AUDITORIA-EM-AMBIENTES-CIBERNÉTICOS

Prévia do material em texto

AUDITORIA EM AMBIENTES CIBERNÉTICOS 
 
 
 
SUMÁRIO 
1. INTRODUÇÃO ............................................................................................... 3 
2. FUNFAMENTOS ............................................................................................ 5 
2.1 Legislação e Investigação .................................................................................... 6 
3. A ATIVIDADE PERICIAL .............................................................................. 11 
4. CRIMES CIBERNÉTICOS............................................................................ 13 
4.1 Crimes ..................................................................................................................... 13 
5. AUDITORIA EM AMBIENTES CIBERNÉTICOS .......................................... 15 
5.1 A Ascensão do Mercado de Auditoria Cibernética .......................................... 16 
CONCLUSÃO ............................................................................................................ 19 
REFERÊNCIAS ......................................................................................................... 25 
 
 
 
 
 
 
 
 
 
1. INTRODUÇÃO 
 
A sociedade está cada dia mais dependente da internet e dos sistemas de 
informação e, a despeito disto, as vulnerabilidades de softwares e sistemas 
computacionais permanecem amplamente difusas. 
Estas vulnerabilidades colocam em risco pessoas, negócios e governos que 
dependem fortemente da segurança de suas redes (Santos, 2012). 
O objetivo é apresentar, de forma exploratória, os riscos existentes no espaço 
cibernético e, ainda, fazer uma comparação entre a estrutura de segurança e defesa 
cibernética brasileira e de alguns países relevantes no cenário mundial. Sistemas de 
informação e comunicação constituem a base do desenvolvimento econômico e social 
de um país. 
Pela vertente empresarial, segurança e defesa cibernética são usados para 
manter o sigilo de informações classificadas do parque industrial nacional, 
responsável pelas vantagens comparativas ou especializações entre os países. Por 
sua vez, pelo lado governamental, dizem respeito à proteção, contra ataques ou 
sabotagens, das infraestruturas críticas de uma nação por exemplo, do sistema 
elétrico, das telecomunicações, de transporte, de segurança, do sistema financeiro 
etc. 
Em outras palavras, as infraestruturas nacionais dependem de sistemas de 
segurança e defesa cibernética de modo a garantir, sobretudo, a soberania nacional. 
Os eventos relacionados ao ambiente cibernético ocorridos nos últimos anos 
mostram que há países que já vivem em uma guerra fria cibernética. Dois exemplos 
recentes confirmam isto. O governo norte-americano reconheceu que houve acessos 
não autorizados aos arquivos de desenvolvimento dos caças F-35 e F-22 da Força 
Aérea norte-americana. 
Cerca de dois anos depois, a China apresentou seus próprios jatos em muitos 
aspectos semelhantes àqueles invadidos (McCaul, 2012). Outro exemplo recente é a 
sabotagem, supostamente liderada pelo governo norte-americano, das instalações 
nucleares do Irã, onde toda a planta de enriquecimento de urânio foi destruída por 
meio de um vírus de computador (Grego, 2012). A análise do cenário internacional é 
relevante, pois é capaz de gerar conhecimento a ser aplicado ao caso nacional. 
Os dois principais casos a serem estudados seriam Estados Unidos e China. 
Em virtude da falta de documentos oficiais chineses, optou-se por analisar o caso 
 
 
 
russo para se ter uma contraparte ao polo norte-americano. A Índia foi a terceira 
escolha por se constituir um país em desenvolvimento, assim como o Brasil. 
O Brasil tem se destacado no cenário mundial por sua ascensão econômica, 
desenvolvimento social, postura política e organização de grandes eventos.Com isto, 
tem-se conseguido atrair a atenção não apenas de turistas e investidores, mas 
também de hackers. 
Atualmente, são registrados cerca de 3 mil incidentes de segurança virtual por 
mês apenas nas redes da administração pública federal, provenientes de países como 
Estados Unidos, Brasil, França, Grã-Bretanha, Rússia entre outros (Brasil, 2013a). 
O ambiente virtual não tem fronteiras. Assim, uma rede comprometida pode 
prejudicar outras, sejam elas públicas, privadas, contíguas ou não. Por isto, a 
colaboração e a constante interação entre os mais diversos atores são essenciais para 
garantir um elevado nível de proteção cibernética para todos (Mandarino Junior, 
2010). Isoladamente, nem o governo, nem a academia e nem a indústria conseguirão 
obter sucesso na proteção das próprias redes. São necessárias ações conjuntas entre 
estes setores. 
Portanto, constitui-se um indicativo tanto para a academia quanto para a 
indústria nacional visando suprir uma demanda iminente por sistemas seguros. 
Prevenir, identificar vulnerabilidades e preparar-se para situações de risco devem ser 
questões de Estado e não apenas priorização de governo. 
A fim de cumprir os objetivos propostos, optou-se por organizar este texto da 
seguinte forma: na seção dois é apresentada uma revisão da literatura sobre questões 
relacionadas à defesa cibernética. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2. FUNDAMENTOS 
 
No mundo moderno, a Tecnologia da Informação e Comunicação (TIC) está 
cada vez mais presente na rotina das empresas e da maioria da população urbana. 
Acerca do vertiginoso aumento da importância das TIC, Porter e Millar (1985) 
definem a sua relevância na cadeia de valor e apontam que elas geram novos 
negócios inteiros, muitas vezes de dentro das operações existentes na própria 
empresa, além de criar vantagens competitivas e mudar a estrutura da indústria, 
alterando as regras de competição. 
Tais características foram em grande parte as responsáveis pela propagação 
das novas tecnologias. Com tal disseminação de uso das TIC, os recursos eletrônicos 
não estão sendo apenas empregados pelas empresas, mas também sendo mais 
utilizados na prática de diversos crimes, como estelionato, furto mediante fraude e 
pornografia infantojuvenil, entre outros. 
Não é nenhuma novidade que os computadores, smartphones, tablets, GPS, 
câmeras digitais, e outros dispositivos eletrônicos são utilizados e estão envolvidos 
em crimes e ações ilegais. Surge então um diferente modelo, que é a necessidade de 
lidar adequadamente com a análise e as investigações que envolvam o uso desses 
novos recursos tecnológicos utilizados na prática criminosa. 
Com esse novo paradigma, é notável que, nos últimos anos, a tecnologia 
evoluiu em uma escala inigualável, não apenas melhorando os padrões de vida 
mundiais, mas também facilitando a consecução de diversas modalidades criminosas, 
entre elas a criação de um dos crimes mais infames da sociedade moderna: a 
pornografia infantojuvenil, e facilitando também o acesso a ele e a distribuição de 
material a este relacionado. 
Tais crimes tomaram grandes proporções com o advento da sociedade digital 
e apresentam enormes desafios em seu combate, entre os quais se destacam as 
devidas identificação e persecução penal, bastante comprometidas pelo conceito de 
mundo virtual, em que as demarcações de um território em função dos seus recursos 
físicos e do raio de abrangência de determinada cultura serem rompidos, conforme 
definido por Pinheiro (2010). 
Cumpre observar que a definição de crime inexiste em nosso atual Código 
Penal, sendo eminentemente doutrinária. Assim, de acordo com Greco (2014), vários 
doutrinadores, como Assis Toledo e Luiz Regis Prado, consideram que “para que se 
 
 
 
possa falar em crime é preciso que o agente tenha praticado uma ação típica, ilícita e 
culpável”. 
Isso implica em que determinadas imagens e vídeos podem ser considerados 
de pornografia infantojuvenil em uma jurisdição, mas não em outra, como é o caso de 
quadrinhos que simulam crianças e adolescentes emsituações eróticas e 
pornográficas. Outrossim, para Welch (2007, p. 2781-2782) é notório que as mesmas 
novas tecnologias que “permitiram o avanço e a automação de processos de negócio, 
também abriram as portas para muitas novas formas de uso indevido de 
computadores”, sendo que aqui devemos incluir as diversas modalidades de crimes 
cibernéticos. 
Ele ainda ressalta a importância da conscientização e da devida preparação 
para enfrentar uma “miríade de questões tecnológicas e jurídicas que afetam os 
sistemas e os usuários”. 
Assim, faz-se importante que as forças da lei estejam devidamente preparadas 
para auxiliar na apuração dos crimes cometidos por meio da internet ou de dispositivos 
inteligentes conectados em rede, bem como no uso dos vestígios tecnológicos para a 
elucidação de crimes e dos procedimentos para preservação da evidência digital. 
Inclusive, deve-se lembrar que a internet é intrinsecamente vulnerável, pois foi 
concebida utilizando-se de protocolos que não fornecem uma segurança adequada 
(MIT SLOAN MANAGEMENT REVIEW, 2007). 
Conforme nos ilustram Farmer e Venema (2007), a perícia computacional é, 
basicamente, a preservação, aquisição, análise, descoberta, documentação e 
apresentação de evidência presente em meio digital (equipamentos computacionais e 
mídias de armazenamento). 
O intuito é de comprovar a existência de determinados eventos que possam ter 
levado à consecução de crimes ou atividades não autorizadas, ou que possam provar 
que o evento não foi realizado conforme pode estar sendo imputado. Ademais, a 
forense computacional requer a combinação de técnicas de investigação com as 
exigências das leis e normas de cada país, organização e empresa. 
 
2.1 Legislação e Investigação 
 
Conforme bem apontado por Walls (2011), pesquisadores de segurança digital 
têm um elevado potencial de fazer mudanças drásticas para as forenses digitais, o 
 
 
 
que pode permitir melhor eficácia nas investigações. 
Contudo, eles primeiramente precisam entender as limitações que afetam o 
contexto de investigações e as diferenças que este possui de modelos de segurança. 
Um outro problema também advém da abordagem de serem observadas pesquisas 
de pouco impacto, pelo fato de os pesquisadores não possuírem contato direto com a 
indústria. 
Desafortunadamente, pesquisas que fazem uma abordagem realística para 
melhorar a situação são raras, sendo que a maioria fica na parte teórica e com 
impactos mínimos para o mundo prático da segurança. 
Além disso, a maioria das políticas ou leis se preocupam também com as 
motivações existentes por detrás de uma infração, o que normalmente pode ser 
demonstrado por meio de uma coleta de dados e de evidências. Poderão inclusive 
haver restrições quanto ao conteúdo coletado, cujo procedimento deverá sempre 
observar o devido processo legal e a manutenção da cadeia de custódia (WALLS, 
2011). 
O atual ordenamento jurídico brasileiro passou por algumas significativas 
mudanças nos últimos anos em função da jurisprudência relacionada ao julgamento 
de crimes cibernéticos, e aqui especialmente se destaca a aprovação do novo Marco 
Civil da Internet (MCI) brasileira, sancionado em 23 de abril de 2014, pela Lei nº 
12.965/2014. 
Anunciado por alguns como tendo criado um grande avanço na área de 
neutralidade da rede, que exige tratamento igualitário a todo conteúdo que trafega na 
internet, admitidas algumas exceções, o MCI de fato apresentou alguns avanços, 
diversos dos quais ainda pendem de devida regulamentação. Contudo, foi duramente 
criticado por peritos em informática e advogados especialistas em direito digital, em 
diversos aspectos tais como a guarda de registros (logs) de acesso e privacidade de 
usuários e liberdade de expressão. 
 Nesse sentido, na subseção I da mencionada lei é estabelecido um período 
muito exíguo em relação ao prazo mínimo que os provedores de conexão à internet 
(por exemplo: Net, GVT, Oi etc.) e os provedores de aplicação de internet (por 
exemplo: Google, Facebook, Uol etc.) deverão manter os seus registros de acessos: 
 
Da Guarda de Registros de Conexão Art. 13. Na provisão de conexão à 
Internet, cabe ao administrador de sistema autônomo respectivo o dever de 
 
 
 
manter os registros de conexão, sob sigilo, em ambiente controlado e de 
segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. […] 
Art. 15. O provedor de aplicações de Internet constituído na forma de pessoa 
jurídica e que exerça essa atividade de forma organizada, profissionalmente 
e com fins econômicos deverá manter os respectivos registros de acesso a 
aplicações de Internet, sob sigilo, em ambiente controlado e de segurança, 
pelo prazo de 6 (seis) meses, nos termos do regulamento. 
 
Os logs oferecem informações essenciais para iniciar adequadamente uma 
investigação, a qual fica bastante comprometida sem o fornecimento devido de dados 
que possibilitem a identificação de qual usuário estava vinculado a um endereço IP 
identificado como origem de um suposto crime. 
 Para piorar ainda mais esse exíguo prazo de armazenamento definido, o 
Decreto nº 8.771, de 11 de maio de 2016, que regulamentou a Lei nº 12.965/2014, 
definiu em seu art. 11 que “o provedor que não coletar dados cadastrais deverá 
informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados”. 
Isso é praticamente um convite aos criminosos para utilizarem redes WiFi abertas para 
o cometimento de delitos. 
 Ainda em relação ao Decreto nº 8.771/2016, um grande equívoco foi gerado 
ao definir que os provedores possuem a obrigação de apagarem os dados de logs 
após o período previsto em lei, conforme estipula o parágrafo 2º do art. 13: 
§ 2º Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 
12.965, de 2014, os provedores de conexão e aplicações devem reter a menor 
quantidade possível de dados pessoais, comunicações privadas e registros de 
conexão e acesso a aplicações, os quais deverão ser excluídos: 
I – tão logo atingida a finalidade de seu uso; ou 
II – se encerrado o prazo determinado por obrigação legal. 
Não obstante, a Lei nº 12.737/2012 (conhecida na mídia como Lei Carolina 
Dieckmann, que havia sido vítima recente de uma divulgação indevida de fotos 
íntimas, pouco tempo antes da votação da lei) já havia finalmente trazido para o 
ordenamento jurídico criminal o crime de “invasão de dispositivo informático”, 
alterando o Decreto-Lei nº 2.848, de 7 dezembro de 1940, em que foram incluídos os 
arts. 154-A e 154-B. 
Aqui cabe a ressalva de que ainda não está pacificado nos tribunais o que é 
necessário que ocorra para caracterizar a violação indevida de mecanismo de 
 
 
 
segurança, conforme é definido no dispositivo legal, visto que nem sempre o usuário 
possui qualquer nível de segurança implementado ou que talvez seja inviável 
comprovar tal violação. 
Um outro fato bastante significativo foi o relatório da CPI de Crimes Cibernéticos 
(2016), o qual ratificou a necessidade urgente de investimentos na área de perícia 
com a apresentação de vários projetos de lei, os quais buscam melhor tipificação para 
alguns crimes, além de auxiliar tanto na investigação de tais crimes como em uma 
melhor capacidade dos entes públicos para lidar com esse problema. Os 
investimentos nessa capacidade serão auxiliados com recursos oriundos do Fistel, 
conforme proposto no projeto de lei que visa à alteração da Lei nº 5.070, de 7 de julho 
1966. 
Entre as justificativas apresentadas nos projetos de lei mencionados no 
relatório da CPI de Crimes Cibernéticos (2016), algumas constatam claramente o fato 
de que é essencial uma melhor tipificação de alguns crimes, quando dizem que: 
“conforme apurado por esta Comissão Parlamentar de Inquérito, a legislação brasileira 
ainda é muito incipiente no que diz respeito aos crimes cibernéticos”. 
Isso também observado em outras duas distintas justificativas,que comentam 
a aprovação da Lei nº 12.737/2012, e as quais afirmam que: 
em que pese essa disposição legal, os trabalhos da Comissão Parlamentar 
de Inquérito dos Crimes Cibernéticos evidenciaram a falta de estrutura dos 
Estados no combate a esses tipos de crimes” e também “que não há dúvida 
que a legislação precisa ser aprimorada. 
Essa questão de legislação adequada é muito bem ilustrada por Capanema 
(2009), o qual afirma que o importante em uma solução legislativa efetiva “não é impor 
um regime autoritário na internet, mas mostrar que, mesmo no mundo dos bits e bytes, 
deve haver uma presença efetiva da Lei, da Ordem e da Justiça”. 
Além disso, legislações anteriores ao advento da internet também são utilizadas 
na tipificação de crimes, pois a conduta já era prevista como criminosa, como é o caso 
de, por exemplo, criar uma comunidade para se expressar contra grupos étnicos (este 
sendo inclusive um crime investigado pelo MPF), segundo dispõe o art. 20, da Lei nº 
7.716/1989: 
Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, 
etnia, religião ou procedência nacional. (Redação dada pela Lei nº 9.459, de 15 de 
maio de 1997) 
 
 
 
Pena: reclusão de um a três anos e multa. (Redação dada pela Lei nº 9.459, de 
15 de maio de1997). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3. A ATIVIDADE PERICIAL 
 
Observando a questão jurídica pela ótica de quem trabalha na investigação 
analisando alguma evidência, é importante mencionar o Código de Processo Civil (Lei 
nº 13.105/2015), em especial os arts. 156 a 158: 
Art. 156. O juiz será assistido por perito quando a prova do fato depender de 
conhecimento técnico ou científico. 
§ 1º Os peritos serão nomeados entre os profissionais legalmente habilitados e 
os órgãos técnicos ou científicos devidamente inscritos em cadastro mantido pelo 
tribunal ao qual o juiz está vinculado. […] 
Art. 157. O perito tem o dever de cumprir o ofício no prazo que lhe designar o 
juiz, empregando toda sua diligência, podendo escusar-se do encargo alegando 
motivo legítimo. […] 
Art. 158. O perito que, por dolo ou culpa, prestar informações inverídicas 
responderá pelos prejuízos que causar à parte e ficará inabilitado para atuar em outras 
perícias no prazo de 2 (dois) a 5 (cinco) anos, independentemente das demais 
sanções previstas em lei, devendo o juiz comunicar o fato ao respectivo órgão de 
classe para adoção das medidas que entender cabíveis. 
Assim, constata-se que o trabalho pericial é bastante especializado e além de 
demandar profundos conhecimentos técnicos e necessária constante atualização traz 
consigo uma enorme responsabilidade ao profissional que o executa, o qual responde 
juridicamente pelo resultado da perícia realizada. 
Ainda, não se deve esquecer também da Seção X do mencionado CPC, e em 
especial do art. 465 que estipula prazos e define a possibilidade de inquirição somente 
pelo juiz competente: 
Art. 465. O juiz nomeará perito especializado no objeto da perícia e fixará de 
imediato o prazo para a entrega do laudo. 
§ 1º Incumbe às partes, dentro de 15 (quinze) dias contados da intimação do 
despacho de nomeação do perito: 
 I – arguir o impedimento ou a suspeição do perito, se for o caso; 
II – indicar assistente técnico; 
III – apresentar quesitos. 
§ 2º Ciente da nomeação, o perito apresentará em 5 (cinco) dias: 
I – proposta de honorários; 
 
 
 
II – currículo, com comprovação de especialização; 
 III – contatos profissionais, em especial o endereço eletrônico, para onde serão 
dirigidas as intimações pessoais. 
§ 3º As partes serão intimadas da proposta de honorários para, querendo, 
manifestar-se no prazo comum de 5 (cinco) dias, após o que o juiz arbitrará o valor, 
intimando-se as partes para os fins do art. 95. […] 
§ 5º Quando a perícia for inconclusiva ou deficiente, o juiz poderá reduzir a 
remuneração inicialmente arbitrada para o trabalho. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4. CRIMES CIBERNÉTICOS 
 
Cumpre observar que são essencialmente duas as categorias utilizadas para 
categorização dos chamados crimes cibernéticos: a dos crimes digitais próprios (ou 
puros) e a dos crimes digitais impróprios (ou mistos), conforme bem indicado pelo Prof. 
Marcelo Crespo (2015): 
Crimes digitais próprios ou puros (condutas proibidas por lei, sujeitas a pena 
criminal e que se voltam contra os sistemas informáticos e os dados. São também 
chamados de delitos de risco informático. 
São exemplos de crimes digitais próprios o acesso não autorizado (hacking), a 
disseminação de vírus e o embaraçamento ao funcionamento de sistemas; e Crimes 
digitais impróprios ou mistos (condutas proibidas por lei, sujeitas a pena criminal e que 
se voltam contra os bens jurídicos que não sejam tecnológicos já tradicionais e 
protegidos pela legislação, como a vida, a liberdade, o patrimônio, etc). 
 São exemplos de crimes digitais impróprios os contra a honra praticados na 
Internet, as condutas que envolvam trocas ou armazenamento de imagens com 
conteúdo de pornografia infantil, o estelionato e até mesmo o homicídio. (CRESPO, 
2015) 
Algumas tipificações de formas de crimes cibernéticos comuns 
 
4.1 Crimes 
 Estelionato e furto eletrônicos (fraudes bancárias) arts. 155, §§ 3º e 4º, II, e 171 
do CP 
 Invasão de dispositivo informático e furto de dados art. 154- A do CP 
 Falsificação e supressão de dados arts. 155, 297, 298, 299, 313-A, 313-B do 
CP 
 Armazenamento; produção; troca; publicação de vídeos e imagens contendo 
pornografia infantojuvenil arts. 241 e 241-A, do ECA (Lei nº 8.069/1990) 
 Assédio e aliciamento de crianças art. 241-D, do ECA (Lei nº 8.069/1990) 
 Ameaça art. 147 do CP 
 Cyberbullying (veiculação de ofensas em blogs e comunidades virtuais) arts. 
138, 139, 140 do CP 
 Interrupção de serviço art. 266, parágrafo 1º, do CP 
 Incitação e apologia de crime arts. 286 e 287 do CP 
 Prática ou incitação de discriminação ou preconceito de raça, cor, etnia, religião 
 
 
 
ou procedência nacional art. 20 da Lei nº 7.716/1989 
 Crimes contra a propriedade intelectual artística e de programa de computador 
art. 184 do CP e Lei nº 9.609/1998 Venda ilegal de medicamentos art. 273 CP. 
Observa-se também que a velocidade vivenciada na mudança dos hábitos da 
população, em função dos usos de novas tecnologias, tem trazido consigo um enorme 
desafio na adaptação e definição de regras de boas condutas, as quais muitas vezes 
são indevidamente utilizadas e exploradas por mentes criminosas. No mesmo sentido, 
a internet possibilitou novas formas de interação social, as quais também facilitaram a 
aplicação de golpes e o cometimento de crimes. 
De resto, Eleutério e Machado (2011) ratificam o entendimento de que, apesar 
da utilização de computadores não ser nada novo, de fato a legislação brasileira não 
está preparada e precisa ser revista, de forma a possibilitar a adequada tipificação das 
diversas modalidades de crimes cibernéticos. 
 
Figura 1 
 
 Jornal Globo, 2020 
 
 
 
 
 
 
 
5. AUDITORIA EM AMBIENTES CIBERNÉTICOS 
 
O primeiro passo é definir o que é cibernética. Trata-se de um termo que nasceu 
em 1946 e, na realidade, fazia referência a um estudo pautado na ideia de que seres 
humanos atuam da mesma forma que outros seres vivos, como as plantas, pois 
apresentavam um sistema bastante parecido. 
Com o passar do tempo, veio a tecnologia, a internet, as comunicações e a 
computação na nuvem. Dessa forma, começamos a relacionar essa palavra 
“cibernética” para ligar a tudo o que fazemos nos ambientes virtuais, incluindo as 
interações, os processos, os dados e o que acontece no mundo online. 
Já a palavra auditoria significa investigar, procurar, analisar, identificar. Trata-
se de um processo de identificaçãoe policiamento de alguma coisa. Quando unimos 
as duas palavras auditoria cibernética, o papel do profissional se resume em fazer 
uma identificação de processos em ambientes digitais. 
Com a tecnologia e a digitalização dos processos e dos dados, os registros 
migraram para um ambiente virtual, de modo que a auditoria também teve que se 
adaptar a esse contexto. 
Nesse sentido, a auditoria cibernética abrange operações que ocorrem dentro 
e fora da empresa, investigando processos e garantindo que eles sejam seguidos 
conforme os pré-requisitos de governança nos ambientes digitais para verificar se o 
sistema é seguro ou se está adequado ao objetivo para o qual ele foi construído. 
Se é um sistema financeiro, por exemplo, será preciso verificar se há 
possibilidades de ocorrer uma fraude. Agora, caso seja algo comercial, é necessário 
investigar se um hacker poderia invadir e pegar informações. 
O Brasil é considerado o quarto país que mais gera ataques no mundo todo. É 
verdade que hoje já existem ferramentas bem avançadas e a legislação também 
evoluiu bastante, de modo que ataques cibernéticos já podem ser apurados em nível 
criminal. Apesar disso, a grande dificuldade das organizações é garantir a segurança 
desse tipo de desenvolvimento. 
Dentro das organizações, um auditor em segurança de TI ou em 
cibersegurança, fará um trabalho investigativo para prevenir falhas no tratamento e na 
proteção das informações, avaliando se o sistema de dados está em conformidade 
com os critérios que foram determinados. 
Assim, uma auditoria completa analisará: 
https://blog.unyleya.edu.br/bitbyte/diferenca-entre-hacker-e-cracker/
https://blog.unyleya.edu.br/bitbyte/ataques-ciberneticos/
 
 
 
 a infraestrutura de rede; 
 as instalações de software; 
 os ambientes; 
 os sistemas; 
 os processos de gestão de dados; 
 as práticas dos usuários. 
Durante todo esse processo de auditoria, o profissional poderá apresentar uma série 
de soluções de segurança para: 
 garantir a inviolabilidade do acesso ao sistema; 
 proteger de ataques a e-mails; 
 fazer backup de dados; 
 atualizar versões de software; 
 fazer treinamentos sobre as melhores práticas de segurança e conscientizar 
colaboradores da empresa; 
 dar suporte à gestão de riscos de fornecedores e parceiros; 
 definir diretrizes no gerenciamento de dados. 
Mas será que vale a pena investir nessa área? Vamos falar disso a seguir! 
Confira! 
 
5.1 A Ascensão do Mercado de Auditoria Cibernética 
 
O Brasil ainda tem sido um alvo importante em nível mundial. Somos 
considerados o terceiro país que mais sofre ataques cibernéticos, ficando atrás 
somente dos EUA e da China. Isso se dá também porque somos um dos países com 
maior volume de sistemas e um dos mais conectados à rede mundial, o que nos leva 
a sofrer mais crimes. 
Assim, os debates sobre segurança cibernética seguem bem firmes no Brasil e 
no mundo. Com a assinatura do decreto que aprova a Estratégia Nacional de 
Segurança Cibernética (E-Ciber), o governo pretende implementar uma série de 
medidas para definir padrões de governança e recomendar soluções nacionais de 
criptografia, além de determinar requisitos mínimos de segurança cibernética em 
contratações feitas por órgãos públicos. Dessa forma, todas as empresas que lidam 
direta ou indiretamente precisarão seguir normas bem específicas no que se refere ao 
tratamento de dados. 
 
 
 
O decreto ainda é incipiente, mas é um reflexo de diversas discussões que já 
eram vistas desde a criação do decreto n.º 6.703, que aprovou a Estratégia Nacional 
de Defesa (END), em 2008. A Lei Geral de Proteção de Dados (LGPD) também está 
chegando para garantir a privacidade dos dados das pessoas. 
Nesse cenário promissor, ainda existe uma escassez gigantesca de mão de 
obra na área. Segundo um estudo realizado pela Brasscom, até 2024, o setor de 
Tecnologia da Informação e Comunicação demandará cerca de 420 mil novos 
profissionais. Então, o mercado está aquecido! 
As possibilidades de atuação na auditoria cibernética 
Uma das principais formações da profissão que atua em auditoria cibernética é 
a pós em Perícia Cibernética. O especialista poderá atuar em diversos segmentos de 
organizações privadas, públicas ou jurídicas, tais como: 
 perícia forense; 
 segurança cibernética; 
 governança e gestão de riscos em sistemas de informação; 
 computação forense; 
 projetos de defesa cibernética. 
 
O curso de Perícia Cibernética é mais prático e tem por objetivo formar um 
perito, dentro das polícias civil, militar e federal ou nas organizações, como auditor ou 
um técnico que atuará dentro da segurança cibernética. 
A importância da capacitação contínua em segurança cibernética 
A pós-graduação garante muitas vantagens para o profissional. Especialmente 
na área de segurança cibernética, na qual a formação continuada é muito importante. 
Os riscos às organizações crescem a cada dia e as ameaças se aperfeiçoam, de modo 
que o especialista precisa se manter atualizado com novas tecnologias, técnicas e 
aplicações para promover uma gestão da tecnologia da informação segura e eficiente. 
Muito dificilmente um profissional conseguiria conhecer todas as tecnologias 
disponíveis e falhas de segurança possíveis. Então, é necessário estar familiarizado 
com as soluções mais adotadas dentro do seu ecossistema de trabalho ou do 
segmento da empresa em que atua, dominando os princípios que estão relacionados. 
A tendência é que a auditoria cibernética seja um movimento cada vez mais 
forte nas organizações públicas e privadas. As crescentes violações de segurança e 
o avanço na legislação tem provado isso. Dessa forma, profissionais que se 
https://cetec.unyleya.edu.br/pos-graduacao-ead/curso/pericia-cibernetica
https://blog.unyleya.edu.br/guia-de-carreiras/estas-7-vantagens-vao-convencer-voce-a-fazer-pos-graduacao/
https://blog.unyleya.edu.br/especialize-se/gestao-da-tecnologia-da-informacao/
https://blog.unyleya.edu.br/?post_type=post&p=2697
 
 
 
especializam na área têm mais chances de se destacar no mercado de trabalho não 
só agora, mas também nos próximos anos. 
 
Figura 2 
 
CobraCorps, 2020 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONCLUSÃO 
 
O objetivo deste trabalho foi apresentar, de forma exploratória, os riscos 
existentes no espaço cibernético e, ainda, fazer uma comparação entre a estrutura de 
segurança e defesa cibernética brasileira e alguns países relevantes no cenário 
mundial. 
 
Sistemas de informação e comunicação constituem-se a base do 
desenvolvimento econômico e social de um país. Além disso, todas as infraestruturas 
críticas nacionais dependem, em alguma medida, de sistemas de segurança e defesa 
cibernética de modo a garantir, sobretudo, a soberania nacional. 
O suposto roubo dos projetos de desenvolvimento dos caças norte-americanos 
F-35 e F-22 pelos chineses e a destruição das instalações físicas nucleares do Irã por 
um vírus de computador são apenas exemplos do potencial econômico e social das 
tecnologias de informação e comunicação. 
O Brasil, por adotar uma postura internacional de promoção de paz, não deve 
se preocupar em produzir armas cibernéticas ou algo do tipo, mas, sim, com a 
proteção de suas redes. 
O conhecimento apropriado por anos de pesquisa na extração do petróleo em 
águas profundas pela Petrobras, montagem de aeronaves pela Embraer, tecnologias 
agrícolas na fronteira do conhecimento desenvolvidas pela Embrapa, e tantas outras 
vantagens comparativas nacionais não podem estar abrigadas em um ambiente 
vulnerável. Além disso, dados governamentais sensíveis e informações sigilosas são 
diariamente manipulados por dispositivos eletrônicos ou computacionais e, por 
consequência, suscetíveis a invasões. 
A maior parte das redes da administração pública federal apresenta níveis 
inaceitáveis de segurança, conforme relatórios de avaliação de governançade TI do 
TCU. Apesar de apresentar melhoras a partir de 2007, o quadro geral da APF ainda 
se mantém distante dos níveis adequados. Além da vulnerabilidade, dados do GSI/PR 
mostram que a APF registra cerca de 3 mil incidentes virtuais de segurança por mês. 
Certamente, deve haver incidentes que não são sequer identificados. 
A diferença de investimento em gestão de defesa cibernética entre o Brasil e 
os Estados Unidos já era esperada. Não apenas pela própria condição econômica de 
cada país, mas também pela postura internacional e ausência de desafetos 
 
 
 
declarados. Já a diferença do arranjo institucional entre os dois países é algo notável. 
Enquanto, nos Estados Unidos, segurança e defesa cibernética possuem uma 
liderança única, no Brasil, optou-se por separá-las. 
O Brasil fez a opção por segregar a direção das ações de segurança da 
informação e defesa cibernética em dois órgãos distintos e independentes entre si, 
respectivamente, GSI/PR e CDCiber/EB/MD. Essa configuração tende a fragilizar o 
programa tanto de defesa quanto de segurança cibernética, pois, além de isolá-los, 
ambos passam a depender da afinidade, integração e colaboração dos dirigentes 
maiores de tais instituições. 
Cada entidade presta contas de seu trabalho de formas e a autoridades 
distintas, e isto dificulta ações conjuntas de longo prazoConsiderando apenas os 
aspectos de defesa, o mesmo volta a ocorrer. O CDCiber está dentro da estrutura do 
Exército Brasileiro, mas a área cibernética tem abrangência nas três Forças. 
Ao delegar a liderança das ações de defesa cibernética ao Exército Brasileiro, 
a Estratégia Nacional de Defesa também criou uma multiplicidade de lideranças dentro 
do próprio Ministério da Defesa. Isto porque as questões cibernéticas devem ter igual 
relevância nas três Forças e não apenas no Exército. 
Com isto, apesar de cada Força possuir um núcleo dedicado à defesa 
cibernética, como já vem ocorrendo, cabe ao núcleo do Exército Brasileiro a liderança 
do tema dentro das Forças Armadas. Isto fragiliza a defesa cibernética como um todo. 
Seria mais lógico se o CDCiber estivesse dentro da estrutura de Estado-Maior 
Conjunto das Forças Armadas (EMCFA) e não no Comando do Exército. 
Assim, poder-se-ia contar com militares das três Forças e por que não também 
civis atuando em conjunto, coordenados e integrados. Diante do exposto, avalia-se 
que, no Brasil, tanto a segurança quanto a defesa ainda se encontram em estágio 
embrionário de organização, todavia algumas ações já vêm sendo tomadas. Por outro 
lado, nota-se que as maiores economias mundiais, bem como demais países em 
desenvolvimento, também não estão muito avançados em relação à sistematização e 
organização dos mecanismos de proteção cibernética. 
A começar pelos Estados Unidos, que apenas em 2009 criaram, oficialmente, 
o Comando de Defesa Cibernética. Por meio de uma análise das estratégias 
cibernéticas nacionais, nota-se que até mesmo as grandes potências estão em busca 
de parceiros e aliados para, por meio de troca de experiências, conseguirem avançar 
na proteção e salvaguarda dos dados. 
 
 
 
Acredita-se que esse amplo convite ao estabelecimento de novas parcerias é 
resultado da percepção de que ações individuais não avançam na velocidade 
necessária. Certamente, os países mais ricos possuem instrumentos mais sofisticados 
e orçamento muito superior em relação ao Brasil. 
Todavia, tecnologias ligadas a sistemas digitais, especialmente quando 
envolvem elaboração de software, inteligência, talento e criatividade dos 
desenvolvedores, podem superar eventuais vantagens tecnológicas e orçamentárias 
(Takemura, Osajima e Kawano, 2009). Exemplo disto são as frequentes invasõesa 
sistemas superprotegidos, como as ocorridas no Pentágono, Sony, RSA Security e 
MasterCard, por grupos dedicados ao cibercrime. 
O Brasil ainda conta com um parque empresarial pequeno, com cerca de 
quarenta empresas de desenvolvimento e/ou fornecimento de soluções robustas em 
segurança ou defesa cibernética localizadas no país. 
O Estado tem capacidade de ser o propulsor da iniciativa privada rumo ao 
desenvolvimento de novas soluções em segurança e defesa. Nesse sentido, algumas 
ações podem ser tomadas, como: 
• organizar o regime legal, regulatório e tributário da indústria nacional de 
material de defesa para que ela tenha condições de abrir mão das necessidades 
momentâneas do mercado para priorizar os imperativos estratégicos nacionais; 
• criar fundos perenes de apoio à pesquisa em defesa cibernética a serem feitas 
pela iniciativa privada, mas com a possibilidade de integração com o meio acadêmico 
ou institutos de pesquisa; 
• o componente estatal da indústria de material de defesa deve ter por vocação 
fomentar o que o setor privado não possa projetar e fabricar, a curto e médio prazo, 
de maneira rentável; 
• o Estado precisa ser vitrine dos produtos nacionais para os clientes 
estrangeiros; isto porque uma empresa que não consegue vender seus produtos no 
mercado interno dificilmente terá êxito ao tentar vendê-los no mercado internacional; 
e 
• o futuro das capacitações tecnológicas nacionais de defesa depende mais da 
formação de recursos humanos do que do desenvolvimento de aparato industrial. Daí 
a primazia da política de formação de especialistas em ciência básica e aplicada. 
Ao se fazer uma análise da vulnerabilidade das redes brasileiras, percebe-se 
que o Brasil ainda tem muito que avançar para conseguir se equiparar aos países 
 
 
 
ricos. Todavia, para se conseguir esse emparelhamento partindo-se da fase de 
maturidade da tecnologia, o processo torna-se muito caro e, mesmo assim, com 
poucas chances de sucesso. Sabe-se que os recursos são escassos e que as grandes 
potências mundiais dispõem de orçamento e realizam investimentos muito superiores, 
se comparados aos países emergentes. 
O ponto de entrada mais promissor, para países em desenvolvimento como o 
Brasil, é a fase inicial de desenvolvimento, fase esta pela qual o mundo atravessa. 
Basta lembrar que os países ricos estão rogando por possibilidade de parcerias. 
Essa janela de oportunidade está atualmente aberta ao Brasil. Ela consiste no 
momento ideal para se investir em capacidade, instrumentos e recursos de modo a 
otimizar a busca por um ciberespaço aberto, confiável, seguro e interoperável. 
Diante do caráter evidentemente exploratório do texto, espera-se que ele sirva 
de ponto de partida para novas pesquisas e propostas de arranjos institucionais, bem 
como de subsídio a políticas de incentivo de apoio à indústria de fornecimento de 
materiais de defesa nacionais. 
Os riscos cibernéticos só podem ser neutralizados se houver uma compreensão 
das pessoas, das empresas e do governo sobre a importância de manter a segurança 
dos dados pessoais e corporativos. Ataques cibernéticos vêm atingindo países 
do mundo inteiro e ganhando relevância no Brasil nos últimos anos. Com o avanço da 
tecnologia, nossas informações ficam cada vez mais expostas a vazamento ou roubo. 
Nossas organizações dispõem de infraestrutura, aplicativos e banco de dados, 
além do ambiente físico, temos o virtual e mobile, recursos que servem para facilitar e 
viabilizar o trabalho no dia a dia. Junto com esta evolução, temos, também, uma lista 
interminável de riscos e brechas de segurança, muitas ainda não identificadas, que 
podem se tornar alvo para ataques comprometendo a confidencialidade, integridade 
e disponibilidade de dados ou sistemas tecnológicos. 
Praticamente todas as empresas trabalham com tecnologia de gerenciamento 
de dados pessoais e corporativos, tais como número de cartão de crédito, identidade, 
endereço, registros médicos, passaporte, lista de clientes, orçamento, planos 
de negócios, dentre outras informações. A segurança e responsábilidade pelas 
informações de terceiros tornaram-se uma preocupação cada vez mais constante. 
Por mais segurosque achamos que sejam os sistemas de informações, os 
riscos multiplicam-se com efeitos graves para os nossos negócios. O gerenciamento 
desses riscos para proteção dessas informações não é prioridade apenas de 
 
 
 
um departamento, mas é sobre tudo responsabilidade da administração da empresa. 
A rápida evolução cibernética tem ameaçado as organizações, tornando 
obsoleta as ferramentas e as metodologias tradicionais de segurança da informação, 
forçando revisarem procedimentos e politicas de curto prazo. 
A vulnerabilidade tornou-se uma das maiores ameaças no universo 
empresarial, com consequências graves e dispendiosas. 
Esse problema não se resolve apenas com investimentos em grandes 
plataformas ou software de segurança, mesmo sendo cada vez mais robustas as 
soluções, ainda assim, são vulneráveis. A criminalidade está ligada a extorsão, 
pirataria de dados confidenciais, acessos não autorizados, negligência e erros de 
colaboradores e parceiros de negócios. 
Ela não é praticada apenas por ataques externos, mas também internos, 
através da invasão e roubo de informação por parte de colaboradores. A falta de 
educação e treinamento de colaboradores e a negligência nas politicas de 
segurança das empresas são os principais fatores facilitadores de invasões. Nenhuma 
organização está bem segura. 
Os serviços financeiros, de comunicação, tecnologia, dentre outros tem 
sido afetados por ataques que resultaram em grandes perdas financeiras e perdas 
relacionadas à reputação dessas empresas. 
A necessidade de proteção deve ser constante. O objetivo não é só evitar que 
os ataques aconteçam, mas conscientizar as empresas para que adotem as melhores 
práticas de governança para a resistência cibernética e assegurar os elevados 
prejuízos que poderão ocorrer desses ataques, protegendo os negócios da empresa. 
A procura por apólices de seguros não são apenas de responsabilidade civil, sendo 
também de cobertura tanto de 
danos a terceiros quanto ao tomador do seguro. 
A Lei nº 12.965/2014 considerada como Marco Civil da Internet no Brasil, 
também tratou desses assuntos ligados aos ataques cibernéticos. A lei tem por 
finalidade proteger os dados de pessoas com base no direito constitucional da 
privacidade. Sempre que houver uma divulgação não consentida, o responsável deve 
responder perante a justiça, independentemente de culpa. 
É crescente a importância das instituições governamentais, 
autoridades reguladoras e seguradoras como um elemento crítico para neutralizar a 
ameaça cibernética mundial. 
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
 
 
 
Para implantar um sistema de gerenciamento de riscos é necessário determinar 
quais os ativos precisam ser protegidos, por meio de uma análise detalhada da 
tecnologia, dos processos e dos recursos envolvidos na implantação e manutenção 
do ambiente. Não existe uma solução igual para todas as empresas, pois, elas 
possuem diferentes estruturas tecnológicas, com diferentes riscos potenciais. A 
segurança deve seguir uma abordagem por camadas, com proteção adicional para os 
ativos mais importantes. 
É imprescindível contratar uma consultoria com profissionais especializados em 
contra-invasão e contra-hackeamento e, começar a análise desde o ponto de 
negócio, mapeando processos, para identificar as áreas de maior risco. A 
interpretação adequada das normas internas, das melhores práticas, regulamentos e 
contratos têm por objetivo deixar claro o risco e as suas consequências. 
Também é necessário dispor de ferramentas para medir, em tempo real, a 
frequência e o perigo de ameaças emergentes para que possa instruir sua base de 
inteligência, a fim de obter uma avaliação precisa do risco atual. Avalie atividades de 
compartilhamento de informações com seus colaboradores, instituições e o governo. 
Os procedimentos devem estar padronizados e documentados, as 
responsabilidades e os processos, também, devem estar alinhados com o negócio e 
a estratégia de TI com treinamento e comunicação suportados por conceitos técnicos. 
As informações sobre a evolução das ameaças em relação ao seu sistema de 
gerenciamento de riscos devem estar atualizadas e com monitoramento contínuo, 
para não repetir problemas conhecidos. Além de todas as precauções tecnológicas, o 
treinamento contínuo e a educação sobre ameaças à segurança são essenciais. 
Inclusive a inclusão de informações de segurança cibernética nas políticas para os 
colaboradores da empresa e dos parceiros de negócios, para que saibam o que é e o 
que não é aceitável. 
Por fim, o gerenciamento, controle e mitigação de riscos é um processo 
contínuo, que deve ser constantemente revisado e atualizado. Avaliações periódicas 
devem ser realizadas para procurar novas vulnerabilidades e ameaças, para manter 
a posição de risco da empresa no nível desejado. 
 
 
 
 
 
 
 
REFERÊNCIAS 
 
ABREU, Karen Cristina Kraemer. História e usos da Internet. 2009 Disponível em: . 
ALVES, Priscila Pires; MANCEBO Deise. Tecnologias e subjetividade na 
contemporaneidade. Estudos de Psicologia, v. 11, n. 1, p. 45-52, 2006. Disponível 
em: Acesso em: 24 out. 2017. 
 
BAUMAN, Zygmunt. Vida líquida. Rio de Janeiro: Zahar, 2005. 
 
 ______.Vida em fragmentos. Rio de Janeiro: Zahar, 2011. 
 
 BRASIL. Lei nº 8.069, de 13 de julho de 1990. Estatuto da Criança e do Adolescente. 
Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências. 
Disponível em: . Acesso em: 24 out. 2017. 
 
______. Conselho Nacional de Justiça. Resolução nº 225, de 31 de maio de 2016. 
 
Dispõe sobre a Política Nacional de Justiça Restaurativa no âmbito do Poder 
Judiciário e dá outras providências. Disponível em: . Acesso em: 24 out. 2017. 
 
FERREIRA NETO, João Leite. Processos de subjetivação e novos arranjos urbanos. 
Revista do Departamento de Psicologia – UFF, v. 16, n. 1, p. 111- 120, 2004. 
Disponível em: . Acesso em: 24 out. 2017. 
 
LANDINI, Tatiana Savoia. Envolvimento e distanciamento na produção brasileira de 
conhecimento sobre pornografia infantil na Internet. São Paulo em Perspectiva, São 
Paulo, v. 21, n. 2, p. 80-88, jul./dez. 2007. Disponível em: . Acesso em: 24 out. 2017. 
 
MELO, Eduardo Rezende. Justiça restaurativa e seus desafios histórico-culturais. Um 
ensaio crítico sobre os fundamentos ético-filosóficos da justiça restaurativa em 
contraposição à justiça retributiva. In: BRASIL. Ministério da Justiça – PNUD. Justiça 
restaurativa. Brasília, 2005.