Buscar

PIM VII -2022 - PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO...

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes
Você viu 3, do total de 18 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes
Você viu 6, do total de 18 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes
Você viu 9, do total de 18 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Prévia do material em texto

UNIP 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
 
PIM VII 
PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO 
COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E 
DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
BATATAIS/SP 
2022 
UNIP 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
 
PIM VII 
PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO 
COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E 
DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO 
 
 
 
Aluno: Tito Alexandre de Paiva 
RA:2186761 
 
Projeto Integrado Multidisciplinar – PIM 
VII, apresentado como um dos pré-
requisitos para aprovação do bimestre 
vigente, no Curso Superior de Tecnologia 
em Segurança da Informação. 
 
Prof.: Ricardo Sewaybriker 
 Orientador (a): Rosemeire Desiderio 
 
 
BATATAIS/SP 
2022 
RESUMO 
 
O presente projeto, PIM VII, visa especificamente abordar e explanar os 
conhecimentos adquiridos nas disciplinas de Empreendedorismo, Gestão da 
Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão. 
E para tal finalidade, foi criada a empresa TAP - Cyber Security and Protection, 
empresa fictícia, criada especialmente para desenvolver este trabalho, expondo desta 
forma uma visão empreendedora e futurística, principalmente no ramo de ferramentas 
de auditoria e testes de invasão. 
Com objetivo e foco na Gestão da Qualidade a meta de nossos colaboradores é 
fornecer um serviço de qualidade e atender as expectativas dos clientes através da 
somatória de técnicas e estratégias que vão além do campo do empreendedorismo, 
inovando e aprimorando projetos e mudanças, capazes de gerar um impacto positivo, 
implantando através da Gestão de Qualidade, procedimentos estes que visam a 
adequação e expansão desses negócios utilizando o método de melhorias PDCA 
como ferramenta de crescimento, planejamento e controle. 
Um dos pilares da empresa é garantir a proteção dos ativos e dados contra ameaças, 
engenharia social, vírus, ataques hackers e principalmente buscar onde estão as 
vulnerabilidades que possam expor e colocar em risco o nome ou marca de seus 
produtos. Através de uma auditoria dos sistemas, testes de invasão serão realizados 
conforme protocolo interno e normas, gerando relatórios e pareceres confiáveis 
visando a segurança cibernética interna e externamente. 
 
Palavras-chave: Empreendedorismo; Gestão de Qualidade; Auditoria de Sistemas; 
Pareceres e Testes de Invasão. 
 
 
 
 
 
 
 
 
 
ABSTRACT 
 
 
The present, PIM VII, specifically aims to acquire a project and explain the knowledge 
in the subjects of Entrepreneurship, Systems Audit and Opinions and Penetration 
Testing. 
And for that purpose, it was created for the company TAP - Cyber Security and 
Protection, a fictitious company, created especially to develop this work, exposing this 
form of an enterprising and futuristic, mainly in the field of auditing tools and 
penetration testing. 
In addition to focusing on quality management, employees provide a quality service 
and serve as customers with the sum of quality techniques and strategies in the field 
of entrepreneurship, innovating and improving projects and changes, through 
generating results with a positive impact, through Quality Management, procedures 
aimed at managing and expanding these businesses the PDCA improvement method 
as a tool for improvement, planning and control. 
One of the company's pillars is to ensure the protection of assets and data against 
threats, social engineering, hacker attacks and especially where they are as 
vulnerabilities that can expose and jeopardize the name or brand of their products. 
Through the systems maintenance protocol, penetration tests will be carried out 
according to internal audit protocols and protocols and internal and external security 
standards. 
 
Keywords: Entrepreneurship; Quality management; Systems Audit; Opinions and 
Penetration Tests. 
 
 
 
 
 
 
 
 
 
SUMÁRIO 
 
 
 
INTRODUÇÃO ........................................................................................................... 6 
1 EMPREENDEDORISMO ........................................................................................ 7 
1.1 TAP – Cyber Security and Protection............................................................ 7 
1.2 Estrutura Organizacional e Plano de Negócio ............................................. 7 
2 GESTÃO DA QUALIDADE ..................................................................................... 9 
3 SISTEMAS CRÍTICOS .......................................................................................... 10 
3.1 Identificação 1: Vulnerabilidade no Sistema – Porta Aberta ..................... 11 
3.2 Ferramenta Utilizada: Nmap ......................................................................... 12 
3.3 Identificação 2: Ataque de Negação de Serviço - DoS .............................. 13 
3.4 Ferramenta Utilizada: Wireshark - Sniffer ................................................... 13 
3.5 Sobre os Testes de Invasão ......................................................................... 13 
3.6 Segurança na LGPD...................................................................................... 14 
3.7 ISO-27001 ....................................................................................................... 14 
3.8 ISO-27701 ....................................................................................................... 15 
4 RELATÓRIO DE CONCLUSÃO ..................................................................... 15 
CONCLUSÃO .......................................................................................................... 17 
REFERÊNCIAS........................................................................................................ 18 
 
 
 
 
 
 
 
6 
 
INTRODUÇÃO 
 
O objetivo principal desse projeto é fomentar e elucidar o empreendedorismo 
como fonte de inspiração, como conhecimento acadêmico, principalmente com os 
avanços tecnológicos, globalizado e competitivo do mercado, onde exigências são 
cada vez mais cobradas através de atualizações constantes e modernas, e a 
qualidade se torna uma ferramenta primordial que faz toda diferença no espaço 
corporativo e organizacional. 
Planejar, executar e administrar. Damos então, ênfase a Gestão como forma 
de organizar as atividades e projetos que colocamos em prática. 
E com os avanços tecnológicos, conexões, internet, home office, aparecem 
também os riscos, as vulnerabilidades, os ataques cibernéticos, os sequestros de 
dados e informações. 
Surgindo então a necessidade de verificação, de proteção e análise de 
sistemas, assim como também testes de penetração, auditorias e verificação de 
vulnerabilidades nos equipamentos, aplicativos ou falhas intencionalmente (ou não) 
humanas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
7 
 
1 EMPREENDEDORISMO 
 
"Além das características distintas de um empreendedor, ele pode ser de dois 
estilos diferentes: o executor e o administrador. (CHIAVENATO,2012).” 
Já em se tratando de tipos, existem diversos tipos (nato; oportunidade; 
corporativo; necessidade; família) de empreendedor, o que significa que não podemos 
determinar um padrão exato. 
Habilidades são características marcantes em um empreendedor e segundo 
Razzolini Filho (2012, pág. 148) aponta quatro tipos de habilidades essenciais para o 
sucesso do empreendedor: gerenciais, comportamentais, críticas e morais e 
intelectuais. 
 
1.1 TAP – Cyber Security and Protection 
 
Com base no fator empreendedor, criamos uma empresa (fictícia) que atua no 
ramo de segurança cibernética, criada especificamente para protegersistemas, rede 
e dados contra acesso não autorizado. Ou seja, em um nível pessoal, todos precisam 
proteger sua identidade, seus dados e seus dispositivos computacionais. No nível 
corporativo, é responsabilidade dos funcionários proteger a reputação, os dados e os 
clientes da organização. 
 
1.2 Estrutura Organizacional e Plano de Negócio 
 
A TAP – Cyber Security and Protection, coloca à disposição de seus clientes 
uma estrutura de atendimento, sendo ele físico ou a distância, remotamente, com 
serviços de pronta resposta a qualquer alteração ou incidente em sua rede ou dados. 
Atuando em diversos lugares e/ou situações, combatendo e prevenindo ataques 
criminosos virtuais contra organizações, pessoas ou simplesmente buscando 
fragilidades, vulnerabilidades (sistemas; aplicativos; protocolos; rede; login; erros de 
programação; configuração etc.) que possam colocar em risco sua organização, seus 
ativos, sua imagem ou reputação. 
Como filosofia japonesa, adotamos o 5S, um sistema de organização de 
espaços para que o trabalho possa ser realizado com eficiência, eficácia e segurança. 
8 
 
Esse sistema se concentra em colocar tudo no seu devido lugar e manter o local de 
trabalho organizado e limpo. 
 
Imagem 01: Metodologia 5S 
 
Fonte: https://eprconsultoria.com.br/conheca-os-principios-da-metodologia-5s-
2-2/ 
 
A tecnologia da informação está em constante mudança e isso também ocorre 
com a segurança cibernética, sendo o treinamento e a conscientização outra 
ferramenta essencial para prevenir riscos, acidentes ou crimes cibernéticos. Outra 
ferramenta bastante utilizada são as redes sociais (Face Book; Instagram; LinkedIn; 
etc.) como forma de difundir nossas propostas de trabalhos como organização. 
Nossa estrutura opera da seguinte forma: 
► Operar e manter inclui proporcionar o suporte, a administração e a 
manutenção necessários para garantir a segurança e o desempenho do sistema de 
TI. 
► Proteger e defender inclui a identificação, a análise e a mitigação de ameaças 
a sistemas internos e a redes. 
► Investigar inclui a investigação de evento e/ou crimes digitais que envolvem 
recursos de TI. 
9 
 
► Coletar e operar inclui as operações de negação e fraude especializadas e a 
coleta de informações de segurança cibernética. 
► Analisar Provisionar de forma segura inclui a conceitualização, o projeto e a 
construção de sistemas de TI seguros. 
► Supervisão e desenvolvimento proporcionando liderança, gestão e 
orientação para realizar o trabalho de segurança cibernética de forma eficaz. 
► Provisionar de forma segura inclui a conceitualização, o projeto e a 
construções de sistemas de TI seguros. 
Com a intenção de promover a segurança cibernética e fornecer soluções que 
melhorem a segurança tecnológica de todos, temos parceria com a CERT – Centro e 
Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. 
 
2 GESTÃO DA QUALIDADE 
 
A ética e a moral são essenciais para o exercício de qualquer profissão, em 
qualquer ramo de atuação ou área, esse valor deve ser um atributo obrigatório, 
somando-se a qualidade nos serviços prestados. Investir muito dinheiro em tecnologia 
não fará diferença se as pessoas dentro da empresa forem o elo mais fraco da 
segurança cibernética. Um programa de conscientização sobre segurança é 
extremamente importante para uma organização. 
Esse é nosso diferencial: 
• Treinamento de conscientização de segurança como parte do processo de 
integração do funcionário; 
• Conscientização de segurança aos requisitos do trabalho aliado às avaliações 
de desempenho funcional; 
• Sessões de treinamento on-line; 
• Princípios éticos; transparência; boa administração e comunicação; 
• Melhoria dos processos e motivação dos funcionários; 
• Espírito de Equipe e envolvimento das pessoas, promovendo atitude de 
cooperação. 
• Planejamento; 
• Execução; 
• Controle. 
10 
 
Com a inclusão da ferramenta do PDCA em nossa organização, conseguimos 
alcançar e melhorar nossos objetivos na execução das tarefas, melhorando 
resultados, planos estratégicos eficazes e na solução constante de problemas, 
acelerando e aperfeiçoando desta forma aquilo que nos propusemos a fazer, cuidar 
da segurança cibernética. 
 
Imagem 02: Etapas do PDCA 
 
Fonte: https://www.siteware.com.br/metodologias/ciclo-pdca/ 
 
3 SISTEMAS CRÍTICOS 
 
Princípio básico: As ameaças à segurança da informação estão diretamente 
relacionadas à perda de uma dessas três características principais: perda de 
confidencialidade, perda de integridade ou perda de disponibilidade. Estas ameaças 
podem vir de agentes mal-intencionados, geralmente conhecidos como Hackers ou 
mesmos de usuários legítimos. Já uma vulnerabilidade de segurança está relacionada 
a um fator que pode contribuir para gerar invasões, roubo de dados ou acesso não 
autorizado a recursos, facilitando o acesso de usuários não autorizados. Exemplos 
são softwares mal configurados, dispositivos com sistemas desatualizados e arquivos 
internos expostos publicamente por engano. Encontrar vulnerabilidades de segurança 
11 
 
é uma necessidade absoluta para as empresas modernas. Para isso, é necessário 
definir as seguintes etapas: 
• Identificar o que é necessário para proteger o sistema; 
• Definir metas de segurança; 
• Identificar as principais fontes de ameaças e como combatê-las; 
• Refinar e atualizar as proteções de segurança cibernética; 
• Monitorar ameaças cibernéticas e estratégias de ataque novas e emergentes; 
• Usar um provedor de serviços de segurança gerenciado (MSSP). 
Dados corporativos incluem informações de funcionários, propriedades 
intelectuais e informações financeiras. As informações de funcionários incluem 
materiais de aplicação, folha de pagamento, cartas de oferta, contratos de 
funcionários e todas as informações usadas na tomada de decisões de emprego. 
Propriedade intelectual, como patentes, marcas registradas e planos de novos 
produtos, permite que uma empresa obtenha vantagem econômica sobre seus 
concorrentes. Essa propriedade intelectual pode ser considerada um segredo 
comercial. Perder essas informações pode ser desastroso para o futuro da empresa. 
As informações financeiras, como declarações de rendimentos, balanços e 
demonstrações de fluxo de caixa de uma empresa, proporcionam detalhes sobre a 
integridade da empresa. 
Após introdução e coleta de informações específicas da organização que será 
submetida ao teste de invasão, problemas apontavam para vulnerabilidades na rede. 
Dois sistemas críticos ficaram nítidos nesse primeiro momento, portas abertas, 
expostas e sobrecarga na rede. Pelo perfil do ataque, o objetivo era retirar do “ar” e 
coletar informações desta organização ligada ao ramo de Marketing. 
 
3.1 Identificação 1: Vulnerabilidade no Sistema – Porta Aberta 
 
O objetivo dos Hackers era coletar informações sobre o computador de destino 
desta determinada rede relacionada a Marketing (Sistema Operacional; aplicativos; 
etc.), scaneando as portas em busca de vulnerabilidades, pontos fracos para obterem 
acesso não autorizado, identificando endereços de IP, hosts, procurando locais de 
servidores abertos e vulneráveis. Explorar vulnerabilidades é outro método comum de 
infiltração. Os invasores fazem a varredura de computadores para obter informações 
sobre eles. 
12 
 
Durante o teste de invasão nesta determinada organização conhecida, 
denominada contratante de nossos serviços, onde pelo qual amparados pela LGPD, 
pelo contrato de ambas as partes, pela não divulgação da razão social, optamos por 
explanar somente as vulnerabilidades encontradas e medidas adotas, para garantir e 
preservar a integridade de seus dados, assim como sua reputação. 
 
3.2 Ferramenta Utilizada: Nmap 
 
O desafio neste caso, para os administradores de T.I. é tentar bloquear as 
portas abertas instalando firewalls para protegê-las sem limitar o acesso de usuárioslegítimos. Neste caso, foi reconfigurado adequadamente todas as portas, negando o 
acesso da Internet em casos desnecessários e reconfigurado o Firewall para que 
possa detectar tentativas de varredura de portas impedindo que Hacker possam tentar 
coletar informações. 
 
Figura 03: Amostra de scan do Nmap 
 
Fonte: https://nmap.org/man/pt_BR/index.html 
 
Encontrar portas abertas normalmente é o objetivo geral da varredura de portas 
e uma vitória para um Hacker que procura uma via de ataque. 
13 
 
Foi utilizado a ferramenta Nmap: Ferramenta de auditoria de segurança e 
exploração de rede, impedindo que pessoas não autorizadas coletassem informações 
desta organização, devido a falhas de configuração neste sistema. 
 
3.3 Identificação 2: Ataque de Negação de Serviço - DoS 
Detectado o ataque à rede desta organização de Marketing, agora visando a 
interrupção de serviços aos usuários, dispositivos ou aplicações por meio de grande 
quantidade de tráfego e através de pacotes formatados de forma mal-intencionada. 
Os ataques de negação de serviço (DoS) representam um grande risco porque 
podem facilmente interromper a comunicação e causar perda significativa de tempo e 
dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um 
invasor não capacitado. 
 
3.4 Ferramenta Utilizada: Wireshark - Sniffer 
Ferramenta de auditoria de segurança que visa o monitoramento da rede, 
tráfego, sendo usado para investigar as ameaças encontradas, principalmente após a 
utilização do Nmap apontar para falhas em portas abertas que foram corrigidos e 
reconfigurados. A ferramenta agora utilizada, Sniffer, apontou grande tráfego de pings 
sobrecarregando a rede desta organização, sendo apontado um ataque DoS. 
Os indicadores de auditoria apontavam para: 
• Desempenho da rede lento, demora de carregamento de arquivos ou sites; 
• Incapacidade de acessar determinado site; 
• Uma súbita perda de conectividade na mesma rede. 
 
3.5 Sobre os Testes de Invasão 
 
Os invasores (Hackers) são indivíduos ou grupos que tentam explorar 
vulnerabilidades para ganho pessoal ou financeiro. Os invasores estão interessados 
em tudo, de cartões de crédito a projetos de produtos e qualquer coisa com valor. 
A Lei nº 13.709/2018 - Lei Geral de Proteção de Dados (LGPD) dispõe sobre o 
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por 
pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos 
fundamentais de liberdade e de privacidade e o livre desenvolvimento da 
14 
 
personalidade da pessoa natural. A recente Lei Geral de Proteção de Dados Pessoais 
(LGPD), reforça que os dados pessoais são de acesso restrito. 
Testes de Invasão (PENTEST), ferramenta relacionada a Segurança de T.I. e 
Segurança da Informação, são mencionados tanto na LGPD como também citados na 
ISO-27001 e ISO-27701. Dentro dos procedimentos legais (Normas e Legislação 
vigente) e com tudo documentado e autorizado pela contratante, a realização de 
testes de invasão é justificável na Lei. 
 
3.6 Segurança na LGPD 
 
• Art. 6 – VII – Princípio da Segurança (obrigatório): utilização de MEDIDAS 
TÉCNICAS E ADMINISTRATIVAS aptas a proteger os dados pessoais de acessos 
não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou difusão; 
• Art. 46 – Medidas Práticas de Segurança: Os agentes de tratamento DEVEM 
ADOTAR MEDIDAS DE SEGURANÇA, técnicas e administrativas aptas a proteger os 
dados pessoais de acesso; 
 
3.7 ISO-27001 
 
Normas técnicas: A.18.2.3 – Análise de crítica da conformidade técnica - 
Controle: Os sistemas de informação DEVEM SER ANALIZADOS CRÍTICAMENTE, 
a intervalos regulares, para verificar a conformidade com as normas e políticas de 
segurança da informação da organização. A equipe de gerência de uma empresa usa 
os objetivos de controle do padrão ISO 27001 para definir e publicar as políticas de 
segurança da empresa. Os objetivos de controle proporcionam uma checklist que 
deve ser usada durante as auditorias de gerenciamento de segurança. Muitas 
empresas precisam passar uma auditoria de ISMS para ganhar uma designação de 
conformidade com ISO 27001. Exemplo: Controlar o acesso a redes usando os 
mecanismos de autenticação apropriados para usuários e equipamentos. 
 
 
 
15 
 
3.8 ISO-27701 
 
Normas técnicas: 6.15.2.3 – Convém que a organização inclua métodos de 
análise crítica dessas ferramentas e componentes relacionados ao tratamento de 
dados pessoais. 
Podendo incluir: 
• Monitoramento contínuo para verificar que somente o tratamento permitido 
está sendo executado; 
• Testes específicos de VULERABILIDADES OU INVASÃO. 
 
4 RELATÓRIO DE CONCLUSÃO 
 
RELATÓRIO DE CONCLUSÃO DE AUDITORIA INTERNA 
OUTUBRO/2022 
Empresa Auditora: TAP – Cyber Security and Protection. 
Auditor: Tito A. Paiva 
Auditada: Empresa de Marketing (Sigilo) 
 
O presente relatório apresenta os motivos específicos que levaram a auditoria 
da empresa de Marketing que vinha através de vulnerabilidades, principalmente no 
tocante as configurações e medidas protetivas em sua rede, externa e interna, através 
de espionagem, procuravam e de fato continha, portas abertas bastante vulnerável e 
também, ataques que visam a retirada do “ar” de seu site, assim como tornar 
inoperante, toda e qualquer transação, impedindo também que usuários pudessem 
acessar sua página na Web, ou que os próprios colaboradores da empresa pudessem 
operar ou manipular dados corporativos. 
TAP – Cyber Security and Protection, empresa consolidada no ramo de 
segurança e proteção cibernética, atua por meios lícitos que obedecem os padrões 
internações, normas e legislações vigente nas áreas de auditoria e testes de invasão. 
Área de redes mal configurada, firewall foram dos padrões normativos, 
desatualizado, sistema operacional desatualizado e fragilizados por falta de senhas 
de usuários, assim como também ausência que delimitassem o que cada colaborar 
poderia ter acesso, ou seja, todos tinha acesso a qualquer setor, que demostra 
inviabilidade no momento de identificar quem acessou o que, arquivos registrados em 
16 
 
logs de usuário e senha, tendo desta forma precisão na auditoria para apontar 
exatamente quem e quando obtém acesso aos sistemas organizacionais. 
Leis que normatizam esta auditoria, tais como a LGPD, ISOs 27701 e 27001 
traduzem a jurisprudência e amparo em executar e buscar fragilidades em 
organização de forma transparente e lícita, conforme nos é autorizado contrato que 
definem muito bem, tudo o que é feito. 
Após intenso monitoramento na rede desta empresa de marketing, o único 
objetivo dos atacantes era realmente obter informações da organização atacada e 
posterior prejudicar sua atuação on-line. 
Recomendações finais: Aprimoramento nas linhas de defesa, mecanismos de 
defesa, sistema de rastreamento de pacotes como prevenção, além claro, melhorar 
os aplicativos e sistemas operacionais, melhorias no desenvolvimento de projetos e 
testes e inclusão de ferramentas automatizadas, compatíveis com área de atuação da 
organização atacada. Outro fator importante na defesa e prevenção contra-ataques 
cibernéticos é a conscientização e treinamento de seu corpo funcional. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
17 
 
CONCLUSÃO 
 
O projeto em tese, denominado de Plano de Auditoria de Sistemas, amparado 
em teste de invasão com foco específico para organização selecionado e alinhado ao 
Plano de Negócios da Organização, trouxe a experiencia de colocar em prática, com 
base no empreendedorismo, a idealização e criação de uma empresa fictícia, que atua 
no ramos de defesa e segurança cibernética, que como cliente final, uma outra 
organização do ramo de marketing, que diante de uma aprendizagem de Auditoria de 
Sistemas, Gestão da Qualidade, Pareceres e Testes de Invasão, abordou um ataqueDoS – utilizando-se de uma ferramenta para monitorar a rede e sistemas, onde 
posteriormente também encontrou-se falhas de configuração na defesa da rede, 
portas vulneráveis abertas que também invasores vasculhavam obter informações 
confidenciais. 
Dentro do que foi absorvido academicamente e buscando a integração com as 
técnicas e tecnologias utilizadas, tentando colocar o máximo dentro das metodologias 
científica no tocante ao ensino e aprendizagem. 
Fica claro que o maior processo aqui adquirido é conhecimento que alinhado a 
prática cria as condições necessárias e compatíveis para o crescimento e 
fortalecimento técnico profissional para o qual nos propusemos e aceitamos como 
tarefa. 
 
 
 
 
 
 
 
 
 
 
 
 
 
18 
 
REFERÊNCIAS 
 
“Empreendedorismo – Teresa Cristina Lopes Fabrete - São Paulo : Pearson 
Education do Brasil, 2019. ISBN 978-85-430-2561-2. 1.Administração de empresas 
2.Empreendedorismo.1924635. CCDD-658.421”. Biblioteca Virtual: 
<https://plataforma.bvirtual.com.br/Acervo/Publicacao/173412>. Acesso em 29 de 
setembro/2022. 
 
"Gestão da Qualidade - organizador Eliacy Cavalcanti Lélis. – São Paulo : Pearson 
Prentice Hall, 2012. ISBN 978-85-64574-13-7. 1. Controle de qualidade 2. Qualidade 
total – Gerenciamento.11-8903 CDD-658.4013". Biblioteca Virtual: 
<https://plataforma.bvirtual.com.br/Acervo/Publicacao/3016>.Acesso: 29 de 
setembro/2022. 
 
“Gestão da Qualidade. Autor: Professora Andréa Martins Cristóvão – Editora: Sol, 
2013. CDU 658.5. 1. Gestão da qualidade. 2. Gerenciamento. 3. Qualidade”. Nota: 
este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série 
Didática, ano XVII, n.2-052/13, ISSN 1517-9230. Acesso em setembro/2022. 
 
PDCA. Disponível em <https://www.siteware.com.br/metodologias/ciclo-pdca/>. 
Acesso em 30 de setembro/2022. 
 
CERT. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança 
no Brasil. Disponível em <https://www.cert.br/cursos/>. Acesso em 30 de 
setembro/2022. 
 
“Auditoria de Sistemas – Conceito e Aplicação. Autor: Professor Anderson 
Aparecido Alves da Silva. São Paulo – Editora: Sol, 2021. CDU 658.011.56. 1. 
Auditoria. 2. Planejamento. 3. Análise de risco. U510.51-21”. Nota: este volume está 
publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-
9230. Acesso em 02 de outubro/2022. 
 
LGPD. Lei Geral de Proteção de Dados (LGPD). Disponível em: 
<https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados-
pessoais>. Acesso em: 04 outubro/2022. 
 
ISO 27001 e ISSO 27701. Normas. Disponível em: <https://stancebrasil.com.br/iso-
27701-o-que-e-e-quais-as-vantagens-da-sua-implementacao/>. Acesso em 06 de 
outubro/2022. 
 
“Pareceres e Testes de Invasão. Autor: Professor Ricardo Sewaybriker. São Paulo 
– Editora: Sol, 2021. CDU 681.3.004.4. 1. Comandos. 2. Ferramentas. 3. Teste. 
U510.36-21”. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas 
da UNIP, Série Didática, ISSN 1517-9230. Acesso em 08 de outubro/2022. 
 
https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados-pessoais
https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados-pessoais
	PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO
	PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO (1)
	INTRODUÇÃO
	1 EMPREENDEDORISMO
	1.1 TAP – Cyber Security and Protection
	1.2 Estrutura Organizacional e Plano de Negócio
	2 GESTÃO DA QUALIDADE
	3 SISTEMAS CRÍTICOS
	3.1 Identificação 1: Vulnerabilidade no Sistema – Porta Aberta
	3.2 Ferramenta Utilizada: Nmap
	3.3 Identificação 2: Ataque de Negação de Serviço - DoS
	3.4 Ferramenta Utilizada: Wireshark - Sniffer
	3.5 Sobre os Testes de Invasão
	3.6 Segurança na LGPD
	3.7 ISO-27001
	3.8 ISO-27701
	4 RELATÓRIO DE CONCLUSÃO
	CONCLUSÃO
	REFERÊNCIAS

Continue navegando