Introdução à computação forense_- aprendizagem em foco

Prévia do material em texto

WBA0459_v1.0
INTRODUÇÃO À COMPUTAÇÃO 
FORENSE 
APRENDIZAGEM EM FOCO
2
APRESENTAÇÃO DA DISCIPLINA
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
À medida que as pessoas e empresas ficam mais dependentes 
de tecnologia e do uso da internet, automaticamente os crimes 
digitais também aumentam, trazendo maior insegurança e 
ao mesmo tempo uma busca constante por tecnologias e 
metodologias de proteção de informações e dados. “A segurança 
da informação” como área responsável pela segurança de toda a 
corporação busca criar metodologias de proteção baseadas em 
boas práticas de mercado, considerando ferramentas, políticas, 
normas e conscientização.
Uma das metodologias mais importantes considerando a 
segurança é uma gestão de riscos de forma completa e eficiente, 
e, neste processo, a computação Forense entra como um grande 
aliado. O aumento dos crimes digitais e a necessidade de uma 
análise e investigação de forma mais eficaz para montar um plano 
de ação de prevenção vira uma grande arma contra os atacantes, 
evitando que novas invasões já mapeadas voltem a ocorrer, ou, 
caso ocorram, seu tratamento seja mais rápido e eficiente. 
Nesta disciplina, será possível entender um pouco mais sobre a 
computação Forense, em que ela se torna importante no campo 
da segurança digital e segurança da informação, os processos 
inerentes à análise forense, bem como a identificação de ataques, 
sua reconstituição e a recuperação de desastres.
Bons estudos!
3
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira 
direta e assertiva, os principais conceitos inerentes à temática 
abordada na disciplina. Além disso, também pretende provocar 
reflexões que estimulem a aplicação da teoria na prática 
profissional. Vem conosco!
TEMA 1
Computação forense para 
segurança digital 
______________________________________________________________
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
5
DIRETO AO PONTO
A segurança da informação (SI) visa a proteção dos ativos de uma 
organização. É focada em informações, dados, pessoas, processos 
e tecnologia. Apesar de também prever tecnologia, é uma ciência 
à parte, pois foca na organização como um todo e não apenas 
nos ativos tecnológicos. A parte de SI que trata especificamente 
da tecnologia é a segurança digital. Uma estrutura de segurança 
bem elaborada passa por um sistema de gestão de segurança da 
informação (SGSI). Esta ciência engloba informações e pessoas, e, 
desta forma, considera-se informação não apenas o que é escrito 
ou digitalizado, mas também o que é falado. 
Invasões de sistemas e fraudes podem ser resultado de 
exploração de vulnerabilidades sistêmicas e de hardware, 
assim como podem ser consequência de engenharia social, 
que é quando os atacantes se utilizam dos colaboradores para 
invadirem a rede da empresa e então cometerem fraudes, roubo 
de dados e informações, e outros. Como exemplo de engenharia 
social, podemos citar o Phishing, que se trata de um e-mail falso 
que possui a intenção de induzir o usuário a clicar em links ou 
efetuar downloads de anexos maliciosos. Desta forma, uma SI 
bem amarrada deve levar em consideração a importância das 
pessoas em cada um dos processos e no uso de tecnologias da 
informação pensando em segurança digital.
Caso uma invasão ocorra ou um colaborador viole alguma política 
de segurança da informação (PSI), uma análise e investigação do 
incidente devem ser realizadas, e, neste caso, entra a forense 
computacional para a investigação e execução da perícia. Esta, 
assim como as demais ciências forenses, possui um processo-
padrão, no entanto, as etapas desse processo são denominadas 
de diversas formas. Contudo, todos correspondem basicamente 
6
a quatro etapas: coleta de dados e vestígios; o exame para 
identificar as informações importantes; a análise das informações 
e correlação dos eventos importantes; e a apresentação 
dos resultados obtidos, a documentação dos resultados, da 
metodologia e das ferramentas utilizadas. A reconstituição do 
crime é realizada e o laudo elaborado com todas as informações 
necessárias para o auxílio da elucidação do ato delituoso.
A forense computacional, computação forense, perícia forense 
digital ou ainda perícia forense computacional são a mesma coisa, 
sendo assim, possuem o mesmo conceito, ou seja, é a ciência 
que trata dos crimes que ocorrem com o uso ou se utilizam de 
recursos computacionais, utiliza métodos técnicos e científicos 
na busca por evidências tecnológicas para servirem de provas 
em crimes e/ou atos ilícitos. Todos os dispositivos que envolvem 
tecnologia, como impressoras, televisores smart, câmeras IP, entre 
outros, podem ser analisados, pois possuem alguma forma de 
registro interno, sobre processamento e alterações. Enfim, há 
diversas maneiras de procurar por vestígios em meios digitais, e 
muitos recursos, como ferramentas, que podem auxiliar neste tipo 
de investigação. No processo de computação forense, a evidência 
é baseada em vestígios tecnológicos e transforma esses itens 
encontrados em provas diante de um juízo ou uma organização.
A SI e a computação forense são consideradas um complemento 
da outra. Nenhum sistema de proteção é completamente infalível, 
imprevistos podem acontecer. A segurança digital faz parte 
da SI, assim como a gestão de incidentes. Para uma gestão de 
incidentes eficaz, é necessário um processo de investigação sobre 
o ato delituoso ou suspeito, e aqui é acrescentada a computação 
forense, que entra como uma grande aliada, capaz de realizar uma 
investigação completa, utilizando todos os recursos necessários 
para que as evidências sejam relacionadas de forma mais fiel 
possível e se chegar à conclusão dos fatos.
7
Figura 1 – Computação forense para perícia digital
Fonte: elaborada pelo autor.
Enfim, todo o processo, a análise, documentação e as melhorias, 
resultantes do uso em conjunto da segurança digital e da 
computação forense, podem e devem ser utilizados na melhoria 
contínua de segurança da informação da organização, melhorando 
formas de combate e respostas a incidente.
Referências bibliográficas
DALLA VECCHIA, E. Perícia digital: da investigação à análise 
forense. 2. ed. São Paulo: Millennium, 2019.
TOTH, P. Recovering from a cybersecurity incident what to do 
before and after. Gaithersburg: NIST MEP, 2019. Disponível 
em: https://www.nist.gov/system/files/documents/2017/12/01/
recovery-webinar.pdf. Acesso em: 8 jul. 2020. 
8
PARA SABER MAIS
Com o aumento das tecnologias, as empresas se tornaram mais 
ágeis e práticas, mas também mais vulneráveis. Desta forma, 
por mais que a empresa possua uma segurança da informação 
bem implementada e tecnologias robustas e seguras, ainda 
assim não está completamente protegido, pois não existem 
ambientes impenetráveis. A cada dia, novas vulnerabilidades são 
descobertas, bem como os próprios colaboradores podem abrir 
portas de forma simples para atacantes externos, mesmo sem 
perceberem. 
Desta forma, as empresas devem ter consciência de que não estão 
livres de possíveis invasões. E caso aconteça, o ideal seria uma 
resposta rápida ao incidente e, para isso, as equipes precisam 
estar bem montadas e estruturadas para agir em situações desse 
tipo. Então, há uma série de procedimentos, indicados pela 
Federal Trade Commission (FTC), que podem auxiliar na tomada 
de decisões para respostas rápidas em caso de incidentes.
Para proteger as operações da organização, as ações devem ser 
tomadas imediatamente, evitando, assim, que novos problemas 
ocorram. Essas ações dependerão da natureza da violação 
e a estrutura da empresa. A etapa inicial e mais importante 
é a mobilização da equipe especializada para a resolução e 
investigação da ocorrência. Esta equipe pode ser formada de 
maneira multidisciplinar, dependendo da violação ocorrida, 
com profissionais de segurança da informação, segurança de 
tecnologia da informação, forense computacional, tecnologia 
da informaçãoe operações, e, se necessário, jurídico, recursos 
humanos e comunicações.
9
Caso a empresa não possua uma equipe interna de forense 
computacional, é importante considerar a contratação de um 
perito digital independente para analisar o ambiente e determinar 
o escopo da violação ocorrida. Caso a empresa possua uma 
equipe ou um profissional interno focado em perícia digital, ele 
deve ser acionado. Esse profissional será responsável pela captura 
de evidências, encontradas em sistemas, aplicações, redes e 
outros meios tecnológicos, além de analisar as evidências, montar 
um laudo e descrever as etapas de correção.
Enquanto esse processo ocorre, é importante parar a perda 
de dados imediatamente, se possível, coloque o equipamento 
afetado off-line, caso não seja possível, amplie o monitoramento 
nele, bloqueando o invasor. Os equipamentos não podem ser 
desligados até que o perito tenha contato com eles, para realizar 
as coletas necessárias de forma mais fiel possível. Altere as senhas 
violadas, pois, caso o invasor tenha roubado senhas, ele terá o 
caminho livre novamente, sempre que desejar. Verifique sites 
e conteúdos e altere senhas de tudo que o criminoso possa ter 
obtido contato, especialmente de que envolva acessos externos. 
Jamais destrua qualquer evidência durante a investigação, pois 
são elas que trarão as respostas necessárias ao ocorrido e a 
possibilidade de melhoria do ambiente, para que situações 
iguais não voltem a ocorrer. O incidente ocorrido deve servir de 
aprendizado para melhorar o processo de incidentes e a PSI da 
empresa.
Referências bibliográficas
FTC – FEDERAL TRADE COMMISSION. Data breach response: 
a guide for business. Washington: FTC; Virtual Books, 2019. 
Disponível em: https://www.ftc.gov/system/files/documents/
10
Lorem ipsum dolor sit amet
Autoria: Nome do autor da disciplina
Leitura crítica: Nome do autor da disciplina
plain-language/pdf-0154_data-breach-response-guide-for-
business-042519-508.pdf. Acesso em: 8 jul. 2020.
TEORIA EM PRÁTICA
Você é o analista de segurança da informação da empresa XYZ e 
resolveu realizar um teste de phishing interno para verificar o grau 
de maturidade dos colaboradores referente a SI. Neste teste, você 
percebe que em torno de 60% dos colaboradores acreditaram 
que o phishing era um e-mail real e abriram o anexo que este 
continha. Se este fosse real, quais implicações poderiam ocorrer 
no ambiente da empresa? Além disto, realize uma reflexão, e 
escreva sobre o porquê de tantos colaboradores acabarem vítimas 
da campanha realizada e quais ações você deveria tomar quanto a 
esta questão.
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Esta dissertação de mestrado tem como objetivo discutir sobre 
os desafios e oportunidades para a realização de forense em 
computação em nuvem. Além disso, foi elaborada uma possível 
solução em nuvem, para entrega do serviço de forense como um 
serviço forensic as a servisse (FaaS). Seria interessante para este 
Indicações de leitura
11
tema a leitura do capítulo 2 (p. 18-34), e como complemento, 
apenas o capítulo 4 (p. 51-68).
Para realizar a leitura, acesse a plataforma BDTD – Biblioteca 
Digital Brasileira de Testes e Dissertações. 
DIDONÉ, D. Computação em nuvem: desafios e oportunidades 
para a forense computacional. 2011. Dissertação (Mestrado em 
Ciência da Computação) – Instituto de Computação, Universidade 
Federal de Pernambuco, Recife: 2011.
Indicação 2
Esta monografia tem como objetivo apresentar a análise de um 
sistema operacional suspeito de invasão utilizando ferramentas 
gratuitas. Essas ferramentas podem ser agrupadas para a 
realização da análise na área de forense computacional, mas 
também podem ser utilizadas por um usuário que possua algum 
conhecimento em tecnologias para realizar a análise de algum 
equipamento suspeito de violação. Seria interessante para este 
tema a leitura das páginas 4 a 14, e como complemento apenas, já 
que não faz parte deste tema especificamente, as páginas 22 a 62.
Para realizar a leitura, acesse a plataforma “Repositório UFLA/ DCC 
– Departamento de Ciência da Computação”.
POPOLIN, J. G. Análise de ferramentas para computação 
forense em sistemas NTFS. 2011. 65 f. Monografia 
(Especialização em Administração de Redes Linux) – Departamento 
de Ciência da Computação, Universidade Federal de Lavras, 
Lavras/MG, 2011\. 
12
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. A segurança da informação e a computação forense são duas 
ciências ligadas e complementares, e não totalmente opostas 
como alguns defendem. Nenhum sistema de proteção é 
completamente infalível, ou seja, incidentes podem acontecer. 
Desta forma, a ___________ é responsável pela proteção 
de ________. Assim como a ________________ é responsável 
pela _______________ de incidentes ocorridos em ambientes 
tecnológicos. 
a. Segurança da informação; tecnologia; computação forense; 
investigação.
b. Segurança da informação; ativos; computação forense; 
investigação.
c. Computação forense; ativos; segurança da informação; 
investigação.
d. Computação forense; tecnologia; segurança da informação; 
ativos.
e. Segurança da informação; computadores; computação 
forense; gestão. 
13
2. Para proteger as ________ de uma empresa, ações devem 
ser tomadas de forma imediata, evitando que _____ 
ocorram. Essas ações dependerão da ________da violação 
e a natureza da empresa.
a. Operações; problemas; estrutura.
b. Informações; perícias; estrutura.
c. Operações; perícias; organização. 
d. informações; problemas; organização.
e. Operações; problemas; natureza. 
GABARITO
Questão 1 - Resposta C
Resolução: A segurança da informação é responsável pela 
proteção de ativos que envolvem tecnologia, computadores, 
pessoas, informações, dados e outros. Assim como a 
computação forense é responsável pela investigação 
de incidentes, fraudes, invasões e outros, ocorridos em 
ambientes tecnológicos. 
Questão 2 - Resposta A
Resolução: Segundo a Federal Trade Commission (FTC), para 
proteger as organizações de uma empresa, ações devem 
ser tomadas de forma imediata, evitando que problemas 
ocorram. As ações dependerão da natureza da violação e da 
estrutura da empresa. 
TEMA 2
Processos de análise forense 
______________________________________________________________
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
15
DIRETO AO PONTO
O amplo crescimento do uso da tecnologia impulsionado pelas 
facilidades proporcionadas aumentaram, consequentemente, 
os crimes envolvendo recursos computacionais. Uma pesquisa 
realizada anualmente pela Iniciativa Global de Riscos, do Fórum 
Econômico Mundial, cita os crimes de tecnologia em sexto e 
sétimo lugares na lista dos riscos globais mais críticos para 2020. 
Esse tipo de risco representa um evento ou uma condição incerta 
que, caso ocorra, poderá causar um impacto negativo para vários 
países ou organizações nos próximos anos. Em razão disto, 
torna-se necessário um profissional que possua conhecimentos 
técnicos específicos para auxiliar na solução desses crimes, tanto 
em nível de justiça como particular, por uma organização. O crime 
digital pode assumir diversas formas e utilizar métodos variados, 
além da possibilidade de ocorrer em qualquer lugar e a qualquer 
momento.
Figura 1 – Riscos globais para 2020
Fonte: elaborada pelo autor.
Considera-se crime digital qualquer ato delituoso utilizando 
um dispositivo que utilize recursos de tecnologia em seufuncionamento. Sendo assim, de acordo com Velho (2016), o 
recurso tecnológico pode ser o agente, o facilitador ou o alvo 
16
do crime. Dalla Vecchia (2019) divide-o em duas partes: crimes 
cibernéticos próprios são os que dependem do uso de recursos 
tecnológicos para sua realização, sendo este o objeto do crime, 
como invasão de dispositivo informático; e crimes cibernéticos 
impróprios, em que os recursos tecnológicos são usados como 
meio para realização do crime, que poderia ser realizado sem o 
uso da tecnologia, como calúnia e injúria.
Para a análise e investigação desses crimes, utiliza-se a forense 
computacional, que é a ciência que trata dos crimes que 
ocorrem com o uso ou se utilizam de recursos computacionais. 
Esta ciência utiliza métodos técnicos e científicos na busca por 
evidências tecnológicas para servirem de provas em atos ilícitos. 
A forense computacional possui aspectos técnicos e legais, 
pois, para a realização de uma investigação, é necessário, além 
dos conhecimentos em tecnologias, entender um pouco sobre 
legislação, que especifica a tipologia e a criticidade dos crimes.
A forma de execução dos procedimentos de investigação pode 
resultar em implicações em uma ação judicial, pois, caso não seja 
possível comprovar a veracidade dos fatos e a autenticidade dos 
resultados obtidos, todo o processo legal pode ser comprometido. 
Uma execução forense bem realizada deve responder a quatro 
perguntas básicas: o que, quando, quem e como foi feito. A 
resposta destas questões corresponde às evidências, que podem 
ser encontradas em dados ativos (que podem ser prontamente 
vistos), em arquivados (que se refere aos dados em backups), 
ou latentes (que são os que necessitam de ferramentas 
especializadas para permitir o acesso). O mais comum em termos 
de forense é que todos estes dados sejam envolvidos na análise. 
Desta forma, a padronização da metodologia de análise forense 
auxilia neste processo, sendo composta, no geral, por quatro 
etapas que se referem a coleta (coletar dados e informações que 
17
podem conter evidências digitais ou possuir alguma relação com 
o evento investigado, e realizar cópias seguras deste material); 
exame (buscar a informação contida nas cópias e extrair dados 
úteis para a investigação); análise (realizar a análise dos dados 
filtrados na etapa anterior, para buscar informações úteis e 
relevantes respondendo às perguntas que deram origem à 
investigação); e apresentação dos resultados obtidos (gerar 
um relatório em que devem estar descritos os procedimentos 
realizados e os resultados obtidos). 
A área de forense ainda enfrenta diversos desafios que impactam 
diretamente o processo, como a falta de evidências armazenadas 
pelas organizações, como logs em geral; recuperação de arquivos 
deletados, encriptados ou corrompidos pelo computador; a 
falta de cooperação internacional para coleta de evidências em 
ambientes de nuvem de forma correlacionada; equipamentos 
IoT que não armazenam logs por maior prazo, entre outros. 
Outra questão que pode complicar a vida do perito é a perda 
da memória volátil do equipamento, que se apaga quando este 
é desligado, causando a perda dessas informações. Por fim, a 
deep web, que não está indexada nos buscadores, por exemplo, o 
Google, ou seja, a parte anônima da internet.
Referências bibliográficas
DALLA VECCHIA, E. Perícia digital: da investigação à análise 
forense. 2. ed. São Paulo: Millennium, 2019.
VELHO, J. A. Tratado de computação forense. Campinas, SP: 
Millennium, 2016. 
18
PARA SABER MAIS
A prova pericial é um dos elementos mais importantes para 
o direito, pois serve para comprovar a veracidade dos fatos 
levantados em uma investigação e ou processo. Não é possível 
extrair do conjunto probatório a verdade, visto que sempre 
haverá duas versões para um único evento e cada uma das partes 
defenderá o seu lado como o correto, e em uma investigação ou 
processo, não há como usar ocorrências parciais como evidências 
do que realmente ocorreu. O surgimento dos meios digitais trouxe 
junto alguns fatores agravantes, como tratar-se de informações 
intangíveis, que podem ser facilmente adulteráveis e, ainda, a 
possibilidade da falta de conhecimento técnico do profissional 
responsável pelo exame, prejudicando ainda mais a busca pela 
verdade, seja ela qual for. E, caso haja dúvidas sobre a autoria dos 
fatos, a prova sempre favorecerá o réu. 
Buscar por evidências que apoiam a descoberta dos fatos 
ficou mais complexo em nível de conhecimento, no entanto, 
se o profissional for capacitado, a tecnologia acaba virando um 
facilitador. Desta forma, a computação forense torna-se muito 
importante, sendo, muitas vezes, o único meio de prova possível e 
eficaz para afastar dúvidas em atos ilícitos. De acordo com Velho 
(2016), a definição de prova no direito brasileiro possui significado 
gramatical em três acepções: o ato de provar, pois com a prova 
é possível verificar a exatidão ou verdade do fato alegado pela 
parte no curso do processo; o meio de prova, que consiste no 
instrumento pelo qual se demonstra a verdade dos fatos; e o 
resultado da ação de provar, que é extraído da análise do meio de 
prova para demonstrar a verdade de um fato.
Ainda segundo Velho (2016), o direito digital acaba trazendo 
consigo uma nova categoria de prova, sendo essa o resultado 
19
da união de telecomunicação com os sistemas informáticos, 
possibilitando a execução de procedimentos a distância, utilizando 
como meio a tecnologia. Assim, a prova digital acaba possuindo 
características diferentes das tradicionais provas de perícia 
criminal, como portabilidade, reprodutibilidade e volatilidade, 
dificultando, muitas vezes, a análise.
Nos últimos anos, a produção de provas digitais passou por 
grandes modificações, exigindo um conhecimento muito 
mais avançado em tecnologia para a realização da análise 
computacional. Antigamente, elas eram utilizadas como uma 
simples coleta de vestígios, como a verificação e impressão 
de documentos eletrônicos, por exemplo, que consistem em 
qualquer documento que esteja presente em um meio eletrônico, 
sendo criado nele ou apenas armazenado. A ampliação da 
tecnologia e da internet, fazendo com que o meio digital estivesse 
cada vez mais presente em tudo, trouxe como resultado uma 
grande mudança em diversos tipos de crimes, que passaram 
do meio tradicional para o digital, bem como a criação de 
novas modalidades de crimes. Consequentemente, a produção 
de provas digitais passou a ser tratada como uma ciência 
forense, denominada de forense computacional, exigindo novas 
competências dos profissionais que antigamente coletavam 
apenas as evidências digitais.
Referências bibliográficas
VELHO, J, A. Tratado de computação forense. Campinas, SP: 
Millennium, 2016.
20
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você é um perito computacional 
da empresa ABC Varejo e a equipe de segurança da informação 
passou um caso para investigação, que se trata do download de 
um software suspeito em um computador da organização. Este 
software contém um artefato capaz de roubar acessos bancários 
do usuário. O colaborador é da área financeira da empresa e, ao 
abrir a conta do banco, o artefato se ativou automaticamente. 
Como o colaborador percebeu algo estranho, tirou o cabo de 
rede da máquina e, após, abriu um incidente com a equipe de 
segurança que acionou você para investigar o que realmente 
ocorreu. O colaborador não sabe como este software foi parar na 
sua máquina. Você considera que ele tomou a atitude correta ao 
desconectar o cabo de rede da máquina, ou considera que deveria 
ter desligado o computador? Por qual motivo você considera a 
reação do colaborador como prejudicial ou benéfica para a análise 
forense computacional?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Esta dissertação traz uma apresentação de metodologiapara sistematização do processo investigatório de análise da 
informação digital, baseado em diversos modelos de processos 
Indicações de leitura
21
que estão citados no item 3, páginas 28 a 37. A leitura dos 
diversos modelos apresentados resultará em enriquecimento no 
aprendizado, possibilitando o entendimento de forma mais ampla 
deste processo, e a escolha do modelo mais adequado à sua 
prática. 
Para realizar a leitura, acesse a plataforma BDTD - Biblioteca 
Digital Brasileira de Testes e Dissertações. 
COSTA, L. R. Metodologia e arquitetura para sistematização do 
processo investigatório de análise da informação digital. 2012. 102 
f. Dissertação (Mestrado em Engenharia Elétrica) – Departamento 
de Engenharia Elétrica, Universidade de Brasília, Brasília, 2012. p. 
28-37.
Indicação 2
Esta monografia traz uma proposta de modelo de software para 
perícia forense computacional bem interessante. O item 2, que 
compreende as páginas 13 a 23, traz mais informações sobre o 
conteúdo apresentado neste tema, trazendo mais conceitos sobre 
a forense computacional, os crimes digitais, aspectos da perícia 
forense, bem como as fases da perícia forense computacional 
e o laudo forense computacional, possibilitando um maior 
aprendizado sobre o assunto.
Para realizar a leitura, acesse a plataforma Repositório 
Digital Institucional da UFPR – Biblioteca Digital: Trabalhos de 
Especialização Ciências Exatas e da Terra.
RAMOS, R. Sistema de laudos forense computacional: uso no 
contexto da perícia criminalística. 2014. Monografia (Especialização 
22
em Software) – Setor de Educação Profissional e Tecnológica, 
Universidade Federal do Paraná, Curitiba, 2014. p. 13-23. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Para a análise da investigação de crimes _____, utiliza-se a 
forense ______, que é a ciência que trata dos crimes que 
ocorrem com o uso ou se utilizam de ___________. A forense 
digital utiliza métodos __________ na busca por evidências 
tecnológicas para servirem de provas em atos ilícitos. 
a. De pedofilia; computacional; tecnologia; técnicos e 
padronizados.
b. Digitais; criminal; tecnologia; padronizados e científicos. 
c. De fraudes; computacional; recursos de redes; técnicos e 
científicos. 
d. Digitais; computacional; recursos computacionais; técnicos e 
científicos.
e. De invasão; criminal; tecnologia; padronizado e científicos. 
23
2. Podemos definir que o direito brasileiro possui 
significado gramatical em três acepções: _____, o _______ 
e o resultado da ação de provar. A prova digital possui 
características diferentes das tradicionais, devido à 
_______, reprodutibilidade e _______, dificultando, muitas 
vezes, a análise.
a. Ato de provar; meio da prova; portabilidade; volatilidade. 
b. Prova; meio da prova; portabilidade; volatilidade.
c. Ato de provar; prova; incompatibilidade; volatilidade.
d. Investigação; prova; incompatibilidade; instabilidade.
e. Investigação; meio da prova; portabilidade; instabilidade. 
GABARITO
Questão 1 - Resposta D
Resolução: Para a análise da investigação de crimes digitais, 
utiliza-se a forense computacional, que é a ciência que trata 
dos crimes que ocorrem com o uso ou se utilizam de recursos 
computacionais. A forense digital utiliza métodos técnicos e 
científicos na busca por evidências tecnológicas para servirem 
de provas em atos ilícitos. 
Questão 2 - Resposta A
Resolução: Podemos definir que o direito brasileiro possui 
um significado gramatical em três acepções: o ato de provar, 
o meio de prova e o resultado da ação de provar. A prova 
digital possui características diferentes das tradicionais, 
devido à portabilidade, reprodutibilidade e volatilidade, 
dificultando, muitas vezes, a análise. 
TEMA 3
Identificação e reconstituição de 
ataques
______________________________________________________________
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
25
DIRETO AO PONTO
Um incidente de ataque a uma empresa pode causar um 
grande impacto, tanto na estrutura como na imagem. Então o 
processo de investigação de um ataque torna-se extremamente 
importante, pois, por meio deste, é possível descobrir possíveis 
vulnerabilidades, criar proteções extras de segurança e evitar que 
novos ataques ocorram após conseguir mapear como o atacante 
agiu. O NIST (National Institute of Standards and Technology) 
apresenta um framework de cibersegurança que pode ser utilizado 
como modelo neste processo de computação forense. Ele indica 
funções básicas de segurança cibernética em nível mais alto, que 
são: identificar, proteger, detectar, responder e recuperar, como é 
possível ver na Figura 1. Essas funções são focadas para ajudar as 
empresas a gerenciar os seus riscos, organizando as informações, 
possibilitando decisões de gerenciamento, como a melhor forma 
de enfrentar ameaças e ataques, melhorando as atividades e 
defesas da organização por meio do aprendizado contínuo.
26
Figura 1 – Framework funções básicas de cibersegurança
Fonte: elaborada pelo autor com base no NIST (2018).
Com este modelo de gerenciamento de riscos de cibersegurança, 
podemos realizar um processo de identificação e reconstituição 
de ataques de forma mais completa. Para realizar uma 
reconstituição de ataque, é necessário inicialmente identificá-lo 
por meio da função de detecção, após responder a este ataque, 
reconstituindo-o, para recuperar os danos causados e aprender 
com ele, por meio da identificação, criando proteções para evitar 
que não volte a ocorrer. 
27
A detecção de ataques são, normalmente, realizada por meio 
de ferramentas de análise de ambiente da organização, logs 
e alertas de sistemas. Por meio destes, é possível verificar a 
extensão do dano causado e montar uma estratégia de análise 
de um exemplar para entender o modus operandi do atacante. 
Assim que um ataque for identificado, uma ação é exigida, mesmo 
que seja apenas isolar o equipamento da estrutura para evitar 
maiores danos. Ao coletar a amostra para investigação, esta 
deve ser realizada com o maior cuidado para não contaminar os 
vestígios. A investigação nunca deve ser realizada no material 
original coletado, então uma cópia deste material deve sempre 
ser feita e é nesta cópia que ocorrerá a análise completa. A análise 
é realizada por meio do uso de ferramentas, como Autopsy, por 
exemplo. Neste ponto, dados apagados podem ser recuperados, 
históricos e registros são analisados, conexões de redes e portas 
abertas podem ser verificadas, serviços em execução e processos 
do sistema operacional são analisados.
Os dados coletados e analisados são correlacionados. Neste 
ponto, uma linha do tempo dos processos pode ser criada, 
baseada nos horários dos vestígios importantes coletados. Com 
esta linha, fica mais visível a ordem exata de cada detalhe do 
acontecimento, possibilitando entender o que aconteceu, quando 
aconteceu, por que aconteceu e talvez quem causou o ataque ou 
incidente. E, traçando este perfil, fica mais fácil entender o ataque 
realizado. 
Outro detalhe importante neste processo de entendimento e 
reconstrução da ordem dos eventos do ataque é a recuperação de 
informações importantes, com o auxílio de ferramentas forenses. 
Por fim, com este cenário desenhado, pode-se montar um plano 
de ação de segurança, evitando que novos ataques do mesmo 
estilo voltem a ocorrer, prevenindo-se de armadilhas instaladas 
por invasores e identificação e rastreamento de invasores. Todo 
28
esse processo de gerenciamento de cibersegurança, com foco 
em ataques, tem como consequência tornar a organização maissegura e confiável diante do mercado, evitando perdas financeiras 
e impacto na imagem.
Referências bibliográficas
NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. 
Framework for improving critical infrastructure cybersecurity. 
Broadway: NIST, U.S. Department of Commerce, 2018. Disponível 
em: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.
pdf. Acesso em: 27 jul. 2020. 
PARA SABER MAIS
Durante a investigação de incidentes e ataques, ao realizar a 
recuperação e análise de evidências, é comum apenas encontrar 
parte de vestígios, como fragmentos de logs, de dados, programas 
executados, timestamps, informações nos registros, arquivos 
ocultos em pastas de sistemas, em processos ocultos, históricos 
de execução e navegação ou, ainda, ferramentas que comprovam 
atividades realizadas pelo atacante. No entanto, algumas vezes 
não é possível ter uma imagem completa das atividades realizadas 
pelo atacante, faltando mais evidências, então, é mais complicado 
ainda descobrir a autoria. 
Podem ocorrer, ainda, casos em que a quantidade encontrada 
de evidências é tão insignificante que faltam dados suficientes 
para a montagem de uma sequência lógica dos eventos. Neste 
caso, é extremamente importante que o investigador tenha 
conhecimento para realizar uma análise mais aprofundada em 
29
determinadas evidências, como dump de memória e sistema, 
arquivos executáveis, análise de código-fonte e espaços 
desperdiçados no fim dos blocos de dados para ocultar evidências 
(slack space). Dump é um programa Unix para realização de cópia 
de segurança de sistemas de arquivos.
Ao analisar um executável, deve-se utilizar uma máquina separada 
na rede, e de preferência isolada, pois mesmo que o arquivo 
pareça inofensivo, pode ser que contenha código malicioso 
escondido e, neste caso, prejudicar toda a sua estrutura de rede. 
O indicado é nunca utilizar a sua máquina para testar o programa. 
Pode-se criar uma máquina virtual (VM), desde que esta esteja 
com um ambiente totalmente isolado da sua máquina e da rede 
local. A análise de executável é bem importante para entender 
como o arquivo malicioso funciona e que informações ele pode 
comprometer na sua rede.
Após conseguir o máximo de informações, deve-se transformar 
o executável em código-fonte. Fazendo isso, é possível realizar 
a engenharia reversa por meio da leitura e do reconhecimento 
do código, bem como a execução do sistema, passo a passo, 
utilizando breakpoint (ponto de parada). Este processo 
proporcionará mais respostas sobre o funcionamento do sistema.
Outro detalhe bem importante pode ser a busca por evidências 
escondidas intencionalmente ou pelo próprio sistema operacional 
durante a sua execução. Estas buscas exigem paciência por 
parte do investigador. Os espaços vazios de qualquer sistema de 
arquivos estão sujeitos ao desperdício, então identificar esses 
arquivos é necessário, pois podem trazer pedaços de evidências 
importantes. 
Enfim, é possível entender o benefício que um conhecimento 
mais avançado sobre perícia de informática e ferramentas pode 
30
trazer para o sucesso de uma investigação de ataque, facilitando 
a recuperação e análise de evidências de forma mais avançada. 
O sucesso da investigação depende sempre de uma preparação 
prévia, a informação é a principal arma contra atacantes.
Referências bibliográficas
SILVA, T. G. Análise forense: técnicas e reconstituição de ataques. 
Revista Especialize On-line IPOG, Goiânia, ano 9, v. 1, n. 16, 
dez. 2018. Disponível em: https://assets.ipog.edu.br/wp-content/
uploads/2019/12/07013924/tiago-goncalves-silva-880131.pdf, 2012 
Acesso em: 29 jul. 2020.
TEORIA EM PRÁTICA
A organização sofreu uma tentativa de ataque, o IDS alertou 
e bloqueou a ação assim que a identificou. Ao analisar os logs 
gerados pelo IDS, firewall e antivírus, a equipe de segurança 
descobriu que o ataque partiu de dentro da rede. No entanto, 
é necessário investigar como o arquivo malicioso entrou na no 
ambiente, pois, de acordo com o alerta, ele se auto executou a 
partir do IP 192.168.101.9, que é um endpoint interno. Quais os 
primeiros passos para descobrir o que realmente aconteceu? 
Como agir em um caso como este em que o ataque parte de 
dentro da empresa e não externamente? O que este caso tem a 
ensinar para a equipe de investigação, perícia e defesa cibernética, 
juntamente com a equipe de segurança da informação?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
31
LEITURA FUNDAMENTAL
Indicação 1
Este artigo fala sobre a investigação de vazamento de informações 
de dados de empresas que, normalmente, são vendidos em sites 
de internet como mercadoria para uso de concorrentes. Esse tipo 
de informação deve ser protegido e, para isso, deve-se conhecer 
os meios de vazamentos e sites onde estão disponíveis após um 
vazamento, para então poder tomar uma atitude mais rápida, 
evitando um impacto maior para a organização.
Para realizar a leitura, acesse a plataforma Digital Forensics and 
Incident Response, em Artigos e Papers, e busque pelo título da 
obra.
CAIADO, M. Investigando vazamento de informações e de 
propriedade intelectual. Evidência Digital Magazine, São Paulo, 
edição especial de aniversário de 7 anos, p. 3-6, 2012. Edição 
05/2011.
Indicação 2
Este artigo fala sobre metodologias para a coleta de evidências 
até a apresentação judicial, independente do sistema operacional. 
Seu principal objetivo é explorar técnicas e aspectos que devem 
ser considerados durante uma perícia forense computacional, 
evitando dependência de metodologias e programas proprietários, 
que são os softwares pagos. 
Indicações de leitura
32
Para realizar a leitura, acesse a plataforma Digital Forensics and 
Incident Response, em Artigos e Papers, e busque pelo título da 
obra.
VARGAS, R. Perícia forense computacional, metodologias e 
ferramentas periciais. Evidência Digital Magazine, São Paulo, 
edição especial de aniversário de 7 anos, p. 21-29, 2011. Edição 
05/2011. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Ao realizar a análise e correlação dos eventos, é importante 
a criação de uma ___________ dos processos, baseada nos 
_____________ importantes coletados. Com esta_______, fica 
mais visível a ordem exata de cada detalhe do acontecimento, 
possibilitando entender___________, quando aconteceu, por que 
aconteceu e talvez quem causou o ataque ou incidente. 
33
a. Linha do tempo; vestígios encontrados; linha; o ataque.
b. Linha do tempo; horários dos vestígios; linha; o que 
aconteceu. 
c. Planilha em Excel; vestígios encontrados; ferramenta; o que 
aconteceu.
d. Planilha em Excel; horários dos vestígios; ferramenta; o 
ataque.
e. Linha do tempo; vestígios encontrados; análise; o que 
aconteceu. 
2. A função________ significa desenvolver e implementar 
atividades apropriadas para __________ de incidentes, 
permitindo a descoberta oportuna de eventos de 
segurança e incidentes. Já a função ________ significa 
desenvolver e implementar atividades apropriadas 
para _____________em relação a um incidente _______ de 
segurança cibernética, e suporta a capacidade de conter o 
impacto de um potencial incidente.
a. Responder; identificar a ocorrência; detectar; tomar 
medidas; detectado.
b. Detectar; tomar medidas; responder; identificar ocorrência; 
encontrado.
c. Detectar; identificar a ocorrência; responder; analisar 
métodos; encontrado.
d. Detectar; identificar a ocorrência; responder; tomar 
medidas; detectado. 
e. Responder; tomar medidas; responder;analisar medidas; 
encontrado. 
34
GABARITO
Questão 1 - Resposta B
Resolução: Ao realizar a análise e correlação dos eventos, é 
importante a criação de uma linha do tempo dos processos, 
baseada nos horários dos vestígios importantes coletados. 
Com esta linha, fica mais visível a ordem exata de cada 
detalhe do acontecimento, possibilitando entender o que 
aconteceu, quando aconteceu, por que aconteceu e talvez 
quem causou o ataque ou incidente. 
Questão 2 - Resposta D
Resolução: A função detectar significa desenvolver e 
implementar atividades apropriadas para identificar a 
ocorrência de incidentes, permitindo a descoberta oportuna 
de eventos de segurança e incidentes. Já a função responder 
significa desenvolver e implementar atividades apropriadas 
para tomar medidas em relação a um incidente detectado de 
segurança cibernética, e suporta a capacidade de conter o 
impacto de um potencial incidente. 
TEMA 4
Recuperação de desastres 
______________________________________________________________
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
36
DIRETO AO PONTO
As empresas acabaram se tornando dependentes da tecnologia 
da informação, sendo assim, todos os seus dados e informações 
são armazenados em sistemas computacionais, desde simples 
documentos, e-mails, estruturas, banco de dados e ERP (enterprise 
resource planning), que são sistemas de gestão empresarial que 
controlam todas as informações de uma empresa, integrando 
todas as áreas existentes. Devido a esta dependência, torna-
se importante a organização possuir um entendimento da 
importância da Tecnologia da Informação (TI), pois, se ela parar, 
pode causar um grande impacto na organização, resultando em 
um desastre. 
Uma gestão efetiva dos riscos deve ser realizada para evitar 
desastres. Há diversos tipos de tragédias, os quais podemos 
separar por forma, como desastres naturais, problemas de 
eletricidade, incêndios, problemas ambientais, em sistemas, 
hardware, redes, ataques externos e internos, crimes cibernéticos, 
entre outros. Para se antecipar a esses desastres, é importante, 
além de uma segurança da informação (SI) e uma gestão de 
riscos de ativos bem elaborada, a criação de um plano de 
recuperação de desastres (DRP), do inglês, disaster recovery plan. 
O DRP, ou apenas DR (recuperação de desastres), tem como 
principal objetivo restaurar com agilidade os dados e processos 
da organização, levando em consideração o grau de impacto ao 
negócio, ou seja, foca nos sistemas que suportam as funções vitais 
para a organização.
Com um DR bem planejado, caso ocorra uma falha, a interrupção 
das operações é minimizada, garantindo a confiabilidade e a 
estabilidade organizacional, evitando a perda de informações 
confidenciais, fundamentais para a operação das empresas. 
37
Os princípios básicos de um DR são prevenção, antecipação, 
mitigação, sendo que as duas primeiras são as chaves para 
uma restruturação de sucesso, mostrando a importância de um 
planejamento detalhado, com uma documentação abrangente 
de atitudes a serem tomadas antes, durante e após o evento que 
causou o problema ou a instabilidade no sistema. Como é muito 
difícil prever uma situação de desastre, que ainda pode ocorrer 
de maneira acidental ou proposital, o DRP torna-se essencial para 
mitigar os efeitos da falha e preservar a integridade dos dados.
Uma questão importante a considerar é que o DR não consiste 
apenas em backups, ou seja, precisa abranger possíveis 
problemas na estrutura física, elétrica, de localização, problemas 
ambientais, desastres naturais, de infraestrutura de TI, de 
pessoas e outros, assegurando todos esses componentes do 
inesperado. Tem como objetivo a recuperação da informação 
como também o funcionamento de áreas críticas para a 
organização, com foco na área de processos de infraestrutura 
de TI, ignorando processos de negócios. Após o estabelecimento 
da infraestrutura, o plano de continuidade de negócios (PCN), ou 
em inglês business continuity plan (BCP), ficará como responsável 
pelo restabelecimento dos principais processos de negócios. O 
BCP tem como objetivo a organização como um todo, permitindo 
a continuidade do negócio, sendo esta área a responsável pela 
definição do que é crítico ou o que se pode excluir do plano, em 
momentos de recuperação de desastre. A criação de um DRP para 
uma organização é de suma importância, bem como a do BCP, 
pois os dois são complementares e precisam estar totalmente 
interligados.
O DRP, assim como qualquer plano, possui etapas a serem 
seguidas para uma correta implementação, e para isto podemos 
utilizar o PDCA, do inglês, plan-do-check-act, que é um método 
iterativo de gestão para controle e melhoria contínua de 
38
processos, também utilizado na ABNT NBR ISO/IEC 27.005. Na 
Figura 1, é possível ver as fases do plano de recuperação de 
desastres, dividido entre as quatro fases do modelo PDCA.
Figura 1 – Fases do DRP dividido entre as fases do modelo 
PDCA
Fonte: elaborada pelo autor.
Após o processo de implementação de um DRP, é necessário 
mantê-lo em processo de melhoria contínua, assim como 
recomenda o modelo PDCA. Desta forma, em caso de 
desastre, a ativação do plano será efetiva, senão a organização 
correrá um grande risco de perda de dados e informações, e, 
consequentemente, financeira e de imagem.
Referências bibliográficas
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 
ISO/IEC 27.005: tecnologia da informação: técnicas de segurança: 
39
gestão de riscos de segurança da informação. Rio de Janeiro: 
ABNT, 2013.
LANDRY, B.; KOGER, S. Dispelling 10 common disaster recovery 
myths: lessons learned from Hurricane Katrina and other 
disasters. J. Educ. Resour. Comput. [s.l.], v. 6, n. 4, 14 p., dez. 
2006. 
PARA SABER MAIS
As organizações precisam entender que um DR é uma questão de 
segurança para a empresa, e se ele for completo, considerando 
um BCP e todos os processos que este contempla, melhor ainda, 
pois mais poder de recuperação a empresa terá. Um DR não 
contempla apenas o backup, mas toda a infraestrutura de TI da 
empresa, incluindo seus processos. Por exemplo, caso ocorra um 
ataque cibernético, independente se for interno ou externo, que 
resulte em uma parada de vários serviços essenciais, sem um 
plano de recuperação, será quase inviável restabelecer os serviços 
em tempo hábil, sem resultar em um grande impacto ao negócio. 
Podemos considerar o mesmo para um desastre natural, como 
um tornado ou alagamentos, neste caso, o dano pode ser ainda 
maior, com danos praticamente irrecuperáveis.
Com um plano de DR, é possível analisar todas as fragilidades que 
a organização possui, considerando os riscos que mais podem 
impactar o negócio. É necessário que estratégias de recuperação 
de desastres sejam implementadas, considerando todas as etapas 
para o restabelecimento da estrutura e os responsáveis por cada 
uma delas. É necessário considerar diversos cenários, como perda 
parcial. Neste cenário, considera-se ao menos o restabelecimento 
mínimo para manter os processos mais críticos do negócio; 
40
ativação de contingência, neste processo, precisa detalhar o passo 
a passo para ativação da estratégia de contingência total ou do 
que possui em contingência, entre outros.
Para que um DR funcione de forma correta, ele deve ser testado 
regularmente e, se necessário, ajustado conforme mudanças 
ocorram. No entanto, para a realização de um teste válido, 
as partes responsáveis não devem ser comunicadas com 
antecedência, pois, desta forma, elas estarão preparadas caso 
sejam acionadas, não resultando, assim, em um teste fiel de uma 
situação de desastre, pois um tragédia nunca é esperada, o DR 
é realizado para antecipar-se a ele, caso venha a ocorrer. Desta 
forma, este plano deve ser testado no seu pior cenário, em uma 
falha total, ou no mínimo parcial, mas sem aviso prévio.
As organizações, normalmente, não querem realizar este tipo de 
teste, com receio de que algum imprevisto ocorra eo sistema 
não seja restabelecido em sua íntegra. Mas é importante todos 
estarem cientes de que, sem teste completo, em um caso de 
incidente real, o resultado será possivelmente este, gerando uma 
situação muito mais grave. Ou seja, caso um imprevisto ocorra em 
um teste programado, é possível descobrir as falhas do processo 
e ajustar, evitando que situações desse tipo voltem a ocorrer 
quando realmente for necessário ativar o DR. Prazeres (2012) 
afirma que, assim como há uma necessidade de testes reais, para 
a ativação de um DR, todos os problemas devem ser registrados 
e documentados com a intenção de corrigi-los, permitindo 
melhorias nos processos de DR e de infraestrutura, além de evitar 
falhas operacionais e o retrabalho por partes e áreas distintas.
41
Referências bibliográficas
PRAZERES, A. J. M. Continuidade de negócio, disaster recovery e 
estratégias de implementação na Santa Casa da Misericórdia 
de Lisboa. 2012. 86 f. Dissertação (Mestrado em Desenvolvimento 
de Software e Sistemas Interativos) – Escola Superior de 
Tecnologia, Instituto Politécnico de Castelo Branco, Castelo Branco, 
2012.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você ficou incumbido de revisar 
o plano de recuperação de desastres (DRP) que a empresa possui 
há uns três anos e nunca houve necessidade de ativá-lo. Essa 
tarefa, possivelmente, está defasada e, sabendo que para planejar 
um DR com sucesso é preciso uma série de etapas, como a 
definição da ordem em que as ações devem ser tomadas, este tipo 
de medida ajuda a gerar um menor impacto ao negócio, sabendo 
exatamente a pessoa a ser acionada dependendo da situação, 
como um ataque de malware. Além de estabelecer os responsáveis 
por cada ação a ser tomada, o que você considera como crucial 
para que seu DR realmente seja considerado um sucesso? E como 
você venderia esta proposta atualizada do DR para a empresa, já 
que, possivelmente, envolverá investimentos financeiros? 
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
42
LEITURA FUNDAMENTAL
Indicação 1
Esta tese de doutorado tem como objetivo propor um modelo 
para representar e avaliar a qualidade de planos de continuidade 
de negócios (PCN), sendo que o DR faz parte desse processo 
integrado ao PCN. Apresenta também um mapeamento das 
principais características que esses planos devem possuir, 
considerando as normas BS 25.999, ABNT NBR ISO/IEC 27.001 e 
ABNT NBR ISO/IEC 27.002. 
Para realizar a leitura, acesse a plataforma Biblioteca 
OpenAIRE|Explore, na Biblioteca Virtual da Kroton, e busque pelo 
título da obra.
LUDESCHER, W. Modelo para avaliação da qualidade de projetos 
de planos de continuidade de negócios aplicados a sistemas 
computacionais. 2011. Tese (Doutorado em Engenharia) – 
Universidade de São Paulo, São Paulo, 2011. p. 67-124.
Indicação 2
Esta tese de mestrado tem como objetivo focar no processo 
de tomada de decisão frente às estratégias de recuperação de 
desastre (DR) em tecnologias e sistemas de informação, levando 
em consideração os principais critérios para a tomada de decisão, 
e caracterizar a forma como se relacionam. 
Indicações de leitura
43
Para realizar a leitura, acesse a plataforma Biblioteca Virtual 
RepositóriUM, na Biblioteca Virtual da Kroton, e busque pelo título 
da obra.
NEVES, J. M. M. Tomada de decisão sobre estratégias de 
recuperação de desastre em tecnologias e sistemas de 
informação. Tese (Mestrado em Sistemas de Informação) – 
Universidade do Minho, Portugal, 2009. Cap. 2-4, p. 19-73. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Os testes de funcionamento do DR (recuperação de desastres) 
devem fazer parte da rotina das organizações. 
 
Assinale a alternativa que está de acordo com este 
procedimento: 
a. Existe uma certa resistência por parte das organizações 
para realizar este tipo de teste em razão da paralisação das 
atividades de seus colaboradores.
44
b. A necessidade da realização do teste do DR constantemente 
é importante para que sejam feitos os ajustes necessários 
ao processo. 
c. Para a realização do teste do DR, é necessário que todas as 
partes sejam avisadas com antecedência.
d. Ocorrendo um imprevisto durante um teste programado, o 
processo todo será comprometido. 
e. Os testes do DR detectam as recuperações contidas no 
processo e evitam que os responsáveis sejam acionados. 
2. Após a implantação de um DRP, é fundamental mantê-lo 
em processo de __________, conforme orienta o modelo 
PDCA. Assim, em caso de desastre, a __________será 
efetiva, do contrário, a organização correrá um grande 
risco de perda de __________e__________.
a. Funcionamento; melhoria contínua; informações; financeira.
b. Ativação; exclusão; informações; imagem.
c. Melhoria contínua; equipe técnica; imagem; informações.
d. Ativação do plano; melhoria contínua; dados; imagem.
e. Melhoria contínua; ativação do plano; dados; informações. 
GABARITO
Questão 1 - Resposta B
Resolução: As organizações, normalmente, não querem 
realizar este tipo de teste, com receio de que algum 
imprevisto ocorra e o sistema não seja restabelecido em sua 
íntegra. Mas é importante todos estarem cientes de que, sem 
teste completo, em um caso de incidente real, o resultado 
45
será possivelmente este, gerando uma situação muito mais 
grave. Caso um imprevisto ocorra em um teste programado, 
é possível descobrir as falhas do processo e ajustar, evitando 
que situações desse tipo voltem a ocorrer quando realmente 
for necessário ativar o DR. Para a realização de um teste 
válido, as partes responsáveis não devem ser comunicadas 
com antecedência, pois, desta forma, elas estarão preparadas 
caso sejam acionadas, não resultando, assim, em um teste 
fiel de uma situação de desastre. 
Questão 2 - Resposta E
Resolução: Após o processo de implementação de um DRP, 
é necessário mantê-lo em processo de melhoria contínua, 
assim como recomenda o modelo PDCA. Desta forma, em 
caso de desastre, a ativação do plano será efetiva, senão a 
organização correrá um grande risco de perda de dados e 
informações, e, consequentemente, financeira e de imagem. 
BONS ESTUDOS!
	Apresentação da disciplina
	Introdução
	TEMA 1
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 2
	Direto ao ponto
	TEMA 3
	Direto ao ponto
	TEMA 4
	Direto ao ponto
	Botão TEMA 5: 
	TEMA 2: 
	Botão 158: 
	Botão TEMA4: 
	Inicio 2: 
	Botão TEMA 6: 
	TEMA 3: 
	Botão 159: 
	Botão TEMA5: 
	Inicio 3: 
	Botão TEMA 7: 
	TEMA 4: 
	Botão 160: 
	Botão TEMA6: 
	Inicio 4: 
	Botão TEMA 8: 
	TEMA 5: 
	Botão 161: 
	Botão TEMA7: 
	Inicio 5: