Segurança de Dados

Prévia do material em texto

1
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
2
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
3
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Núcleo de Educação a Distância
GRUPO PROMINAS DE EDUCAÇÃO
Diagramação: Gildenor Silva Fonseca
PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira.
O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para 
a formação de profissionais capazes de se destacar no mercado de trabalho.
O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por 
fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem.
4
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Prezado(a) Pós-Graduando(a),
Seja muito bem-vindo(a) ao nosso Grupo Educacional!
Inicialmente, gostaríamos de agradecê-lo(a) pela confiança 
em nós depositada. Temos a convicção absoluta que você não irá se 
decepcionar pela sua escolha, pois nos comprometemos a superar as 
suas expectativas.
A educação deve ser sempre o pilar para consolidação de uma 
nação soberana, democrática, crítica, reflexiva, acolhedora e integra-
dora. Além disso, a educação é a maneira mais nobre de promover a 
ascensão social e econômica da população de um país.
Durante o seu curso de graduação você teve a oportunida-
de de conhecer e estudar uma grande diversidade de conteúdos. 
Foi um momento de consolidação e amadurecimento de suas escolhas 
pessoais e profissionais.
Agora, na Pós-Graduação, as expectativas e objetivos são 
outros. É o momento de você complementar a sua formação acadêmi-
ca, se atualizar, incorporar novas competências e técnicas, desenvolver 
um novo perfil profissional, objetivando o aprimoramento para sua atua-
ção no concorrido mercado do trabalho. E, certamente, será um passo 
importante para quem deseja ingressar como docente no ensino supe-
rior e se qualificar ainda mais para o magistério nos demais níveis de 
ensino.
E o propósito do nosso Grupo Educacional é ajudá-lo(a) 
nessa jornada! Conte conosco, pois nós acreditamos em seu potencial. 
Vamos juntos nessa maravilhosa viagem que é a construção de novos 
conhecimentos.
Um abraço,
Grupo Prominas - Educação e Tecnologia
5
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
6
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Olá, acadêmico(a) do ensino a distância do Grupo Prominas! .
É um prazer tê-lo em nossa instituição! Saiba que sua escolha 
é sinal de prestígio e consideração. Quero lhe parabenizar pela dispo-
sição ao aprendizado e autodesenvolvimento. No ensino a distância é 
você quem administra o tempo de estudo. Por isso, ele exige perseve-
rança, disciplina e organização. 
Este material, bem como as outras ferramentas do curso (como 
as aulas em vídeo, atividades, fóruns, etc.), foi projetado visando a sua 
preparação nessa jornada rumo ao sucesso profissional. Todo conteúdo 
foi elaborado para auxiliá-lo nessa tarefa, proporcionado um estudo de 
qualidade e com foco nas exigências do mercado de trabalho.
Estude bastante e um grande abraço!
Professora: Izabelly Soares de Morais
7
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
O texto abaixo das tags são informações de apoio para você ao 
longo dos seus estudos. Cada conteúdo é preprarado focando em téc-
nicas de aprendizagem que contribuem no seu processo de busca pela 
conhecimento.
Cada uma dessas tags, é focada especificadamente em partes 
importantes dos materiais aqui apresentados. Lembre-se que, cada in-
formação obtida atráves do seu curso, será o ponto de partida rumo ao 
seu sucesso profissional.
8
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Por ter se tornado um recurso importante na sociedade moderna, 
a tecnologia acabou sendo inserida em diversos tipos de dispositivos e 
contextos que fazem parte do cotidiano das pessoas. Consequentemente, 
tudo aquilo que é produzido pela tecnologia recebeu um valor inestimável, 
tendo em vista que, a partir do momento em que todos fazem uso desse 
tipo de recurso para, solucionar suas demandas e necessidades, estes se 
tornaram os principais meios de armazenamento e processamento das in-
formações, ativo tão valioso na atualidade. A necessidade da segurança da 
informação é notória, assim como todos os conceitos que a compõe, como 
os serviços, modelos, mecanismos e até uso de normas que visam padro-
nizar as ações voltadas à proteção desses ativos. E estes serão temos 
abordados na presente unidade. 
Tecnologia; Segurança; Serviços de segurança.
9
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
 CAPÍTULO 01
INTRODUÇÃO E CONCEITOS BÁSICOS DE SEGURANÇA DA 
INFORMAÇÃO
Apresentação do Módulo ______________________________________ 11
Conceitos de Segurança de Informação ___________________________
Serviços de Segurança ____________________________________________
Modelo para Segurança em Rede _________________________________
Recapitulando ___________________________________________________
12
17
22
26
 CAPÍTULO 02
ATAQUES CIBERNÉTICOS E TÉCNICAS DE ENCRIPTAÇÃO
Ataques Cibernéticos __________________________________________
Conceitos sobre Criptografia ____________________________________
Varredura de Portas e Serviços _________________________________
Recapitulando _________________________________________________
30
37
41
45
10
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Identificação e Solução de Problemas __________________________
Recapitulando _________________________________________________
Considerações Finais ___________________________________________
Fechando a Unidade ___________________________________________
Referências ____________________________________________________
55
62
67
68
71
Recursos de Autenticação ______________________________________ 53
 CAPÍTULO 03
MODELOS DE SEGURANÇA DE INFORMAÇÃO
Normas ISO relacionadas à Segurança da Informação ___________ 49
11
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A necessidade de armazenar informações passou a ser tornar 
evidente, quando o homem viu nos recursos tecnológicos facilidades 
oriundas da automatização de seus processos cotidianos. A partir daí, o 
surgimento de novos artefatos passou a depender da demanda social.
Os objetos que agregam valor para uma organização empre-
sarial, ou até mesmo para o ser humano em si, mudaram e muito ao 
longo dos anos. Na época da chamada “idade antiga” os objetos de 
valor eram bem diferentes dos de hoje em dia, então, as pessoas co-
meçaram a perceber que precisavam de outros insumos, que naquela 
época eram produzidos por outras pessoas, ou comerciantes, e que 
deveria haver uma chamada “moeda de troca”. Então, falar de valor, é 
muito subjetivo. Hoje podemos dizer que o maior valor de uma empresa, 
no sentido competitivo e estratégico, é o conhecimento.
Então, pense que, se este é o recurso de maior valor, ele deve 
receber devida atenção e, consequentemente, deve ser atribuída uma 
rede de proteção, ou seja, o conhecimento é oriundo da junção de da-
dos e informações, como valores de ações, de produtos, dados pes-
soais, de negócios, segredos empresariais, dentre outros.
As organizações evoluíram seus meios de processamento e 
armazenamento das informação, enquanto antes, eram utilizados meios 
físicos, como planilhas e documentos escritos de forma manual, hoje, 
podemos afirmar que todo esse processamento agora passou a ser au-
tomatizado através dos recursos tecnológicos, mais precisamente pelos 
computadores e pelo uso da internet. 
A mesma mudança ocorreu nos processos de segurança, an-
tes eram associados a cadeados, fechaduras, hoje esses mecanismos 
são exemplos dos grandes avanços tecnológicos, e sãofeitos através 
de senhas, protocolos, dentre outros.
É dentro desse contexto que este módulo abordará a segurança 
dos dados, e das informações. Vamos conhecer os conceitos básicos so-
bre a segurança da informação, as técnicas de encriptação e até os mo-
delos de segurança de informação, conhecendo algumas normas ISO.
12
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
O conhecimento se tornou um ativo valioso para a era moder-
na. Além disso, ser detentor do conhecimento eleva o homem a um 
patamar estratégico dentro da sociedade. Por isso, antes de abordar 
a segurança de dados, é importante abordar alguns outros temas, tão 
importantes quanto. 
A princípio será exposta a definição de segurança, que é um 
termo que remete a um contexto sem riscos, sólido, ou seja, de con-
fiança. Ao realizar uma interpretação simples, é possível deduzir que 
a segurança dos dados seria a confiança que os dados nos trazem ao 
serem utilizados na rede. 
Então, dependendo da interpretação, essa definição pode sim 
ser correta, mas, é importante compreender, que eles são responsáveis 
INTRODUÇÃO & CONCEITOS BÁSICOS
DE SEGURANÇA DA INFORMAÇÃO
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
13
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
pelo conhecimento. Já que um dado pode ser compreendido como algo 
bruto, no sentido de que, se for visto de forma isolada, não faz muito 
sentido, ou que não teve tratamento, e uma contextualização.
Para Turban et al.(2013, p.212):
Enquanto dados, informação e conhecimento podem ser vistos como ativos 
de uma organização, o conhecimento fornece um nível mais alto de significa-
do aos dados e às informações. Ele transmite significado e tende a ser muito 
mais valioso, ainda que muito mais efêmero. No contexto de TI, o conheci-
mento se distingue muito dos dados e das informações. [...] Enquanto os 
dados são uma coleção de fatos, medidas e estatísticas, a informação é um 
conjunto de dados organizados e processados precisa e oportunamente. O 
conhecimento é a informação contextualizada, relevante e acionável.
Como exemplo, você pode imaginar que se alguém fala para 
um número. Este número, de forma isolada, só vai fazer sentido se a 
outra pessoa te explicar o que ele significa. Essa contextualização é o 
que se define como informação, ou seja, ela é responsável por significar 
os dados. 
Por este motivo, o maior valor para a sociedade moderna é o 
dado e, consequentemente, a informação, pois juntos são capazes de 
proporcionar conhecimento. Olhando com uma perspectiva diferente, 
imagine que, para o mundo dos negócios, por exemplo, o conhecimento 
é importante para as ações estratégicas das empresas, por isso que, 
saber lidar com dados, informações e ferramentas especializadas é tão 
relevante. 
As informações recebem algumas classificações, tais como: 
Públicas: geralmente são informações do interesse geral das 
pessoas, e demandam poucos recursos de segurança, sendo importan-
te nesse caso, apenas garantir que sejam verídicas, ou seja, autênticas;
Confidenciais: o acesso desse tipo de informação é mais res-
trito, pois apenas quem tem a autorização de acesso, poderá ver seu 
conteúdo. Esse tipo de informação requer uma atenção a mais que as 
outras em relação a segurança.
Internas: neste tipo de informação é importante que haja o sigi-
lo, tendo em vista que, por mais que seja de circulação restrita dentro de 
uma organização, existem motivos pelos quais ela se classifica dessa 
maneira. Além disso, seu valor pode ser comparado com o de qualquer 
14
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
outra informação.
 Secretas: como o próprio nome já diz, é algo bem mais sigiloso 
do que as demais, só por receber essa classificação, fica explícito que, 
são informações de grande valor, fazendo com que não só seu acesso, 
mas também seu manuseio, como edição, recebam níveis máximos de 
segurança.
A tecnologia visa apresentar facilidades cotidianas, já que au-
tomatiza os principais processos. O conhecimento passa por um ciclo, 
assim como os dados, onde sua primeira etapa é a de criação, esse 
processo ocorre devido as mais variadas experiências, que vão sendo 
construídas ao longo dos anos, através de novas formas de realizar 
atividades cotidianas; o próximo passo é o de capturar novos conheci-
mentos, onde na verdade este passo é bem complementar ao anterior. 
Os demais passos consistem em refinamento, ação que tam-
bém deve ser realizada com os dados e as informações, e que podem 
também fazer parte das metas de algumas características e práticas da 
segurança da informação. Este refinamento faz com que haja necessi-
dade de armazenamento, para que possa ser aplicada a gestão neces-
sária, e depois a disseminação de todo esse conhecimento. 
Um fato interessante é que antigamente todos esses proces-
sos eram executados através de ações manuais como, por exemplo, o 
armazenamento era feito em papéis, ou documentos datilografados em 
máquinas, que hoje em dia, entraram em desuso. E atualmente aborda-
-se armazenamento em nuvem e outras tecnologias. 
Porém, ao utilizar processos, dados, informações, a segurança 
é primordial. Então, se faz necessário abordar novamente a definição 
desse termo, que seria ter confiança, ou seja, automatizações seguras, 
onde seria possível visualizar que o conhecimento estaria estável e livre 
de perigos. 
Dessa forma, quando se fala em segurança dos dados no con-
texto tecnológico, outras perspectivas podem ser vislumbradas, por isso, 
é possível destacar a segurança da rede. Segundo Stallings (2015, 
p.6), a área da segurança “consiste em medidas para desviar, prevenir, 
detectar e corrigir violações de segurança que envolvam a transmissão 
de informações”. Para isso, deve estar presente em todas as etapas 
que compõem de certa forma o ciclo de vida do dado e da informação, 
que vai desde a criação do dado e da informação, independentemente 
de ser de maneira virtual ou física, passa pelo armazenamento, trans-
porte e, por fim, o descarte.
Algumas situações são bem mais comuns, como o roubo de 
15
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
dados e informações, que ocorrem através de ataques a e-mails, sites; 
além disso, existem também os sequestros de dados e informações, 
este é caracterizado pelo pedido de valores para resgate dos dados 
e informações, ou seja, a vítima fica sujeita a perder tudo, ou ter suas 
informações divulgadas, caso não atenda aos pedidos dos chamados 
crackers. Este assunto será abordado um pouco mais adiante deste 
material. 
Conforme o Manual de Segurança de Computadores da NIST 
(NIST, 1995, apud Stallings, 2015, p.6), a segurança é a “proteção ofe-
recida para um sistema de informação automatizado a fim de alcançar 
objetivos de preservar a integridade, a disponibilidade e a confidenciali-
dade dos recursos dos sistema de informação (incluindo hardware, sof-
tware, firmware, informações/dados e telecomunicações)”.
Geralmente a segurança é colocada em risco, quando pessoas 
ou outros sistemas tentam acessar arquivos que não estão sob domínio 
público. Portanto, a segurança envolve algumas características impor-
tantes para garantir que os dados e informações estejam seguros. É 
comum ouvirmos falar que, a segurança da informação é composta por 
três pilares: 
• Confidencialidade: está relacionada à autorização de aces-
so a informação.
• Integridade: está relacionada à autorização para manipula-
ção da informação, como a possibilidade de editar ou deletar algo, ou 
parte da informação.
• Disponibilidade: é referente ao tempo de acesso que a 
informação fica disponível.
Estes pilares são voltados a algumas ações primordiais para a 
rede, além disso, a rede de computadores é na verdade formada não 
só pelas conexões, mas também envolve uma junção de recursos de 
hardware e software. Ondeé possível visualizar uma infraestrutura e 
arquitetura que englobam sistemas finais, também conhecidos como 
sistemas receptores e transmissores de informações, recursos que pos-
sibilitam as transmissões como tipos de cabeamentos (coaxial, de par 
trançado), fibra óptica, luz infravermelho, dentre outros. 
Além disso, existem protocolos que fazem parte da arquitetura 
da rede, e que possuem a função de possibilitar que os dados sejam 
transmitidos aos seus destinos em segurança, e de forma integra, ou 
seja, completos. 
16
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Complementando os pilares da segurança da informação, po-
demos acrescentar alguns outros elementos, os quais foram denomina-
dos como “atributos do hexagrama Parkeriano”, já que foram propostos 
por Donn B. Parker, estes atributos são: confidencialidade, posse ou 
controle, integridade, autenticidade, disponibilidade e utilidade.
Ainda sob a perspectiva dos conceitos sobre a confidenciali-
dade é possível mencionar que, ela pode ser uma funcionalidade do 
próprio sistema, seja ele automatizado ou não, mas também, pode partir 
do princípio das restrições de acesso fornecidas pelo próprio detentor 
destas informações, dessa forma, identificamos outro conceito relacio-
nado, que é o da privacidade.
A integridade também pode dispor de outro ponto de vista, já 
que estamos falando de tecnologia, dados e informações, a integridade 
deve estar presente não só nos dados, mas também no próprio sistema. 
Além disso, a disponibilidade abrange outras características como opor-
tunidade, onde a informação deve estar disponível quando necessário, 
a continuidade, é quando o sistema consegue garantir o acesso ou do 
processamento de dados e informações caso ocorra alguma falha. Ge-
ralmente, este tipo de situação é definida na gestão de riscos de todas 
as tecnologias utilizadas, para garantir que haverá um plano de contin-
gência caso ocorra qualquer imprevisto. E também temos a robustez, 
que é uma propriedade atrelada à capacidade que o sistema tem, de 
permitir o acesso a suas funcionalidades por um número inestimado de 
usuários. Já que nem sempre temos como garantir a quantidade média 
de usuários por minuto ou horas.
Por isso, um sistema deve ser desenvolvido da melhor manei-
ra possível. Outras propriedades podem ser adicionadas as que foram 
citadas, como:
Autenticidade está relacionada à possibilidade de verificar o 
dado, e de responder alguns questionamentos como: de onde ele veio? 
Foi de uma fonte confiável? Temos como fazer essa checagem? Será 
se o usuário é realmente quem ele diz ser? Ou se aquela empresa, com 
aqueles dados são verdadeiros?
Uma situação corriqueira onde a autenticidade é posta em 
ação, é quando vamos preencher algum formulário e precisamos inserir 
nossos dados pessoais, principalmente em relação ao CPF (Cadastro 
17
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
de Pessoa Física). Geralmente, caso haja algum dado incorreto na de-
claração do número do CPF o formulário nos notifica, avisando que algo 
está errado. Isso ocorre porque o sistema faz uma verificação de auten-
ticidade naquele dado, e existem várias formas de fazer isso, uma delas 
é utilizando um algoritmo, e a outra é uma integração com sistemas do 
próprio governo. 
Responsabilização é quando uma funcionalidade recebe 
ações destinadas apenas a ela, dessa forma, se torna responsável 
por aquela ação específica. Esta característica pode proporcionar o 
isolamento de falhas, e detecção de problemas na segurança e até 
mesmo no funcionamento do sistema em geral.
A segurança da informação é caracterizada por diversos fato-
res, dentre eles não podemos esquecer de mencionar que seus pilares 
(confidencialidade, integridade e disponibilidade), devem estar associa-
dos a políticas e processos que fazem parte das estruturas organizacio-
nais, as quais são responsáveis por definir regras e comportamentos 
adotados pelas empresas em diversos aspectos, que vão desde como 
os dados são obtidos, a como são armazenados, transferidos, selecio-
nados, dentre outras atividades que, inclusive, fazem parte do ciclo de 
vida de um dado. 
Após termos abordado alguns dos principais conceitos sobre a 
segurança em si, vamos falar um pouco sobre os serviços de segurança.
SERVIÇOS DE SEGURANÇA
Ao mencionarmos os serviços de segurança, estamos nos re-
ferindo ao modo em como a segurança da informação pode ser rele-
vante para a organização. Acima citamos alguns pilares que a norteiam, 
mas como eles podem ser aplicados na prática? Na realidade em quais 
situações a segurança precisa ser tão explícita ao ponto de ser algo 
além de funcionalidades e protocolos de redes implementados nos sis-
temas de informação?
Dentro das possibilidades em que um serviço de segurança 
pode ser ofertado, podemos destacar aqueles que são disponibilizados 
18
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
por meio de uma camada de protocolo de comunicação, onde a trans-
ferência dos dados é realizada com segurança. O modelo de referência 
X.800 ainda ressalta que esse sistema ocorre quando a comunicação 
ocorre em sistemas abertos.
A rede de computadores possui diversos outros conceitos, os 
quais, nos limitaremos a tratar aqui, apenas os que fazem referência ao 
nosso assunto, que é segurança de dados e informações. Mas dentre 
esses vastos assuntos, é importante ressaltarmos que, ao falarmos de 
rede, devemos entender que toda organização, necessita de certa pa-
dronização para que os serviços possam ser disponibilizados da melhor 
maneira possível, e com segurança.
Quando falamos em protocolos da internet, podemos destacar 
duas possibilidades, uma é a pilha de protocolos com cinco camadas, 
que são elas: física, enlance, rede, transporte e aplicação. Mas, temos 
também o Modelo de Referência OSI (Open Systems Interconnection) 
da ISO (International Organization for Standardization), que possui as 
seguintes camadas: aplicação, apresentação, sessão, transporte, rede, 
enlace e camada física. As camadas adicionais estão relacionadas a 
questão dos dados, tanto de interpretação quanto de codificação, pon-
tos de verificação, recuperação, e outras restrições relacionadas aos 
dados. 
Os serviços de segurança podem ser diversos, dentre os mais 
importantes vamos destacar:
A autenticação que, conforme foi mencionado anteriormente 
ratifica se aquele dado ou aquela informação é verídica. E pode ser 
aplicada em algumas situações diferentes, tais como: 
- através de uma verificação direta na origem dos dados;
- e através da verificação da conexão entre mais de uma entidade.
Para nós, seres humanos, identificar a veracidade de algumas 
coisas, pode até ser mais simples como, por exemplo, caso veja algum 
documento com coloração, ou informações incoerentes, conseguimos 
caracterizar aquilo como falso, ou incorreto, ou seja, não atende as dire-
trizes para ser aceito como verídico. Mas, como uma máquina, ou como 
automatizar essa ação, de forma tão precisa? Não podemos esquecer 
que os computadores e, consequentemente, os sistemas de informação 
agem da maneira para qual foram configurados ou programados.
Estamos falando bastante sobre os dados, informações e como 
eles possuem valor para a sociedade. Mas, é importante ressaltarmos 
19
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
que, eles podem ser oriundos também de fontes externas das empre-
sas, e podem vir do mais variado tipo de local, desde uma ação de nós, 
usuários comuns das tecnologias, até mesmo, de outros sistemas, de 
outras empresas, então eles acabam passando por várias etapas, até 
se tornarem realmente úteis para as ações estratégicas.
Dessa forma, todos os envolvidos, sejam remetentes ou des-
tinatários dos dados, e informações devem ser checados. Para propor-
cionar essa autenticação, vários protocolos, normas e metodologias fo-
ram sendo desenvolvidas ao longodos anos, além disso, é um processo 
que nunca será finalizado, levando em consideração a quantidade de 
recursos e serviços novos que temos a cada dia, já que a necessidade 
da automação se faz presente cada vez mais no cotidiano das pessoas. 
Atualmente, meios mais ágeis de prover a autenticação de da-
dos estão sendo desenvolvidos, um exemplo que podemos citar é o 
de reconhecimento fácil, leitura biométrica, assinaturas digitais, dentre 
outros. Notamos que, estes meios substituem algumas ações não auto-
matizadas, como autenticações em cartório por meios físicos, ou confe-
rência entre original e cópia de documentos. 
Outro serviço da segurança da informação é o controle de 
acesso, o qual restringe o acesso às informações apenas aos que fo-
rem autorizados. Esse controle pode ser realizado de diversas manei-
ras. Fazendo sempre um comparativo entre as maneiras mais “tradicio-
nais” e as que estão sendo utilizadas hoje, podemos comparar, o uso 
de crachás, logins e senhas para controle de acesso, e não só para as 
informações, mas a locais físicos também, como ao ambiente interno de 
um setor dentro de uma empresa, ou até mesmo a um simples e-mail. 
Porém, como mencionamos anteriormente, hoje temos a atua-
ção forte da inteligência artificial, que proporciona a automatização 
desses controles por meios considerados mais eficazes, pois a maioria 
das vezes, ameniza os erros humanos, então, ao invés do funcionário 
precisar inserir uma senha e login, ele apenas insere sua biometria em 
um equipamento, ou o sistema faz a leitura facial, para autenticar e re-
conhecer o seu acesso.
20
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A confidencialidade de dados faz parte dos serviços de se-
gurança, tendo em vista que é responsável por proporcionar proteção 
aos dados. De acordo com Stallings (2015, p.14), esse serviço pode 
ser visto de forma mais ampla, “quando uma conexão TCP é estabele-
cida entre dois sistemas, essa proteção ampla impede a divulgação de 
quaisquer dados do usuário transmitidos pela conexão TCP”. A infraes-
trutura da confidencialidade deve abranger não só as informações, mas 
também, a conexão, proporcionando segurança aos usuários, além dis-
so, isso deve ocorrer, independente dele está conectado ou desconec-
tado. Deve permanecer ativa também quando houver campos seletivos, 
e no fluxo de tráfego.
TCP (Transmission Control Protocol) é um protocolo de trans-
missão, ou seja, proporciona a comunicação chamada “ponto a ponto”, 
desde o remetente ao receptor. Além disso, é responsável pela trans-
ferência confiável de dados, realizando o empacotamento e a remonta-
gem das mensagens. 
Ainda sob a perspectiva de falarmos sobre estes serviços, po-
demos destacar que a integridade é uma característica que envolve a 
totalidade, visa garantir a entrega de tudo aquilo que foi definido para 
ser entregue, ou seja, garante que nada se perdeu no meio do caminho, 
entre o remetente e o destinatário. Abaixo, no quadro 1, veremos algu-
mas situações que contextualizam a integração, de maneiras diversas.
Quadro 1 – A integridade em contextos diferentes
Integridade da conexão 
com recuperação
Providencia a integridade de todos os dados do 
usuário em uma conexão e detecta qualquer mo-
dificação, inserção, exclusão ou repasse de quais-
quer dados dentro de uma sequência inteira, com 
tentativa de recuperação. 
Integridade da conexão 
sem recuperação
contém as mesmas semelhanças da integridade 
da conexão com recuperação, porém, oferece 
apenas detecção sem tentativa de recuperação
21
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Integridade da conexão 
com campo seletivo
Trata de aplicar a integridade de campos selecio-
nados nos dados do usuário de um bloco de dados 
transferido por uma conexão e determina se os 
campos selecionados foram modificados, inseri-
dos, excluídos ou repassados.
Integridade sem cone-
xão
Aplica a integridade de um único bloco de dados 
sem conexão e pode tomar a forma de detecção 
da modificação de dados. Além disso, pode haver 
uma forma limitada de detecção de repasse.
Integridade sem co-
nexão com o campo 
seletivo
Aplica a integridade de campos selecionados 
dentro de um único bloco de dados sem conexão; 
determina se os campos selecionados foram mo-
dificados.
Fonte: Autora com adaptação do Modelo de Referência OSI X.800 . 
Acesso em 2020.
Além destes já citados, devemos falar também sobre a Irretra-
tabilidade (ou não repúdio), a qual, conforme o modelo de referência 
X.800, proporciona proteção contra negação, isso, por parte de uma 
das entidades envolvidas em uma comunicação, de ter participado de 
toda ou parte dela. Por exemplo, impede que um usuário negue que 
seja autor de tão ação, ou determinada informação.
Abaixo, através da Figura 1, podemos visualizar a relação exis-
tente entre, os serviços e mecanismos de segurança, os quais iremos 
falar um pouco mais, logo adiante.
22
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Figura 1 – Relacionamento entre os serviços e mecanismos de segurança
Fonte: STALLINGS (2015, p.16).
É notório como tanto os serviços, quanto os mecanismos pos-
suem relação, além disso, é importante ressaltar que, nem sempre 
todos eles estão presentes, tudo depende muito da organização e de 
quais tipos de dados, informações ou ações que remetem a seguran-
ça, o contexto demonstra necessidade. Os serviços também podem 
desempenhar suas funções em mais de um mecanismo, fazendo com 
que a rede, no geral, acabe gerando relação entre os mecanismos. Por 
exemplo, a autenticação de entidade pareada, possui relação com a 
codificação, certificação digital e com a troca de autenticação. Os pi-
lares da segurança também podem ser vistos de forma associada uns 
aos outros. No próximo tópico serão abordados alguns modelos de 
segurança. 
MODELOS DE SEGURANÇA EM REDE
A segurança de rede depende de vários fatores, os primeiros 
estão relacionados ao contexto onde a rede vai ser implementada, e 
quais tipos de dados, informações, serão utilizados. Apesar de que 
atualmente é até difícil mensurar e definir tudo isso. 
Acima trouxemos as definições do protocolo TCP/IP, pois é res-
23
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ponsável por proporcionar um canal de informações, de interligar ponto 
a ponto, os quais precisam trabalhar juntos para que a comunicação 
seja possível.
O modelo abaixo, apresentado na Figura 2, foi sugerido por 
Stallings, nele podemos observar claramente um fluxo percorrido entre 
o emissor e o destinatário.
Figura 2 - Modelo para segurança de rede
Fonte: STALLINGS (2015, p.17)
Dentro desse caminho, os dados e informações podem per-
passar por diversas etapas de segurança, como a encriptação, técnica 
utilizada com o objetivo de transformar o conteúdo das informações, 
através de algoritmos específicos para esta funcionalidade.
Algumas políticas e regras foram sendo criadas ao longo dos 
anos para padronizar ações acerca das conexões de rede, e do geren-
ciamento das informações, visando sempre a segurança, uma delas é a 
ISO 1.7799 (que tem como base as normas britânicas British Standard 
for Information Security Management - BS 7799, apud Moraes (2010). 
Ela descreve algumas perspectivas diferentes que podem ser levadas 
em consideração durante o projeto da rede. 
24
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Quadro 2 - Os dez pilares de segurança da informação da ISO 1.7799
Plano de conti-
nuidade de ne-
gócios 
Essa sessão tem como objetivo garantir que as informa-
ções estão em segurança, caso ocorra alguma falha.
Políticas de con-
trole de acesso 
Este ponto traz o olhar ao ambiente externo do sistema, 
ou seja, as pessoas que fazem uso dele. Dessa forma, 
essas políticas visam trazer limitações de autorização de 
acesso.
Políticas de de-
senvolvimento e 
manutenção de 
sistemas 
Essa sessão checa seo próprio sistema foi implementado 
seguindo normas de segurança que vão desde a imple-
mentação do sistema operacional, a aplicação dos pilares 
da segurança (integridade, autenticidade e confidenciali-
dade).
Políticas de se-
gurança física e 
de ambiente
Essa sessão tem uma perspectiva mais ampla, pois abor-
da o ambiente onde a rede está alocada, então alerta so-
bre a prevenção de perda, roubo ou acessos não autoriza-
dos das informações e das instalações da rede.
Políticas de se-
gurança pessoal 
Essa sessão traz alerta aos usuários, além disso, visa 
deixar claro para eles os perigos que existem na rede e 
alertá-los em relação as ações que eles podem tomar para 
melhorar a segurança de seus dados.
Políticas de ge-
renciamento dos 
computadores e 
das redes
Essa sessão ressalta a proteção a integridade do siste-
ma e de sua infraestrutura, diminuição dos riscos trazidos 
pelas possíveis falhas do sistema, evitar o mau uso das 
informações, dentre outros.
Políticas de con-
trole e classifica-
ção de ativos 
“Manter proteção apropriada para ativos corporativos e 
garantir que a informação seja classificada e receba apro-
priado nível de proteção”.(MORAES,2010 ,p.42)
Política global 
de segurança da 
informação 
Essa sessão tem como base os recursos necessários para 
fornecer suporte a segurança das informações.
25
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Análise de con-
formidade 
“Manter a segurança das facilidades e do processamento 
da informação organizacional e de ativos, além dos parcei-
ros”(MORAES,2010 ,p.42). Além disso, tem perspectivas 
a cerca das informações, caso alguns serviços sejam ter-
ceirizados por parte da empresa. 
Aspectos legais
Como o termo já menciona, este ponto tem relação com 
o cumprimento das regulamentações legais. Acaba sendo 
um forte aliado para a realização de auditorias, evitando 
assim, desgastes desnecessários às empresas, tanto para 
manutenção de suas informações, quanto à ação coerente 
dos processos executados dentro da empresa. 
Fonte: Adaptado de Moraes (2010, p.39).
Por meio destes conceitos aqui expostos é possível aprender 
que a segurança das informações e dos dados é um pouco mais com-
plexa do que parece. Por este motivo, nota-se que, as organizações 
buscam proteger as suas informações e as de seus clientes utilizando 
as mais variadas técnicas. O valor desses ativos afeta diretamente a 
necessidade e os custos voltados aos investimentos com a segurança 
da informação, porém, analisando os prejuízos que a falta deste inves-
timento pode causar, acaba deixando as organizações empresariais 
sem saída, a não ser, aplicar o investimento necessário. Além disso, 
são conhecimentos e ações que devem sempre serem atualizados para 
acompanhar as novidades do mercado.
Para saber mais sobre o tema, leia o trabalho intitulado “Estudo 
de Caso: Principais Pilares da Segurança da Informação nas Organiza-
ções”, dos autores Mateus Micael Coutinho, Robson Nunes dos Santos, 
Vitor Henrique da Silva Custodio, Eliane Cristina Amaral, Eliney Sabino, 
Narumi Abe, publicado a Revista Gestão em Foco - Edição Nº 9 – no 
ano de 2017.
O trabalho está disponível no seguinte link: http://portal.unisepe.
com.br/unifia/wp-content/uploads/sites/10001/2018/06/052_estudo5.pdf
Observação: Sobre a temática, é importante que o aluno note 
a relevância do assunto dentro do seu campo de atuação.
26
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2004 Banca: ESAF Órgão: CGU Prova: Analista de Finanças e 
Controle - Tecnologia da Informação - Prova 3
Analise as seguintes afirmações relativas aos conceitos de Segu-
rança da Informação:
I. Confidencialidade é a propriedade de manutenção do sigilo das 
informações. É uma garantia de que as informações não poderão 
ser acessadas por pessoas não autorizadas.
II. Irretratabilidade é a propriedade de evitar a negativa de autoria 
de transações por parte de usuários, garantindo ao destinatário o 
dado sobre a autoria da informação recebida.
III. Autenticidade é a proteção da informação contra acessos não 
autorizados.
IV. Isolamento ou modularidade é a garantia de que o sistema se 
comporta como esperado, em especial após atualizações ou cor-
reções de erro.
Estão corretos os itens:
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
QUESTÃO 2
Ano: 2005 Banca: ESAF Órgão: Receita Federal Prova: Auditor Fis-
cal da Receita Federal - Área Tributária e Aduaneira - Prova 1
Analise as seguintes afirmações relacionadas aos conceitos bá-
sicos de Segurança da Informação: I. O IP spoofing é uma técnica 
na qual o endereço real do atacante é mascarado, de forma a evi-
tar que ele seja encontrado. É normalmente utilizada em ataques a 
sistemas que utilizam endereços IP como base para autenticação. 
II. O NAT, componente mais efi caz para se estabelecer a seguran-
ça em uma rede, é uma rede auxiliar que fi ca entre a rede interna, 
que deve ser protegida, e a rede externa, normalmente a Internet, 
fonte de ataques. III. O SYN flooding é um ataque do tipo DoS, que 
consiste em explorar mecanismos de conexões TCP, prejudicando 
as conexões de usuários legítimos. IV. Os Bastion host são equi-
pamentos que atuam com proxies ou gateways entre duas redes, 
permitindo que as requisições de usuários externos cheguem à 
rede interna. Indique a opção que contenha todas as afirmações 
27
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
verdadeiras.
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
QUESTÃO 3
Ano: 2010 Banca: CESPE/CEBRASPE Órgão: INMETRO Prova: 
Pesquisador - Ciência da Computação
Com relação à segurança dos serviços, assinale a opção correta.
a) O serviço WWW incorpora mecanismos nativos de controle de sessão.
b) O SMTP incorpora mecanismos nativos de criptografia, mas o POP não.
c) O FTP é notadamente inseguro por usar senhas em claro e estar 
embasado no UDP
d) O DNS incorpora mecanismos nativos de autenticação de cliente e 
de servidor.
e) O encapsulamento do tráfego referente aos serviços WWW, SMTP, POP 
e FTP em SSL/TLS é uma forma eficiente de adicionar-lhes segurança.
QUESTÃO 4
Ano: 2015 Banca: CONSULPLAN Órgão: Prefeitura de Patos de Mi-
nas - MG Prova: Técnico Nível Superior I - Analista de Sistemas
O IPSec (Internet Protocol Security – Protocolo de Internet Seguro) 
foi desenvolvido para ser compatível com o IPv4, e o IPv6 é um 
protocolo orientado a conexão e provê uma maior segurança na 
Internet, principalmente em relação ao IPv6. O IPSec trabalha em 
dois modos: o modo túnel e o modo transporte (em que dois hos-
pedeiros que querem se conectar com segurança, apenas esses 
dois precisam estar com o IPSec disponível). Vários serviços são 
oferecidos por uma sessão IPSec. São serviços de uma sessão 
IPSec, EXCETO:
a) Acordo criptográfico.
b) Integridade dos dados.
c) Autenticação de origem.
d) Rotulação de fluxo e prioridade.
QUESTÃO 5
Ano: 2013 Banca: CESPE/CEBRASPE Órgão: SERPRO Prova: Téc-
nico - Operação de Redes
OSI/ISO e TCP/IP são modelos de redes de computadores que con-
templam serviços e protocolos para comunicação em geral. A esse 
28
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
respeito, julgue os itens a seguir.
No SNMPv1, a interação entre agente e gerente pode ser iniciada 
por qualquer uma das partes, e a segurança das mensagens que 
chegam nos agentes pode incluir o uso de senha não criptografada.
( ) Certo
( ) Errado
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
A tecnologia é utilizada dentro de diversos contextos diferentes mas, 
atualmente, o ativo de maior valor para a sociedade é a informação. 
Dessa forma, a cada ação do usuário em uma rede de internet, são 
gerados os mais variados tipos de dados, que são oriundos de fontes 
diversas. 
Quais ações podem ser tomadas para garantir a segurança da informação?
TREINO INÉDITO
A segurança de uma rede é definida com base em vários critérios, alémdos cuidados que os próprios usuários devem ter em suas ações na 
rede. Portanto, a segurança envolve algumas características importan-
tes para garantir que os dados e informações estejam seguros. É co-
mum ouvirmos falar que, a segurança da informação é composta por 
três pilares: confidencialidade, disponibilidade e integridade. Acerca 
desse assunto, assinale a alternativa que indica a medida que reforça o 
pilar de confidencialidade.
a) Permite que a edição seja revertida de algum arquivo no sistema. 
b) Permite que funcionários de determinado setor tenham autorização 
de acesso à informação.
c) Permite que os usuários deletem os arquivos de um sistema.
d) Possibilita que seja definido um tempo de acesso as informações. 
e) Permite a manutenção de dispositivos de forma rápida. 
NA MÍDIA
O Brasil é um dos países com maiores índices de ameaças cibernéticas 
do mundo. Além disso, a discussão sobre o tema se torna necessária 
para que a atenção devida seja dada às ações de melhorias no setor. Já 
que, muitas vezes, a segurança das informações acaba sendo colocada 
em segundo plano quando o investimento em tecnologia é realizado.
Título: Brasil é o 2º país com mais ameaças de ransomware no mundo, 
aponta estudo.
29
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Fonte: Wagner Wakka para o portal Canaltech
Data: 13 de Março de 2019
Leia a notícia na íntegra: https://canaltech.com.br/seguranca/brasil-e-
-o-2o-pais-com-mais-ameacas-de-ransomware-no-mundo-aponta-es-
tudo-134683/
NA PRÁTICA
Os sistemas de informação atuais lidam diariamente com diversos da-
dos e informações dos usuários, que possuem perfis e necessidades 
diferentes. A certeza é a de que a rede deve proporcionar no mínimo 
alguns requisitos. Moraes (2010,p. 31), relata que: 
no ambiente bancário, por exemplo, integridade e auditoria são usual-
mente as preocupações mais críticas, enquanto confidencialidade e dis-
ponibilidade vêm a seguir em importância. Em uma universidade, a in-
tegridade e a disponibilidade podem ser os requisitos mais importantes.
Tendo como base estas informações, ao atuar na segurança das infor-
mações de um sistema bancário, o ideal é que o profissional responsá-
vel pela segurança das informações, elabore um plano de segurança 
contendo a análise e gerenciamento de riscos voltados a possíveis si-
tuações vivenciadas nesse contexto. 
Fonte: MORAES, Alexandre Fernandes de.; Segurança em Redes: fun-
damentos. 1. ed. - São Paulo: Érica, 2010.
PARA SABER MAIS
Filmes sobre o assunto (colocar os títulos dos filmes e anos)
A indicação deste capítulo é do documentário chamado “O dilema das 
redes” que está disponível na Netflix e que foi produzido em 2020.
Uma indicação de leitura é o artigo intitulado “Gestão da segurança da 
informação: fatores que influenciam sua adoção em pequenas e médias 
empresas”, dos autores Abner da Silva Netto e Marco Antonio Pinheiro 
da Silveira, que foi publicado no JISTEM - Journal of Information Sys-
tems and Technology Management, e publicado pela Scielo.
E que pode ser acessado através do link: <https://www.scielo.br/pdf/
jistm/v4n3/07.pdf>.
https://canaltech.com.br/equipe/wagner-wakka/
30
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ATAQUES CIBERNÉTICOS
Falar de segurança da informação, é indispensável para a so-
ciedade contemporânea. Mas, ao mesmo tempo, acaba sendo algo bem 
mais complexo do que parece. Pois imagine que, a todo momento, pes-
soas comuns estão gerando milhares de dados, que provavelmente irão 
ser contextualizados por informações, e irão gerar valor às empresas. 
Um exemplo é quando uma rede social é acessada, ali naque-
le momento, os primeiros passos a serem seguidos é a inserção de um 
login e uma senha, que são dados pessoais, ou seja, únicos para cada 
usuário, e que são acessados ou inseridos em um aplicativo, ou uma 
aplicação web. Em algumas situações é necessário fazer o download 
do aplicativo no dispositivo e uma das primeiras mensagens é referente 
às permissões que o usuário deve disponibilizar para que o aplicativo 
ATAQUES CIBERNÉTICOS &
TÉCNICAS DE ENCRIPTAÇÃO
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
31
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
possa ter acesso, geralmente envolve acesso a microfone, câmera, ga-
leria de imagens, fotos, dentre outras informações pessoais do usuário. 
A necessidade desse acesso não está associada apenas ao 
funcionamento da aplicação, mas também é uma forma que as empre-
sas têm de obter informações adicionais do usuário, tais como: qual ho-
rário você acessou, de qual localidade, dentre outras milhares de infor-
mações, ou seja, a cada milissegundo, somos responsáveis por gerar 
dados. Com isso, as empresas criam perfis de usuários e podem lucrar 
através de diferentes formas, que não se limitam apenas às funcionali-
dades da aplicação, mas também, a venda e oferta de novos produtos 
e serviços. 
Dentre os diversos desafios relacionados à segurança de da-
dos, é possível mencionar o fato de que, a cada dia que passa, en-
quanto uma nova tecnologia está sendo desenvolvida, um cracker está 
tentando criar meios de burlar o processo de segurança daquilo. 
Não confunda os termos “cracker” e “hacker”, pois ambos pos-
suem significados diferentes. O termo “cracker” é oriundo da palavra 
cracker tem relação com o ato de “quebrar”, e quando atribuído a tec-
nologia, ele é designado a pessoa ou sistema que burla algum sistema 
de segurança. Já o termo “hacker”, é designado as pessoas que fazem 
modificações nos software e hardware com objetivo de auxiliar na pro-
teção dos dados. 
Por isso, é notório que alguns serviços acabam sendo alvos 
mais requisitados, como os sistemas e aplicações bancários. É comum 
a divulgação de notícias sobre ataques cibernéticos, e a maioria das 
notícias falam apenas que os dados ou informações dos usuários de de-
terminados serviços tecnológicos foram disponibilizados de forma ilegal 
na rede, ou seja, na internet. 
Em outro ponto de vista, existe o lado do desenvolvedor, ou 
seja, da pessoa ou equipe responsável pelo desenvolvimento do sis-
tema que, consequentemente, acaba tendo que lidar com algoritmos 
cada vez mais complexos e que, simultaneamente, além de serem fun-
cionais, devem a todo momento levar em consideração os possíveis 
ataques cibernéticos que estão sujeitos durante o uso da aplicação.
Alguns conceitos possuem diversas perspectivas, onde um ris-
32
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
co pode ser definido como sendo a possibilidade de algum ativo agir 
com má fé diante de alguma vulnerabilidade do sistema, com o objetivo 
de ter alguma vantagem, seja financeira, ou sob os dados e informa-
ções. E um ataque é quando alguma entidade pode sofrer algum dano, 
de forma inesperada. Outro termo associado a este contexto é o da 
ameaça, que ocorre quando a aplicação sofre uma potencial execução 
do ataque. São situações comuns e que estão constantemente aconte-
cendo quando se diz respeito aos processos que são executados em 
uma rede de internet. 
A segurança da informação é baseada em três pilares:
Integridade: Garante que qualquer alteração seja realizada 
apenas por entidades autorizadas, sejam um usuário ou outro sistema. 
Muitas vezes, esse tipo de ação é associada apenas às ações humanas 
mas, é importante ter um olhar macro para alguns tipos de situações, 
como problemas de energia, conexão, onde os dados podem ser altera-
dos ou sofrerem alterações que não estavam previstas.
Confidencialidade: A confidencialidade está relacionada ao 
armazenamento, transmissão ou qualquer outra ação relacionada à in-
formação. Pois, por ter um status de confidencialidade, a informação 
deve ser acessada apenas por entidades autorizadas. 
 Disponibilidade: Esta propriedade associada à segurança, 
faz referência ao acesso, ou seja, a disponibilidade em que uma infor-
mação deveapresentar a todos aqueles que possuem autorização em 
vê-la.
Estas propriedades devem ser sempre lembradas, pois são a 
base para que as pessoas possam fazer uso de suas informações, tanto 
em segurança, quanto de forma adequada. Pois, imagine, caso algum 
dia você necessite acessar seus dados bancários, e o sistema não os 
apresente, ou mostre frases que são até comuns como “informação in-
disponível”. Abaixo, na figura 3, é possível observar como alguns ata-
ques podem afetar os pilares da segurança. 
33
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Figura 3 - Taxonomia de ataques relacionados às metas de segurança.
Fonte: FOROUZAN et al. (2013, p. 727).
A escuta e a análise de tráfego afetam diretamente a confiden-
cialidade, pois estão associados ao acesso às informações sigilosas 
pertencentes apenas a entidades autorizadas. A análise de tráfego tam-
bém é uma ação executada na transmissão de informações que deve 
ser tida como ponto de atenção, pois, através do acesso a ela, é pos-
sível descobrir informações que são sigilosas, e que podem ser vistas 
como complemento a outros dados.
A integridade, como foi mencionado logo acima, pode ser asso-
ciada ao conteúdo em si das informações, onde muitas vezes qualquer 
alteração, realizada por entidades desconhecidas ou sem autorização, 
pode causar prejuízos imensuráveis. Um exemplo de situação que en-
volve a falsificação é quando o usuário realiza alguma compra em um 
site, e tem seus dados do cartão de crédito copiados, ou como é co-
nhecido popularmente, “clonado”. Um exemplo da repetição, é a emis-
são de boletos de pagamento falsificados, onde os criminosos colocam 
todas as informações referentes a uma compra, porém, ao enviarem 
às pessoas, elas acabam pagando contas que não são suas, pois os 
boletos foram alterados anteriormente. 
Para se ter ideia dos resultados negativos de qualquer tipo de 
34
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ação mencionada, é só você imaginar, que seu endereço, CPF (Cadas-
tro de Pessoa Física), RG (Registro Geral), local de trabalho, suas fotos, 
vídeos, e-mails estão sendo disponibilizados na rede para qualquer pes-
soa ter acesso. Já imaginou, como você estaria vulnerável a ataques e 
ações maliciosas de terceiros? Antigamente o medo que todos tinham 
era apenas o de ter os dados divulgados na rede mas, atualmente, es-
ses dados não se limitam mais aos documentos pessoais. Por isso, as 
aplicações armazenam localização, imagens, áudios, vídeos, através 
das permissões que os usuários fornecem, muitas vezes, sem ter uma 
perspectiva macro, do que as empresas podem fazer com esses dados. 
A negação de serviço (conhecido também como “DoS – Denial 
of Service”) é muito comum, e pode ser considerado um tipo de ataque 
bem grave, pois, a privação ao acesso às informações que estão arma-
zenadas em um dispositivo ou um meio eletrônico também pode interfe-
rir de forma negativa nos demais processos da entidade, seja ela uma 
empresa, ou uma pessoa física. Abaixo, na Figura 4, outras definições 
para este termo são expostas. Além disso, a figura aborda alguns outros 
tipos de ataques presentes na rede.
Figura 4 - Técnicas usadas em ataques.
Fonte: COMER (2016, p.446).
35
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Além destes, que já foram citados, outros tipos de situações 
indesejadas podem ser caracterizados através de ações maliciosas na 
rede, dentre elas é possível citar:
Phishing: se refere a criação de websites semelhantes a ou-
tros, geralmente aos de bancos, ou de lojas já conhecidas pelos usuá-
rios, porém, são páginas falsas que possuem o objetivo de obter as 
informações pessoais e dados bancários dos usuários. Essa ação tam-
bém pode ocorrer de outras formas, em integrações a outras páginas já 
existentes, ou seja, não necessariamente é caracterizada pela criação 
de uma nova página. Dentro desse contexto, existem especificamente 
as páginas falsas.
Ainda sob esta perspectiva, existem programas que são de-
senvolvidos já com intenções maliciosas, é o caso do vírus, worm, tro-
jan, estes, possuem códigos maliciosos que se instalam nas máquinas, 
ou seja, nos recursos físicos ou lógicos da rede, podendo ser enviados 
via e-mail, ou através do uso de arquivos infectados. Inclusive alguns 
ambientes organizacionais como empresas, bancos, proíbem seus fun-
cionários a fazerem conexões através qualquer dispositivo externo as 
máquinas da empresa, como uso de pendrive, cabos, dentre outros. 
Em alguns sites é possível que surjam alguns anúncios que 
não foram solicitados, eles surgem de forma insistente, tentando induzir 
o usuário ao erro de clicar em algum botão de confirmação, ou deixan-
do a opção de sair quase imperceptível pelo usuário. O nome desses 
anúncios é adware, e pode ser considerado um tipo de malware, onde o 
maior objetivo desse tipo de ataque é redirecionar o usuário a websites 
inseguros ou impróprios.
A vulnerabilidade de um sistema pode ser afetada de diversas 
formas, o maior desafio é acompanhar a agilidade e definir limitações 
para o acesso às informações para evitar situações desagradáveis, já 
que uma ação maliciosa na rede pode ser muito perigosa, colocando 
em risco não só o usuário detentor da informação, mas também tudo ao 
seu redor. Pois, os interesses em agir dessa forma vão além da necessi-
dade de formar os perfis dos usuários ou interesses financeiros. Apesar 
de possuírem pilares para a segurança é importante que as empresas 
estabeleçam requisitos de segurança. Estes serão utilizados como base 
36
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
para outras ações que podem ser executadas posteriormente. 
Um dos primeiros passos seria fazer uma análise dos possíveis 
riscos que a empresa pode sofrer. É importante para avaliar os impactos 
que podem ser causados pelas vulnerabilidades dos sistemas. Além 
disso, as ações da organização devem estar coerentes com requisitos 
legais, cumprindo regulamentações, e leis estabelecidas internamente 
e externamente na empresa. 
O cyber terrorismo é um ataque a grandes redes, as quais po-
dem deixar empresas, e até grandes centros metropolitanos reféns de 
ataques às redes e, consequentemente, às informações que estão ar-
mazenadas nela. Por exemplo, caso consigam invadir a rede de um 
hospital, universidade, ou até mesmo do governo de algum país ou ci-
dade, os criminosos podem exigir recompensas para retornar as per-
missões de acesso aos arquivos “sequestrados”. 
Dentro destas delimitações devem constar regras referentes 
às informações, definindo como elas são transmitidas, editadas, ma-
nuseadas, processadas e até mesmo arquivadas. Pois, dependendo 
dessas definições, ações de segurança podem ser implementadas de 
forma mais precisa. As políticas de segurança visam abranger todas as 
possíveis ações que o usuário possa vir a ter. Neste caso, os usuários 
contemplam tanto os funcionários, quanto os terceiros que fazem uso 
do sistema, como os usuários finais, que também são denominados de 
clientes. 
Assim como a definição de regras e documentações que visam 
garantir a segurança, existe também algumas técnicas que normalmen-
te são inseridas nas políticas de segurança, como o hashing, que é um 
mecanismo utilizado para a integridade e autenticação das informações; 
já quando o objetivo é autenticar mensagens existe a assinatura digital, 
que pode ser definida através de softwares específicos que garantem a 
autenticidade dos dados; por outro lado, a autenticação do transmissor 
das informações pode ser realizada através dos certificados digitais. 
Outras técnicas que podem ser aplicadas também são as que 
estão relacionadas à integridade do site, como sistemas de detecção de 
intrusão, firewalls (fazem a análise do tráfego da rede delimitando o que 
atende ou não às políticas organizacionais estabelecidas para aquela 
37
SE
G
U
R
A
N
Ç
A
 D
E
 DA
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
rede específica), varreduras e inspeção das informações, dentre outras.
A criptografia, assunto que será abordado no próximo tópico, 
também faz parte das técnicas que podem ser incluídas nas políticas de 
segurança de uma organização, ou de uma rede no geral. Seu objetivo, 
assim como as demais técnicas é o de tentar garantir a segurança da 
rede. O termo “tentar” é utilizado, pois, não existe rede 100% segura, 
tendo em vista a quantidade de tipos de ameaças e ataques existentes 
e que estão também em constante atualização, acompanhando as no-
vidades do mercado tecnológico e do comportamento social diante do 
seu uso.
CONCEITOS SOBRE CRIPTOGRAFIA
Ao utilizar seu computador ou smarthphone, faz-se um login, 
que pode contabilizar dois tipos de dados diferentes, um login, que pode 
ser um e-mail(que é um tipo de dado), seu CPF (que é outro tipo de 
dado), seu nome ou apelido(outro tipo de dado), e então, tem a senha, 
que também é outro tipo de dado. E internamente, o sistema está tendo 
acesso ao seu IP, que é a identificação de sua máquina na rede, sua 
localização, porque provavelmente você tem algum aplicativo no seu 
dispositivo que armazena esse tipo de informação. Agora imagine, mi-
lhares de pessoas fazendo isso a cada segundo. 
É dessa vertente que vem a importância da segurança da infor-
mação. Apesar de ser fácil ver a associação entre o termo informação, a 
apenas estes dados, através dos exemplos, foi possível verificar que é 
muito mais que isso, é praticamente a vida das pessoas conectadas que 
dependem desses recursos que tentam garantir a segurança constante 
de todos. 
A palavra criptografia significa esconder dados ou informações. 
Esta é uma técnica utilizada na segurança de informações, em que seu 
objetivo é utilizar conceitos matemáticos para transformar informações 
que são enviadas em sua forma original, em códigos, os quais são co-
mumente chamados de “mensagens criptografadas”, ou seja, mensa-
gens escondidas. Além disso, para realizar a leitura do conteúdo original 
da mensagem o leitor deve ter acesso a chave, ou código que descrip-
tografa a mensagem, ou seja, desfaz tudo que foi realizado durante a 
criptografia. 
De acordo com Comer (2016, p. 451), 
a terminologia utilizada com a criptografia define quatro itens:
• Texto aberto – uma mensagem original antes de ter sido criptografada. 
• Texto cifrado – uma mensagem após ter sido criptografada. 
38
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
• Chave de criptografia – um conjunto curto de bits usado para criptografar 
uma mensagem. 
• Chave de descriptografia – um conjunto curto de bits usado para descripto-
grafar uma mensagem.
Através das definições expostas por Comer (2016), é possível 
ter outra definição para a criptografia, uma que seja mais técnica, já que 
ele menciona que quando uma mensagem é criptografada seus bits 
passam por alterações. Então, esta pode ser vista como uma defini-
ção técnica do termo. Ela é utilizada para garantir que apenas usuários 
autorizados tenham acesso a determinadas mensagens, além disso, 
pode ser aplicada em processos de validação de informações, e para 
manter a integridade, garantindo que não haverá modificação em seu 
conteúdo.
Além da criptografia, outra técnica é utilizada para a comuni-
cação secreta, ela se chama esteganografia. Conforme Forouzan et 
al. (2013, p.729), “a palavra esteganografia, de origem grega, significa 
“escrita oculta”, diferentemente da criptografia, que significa ‘escrita se-
creta’. [...] esteganografia significa ocultar a mensagem em si, encobrin-
do-a com alguma outra coisa”.
Existem alguns sistemas criptográficos, dentre eles estarão em 
evidência: o sistema de chave secreta e o sistema de chave pública. 
Sistema de chave secreta: neste tipo de sistema, tanto o 
transmissor quanto o receptor possuem, respectivamente, a chave de 
criptografar e de descriptografar a mensagem. Dessa forma, a seguran-
ça da informação dependerá destes dois agentes. Este sistema também 
é conhecido como criptografia simétrica.
Após a exposição de tais conceitos, é notório que a base da 
criptografia é alterar a mensagem original. Esse contexto caracteriza o 
que é chamado de criptografia simétrica. Para que isso ocorra, se faz 
necessária a presença de uma mensagem original (que pode ser cha-
mada de “texto claro”), além disso, os passos de como essa alteração 
da mensagem original será realizada também devem estar presentes, 
ou seja, são conceitos referentes ao que é chamado de algoritmo de 
encriptação. A chave secreta também deve estar presente, tendo em 
39
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
vista que é tida como os dados de entrada no algoritmo, para que ele 
seja capaz de disponibilizar resultados diferentes, conforme cada chave 
secreta que for inserida como entrada quando for executado. 
Além destes itens mencionados, é possível citar o texto cifrado, 
o qual é o resultado de quando a criptografia é aplicada, ou seja, contém 
a mensagem que antes estava em seu estado original e, posteriormen-
te, se encontra de forma “misturada”. E por fim, existe o algoritmo de 
decriptação, que é capaz de executar os passos do algoritmo de encrip-
tação de forma reversa. Abaixo, na figura 5, é possível ver um modelo 
simplificado de encriptação simétrica.
Figura 5 - Modelo simplificado de encriptação simétrica
Fonte: STALLINGS (2015, p. 21).
Através da figura 5, é possível observar a presença dos itens 
essenciais para uma criptografia simétrica. Onde, através da aplicação 
do algoritmo, a mensagem original, denominada na imagem como texto 
claro, passa pelo sistema de encriptação, sofrendo assim, alterações 
que só serão desfeitas após a chave secreta ser inserida pelo sistema 
destinatário, ou seja, receptor da mensagem enviada. Por fim, a men-
sagem original poderá ser novamente visualizada. Nesse exemplo, tam-
bém fica claro que o sistema receptor, obrigatoriamente, deve possuir 
uma espécie de senha para decifrar a mensagem. 
Como exemplos de métodos que utilizam a chave simétrica é 
possível mencionar Blowfish (é uma cifra simétrica, que foi utilizada em 
substituição ao DES), AES (é a sigla para Advanced Encryption Stan-
dard, ou Padrão Avançado de Criptografia), RC4 (também conhecido 
como ARC4 ou ARCFOUR), dentre outros. Alguns desses métodos 
acabaram sendo substituídos por outros, ou sendo aprimorados para 
fins específicos, como por exemplo, o AES que foi desenvolvido para 
40
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ser utilizado pelo governo americano. 
Sistema de chave pública: neste tipo de sistema, tanto o 
transmissor, quanto o receptor possuem conhecimento sobre a chave 
pública, porém, apenas o receptor terá acesso a chave privada. Dessa 
forma, cada usuário acaba tendo sua chave privada e sua chave públi-
ca. Este sistema também é conhecido como criptografia assimétrica.
Ao utilizar este sistema na prática, caso um usuário queira en-
viar uma mensagem a outro usuário, este deve ter conhecimento sobre 
a chave pública do usuário remetente, pois, a descriptografia das infor-
mações só será realizada através da chave privada do remetente. Por 
isso, este tipo de sistema é conhecido como seguro pois, ambos devem 
ter conhecimento de duas chaves para conseguir ter acesso à informa-
ção. Como exemplo de criptografia de chave pública, é possível citar 
o algoritmo RSA, a sigla é derivada da primeira letra do sobrenome de 
seus inventores: Ron Rivest, Adi Shamir e Leonard Adleman.
Assim como existem situações denominadas como ataques 
e ameaças à segurança da rede, é possível mencionar também que 
existem as mesmas ações contra a lógica operacional aplicada na 
criptografia. A criptoanálise é um tipo de ataque que tem como ob-
jetivo tentar adivinhar qual chave foi utilizada. Já que a segurança da 
criptografia é sustentada no segredo tanto do algoritmo utilizado,mas 
também, na chave que foi utilizada. Além deste, existe também o ata-
que por força bruta, que é caracterizada quando o cyber criminoso 
faz o teste com todas as possíveis chaves, em determinado trecho da 
mensagem criptografada, fazendo uma analogia, é como se fosse, na 
base da “tentativa e erro”. Na criptografia existem algumas técnicas de 
substituição, dentre elas, destacam-se:
A cifra de César, que foi desenvolvida por Júlio César. De 
acordo com Stallings (2015, p.25), essa cifra envolve ‘substituir cada le-
tra do alfabeto por aquela que fica três posições adiante.”. A figura abai-
xo exemplifica como a cifra pode ser aplicada em um contexto prático.
Figura 6 – Exemplo de uso da Cifra de César
Fonte: Adaptado pela autora (STALLINGS,2015,p. 25).
Por possuir apenas 25 chaves possíveis, a cifra de César não 
pode ser considerada como uma cifra muito segura em comparação 
as demais. Além disso, perceba que quando o algoritmo da técnica de 
encriptação é publicado ou de conhecimento do público, este deixa as 
41
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
mensagens vulneráveis em relação à segurança de suas informações. 
Criada em 1854, pelo cientista britânico Sir Charles Wheatso-
ne, a cifra Playfair recebeu este nome em homenagem ao amigo do 
inventor, que se chamava Barão Playfair de St. Andrews. Essa, é uma 
cifra de encriptação de múltiplas letras, seu modo operacional faz com 
que os diagramas (que são ferramentas capazes de examinar a fre-
quência de combinações de duas letras) do texto claro, ou seja, da men-
sagem original, sejam vistos como unidades isoladas, com isso, a cifra 
realiza a tradução para diagramas do texto cifrado (STALLINGS, 2015).
VARREDURA DE PORTAS E SERVIÇOS
Existem diversos tipos de perfis de usuários em uma rede, que 
vai desde o usuário comum, que irá utilizar a rede para atividades coti-
dianas, como um estudante, ou até mesmo a funcionários de empresas 
que compartilham informações confidenciais na rede. Estes também 
podem ser perfis de usuários que, de alguma forma, podem adotar ati-
tudes suspeitas na rede. Já que, o simples fato de realizar a leitura de 
um e-mail, ou de uma informação que não estava direcionada a você, já 
contempla uma violação da segurança. 
O objetivo da varredura de portas e serviços é detectar vulne-
rabilidades na rede, já que todo o fluxo de conexões ocorre através das 
portas, as quais recebem conexões estabelecidas pelos protocolos en-
tre os sistemas transmissores e receptores, conhecidos também como 
hosts, então, com a varredura é possível descobrir se as portas estão 
abertas, fechadas ou bloqueadas para conexões. O bloqueio pode ocor-
rer, caso haja algum mecanismo de defesa esteja impedindo o acesso 
a determinada porta, como o uso de firewall. 
Dentre os protocolos, destaca-se o TCP (Transmission Con-
trol Protocol, ou Protocolo de Controle de Transmissão). Essa detecção 
pode ser analisada sob alguns pontos de vista diferentes: um é o do 
cyber criminoso, que pode aplicar essa técnica para planejar e execu-
tar ataques aos sistemas, o outro é por parte do próprio sistema ou de 
usuários que visam proteger suas conexões. 
Um dos programas mais utilizados para a realização da varre-
dura de portas é o Nmap, conforme seu portal1: 
O Nmap (“Network Mapper”) é um código-fonte gratuito e aberto ( licença) 
utilitário para descoberta de rede e auditoria de segurança. Muitos sistemas 
e administradores de rede também o consideram útil para tarefas como in-
ventário de rede, gerenciamento de agendas de atualização de serviço e 
1 https://nmap.org/
https://nmap.org/data/COPYING
42
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
monitoramento do tempo de atividade do host ou serviço. O Nmap usa paco-
tes IP brutos de maneiras inovadoras para determinar quais hosts estão dis-
poníveis na rede, quais serviços (nome e versão do aplicativo) esses hosts 
estão oferecendo, quais sistemas operacionais (e versões do SO) eles estão 
executando, que tipo de filtro / firewall de pacote estão em uso e dezenas de 
outras características. Ele foi projetado para verificar rapidamente grandes 
redes, mas funciona bem em hosts únicos. O Nmap é executado em todos os 
principais sistemas operacionais de computador e pacotes binários oficiais 
estão disponíveis para Linux, Windows e Mac OS X. Além do clássico exe-
cutável Nmap da linha de comando, Zenmap ), uma ferramenta flexível de 
transferência, redirecionamento e depuração de dados ( Ncat ), um utilitário 
para comparar os resultados da verificação ( Ndiff ) e uma ferramenta de 
geração de pacotes e análise de respostas ( Nping ).
Os principais passos seguidos pelos usuários maliciosos em 
uma rede são respectivamente: o reconhecimento do alvo, ou seja, eles 
estudam o perfil do público alvo que eles pretendem aplicar o ataque; 
posteriormente, é a realizada a enumeração, a qual faz testes em ser-
viços que foram localizados durante a varredura; o próximo passo é 
a execução de exploit, que são trechos de programas que visam se 
aproveitar de falhas nos sistemas, é basicamente o ataque; os desafios 
posteriores para os cyber criminosos é o de manter a conexão com o 
sistema que eles conseguiram efetivar o ataque e, posteriormente, eli-
minar as pistas que podem levar as autoridades a encontrar o autor do 
ataque. 
O quadro 3 traz a perspectiva de Moraes (2010), em relação a 
alguns processos de enumeração realizados nos servidores que podem 
estar presentes durante uma varredura.
Quadro 3: Enumeração após a varredura
Servidores Enumeração após a varredura
FTP (File Transfer Proto-
col)
Podemos verificar se o FTP anônimo está habi-
litado.
SMTP (Simple Mail 
Transfer Protocol)
Podemos verificar se o relay do servidor de e-mail 
está aberto, permitindo assim o envio de um 
e-mail falso de um usuário não autorizado.
DNS (Domain Name Sys-
tem)
Pode-se verificar se o servidor DNS permite zone 
transfer e, desta maneira, capturar todos os re-
gistros e nomes de máquinas internas do servidor 
de DNS.
https://nmap.org/zenmap/
https://nmap.org/ncat/
https://nmap.org/ndiff/
https://nmap.org/nping/
43
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Web Pode-se identificar a versão do servidor Web para 
depois escolher o melhor exploit a ser utilizado.
SNMP (Simple Network 
Management Protocol)
É possível realizar vários ataques, uma vez que 
muitos equipamentos possuem MIB, onde as 
community strings estão configuradas com o pa-
drão public ou private. O software utilizado para 
isso é o SNMP WALK.
Fonte: Adaptado de Moraes (2010, p.188)
Além do uso de ferramentas, a varredura pode acontecer atra-
vés do uso de algumas técnicas, dentre elas é possível destacar a var-
redura UDP (User Datagram Protocol), onde um pacote é enviado para 
uma porta específica, para verificar se ela está ou não aberta. Porém, 
nem sempre tem como garantir que o retorno da resposta será confiá-
vel, para diminuir essas possibilidades ao realizar a varredura, pacotes 
UDP são enviados de forma mais específica. Outro tipo de varredura é 
a TCP, que é executada de forma semelhante a UDP, pois durante a var-
redura vão sendo executadas várias tentativas de iniciar uma conexão 
TCP através de alguma porta do sistema tido como alvo. 
Já a varredura SYN, conforme Goodrich e Tamassia (2013, 
apud Morais et al. (2018, p.55) , 
ocorre quando a parte que está realizando a varredura emite um pacote TCP 
de baixo nível marcado com o indicador SYN para cada porta na máquina 
alvo. Se a porta está aberta, o serviço que está ouvindo aquela porta irá re-
tornar um pacote marcado com o indicador SYN–ACK e, se não, nenhuma 
resposta será́ emitida. Ao receber um pacote SYN–ACK, quem está fazen-
do a varredura emite um pacote RST para terminar, em vez de completar o 
handshake TCP.
Outra técnica que pode ser mencionada é a varredura ociosa, 
esta tem como principal objetivo localizar alguma máquina que possua 
TCPprevisíveis. Através destes exemplos de técnicas de varredura é 
possível ter uma base de como elas podem ser utilizadas de forma ma-
liciosa. Cabe ao usuário ficar sempre atento a suas atitudes ao utilizar 
a rede de internet. 
44
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A Netflix lançou, em 2019 uma série chamada “Privacidade Ha-
ckeada” - que visa explicar como a empresa de análise de dados Cam-
bridge Analytica se tornou o símbolo do lado sombrio das redes sociais 
após a eleição presidencial de 2016 nos EUA.
Acesse o link: 
O Centro de Estudos, Resposta e Tratamento de Incidentes de 
Segurança no Brasil é mantido pelo NIC.br, do Comitê Gestor da Inter-
net no Brasil, e atende a qualquer rede brasileira conectada à Internet.
Para mais informações, acesso o link: <https://www.cert.br/>.
Observação: Sobre a temática, é importante que o aluno note 
a relevância do assunto dentro do seu campo de atuação.
45
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2012 Banca: FUMARC Órgão: TJ-MG Prova: Assistente Téc-
nico De Sistemas
Sobre os conceitos de criptografia, é correto afirmar que
a) a criptografia de chave pública é mais segura contra criptoanálise do 
que a criptografia simétrica.
b) apesar de consumir mais recursos computacionais que a criptografia 
simétrica, a criptografia de chave pública apresenta grande vantagem 
em relação à segurança do processo de distribuição de chaves.
c) os algoritmos de criptografia (simétrica e assimétrica) apresentam o 
mesmo nível de resistência quando utilizam chaves de mesmo tamanho.
d) a criptografia de chave pública praticamente substituiu os algoritmos 
de chave simétrica para aplicações web que necessitam de transferên-
cia segura de dados através da internet.
QUESTÃO 2
Ano: 2012 Banca: PR-4 UFRJ Órgão: UFRJ Prova: Técnico de Tec-
nologia da Informação - Suporte de Software, Redes e Hardware
Considere as seguintes assertivas sobre Conceitos de Criptografia:
I – Nos algoritmos simétricos, a mesma chave é usada para cripto-
grafar e descriptografar e deve ser compartilhada;
II – Os algoritmos assimétricos usam o conceito de chave pública 
e privada;
III – Os algoritmos de chaves simétricas usam operações mais sim-
ples e mais rápidas que os algoritmos de chaves assimétricas;
Assinale a alternativa correta:
a) apenas a assertiva III está correta;
b) apenas a assertiva I está correta;
c) apenas a assertiva II está correta;
d) as assertivas I, II e III estão corretas;
e) apenas as assertivas I e II estão corretas.
QUESTÃO 3
Ano: 2016 Banca: FCC Órgão: Prefeitura de Teresina - PI Prova: 
Técnico de Nível Superior - Analista de Sistemas
Um dos tipos de ataque cibernéticos é conhecido como Buffer 
Overflow que tem como característica
a) perda de comunicação de rede pelo travamento do controlador de rede.
b) comunicação de rede lenta devido a sobrecarga de dados na placa 
de rede.
46
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
c) lentidão do computador devido ao excesso de dados para processa-
mento.
d) lentidão na resposta do servidor devido ao excesso de requisições.
e) permitir que o atacante execute código malicioso como superusuário.
QUESTÃO 4
Ano: 2018 Banca: IBFC Órgão: Prefeitura de Divinópolis - MG Pro-
vas: Técnico de Enfermagem 
Em maio de 2017 ocorreu um ataque cibernético a nível mundial 
por um ransomware, um tipo de vírus que “sequestra” os dados de 
um computador e só os libera com a realização de um pagamento 
(resgate). O ataque afetou mais de 200 mil máquinas em 150 países. 
No Brasil, as principais vítimas do vírus foram empresas e órgãos 
públicos, como a Petrobras, o Itamaraty e o Instituto Nacional do 
Seguro Social (INSS). O nome do vírus de computador relacionado 
ao ataque cibernético mencionado é:
a) WannaCry
b) BadRansom
c) Fireball
d) Checkmate
QUESTÃO 5
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha - ES Pro-
vas: Analista Ambiental 
Um ataque cibernético é uma tentativa de danificar ou destruir uma 
rede ou sistema digital. Pode resultar em uma violação de dados, 
que é quando dados sensíveis ou confidenciais são manipulados 
por indivíduos não autorizados. Este tipo de ataque pode assumir 
a forma de roubo de identidade, vírus, malware, fraude ou extor-
são. Analise as seguintes recomendações:
I - utilize senhas curtas e iguais para todos os serviços online;
II - não use verificação em duas etapas;
III - deixe seu sistema operacional atualizado;
IV - utilize um antivírus e um firewall;
V - utilize conexões desconhecidas de internet.
Qual/quais da(s) alternativas abaixo contém/contêm somente a(s) 
proposta(s) correta(s) para evitar um ataque cibernético?
a) somente I e II.
b) somente II e V.
c) somente III e IV.
d) somente I e V.
e) somente I.
47
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
A segurança da informação abrange um contexto bem amplo, que envol-
ve diversas perspectivas diferentes, dentre elas, a segurança dos recur-
sos físicos, de hardware, da rede e da inter-rede. Discutir sobre a segu-
rança da informação é indispensável para a sociedade contemporânea. 
Mas, ao mesmo tempo, acaba sendo algo bem mais complexo do que 
parece. Tendo em vista que a todo momento os usuários da rede estão 
gerando milhares de dados, que provavelmente serão contextualizados 
por informações, e irão gerar valor as empresas. É tanto que para tentar 
evitar situações que torne a rede vulnerável, muitas empresas inserem 
em suas políticas de segurança, ações que devem ser adotadas com 
seus dados, seja na transmissão, edição, processamento, dentre outros. 
Como profissional da área de redes, descreva uma ou mais situações 
que podem ser caracterizadas como violação de segurança.
TREINO INÉDITO
A palavra criptografia significa esconder dados, ou informações. Esta é 
uma técnica utilizada na segurança de informações, em que seu obje-
tivo é utilizar conceitos matemáticos para transformar informações que 
são enviadas em sua forma original, em códigos, os quais são comu-
mente chamados de “mensagens criptografadas”, ou seja, mensagens 
escondidas. 
Dentro do contexto da criptografia assinale a alternativa correta:
a) O texto aberto refere-se à mensagem original antes de ter sido crip-
tografada.
b) O texto cifrado refere-se à mensagem que foi reservada para ser 
criptografada.
c) A chave de criptografia é um conjunto de bits utilizados para descrip-
tografar a mensagem.
d) A chave de descriptografia é utilizada para criptografar a mensagem 
original.
e) A chave secreta pode ser chamada também de chave assimétrica.
NA MÍDIA
A cada ano as empresas, independente de suas áreas de atuação, es-
tão elaborando e criando mecanismos que as auxiliem na redução dos 
ataques cibernéticos. Que, com a globalização, e a disseminação de 
informações tem se tornado bastante comum nos últimos tempos.
48
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Conheça as principais ameaças virtuais em 2020.
Fonte: High Security Center
Data: 09 de janeiro de 2020
Leia a notícia na íntegra: 
A High Security Center elaborou em janeiro de 2020 um resumo com 
as principais ameaças virtuais. Para saber mais, acesse o seguinte link:
https://www.hscbrasil.com.br/principais-ameacas-virtuais/
NA PRÁTICA
Aplicações de técnicas de segurança da informação 
Os três pilares da segurança da informação são: a confidencialidade, 
que está relacionada à autorização de acesso à informação; a integri-
dade, que está relacionada à autorização para manipulação da infor-
mação, como a possibilidade de editar ou deletar algo, ou parte da in-
formação; e a disponibilidade, que é referente ao tempo de acesso que 
a informação fica disponível. Uma das maneiras mais utilizadas para 
manter dados seguros é o uso de senhas, as quais devem atender a 
todos os pilares da segurança da informação. Ao necessitar atuar emum projeto de segurança de redes, o mecanismo que o profissional de 
tecnologia deve utilizar é o de uma lista de controle de acesso (ACL, 
Access Control List) aos dados. Dessa forma, as senhas dos usuários 
estarão mais seguras e, consequentemente, as informações também. 
PARA SABER MAIS
Filmes sobre o assunto (colocar os títulos dos filmes e anos)
Dia 08 de novembro de 2019, a HSC Brasil publicou em seu canal no 
Youtube, uma explicação interessante sobre as ameaças virtuais. O tí-
tulo do vídeo é A evolução das Ameaças Virtuais. E pode ser acessado 
através do link: 
<https://www.youtube.com/watch?time_continue=264&v=8N-
2GR4Hwsws&feature=emb_logo >.
49
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
NORMAS ISO RELACIONADAS À SEGURANÇA DA INFORMAÇÃO
O objetivo de regulamentar ou criar padrões para algo, é garantir 
que experiências vividas ao longo dos anos possam ser documentadas e, 
consequentemente, sirvam de exemplo para novas experiências. É isso 
que ocorre no universo da tecnologia e até em outras vertentes da vida 
humana. E são graças a esses relatos que foram sendo documentados 
com o tempo que existem os pontos já comprovados que deram certo. 
Dessa forma, a área da rede de internet contém diversas nor-
mas e regulamentações sejam elas legais, no sentido, de serem leis, 
que podem divergir de país para país, ou entre regiões, mas também, 
de regras e as mais conhecidas normas ISO, que são desenvolvidas 
pela “Organização Internacional de Padronização”. No Brasil, uma das 
principais agências regulamentadoras é a Associação Brasileira de Nor-
mas Técnicas (ABNT).
MODELOS DE
SEGURANÇA DE INFORMAÇÃO
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
50
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
• Normas ISO 2700
As normas podem conter diversas variações, elas são cria-
das para padronizar ações dentro de um determinado contexto, dessa 
forma, podem ser aplicadas não só na segurança da informação, mas 
também em outras etapas e situações que envolvam os recursos tec-
nológicos. A norma ISO 27000 é a Norma Internacional de Segurança 
da Informação, ela foi revisada em 2018, onde foram acrescentados 
alguns pontos voltados a novos produtos e serviços que estão sendo 
disponibilizado na rede, como o uso de microprocessadores e ações 
mais voltadas à segurança cibernética.
Nota-se que as normas acompanham os avanços tecnológi-
cos, tendo em vista que quando são aplicadas, garantem a padroniza-
ção dos serviços e produtos e, com isso, conseguem delimitar várias 
ações que podem ser tomadas dentro desse contexto. Além disso, nem 
sempre uma atualização elimina ações definidas nas versões anterio-
res. Abaixo, segue uma lista de outras normas da família ISSO 27000. 
- Norma ISO 27001: é uma das mais conhecidas, ela formaliza 
ações voltadas para um sistema de gestão de segurança da informação 
(SGSI) 
- Norma ISO 27002: é voltada à certificação do profissional 
que irá atuar com a segurança da informação, dessa forma, traz códigos 
e diretrizes de boas práticas que esses profissionais devem adotar.
- Norma ISO 27003: é voltada às especificações de como a 
implementação do SGSI deve ser realizada. 
- Norma ISO 27004: estabelece normas para as métricas e os 
relatórios do SGSI. 
- Norma ISO 27005: aborda a gestão de riscos do SGSI. 
- Norma ISO 27006: traz a norma sobre requisitos para a acre-
ditação de organizações que oferecem serviços de certificação de SGSIs. 
- Norma ISO 27007: normaliza os padrões para a realização 
de auditorias de SGSIs.
• Norma ISO 31000, fornece princípios e diretrizes genéricas 
para a gestão de riscos. Portanto, pode ser utilizada para definição de 
estratégias, decisões, operações, processos, funções, projetos, produ-
tos, serviços e ativos. Assim, como a ISO 27000, esta ISO também pos-
sui algumas variações, como é o caso da ISO 31010, que é voltada à 
avaliação e gestão de riscos.
Ao realizar a gestão dos riscos, uma empresa consegue ameni-
zar possíveis impactos causados por danos a segurança da rede. Além 
disso, através dela, é possível planejar por meio de abordagens direcio-
nadas, quais técnicas, ferramentas e até mesmo tipos de profissionais 
51
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
especializados serão necessários para garantir a segurança da rede.
Nem sempre uma norma precisa ser aplicada de forma fiel a 
sua documentação, apenas quando a empresa tem o objetivo de obter 
alguma certificação. Porém, quando algo é publicado e definido como 
uma norma, é porque devido a diversas experiências anteriores de seus 
elaboradores, obtiveram as diretrizes que foram descritas através das 
normas, ou seja, são resultados de casos práticos.
Uma situação em que algo pode ocasionar algum perigo ou 
dano a algum processo, pode ser denominado como risco. 
Figura 7 - Processo de gestão de riscos conforme a ISO 31000
Fonte: ABNT NBR ISO 31000:2009 (2009, p.14)
Uma gestão de riscos satisfatória ocorre, conforme a norma 
ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 
2009), quando o processo mostrado na figura 7 é executado. Dessa 
forma, a comunicação e consulta acabam sendo executadas como 
primeiras etapas, pois é o momento em que todos os envolvidos deba-
tem sobre o contexto da organização. 
Após o estabelecimento do contexto, conforme a norma ISO 
31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009, 
52
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
p.15), a organização empresarial “articula seus objetivos, define os 
parâmetros externos e internos a serem levados em consideração ao 
gerenciar riscos, e estabelece o escopo e os critérios de risco para o 
restante do processo”.
Além disso, são preestabelecidas definições para as outras 
vertentes de um contexto, logo, são divididas em externo e interno. 
Em relação ao contexto externo, a norma ressalta a importância de co-
nhecer as regulamentações, leis e demais normas que regem todo o 
escopo do processo de gestão de riscos em que a empresa pode estar 
inserida. Ainda conforme a norma ISO 31000 (ASSOCIAÇÃO BRASI-
LEIRA DE NORMAS TÉCNICAS, 2009, p.15), esse contexto externo 
pode incluir: 
ambientes cultural, social, político, legal, regulatório, financeiro, tecnológico, 
econômico, natural e competitivo, quer seja internacional, nacional, regional 
ou local; fatores–chave e tendências que tenham impacto sobre os objetivos 
da organização; e relações com as partes interessadas externas e suas per-
cepções e valores.
E o contexto interno, como o próprio termo já diz, é voltado 
às ações internas da empresa e, que conforme a norma ISO 31000 
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009, p.15), 
“acontecem através do alinhamento com a cultura, processos, estrutura 
e estratégia da organização”. Os motivos que impulsionam as ações in-
ternas é que elas podem afetar diretamente a credibilidade, e até o valor 
da organização perante o restante do mercado comercial.
O processo de avaliação dos riscos envolve: identificação dos 
riscos, análise dos riscos e avaliação de riscos.
As próximas ações são voltadas à identificação de riscos, 
fazem referência a fatores que podem ser afetados tanto de forma posi-
tiva, quanto negativa. As fontes de possíveis riscos devem ser listadas 
para se ter uma noção das áreas de impacto, causas e consequências 
potenciais.
Outro processo de avaliação dos riscos é a análise, neste mo-
mento, as informações obtidas na etapa de identificação serão analisa-
das através de diferentes níveis de detalhamento. Após esta etapa, a 
avaliação dos riscos é aplicada, nela é estabelecida a prioridade para 
cada risco definido nas etapas anteriores. Com isso, é possível planejar 
também a implementação do tratamento de cada um.
Os próximos passos são o tratamento de riscos, que pode 
decidir se um risco deve ser reduzido, evitado, removido, aumentado 
(caso seja uma oportunidade), compartilhadocom terceiros, ou, ain-
da, retido. E monitoramento e análise crítica, que devem ser sempre 
53
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
aplicados de forma contínua em todos os processos da organização 
empresariam. É uma etapa importante, pois a cada ciclo visa garantir o 
aperfeiçoamento de todo planejamento da gestão dos riscos.
• Norma ISO 22301 : ao ser aplicada tem como objetivo reali-
zar o planejamento contra incidentes, dessa forma, é voltada ao plane-
jamento, ao estabelecimento, à implementação, à operação, ao monito-
ramento, à revisão, à manutenção e à melhoria contínua do sistema de 
gestão de continuidade de negócios.
RECURSOS DE AUTENTICAÇÃO
A indústria, assim como outros nichos sociais se beneficiam da 
tecnologia, progressivamente. Dessa forma, a cada dia que passa um 
novo serviço ou produto é criado e, atualmente, tem grandes chances 
de fazer uso de algum recurso tecnológico e de haver alguma conexão 
com a internet. É tanto que um termo bastante utilizado na atualidade 
é a Internet das Coisas, ou IoT, como é conhecido, e que se refere à 
sigla do significado do termo em inglês, Internet of Things, e que sua 
principal ideia é a de inserir conexões em qualquer tipo de dispositivos, 
já que antes se limitavam apenas aos recursos computacionais, como 
computadores, smarthphones, dentre outros. 
Vendo estas perspectivas de associar a tecnologia às deman-
das da sociedade nos mais variados ramos, as empresas passaram 
a investir fortemente nesta ideia. É tanto que hoje existem relógios di-
gitais, carros autônomos, robôs, dentre outros. Tudo isso só se torna 
possível graças à conexão com a internet. O interessante deste cenário 
é observar o quanto a sociedade se tornou dependente não só dos re-
cursos em si, mas também da internet. Com isso, imagine a quantidade 
de dados e informações que as pessoas geram na rede, são números 
quase que infinitos, tendo em vista as possibilidades e os tipos de dados 
que podem ser gerados. 
Um dos mecanismos utilizados para autenticação é o Hashing 
que, conforme Comer (2013, p.450) é, 
Um método usado pelos padrões MD5 e SHA-1 fornece um código de autenti-
cação de mensagens (MAC, Message Authentication Code) que um atacante 
não pode quebrar ou falsificar. Esquemas de codificação típicos utilizam me-
canismos de hashing criptográfico. Um esquema de hashing confia em uma 
chave secreta conhecida apenas pelo emissor e pelo receptor. O emissor 
recebe a mensagem para transmitir, utiliza a chave para calcular um hash, H, 
e transmite H juntamente com a mensagem. H é uma sequência curta de bits, 
e o comprimento de H é independente do tamanho da mensagem. O receptor 
54
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
usa a chave para calcular um hash da mensagem e compara o hash com H. 
Se os dois forem iguais, a mensagem chegou intacta. Um atacante, que não 
tem a chave secreta, não conseguirá modificar a mensagem sem a introdu-
ção de um erro. Assim, H fornece a autenticação da mensagem porque um 
receptor sabe que uma mensagem com um hash válido é autêntica.
Este mecanismo também provê a integridade, já que métodos 
anteriores a ele não faziam este papel com eficiência. 
Outros tipos de autenticação que podem ser mencionados 
são: a autenticação mútua, que é estabelecida através da aplicação 
de protocolos, nesse caso, proporcionam que as chaves de sessão do 
remetente e do destinatário sejam trocadas simultaneamente. A segu-
rança só é garantida através da confidencialidade e do tempo. A ade-
quação do tempo tem o objetivo de evitar as ameaças oriundas da re-
petição de mensagem. 
Existem alguns exemplos de ataques por repetição, que são 
citados por (GONG93 apud Stallings, 2015,p.275)
Quadro 4 – tipos de araques por repetição
Tipos de ataques 
por repetição
Descrição
Repetição simples
ocorre quando o oponente copia a mensagem e a re-
pete, posteriormente.
Repetição que pode 
ser registrada em 
log
ocorre quando um oponente pode repetir uma mensa-
gem com carimbo de tempo dentro da janela de tempo 
válida.
Repetição que não 
pode ser detectada
essa situação poderia surgir porque a mensagem 
original poderia ter sido suprimida e, assim, não ter 
chegado ao seu destino; somente a mensagem por 
repetição chega.
Repetição inversa 
sem modificação
esta é uma repetição de volta ao emissor da mensa-
gem. Esse ataque é possível se a criptografia simétri-
ca for usada e o emissor, com base no conteúdo, não 
puder reconhecer facilmente a diferença entre mensa-
gens enviadas e mensagens recebidas.
Fonte: autora, adaptado de (GONG93 apud Stallings, 2015,p.275)
55
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A definição do tipo de autenticação será conforme as necessi-
dades de suas aplicações. Dessa forma, abaixo você irá aprender um 
pouco mais sobre a identificação e solução de problemas relacionados 
à segurança da informação. 
IDENTIFICAÇÃO E SOLUÇÃO DE PROBLEMAS
O uso da palavra “segurança” pode ser associado, automati-
camente, à sensação de proteção. É importante ressaltar que, a segu-
rança de qualquer coisa, depende de muitos fatores, principalmente, 
quando se faz referência ao uso de recursos tecnológicos. Pois, existe a 
segurança que deve ser fornecida pelo recurso e as ações executadas 
pelo usuário, que devem garantir que a segurança da ferramenta possa 
agir da forma que foi elaborada.
Figura 8 - Principais problemas de segurança existentes na Internet
Fonte: COMER (2016, p.445).
A identificação de uma ameaça pode abranger contextos dife-
rentes, já que os programas podem sofrear ameaças tanto em relação 
a suas informações, mas também aos serviços que são disponibiliza-
dos pela máquina, ou pelos usuários. Portanto, é possível observar nos 
conceitos da Figura 8, que esses problemas de segurança podem surgir 
de diversos meios diferentes, como o pishing, que pode trazer uma as-
sociação entre a ação maliciosa de um cyber criminoso e a ação de um 
usuário inexperiente. 
Trabalham em conjunto dentro do contexto que envolve a se-
56
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
gurança, os serviços oferecidos por ela e os mecanismos utilizados para 
provê-la. Os quadros abaixo trazem os serviços e mecanismos, além de 
suas respectivas descrições. 
Quadro 5 – Serviços de segurança da informação
Serviços de segurança Descrição
Autenticação de entidade 
de mesmo nível e Au-
tenticação de origem de 
dados
A autenticação tem o objetivo de comprovar que 
aquelas informações são verdadeiras. Pois, nem 
sempre são obtidas de forma lícita, podendo oca-
sionar algum problema futuro de segurança.
Controle de acesso
Define as limitações de acesso às informações. 
Pode ser realizado de diversas formas, sejam 
elas pelo sistema, ou pelas ações do usuário ao 
utilizar o sistema, como inserção de senhas, bio-
metria e outros meios de controlar o acesso. 
Confidencialidade Diz respeito à garantia do sigilo das informações. 
Confidencialidade do 
fluxo de tráfego
Neste caso, o sigilo é referente ao fluxo de tráfego 
na rede. Este serviço de segurança é primordial, 
pois pode auxiliar no tráfego de informações im-
portantes que requerem um maior nível de pro-
teção. 
Não repúdio (irretratabi-
lidade)
É uma propriedade referente ao que é chamado 
também de “irretratabilidade”, ocorre no intuito 
de evitar que os usuários aleguem o desconheci-
mento em relação às informações.
Disponibilidade 
Tem o objetivo de evitar o problema de “negação 
de serviço”, ou seja, da informação não ficar in-
disponível ao usuário.
Fonte: Autora (2020).
Além dos serviços, existem os que são chamados de mecanis-
mos, que vão além das propostas estabelecidas para garantir a seguran-
ça, ou seja, podem ser vistos como recursos ou ferramentas, que dão 
suporte aos serviços, ou que ajudam a garantir que eles irão ser disponi-
bilizados durante o tráfego das informações dentro de uma rede de cone-
xões.O quadro abaixo traz não só conceitos sobre os mecanismos de se-
gurança, mas também algumas situações em que podem ser aplicadas. 
57
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Quadro 6 – Mecanismos de segurança da informação
Mecanismos de segu-
rança
Descrição
Codificação
Está relacionada à alteração da forma original de 
uma mensagem, evitando que pessoas sem auto-
rização consigam compreender o sentido verda-
deiro da mesma. Porém, a solução dessa codi-
ficação existe e é disponibilizada ao receptor, ou 
seja, é uma de criptografia. 
Assinatura digital
É uma forma de autenticar as informações 
disponibilizadas pelo transmissor da informação. 
Controle de acesso
Neste caso, quando visto como um mecanismo, 
o controle de acesso está relacionado à liberação 
de conteúdo de mensagem, análise de tráfego, al-
guma ação de camuflagem na rede, repetição e 
negação de serviço.
Troca de autenticação
Age contra a tentativa de burlar a autenticação 
das informações durante seu tráfego na rede.
Preenchimento de trá-
fego
Tem ações principalmente na análise do tráfe-
go, área que está em constante vigilância pelos 
cybers criminosos.
Controle de roteamento
É responsável pela verificação do tráfego de ro-
teamento, para garantir que os pacotes não sejam 
desviados no momento de sua transmissão.
Fonte: Autora (2020)
A integridade dos dados, por exemplo, contempla tanto um me-
canismo, quanto um serviço de segurança, já que tem o objetivo de 
evitar que o valor da mensagem original seja alterado. Dentro das diver-
sas ações que podem ser tomadas para garantir a segurança, pode-se 
destacar a criptografia, que é considerada uma das ações de segurança 
da informação mais seguras, ela é uma técnica utilizada para alterar 
os bits das informações, tornando-as indecifráveis, através do uso de 
algoritmos de encriptação, e que a mensagem original só pode ser vi-
sualizada através do que é chamada de chave de decriptação. Porém, 
ela não está livre de sofrer ataques. A figura abaixo mostra alguns tipos 
de ataques, que as mensagens encriptadas normalmente estão sujeitas 
58
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
a receber. 
Conforme Stallings (2015, p.273), uma assinatura digital deve 
atender aos seguintes requisitos:
• precisa ser um padrão de bits que dependa da mensagem que será assi-
nada;
• precisa usar alguma informação exclusiva do emissor, para impedir tanto a 
falsificação, quanto a retratação.
• deve ser relativamente fácil de produzi-la, reconhecê-la e verificá-la.
• deve ser computacionalmente inviável de falsificá-la;
• deve proporcionar praticidade para armazenar uma cópia da assinatura digital.
Alguns tipos de ataque podem ser sofridos por mensagens que 
foram encriptadas, algumas estão listadas na figura abaixo.
Figura 9 - Tipos de ataque sobre mensagens encriptadas.
Fonte: STALLINGS (2015, p. 24).
O criptoanalista ou qualquer outro profissional que lide com a 
rede de internet deve ficar atento às novidades, tanto de produtos, servi-
ços, mas também da forma que os cyber criminosos estão agindo diante 
dos mecanismos e serviços desenvolvidos para prover a segurança da 
informação. Dentre os métodos possíveis para utilização nos procedi-
mentos de testes de segurança da informação estão:
59
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Quadro 7 – Procedimentos de testes de segurança da informação
Procedimentos Descrição
Sondagem e
mapeamento
consiste na varredura, por meio dos hosts ativos, 
ou nós da rede, para fazer a identificação das re-
gras de firewall e dos serviços que estejam em 
execução no momento dos testes.
Força bruta
envolve a análise da política de senhas, dos ser-
viços e dos controles de acesso e autenticação 
passíveis de ataques causados por ciclos de ten-
tativa e erro envolvendo senhas.
Avaliação de servidores
envolve a identificação das vulnerabilidades nos 
servidores de internet, sujeitos à manipulação 
das requisições feitas na rede, visando prejudi-
car a segurança dos serviços de internet da or-
ganização.
Análise do tráfego
envolve a análise do tráfego de rede, visando à 
identificação e à obtenção de informações sigilo-
sas, como o login, a senha e os tipos e níveis de 
acesso dos usuários, por meio da manipulação 
do tráfego da rede.
Injeção de código
envolve a inclusão de códigos maliciosos nos sis-
temas para averiguar o comportamento das vul-
nerabilidades identificadas. A injeção de código 
tem como propósito principal identificar códigos 
de sistemas que apresentem vulnerabilidades 
quando os usuários informam algo e não existe 
tratamento adequado para a informação inserida. 
Dessa forma, o indivíduo mal-intencionado pode-
ria inserir informações a serem tratadas pelo ser-
vidor, por meio de cookies ou outros tipos
Fonte: adaptado de Faria (2016 apud Morais et al(2018,p. 197).
A busca por vulnerabilidades não deve se limitar apenas aos 
sistemas lógicos, mas também aos recursos físicos, ou seja, ao hardwa-
re. Pois, de certa forma, eles também são responsáveis pelo armazena-
mento e processamento de informações que, dependendo do contexto, 
60
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
podem conter algo grau de confidencialidade. Sob esta perspectiva é 
possível mencionar que as organizações costumam mitigar os riscos 
físicos ao ambiente, como através de câmeras modernas, que estão 
sempre passando por atualizações, detecção passiva por infraverme-
lho, detecção de vibração, sensores de quebra de vidro, dentre outros. 
Para garantir a segurança de seus dados e informações evite 
acessar links desconhecidos ou suspeitos. Verifique também os sites 
que acessa e busque por detalhes que garantam a segurança da pá-
gina, como por exemplo, o “https”(Hypertext Transfer Protocol Secure), 
que se diferencia do protocolo HTTP, devido à possibilidade de enviar 
os dados através de uma conexão com criptografia. No modelo OSI, a 
criptografia de dados é responsabilidade da Camada de Apresentação.
A figura abaixo retrata que as organizações empresariais tam-
bém possuem planejamentos sob perspectivas macros do ambiente, 
através de zonas, ou como são retratados na figura, os anéis de proteção. 
Figura 10 - Anéis de proteção
Fonte: Hintzbergen et al. (2018, p.100)
61
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A atuação referente à segurança da informação não pode se li-
mitar a ações voltadas à parte interna da rede, mesmo que abranja seus 
recursos de hardware como roteadores, switches, cabos, é importante 
que o ambiente físico também seja levado em consideração. Na figura 
observa-se uma possível estrutura que envolve espaços físicos, como 
prédios, áreas externas, mas também como os recursos computacio-
nais detentores das informações estarão protegidos, como em cofres, 
ou como as pessoas ou demais sistemas terão acesso a eles. 
Por fim, é possível observar como a segurança da informação 
é algo complexo de ser mantido. Tendo em vista que, enquanto é vista 
como informação de usuário, é tão importante quanto uma informação 
de uma organização empresarial, ou seja, cada uma tem um valor sin-
gular ao seu proprietário.
Filme sobre o assunto: 
O documentário “Sujeito a Termos e Condições, que possui 
como título original “Hardware Terms and Conditions May Apply”, cria-
do pela “The Bertha Foundation” e produzido por Cullen Hoback, Nitin 
Khanna e John Ramos, em 2013, aborda a Lei Geral de Proteção dos 
Dados, tema muito pertinente aos debates relacionados a segurança 
das informações. 
Disponível no link: <https://www.youtube.com/watch?v=LIiLo-
T4Po-c&feature=emb_logo>.
Acesse os links: 
Para saber mais sobre a ISO 27000, acesse a publicação da 
norma, através do seguinte link: <https://www.sis.se/api/document/pre-
view/%2080001198/>.
Observação: Sobre a temática, é importante que o aluno note 
a relevância do assunto dentro do seu campode atuação.
62
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2009 Banca: CESPE/CEBRASPE Órgão: SECONT-ES Prova: 
Auditor do Estado – Tecnologia da Informação
Um órgão público responsável pelo controle externo do Poder Exe-
cutivo de uma unidade da Federação desenvolveu um conjunto de 
processos de auditoria de conformidade na gestão da segurança 
da informação. As organizações para as quais o órgão presta ser-
viço implementaram sistemas de gestão da segurança da informa-
ção, por força de normas, em aderência aos modelos desenvolvi-
dos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 
15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações 
a serem auditadas já passaram cerca de dois anos implementando 
seus sistemas de gestão, um questionário de avaliação preliminar 
foi aplicado pelo órgão de controle externo nas organizações clien-
tes. Diferentes controles do sistema de segurança da informação 
foram avaliados pelos respondentes, tanto os de natureza física 
e lógica quanto os organizacionais. A partir do recebimento dos 
resultados do questionário preliminar, os auditores efetuaram uma 
visita à organização e produziram diversos julgamentos acerca da 
possível adequação dos controles implementados aos modelos 
das normas mencionadas.
Tendo como referência as informações contidas na situação hipo-
tética apresentada acima, julgue os itens a seguir, a respeito do 
julgamento realizado pelos auditores.
Considere que o plano de classificação de ativos de uma das orga-
nizações auditadas valore os ativos usando uma metodologia mis-
ta, isto é, empregando ora a valoração qualitativa, ora a valoração 
quantitativa. Nesse caso, tal abordagem produz desconformidades 
com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que 
se deve adotar um ou outro modelo, mas não ambos simultanea-
mente.
( ) Certo
( ) Errado
QUESTÃO 2
Ano: 2010 Banca: CESPE/CEBRASPE Órgão: Banco da Amazônia 
Prova: Tecnologia da Informação - Segurança da Informação
A segurança da informação procura garantir a preservação da con-
fidencialidade, a integridade e a disponibilidade da informação. 
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e ISO 
63
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
15999, julgue os itens seguintes.
Um incidente de segurança da informação refere-se a um ou mais 
riscos não desejados ou esperados que possuem significativa pro-
babilidade de comprometer os ativos de informação e ameaçam a 
segurança da informação.
( ) Certo
( ) Errado
QUESTÃO 3
Ano: 2010 Banca: CESPE/CEBRASPE Órgão: Banco da Amazônia 
Prova: Técnico Científico - Tecnologia da Informação - Segurança 
da Informação
A segurança da informação procura garantir a preservação da con-
fidencialidade, a integridade e a disponibilidade da informação. 
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e ISO 
15999, julgue os itens seguintes.
São exemplos de ativos de uma organização a informação e os 
processos de apoio, sistemas e redes. Os requisitos de segurança, 
em uma organização, são identificados por meio de análise siste-
mática dos riscos de segurança.
( ) Certo
( ) Errado
QUESTÃO 4
Ano: 2010 Banca: CESPE/CEBRASPE Órgão: Banco da Amazônia 
Prova: Técnico Científico - Tecnologia da Informação - Segurança 
da Informação
A segurança da informação procura garantir a preservação da con-
fidencialidade, a integridade e a disponibilidade da informação. 
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e ISO 
15999, julgue os itens seguintes.
Entre os ativos associados a sistemas de informação em uma or-
ganização, incluem-se as bases de dados e arquivos, os aplicati-
vos e os equipamentos de comunicação (roteadores, secretárias 
eletrônicas etc.).
( ) Certo
( ) Errado
QUESTÃO 5
Ano: 2010 Banca: CESPE/CEBRASPE Órgão: Banco da Amazônia 
Prova: Técnico Científico - Tecnologia da Informação - Segurança 
da Informação
64
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A segurança da informação procura garantir a preservação da con-
fidencialidade, a integridade e a disponibilidade da informação. 
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e ISO 
15999, julgue os itens seguintes.
Uma organização deve ser capaz de inventariar seus ativos, identi-
ficar seus respectivos valores e importâncias e indicar um proprie-
tário responsável por eles. A informação deve ser classificada em 
termos de sua utilidade, adequabilidade e nível de segurança.
( ) Certo
( ) Errado
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
Os mecanismos de segurança da informação vão além das propostas 
estabelecidas para garantir a segurança, ou seja, podem ser vistos 
como recursos ou ferramentas que dão suporte aos serviços, ou que 
ajudam a garantir que eles irão ser disponibilizados durante o tráfego 
das informações dentro de uma rede de conexões. Descreva quais são 
as premissas para que a assinatura digital possa ser aplicada como 
forma de autenticação das informações e, consequentemente, possa 
trazer segurança às mesmas.
TREINO INÉDITO
De acordo com a norma ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE 
NORMAS TÉCNICAS, 2009, p.16) referente ao estabelecimento do 
contexto do processo de gestão de riscos, 
“convém que sejam estabelecidos os objetivos, as estratégias, o escopo 
e os parâmetros das atividades da organização, ou daquelas partes da 
organização em que o processo de gestão de riscos está sendo apli-
cado. Convém que a gestão dos riscos seja realizada com plena cons-
ciência da necessidade de justificar os recursos utilizados na gestão 
de riscos. Convém que os recursos requeridos, as responsabilidades 
e as autoridades, além dos registros a serem mantidos, também sejam 
especificados.”
Assinale a alternativa que contém os processos de avaliação dos riscos.
a) Identificação dos riscos, análise dos riscos e avaliação de riscos.
b) Integridade, confiabilidade, completude.
c) Identificação dos riscos, irretratabilidade, disponibilidade.
d) Conformidade, adaptabilidade, avaliação dos riscos.
e) Responsabilização, análise dos riscos, autenticidade.
65
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
NA MÍDIA
“Cerca de 25% dos computadores estarão vulneráveis ao sequestro de 
dados em 2020”
Equipamentos e sistemas caminham juntos no contexto inovador, po-
rém, quando as atualizações dos sistemas não são realizadas com pe-
riodicidade, podem ocasionar danos irreversíveis, caso sofram ataques 
cibernéticos. Dessa forma, manter os softwares atualizados é recomen-
dado pelas empresas que disponibilizam estes sistemas. 
Fonte: Canaltech
Data: 09/01/2020
Leia a notícia na íntegra: 
Para ter acesso à notícia, acesse o seguinte link:
https://canaltech.com.br/seguranca/ransomware-sequestro-de-dados-
-computadores-vulneraveis-2020-158917/
NA PRÁTICA
Assinaturas digitais
De acordo com Stallings (2015, p.273), “a autenticação da mensagem 
protege duas partes que trocam mensagens contra uma terceira parte. 
Porém, ela não protege as duas partes uma da outra e diferentes for-
mas de disputa são possíveis entre as duas”.
Ainda sob perspectiva do ponto de vista de Stallings (2015, p.273), o 
mesmo menciona em sua obra o seguinte exemplo de situação prática: 
caso Jonh envie uma mensagem autenticada a Mary, duas disputas 
poderiam surgir:
1. Mary pode forjar uma mensagem diferente e reivindicar que ela veio 
de John. 
2. John pode negar o envio da mensagem. Uma vez que é possível para 
Mary falsificar uma mensagem, não há como provar que John realmen-
te a enviou.
Por estes relatos dessas possíveis situações, a assinatura digital tem o 
objetivo de fazer a verificação do autor das informações, obtendo sem-
pre data e hora da assinatura. Além disso, o conteúdo é autenticado no 
momento em que ela é inserida, visando sempre garantir a segurança 
da informação. 
66
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
INA
S
Fonte: STALLINGS, William., Criptografia e segurança de redes: prin-
cípios e práticas. 6.ed. - São Paulo:Pearson Education do Brasil, 2015.
PARA SABER MAIS
Em 22 de junho de 2017, houve o lançamento do filme “O círculo”, sob 
direção de James Ponsoldt. O filme conta a história de uma funcionária 
de uma companhia tecnológica que vive um dilema moral ao se envol-
ver em um projeto que deixa a privacidade dos usuários vulnerável.
O trailer do filme pode ser acessado no link abaixo:
<https://www.youtube.com/watch?v=jTDuHE8usuk&feature=emb_
logo>.
67
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A importância da rede de internet na atualidade pode ser com-
provada através do volume de dados e informações que a população 
mundial emite todos os dias na rede. Com isso, as empresas se adaptam 
a esses novos comportamentos sociais, com o objetivo de disponibilizar 
seus produtos e serviços. Estas ações deixam claro também que, esses 
dois nichos são afetados, simultaneamente, pelas novas demandas, ou 
seja, é um ciclo que envolve procura e oferta, e que ao mesmo tempo, 
os resultados dessa relação acabam se voltando para a sociedade atra-
vés de uma nova perspectiva de usar os recursos tecnológicos.
Com isso, a segurança da informação se tornou um dos assun-
tos mais relevantes da última década. Apesar de não ser uma área tão 
recente, a noção do impacto que a falta dela pode trazer para a huma-
nidade, ressaltou ainda mais os olhares para esta área tão significati-
va. Então compreender como a infraestrutura da rede de internet, seus 
protocolos, hardware e as ações que o homem e os sistemas podem 
executar para evitar que essa grande rede sofra danos irreparáveis é 
essencial a qualquer profissional da área da tecnologia. 
68
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
GABARITOS
CAPÍTULO 01
QUESTÕES DE CONCURSOS
01 02 03 04 05
A D E D CERTO
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO 
DE RESPOSTA
A princípio deve-se pensar que no projeto da rede o quesito segurança 
deve ser levado em consideração, dessa forma, algumas políticas po-
dem ser tomadas como base, tais como, controle de acesso, para defi-
nir quais tipos de usuários poderão utilizar os equipamentos e o sistema 
em si, dentro dessa ação, podem ser definidas também delimitações as 
áreas de acesso.
Além disso, devem existir políticas de desenvolvimento e manutenção 
dos sistemas, segurança aplicada ao hardware e software, envolvendo 
também a segurança do espaço físico onde estes equipamentos esta-
rão alocados. 
TREINO INÉDITO
Gabarito: B
69
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CAPÍTULO 02
QUESTÕES DE CONCURSOS
01 02 03 04 05
B D E A C
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO 
DE RESPOSTA
Um exemplo que pode ser caracterizado como violação de segurança 
é quando um determinado usuário transmite alguma informação confi-
dencial a outro usuário, que não deve ser divulgada nem transmitida 
a terceiros. Porém, ocorre a situação de que outras pessoas acabam 
tendo acesso à informação, tendo também a liberdade de transmitir tal 
informação. Outra situação que também caracteriza uma violação de 
segurança é quando alguma informação é transmitida entre usuários, 
mas algum deles, ou um terceiro usuário, altera o conteúdo da informa-
ção e, posteriormente, o transmite para todos em uma rede.
TREINO INÉDITO
Gabarito: A
70
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CAPÍTULO 03
QUESTÕES DE CONCURSOS
01 02 03 04 05
ERRADO ERRADO CERTO ERRADO ERRADO
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO 
DE RESPOSTA
Para ser utilizada com eficiência e para que possa cumprir seu papel 
dentro do contexto da segurança da informação, uma assinatura digital 
deve atender a três premissas principais: a primeira é a de que deve ser 
capaz de verificar o autor, a data e hora da assinatura; a segunda é que 
deve ser capaz de autenticar o conteúdo no momento da assinatura; e 
a terceira é a de que a assinatura deve ser verificável por terceiros, para 
resolver disputas.
TREINO INÉDITO
Gabarito: A
71
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT/CEE/ISO 
22301: segurança da sociedade: sistema de gestão de continuidade de 
negócios: requisitos. 2013. Disponível em: <https://www.abntcatalogo.
com.br/norma.aspx?ID=445001>. Acesso em: agosto de 2020.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR/ISO 31000
Gestão de riscos: princípios e diretrizes. 2009. Disponível em: <https://
www.abntcatalogo.com.br/norma.aspx?ID=385786>. Acesso em: agos-
to de 2020.
COMER, Douglas E., Redes de computadores e internet. 6.ed.Porto 
Alegre: Bookman, 2016.
OSI - Data communication networks: open systems interconnection 
(OSI); security, structure and applications - Security architecture for open 
systems interconnection for CCIT applications - Recommendation X.800. 
Disponível em: https://siccciber.com.br/wp-content/uploads/2020/05/T-
-REC-X.800-199103-IPDF-E-2.pdf. Acesso em junho de 2020. 
FOROUZAN, Behrouz A., MOSHARRAF, Firouz., Redes de computado-
res: uma abordagem top-down – Porto Alegre : AMGH, 2013.
HINTZBERGEN, Kess;HINTZBERGEN, Jule; SMULDERS, André; 
BAARS, Hans.; Fundamentos de Segurança da Informação com base 
na ISO 270001 e na ISO 27002. Rio de Janeiro: BRASPORT Livros e 
Multimídia Ltda. 2018.
INTENATIONAL ORGANIZATION FOR STANDARDIZATION – ISO. 
ISO/IEC 27000: infor-mation technology: security techniques: informa-
tion security management systems: overview and vocabulary. 2018. 
Disponível em: <https://www.sis.se/api/document/ preview/ 80001198/>. 
Acesso em: agosto de 2020.
JÚNIOR, Armando K., Sistemas de segurança da informação na era do 
conhecimento. Curitiba: InterSaberes, 2017.
KUROSE, James F.;ROSS, Keith W. Redes de computadores e a inter-
net: uma abordagem top-down. 6.ed. - São Paulo: Pearson Education 
do Brasil, 2013.
https://www.abntcatalogo.com.br/norma.aspx?ID=385786
https://www.abntcatalogo.com.br/norma.aspx?ID=385786
72
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
MORAES, Alexandre Fernandes de.;Segurança em Redes: fundamen-
tos. 1. ed. - São Paulo: Érica, 2010.
Morais, Izabelly S., Barreto, Jeanine dos S.; Vettorazzo, Adriana, de 
Souza;ZANIN, Aline; Fundamentos de segurança da informação. Porto 
Alegre : SAGAH, 2018.
STALLINGS, William., Criptografia e segurança de redes: princípios e 
práticas. 6.ed. - São Paulo:Pearson Education do Brasil, 2015.
TANEMBAUM, Andrew S.; WETHERALL, David., Redes de computado-
res. 5ª.ed. - São Paulo: Pearson Prentice Hall, 2011. 
TURBAN, Efraim; VOLONINO, Linda. Tecnologia da informação para 
gestão: em busca do melhor desempenho estratégico e operacional. 
8.ed. Porto Alegre: Bookman,2013.
73
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
	_Hlk43744343
	_Hlk47474471
	_Hlk47796682