Cibersegurança Anatomia de um Ciberataque

Prévia do material em texto

Como citar este material: 
MARTINS, Álvaro Luiz Massad. Cibersegurança: Anatomia Clássica de um Ciberataque. 
Rio de Janeiro: FGV, 2022. 
 
Todos os direitos reservados. Textos, vídeos, sons, imagens, gráficos e demais componentes 
deste material são protegidos por direitos autorais e outros direitos de propriedade intelectual, de 
forma que é proibida a reprodução no todo ou em parte, sem a devida autorização
 
 
SUMÁRIO 
CIBERSEGURANÇA: ANATOMIA CLÁSSICA DE UM CIBERATAQUE .................................................... 5 
INTRODUÇÃO ..................................................................................................................................... 5 
Histórico de TI nas organizações ............................................................................................. 7 
Era do computador .................................................................................................................... 9 
Era da informação ..................................................................................................................... 9 
TRANSFORMAÇÃO DIGITAL E CIBERSEGURANÇA ........................................................................ 10 
Maturidade e papel de TI ........................................................................................................ 11 
Maturidade e papel de TI nas pequenas e nas médias empresas .................................... 16 
SEGURANÇA DA INFORMAÇÃO: UM TEMA CORPORATIVO ........................................................ 18 
Empresas no contexto da cibersegurança ........................................................................... 19 
Desafios de segurança corporativa ....................................................................................... 20 
ANATOMIA CLÁSSICA DE UM ATAQUE E OPÇÕES DE PROTEÇÃO ............................................. 21 
TIPOS DE ATAQUES CONHECIDOS ................................................................................................ 24 
Engenharia social ..................................................................................................................... 24 
Ransomware .............................................................................................................................. 24 
Ataques DDoS ........................................................................................................................... 25 
Software de terceiros ............................................................................................................... 25 
Vulnerabilidades de computação em nuvem ...................................................................... 25 
Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou 
sistemas .................................................................................................................................... 26 
Furto de identidade (identity thief) ......................................................................................... 26 
Golpe do boleto falso .............................................................................................................. 27 
BIBLIOGRAFIA ...................................................................................................................................... 29 
PROFESSOR-AUTOR ............................................................................................................................. 31 
ÁLVARO LUIZ MASSAD MARTINS ................................................................................................... 31 
Formação acadêmica: ............................................................................................................. 31 
Experiência profissional: ......................................................................................................... 31 
 
 
 
 
 
 
 
 
 
Neste curso, faremos uma reflexão a respeito do valor da inteligência sobre as ameaças 
cibernéticas, entendendo a importância de se pensar em segurança da informação como um tema 
corporativo, que envolve todas as áreas da organização. Conheceremos a anatomia clássica de um 
ataque, para assim facilitar a identificação de uma ameaça, entendendo as opções de proteção 
reativas e proativas contra ameaças cibernéticas. 
 
Introdução 
O objetivo final de uma empresa é alcançar lucro perene, e, para tanto, busca fazer o melhor 
uso possível dos seus recursos, alocando-os de acordo com as estratégias de negócio traçadas, para 
desse modo buscar competitividade. Muitas são as teorias acadêmicas que nos mostram tal fato, 
bem como a observação do cenário corporativo também pode comprovar. 
Ao longo do tempo, vemos a atenção se deslocar de um tipo de recurso para outro. Dessa 
forma, os primeiros pensadores da moderna ciência da administração surgida após a chamada 
Revolução Industrial focam as suas teorias na organização da produção, como fizeram Frederic 
Taylor (1903) e Henri Fayol (1916), as quais foram seguidas e implementadas por empresários 
como Henry Ford, fundador da Ford. 
Logo em seguida, vemos também as teorias focarem os recursos humanos, tanto nos trabalhos 
da psicóloga Lilian Gilbreth, precursora da psicologia aplicada ao trabalho, que defendeu a ideia de 
que o aumento da produtividade depende fundamentalmente da atitude dos empregados, das 
oportunidades a eles oferecidas e do ambiente físico no local de trabalho, quanto nas contribuições 
seguintes de psicólogos e sociólogos como Elton Mayo e Mary Parker Follet, culminando com o 
surgimento da Teoria das Relações Humanas em 1940. 
CIBERSEGURANÇA: ANATOMIA CLÁSSICA 
DE UM CIBERATAQUE 
 
6 
 
Mais adiante, na década de 1950, logo após a II Guerra Mundial, surgiu o conceito moderno 
de marketing, e as teorias se deslocaram também para o estudo dos mercados, com as primeiras 
teorias de Levitt, Drucker e Kotler. 
Mais recentemente, e cada vez mais, vemos a tecnologia desempenhar um papel relevante 
nas empresas, tornando-se assim um recurso dos mais importantes na busca pelo objetivo final 
de qualquer empresa. 
Conforme podemos ver em diversos trabalhos acadêmicos já realizados, a tecnologia sempre 
foi uma variável central na teoria organizacional, e o seu uso pelas empresas se intensifica, como 
apontam os gastos cada vez maiores. No Brasil, o total anual de gastos e investimentos em TI nas 
empresas, quando medido como um percentual da receita, cresceu a uma taxa média de 8,0% ao 
ano, conforme apontado por pesquisa que vem sendo realizada há mais de 30 anos pelo Centro de 
Tecnologia de Informação Aplicada (FGVcia) da Escola de Administração de Empresas de São 
Paulo da Fundação Getulio Vargas (FGV Eaesp). 
Uma questão também central quanto ao uso de TI pelas empresas é verificar se tal prática 
leva à melhoria do desempenho, fato ainda com resultados controversos, uma vez que alguns 
estudos apontam resultados positivos, enquanto outros dizem que não há relação, ou até mesmo 
que os resultados são negativos, havendo espaço para maior entendimento. 
Tanto as organizações como a tecnologia têm passado por dramáticas mudanças no formato 
e na função, consequentemente também é imperativa a mudança nas formas de gestão e de 
avaliação. O ritmo vertiginoso de mudança no mundo da tecnologia e as mudanças que a TI pode 
trazer para os negócios elevam os assuntos relativos à TI a um alto grau de importância, tanto que 
nesta nova realidade, as organizações se tornam virtuais em um ambiente totalmente 
interconectado, o que tem exigido mudanças significativas nas diretrizes organizacionais, inclusive 
na sua estrutura e nas regras de autoridade e responsabilidade. 
As mudanças são tão profundas no uso de TI pelas empresas e pelas pessoas, levando o 
conceito de computação ubíqua a ser uma realidade presente nos nossos dias, que até mesmo o 
estudo da área deveria levar isso em conta, expandindo o escopo das pesquisas, portanto, neste atual 
estágio deinformatização, em que vemos muitas empresas convivendo em um ambiente de total 
digitalização, os desafios para a gestão em alto desempenho são enormes. 
Uma complexidade ainda maior é encontrada ao analisar as pequenas e as médias empresas, 
que, apesar de desempenharem um importante papel no desenvolvimento econômico e social no 
mundo todo, não podem ser vistas com as mesmas lentes usadas relativamente às grandes empresas. 
Com base nessas mudanças e em alguns fatores, como o crescente ambiente de negócios 
digitais, nota-se o papel de políticos e governos criando leis que obrigam as pequenas empresas a se 
informatizarem, e os fornecedores de tecnologia cada vez mais enxergando as pequenas e as médias 
empresas como potenciais clientes. 
 
 
 7 
 
Por todo o exposto e em função do uso crescente de TI pelas empresas, é imperativo que o 
tema cibersegurança ganhe também maior relevância. Uma primeira abordagem que se faz 
necessária é entender o nível de maturidade em gestão de TI em cada empresa em particular, o que 
vai impactar sobremaneira a gestão de ciberameaças também. 
 
Histórico de TI nas organizações 
Com o intuito de entender o histórico de TI nas organizações, e desse modo contextualizar e 
entender melhor onde estávamos e para onde estamos indo, podemos observar a evolução da 
informática dividindo-a em dois momentos distintos: a Era do Computador e a Era da Informação. 
No ambiente das empresas, quando pensamos em TI estamos pensando fundamentalmente em 
informação, especialmente para tomar boas decisões. O papel central das informações nos negócios 
não é uma característica nova, ao contrário, desde sempre na história da administração de empresas a 
informação vem tendo um lugar de protagonismo. O que podemos considerar novidade é o aumento 
crescente do volume de informações, bem como o valor dessas informações para a tomada de decisão. 
Esse gigante volume de informações que temos disponíveis atualmente leva-nos até a cunhar um novo 
termo, o chamado big data, para fazer referência a esse contexto de explosão de informações. 
A informação é o insumo básico para a inteligência na tomada de decisão, pois enquanto no 
passado era comum se tomar decisão baseado somente em feeling, quando a experiência contava 
muito; hoje se busca intensamente a inteligência, derivada de informação, para tomar decisões 
consistentes, baseadas em dados e fatos. 
O valor das informações também é muito diferente do que foi no passado, como exemplo, 
pensemos em uma reunião de diretoria com gerentes há 30 anos: se algum gerente tivesse alguma 
nova informação relevante, e a apresentasse na reunião, esse fato seria visto como positivo, a 
pessoa ficaria valorizada, pois mostraria que era bem informada. Nesse sentido, o fato de ter a 
informação significava poder. 
Hoje, a mesma situação, isto é, apresentar uma informação relevante somente na reunião, 
pode significar até mesmo um problema, pois a informação deveria ter sido compartilhada no 
momento em que se soube dela. 
Por outro lado, ao olharmos a competição entre empresas, a complexidade dos negócios hoje 
é muito maior do que era no passado, o nível de competição está muito mais acirrado na maioria 
dos mercados, fato que não deriva exclusivamente de TI, mas também de vários outros fatores, por 
exemplo, a globalização. Essa competição maior exige que as empresas sejam mais competitivas, e 
para ser mais competitiva a empresa precisa ter informações mais apuradas para tomar boas decisões, 
de onde concluímos que o aspecto central para o sucesso da gestão é o bom uso das informações, 
que é justamente o centro da nossa conversa na área de TI. 
 
8 
 
Um esclarecimento inicial se faz necessário sobre o nome da nossa área: enquanto no passado 
nos referíamos à Informática, no presente chamamos a área de Tecnologia da Informação, e, ainda, 
se nos restringirmos ao ambiente acadêmico, o nome mais comum é Sistemas de Informação. 
Quanto ao entendimento do que seja TI, vamos definir como sendo qualquer conjunto de 
hardware, software e pessoas; e o primeiro grande desafio para uma boa gestão de TI é justamente a 
integração de todos esses elementos, de tal maneira que não se enxergue TI como fim em si, mas, 
sim, como meio para ajudar o negócio a atingir os seus objetivos. 
Olhando ao longo da história, notamos em primeiro lugar uma crescente redução de custos 
de TI nas empresas, seja hardware, seja software, telecomunicações e até mesmo transformação de 
modelos de negócios dos ofertantes de TI, pois hoje é muito comum tratar a tecnologia como 
serviço, e aqui nos referimos à computação em nuvem, ou cloud computing, em que a empresa 
contrata somente o necessário, pode ter uma escalabilidade rápida para satisfazer novas necessidades 
e não desperdiça recursos. 
Um aspecto interessante que vale ressaltar é que, apesar dessa redução de custos para a 
obtenção de TI, o gasto total das empresas com tecnologia aumenta a cada ano, fato apontado por 
pesquisa que vem sendo realizada há mais de 30 anos pelo FGVcia. 
Um segundo aspecto que observamos também com muita clareza é que cada vez mais 
encontramos todos os funcionários da empresa atuando como usuários de TI, o que não era comum 
até meados dos anos 1980, pois, quando se olhava para informática, o mais comum era se encontrar 
a figura do “usuário-chave”, que de alguma forma interagia com a área. 
Hoje, por sua vez, é muito comum encontrarmos todos os funcionários da empresa como 
usuários de TI, porque a TI de muitas maneiras permeia todos os processos de negócio das empresas, 
o que, obviamente, também contribui para a mudança de muitos processos de trabalho, mudando 
a forma como as pessoas fazem as suas tarefas. 
Justamente aqui, encontramos um terceiro aspecto fundamental que notamos ao olhar a evolução 
do uso de TI pelas empresas: o uso cada vez mais intensivo de TI implica a mudança nos processos e 
nas formas de trabalho na empresa, o que também poderá trazer uma resistência das pessoas às mudanças 
necessárias. Como bem sabemos, muitas pessoas não gostam de mudanças, e tentarão resistir ao 
máximo, o que pode significar muitas vezes uma sabotagem às novas tecnologias e processos. 
Portanto, ao pensarmos o uso de TI pelas empresas, não podemos esquecer a dimensão 
pessoas, e devemos buscar maior entendimento para fazer com que a adoção de novas tecnologias 
aconteça da forma mais tranquila possível. 
Para entendermos um pouco melhor a realidade da empresa no que diz respeito a esses três 
aspectos – redução de custos de TI, aumento de usuários na empresa, resistência humana às novas 
tecnologias –, vamos utilizar o modelo com os dois momentos distintos: a Era do Computador e a 
Era da Informação. Entretanto lembremos que, como qualquer modelo, este também é uma 
redução da realidade, mas nos permite melhor entendimento à medida que nos traz maior clareza 
dos contextos. Com isso podemos pensar esse modelo como duas fotos distintas, uma tirada no 
passado e a outra no presente, e cada uma delas nos mostra um cenário bem diferente do outro. 
 
 9 
 
Era do computador 
A área de informática era administrada pelo gerente do Centro de Processamento de Dados 
(CPD), que fundamentalmente era um profissional de formação técnica, um gestor de nível 
hierárquico médio, que tinha como principal missão garantir que o computador estivesse sempre 
funcionando, para assim garantir ganhos de produtividade em vários processos de negócio da empresa. 
O computador, que ainda era uma máquina de grande porte, o chamado mainframe, era o recurso 
focado, era o protagonista. Esses equipamentos eram caros e, por essa razão, o gerente do CPD muitas 
vezes se reportava ao executivo financeiro da organização, que era quem assinava o cheque. 
Nesse momento, somente gestores também de nível hierárquico médio se envolviam com o 
tema na empresa, não era comum que os principais gestores se envolvessem com o assunto, pois, 
apesar de o computador custar caro, o investimento totalfeito em informática não era muito elevado; 
na verdade, era bastante conservador. 
 
Era da informação 
Neste momento, o contexto muda bastante, a área de TI passa a ser gerenciada pelo Chief 
Information Officer (CIO), que deve reportar-se ao Chief Executive Officer (CEO). O CIO é um 
profissional de nível hierárquico elevado, cuja competência necessária não se limita mais a aspectos 
técnicos, mas acima de tudo deve entender o negócio e pensar como um estrategista. A sua principal 
missão é promover o alinhamento entre a TI e o negócio, para desse modo buscar níveis mais 
elevados de competitividade. 
O recurso focado não é mais o computador, mas, sim, os dados e a comunicação, muitas 
vezes nem importando onde elas estão, se dentro da empresa ou na “nuvem”; o envolvimento com 
o assunto não se limita mais a gestores de nível médio, ao contrário, a alta gestão da organização 
também está bastante envolvida com o tema e com as decisões sobre TI, especialmente pelo fato de 
agora as empresas gastarem fortunas com TI. 
Como podemos perceber, são dois momentos com características bastante distintas, e esse 
modelo nos ajuda a entender onde cada empresa se situa atualmente, mais próxima da Era do 
Computador ou mais parecida com a Era da Informação. A partir desse entendimento, podemos 
traçar melhor um diagnóstico de quais ações devemos empreender para conseguir fazer o melhor 
uso possível de TI na empresa. 
Lembremos que uma das principais competências de qualquer gestor é justamente a sua 
capacidade de diagnosticar, para então tomar as decisões necessárias para atingir os seus objetivos, 
e os modelos servem para nos ajudar nesse processo. 
Ao observarmos a realidade das empresas e olharmos para o passado, podemos notar que o 
“velho modelo econômico” tinha como característica grandes barreiras de entrada, a necessidade de 
muito capital, a presença de economias de escala, com grandes volumes e pequenas margens. Era 
um mundo em que só o forte sobrevivia. 
 
10 
 
Olhando para hoje, o mais comum é encontrarmos um “novo modelo econômico”, em que 
não importa mais somente ser grande, o que tem muito valor é ter criatividade, saber inovar, fazer 
gestão do conhecimento. Neste momento, as barreiras de entrada são baixas ou até inexistentes, e 
para sobreviver o aspecto mais importante é a agilidade. 
Neste novo cenário, que parece ser o mais comum em diversos mercados, quanto mais 
próxima da Era da Informação a empresa estiver maior agilidade terá para tomar decisões, e quanto 
mais ágil for para tomar decisões maior a capacidade de sobreviver, maior será a sua capacidade de 
competir. Por isso é imperativo que as empresas amadureçam na gestão de TI, caminhem no sentido 
da Era da Informação, para que tenham maior competência para tomar boas decisões, em tempos 
adequados, pois somente dessa forma conseguirão alcançar níveis de competitividade que as 
permitam ter agilidade para desempenhos superiores. 
Neste “novo modelo econômico”, também é bastante comum encontrarmos pequenas 
empresas fazendo bastante sucesso, pois não há mais a necessidade de ser grande, de ter muito 
capital, ao contrário, é muito comum encontrarmos grandes empresas que não conseguem fazer 
essa transformação, justamente por serem grandes e não ágeis. 
Obviamente, esse amadurecimento na gestão de TI será muito necessário para uma gestão 
adequada das ciberameaças. 
 
Transformação digital e cibersegurança 
Em função do alto grau de competição na maioria dos mercados, as empresas se defrontam 
com o desafio de se transformar para continuar tendo competitividade, e a tecnologia pode ser uma 
aliada fundamental, e a importância de se pensar em segurança da informação cresce. Entretanto 
não existe mágica, e muitas vezes o caminho não é fácil, exigindo não somente um grande esforço, 
mas também profundas mudanças. 
 O alinhamento entre a estratégia de TI e as estratégias de negócios é a principal questão a ser 
tratada para se ter sucesso nessa transformação digital, e esse assunto tem início na visão que se tem 
sobre o papel que a TI deve desempenhar no negócio. 
Alguns acreditam que a TI tem um papel estratégico no negócio, sendo até mesmo vista como 
um recurso para reconfigurar modelos de negócios, e, no limite, redefinir a competitividade, habilitando 
a chamada inovação disruptiva; enquanto outros acreditam que TI não deve ser tratada como um 
assunto estratégico, visão também compartilhada pelo pesquisador e autor americano Nicholas Carr. 
Independentemente da visão que se tenha, após a empresa já ter superado os estágios iniciais 
do uso de TI, as operações se tornam cada vez mais dependentes dos sistemas de informação, de 
modo que, se o sistema integrado parar, o negócio também para. Então, quanto mais a empresa usa 
TI, quanto mais gasta dinheiro em TI, quanto mais maturidade ela alcança, mais a empresa estará 
dependente do uso de TI. 
 
 11 
 
Importante ressaltar também que a empresa só vai conseguir extrair benefícios tangíveis do 
uso de TI, seja redução de custos, seja aumento de produtividade, melhoria de qualidade, ou maior 
flexibilidade para se transformar, à medida que ganhe maturidade. 
Portanto somente em estágios mais avançados de maturidade é que a TI não apenas dá 
suporte ao negócio, mas também influencia os planos de negócio, e é nesse estágio que pode 
contribuir para agregar valor aos produtos e serviços ou aos processos internos. 
Por isso é imperativo às empresas que busquem maior maturidade no uso de TI, para assim 
conseguirem fazer com que TI funcione como meio para ajudar o negócio a atingir os seus objetivos, 
em outras palavras, para que desse modo alinhem a estratégia de TI às estratégias de negócios e com 
a gestão adequada de questões de cibersegurança. 
 
Maturidade e papel de TI 
Vale lembrar que, na ciência da administração de empresas, os trabalhos de pesquisa buscam 
retratar as realidades existentes nas empresas, e, para tanto, o pesquisador vai às empresas para 
verificar como os fenômenos estudados estão acontecendo; obviamente, com a metodologia 
apropriada a cada caso em si, para ao final apresentar alguma resposta à pergunta de pesquisa, que 
pode até mesmo se tornar uma teoria sobre o assunto. 
Os conhecimentos adquiridos por meio dos processos de pesquisa são apresentados na forma 
de artigos, seja em congressos, seja em revistas das respectivas áreas de conhecimento. Essa teoria 
algumas vezes também pode ser apresentada na forma de um modelo, que tem a grande vantagem 
de nos ajudar a enxergar a realidade. Os modelos funcionam como lentes, dando-nos parâmetros 
para entender a realidade, e assim nos ajudam também a fazer diagnósticos. 
Para se pensar gestão de TI nas empresas, devemos levar em conta dois modelos seminais 
muito interessantes: o primeiro deles apresentado em 1979 pelo pesquisador e professor da Harvard 
Business School, Richard L. Nolan, que aborda o tema “maturidade no uso de TI”; e o segundo do 
pesquisador e também professor da Harvard Business School, F. Warren McFarlan, que no seu 
modelo apresentado em 1984 aborda “os diferentes papéis que TI pode desempenhar no negócio”. 
Em 1979, Nolan nos apresentou o resultado de uma pesquisa bastante abrangente realizada 
por ele, por meio da qual percebeu que existiam alguns comportamentos semelhantes de algumas 
empresas no que diz respeito a quatro dimensões: 
 carteira de aplicações – projetos que tinham em desenvolvimento na área de TI da empresa; 
 organização de processamento de dados – compreensão de como era organizada a área 
de TI da empresa; 
 planejamento e controle de processamento de dados – planejamento e controle da área 
de TI da empresa e 
 conhecimento do usuário – nível de conhecimento de TI dos funcionários da empresa. 
 
 
12 
 
Nolan (1979) olhou para essas quatro dimensões em várias empresas e percebeu que tinham 
comportamentos diferentes em cada uma, o que permitiu que ele criasse níveis, que chamou de 
estágios de crescimento,apresentando uma primeira versão da pesquisa em 1979 com quatro 
estágios, e um pouquinho mais à frente, em 1982, ele melhorou o modelo e chegou à sua versão 
final em que propõe seis estágios – iniciação, contágio, controle, integração, administração e 
maturidade – apresentados na figura 1. 
Percebam que em 1979 a área era ainda chamada de Processamento de Dados, e por isso essa 
nomenclatura é a que aparece no modelo, portanto onde lemos “processamento de dados” podemos 
entender “TI”, e dessa forma o modelo continua válido, pois é o que chamamos de modelo seminal, 
a partir do qual ainda continuamos a desenvolver conhecimento sobre o tema, modelo que ainda 
nos ajuda a pensar gestão de TI nas empresas. 
 
Figura 1 – Seis estágios de crescimento de processamento de dados 
 
 Fonte: Nolan (1979) 
 
Ao analisarmos esse modelo, percebemos que existem níveis de maturidade diferentes na 
gestão de TI, onde a linha tracejada que percorre o centro do modelo de baixo para cima e da 
esquerda para a direita representa exatamente o nível de gastos em TI, que é uma das informações 
mais importantes, qual é o gasto total da empresa com TI. Dessa forma, o modelo nos mostra que 
 
 13 
 
existe uma profunda correlação entre gastos e nível de maturidade em TI. Lembremos que 
maturidade não tem relação somente com tempo, mas sobremaneira com aprendizado; e a empresa 
somente vai aprender a usar TI se efetivamente usá-la, ou seja, significa que para se conquistar 
maturidade é necessário gastar com TI. 
A linha tracejada que aparece no meio do modelo representa exatamente o nível de gastos 
que vai crescendo à medida que a empresa vai conquistando maturidade no uso de TI; e nos mostra 
que, quando a empresa está ainda em níveis iniciais de maturidade, ela apresenta baixo gasto, e para 
a empresa conseguir alcançar níveis mais avançados de maturidade precisa gastar mais em TI. 
Mas perceba que só gastar não é suficiente, a empresa precisa também estar aprendendo, e 
esse é um aspecto que o modelo do Nolan (1979) nos traz, apontando em detalhe quais são as 
características de uma empresa que tem baixa maturidade. Se olharmos, por exemplo, empresas 
com baixa maturidade no uso de TI, encontraremos as seguintes características: a carteira de 
aplicações conta exclusivamente com projetos relacionados à redução de custos; a organização da 
área de TI leva em conta aspectos meramente técnicos; o planejamento e o controle da área são 
frouxos, dessa forma, no máximo apresenta um planejamento orçamentário; e o conhecimento do 
usuário na empresa como um todo é mínimo. Enquanto empresas com alta maturidade na gestão 
de TI devem apresentar as seguintes características: os projetos existentes são relacionados com um 
fluxo de informação e comunicação; a organização da área de TI é muito mais estratégica fazendo 
gestão de dados; o planejamento e o controle da área são de fato estratégicos, alinhados com as áreas 
de negócios; e o conhecimento do usuário como um todo é muito maior. 
Uma primeira aplicação prática desse modelo é nos ajudar a entender onde se situa alguma 
empresa que queiramos analisar, se com maior ou menor maturidade no uso de TI. Se a empresa 
tem baixo nível de maturidade, não podemos esperar que ela consiga usufruir muitos benefícios do 
uso de TI, pois para conseguir usufruir os benefícios do uso de TI ela deve ter maturidade; e o 
modelo nos sugere ainda o que a empresa deveria buscar para atingir os níveis mais elevados de 
maturidade e desse modo conseguir melhorar a sua competitividade. 
O segundo modelo que apresentamos é o proposto por McFarlan em 1984, apresentado na figura 
2, a seguir, que nos permite visualizar como a TI está relacionada à estratégia e à operação do negócio 
da empresa. Tal modelo analisa o impacto das aplicações de TI presentes e futuras no negócio, definindo 
quatro “quadrantes” que representam a situação para a empresa, com as seguintes definições: 
 suporte – a TI tem pequena influência nas estratégias atual e futura da empresa. Não há 
necessidade de posicionamento de destaque da área de TI na hierarquia da empresa. 
Usualmente, é o que acontece em uma manufatura tradicional; 
 fábrica – as aplicações de TI existentes contribuem decisivamente para o sucesso da 
empresa, mas não estão previstas novas aplicações que tenham impacto estratégico. A área 
de TI deve estar posicionada em alto nível hierárquico. O exemplo clássico é o caso das 
companhias aéreas, que dependem dos seus sistemas de reservas de passagens, mas novos 
desenvolvimentos apenas atualizam essas aplicações; 
 
14 
 
 transição – a TI passa de uma situação mais discreta (quadrante “suporte”) para uma de 
maior destaque na estratégia da empresa. A área de TI tende para uma posição de maior 
importância na hierarquia da empresa. O exemplo usualmente citado na bibliografia é a 
editoração eletrônica. Hoje, o e-commerce apresenta o mesmo perfil, pois de um papel de 
suporte na operação de uma empresa comercial passa a ser agente transformador do negócio; 
 estratégico – a TI tem grande influência na estratégia geral da empresa. Tanto as aplicações 
atuais como as futuras são estratégicas, afetando o negócio da empresa. Nesse caso, é 
importante que a TI esteja posicionada em alto nível da sua estrutura hierárquica. Nos 
bancos, por exemplo, a TI apresenta esse papel estratégico. 
 
Figura 2 – Posição de sistemas de informação 
 
Fonte: McFarlan (1984) 
 
Nesse modelo, McFarlan (1984) nos apresenta outro aspecto muito importante para 
entendermos a gestão de TI nas empresas, qual o papel que TI desempenha no negócio, e, para 
tanto, ele olha para dois momentos distintos: ao citar o impacto estratégico dos sistemas 
operacionais existentes, refere-se ao presente; enquanto impacto estratégico da carteira de aplicações 
em desenvolvimento, refere-se ao futuro. 
Com essas lentes, McFarlan (1984) pesquisou diversas empresas e percebeu a existência de 
comportamentos semelhantes entre elas, para algumas empresas o impacto estratégico da TI no 
presente é baixo, e o impacto estratégico da TI no futuro também é baixo. Ele classificou a posição 
de TI como papel de suporte. Já no outro extremo, existem empresas cujo impacto estratégico da 
TI no presente é alto, assim como o impacto estratégico da TI no futuro é alto, posição que ele 
classificou como papel estratégico. 
 
 15 
 
Interessante observar que a teoria proposta por McFarlan (1984) leva em conta em grande 
medida a teoria proposta por Nolan (1979), permitindo-nos chegar a algumas conclusões 
fundamentais para um bom entendimento da gestão de TI. 
Dessa forma, podemos perceber claramente a seguinte relação: empresas que têm baixa 
maturidade normalmente gastam pouco com TI, e também enxergam TI como suporte, em que se 
vê TI como custo. À medida que a empresa vai conquistando maturidade na gestão de TI, vai 
também gastando cada vez mais com TI, e o papel que TI desempenha no negócio também vai 
mudando, deixando de ser visto como suporte e passando a ter um papel estratégico no negócio. 
Como vemos, essas duas teorias estão muito relacionadas e são consideradas conceitos 
seminais para se tratar gestão de TI, tanto que os dois pesquisadores continuam as suas pesquisas e 
em 2005 desenvolveram outro modelo em conjunto, chamado “Grid de Impacto Estratégico de 
TI”, apresentado na figura 3, a seguir, por meio do qual apresentam evoluções sobre as suas teorias 
com indicações interessantes para melhor governança das atividades de TI. 
 
Figura 3 – Grade de impacto estratégico de TI 
 
Fonte: Nolan e McFarlan (2005) 
 
16 
 
Nesse modelo, Nolan e McFarlan (2005) nos propõem um olhar por meio de duas 
dimensões: por um lado, a necessidade de tecnologias confiáveis; por outro, a necessidade de novas 
tecnologias, ou seja, inovação. 
Com essas lentes, os autores pesquisaram diversas empresas e uma vez mais perceberam a 
existência de comportamentos semelhantes entre elas: empresas que apresentam baixa necessidadede tecnologias confiáveis e baixa necessidade de inovação foram classificadas como modo suporte; 
no outro extremo, empresas que apresentam alta necessidade de tecnologias confiáveis e alta 
necessidade de inovação estão no modo estratégico. 
Esse é mais um modelo com grande nível de detalhamento, ajudando-nos a entender e 
diagnosticar onde se encontra a empresa que quisermos analisar, embasando-nos a tomar boas decisões. 
 
Maturidade e papel de TI nas pequenas e nas médias empresas 
As pequenas e as médias empresas também adotam a TI com o mesmo objetivo de obter 
benefícios desse uso, porém a sua realidade é, na maioria dos casos, bastante diferente da das grandes 
empresas, especialmente por não possuírem os mesmos recursos e as mesmas competências na área 
de TI, com diferenças no que diz respeito ao estágio de informatização, sobretudo ao papel que a 
área de TI desempenha para cada uma. 
Para se pensar gestão de TI, de forma específica nas pequenas e nas médias empresas, 
propomos levar em conta o modelo apresentado em 2016 pelo pesquisador e professor da FGV, 
Álvaro Luiz Massad Martins, que aponta uma classificação considerando os investimentos em TI e 
o impacto no desempenho organizacional, levando em conta também a percepção dos gestores 
sobre estágios de informatização e o papel que a TI representa na empresa. 
Empresas que apresentam um nível de gastos e investimentos em TI mais elevado, associados 
com uma forte percepção dos gestores de que a TI pode contribuir positivamente com os objetivos 
da empresa, resultam em um nível de lucratividade superior; enquanto empresas cujos gestores 
percebem, de maneira intensa, que a TI não pode contribuir positivamente com os objetivos da 
empresa, mesmo que façam níveis considerados acima da média de gastos e investimentos em TI, 
apresentam um nível de lucratividade inferior, conforme demonstra os quatro agrupamentos 
apresentados na figura 4, a seguir. 
 
 
 
 17 
 
Figura 4 – Síntese dos clusters 
 
Fonte: Massad-Martins (2016) 
 
O agrupamento 1, batizado de “Digitais”, é composto, na sua grande maioria, de empresas do 
setor de serviços, cujos gestores percebem a TI desempenhando hoje um papel estratégico na empresa 
e, no futuro, em todos os aspectos analisados. Consistentes com essa percepção, essas empresas são as 
que mais gastam em TI e, como resultado, atingem uma alta lucratividade anual líquida. 
O agrupamento 2, batizado de “Prudentes”, é composto, na sua grande maioria, de 
empresas dos setores do comércio, cujos gestores percebem a TI desempenhando hoje um papel 
estratégico na empresa e, no futuro, em todos os aspectos analisados, porém com menor 
intensidade que os “Digitais”. Em contrapartida, essas empresas são as que menos gastam em TI, 
e a sua lucratividade anual líquida atinge níveis superiores aos das empresas dos agrupamentos 3 
e 4, ficando abaixo da lucratividade dos “Digitais”. 
O agrupamento 3, batizado de “Conservadores”, é composto de empresas de todos os setores, 
com maior número de funcionários e maior receita anual, cujos gestores percebem a TI 
desempenhando hoje um papel discretamente estratégico na empresa e, no futuro, em todos os 
aspectos analisados, exceto no que diz respeito ao aumento de produtividade. Essas empresas 
também gastam menos em TI, ficando à frente em gastos somente dos “Prudentes”, porém a sua 
lucratividade anual líquida está abaixo da alcançada pelos “Prudentes”, ficando um pouco acima 
somente em comparação às empresas do agrupamento 4. 
 
18 
 
O agrupamento 4, batizado de “Analógicos”, tem, na sua composição, igualmente empresas 
dos três setores. Os gestores desse grupo percebem a TI desempenhando hoje um papel não 
estratégico na empresa e, no futuro, em todos os aspectos analisados, gastam menos em TI que os 
“Digitais”, mas gastam mais em TI do que os “Prudentes” e os “Conservadores”. No que diz 
respeito à lucratividade anual líquida, ela é a mais baixa de todos os quatro grupos. 
A análise apresentada acima nos leva às seguintes conclusões: 
 Há evidências da existência de quatro grupos distintos de empresas segundo as características 
da amostra, com comportamentos distintos no que diz respeito aos gastos e aos investimentos 
em TI e ao aumento da lucratividade da empresa, especialmente diante da presença de 
percepções específicas dos gestores acerca do papel que a TI desempenha na empresa. 
 Quanto maior a percepção do impacto positivo de TI nos processos de negócio da empresa, 
tanto maior é o impacto dos gastos e dos investimentos em TI na lucratividade da empresa. 
 Um elevado nível de gastos e investimentos em TI, associados com uma forte percepção 
de que a TI contribui com os objetivos da empresa, resulta em maior lucratividade, 
como nos “Digitais”. 
 Empresas cujos gestores percebem que a TI não contribui com os objetivos da empresa, 
mesmo que façam níveis considerados acima da média de gastos e investimentos em TI, 
apresentam menor lucratividade, como nos “Analógicos”. 
 Empresas cujos gestores têm percepção de que a TI contribui, mesmo essas empresas 
mantendo um nível de gastos e investimentos em TI abaixo da média das outras empresas, 
ainda assim acabam por apresentar uma lucratividade acima da média, como nos “Prudentes”. 
 O comportamento dos “Conservadores” confirma as evidências apontadas acima, pois, 
apesar de apresentar níveis maiores de gastos e investimentos em TI do que os “Prudentes”, 
o fato de os gestores dessas empresas perceberem, de modo menos intenso, a contribuição 
que a TI pode trazer aos objetivos da empresa acaba levando-os a um nível de lucratividade 
menor que o dos “Prudentes”, reforçando, desse modo, o impacto da percepção dos 
gestores sobre o papel que a TI desempenha na empresa. 
 
Segurança da informação: um tema corporativo 
Já faz tempo que não “vamos mais para o on-line”, pois estamos on-line a qualquer hora, de 
qualquer local e dispositivo: anytime, anywhere, any device. É um desafio estar em locais onde não 
tenha conectividade com qualidade razoável, como 3G, 4G, wi-fi. Se não houver ou faltar energia, 
então o desafio fica maior ainda. 
A nossa vida está on-line, com uso exponencial do ciberespaço gerando dependência crescente 
da TI e consequentemente dos Sistemas de Informação (SIs) interconectados com sistemas globais 
e complexos em constante evolução e mutação. 
 
 19 
 
Como bem colocado por Albuquerque, Sousa Júnior e Costa (2015), “tornou a base de 
sustentação de múltiplos setores da economia, constituindo-se como fonte de geração de recursos e 
capitais, bem como a projeção de poder de vários Estados, através do controle de recursos 
tecnológicos que compõem tal espaço”. 
Além disso, novas tecnologias, soluções e mercados surgem a todo o momento, fomentando 
e gerando volumes de dados e informações cada vez maiores, com acesso, e uso, apenas daqueles 
que lhe tem o direito e propriedade. Os demais interessados, simplesmente não devem acessar, 
compartilhar nem utilizar essas informações sem o conhecimento e a autorização dos proprietários. 
Nesse contexto, estamos – indivíduos, empresas, governos, nações – mais expostos às 
vulnerabilidades e aos riscos no espaço cibernético. 
De acordo com os mesmos autores supracitados, “se tornou comum explorar vulnerabilidades 
da informação neste ambiente”. 
 
Empresas no contexto da cibersegurança 
A seguir, vemos um ataque de negação de serviço distribuído no site da VideoLAN – 
distribuidor de software de código aberto – ocorrido em abril de 2013. 
 
Figura 5 – Ataque de negação de serviço distribuído 
 
Fonte: FAUVET, Ludovic. DDOS attack on the VideoLAN downloads infrastructure. YouTube, 23 abr. 2013. Disponível em: 
<https://www.youtube.com/watch?v=hNjdBSoIa8k>. Acesso em: 20 abr. 2021. 
 
https://www.youtube.com/embed/hNjdBSoIa8k?feature=oembed
 
20 
 
Note os endereços IP dos atacantes à esquerda solicitando o arquivo de instalação do 
Windows para o cliente VLC, um player de vídeo. 
Ovolume desse ataque sobrecarrega os servidores do VLC, ao mesmo tempo em que alguns 
atacantes também solicitam “download.css”. Isso poderia facilmente ser um tipo de ataque diferente 
projetado para roubar dados da VLC, como informações de clientes e códigos fonte. 
Esse contexto sugere algumas reflexões: 
 A inteligência é importante? 
 Como e por que aplicá-la? 
 É uma questão técnica e operacional? 
 
Um dos maiores ataques deste ano foi dirigido ao Blackbaud, um provedor de serviços em nuvem. 
Os invasores instalaram o ransomware e roubaram informações de pagamento de milhões de usuários 
em todo o mundo. A empresa teve de pagar o resgate não revelado e uma ação judicial se seguiu. 
Para fortalecer as defesas da computação em nuvem no futuro, as partes interessadas devem 
prestar atenção à configuração adequada de armazenamento em nuvem, à segurança das interfaces 
de usuário do aplicativo (APIs) e às ações do usuário final em dispositivos em nuvem. 
 
Desafios de segurança corporativa 
As empresas e os seus funcionários foram empurrados para um ambiente de trabalho remoto 
repentinamente, com os recursos de rede remota de muitas organizações ainda não tão protegidos 
quanto as suas infraestruturas de TI locais. Essa rápida mudança deixou muitas lacunas não seguras que 
os agentes mal-intencionados estão constantemente procurando explorar para obter ganhos financeiros. 
As mudanças tecnológicas que moldaram o local de trabalho em 2020 vieram para ficar, assim 
como as crescentes ameaças cibernéticas que as empresas enfrentam. Por conta disso, a maioria dos 
executivos afirma que gastará os seus orçamentos de TI principalmente na resiliência cibernética. 
As equipes de segurança precisam desenvolver políticas fortes para responder aos desafios da 
segurança cibernética, mas esse é apenas o primeiro passo. Eles precisam comunicar efetivamente 
essas políticas a toda a força de trabalho e treinar os funcionários para responder a elas. 
Apenas a título de exemplo, o CSO on-line compilou uma lista das maiores violações do 
século XXI usando critérios simples: o número de pessoas cujos dados foram comprometidos, 
distinguindo entre incidentes em que os dados foram roubados com intenção maliciosa e aqueles 
em que uma organização inadvertidamente deixou os dados desprotegidos e expostos. O Twitter, 
por exemplo, deixou as senhas dos seus 330 milhões de usuários desmascaradas em um log, mas não 
havia evidências de uso indevido, portanto o Twitter não entrou nessa lista. 
 
 
 21 
 
Nessa relação estão listadas empresas, em ordem alfabética, com as 15 maiores violações de 
dados da história recente: Adobe, Adult Friend Finder, Canva, Dubsmash, eBay, Equifax, 
Heartland Payment Systems, LinkedIn, Marriott International, My Fitness Pal, MySpace, 
NetEase, Sina Weibo, Yahoo e Zynga. 
De acordo com a Verizon, os aplicativos da web estiveram envolvidos em 43% das violações 
e até 80% das organizações experimentaram uma violação de segurança cibernética originada de 
uma vulnerabilidade no seu ecossistema de fornecedores terceirizados. Em 2020, exposições de 
terceiros afetaram Spotify, General Electric, Instagram e outros nomes importantes. 
 
Anatomia clássica de um ataque e opções de proteção 
Ataques de negação de serviço distribuídos ou DDoS (definição mais adiante) ultrapassaram 
a casa do 2 Tbps já há alguns anos, atingindo 2,3 Tbps em fevereiro de 2020, segundo informações 
da Amazon.1 Alguns ataques memoráveis: 
 GitHub2 – O ataque DDoS no GitHub inundou a empresa com 1,35 Tbps de dados 
(129,6 milhões de PPS), via memcaching. Invasores falsificaram o endereço IP do GitHub 
para enviar pequenas consultas a vários servidores memcached para acionar uma resposta 
importante na forma de uma resposta de dados 50x; 
 WannaCry3 – ransomware baseado em criptografia; 
 Mirai botnet 4 – IP cameras, home routers and video players), 620 Gbps, e 
 Mirai botnet5 – Dyn (serviços de DNS), 1,2 Tbps. 
 
 
 
1 Amazon thwarts largest ever DDoS cyber-attack. BBC, 18 jun. 2020. Disponível em: <https://www.bbc.com/news/ 
technology-53093611>. Acesso em: 27 ago. 2021. 
2 NEWMAN, Lily Hay. GitHub Survived the Biggest DDoS Attack Ever Recorded. Wired, 3 jan. 2018. Disponível em: 
<https://www.wired.com/story/github-ddos-memcached>. Acesso em: 27 ago. 2021. 
3 Massive ransomware infection hits computers in 99 countries. BBC, 13 maio 2017. Disponível em: <https://www.bbc.com/ 
news/technology-39901382>. Acesso em: 27 ago. 2021. 
4 OSBORNE, Charlie. Mirai DDoS attack against KrebsOnSecurity cost device owners $ 300,000. ZDNet, 9 maio 2018. 
Disponível em: <https://www.zdnet.com/article/mirai-botnet-attack-against-krebsonsecurity-cost-device-owners-300000>. 
Acesso em: 27 ago. 2021. 
5 WOLF, Nicky. DDoS attack that disrupted internet was largest of its kind in history, experts say. The Guardian, 26 out. 2016. 
Disponível em: <https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet>. Acesso em: 27 ago. 2021. 
 
22 
 
Basta uma rápida pesquisa no Google para verificar os ataques diários, conforme busca 
realizada em 20 de abril de 2021, às 19h: 
 
Figura 6 – Ataques cibernéticos 
 
Fonte: Cyber attacks. Google, 20 de abril de 2021. 
 
Algumas ferramentas de fabricantes mostram ataques em tempo real ao redor do mundo: 
 Live Cyber Threat Map;6 
 Digital Attack Map7 (Google e Arbor); 
 FireEye Cyber Threat Map;8 
 Kaspersky Cyber Threat Real-Time Map;9 
 Fortinet Threat Map;10 
 Akamai Globe.11 
 
6 Live Cyber Threat Map. Disponível em: <https://threatmap.checkpoint.com>. Acesso em: 27 ago. 2021. 
7 Digital Attack Map. Disponível em: <https://www.digitalattackmap.com/#anim=1&color=0&country=AU&list=0&time= 
18699&view=map>. Acesso em: 27 ago. 2021. 
8 FireEye Cyber Threat Map. Disponível em: <https://www.fireeye.com/cyber-map/threat-map.html>. Acesso em: 27 ago. 2021. 
9 Kaspersky Cyber Threat Real-Time Map. Disponível em: <https://cybermap.kaspersky.com>. Acesso em: 27 ago. 2021. 
10 Fortinet Threat Map. Disponível em: <https://threatmap.fortiguard.com>. Acesso em: 27 ago. 2021. 
11 Akamai Globe. Disponível em: <https://globe.akamai.com>. Acesso em: 27 ago. 2021. 
 
 23 
 
Para conseguir entender melhor a anatomia de um ataque e como evitar o pior, devem-se 
fazer algumas perguntas básicas: o que proteger primeiro? Como proteger? 
O sistema global de TI pode ser explorado por uma variedade de usuários ilegítimos e ainda 
pode ser usado como uma ferramenta de agressão em nível de Estado, portanto precisamos pensar 
em vários níveis de ofensores: hackers, criminosos e terroristas. 
Dessa forma, podemos basicamente sistematizar em quatro níveis as ameaças: 
 crime de baixo-nível/individual (hacking); 
 criminalidade grave e organizada; 
 extremismo político e ideológico e 
 ataques cibernéticos patrocinados pelo Estado. 
 
Registros indicam que o primeiro ataque DDoS conhecido ocorreu em 1996, quando um 
antigo ISP (Panix) ficou off-line por vários dias por uma inundação de SYN, e desde então não 
pararam de crescer: 
 
Gráfico 1 – Total de ataques DDoS 
 
Fonte: GURINAVICIUTE, Juta. Five biggest cybersecurity threats: how hackers utilize remote work and human error to 
steal corporate data. 3 fev. 2021. Disponível em: <https://www.securitymagazine.com/articles/94506-5-biggest-
cybersecurity-threats>. 
 
Desde o início da pandemia, o FBI viu um aumento de quatro vezes nas reclamações de segurança 
cibernética, enquanto as perdas globais com o crime cibernético ultrapassaram US$ 1 trilhão em 2020. 
O “Relatório de Riscos Globais 2020” do Fórum Econômico Mundial afirma que as chances 
de capturar e processar um cibercriminoso são quase nulas (0,05%). Dadas as circunstâncias, a 
consciência comercial e a resiliência são essenciais para proteger dados confidenciais e evitar violações. 
 
24 
 
Tipos de ataques conhecidos 
As ameaças cibernéticas tornam-se mais sofisticadas e intensas em meio aos níveis crescentes 
detrabalho remoto e dependência de dispositivos digitais. Aqui estão as oito mais prejudiciais para 
as empresas em 2020: engenharia social; ransomware; ataques DDoS; software de terceiros; e 
vulnerabilidades de computação em nuvem. 
 
Engenharia social 
Em 2020, quase 1/3 das violações incorporou técnicas de engenharia social, das quais 90% 
eram phishing. Os ataques de engenharia social incluem, mas não estão limitados a, e-mails de 
phishing, scareware, quid pro quo e outras técnicas, e todas manipulam a psicologia humana para 
atingir objetivos específicos. 
A Cisco indica que ataques de spear phishing bem-sucedidos são responsáveis por 95% das 
violações em redes corporativas. Na verdade, as tentativas de phishing aumentaram 667% em março, e 
43% dos funcionários admitem ter cometido erros que comprometeram a segurança cibernética. Em 
julho de 2021, o Twitter foi vítima de um ataque de phishing bem-sucedido, que rendeu aos golpistas 
mais de US$ 100 mil. Além disso, os cibercriminosos roubaram US$ 2,3 milhões de uma escola do 
Texas e tentaram obter dados pessoais forjando um e-mail da Organização Mundial da Saúde (OMS). 
Para evitar golpes de engenharia social, as empresas podem implementar o Zero Standing 
Privileges. Isso significa que um usuário recebe privilégios de acesso para uma tarefa específica que 
dura apenas o tempo necessário para concluí-la. Portanto, mesmo que os hackers tenham acesso às 
credenciais, eles não poderão acessar sistemas internos e dados confidenciais. 
 
Ransomware 
É um programa de criptografia de dados que exige pagamento para liberar os dados 
infectados. A soma total dos pedidos de resgate terá atingido US$ 1,4 bilhão em 2020, com uma 
soma média para retificar o dano atingindo até US$ 1,45 milhão. Ransomware é o terceiro tipo de 
malware mais popular usado em violações de dados e é empregado em 22% dos casos. 
Em 2021, os hackers comprometeram os dados de pesquisa da Covid-19 e exigiram US$ 1,14 
milhão da Universidade da Califórnia, atacaram a gigante da fotografia Canon e foram até responsáveis 
por incidentes letais. Na Alemanha, os cibercriminosos buscaram um hospital em busca de resgate, com 
os sistemas de atendimento ao paciente sendo desativados e resultando na morte de um paciente. 
 
 
 
 25 
 
Ataques DDoS 
Houve 4,83 milhões de tentativas de ataques DDoS apenas no primeiro semestre de 2020, e 
cada hora de interrupção do serviço pode ter custado às empresas até US$ 100 mil, em média. 
Para formar um botnet necessário para um ataque DDoS coordenado, os hackers empregam 
dispositivos previamente comprometidos por malware ou hacking. Dessa forma, toda máquina pode 
estar realizando atividades criminosas sem que o seu proprietário saiba. O tráfego pode então ser 
direcionado contra, digamos, AWS, que relatou ter impedido um ataque de 2,3 Tbps em fevereiro. 
No entanto, o aumento do tráfego não é a única coisa que preocupa os especialistas em 
segurança cibernética. Os criminosos agora empregam inteligência artificial (IA) para realizar 
ataques DDoS. Há alguns anos, eles conseguiram roubar dados de 3,75 milhões de usuários do 
aplicativo TaskRabbit, e 141 milhões de usuários foram afetados pelo tempo de inatividade do 
aplicativo. Entretanto o veneno é a cura, pois a IA também pode ser empregada para procurar os 
pontos fracos, especialmente se houver uma grande quantidade de dados envolvidos. 
Em 2021, as organizações adotaram o trabalho remoto a taxas sem precedentes. O aumento do 
tráfego on-line e a dependência de serviços digitais os tornaram mais vulneráveis aos cibercriminosos. 
Os ataques DDoS não custam muito, portanto há um fornecimento crescente de serviços DDoS de 
aluguel, aproveitando a escala e a largura de banda das nuvens públicas. 
 
Software de terceiros 
Os 30 maiores varejistas de comércio eletrônico nos EUA estão conectados a 1.131 recursos 
de terceiros cada, e 23% desses ativos têm pelo menos uma vulnerabilidade crítica. Se um dos 
aplicativos desse ecossistema for comprometido, ele abrirá aos hackers um portal para outros 
domínios. Uma violação causada por terceiros custa US$ 4,29 milhões em média. 
 
Vulnerabilidades de computação em nuvem 
Estima-se que o mercado global de computação em nuvem cresça 17% em 2021, totalizando 
US$ 227,8 bilhões. Enquanto a pandemia dura, a economia também testemunhou um aumento 
de 50% no uso da nuvem em todos os setores. 
Essa tendência é uma isca perfeita para os hackers, que realizaram 7,5 milhões de ataques 
externos em contas na nuvem no segundo trimestre de 2020. Desde o início do ano, o número de 
tentativas de violação cresceu 250% em comparação com 2019. Os criminosos procuram servidores 
em nuvem sem senha, explora sistemas não corrigidos e executa ataques de força bruta para acessar 
as contas de usuário. Alguns tentam plantar ransomware ou roubar dados confidenciais, enquanto 
outros usam sistemas de nuvem para criptojacking ou ataques DDoS coordenados. 
 
 
26 
 
Virus e outros ataques que visam prejudicar ou inibir o funcionamento 
de processos ou sistemas 
Um vírus de computador é um programa malicioso desenvolvido por programadores que, tal 
como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros 
computadores, utilizando-se de diversos meios. 
O vírus de computador se instala com o objetivo de prejudicar o desempenho de uma 
máquina, destruir arquivos ou mesmo se espalhar para outros computadores. Com isso, um 
computador que tem um vírus instalado pode ficar vulnerável a pessoas mal-intencionadas, que 
podem vasculhar os arquivos do sistema, bem como roubar dados pessoais, como senhas e números 
de cartões de crédito. 
A maioria das contaminações ocorre pela ação do usuário executando o arquivo infectado 
recebido como um anexo de um e-mail, por exemplo. Porém, a contaminação também pode ocorrer 
por meio de arquivos infectados em pen-drives. 
Outro modo de contaminação é através do sistema operacional desatualizado, que sem 
correções de segurança, que poderiam corrigir vulnerabilidades conhecidas dos sistemas 
operacionais ou aplicativos, podem causar o recebimento e execução do vírus inadvertidamente. 
Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas horas, 
entrando em execução em horas especificas. Quem desenvolve tais vírus são pessoas com grande 
conhecimento em programação e sistema operacional de computadores. Na internet há um grande 
comércio de vírus, principalmente aqueles para roubo de senhas de banco e de cartões. 
 
Furto de identidade (identity thief) 
Os ladrões de identidade geralmente obtêm informação pessoal, como senhas, números de 
identidade, números de cartão de crédito ou CPF, e fazem mau uso destes dados para agir de forma 
fraudulenta em nome da vítima. Os detalhes sensíveis podem ser usados com vários propósitos 
ilegais incluindo pedidos de empréstimo, compras on-line ou acessar os dados médicos e financeiros 
da vítima. 
O furto de identidade está muito próximo do phishing e de outras técnicas de engenharia 
social que são frequentemente usadas para bisbilhotar informação sensível da vítima. Perfis públicos 
nas redes sociais ou em outros serviços on-line populares também podem ser usados como fonte de 
dados, ajudando criminosos a se passarem por seus alvos. 
 
 
 27 
 
Quando os ladrões de identidade coletam tais informações, eles podem usá-las para fazer 
compras em nome da vítima, controlar as suas contas on-line ou realizar ações legais em seu nome. 
Em curto prazo, os indivíduos afetados podem sofrer perda financeira, devido a saques não 
autorizados e compras feitas em seu nome. A médio prazo, as vítimas podem ser responsabilizadas 
pelas ações dos executores e serem investigadas pelos órgãos legais, bem como encarar 
consequências, como o pagamento de encargos legais, mudanças no seu status de crédito ou danos 
no seu nome limpo. 
 
Golpe do boleto falso 
 É uma prática realizada por criminosos que fazem cópiasde documentos de cobrança como 
se fossem verdadeiros para que o pagamento da vítima caia na conta bancária do bandido. O golpe 
do boleto falso está cada vez mais sofisticado, mas há alguns indícios que ajudam a identificá-lo 
antes que você se torne uma vítima deste tipo de cilada. Entre eles, estão: 
 Código de barras duvidoso: é possível identificar algumas características peculiares nos 
boletos falsos que podem ser verificadas por quem está em dúvida se o documento é ou 
não verdadeiro. Comece conferindo se os últimos dígitos do código de barras 
correspondem ao valor a ser pago. Caso sejam diferentes, o boleto não é verdadeiro. E se 
a cobrança for uma conta recorrente, como a de energia elétrica, água, mensalidade escolar 
e afins, duvide de qualquer alteração. Verifique, ainda, se os primeiros dígitos do código 
de barras coincidem com o código do banco emissor. 
 Beneficiário desconhecido: outro cuidado importante para averiguar a veracidade do 
boleto é sempre verificar o nome da pessoa ou empresa que receberá o pagamento. 
Também é recomendado verificar se o CNPJ da emissora é real no aplicativo da Receita 
Federal para smartphones e nas listas constantemente divulgadas pelo Procon 
(Departamento Estadual de Defesa do Consumidor). 
 Impossibilidade de leitura do código de barras: boletos adulterados geralmente possuem 
leitura imcompatível, obrigando o destinatário a digitar manualmente a sua numeração. 
Por isso é recomendado tentar lê-lo com a câmera do celular ao invés de digitá-lo e sempre 
redobrar a atenção quando encontrar essa dificuldade. 
 Boleto recebido pelos Correios: como o golpe do boleto falso tem sido cada vez mais 
frequente, o mais indicado é dar prioridade para pagar o documento emitido direto no site 
da instituição, já que vias físicas têm mais chances de ter sido adulteradas. Existem alguns 
casos em que os golpistas sequestram as correspondências e adulteram os dados bancários. 
Neste tipo de situação, a melhor saída para evitar cair no golpe do boleto falso é solicitar 
à instituição correta para que o valor seja debitado automaticamente da sua conta bancária. 
 
 
28 
 
As ferramentas de exploração de vulnerabilidades se encontram no centro de um processo de 
produção e comercialização que, com os seus diversos atores, constituem um mercado à parte. É 
importante para o profissional de segurança da informação e combate ao cibercrime ter 
conhecimento desse mercado específico, no sentido de organizar proteções de sistemas de 
informação, e também realizar investigações de evidências do cibercrime” (ALBUQUERQUE; 
SOUSA JÚNIOR; COSTA (2015). 
Entretanto com as ameaças e os ataques cada vez mais volumosos, complexos e frequentes, 
como se proteger? 
 
 
 
 
29 
 
BIBLIOGRAFIA 
Livros 
ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Estratégias de governança de tecnologia 
da informação. São Paulo: Elsevier, 2010. 
 
ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Tecnologia de informação e desempenho 
empresarial: as dimensões de seu uso e sua relação com os benefícios de negócio. São Paulo: 
Atlas, 2012. 
 
WEILL, Peter; ROSS, Jeanne W. Governança de TI. São Paulo: M.Books, 2006. 
 
 
Artigos 
ABRAHAM, C.; SIMS, R. R.; GREGORIO, T. Develop your cyber resilience plan, 2020. 
 
ALBUQUERQUE, R. O.; SOUSA Júnior, R. T. de; COSTA, J. P. C. T. Um Levantamento 
sobre o mercado de exploração de vulnerabilidades do espaço cibernético. Departamento de 
Engenharia Elétrica, Universidade de Brasília (UnB), 2015. 
 
CARR, N. G. TI já não importa. HBR Brasil, 2003. 
 
COWAN, C.; GASKINS, C. Monitoring physical threats in the data center. American Power 
Conversion, 2006. 
 
CYBERSECURITY GOVERNANCE GUIDELINES. Information Technology Authority, 
Governance & Standard Division, 2007. 
 
GOUVEIA, L. B. O recurso e a contribuição potencial da inteligência artificial para a 
cibersegurança em ambientes digitais. Universidade Fernando Pessoa, 2016. 
 
HEPFER, M.; POWELL, T. C. Make cybersecurity a strategic asset. MIT Sloan Review, 2020. 
 
HUANG, K.; SIEGEL, M.; PEARLSON, K.; MADNICK, S. Casting the dark web in a new 
light. MIT Sloan Review, 2019. 
 
HUMAYUN, M.; NIAZI, M.; JHANJHI, N. Z.; ALSHAYEB, M.; MAHMOOD, S. Cyber 
security threats and vulnerabilities: a systematic mapping study. Arabian Journal for Science 
and Engineering, 2020. 
 
 
30 
 
HUSSAIN, S. N.; SINGHA, N. R. A survey on cyber security threats and their solutions. 
International Journal for Research in Applied Science & Engineering Technology, 2020. 
 
KLINCZAK, M. Uso da inteligência na detecção de ameaças cibernéticas. MIS Quarterly, The 
Eleventh International Conference on Forensic Computer Science and Cyber Law, 2014. 
 
KWON, J.; JOHNSON, M. E. Proactive versus reactive security investments in the healthcare 
sector. MIS Quarterly, 2014. 
 
PEREIRA, C. R. Sistema de detecção de intrusão usando big data, inteligência artificial e 
sistemas colaborativos. Escola de Comando e Estado-Maior do Exército, 2020. 
 
ROSS, J. W.; WEILL, P. Seis decisões que sua equipe de TI não deve tomar. HBR Brasil, 2002. 
 
SCHINAGL, S.; SCHOON, K.; PAANS, R. A framework for designing a security operations 
centre (SOC), 2015. 
 
SOLMS, R.; NIEKERK, J. From information security to cyber security. School of ICT, Nelson 
Mandela Metropolitan University, 2013. 
 
SUÁREZ, F.; LANZOLA, G. A meia verdade da vantagem do pioneiro. HBR Brasil, 2005. 
 
TISDALE, S. M. Cybersecurity: challenges from a systems, complexity knowledge 
management and business intelligence perspective. Issues in Information Systems, 2015. 
 
VENKATRAMAN, N. IT-enabled business transformation: from automation to business scope 
redefinition. MIT, SMR, 1994. 
 
WILSON, S. A.; HAMILTON, D.; STALLBAUM, S. The unaddressed gap in cybersecurity: 
human performance. MIT Sloan Review, 2020. 
 
 31 
 
PROFESSOR-AUTOR 
Álvaro Luiz Massad Martins 
Formação acadêmica: 
 Doutor, mestre e graduado em Administração de Empresas pela 
Escola de Administração de Empresas de São Paulo da Fundação 
Getulio Vargas (FGV Eaesp). 
 
Experiência profissional: 
 Mais de 30 anos de experiência no segmento de TI, tendo atuado em posições de direção 
em empresas como: Alcatel-Lucent, Mandriva, PCS do Brasil, Intelbras, Diveo, Embratel, 
Datasites, Xerox e American Express. 
 Atualmente, é diretor executivo da IT by Insight, empresa de consultoria na área de TI, 
que tem por missão maximizar a performance dos negócios dos seus clientes, ajudando-os 
na jornada em direção à transformação digital. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
32 
 
 
 
 
 
 
 
 
 
 
 
	SUMÁRIO
	CIBERSEGURANÇA: ANATOMIA CLÁSSICA DE UM CIBERATAQUE
	Introdução
	Histórico de TI nas organizações
	Era do computador
	Era da informação
	Transformação digital e cibersegurança
	Maturidade e papel de TI
	Maturidade e papel de TI nas pequenas e nas médias empresas
	Segurança da informação: um tema corporativo
	Empresas no contexto da cibersegurança
	Desafios de segurança corporativa
	Anatomia clássica de um ataque e opções de proteção
	Tipos de ataques conhecidos
	Engenharia social
	Ransomware
	Ataques DDoS
	Software de terceiros
	Vulnerabilidades de computação em nuvem
	Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou sistemas
	Furto de identidade (identity thief)
	Golpe do boleto falso
	BIBLIOGRAFIA
	PROFESSOR-AUTOR
	Álvaro Luiz Massad Martins
	Formação acadêmica:
	Experiência profissional: