SEGURANÇA EM REDES DE COMPUTADORES IV

Prévia do material em texto

141
SEGURANÇA EM REDES DE COMPUTADORES
Unidade IV
7 TESTE DE INVASÃO E TECNOLOGIAS EMERGENTES
Após a implantação dos dispositivos tecnológicos de segurança, a grande dificuldade dos 
administradores de rede é saber se tudo aquilo que foi implantado e investido está efetivamente 
protegendo as informações que trafegam na rede. Para tal, os administradores podem aplicar os testes 
de invasão. Além disso, pensando nas mais diversas formas de ataque que podem ocorrer, pode-se 
reconfigurar os dispositivos.
7.1 Teste de invasão, conceito
De acordo com Weidman:
testes de invasão ou pentesting (não confundir com testes de caneta 
esferográfica ou de canetas-tinteiro) envolvem a simulação de ataques 
reais para avaliar os riscos associados a potenciais brechas de segurança. 
Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), 
os pentesters não só identificam vulnerabilidades que poderiam ser usadas 
pelos invasores, mas também exploram essas vulnerabilidades, sempre que 
possível, para avaliar o que os invasores poderiam obter após uma exploração 
bem-sucedida das falhas (WEIDMAN, 2014, p. 30).
Informações a respeito de organizações de grande porte que foram alvo de um ciberataque são comuns 
hoje. Com mais frequência do que se espera, os invasores não usam a última e mais recente vulnerabilidade 
zero-day (uma vulnerabilidade que ainda não foi corrigida pelos fornecedores de software), eles atacam 
usando vulnerabilidades existentes há muito tempo e, na maioria das vezes, com a correção publicada.
Organizações que gastam consideravelmente em segurança tornam-se vítimas de vulnerabilidades 
de injeção de SQL em seus sites, de ataques de engenharia social contra seus funcionários, de senhas 
fracas em serviços disponíveis pela internet e assim por diante. Em outras palavras, as organizações 
estão perdendo dados proprietários e expondo detalhes pessoais de seus clientes em consequência de 
brechas de segurança que poderiam ter sido corrigidas. Quando se aplica um teste de invasão, esses 
problemas são descobertos antes que um invasor o faça, assim é possível fornecer recomendações sobre 
como corrigi-los e evitar vulnerabilidades futuras.
O escopo dos testes de invasão pode variar de cliente para cliente, assim como ocorre com as tarefas. 
Algumas organizações terão uma postura excelente no tocante à segurança, enquanto outras terão 
vulnerabilidades que permitiriam aos invasores violar o perímetro e obter acesso aos sistemas internos.
142
Unidade IV
Às vezes, ainda será necessário ser responsável pela avaliação de uma ou mais aplicações web 
personalizadas. Isso poderá exigir ataques de engenharia social e do lado do cliente para obter acesso à 
sua rede interna.
Alguns testes de invasão exigirão atuações como se fosse alguém de dentro: um funcionário mau 
caráter ou descontente ou um invasor que já tenha violado o perímetro. Algumas situações exigirão 
um teste de invasão externo, em que será necessário simular um ataque por meio da internet. Há 
organizações que desejam avaliar a segurança das redes wireless de seus escritórios. Em alguns casos, é 
possível efetuar uma auditoria nos controles de segurança físicos da organização.
7.2 Processos de um teste de invasão
Os testes de invasão têm início com a fase de preparação (pre-engagement), que envolve definir 
os objetivos para o teste de invasão, o mapeamento do escopo (a extensão e os parâmetros do teste) e 
assim por diante. O teste terá início quando o pentester e a organização chegarem a um acordo sobre o 
escopo, a formatação do relatório e sobre o formato do teste de invasão.
A seguir, vamos destacar cada um desses testes conforme sua ordem de execução.
Coleta de informações (information gathering)
O pentester procura informações disponíveis publicamente sobre a organização e identifica maneiras 
em potencial de conectar-se com seus sistemas.
Modelagem das ameaças (threat modeling)
É preciso pensar como os invasores para desenvolver planos de ataque de acordo com as informações 
coletadas. Por exemplo, se o cliente desenvolver um software proprietário, um invasor poderá devastar a 
empresa se acessar os sistemas de desenvolvimento internos, cujo código-fonte é desenvolvido e testado, 
e vender os segredos comerciais da empresa a um concorrente. De acordo com os dados encontrados 
durante a fase de coleta de informações, serão desenvolvidas estratégias para invadir os sistemas da 
organização. Essa avaliação permite ao pentester desenvolver um plano de ação e métodos de ataque.
Análise de vulnerabilidades (vulnerability analysis)
Os pentesters começam a descobrir ativamente as vulnerabilidades a fim de determinar até que 
ponto suas estratégias de exploração de falhas poderão ser bem-sucedidas. Os exploits que falharem 
poderão desativar serviços, disparar alertas de detecção de invasão e arruinar suas chances de efetuar 
uma exploração de falhas com êxito. Com frequência, durante essa fase, os pentesters executam 
scanners, que usam bancos de dados de vulnerabilidades e uma série de verificações ativas para obter um 
palpite melhor a respeito de quais delas estão presentes no sistema de um cliente. Entretanto, embora 
os scanners de vulnerabilidade sejam ferramentas eficazes, elas não podem substituir totalmente o 
raciocínio crítico, é vital que também sejam feitas análises manuais nessa etapa.
143
SEGURANÇA EM REDES DE COMPUTADORES
Exploração (exploit)
Para a exploração de falhas, são executados testes contra as vulnerabilidades descobertas 
(às vezes, usando uma ferramenta como o Metasploit) em uma tentativa de acessar os sistemas de 
um cliente. Algumas vulnerabilidades são muito fáceis de serem exploradas, por exemplo, fazer login 
com senhas default.
Pós-exploração
Os testes de invasão realmente começam somente após a exploração de falhas. Nesse momento, o 
profissional conseguiu entrar no sistema, mas o que essa invasão realmente significa para a organização? 
Se você invadir um sistema legado, sem patches (correções), que não faça parte de um domínio ou que 
não esteja ligado a alvos muito valiosos, e esse sistema não contiver nenhuma informação que interesse 
a um invasor, o risco dessa vulnerabilidade será significativamente menor do que se você pudesse 
explorar um controlador de domínio ou um sistema de desenvolvimento de um cliente. Durante a fase 
de pós-exploração de falhas, reúnem-se informações sobre o sistema invadido, procuram-se arquivos 
interessantes, tenta-se elevar o nível dos privilégios quando necessário e assim por diante. Por exemplo: 
pode-se fazer um dump das hashes de senha para ver se é possível revertê-las ou usá-las para acessar 
sistemas adicionais. Pode-se tentar usar o computador explorado para atacar sistemas que não estavam 
anteriormente disponíveis se for efetuado um retorno para esses sistemas.
Geração de relatórios (report generation)
Descreve-se a última etapa do processo. Nesse instante, devem ser informadas as descobertas 
de maneira significativa. Diz-se o que a empresa está fazendo corretamente, os pontos em que deve 
melhorar quanto à segurança, e o profissional destaca como conseguiu invadir, o que descobriu, como 
corrigir os problemas e assim por diante.
Escrever um bom relatório de teste de invasão é uma arte que exige prática para ser dominada. Será 
necessário informar as descobertas de forma clara a todos, da equipe de TI responsável pela correção das 
vulnerabilidades até a alta gerência, que aprova as alterações com os auditores externos. Deve-se evitar 
termos técnicos em excesso e, caso tenha que usá-los, explicar seus conceitos. Uma melhor maneira de 
o responsável pelo teste transmitir esse raciocínio seria mencionar os dados privados que foi capaz de 
acessar ou de alterar. Uma afirmação como “Fui capaz de ler o seu e-mail” vai gerar repercussões em 
quase todos.
O relatório do teste de invasão deve incluir tanto um sumário executivo como um relatório técnico.
O sumário executivo descreve os objetivos do teste e oferece umavisão geral das descobertas. 
O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. O 
sumário executivo deve incluir o seguinte:
• Histórico: descrição do propósito do teste, definições de qualquer termo que possa não ser 
familiar aos executivos, vulnerabilidades e medidas de prevenção.
144
Unidade IV
• Postura geral: visão geral da eficiência do teste, os problemas encontrados (por exemplo, 
a exploração da vulnerabilidade MS08-067 da Microsoft) e problemas gerais que causam 
vulnerabilidades, como a ausência de gerenciamento de patches.
• Perfil do risco: classificação geral da postura da empresa quanto à segurança, quando 
comparada com organizações semelhantes, com medidas – como alto, moderado ou baixo. 
Deve haver uma explicação sobre a classificação ou adotar-se a matriz de risco da organização 
caso ela o tenha.
• Descobertas gerais: uma sinopse geral dos problemas identificados, juntamente com estatísticas 
e métricas sobre a eficiência de qualquer medida de prevenção implantada.
• Resumo das recomendações: visão geral das tarefas necessárias para corrigir os problemas 
descobertos no teste de invasão.
• Mapa estratégico: oferece objetivos de curto e de longo prazo ao cliente para melhorar a sua 
postura quanto à segurança. Por exemplo, o responsável pelo teste pode dizer à empresa que 
aplicar determinados patches para endereçar as preocupações de curto prazo não resolverá o 
problema, que o ideal é criar um plano de longo prazo para o gerenciamento de patches.
O relatório técnico oferece detalhes técnicos sobre o teste, devendo incluir:
• Introdução: um inventário dos detalhes, como escopo, contatos e assim por diante.
• Coleta de informações: detalhes das descobertas da fase de coleta de informações, em especial 
os rastros do cliente (footprint) deixados na internet.
• Avaliação de vulnerabilidades: particularidades das evidências da fase de análise de 
vulnerabilidades do teste.
• Exploração de falhas/verificação de vulnerabilidades: observações das descobertas da etapa 
de exploração de falhas do teste.
• Pós-exploração de falhas: detalhes das apreciações da fase de pós-exploração de falhas do teste.
• Risco/exposição: descrição quantitativa do risco identificado. Essa seção faz uma estimativa das 
perdas caso as vulnerabilidades identificadas sejam exploradas por um invasor.
• Conclusão: uma visão geral do teste.
145
SEGURANÇA EM REDES DE COMPUTADORES
 Saiba mais
Para obter mais informações sobre testes de invasão, um bom local para 
começar é o Penetration Testing Execution Standard (PTES):
http://www.pentest--standard.org
7.2.1 Etapa de coleta de informações
O objetivo dessa etapa é conhecer o máximo possível os clientes. O executivo revela informações 
demais no Twitter? O administrador do sistema está escrevendo para listservs de arquivos, perguntando 
a respeito de como garantir a segurança de uma instalação de Drupal? Que softwares estão sendo 
executados em seus servidores web? Os sistemas voltados à internet estão ouvindo mais portas do que 
deveriam? Ou, se esse é um teste de invasão interno, qual é o endereço IP controlador de domínio?
Nesse instante é que se começa a interagir com o sistema-alvo, conhecendo o máximo que puder 
sobre eles, sem atacá-los de forma ativa. Usa-se o conhecimento adquirido nessa fase para prosseguir 
para a fase de modelagem de ameaças, quando deverá se pensar como os invasores, e então desenvolver 
planos de ataque com base nas informações coletadas. De acordo com as informações que forem 
descobertas, deve-se procurar e verificar as vulnerabilidades de forma ativa usando técnicas de scanning.
Pode-se aprender bastante sobre a organização e a infraestrutura do objeto de análise antes de 
enviar nem sequer um único pacote. Contudo, a coleta de informações continua sendo uma espécie 
de alvo em movimento. Não é viável estudar a vida on-line de todos os funcionários, pois a quantidade de 
informações coletadas é enorme e poderá ser difícil discernir dados importantes de ruídos.
Se o executivo tuitar com frequência sobre um time esportivo favorito, o nome desse time será 
a base da senha de seu webmail, mas essa informação poderia ser também totalmente irrelevante. 
Em outras ocasiões, será mais fácil escolher algo que seja mais importante. Por exemplo, se o cliente 
tiver postagens de ofertas de emprego on-line para uma vaga de administrador de sistemas que 
seja especialista em determinado software, haverá uma boa chance de essas plataformas terem sido 
implantadas na infraestrutura da organização.
Em oposição aos dados de inteligência obtidos a partir de fontes secretas, por exemplo, ao 
vasculhar lixos, vasculhar bancos de dados de sites e usar a engenharia social, o OSINT (Open Source 
Intelligence – Inteligência de Fontes Abertas) é coletado a partir de fontes legais, como de registros 
públicos e por meio da mídia social. O sucesso de um teste de invasão com frequência depende 
do resultado da etapa de coleta de informações, e algumas ferramentas para obter informações 
interessantes são provenientes de fontes públicas.
146
Unidade IV
7.2.2 Descobrindo as vulnerabilidades
Antes de começar a lançar exploits, é preciso fazer algumas pesquisas. Quando são identificadas 
vulnerabilidades, procuram-se, de forma ativa, problemas que levarão a um comprometimento na fase 
de exploração de falhas. Embora algumas empresas de segurança executem somente uma ferramenta 
automatizada de exploração de falhas e esperem pelo melhor, um estudo cuidadoso das vulnerabilidades 
feito por um pentester habilidoso proporcionará melhores resultados do que qualquer ferramenta por si só.
Após serem obtidas as informações sobre o alvo e a superfície de ataque, será possível desenvolver 
cenários para atingir os objetivos do teste de invasão.
Por exemplo, o servidor FTP na porta 21 anunciou-se como sendo o Vsftpd 2.3.4. Vsftpd corresponde 
à abreviatura de Very Secure FTP (FTP Muito Seguro).
Pode-se supor que um produto que se autodenomine muito seguro está pedindo para ter problemas, 
e, de fato, em julho de 2011, veio à tona a notícia de que o repositório do Vsftpd havia sido invadido. Os 
binários do Vsftpd haviam sido substituídos por uma versão contendo um backdoor (porta dos fundos) que 
podia ser acionado com um nome de usuário contendo uma carinha sorridente. Isso fazia com que um 
root shell fosse aberto na porta 6200. Depois que o problema foi descoberto, os binários com o backdoor 
foram removidos e o Vsftpd 2.3.4 oficial foi restaurado. Portanto, embora a presença do Vsftpd 2.3.4 não 
assegure que o alvo seja vulnerável, definitivamente, é uma ameaça a ser considerada. O teste de invasão 
se torna mais fácil se pegarmos uma carona com um invasor que já tenha o controle de um sistema.
Embora alguns cursos de testes de invasão excluam totalmente o scanning de vulnerabilidades e 
argumentem que um pentester habilidoso pode descobrir tudo o que um scanner pode, os scanners 
continuam sendo ferramentas valiosas, especialmente porque muitos testes de invasão são realizados 
em uma janela de tempo menor do que qualquer um gostaria de ter. Porém, se um dos objetivos da 
avaliação for evitar a detecção, deverá se pensar duas vezes antes de usar um scanner indiscreto de 
vulnerabilidades.
Muito embora as ferramentas sejam eficazes, às vezes nenhuma solução chegará nem perto da 
análise manual de vulnerabilidades para verificar se um serviço resultará em um comprometimento, e 
nada melhor do que a prática para se aperfeiçoar. A seguir, vamos explorar algumas pistas promissoras 
obtidas a partir do scanning de portas e de vulnerabilidades.
Como exemplo, podemos analisar uma porta que não costuma não aparecer em scans automatizados: 
a porta 3232 tendo como alvo Windows. Se tentarmos efetuar o scan dessa porta com um scan 
convencional, perceberemos que haverá uma falha. Esse comportamento sugere que o programa que 
está ouvindo é projetado para ouvir um dado de entrada em particulare que ele tem dificuldade de 
processar qualquer outra informação.
Esse tipo de comportamento é interessante para os pentesters porque os programas que falham 
quando lidam com dados de entrada indevidos não estão validando suas entradas de forma adequada.
147
SEGURANÇA EM REDES DE COMPUTADORES
 Observação
Existem diversas ferramentas automatizadas de exploração de 
vulnerabilidades, e os testes serão mais eficientes se o responsável unir 
a tecnologia com sua experiência, pois algumas ameaças estão além do 
ambiente tecnológico das redes.
7.2.3 Capturando tráfego
Antes de partir para exploração de falhas, deve-se usar as ferramentas de monitoração (o Wireshark 
é bem conhecido) e outras para efetuar o sniffing e a manipulação do tráfego de modo a obter 
informações úteis de outros computadores da rede local. Em um teste de invasão interno, quando 
estivermos simulando uma ameaça interna ou um invasor tiver conseguido acessar a periferia do sistema, 
capturar o tráfego de outros sistemas da rede poderá proporcionar informações adicionais interessantes 
(quem sabe até mesmo nomes de usuário e senhas) que poderão ajudar na exploração de falhas. O 
problema é que a captura de tráfego pode gerar uma quantidade massiva de dados potencialmente 
úteis. Capturar todo o tráfego somente em sua rede local pode fazer com que várias telas do Wireshark 
sejam preenchidas rapidamente, e descobrir qual tráfego é útil em um teste de invasão poderá ser difícil.
De modo diferente dos hubs, os switches enviam tráfego somente para o sistema desejado, portanto, 
em uma rede com switches, não podemos ver, por exemplo, todo o tráfego de rede para o controlador de 
domínio sem que enganemos a rede para que ela envie esse tráfego. A maioria das redes com as quais 
você se deparar nos testes de invasão provavelmente será composta de redes com switches; até mesmo 
alguns hardwares de redes legadas que utilizam hub podem ter a funcionalidade de um switch.
As redes virtuais parecem agir como hubs porque todas as suas máquinas virtuais compartilham um 
dispositivo físico. Se o tráfego for capturado em modo promíscuo em uma rede virtual, você poderá ver 
o tráfego de todas as máquinas virtuais bem como o do computador host, mesmo que um switch esteja 
sendo usado no lugar de um hub em seu ambiente. Para simular uma rede não virtualizada, desativa-se 
o Use promiscuous mode (Usar modo promíscuo) em todas as interfaces no Wireshark, o que significa 
que será necessário se esforçar um pouco mais para capturar o tráfego das máquinas virtuais alvo.
7.2.4 Exploração de falhas
É nessa fase que serão executados os exploits contra as vulnerabilidades descobertas para 
obter acesso aos sistemas-alvo. Algumas vulnerabilidades, por exemplo, o uso de senhas default, 
são tão fáceis de serem exploradas que nem parecem ser uma exploração de falhas. Outras são 
muito mais complicadas.
Retornemos ao exemplo anterior (MS08-067). É possível explorar um problema no servidor 
SLMail POP3 usando um módulo do Metasploit. Além disso, será possível pegar uma carona em um 
comprometimento anterior e ignorar o login no servidor FTP em nosso alvo Linux. Vamos explorar uma 
148
Unidade IV
vulnerabilidade na instalação do TikiWiki no alvo Linux e alguns problemas de senhas default em uma 
instalação do XAMPP no alvo Windows. Também vamos tirar proveito de um compartilhamento NFS 
com permissão de leitura e de escrita para assumirmos o controle de chaves SSH e fazer login como 
um usuário válido sem que tenhamos conhecimento da senha. Vamos interagir com um servidor web 
frágil em uma porta não padrão para tirar proveito de um problema de directory traversal (travessia de 
diretórios) e faremos o download de arquivos do sistema.
7.2.5 Ataques a senhas
Weidman lembra que:
geralmente, as senhas representam o ponto que oferece a menor resistência 
em atividades de testes de invasão. Um cliente com um programa robusto 
de segurança pode corrigir a falta de patches do Windows e evitar a 
existência de softwares desatualizados, porém os usuários em si não podem 
ser corrigidos (WEIDMAN, 2014, p. 247).
Os ataques aos usuários com maior êxito a senhas utilizam técnicas de engenharia social, porém, se 
for possível adivinhar ou calcular corretamente a senha de um usuário, poderá ser evitado totalmente 
seu envolvimento no ataque.
As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas; ataques 
por meio de força bruta e palpites embasados representam riscos sérios às senhas fracas. Muitas empresas 
utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para 
atenuar esses riscos. Até mesmos os web services como o Gmail e o Dropbox oferecem autenticação de 
dois fatores, em que o usuário fornece uma senha, além de um segundo valor, por exemplo, os dígitos 
de um token eletrônico. Se a autenticação de dois fatores não estiver disponível, o uso de senhas fortes 
será mandatório para garantir a segurança da conta, pois tudo o que estiver entre o invasor e os dados 
sensíveis poderá se reduzir a uma simples string. Senhas fortes são longas, utilizam caracteres de classes 
com diversas complexidades e não são baseadas em palavras que se encontram em dicionários.
As empresas podem forçar os usuários a criar senhas fortes, mas, à medida que as senhas se tornam 
mais complexas, elas se tornam mais difíceis de lembrar.
É provável que os usuários deixem uma senha da qual não conseguem se lembrar em um arquivo em 
seu computador, no smartphone ou até mesmo em um papel para recados, pois é mais fácil se lembrar 
delas dessa maneira. É óbvio que senhas que podem ser descobertas por aí em formato de texto simples 
colocam em risco a segurança proporcionada pelo uso de uma senha forte.
Outro pecado mortal para um bom gerenciamento de senhas consiste em usar a mesma senha em 
vários sites. Em um cenário de pior caso, a senha fraca do CEO usada em um fórum web comprometido 
pode ser a mesma usada para o seu acesso corporativo aos documentos financeiros. A reutilização 
de senhas é algo para ter em mente ao realizar ataques a senhas; você poderá encontrar as mesmas 
senhas sendo usadas em vários sistemas e sites.
149
SEGURANÇA EM REDES DE COMPUTADORES
O gerenciamento de senhas apresenta um problema difícil para a equipe de TI e é provável que 
continue a ser um caminho frutífero para os invasores, a menos que, ou até que a autenticação baseada 
em senhas seja completamente substituída por outro modelo.
Assim como usamos scans automatizados para descobrir vulnerabilidades, podemos usar scripts 
para tentar fazer login automaticamente em serviços e descobrir credenciais válidas. Serão utilizadas 
ferramentas projetadas para automatizar ataques on-line a senhas ou para fornecer palpites para as 
senhas até o servidor responder com um login bem-sucedido. Essas ferramentas usam uma técnica 
chamada força bruta. As ferramentas que usam a força bruta tentam usar todas as combinações possíveis 
de nome de usuário e senha e, se houver tempo suficiente, elas irão descobrir credenciais válidas.
O problema com a força bruta é que, à medida que senhas mais fortes são usadas, o tempo necessário 
para descobri-las por meio dessa técnica passa de horas para anos e até mesmo para um tempo maior 
que a duração natural de sua vida. Provavelmente, será possível descobrir credenciais funcionais 
mais facilmente se forem fornecidos palpites embasados sobre as senhas corretas a uma ferramenta 
automatizada de login. Palavras que se encontram em dicionários são fáceis de serem lembradas, 
portanto, apesar dos avisos de segurança, muitos usuários as incorporam nas senhas. Usuários um 
pouco mais conscientes quanto à segurança colocam alguns números ou até mesmo um ponto de 
exclamação no final de suas senhas.
Uma lista de palavras deve ser desenvolvida antes da utilização de uma ferramenta para adivinhar senhas, 
e é preciso ter uma lista de credenciais para experimentar. Se você não souber o nome daconta do usuário 
cuja senha você quer quebrar, ou se quiser simplesmente fazer o cracking do máximo possível de contas, é 
possível fornecer uma lista de nomes de usuário a ser percorrida pela ferramenta que adivinha senhas.
As listas de usuários devem ser criadas onde inicialmente devemos procurar determinar o esquema 
a ser usado pelo alvo do teste para os nomes de usuário. Por exemplo, se você estiver tentando invadir 
as contas de e-mail dos funcionários, descubra o padrão seguido pelos endereços de e-mail. Esse padrão 
corresponde ao primeiro nome/sobrenome, somente ao primeiro nome ou é algo diferente?
Você pode dar uma olhada em bons candidatos a nomes de usuário em listas de primeiro nome e 
sobrenome comuns. É claro que haverá mais chances de os palpites terem mais sucesso se você puder 
descobrir os nomes dos funcionários de seu alvo.
Se uma organização usar a inicial do primeiro nome seguido de um sobrenome como o esquema 
para o nome do usuário, e eles tiverem um funcionário chamado Carlos Silveira, csilveira provavelmente 
será um nome válido de usuário.
 Observação
Pesquisas revelam que 60% dos usuários de redes corporativas utilizam 
senhas fracas, o que facilita o ataque de força bruta. Assim, os testes de 
invasão são eficazes para verificar se a norma está sendo cumprida.
150
Unidade IV
7.2.6 Explorando falhas do lado da organização
Nesse tipo de teste, é comum descobrir serviços vulneráveis ouvindo portas, senhas default que não 
foram alteradas, servidores web indevidamente configurados e assim por diante.
Entretanto, organizações que investem bastante tempo e esforço em sua atitude quanto à 
segurança podem estar livres desses tipos de vulnerabilidade. Pode-se instalar todos os patches 
de segurança, efetuar auditorias periódicas em senhas e remover qualquer uma que possa ser 
facilmente adivinhada ou quebrada. Também é possível controlar os papéis dos usuários: usuários 
normais podem não ter direitos de administrador em suas estações de trabalho e qualquer software 
instalado é investigado e mantido pela equipe de segurança. Como resultado, poderá não haver 
muitos serviços nem para tentar atacar.
Mesmo assim, apesar da implantação das melhores e mais recentes tecnologias de segurança e do 
emprego de equipes de segurança contra cracking, organizações de destaque (que podem resultar em 
recompensas potencialmente valiosas para os invasores) continuam sendo invadidas.
Às vezes, não é necessário escutar diretamente uma porta no computador. Como é preciso pensar 
em outra maneira de atacar um dispositivo dentro do perímetro de uma organização, deve-se selecionar 
o payload de acordo com esse cenário. Enquanto um bind shell normal pode funcionar bem em sistemas 
diretamente expostos à internet ou que estejam ouvindo uma porta em nossa rede local, nesse caso, no 
mínimo, estaremos limitados a conexões reversas.
Nos ataques do lado da organização, em vez de atacar diretamente um serviço que esteja ouvindo 
uma porta, será necessário criar uma variedade de arquivos maliciosos que, quando abertos em um 
software vulnerável no computador-alvo, resultarão em um comprometimento.
Após a execução de ferramentas, análises manuais e pesquisas, as possibilidades de exploração de 
falhas se reduzem gradualmente, restando um número limitado de problemas nos sistemas-alvo. Esses 
problemas correspondiam a entraves do lado do servidor, ou seja, de serviços que estavam ouvindo 
portas. O que está sendo deixado de lado é qualquer software potencialmente vulnerável que não esteja 
ouvindo uma porta, ou seja, softwares do lado da organização.
Softwares como navegadores web, visualizadores de documentos, players de música e assim por 
diante estão sujeitos aos mesmos tipos de problema que os servidores web, os servidores de e-mail e 
todos os demais que programas baseados em rede apresentam.
Obviamente, como os softwares do lado da organização não estão ouvindo a rede, não será possível 
atacá-los diretamente, porém o princípio geral será o mesmo. Se pudermos enviar um dado de entrada 
não esperado a um programa para acionar uma vulnerabilidade, podemos sequestrar a execução da 
mesma maneira que exploramos os programas do lado do servidor. Como não podemos enviar dados 
de entrada diretamente aos programas do lado do cliente pela rede, devemos convencer um usuário a 
abrir um arquivo malicioso.
151
SEGURANÇA EM REDES DE COMPUTADORES
Se a segurança for levada mais a sério e as vulnerabilidades do lado do servidor ficarem mais difíceis 
de serem descobertas do ponto de vista da internet, a exploração de falhas do lado do cliente se tornará 
a chave para obter acesso até mesmo em redes internas cuidadosamente protegidas. Os ataques ao 
lado do cliente são ideais em equipamentos como estações de trabalho ou dispositivos móveis que não 
possuem um endereço IP disponível na internet.
Embora, do ponto de vista da internet, não seja possível acessar diretamente esses sistemas, eles 
normalmente podem acessar a internet ou um sistema controlado por um pentester, caso a execução 
puder ser sequestrada.
Infelizmente, o sucesso de ataques do lado da organização depende de garantir, de certo modo, que 
nosso exploit seja baixado e aberto em um produto vulnerável para concretizar o ataque.
7.3 Segurança em tecnologias emergentes
Os administradores de redes devem aperfeiçoar constantemente suas habilidades quanto às novas 
tecnologias e suas implicações no quesito segurança, uma vez que essas tecnologias demostram 
quase sempre redução de custos ou melhorias significativas de desempenho. Infelizmente, é comum 
que as empresas deixem a segurança das informações em segundo plano, e é responsabilidade dos 
administradores de redes trazer à tona discussões relevantes sobre o tema.
7.3.1 Cloud computing
A computação em nuvem ou cloud computing refere-se a uma tecnologia antiga que ganhou força 
em 2008. Nada mais é do que utilizar, armazenar, desenvolver dados, informações ou aplicações das 
mais variadas formas através da internet, seja no local, seja na plataforma.
O e-mail que é acessado pelo navegador sempre esteve na nuvem, porém a partir de 2008 foram 
desenvolvidas soluções comerciais que, além de facilitar a administração, reduzem custos.
Com a computação em nuvem, os aplicativos e os arquivos não precisam mais estar instalados ou 
armazenados no computador do usuário ou em um servidor próximo. Esse conteúdo está disponível na 
nuvem, isto é, na internet.
Assim, o fornecedor das aplicações fica com todas as tarefas de gerenciamento e manutenção desses 
dados, como armazenamento, atualização, backup, escalonamento. Os clientes e/ou organizações não 
precisam se preocupar com nenhum desses aspectos, apenas em acessar e utilizar seus e-mails.
152
Unidade IV
]
Figura 40 – Utilização da nuvem
Exemplo prático dessa situação é o Office 386, da Microsoft, serviço que disponibiliza aos usuários 
acesso aos recursos do pacote de forma inteiramente on-line. O usuário deve possuir acesso à internet, 
pagar o serviço e criar sua conta e senha e através de qualquer navegador o acesso será fornecido.
Com as vantagens e a constante ampliação dos serviços em nuvem – aliados à mobilidade e ao 
aumento da velocidade de conexão –, os serviços estão migrando para a nuvem em um caminho quase 
que sem volta, não sendo possível aos administradores negarem a sua utilização ou simplesmente 
ignorarem o fato de que as organizações utilizarão os serviços, restando apenas garantir que essa 
migração seja realizada de forma segura. No caso específico da implantação de serviços em nuvem, a 
primeira preocupação dos administradores é com a disponibilidade dessas informações.
É muito provável que os executivos acabem adotando serviços em nuvem por acreditarem que 
uma de suas características possa trazer benéficos; o maior apelo, como sempre, seria o financeiro, mas 
existem outras características.
Quadro 30 
Benefícios Características
 Diversidade Pode-se acessar as aplicações independentementedo sistema operacional ou do equipamento utilizado
 Redução de custos com atualização 
do parque e segurança da informação 
Não é necessária a preocupação com a estrutura para executar 
a aplicação – hardware, procedimentos de backup, controle de 
segurança, manutenção, entre outros
 Unicidade de informações em 
qualquer lugar 
O trabalho colaborativo se torna mais fácil, pois todos os usuários 
acessam as aplicações e os dados do mesmo lugar: a nuvem
 Disponibilidade 
 Dependendo do fornecedor, é disponibilizada alta disponibilidade 
computacional: caso um servidor pare de funcionar, os demais que 
fazem parte da estrutura continuam a oferecer o serviço 
 Controle de gastos O usuário pode contar com melhor controle de gastos, pois contrata somente o que irá utilizar
153
SEGURANÇA EM REDES DE COMPUTADORES
Estão disponibilizados os mais diversos serviços em nuvem, e a seguir ilustraremos os mais 
comumente oferecidos.
• Software as a Service (SaaS) ou Software como Serviço: formato de serviço em que o contratante 
não necessita adquirir a licença de uso para instalar ou mesmo investir em computadores, ele 
simplesmente contrata os serviços de software por assinatura e paga um valor periódico pelo uso 
por um tempo definido em contrato.
• Platform as a Service (PaaS) ou Plataforma como Serviço: é uma solução que, na maioria das 
vezes, inclui todos ou quase todos os recursos necessários ao trabalho, como armazenamento, 
banco de dados, escalabilidade (aumento automático da capacidade de armazenamento ou 
processamento), suporte a linguagens de programação e segurança.
• Database as a Service (DaaS) ou Banco de Dados como Serviço: é oferecido aos clientes 
que desejam o fornecimento de serviços para armazenamento e acesso de volumes de dados. A 
vantagem está na flexibilidade para expandir o banco de dados, compartilhar as informações com 
outros sistemas.
• Infrastructure as a Service (IaaS) ou Infraestrutura como Serviço: muito semelhante ao 
PaaS, porém destinado à estrutura de hardware ou de máquinas virtuais, com o usuário tendo 
inclusive acesso a recursos do sistema operacional.
• Testing as a Service (TaaS) ou Teste como Serviço: disponibiliza ambiente de teste das 
aplicações de sistemas desenvolvidos pelo cliente, inclusive como simulações do comportamento 
desses sistemas em nível de execução.
Quando os administradores de redes se deparam com a implantação de um ou mais desses serviços 
em nuvem, devem ter consciência que os problemas de segurança apenas mudaram de endereço, não 
deixaram simplesmente de existir. Assim, a análise no aspecto de segurança deverá considerar qual 
formato de nuvem a organização adotou.
As nuvens podem ser estruturadas em três formatos diferentes, sendo públicas, privadas ou híbridas. 
A nuvem pública fornece determinados serviços em plataformas distantes (gerenciadas por um terceiro) 
que são acessadas através da internet. Já a nuvem privada ou private cloud apresenta os mesmos 
benefícios, inclusive os usuários da rede nem percebem a diferença entre as duas, porém o que ocorre 
por trás faz toda diferença: os equipamentos e sistemas utilizados para constituir a nuvem ficam dentro 
da infraestrutura da própria corporação; em outras palavras, é uma nuvem particular, um terceiro modo 
aparece para unificar as duas e as nuvem híbridas mesclam as nuvens privadas, que geralmente ficam para 
as atividades mais críticas ao negócio ou que sofrem imposição legal. Para o modelo privado, resta tudo o 
que não for crítico ou imposto pela lei, proporcionando segurança, desempenho e redução de custos.
Assim, no tocante à segurança da informação, os dados disponibilizados em nuvem devem traçar 
objetivos distintos para cada formato. Para nuvens privadas, os princípios de segurança seguem os 
modelos estudados até aqui, como autenticação, configuração de dispositivos e assim por diante. Nesse 
154
Unidade IV
contexto, a configuração será realizada no local pelo próprio responsável pela rede e sua equipe. Nos casos 
de nuvens públicas, as preocupações são exatamente as mesmas, porém a configuração e a manutenção 
não ficarão a cargo do responsável pela rede e sua equipe, e sim de um terceiro. Não se engane, pois 
isso não retira a responsabilidade pelos ativos ali transmitidos, deve-se encarar a operação considerando 
a esfera jurídica. Então, caberá ao cliente (contratante) estabelecer o seguinte: um contrato muito 
bem redigido, constando de todas as necessidades de segurança nos aspectos de confidencialidade, 
integridade e, principalmente, disponibilidade das informações; multas elevadas (no mínimo duas 
vezes o valor do ativo de informação) para os casos de vazamento de informações, indisponibilizando 
o serviço, mesmo que temporariamente; auditorias presenciais, se possível, ou remotas nos casos das 
nuvens muito distantes; por fim, os corriqueiros testes de invasão.
Aparentemente, as nuvens híbridas parecem mais eficazes pensando em segurança da informação, e 
elas realmente são, e o motivo é bem óbvio: a terceirizada usa apenas as informações menos importantes da 
organização, o restante fica protegido pelas políticas de segurança da própria organização, que as gerencia.
 Lembrete
Para ter uma nuvem híbrida protegida, os responsáveis devem estar 
atentos aos princípios de classificação da informação e de análise de risco, 
inclusive para efeitos de contrato.
7.3.2 IoT – Internet das Coisas
O conceito de IoT surgiu em 1992 para definir algo que estava sendo viabilizado com a introdução 
do IPV6 (que multiplicou o número de endereços IP válidos na internet). A partir desse momento, 
iniciaram-se os estudos para introduzir exatamente tudo na internet, desenvolvendo uma rede de 
objetos físicos, veículos, prédios e outros que possuem tecnologia embarcada, sensores e conexão com 
rede capaz de coletar e transmitir dados.
Hoje o termo já está incorporado em nosso cotidiano, a exemplo das câmeras de segurança conectadas 
à internet, televisores, geladeiras, casas, automóveis, enfim, todos ligando as coisas físicas à grande rede.
Os administradores de redes sabem que está cada vez mais difícil encaixar a segurança das informações 
e, por que não dizer, a segurança física dentro desse cenário sem retorno e extremamente instável.
Antes, esses profissionais deveriam se preocupar apenas com sua segurança perimetral, agora devem 
enfrentar o avanço da tecnologia rumo à sua convergência com as demais, como bigdata, inteligência 
artificial, mobilidade, moedas criptográficas, blockchain e computação na nuvem. O administrador sabe 
que as decisões sobre segurança devem ser tão rápidas como o avanço dessas tecnologias emergentes.
Tudo o que apreendemos sobre segurança deverá se adaptar a essa nova realidade. Comumente há 
funcionários conectados à rede corporativa de qualquer lugar do mundo realizando reuniões dentro de 
seus veículos ou por meio de celulares. Essas pessoas processam e geram informações importantes e 
155
SEGURANÇA EM REDES DE COMPUTADORES
confidencias, que requerem o mesmo grau de proteção daquelas que estão nos servidores corporativos 
na organização, independentemente de estarem na nuvem.
Essas características de praticidade são fantásticas quando se trata de negócios, mas quando o 
assunto é segurança da informação elas se tornam um pesadelo, uma vez que as pessoas estão se 
preocupando menos com os princípios de segurança, abrindo muitas vulnerabilidades. Por sua vez, 
os administradores de redes devem procurar conhecer as brechas existentes. Não se deve apenas 
introduzir soluções caríssimas de proteção, mas também usar soluções simples, como a compra de 
protetores que fecham as câmeras dos notebooks e celulares corporativos. Assim, mesmo que o 
cracker consiga o acesso remoto e acione a câmera, não terá êxito em acioná-la. Por fim, salienta-se 
que a política da organização e a legislação são fundamentais e, se tudo der errado, deve-se recorrer 
a um bom plano de recuperação.
8 PROCESSOS DE SEGURANÇA DA INFORMAÇÃO
A informaçãoé dos bens mais valiosos de uma empresa. Para protegê-la, utilizam-se vários métodos 
e padrões que visam garantir sua confidencialidade, integridade e disponibilidade. Uma das ferramentas 
para proteção das informações é a política de segurança, que irá determinar de forma clara e simples 
como a empresa pretende proteger suas informações. A política irá orientar de forma consciente a 
conduta das pessoas e servirá de base para a criação de normas, padrões e procedimentos de segurança 
que irão auxiliar o usuário a atender à política de segurança.
Antigamente, as informações das empresas estavam centralizadas, poucas pessoas (funcionários) 
tinha acesso à informação de um computador. Eram raras as pessoas que tinham acesso ao famoso 
CPD (Centro de Processamento de Dados). Com o avanço das novas tecnologias de informação, as 
empresas começaram a disponibilizar computadores para todos os funcionários para que as atividades 
fossem realizadas com mais rapidez e precisão. Hoje é possível fazer isso de qualquer lugar. Quando 
as informações estavam centralizadas, o controle era fácil, pois eram poucos os envolvidos, mas com 
a descentralização o controle ficou muito mais difícil. Para determinar como todos deveriam agir, as 
empresas passaram a adotar regulamentações internas, chamadas de política de segurança.
Um aspecto importante a ser considerado é a grande miscigenação no mundo, no Brasil principalmente. 
Tal aspecto é interessante, pois é possível compartilhar culturas e percepções de mundo. Todavia, dentro 
das empresas, se cada funcionário tratar uma informação conforme sua percepção, as informações 
ficarão vulneráveis, daí a importância da política de segurança, que deverá orientar a conduta de todos.
As pessoas dentro das empresas interagem constantemente, ouvem, visualizam, verbalizam e 
manipulam informações o tempo todo, e isso precisa ser regulamentado pela organização, assim ela 
poderá proteger informações de ativos, garantindo sua confidencialidade, integridade e disponibilidade.
A política de segurança deve ser elaborada com base nas melhores práticas de mercado, por exemplo, 
ISO/IEC 27001 e ISO/IEC 27002, seguindo a legislação local e considerando a realidade do ambiente da 
empresa. É importante que essa política seja publicada e esteja disponível em canais para todos os 
funcionários, conscientizando todo o grupo quanto à segurança da informação. Pode-se publicar esse 
156
Unidade IV
conteúdo de forma impressa ou digital e, se necessário, até mesmo em Braille (sistema de leitura com o 
tato para portadores de deficiência visual).
Além dos aspectos acentuados, é preciso observar a legislação nacional e internacional, que estão 
acima da política corporativa de segurança da informação. Caso tudo der errado, deve-se ter um plano 
de continuidade do negócio para não parar as operações até mesmo em situações extremas.
8.1 Política, normas e procedimentos de segurança da informação
A política de segurança tem como objetivo principal direcionar um programa efetivo de proteção dos 
ativos de informação, tais como base de dados, documentos, arquivos e outros. A partir de sua concepção, 
será possível fixar os procedimentos operacionais, as instruções de trabalho e os padrões de segurança.
A política de segurança é o conjunto de diretrizes da empresa que visa proteger as informações da 
empresa e de seus clientes com base nos princípios de segurança da informação (confidencialidade, 
integridade e disponibilidade), nas melhores práticas de mercado, bem como nos padrões nacionais 
e internacionais.
Toda política de segurança possui duas filosofias explícitas:
• filosofia proibitiva: tudo que não é expressamente permitido é proibido;
• filosofia permissiva: tudo que não é proibido é permitido.
Uma política de segurança não deve conter detalhes técnicos de mecanismos ou procedimentos 
que deverão ser usados, e sim regras gerais que se apliquem a toda a empresa. Esses detalhes serão 
especificados nas normas de segurança. Podemos dizer que:
• Política: o que fazer (em nível estratégico);
• Normas: o que fazer (em nível tático);
• Procedimentos: como fazer (em nível operacional).
Política
Normas
Procedimentos
Figura 41 – Hierarquia
157
SEGURANÇA EM REDES DE COMPUTADORES
A hierarquia de política e das normas deve ser clara para todos os funcionários e colaboradores 
da empresa.
Para Campos (2007), a política pode ser um documento único, com todas as diretrizes, normas e 
procedimentos, portanto, todos deverão ser documentados, com um controle de versão e revisão para 
garantir a relevância desses registros. É importante destacar que, na política, os procedimentos são 
desdobramentos das normas, que, por sua vez, são desdobramentos das diretrizes. Se houver relação desses 
três elementos na política, então ela estará alinhada.
A política de segurança deve ser baseada nas recomendações da norma ABNT NBR ISO/IEC 27002 
(ABNT, 2005), reconhecida mundialmente como um código de melhores práticas para a segurança da 
informação, bem como estar de acordo com as leis vigentes em nosso país.
Para o desenvolvimento de uma política de segurança, é necessário realizar uma análise de riscos da 
empresa, que deve considerar os seguintes aspectos:
• O que deve ser proteger?
• Quais são as possíveis ameaças aos ativos de informação?
• Valor/importância de cada ativo de informação.
• Grau de proteção desejado pela empresa.
• Possíveis impactos no caso de perda de informações.
• Qual o custo? Quanto a empresa está disposta a investir?
• Auditoria (medição de quão efetiva está sendo a política).
Requisitos do 
negócio
Controles
Requisitos 
legais
Análise dos 
riscos
Política de 
segurança
Figura 42 – Agentes que influenciam a criação da política
158
Unidade IV
A política de segurança deve ser implementada de forma realista com o ambiente da empresa e 
cultura do quadro de funcionários. Assim, deverá prever:
• As sanções, caso não seja observada;
• Atualizações periódicas com base no negócio da empresa e no avanço tecnológico.
• Responsabilidades de todo os envolvidos (setor executivo e funcionários).
Na criação da política de segurança, recomenda-se que seja realizada com a participação de algumas 
áreas específicas das empresas, como:
• Segurança da Informação.
• Tecnologia.
• Recursos Humanos.
• Jurídico.
• Comitê Executivo de Segurança da Informação.
Conforme o caso, outras áreas da empresa poderão ser envolvidas.
A política de segurança resume os princípios de segurança da informação que a empresa entende 
como vital para o desenvolvimento de suas atividades e destaca a preocupação da empresa com a 
segurança de suas informações e de seus clientes.
As normas de segurança da informação estão em um nível abaixo da política de segurança, que 
serve de base para sua criação. As normas irão tratar de assuntos específicos dentro da empresa e serão 
elaboradas com base nas recomendações da norma ISO/IEC 27002 (ABNT, 2005) e de acordo com as leis 
vigentes em nosso país.
A seguir, serão acentuados alguns exemplos de normas que podem ser elaboradas para a proteção 
das informações:
• Classificação da informação: regras para o tratamento e a rotulação das informações conforme 
seu nível de criticidade para a empresa.
• Usuários de rede: princípios que orientam o comportamento do usuário na rede da empresa, 
desde criação, inclusão, alteração, manuseio, armazenamento e descarte de informações na rede, 
bem como a conexão de equipamentos lá, o uso de senhas e o bloqueio de estações de trabalho 
na ausência do funcionário.
159
SEGURANÇA EM REDES DE COMPUTADORES
• Administradores de redes: medidas que orientam os administradores de rede em suas atividades 
com base nas regras fixadas aos usuários.
• Uso de internet: códigos que designam o que usuário poderá ou não fazer com o uso da internet 
concedida pela empresa para fins exclusivamente do trabalho.
• Uso de e-mail: regras que definem o que o usuário poderá ou não fazer no uso do e-mail 
corporativoconcedido pela empresa para fins exclusivamente do trabalho.
• Uso de equipamentos portáteis: diretrizes que fixam o que o usuário deverá fazer ou não 
quando do uso de equipamentos portáteis (notebooks, smartphones, tablets) concedidos pela 
empresa para o desenvolvimento das atividades laborais.
• Redes sem fio (wireless): normas que indicam o uso correto de redes sem fio disponibilizadas 
pela empresa aos seus funcionários para atividade exclusiva de trabalho.
• Acesso remoto: códigos que definem o que fazer quando for usado o acesso remoto (externo e 
interno) à rede da empresa nas situações em que o usuário não estiver em seu local de trabalho 
e precisar acessar a rede da empresa.
• Segurança lógica: regra que dispõe orientações para evitar que usuários não autorizados se 
conectem ou obtenham acesso lógico a sistemas e aplicações da empresa. Recomenda-se também 
a monitoração periódica dos acessos e privilégios concedidos.
• Segurança física: definição de padrões de segurança física para as instalações da empresa. 
Descrevem-se os controles necessários para acesso e circulação dos usuários e de terceiros dentro 
da empresa.
• Dispositivos de armazenamento: regras que orientam os usuários quando estes necessitarem 
utilizar um dispositivo de armazenamento (DVD, CD, pendrive, entre outros) dentro do ambiente 
da empresa.
• Mesa limpa: diretrizes que orientam os usuários na organização de sua mesa trabalho, evitando 
que documentos confidenciais fiquem expostos na mesa dele quando estiver ausente.
• Desenvolvimento de sistemas: norma que determina as regras para a criação de qualquer novo 
sistema ou aplicação no ambiente da empresa. Essas regras devem ser aplicadas nas fases de 
produção, teste e validação do sistema.
• Controle de acessos: define responsabilidades e critérios para concessão, manutenção, revisão 
e revogação de acessos a sistemas de informação em produção, processados, armazenados e/ou 
acessados em ambientes de alta ou de baixa plataforma, próprios ou de terceiros, de forma a 
garantir que apenas usuários autorizados tenham acesso à informação.
160
Unidade IV
• Certificação digital: fixa a gestão de certificado digital dentro da empresa, descrevendo as 
responsabilidades de usuários e gestores envolvidos no processo.
• Manuseio e troca de dados: determina o manuseio e a troca de dados no âmbito da empresa, 
sendo o dado ou a informação dentro da própria rede da empresa ou aquelas inseridas ou retiradas 
na rede por outra parte externa.
• Remanejamento e descarte de equipamentos: documento que orienta o usuário para quando 
ele precisar descartar ou remanejar um equipamento que não irá mais utilizar ou que será 
substituído por outro.
• Computação em nuvem: regras claras e que atendam aos requisitos legais e anseios da organização.
• Plano de continuidade de negócio: diretrizes que definem e orientam sobre a necessidade de 
existência de plano de continuidade de negócio da empresa em caso de interrupção inesperada 
do serviço, especificando tanto os responsáveis pelo plano como as medidas necessárias.
Convém notar que as normas de segurança e a política sejam acompanhadas dos termos e definições 
específicos que foram adotados na composição da referida norma. Em alguns casos, a empresa pode 
disponibilizar um documento específico sobre termos e definições, mas é obrigatório que isso seja citado 
no referido documento.
 Lembrete
A política e as normas corporativas de segurança da informação, mesmo 
amparadas nos aspectos legais e de melhores práticas, devem sempre 
refletir a cultura da organização.
Agora vamos destacar os procedimentos de segurança da informação, que são documentos da 
empresa que detalham como determinadas diretrizes da política ou das normas podem ser atendidas 
pelos usuários. São também chamados de documentos operacionais.
Em alguns casos, as empresas adotam documentos específicos para subsidiar o usuário a cumprir 
corretamente a política e as normas, podendo ser uma cartilha, um manual ou até mesmo um termo 
de uso. Este último pode ter duas finalidades: atribuir ao usuário a responsabilidade por algum ativo de 
informação e indicar a forma correta do uso desse ativo. Independentemente da forma, os procedimentos 
têm função vital no programa de segurança da informação, pois irão orientar o usuário em relação ao 
“como fazer” cumprir o fixado na norma de segurança.
Os procedimentos também seguem os padrões descritos nas recomendações da norma ISO/IEC 27002 
(ABNT, 2005) e, de acordo com as leis vigentes em nosso país, não se limitam a apenas esses 
dispositivos, pois em alguns casos o procedimento pode considerar o manual técnico de uso do ativo 
de informação ao qual a norma venha fazer referência. Os procedimentos irão descrever, por perfil 
161
SEGURANÇA EM REDES DE COMPUTADORES
operacional, cada ação e atividade associada a cada situação distinta de uso das informações ou do 
próprio ativo da empresa.
Observe o exemplo: a norma de segurança determina que o usuário bloqueie a sua estação de 
trabalho ao se ausentar desta, bem como que as estações de trabalho sejam bloqueadas após cinco 
minutos sem atividade. Por sua vez, os procedimentos irão orientar, no caso, o administrador da rede 
em como fazer com que isso ocorra tecnicamente (bloqueio automático), nesse caso, o procedimento 
será um manual.
É importante lembrar o seguinte: na análise de risco realizada para elaboração da política ou das 
normas de segurança, os procedimentos devem ser considerados para que não haja o risco de se criar 
uma diretriz que não possa ser cumprida em virtude de impossibilidade técnica do ativo de informação 
ou do processo que o envolve.
Prosseguindo nosso estudo, destacamos os padrões de segurança da informação. A política, as normas 
e os procedimentos de segurança da informação são elaborados seguindo padrões internacionais de melhores 
práticas em segurança da informação e as leis vigentes no país. Em relação às normas internacionais, 
acentuam-se a ISO/IEC 27001 e a ISO/IEC 27002, mas outros padrões também podem ser utilizados.
As melhores práticas de mercado são documentos criados por organizações internacionais e que 
servem como recomendações para a maioria das empresas. Elas não são obrigatórias, mas, devido ao 
uso em grande escala e a sua credibilidade, elas se tornaram um requisito fundamental para as empresas 
demonstrarem sua preocupação com a segurança das informações, tornando-se um selo que acaba 
agregando valor ao negócio.
Alguns padrões internacionais são utilizados para servirem de criação, atualização e monitoramento 
da eficácia das políticas, normas e procedimentos de segurança da informação. Vamos destacar 
resumidamente alguns deles a seguir:
ISO/IEC 27001 e ISO/IEC 27002
As ISOs publicadas são acompanhadas e validadas também pelo IEC (International Electrotechnical 
Commision), por isso a sigla ISO/IEC. No Brasil, a entidade oficial que representa, disponibiliza e traduz 
essas normas é a ABNT (Associação Brasileira de Normas Técnicas), por isso as normas da ISO usadas no 
Brasil recebem a sigla ABNT NBR ISO/IEC.
A ISO/IEC 27001 (ABNT, 2006) foi baseada e substitui o BS 7799 parte 2, o qual não é mais válido. 
Essa mudança ocorreu em 2005.
BS 7799
É uma norma padrão de segurança que foi desenvolvida em 1995 na Inglaterra pela British Standard, 
sendo dividida em duas partes. A primeira homologada pela ISO/IEC em 2000 e a segunda em 2002. 
A BS 7779 (atual 27001) e a ISO 17799 (atual 27002). O quadro a seguir destaca a família 27000.
162
Unidade IV
Quadro 31 
Normas Descrição 
 ISO 27000 Vocabulário de gestão da segurança da informação
 ISO 27001 Define os requisitos para implementação de um sistema de gestão
 ISO 27002 Código de boas práticas para gestão de segurança da informação
 ISO 27003 Guia para implementação do sistema de gestão de segurança da informação
 ISO 27004 Define métricas e meios de medição para avaliação e eficácia de um sistema de gestão de segurança da informaçãoISO 27005 Define linhas de orientação para gestão do risco da segurança da informação
 ISO 27006 
Requisitos e orientações para os organismos que prestam serviços 
de auditoria e certificação de um sistema de gestão da segurança da 
informação 
 ISO 27007 Define critérios específicos para auditoria dos processos do sistema de gestão da segurança da informação 
Cabe ressaltar que as normas 27000 e 27006 ainda não foram publicadas, e não há previsão 
para isso.
ISO 31000
Fornece princípios e diretrizes para a gestão de riscos. Podemos observar que atualmente as empresas 
possuem equipes que agem isoladamente, avaliando os seus riscos por meio de diversas ferramentas. 
Nesse contexto, essa norma tem o propósito de orientar as empresas para que desenvolvam, programem 
e melhorem continuamente a integração dessas áreas para, consequentemente, integrarem seus 
processos de gestão de riscos, o que pode trazer vários benefícios para toda empresa.
ISO Guia 73
Dispõe as definições de termos genéricos relativos à gestão de riscos. Destina-se a incentivar uma 
compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à 
gestão de riscos e à utilização de terminologia uniforme de gestão de riscos em processos e estruturas 
para gerenciar riscos.
COBIT (Control Objectives for Information and related Technology)
É um guia de boas práticas apresentado como framework e dirigido para a gestão de tecnologia de 
informação. Possui alguns recursos que podem servir como um modelo de referência para gestão da 
TI. Muitos especialistas em gestão de TI e institutos independentes recomendam o uso do COBIT como 
ferramenta para otimizar investimentos de TI e como um indicador para ter uma melhor gestão. Cabe 
salientar que muitos institutos realizam suas auditorias com o COBIT.
163
SEGURANÇA EM REDES DE COMPUTADORES
Sarbanes-Oxley
É uma lei americana que tem seus reflexos no mundo inteiro. Sua criação foi motivada por 
escândalos financeiros coorporativos e sua redação tem o objetivo de evitar o esvaziamento dos 
investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito 
da governança adequada das empresas. A lei orienta quanto à criação de mecanismos de auditoria 
por meio de comitês que podem supervisionar as operações da empresa, diminuindo os riscos para o 
negócio e mitigando fraudes. A transparência na gestão da empresa é indicada pela lei como ferramenta 
de credibilidade. Muitas empresas do mundo que se relacionam com o mercado americano (EUA) se 
comprometem a observar os princípios dessa lei. Destaca-se que os padrões elencados nesse item não 
se limitam apenas a eles e alguns, apesar do título não relacionado à segurança da informação, fazem 
referência a ela em seu conteúdo.
Legislações e padrões nacionais
As empresas também seguem vários padrões nacionais para manter sua atuação no mercado e 
garantir a segurança das informações corporativas e também de seus clientes.
Podemos elencar alguns dispositivos e órgãos normativos nacionais:
• Constituição Federal; Código Civil; Código Penal; Banco Central; CVM (Comissão de Valores 
Mobiliários); ABNT.
• Lei n. 105/2001 (Lei do Sigilo Bancário – voltada principalmente às instituições financeiras).
• Decreto n. 3.505/2000 (Política Nacional de Segurança da Informação – voltado às informações 
governamentais)
• Decreto n. 5.495/2005 (Política Nacional de Segurança da Informação – dá nova redação ao 
Decreto n. 3.505/2000).
• Decreto-lei n. 4.553/2002 (Classificação da Informação – voltado às informações governamentais).
• Lei Federal n. 8159/1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados).
• Lei n. 9609/1996 (Dispõe sobre Programa de Computador – Lei do Software).
• Lei n. 9610/1998 (Dispõe sobre o Direito Autoral).
• Lei n. 9279/1996 (Dispõe sobre Propriedade Intelectual).
• Lei n. 12.965/14 (é o Marco Civil da Internet e regula seu uso).
164
Unidade IV
 Observação
Dependendo da localização geográfica da empresa que vai implementar 
a política e as normas de segurança, também deverão ser observados os 
tratados internacionais, as leis territoriais ou até mesmo leis estaduais ou 
municipais.
Em alguns casos, até mesmo os aspectos étnicos e culturais da empresa 
e seu quadro de funcionários deverão ser considerados.
8.2 A legislação e o direito digital
O direito digital é a evolução do próprio Direito e abrange os institutos e princípios fundamentais 
de áreas do Direito. As novas tecnologias da informação, em especial a internet, facilitam a geração, o 
compartilhamento e o armazenamento das informações, e isso precisa ser regulamentado, pois nesse 
processo existem pessoas se relacionando entre si ou com empresas por meio de produtos e serviços.
Hoje o Brasil não possui uma legislação específica para regular as relações no mundo virtual, porém 
95% dos casos levados ao Ministério Público são solucionados com base na legislação vigente. Ainda 
existem algumas situações que a norma não atende, mas isso já é objeto de apreciação em projetos de 
leis em andamento no Congresso Nacional.
Boa parte dos magistrados entende que a internet é apenas uma nova ferramenta que pode 
contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o que 
podemos chamar de evidência ou até mesmo de prova e, consequentemente, gera um efeito jurídico, 
por exemplo:
• O fechamento de um contrato por meio de um simples “ok” em uma mensagem de e-mail gera 
compromissos para as partes.
• Uma ofensa deferida a uma pessoa ou empresa por meio de uma mensagem de e-mail ou post 
numa rede social pode gerar uma obrigação de reparação ao autor da ofensa.
Em ambos os casos citados, o Direito é que vai buscar a satisfação das partes, conforme seus direitos 
ou deveres pleiteados, de modo similar ao que ocorre no “mundo real”. Cabe salientar que as novas 
tecnologias potencializaram a ocorrência de determinadas situações ou ações, tanto no número de 
vezes que ela pode ocorrer quanto no resultado de qualquer ato praticado.
Muitas pessoas dizem que a internet é uma “terra sem lei”, mas isso não é uma verdade. A internet 
hoje é regulamentada da seguinte forma:
165
SEGURANÇA EM REDES DE COMPUTADORES
• No mundo:
— ONU (Organização das Nações Unidas)
— ICANN (Internet Corporation for Assigned Names and Numbers – Corporação da Internet para 
Atribuição de Nomes e Números)
– Instituição sem fins lucrativos formada para assumir responsabilidades e estabelecer normas 
acerca de aspectos técnicos da internet, tais como endereços de IP.
— UNCITRAL (United Nations Commission on International Trade Law – Comissão das Nações 
Unidas para o Direito Comercial Internacional).
• No Brasil:
— CGI (Comitê Gestor da Internet), criado por meio do Decreto n. 4.829/2003.
Além de cumprir os acordos internacionais, o Brasil, mesmo sem ter uma lei específica sobre a 
internet, aplica para regulamentação de conflitos e delitos no mundo digital suas próprias leis internas, 
tais como: Constituição Federal; Código Penal; Código Civil; Lei de Direitos Autorais e Propriedade 
Intelectual.
O Marco Civil da Internet, oficialmente chamado de Lei n. 12.965/14 (BRASIL, 2014), regula o uso da 
internet no Brasil. Foi sancionado pela então presidente Dilma Rousseff para sanar a lacuna da ausência 
de uma lei especifica, mas esse foi apenas o início de um processo longo para regulamentar a matéria 
no Brasil.
A internet proporciona a praticidade de disseminar ou colher um grande número de informações, 
que estão disponíveis para usuários domésticos, pessoas comuns ou empresas. Quando o fator humano 
está envolvido, é necessário observar que no ambiente físico ou digital as pessoas são diferentes umas 
das outras, não apenas no aspecto físico, mas também no aspecto cultural. Assim, o que é importante 
para uma pessoa pode não ser para outra. Pessoas influenciadas pelas mais variadas razões podem se 
aproveitar desse “mundo de informações” e utilizar isso paracometer atos que vão contra a moral e 
os bons costumes e, muitas vezes, contra a legislação, ferindo direitos alheios. Cabe ressaltar que as 
diferenças culturais são importantes para o crescimento da sociedade, mas, quando são exploradas 
por pessoas mal-intencionadas, podem acarretar grandes perdas ou prejuízos, seja para indivíduos, 
seja para empresas.
Muitos usuários pensam que na internet estão no anonimato e que qualquer coisa falsa no mundo 
digital não será descoberta por ninguém, o que não é verdade. Fazer um simples download de um 
conteúdo (vídeo, imagem, texto, áudio) sem a devida autorização, enviar mensagem com vírus de 
computador ou ofendendo alguém, inserir mensagens estimulando atitudes ruins em uma rede social, 
entre outras ações, podem constituir um crime.
166
Unidade IV
De fato, a rede pode ser usada para facilitar atos ilícitos. Nesse consenso, o usuário da internet deve 
ter um mínimo de ética, e tentar, sempre que possível, colaborar para o desenvolvimento da internet, 
por exemplo, publicando informações úteis ou melhorando os registros já existentes.
A maioria dos crimes eletrônicos cometidos por meio da internet ocorrem por falha humana. Mesmo 
com toda segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um 
computador. O usuário pode ser enganado ao receber uma mensagem de e-mail com vírus: mesmo 
desconhecendo o assunto e o remetente, acaba clicando com o intuito de visualizar o conteúdo e, 
muitas vezes, suas informações são expostas, como senhas bancárias, números de cartão de crédito, CPF 
ou RG, e esses registros são enviados para outra máquina localizada em outra parte do mundo. De posse 
dessas informações, o golpista irá realizar fraudes na internet se fazendo passar pela vítima.
A figura a seguir demonstra um modelo do fluxo de um golpe internacional pela internet. Cabe 
salientar que o fluxo dos golpes pode ter outras variações.
Figura 43 – Fluxo de golpe internacional pela internet
Nesse novo cenário cada vez mais virtual, é necessária a cooperação entre os países para que sejam 
definidas regras para colher as evidências e levar os responsáveis à justiça.
No Brasil, a Lei n. 12.695 (BRASIL, 2014) tornou esse relacionamento mais simples. O país possui 
acordos exclusivos firmados com EUA, Alemanha, Reino Unido, Japão entre outros. Caso ocorra um 
incidente que não seja entre os países que assinaram o acordo da internet ou que, por algum motivo, 
não possua acordos bilaterais, vai valer o bom relacionamento prévio entre eles, bem como os interesses 
comerciais entre ambas as partes.
8.3 Tempo de respostas a incidentes de segurança da informação
Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, 
a resposta a incidentes tem papel crucial na eficácia do processo de gestão dos ativos de informação.
167
SEGURANÇA EM REDES DE COMPUTADORES
Manter os recursos computacionais seguros hoje em ambientes interconectados por meio de redes 
é um desafio cuja dificuldade aumenta com a inclusão de cada novo sistema.
A grande maioria das instituições e das empresas não usa uma única solução de segurança genérica 
que cobre todas as vulnerabilidades, e a estratégia mais utilizada é estabelecer camadas complementares 
de segurança, abrangendo: tecnologia, processos e pessoas.
Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a 
criação de um CIRT. As principais motivações para sua criação residem no crescente número de incidentes 
reportados e no crescente número e perfil de empresas sendo atacadas. Para melhorar o entendimento 
das empresas sobre a necessidade de possuir políticas de segurança e procedimentos para aperfeiçoar o 
gerenciamento de riscos, são fixadas novas regulamentações e leis que exigem controles de segurança 
sobre os sistemas de informação. É notório que os administradores de rede e sistemas não são capazes 
de proteger os recursos computacionais isoladamente.
Para estruturar um CIRT, é necessário entender claramente o seu objetivo. Para tal, é preciso 
conceituar o que são eventos e incidentes de segurança da informação.
Evento é uma ocorrência observável a respeito de um sistema de informação, a exemplo de um 
e-mail, um telefonema, o travamento de um servidor (crash). Por sua vez, incidente é um evento ou 
uma cadeia de eventos maliciosos sobre um sistema de informação que implica comprometimento 
ou tentativa de comprometimento da segurança. Em resumo: tentativa ou quebra de segurança de 
um sistema da informação (confidencialidade, integridade ou disponibilidade); violação da política 
de segurança; tentativa ou acesso não autorizado; modificação, criação ou remoção de informações 
sem o conhecimento do gestor.
A seguir, serão acentuados exemplos do que estudamos:
• Em ataque de software malicioso (vírus etc.)
— Evento: usuário informa que pode ter sido contaminado por vírus.
— Incidente potencial: seu sistema apresenta características típicas de contaminação por vírus.
• Em ataque DoS
— Evento: usuário informa que não consegue acessar um serviço.
— Incidente potencial: muitos usuários informam o mesmo problema.
• Para invasões
— Evento: administrador imagina que seu sistema foi invadido.
168
Unidade IV
— Incidente potencial: administrador envia log e trilhas de auditoria indicando atividades suspeitas.
• Uso não autorizado
— Evento: proxy indica que um usuário tentou acessar um site pornográfico.
— Incidente potencial: proxy indica que um usuário tentou acessar vários sites pornográficos.
O CIRT é formado por um grupo de profissionais pertencentes a diversos departamentos da 
corporação, devidamente treinados e com muita experiência na área. A missão do grupo é atender 
e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, 
seguindo procedimentos previamente definidos.
Quando uma organização tem a intenção de criar um CIRT, normalmente procura verificar como 
esse processo ocorreu em outras empresas, daí estabelece requerimentos que devem ser atendidos 
por esse time.
Apesar de a atuação do CIRT variar bastante em razão de disponibilidade de pessoal, capacitação da 
equipe, orçamento etc., existem algumas recomendações de melhores práticas que se aplicam para a 
maioria dos casos: obter o apoio da administração da empresa; elaborar um plano estratégico do CIRT; 
levantar informações relevantes; criar a missão do CIRT; divulgar a missão do CIRT e o plano operacional; 
iniciar sua implementação; divulgar a entrada em operação do CIRT; avaliar continuamente a qualidade 
dos serviços prestados.
Deve ser obtido o apoio da administração da organização, inclusive para dar respaldo às ações 
e requisições do CIRT em outras áreas, pois sem isso a criação do CIRT será muito difícil. Esse apoio 
poderá ser sob a forma de: fornecimento de recursos (computadores, softwares, etc.); financiamento; 
disponibilização de pessoal; tempo do líder de segurança para criar o CIRT; espaço nos comitês de 
segurança para a discussão do assunto.
O pleno envolvimento de participantes do CIRT e seus respectivos superiores é um pré-requisito para 
a discussão posterior de orçamento para definir e manutenção do time
A elaboração do plano estratégico deve levar em conta aspectos administrativos da concepção do 
CIRT. É preciso ser realista, existem cronogramas que precisam ser cumpridos, existe um grupo de projeto 
já formado. Tudo deve estar devidamente definido: como a organização toma conhecimento sobre as 
ações de desenvolvimento do CIRT; se há um membro para representar esse grupo em uma instância 
maior; se o processo está devidamente formalizado (e-mail, relatórios etc.); se todos os membros estão 
tendo acesso às informações produzidas.
É necessário levantar informações relevantes para compor as responsabilidades e serviços prestados 
pelo CIRT. Inicialmente, será preciso destacar as áreas e os sistemas mais críticos da empresa, bem como 
os eventos e incidentes reportadosno passado para dimensionar o grau de conhecimento da empresa 
sobre esses fatos. Tais informações permitirão avaliar a competência dos profissionais existentes em 
169
SEGURANÇA EM REDES DE COMPUTADORES
assuntos relacionados à segurança da informação. Assim, será possível dimensionar os serviços que 
serão prestados pelo CIRT e a possibilidade de usar funcionários já existentes na empresa ou se será 
preciso fazer novas contratações.
Observe alguns exemplos de ações relevantes:
• Verificar detalhes sobre o último ações com vírus na empresa.
• Verificar tentativa de invasão.
• Verificar se a empresa já teve incidente de fraude envolvendo funcionários internos.
• Verificar se algumas funções do CIRT já são cobertas por áreas existentes.
• Destacar os procedimentos já existentes na empresa que ajudarão nas funções do CIRT.
• Agendar visitas com instituições semelhantes e que já possuam o CIRT.
Com base nas informações levantadas, deverá ser elaborada a missão do CIRT, que deve ser alinhada 
com a missão da administração. Antes de divulgá-la, é preciso estar aberto para receber críticas e sugestões.
Após alinhar as expectativas com os envolvidos, traçar o plano estratégico e definir a missão do CIRT, 
será o momento de colocá-lo em ação por meio dos seguintes procedimentos:
• Contratar e treinar o grupo principal do CIRT.
• Elaborar e divulgar entre todos a metodologia de trabalho.
• Comprar e instalar os equipamentos e softwares de suporte ao CIRT.
• Definir as especificações de recuperação de evidências de incidentes para cada sistema crítico.
• Desenvolver modelos de relatórios e mecanismos de informação de incidentes.
Quando o CIRT estiver operacional, deverá ser elaborada uma campanha de divulgação, que deverá, 
entre outras coisas, informar aos colaboradores sobre suas funções, as formas de entrar em contato para 
reportar incidentes, os funcionários envolvidos e a divulgação; tudo deverá ser repetido periodicamente.
A avaliação da atuação do CIRT deverá ser periódica pelos seguintes motivos: estatísticas de 
incidentes reportados; incidentes resolvidos; falsos positivos; e tempo de indisponibilidade de sistemas. 
Também será necessária a comparação com outras empresas e fazer a correta manutenção. Ainda, o 
crescimento da base de conhecimento deverá ser documentado, pois isso ajudará no aprimoramento 
dos membros do CIRT.
170
Unidade IV
O CIRT é formado por um grupo multidisciplinar de profissionais. Essa característica procura atender 
a necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias frentes 
paralelamente, identificando as causas e coletando evidências do ataque. Esse grupo de funcionários 
não possui dedicação exclusiva ao CIRT, porém quando acionados pelo líder do CIRT deverão responder 
imediatamente. Pode-se fazer uma analogia, comparando o CIRT à brigada de incêndio das empresas.
O líder do CIRT deverá ser um funcionário da corporação com ampla experiência em segurança 
da informação. Além de gerenciar projetos de tecnologia, recomenda-se que ele possua um cargo na 
hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras áreas e 
condução de verificações nos diversos setores da corporação. Esse líder poderá ser um gerente ou um 
diretor de segurança da informação (security office).
Vamos destacar a seguir o que caberá a cada integrante.
A atuação responsável pela área de segurança da informação (security office) consiste em instruir os 
funcionários das outras áreas na identificação, na coleta e/ou na preservação de rastros do incidente. O 
profissional também deverá avaliar as consequências ocasionadas pelo ataque e providenciar, em caso 
de necessidade, a execução do plano de continuidade de negócios. Ao fim do acompanhamento de um 
incidente, ele deverá coordenar a elaboração do relatório descrevendo o(s) fato(s) ocorrido(s).
De fato, a atuação da área de redes está em prover o acesso aos equipamentos de comunicação e 
segurança sob sua responsabilidade, como firewalls, roteadores e switches, sempre que requisitado pelo 
líder do CIRT, a fim de auxiliar no levantamento e na análise dos logs e, quando necessário, entrar em 
contato com provedores de acesso, empresas de telecomunicações etc.
A área de manutenção de servidores deverá atentar para a verificação detalhada da configuração 
dos servidores em virtude de possíveis acessos não autorizados. Será necessário coletar os rastros de 
transações e verificar o código de aplicações. O líder do CIRT poderá requisitar que um determinado 
servidor ou um conjunto deles seja mantido em quarentena para verificações mais precisas, nesse caso, 
a equipe designada deverá providenciar a instalação e a configuração de servidores sobressalentes para 
assumir o ambiente de produção.
Já a área de auditoria deverá identificar quais controles de segurança ou procedimentos falharam 
e permitiram a ocorrência do incidente, sua missão será a de auxiliar o líder do CIRT na elaboração do 
relatório do incidente e validação/auditoria da implementação do respectivo plano de ação preparado 
para solucioná-lo. A auditoria também contribuirá com o CIRT na estimativa dos prejuízos financeiros e 
de imagem causados pelo incidente.
A área de inspetoria identificará as causas e as motivações do incidente; também será de sua 
responsabilidade a manutenção do histórico de todos os incidentes identificados ou reportados na 
corporação, subsidiando o líder do CIRT com informações sobre padrões de comportamento, objetivos, 
frequência e medidas adotadas em casos semelhantes.
171
SEGURANÇA EM REDES DE COMPUTADORES
Por sua vez, a área de recursos humanos poderá ser acionada pelo líder do CIRT caso o incidente 
envolver funcionários ou terceiros que prestam serviços para a instituição (ou empresas do conglomerado 
que estejam sob a sua gestão). O líder do CIRT poderá requisitar informações sobre o(s) funcionário(s) 
envolvido(s), como seu cargo, suas responsabilidades e sua formação.
A área jurídica poderá ser acionada com o objetivo de obter auxílio jurídico na coleta e na preservação 
de evidências, bem como no tratamento com empresas parceiras, funcionários ou clientes envolvidos; toda 
comunicação, inclusive com funcionários internos, deverá acompanhada pela área jurídica da organização.
Já a área de relações públicas será acionada caso o incidente expuser a empresa perante seus clientes 
e parceiros de negócios. Assim, seu objetivo será orientar a melhor maneira de promover a comunicação 
com eles ou mesmo com a imprensa, caso seja necessário.
Líder do 
CRT
Telecom/ 
redes Mainframe
Auditoria 
Engenharia
Recursos 
humanos Jurídico
Relações 
públicasDesenvolvimento
Tecnologia da 
informação
Tecnologia da 
informação
Área de 
seg. info
Figura 44 – Organograma do CIRT
O fluxo de resposta a incidentes deve seguir a seguinte sequência lógica:
• Sempre que um incidente for informado ou detectado, ele deverá ser encaminhado ao responsável 
pela área de segurança da informação.
• Caberá a essa área decidir se o CIRT deverá ser acionado ou não, dependendo da gravidade do incidente.
• Sendo acionado, o CIRT deverá abrir um chamado de incidente.
• Esse chamado é composto de um relatório, o qual deverá ser completado durante todo o 
acompanhamento do incidente.
Ao fim do trabalho, ou mesmo durante sua execução, o líder do CIRT apresentará ao comitê de 
segurança um resumo desse relatório, que deverá conter os seguintes pontos:
• descrição sucinta do incidente;
• causa do incidente;
172
Unidade IV
• forma de identificação do incidente;
• classificação: se pode ou não haver consequências financeiras e de imagem;
• contramedidas tomadas;
• plano de ação para a contenção de incidentes semelhantes.
O acionamento do CIRT deverá ser realizado através dos canais de fácil acesso, que podem ser um 
ramal telefônico exclusivo, um endereço de e-mail genérico (cirt@empresa.com.br), páginas de webmail 
na intranet (para não identificar o emissor).