Auditoria e Controle de Segurança apostila

Prévia do material em texto

1
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
2
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
3
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Núcleo de Educação a Distância
GRUPO PROMINAS DE EDUCAÇÃO
Diagramação: Gildenor Silva Fonseca
PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira.
O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para 
a formação de profissionais capazes de se destacar no mercado de trabalho.
O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por 
fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem.
4
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Prezado(a) Pós-Graduando(a),
Seja muito bem-vindo(a) ao nosso Grupo Educacional!
Inicialmente, gostaríamos de agradecê-lo(a) pela confiança 
em nós depositada. Temos a convicção absoluta que você não irá se 
decepcionar pela sua escolha, pois nos comprometemos a superar as 
suas expectativas.
A educação deve ser sempre o pilar para consolidação de uma 
nação soberana, democrática, crítica, reflexiva, acolhedora e integra-
dora. Além disso, a educação é a maneira mais nobre de promover a 
ascensão social e econômica da população de um país.
Durante o seu curso de graduação você teve a oportunida-
de de conhecer e estudar uma grande diversidade de conteúdos. 
Foi um momento de consolidação e amadurecimento de suas escolhas 
pessoais e profissionais.
Agora, na Pós-Graduação, as expectativas e objetivos são 
outros. É o momento de você complementar a sua formação acadêmi-
ca, se atualizar, incorporar novas competências e técnicas, desenvolver 
um novo perfil profissional, objetivando o aprimoramento para sua atua-
ção no concorrido mercado do trabalho. E, certamente, será um passo 
importante para quem deseja ingressar como docente no ensino supe-
rior e se qualificar ainda mais para o magistério nos demais níveis de 
ensino.
E o propósito do nosso Grupo Educacional é ajudá-lo(a) 
nessa jornada! Conte conosco, pois nós acreditamos em seu potencial. 
Vamos juntos nessa maravilhosa viagem que é a construção de novos 
conhecimentos.
Um abraço,
Grupo Prominas - Educação e Tecnologia
5
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
6
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Olá, acadêmico(a) do ensino a distância do Grupo Prominas! .
É um prazer tê-lo em nossa instituição! Saiba que sua escolha 
é sinal de prestígio e consideração. Quero lhe parabenizar pela dispo-
sição ao aprendizado e autodesenvolvimento. No ensino a distância é 
você quem administra o tempo de estudo. Por isso, ele exige perseve-
rança, disciplina e organização. 
Este material, bem como as outras ferramentas do curso (como 
as aulas em vídeo, atividades, fóruns, etc.), foi projetado visando a sua 
preparação nessa jornada rumo ao sucesso profissional. Todo conteúdo 
foi elaborado para auxiliá-lo nessa tarefa, proporcionado um estudo de 
qualidade e com foco nas exigências do mercado de trabalho.
Estude bastante e um grande abraço!
Professores: Jéssica Laisa e Alan Santana
7
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
O texto abaixo das tags são informações de apoio para você ao 
longo dos seus estudos. Cada conteúdo é preprarado focando em téc-
nicas de aprendizagem que contribuem no seu processo de busca pela 
conhecimento.
Cada uma dessas tags, é focada especificadamente em partes 
importantes dos materiais aqui apresentados. Lembre-se que, cada in-
formação obtida atráves do seu curso, será o ponto de partida rumo ao 
seu sucesso profisisional.
8
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Esta unidade abordará a auditoria e o controle de segurança no 
contexto geral, visando os devidos aspectos importantes. A auditoria de sis-
temas, está direcionada à avaliação dos sistemas de informação e dos ele-
mentos tecnológicos que combinam o processo de geração, armazenam 
e disponibilizam a informação. Por esse motivo, a presente unidade tem o 
objetivo de explorar os conceitos de auditoria de sistema e segurança de 
informação, a aplicabilidade de técnicas e ferramentas em prol da seguran-
ça dos dados; bem como detalhar os princípios que motivam a segurança 
de dados e quais os recursos que podem ser usados para tanto, inclusive, 
entendendo o uso de criptografia. Ao longo do estudo serão abordados 
conceitos de ameaças e ataques aos sistemas, assim como meios para 
evitar que eles estejam presentes. Por fim, será visto como é importante, 
no processo de desenvolvimento do software, trabalhar com aspectos da 
auditoria. Será destacada a auditoria de desenvolvimento de sistemas que 
pode ajudar na organização desde a análise do processo de um sistema 
particular, como na fase de planejamento ou andamento, até após sua con-
clusão. Ainda, será visto como é realizado o trabalho na auditoria de redes 
e banco de dados.
Auditoria. Sistemas. Segurança.
9
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
 CAPÍTULO 01
AUDITORIA DE SEGURANÇA DE INFORMAÇÕES E SISTEMAS
Apresentação do Módulo ______________________________________ 11
12
22
24
Conceitos Básicos de Auditoria de Segurança de Informações e 
Sistemas ______________________________________________________
Segurança de Sistemas ________________________________________
Recapitulando _________________________________________________
Segurança da Informação ______________________________________ 16
 CAPÍTULO 02
PRINCÍPIOS COMPLEMENTARES DE SI
Retomando os Conceitos de Segurança da Informação _________
Recapitulando _________________________________________________
28
43
Auditoria do Desenvolvimento e Manutenção de Sistemas _______ 49
 CAPÍTULO 03
AUDITORIAS DE SISTEMA
Tipos de Auditoria a Sistemas de Informação ____________________ 47
Recapitulando __________________________________________________
Auditoria da Administração e Operação de Redes ________________
Auditoria dos Controles de Banco de Dados _____________________
60
52
58
10
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Considerações Finais ____________________________________________
Fechando a Unidade ____________________________________________
Referências _____________________________________________________
65
66
69
11
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Cada dia mais as organizações estão cercadas de tecnologias 
e produzido informações, de modo que cresce a dependência à tecno-
logia, devendo-se atentar à busca de segurança para seus sistemas. 
É sabido que a auditoria atua de modo independente e sistemático na 
organização, devendo focar sua tarefa, em primeiro lugar, na avaliação 
dos processos de governança, gestão de riscos e controle e, de modo 
complementar, na avaliação das principais tarefas, processos e produ-
tos da organização, particularmente aqueles considerados importantes 
para obter os objetivos estratégicos.
Além disso, o primeiro capítulo desta Unidade abordará a intro-
dução sobre os conceitos básicos de Auditoria de Segurança de Infor-
mações e Sistemas. Descrevendo ainda o conceito de segurança e vio-
lação, explanaremos sobre a segurança da informação e de sistemas. 
O segundo capítulo versará e detalhará, em especial, os conceitos e 
princípios da criptografia, da tríade da Segurança da Informação, bem 
como de seus principais métodos e características.Ainda no segundo capítulo serão abordados fatores que moti-
vam a aplicação da Segurança da informação, em especial, mediante 
os conjuntos de vantagens e desvantagens ligados à sua implantação. 
Ademais, serão apresentadas as características históricas que motiva-
ram o surgimento da criptografia como a conhecemos, bem como, as 
principais características dos diferentes ataques à informação.
Por fim, o terceiro capítulo abordará alguns tipos de auditoria, 
como a auditoria do desenvolvimento e manutenção de sistemas, audi-
toria da administração e operação de redes e a auditoria dos Controles 
de Banco de Dados. Desta forma, permitindo uma visão geral sobre 
os métodos e características que motivam a aplicação de auditórias 
fundamentadas na segurança da informação em diferentes campos de 
atuação da tecnologia da informação, concluindo, assim, os conteúdos 
sobre auditoria e controle de segurança.
No mais, boas-vindas ao presente módulo e que todos possam 
enriquecer seus conhecimentos com os assuntos que serão explanados.
Bons estudos!
12
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
CONCEITOS BÁSICOS DE AUDITORIA DE SEGURANÇA DE INFOR-
MAÇÕES E SISTEMAS
A auditoria atua de modo independente e sistemático na or-
ganização, devendo focar sua tarefa, de modo primeiro, na avaliação 
dos processos de governança, gestão de riscos e controle e, de modo 
complementar, na avaliação das principais tarefas, processos e produ-
tos da organização, particularmente aqueles considerados importantes 
para obter os objetivos estratégicos. O objetivo da auditoria é promover 
uma relativa segurança às partes envolvidas na condução dos negó-
cios da empresa; de modo que auditoria de sistemas está direcionada 
à avaliação dos sistemas de informação e dos elementos tecnológicos 
que combina o processo de geração, armazena e disponibiliza a infor-
mação. 
AUDITORIA DE 
SEGURANÇA DE INFORMAÇÃO & SISTEMAS
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
13
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
A funcionalidade da auditoria de sistemas ajuda a adequar, re-
visar, avaliar e recomendar para o aperfeiçoamento dos controles in-
ternos de alguns dos sistemas de informação da empresa, bem como, 
avaliar a utilização dos recursos humanos, materiais e tecnológicos en-
volvidos nos processamentos ligados a auditoria (SCHIMIDT, 2006). As 
tarefas de auditoria de sistemas, além de utilizar os recursos de infor-
mática para auditar o próprio computador, também enfatizam a auto-
matização de todos os processos de auditoria. Por conseguinte, para 
favorecer o uso de Técnicas de Auditoria Assistidas por Computador 
(TAAC), existem softwares de auditoria.
Conforme Imoniana (2008) e Lyra (2008), esses softwares 
usualmente contribuem na extração, seleção de dados e transações, 
contemplares às discrepâncias e desvios. A Auditoria em Segurança 
da Informação trata de avaliar, de forma sistemática, a segurança do 
sistema de informação de uma empresa. Simplificando, ela procura 
mensurar o quanto o sistema está conforme com uma série de critérios 
estabelecidos.
 Podemos ressaltar, ainda, que a Auditoria em Segurança da 
Informação estabelece uma avaliação com o intuito de garantir que pro-
cessos e infraestrutura sejam atualizados. Destacamos que os auditores 
realizam tarefas como entrevistas, análises de vulnerabilidades, confi-
gurações do sistema operacional, bem como atividades de analisar os 
compartilhamentos de rede e históricos de dados. É preciso atentar-se 
para como as políticas de segurança estão sendo aplicadas em cada 
sistema. Desta forma, ao longo deste capítulo, vamos detalhar mais so-
bre os conceitos importantes da auditoria de segurança de informação.
Conceito de segurança 
A definição de Segurança em um sistema informático é deter-
minada com a aptidão de garantir a prevenção ao acesso e a manipular, 
de modo ilegítimos, a informação ou, bem como, de evitar a interferên-
cia indevida na sua operação normal (ISO/IEC 15408-1, 1999). Esta 
capacidade está baseada em quatro propriedades que devem ser su-
portadas (KENT, 1977; STALLINGS, 1998): 
• confidencialidade: garantindo que as informações estejam 
disponíveis apenas aos usuários autorizados.
• disponibilidade: que deve oferecer garantia sempre ao aces-
so autorizado das informações. De modo que o serviço de um sistema 
não pode ser interrompido por ações ou conhecimento de indivíduos 
não autorizados; 
• integridade: está relacionada à aptidão do sistema de impedir 
http://www.scurra.com.br/blog/politica-de-seguranca-de-ti-em-sua-empresa/
14
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
a corrupção das informações por faltas intencionais ou acidentais; 
• autenticidade: está relacionada a meios que garantem a vali-
dade da informação, tanto dados quanto informações de usuários, num 
dado instante. 
Usualmente, as três primeiras propriedades estão descritas na 
literatura. A autenticidade está inclusa na lista quando existe um cuida-
do quanto aos elementos da comunicação no ambiente. Por conseguin-
te, outra propriedade que também pode fazer parte e que está nessa 
lista é a contabilização (accountíng), de modo que o interesse esteja em 
aplicações como o comércio eletrônico (GOLLMANN, 1999). 
Porém, oferecer garantia de segurança de um sistema é uma 
atividade difícil de ser executada diante das dimensões dos sistemas 
atuais. É preciso, para isso, saber todos os caminhos que podem per-
correr ou disponibilizar uma informação no sistema. Trata-se de um tra-
balho que pode ser extremamente complexo e com custos mais altos do 
que das necessidades reais dos usuários do sistema.
Violações de Segurança 
Salienta-se que as informações em um sistema são determina-
das em três categorias de violações de segurança: 
• disponibilização não autorizada de informação;
• transformação não autorizada de informação;
• negação de serviço.
A primeira categoria de violação engloba a não verificação da 
propriedade de confidencialidade. As violações do tipo “transformação 
não autorizada de informação” atinge contra a integridade das informa-
ções estocadas ou veiculadas no sistema. As violações do tipo “negação 
de serviço”, têm como intuito impedir o acesso legítimo a elementos de 
um usuário autorizado. Isso implica, por exemplo, um recurso não dis-
ponível para usuários legítimos por meio de uma carga computacional 
alta gerada no sentido de tornar o serviço indisponível. Abaixo temos a 
figura 1, com algumas mensagens de alerta a problemas de segurança.
15
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Figura 1: Exemplos de mensagens de violação
Fonte: PIXBAY, 20201.
Todo sistema onde a idealização está fundamentada no com-
partilhamento de recursos, apresenta possibilidades pequenas e não 
esperadas para a transferência de informação entre duas entidades não 
autorizadas a se comunicarem. Na literatura é também usado o concei-
to “ameaça” para determinar ou identificar circunstâncias, condições ou 
eventos que dispõem de algum potencial de violação de segurança.
Entende-se a vulnerabilidade como uma falha ou característica 
indevida que pode ser explorada para concretizar uma ameaça.
1 Imagem disponível em: <https://pixabay.com/pt/illustrations/search/seguran%-
C3%A7a%20da%20informa%C3%A7%C3%A3o>. Acesso em: 28 out. 2020.
16
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Existe uma iniciativa denominada de CVE (Common Vulnera-
bílítíes and Exposures), no centro de segurança da empresa america-
na MITRE, no contexto de determinar uma nomenclatura padronizada 
para cada tipo de vulnerabilidade existente. Diversas empresas reali-
zam uma adaptação de seus produtose bancos de dados segundo os 
termos determinados pelo CVE. Já o ataque é determinado como um 
conjunto de ações direcionadas por uma entidade não autorizada abor-
dando violações de segurança. Existem alguns tipos de ataques que 
são tradicionalmente classificados em ataques passivos e ativos.
• ataque ativo: referente à tentativa de alteração de ativos ou 
afetar sua operação 
• ataque passivo: referente à tentativa de buscar ou realizar a 
utilização de informações oriundas do sistema que não ocasiona ativos 
do sistema.
É importante entender que os ataques passivos ameaçam 
a confidencialidade dos dados. Já os ataques ativos englobam a 
transformação não autorizada, a negação de serviço e a fabricação de 
objetos espúrios a serem adicionados no sistema, ocasionando, como 
consequência, a integridade, a disponibilidade e a autenticidade das 
informações, respectivamente (STALLNGS, 1998).
SEGURANÇA DA INFORMAÇÃO
A Segurança da Informação aborda a proteção dos dados e in-
formações de indivíduos ou organizações e, para isso, contém proprie-
dades como: confidencialidade, integridade e disponibilidade. Outras 
propriedades ainda podem ser levadas em consideração (PARKER, 
2002) como: autenticidade e não repudio. A ISO/IEC 27001(2013) esta-
belece cinco propriedades da segurança da informação: 
• confidencialidade (Confidentiality) - corresponde à informa-
ção que não é acessada ou divulgada a indivíduos, entidades ou pro-
cessos não autorizados;
• integridade (Integrity) - corresponde à habilidade que atesta a 
exatidão, corretude e completude; 
• disponibilidade (Availability) - corresponde à habilidade de es-
17
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
tar acessível e usável sob demanda de uma entidade autorizada; 
• autenticidade (Authenticity) - corresponde à habilidade de que 
uma entidade é o que diz ser. 
• não repúdio (Non-repudiation) - aptidão de comprovar o acon-
tecimento de uma reivindicação de um evento ou ação e suas entidades 
origem, quando uma mensagem é enviada, o destinatário pode consul-
tar que ela realmente foi enviada por determinada origem ou o processo 
inverso.
No intuito de prover ou melhorar a segurança da informação, 
surgiram referências normativas importantes [23], como a família 27000 
da International Organization for Standardization (ISO) - que são espe-
cíficas para gestão da segurança da informação e foram adotadas pela 
Associação Brasileira de Normas Técnicas (ABNT). A norma ABNT ISO/
IEC 27001(2013) (RIGON, 2013) é uma tradução da ISO 27001(2013) 
ela traz a especificação de requisitos para o definição, implementação, 
manutenção e aperfeiçoamento contínuo de um sistema de gestão da 
segurança da informação no contexto da organização.
Por conseguinte, temos as orientações disponibilizadas por es-
tas famílias de ISOs, que permitem a uma organização obter a seguran-
ça da informação adequada possibilitando conseguir a certificação em 
Sistema de Gestão de Segurança da Informação (Information Security 
Management System - ISMS) (DISTERER, 2013). 
A Segurança Cibernética (SegCiber) é um conjunto de ferra-
mentas, políticas, definições, diretrizes de segurança, gerenciamento 
de riscos, ações e melhores práticas, que podem ser utilizadas para 
proteger um cyber espaço (espaço cibernético), este espaço cibernético 
é corresponde a ambientes compostos por ativos como: computadores 
em rede, internet, armazenamento, infraestrutura, serviços de Tecnolo-
gia da Informação (TI), telecomunicações entre outros. 
Nesse sentido, o intuito da Segurança da informação (SI) é ofe-
recer suporte à continuidade dos negócios e redução dos danos aos ne-
gócios, limitando os incidentes de segurança. Outros autores afirmam 
que, para que uma informação seja considera segura, o sistema que o 
administra deve atender aos seguintes critérios:
• não repúdio: não é possível negar uma operação ou serviço 
que transforme ou elabore uma informação; como não é possível negar, 
submeter ou receber de uma informação ou dado.
• legalidade: oferece a garantia a legalidade no âmbito jurídico 
da informação, como, por exemplo, adequar-se a um sistema de legis-
lação; com aspectos das informações que contém valor legal contido 
num processo de comunicação, de modo que com todos os ativos estão 
seguindo cláusulas contratuais ou a legislação nacional ou internacional 
18
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
vigente.
• privacidade: vai além da confidencialidade, pois uma informa-
ção pode ser considerada confidencial, porém não privada. De modo 
que uma informação privada poder ser acessada, lida, modificada ape-
nas pelo seu proprietário, garantindo, inclusive, que a informação não 
seja acessada por outras pessoas (garantindo também confidencialida-
de à informação). Em suma, a privacidade é a habilidade de um usuário 
fazer ações em um sistema sem que seja identificado. 
• auditoria: rastreabilidade das várias etapas de um negócio ou 
processo, fazendo a identificação dos participantes, os locais e horários 
de cada parte.
Taxonomia de ataques Web 
Com o avanço e a utilização da internet pela sociedade para 
vários fins como: comercio, informação, entretenimento, educação en-
tre outros, aumenta-se, de forma paralela, os ataques cibernéticos dire-
cionados a ela, fundamentado, neste sentido, um estudo idealizado por 
(ÁLVAREZ, 2003), que propõe uma taxonomia para ataques na web, 
pois esses ataques cibernéticos explanam protocolos:
• Hyper text Transfer Protocol (HTTP): referente ao protocolo 
de transferência de hipertextos.
• Hyper text Tranfer Protocol Secure (HTTPS): referente ao 
protocolo de transferência de hipertexto seguro. Estes protocolos são 
usados por sistemas web e têm o objetivo de contribuir para o enten-
dimento dos ataques e para a construção de aplicações mais seguras. 
Ponto de entrada: onde o ataque passa. 
• Server Software Web (Software do servidor web): correspon-
de a uma característica dos servidores web e poder esconder involunta-
riamente um conjunto de vulnerabilidades que, ocasionalmente, podem 
ser exploradas. 
• Web Aplication Attacks (Ataque em Aplicações web): corres-
ponde à explanação das vulnerabilidades oriundas do código de um 
aplicativo da web em si, independentemente da tecnologia que foi de-
senvolvida ou da segurança do banco de dados do servidor web no qual 
ele foi estruturado (SCOTT, 2002). De forma que, o surgimento destas 
vulnerabilidades podem ser, por exemplo: erros em formulários HTML, 
scripts lado cliente/ lado servidor (ASP, JSP, PHP etc.). Vulnerabilidade: 
uma fraqueza em um sistema que possibilita ação não autorizada. 
• Code Injection (Injeção de Código): corresponde a inje-
tar, de modo arbitrário, um código malicioso em páginas web, essas 
vulnerabilidades originam-se de falhas em rotinas de validação de 
19
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
entrada no lado do servidor, exemplo: XSS (cross site scripting) e SQL 
Injection.
• Canonicalization (Canonização): é uma vulnerabilidade que 
pode ser ocasionada caso um aplicativo faça uma decisão fundamentada 
em nome (nome de arquivo, nome de pasta, endereço Web), entretanto, 
sem levar em consideração o quesito de que o nome poderia ser ex-
presso de algumas formas (LEBLANC, 2002).
Deste modo, a forma mais comum de explorar as questões de 
canonização é por meio da travessia de diretório, que possibilita a um 
usuário, sem o privilégio correspondente, de visualizar dados fora do 
caminho de destino autêntico. 
• HTML manipulation (Manipulação de HTML): corresponde 
a uma vulnerabilidade que possibilita a um usuário mal intencionado 
transformar dados enviados entre o cliente (web browser) e o servidor 
(aplicação web). Exemplos: Adicionar scripts ou querys em URLs e for-
mulários. 
• Buffer Overflows: corresponde a ataque conhecidos como es-touro de Buffer, que é quando um programa grava a mais dos limites de 
um buffer de tamanho fixo de modo prévio alocado na memória, isto é 
denominado um estouro de buffer. Isto implica, em ler ou escrever, pas-
sando o tamanho total de um buffer, este ataque pode ocasionar com-
portamentos diferentes em programas ou até levar à falha completa. 
• Misconfiguration (Configuração Incorreta): implica se o servi-
dor ou plataforma de uma aplicação Web, não estiverem configurados 
corretamente, podem ocasionar o surgimento de outras vulnerabilida-
des que levariam à exploração do servidor web comprometido. 
3. Serviço: ameaçado pelo ataque. 
• Authentication (Autenticação): um exemplo de ataques pro-
blemáticos para autenticação: fixação de sessão, falsificação de identi-
dade, roubo de credenciais válidas e força bruta (KOLŠEK, 2002). 
• Authorization (Autorização): exemplos de ataques de autori-
zação mais comuns que ignoram o controle de acesso: buffer Overflows 
(estouro de buffer), o ataque de escalada de privilégios (bypass), que 
pode ocasionar no aumento não autorizado no domínio do acesso, po-
dendo, assim, adquirir privilégios de administrador ou root.
• Confidentiality (Confidencialidade): um exemplo desses ata-
ques a essa propriedade de confidencialidade é justamente permitir o 
acesso às informações privadas, dependendo da vulnerabilidade um 
cibercriminoso poderia explorá-la para obter informações. Exemplo: 
ataques de Injeção de código.
20
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
• Integrity (Integridade): os ataques comuns relacionados à in-
tegridade de dados são: manipular registros de banco de dados e o 
Defacement : ataque que faz modificação em uma página web ou des-
figuração. 
• Availability (Disponibilidade): um exemplo desses ataques 
que podem ocasionar indisponibilidade: Denial of Service: ataque de 
negação de serviço (DOS). 
• Auditing (Auditoria): permite ao administrador do sistema a rea-
lização de registros de informações importantes para a segurança, para 
que possam ser observadas em verificações de possíveis violações. 
Análise e processo de vulnerabilidade 
Conforme (OZMENT, 2007) a vulnerabilidade de software é a 
instância de um erro, que pode acarretar a especificação, no desenvol-
ver, ou configurar um software, de tal forma que sua execução pode 
agredir diretivas de segurança explícita ou implícita. Neste sentido, po-
demos entender o raciocínio onde duas instâncias diferentes do mesmo 
erro podem ter vulnerabilidades diferentes ou não, essa resposta oriun-
da do processo de Análise de Vulnerabilidade (AV). 
Segundo LIU, et. al (2012) a análise de Vulnerabilidade trata do 
processo de análise de uma vulnerabilidade descoberta, para realizar a 
identificação de características, propriedades, causas e riscos e relacio-
nados. O processo de Análise de Vulnerabilidade de um software crítico 
é repetido descrito como uma das lacunas em estratégias nacionais e 
internacionais de segurança cibernética (BORAH, 2015).
Por conseguinte, neste processo de Análise de Vulnerabilida-
de, um analista de segurança prima por buscar informações importantes 
sobre o alvo testado para realizar detecção e identificação da vulnerabi-
lidade. A Análise de Vulnerabilidade (AV) é uma estratégia de eficiência 
de segurança cibernética. Especialistas procuram formas de controle, 
para bloquear ataques cibernéticos e uma delas é a (AV) em juntamente 
com a remediação das vulnerabilidades detectadas (SANS, 2009).
Deste modo, a Análise de Vulnerabilidade (AV), promove a 
correção eficiente e mitigação das vulnerabilidades conhecidas em sis-
temas e contribui a minimizar as oportunidades para exploração. De 
acordo (PELTIER, 2003), outro processo que contribuem para a AV é o 
gerenciamento de vulnerabilidades que pode ter os ciclos no processo 
que são: 
• varredura de vulnerabilidade (Vulnerability Scan): correspon-
de ao processo utilizado para identificação das vulnerabilidades que 
atingem ativos do usuário, ou seja, produtos e sistemas.
21
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
• análise de risco (Risk Analysis): corresponde ao processo uti-
lizado para realizar a estimação do impacto e a probabilidade de explo-
rações de vulnerabilidade. O impacto é calculado através da gravidade 
de uma vulnerabilidade, quantidade de sistemas acometidos e a impor-
tância deles. 
• planejamento (Planning): corresponde ao processo utilizado 
para decidir sobre as ações, ou seja, a decisão das ações que devem 
ser adotadas para cada risco. 
• remediação (Remediation): corresponde ao processo utiliza-
do para implementação contra medidas.
Riscos 
Várias abordagens têm surgido para o tratamento de riscos, 
ou para realizar verificação de que modo a prevenção de riscos pode 
impactar na gestão da segurança da informação. De qualquer forma, é 
unânime que o risco deve ser adequado, mensurado e avaliado, promo-
vendo a criação de medidas preventivas direcionadas à sua redução. 
O risco pode ser determinado como as perdas, incluindo, até mesmo, 
aqueles relacionados à perda de vidas humanas, que podem acarretar 
mediante a adoção de determinado curso de ação.
 Pode-se mensurar o risco em termos do custo que pode ser 
envolvido ou pela variância da distribuição de probabilidade de possí-
veis perdas e ganhos associados à alguma opção em particular. Neste 
sentindo, existe um senso comum de que o risco não pode ser integral-
mente eliminado (GUAN et al., 2003). Devido a se ter engajamento em 
tarefas de avaliação e prevenção de riscos, as organizações têm essa 
percepção. Os riscos na segurança de informação nem sempre são tão 
fáceis de prever, porém, na prática, os sistemas devem ter uma estru-
tura de prevenção e detecção para possíveis problemas, ameaças e 
violações futuras.
Alguns riscos que podemos destacar são: 
• phishing: referente a um modo de fraude em que um invasor 
usa um disfarce seja da entidade, pessoa por e-mail ou por outros. O 
invasor utiliza e-mails de phishing para distribuição de links ou anexos 
maliciosos que podem ter por trás a execução de uma série de funções, 
incluindo a retirada de login ou informações de conta das vítimas.
• espionagem industrial: referente à prática secreta e, muitas 
vezes, ilegal de realizar investigação dos concorrentes para adquirir 
uma vantagem comercial. Podendo ter como intuito da investigação um 
segredo comercial.
• roubo de dados: referente à prática de roubar informações 
https://www.hscbrasil.com.br/ataque-via-e-mail/
22
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
armazenadas em computadores, servidores ou outros equipamentos de 
uma vítima, tendo como intuito comprometer a privacidade ou adquirir 
informações confidenciais.
• ransomware: trata-se de um subconjunto de malwares em 
que os dados no computador da vítima são bloqueados, usualmente 
por criptografia, e exigido um pagamento para poder devolver os dados 
descriptografados.
Neste sentindo, temos a norma BS7799, elaborada pelo British 
Standards Institute, que inspirou a norma ISO/IEC 17799, cuja primei-
ra parte foi implementada no Brasil por meio da norma NBR 17799, 
descrevendo os controles de segurança necessários no ambiente orga-
nizacional e preconizando que os sistemas de gestão de segurança da 
informação devem primar pela gestão de riscos a fim de obtê-la.
A avaliação de riscos é estruturada em nove passos, conforme 
GUAN et al., (2003):
1. Característica do sistema;
2. Identificar ameaças;
3. Identificar vulnerabilidades;
4. Analisar os controles utilizados;
5. Determinar a probabilidade dos eventos;
6. Analisar impacto;
7. Determinar riscos;
8. Recomendar controles a utilizar; 
9. Documentar os resultados.
SEGURANÇA DE SISTEMAS
É sabido que toda organização depende de informações para 
fazer seu trabalho e necessita, de modo natural, determinarmecanis-
mos que ofereçam garantia à segurança desse importante recurso. É 
muito comum empresas que, por vários motivos, tiveram significativas 
perdas por causa de problemas de segurança de seus sistemas de in-
formação. Desta forma, é importante conhecer os elementos e ações de 
proteção contra falhas e ameaças. 
Podemos destacar como podem ser as medidas preventivas, 
detectáveis e corretivas.
• Medidas preventivas: referem-se ao impedimento de pro-
blemas. São adquiridas por recursos já instalados que estabelecem 
condutas e posturas éticas que evitam problemas futuros, de modo 
que haja políticas de segurança, instruções, procedimentos de trabalho 
e campanhas de sensibilização aos usuários. Por exemplo: medidas 
https://pt.wikipedia.org/wiki/Criptografia
23
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
preventivas ao uso de antivírus, de configurações vide rede e dos sis-
temas operacionais, o uso de senhas, a realização de cópias de segu-
rança etc.
• Medidas detectáveis: referem-se àquelas que identificam 
o acontecimento de alguma vulnerabilidade nos sistemas de informa-
ção, tentando evitar que uma ameaça se torne um problema maior. Por 
exemplo: os sistemas de detecção de invasores em redes, os avisos de 
segurança, as câmeras de vídeo, alarmes, entre outros. 
• Medidas corretivas: são as medidas voltadas à correção de 
um aspecto danificado, garantindo a restauração e tentado estabelecer, 
pelo menos, um padrão básico de segurança que a organização pre-
cise. Por exemplo: planos de contingência, planos de recuperação de 
desastres, backups, entre outros.
É importante oferecer a garantia da segurança dos sistemas de 
informação, observando com atenção a segurança de dados, a prote-
ção dos hardwares e redes, e o desenvolvimento de planos de recupe-
ração de problemas futuros.
24
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2020 Banca: CESPE/CEBRASPE Órgão: Ministério da Econo-
mia Prova: Tecnologia da Informação - Segurança da Informação e 
Proteção de Dados
Com relação às políticas de auditoria na gestão de segurança 
da informação, julgue o item seguinte, com base no Decreto n.º 
9.637/2018.
O referido decreto estabelece que qualquer auditoria de segurança 
da informação deve ser autorizada pelo gestor de tecnologia da 
informação do órgão.
( ) Certo
( ) Errado
QUESTÃO 2
Ano: 2018 Banca: CFC Órgão: CFC Prova: Auditor Independente - 
BCB
Durante seus exames, o auditor independente pôde concluir que 
a Política de Segurança Cibernética implantada pela instituição fi-
nanceira, cujas demonstrações contábeis são objeto de sua audi-
toria, mantém frágeis controles voltados para a rastreabilidade da 
informação e que, portanto, não estão garantindo a segurança das 
informações sensíveis. Na emissão de sua opinião, o auditor deve:
a) incluir um parágrafo de ênfase que indique o problema, mas sem 
ressalvar sua opinião.
b) desconsiderar esse assunto para fins de emissão de opinião.
c) considerar-se impedido de emitir opinião diante de incerteza relevante.
d) ressalvar sua opinião em razão da mencionada fragilidade de con-
trole.
QUESTÃO 3
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: SEFAZ-RS Provas: 
Auditor do Estado - Bloco I 
A respeito da auditoria de sistemas, julgue os seguintes itens.
I. Para a busca de usuários não autorizados e discrepâncias, um 
dos objetivos da auditoria de sistemas, é suficiente a realização de 
testes esporádicos e aleatórios, o que serve também para verificar 
se o sistema é pleno em segurança.
II. Na auditoria de sistemas, verificam-se a segurança e a acurácia 
das informações geradas pelo sistema de informação, bem como a 
privacidade dos dados e das informações.
25
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
III. São típicos da auditoria de sistemas os testes de segurança do 
sistema de informação contábil e de privacidade dos dados, que 
visam à salvaguarda dos ativos da empresa.
Assinale a opção correta.
a) Apenas o item I está certo.
b) Apenas o item II está certo.
c) Apenas o item III está certo.
d) Apenas os itens I e II estão certos.
e) Apenas os itens II e III estão certos.
QUESTÃO 4
Ano: 2020 Banca: CESPE/CEBRASPE Órgão: Ministério da Econo-
mia Prova: Tecnologia da Informação - Segurança da Informação e 
Proteção de Dados
Com relação às políticas de auditoria na gestão de segurança 
da informação, julgue o item seguinte, com base no Decreto n.º 
9.637/2018. Cabe aos órgãos e às entidades da administração pú-
blica federal, em seu âmbito de atuação, analisar os resultados dos 
trabalhos de auditoria sobre a gestão de segurança da informação.
( ) Certo
( ) Errado
QUESTÃO 5
Ano: 2018 Banca: FCC Órgão: SEFAZ-SC Prova: Auditor-Fiscal da 
Receita Estadual - Tecnologia da Informação (Prova 3)
Para implantar a segurança da Informação na Secretaria da Fazen-
da, um Auditor deverá considerar a tríade de atributos fundamen-
tais, ou base, da segurança da informação, que são:
a) Autenticidade, Confidencialidade e Integridade.
b) Autoridade, Autenticidade e Confidencialidade.
c) Confidencialidade, Integridade e Disponibilidade.
d) Autenticidade, Confidencialidade e Disponibilidade.
e) Integridade, Disponibilidade e Irretratabilidade.
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
Após o estudo ao longo do capítulo, disserte sobre a análise de vulne-
rabilidade.
TREINO INÉDITO
Um dos conceitos estudados pode ser determinado como as perdas, 
26
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
incluindo até mesmo, perdas de vidas humanas, que podem acarretar 
mediante a adoção de determinado curso de ação. Assinale a alternati-
va que corresponde ao conceito descrito acima:
a) Risco.
b) Violação.
c) Vulnerabilidade.
d) Auditoria.
e) Segurança.
NA MÍDIA
AS 5 PRINCIPAIS AMEAÇAS AO SISTEMA DE SEGURANÇA DE UMA 
EMPRESA
Neste artigo destaca cinco ameaças importantes que as empresas ne-
cessitam se atentar como: malware, computação móvel, nuvem, erros 
de usuários e ataques internos. 
Diante de várias ameaças de segurança das empresas não se modi-
ficaram ao longo dos anos, como hackers-malware, entretanto outras 
novas apareceram, como por exemplo possibilitar ao funcionário usar 
seu próprio dispositivo móvel e a computação em Nuvem. 
De modo que mesmo que essas tecnologias ofereçam inúme-
ros benefícios para a empresa, elas trazem consigo seus próprios 
riscos e um série de desafios em relação à segurança. Com ad-
vindo do Mobile e Cloud estão tornando a TI e equipe de segu-
rança reavaliar a estrutura da sua rede e mudar as suas estra-
tégias para garantir que suas informações continuem protegidas 
Fonte: Blog Brasil 
Data: 04/18/2020
Leia a notícia na íntegra: 
AS 5 PRINCIPAIS AMEAÇAS AO SISTEMA DE SEGURANÇA DE UMA 
EMPRESA. Canal Comstor. Disponível em: <https://blogbrasil.coms-
tor.com/bid/385437/as-5-principais-amea-as-ao-sistema-de-seguran-a-
-de-uma-empresa/> Acesso em: 30 out. 2020.
NA PRÁTICA
Lendo o artigo cujo tema é: “Ataques à segurança da informação: co-
nheça as principais ameaça”, que traz os ataques à segurança da in-
formação como problemas muito graves nas empresas. Assim, a área 
está envolvida com a proteção de todos os dados básicos de uma 
https://canaltech.com.br/big-data/O-fenomeno-Big-Data-e-seu-impacto-nos-negocios/
https://canaltech.com.br/big-data/O-fenomeno-Big-Data-e-seu-impacto-nos-negocios/
https://canaltech.com.br/big-data/O-fenomeno-Big-Data-e-seu-impacto-nos-negocios/
https://stefanini.com/pt-br/trends/artigos/como-combater-o-vazamento-de-dados/
27
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
organização, como relatórios, informações de clientes, dados fiscais, 
planejamentos, entre outros. O artigo cita como é importante o bom 
desempenho, e a segurançada informação necessita se fundamentar 
em quatro pilares: disponibilidade, integridade, autenticidade e confi-
dencialidade.
Acesse o link: <https://stefanini.com/pt-br/trends/artigos/ameacas-a-
-seguranca-da-informacao/>. Acesso em: 30 out. 2020.
PARA SABER MAIS
Filmes sobre o assunto: Privacidade Hackeada (2019)
Privacidade Hackeada (Análise) | Documentário | Netflix
Disponível em: <https://www.youtube.com/watch?v=YZAE9DLIfvk> 
Acesso em: 30 out. 2020.
https://www.ecommercebrasil.com.br/artigos/como-usar-o-big-data-na-pratica/
https://www.ecommercebrasil.com.br/artigos/como-usar-o-big-data-na-pratica/
28
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
No primeiro capítulo foram apresentados os conceitos gerais 
sobre a segurança da informação e sobre auditorias na área. Assim, 
o segundo capítulo apresentará conceitos complementares voltados à 
aplicabilidade de técnicas e ferramentas em prol da segurança dos da-
dos. Neste sentido, os tópicos seguintes abordarão, respectivamente, 
os princípios que motivam a segurança de dados e quais os recursos 
que podem ser usados para tanto, bem como o uso de criptografia para 
dificultar o roubo de dados transitando em meios como a internet.
RETOMANDO OS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
A computação como ciência teve seu início com o uso de má-
quinas capazes de processar informações inseridas e apresentar re-
sultados interpretáveis para os operadores humanos, com pouco ou 
nenhum recurso de armazenamento (persistência) dos dados nas má-
PRINCÍPIOS 
COMPLEMENTARES DE SI
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
29
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
quinas. Com o avanço da tecnologia, os computadores se tornaram ca-
pazes de realizar um número cada vez maior de cálculos, bem como, 
gerar cada vez mais dados para serem analisados, pelos quais, tanto 
os algoritmos como os dados resultantes, eram registrados em grandes 
livros.
Uma das primeiras mídias utilizadas para armazenar, de forma 
persistente, os algoritmos e seus resultados, foi o uso de cartões perfu-
rados, permitindo, assim, que estes dados pudessem ser replicados e 
transportados, fato importante para a crescente integração de equipes 
distribuídas em diferentes locais, como universidades, bases militares e 
empresas. Todavia, uma revolução nas comunicações surgiu no ano de 
1969, a primeira mensagem enviada através do protótipo do que viria a 
ser a internet, a rede que conecta os diversos dispositivos computacio-
nais ao redor do globo terrestre.
Apesar de rudimentar, as primeiras redes não eram acessíveis 
ao público geral, sendo voltadas para fins militares e acadêmicos, co-
nectando diversas universidades e instituições militares nos Estados 
Unidos da América, fator que não durou muitas décadas, uma vez que 
as empresas viram o potencial do uso das redes de computadores para 
troca de informações úteis. Apenas por volta da década de 90, do sécu-
lo XX, a internet começou, de fato, a ser usada para fins comerciais, em 
especial, permitindo que usuários gerais pudessem ter acesso às redes, 
bem como, hospedar seus próprios sites.
Neste período os computadores pessoais com maior poder de 
processamento e com dispositivos de armazenamento persistente de 
dados como os Hard Disk Drive e Floppy Disk já estavam inundando as 
empresas e as residências em diversos países, inclusive no Brasil, onde 
o eCommerce já dava os primeiros passos. Neste sentido, a troca de 
dados pela internet para fins comerciais passou a ser frutífero, porém, 
arriscado meio de oportunidades para empresas e pessoas, trazendo 
comodidade e facilidade, que viriam a moldar a cultura e formas de se 
relacionar nas décadas seguintes.
Note que uma transação comercial envolve o envio de dados 
dos clientes para que a empresa possa processar corretamente os pe-
didos segundos as regras tributárias vigentes, tornando esses dados 
como CPF, nome, endereço, telefone, dados bancários, entre outros, 
dados sensíveis a roubos ou distribuição não concedida. Todavia, a luta 
para manter os dados seguros é anterior ao eCommerce, e podemos 
destacar a luta constante para mascarar as trocas de informações por 
rádio, escritas e por telefone ocorridas durante guerras, especialmente 
na segunda guerra mundial.
Desta forma, pesquisas voltadas para a segurança de dados 
30
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
já eram realizadas antes mesmo da popularização dos computadores 
pessoais e da internet, porém, é fato que essa popularização contribuiu 
fortemente para o aumento dos incidentes ligados à tentativa de roubo 
ou visualização indevida de dados.
Um dos casos de uso indevido de dados foi a invasão do sis-
tema de distribuição da indústria de refrigerantes Pepsi-Cola, onde dois 
estudantes canadenses, após se infiltrar no sistema, distribuíram entre-
gas de refrigerantes para as casas de amigos e parentes, atentando o 
mundo para a necessidade de criar meios de proteção para a informa-
ção computacional (OLIVEIRA et al., 2015, p. 38).
No Brasil, o grupo CERT.br, mantido pelo Comitê Gestor da In-
ternet no Brasil através do NIC.br, registra os casos de tentativas e ocor-
rências de violação de informação através de meios computacionais, 
registrando quantitativamente o número de incidências anuais, como 
pode ser visto na Figura 3.
Figura 3 - Total de incidentes reportados ao CERT.br por ano
Fonte: CERT.br, 20202.
2 Imagem disponível em: <https://www.cert.br/stats/incidentes/>. Acesso em: 29 out. 
2020.
31
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Neste sentido esforços globais em prol da segurança da infor-
mação têm sido criados, especificamente através de normas de segu-
rança. Como citado no primeiro capítulo, os pilares da segurança da 
informação são (OLIVEIRA et al., 2015, p. 39):
• confidencialidade: garante que os dados não sejam acessa-
dos indevidamente, garantindo também o sigilo da informação;
• integridade: não permite que a informação seja modificada de 
maneira indevida, garantindo também a inalterabilidade dos dados por 
ente não autorizado;
• disponibilidade: um dos principais pilares producente, depen-
dente dos demais, uma vez que é responsável por garantir que os da-
dos estarão de forma perene disponíveis para pessoas autorizadas, ou 
seja, ao se garantir a confidencialidade e integridade, todos os usuários 
autorizados poderão usar livremente e de forma continuada as informa-
ções.
A Figura 4 apresenta um esquema geral da chamada tríade da 
segurança da informação.
Figura 4 - Tríade da segurança da informação
Fonte: OLIVEIRA et al., 2015, p. 393.
Estes fundamentos ligados à segurança da informação co-
meçaram a ser moldados por volta de 1987, com o surgimento de pa-
drões de boas práticas para segurança dos dados pelo Departamento 
de Indústria e Comércio (DTI – Departament of Trade and Industry’s) 
na Inglaterra, que, em 1995 pavimentou o surgimento de uma norma 
geral britânica chama British Standard BS7799:1995 e posteriormente 
3 Imagem disponível em: OLIVEIRA et al. Aplicação das normas ABNT NBR ISO/IEC 
27001 e ABNT NBR ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas da 
Informação e Gestão Tecnológica. Vol. 6, 2015. 
32
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
BS7799-2:2002 (OLIVEIRA et al., 2015, p. 39). Estas última normas, 
BS7799-2:2002, podem ser entendidas como uma certificação, conten-
do em seus aspectos gerais outras normas de governança e gestão, 
fato que motivou a International Organization for Standardization (ISO) 
a homologar a norma inglesa através ISO/IEC 17799, que, atualmente, 
é conhecida como a norma ISO/IEC 27002.
No Brasil,a ABNT (Associação Brasileira de Normas Técnicas) 
possui o padrão ABNT NBR ISO/IEC 27001, chamado apenas de ISO/
IEC 27001, que é uma tradução da norma ISO/IEC 27002. O padrão 
brasileiro segue o conceito da PDCA (Plan-Do-Check-Act), ou seja, um 
ciclo de vida baseado em quatro estágios para o planejamento do Sis-
tema de Gestão da Segurança da Informação (SGSI): 
• planejar: é uma fase de planejamento baseado nos interes-
ses da empresa ou projeto independente, seguindo os conjuntos de cri-
térios definidos pelos objetivos e métricas do controle de riscos e gestão 
de segurança de dados;
• fazer: com base nos conceitos desenvolvidos na fase de pla-
nejamento, esta fase objetiva implementá-los, criando os controles ne-
cessários para o acesso aos dados, bem como treinamento geral das 
práticas de segurança da informação;
• checar: identifica se os conceitos implementados na fase an-
terior estão sendo seguidos, permitindo que diretrizes de ajustes sejam 
criadas com base em auditorias internas e/ou externas;
• agir: objetiva manter de forma continuada a melhoria dos ser-
viços de segurança da informação com base nos resultados obtidos nas 
fases anteriores, executando as novas diretrizes e preparando o novo 
ciclo que sucederá o atual. 
33
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
A Figura 5 apresenta um esquema geral do ciclo de vida PDCA.
Figura 5 - Ciclo de vida PDCA
Fonte: OLIVEIRA et al., 2015, p. 414.
Vantagens e desvantagens na aplicação da Segurança da informação
Como apresentado na seção anterior, com o passar dos anos 
e a maior acessibilidade dos aparelhos computacionais, bem como a 
maior facilidade de integração e acesso à internet, o número de dispo-
sitivos conectados cresceu abruptamente, elevando consigo o risco de 
perda de integridade dos dados. Segundo Sêmola (2003, p. 4), o risco 
pode ser representado por um gráfico, em que o eixo X é referente ao 
nível de conectividade das aplicações, o eixo Y o risco de quebra de 
integridade dos dados, e os pontos no gráfico as diferentes aplicações 
dos sistemas.
Neste sentido, aplicações locais com bases de dados não inte-
gradas com qualquer rede de computadores, bem como as redes cor-
porativas, possuem risco muito inferior quando comparadas às aplica-
ções como ao eCommerce, no qual dados sensíveis são transferidos 
por meio da rede mundial de computadores, fato que pode ser visto na 
Figura 6 a seguir.
4 Imagem disponível em: OLIVEIRA et al. Aplicação das normas ABNT NBR ISO/IEC 
27001 e ABNT NBR ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas da 
Informação e Gestão Tecnológica. Vol. 6, 2015.
34
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Figura 6 -Risco Vs Conectividade
Fonte: Adaptado de SÊMOLA, 2003, p. 45.
Neste sentido, a implantação dos conceitos de segurança da 
informação deve levar em conta conjuntos de vantagens e desvanta-
gens direcionadas à aplicação que o sistema irá realizar. Entre as prin-
cipais desvantagens podem ser destacados o custo e o tempo, pelo 
qual derivam outras dificuldades ligadas à implantação das normas de 
segurança e gestão de informação. O custo pode estar associado à 
compra de equipamentos, reformas físicas das instalações para ade-
quação, contratação e/ou treinamento de profissionais, contratação de 
serviços, participação em conferências, entre outros.
No sentido dos custos, tais modificações na empresa resultam 
no uso de tempo para se adequar aos conceitos citados, fator que mui-
tas vezes pode acarretar custos adicionais e perda temporária de produ-
tividade, bem como, parada total das operações vigentes. Ao se aplicar 
conceitos da norma ISO/IEC 27002, especificamente do ciclo de vida 
PDCA, a fase de planejamento deve procurar identificar e, se possível, 
criar meios para sanar ou reduzir estes custos associados à implan-
tação da segurança da informação. Todavia, o conjunto de benefícios 
tendem a agregar alto valor aos produtos e negócios, sendo as princi-
pais vantagens no uso da segurança da informação listadas a seguir. 
Sêmola (Gestão da Segurança da Informação: Uma visão executiva):
5 Imagem disponível em: SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma 
visão executiva. Rio de Janeiro: Elsevier, 2003.
35
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
• viabiliza o surgimento de novas oportunidades de negócios e 
receitas;
• tende a aumentar o valuation da empresa e suas ações;
• tende a aumentar o market-share e o share of mind;
• cria uma visão de segurança e modernidade do negócio;
• permite que os negócios se adaptem mais facilmente às mu-
danças;
• reduz os riscos ligados aos produtos/serviços, bem como au-
menta a satisfação dos clientes;
• tende a aumentar a disponibilidade dos serviços e produtos 
oferecidos;
• tende a reduzir os custos ocasionados pelo comprometimento 
dos dados;
• tende a aumentar a lucratividade por redução dos desperdí-
cios e confiabilidade dos clientes, entre outros.
Perceba que, apesar de um grande conjunto de benefícios, 
ressalta-se que deve ser feito um estudo prévio para avaliar os impactos 
e real necessidade da aplicação dos conceitos de SI, uma vez que uma 
rede local ou dados e sistemas rodando apenas em um computador, 
precisam de técnicas específicas para preservação da integridade da 
informação, não sendo necessário criar uma infraestrutura tão comple-
xa quanto para um sistema de eCommerce. 
Os dados para uma empresa são considerados um importante 
ativo, ou seja, permite a geração de renda às empresas e, por isso, 
precisa ser devidamente protegido e gerenciado, cabendo aos respon-
sáveis por estes dados aplicarem conceitos corretos e atuais para a 
segurança da informação no negócio.
Porém, é recomendado mesmo para sistemas locais, aplicar 
técnicas de segurança da informação, uma vez que os protocolos e 
padrões permitiram maior proveito dos dados e reduzirão perdas oca-
sionais geradas por descuidos ou má fé de terceiros.
36
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Meios básicos ligados à segurança da informação
Esta seção irá introduzir conceitos fundamentais de proteção 
dos dados, tomando como exemplo o uso de computadores ligados à 
internet. Desta forma, uma primeira solução aplicada na segurança dos 
dados são ferramentas de segurança de rede que realizam o monito-
ramento do tráfego de dados, chamadas popularmente de firewall, as 
paredes de fogo. Através do uso de um firewall corretamente configura-
do, apenas dados reconhecidos como não maliciosos poderão trafegar 
entre a máquina e a internet, rejeitando qualquer requisição ou pacote 
considerado inseguro.
Atualmente, os sistemas operacionais contam com sistemas de 
firewall integrados, apresentando relativo sucesso na defesa dos dados, 
porém, é incentivado aos usuários contratarem serviços de firewall de 
empresas que mantenham taxas de atualização contra novos invasores 
com certa frequência, uma vez que todos os dias novos softwares mali-
ciosos são desenvolvidos, tornando sistemas antes robustos de análise 
de fluxo de dados, obsoletos da noite para o dia.
Outra ferramenta útil na defesa dos dados é uso da arquitetura 
em camadas. Assim, cada camada seria responsável por um tipo de 
processamento no meio onde a comunicação se dará. O próprio concei-
to do firewall citado é um exemplo do uso de uma camada de seguran-
ça sobre a comunicação, todavia, existem aplicações gratuitas e pagas 
que inserem mais camadas de proteção, aumentando a eficiência da 
segurança das informações contidas nas bases de dados e trafegando 
nas redes.
Outro conceito fundamental para o tráfego e alocação segura 
de informação é a criptografia, uma vez que o uso desta antiga ferra-
menta permite que os dados sejam mascarados através de formatos 
diferentes dos originaisatravés de técnicas geralmente baseadas em 
operações matemáticas. Existem diferentes tecnologias de criptografia, 
algumas permitem que o uso de chaves ou códigos agregados, bem 
como outras técnicas, sejam utilizados para recuperar a informação ori-
ginal criptografada. 
Outros, por sua vez, não permitem a recuperação da mensagem 
original, como algumas técnicas de criptografia de senhas, que realizam 
o processo de criptografar as requisições e testá-las com os dados 
presentes nas bases de dados, sendo uma técnica bastante usada em 
sistemas de acesso, mantendo os dados na base de dados mascarados, 
fator que reduz as chances de roubo de dados caso a base seja violada. 
Outro conceito importante é o uso de frameworks de governança como 
CobiT (Control Objectives for Information and Related Technology) e 
37
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
ItIL, que implementam, além de outras características, a disponibilida-
de, a confidencialidade e a integridade da informação.
Principais características e métodos dos ataques à informação
Existem diversas formas de ataques computacionais, todavia, 
serão apresentadas cinco, sendo as mais comuns de serem aplicadas e 
com maior número de vítimas: a engenharia social, força bruta, phishing, 
acesso remoto e negação de serviço (Denial of Service - DoS).
O ataque por engenharia social é um dos mais simples e usa-
dos por pessoas com intenções maliciosas. Ocorre quando um invasor 
procura compreender conceitos da dinâmica das empresas à procura 
de falhas na segurança, utilizando estratégias de comunicação como 
se passar por funcionários e requisitando alteração ou fornecimento de 
dados de acesso, fato que pode ocorrer caso não exista uma política 
baseada em protocolos para recuperação e alteração dos dados cadas-
trados.
Ataque por força bruta também possui um conceito simples, 
todavia, requer, como o nome diz, o uso de estratégias mais diretas e 
exaustivas para conseguir o acesso a algum sistema. Neste tipo de ata-
que os invasores procurarão descobrir por tentativa e erro os dados de 
acesso como login e senha, executando variações até conseguir aces-
sar os dados pretendidos. Além do exposto, muitas vezes é utilizado 
algoritmos de geração de senhas com base em regras procedurais, se-
quenciais, entre outras, para realizar o máximo possível de tentativas de 
acesso. Uma forma de defesa contra esse tipo de ataque é o uso de ca-
madas de contenção de tentativas não humanas, proibição de criação 
de senhas pouco complexas e configuração do firewall contra repetidas 
tentativas erradas de um mesmo usuário, gerando desabilitação para o 
login se conectar por tempo determinado.
A técnica de phishing, pescaria, procura usar conceitos ligados 
à engenharia social para obter dados dos usuários, por exemplo, atra-
vés do envio de e-mail ou ligações se passando por serviços conheci-
dos como bancos e provedores de internet pedindo dados considerados 
sensíveis, como: CPF, senhas, dados bancários, entre outros. A fim de 
reduzir este tipo de golpe, a maior parte das empresas não pedem da-
dos bancários e/ou pessoais para tratamento de problemas identifica-
dos pela própria empresa. Assim, a melhor forma de se proteger é ao 
receber mensagens ou ligações suspeitas, procurar os principais meios 
de comunicação oficial das empresas e reportar o ocorrido para identi-
ficação de sua natureza.
Ataques por acesso remoto procuram fragilidades na configu-
38
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
ração de aplicações de acesso remoto às máquinas, permitindo que 
usuários mal intencionados tenham acesso irrestrito aos dados na má-
quina invadida.A principal forma de prevenção é procurar evitar o uso 
destas aplicações ou procurar pessoas capacitadas para realizar a cor-
reta configuração em caso de desconhecimento de como fazê-lo.
Ataques DoS são procedimentos que procuram sobrecarregar 
os servidores com quantidades elevadas de requisições, ocasionando 
na chamada queda dos serviços por incapacidade de responder a 
quantidade de dados requisitantes. Alguns códigos maliciosos podem 
ser replicados na internet para usuários desatentos que são infectados 
e passam de forma mascarada a realizar requisições para um endereço 
comum, aumentando a quantidade de requisições, bem como de suas 
origens.
Existem outras formas de realizar ataques desta natureza e a 
principal forma de defesa contra os DoS é a configuração do firewall, 
pelo qual poderá identificar esse tipo de ataque e bloqueá-lo. Além dos 
cinco tipos principais de ataques citados, existem conjuntos códigos 
maliciosos utilizados nos ataques citados, sendo os principais (CERT.
br, 2012, págs. 24-27):
• vírus: são códigos maliciosos que possuem a habilidade de 
se multiplicarem e infectarem outros programas, passando a fazer parte 
destes. Assim, quando se executa um arquivo infectado, ele passa a 
infectar outros arquivos em um ciclo contínuo, gerando, além deste pro-
blema, mau funcionamento do equipamento e, em alguns casos, roubo 
de informação. Atualmente, as principais origens de vírus são sites ma-
liciosos e uso de periféricos.
• worm: até certo ponto as características dos vírus são seme-
lhantes aos dos worms, porém, um worm tem o potencial de enviar pela 
rede cópias próprias a fim de infectar outras máquinas, gerando conse-
quentemente problemas de conectividade além das funções maliciosas 
como roubo de dados, problemas no desempenho das máquinas, entre 
outros.
• spyware: este tipo de sistema pode ser usado de forma bené-
fica ou para fins escusos. O objetivo do spyware é monitorar uma rede 
e enviar informações capturadas durante as comunicações. Worms, ví-
rus, entre outros, podem também realizar a instalação de spywares para 
roubo dos dados que trafegam na rede.
• trojan: também conhecido como cavalos de Troia, são siste-
mas que executam tarefas ao qual se propõem, porém, de forma oculta, 
executam tarefas maliciosas. Estes códigos maliciosos também podem 
instalar ou executar funções maliciosas, permitindo, por exemplo, ata-
ques do tipo DoS a terceiros.
39
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
• rootkit: são códigos capazes de mascarar o acesso malicioso, 
descobrir e inserir vulnerabilidades nas máquinas, capturar dados de 
tráfego, entre outras funções, geralmente sendo executados mediante 
conjuntos de aplicações maliciosas.
• backdoor: são mecanismos instalados para permitir que um 
invasor possa acessar novamente a máquina após uma invasão, geral-
mente com este acesso mascarado por um rootkit.
Criptografia
Este capítulo tratará especificamente sobre os conceitos fun-
damentais de criptografia, permitindo a compreensão e aplicabilidade 
desta técnica de ocultação de informações para usuários não permi-
tidos. Neste sentido, primeiramente, será abordado um histórico geral 
das aplicações de criptografia, fato que retomará certos aspectos já 
apresentados no primeiro capítulo desta unidade, porém, de forma ex-
clusivamente complementar e foca na criptografia.
Em seguida, será apresentado os conceitos básicos que fun-
damentam as técnicas de modificação dos dados para o âmbito de troca 
ou armazenamento, bem como, algumas das técnicas mais conhecidas 
de criptografias atuais.
História e conceitos gerais de criptografia
O processo de ocultar mensagens vem evoluindo há milênios, 
com um dos primeiros exemplares documentados de modificação das 
letras a fim de dificultar/impedir sua compreensão por pessoas não 
autorizadas é datada do século 1 antes de Cristo, pelo qual uma das 
principais figuras históricas da humanidade, Júlio César (100 a.C. – 44 
a.C.), procurou ocultar suas mensagens trocadas com unidades espa-
lhadas pela Europa alterando as letras pelas suas respectivas próxi-
mas. Assim, o texto ESTUDAR segundo a codificação da criptografia de 
Césarresultaria no seguinte texto: FTVEBS.
Um dos grandes problemas encontrado por César para o envio 
de suas mensagens criptografadas é a simplicidade para descobrir o 
padrão utilizado para codificar a mensagem, permitindo a sua recupera-
ção com pouco esforço. Segundo Coutinho (2015, p. 3), uma estratégia 
usada a quebra de criptografias baseadas na troca de elementos gráfi-
cos da língua corrente é a análise da frequência em que cada caractere 
aparece na mensagem, especialmente pelo fato de as línguas, em ge-
ral, apresentarem frequências bem definidas de aparecimento dos ca-
racteres em suas palavras. A Tabela 1 apresenta a frequência média em 
40
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
que cada letra do alfabeto da língua portuguesa aparece nas palavras.
Tabela 1 - Frequência de aparecimentos dos caracteres da língua portuguesa
Letra % Letra % Letra % Letra %
A 14.64% G 1.30% N 5.05% T 4.34%
B 1.04% H 1.28% O 10.73% U 4.64%
C 3.88% I 6.18% P 2.52% V 1.70%
D 4.10% J 0.40% Q 1.20% X 0.21%
E 12.57% L 2.78% R 6.53% Z 0.47%
F 1.02% M 4.75% S 7.81%
Fonte: COUTINHO, 2015, p. 3.
Com base na tabela de frequências é possível conseguir que-
brar criptografias baseadas em estratégias de modificação dos carac-
teres por outros elementos gráficos, algo que pode ser feito com rela-
tiva facilidade através do uso de algoritmos especializados em contar 
e substituir os caracteres. Ainda, segundo Coutinho (2015, p. 4), uma 
forma de dificultar a quebra do código através de alterações nos sím-
bolos, é a chamada codificação em blocos, utilizando um conjunto de 
passos pré-definidos para a construção das mensagens encriptadas. 
Os passos para a codificação em blocos são os seguintes:
• primeiro passo: remover os espaços entre os caracteres da 
mensagem e em caso de número ímpar, deve-se inserir a letra A ao final 
da mensagem;
• segundo passo: conceituado pela subdivisão em blocos de 
dois caracteres consecutivos;
• terceiro passo: os elementos de cada bloco trocam de lugar 
uns com os outros;
• quarto passo: deve ser executado através de permutação. 
Assim, dividem-se os elementos em blocos em dois grupos, partidos ao 
meio, ou seja, se existirem 10 blocos, 5 ficaram no lado esquerdo e 5 no 
lado direito. Em seguida é feita a permutação dos elementos ímpares da 
esquerda para direita dos blocos do lado esquerdo com os elementos 
respectivamente opostos em posição do lado direito;
• Quinto passo: remover os espaços e unificar todos os blocos.
Desta forma, procurando exemplificar o modelo da codificação 
em blocos, utilizemos a seguinte mensagem:
“EU ADORO ESTUDAR COMPUTAÇÃO”
Com base em cada passo teríamos os seguintes resultados:
Primeiro passo: EUADOROESTUDARCOMPUTAÇÃO
41
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Segundo passo: EU AD OR OE ST UD AR CO MP UT AÇ ÃO
Terceiro passo: UE DA RO OE TS DU RA OC PM TU ÇA OÃ
Quarto passo: OÃ DA TU OE OC DU RA TS PM RO ÇA EU
Quinto passo: OÃDATUOEOCDURATSPMROÇAEU
Estes dois modelos são exemplos de criptografias simples, 
com o segundo sendo relativamente mais eficiente que o primeiro, uma 
vez que será preciso que o profissional responsável pela quebra da 
criptografia, descubra as regras aplicadas. Todavia, mesmo com a com-
plexidade que o segundo modelo possa gerar para ser quebrado por um 
humano, um computador seria capaz de realizar a descriptografia com 
relativa facilidade e em tempo relativamente curto, em especial quando 
comparado com um humano. Neste sentido, estratégias mais eficientes 
precisaram ser desenvolvidas para a computação aplicadas com base 
em conceitos matemático.
Entre as principais aplicações de criptografias estão as basea-
das em chaves públicas e privadas, bem como, na criptografia recupe-
rável e não recuperável.
Vale ressaltar que qualquer mensagem enviada ou recebida 
por um computador, mesmo que contenha símbolos iguais aos presen-
tes na escrita manual, não passam de números, ou seja, matemática 
aplicada.
A criptografia baseada em chave pública são códigos que apli-
cam o conceito de fácil de fazer, difícil de desfazer, ou seja, é possível 
de forma fácil aplicar o algoritmo para a criação das chamadas hash 
(resultado da mensagem criptografada), todavia, o custo computacional 
para descobrir o valor original só pode ser feito por tentativa e erro, sen-
do considerado um problema NP-completo.
O termo criptografia de chave pública significa que o algoritmo 
de codificação é de conhecimento público, todavia, o custo de descrip-
tografia é tão elevado e possui tempo tão elevado para ser quebrado, 
que desencoraja possíveis invasores de procurarem quebrar as infor-
mações em hash. De forma geral, a criptografia por chave pública é 
conhecida como assimétrica e não permite a decodificação das rashs 
criadas. Por sua vez, o uso de chaves privadas está ligado à criptografia 
42
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
simétrica, onde existem duas chaves, a chave pública para criptogra-
far, a informação e uma privada para descriptografar. Assim, a chave 
privada deve ser mantida em segurança no lado receptor da mensa-
gem, garantindo que, mesmo que a mensagem seja capturada durante 
a transmissão da comunicação, os dados não serão violados.
43
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2016 Banca: FCC Órgão: TRT - 23ª REGIÃO (MT) Prova: 
Técnico Judiciário - Tecnologia da Informação
Para implantar o processo de assinatura digital no Tribunal, um Téc-
nico deve escolher, dentre os vários algoritmos de criptografia, o
a) RSA.
b) AES.
c) RC5.
d) DES.
e) IDEA.
QUESTÃO 2
Ano: 2016 Banca: FCC Órgão: TRT - 23ª REGIÃO (MT) Prova: Ana-
lista Judiciário - Tecnologia da Informação
O Advanced Encryption Standard − AES é largamente utilizado 
como recurso de criptografia para os sistemas computacionais 
atuais. O AES
a) é um esquema de criptografia de chave pública.
b) gera a chave por meio do algoritmo de Euclides estendido.
c) utiliza a função de hash sobre os blocos de dados.
d) utiliza chave criptográfica com 152 bits de comprimento.
e) realiza a criptografia em blocos de 128 bits.
QUESTÃO 3
Ano: 2016 Banca: CESPE/CEBRASPE Órgão: FUNPRESP EXE Pro-
va: Especialista - Tecnologia da Informação
Julgue o item seguinte, a respeito da criptografia simétrica e assi-
métrica.
Na criptografia assimétrica, a chave pública deve apresentar tama-
nho variado, e a chave privada, tamanho fixo com, no mínimo, 512 
bites.
( ) Certo
( ) Errado
QUESTÃO 4
Ano: 2016 Banca: CESPE / CEBRASPE Órgão: FUNPRESP-
-EXE Prova: CESPE - 2016 - FUNPRESP-EXE - Especialista - Tecno-
logia da Informação
Julgue o item seguinte, a respeito da criptografia simétrica e assi-
métrica.
https://www.qconcursos.com/questoes-de-concursos/bancas/fcc
https://www.qconcursos.com/questoes-de-concursos/institutos/trt-23-regiao-mt
https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-tecnico-judiciario-tecnologia-da-informacao
https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-tecnico-judiciario-tecnologia-da-informacao
https://www.qconcursos.com/questoes-de-concursos/bancas/fcc
https://www.qconcursos.com/questoes-de-concursos/institutos/trt-23-regiao-mt
https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-analista-judiciario-tecnologia-da-informacao
https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-analista-judiciario-tecnologia-da-informacao
https://www.qconcursos.com/questoes-de-concursos/bancas/cespe-cebraspe
https://www.qconcursos.com/questoes-de-concursos/institutos/funpresp-exe
https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-funpresp-exe-especialista-tecnologia-da-informacao
https://www.qconcursos.com/questoes-de-concursos/bancas/cespe-cebraspehttps://www.qconcursos.com/questoes-de-concursos/institutos/funpresp-exe
https://www.qconcursos.com/questoes-de-concursos/institutos/funpresp-exe
https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-funpresp-exe-especialista-tecnologia-da-informacao
https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-funpresp-exe-especialista-tecnologia-da-informacao
44
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Na criptografia simétrica com uso do modo de cifra em bloco (CBC), 
cada bloco cifrado pode utilizar a mesma chave.
( ) Certo
( ) Errado
QUESTÃO 5
Ano: 2016 Banca: CESPE / CEBRASPE Órgão: TRT - 8ª Região (PA 
e AP) Prova: Técnico Judiciário - Tecnologia da Informação
Assinale a opção que apresenta o algoritmo de chave assimétri-
ca cujo funcionamento consiste na multiplicação de dois números 
primos muito grandes para a geração de um terceiro número.
a) RSA (Rivest, Shamir e Adleman)
b) Blowfish
c) DES (data encryption standard)
d) IDEA (international data encryption algorithm)
e) RC (Ron’s code ou Rivest cipher)
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
Com base em seus conhecimentos sobre criptografia adquiridos no se-
gundo capítulo, avalie a mensagem criptografada, recupere a mensa-
gem original e identifique o padrão usado para criptografar a mensagem. 
DICA 1: a mensagem está criptografada com alteração de símbolos, 
assim, use o mapa de frequência de letras em português disponível na 
seção 2.1.5 para realizar o procedimento de descriptografia.
DICA 2: para simplificar a descriptografia, elementos gráficos como si-
nais e vírgulas foram removidos do texto.
ECK ECK DINCQ ECK ECK DINCQ
CSXK PC OKPJC OCQ
PCQ ECK PCQ PCQ ECK PCQ PCQ ECK PCQ 
ECK PC TXC FQ UCDCQ
ECK ECK DINCQ ECK ECK DINCQ
CSXK PC OKPJC OCQ
PCQ ZQX NC PCQ ZQX NC PCQ ZQX NC
VGPJQ OGFQ FG CRCPJCT
TREINO INÉDITO
Diversos softwares maliciosos infestam os dispositivos computacionais 
por todo o mundo, trazendo prejuízos diversos, como perda e roubo de 
dados, problemas de conectividade e defeitos físicos nas máquinas. O 
software capaz de se multiplicar pela rede e infectar outras máquinas 
https://www.qconcursos.com/questoes-de-concursos/bancas/cespe-cebraspe
https://www.qconcursos.com/questoes-de-concursos/institutos/trt-8-regiao-pa-e-ap
https://www.qconcursos.com/questoes-de-concursos/institutos/trt-8-regiao-pa-e-ap
https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-trt-8-regiao-pa-e-ap-tecnico-judiciario-tecnologia-da-informacao
45
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
conectadas chama-se:
a) Trojan.
b) Worm.
c) Virus.
d) Backdoor.
e) Rootkit.
NA MÍDIA
WHATSAPP AVISARÁ USUÁRIOS QUANDO UMA CONVERSA NÃO 
ESTIVER CRIPTOGRAFADA
Na quinta-feira (22), o WhatsApp revelou seus planos para os usuários 
da versão Business do serviço. Dentre as novidades, está a possibili-
dade de permitir que um cliente compre um produto diretamente pelo 
mensageiro. No entanto, uma funcionalidade de segurança importante 
passou despercebida durante os anúncios – não sendo citada nem no 
comunicado oficial revelado pela plataforma.
Trata-se de um aviso indicando que a conversa não apresenta a cripto-
grafia de ponta-a-ponta - que se tornou uma funcionalidade padrão do 
mensageiro desde que foi implementada - e que as mensagens estão 
armazenadas em outro lugar que não seja o servidor do WhatsApp. A 
revelação foi feita por Matt Idema, diretor de operações do aplicativo.
Esse aviso será exibido caso a empresa opte por utilizar o novo servi-
ço de hospedagem gratuito que deve ser disponibilizado pela empresa 
para os clientes Business. Com isso, os usuários serão notificados caso 
conversem com uma conta que armazena históricos das conversas em 
outro lugar, fora dos servidores do WhatsApp.
Mesmo assim, Idema reitera que, mesmo com as empresas aderindo ao 
novo serviço de hospedagem, os dados armazenados em seus servido-
res não serão usados para outros fins comerciais.
Fonte: Olhar digital.
Data: 23/10/2020
Leia a notícia na íntegra: NOGUEIRA, Luiz. WhatsApp avisará usuá-
rios quando uma conversa não estiver criptografada. Olhar Digital, 23 
out. 2020. Disponível em: <https://olhardigital.com.br/fique_seguro/noti-
cia/whatsapp-avisara-usuarios-quando-
uma-conversa-nao-estiver-criptografada/109172>. Acesso em: 30 out. 
2020.
46
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
NA PRÁTICA
CIÊNCIA DE DADOS OU DATA SCIENCE: O QUE É, APLICAÇÕES E 
PERFIL PROFISSIONAL
Vários tipos de vulnerabilidades podem colocar uma empresa em risco 
e com o seu despachante isso não é diferente. A invasão dos sistemas 
por vírus, spams e links maliciosos enviados para os e-mails corporati-
vos são um bom exemplo disso.
Uma outra ameaça real existente, é a possibilidade de funcionários ex-
porem, mesmo sem saber, informações importantes de forma indevida. 
Isso pode ocorrer em compartilhamento de dados com o próprio cliente 
que tem seu computador infectado ou, ainda, recebendo e enviando 
informações via smartphones infectados.
Neste caso, é importante levar em conta que todos os pontos, que pos-
sam representar alguma insegurança, estejam devidamente protegidos. 
Equipamentos, softwares, redes lógicas e usuários, precisam estar em 
constante monitoramento.
A prevenção é a melhor alternativa para minimizar ou bloquear possí-
veis riscos que possam afetar a segurança da informação da empresa.
São muitas as técnicas que você pode aplicar neste sentido, algumas 
delas tradicionais e outras usadas somente por especialistas na área. 
Por isso, recomendamos que seu escritório conte com especialistas em 
segurança da informação para manter sua estrutura de dados protegida.
Selecionamos algumas práticas essenciais de segurança da informa-
ção para serem implantadas em seu despachante. Vamos a elas!
Fonte: <https://blogdodespachante.com.br/tecnicas-de-seguranca-da-
-informacao/> Acesso em: 30 out. 2020.
PARA SABER MAIS
Filmes sobre o assunto: O Código Da Vinci (2006)
Acesse o link:
Vídeo: Criptografia | Nerdologia Tech
Disponível em: <https://www.youtube.com/watch?v=_Eeg1LxVWa8> 
Acesso em: 30 outubro 2020.
47
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
Após estudarmos sobre o conceito de segurança e auditoria 
de sistemas e informações como também as propriedades que o com-
põem, deter-nos-emos neste terceiro capítulo, a estudar um pouco 
mais sobre os tipos de auditoria como o desenrolar da auditoria do De-
senvolvimento e Manutenção de Sistemas, como descrever a auditoria 
da Administração e Operação de Redes, e descrever sobre auditoria 
dos Controles de Banco de Dados.
TIPOS DE AUDITORIA A SISTEMAS DE INFORMAÇÃO
Nesta seção, detalharemos sobre os tipos de auditorias a siste-
mas de informação, podendo, assim, ter uma noção de como controlar 
a organização, no geral, conforme a necessidade de controle dos ges-
tores. De acordo com Oliveira (2006), existem 5 critérios com os quais a 
auditoria a sistemas de informação pode ser diferenciada:
AUDITORIAS
DE SISTEMA
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
48
A
U
D
IT
O
R
IA
 E
 C
O
N
TR
O
LE
 D
E
 S
E
G
U
R
A
N
Ç
A
 -
 G
R
U
P
O
 P
R
O
M
IN
A
S
• quanto ao objetivo da auditoria;
• quanto à posição de quem faz a auditoria; 
• quanto à amplitude da auditoria; 
• quanto à periodicidade da auditoria; 
• quanto à extensão e profundidade da auditoria;
Uma auditoria que pode ser determinada pelo objetivo final tem 
dois tipos diferentes, de modo que um com objetivos de confirmação e 
outro com objetivos de gestão. Assim, a auditoria com objetivos de con-
firmação é direcionada por validar a veracidade e viabilidade de toda a 
informação armazenada e apresentada pela empresa; enquanto uma 
auditoria com objetivos de gestão é