Segurança de Dados

Prévia do material em texto

1
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
2
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
3
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Núcleo de Educação a Distância
GRUPO PROMINAS DE EDUCAÇÃO
Diagramação: Gildenor Silva Fonseca
PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira.
O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para 
a formação de profissionais capazes de se destacar no mercado de trabalho.
O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por 
fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem.
4
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Prezado(a) Pós-Graduando(a),
Seja muito bem-vindo(a) ao nosso Grupo Educacional!
Inicialmente, gostaríamos de agradecê-lo(a) pela confiança 
em nós depositada. Temos a convicção absoluta que você não irá se 
decepcionar pela sua escolha, pois nos comprometemos a superar as 
suas expectativas.
A educação deve ser sempre o pilar para consolidação de uma 
nação soberana, democrática, crítica, reflexiva, acolhedora e integra-
dora. Além disso, a educação é a maneira mais nobre de promover a 
ascensão social e econômica da população de um país.
Durante o seu curso de graduação você teve a oportunida-
de de conhecer e estudar uma grande diversidade de conteúdos. 
Foi um momento de consolidação e amadurecimento de suas escolhas 
pessoais e profissionais.
Agora, na Pós-Graduação, as expectativas e objetivos são 
outros. É o momento de você complementar a sua formação acadêmi-
ca, se atualizar, incorporar novas competências e técnicas, desenvolver 
um novo perfil profissional, objetivando o aprimoramento para sua atua-
ção no concorrido mercado do trabalho. E, certamente, será um passo 
importante para quem deseja ingressar como docente no ensino supe-
rior e se qualificar ainda mais para o magistério nos demais níveis de 
ensino.
E o propósito do nosso Grupo Educacional é ajudá-lo(a) 
nessa jornada! Conte conosco, pois nós acreditamos em seu potencial. 
Vamos juntos nessa maravilhosa viagem que é a construção de novos 
conhecimentos.
Um abraço,
Grupo Prominas - Educação e Tecnologia
5
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
6
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Olá, acadêmico(a) do ensino a distância do Grupo Prominas! .
É um prazer tê-lo em nossa instituição! Saiba que sua escolha 
é sinal de prestígio e consideração. Quero lhe parabenizar pela dispo-
sição ao aprendizado e autodesenvolvimento. No ensino a distância é 
você quem administra o tempo de estudo. Por isso, ele exige perseve-
rança, disciplina e organização. 
Este material, bem como as outras ferramentas do curso (como 
as aulas em vídeo, atividades, fóruns, etc.), foi projetado visando a sua 
preparação nessa jornada rumo ao sucesso profissional. Todo conteúdo 
foi elaborado para auxiliá-lo nessa tarefa, proporcionado um estudo de 
qualidade e com foco nas exigências do mercado de trabalho.
Estude bastante e um grande abraço!
Professora: Izabelly Soares de Morais
7
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
O texto abaixo das tags são informações de apoio para você ao 
longo dos seus estudos. Cada conteúdo é preprarado focando em téc-
nicas de aprendizagem que contribuem no seu processo de busca pela 
conhecimento.
Cada uma dessas tags, é focada especificadamente em partes 
importantes dos materiais aqui apresentados. Lembre-se que, cada in-
formação obtida atráves do seu curso, será o ponto de partida rumo ao 
seu sucesso profissional.
8
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Por ter se tornado um recurso importante na sociedade moderna, 
a tecnologia acabou sendo inserida em diversos tipos de dispositivos e 
contextos que fazem parte do cotidiano das pessoas. Consequentemente, 
tudo aquilo que é produzido pela tecnologia recebeu um valor inestimável, 
tendo em vista que, a partir do momento em que todos fazem uso desse 
tipo de recurso para, solucionar suas demandas e necessidades, estes se 
tornaram os principais meios de armazenamento e processamento das in-
formações, ativo tão valioso na atualidade. A necessidade da segurança da 
informação é notória, assim como todos os conceitos que a compõe, como 
os serviços, modelos, mecanismos e até uso de normas que visam padro-
nizar as ações voltadas à proteção desses ativos. E estes serão temos 
abordados na presente unidade. 
Tecnologia; Segurança; Serviços de segurança.
9
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
 CAPÍTULO 01
INTRODUÇÃO E CONCEITOS BÁSICOS DE SEGURANÇA DA 
INFORMAÇÃO
Apresentação do Módulo ______________________________________ 11
Conceitos de Segurança de Informação ___________________________
Serviços de Segurança ____________________________________________
Modelo para Segurança em Rede _________________________________
Recapitulando ___________________________________________________
12
17
22
26
 CAPÍTULO 02
ATAQUES CIBERNÉTICOS E TÉCNICAS DE ENCRIPTAÇÃO
Ataques Cibernéticos __________________________________________
Conceitos sobre Criptografia ____________________________________
Varredura de Portas e Serviços _________________________________
Recapitulando _________________________________________________
30
37
41
45
10
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Identificação e Solução de Problemas __________________________
Recapitulando _________________________________________________
Considerações Finais ___________________________________________
Fechando a Unidade ___________________________________________
Referências ____________________________________________________
55
62
67
68
71
Recursos de Autenticação ______________________________________ 53
 CAPÍTULO 03
MODELOS DE SEGURANÇA DE INFORMAÇÃO
Normas ISO relacionadas à Segurança da Informação ___________ 49
11
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A necessidade de armazenar informações passou a ser tornar 
evidente, quando o homem viu nos recursos tecnológicos facilidades 
oriundas da automatização de seus processos cotidianos. A partir daí, o 
surgimento de novos artefatos passou a depender da demanda social.
Os objetos que agregam valor para uma organização empre-
sarial, ou até mesmo para o ser humano em si, mudaram e muito ao 
longo dos anos. Na época da chamada “idade antiga” os objetos de 
valor eram bem diferentes dos de hoje em dia, então, as pessoas co-
meçaram a perceber que precisavam de outros insumos, que naquela 
época eram produzidos por outras pessoas, ou comerciantes, e que 
deveria haver uma chamada “moeda de troca”. Então, falar de valor, é 
muito subjetivo. Hoje podemos dizer que o maior valor de uma empresa, 
no sentido competitivo e estratégico, é o conhecimento.
Então, pense que, se este é o recurso de maior valor, ele deve 
receber devida atenção e, consequentemente, deve ser atribuída uma 
rede de proteção, ou seja, o conhecimento é oriundo da junção de da-
dos e informações, como valores de ações, de produtos, dados pes-
soais, de negócios, segredos empresariais, dentre outros.
As organizações evoluíram seus meios de processamento e 
armazenamento das informação, enquanto antes, eram utilizados meios 
físicos, como planilhas e documentos escritos de forma manual, hoje, 
podemos afirmar que todo esse processamento agora passou a ser au-
tomatizado através dos recursos tecnológicos, mais precisamente pelos 
computadores e pelo uso da internet. 
A mesma mudança ocorreu nos processos de segurança, an-
tes eram associados a cadeados, fechaduras, hoje esses mecanismos 
são exemplos dos grandes avanços tecnológicos, e sãofeitos através 
de senhas, protocolos, dentre outros.
É dentro desse contexto que este módulo abordará a segurança 
dos dados, e das informações. Vamos conhecer os conceitos básicos so-
bre a segurança da informação, as técnicas de encriptação e até os mo-
delos de segurança de informação, conhecendo algumas normas ISO.
12
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
O conhecimento se tornou um ativo valioso para a era moder-
na. Além disso, ser detentor do conhecimento eleva o homem a um 
patamar estratégico dentro da sociedade. Por isso, antes de abordar 
a segurança de dados, é importante abordar alguns outros temas, tão 
importantes quanto. 
A princípio será exposta a definição de segurança, que é um 
termo que remete a um contexto sem riscos, sólido, ou seja, de con-
fiança. Ao realizar uma interpretação simples, é possível deduzir que 
a segurança dos dados seria a confiança que os dados nos trazem ao 
serem utilizados na rede. 
Então, dependendo da interpretação, essa definição pode sim 
ser correta, mas, é importante compreender, que eles são responsáveis 
INTRODUÇÃO & CONCEITOS BÁSICOS
DE SEGURANÇA DA INFORMAÇÃO
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
13
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
pelo conhecimento. Já que um dado pode ser compreendido como algo 
bruto, no sentido de que, se for visto de forma isolada, não faz muito 
sentido, ou que não teve tratamento, e uma contextualização.
Para Turban et al.(2013, p.212):
Enquanto dados, informação e conhecimento podem ser vistos como ativos 
de uma organização, o conhecimento fornece um nível mais alto de significa-
do aos dados e às informações. Ele transmite significado e tende a ser muito 
mais valioso, ainda que muito mais efêmero. No contexto de TI, o conheci-
mento se distingue muito dos dados e das informações. [...] Enquanto os 
dados são uma coleção de fatos, medidas e estatísticas, a informação é um 
conjunto de dados organizados e processados precisa e oportunamente. O 
conhecimento é a informação contextualizada, relevante e acionável.
Como exemplo, você pode imaginar que se alguém fala para 
um número. Este número, de forma isolada, só vai fazer sentido se a 
outra pessoa te explicar o que ele significa. Essa contextualização é o 
que se define como informação, ou seja, ela é responsável por significar 
os dados. 
Por este motivo, o maior valor para a sociedade moderna é o 
dado e, consequentemente, a informação, pois juntos são capazes de 
proporcionar conhecimento. Olhando com uma perspectiva diferente, 
imagine que, para o mundo dos negócios, por exemplo, o conhecimento 
é importante para as ações estratégicas das empresas, por isso que, 
saber lidar com dados, informações e ferramentas especializadas é tão 
relevante. 
As informações recebem algumas classificações, tais como: 
Públicas: geralmente são informações do interesse geral das 
pessoas, e demandam poucos recursos de segurança, sendo importan-
te nesse caso, apenas garantir que sejam verídicas, ou seja, autênticas;
Confidenciais: o acesso desse tipo de informação é mais res-
trito, pois apenas quem tem a autorização de acesso, poderá ver seu 
conteúdo. Esse tipo de informação requer uma atenção a mais que as 
outras em relação a segurança.
Internas: neste tipo de informação é importante que haja o sigi-
lo, tendo em vista que, por mais que seja de circulação restrita dentro de 
uma organização, existem motivos pelos quais ela se classifica dessa 
maneira. Além disso, seu valor pode ser comparado com o de qualquer 
14
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
outra informação.
 Secretas: como o próprio nome já diz, é algo bem mais sigiloso 
do que as demais, só por receber essa classificação, fica explícito que, 
são informações de grande valor, fazendo com que não só seu acesso, 
mas também seu manuseio, como edição, recebam níveis máximos de 
segurança.
A tecnologia visa apresentar facilidades cotidianas, já que au-
tomatiza os principais processos. O conhecimento passa por um ciclo, 
assim como os dados, onde sua primeira etapa é a de criação, esse 
processo ocorre devido as mais variadas experiências, que vão sendo 
construídas ao longo dos anos, através de novas formas de realizar 
atividades cotidianas; o próximo passo é o de capturar novos conheci-
mentos, onde na verdade este passo é bem complementar ao anterior. 
Os demais passos consistem em refinamento, ação que tam-
bém deve ser realizada com os dados e as informações, e que podem 
também fazer parte das metas de algumas características e práticas da 
segurança da informação. Este refinamento faz com que haja necessi-
dade de armazenamento, para que possa ser aplicada a gestão neces-
sária, e depois a disseminação de todo esse conhecimento. 
Um fato interessante é que antigamente todos esses proces-
sos eram executados através de ações manuais como, por exemplo, o 
armazenamento era feito em papéis, ou documentos datilografados em 
máquinas, que hoje em dia, entraram em desuso. E atualmente aborda-
-se armazenamento em nuvem e outras tecnologias. 
Porém, ao utilizar processos, dados, informações, a segurança 
é primordial. Então, se faz necessário abordar novamente a definição 
desse termo, que seria ter confiança, ou seja, automatizações seguras, 
onde seria possível visualizar que o conhecimento estaria estável e livre 
de perigos. 
Dessa forma, quando se fala em segurança dos dados no con-
texto tecnológico, outras perspectivas podem ser vislumbradas, por isso, 
é possível destacar a segurança da rede. Segundo Stallings (2015, 
p.6), a área da segurança “consiste em medidas para desviar, prevenir, 
detectar e corrigir violações de segurança que envolvam a transmissão 
de informações”. Para isso, deve estar presente em todas as etapas 
que compõem de certa forma o ciclo de vida do dado e da informação, 
que vai desde a criação do dado e da informação, independentemente 
de ser de maneira virtual ou física, passa pelo armazenamento, trans-
porte e, por fim, o descarte.
Algumas situações são bem mais comuns, como o roubo de 
15
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
dados e informações, que ocorrem através de ataques a e-mails, sites; 
além disso, existem também os sequestros de dados e informações, 
este é caracterizado pelo pedido de valores para resgate dos dados 
e informações, ou seja, a vítima fica sujeita a perder tudo, ou ter suas 
informações divulgadas, caso não atenda aos pedidos dos chamados 
crackers. Este assunto será abordado um pouco mais adiante deste 
material. 
Conforme o Manual de Segurança de Computadores da NIST 
(NIST, 1995, apud Stallings, 2015, p.6), a segurança é a “proteção ofe-
recida para um sistema de informação automatizado a fim de alcançar 
objetivos de preservar a integridade, a disponibilidade e a confidenciali-
dade dos recursos dos sistema de informação (incluindo hardware, sof-
tware, firmware, informações/dados e telecomunicações)”.
Geralmente a segurança é colocada em risco, quando pessoas 
ou outros sistemas tentam acessar arquivos que não estão sob domínio 
público. Portanto, a segurança envolve algumas características impor-
tantes para garantir que os dados e informações estejam seguros. É 
comum ouvirmos falar que, a segurança da informação é composta por 
três pilares: 
• Confidencialidade: está relacionada à autorização de aces-
so a informação.
• Integridade: está relacionada à autorização para manipula-
ção da informação, como a possibilidade de editar ou deletar algo, ou 
parte da informação.
• Disponibilidade: é referente ao tempo de acesso que a 
informação fica disponível.
Estes pilares são voltados a algumas ações primordiais para a 
rede, além disso, a rede de computadores é na verdade formada não 
só pelas conexões, mas também envolve uma junção de recursos de 
hardware e software. Ondeé possível visualizar uma infraestrutura e 
arquitetura que englobam sistemas finais, também conhecidos como 
sistemas receptores e transmissores de informações, recursos que pos-
sibilitam as transmissões como tipos de cabeamentos (coaxial, de par 
trançado), fibra óptica, luz infravermelho, dentre outros. 
Além disso, existem protocolos que fazem parte da arquitetura 
da rede, e que possuem a função de possibilitar que os dados sejam 
transmitidos aos seus destinos em segurança, e de forma integra, ou 
seja, completos. 
16
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Complementando os pilares da segurança da informação, po-
demos acrescentar alguns outros elementos, os quais foram denomina-
dos como “atributos do hexagrama Parkeriano”, já que foram propostos 
por Donn B. Parker, estes atributos são: confidencialidade, posse ou 
controle, integridade, autenticidade, disponibilidade e utilidade.
Ainda sob a perspectiva dos conceitos sobre a confidenciali-
dade é possível mencionar que, ela pode ser uma funcionalidade do 
próprio sistema, seja ele automatizado ou não, mas também, pode partir 
do princípio das restrições de acesso fornecidas pelo próprio detentor 
destas informações, dessa forma, identificamos outro conceito relacio-
nado, que é o da privacidade.
A integridade também pode dispor de outro ponto de vista, já 
que estamos falando de tecnologia, dados e informações, a integridade 
deve estar presente não só nos dados, mas também no próprio sistema. 
Além disso, a disponibilidade abrange outras características como opor-
tunidade, onde a informação deve estar disponível quando necessário, 
a continuidade, é quando o sistema consegue garantir o acesso ou do 
processamento de dados e informações caso ocorra alguma falha. Ge-
ralmente, este tipo de situação é definida na gestão de riscos de todas 
as tecnologias utilizadas, para garantir que haverá um plano de contin-
gência caso ocorra qualquer imprevisto. E também temos a robustez, 
que é uma propriedade atrelada à capacidade que o sistema tem, de 
permitir o acesso a suas funcionalidades por um número inestimado de 
usuários. Já que nem sempre temos como garantir a quantidade média 
de usuários por minuto ou horas.
Por isso, um sistema deve ser desenvolvido da melhor manei-
ra possível. Outras propriedades podem ser adicionadas as que foram 
citadas, como:
Autenticidade está relacionada à possibilidade de verificar o 
dado, e de responder alguns questionamentos como: de onde ele veio? 
Foi de uma fonte confiável? Temos como fazer essa checagem? Será 
se o usuário é realmente quem ele diz ser? Ou se aquela empresa, com 
aqueles dados são verdadeiros?
Uma situação corriqueira onde a autenticidade é posta em 
ação, é quando vamos preencher algum formulário e precisamos inserir 
nossos dados pessoais, principalmente em relação ao CPF (Cadastro 
17
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
de Pessoa Física). Geralmente, caso haja algum dado incorreto na de-
claração do número do CPF o formulário nos notifica, avisando que algo 
está errado. Isso ocorre porque o sistema faz uma verificação de auten-
ticidade naquele dado, e existem várias formas de fazer isso, uma delas 
é utilizando um algoritmo, e a outra é uma integração com sistemas do 
próprio governo. 
Responsabilização é quando uma funcionalidade recebe 
ações destinadas apenas a ela, dessa forma, se torna responsável 
por aquela ação específica. Esta característica pode proporcionar o 
isolamento de falhas, e detecção de problemas na segurança e até 
mesmo no funcionamento do sistema em geral.
A segurança da informação é caracterizada por diversos fato-
res, dentre eles não podemos esquecer de mencionar que seus pilares 
(confidencialidade, integridade e disponibilidade), devem estar associa-
dos a políticas e processos que fazem parte das estruturas organizacio-
nais, as quais são responsáveis por definir regras e comportamentos 
adotados pelas empresas em diversos aspectos, que vão desde como 
os dados são obtidos, a como são armazenados, transferidos, selecio-
nados, dentre outras atividades que, inclusive, fazem parte do ciclo de 
vida de um dado. 
Após termos abordado alguns dos principais conceitos sobre a 
segurança em si, vamos falar um pouco sobre os serviços de segurança.
SERVIÇOS DE SEGURANÇA
Ao mencionarmos os serviços de segurança, estamos nos re-
ferindo ao modo em como a segurança da informação pode ser rele-
vante para a organização. Acima citamos alguns pilares que a norteiam, 
mas como eles podem ser aplicados na prática? Na realidade em quais 
situações a segurança precisa ser tão explícita ao ponto de ser algo 
além de funcionalidades e protocolos de redes implementados nos sis-
temas de informação?
Dentro das possibilidades em que um serviço de segurança 
pode ser ofertado, podemos destacar aqueles que são disponibilizados 
18
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
por meio de uma camada de protocolo de comunicação, onde a trans-
ferência dos dados é realizada com segurança. O modelo de referência 
X.800 ainda ressalta que esse sistema ocorre quando a comunicação 
ocorre em sistemas abertos.
A rede de computadores possui diversos outros conceitos, os 
quais, nos limitaremos a tratar aqui, apenas os que fazem referência ao 
nosso assunto, que é segurança de dados e informações. Mas dentre 
esses vastos assuntos, é importante ressaltarmos que, ao falarmos de 
rede, devemos entender que toda organização, necessita de certa pa-
dronização para que os serviços possam ser disponibilizados da melhor 
maneira possível, e com segurança.
Quando falamos em protocolos da internet, podemos destacar 
duas possibilidades, uma é a pilha de protocolos com cinco camadas, 
que são elas: física, enlance, rede, transporte e aplicação. Mas, temos 
também o Modelo de Referência OSI (Open Systems Interconnection) 
da ISO (International Organization for Standardization), que possui as 
seguintes camadas: aplicação, apresentação, sessão, transporte, rede, 
enlace e camada física. As camadas adicionais estão relacionadas a 
questão dos dados, tanto de interpretação quanto de codificação, pon-
tos de verificação, recuperação, e outras restrições relacionadas aos 
dados. 
Os serviços de segurança podem ser diversos, dentre os mais 
importantes vamos destacar:
A autenticação que, conforme foi mencionado anteriormente 
ratifica se aquele dado ou aquela informação é verídica. E pode ser 
aplicada em algumas situações diferentes, tais como: 
- através de uma verificação direta na origem dos dados;
- e através da verificação da conexão entre mais de uma entidade.
Para nós, seres humanos, identificar a veracidade de algumas 
coisas, pode até ser mais simples como, por exemplo, caso veja algum 
documento com coloração, ou informações incoerentes, conseguimos 
caracterizar aquilo como falso, ou incorreto, ou seja, não atende as dire-
trizes para ser aceito como verídico. Mas, como uma máquina, ou como 
automatizar essa ação, de forma tão precisa? Não podemos esquecer 
que os computadores e, consequentemente, os sistemas de informação 
agem da maneira para qual foram configurados ou programados.
Estamos falando bastante sobre os dados, informações e como 
eles possuem valor para a sociedade. Mas, é importante ressaltarmos 
19
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
que, eles podem ser oriundos também de fontes externas das empre-
sas, e podem vir do mais variado tipo de local, desde uma ação de nós, 
usuários comuns das tecnologias, até mesmo, de outros sistemas, de 
outras empresas, então eles acabam passando por várias etapas, até 
se tornarem realmente úteis para as ações estratégicas.
Dessa forma, todos os envolvidos, sejam remetentes ou des-
tinatários dos dados, e informações devem ser checados. Para propor-
cionar essa autenticação, vários protocolos, normas e metodologias fo-
ram sendo desenvolvidas ao longodos anos, além disso, é um processo 
que nunca será finalizado, levando em consideração a quantidade de 
recursos e serviços novos que temos a cada dia, já que a necessidade 
da automação se faz presente cada vez mais no cotidiano das pessoas. 
Atualmente, meios mais ágeis de prover a autenticação de da-
dos estão sendo desenvolvidos, um exemplo que podemos citar é o 
de reconhecimento fácil, leitura biométrica, assinaturas digitais, dentre 
outros. Notamos que, estes meios substituem algumas ações não auto-
matizadas, como autenticações em cartório por meios físicos, ou confe-
rência entre original e cópia de documentos. 
Outro serviço da segurança da informação é o controle de 
acesso, o qual restringe o acesso às informações apenas aos que fo-
rem autorizados. Esse controle pode ser realizado de diversas manei-
ras. Fazendo sempre um comparativo entre as maneiras mais “tradicio-
nais” e as que estão sendo utilizadas hoje, podemos comparar, o uso 
de crachás, logins e senhas para controle de acesso, e não só para as 
informações, mas a locais físicos também, como ao ambiente interno de 
um setor dentro de uma empresa, ou até mesmo a um simples e-mail. 
Porém, como mencionamos anteriormente, hoje temos a atua-
ção forte da inteligência artificial, que proporciona a automatização 
desses controles por meios considerados mais eficazes, pois a maioria 
das vezes, ameniza os erros humanos, então, ao invés do funcionário 
precisar inserir uma senha e login, ele apenas insere sua biometria em 
um equipamento, ou o sistema faz a leitura facial, para autenticar e re-
conhecer o seu acesso.
20
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A confidencialidade de dados faz parte dos serviços de se-
gurança, tendo em vista que é responsável por proporcionar proteção 
aos dados. De acordo com Stallings (2015, p.14), esse serviço pode 
ser visto de forma mais ampla, “quando uma conexão TCP é estabele-
cida entre dois sistemas, essa proteção ampla impede a divulgação de 
quaisquer dados do usuário transmitidos pela conexão TCP”. A infraes-
trutura da confidencialidade deve abranger não só as informações, mas 
também, a conexão, proporcionando segurança aos usuários, além dis-
so, isso deve ocorrer, independente dele está conectado ou desconec-
tado. Deve permanecer ativa também quando houver campos seletivos, 
e no fluxo de tráfego.
TCP (Transmission Control Protocol) é um protocolo de trans-
missão, ou seja, proporciona a comunicação chamada “ponto a ponto”, 
desde o remetente ao receptor. Além disso, é responsável pela trans-
ferência confiável de dados, realizando o empacotamento e a remonta-
gem das mensagens. 
Ainda sob a perspectiva de falarmos sobre estes serviços, po-
demos destacar que a integridade é uma característica que envolve a 
totalidade, visa garantir a entrega de tudo aquilo que foi definido para 
ser entregue, ou seja, garante que nada se perdeu no meio do caminho, 
entre o remetente e o destinatário. Abaixo, no quadro 1, veremos algu-
mas situações que contextualizam a integração, de maneiras diversas.
Quadro 1 – A integridade em contextos diferentes
Integridade da conexão 
com recuperação
Providencia a integridade de todos os dados do 
usuário em uma conexão e detecta qualquer mo-
dificação, inserção, exclusão ou repasse de quais-
quer dados dentro de uma sequência inteira, com 
tentativa de recuperação. 
Integridade da conexão 
sem recuperação
contém as mesmas semelhanças da integridade 
da conexão com recuperação, porém, oferece 
apenas detecção sem tentativa de recuperação
21
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Integridade da conexão 
com campo seletivo
Trata de aplicar a integridade de campos selecio-
nados nos dados do usuário de um bloco de dados 
transferido por uma conexão e determina se os 
campos selecionados foram modificados, inseri-
dos, excluídos ou repassados.
Integridade sem cone-
xão
Aplica a integridade de um único bloco de dados 
sem conexão e pode tomar a forma de detecção 
da modificação de dados. Além disso, pode haver 
uma forma limitada de detecção de repasse.
Integridade sem co-
nexão com o campo 
seletivo
Aplica a integridade de campos selecionados 
dentro de um único bloco de dados sem conexão; 
determina se os campos selecionados foram mo-
dificados.
Fonte: Autora com adaptação do Modelo de Referência OSI X.800 . 
Acesso em 2020.
Além destes já citados, devemos falar também sobre a Irretra-
tabilidade (ou não repúdio), a qual, conforme o modelo de referência 
X.800, proporciona proteção contra negação, isso, por parte de uma 
das entidades envolvidas em uma comunicação, de ter participado de 
toda ou parte dela. Por exemplo, impede que um usuário negue que 
seja autor de tão ação, ou determinada informação.
Abaixo, através da Figura 1, podemos visualizar a relação exis-
tente entre, os serviços e mecanismos de segurança, os quais iremos 
falar um pouco mais, logo adiante.
22
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Figura 1 – Relacionamento entre os serviços e mecanismos de segurança
Fonte: STALLINGS (2015, p.16).
É notório como tanto os serviços, quanto os mecanismos pos-
suem relação, além disso, é importante ressaltar que, nem sempre 
todos eles estão presentes, tudo depende muito da organização e de 
quais tipos de dados, informações ou ações que remetem a seguran-
ça, o contexto demonstra necessidade. Os serviços também podem 
desempenhar suas funções em mais de um mecanismo, fazendo com 
que a rede, no geral, acabe gerando relação entre os mecanismos. Por 
exemplo, a autenticação de entidade pareada, possui relação com a 
codificação, certificação digital e com a troca de autenticação. Os pi-
lares da segurança também podem ser vistos de forma associada uns 
aos outros. No próximo tópico serão abordados alguns modelos de 
segurança. 
MODELOS DE SEGURANÇA EM REDE
A segurança de rede depende de vários fatores, os primeiros 
estão relacionados ao contexto onde a rede vai ser implementada, e 
quais tipos de dados, informações, serão utilizados. Apesar de que 
atualmente é até difícil mensurar e definir tudo isso. 
Acima trouxemos as definições do protocolo TCP/IP, pois é res-
23
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ponsável por proporcionar um canal de informações, de interligar ponto 
a ponto, os quais precisam trabalhar juntos para que a comunicação 
seja possível.
O modelo abaixo, apresentado na Figura 2, foi sugerido por 
Stallings, nele podemos observar claramente um fluxo percorrido entre 
o emissor e o destinatário.
Figura 2 - Modelo para segurança de rede
Fonte: STALLINGS (2015, p.17)
Dentro desse caminho, os dados e informações podem per-
passar por diversas etapas de segurança, como a encriptação, técnica 
utilizada com o objetivo de transformar o conteúdo das informações, 
através de algoritmos específicos para esta funcionalidade.
Algumas políticas e regras foram sendo criadas ao longo dos 
anos para padronizar ações acerca das conexões de rede, e do geren-
ciamento das informações, visando sempre a segurança, uma delas é a 
ISO 1.7799 (que tem como base as normas britânicas British Standard 
for Information Security Management - BS 7799, apud Moraes (2010). 
Ela descreve algumas perspectivas diferentes que podem ser levadas 
em consideração durante o projeto da rede. 
24
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Quadro 2 - Os dez pilares de segurança da informação da ISO 1.7799
Plano de conti-
nuidade de ne-
gócios 
Essa sessão tem como objetivo garantir que as informa-
ções estão em segurança, caso ocorra alguma falha.
Políticas de con-
trole de acesso 
Este ponto traz o olhar ao ambiente externo do sistema, 
ou seja, as pessoas que fazem uso dele. Dessa forma, 
essas políticas visam trazer limitações de autorização de 
acesso.
Políticas de de-
senvolvimento e 
manutenção de 
sistemas 
Essa sessão checa seo próprio sistema foi implementado 
seguindo normas de segurança que vão desde a imple-
mentação do sistema operacional, a aplicação dos pilares 
da segurança (integridade, autenticidade e confidenciali-
dade).
Políticas de se-
gurança física e 
de ambiente
Essa sessão tem uma perspectiva mais ampla, pois abor-
da o ambiente onde a rede está alocada, então alerta so-
bre a prevenção de perda, roubo ou acessos não autoriza-
dos das informações e das instalações da rede.
Políticas de se-
gurança pessoal 
Essa sessão traz alerta aos usuários, além disso, visa 
deixar claro para eles os perigos que existem na rede e 
alertá-los em relação as ações que eles podem tomar para 
melhorar a segurança de seus dados.
Políticas de ge-
renciamento dos 
computadores e 
das redes
Essa sessão ressalta a proteção a integridade do siste-
ma e de sua infraestrutura, diminuição dos riscos trazidos 
pelas possíveis falhas do sistema, evitar o mau uso das 
informações, dentre outros.
Políticas de con-
trole e classifica-
ção de ativos 
“Manter proteção apropriada para ativos corporativos e 
garantir que a informação seja classificada e receba apro-
priado nível de proteção”.(MORAES,2010 ,p.42)
Política global 
de segurança da 
informação 
Essa sessão tem como base os recursos necessários para 
fornecer suporte a segurança das informações.
25
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Análise de con-
formidade 
“Manter a segurança das facilidades e do processamento 
da informação organizacional e de ativos, além dos parcei-
ros”(MORAES,2010 ,p.42). Além disso, tem perspectivas 
a cerca das informações, caso alguns serviços sejam ter-
ceirizados por parte da empresa. 
Aspectos legais
Como o termo já menciona, este ponto tem relação com 
o cumprimento das regulamentações legais. Acaba sendo 
um forte aliado para a realização de auditorias, evitando 
assim, desgastes desnecessários às empresas, tanto para 
manutenção de suas informações, quanto à ação coerente 
dos processos executados dentro da empresa. 
Fonte: Adaptado de Moraes (2010, p.39).
Por meio destes conceitos aqui expostos é possível aprender 
que a segurança das informações e dos dados é um pouco mais com-
plexa do que parece. Por este motivo, nota-se que, as organizações 
buscam proteger as suas informações e as de seus clientes utilizando 
as mais variadas técnicas. O valor desses ativos afeta diretamente a 
necessidade e os custos voltados aos investimentos com a segurança 
da informação, porém, analisando os prejuízos que a falta deste inves-
timento pode causar, acaba deixando as organizações empresariais 
sem saída, a não ser, aplicar o investimento necessário. Além disso, 
são conhecimentos e ações que devem sempre serem atualizados para 
acompanhar as novidades do mercado.
Para saber mais sobre o tema, leia o trabalho intitulado “Estudo 
de Caso: Principais Pilares da Segurança da Informação nas Organiza-
ções”, dos autores Mateus Micael Coutinho, Robson Nunes dos Santos, 
Vitor Henrique da Silva Custodio, Eliane Cristina Amaral, Eliney Sabino, 
Narumi Abe, publicado a Revista Gestão em Foco - Edição Nº 9 – no 
ano de 2017.
O trabalho está disponível no seguinte link: http://portal.unisepe.
com.br/unifia/wp-content/uploads/sites/10001/2018/06/052_estudo5.pdf
Observação: Sobre a temática, é importante que o aluno note 
a relevância do assunto dentro do seu campo de atuação.
26
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2004 Banca: ESAF Órgão: CGU Prova: Analista de Finanças e 
Controle - Tecnologia da Informação - Prova 3
Analise as seguintes afirmações relativas aos conceitos de Segu-
rança da Informação:
I. Confidencialidade é a propriedade de manutenção do sigilo das 
informações. É uma garantia de que as informações não poderão 
ser acessadas por pessoas não autorizadas.
II. Irretratabilidade é a propriedade de evitar a negativa de autoria 
de transações por parte de usuários, garantindo ao destinatário o 
dado sobre a autoria da informação recebida.
III. Autenticidade é a proteção da informação contra acessos não 
autorizados.
IV. Isolamento ou modularidade é a garantia de que o sistema se 
comporta como esperado, em especial após atualizações ou cor-
reções de erro.
Estão corretos os itens:
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
QUESTÃO 2
Ano: 2005 Banca: ESAF Órgão: Receita Federal Prova: Auditor Fis-
cal da Receita Federal - Área Tributária e Aduaneira - Prova 1
Analise as seguintes afirmações relacionadas aos conceitos bá-
sicos de Segurança da Informação: I. O IP spoofing é uma técnica 
na qual o endereço real do atacante é mascarado, de forma a evi-
tar que ele seja encontrado. É normalmente utilizada em ataques a 
sistemas que utilizam endereços IP como base para autenticação. 
II. O NAT, componente mais efi caz para se estabelecer a seguran-
ça em uma rede, é uma rede auxiliar que fi ca entre a rede interna, 
que deve ser protegida, e a rede externa, normalmente a Internet, 
fonte de ataques. III. O SYN flooding é um ataque do tipo DoS, que 
consiste em explorar mecanismos de conexões TCP, prejudicando 
as conexões de usuários legítimos. IV. Os Bastion host são equi-
pamentos que atuam com proxies ou gateways entre duas redes, 
permitindo que as requisições de usuários externos cheguem à 
rede interna. Indique a opção que contenha todas as afirmações 
27
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
verdadeiras.
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
QUESTÃO 3
Ano: 2010 Banca: CESPE/CEBRASPE Órgão: INMETRO Prova: 
Pesquisador - Ciência da Computação
Com relação à segurança dos serviços, assinale a opção correta.
a) O serviço WWW incorpora mecanismos nativos de controle de sessão.
b) O SMTP incorpora mecanismos nativos de criptografia, mas o POP não.
c) O FTP é notadamente inseguro por usar senhas em claro e estar 
embasado no UDP
d) O DNS incorpora mecanismos nativos de autenticação de cliente e 
de servidor.
e) O encapsulamento do tráfego referente aos serviços WWW, SMTP, POP 
e FTP em SSL/TLS é uma forma eficiente de adicionar-lhes segurança.
QUESTÃO 4
Ano: 2015 Banca: CONSULPLAN Órgão: Prefeitura de Patos de Mi-
nas - MG Prova: Técnico Nível Superior I - Analista de Sistemas
O IPSec (Internet Protocol Security – Protocolo de Internet Seguro) 
foi desenvolvido para ser compatível com o IPv4, e o IPv6 é um 
protocolo orientado a conexão e provê uma maior segurança na 
Internet, principalmente em relação ao IPv6. O IPSec trabalha em 
dois modos: o modo túnel e o modo transporte (em que dois hos-
pedeiros que querem se conectar com segurança, apenas esses 
dois precisam estar com o IPSec disponível). Vários serviços são 
oferecidos por uma sessão IPSec. São serviços de uma sessão 
IPSec, EXCETO:
a) Acordo criptográfico.
b) Integridade dos dados.
c) Autenticação de origem.
d) Rotulação de fluxo e prioridade.
QUESTÃO 5
Ano: 2013 Banca: CESPE/CEBRASPE Órgão: SERPRO Prova: Téc-
nico - Operação de Redes
OSI/ISO e TCP/IP são modelos de redes de computadores que con-
templam serviços e protocolos para comunicação em geral. A esse 
28
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
respeito, julgue os itens a seguir.
No SNMPv1, a interação entre agente e gerente pode ser iniciada 
por qualquer uma das partes, e a segurança das mensagens que 
chegam nos agentes pode incluir o uso de senha não criptografada.
( ) Certo
( ) Errado
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
A tecnologia é utilizada dentro de diversos contextos diferentes mas, 
atualmente, o ativo de maior valor para a sociedade é a informação. 
Dessa forma, a cada ação do usuário em uma rede de internet, são 
gerados os mais variados tipos de dados, que são oriundos de fontes 
diversas. 
Quais ações podem ser tomadas para garantir a segurança da informação?
TREINO INÉDITO
A segurança de uma rede é definida com base em vários critérios, alémdos cuidados que os próprios usuários devem ter em suas ações na 
rede. Portanto, a segurança envolve algumas características importan-
tes para garantir que os dados e informações estejam seguros. É co-
mum ouvirmos falar que, a segurança da informação é composta por 
três pilares: confidencialidade, disponibilidade e integridade. Acerca 
desse assunto, assinale a alternativa que indica a medida que reforça o 
pilar de confidencialidade.
a) Permite que a edição seja revertida de algum arquivo no sistema. 
b) Permite que funcionários de determinado setor tenham autorização 
de acesso à informação.
c) Permite que os usuários deletem os arquivos de um sistema.
d) Possibilita que seja definido um tempo de acesso as informações. 
e) Permite a manutenção de dispositivos de forma rápida. 
NA MÍDIA
O Brasil é um dos países com maiores índices de ameaças cibernéticas 
do mundo. Além disso, a discussão sobre o tema se torna necessária 
para que a atenção devida seja dada às ações de melhorias no setor. Já 
que, muitas vezes, a segurança das informações acaba sendo colocada 
em segundo plano quando o investimento em tecnologia é realizado.
Título: Brasil é o 2º país com mais ameaças de ransomware no mundo, 
aponta estudo.
29
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Fonte: Wagner Wakka para o portal Canaltech
Data: 13 de Março de 2019
Leia a notícia na íntegra: https://canaltech.com.br/seguranca/brasil-e-
-o-2o-pais-com-mais-ameacas-de-ransomware-no-mundo-aponta-es-
tudo-134683/
NA PRÁTICA
Os sistemas de informação atuais lidam diariamente com diversos da-
dos e informações dos usuários, que possuem perfis e necessidades 
diferentes. A certeza é a de que a rede deve proporcionar no mínimo 
alguns requisitos. Moraes (2010,p. 31), relata que: 
no ambiente bancário, por exemplo, integridade e auditoria são usual-
mente as preocupações mais críticas, enquanto confidencialidade e dis-
ponibilidade vêm a seguir em importância. Em uma universidade, a in-
tegridade e a disponibilidade podem ser os requisitos mais importantes.
Tendo como base estas informações, ao atuar na segurança das infor-
mações de um sistema bancário, o ideal é que o profissional responsá-
vel pela segurança das informações, elabore um plano de segurança 
contendo a análise e gerenciamento de riscos voltados a possíveis si-
tuações vivenciadas nesse contexto. 
Fonte: MORAES, Alexandre Fernandes de.; Segurança em Redes: fun-
damentos. 1. ed. - São Paulo: Érica, 2010.
PARA SABER MAIS
Filmes sobre o assunto (colocar os títulos dos filmes e anos)
A indicação deste capítulo é do documentário chamado “O dilema das 
redes” que está disponível na Netflix e que foi produzido em 2020.
Uma indicação de leitura é o artigo intitulado “Gestão da segurança da 
informação: fatores que influenciam sua adoção em pequenas e médias 
empresas”, dos autores Abner da Silva Netto e Marco Antonio Pinheiro 
da Silveira, que foi publicado no JISTEM - Journal of Information Sys-
tems and Technology Management, e publicado pela Scielo.
E que pode ser acessado através do link: <https://www.scielo.br/pdf/
jistm/v4n3/07.pdf>.
https://canaltech.com.br/equipe/wagner-wakka/
30
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ATAQUES CIBERNÉTICOS
Falar de segurança da informação, é indispensável para a so-
ciedade contemporânea. Mas, ao mesmo tempo, acaba sendo algo bem 
mais complexo do que parece. Pois imagine que, a todo momento, pes-
soas comuns estão gerando milhares de dados, que provavelmente irão 
ser contextualizados por informações, e irão gerar valor às empresas. 
Um exemplo é quando uma rede social é acessada, ali naque-
le momento, os primeiros passos a serem seguidos é a inserção de um 
login e uma senha, que são dados pessoais, ou seja, únicos para cada 
usuário, e que são acessados ou inseridos em um aplicativo, ou uma 
aplicação web. Em algumas situações é necessário fazer o download 
do aplicativo no dispositivo e uma das primeiras mensagens é referente 
às permissões que o usuário deve disponibilizar para que o aplicativo 
ATAQUES CIBERNÉTICOS &
TÉCNICAS DE ENCRIPTAÇÃO
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
31
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
possa ter acesso, geralmente envolve acesso a microfone, câmera, ga-
leria de imagens, fotos, dentre outras informações pessoais do usuário. 
A necessidade desse acesso não está associada apenas ao 
funcionamento da aplicação, mas também é uma forma que as empre-
sas têm de obter informações adicionais do usuário, tais como: qual ho-
rário você acessou, de qual localidade, dentre outras milhares de infor-
mações, ou seja, a cada milissegundo, somos responsáveis por gerar 
dados. Com isso, as empresas criam perfis de usuários e podem lucrar 
através de diferentes formas, que não se limitam apenas às funcionali-
dades da aplicação, mas também, a venda e oferta de novos produtos 
e serviços. 
Dentre os diversos desafios relacionados à segurança de da-
dos, é possível mencionar o fato de que, a cada dia que passa, en-
quanto uma nova tecnologia está sendo desenvolvida, um cracker está 
tentando criar meios de burlar o processo de segurança daquilo. 
Não confunda os termos “cracker” e “hacker”, pois ambos pos-
suem significados diferentes. O termo “cracker” é oriundo da palavra 
cracker tem relação com o ato de “quebrar”, e quando atribuído a tec-
nologia, ele é designado a pessoa ou sistema que burla algum sistema 
de segurança. Já o termo “hacker”, é designado as pessoas que fazem 
modificações nos software e hardware com objetivo de auxiliar na pro-
teção dos dados. 
Por isso, é notório que alguns serviços acabam sendo alvos 
mais requisitados, como os sistemas e aplicações bancários. É comum 
a divulgação de notícias sobre ataques cibernéticos, e a maioria das 
notícias falam apenas que os dados ou informações dos usuários de de-
terminados serviços tecnológicos foram disponibilizados de forma ilegal 
na rede, ou seja, na internet. 
Em outro ponto de vista, existe o lado do desenvolvedor, ou 
seja, da pessoa ou equipe responsável pelo desenvolvimento do sis-
tema que, consequentemente, acaba tendo que lidar com algoritmos 
cada vez mais complexos e que, simultaneamente, além de serem fun-
cionais, devem a todo momento levar em consideração os possíveis 
ataques cibernéticos que estão sujeitos durante o uso da aplicação.
Alguns conceitos possuem diversas perspectivas, onde um ris-
32
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
co pode ser definido como sendo a possibilidade de algum ativo agir 
com má fé diante de alguma vulnerabilidade do sistema, com o objetivo 
de ter alguma vantagem, seja financeira, ou sob os dados e informa-
ções. E um ataque é quando alguma entidade pode sofrer algum dano, 
de forma inesperada. Outro termo associado a este contexto é o da 
ameaça, que ocorre quando a aplicação sofre uma potencial execução 
do ataque. São situações comuns e que estão constantemente aconte-
cendo quando se diz respeito aos processos que são executados em 
uma rede de internet. 
A segurança da informação é baseada em três pilares:
Integridade: Garante que qualquer alteração seja realizada 
apenas por entidades autorizadas, sejam um usuário ou outro sistema. 
Muitas vezes, esse tipo de ação é associada apenas às ações humanas 
mas, é importante ter um olhar macro para alguns tipos de situações, 
como problemas de energia, conexão, onde os dados podem ser altera-
dos ou sofrerem alterações que não estavam previstas.
Confidencialidade: A confidencialidade está relacionada ao 
armazenamento, transmissão ou qualquer outra ação relacionada à in-
formação. Pois, por ter um status de confidencialidade, a informação 
deve ser acessada apenas por entidades autorizadas. 
 Disponibilidade: Esta propriedade associada à segurança, 
faz referência ao acesso, ou seja, a disponibilidade em que uma infor-
mação deveapresentar a todos aqueles que possuem autorização em 
vê-la.
Estas propriedades devem ser sempre lembradas, pois são a 
base para que as pessoas possam fazer uso de suas informações, tanto 
em segurança, quanto de forma adequada. Pois, imagine, caso algum 
dia você necessite acessar seus dados bancários, e o sistema não os 
apresente, ou mostre frases que são até comuns como “informação in-
disponível”. Abaixo, na figura 3, é possível observar como alguns ata-
ques podem afetar os pilares da segurança. 
33
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Figura 3 - Taxonomia de ataques relacionados às metas de segurança.
Fonte: FOROUZAN et al. (2013, p. 727).
A escuta e a análise de tráfego afetam diretamente a confiden-
cialidade, pois estão associados ao acesso às informações sigilosas 
pertencentes apenas a entidades autorizadas. A análise de tráfego tam-
bém é uma ação executada na transmissão de informações que deve 
ser tida como ponto de atenção, pois, através do acesso a ela, é pos-
sível descobrir informações que são sigilosas, e que podem ser vistas 
como complemento a outros dados.
A integridade, como foi mencionado logo acima, pode ser asso-
ciada ao conteúdo em si das informações, onde muitas vezes qualquer 
alteração, realizada por entidades desconhecidas ou sem autorização, 
pode causar prejuízos imensuráveis. Um exemplo de situação que en-
volve a falsificação é quando o usuário realiza alguma compra em um 
site, e tem seus dados do cartão de crédito copiados, ou como é co-
nhecido popularmente, “clonado”. Um exemplo da repetição, é a emis-
são de boletos de pagamento falsificados, onde os criminosos colocam 
todas as informações referentes a uma compra, porém, ao enviarem 
às pessoas, elas acabam pagando contas que não são suas, pois os 
boletos foram alterados anteriormente. 
Para se ter ideia dos resultados negativos de qualquer tipo de 
34
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ação mencionada, é só você imaginar, que seu endereço, CPF (Cadas-
tro de Pessoa Física), RG (Registro Geral), local de trabalho, suas fotos, 
vídeos, e-mails estão sendo disponibilizados na rede para qualquer pes-
soa ter acesso. Já imaginou, como você estaria vulnerável a ataques e 
ações maliciosas de terceiros? Antigamente o medo que todos tinham 
era apenas o de ter os dados divulgados na rede mas, atualmente, es-
ses dados não se limitam mais aos documentos pessoais. Por isso, as 
aplicações armazenam localização, imagens, áudios, vídeos, através 
das permissões que os usuários fornecem, muitas vezes, sem ter uma 
perspectiva macro, do que as empresas podem fazer com esses dados. 
A negação de serviço (conhecido também como “DoS – Denial 
of Service”) é muito comum, e pode ser considerado um tipo de ataque 
bem grave, pois, a privação ao acesso às informações que estão arma-
zenadas em um dispositivo ou um meio eletrônico também pode interfe-
rir de forma negativa nos demais processos da entidade, seja ela uma 
empresa, ou uma pessoa física. Abaixo, na Figura 4, outras definições 
para este termo são expostas. Além disso, a figura aborda alguns outros 
tipos de ataques presentes na rede.
Figura 4 - Técnicas usadas em ataques.
Fonte: COMER (2016, p.446).
35
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Além destes, que já foram citados, outros tipos de situações 
indesejadas podem ser caracterizados através de ações maliciosas na 
rede, dentre elas é possível citar:
Phishing: se refere a criação de websites semelhantes a ou-
tros, geralmente aos de bancos, ou de lojas já conhecidas pelos usuá-
rios, porém, são páginas falsas que possuem o objetivo de obter as 
informações pessoais e dados bancários dos usuários. Essa ação tam-
bém pode ocorrer de outras formas, em integrações a outras páginas já 
existentes, ou seja, não necessariamente é caracterizada pela criação 
de uma nova página. Dentro desse contexto, existem especificamente 
as páginas falsas.
Ainda sob esta perspectiva, existem programas que são de-
senvolvidos já com intenções maliciosas, é o caso do vírus, worm, tro-
jan, estes, possuem códigos maliciosos que se instalam nas máquinas, 
ou seja, nos recursos físicos ou lógicos da rede, podendo ser enviados 
via e-mail, ou através do uso de arquivos infectados. Inclusive alguns 
ambientes organizacionais como empresas, bancos, proíbem seus fun-
cionários a fazerem conexões através qualquer dispositivo externo as 
máquinas da empresa, como uso de pendrive, cabos, dentre outros. 
Em alguns sites é possível que surjam alguns anúncios que 
não foram solicitados, eles surgem de forma insistente, tentando induzir 
o usuário ao erro de clicar em algum botão de confirmação, ou deixan-
do a opção de sair quase imperceptível pelo usuário. O nome desses 
anúncios é adware, e pode ser considerado um tipo de malware, onde o 
maior objetivo desse tipo de ataque é redirecionar o usuário a websites 
inseguros ou impróprios.
A vulnerabilidade de um sistema pode ser afetada de diversas 
formas, o maior desafio é acompanhar a agilidade e definir limitações 
para o acesso às informações para evitar situações desagradáveis, já 
que uma ação maliciosa na rede pode ser muito perigosa, colocando 
em risco não só o usuário detentor da informação, mas também tudo ao 
seu redor. Pois, os interesses em agir dessa forma vão além da necessi-
dade de formar os perfis dos usuários ou interesses financeiros. Apesar 
de possuírem pilares para a segurança é importante que as empresas 
estabeleçam requisitos de segurança. Estes serão utilizados como base 
36
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
para outras ações que podem ser executadas posteriormente. 
Um dos primeiros passos seria fazer uma análise dos possíveis 
riscos que a empresa pode sofrer. É importante para avaliar os impactos 
que podem ser causados pelas vulnerabilidades dos sistemas. Além 
disso, as ações da organização devem estar coerentes com requisitos 
legais, cumprindo regulamentações, e leis estabelecidas internamente 
e externamente na empresa. 
O cyber terrorismo é um ataque a grandes redes, as quais po-
dem deixar empresas, e até grandes centros metropolitanos reféns de 
ataques às redes e, consequentemente, às informações que estão ar-
mazenadas nela. Por exemplo, caso consigam invadir a rede de um 
hospital, universidade, ou até mesmo do governo de algum país ou ci-
dade, os criminosos podem exigir recompensas para retornar as per-
missões de acesso aos arquivos “sequestrados”. 
Dentro destas delimitações devem constar regras referentes 
às informações, definindo como elas são transmitidas, editadas, ma-
nuseadas, processadas e até mesmo arquivadas. Pois, dependendo 
dessas definições, ações de segurança podem ser implementadas de 
forma mais precisa. As políticas de segurança visam abranger todas as 
possíveis ações que o usuário possa vir a ter. Neste caso, os usuários 
contemplam tanto os funcionários, quanto os terceiros que fazem uso 
do sistema, como os usuários finais, que também são denominados de 
clientes. 
Assim como a definição de regras e documentações que visam 
garantir a segurança, existe também algumas técnicas que normalmen-
te são inseridas nas políticas de segurança, como o hashing, que é um 
mecanismo utilizado para a integridade e autenticação das informações; 
já quando o objetivo é autenticar mensagens existe a assinatura digital, 
que pode ser definida através de softwares específicos que garantem a 
autenticidade dos dados; por outro lado, a autenticação do transmissor 
das informações pode ser realizada através dos certificados digitais. 
Outras técnicas que podem ser aplicadas também são as que 
estão relacionadas à integridade do site, como sistemas de detecção de 
intrusão, firewalls (fazem a análise do tráfego da rede delimitando o que 
atende ou não às políticas organizacionais estabelecidas para aquela 
37
SE
G
U
R
A
N
Ç
A
 D
E
 DA
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
rede específica), varreduras e inspeção das informações, dentre outras.
A criptografia, assunto que será abordado no próximo tópico, 
também faz parte das técnicas que podem ser incluídas nas políticas de 
segurança de uma organização, ou de uma rede no geral. Seu objetivo, 
assim como as demais técnicas é o de tentar garantir a segurança da 
rede. O termo “tentar” é utilizado, pois, não existe rede 100% segura, 
tendo em vista a quantidade de tipos de ameaças e ataques existentes 
e que estão também em constante atualização, acompanhando as no-
vidades do mercado tecnológico e do comportamento social diante do 
seu uso.
CONCEITOS SOBRE CRIPTOGRAFIA
Ao utilizar seu computador ou smarthphone, faz-se um login, 
que pode contabilizar dois tipos de dados diferentes, um login, que pode 
ser um e-mail(que é um tipo de dado), seu CPF (que é outro tipo de 
dado), seu nome ou apelido(outro tipo de dado), e então, tem a senha, 
que também é outro tipo de dado. E internamente, o sistema está tendo 
acesso ao seu IP, que é a identificação de sua máquina na rede, sua 
localização, porque provavelmente você tem algum aplicativo no seu 
dispositivo que armazena esse tipo de informação. Agora imagine, mi-
lhares de pessoas fazendo isso a cada segundo. 
É dessa vertente que vem a importância da segurança da infor-
mação. Apesar de ser fácil ver a associação entre o termo informação, a 
apenas estes dados, através dos exemplos, foi possível verificar que é 
muito mais que isso, é praticamente a vida das pessoas conectadas que 
dependem desses recursos que tentam garantir a segurança constante 
de todos. 
A palavra criptografia significa esconder dados ou informações. 
Esta é uma técnica utilizada na segurança de informações, em que seu 
objetivo é utilizar conceitos matemáticos para transformar informações 
que são enviadas em sua forma original, em códigos, os quais são co-
mumente chamados de “mensagens criptografadas”, ou seja, mensa-
gens escondidas. Além disso, para realizar a leitura do conteúdo original 
da mensagem o leitor deve ter acesso a chave, ou código que descrip-
tografa a mensagem, ou seja, desfaz tudo que foi realizado durante a 
criptografia. 
De acordo com Comer (2016, p. 451), 
a terminologia utilizada com a criptografia define quatro itens:
• Texto aberto – uma mensagem original antes de ter sido criptografada. 
• Texto cifrado – uma mensagem após ter sido criptografada. 
38
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
• Chave de criptografia – um conjunto curto de bits usado para criptografar 
uma mensagem. 
• Chave de descriptografia – um conjunto curto de bits usado para descripto-
grafar uma mensagem.
Através das definições expostas por Comer (2016), é possível 
ter outra definição para a criptografia, uma que seja mais técnica, já que 
ele menciona que quando uma mensagem é criptografada seus bits 
passam por alterações. Então, esta pode ser vista como uma defini-
ção técnica do termo. Ela é utilizada para garantir que apenas usuários 
autorizados tenham acesso a determinadas mensagens, além disso, 
pode ser aplicada em processos de validação de informações, e para 
manter a integridade, garantindo que não haverá modificação em seu 
conteúdo.
Além da criptografia, outra técnica é utilizada para a comuni-
cação secreta, ela se chama esteganografia. Conforme Forouzan et 
al. (2013, p.729), “a palavra esteganografia, de origem grega, significa 
“escrita oculta”, diferentemente da criptografia, que significa ‘escrita se-
creta’. [...] esteganografia significa ocultar a mensagem em si, encobrin-
do-a com alguma outra coisa”.
Existem alguns sistemas criptográficos, dentre eles estarão em 
evidência: o sistema de chave secreta e o sistema de chave pública. 
Sistema de chave secreta: neste tipo de sistema, tanto o 
transmissor quanto o receptor possuem, respectivamente, a chave de 
criptografar e de descriptografar a mensagem. Dessa forma, a seguran-
ça da informação dependerá destes dois agentes. Este sistema também 
é conhecido como criptografia simétrica.
Após a exposição de tais conceitos, é notório que a base da 
criptografia é alterar a mensagem original. Esse contexto caracteriza o 
que é chamado de criptografia simétrica. Para que isso ocorra, se faz 
necessária a presença de uma mensagem original (que pode ser cha-
mada de “texto claro”), além disso, os passos de como essa alteração 
da mensagem original será realizada também devem estar presentes, 
ou seja, são conceitos referentes ao que é chamado de algoritmo de 
encriptação. A chave secreta também deve estar presente, tendo em 
39
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
vista que é tida como os dados de entrada no algoritmo, para que ele 
seja capaz de disponibilizar resultados diferentes, conforme cada chave 
secreta que for inserida como entrada quando for executado. 
Além destes itens mencionados, é possível citar o texto cifrado, 
o qual é o resultado de quando a criptografia é aplicada, ou seja, contém 
a mensagem que antes estava em seu estado original e, posteriormen-
te, se encontra de forma “misturada”. E por fim, existe o algoritmo de 
decriptação, que é capaz de executar os passos do algoritmo de encrip-
tação de forma reversa. Abaixo, na figura 5, é possível ver um modelo 
simplificado de encriptação simétrica.
Figura 5 - Modelo simplificado de encriptação simétrica
Fonte: STALLINGS (2015, p. 21).
Através da figura 5, é possível observar a presença dos itens 
essenciais para uma criptografia simétrica. Onde, através da aplicação 
do algoritmo, a mensagem original, denominada na imagem como texto 
claro, passa pelo sistema de encriptação, sofrendo assim, alterações 
que só serão desfeitas após a chave secreta ser inserida pelo sistema 
destinatário, ou seja, receptor da mensagem enviada. Por fim, a men-
sagem original poderá ser novamente visualizada. Nesse exemplo, tam-
bém fica claro que o sistema receptor, obrigatoriamente, deve possuir 
uma espécie de senha para decifrar a mensagem. 
Como exemplos de métodos que utilizam a chave simétrica é 
possível mencionar Blowfish (é uma cifra simétrica, que foi utilizada em 
substituição ao DES), AES (é a sigla para Advanced Encryption Stan-
dard, ou Padrão Avançado de Criptografia), RC4 (também conhecido 
como ARC4 ou ARCFOUR), dentre outros. Alguns desses métodos 
acabaram sendo substituídos por outros, ou sendo aprimorados para 
fins específicos, como por exemplo, o AES que foi desenvolvido para 
40
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ser utilizado pelo governo americano. 
Sistema de chave pública: neste tipo de sistema, tanto o 
transmissor, quanto o receptor possuem conhecimento sobre a chave 
pública, porém, apenas o receptor terá acesso a chave privada. Dessa 
forma, cada usuário acaba tendo sua chave privada e sua chave públi-
ca. Este sistema também é conhecido como criptografia assimétrica.
Ao utilizar este sistema na prática, caso um usuário queira en-
viar uma mensagem a outro usuário, este deve ter conhecimento sobre 
a chave pública do usuário remetente, pois, a descriptografia das infor-
mações só será realizada através da chave privada do remetente. Por 
isso, este tipo de sistema é conhecido como seguro pois, ambos devem 
ter conhecimento de duas chaves para conseguir ter acesso à informa-
ção. Como exemplo de criptografia de chave pública, é possível citar 
o algoritmo RSA, a sigla é derivada da primeira letra do sobrenome de 
seus inventores: Ron Rivest, Adi Shamir e Leonard Adleman.
Assim como existem situações denominadas como ataques 
e ameaças à segurança da rede, é possível mencionar também que 
existem as mesmas ações contra a lógica operacional aplicada na 
criptografia. A criptoanálise é um tipo de ataque que tem como ob-
jetivo tentar adivinhar qual chave foi utilizada. Já que a segurança da 
criptografia é sustentada no segredo tanto do algoritmo utilizado,mas 
também, na chave que foi utilizada. Além deste, existe também o ata-
que por força bruta, que é caracterizada quando o cyber criminoso 
faz o teste com todas as possíveis chaves, em determinado trecho da 
mensagem criptografada, fazendo uma analogia, é como se fosse, na 
base da “tentativa e erro”. Na criptografia existem algumas técnicas de 
substituição, dentre elas, destacam-se:
A cifra de César, que foi desenvolvida por Júlio César. De 
acordo com Stallings (2015, p.25), essa cifra envolve ‘substituir cada le-
tra do alfabeto por aquela que fica três posições adiante.”. A figura abai-
xo exemplifica como a cifra pode ser aplicada em um contexto prático.
Figura 6 – Exemplo de uso da Cifra de César
Fonte: Adaptado pela autora (STALLINGS,2015,p. 25).
Por possuir apenas 25 chaves possíveis, a cifra de César não 
pode ser considerada como uma cifra muito segura em comparação 
as demais. Além disso, perceba que quando o algoritmo da técnica de 
encriptação é publicado ou de conhecimento do público, este deixa as 
41
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
mensagens vulneráveis em relação à segurança de suas informações. 
Criada em 1854, pelo cientista britânico Sir Charles Wheatso-
ne, a cifra Playfair recebeu este nome em homenagem ao amigo do 
inventor, que se chamava Barão Playfair de St. Andrews. Essa, é uma 
cifra de encriptação de múltiplas letras, seu modo operacional faz com 
que os diagramas (que são ferramentas capazes de examinar a fre-
quência de combinações de duas letras) do texto claro, ou seja, da men-
sagem original, sejam vistos como unidades isoladas, com isso, a cifra 
realiza a tradução para diagramas do texto cifrado (STALLINGS, 2015).
VARREDURA DE PORTAS E SERVIÇOS
Existem diversos tipos de perfis de usuários em uma rede, que 
vai desde o usuário comum, que irá utilizar a rede para atividades coti-
dianas, como um estudante, ou até mesmo a funcionários de empresas 
que compartilham informações confidenciais na rede. Estes também 
podem ser perfis de usuários que, de alguma forma, podem adotar ati-
tudes suspeitas na rede. Já que, o simples fato de realizar a leitura de 
um e-mail, ou de uma informação que não estava direcionada a você, já 
contempla uma violação da segurança. 
O objetivo da varredura de portas e serviços é detectar vulne-
rabilidades na rede, já que todo o fluxo de conexões ocorre através das 
portas, as quais recebem conexões estabelecidas pelos protocolos en-
tre os sistemas transmissores e receptores, conhecidos também como 
hosts, então, com a varredura é possível descobrir se as portas estão 
abertas, fechadas ou bloqueadas para conexões. O bloqueio pode ocor-
rer, caso haja algum mecanismo de defesa esteja impedindo o acesso 
a determinada porta, como o uso de firewall. 
Dentre os protocolos, destaca-se o TCP (Transmission Con-
trol Protocol, ou Protocolo de Controle de Transmissão). Essa detecção 
pode ser analisada sob alguns pontos de vista diferentes: um é o do 
cyber criminoso, que pode aplicar essa técnica para planejar e execu-
tar ataques aos sistemas, o outro é por parte do próprio sistema ou de 
usuários que visam proteger suas conexões. 
Um dos programas mais utilizados para a realização da varre-
dura de portas é o Nmap, conforme seu portal1: 
O Nmap (“Network Mapper”) é um código-fonte gratuito e aberto ( licença) 
utilitário para descoberta de rede e auditoria de segurança. Muitos sistemas 
e administradores de rede também o consideram útil para tarefas como in-
ventário de rede, gerenciamento de agendas de atualização de serviço e 
1 https://nmap.org/
https://nmap.org/data/COPYING
42
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
monitoramento do tempo de atividade do host ou serviço. O Nmap usa paco-
tes IP brutos de maneiras inovadoras para determinar quais hosts estão dis-
poníveis na rede, quais serviços (nome e versão do aplicativo) esses hosts 
estão oferecendo, quais sistemas operacionais (e versões do SO) eles estão 
executando, que tipo de filtro / firewall de pacote estão em uso e dezenas de 
outras características. Ele foi projetado para verificar rapidamente grandes 
redes, mas funciona bem em hosts únicos. O Nmap é executado em todos os 
principais sistemas operacionais de computador e pacotes binários oficiais 
estão disponíveis para Linux, Windows e Mac OS X. Além do clássico exe-
cutável Nmap da linha de comando, Zenmap ), uma ferramenta flexível de 
transferência, redirecionamento e depuração de dados ( Ncat ), um utilitário 
para comparar os resultados da verificação ( Ndiff ) e uma ferramenta de 
geração de pacotes e análise de respostas ( Nping ).
Os principais passos seguidos pelos usuários maliciosos em 
uma rede são respectivamente: o reconhecimento do alvo, ou seja, eles 
estudam o perfil do público alvo que eles pretendem aplicar o ataque; 
posteriormente, é a realizada a enumeração, a qual faz testes em ser-
viços que foram localizados durante a varredura; o próximo passo é 
a execução de exploit, que são trechos de programas que visam se 
aproveitar de falhas nos sistemas, é basicamente o ataque; os desafios 
posteriores para os cyber criminosos é o de manter a conexão com o 
sistema que eles conseguiram efetivar o ataque e, posteriormente, eli-
minar as pistas que podem levar as autoridades a encontrar o autor do 
ataque. 
O quadro 3 traz a perspectiva de Moraes (2010), em relação a 
alguns processos de enumeração realizados nos servidores que podem 
estar presentes durante uma varredura.
Quadro 3: Enumeração após a varredura
Servidores Enumeração após a varredura
FTP (File Transfer Proto-
col)
Podemos verificar se o FTP anônimo está habi-
litado.
SMTP (Simple Mail 
Transfer Protocol)
Podemos verificar se o relay do servidor de e-mail 
está aberto, permitindo assim o envio de um 
e-mail falso de um usuário não autorizado.
DNS (Domain Name Sys-
tem)
Pode-se verificar se o servidor DNS permite zone 
transfer e, desta maneira, capturar todos os re-
gistros e nomes de máquinas internas do servidor 
de DNS.
https://nmap.org/zenmap/
https://nmap.org/ncat/
https://nmap.org/ndiff/
https://nmap.org/nping/
43
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Web Pode-se identificar a versão do servidor Web para 
depois escolher o melhor exploit a ser utilizado.
SNMP (Simple Network 
Management Protocol)
É possível realizar vários ataques, uma vez que 
muitos equipamentos possuem MIB, onde as 
community strings estão configuradas com o pa-
drão public ou private. O software utilizado para 
isso é o SNMP WALK.
Fonte: Adaptado de Moraes (2010, p.188)
Além do uso de ferramentas, a varredura pode acontecer atra-
vés do uso de algumas técnicas, dentre elas é possível destacar a var-
redura UDP (User Datagram Protocol), onde um pacote é enviado para 
uma porta específica, para verificar se ela está ou não aberta. Porém, 
nem sempre tem como garantir que o retorno da resposta será confiá-
vel, para diminuir essas possibilidades ao realizar a varredura, pacotes 
UDP são enviados de forma mais específica. Outro tipo de varredura é 
a TCP, que é executada de forma semelhante a UDP, pois durante a var-
redura vão sendo executadas várias tentativas de iniciar uma conexão 
TCP através de alguma porta do sistema tido como alvo. 
Já a varredura SYN, conforme Goodrich e Tamassia (2013, 
apud Morais et al. (2018, p.55) , 
ocorre quando a parte que está realizando a varredura emite um pacote TCP 
de baixo nível marcado com o indicador SYN para cada porta na máquina 
alvo. Se a porta está aberta, o serviço que está ouvindo aquela porta irá re-
tornar um pacote marcado com o indicador SYN–ACK e, se não, nenhuma 
resposta será́ emitida. Ao receber um pacote SYN–ACK, quem está fazen-
do a varredura emite um pacote RST para terminar, em vez de completar o 
handshake TCP.
Outra técnica que pode ser mencionada é a varredura ociosa, 
esta tem como principal objetivo localizar alguma máquina que possua 
TCPprevisíveis. Através destes exemplos de técnicas de varredura é 
possível ter uma base de como elas podem ser utilizadas de forma ma-
liciosa. Cabe ao usuário ficar sempre atento a suas atitudes ao utilizar 
a rede de internet. 
44
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A Netflix lançou, em 2019 uma série chamada “Privacidade Ha-
ckeada” - que visa explicar como a empresa de análise de dados Cam-
bridge Analytica se tornou o símbolo do lado sombrio das redes sociais 
após a eleição presidencial de 2016 nos EUA.
Acesse o link: 
O Centro de Estudos, Resposta e Tratamento de Incidentes de 
Segurança no Brasil é mantido pelo NIC.br, do Comitê Gestor da Inter-
net no Brasil, e atende a qualquer rede brasileira conectada à Internet.
Para mais informações, acesso o link: <https://www.cert.br/>.
Observação: Sobre a temática, é importante que o aluno note 
a relevância do assunto dentro do seu campo de atuação.
45
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2012 Banca: FUMARC Órgão: TJ-MG Prova: Assistente Téc-
nico De Sistemas
Sobre os conceitos de criptografia, é correto afirmar que
a) a criptografia de chave pública é mais segura contra criptoanálise do 
que a criptografia simétrica.
b) apesar de consumir mais recursos computacionais que a criptografia 
simétrica, a criptografia de chave pública apresenta grande vantagem 
em relação à segurança do processo de distribuição de chaves.
c) os algoritmos de criptografia (simétrica e assimétrica) apresentam o 
mesmo nível de resistência quando utilizam chaves de mesmo tamanho.
d) a criptografia de chave pública praticamente substituiu os algoritmos 
de chave simétrica para aplicações web que necessitam de transferên-
cia segura de dados através da internet.
QUESTÃO 2
Ano: 2012 Banca: PR-4 UFRJ Órgão: UFRJ Prova: Técnico de Tec-
nologia da Informação - Suporte de Software, Redes e Hardware
Considere as seguintes assertivas sobre Conceitos de Criptografia:
I – Nos algoritmos simétricos, a mesma chave é usada para cripto-
grafar e descriptografar e deve ser compartilhada;
II – Os algoritmos assimétricos usam o conceito de chave pública 
e privada;
III – Os algoritmos de chaves simétricas usam operações mais sim-
ples e mais rápidas que os algoritmos de chaves assimétricas;
Assinale a alternativa correta:
a) apenas a assertiva III está correta;
b) apenas a assertiva I está correta;
c) apenas a assertiva II está correta;
d) as assertivas I, II e III estão corretas;
e) apenas as assertivas I e II estão corretas.
QUESTÃO 3
Ano: 2016 Banca: FCC Órgão: Prefeitura de Teresina - PI Prova: 
Técnico de Nível Superior - Analista de Sistemas
Um dos tipos de ataque cibernéticos é conhecido como Buffer 
Overflow que tem como característica
a) perda de comunicação de rede pelo travamento do controlador de rede.
b) comunicação de rede lenta devido a sobrecarga de dados na placa 
de rede.
46
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
c) lentidão do computador devido ao excesso de dados para processa-
mento.
d) lentidão na resposta do servidor devido ao excesso de requisições.
e) permitir que o atacante execute código malicioso como superusuário.
QUESTÃO 4
Ano: 2018 Banca: IBFC Órgão: Prefeitura de Divinópolis - MG Pro-
vas: Técnico de Enfermagem 
Em maio de 2017 ocorreu um ataque cibernético a nível mundial 
por um ransomware, um tipo de vírus que “sequestra” os dados de 
um computador e só os libera com a realização de um pagamento 
(resgate). O ataque afetou mais de 200 mil máquinas em 150 países. 
No Brasil, as principais vítimas do vírus foram empresas e órgãos 
públicos, como a Petrobras, o Itamaraty e o Instituto Nacional do 
Seguro Social (INSS). O nome do vírus de computador relacionado 
ao ataque cibernético mencionado é:
a) WannaCry
b) BadRansom
c) Fireball
d) Checkmate
QUESTÃO 5
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha - ES Pro-
vas: Analista Ambiental 
Um ataque cibernético é uma tentativa de danificar ou destruir uma 
rede ou sistema digital. Pode resultar em uma violação de dados, 
que é quando dados sensíveis ou confidenciais são manipulados 
por indivíduos não autorizados. Este tipo de ataque pode assumir 
a forma de roubo de identidade, vírus, malware, fraude ou extor-
são. Analise as seguintes recomendações:
I - utilize senhas curtas e iguais para todos os serviços online;
II - não use verificação em duas etapas;
III - deixe seu sistema operacional atualizado;
IV - utilize um antivírus e um firewall;
V - utilize conexões desconhecidas de internet.
Qual/quais da(s) alternativas abaixo contém/contêm somente a(s) 
proposta(s) correta(s) para evitar um ataque cibernético?
a) somente I e II.
b) somente II e V.
c) somente III e IV.
d) somente I e V.
e) somente I.
47
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
A segurança da informação abrange um contexto bem amplo, que envol-
ve diversas perspectivas diferentes, dentre elas, a segurança dos recur-
sos físicos, de hardware, da rede e da inter-rede. Discutir sobre a segu-
rança da informação é indispensável para a sociedade contemporânea. 
Mas, ao mesmo tempo, acaba sendo algo bem mais complexo do que 
parece. Tendo em vista que a todo momento os usuários da rede estão 
gerando milhares de dados, que provavelmente serão contextualizados 
por informações, e irão gerar valor as empresas. É tanto que para tentar 
evitar situações que torne a rede vulnerável, muitas empresas inserem 
em suas políticas de segurança, ações que devem ser adotadas com 
seus dados, seja na transmissão, edição, processamento, dentre outros. 
Como profissional da área de redes, descreva uma ou mais situações 
que podem ser caracterizadas como violação de segurança.
TREINO INÉDITO
A palavra criptografia significa esconder dados, ou informações. Esta é 
uma técnica utilizada na segurança de informações, em que seu obje-
tivo é utilizar conceitos matemáticos para transformar informações que 
são enviadas em sua forma original, em códigos, os quais são comu-
mente chamados de “mensagens criptografadas”, ou seja, mensagens 
escondidas. 
Dentro do contexto da criptografia assinale a alternativa correta:
a) O texto aberto refere-se à mensagem original antes de ter sido crip-
tografada.
b) O texto cifrado refere-se à mensagem que foi reservada para ser 
criptografada.
c) A chave de criptografia é um conjunto de bits utilizados para descrip-
tografar a mensagem.
d) A chave de descriptografia é utilizada para criptografar a mensagem 
original.
e) A chave secreta pode ser chamada também de chave assimétrica.
NA MÍDIA
A cada ano as empresas, independente de suas áreas de atuação, es-
tão elaborando e criando mecanismos que as auxiliem na redução dos 
ataques cibernéticos. Que, com a globalização, e a disseminação de 
informações tem se tornado bastante comum nos últimos tempos.
48
SE
G
U
R
A
N
Ç
A
 D
E
 D
A
D
O
S 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Conheça as principais ameaças virtuais em 2020.
Fonte: High Security Center
Data: 09 de janeiro de 2020
Leia a notícia na íntegra: 
A High Security Center elaborou em janeiro de 2020 um resumo com 
as principais ameaças virtuais. Para saber mais, acesse o seguinte link:
https://www.hscbrasil.com.br/principais-ameacas-virtuais/
NA PRÁTICA
Aplicações de técnicas de segurança da informação 
Os três pilares da segurança da informação são: a confidencialidade, 
que está relacionada à autorização de acesso à informação; a integri-
dade, que está relacionada à autorização para manipulação da infor-
mação, como a possibilidade de editar ou deletar algo, ou parte da in-
formação; e a disponibilidade, que é referente ao tempo de acesso que 
a informação fica disponível. Uma das maneiras mais utilizadas para 
manter dados seguros é o uso de senhas, as quais devem atender a 
todos os pilares da segurança da informação. Ao necessitar atuar em