Prévia do material em texto
WBA0459_v1.0 INTRODUÇÃO À COMPUTAÇÃO FORENSE APRENDIZAGEM EM FOCO 2 APRESENTAÇÃO DA DISCIPLINA Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias À medida que as pessoas e empresas ficam mais dependentes de tecnologia e do uso da internet, automaticamente os crimes digitais também aumentam, trazendo maior insegurança e ao mesmo tempo uma busca constante por tecnologias e metodologias de proteção de informações e dados. “A segurança da informação” como área responsável pela segurança de toda a corporação busca criar metodologias de proteção baseadas em boas práticas de mercado, considerando ferramentas, políticas, normas e conscientização. Uma das metodologias mais importantes considerando a segurança é uma gestão de riscos de forma completa e eficiente, e, neste processo, a computação Forense entra como um grande aliado. O aumento dos crimes digitais e a necessidade de uma análise e investigação de forma mais eficaz para montar um plano de ação de prevenção vira uma grande arma contra os atacantes, evitando que novas invasões já mapeadas voltem a ocorrer, ou, caso ocorram, seu tratamento seja mais rápido e eficiente. Nesta disciplina, será possível entender um pouco mais sobre a computação Forense, em que ela se torna importante no campo da segurança digital e segurança da informação, os processos inerentes à análise forense, bem como a identificação de ataques, sua reconstituição e a recuperação de desastres. Bons estudos! 3 INTRODUÇÃO Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira direta e assertiva, os principais conceitos inerentes à temática abordada na disciplina. Além disso, também pretende provocar reflexões que estimulem a aplicação da teoria na prática profissional. Vem conosco! TEMA 1 Computação forense para segurança digital ______________________________________________________________ Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias 5 DIRETO AO PONTO A segurança da informação (SI) visa a proteção dos ativos de uma organização. É focada em informações, dados, pessoas, processos e tecnologia. Apesar de também prever tecnologia, é uma ciência à parte, pois foca na organização como um todo e não apenas nos ativos tecnológicos. A parte de SI que trata especificamente da tecnologia é a segurança digital. Uma estrutura de segurança bem elaborada passa por um sistema de gestão de segurança da informação (SGSI). Esta ciência engloba informações e pessoas, e, desta forma, considera-se informação não apenas o que é escrito ou digitalizado, mas também o que é falado. Invasões de sistemas e fraudes podem ser resultado de exploração de vulnerabilidades sistêmicas e de hardware, assim como podem ser consequência de engenharia social, que é quando os atacantes se utilizam dos colaboradores para invadirem a rede da empresa e então cometerem fraudes, roubo de dados e informações, e outros. Como exemplo de engenharia social, podemos citar o Phishing, que se trata de um e-mail falso que possui a intenção de induzir o usuário a clicar em links ou efetuar downloads de anexos maliciosos. Desta forma, uma SI bem amarrada deve levar em consideração a importância das pessoas em cada um dos processos e no uso de tecnologias da informação pensando em segurança digital. Caso uma invasão ocorra ou um colaborador viole alguma política de segurança da informação (PSI), uma análise e investigação do incidente devem ser realizadas, e, neste caso, entra a forense computacional para a investigação e execução da perícia. Esta, assim como as demais ciências forenses, possui um processo- padrão, no entanto, as etapas desse processo são denominadas de diversas formas. Contudo, todos correspondem basicamente 6 a quatro etapas: coleta de dados e vestígios; o exame para identificar as informações importantes; a análise das informações e correlação dos eventos importantes; e a apresentação dos resultados obtidos, a documentação dos resultados, da metodologia e das ferramentas utilizadas. A reconstituição do crime é realizada e o laudo elaborado com todas as informações necessárias para o auxílio da elucidação do ato delituoso. A forense computacional, computação forense, perícia forense digital ou ainda perícia forense computacional são a mesma coisa, sendo assim, possuem o mesmo conceito, ou seja, é a ciência que trata dos crimes que ocorrem com o uso ou se utilizam de recursos computacionais, utiliza métodos técnicos e científicos na busca por evidências tecnológicas para servirem de provas em crimes e/ou atos ilícitos. Todos os dispositivos que envolvem tecnologia, como impressoras, televisores smart, câmeras IP, entre outros, podem ser analisados, pois possuem alguma forma de registro interno, sobre processamento e alterações. Enfim, há diversas maneiras de procurar por vestígios em meios digitais, e muitos recursos, como ferramentas, que podem auxiliar neste tipo de investigação. No processo de computação forense, a evidência é baseada em vestígios tecnológicos e transforma esses itens encontrados em provas diante de um juízo ou uma organização. A SI e a computação forense são consideradas um complemento da outra. Nenhum sistema de proteção é completamente infalível, imprevistos podem acontecer. A segurança digital faz parte da SI, assim como a gestão de incidentes. Para uma gestão de incidentes eficaz, é necessário um processo de investigação sobre o ato delituoso ou suspeito, e aqui é acrescentada a computação forense, que entra como uma grande aliada, capaz de realizar uma investigação completa, utilizando todos os recursos necessários para que as evidências sejam relacionadas de forma mais fiel possível e se chegar à conclusão dos fatos. 7 Figura 1 – Computação forense para perícia digital Fonte: elaborada pelo autor. Enfim, todo o processo, a análise, documentação e as melhorias, resultantes do uso em conjunto da segurança digital e da computação forense, podem e devem ser utilizados na melhoria contínua de segurança da informação da organização, melhorando formas de combate e respostas a incidente. Referências bibliográficas DALLA VECCHIA, E. Perícia digital: da investigação à análise forense. 2. ed. São Paulo: Millennium, 2019. TOTH, P. Recovering from a cybersecurity incident what to do before and after. Gaithersburg: NIST MEP, 2019. Disponível em: https://www.nist.gov/system/files/documents/2017/12/01/ recovery-webinar.pdf. Acesso em: 8 jul. 2020. 8 PARA SABER MAIS Com o aumento das tecnologias, as empresas se tornaram mais ágeis e práticas, mas também mais vulneráveis. Desta forma, por mais que a empresa possua uma segurança da informação bem implementada e tecnologias robustas e seguras, ainda assim não está completamente protegido, pois não existem ambientes impenetráveis. A cada dia, novas vulnerabilidades são descobertas, bem como os próprios colaboradores podem abrir portas de forma simples para atacantes externos, mesmo sem perceberem. Desta forma, as empresas devem ter consciência de que não estão livres de possíveis invasões. E caso aconteça, o ideal seria uma resposta rápida ao incidente e, para isso, as equipes precisam estar bem montadas e estruturadas para agir em situações desse tipo. Então, há uma série de procedimentos, indicados pela Federal Trade Commission (FTC), que podem auxiliar na tomada de decisões para respostas rápidas em caso de incidentes. Para proteger as operações da organização, as ações devem ser tomadas imediatamente, evitando, assim, que novos problemas ocorram. Essas ações dependerão da natureza da violação e a estrutura da empresa. A etapa inicial e mais importante é a mobilização da equipe especializada para a resolução e investigação da ocorrência. Esta equipe pode ser formada de maneira multidisciplinar, dependendo da violação ocorrida, com profissionais de segurança da informação, segurança de tecnologia da informação, forense computacional, tecnologia da informaçãoe operações, e, se necessário, jurídico, recursos humanos e comunicações. 9 Caso a empresa não possua uma equipe interna de forense computacional, é importante considerar a contratação de um perito digital independente para analisar o ambiente e determinar o escopo da violação ocorrida. Caso a empresa possua uma equipe ou um profissional interno focado em perícia digital, ele deve ser acionado. Esse profissional será responsável pela captura de evidências, encontradas em sistemas, aplicações, redes e outros meios tecnológicos, além de analisar as evidências, montar um laudo e descrever as etapas de correção. Enquanto esse processo ocorre, é importante parar a perda de dados imediatamente, se possível, coloque o equipamento afetado off-line, caso não seja possível, amplie o monitoramento nele, bloqueando o invasor. Os equipamentos não podem ser desligados até que o perito tenha contato com eles, para realizar as coletas necessárias de forma mais fiel possível. Altere as senhas violadas, pois, caso o invasor tenha roubado senhas, ele terá o caminho livre novamente, sempre que desejar. Verifique sites e conteúdos e altere senhas de tudo que o criminoso possa ter obtido contato, especialmente de que envolva acessos externos. Jamais destrua qualquer evidência durante a investigação, pois são elas que trarão as respostas necessárias ao ocorrido e a possibilidade de melhoria do ambiente, para que situações iguais não voltem a ocorrer. O incidente ocorrido deve servir de aprendizado para melhorar o processo de incidentes e a PSI da empresa. Referências bibliográficas FTC – FEDERAL TRADE COMMISSION. Data breach response: a guide for business. Washington: FTC; Virtual Books, 2019. Disponível em: https://www.ftc.gov/system/files/documents/ 10 Lorem ipsum dolor sit amet Autoria: Nome do autor da disciplina Leitura crítica: Nome do autor da disciplina plain-language/pdf-0154_data-breach-response-guide-for- business-042519-508.pdf. Acesso em: 8 jul. 2020. TEORIA EM PRÁTICA Você é o analista de segurança da informação da empresa XYZ e resolveu realizar um teste de phishing interno para verificar o grau de maturidade dos colaboradores referente a SI. Neste teste, você percebe que em torno de 60% dos colaboradores acreditaram que o phishing era um e-mail real e abriram o anexo que este continha. Se este fosse real, quais implicações poderiam ocorrer no ambiente da empresa? Além disto, realize uma reflexão, e escreva sobre o porquê de tantos colaboradores acabarem vítimas da campanha realizada e quais ações você deveria tomar quanto a esta questão. Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Esta dissertação de mestrado tem como objetivo discutir sobre os desafios e oportunidades para a realização de forense em computação em nuvem. Além disso, foi elaborada uma possível solução em nuvem, para entrega do serviço de forense como um serviço forensic as a servisse (FaaS). Seria interessante para este Indicações de leitura 11 tema a leitura do capítulo 2 (p. 18-34), e como complemento, apenas o capítulo 4 (p. 51-68). Para realizar a leitura, acesse a plataforma BDTD – Biblioteca Digital Brasileira de Testes e Dissertações. DIDONÉ, D. Computação em nuvem: desafios e oportunidades para a forense computacional. 2011. Dissertação (Mestrado em Ciência da Computação) – Instituto de Computação, Universidade Federal de Pernambuco, Recife: 2011. Indicação 2 Esta monografia tem como objetivo apresentar a análise de um sistema operacional suspeito de invasão utilizando ferramentas gratuitas. Essas ferramentas podem ser agrupadas para a realização da análise na área de forense computacional, mas também podem ser utilizadas por um usuário que possua algum conhecimento em tecnologias para realizar a análise de algum equipamento suspeito de violação. Seria interessante para este tema a leitura das páginas 4 a 14, e como complemento apenas, já que não faz parte deste tema especificamente, as páginas 22 a 62. Para realizar a leitura, acesse a plataforma “Repositório UFLA/ DCC – Departamento de Ciência da Computação”. POPOLIN, J. G. Análise de ferramentas para computação forense em sistemas NTFS. 2011. 65 f. Monografia (Especialização em Administração de Redes Linux) – Departamento de Ciência da Computação, Universidade Federal de Lavras, Lavras/MG, 2011\. 12 QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. A segurança da informação e a computação forense são duas ciências ligadas e complementares, e não totalmente opostas como alguns defendem. Nenhum sistema de proteção é completamente infalível, ou seja, incidentes podem acontecer. Desta forma, a ___________ é responsável pela proteção de ________. Assim como a ________________ é responsável pela _______________ de incidentes ocorridos em ambientes tecnológicos. a. Segurança da informação; tecnologia; computação forense; investigação. b. Segurança da informação; ativos; computação forense; investigação. c. Computação forense; ativos; segurança da informação; investigação. d. Computação forense; tecnologia; segurança da informação; ativos. e. Segurança da informação; computadores; computação forense; gestão. 13 2. Para proteger as ________ de uma empresa, ações devem ser tomadas de forma imediata, evitando que _____ ocorram. Essas ações dependerão da ________da violação e a natureza da empresa. a. Operações; problemas; estrutura. b. Informações; perícias; estrutura. c. Operações; perícias; organização. d. informações; problemas; organização. e. Operações; problemas; natureza. GABARITO Questão 1 - Resposta C Resolução: A segurança da informação é responsável pela proteção de ativos que envolvem tecnologia, computadores, pessoas, informações, dados e outros. Assim como a computação forense é responsável pela investigação de incidentes, fraudes, invasões e outros, ocorridos em ambientes tecnológicos. Questão 2 - Resposta A Resolução: Segundo a Federal Trade Commission (FTC), para proteger as organizações de uma empresa, ações devem ser tomadas de forma imediata, evitando que problemas ocorram. As ações dependerão da natureza da violação e da estrutura da empresa. TEMA 2 Processos de análise forense ______________________________________________________________ Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias 15 DIRETO AO PONTO O amplo crescimento do uso da tecnologia impulsionado pelas facilidades proporcionadas aumentaram, consequentemente, os crimes envolvendo recursos computacionais. Uma pesquisa realizada anualmente pela Iniciativa Global de Riscos, do Fórum Econômico Mundial, cita os crimes de tecnologia em sexto e sétimo lugares na lista dos riscos globais mais críticos para 2020. Esse tipo de risco representa um evento ou uma condição incerta que, caso ocorra, poderá causar um impacto negativo para vários países ou organizações nos próximos anos. Em razão disto, torna-se necessário um profissional que possua conhecimentos técnicos específicos para auxiliar na solução desses crimes, tanto em nível de justiça como particular, por uma organização. O crime digital pode assumir diversas formas e utilizar métodos variados, além da possibilidade de ocorrer em qualquer lugar e a qualquer momento. Figura 1 – Riscos globais para 2020 Fonte: elaborada pelo autor. Considera-se crime digital qualquer ato delituoso utilizando um dispositivo que utilize recursos de tecnologia em seufuncionamento. Sendo assim, de acordo com Velho (2016), o recurso tecnológico pode ser o agente, o facilitador ou o alvo 16 do crime. Dalla Vecchia (2019) divide-o em duas partes: crimes cibernéticos próprios são os que dependem do uso de recursos tecnológicos para sua realização, sendo este o objeto do crime, como invasão de dispositivo informático; e crimes cibernéticos impróprios, em que os recursos tecnológicos são usados como meio para realização do crime, que poderia ser realizado sem o uso da tecnologia, como calúnia e injúria. Para a análise e investigação desses crimes, utiliza-se a forense computacional, que é a ciência que trata dos crimes que ocorrem com o uso ou se utilizam de recursos computacionais. Esta ciência utiliza métodos técnicos e científicos na busca por evidências tecnológicas para servirem de provas em atos ilícitos. A forense computacional possui aspectos técnicos e legais, pois, para a realização de uma investigação, é necessário, além dos conhecimentos em tecnologias, entender um pouco sobre legislação, que especifica a tipologia e a criticidade dos crimes. A forma de execução dos procedimentos de investigação pode resultar em implicações em uma ação judicial, pois, caso não seja possível comprovar a veracidade dos fatos e a autenticidade dos resultados obtidos, todo o processo legal pode ser comprometido. Uma execução forense bem realizada deve responder a quatro perguntas básicas: o que, quando, quem e como foi feito. A resposta destas questões corresponde às evidências, que podem ser encontradas em dados ativos (que podem ser prontamente vistos), em arquivados (que se refere aos dados em backups), ou latentes (que são os que necessitam de ferramentas especializadas para permitir o acesso). O mais comum em termos de forense é que todos estes dados sejam envolvidos na análise. Desta forma, a padronização da metodologia de análise forense auxilia neste processo, sendo composta, no geral, por quatro etapas que se referem a coleta (coletar dados e informações que 17 podem conter evidências digitais ou possuir alguma relação com o evento investigado, e realizar cópias seguras deste material); exame (buscar a informação contida nas cópias e extrair dados úteis para a investigação); análise (realizar a análise dos dados filtrados na etapa anterior, para buscar informações úteis e relevantes respondendo às perguntas que deram origem à investigação); e apresentação dos resultados obtidos (gerar um relatório em que devem estar descritos os procedimentos realizados e os resultados obtidos). A área de forense ainda enfrenta diversos desafios que impactam diretamente o processo, como a falta de evidências armazenadas pelas organizações, como logs em geral; recuperação de arquivos deletados, encriptados ou corrompidos pelo computador; a falta de cooperação internacional para coleta de evidências em ambientes de nuvem de forma correlacionada; equipamentos IoT que não armazenam logs por maior prazo, entre outros. Outra questão que pode complicar a vida do perito é a perda da memória volátil do equipamento, que se apaga quando este é desligado, causando a perda dessas informações. Por fim, a deep web, que não está indexada nos buscadores, por exemplo, o Google, ou seja, a parte anônima da internet. Referências bibliográficas DALLA VECCHIA, E. Perícia digital: da investigação à análise forense. 2. ed. São Paulo: Millennium, 2019. VELHO, J. A. Tratado de computação forense. Campinas, SP: Millennium, 2016. 18 PARA SABER MAIS A prova pericial é um dos elementos mais importantes para o direito, pois serve para comprovar a veracidade dos fatos levantados em uma investigação e ou processo. Não é possível extrair do conjunto probatório a verdade, visto que sempre haverá duas versões para um único evento e cada uma das partes defenderá o seu lado como o correto, e em uma investigação ou processo, não há como usar ocorrências parciais como evidências do que realmente ocorreu. O surgimento dos meios digitais trouxe junto alguns fatores agravantes, como tratar-se de informações intangíveis, que podem ser facilmente adulteráveis e, ainda, a possibilidade da falta de conhecimento técnico do profissional responsável pelo exame, prejudicando ainda mais a busca pela verdade, seja ela qual for. E, caso haja dúvidas sobre a autoria dos fatos, a prova sempre favorecerá o réu. Buscar por evidências que apoiam a descoberta dos fatos ficou mais complexo em nível de conhecimento, no entanto, se o profissional for capacitado, a tecnologia acaba virando um facilitador. Desta forma, a computação forense torna-se muito importante, sendo, muitas vezes, o único meio de prova possível e eficaz para afastar dúvidas em atos ilícitos. De acordo com Velho (2016), a definição de prova no direito brasileiro possui significado gramatical em três acepções: o ato de provar, pois com a prova é possível verificar a exatidão ou verdade do fato alegado pela parte no curso do processo; o meio de prova, que consiste no instrumento pelo qual se demonstra a verdade dos fatos; e o resultado da ação de provar, que é extraído da análise do meio de prova para demonstrar a verdade de um fato. Ainda segundo Velho (2016), o direito digital acaba trazendo consigo uma nova categoria de prova, sendo essa o resultado 19 da união de telecomunicação com os sistemas informáticos, possibilitando a execução de procedimentos a distância, utilizando como meio a tecnologia. Assim, a prova digital acaba possuindo características diferentes das tradicionais provas de perícia criminal, como portabilidade, reprodutibilidade e volatilidade, dificultando, muitas vezes, a análise. Nos últimos anos, a produção de provas digitais passou por grandes modificações, exigindo um conhecimento muito mais avançado em tecnologia para a realização da análise computacional. Antigamente, elas eram utilizadas como uma simples coleta de vestígios, como a verificação e impressão de documentos eletrônicos, por exemplo, que consistem em qualquer documento que esteja presente em um meio eletrônico, sendo criado nele ou apenas armazenado. A ampliação da tecnologia e da internet, fazendo com que o meio digital estivesse cada vez mais presente em tudo, trouxe como resultado uma grande mudança em diversos tipos de crimes, que passaram do meio tradicional para o digital, bem como a criação de novas modalidades de crimes. Consequentemente, a produção de provas digitais passou a ser tratada como uma ciência forense, denominada de forense computacional, exigindo novas competências dos profissionais que antigamente coletavam apenas as evidências digitais. Referências bibliográficas VELHO, J, A. Tratado de computação forense. Campinas, SP: Millennium, 2016. 20 TEORIA EM PRÁTICA Reflita sobre a seguinte situação: você é um perito computacional da empresa ABC Varejo e a equipe de segurança da informação passou um caso para investigação, que se trata do download de um software suspeito em um computador da organização. Este software contém um artefato capaz de roubar acessos bancários do usuário. O colaborador é da área financeira da empresa e, ao abrir a conta do banco, o artefato se ativou automaticamente. Como o colaborador percebeu algo estranho, tirou o cabo de rede da máquina e, após, abriu um incidente com a equipe de segurança que acionou você para investigar o que realmente ocorreu. O colaborador não sabe como este software foi parar na sua máquina. Você considera que ele tomou a atitude correta ao desconectar o cabo de rede da máquina, ou considera que deveria ter desligado o computador? Por qual motivo você considera a reação do colaborador como prejudicial ou benéfica para a análise forense computacional? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Esta dissertação traz uma apresentação de metodologiapara sistematização do processo investigatório de análise da informação digital, baseado em diversos modelos de processos Indicações de leitura 21 que estão citados no item 3, páginas 28 a 37. A leitura dos diversos modelos apresentados resultará em enriquecimento no aprendizado, possibilitando o entendimento de forma mais ampla deste processo, e a escolha do modelo mais adequado à sua prática. Para realizar a leitura, acesse a plataforma BDTD - Biblioteca Digital Brasileira de Testes e Dissertações. COSTA, L. R. Metodologia e arquitetura para sistematização do processo investigatório de análise da informação digital. 2012. 102 f. Dissertação (Mestrado em Engenharia Elétrica) – Departamento de Engenharia Elétrica, Universidade de Brasília, Brasília, 2012. p. 28-37. Indicação 2 Esta monografia traz uma proposta de modelo de software para perícia forense computacional bem interessante. O item 2, que compreende as páginas 13 a 23, traz mais informações sobre o conteúdo apresentado neste tema, trazendo mais conceitos sobre a forense computacional, os crimes digitais, aspectos da perícia forense, bem como as fases da perícia forense computacional e o laudo forense computacional, possibilitando um maior aprendizado sobre o assunto. Para realizar a leitura, acesse a plataforma Repositório Digital Institucional da UFPR – Biblioteca Digital: Trabalhos de Especialização Ciências Exatas e da Terra. RAMOS, R. Sistema de laudos forense computacional: uso no contexto da perícia criminalística. 2014. Monografia (Especialização 22 em Software) – Setor de Educação Profissional e Tecnológica, Universidade Federal do Paraná, Curitiba, 2014. p. 13-23. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Para a análise da investigação de crimes _____, utiliza-se a forense ______, que é a ciência que trata dos crimes que ocorrem com o uso ou se utilizam de ___________. A forense digital utiliza métodos __________ na busca por evidências tecnológicas para servirem de provas em atos ilícitos. a. De pedofilia; computacional; tecnologia; técnicos e padronizados. b. Digitais; criminal; tecnologia; padronizados e científicos. c. De fraudes; computacional; recursos de redes; técnicos e científicos. d. Digitais; computacional; recursos computacionais; técnicos e científicos. e. De invasão; criminal; tecnologia; padronizado e científicos. 23 2. Podemos definir que o direito brasileiro possui significado gramatical em três acepções: _____, o _______ e o resultado da ação de provar. A prova digital possui características diferentes das tradicionais, devido à _______, reprodutibilidade e _______, dificultando, muitas vezes, a análise. a. Ato de provar; meio da prova; portabilidade; volatilidade. b. Prova; meio da prova; portabilidade; volatilidade. c. Ato de provar; prova; incompatibilidade; volatilidade. d. Investigação; prova; incompatibilidade; instabilidade. e. Investigação; meio da prova; portabilidade; instabilidade. GABARITO Questão 1 - Resposta D Resolução: Para a análise da investigação de crimes digitais, utiliza-se a forense computacional, que é a ciência que trata dos crimes que ocorrem com o uso ou se utilizam de recursos computacionais. A forense digital utiliza métodos técnicos e científicos na busca por evidências tecnológicas para servirem de provas em atos ilícitos. Questão 2 - Resposta A Resolução: Podemos definir que o direito brasileiro possui um significado gramatical em três acepções: o ato de provar, o meio de prova e o resultado da ação de provar. A prova digital possui características diferentes das tradicionais, devido à portabilidade, reprodutibilidade e volatilidade, dificultando, muitas vezes, a análise. TEMA 3 Identificação e reconstituição de ataques ______________________________________________________________ Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias 25 DIRETO AO PONTO Um incidente de ataque a uma empresa pode causar um grande impacto, tanto na estrutura como na imagem. Então o processo de investigação de um ataque torna-se extremamente importante, pois, por meio deste, é possível descobrir possíveis vulnerabilidades, criar proteções extras de segurança e evitar que novos ataques ocorram após conseguir mapear como o atacante agiu. O NIST (National Institute of Standards and Technology) apresenta um framework de cibersegurança que pode ser utilizado como modelo neste processo de computação forense. Ele indica funções básicas de segurança cibernética em nível mais alto, que são: identificar, proteger, detectar, responder e recuperar, como é possível ver na Figura 1. Essas funções são focadas para ajudar as empresas a gerenciar os seus riscos, organizando as informações, possibilitando decisões de gerenciamento, como a melhor forma de enfrentar ameaças e ataques, melhorando as atividades e defesas da organização por meio do aprendizado contínuo. 26 Figura 1 – Framework funções básicas de cibersegurança Fonte: elaborada pelo autor com base no NIST (2018). Com este modelo de gerenciamento de riscos de cibersegurança, podemos realizar um processo de identificação e reconstituição de ataques de forma mais completa. Para realizar uma reconstituição de ataque, é necessário inicialmente identificá-lo por meio da função de detecção, após responder a este ataque, reconstituindo-o, para recuperar os danos causados e aprender com ele, por meio da identificação, criando proteções para evitar que não volte a ocorrer. 27 A detecção de ataques são, normalmente, realizada por meio de ferramentas de análise de ambiente da organização, logs e alertas de sistemas. Por meio destes, é possível verificar a extensão do dano causado e montar uma estratégia de análise de um exemplar para entender o modus operandi do atacante. Assim que um ataque for identificado, uma ação é exigida, mesmo que seja apenas isolar o equipamento da estrutura para evitar maiores danos. Ao coletar a amostra para investigação, esta deve ser realizada com o maior cuidado para não contaminar os vestígios. A investigação nunca deve ser realizada no material original coletado, então uma cópia deste material deve sempre ser feita e é nesta cópia que ocorrerá a análise completa. A análise é realizada por meio do uso de ferramentas, como Autopsy, por exemplo. Neste ponto, dados apagados podem ser recuperados, históricos e registros são analisados, conexões de redes e portas abertas podem ser verificadas, serviços em execução e processos do sistema operacional são analisados. Os dados coletados e analisados são correlacionados. Neste ponto, uma linha do tempo dos processos pode ser criada, baseada nos horários dos vestígios importantes coletados. Com esta linha, fica mais visível a ordem exata de cada detalhe do acontecimento, possibilitando entender o que aconteceu, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente. E, traçando este perfil, fica mais fácil entender o ataque realizado. Outro detalhe importante neste processo de entendimento e reconstrução da ordem dos eventos do ataque é a recuperação de informações importantes, com o auxílio de ferramentas forenses. Por fim, com este cenário desenhado, pode-se montar um plano de ação de segurança, evitando que novos ataques do mesmo estilo voltem a ocorrer, prevenindo-se de armadilhas instaladas por invasores e identificação e rastreamento de invasores. Todo 28 esse processo de gerenciamento de cibersegurança, com foco em ataques, tem como consequência tornar a organização maissegura e confiável diante do mercado, evitando perdas financeiras e impacto na imagem. Referências bibliográficas NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Framework for improving critical infrastructure cybersecurity. Broadway: NIST, U.S. Department of Commerce, 2018. Disponível em: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018. pdf. Acesso em: 27 jul. 2020. PARA SABER MAIS Durante a investigação de incidentes e ataques, ao realizar a recuperação e análise de evidências, é comum apenas encontrar parte de vestígios, como fragmentos de logs, de dados, programas executados, timestamps, informações nos registros, arquivos ocultos em pastas de sistemas, em processos ocultos, históricos de execução e navegação ou, ainda, ferramentas que comprovam atividades realizadas pelo atacante. No entanto, algumas vezes não é possível ter uma imagem completa das atividades realizadas pelo atacante, faltando mais evidências, então, é mais complicado ainda descobrir a autoria. Podem ocorrer, ainda, casos em que a quantidade encontrada de evidências é tão insignificante que faltam dados suficientes para a montagem de uma sequência lógica dos eventos. Neste caso, é extremamente importante que o investigador tenha conhecimento para realizar uma análise mais aprofundada em 29 determinadas evidências, como dump de memória e sistema, arquivos executáveis, análise de código-fonte e espaços desperdiçados no fim dos blocos de dados para ocultar evidências (slack space). Dump é um programa Unix para realização de cópia de segurança de sistemas de arquivos. Ao analisar um executável, deve-se utilizar uma máquina separada na rede, e de preferência isolada, pois mesmo que o arquivo pareça inofensivo, pode ser que contenha código malicioso escondido e, neste caso, prejudicar toda a sua estrutura de rede. O indicado é nunca utilizar a sua máquina para testar o programa. Pode-se criar uma máquina virtual (VM), desde que esta esteja com um ambiente totalmente isolado da sua máquina e da rede local. A análise de executável é bem importante para entender como o arquivo malicioso funciona e que informações ele pode comprometer na sua rede. Após conseguir o máximo de informações, deve-se transformar o executável em código-fonte. Fazendo isso, é possível realizar a engenharia reversa por meio da leitura e do reconhecimento do código, bem como a execução do sistema, passo a passo, utilizando breakpoint (ponto de parada). Este processo proporcionará mais respostas sobre o funcionamento do sistema. Outro detalhe bem importante pode ser a busca por evidências escondidas intencionalmente ou pelo próprio sistema operacional durante a sua execução. Estas buscas exigem paciência por parte do investigador. Os espaços vazios de qualquer sistema de arquivos estão sujeitos ao desperdício, então identificar esses arquivos é necessário, pois podem trazer pedaços de evidências importantes. Enfim, é possível entender o benefício que um conhecimento mais avançado sobre perícia de informática e ferramentas pode 30 trazer para o sucesso de uma investigação de ataque, facilitando a recuperação e análise de evidências de forma mais avançada. O sucesso da investigação depende sempre de uma preparação prévia, a informação é a principal arma contra atacantes. Referências bibliográficas SILVA, T. G. Análise forense: técnicas e reconstituição de ataques. Revista Especialize On-line IPOG, Goiânia, ano 9, v. 1, n. 16, dez. 2018. Disponível em: https://assets.ipog.edu.br/wp-content/ uploads/2019/12/07013924/tiago-goncalves-silva-880131.pdf, 2012 Acesso em: 29 jul. 2020. TEORIA EM PRÁTICA A organização sofreu uma tentativa de ataque, o IDS alertou e bloqueou a ação assim que a identificou. Ao analisar os logs gerados pelo IDS, firewall e antivírus, a equipe de segurança descobriu que o ataque partiu de dentro da rede. No entanto, é necessário investigar como o arquivo malicioso entrou na no ambiente, pois, de acordo com o alerta, ele se auto executou a partir do IP 192.168.101.9, que é um endpoint interno. Quais os primeiros passos para descobrir o que realmente aconteceu? Como agir em um caso como este em que o ataque parte de dentro da empresa e não externamente? O que este caso tem a ensinar para a equipe de investigação, perícia e defesa cibernética, juntamente com a equipe de segurança da informação? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. 31 LEITURA FUNDAMENTAL Indicação 1 Este artigo fala sobre a investigação de vazamento de informações de dados de empresas que, normalmente, são vendidos em sites de internet como mercadoria para uso de concorrentes. Esse tipo de informação deve ser protegido e, para isso, deve-se conhecer os meios de vazamentos e sites onde estão disponíveis após um vazamento, para então poder tomar uma atitude mais rápida, evitando um impacto maior para a organização. Para realizar a leitura, acesse a plataforma Digital Forensics and Incident Response, em Artigos e Papers, e busque pelo título da obra. CAIADO, M. Investigando vazamento de informações e de propriedade intelectual. Evidência Digital Magazine, São Paulo, edição especial de aniversário de 7 anos, p. 3-6, 2012. Edição 05/2011. Indicação 2 Este artigo fala sobre metodologias para a coleta de evidências até a apresentação judicial, independente do sistema operacional. Seu principal objetivo é explorar técnicas e aspectos que devem ser considerados durante uma perícia forense computacional, evitando dependência de metodologias e programas proprietários, que são os softwares pagos. Indicações de leitura 32 Para realizar a leitura, acesse a plataforma Digital Forensics and Incident Response, em Artigos e Papers, e busque pelo título da obra. VARGAS, R. Perícia forense computacional, metodologias e ferramentas periciais. Evidência Digital Magazine, São Paulo, edição especial de aniversário de 7 anos, p. 21-29, 2011. Edição 05/2011. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Ao realizar a análise e correlação dos eventos, é importante a criação de uma ___________ dos processos, baseada nos _____________ importantes coletados. Com esta_______, fica mais visível a ordem exata de cada detalhe do acontecimento, possibilitando entender___________, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente. 33 a. Linha do tempo; vestígios encontrados; linha; o ataque. b. Linha do tempo; horários dos vestígios; linha; o que aconteceu. c. Planilha em Excel; vestígios encontrados; ferramenta; o que aconteceu. d. Planilha em Excel; horários dos vestígios; ferramenta; o ataque. e. Linha do tempo; vestígios encontrados; análise; o que aconteceu. 2. A função________ significa desenvolver e implementar atividades apropriadas para __________ de incidentes, permitindo a descoberta oportuna de eventos de segurança e incidentes. Já a função ________ significa desenvolver e implementar atividades apropriadas para _____________em relação a um incidente _______ de segurança cibernética, e suporta a capacidade de conter o impacto de um potencial incidente. a. Responder; identificar a ocorrência; detectar; tomar medidas; detectado. b. Detectar; tomar medidas; responder; identificar ocorrência; encontrado. c. Detectar; identificar a ocorrência; responder; analisar métodos; encontrado. d. Detectar; identificar a ocorrência; responder; tomar medidas; detectado. e. Responder; tomar medidas; responder;analisar medidas; encontrado. 34 GABARITO Questão 1 - Resposta B Resolução: Ao realizar a análise e correlação dos eventos, é importante a criação de uma linha do tempo dos processos, baseada nos horários dos vestígios importantes coletados. Com esta linha, fica mais visível a ordem exata de cada detalhe do acontecimento, possibilitando entender o que aconteceu, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente. Questão 2 - Resposta D Resolução: A função detectar significa desenvolver e implementar atividades apropriadas para identificar a ocorrência de incidentes, permitindo a descoberta oportuna de eventos de segurança e incidentes. Já a função responder significa desenvolver e implementar atividades apropriadas para tomar medidas em relação a um incidente detectado de segurança cibernética, e suporta a capacidade de conter o impacto de um potencial incidente. TEMA 4 Recuperação de desastres ______________________________________________________________ Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias 36 DIRETO AO PONTO As empresas acabaram se tornando dependentes da tecnologia da informação, sendo assim, todos os seus dados e informações são armazenados em sistemas computacionais, desde simples documentos, e-mails, estruturas, banco de dados e ERP (enterprise resource planning), que são sistemas de gestão empresarial que controlam todas as informações de uma empresa, integrando todas as áreas existentes. Devido a esta dependência, torna- se importante a organização possuir um entendimento da importância da Tecnologia da Informação (TI), pois, se ela parar, pode causar um grande impacto na organização, resultando em um desastre. Uma gestão efetiva dos riscos deve ser realizada para evitar desastres. Há diversos tipos de tragédias, os quais podemos separar por forma, como desastres naturais, problemas de eletricidade, incêndios, problemas ambientais, em sistemas, hardware, redes, ataques externos e internos, crimes cibernéticos, entre outros. Para se antecipar a esses desastres, é importante, além de uma segurança da informação (SI) e uma gestão de riscos de ativos bem elaborada, a criação de um plano de recuperação de desastres (DRP), do inglês, disaster recovery plan. O DRP, ou apenas DR (recuperação de desastres), tem como principal objetivo restaurar com agilidade os dados e processos da organização, levando em consideração o grau de impacto ao negócio, ou seja, foca nos sistemas que suportam as funções vitais para a organização. Com um DR bem planejado, caso ocorra uma falha, a interrupção das operações é minimizada, garantindo a confiabilidade e a estabilidade organizacional, evitando a perda de informações confidenciais, fundamentais para a operação das empresas. 37 Os princípios básicos de um DR são prevenção, antecipação, mitigação, sendo que as duas primeiras são as chaves para uma restruturação de sucesso, mostrando a importância de um planejamento detalhado, com uma documentação abrangente de atitudes a serem tomadas antes, durante e após o evento que causou o problema ou a instabilidade no sistema. Como é muito difícil prever uma situação de desastre, que ainda pode ocorrer de maneira acidental ou proposital, o DRP torna-se essencial para mitigar os efeitos da falha e preservar a integridade dos dados. Uma questão importante a considerar é que o DR não consiste apenas em backups, ou seja, precisa abranger possíveis problemas na estrutura física, elétrica, de localização, problemas ambientais, desastres naturais, de infraestrutura de TI, de pessoas e outros, assegurando todos esses componentes do inesperado. Tem como objetivo a recuperação da informação como também o funcionamento de áreas críticas para a organização, com foco na área de processos de infraestrutura de TI, ignorando processos de negócios. Após o estabelecimento da infraestrutura, o plano de continuidade de negócios (PCN), ou em inglês business continuity plan (BCP), ficará como responsável pelo restabelecimento dos principais processos de negócios. O BCP tem como objetivo a organização como um todo, permitindo a continuidade do negócio, sendo esta área a responsável pela definição do que é crítico ou o que se pode excluir do plano, em momentos de recuperação de desastre. A criação de um DRP para uma organização é de suma importância, bem como a do BCP, pois os dois são complementares e precisam estar totalmente interligados. O DRP, assim como qualquer plano, possui etapas a serem seguidas para uma correta implementação, e para isto podemos utilizar o PDCA, do inglês, plan-do-check-act, que é um método iterativo de gestão para controle e melhoria contínua de 38 processos, também utilizado na ABNT NBR ISO/IEC 27.005. Na Figura 1, é possível ver as fases do plano de recuperação de desastres, dividido entre as quatro fases do modelo PDCA. Figura 1 – Fases do DRP dividido entre as fases do modelo PDCA Fonte: elaborada pelo autor. Após o processo de implementação de um DRP, é necessário mantê-lo em processo de melhoria contínua, assim como recomenda o modelo PDCA. Desta forma, em caso de desastre, a ativação do plano será efetiva, senão a organização correrá um grande risco de perda de dados e informações, e, consequentemente, financeira e de imagem. Referências bibliográficas ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27.005: tecnologia da informação: técnicas de segurança: 39 gestão de riscos de segurança da informação. Rio de Janeiro: ABNT, 2013. LANDRY, B.; KOGER, S. Dispelling 10 common disaster recovery myths: lessons learned from Hurricane Katrina and other disasters. J. Educ. Resour. Comput. [s.l.], v. 6, n. 4, 14 p., dez. 2006. PARA SABER MAIS As organizações precisam entender que um DR é uma questão de segurança para a empresa, e se ele for completo, considerando um BCP e todos os processos que este contempla, melhor ainda, pois mais poder de recuperação a empresa terá. Um DR não contempla apenas o backup, mas toda a infraestrutura de TI da empresa, incluindo seus processos. Por exemplo, caso ocorra um ataque cibernético, independente se for interno ou externo, que resulte em uma parada de vários serviços essenciais, sem um plano de recuperação, será quase inviável restabelecer os serviços em tempo hábil, sem resultar em um grande impacto ao negócio. Podemos considerar o mesmo para um desastre natural, como um tornado ou alagamentos, neste caso, o dano pode ser ainda maior, com danos praticamente irrecuperáveis. Com um plano de DR, é possível analisar todas as fragilidades que a organização possui, considerando os riscos que mais podem impactar o negócio. É necessário que estratégias de recuperação de desastres sejam implementadas, considerando todas as etapas para o restabelecimento da estrutura e os responsáveis por cada uma delas. É necessário considerar diversos cenários, como perda parcial. Neste cenário, considera-se ao menos o restabelecimento mínimo para manter os processos mais críticos do negócio; 40 ativação de contingência, neste processo, precisa detalhar o passo a passo para ativação da estratégia de contingência total ou do que possui em contingência, entre outros. Para que um DR funcione de forma correta, ele deve ser testado regularmente e, se necessário, ajustado conforme mudanças ocorram. No entanto, para a realização de um teste válido, as partes responsáveis não devem ser comunicadas com antecedência, pois, desta forma, elas estarão preparadas caso sejam acionadas, não resultando, assim, em um teste fiel de uma situação de desastre, pois um tragédia nunca é esperada, o DR é realizado para antecipar-se a ele, caso venha a ocorrer. Desta forma, este plano deve ser testado no seu pior cenário, em uma falha total, ou no mínimo parcial, mas sem aviso prévio. As organizações, normalmente, não querem realizar este tipo de teste, com receio de que algum imprevisto ocorra eo sistema não seja restabelecido em sua íntegra. Mas é importante todos estarem cientes de que, sem teste completo, em um caso de incidente real, o resultado será possivelmente este, gerando uma situação muito mais grave. Ou seja, caso um imprevisto ocorra em um teste programado, é possível descobrir as falhas do processo e ajustar, evitando que situações desse tipo voltem a ocorrer quando realmente for necessário ativar o DR. Prazeres (2012) afirma que, assim como há uma necessidade de testes reais, para a ativação de um DR, todos os problemas devem ser registrados e documentados com a intenção de corrigi-los, permitindo melhorias nos processos de DR e de infraestrutura, além de evitar falhas operacionais e o retrabalho por partes e áreas distintas. 41 Referências bibliográficas PRAZERES, A. J. M. Continuidade de negócio, disaster recovery e estratégias de implementação na Santa Casa da Misericórdia de Lisboa. 2012. 86 f. Dissertação (Mestrado em Desenvolvimento de Software e Sistemas Interativos) – Escola Superior de Tecnologia, Instituto Politécnico de Castelo Branco, Castelo Branco, 2012. TEORIA EM PRÁTICA Reflita sobre a seguinte situação: você ficou incumbido de revisar o plano de recuperação de desastres (DRP) que a empresa possui há uns três anos e nunca houve necessidade de ativá-lo. Essa tarefa, possivelmente, está defasada e, sabendo que para planejar um DR com sucesso é preciso uma série de etapas, como a definição da ordem em que as ações devem ser tomadas, este tipo de medida ajuda a gerar um menor impacto ao negócio, sabendo exatamente a pessoa a ser acionada dependendo da situação, como um ataque de malware. Além de estabelecer os responsáveis por cada ação a ser tomada, o que você considera como crucial para que seu DR realmente seja considerado um sucesso? E como você venderia esta proposta atualizada do DR para a empresa, já que, possivelmente, envolverá investimentos financeiros? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. 42 LEITURA FUNDAMENTAL Indicação 1 Esta tese de doutorado tem como objetivo propor um modelo para representar e avaliar a qualidade de planos de continuidade de negócios (PCN), sendo que o DR faz parte desse processo integrado ao PCN. Apresenta também um mapeamento das principais características que esses planos devem possuir, considerando as normas BS 25.999, ABNT NBR ISO/IEC 27.001 e ABNT NBR ISO/IEC 27.002. Para realizar a leitura, acesse a plataforma Biblioteca OpenAIRE|Explore, na Biblioteca Virtual da Kroton, e busque pelo título da obra. LUDESCHER, W. Modelo para avaliação da qualidade de projetos de planos de continuidade de negócios aplicados a sistemas computacionais. 2011. Tese (Doutorado em Engenharia) – Universidade de São Paulo, São Paulo, 2011. p. 67-124. Indicação 2 Esta tese de mestrado tem como objetivo focar no processo de tomada de decisão frente às estratégias de recuperação de desastre (DR) em tecnologias e sistemas de informação, levando em consideração os principais critérios para a tomada de decisão, e caracterizar a forma como se relacionam. Indicações de leitura 43 Para realizar a leitura, acesse a plataforma Biblioteca Virtual RepositóriUM, na Biblioteca Virtual da Kroton, e busque pelo título da obra. NEVES, J. M. M. Tomada de decisão sobre estratégias de recuperação de desastre em tecnologias e sistemas de informação. Tese (Mestrado em Sistemas de Informação) – Universidade do Minho, Portugal, 2009. Cap. 2-4, p. 19-73. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Os testes de funcionamento do DR (recuperação de desastres) devem fazer parte da rotina das organizações. Assinale a alternativa que está de acordo com este procedimento: a. Existe uma certa resistência por parte das organizações para realizar este tipo de teste em razão da paralisação das atividades de seus colaboradores. 44 b. A necessidade da realização do teste do DR constantemente é importante para que sejam feitos os ajustes necessários ao processo. c. Para a realização do teste do DR, é necessário que todas as partes sejam avisadas com antecedência. d. Ocorrendo um imprevisto durante um teste programado, o processo todo será comprometido. e. Os testes do DR detectam as recuperações contidas no processo e evitam que os responsáveis sejam acionados. 2. Após a implantação de um DRP, é fundamental mantê-lo em processo de __________, conforme orienta o modelo PDCA. Assim, em caso de desastre, a __________será efetiva, do contrário, a organização correrá um grande risco de perda de __________e__________. a. Funcionamento; melhoria contínua; informações; financeira. b. Ativação; exclusão; informações; imagem. c. Melhoria contínua; equipe técnica; imagem; informações. d. Ativação do plano; melhoria contínua; dados; imagem. e. Melhoria contínua; ativação do plano; dados; informações. GABARITO Questão 1 - Resposta B Resolução: As organizações, normalmente, não querem realizar este tipo de teste, com receio de que algum imprevisto ocorra e o sistema não seja restabelecido em sua íntegra. Mas é importante todos estarem cientes de que, sem teste completo, em um caso de incidente real, o resultado 45 será possivelmente este, gerando uma situação muito mais grave. Caso um imprevisto ocorra em um teste programado, é possível descobrir as falhas do processo e ajustar, evitando que situações desse tipo voltem a ocorrer quando realmente for necessário ativar o DR. Para a realização de um teste válido, as partes responsáveis não devem ser comunicadas com antecedência, pois, desta forma, elas estarão preparadas caso sejam acionadas, não resultando, assim, em um teste fiel de uma situação de desastre. Questão 2 - Resposta E Resolução: Após o processo de implementação de um DRP, é necessário mantê-lo em processo de melhoria contínua, assim como recomenda o modelo PDCA. Desta forma, em caso de desastre, a ativação do plano será efetiva, senão a organização correrá um grande risco de perda de dados e informações, e, consequentemente, financeira e de imagem. BONS ESTUDOS! Apresentação da disciplina Introdução TEMA 1 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 2 Direto ao ponto TEMA 3 Direto ao ponto TEMA 4 Direto ao ponto Botão TEMA 5: TEMA 2: Botão 158: Botão TEMA4: Inicio 2: Botão TEMA 6: TEMA 3: Botão 159: Botão TEMA5: Inicio 3: Botão TEMA 7: TEMA 4: Botão 160: Botão TEMA6: Inicio 4: Botão TEMA 8: TEMA 5: Botão 161: Botão TEMA7: Inicio 5: