diferentes dos 
utilizados pelo auditor interno. Assim, a Auditoria Externa também se vale das 
auditorias contábil, fiscal, operacional, ambiental, etc. O que muda é o foco de cada 
uma. 
A Auditoria Externa também funciona como uma consultoria e, portanto, o 
seu foco é justamente avaliar a confiabilidade dos registros contábeis. Apenas por 
meio das auditorias é possível saber se existe um hiato entre a teoria e a prática. 
Além disso, entenderemos o que deve ser feito a fim de os recursos da empresa 
serem empregados da forma mais eficiente possível, de modo a atingir as metas 
traçadas. 
 
É hora de se avaliar 
Lembre-se de realizar as atividades desta unidade de estudo. Elas irão 
ajudá-lo a fixar o conteúdo, além de proporcionar sua autonomia no processo 
de ensino-aprendizagem. 
 
 
Exercícios – Unidade 1 
 
I – QUESTÕES OBJETIVAS 
1. A figura abaixo ilustra o Ciclo de Vida da Informação. 
Segurança e Auditoria de Sistemas 
 
23 
 
As fases I, II, III, IV, V e VI são denominadas, respectivamente 
(A) OBTENÇÃO, TRATAMENTO, ARMAZENAMENTO, DISTRIBUIÇÃO, USO e 
DESCARTE 
(B) TRATAMENTO, ARMAZENAMENTO, DISTRIBUIÇÃO, USO, DESCARTE e 
OBTENÇÃO 
(C) ARMAZENAMENTO, DISTRIBUIÇÃO, USO, DESCARTE, OBTENÇÃO e 
TRATAMENTO 
(D) DISTRIBUIÇÃO, USO, DESCARTE, OBTENÇÃO, TRATAMENTO e 
ARMAZENAMENTO 
(E) USO, DESCARTE, OBTENÇÃO, TRATAMENTO, ARMAZENAMENTO e 
DISTRIBUIÇÃO 
 
2. Analise as citações abaixo. 
(I) modelo automatizado ou manual, de processos responsáveis por coletar e 
transmitir dados que sejam úteis ao desenvolvimento de produtos ou 
serviços das empresas, organizações e de demais projetos. 
(II) área que emprega a computação como um meio para produzir, transmitir, 
armazenar e utilizar as informações. A tecnologia é empregada para 
executar o tratamento da informação, auxiliando quem usa a alcançar um 
determinado objetivo. 
 
As citações (I) e (II) estão associadas, respectivamente, aos conceitos de 
(A) Sistema de Apoio à Decisão (SAD) e Gestão do Conhecimento (GC) 
(B) Gestão do Conhecimento (GC) e Segurança da Informação (SGI) 
(C) Segurança da Informação (SGI) e Sistemas da Informação (SI) 
(D) Sistemas da Informação (SI) e Tecnologia da Informação (TI) 
Segurança e Auditoria de Sistemas 
 
24 
(E) Tecnologia da Informação (TI) e Sistema de Apoio à Decisão (SAD) 
 
3. Com relação à palavra INFORMAÇÃO, assinale V para a afirmativa verdadeira e F 
para a falsa. 
( ) a informação é o conhecimento que se torna público através dos meios de 
comunicação ou por meio da publicidade. 
( ) é um elemento fundamental no mundo dos negócios que tem por 
característica não interferir no processo de comunicação como um todo. 
( ) é a reunião ou o conjunto de dados e conhecimentos organizados, que possam 
constituir referências sobre um determinado acontecimento, fato ou 
fenômeno. 
 
As afirmativas são, respectivamente, 
(A) V, V e F 
(B) V, F e F 
(C) F, V e V 
(D) V, F e V 
(E) F, F e V 
 
4. Observe os fragmentos abaixo, relacionados à segurança da informação. 
• ___________________ – associada à ideia da capacidade de um sistema de 
permitir que alguns usuários acessem determinadas informações, ao 
mesmo tempo em que impede que outros, não autorizados, a vejam. Esse 
princípio é respeitado quando apenas as pessoas explicitamente 
autorizadas podem ter acesso à informação. 
• ___________________ – associada à ideia de que a informação deve estar 
correta, ser verdadeira e não estar corrompida. Esse princípio é respeitado 
quando a informação acessada está completa, sem alterações e, portanto, 
confiável. 
• ___________________ – associada à ideia de que a informação deve estar 
disponível para todos que precisarem dela para a realização dos objetivos 
empresariais. Esse princípio é respeitado quando a informação está 
acessível, por pessoas autorizadas, sempre que necessário. 
 
Os termos que completam as lacunas do fragmento acima são, respectivamente: 
(A) Legalidade, Confidencialidade e Integridade 
(B) Disponibilidade, Privacidade e Legalidade 
Segurança e Auditoria de Sistemas 
 
25 
(C) Confidencialidade, Integridade e Disponibilidade 
(D) Privacidade, Legalidade e Confidencialidade 
(E) Integridade, Disponibilidade e Privacidade 
 
5. A segurança da informação é garantida pela preservação de três aspectos 
essenciais, ilustrada no triângulo da figura abaixo. 
 
Os termos que substituem as palavras ALFA, BETA e GAMA são, respectivamente: 
(A) PRIVACIDADE, DISPONIBILIDADE e CONFIDENCIALIDADE 
(B) INTEGRIDADE, AUTENTICIDADE e PRIVACIDADE 
(C) DISPONIBILIDADE, CONFIDENCIALIDADE e AUTENTICIDADE 
(D) AUTENTICIDADE, PRIVACIDADE e INTEGRIDADE 
(E) CONFIDENCIALIDADE, INTEGRIDADE E DISPONIBILIDADE 
 
6. Relacione os termos da área de segurança listados abaixo com as respectivas 
descrições. 
a) TERMOS: 
(1) Incidente de segurança. 
(2) Ataque de ocorrência de um incidente de segurança. 
(3) Vulnerabilidade dos ativos da informação 
(4) Ameaça de ocorrência de um incidente de segurança 
(5) Probabilidade de ocorrência de um incidente de segurança 
(6) Impacto de um incidente de segurança 
(7) Análise de riscos 
(8) Risco 
 
b) DESCRIÇÕES: 
Segurança e Auditoria de Sistemas 
 
26 
( ) é a relação entre a probabilidade e o impacto. É a base para a 
identificação dos pontos que demandam por investimentos em 
segurança da informação. 
( ) é a chance de uma falha de segurança ocorrer, considerando-se as 
vulnerabilidades do ativo e as ameaças que venham a explorar essas 
vulnerabilidades. 
( ) é um tipo de ataque potencial a um ativo da informação, 
constituindo-se em um agente externo que, aproveitando-se da 
vulnerabilidade, pode quebrar um ou mais princípios da segurança da 
informação. É a causa potencial de um incidente indesejado, que 
pode resultar em um dado a um sistema em uma organização. 
( ) é a ocorrência de um evento que pode causar interrupções nos 
processos de negócio, em consequência da violação de algum dos 
aspectos tratados anteriormente. Cabe ressaltar que outros fatores, 
do tipo greves, manifestações e relacionadosàs intempéries da 
natureza, também podem gerar incidentes, além dos decorrentes da 
operação incorreta ou ataque ao sistema. 
( ) é definida como um processo para empreender a natureza do risco a 
fim de determinar o seu nível. Uma análise de riscos propicia a base 
para a estimativa do risco e para as decisões sobre o tratamento do 
risco. A análise de riscos inclui a estimativa do risco. 
( ) tipo caracterizado pela existência de um agente que busca obter 
algum tipo de retorno, atingindo algum ativo de valor. É uma 
tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso 
não autorizado a, ou fazer uso não autorizado de um ativo. 
( ) é medido pelas consequências que possa causar aos processos de 
negócio suportados pelo ativo da informação. 
( ) são pontos fracos que podem gerar de forma intencional ou não, a 
indisponibilidade e/ou quebra de confidencialidade ou de 
integridade. São as fraquezas presentes nos ativos de informação, 
que podem causar, intencionalmente ou não, a quebra de um ou 
mais dos três princípios de segurança da informação - 
confidencialidade, integridade e disponibilidade. 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
(A) ( 7 ), ( 2 ), ( 6 ), ( 3 ), ( 8 ), ( 5 ), ( 4 ) e ( 1 ) 
(B) ( 8 ), ( 5 ), ( 4 ), ( 1 ), ( 7 ), ( 2 ), ( 6 ) e ( 3 ) 
Segurança e Auditoria de Sistemas 
 
27 
(C) ( 5 ), ( 4 ), ( 1 ), ( 7 ), ( 2 ), ( 6 ), ( 3 ) e ( 8 ) 
(D) ( 4 ), ( 1 ), ( 7 ), ( 2 ), ( 6 ), ( 3 ), ( 8 ) e ( 5 ) 
(E) ( 1 ), ( 7 ), ( 2 ), ( 6 ), ( 3 ), ( 8 ), ( 5 ) e ( 4 ) 
 
7. Relacione o nível de classificação de segurança quanto à confidencialidade, 
com as respectivas características. 
a) NÍVEIS: 
(I) NÍVEL 1 – INFORMAÇÃO PÚBLICA. 
(II) NÍVEL 2 – INFORMAÇÃO INTERNA. 
(III) NÍVEL 3 – INFORMAÇÃO CONFIDENCIAL. 
(IV) NÍVEL 4 – INFORMAÇÃO SECRETA. 
 
b) CARACTERÍSTICAS: 
( ) Estão os ativos cujo acesso do público externo deve ser evitado, 
entretanto, caso venham a se tornar públicos, as consequências não 
são críticas. Exemplos: lista de telefones e ramais, agendas dos 
executivos. 
( ) O acesso interno e externo a essas informações é extremamente 
crítico para a organização. A quantidade de pessoas que tem acesso a 
essas informações deve ser muito controlada. A integridade das 
informações é vital. Devem existir restritas para uso dessas 
informações. Exemplos: informações de concorrências, contratos 
confidenciais, informações militares. 
( ) Estão os ativos públicos ou não classificados. São informações que se 
forem divulgadas fora da organização, não trarão impactos para o 
negócio. A integridade não é vital e o uso é livre. Exemplos: folder da 
organização e brochuras. 
( ) Estão os ativos de acesso restrito dentro da organização e protegidos 
do acesso externo. A integridade é vital. O acesso não autorizado 
destas informações pode comprometer as operações da organização 
e causar prejuízos financeiros. Exemplos: dados de clientes, senhas 
de acesso, informações sobre vulnerabilidades da organização. 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
(A) ( II ), ( IV ), ( I ) e ( III ) 
(B) ( II ), ( I ), ( IV ) e ( III ) 
(C) ( IV ), ( III ), ( II ) e ( I ) 
Segurança e Auditoria de Sistemas 
 
28 
(D) ( III ), ( IV ), ( I ) e ( II ) 
(E) ( III ), ( I ), ( IV ) e ( II ) 
 
8. Relacione tipos de auditoria com os respectivos conceitos e abrangências. 
a) TIPOS DE AUDITORIAS: 
(I) AUDITORIA EM EVENTOS ESPECÍFICOS 
(II) AUDITORIA NO AMBIENTE TECNOLÓGICO 
(III) AUDITORIA DE SISTEMAS EM PRODUÇÃO 
(IV) AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS 
 
b) CONCEITOS E ABRANGÊNCIAS: 
( ) Preocupa-se com os procedimentos e resultados dos sistemas já 
implantados, sua segurança, correção e tolerância a falhas. 
( ) Compreende a análise das causas, consequências e ações corretivas 
cabíveis em eventos não cobertos pelas auditorias anteriores. Podem 
ser eventos detectados por outros órgãos e entidades externas ou 
evento específico e localizado. 
( ) Compreende auditar todo o processo de construção de sistemas de 
informação, da fase de requisitos até a sua implantação, bem como o 
próprio processo ou metodologia de desenvolvimento. . 
( ) Compreende a análise do ambiente de informática em termos de 
estrutura organizacional, contratos, normas técnicas, custos, nível de 
utilização de equipamentos e planos de segurança e de contingência. 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
(A) ( III ), ( IV ), ( I ) e ( II ) 
(B) ( III ), ( I ), ( IV ) e ( II ) 
(C) ( II ), ( IV ), ( I ) e ( III ) 
(D) ( IV ), ( III ), ( I ) e ( II ) 
(E) ( IV ), ( I ), ( III ) e ( II ) 
 
9. Observe os fragmentos abaixo, relacionados aos quatro principais níveis com 
sistemas de informação em uma empresa. 
(I) Sistemas de nível ______________________ – nível responsável por ajudar 
os executivos a criarem estratégias a longo prazo para acompanharem as 
tendências do ambiente externo no que tange a mercado e consumo, por 
meio do chamado Sistema de Apoio ao Executivo (SAEx). 
Segurança e Auditoria de Sistemas 
 
29 
(II) Sistemas de nível ______________________ – nível responsável pela 
produção de relatórios periódicos sobre os procedimentos administrativos 
dos gerentes médios da organização, por do Sistema de 
Informações Gerenciais (SIG’s) e do Sistema de Apoio a Decisão (SAD). 
(III) Sistemas do nível do CONHECIMENTO – nível responsável por possibilitar a 
integração de novas tecnologias e informações a organização, por meio 
dos Sistemas de Trabalhadores de Conhecimento (STC) e Sistemas de 
Automação de Escritório (SAE). 
(IV) Sistemas do nível ______________________ – nível responsável por 
fornecer informações de fácil acesso, precisas e atualizadas por meio dos 
Sistemas de processamento de transações (SPT), que dão suporte aos 
gerentes operacionais, oferecendo respostas rápidas as questões de rotina 
da organização. 
 
Os termos que completam as lacunas do fragmento acima são, respectivamente: 
(A) ESTRATÉGICO, GERENCIAL e OPERACIONAL 
(B) ESTRATÉGICO, OPERACIONAL e GERENCIAL 
(C) GERENCIAL, ESTRATÉGICO e OPERACIONAL 
(D) OPERACIONAL, GERENCIAL e ESTRATÉGICO 
(E) OPERACIONAL, ESTRATÉGICO e GERENCIAL 
 
10. Observe os fragmentos abaixo. Conceitualmente, um planejamento estratégico é 
realizado em três etapas básicas 
(I) ___________________ – aqui a situação atual da organização é analisada 
criticamente em relação aos objetivos propostos; 
(II) ___________________ – aqui são concebidos os cenários futuros para a 
organização e estabelecidos novos objetivos estratégicos para os anos 
futuros; 
(III) ___________________ – aqui os objetivos estratégicos estabelecidos são 
desdobrados em planos de ações para cada área de organização (finanças, 
marketing, vendas, recursos humanos, tecnologia e produção). 
 
Os termos que completam as lacunas do fragmento acima são, respectivamente: 
(A) DIAGNÓSTICO, PROSPECÇÃO e ELABORAÇÃO DE PLANOS 
(B) DIAGNÓSTICO, ELABORAÇÃO DE PLANOS e PROSPECÇÃO 
(C) ELABORAÇÃO DE PLANOS, PROSPECÇÃO e DIAGNÓSTICO 
(D) PROSPECÇÃO, ELABORAÇÃO DE PLANOS e DIAGNÓSTICO 
Segurança e Auditoria de Sistemas 
 
30 
(E) PROSPECÇÃO, DIAGNÓSTICO e ELABORAÇÃO DE PLANOS 
 
II – QUESTÕES DISCURSIVAS 
1. No contexto da Auditoria Interna apresente diferencie as modalidades 
conhecidas por Auditoria Contábil, Auditoria de Sistemas, Auditoria de 
Qualidade, Auditoria Ambiental e Auditoria de Gestão. 
Resposta: 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
________________________________________________________________________________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
 
2. Explique o conceito de Auditoria Externa. 
Resposta: 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
Segurança e Auditoria de Sistemas 
 
31 
2 Segurança no Desenvolvimento de Software 
 
Segurança e Auditoria de Sistemas 
 
32 
 
Nesta unidade, veremos os fundamentos sobre a segurança no 
desenvolvimento de software, com enfoque nos conceitos básicos sobre a proteção 
de estações de trabalho, antivírus, firewall pessoal, controle de dispositivos USB, 
identificação de códigos maliciosos, técnicas como phishing e spam e proteção Web. 
Objetivos da unidade: 
Compreender os fundamentos sobre a segurança no desenvolvimento de 
software. 
Plano da unidade: 
2.1 Proteção de estações de trabalho 
2.2 Antivírus, firewall pessoal, controle de dispositivos USB 
2.3 Identificação de códigos maliciosos (vírus, worms, adware, trojan, 
spyware) 
2.4 Técnicas como phishing e spam 
2.5 Proteção Web: proxy, filtro de conteúdo, proxy reverso, firewall de 
aplicação Web. 
Bons estudos! 
 
 
 
Segurança e Auditoria de Sistemas 
 
33 
 
 Proteção de estações de trabalho 
 
A proteção de estações de trabalho constitui o primeiro passo no que diz 
respeito à segurança do ambiente. Na proteção do sistema corporativo, uma boa 
política de segurança começa pelo computador individual, considerando as 
tentativas de acesso indesejado que uma rede de computadores sofre no dia a dia. 
Ao avaliar a segurança de uma estação de trabalho, deve-se considerar: 
✓ Um usuário não autorizado não pode acessar fisicamente uma 
máquina e inicializá-la como um usuário simples ou no modo de 
recuperação sem uma senha. 
✓ A proteção da senha para o BIOS pode impedir que usuários não 
autorizados tenham acesso físico aos seus sistemas, de inicializar 
a máquina com mídia removível ou obter privilégios. 
✓ Uma senha constitui o principal método para verificar a 
identidade de usuários. É por isso que a segurança da senha é tão 
importante para a proteção do usuário, da estação de trabalho e 
da rede. 
 Senhas devem ser seguras, inclusive seguindo o conceito 
da Microsoft de senhas fortes, ou seja, formadas por 
letras maiúsculas, minúsculas e algarismos. 
 Palavras como nomes próprios, palavras de dicionário ou 
até termos de shows de televisão ou novelas devem ser 
evitados. 
 Não Use Palavras em Idiomas Estrangeiros — Programas 
de cracking de senhas frequentemente checam listas de 
palavras que incluem dicionários de muitos idiomas. 
Confiar em idiomas estrangeiros para proteger senhas 
não é seguro. 
 Não Use Informações Pessoais —Se o atacante souber 
quem você é, ele terá facilidade em descobrir sua senha. 
 Não Anote Sua Senha — Nunca guarde uma senha em 
papel. É bem mais seguro memorizá-la. 
 São critérios recomendados para criação de senhas 
fortes: 
(1) Criar uma senha com no mínimo 8 caracteres. 
Quanto mais longa a senha, melhor. Se uma pessoa 
Segurança e Auditoria de Sistemas 
 
34 
estiver usando senhas MD5, deve ter 15 ou mais 
caracteres. Para senhas DES, use o tamanho máximo 
(8 caracteres). 
(2) Misturar leras em caixa alta e baixa. Em geral, os 
sistemas são sensíveis a letras maiúsculas e 
minúsculas. 
(3) Misturar letras e números — adicionar números a 
senhas, especialmente no meio delas (não apenas no 
começo e fim), pode aumentar a força da senha. 
(4) Incluir caracteres não alfanuméricos — caracteres 
especiais como &, $ e > podem aumentar bastante a 
força de uma senha (obs: critério não é possível se 
usar senhas DES). 
(5) Escolher uma Senha que posteriormente possa ser 
lembrada — A melhor senha do mundo de nada 
adianta se tempos depois não conseguir lembrá-la. 
Uma boa regra é usar acrônimos ou outros 
dispositivos mneumônico para ajudar na 
memorização das senhas. 
(6) Maiores informações sobre o tema podem ser 
encontradas das págs. 59 a 66 em Cartilha de 
Segurança para a Internet publicada pela Cert.br - 
Disponível em https://cartilha.cert.br/livro/cartilha-
seguranca-internet.pdf 
✓ Usuários do sistema que possuam uma conta de acesso devem 
ser controlados, no sentido de se saber o grau de controle 
administrativo que eles possuem. 
✓ O responsável pelo sistema deve saber os serviços que estão 
sendo executados no sistema e na rede. 
✓ No que diz respeito ao firewall, o administrador deve saber que 
tipo foi instalado e se o firewall é realmente necessário. 
✓ O administrador do sistema e da rede deve ter conhecimento de 
quais ferramentas estão sendo utilizadas e quais devem ser 
evitadas. 
 
 
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
Segurança e Auditoria de Sistemas 
 
35 
 
 Antivírus, firewall pessoal, controle de dispositivos USB 
 
➢ Antivírus 
De acordo com o site https://canaltech.com.br, sempre que se fala em um 
antivírus para proteger uma máquina contra ameaças virtuais, surgem pessoas com 
vários argumentos contrários, como os descritos a seguir. 
• Uns dizem que não usam esse tipo de software, pois navegam 
com cuidado, não clicam em links sem saber do que se tratam e 
“não nasceram ontem”. 
• Outros alegam que antivírus são programas que liberam uma 
versão gratuita com poucos recursos, para forçar o usuário a 
pagar por uma assinatura e obter o pacote completo de 
proteção, sendo contra esse tipo de tática. 
• Será que dispensar o uso de antivírus é mesmo uma boa ideia, 
mesmo que se use a internet de maneira consciente? A resposta 
indica que acreditar que um antivírus não é necessário é um 
mito, especialmente se o internauta é usuário de Windows. 
Vulnerabilidades nos sistemas operacionais são exploradas por 
hackers e crackers a todo momento, e mesmo os usuários mais 
cautelosos podem cair em golpes bem arquitetados. 
 
Apesar de muita gente pensar que somente pessoas ingênuas e 
inexperientes caem nos golpes envolvendo malwares e phishing, como aqueles que 
baixam arquivos sem saber do que se tratam, que abrem links de spam que chegam 
por e-mail, ou que deixam o plugin do Java habilitado no navegador, saibam que 
essas não são as únicas formas de propagação de arquivos maliciosos. 
Falhas de segurança nos browsers são exploradas por hackers, e o 
internauta pode ser prejudicado. Assim que os desenvolvedores dos navegadores 
identificam falhas, elas costumam ser corrigidas rapidamente, mas, até lá, um leque 
de usuários já chegou a ser afetado, muitas vezes, sem saber. Em consequência, o 
computador pode estar infectado somente pelo ato de o internauta visitar um 
website, mesmo aqueles legítimos e aparentemente seguros. Em sites que exibem 
publicidade, o canal pode estar vulnerável e ser aproveitado pelos cibernéticos 
malfeitores. 
Segurança e Auditoria de Sistemas 
 
36 
Disponíveis na internet, existem diversos tipos de antivírus, sendo que 
muitos não oferecem uma proteção tão ampla e, mesmo instalados e ativos, não 
protegem o computador de forma integral. Por isso, escolher um antivírus 
conceituado constitui a melhor saída.Dessa forma, antivírus será capaz de detectar 
atividades anormais e interromper a ação indesejada, informando ao usuário sobre o 
que está ocorrendo. Daí que, mesmo que o internauta navegue com cautela, o 
antivírus funciona como a camada final da proteção, garantindo a proteção lógica da 
máquina. 
Alguns internautas argumentam que com a instalação de antivírus, a 
máquina fica mais lenta. Realmente, alguns antivírus são programas complexos e 
que pesam no desempenho, acabando por interferir na performance do 
computador. Além disso, versões gratuitas de alguns na versão “free” são repletas 
de anúncios e propagandas induzindo o usuário à compra de pacotes adicionais do 
serviço, o que vem a atrapalhar as rotinas diárias dos usuários. 
Entretanto, o cenário vem melhorando. Na medida em que os 
computadores no mercado ficam mais velozes, os antivírus acabam rodando com 
maior facilidade, além do que a própria Microsoft com o Windows já oferece um 
antivírus nativo (o Windows Defender), bem mais “leve” do que outros programas 
para esta plataforma. Para complementar a defesa do ambiente que já vem 
incorporada ao sistema operacional, o internauta pode instalar somente um 
programa de defesa contra malwares, complementando a proteção, como ccleaner. 
Convém destacar que mesmo que o internauta seja um usuário cuidadoso 
e atento quanto a possíveis ameaças, ele deve contar com um antivírus para 
proteção de seu ambiente de trabalho, todo cuidado é pouco quando o assunto é 
segurança na internet, pois nenhum software de proteção é perfeito, não há 
segurança 100%, existindo muitos malwares que passam despercebidos na varredura 
por esse tipo de programa. 
No caso de outros sistemas operacionais como Linux e Mac, embora o 
índice de contaminação seja bem inferior, sempre é prudente a instalação de um 
programa antivírus. 
 
➢ Firewall pessoal 
Uma vez configurados os serviços de rede necessários, é importante 
implementar um firewall. 
Firewalls evitam que pacotes de rede acessem a interface de rede do 
sistema. Se for feito um pedido a uma porta sendo bloqueada pelo firewall, este será 
ignorado. Se o serviço estiver escutando numa destas portas bloqueadas, não 
Segurança e Auditoria de Sistemas 
 
37 
receberá os pacotes e será efetivamente desabilitado. Por este motivo, deve-se 
tomar cuidado ao configurar um firewall para bloquear acesso a portas não usadas, 
para não bloquear acesso a portas usadas por serviços configurados. 
Maiores informações sobre o tema podem ser encontradas na pág. 57 em 
Cartilha de Segurança para a Internet publicada pela Cert.br - Disponível em 
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf 
 
➢ Controle de dispositivos USB 
Pendrives apresentam uma grande vantagem, que é o fato de se 
comportarem como uma partição do computador, permitindo seu o uso do 
dispositivo do modo que o usuário bem entender, transferindo dados e executando 
aplicativos. O detalhe é que o uso pode acarretar problemas, sendo possível instalar 
arquivos maliciosos no dispositivo, danificando o sistema em que ele se conecta 
enquanto informações importantes podem ser roubadas com extrema facilidade. 
O site disponível em 
https://www.tecmundo.com.br/tutorial/25412-como-gerenciar-acessos-a-portas-usb.htm, 
apresenta um artigo interessante que trata de detalhes sobre o tema “Como 
gerenciar acessos a portas USB”. 
Na nuvem do Symantec Endpoint Protection Small Business Edition (SEP 
SBE), o Controle de dispositivos USB permite que os administradores impeçam a 
injeção de um código malicioso e o roubo de propriedade intelectual por meio do 
controle do uso pelo funcionário de dispositivos removíveis de armazenamento USB. 
Mouses e teclados USB não são afetados pelo Controle de dispositivos USB, pois não 
fornecem armazenamento de dados. A configuração do Controle de dispositivos USB 
faz parte de uma nova política ou de uma política existente do Endpoint Protection. 
As políticas do Endpoint Protection permitem que você imponha os seguintes níveis 
de segurança sobre os dispositivos de armazenamento USB baseados em grupos. 
Maiores informações em - disponível em 
https://support.symantec.com/pt_BR/article.HOWTO98518.html, e em 
 - disponível em http://docs.trendmicro.com/all/smb/wfbs-
services/Server/Dell/v5.2/pt/docs/WebHelp/Device_Control.htm, ambos acesso em 
30/11/2018 
 
 
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://www.tecmundo.com.br/tutorial/25412-como-gerenciar-acessos-a-portas-usb.htm
https://support.symantec.com/pt_BR/article.HOWTO98518.html
http://docs.trendmicro.com/all/smb/wfbs-services/Server/Dell/v5.2/pt/docs/WebHelp/Device_Control.htm
http://docs.trendmicro.com/all/smb/wfbs-services/Server/Dell/v5.2/pt/docs/WebHelp/Device_Control.htm
Segurança e Auditoria de Sistemas 
 
38 
 
 Identificação de códigos maliciosos (vírus, 
 worms, adware, trojan, spyware) 
 
➢ O que são os códigos maliciosos (Malware)? 
É um tipo de código de computador ou script da Web nocivo que tem como 
objetivo criar vulnerabilidades no sistema, gerando backdoors, violações de 
segurança, roubo de dados e informações, além de outros danos possíveis sistemas 
de arquivos e computadores. É um tipo de ameaça que o software antivírus pode 
não conseguir bloquear sozinho. Código malicioso ou Malware (Malicious Software) 
constitui um termo genérico que abrange todos os tipos de programas 
especificamente desenvolvidos para executar ações maliciosas em um computador. 
Na literatura de segurança o termo malware também é conhecido por "software 
malicioso". 
Os principais motivos que levam um hacker a desenvolver e a propagar 
códigos maliciosos são a obtenção de vantagens financeiras, a coleta de informações 
confidenciais, o desejo de autopromoção e o vandalismo. Além disto, os códigos 
maliciosos são muitas vezes usados como intermediários e possibilitam a prática de 
golpes, a realização de ataques e a disseminação de spam. 
São alguns exemplos de malware são: 
• vírus - são programas que executam ações não solicitadas e 
se multiplicam. É um programa ou parte de um programa de 
computador, normalmente malicioso, que se propaga 
inserindo cópias de si mesmo e se tornando parte de outros 
programas e arquivos. 
• vírus de script – escrito em linguagem de script, como 
VBScript e JavaScript, e recebido ao acessar uma página 
Web ou por e-mail, como um arquivo anexo ou parte do 
próprio e-mail escrito em formato HTML. Pode ser 
automaticamente executado, dependendo da configuração 
do navegador Web e do programa leitor de e-mails do 
usuário. 
• vírus de macro - tipo específico de vírus de script, escrito em 
linguagem de macro, que tenta infectar arquivos 
manipulados por aplicativos que utilizam esta linguagem 
Segurança e Auditoria de Sistemas 
 
39 
como, por exemplo, os que compõe o Microsoft Office 
(Excel, Word e PowerPoint, entre outros). 
• vírus de telefone celular - se propaga entre celulares por 
meio da tecnologia bluetooth ou de mensagens MMS. A 
infecção ocorre quando um usuário permite o recebimento 
de um arquivo infectado e o executa. Após infectar o celular, 
o vírus pode destruir ou sobrescrever arquivos, remover ou 
transmitir contatos da agenda, efetuar ligações telefônicas e 
drenar a carga da bateria, além de tentar-se propagar para 
outros celulares. 
• worms (vermes) - programa que cria cópias de si mesmo, 
enviando cópias de si mesmo de computador para 
computador. Ele pode ser usado para atacar websites, 
enviar spams, abrir portas para novos worms ou explorar 
vulnerabilidade. 
• bots – de acordo com o site - disponível 
em https://www.techtudo.com.br/noticias/2018/07/o-que-
e-bot-conheca-os-robos-que-estao-dominando-a-
internet.ghtml - acesso em 30/11/2018, na prática, bots 
constituem um tipo de programa de computador criado para 
rodar pela Internet realizando tarefas repetitivas eautomatizadas. Um exemplo simples de como essa 
tecnologia facilita a vida digital pode ser visto na timeline do 
Facebook. Se ela não fosse automatizada, para atualizá-la 
seria preciso que os usuários visitassem cada página, grupo 
ou amigos para saber das ótimas fotos, notícias e postagens. 
0 "robô" que controla o Feed de Notícias faz esse trabalho 
pelos assinantes. 
• Backdoors - deixa uma porta aberta no computador para o 
invasor acessá-lo quando quiser. Chamado de porta dos 
fundos, ele deixa uma brecha no computador que está 
sendo espionado, onde o invasor pode entrar na hora que 
quiser, por meio de inclusões de serviços criados ou 
modificados para este fim. 
(1) trojans ou cavalos de tróia - programas executáveis 
usados na invasão de computadores. É um programa 
https://www.techtudo.com.br/noticias/2018/07/o-que-e-bot-conheca-os-robos-que-estao-dominando-a-internet.ghtml
https://www.techtudo.com.br/noticias/2018/07/o-que-e-bot-conheca-os-robos-que-estao-dominando-a-internet.ghtml
https://www.techtudo.com.br/noticias/2018/07/o-que-e-bot-conheca-os-robos-que-estao-dominando-a-internet.ghtml
Segurança e Auditoria de Sistemas 
 
40 
que além de executar funções para as quais foi 
aparentemente projetado, também executa outras 
funções, normalmente maliciosas e sem conhecimento 
do usuário. Há diferentes tipos de trojans, classificados 
de acordo com as ações maliciosas que costumam 
executar ao infectar um computador. 
(2) Trojan Downloader: Instala outros códigos maliciosos, 
obtidos de sites na Internet. 
(3) Trojan Dropper: Instala outros códigos maliciosos, 
embutidos no próprio código do trojan. 
(4) Trojan Backdoor: Inclui backdoors, possibilitando o 
acesso remoto do atacante ao computador.Trojan DoS: 
Instala ferramentas de negação de serviço e as utiliza 
para desferir ataques. 
(5) Trojan Destrutivo: Altera/apaga arquivos e diretórios, 
formata o disco rígido e pode deixar o computador fora 
de operação. 
(6) Trojan Clicker: Redireciona a navegação do usuário para 
sites específicos, com o objetivo de aumentar a 
quantidade de acessos a estes sites ou apresentar 
propagandas. 
(7) Trojan Proxy: Instala um servidor de proxy, 
possibilitando que o computador seja utilizado para 
navegação anônima e para envio de spam. 
(8) Trojan Spy: Instala programas spyware e os utiliza para 
coletar informações sensíveis, como senhas e números 
de cartão de crédito, e enviá-las ao atacante. 
(9) Trojan Banker ou Bancos: Coleta dados bancários do 
usuário, através da instalação de programas spyware 
que são ativados quando sites de Internet Banking são 
acessados. É similar ao Trojan Spy, porém com 
objetivos mais específicos. 
• spyware - programa projetado para monitorar todas as 
atividades do sistema e enviar para terceiros. É um 
programa espião, onde ele pode ser usado de forma legítima 
ou maliciosa dependendo de como ele é instalado, das ações 
Segurança e Auditoria de Sistemas 
 
41 
que são realizadas, do tipo de informação monitorada e do 
uso que é feito por quem recebe as informações coletadas. 
• adware - tipo especial de spyware, são programas que 
secretamente obtêm informações pessoais do computador e 
as envia para outro computador através da internet, 
geralmente para fins de propaganda. Muitas vezes isso 
ocorre através da coleta de informações por meio de um 
browser, monitorando hábitos de navegação, como uma 
busca sobre um carro específico, assim vai coletando dados 
sobre todo o seu comportamento na internet. 
• keyloggers – são capturadores de tela, faz cópias das teclas 
digitadas no teclado. Em decorrência desse malware, os 
bancos criaram uma espécie de teclado virtual. Constitui 
uma praga que é capaz de capturar e armazenar as teclas 
digitadas pelo usuário no teclado do computador. Sua 
ativação é condicionada a ação prévia do usuário, como 
acesso no bankline e digitando a agência e conta. 
• rootkits - constitui um conjunto de técnicas que podem 
esconder o próprio invasor ou outro código malicioso em um 
computador comprometido. Esse conjunto de técnicas e 
programas fornecidos pelo rootkits pode ser usado para: 
✓ Remover evidências em arquivos de log. 
✓ Instalar outro código malicioso, como backdoors, 
para assegurar o acesso futuro computador 
infectado. 
✓ Esconder atividades e informações, como arquivos, 
processos, chaves de registro, conexão de rede e 
etc. 
✓ Mapear vulnerabilidade nos computados que 
estão na mesma rede. 
✓ Capturar informações da rede onde o computador 
está localizado, como histórico, conversas pessoais 
e etc. 
 
Scripts, worms e vírus podem danificar o computador se encontrarem 
pontos de entrada para chegar aos seus preciosos dados. Visitar sites infectados ou 
clicar em links ou anexos de e-mail maliciosos são as principais portas de entrada 
Segurança e Auditoria de Sistemas 
 
42 
para que o código malicioso invada seu sistema. Os softwares antivírus com 
atualizações automáticas, recursos de remoção de malware, segurança de 
navegação na Web e a capacidade de detectar todos os tipos de infecções são a 
melhor defesa. Em consequência, para que um usuário de computador possa manter 
sua máquina protegida e segura, deve instalar programas e manter ativos serviços 
como antivírus e firewall, o que vai permitir que o computador fique livre de vírus e 
ataques. 
Maiores informações sobre o tema podem ser encontradas das págs. 23 a 
31 em Cartilha de Segurança para a Internet publicada pela Cert.br - Disponível em 
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf 
 
 Técnicas como phishing e spam 
 
❖ Phishing 
De acordo com o site - disponível em 
https://www.significados.com.br/phishing/, phishing é uma técnica de fraude online, 
utilizada por criminosos no mundo da informática para roubar senhas de banco e 
demais informações pessoais, usando-as de maneira fraudulenta. 
A expressão phishing surgiu a partir da palavra em inglês "fishing", que 
significa "pescando". Ou seja, os criminosos utilizam esta técnica para "pescar" os 
dados das vítimas que "mordem o anzol" lançado pelo phisher ("pescador"), nome 
que é dado a quem executa um phishing. 
Uma tentativa de phishing pode acontecer através de websites ou e-mails 
falsos, que imitam a imagem de uma empresa famosa e confiável para poder chamar 
a atenção das vítimas. Normalmente, os conteúdos dos sites ou e-mails com phishing 
prometem promoções extravagantes para o internauta ou solicitam para façam uma 
atualização dos seus dados bancários, evitando o cancelamento da conta, por 
exemplo. 
O internauta mais desatento e desinformado, quando cai nessa armadilha, 
é redirecionado para uma página na web semelhante ao da empresa ou banco 
original, onde deverá informar os seus dados pessoais e bancários. A vítima pensa 
estar apenas confirmando as suas informações junto ao banco, quando na verdade 
está enviando todos os dados para um criminoso. 
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://www.significados.com.br/phishing/
Segurança e Auditoria de Sistemas 
 
43 
O objetivo do phishing é utilizar os dados coletados pelos criminosos para 
realizar compras pela internet, transferências bancárias ou mesmo limpar toda a 
conta bancária da vítima. 
Muitas empresas, atualmente, desenvolvem softwares antiphishing, que 
oferecem filtros mais eficientes de correio spam e notificações sobre qualquer tipo 
de suspeita de irregularidade no conteúdo do correio eletrônico. 
De acordo com o site - disponível em 
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-
comuns.ghtml, acesso em 30/11/2018, phishing é uma estratégia muito usada na 
propagação de malwares, como vírus e trojans. Frequentemente, usa táticas de 
engenharia social para abordar as vítimas, fazendo com que suas contas de redes 
sociais sejam infectadas e usadas para espalhar o golpe. Seu método mais comum deespalhar softwares maliciosos é por meio do envio de e-mails de spam, que 
direcionam o usuário para sites contaminados. Com o tempo, os golpes foram se 
diversificando e, até mesmo, usando eventos reais para se aproveitar da curiosidade 
dos internautas desprevenidos. 
O phishing é um dos ataques mais corriqueiros na Internet ultimamente, 
pois se trata de um golpe relativamente fácil de ser aplicado e atinge diversos 
usuários simultaneamente. Basta uma pessoa clicar em um link malicioso para ter 
dados pessoais roubados, como senhas de banco e, dependendo do tipo, até 
espalhar vírus e trojans à lista de contatos do celular ou redes sociais. 
Os programas de antivírus podem ajudar contra os ataques, principalmente 
as empresas. Entretanto, conhecer como os golpes de phishing são aplicados 
também é uma maneira eficiente de prevenir possíveis ataques e não se tornar mais 
uma vítima. 
Os criminosos se aproveitam dos malwares e vírus que andam espalhados 
pela internet para poder infectar e modificar o browser do computador do usuário. 
Estando infectado, quando o internauta digita o endereço eletrônico de um site, o 
navegador redireciona a página para um site falso, mas com as mesmas 
características estéticas do original. O internauta pensa que está no website correto, 
já que não clicou em nenhum link estranho e digitou o endereço diretamente na URL 
do browser, e acaba fornecendo os seus dados bancários e pessoais mais facilmente, 
sem desconfiar que está sofrendo um golpe. 
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml
Segurança e Auditoria de Sistemas 
 
44 
A seguir, em conformidade com o site - disponível em 
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-
comuns.ghtml, acesso em 30/11/2018, vejamos uma lista dos dez tipos de phishing 
mais aplicados no momento. 
(1) Falsos e-mails ou mensagens 
✓ Esse é o tipo phishing mais comum e os outros casos do 
golpe acabam sendo uma variante dele. 
✓ Os hackers enviam e-mails que parecem ser de empresas 
reais, como bancos. 
✓ Um exemplo clássico: o usuário recebe uma mensagem 
dizendo que seus dados precisam ser atualizados, pois a 
conta bancária pode ser desativada. Se o destinatário não 
percebe que se trata de um golpe, ele pode acabar clicando 
em um link que leva a um endereço fraudulento. A partir 
desse momento, tudo que é digitado passa a ser coletado 
pelos criminosos cibernéticos. As mensagens podem chegar 
também no celular, pelo WhatsApp. 
(2) Phishing do Dropbox 
✓ Se um internauta tem uma conta no Dropbox e armazena 
arquivos importantes e particulares por lá, ele deve prestar 
atenção aos e-mails que recebe. Os criminosos usam falsos 
endereços que parecem vir da plataforma para levar o 
usuário a fazer login em um site fraudulento. Se receber 
uma mensagem e ficar na dúvida sobre a veracidade do 
remetente, não clique em nada e procure contatar 
diretamente o serviço para comprovar a mensagem. 
(3) Ataque aos arquivos do Google Docs 
✓ Como cada vez mais os usuários e até empresas estão 
armazenando documentos importantes na nuvem do Google 
Drive, os criminosos cibernéticos têm muito interesse em 
acessar a plataforma para roubar diferentes tipos arquivos, 
incluindo fotos pessoais. Assim, o plano é basicamente o 
mesmo do phishing do Dropbox: um falso e-mail que parece 
ser da equipe do Google pede para que o usuário clique em 
um link falso. 
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml
Segurança e Auditoria de Sistemas 
 
45 
(4) Peixe Grande 
✓ Quando os criminosos querem atingir especificamente 
empresas, eles procuram atacar com phishing primeiro os 
funcionários que ocupam os altos cargos da empresa. 
Quando conseguem ter acesso a esses e-mails, logo várias 
mensagens são espalhadas, solicitando arquivos 
importantes aos colaboradores, que respondem 
prontamente aos seus superiores. Assim, em questão de 
minutos, os criminosos passam a ter acesso às informações 
confidenciais da empresa. Além do roubo de dados, podem 
acontecer perdas financeiras. 
(5) Phishing por ransomware 
✓ Nesse tipo de ataque de phishing, o usuário também recebe 
um link fraudulento, mas em vez de ser redirecionado a um 
site falso, ele acaba instalando um malware no computador, 
muitas vezes em forma de ransomware. A intenção aqui não 
é exatamente roubar apenas as informações, mas também 
as máquinas, que são virtualmente sequestradas pelos 
criminosos. Para ter acesso a todos seus arquivos 
novamente, é preciso pagar por um resgate aos hackers. O 
ransomware é um tipo de malware que sequestra o 
computador da vítima e cobra um valor em dinheiro pelo 
resgate, geralmente usando a moeda virtual bitcoin, que 
torna quase impossível rastrear o criminoso que pode vir a 
receber o valor. Este tipo de "vírus sequestrador" age 
codificando os dados do sistema operacional de forma com 
que o usuário não tenha mais acesso. 
(6) Pharming 
✓ O Pharming é um tipo bem perigoso de phishing, pois ele 
ataca o servidor DNS, principalmente de empresas. O ataque 
pode ser ou com a instalação de um cavalo de troia em 
algum computador host ou diretamente na rede. A partir daí 
qualquer endereço de site, mesmo que pareça confiável, 
pode levar a páginas fraudulentas sem que o usuário 
desconfie. Assim, os hackers conseguem coletar informações 
de várias pessoas ao mesmo tempo. Os programas de 
Segurança e Auditoria de Sistemas 
 
46 
antivírus são muito importantes para evitar esse tipo de 
contaminação. 
✓ O Pharming é considerado uma "evolução" do phishing, 
contendo o mesmo objetivo de obter informações pessoas 
das vítimas, mas sem a necessidade de "pescar" o internauta 
com um e-mail ou link falso. 
(7) Bitcoins 
✓ As criptomoedas estão em alta e os criminosos cibernéticos 
logo perceberam que seria uma um meio interessante de 
aplicar golpes por phishing. Os hackers têm utilizado truques 
como sites disfarçados de serviços de câmbio ou e-mails 
com oportunidade de compra que são tentadoras, mas 
totalmente falsas. 
✓ Bitcoin (BTC) é um tipo de moeda virtual, gerada por 
computadores especializados. A criptomoeda não é 
controlada por bancos centrais, governos e qualquer tipo de 
instituição de regulamentação monetária. Descentralizada e 
construída em torno da ideia de privacidade e de um 
mercado que se auto gerencia, o Bitcoin desperta 
curiosidade e interesse por conta da valorização diante do 
dinheiro tradicional. Além disso, chama a atenção a 
liberdade e ausência de taxas bancárias e impostos, além da 
ideia, hoje não mais viável, de se gerar dinheiro apenas 
usando o computador. 
(8) Spear Phishing 
✓ O spear phishing (traduzido literalmente do inglês como 
"pesca com arpão"), é uma variante mais eficaz do phishing, 
onde os phishers conseguem determinar quais os usuários 
que possuem relação com determinada entidade financeira. 
Desse modo, os e-mails são enviados de maneira 
"personalizada", aumentando consideravelmente a margem 
de êxito da fraude. 
✓ Esse tipo de golpe visa atingir um número menor de 
pessoas, mas a chance de sucesso termina sendo maior. São 
enviadas a poucas pessoas mensagens personalizadas, com 
informações bem convincentes, como nome, sobrenome e 
outros dados, que levam o usuário a acreditar que está 
Segurança e Auditoria de Sistemas 
 
47 
recebendo um e-mail legítimo de alguém familiar. Os 
golpistas podem até falsificar endereços de sites conhecidos, 
o que dificulta perceber que está se caindo em um golpe. 
(9) Smishing SMS 
✓ O alvo aqui são exclusivamente os celulares. O smishing é 
um tipo de phishing que chega por mensagens de texto 
supostamente enviadas por empresas conhecidas