Tecnologias de Segurança Apostila

Prévia do material em texto

Tecnologias da SegurançaTecnologias da Segurança
AUTORIA
Marcel Santos Silva
Introdução
Não é de hoje que a informação possui uma enorme importância na vida das
pessoas e das organizações. Com a constante evolução da tecnologia, a capacidade
de coleta, armazenamento e processamento das informações evoluiu
substancialmente, criando uma forma de uso diferenciada, seja para produção de
novos conhecimentos, seja para identi�cação de padrões comportamentais de
consumo, por exemplo.
Consequentemente, aumentou-se a necessidade de proteção das informações e
conhecimentos produzidos que, cada vez mais, são transacionados por meio da rede
de computadores, principalmente pela Internet.   No entanto, a segurança não
abrange somente a informação digital, é preciso considerar outros aspectos ao se
avaliar a segurança, como, o lixo convencional e computacional, as conversas
informais em ambientes abertos, a técnicas de engenharia social, as cópias de
segurança em dispositivos móveis entre outros.
Neste capítulo serão discutidos os conceitos básicos de dados e informações, as
principais características que se referem a classi�cação das informações para, a
partir daí, iniciarmos o entendimento em relação a segurança da informação e suas
especi�cidades.
Este documento está organizado em 15 temas, organizados de forma que se
relacionam entre si, conforme apresentado a seguir.
O tema 1 trata dos princípios de segurança da informação, desde os conceitos de
dados e informação, formas de classi�cação e os aspectos principais da segurança
da informação frente ao avanço tecnológico.
O segundo tema apresenta as normativas e padrões que estabelecem um sistema
de gestão de segurança da informação, tendo como principais as normativas da
ABNT 27001, 27002, 27005, 27007 entre outras que convencionam as melhores
práticas referente ao tratamento da informação no ambiente tecnológico.
O tema 3 aborda os aspectos que se referente a identi�cação, tratamento e gestão
dos riscos em sistemas de informação, detalhando o que estabelecem as normas
ABNT NBR ISO/IEC 27005 e ABNT NBR ISO/IEC 31000.
A quarta parte apresenta o plano de contingencie e continuidade de acordo com as
normas e padrões, além de evidenciar o plano de emergência e plano de
recuperação de desastre. Ainda se discute o processo de elaboração de um plano de
continuidade do negócio de acordo com as melhores práticas.
O tema 5 apresenta com detalhes a estruturação, suas principais características e
etapas para elaboração de uma política de segurança da informação, atendendo as
necessidades de cada organização.
A sexta parte apresenta os princípios de auditoria de sistemas, destacando cada
uma das etapas na realização de um programa de auditoria, com foco em sistemas
de informação.
No tema 7 são discutidos os conceitos, tipos de ameaças e vulnerabilidades,
classi�cando essas como de hardware, de comunicação, de armazenamento,
humanas e físicas. Trata ainda as principais ameaças aos sistemas computacionais,
formas de prevenção, detecção e recuperação, no caso de ocorrência de algum
incidente.
Já o oitavo tema trata especi�camente dos tipos de vírus trojans e malwares,
categorizando-os e apresentando suas formas de invasão e mecanismos de
mitigação.
A aula 9 trata especi�camente de fraudes, detalhando o furto de identidade,
phishing, o boato e, por �m, o footprinting que consiste na coleta do máximo de
informações relacionadas ao alvo que se deseja invadir.
A décima parte apresenta as vulnerabilidades de redes de computadores, com
destaque para o snif�ng, spoo�ng e Man in the Middle, suas características e formas
de atuação quando utilizada por um invasor.
O foco da parte 11 está na apresentação de técnicas de avaliação de sistemas,
destacando as etapas de desenvolvimento, desde a de�nição da necessidade do
negócio até a validação �nal pela área de qualidade de software.
A parte 12 trata de uma das técnicas mais utilizadas atualmente, a Engenharia Social,
que consiste na manipulação de sentimentos e mecanismos de persuasão para
conseguir aquilo que se deseja de uma pessoa.
Já o tema 13 discuti os tipos de criptogra�a, detalhando os sistemas de chaves
simétrica e assimétrica, e os principais objetivos de uso da criptogra�a no processo
de segurança da informação.
A parte 14 discorre sobre os principais aspectos que tratam a Lei Geral de Proteção
aos Dados, seus princípios e abrangência.
A penúltima parte é uma continuidade da anterior, onde se discute a privacidade
dos usuários e as vulnerabilidades à que estão suscetíveis, formas de mitigação dos
riscos e os princípios fundamentais.
Por �m, o tema �nal apresentado está relacionado à forense computacional, as
etapas de investigação e a importância da cadeia de custódia para um processo
judicial.
Princípios de Segurança da
Informação
AUTORIA
Marcel Santos Silva
Dados e Informação
Antes mesmo de se de�nir os conceitos de segurança da informação, é necessário
entender os aspectos iniciais que alicerçam essa evolução e formas de utilização por
meio da tecnologia. O termo dados, por si só, possui inúmeras formas de de�nição,
portanto analisaremos algumas a seguir.
De acordo com Sordi (2015), dado é uma coleção de evidências relevantes sobre um
determinado fato que está sendo observado, e coleção apresenta o conceito de
conjunto, ou seja, diversas evidências referentes a esse fato.
Por dados, entende-se o material bruto que alimenta um determinado sistema,
permitindo a construção de uma informação. Alguns autores ainda de�nem dado
como qualquer elemento identi�cado em sua forma bruta que, por si só, não conduz
a uma compreensão de determinada situação.
O poder da informação é indiscutível, porém, o que tem revolucionado os processos
tradicionais de utilização da informação é a forma como ela é rapidamente
processada e utilizada para diversos objetivos conforme o modo de sua
apresentação.
Sordi (2015) de�ne informação como a interpretação de um conjunto de dados,
conforme um propósito relevante e de consenso para um determinado público alvo.
A informação exige, invariavelmente, a mediação humana para se de�nir um
propósito que será entendido pelo processamento de dados a ser executado,
NA PRÁTICA
A informação é um conjunto organizado de dados capazes de reduzir
as incertezas ou incrementar o conhecimento sobre algo, ou seja, a
informação pode ser: as notícias apresentadas em jornais e até mesmo
o conteúdo dessa aula é uma informação.   De forma prática, o dado,
dentro de uma organização, pode ser um salário do funcionário, pois o
salário sozinho não possui um signi�cado para a organização. No
entanto, quando esse dado é organizado, surge aí o conceito de
informação, por exemplo, a folha de pagamento com os salários e os
nomes dos funcionários.
conforme uma unidade de análise. Há também o entendimento que informação é o
resultado do processamento e manipulação de um conjunto de dados, de forma
que os tornem signi�cativos e úteis.
E não podemos deixar de contextualizar os sistemas de informação, que são
de�nidos como um conjunto de componentes que se relacionam para a coleta,
processa, armazena e distribui informações destinadas a apoiar a tomada de
decisões e o controle em uma organização” (LAUDON; LAUDON, 2004).
Classi�cação da Informação
A classi�cação da informação é o processo de identi�car e de�nir níveis e critérios de
proteção adequada para as informações, de forma a garantir a segurança. Toda
organização deve ter a capacidade de atribuir valor a informação para garantir sua
con�dencialidade, integridade e disponibilidade.
A forma mais comum de classi�cação utilizada se refere ao grau de sigilo, porém,
vale destacar que outras formas podem ser adicionadas, tais como:
Ao seu gestor e custodiante;
Ao tempo de retenção em cópias de segurança por questões legais;
A qual o encaminhamento que deve ser dado à informação, quando do
encerramento das atividades da organização.
Uma dúvida que surge duranteo processo de classi�cação se refere ao nível de
granularidade que se deve utilizar, por exemplo, arquivo, campo, conjunto de
campos, registro do arquivo entre outros.
O nível de granularidade da informação a ser utilizada para a classi�cação em
relação ao sigilo deve ser um nível que o gestor entenda e seja signi�cativo para ele.
No ambiente computacional, per�l gestor, a referência pode ser por transações, telas
geradas por transações, relatórios gerados por transações. Já no ambiente
computacional, no per�l técnico, pode-se considerar que o nível de sigilo de um
arquivo deve ser igual ao maior nível de sigilo do conjunto de transações que tomam
por base esse arquivo.
Para que se obtenha uma classi�cação correta das informações, sugere-se o
cumprimento das seguintes etapas:
�. Elaboração de uma política de classi�cação;
�. Coleta das informações;
�. Classi�cação das informações coletadas;
�. Implementação da política de classi�cação;
�. Revisão periódica das informações classi�cadas.
Uma vez identi�cadas e classi�cadas todas as informações levantadas na
organização, partimos para a contextualização da segurança da informação.
CONCEITUANDO
“A granularidade é o nível de detalhamento que se espera de uma
determinada informação. Esse nível de detalhe está diretamente ligado
ao negócio que se pretende estudar. Por exemplo, uma determinada
empresa precisa saber qual foi o seu faturamento em certo período.
Imaginemos que o período seja de um ano especi�co, então a
granularidade nesse exemplo serão os anos que se necessita saber o
faturamento. Se outra empresa precisa da mesma informação, porém
com faturamento diário, então a granularidade nesse caso é o tempo
em dias. Geralmente a granularidade de um modelo está diretamente
ou indiretamente ligada ao tempo.” (OLIVEIRA, 2010, p. 17-18).
Segurança da Informação
Para Nieles, Dempsey e Pillitteri (2017), segurança da informação se de�ne como a
proteção de informações e sistemas de informações contra acesso, uso, divulgação,
interrupção, modi�cação ou destruição não autorizada, a �m de garantir
con�dencialidade, integridade e disponibilidade. Estes três últimos termos formam
o que é conhecido como a tríade CIA, do acrônimo em inglês para con�dentiality,
integrity e availability.
De acordo com a NBR ISO/IEC 27002 (2013):
A segurança da informação é alcançada pela implementação de um
conjunto adequado de controles, incluindo políticas, processos,
procedimentos, estrutura organizacional e funções de software e
hardware. Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, quando
necessário, para assegurar que os objetivos do negócio e a segurança
da informação da organização são atendidos.
A segurança da informação é constantemente desa�ada a cumprir seus pilares,
onde, geralmente, nos problemas enfrentados eles são referência. Dentro do
contexto de tecnologia e sistemas de informação, a segurança da informação possui
três pilares que sustentam seus objetivos, conforme �gura 1.
A Con�abilidade garante que a informação só será acessada por usuários
autorizados, tendo como base o sigilo da informação. Objetivando garantir a
con�dencialidade são usados controles de acessos, que garantem a não divulgação
da informação sem permissão, como: autenticação por senha e permissão de
Figura 1 – Pilares da Segurança da Informação.
Fonte: Elaborado pelo Autor (2020).
acesso. Vale destacar que este princípio no mundo corporativo garante o sigilo e
protege o capital intelectual pertencente a organização, principalmente, com
relação às vantagens competitivas e diferenciais de mercado.
A Disponibilidade possibilita que a informação esteja disponível para acesso
quando se deseja, para todos àqueles que tenham acesso, desta forma se garante a
continuidade do serviço. Esse princípio está diretamente ligado à e�cácia do sistema
e no seu perfeito funcionamento. Uma das formas mais comuns para se garantir a
disponibilidade é a realização de serviços redundantes, além de cópias de
segurança.
A Integridade garante que a informação não seja modi�cada por indivíduos não
autorizados, de forma a garantir suas características exatas desde a origem até o
destino, sem sofrer qualquer alteração ou violação em todo o processo de
transporte. Uma das formas comumente utilizadas para se garantir a integridade da
informação transacionada é a criptogra�a.
Além dos três pilares que sustentam a segurança da informação em sistemas, há
quatro princípios que norteiam e possibilitam os meios adequados para a
manutenção de um sistema organizado, seguro e con�ável. São eles:
Autenticidade
Con�rma a identidade do indivíduo emissor da informação, por meio do qual
garante que a informação procede da fonte apresentada. A assinatura digital é um
dos mecanismos que compreende este princípio.
CONECTE-SE
Você sabia que o Governo Federal Brasileiro possui um Departamento
de Segurança Nacional que, além de ser responsável pelo planejamento
e supervisão da atividade de segurança da informação nacional, trata
ainda da estratégia nacional de Segurança Cibernética. Acesse o site do
DSIC pelo endereço:
https://go.eadstock.com.br/Vw
Não repúdio ou irretratabilidade
Esse princípio comprova que o emissor não negue a criação de determinado
documento ou assinatura, não sendo possível eximir a sua autoria.
Legalidade
Seguir inteiramente as Leis e Regulamentações vigentes de determinado local ou
País na utilização da tecnologia da informação.
Privacidade
Con�rma quais informações são disponibilizadas e quem são os usuários que
possuem acesso. A autenticidade e a con�dencialidade são princípios que
contribuem para a manutenção da privacidade.
Leis, Normas e Padrões de
Segurança da Informação
AUTORIA
Marcel Santos Silva
Normas
Uma norma pode ser de�nida como a medida para a realização de uma
determinada atividade. Ela tem como premissa básica, de�nir regras e instrumentos
de controle para garantir a conformidade de um processo, um produto ou um
serviço.
Conforme estabelece a ABNT ISO/IEC Guia 2 (2006), o objetivo do documento de
normalização consiste na de�nição de soluções, em consonância dos envolvidos,
para temas que possuem caráter repetitivo, tornando-se uma poderosa ferramenta
na autodisciplina de agentes ativos dos mercados. Garante, ainda, evidência aos
legisladores se há necessidade de regulamentações especí�cas em matérias que
não são cobertas por normas.
Importante destacar que uma norma, de�nida por um órgão o�cialmente
normativo, é considerada uma referência idônea perante o mercado a que se
destina, passando a ser utilizada em processos de regulamentação, de certi�cação,
de metrologia, de acreditação entre outros. A �gura 1 apresenta todos os objetivos
da normalização, conforme a ABNT ISO/IEC Guia 2:2006.
Figura 1 – Objetivos da normalização.
Fonte: ABNT Disponível aqui
A aplicação de normas de segurança em ambientes computacionais é muito mais
do que modismo, na verdade, é uma maneira de assegurar coerência nas ações dos
responsáveis pelas atividades de administração em ambientes computacionais.
Aderir a padrões de segurança reconhecidamente e�cientes reduz problemas de
incidentes intrinsecamente ligados às operações executadas por computadores.
Vejamos a seguir as normas criadas para a segurança da informação.
http://www.abnt.org.br/normalizacao/o-que-e/objetivos
Normas em segurança da
informação
A segurança para sistemas de informações foi um dos primeiros temas a se criarem
padrões. A gestão de segurança da informação tem por objetivo identi�car riscos,
prever sua possibilidade de ocorrência e implantar medidas que, de forma efetiva,
reduzam sua realização. A �gura 2 apresenta o histórico de evolução das normas
relacionadas à segurança da informação.
Fonte: o autor.
A Associação Brasileira de Normas Técnicas (ABNT) criou um conjunto de normas
direcionadas para a Segurança da Informação, sempre tendo como referência ospadrões de�nidos pela Organização Internacional de Padronização, conhecida como
ISO. A seguir, apresentamos as principais normativas em vigência.
ABNT NBR ISO/IEC 27003:2011 – Tecnologia da informação – Técnicas de
segurança – Diretrizes para implantação de um sistema de gestão da
segurança da informação.
ABNT NBR ISO/IEC 27004:2010 – Tecnologia da informação – Técnicas de
segurança – Gestão da segurança da informação – Medição
ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação – Técnicas de
segurança – Gestão de riscos de segurança da informação.
ABNT NBR ISO/IEC 27007:2012 – Diretrizes para auditoria de sistemas de
gestão da segurança da informação.
ABNT NBR ISO/IEC 27037:2013 – Tecnologia da informação – Técnicas de
segurança – Diretrizes para identi�cação, coleta, aquisição e preservação de
evidência digital.
ABNT NBR ISO 22301:2013 – Segurança da sociedade — Sistema de gestão de
continuidade de negócios – Requisitos.
ABNT NBR 16167:2013 – Segurança da Informação – Diretrizes para
classi�cação, rotulação e tratamento da informação.
Existem ainda duas normas que merecem um pouco mais de destaque que são:
ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão da segurança da informação — Requisitos.
Esta norma estabelece os requisitos principais para a de�nição do escopo do
Sistema de Gestão da Segurança da Informação, além da avaliação de riscos, a
identi�cação dos ativos e a e�cácia dos controles internos implementados. Ela
promove a adoção de uma abordagem de processo para o estabelecimento e
implementação, operação, monitoramento, análise crítica e evolução do SGSI dentro
da organização.
Vale ressaltar que o processo para a gestão de segurança da informação
apresentada por esta norma, contribui para que os usuários destaquem a
importância de alguns aspectos, como:
Compreensão dos requisitos de segurança da informação e a necessidade de
estabelecimento de uma política e objetivos claros;
Implantação e inserção de controles para a gestão de riscos no contexto de
negócio global da organização;
Monitoramento e análise crítica do desempenho e e�cácia do SGSI;
Melhoria contínua baseada em indicadores objetivos.
ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de
segurança — Código de prática para controles de segurança da informação.
CONECTE-SE
Acesse e conheça as demais normas da família 27000.
Sistema de Gestão de Segurança
da Informação
O sistema de gestão de segurança da informação (SGSI) é o resultado da aplicação
planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta, de�nem como são reduzidos os
riscos para a segurança da informação.
https://go.eadstock.com.br/Vy
Figura 2 – Implementação do SGSI pelo PDCA.
Fonte: elaborada pelo autor (2020).
Para cada uma das fases do PDCA, são estabelecidos um conjunto de ações para a
implementação do Sistema de Gestão de Segurança da Informação, conforme
apresentado a seguir.
Fase 1 – PLAN – Estabelecer o SGSI
Para a fase 1, que consiste no planejamento, a atividade principal é o
estabelecimento do Sistema de gestão de segurança da informação, que
compreende as seguintes atividades:
Estruturação do SGSI;
Plano Diretor de Segurança;
Diagnóstico de Segurança;
Avaliação, Tratamento dos Riscos e Seleção dos Controles de Segurança;
Declaração de Aplicabilidade.
Fase 2 – DO – Implementar o SGSI
A fase 2 consiste na implementação do sistema de gestão de segurança da
informação, composta das seguintes atividades:
Criação do Comitê de Segurança da Informação;
Estabelecimento da Política de Segurança;
Classi�cação da Informação;
Plano de Continuidade dos Negócios de TI;
Treinamento e Conscientização.
Fase 3 – CHECK – Monitorar e revisar o SGSI
Esta fase tem como responsabilidade o monitoramento e a revisão do sistema de
gestão de segurança da informação, e compreende apenas quatro etapas:
Monitoração dos Controles de Segurança;
Gestão de Incidentes;
Revisão dos níveis de risco residual;
Auditoria Interna do SGSI.
Fase 4 – ACT – Manter e aprimorar o SGSI
A última fase, representada pelo Act, consiste na manutenção e aprimoramento do
sistema de gestão de segurança da informação, contemplando as seguintes
atividades, conforme abaixo.
Implementação de melhorias;
Ações corretivas e preventivas;
Comunicação das ações e resultados para alta administração e partes
interessadas;
Assegurar que as Melhorias foram implementadas e atenderam às
expectativas.
Análise de Riscos em
Sistemas de Informação
AUTORIA
Marcel Santos Silva
Analisar o risco em segurança da informação consiste em identi�cá-los e medir seus
possíveis danos ao ambiente, desta forma, servindo de parâmetros para justi�car os
mecanismos de controles de segurança, além de rastrear as áreas de riscos do
sistema e de�nir medidas e�cazes para combate.
A probabilidade de sucesso no ambiente tecnológico está intrinsicamente ligada à
uma análise de risco e�ciente, pois permite o alinhamento dos objetivos de
segurança com os requisitos do negócio, além de garantir melhores resultados e
suprimir qualquer tipo de surpresa.
O risco está diretamente relacionado à exploração de vulnerabilidade do sistema,
por meio de ameaças, que impactam negativamente os recursos tecnológicos e a
atividade da organização. Para alguns autores, o risco é composto pelos seguintes
critérios: causa raiz, que é a origem do risco; efeito, que é a consequência gerada;
probabilidade, que são as chances de que efetivamente se concretize; e, impacto
que é o resultado ocorrido quando da efetivação do evento.
O planejamento do sistema de gestão de segurança da informação a ser elaborado
pela organização deve contemplar a determinação dos riscos e oportunidades que
deverão assegurar que os resultados sejam alcançados, que se consiga reduzir ou
prevenir os efeitos indesejados e se alcance a melhoria contínua. Para isso, deve-se
partir da realidade para a abordagem teórica que melhor se adapte à organização
naquele momento, de�nir a ameaça como a ação de uma pessoa, ambiente, recurso
NA PRÁTICA
Analisando um risco: imagine que você digitou um arquivo e o salvou
no computador, no entanto, você não fez nenhum backup e, ao
desligar, notou que seu computador fez um barulho estranho. Alguns
dias depois, ao tentar ligar seu equipamento, ele não ligou e apresentou
um erro no dispositivo de armazenamento (HD), ou seja, você perdeu o
arquivo que estava gravado nele. A causa raiz foi não ter feito o backup,
pois desta forma �cou à mercê do risco. O efeito foi o fato de perder o
arquivo; a probabilidade são as chances do seu HD corromper que eram
altas, pois ele já havia emitido barulhos estranhos; e o impacto foi o
sentimento de não ter sido produtivo, pois já que todo o trabalho feito
estava perdido. Com isso se conclui que a causa raiz está ligada à
probabilidade e o efeito ao impacto do evento, portanto, exposição ao
risco = probabilidade x impacto.
ou fenômeno que seja considerado um perigo para a organização e, por �m, de�nir
o risco como chance – considerando as contramedidas existentes de uma ameaça se
transformar em realidade.
O objetivo principal de uma análise de impacto no negócio nem sempre é ter o valor
exato de um bem de informação ou da ocorrência de uma ameaça, mas identi�car a
prioridade com que se devem tratar os riscos. Se não existe incerteza, ou seja, se é
impossível de acontecer ou se tem uma certeza sobre um fato, não existe risco.
Quanto mais clara a dinâmica dos riscos, seus impactos e as causas da sua
concretização, menos a organização estará exposta a eles.
Para calcular os riscos existem duas abordagens. A primeira usa métodos objetivos e
é utilizada quando existe histórico consistente de dados. A segunda usa métodos
subjetivos e é utilizada quando não existe histórico consistente. Nesse caso, são
utilizadas escala de valores e avaliação do grau de criticidadede cada risco.
Ao identi�car um risco a organização tem a opção de executar contramedidas que
poderão eliminar, reduzir, absorver ou transferir o risco. Essas consequências
poderão ser absorvidas pela própria organização ou por parceiros. Porém, alguns
riscos especí�cos poderão não ser controlados por contramedidas. Nesse caso,
devem ser documentados e apresentados ao nível diretivo da organização.
Conforme estabelece a ABNT NBR ISO/IEC 27001 (2013), a organização deve de�nir e
aplicar um processo de avaliação dos riscos que compreenda os seguintes aspectos:
Estabelecer e manter critérios de segurança da informação que contemplem
aceitação e desempenho das avaliações dos riscos;
Garantir que as frequentes avaliações de riscos de SI produzam resultados
comparáveis, válidos e consistentes;
Identi�car os riscos associados a perda de con�dencialidade, integridade e
disponibilidade dentro do escopo do SGSI;
Identi�car os responsáveis dos riscos;
Analisar os riscos de acordo com suas consequências potenciais, probabilidade
da ocorrência e determinação dos níveis de risco;
Avaliar os riscos e priorizar o tratamento.
De acordo com a ABNT NBR ISO/IEC 27005 (2011), o processo de gestão de risco
compreende a aplicação sistemática de procedimentos, políticas e práticas para
tarefas que envolvam comunicação, de�nição do contexto, análise e avaliação,
tratamento, monitoramento, análise crítica e aceitação do risco, conforme ilustrado
pela �gura 1.
Figura 1 – Processo de gestão de risco em segurança da informação
Fonte: adaptada de ABNT NBR ISO/IEC 27005 (2011).
O processo de gestão de riscos de segurança da informação pode ser iterativo para
avaliação ou para as atividades de tratamento do risco. Com foco iterativo na
execução do processo de avaliação de riscos, se torna possível o aprofundamento
detalhado da avaliação em cada repetição. Tal enfoque permite minimizar o tempo
e o esforço despendidos na identi�cação de controles, além de assegurar que, riscos
de alto impacto ou de alta probabilidade, possam ser adequadamente avaliados.
Conforme ilustrado pela �gura 1, a primeira etapa é o estabelecimento do contexto.
Posteriormente, se executa um processo de avaliação de riscos. Caso sejam
fornecidas informações su�cientes para se determinar ações de redução dos riscos a
um nível aceitável, então se completa a tarefa e o tratamento do risco pode ser
iniciado. No entanto, caso as informações sejam insu�cientes, realiza-se outra etapa
de iteração do processo de avaliação de risco, revisando o contexto, como por
exemplo, reavaliando os critérios de avaliação, aceitação ou de impacto do risco.
O contexto para gestão de riscos de segurança da informação compreende a
de�nição de critérios básicos, a de�nição do escopo e dos limites da gestão de risco
e, por �m, o estabelecimento de uma organização apropriada para operacionalizar a
Gestão de Riscos de Segurança da Informação.
A norma direciona para que os riscos sejam identi�cados, quanti�cados ou descritos
qualitativamente, também podendo ser priorizados em função dos critérios de
avaliação de riscos e dos objetivos relevantes da organização. A análise/avaliação de
riscos é composta da análise de riscos, que consiste na identi�cação e estimativa de
Riscos; e, da avaliação de riscos.
Vale ressaltar ainda que, as opções para o tratamento dos riscos devem ser
selecionadas e que o Plano de Tratamento do Risco seja de�nido. A �gura 2
apresenta tais opções.
Figura 2 – Opções de tratamento do risco
Fonte: adaptada de ABNT NBR ISO/IEC 27005 (2011).
Por convenção, a ABNT NBR ISO/IEC 31000 (2018) sugere que o processo de gestão
de risco esteja incutido diretamente na tomada de decisão e seja parte da estrutura,
operações e processos da organização. Podendo ser aplicado nos níveis estratégico,
operacional, de sistemas ou de projetos.
Já a ABNT NBR ISO/IEC 27005 (2011) sugere que a gestão de riscos de segurança da
informação seja um processo contínuo. E ainda, que esse processo de�na o contexto
interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento,
objetivando a implementação das recomendações e decisões.   Destaca, por
conseguinte, que a gestão de riscos analise as possíveis ocorrências e suas
consequências antes de decidir o que, e em que momento será feito, a �m de
reduzir os riscos a um nível aceitável.
Plano de Contingência e
Continuidade
AUTORIA
Marcel Santos Silva
No dia a dia da organização, quando surge um evento inesperado, quais ações
devem ser tomadas e como os funcionários devem proceder para que essa
ocorrência não gere maiores prejuízos. Essa é a razão de se antecipar à possíveis
eventos, seja ele um desastre físico, uma descontinuidade do negócio entre outros.
Um evento ou interrupção nos serviços de uma organização, apesar de se
apresentarem de forma rara, pode ocorrer a qualquer momento e de forma
inesperada, causado pelos mais diversos tipos de ameaças. Tais ameaças podem vir
de ambiente interno, por meio de falhas nos processos ou sistemas, fraudes
�nanceiras ou contábeis; e do ambiente externo, causados por desastres naturais e
economia, entre outros (FERNANDES, 2014).
Qualquer evento que potencialmente possa impedir a organização de atingir seus
objetivos deve ser considerado uma ameaça. É neste ponto que a ação a ser
realizada consiste na medição da probabilidade de que essa ameaça se torne
realidade, essa postura é conhecida como gestão de risco, em que se identi�cam as
ameaças e continuamente avaliação suas possibilidades de ocorrência.
Para Fontes (2008), existem dois momentos, antes e depois da ocorrência do evento.
Antes do evento é necessário que sejam executadas ações preventivas com objetivo
de minimização dos riscos. Ou aspecto importante é a realização de ações de
�exibilização operacional, pode meio da gestão de mudanças, gestão de recursos e
gestão de problemas. Já no momento pós-evento, é necessário executar o plano de
crise, que pode ser classi�cado em três: plano de contingência, plano de
recuperação de desastre e plano de emergência. Vejamos cada um deles a seguir.
Plano de Contingência
O plano de contingência dever ser elaborado em situações em que há perda de
recursos, no entanto, esses recursos podem ser recuperados por meio de ações com
menor impacto para a organização.   Por exemplo, como plano de contingência, a
organização opta por possuir dois servidores (equipamentos) com as mesmas
con�gurações e capacidades para suportar um determinado serviço. Caso ocorra
uma falha grave em um dos servidores, é possível que o outro equipamento assuma
totalmente a disponibilização do serviço, causando assim, um impacto
momentâneo de indisponibilidade, que se refere a ajustes de redirecionamento e
reestabelecimento do serviço no novo servidor.
Plano para Recuperação de
Desastre
O plano para recuperação de desastre dever ser construído para atendimento a
situações em que ocorram perdas ou rupturas de recursos que exigem um esforço
considerável para a recuperação de cada recurso perdido. Podemos citar como
exemplo a destruição física de um local onde os equipamentos centrais da
organização (servidores) estão alocados, obrigando a utilização de outro espaço para
disponibilização dos recursos.
Plano de Emergência
O plano de emergência tem como característica atender situações em que, na
maioria das vezes, não há perda de recurso, mas um sofrimento desse recurso. Por
exemplo, a imagem da organização é afetada por uma falha em determinado
produto que pode ser um lote de determinado remédio que causa efeitos colaterais,
uma peça de um veículo que precisa ser trocada, pois pode causar um acidente
entre outros.
Plano de Continuidade
Todos os planos já apresentados buscam o mesmo objetivo que é a continuidade do
negócio, porém vale destacar que o plano de continuidade de negócio deve
extrapolar os recursos computacionais. O principal objetivo é o planejamento de
ações que serão executadas quando o eventoocorre, de forma a garantir que a
organização mantenha, ao menos, suas atividades críticas em um nível aceitável,
que fora de�nido pela sua área estratégica.
Fontes (2008) alerta que as organizações devem realizar uma avaliação sincera da
sua capacidade para enfrentar situações de contingência. O mais importante é
possibilitar que a organização, principalmente a alta direção, tome conhecimento
dos pontos fortes e das vulnerabilidades em relação à continuidade de negócio.
O plano de continuidade tem como principal objetivo a construção de padrões de
procedimentos que serão executados em situações adversas, de forma a
proporcionar à organização a recuperação e retomada dos processos para
continuidade das atividades vitais para o negócio, minimizando danos mais
profundos que possam gerar prejuízos �nanceiros e, acima de tudo, de imagem
(BARRETO et al., 2018)
Para uma análise realista, devem-se considerar alguns aspectos e realizar algumas
ações, como a de�nição do cenário dos recursos, do escopo organizacional e das
ameaças consideradas. É preciso ainda identi�car a situação de maior risco de
ocorrência e de maior impacto para a empresa.
De acordo com Fontes (2008), para facilitar a identi�cação das vulnerabilidades e se
preparar para construção de um plano de continuidade e�ciente, pode-se seguir
uma classi�cação de maturidade do negócio, seno o nível mais alto, a melhor
situação. Nessa proposta, o autor complementa que os níveis são cumulativos, ou
seja, para se alcançar o nível imediatamente superior é obrigatório que todos os
itens do nível em questão tenham sido satisfatoriamente atendidos. A seguir, as
características de cada um dos níveis:
NÍVEL ZERO
Não existem cópias de segurança dos dados, dos programas aplicativos, das
ferramentas de apoio e dos sistemas operacionais.
NÍVEL UM
Há um pro�ssional responsável pela gestão das cópias de segurança, garantindo o
cumprimento das ações de�nidas. As cópias de segurança são guardadas em local
diferente do local principal. O local alternativo que guarda as cópias de segurança
possui proteção física adequada. Há recursos de tecnologia alternativos dentro do
ambiente principal, garantindo a continuidade do ambiente computacional para
contingências parciais.
NÍVEL DOIS
Há recursos de tecnologia e de escritórios alternativos em outro local distante dos
principais. Foi realizada uma análise de impactos (�nanceiro, de imagem e
operacional) no negócio junto aos usuários para identi�car a prioridade de
recuperação dos processos e dos serviços críticos.
NÍVEL TRÊS
Há um monitoramento dos recursos utilizados pelos processos ou serviços, com o
objetivo de proativamente identi�car, minimizar ou eliminar situações de
indisponibilidade. São realizados, pelo menos duas vezes por ano, testes (mesmo
que parciais) para garantir a efetividade da solução de recursos alternativos. Os
testes realizados são planejados, documentados, avaliados e contam com a
participação das áreas envolvidas.
NÍVEL QUATRO
Há planos alternativos documentados que serão utilizados pelos usuários, quando
de uma indisponibilidade dos recursos tecnológicos. São realizados, ao menos, dois
testes (mesmo que complementares) no período de um ano pelos usuários para tais
procedimentos alternativos.
NÍVEL CINCO
Os planos de procedimentos alternativos e de tecnologia são atualizados e validados
pelo menos duas vezes por ano. Os responsáveis por esses planos estão claramente
de�nidos e há uma política de contingência assinada pela alta direção da
organização.
Elaborar um Plano de Continuidade
Para que um plano de continuidade seja e�ciente, é necessário seguir algumas
etapas durante o processo de sua elaboração. As primeiras características que
devem ser consideradas é a de�nição do escopo, que consiste na identi�cação dos
recursos, das ameaças e dos ambientes que farão parte deste plano.
Uma vez identi�cadas as ameaças, estabelece-se o cenário em que poderá ocorrer o
referido desastre, criando assim diferentes versões explícitas e em quais
circunstâncias serão consideradas a efetivação do contingenciamento.
A próxima etapa consiste basicamente na avaliação das ameaças e riscos, que
devem levar em consideração o escopo e cenários criados para cada uma destas. Por
conseguinte, deve-se analisar o potencial impacto no negócio, seja �nanceiro,
operacional ou de imagem, para caso um determinado recurso esteja indisponível.
Vale destacar que esta indisponibilidade deve ser medida de forma a se quanti�car o
suportável.
Em seguida, devem ser avaliadas as opções de processamento alternativo para a
informação, de forma a atender as necessidades da organização. O próximo passo é
a construção de documentos e manuais que comporão o plano de continuidade do
negócio, que servirá para formação dos envolvidos e validação em caso de
necessidade de execução, considerando que todas as atividades necessárias estão
previstas, no caso de efetivação do desastre.
Por �m, são necessários ainda, dois planos, o de teste que consiste na elaboração de
procedimentos de forma a garantir, por meio de treinamentos, que os envolvidos
mantenham o entendimento na execução dos planos, além de identi�car possíveis
situações não previstas que necessitam ser incorporadas; e o plano de manutenção,
que estabelece as normativas de manutenção do plano, ou seja, a evolução por meio
de manutenção periódica e para situações especí�cas. A continuidade na
elaboração de planos cada vez mais completos, possibilitará a organização caminhar
e alcançar o plano de continuidade de negócio necessário e completo para a
organização.
Como não podemos deixar de falar em normas e padrões, a ABNT publicou em 2020
a ABNT NBR ISO 22301:2020 – Segurança e resiliência – Sistema de gestão de
continuidade de negócios – Requisitos, que especi�ca os requisitos para
implementação, manutenção e melhoria do sistema de gestão para que as
organizações possam se proteger, reduzir a probabilidade de ocorrência, se preparar,
responder e se recuperar de disrupções quando de sua ocorrência.
Em conjunto com esta norma, foram publicadas ainda as seguintes:
ABNT NBR ISO 22313:2020 - Segurança e resiliência — Sistemas de gestão de
continuidade de negócios — Orientações para o uso da ABNT NBR ISO 22301;
ABNT NBR ISO 22316:2020 - Segurança e resiliência — Resiliência
organizacional — Princípios e atributos;
ABNT ISO/TS 22317:2020 - Segurança da sociedade — Sistemas de gestão de
continuidade de negócios — Diretrizes para análise de impacto nos negócios
(BIA);
ABNT NBR ISO 22320:2020 - Segurança e resiliência — Gestão de emergências
— Diretrizes para gestão de incidentes;
ABNT NBR ISO 22322:2020 - Segurança da sociedade – Gestão de emergências
– Diretrizes para aviso público, que fornece diretrizes para o desenvolvimento,
gestão e implementação de avisos públicos antes, durante e após incidentes.
Nota-se que, assim como a tecnologia, é preciso que as organizações estejam cada
vez mais preparadas, de forma a identi�car e se antecipar a eventos que podem
causar qualquer tipo de prejuízo, independentemente do seu grau.
Política de Segurança da
Informação
AUTORIA
Marcel Santos Silva
A Segurança da Informação tem seu início por meio da elaboração de uma política
clara e concisa no que se refere a proteção das informações. É pela Política de
Segurança da Informação (PSI) que a empresa formaliza suas estratégias e
abordagens para a preservação de seus ativos.
Para Ferreira e Araújo (2008), a PSI compreende o conjunto de normas,
procedimentos e métodos utilizados para manutenção da segurança da informação
dentro da organização, devendo ser formalizada e amplamente divulgada para os
usuários que utilizam os ativos de informação.
A ABNT NBR ISO 27002 (2013) de�ne como objetivo da PSI “Prover uma orientação e
apoio da direção para a segurança da informação, de acordo com os requisitos do
negócio e com as leis e regulamentações relevantes.” Ainda de acordo com a ABNT
NBR ISO27002 (2013), é importante que a alta direção seja a precursora da PSI,
estabelecendo a abordagem da organização para o gerenciamento dos objetivos
que tratam da segurança da informação.
A norma destaca que a PSI deve contemplar os seguintes requisitos:
Da estratégia do negócio;
De regulamentações, legislação e contratos;
Do ambiente de ameaça da segurança da informação, atual e futuro.
Outro ponto a ser considerado pela PSI estão relacionadas as declarações relativas a:
De�nição da segurança da informação, objetivos e princípios;
Atribuição de responsabilidades, gerais e especí�cas, para os papéis de�nidos;
Processos para o tratamento dos desvios e exceções.
A PSI tem a incumbência de capacitar a organização com instrumentos processuais,
jurídicos e normativos. Estes, devem compreender as estruturas tecnológicas, físicas
e administrativas, de maneira a garantir os princípios da integridade, disponibilidade
e con�dencialidade das informações organizacionais. Para Ferreira e Araújo (2008) a
PSI pode ser dividida em três blocos que são:
As Diretrizes possuem papel estratégico e tem por objetivo expressar a
importância que a organização dá aos ativos de informação, além de
demonstrar claramente seus valores aos funcionários;
As Normas estão vinculadas diretamente no segundo nível da política onde se
detalha ambientes, situações e processos especí�cos, fornecendo subsídios
para o uso adequado das informações;
Já os Procedimentos estão presentes na política em maior quantidade por se
tratar especi�camente de ações operacionais. É nesta camada que são
especi�cados os meios de se atingir os objetivos estabelecidos pelas diretrizes.
Para um melhor entendimento da relação dos blocos da PSI com a estrutura
organizacional, apresenta-se a �gura 1.
CONECTE-SE
Você sabia que o Comitê Gestor da Internet no Brasil (CGI), possui uma
área denominada NIC.br, que é o Núcleo de Informação e Coordenação
do Ponto BR, criou o Grupo de Resposta a Incidentes de Segurança para
a Internet no Brasil (CERT.br), cuja responsabilidade é tratar incidentes
de segurança em computadores que envolvam redes conectadas à
Internet no Brasil. Dentre diversos documentos, eles elaboraram uma
cartilha que estabelece as Práticas de Segurança para Administradores
de Redes Internet. Acesse o site cert.br e conheça essas práticas.
https://go.eadstock.com.br/Vz
Figura 1 – Diagrama do conceito dos componentes da PSI e seus pilares.
Fonte: adaptada de Ferreira e Araújo (2008).
A política deve ser construída antes da ocorrência de eventos que podem impactar
na segurança da organização ou após, de forma a evitar a reincidências. Uma das
premissas básicas é a criação de um Comitê de Segurança da Informação, que deve
envolver diversos setores, tais como, tecnologia da informação, jurídico, engenharia,
infraestrutura, recursos humanos e outros que forem necessários.
Ferreira e Araújo (2008) apresentam um plano organizado em quatro fases para o
desenvolvimento de uma política de segurança da informação, conforme
explicitados a seguir.
Fase 1 – Levantamento de informações
A fase de levantamento de informações possui quatro subfases, que compreendem
os seguintes as atividades principais:
Aquisição de padrões, normas e procedimentos de segurança já existentes;
Identi�cação das necessidades e uso dos recursos da tecnologia da
informação;
Coleta de informações sobre os processos de negócios, tendências de mercado
e controles de risco;
Aquisição de informações sobre o ambiente tecnológico.
Fase 2 – Desenvolvimento do conteúdo da política e normas de
segurança
A segunda fase é responsável pela consolidação dos conteúdos necessários para a
PSI, possuindo também quatro subfases, em que são realizadas as seguintes
atividades:
Gerenciamento da política, por meio da de�nição da segurança da informação,
do objetivo do gerenciamento, dos fatores críticos de sucesso e da manutenção
da política.
De�nição de regras e responsabilidades, em que se deve criar o comitê, de�nir
o proprietário e os usuários das informações, os recursos humanos e a auditoria
interna;
De�nição dos critérios de classi�cação das informações, por níveis,
reclassi�cação, armazenamento e descarte;
Elaboração dos procedimentos de segurança da informação, por exemplo, uso
de internet, correio eletrônico e realização de cópias de segurança, entre
outros.
Fase 3 – Elaboração dos procedimentos de segurança da informação
A terceira fase consiste na construção dos procedimentos de segurança da
informação, subdivididos em três etapas:
Busca e identi�cação das melhores práticas em SI usadas pelo mercado;
Elaboração de procedimentos e padrões, para apresentação e discussão com a
alta gerência da organização e alinhamento as necessidades do negócio;
Formalização dos procedimentos no processo de integração às políticas
corporativas.
Fase 4 – Revisão, aprovação e implantação das políticas, normas e
procedimentos de segurança da informação
A última fase está organizada em apenas duas etapas, que consistem na revisão e
aprovação das políticas, normas e procedimentos de SI. E, por �m, na implantação
concreta destas políticas, normas e procedimentos, atuando diretamente na
divulgação, envolvimento e publicidade da Política de Segurança da Informação
para todos os funcionários da organização.
CONCEITUANDO
Um dos principais fatores de sucesso de implementação de uma
Política de Segurança da informação consiste na sua divulgação.
Portanto apresentamos quatro aspectos que devem ser considerados
nesse processo:
�. Todos devem ter acesso, um completo entendimento dos
controles e objetivo da PSI;
�. Devem ser realizadas as mais diversas formas de divulgação (e-
mail, comunicado, workshop, cartilhas, etc.);
�. Deve-se criar um programa de reciclagem, divulgação periódica
aos novos funcionários; e
�. Para toda alteração, revisão da PSI deve-se realizar novamente o
processo de divulgação.
Auditoria de Sistemas
AUTORIA
Marcel Santos Silva
Quando o assunto é segurança da informação em sistemas, há obrigatoriamente a
necessidade de se identi�car os usuários que realizaram as ações e em que
momento essas ações foram executadas. Portanto, é de extrema necessidade a
criação de um mecanismo para gravação e recuperação de todas as ações ou
eventos que foram realizados no sistema. Uma característica importante neste
mecanismo é a precisão das informações geradas, pois comporão as trilhas de
auditoria.
O trabalho em rede e o compartilhamento de recursos tornam a auditoria um
processo complexo, além de aumentar a sua aplicabilidade nos sistemas de
informações. As conhecidas trilhas de auditoria proveem um ferramental de
aperfeiçoamento e proteção contra as principais vulnerabilidades e ameaças, nas
tentativas de acesso, violação do sistema e na correção de riscos identi�cados.
Para se planejar um sistema de auditoria, são necessários alguns pontos básicos,
como a geração de trilhas de auditoria, análise e forma de armazenamento que são
de�nidas conforme a necessidade da aplicação.
Princípios de Auditoria
A ABNT NBR ISO 19011 (2018) apresenta os princípios relacionados aos auditores, de
forma a possibilitar uma conclusão de auditoria relevante, independente com
conclusões mais próprias da realidade. Os princípios apresentados pela norma são:
Integridade: o fundamento do pro�ssionalismo. Espera-se o desempenho do
trabalhado de forma ética, honesta, imparcial e com responsabilidade;
Apresentação justa: a obrigação de reportar com veracidade e exatidão. O
resultado da auditoria deve se pautar na veracidade e precisão das atividades
de auditoria. A comunicação deve ser verdadeira, objetiva, clara e completa.
Devido cuidado pro�ssional: aplicação de diligência e julgamento em
auditoria. Ser pro�ssional e exercer com o cuidado conforme a importância da
tarefa que está sendo executada. Ter a capacidade de realizar julgamentos
ponderados em todas as situações de auditoria.
Con�dencialidade: segurança da informação.Importante que haja total
discrição das informações obtidas e não ocorra o uso inapropriado para ganhos
pessoais. Deve se manusear de forma apropriada a informação sensível ou
con�dencial.
Independência: a base para a imparcialidade da auditoria e objetividade das
conclusões de auditoria. A independência do auditor é imprescindível para o
sucesso da auditoria, de forma a não ocorrer con�itos de interesse e
tendenciosidade.
Abordagem baseada em evidência: método racional para alcançar conclusões
de auditoria con�áveis e reprodutíveis em um processo sistemática de
auditoria. A evidência deve ser veri�cável, uma vez que o uso apropriado de
amostras está diretamente ligado à con�ança que se deposita nas conclusões
de auditoria.
Abordagem baseada em risco: uma abordagem de auditoria que considera
riscos e oportunidades. Tem por objetivo in�uenciar o planejamento, a
execução e o relato de auditorias, de forma a assegurar que aa auditorias
tenham como foco assuntos efetivamente relevantes para o cliente.
Ferreira e Araújo (2008) destacam a di�culdade em se transformar a considerável
quantidade de informações disponibilizadas por meio dos logs registrados nos mais
diversos sistemas, sejam servidores, aplicativos, �rewalls, roteadores entre outros,
que, geralmente, são formatos distintos e nem sempre compatíveis entre si.
Importante ressaltar que há alguns tipos de categorias de logs especí�cas para
usuários, sistemas, redes, aplicações, processos e sistemas de arquivos.
As organizações são amparadas por processos que possuem uma relação de
dependência de ativos físicos, humanos e tecnológicos, que naturalmente estão
sujeitos a falhas de segurança em algum nível. Estas vulnerabilidades são exploradas
por ameaças, que se efetivadas, geram impacto nos ativos, afetando os processos e,
por consequência, o negócio.
Já tratamos a necessidade de se ter uma visão completa dos riscos dentro das
organizações, uma vez que é necessária a continuidade do negócio para aqueles
que dependem de infraestrutura operacional e riscos controlados. Um dos maiores
problemas em segurança da informação é a identi�cação do causador do evento. No
entanto, por meio da gravação e guarda da trilha de ações realizadas no sistema,
essa identi�cação é possível.
Qualquer sistema que precise de um nível mais alto de segurança, principalmente
no que tange a controles de acesso, necessita também de auditoria. É
imprescindível o acompanhamento do desempenho do sistema segurança e corrigir
possíveis falhas, além da detecção de usuários maliciosos. O planejamento de um
processo de auditoria requer alguns pontos que antecedem a auditoria em si. Que
são:
Ações
É preciso analisar quais ações precisam efetivamente ser registradas, pois o fato de
registrar tudo pode ocasionar problemas de espaço para armazenamento, lentidão
no sistema e di�culdade na recuperação da informação desejada. Ao se registrar
poucas ações pode ainda não conseguir encontrar a informação desejada, por não
estar armazenada.
Privacidade
Veri�car até que ponto o registro de ações não invada a privacidade dos usuários,
podendo ocasionar outros problemas.
Análise da trilha
Só há necessidade de análise de trilha quando da ocorrência de um problema de
segurança.
Armazenamento
Veri�car as formas de armazenamento que impeçam o acesso de usuários
maliciosos, que poderão utilizar o acesso às trilhas com forma de ação ilícita e
exclusão de históricos, entre outros.
Programa de Auditoria
A auditoria consegue validar o atendimento dos requisitos para segurança da
informação, garantindo assim a segurança nos dados organizacionais. No entanto,
para que se atinja os objetivos, há um �uxo de processos de gerenciamento de uma
auditoria, de�nido pela ABNT NBR ISO 19011 (2018), conforme apresentado pela
Figura 1.
Figura 1 – Fluxo do processo de gerenciamento de um programa de auditoria
Fonte: adaptada de ABNT NBR/ISO 19011 (2018).
O programa de auditoria deve incluir informação e identi�car recursos para permitir
que elas sejam conduzidas de forma e�ciente e e�caz, cumprindo os prazos
estabelecidos. Conforme de�nido pela ABNT NBR ISO 19011 (2018), a informação deve
incluir:
Objetivos para o programa de auditoria;
Riscos e oportunidades relacionados ao programa de auditoria;
Escopo de cada auditoria no programa;
Agendamento de auditorias;
Tipos de auditoria, podem ser interna ou externa;
Critérios de auditoria;
Métodos de auditoria a serem empregados;
Critérios para seleção de membros de equipe de auditoria e
Informação documentada pertinente.
Etapas da Auditoria
A auditoria de tecnologia da informação não é baseada somente na segurança, mas
dispõe à organização inovar, intermediar, controlar e gerir processos, produtos ou
serviços de forma contínua, objetivando a construção de diferenciais competitivos.
Esta deve ser dividida em etapas, apresentando claramente os objetivos, o escopo e
os critérios estabelecidos.
As etapas, conforme ilustrado pela Figura 2, compõem o alinhamento das
expectativas da organização, o planejamento e levantamento das informações,
análise dos negócios e tecnologia da informação, apresentação dos relatórios das
análises e testes de controles e, por �m, a comunicação dos resultados e do plano
formal de ações.
Figura 2 – Etapas da auditoria
Fonte: elaborada pelo autor (2020).
Todas as etapas do processo de auditora devem produzir documentos para a
organização, pois possuem informações sobre os processos, os riscos encontrados e
a avaliação destes riscos, os controles em conformidade ou não com as normativas,
além de recomendações de melhoria.
Conceitos, Tipos de
Ameaças e
Vulnerabilidades
AUTORIA
Marcel Santos Silva
Vulnerabilidades
As vulnerabilidades são falhas que comprometem o sistema, ferindo os pilares da
segurança da informação. Basicamente são divididas em quatro tipos principais.
Vulnerabilidades de hardware, de comunicação, de armazenamento, humanas e
físicas.
Vulnerabilidades de Hardware
São equipamentos de hardware que, por serem mal instalados ou desenvolvidos,
acabam se apresentando com maior facilidade para diversos tipos de ataques. Os
ataques realizados em equipamentos de hardware ocorrem por conta de má
instalação e drivers desatualizados. Os modens são os hardwares, em geral, mais
acessíveis para um ataque malicioso, já que os atacantes aproveitam o uso de senha
fracas ou padronizadas para acessarem os painéis de controle do dispositivo.
Vulnerabilidades de Comunicação
Consiste em quando as redes privadas são acessadas sem o devido cuidado ou
quando alguém com habilidades técnicas avançadas conseguem invadir a rede
privada e capturar informações. As redes privadas são onde ocorrem a troca e
visualização de pacotes de dados, quando alguém explora essas vulnerabilidades,
acaba atingindo o princípio da con�dencialidade, podendo também atingir o
princípio da integridade.
Vulnerabilidades de Armazenamento
São as que afetam dispositivos de armazenamento, como pen drives, HDs externos,
SSDs, que são os cartões de memória de máquinas e celulares entre outros. Tal
vulnerabilidade pode ser explorada por ataques simples como vírus de script,
podem assim apagar todas as informações ali contidas.
Vulnerabilidades Humanas
Dentre as apresentadas, as vulnerabilidades humanas são as mais comuns, pois é a
ação realizada pelo próprio usuário que compromete a segurança, criando chances
para que os ataques ocorram. É também a mais perigosa, pois, por falta de
treinamento, acabam ocorrendo com maior frequência. As principais formas que
representam este tipo de vulnerabilidade são download de aplicações inseguras,
senhas fracas/simples e sua repetição para vários sistemas distintos.
Vulnerabilidades Físicas
São as que afetam as instalações prediais fora do padrão, sala de equipamentos mal
planejadas, ausência de sistemas de proteção ambiental, que possibilitam acesso
físico de pessoas não autorizadas.
Ameaças
Uma ameaça é a ação praticadapor softwares com intenções maliciosas, quando
exploram as vulnerabilidades do sistema com sucesso. Consiste em uma possível
violação de um sistema computacional e pode ser acidental ou intencional. Uma
ameaça acidental (não intencional) é aquela que não foi planejada. Pode ser, por
exemplo, uma falha no hardware (um defeito no disco rígido) ou uma falha de
software (bug do sistema). Já uma ameaça intencional, como o nome diz, está
associada à intencionalidade premeditada. Pode ser desde um monitoramento do
sistema até ataques so�sticados, como aqueles feitos por hackers ou crackers.
Algumas das principais ameaças aos sistemas de computadores envolvem
destruição de informações ou recursos, modi�cação ou deturpação da informação,
roubo, remoção ou perda de informação, revelação de informações con�denciais ou
não, chegando até a interrupção de serviços de rede.
Já um ataque ocorre quando uma ameaça intencional é realizada. Os ataques
ocorrem por motivos diversos. Variam desde por pura curiosidade, pelo interesse em
adquirir conhecimento e pelo teste de capacidade até o extremo, envolvendo
ganhos �nanceiros, extorsão, chantagem de algum tipo, espionagem industrial,
venda de informações con�denciais e – o que está muito na moda – ferir a imagem
de um governo ou uma determinada organização.
NA PRÁTICA
Ataques acidentais é quando um usuário, sem intenção de causar
prejuízos, por imprudência, imperícia ou negligência acaba causando
danos que comprometem os pilares da segurança da informação.
Como exemplo, imagine um funcionário de uma empresa que recebeu
um e-mail, nele informava que ele foi sorteado e que ganharia um
carro, devendo abrir o arquivo que estava em anexo e executá-lo em sua
máquina. Sem pensar que este ato poderia dani�car sua máquina, o
funcionário executa o arquivo e seu computador é infectado.
Intencionalidade das Ameaças
Basicamente, as intenções das ameaças podem ser categorizadas em três:
Naturais
Que são os fenômenos da natureza (incêndio, terremoto, tempestade, etc.).
Involuntárias
Que são causadas quase sempre pelo desconhecimento (acidentes, erros, etc.).
Voluntárias
Que são causadas propositalmente por agentes humanos (hackers, espiões, ladrões,
invasores, etc.).
Sistemas Computacionais e suas Ameaças
As ameaças inerentes aos sistemas computacionais são classi�cadas em:
Vazamento
Ocorre quando um usuário legítimo fornece informação para um ou mais receptores
não autorizados. Isto pode ocorrer propositalmente, ou não.
Violação
Ocorre quando uma informação legítima sofre alteração não autorizada (incluindo
programas).
Furto de recursos
Ocorre quando alguém não autorizado bene�cia-se das facilidades dos sistemas
computacionais.
Vandalismo
Quando alguém não autorizado, interfere, causando danos às operações dos
sistemas, sem ganhos próprios.
Evitando as Ameaças
A �m de evitar a concretização dessas ameaças e ataques, existem três aspectos
básicos que um sistema de segurança da informação deve conter.
Prevenção
Proteção de hardware: também conhecida como segurança física, impede acessos
físicos não autorizados à infraestrutura da rede, prevenindo roubos de dados,
desligamento de equipamentos e demais danos possíveis quando se está
�sicamente no local.
Proteção de arquivos e dados: providenciado por autenticação, controle de acesso
e antivírus. No processo de autenticação, é veri�cada a identidade do usuário. No
processo de controle de acesso, só são disponibilizadas as transações realmente
pertinentes ao usuário. O antivírus garante a proteção do sistema contra programas
maliciosos.
Proteção de perímetro: ferramentas de �rewall cuidam desse aspecto, mantendo a
rede protegida contra invasões de usuários não autorizados.
Detecção
Alertas: ferramentas para detecção de intrusos alertam os responsáveis pela
segurança da rede em momentos que identi�cam tentativa de invasão ou mudança
suspeita no ambiente computacional, que possa sugerir um padrão de ataque. Os
alertas podem ser por e-mail, mensagem direta ao administrador da rede entre
outras.
Auditoria: em períodos especí�cos deve-se analisar os níveis críticos do sistema em
busca de alterações suspeitas. Tal ação pode ser realizada por ferramentas que
identi�cam modi�cações com alteração de tamanho de arquivos de senhas,
usuários inativos, etc.
Recuperação
Cópia de segurança dos dados: é importante a atualização e a realização de testes
nas cópias de segurança dos arquivos, mantendo-os separados das suas fontes
originais.
Aplicações de Backup: aplicativos que possibilitam a recuperação rápida e con�ável
dos dados mais atualizados, na ocorrência de evento que pode ter causado a perda
dos dados.
Redundância do Hardware: a existência de redundância de hardware pode ser
justi�cada levando-se em consideração qual será o custo de uma interrupção do
sistema, de forma a determinar a importância da tecnologia da informação para a
organização.
É possível mitigar os riscos dos ativos computacionais de uma organização seguindo
algumas recomendações básicas contra as ameaças disponibilizadas pelas diversas
formas virtuais que circulam atualmente pela web:
Atualização do antivírus: os programas de antivírus devem ser atualizados
rotineiramente, principalmente quando da descoberta de um novo vírus ou
vulnerabilidade, pois a maioria dos ataques por vírus se utilizam de falhas em
sistemas operacionais e aplicativos.
Bloquear arquivos executáveis: quando se necessita enviar um e-mail com
um arquivo executável, utiliza-se do processo de compactação de arquivo.
Somente usuários especí�cos têm reais motivos para enviar, por e-mail,
arquivos com extensões desse tipo. Vale lembrar que muitos aplicativos de
webmail bloqueiam tais arquivos, mesmo compactados.
Bloqueio de programas de mensagens instantâneas: os aplicativos de
mensagens instantâneas possibilitam o compartilhamento de arquivos. Desta
forma, o usuário corre o risco de infectar o seu equipamento ao realizar o
download do arquivo, mesmo existindo um programa de antivírus instalado e
um controle de �rewall.
Autenticação Segura: no uso da Internet para realizar transações comerciais, é
necessária a veri�cação do site visitado e se ele utiliza o protocolo de segurança
seguro.
Outras providências para a segurança da informação em sistemas estão
relacionadas especi�camente aos serviços de correio eletrônico. As principais são:
Visualização de e-mail: desabilitar o recurso de visualização do sistema de correio
eletrônico. Essa função exibe o conteúdo de uma mensagem eletrônica antes do
usuário optar por realmente abri-la. Há diversos vírus que são ativados por meio da
pré-visualização da mensagem infectada.
Arquivos anexos: não se deve abrir arquivos anexados diretamente no aplicativo de
correio eletrônico. Orienta-se baixar o arquivo no disco rígido e, em seguida, realizar
a varredura do antivírus.
Mensagens de origem desconhecida: não se deve abrir e-mails com arquivos sem
o devido conhecimento do emissor. Além dos possíveis danos causados, existe o
risco de mensagens maliciosas redirecionarem automaticamente para uma página
da web, possibilitando assim que o invasor roube as informações pessoais do
equipamento infectado.
Mensagens inesperadas de conhecidos: suspeitar de mensagens inesperadas,
principalmente com anexos de algum remetente conhecido. O envio pode ter sido
realizado sem o consentimento da pessoa, que provavelmente está com a máquina
infectada.
Uso de criptogra�a: se a informação a ser enviada pela internet for con�dencial, a
solução é a utilização de algoritmos de criptogra�a que se criam chaves e só podem
ser decifradas por quem tem acesso à chave gerada. Alguns algoritmos de
criptogra�a já são incorporados em sistemas gerenciadores de correio eletrônico,
mas existe a possibilidade de se adquirir separadamente.
Vírus, Trojans e Malwares
AUTORIA
Marcel Santos Silva
Ameaças e Ataques
Existem diversos tipos de ataques, conhecidos como malware, que possuemações
especí�cas. O termo malware se refere especi�camente a programas desenvolvidos
para executar ações danosas em computadores. Os principais são: vírus, trojan,
backdoors, spyware, keylogger, worms e rootkits.
Vírus
É um programa ou parte de um programa de computador, normalmente malicioso,
que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte
de outros programas e arquivos de um computador. O vírus depende da execução
do programa ou arquivo hospedeiro para que possa se tornar ativo e dar
continuidade ao processo de infecção.
Os vírus podem se propagar por e-mails, por meio de scripts, na execução de macros
e por telefone celular. Importante ressaltar que, na maioria das vezes, eles se
mantêm ocultos, infectando os arquivos que estão armazenados no disco rígido e
executando sem o conhecimento do usuário.
Trojan
É um programa, normalmente recebido como um "presente", que além de executar
funções para as quais foi aparentemente projetado, também executa outras funções
normalmente danosas e sem o conhecimento do usuário. Eles podem ser instalados
por intrusos que alteram programas já existentes para desempenhar funções
maliciosas, além das originais. Algumas das funções maliciosas que podem ser
executadas por um cavalo de Troia são: Instalação de keyloggers ou screenloggers;
Furto de senhas e outras informações sensíveis, como números de cartões de
crédito; Inclusão de backdoors, para permitir que um atacante tenha total controle
sobre o computador.
Backdoor
Normalmente um atacante procura garantir uma forma de retornar a um
computador comprometido, sem precisar recorrer aos métodos utilizados na
realização da invasão. Na maioria dos casos, também é intenção do atacante poder
retornar ao computador comprometido sem ser notado. A sua inclusão consiste em
disponibilizar um novo serviço alterado, em geral, incorporando recursos que
possibilitam o acesso remoto. Os programas mais comuns de acesso remoto como
backof�ce, netbus, subseven e vnc, se não forem con�gurados corretamente ou
utilizados sem a devida autorização do usuário, podem ser caracterizados como
backdoors.
Spyware
Refere-se a uma categoria de software que tem o objetivo de monitorar atividades
de um sistema e enviar as informações coletadas para terceiros. Atividades
realizadas por esse tipo de malware são:
Monitoramento de endereços acessados enquanto o usuário navega na
Internet;
Varredura dos arquivos armazenados no disco rígido e
Monitoramento e captura de informações inseridas em outros aplicativos,
como editores de texto.
Eles podem ser legítimos, quando há o consentimento da instalação na máquina do
usuário; e malicioso, quando as ações executadas comprometem a privacidade dos
dados do usuário e a segurança do equipamento instalado.
Keylogger
É um programa capaz de capturar e armazenar as teclas digitadas pelo usuário.
Dentre as informações capturadas podem estar o texto de um e-mail, dados
digitados na declaração de Imposto de Renda e outras informações sensíveis, como
senhas bancárias e números de cartões de crédito.
Worm
Código capaz de propagar-se automaticamente por meio de redes, enviando cópias
de si mesmo de computador para computador. Diferente do vírus, o worm não
embute cópias de si mesmo em outros softwares ou arquivos e não necessita ser
explicitamente executado para se propagar. Sua propagação se dá por meio da
exploração de vulnerabilidades existentes na con�guração de aplicações instaladas.
Os worms são notadamente responsáveis por consumir muitos recursos.
Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas
vezes os worms realizam uma série de atividades, incluindo sua propagação, sem
que o usuário tenha conhecimento.
Rootkits
Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e
assegurar a sua presença no computador comprometido. O conjunto de programas
que fornece estes mecanismos é conhecido como rootkit. Ele pode fornecer
programas com as mais diversas funcionalidades, dentre eles: programas para
esconder atividades e informações deixadas pelo invasor, tais como arquivos,
diretórios, processos, conexões de rede; programas para remoção de evidências em
arquivos de logs; sniffers, backdoors e scanners, outros tipos de malware, como
cavalos de Troia, keyloggers, ferramentas de ataque de negação de serviço entre
outros.
Os códigos maliciosos possuem características próprias que os de�nem e os
diferenciam dos demais, por exemplo, forma de obtenção, instalação, propagação e
ação maliciosa. Com o objetivo de facilitar essa conceituação e classi�cação o Cert.br
(2020) apresenta uma tabela comparativa, conforme tabela 1.
Tabela 1 – Comparativo entre os códigos maliciosos
CÓDIGOS MALICIOSOS
Vírus Worm Trojan Spyware Backdoor Rootkit
Como é obtido:
Recebido automaticamente pela rede x
Recebido por e-mail x x x x
Baixado de sites na Internet x x x x
Compartilhamento de arquivos x x x x
Uso de mídias removíveis infectadas x x x x
Redes sociais x x x x
Mensagens instantâneas x x x x
Inserido por um invasor x x x x x
Ação de outro código malicioso x x x x x
Como ocorre a instalação:
Execução de um arquivo infectado x
Execução explícita do código malicioso x x x
Via execução de outro código malicioso x x
Exploração de vulnerabilidades x x x
Como se propaga:
Insere cópia de si próprio em arquivos x
Envia cópia de si próprio automaticamente
pela rede
x
Envia cópia de si próprio automaticamente
por e-mail
x
Não se propaga x x x x
Ações maliciosas mais comuns:
Altera e/ou remove arquivos x x x
Consome grande quantidade de recursos x
Furta informações sensíveis x x
Instala outros códigos maliciosos x x x
Possibilita o retorno do invasor x x
Envia spam e phishing
Desfere ataques na Internet x
Procura se manter escondido x x x x
Fonte: Adaptada de Cert.br (2020).
Fraudes
AUTORIA
Marcel Santos Silva
Olá, alunos!
Quando o assunto é fraude, há dois tipos conhecidos: os fraudadores internos e os
externos. Ambos são preocupantes, pois a intenção dos dois é uma só: prejudicar a
empresa ou pessoa.
No entanto, para que uma fraude efetivamente ocorra, de acordo com Fontes (2008),
são necessários ao menos três aspectos:
A motivação, que está exclusivamente ligada à pessoa e não há como intervir;
A ausência de controle, que permite que uma determinada vulnerabilidade
seja aproveitada. A criação de controles e monitoramento de vulnerabilidade é
uma das formas de mitigar as ações maliciosas;
A oportunidade, que é o momento em que o usuário tem a chance de realizar
a ação maliciosa. Geralmente há vulnerabilidades, porém, a pessoa não
conseguiu identi�cá-las.
Portanto, o conjunto desses três aspectos garante uma alta probabilidade de
realização de uma fraude. Com isso, ressalta-se a importância de ações de detecção,
prevenção e, como última maneira, recuperação das informações posterior à
ocorrência de uma fraude.
Em geral não é uma tarefa simples atacar e fraudar dados em um servidor de uma
instituição bancária ou comercial. Por isso, golpistas e fraudadores vêm
concentrando esforços na exploração das fragilidades dos usuários.
Utilizando técnicas especí�cas e por diferentes meios e discursos, eles buscam
enganar e persuadir as vítimas em potencial a fornecer informações sensíveis ou a
realizar ações tais como executar códigos maliciosos e acessar páginas falsas. Com
as informações pessoais das vítimas, os fraudadores podem realizar uma série de
ações, tais como: transações �nanceiras, acesso a sites, envio de mensagens
eletrônicas e criação de contas bancárias ilegítimas, entre outras atividades
maliciosas.
Atualmente, há muitos tipos de fraudes no meio digital e os mais comuns são: furto
de identidade, fraude de antecipação de recursos, phishing, golpes de e-commerce
e o famoso boato.
Furto de Identidade
O furto de identidade, também conhecido como identity theft, é o ato pelo qual
uma pessoa tenta se passar poroutra, atribuindo-se uma falsa identidade, com o
objetivo de obter vantagens indevidas.
De posse dos dados, alguém cria um per�l em outro nome em uma rede social,
acessa sua conta de e-mail e envia mensagens se passando pela pessoa ou falsi�ca
os campos de e-mail, fazendo parecer que ele foi enviado por ela.
Figura 1 - Exemplo de uso de Furto de Identidade.
Fonte: adaptada de Goa Disponível aqui
A �gura 1 mostra um exemplo prático da ação de fraudadores no recebimento de
restituição de tributos, como por exemplo, imposto de renda de pessoa física.
Acompanhe a imagem de acordo com a numeração descrita.
�. Usando informações pessoais do contribuinte, é realizado o envio de
mensagem pelo fraudador reivindicando um reembolso junto ao serviço da
Receita Federal;
�. A Receita Federal emite reembolso fraudulento ao fraudador;
�. Os arquivos legítimos do contribuinte são enviados pelo contribuinte à Receita
Federal;
https://www.gao.gov/assets/gao-16-508.pdf
�. A Receita Federal envia noti�cação ao contribuinte sobre o preenchimento
duplicado;
�. O contribuinte reconhece um problema e alerta a Receita Federal sobre a
fraude no reembolso de identidade.
Fraude de Antecipação de
Recursos
A fraude de antecipação de recursos, também conhecida como advance fee fraud, é
aquela na qual um golpista busca induzir seu alvo a fornecer informações
con�denciais ou a realizar um pagamento adiantado com a promessa de
futuramente receber algum tipo de benefício. A seguir, são apresentados alguns
exemplos desse tipo de fraude:
Loteria internacional
a vítima recebe um e-mail informando que ela foi sorteada em uma loteria
internacional, no entanto, para receber o prêmio a que tem direito, precisa fornecer
seus dados pessoais e informações sobre a sua conta bancária;
Crédito fácil
a vítima recebe um e-mail com uma oferta de empréstimo ou �nanciamento com
taxas de juros muito inferiores às praticadas no mercado. Após o seu crédito ser
supostamente aprovado, a vítima é informada que precisa realizar um depósito
bancário para o ressarcimento das despesas;
Doação de animais
pessoas que desejam adquirir um animal de uma raça consideravelmente cara e, ao
pesquisar por possíveis vendedores, descobre que há sites oferecendo tais animais
para doação. Após entrar em contato, é solicitado que a vítima realize o depósito de
um valor para despesas de transporte;
Oferta de emprego
a vítima recebe uma mensagem em seu celular contendo uma proposta tentadora
de emprego. Para efetivar a contratação, no entanto, é necessário que ela informe
detalhes de sua conta bancária;
Noiva russa
o fraudador deixa um recado na rede social da vítima contendo insinuações sobre
um possível relacionamento amoroso entre eles. Esta pessoa mora em outro país,
geralmente na Rússia, e após alguns contatos iniciais, sugere que se encontrem
pessoalmente, mas, para que ela possa vir até o país da vítima, necessita de ajuda
�nanceira para as despesas de viagem.
CONECTE-SE
O Cert.br, que é o Centro de Estudos, Resposta e tratamento de
incidentes de segurança no Brasil possui uma in�nidade de publicações
que tratam dos riscos na internet. Um dos materiais disponíveis
apresenta de forma clara e leitura simples os principais golpes aplicados
na rede de computadores, com foco especial, no Brasil.
Phishing
O phishing é o tipo de fraude por meio da qual um golpista tenta obter dados
pessoais e �nanceiros de um usuário por meio da utilização combinada de meios
técnicos e engenharia social. As ações mais comuns são: páginas falsas de comércio
eletrônico ou Internet Banking, páginas falsas de redes sociais ou empresas
conhecidas, mensagens contendo formulários de cadastro, mensagens contendo
links para códigos maliciosos e solicitação de recadastramento, entre outros.
https://go.eadstock.com.br/VA
Phishing – Pharming
Existe ainda o pharming, que é um tipo especí�co de phishing que envolve o
redirecionamento da navegação do usuário para sites falsos por meio de alterações
no serviço de DNS (Domain Name System).   Neste caso, quando a vítima tenta
acessar um site legítimo, o seu navegador Web é redirecionado de forma
transparente, ou seja, sem a percepção do usuário, para uma página falsa.
Fonte: Freepik.
Site Fraudulento de E-Commerce
Neste golpe, o hacker cria um site fraudulento com o objetivo especí�co de enganar
os possíveis clientes que, após efetuarem os pagamentos, não recebem as
mercadorias.
Para aumentar as chances de sucesso, o golpista costuma utilizar artifícios tais como
enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites
de compras coletivas e ofertar produtos muito procurados e com preços abaixo dos
praticados pelo mercado.
Site de Compras Coletivas
Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de
compras coletivas e, assim, conseguir grande quantidade de vítimas em um curto
intervalo de tempo.
Além disso, sites de compras coletivas também podem ser usados como tema de
mensagens de phishing. Fraudadores costumam enviar mensagens como se
fossem originárias do site o�cial e, desta maneira, tentam induzir a vítima a acessar
uma página falsa e a fornecer dados pessoais, como número de cartão de crédito e
senhas.
Site de Leilão e Venda de
Produtos
Os sites de leilão e venda de produtos são aqueles por meio dos quais um
comprador ou vendedor age de má-fé e não cumpre com as obrigações acordadas,
ou ainda utiliza os dados pessoais e �nanceiros envolvidos na transação comercial
para outro �m. Exemplos desse tipo de fraude são quitação de dívidas em menor
valor e compra e venda cruzada, em que o fraudador faz o papel de intermediário
oculto.
Boato
Também conhecido como hoax, o boato é uma mensagem que possui conteúdo
alarmante ou falso e que, na maioria das vezes, tem como remetente alguma
instituição, empresa importante ou órgão governamental. Por meio de uma leitura
minuciosa de seu conteúdo, normalmente é possível identi�car informações sem
sentido e tentativas de golpes, como correntes e pirâmides. Para legitimação dos
boatos, os fraudadores utilizam de diversos meios e técnicas, veja:
Engenharia social;
Falsi�cação de documentos em geral;
Roubo ou criação de "identidades" (pessoas e empresas);
"Marketing" ativo;
Simulação de situações e fatos;
Representação "teatral" de apoio;
Técnicas neurolinguísticas e de persuasão;
Técnicas de sedução;
Disfarce, mentira e sonegação de informações;
Ações legais de "contenção" ou "terrorismo";
Ameaças e medo e
Uso extensivo da Internet para criação de "referências".
Footprinting
O objetivo aqui é coletar o máximo de informações úteis sobre o alvo para que os
ataques sejam realizados de forma mais precisa. O resultado deve ser um per�l do
alvo que é uma imagem aproximada, mas que fornece dados su�cientes para
planejar a próxima fase – o escaneamento, conhecida como scanning. As
ferramentas mais utilizadas são:
Pesquisa geral;
Ping e Traceroute;
Sites de emprego;
Whois (internic e arin);
DNS Zone Transfer;
Google;
Archive.Org;
Mail tracking.
A seguir, apresentam-se algumas técnicas utilizadas para o reconhecimento, que
consiste na busca por informações especí�cas do alvo espalhadas pela Internet.
Veri�cação de E-mail
Para veri�car se um determinado e-mail está em alguma lista de vazamento de
informações de sites na Internet, essa consulta pode ser realizada acessando o
endereço haveibeenpwned.com. Basta digitar o endereço de e-mail desejado, e será
http://haveibeenpwned.com/
apresentado se o e-mail pode estar em algumas das listas já disponibilizadas na web
por hackers, conforme a imagem a seguir:
Whois
O serviço de diretório Whois apresenta as informações completas sobre os registros
autorizados pelos administradores de domínio, por exemplo, no Brasil, o Registro.br.
Há também outros sites, como o “Whats My IP” (www.whatsmyip.org/whois-dns-
lookup), onde é possível realizar a consulta das informações cadastrais dos
responsáveis