SEGURANÇA DA INFORMAÇÃO UNIMAR

Prévia do material em texto

SEGURANÇA DA 
INFORMAÇÃO
Prof. Me. MARCEL SANTOS SILVA
Reitor
Márcio Mesquita Serva
Vice-reitora
Profª. Regina Lúcia Ottaiano Losasso Serva
Pró-Reitor Acadêmico
Prof. José Roberto Marques de Castro
Pró-reitora de Pesquisa, Pós-graduação e Ação Comunitária
Profª. Drª. Fernanda Mesquita Serva
Pró-reitor Administrativo
Marco Antonio Teixeira
Direção do Núcleo de Educação a Distância
Paulo Pardo
Coordenadora Pedagógica do Curso
Inserir nome da coordenadora responsável
����������������������
B42 Design
*Todos os gráficos, tabelas e esquemas são creditados à autoria, salvo quando indicada a referência. Informamos
que é de inteira responsabilidade da autoria a emissão de conceitos.
Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização. A 
violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal.
Universidade de Marília 
Avenida Hygino Muzzy Filho, 1001 
CEP 17.525–902- Marília-SP
Imagens, ícones e capa: ©envato, ©pexels, ©pixabay, ©Twenty20 e ©wikimedia
G915b Sobrenome, Nome autor
Titulo Disciplina [livro eletrônico] / Nome completo autor. - 
Marília: Unimar, 2020.
PDF (XXX p.) : il. color.
ISBN XXX-XX-XXXXX-XX-X
1. palavra 2. palavra 3. palavra 4. palavra 5. palavra 6.
palavra 7. palavra 8. palavra I. Título.
CDD – 610.6952017
007 Aula 01:
015 Aula 02:
023 Aula 03:
030 Aula 04:
038 Aula 05:
044 Aula 06:
051 Aula 07:
061 Aula 08:
069 Aula 09:
083 Aula 10:
091 Aula 11:
098 Aula 12:
108 Aula 13:
116 Aula 14:
124 Aula 15:
129 Aula 16:
Princípios de Segurança da Informação 
Leis, Normas e Padrões de Segurança da Informação 
Análise de Riscos em Sistemas de Informação 
Plano de Contingência e Continuidade 
Política de Segurança da Informação 
Auditoria de Sistemas 
Conceitos, Tipos de Ameaças e Vulnerabilidades 
Vírus, Trojans e Malwares 
Fraudes 
Vulnerabilidades de Redes 
Técnicas de Avaliação de Sistemas 
Engenharia Social 
Lei Geral de Proteção aos Dados 
Privacidade dos Usuários 
Forense Computacional
Criptografia e Acesso não Autorizados
Introdução
Não é de hoje que a informação possui uma enorme importância na vida das pessoas e
das organizações. Com a constante evolução da tecnologia, a capacidade de coleta,
armazenamento e processamento das informações evoluiu substancialmente, criando
uma forma de uso diferenciada, seja para produção de novos conhecimentos, seja para
identificação de padrões comportamentais de consumo, por exemplo.
Consequentemente, aumentou-se a necessidade de proteção das informações e
conhecimentos produzidos que, cada vez mais, são transacionados por meio da rede
de computadores, principalmente pela Internet.  No entanto, a segurança não abrange
somente a informação digital, é preciso considerar outros aspectos ao se avaliar a
segurança, como, o lixo convencional e computacional, as conversas informais em
ambientes abertos, a técnicas de engenharia social, as cópias de segurança em
dispositivos móveis entre outros.
Neste capítulo serão discutidos os conceitos básicos de dados e informações, as
principais características que se referem a classificação das informações para, a partir
daí, iniciarmos o entendimento em relação a segurança da informação e suas
especificidades.
Este documento está organizado em 15 temas, organizados de forma que se
relacionam entre si, conforme apresentado a seguir.
O tema 1 trata dos princípios de segurança da informação, desde os conceitos de
dados e informação, formas de classificação e os aspectos principais da segurança da
informação frente ao avanço tecnológico.
O segundo tema apresenta as normativas e padrões que estabelecem um sistema de
gestão de segurança da informação, tendo como principais as normativas da ABNT
27001, 27002, 27005, 27007 entre outras que convencionam as melhores práticas
referente ao tratamento da informação no ambiente tecnológico.
O tema 3 aborda os aspectos que se referente a identificação, tratamento e gestão dos
riscos em sistemas de informação, detalhando o que estabelecem as normas ABNT
NBR ISO/IEC 27005 e ABNT NBR ISO/IEC 31000.
4
A quarta parte apresenta o plano de contingencie e continuidade de acordo com as
normas e padrões, além de evidenciar o plano de emergência e plano de recuperação
de desastre. Ainda se discute o processo de elaboração de um plano de continuidade
do negócio de acordo com as melhores práticas.
O tema 5 apresenta com detalhes a estruturação, suas principais características e
etapas para elaboração de uma política de segurança da informação, atendendo as
necessidades de cada organização.
A sexta parte apresenta os princípios de auditoria de sistemas, destacando cada uma
das etapas na realização de um programa de auditoria, com foco em sistemas de
informação.
No tema 7 são discutidos os conceitos, tipos de ameaças e vulnerabilidades,
classificando essas como de hardware, de comunicação, de armazenamento, humanas
e físicas. Trata ainda as principais ameaças aos sistemas computacionais, formas de
prevenção, detecção e recuperação, no caso de ocorrência de algum incidente.
Já o oitavo tema trata especificamente dos tipos de vírus trojans e malwares,
categorizando-os e apresentando suas formas de invasão e mecanismos de mitigação.
A aula 9 trata especificamente de fraudes, detalhando o furto de identidade, phishing, o
boato e, por fim, o footprinting que consiste na coleta do máximo de informações
relacionadas ao alvo que se deseja invadir.
A décima parte apresenta as vulnerabilidades de redes de computadores, com
destaque para o sniffing, spoofing e Man in the Middle, suas características e formas de
atuação quando utilizada por um invasor.
O foco da parte 11 está na apresentação de técnicas de avaliação de sistemas,
destacando as etapas de desenvolvimento, desde a definição da necessidade do
negócio até a validação final pela área de qualidade de software.
A parte 12 trata de uma das técnicas mais utilizadas atualmente, a Engenharia Social,
que consiste na manipulação de sentimentos e mecanismos de persuasão para
conseguir aquilo que se deseja de uma pessoa.
Já o tema 13 discuti os tipos de criptografia, detalhando os sistemas de chaves
simétrica e assimétrica, e os principais objetivos de uso da criptografia no processo de
segurança da informação.
5
A parte 14 discorre sobre os principais aspectos que tratam a Lei Geral de Proteção aos
Dados, seus princípios e abrangência.
A penúltima parte é uma continuidade da anterior, onde se discute a privacidade dos
usuários e as vulnerabilidades à que estão suscetíveis, formas de mitigação dos riscos e
os princípios fundamentais.
Por fim, o tema final apresentado está relacionado à forense computacional, as etapas
de investigação e a importância da cadeia de custódia para um processo judicial.
6
01
Princípios de Segurança 
da Informação
7
Dados e Informação
Antes mesmo de se de�nir os conceitos de segurança da informação, é necessário
entender os aspectos iniciais que alicerçam essa evolução e formas de utilização por
meio da tecnologia. O termo dados, por si só, possui inúmeras formas de de�nição,
portanto analisaremos algumas a seguir.
De acordo com Sordi (2015), dado é uma coleção de evidências relevantes sobre um
determinado fato que está sendo observado, e coleção apresenta o conceito de
conjunto, ou seja, diversas evidências referentes a esse fato.
Por dados, entende-se o material bruto que alimenta um determinado sistema,
permitindo a construção de uma informação. Alguns autores ainda de�nem dado
como qualquer elemento identi�cado em sua forma bruta que, por si só, não conduz
a uma compreensão de determinada situação.
O poder da informação é indiscutível, porém, o que tem revolucionado os processos
tradicionais de utilização da informação é a forma como ela é rapidamente
processada e utilizada para diversos objetivos conforme o modo de sua apresentação.
A informação é um conjunto organizado de dados capazes de reduzir as
incertezas ou incrementaro conhecimento sobre algo, ou seja, a informação
pode ser: as notícias apresentadas em jornais e até mesmo o conteúdo
dessa aula é uma informação.   De forma prática, o dado, dentro de uma
organização, pode ser um salário do funcionário, pois o salário sozinho não
possui um signi�cado para a organização. No entanto, quando esse dado é
organizado, surge aí o conceito de informação, por exemplo, a folha de
pagamento com os salários e os nomes dos funcionários.
8
Sordi (2015) de�ne informação como a interpretação de um conjunto de dados,
conforme um propósito relevante e de consenso para um determinado público alvo. A
informação exige, invariavelmente, a mediação humana para se de�nir um propósito
que será entendido pelo processamento de dados a ser executado, conforme uma
unidade de análise. Há também o entendimento que informação é o resultado do
processamento e manipulação de um conjunto de dados, de forma que os tornem
signi�cativos e úteis.
E não podemos deixar de contextualizar os sistemas de informação, que são
de�nidos como um conjunto de componentes que se relacionam para a coleta,
processa, armazena e distribui informações destinadas a apoiar a tomada de decisões
e o controle em uma organização” (LAUDON; LAUDON, 2004).
Classificação da Informação
A classi�cação da informação é o processo de identi�car e de�nir níveis e critérios de
proteção adequada para as informações, de forma a garantir a segurança. Toda
organização deve ter a capacidade de atribuir valor a informação para garantir sua
confidencialidade, integridade e disponibilidade.
9
A forma mais comum de classi�cação utilizada se refere ao grau de sigilo, porém, vale
destacar que outras formas podem ser adicionadas, tais como:
Ao seu gestor e custodiante;
Ao tempo de retenção em cópias de segurança por questões legais;
A qual o encaminhamento que deve ser dado à informação, quando do
encerramento das atividades da organização.
Uma dúvida que surge durante o processo de classi�cação se refere ao nível de
granularidade que se deve utilizar, por exemplo, arquivo, campo, conjunto de campos,
registro do arquivo entre outros.
O nível de granularidade da informação a ser utilizada para a classi�cação em
relação ao sigilo deve ser um nível que o gestor entenda e seja signi�cativo para ele.
No ambiente computacional, per�l gestor, a referência pode ser por transações, telas
geradas por transações, relatórios gerados por transações. Já no ambiente
computacional, no per�l técnico, pode-se considerar que o nível de sigilo de um
arquivo deve ser igual ao maior nível de sigilo do conjunto de transações que tomam
por base esse arquivo.
Para que se obtenha uma classi�cação correta das informações, sugere-se o
cumprimento das seguintes etapas:
1. Elaboração de uma política de classi�cação;
2. Coleta das informações;
3. Classi�cação das informações coletadas;
4. Implementação da política de classi�cação;
5. Revisão periódica das informações classi�cadas.
Uma vez identi�cadas e classi�cadas todas as informações levantadas na organização,
partimos para a contextualização da segurança da informação.
10
“A granularidade é o nível de detalhamento que se espera de uma
determinada informação. Esse nível de detalhe está diretamente ligado ao
negócio que se pretende estudar. Por exemplo, uma determinada empresa
precisa saber qual foi o seu faturamento em certo período. Imaginemos que
o período seja de um ano especi�co, então a granularidade nesse exemplo
serão os anos que se necessita saber o faturamento. Se outra empresa
precisa da mesma informação, porém com faturamento diário, então a
granularidade nesse caso é o tempo em dias. Geralmente a granularidade
de um modelo está diretamente ou indiretamente ligada ao tempo.”
(OLIVEIRA, 2010, p. 17-18).
Segurança da Informação
Para Nieles, Dempsey e Pillitteri (2017), segurança da informação se de�ne como a
proteção de informações e sistemas de informações contra acesso, uso, divulgação,
interrupção, modi�cação ou destruição não autorizada, a �m de garantir
con�dencialidade, integridade e disponibilidade. Estes três últimos termos formam o
que é conhecido como a tríade CIA, do acrônimo em inglês para confidentiality,
integrity e availability.
De acordo com a NBR ISO/IEC 27002 (2013):
A segurança da informação é alcançada pela implementação de um
conjunto adequado de controles, incluindo políticas, processos,
procedimentos, estrutura organizacional e funções de software e
hardware. Estes controles precisam ser estabelecidos,
implementados, monitorados, analisados criticamente e melhorados,
11
Figura 1 – Pilares da Segurança da Informação.
Fonte: Elaborado pelo Autor (2020).
quando necessário, para assegurar que os objetivos do negócio e a
segurança da informação da organização são atendidos.
A segurança da informação é constantemente desa�ada a cumprir seus pilares, onde,
geralmente, nos problemas enfrentados eles são referência. Dentro do contexto de
tecnologia e sistemas de informação, a segurança da informação possui três pilares
que sustentam seus objetivos, conforme �gura 1.
12
A Confiabilidade garante que a informação só será acessada por usuários
autorizados, tendo como base o sigilo da informação. Objetivando garantir a
con�dencialidade são usados controles de acessos, que garantem a não divulgação da
informação sem permissão, como: autenticação por senha e permissão de acesso.
Vale destacar que este princípio no mundo corporativo garante o sigilo e protege o
capital intelectual pertencente a organização, principalmente, com relação às
vantagens competitivas e diferenciais de mercado.
A Disponibilidade possibilita que a informação esteja disponível para acesso quando
se deseja, para todos àqueles que tenham acesso, desta forma se garante a
continuidade do serviço. Esse princípio está diretamente ligado à e�cácia do sistema e
no seu perfeito funcionamento. Uma das formas mais comuns para se garantir a
disponibilidade é a realização de serviços redundantes, além de cópias de segurança.
A Integridade garante que a informação não seja modi�cada por indivíduos não
autorizados, de forma a garantir suas características exatas desde a origem até o
destino, sem sofrer qualquer alteração ou violação em todo o processo de transporte.
Uma das formas comumente utilizadas para se garantir a integridade da informação
transacionada é a criptogra�a.
Acesse o link: Disponível aqui
Você sabia que o Governo Federal Brasileiro possui um Departamento de
Segurança Nacional que, além de ser responsável pelo planejamento e
supervisão da atividade de segurança da informação nacional, trata ainda da
estratégia nacional de Segurança Cibernética?
Além dos três pilares que sustentam a segurança da informação em sistemas, há
quatro princípios que norteiam e possibilitam os meios adequados para a
manutenção de um sistema organizado, seguro e con�ável. São eles:
13
Autenticidade: con�rma a identidade do indivíduo emissor da informação, por meio
do qual garante que a informação procede da fonte apresentada. A assinatura digital
é um dos mecanismos que compreende este princípio.
Não repúdio ou irretratabilidade: esse princípio comprova que o emissor não
negue a criação de determinado documento ou assinatura, não sendo possível eximir
a sua autoria.
Legalidade: seguir inteiramente as Leis e Regulamentações vigentes de determinado
local ou País na utilização da tecnologia da informação.
Privacidade: con�rma quais informações são disponibilizadas e quem são os
usuários que possuem acesso. A autenticidade e a con�dencialidade são princípios
que contribuem para a manutenção da privacidade.
14
02
Leis, Normas e Padrões de 
Segurança da Informação
15
Normas
Uma norma pode ser de�nida como a medida para a realização de uma determinada
atividade. Ela tem como premissa básica, de�nir regras e instrumentos de controle
para garantir a conformidade de um processo, um produto ou um serviço.
Conforme estabelece a ABNT ISO/IEC Guia 2 (2006), o objetivo do documento de
normalização consiste na de�niçãode soluções, em consonância dos envolvidos, para
temas que possuem caráter repetitivo, tornando-se uma poderosa ferramenta na
autodisciplina de agentes ativos dos mercados. Garante, ainda, evidência aos
legisladores se há necessidade de regulamentações especí�cas em matérias que não
são cobertas por normas.
Importante destacar que uma norma, de�nida por um órgão o�cialmente normativo,
é considerada uma referência idônea perante o mercado a que se destina, passando a
ser utilizada em processos de regulamentação, de certi�cação, de metrologia, de
acreditação entre outros. A �gura 1 apresenta todos os objetivos da normalização,
conforme a ABNT ISO/IEC Guia 2:2006.
Figura 1 – Objetivos da normalização.
Fonte: ABNT Disponível aqui
16
A segurança para sistemas de informações foi um dos primeiros temas a se criarem
padrões. A gestão de segurança da informação tem por objetivo identi�car riscos,
prever sua possibilidade de ocorrência e implantar medidas que, de forma efetiva,
reduzam sua realização. A �gura 2 apresenta o histórico de evolução das normas
relacionadas à segurança da informação.
A aplicação de normas de segurança em ambientes computacionais é muito mais do
que modismo, na verdade, é uma maneira de assegurar coerência nas ações dos
responsáveis pelas atividades de administração em ambientes computacionais. Aderir
a padrões de segurança reconhecidamente e�cientes reduz problemas de incidentes
intrinsecamente ligados às operações executadas por computadores. Vejamos a
seguir as normas criadas para a segurança da informação.
Normas em segurança da
informação
17
Fonte: o autor.
18
A Associação Brasileira de Normas Técnicas (ABNT) criou um conjunto de normas
direcionadas para a Segurança da Informação, sempre tendo como referência os
padrões de�nidos pela Organização Internacional de Padronização, conhecida como
ISO. A seguir, apresentamos as principais normativas em vigência.
ABNT NBR ISO/IEC 27003:2011 – Tecnologia da informação – Técnicas de
segurança – Diretrizes para implantação de um sistema de gestão da segurança
da informação.
ABNT NBR ISO/IEC 27004:2010 – Tecnologia da informação – Técnicas de
segurança – Gestão da segurança da informação – Medição
ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação – Técnicas de
segurança – Gestão de riscos de segurança da informação.
ABNT NBR ISO/IEC 27007:2012 – Diretrizes para auditoria de sistemas de gestão
da segurança da informação.
ABNT NBR ISO/IEC 27037:2013 – Tecnologia da informação – Técnicas de
segurança – Diretrizes para identi�cação, coleta, aquisição e preservação de
evidência digital.
ABNT NBR ISO 22301:2013 – Segurança da sociedade — Sistema de gestão de
continuidade de negócios – Requisitos.
ABNT NBR 16167:2013 – Segurança da Informação – Diretrizes para
classi�cação, rotulação e tratamento da informação.
Existem ainda duas normas que merecem um pouco mais de destaque que são:
ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de
segurança — Sistemas de gestão da segurança da informação — Requisitos.
Esta norma estabelece os requisitos principais para a de�nição do escopo do Sistema
de Gestão da Segurança da Informação, além da avaliação de riscos, a identi�cação
dos ativos e a e�cácia dos controles internos implementados. Ela promove a adoção
de uma abordagem de processo para o estabelecimento e implementação, operação,
monitoramento, análise crítica e evolução do SGSI dentro da organização.
Vale ressaltar que o processo para a gestão de segurança da informação apresentada
por esta norma, contribui para que os usuários destaquem a importância de alguns
aspectos, como:
Compreensão dos requisitos de segurança da informação e a necessidade de
estabelecimento de uma política e objetivos claros;
Implantação e inserção de controles para a gestão de riscos no contexto de
negócio global da organização;
Monitoramento e análise crítica do desempenho e e�cácia do SGSI;
Melhoria contínua baseada em indicadores objetivos.
19
ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de
segurança — Código de prática para controles de segurança da informação.
Acesse o link: Disponível aqui
Você sabia que toda norma publicada pela ABNT, passa por um processo de
homologação, que é o ato de validação do trabalho executado, desde a
elaboração do documento pela Comissão de Estudo responsável, passando
pelo processo de Consulta Nacional, até a aprovação do documento �nal. A
partir da publicação o documento técnico é disponibilizado para ser
adquirido por meio do endereço a seguir, acesse e conheça as demais
normas da família 27000.
Sistema de Gestão de
Segurança da Informação
O sistema de gestão de segurança da informação (SGSI) é o resultado da aplicação
planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas
administrativas que, de forma conjunta, de�nem como são reduzidos os riscos para a
segurança da informação.
20
Figura 2 – Implementação do SGSI pelo PDCA.
Fonte: elaborada pelo autor (2020).
Para cada uma das fases do PDCA, são estabelecidos um conjunto de ações para a
implementação do Sistema de Gestão de Segurança da Informação, conforme
apresentado a seguir.
Fase 1 – PLAN – Estabelecer o SGSI
Para a fase 1, que consiste no planejamento, a atividade principal é o estabelecimento
do Sistema de gestão de segurança da informação, que compreende as seguintes
atividades:
Estruturação do SGSI;
Plano Diretor de Segurança;
Diagnóstico de Segurança;
Avaliação, Tratamento dos Riscos e Seleção dos Controles de Segurança;
Declaração de Aplicabilidade.
21
Fase 2 – DO – Implementar o SGSI
A fase 2 consiste na implementação do sistema de gestão de segurança da
informação, composta das seguintes atividades:
Criação do Comitê de Segurança da Informação;
Estabelecimento da Política de Segurança;
Classi�cação da Informação;
Plano de Continuidade dos Negócios de TI;
Treinamento e Conscientização.
Fase 3 – CHECK – Monitorar e re�sar o SGSI
Esta fase tem como responsabilidade o monitoramento e a revisão do sistema de
gestão de segurança da informação, e compreende apenas quatro etapas:
Monitoração dos Controles de Segurança;
Gestão de Incidentes;
Revisão dos níveis de risco residual;
Auditoria Interna do SGSI.
Fase 4 – ACT – Manter e aprimorar o SGSI
A última fase, representada pelo Act, consiste na manutenção e aprimoramento do
sistema de gestão de segurança da informação, contemplando as seguintes
atividades, conforme abaixo.
Implementação de melhorias;
Ações corretivas e preventivas;
Comunicação das ações e resultados para alta administração e partes
interessadas;
Assegurar que as Melhorias foram implementadas e atenderam às expectativas.
22
03
Análise de Riscos em 
Sistemas de Informação
23
Analisar o risco em segurança da informação consiste em identificá-los e medir seus
possíveis danos ao ambiente, desta forma, servindo de parâmetros para justificar os
mecanismos de controles de segurança, além de rastrear as áreas de riscos do
sistema e definir medidas eficazes para combate.
A probabilidade de sucesso no ambiente tecnológico está intrinsicamente ligada à
uma análise de risco eficiente, pois permite o alinhamento dos objetivos de segurança
com os requisitos do negócio, além de garantir melhores resultados e suprimir
qualquer tipo de surpresa.
O risco está diretamente relacionado à exploração de vulnerabilidade do sistema, por
meio de ameaças, que impactam negativamente os recursos tecnológicos e a
atividade da organização. Para alguns autores, o risco é composto pelos seguintes
critérios: causa raiz, que é a origem do risco; efeito, que é a consequência gerada;
probabilidade, que são as chances de que efetivamente se concretize; e, impacto que
é o resultado ocorrido quando da efetivação do evento.
Analisando um risco: imagine que você digitou um arquivo e o salvou no
computador, no entanto, você não fez nenhum backup e, ao desligar, notou
que seu computador fez um barulho estranho. Alguns dias depois, ao tentar
ligar seu equipamento, ele não ligoue apresentou um erro no dispositivo de
armazenamento (HD), ou seja, você perdeu o arquivo que estava gravado
nele. A causa raiz foi não ter feito o backup, pois desta forma ficou à mercê
do risco. O efeito foi o fato de perder o arquivo; a probabilidade são as
chances do seu HD corromper que eram altas, pois ele já havia emitido
barulhos estranhos; e o impacto foi o sentimento de não ter sido produtivo,
pois já que todo o trabalho feito estava perdido. Com isso se conclui que a
causa raiz está ligada à probabilidade e o efeito ao impacto do evento,
portanto, exposição ao risco = probabilidade x impacto.
24
O planejamento do sistema de gestão de segurança da informação a ser elaborado
pela organização deve contemplar a determinação dos riscos e oportunidades que
deverão assegurar que os resultados sejam alcançados, que se consiga reduzir ou
prevenir os efeitos indesejados e se alcance a melhoria contínua. Para isso, deve-se
partir da realidade para a abordagem teórica que melhor se adapte à organização
naquele momento, definir a ameaça como a ação de uma pessoa, ambiente, recurso
ou fenômeno que seja considerado um perigo para a organização e, por fim, definir o
risco como chance – considerando as contramedidas existentes de uma ameaça se
transformar em realidade.
O objetivo principal de uma análise de impacto no negócio nem sempre é ter o valor
exato de um bem de informação ou da ocorrência de uma ameaça, mas identificar a
prioridade com que se devem tratar os riscos. Se não existe incerteza, ou seja, se é
impossível de acontecer ou se tem uma certeza sobre um fato, não existe risco.
Quanto mais clara a dinâmica dos riscos, seus impactos e as causas da sua
concretização, menos a organização estará exposta a eles.
Para calcular os riscos existem duas abordagens. A primeira usa métodos objetivos e
é utilizada quando existe histórico consistente de dados. A segunda usa métodos
subjetivos e é utilizada quando não existe histórico consistente. Nesse caso, são
utilizadas escala de valores e avaliação do grau de criticidade de cada risco.
25
Ao identificar um risco a organização tem a opção de executar contramedidas que
poderão eliminar, reduzir, absorver ou transferir o risco. Essas consequências
poderão ser absorvidas pela própria organização ou por parceiros. Porém, alguns
riscos específicos poderão não ser controlados por contramedidas. Nesse caso,
devem ser documentados e apresentados ao nível diretivo da organização.
Conforme estabelece a ABNT NBR ISO/IEC 27001 (2013), a organização deve definir e
aplicar um processo de avaliação dos riscos que compreenda os seguintes aspectos:
Estabelecer e manter critérios de segurança da informação que contemplem
aceitação e desempenho das avaliações dos riscos;
Garantir que as frequentes avaliações de riscos de SI produzam resultados
comparáveis, válidos e consistentes;
Identificar os riscos associados a perda de confidencialidade, integridade e
disponibilidade dentro do escopo do SGSI;
Identificar os responsáveis dos riscos;
Analisar os riscos de acordo com suas consequências potenciais, probabilidade
da ocorrência e determinação dos níveis de risco;
Avaliar os riscos e priorizar o tratamento.
De acordo com a ABNT NBR ISO/IEC 27005 (2011), o processo de gestão de risco
compreende a aplicação sistemática de procedimentos, políticas e práticas para
tarefas que envolvam comunicação, definição do contexto, análise e avaliação,
tratamento, monitoramento, análise crítica e aceitação do risco, conforme ilustrado
pela figura 1.
26
Figura 1 – Processo de gestão de risco em segurança da informação
Fonte: adaptada de ABNT NBR ISO/IEC 27005 (2011).
O processo de gestão de riscos de segurança da informação pode ser iterativo para
avaliação ou para as atividades de tratamento do risco. Com foco iterativo na
execução do processo de avaliação de riscos, se torna possível o aprofundamento
detalhado da avaliação em cada repetição. Tal enfoque permite minimizar o tempo e
o esforço despendidos na identificação de controles, além de assegurar que, riscos de
alto impacto ou de alta probabilidade, possam ser adequadamente avaliados.
27
Figura 2 – Opções de tratamento do risco
Fonte: adaptada de ABNT NBR ISO/IEC 27005 (2011).
Conforme ilustrado pela figura 1, a primeira etapa é o estabelecimento do contexto.
Posteriormente, se executa um processo de avaliação de riscos. Caso sejam
fornecidas informações suficientes para se determinar ações de redução dos riscos a
um nível aceitável, então se completa a tarefa e o tratamento do risco pode ser
iniciado. No entanto, caso as informações sejam insuficientes, realiza-se outra etapa
de iteração do processo de avaliação de risco, revisando o contexto, como por
exemplo, reavaliando os critérios de avaliação, aceitação ou de impacto do risco.
O contexto para gestão de riscos de segurança da informação compreende a
definição de critérios básicos, a definição do escopo e dos limites da gestão de risco e,
por fim, o estabelecimento de uma organização apropriada para operacionalizar a
Gestão de Riscos de Segurança da Informação.
A norma direciona para que os riscos sejam identificados, quantificados ou descritos
qualitativamente, também podendo ser priorizados em função dos critérios de
avaliação de riscos e dos objetivos relevantes da organização. A análise/avaliação de
riscos é composta da análise de riscos, que consiste na identificação e estimativa de
Riscos; e, da avaliação de riscos.
Vale ressaltar ainda que, as opções para o tratamento dos riscos devem ser
selecionadas e que o Plano de Tratamento do Risco seja definido. A figura 2 apresenta
tais opções.
Por convenção, a ABNT NBR ISO/IEC 31000 (2018) sugere que o processo de gestão de
risco esteja incutido diretamente na tomada de decisão e seja parte da estrutura,
operações e processos da organização. Podendo ser aplicado nos níveis estratégico,
operacional, de sistemas ou de projetos.
28
Já a ABNT NBR ISO/IEC 27005 (2011) sugere que a gestão de riscos de segurança da
informação seja um processo contínuo. E ainda, que esse processo defina o contexto
interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento,
objetivando a implementação das recomendações e decisões.   Destaca, por
conseguinte, que a gestão de riscos analise as possíveis ocorrências e suas
consequências antes de decidir o que, e em que momento será feito, a fim de reduzir
os riscos a um nível aceitável.
29
04
Plano de Contingência 
e Continuidade
30
No dia a dia da organização, quando surge um evento inesperado, quais ações devem
ser tomadas e como os funcionários devem proceder para que essa ocorrência não
gere maiores prejuízos. Essa é a razão de se antecipar à possíveis eventos, seja ele um
desastre físico, uma descontinuidade do negócio entre outros.
Um evento ou interrupção nos serviços de uma organização, apesar de se
apresentarem de forma rara, pode ocorrer a qualquer momento e de forma
inesperada, causado pelos mais diversos tipos de ameaças. Tais ameaças podem vir
de ambiente interno, por meio de falhas nos processos ou sistemas, fraudes
financeiras ou contábeis; e do ambiente externo, causados por desastres naturais e
economia, entre outros (FERNANDES, 2014).
Qualquer evento que potencialmente possa impedir a organização de atingir seus
objetivos deve ser considerado uma ameaça. É neste ponto que a ação a ser realizada
consiste na medição da probabilidade de que essa ameaça se torne realidade, essa
postura é conhecida como gestão de risco, em que se identificam as ameaças e
continuamente avaliação suas possibilidades de ocorrência.
Para Fontes (2008), existem dois momentos, antes e depois da ocorrência do evento.
Antes do evento é necessário que sejam executadas ações preventivas com objetivo
de minimização dos riscos. Ou aspecto importante é a realização de ações de
flexibilização operacional, pode meio da gestão de mudanças, gestão de recursos e
31
gestão de problemas. Já no momento pós-evento, é necessário executar o plano de
crise, quepode ser classificado em três: plano de contingência, plano de
recuperação de desastre e plano de emergência. Vejamos cada um deles a seguir.
Plano de Contingência
O plano de contingência dever ser elaborado em situações em que há perda de
recursos, no entanto, esses recursos podem ser recuperados por meio de ações com
menor impacto para a organização.   Por exemplo, como plano de contingência, a
organização opta por possuir dois servidores (equipamentos) com as mesmas
configurações e capacidades para suportar um determinado serviço. Caso ocorra uma
falha grave em um dos servidores, é possível que o outro equipamento assuma
totalmente a disponibilização do serviço, causando assim, um impacto momentâneo
de indisponibilidade, que se refere a ajustes de redirecionamento e
reestabelecimento do serviço no novo servidor.
32
Plano para Recuperação de
Desastre
O plano para recuperação de desastre dever ser construído para atendimento a
situações em que ocorram perdas ou rupturas de recursos que exigem um esforço
considerável para a recuperação de cada recurso perdido. Podemos citar como
exemplo a destruição física de um local onde os equipamentos centrais da
organização (servidores) estão alocados, obrigando a utilização de outro espaço para
disponibilização dos recursos.
Plano de Emergência
O plano de emergência tem como característica atender situações em que, na maioria
das vezes, não há perda de recurso, mas um sofrimento desse recurso. Por exemplo,
a imagem da organização é afetada por uma falha em determinado produto que pode
ser um lote de determinado remédio que causa efeitos colaterais, uma peça de um
veículo que precisa ser trocada, pois pode causar um acidente entre outros.
33
Plano de Continuidade
Todos os planos já apresentados buscam o mesmo objetivo que é a continuidade do
negócio, porém vale destacar que o plano de continuidade de negócio deve extrapolar
os recursos computacionais. O principal objetivo é o planejamento de ações que
serão executadas quando o evento ocorre, de forma a garantir que a organização
mantenha, ao menos, suas atividades críticas em um nível aceitável, que fora definido
pela sua área estratégica.
Fontes (2008) alerta que as organizações devem realizar uma avaliação sincera da sua
capacidade para enfrentar situações de contingência. O mais importante é possibilitar
que a organização, principalmente a alta direção, tome conhecimento dos pontos
fortes e das vulnerabilidades em relação à continuidade de negócio.
O plano de continuidade tem como principal objetivo a construção de padrões de
procedimentos que serão executados em situações adversas, de forma a
proporcionar à organização a recuperação e retomada dos processos para
continuidade das atividades vitais para o negócio, minimizando danos mais profundos
que possam gerar prejuízos financeiros e, acima de tudo, de imagem (BARRETO et al.,
2018)
34
Para uma análise realista, devem-se considerar alguns aspectos e realizar algumas
ações, como a definição do cenário dos recursos, do escopo organizacional e das
ameaças consideradas. É preciso ainda identificar a situação de maior risco de
ocorrência e de maior impacto para a empresa.
De acordo com Fontes (2008), para facilitar a identificação das vulnerabilidades e se
preparar para construção de um plano de continuidade eficiente, pode-se seguir uma
classificação de maturidade do negócio, seno o nível mais alto, a melhor situação.
Nessa proposta, o autor complementa que os níveis são cumulativos, ou seja, para se
alcançar o nível imediatamente superior é obrigatório que todos os itens do nível em
questão tenham sido satisfatoriamente atendidos. A seguir, as características de cada
um dos níveis:
Nível zero: Não existem cópias de segurança dos dados, dos programas
aplicativos, das ferramentas de apoio e dos sistemas operacionais;
Nível um: Há um profissional responsável pela gestão das cópias de segurança,
garantindo o cumprimento das ações definidas. As cópias de segurança são
guardadas em local diferente do local principal. O local alternativo que guarda as
cópias de segurança possui proteção física adequada. Há recursos de tecnologia
alternativos dentro do ambiente principal, garantindo a continuidade do
ambiente computacional para contingências parciais;
Nível dois: Há recursos de tecnologia e de escritórios alternativos em outro local
distante dos principais. Foi realizada uma análise de impactos (financeiro, de
imagem e operacional) no negócio junto aos usuários para identificar a
prioridade de recuperação dos processos e dos serviços críticos;
Nível três: Há um monitoramento dos recursos utilizados pelos processos ou
serviços, com o objetivo de proativamente identificar, minimizar ou eliminar
situações de indisponibilidade. São realizados, pelo menos duas vezes por ano,
testes (mesmo que parciais) para garantir a efetividade da solução de recursos
alternativos. Os testes realizados são planejados, documentados, avaliados e
contam com a participação das áreas envolvidas;
Nível quatro: Há planos alternativos documentados que serão utilizados pelos
usuários, quando de uma indisponibilidade dos recursos tecnológicos. São
realizados, ao menos, dois testes (mesmo que complementares) no período de
um ano pelos usuários para tais procedimentos alternativos;
Nível cinco: os planos de procedimentos alternativos e de tecnologia são
atualizados e validados pelo menos duas vezes por ano. Os responsáveis por
esses planos estão claramente definidos e há uma política de contingência
assinada pela alta direção da organização.
35
Elaborar um Plano de Continuidade
Para que um plano de continuidade seja eficiente, é necessário seguir algumas etapas
durante o processo de sua elaboração. As primeiras características que devem ser
consideradas é a definição do escopo, que consiste na identificação dos recursos, das
ameaças e dos ambientes que farão parte deste plano.
Uma vez identificadas as ameaças, estabelece-se o cenário em que poderá ocorrer o
referido desastre, criando assim diferentes versões explícitas e em quais
circunstâncias serão consideradas a efetivação do contingenciamento.
A próxima etapa consiste basicamente na avaliação das ameaças e riscos, que devem
levar em consideração o escopo e cenários criados para cada uma destas. Por
conseguinte, deve-se analisar o potencial impacto no negócio, seja financeiro,
operacional ou de imagem, para caso um determinado recurso esteja indisponível.
Vale destacar que esta indisponibilidade deve ser medida de forma a se quantificar o
suportável.
Em seguida, devem ser avaliadas as opções de processamento alternativo para a
informação, de forma a atender as necessidades da organização. O próximo passo é a
construção de documentos e manuais que comporão o plano de continuidade do
negócio, que servirá para formação dos envolvidos e validação em caso de
necessidade de execução, considerando que todas as atividades necessárias estão
previstas, no caso de efetivação do desastre.
Por fim, são necessários ainda, dois planos, o de teste que consiste na elaboração de
procedimentos de forma a garantir, por meio de treinamentos, que os envolvidos
mantenham o entendimento na execução dos planos, além de identificar possíveis
situações não previstas que necessitam ser incorporadas; e o plano de manutenção,
que estabelece as normativas de manutenção do plano, ou seja, a evolução por meio
de manutenção periódica e para situações específicas. A continuidade na elaboração
de planos cada vez mais completos, possibilitará a organização caminhar e alcançar o
plano de continuidade de negócio necessário e completo para a organização.
Como não podemos deixar de falar em normas e padrões, a ABNT publicou em 2020
a ABNT NBR ISO 22301:2020 – Segurança e resiliência – Sistema de gestão de
continuidade de negócios – Requisitos, que especifica os requisitos para
36
implementação, manutenção e melhoria do sistema de gestão para que as
organizações possam se proteger, reduzir a probabilidade de ocorrência, se preparar,
responder e se recuperarde disrupções quando de sua ocorrência.
Em conjunto com esta norma, foram publicadas ainda as seguintes:
ABNT NBR ISO 22313:2020 - Segurança e resiliência — Sistemas de gestão de
continuidade de negócios — Orientações para o uso da ABNT NBR ISO 22301;
ABNT NBR ISO 22316:2020 - Segurança e resiliência — Resiliência organizacional
— Princípios e atributos;
ABNT ISO/TS 22317:2020 - Segurança da sociedade — Sistemas de gestão de
continuidade de negócios — Diretrizes para análise de impacto nos negócios
(BIA);
ABNT NBR ISO 22320:2020 - Segurança e resiliência — Gestão de emergências —
Diretrizes para gestão de incidentes;
ABNT NBR ISO 22322:2020 - Segurança da sociedade – Gestão de emergências –
Diretrizes para aviso público, que fornece diretrizes para o desenvolvimento,
gestão e implementação de avisos públicos antes, durante e após incidentes.
Nota-se que, assim como a tecnologia, é preciso que as organizações estejam cada
vez mais preparadas, de forma a identificar e se antecipar a eventos que podem
causar qualquer tipo de prejuízo, independentemente do seu grau.
37
05
Política de Segurança 
da Informação
38
A Segurança da Informação tem seu início por meio da elaboração de uma política
clara e concisa no que se refere a proteção das informações. É pela Política de
Segurança da Informação (PSI) que a empresa formaliza suas estratégias e
abordagens para a preservação de seus ativos.
Para Ferreira e Araújo (2008), a PSI compreende o conjunto de normas,
procedimentos e métodos utilizados para manutenção da segurança da informação
dentro da organização, devendo ser formalizada e amplamente divulgada para os
usuários que utilizam os ativos de informação.
A ABNT NBR ISO 27002 (2013) define como objetivo da PSI “Prover uma orientação e
apoio da direção para a segurança da informação, de acordo com os requisitos do
negócio e com as leis e regulamentações relevantes.” Ainda de acordo com a ABNT
NBR ISO 27002 (2013), é importante que a alta direção seja a precursora da PSI,
estabelecendo a abordagem da organização para o gerenciamento dos objetivos que
tratam da segurança da informação.
A norma destaca que a PSI deve contemplar os seguintes requisitos:
Da estratégia do negócio;
De regulamentações, legislação e contratos;
39
Do ambiente de ameaça da segurança da informação, atual e futuro.
Outro ponto a ser considerado pela PSI estão relacionadas as declarações relativas a:
Definição da segurança da informação, objetivos e princípios;
Atribuição de responsabilidades, gerais e específicas, para os papéis definidos;
Processos para o tratamento dos desvios e exceções.
Acesse o link: Disponível aqui
Você sabia que o Comitê Gestor da Internet no Brasil (CGI), possui uma área
denominada NIC.br, que é o Núcleo de Informação e Coordenação do Ponto
BR, criou o Grupo de Resposta a Incidentes de Segurança para a Internet no
Brasil (CERT.br), cuja responsabilidade é tratar incidentes de segurança em
computadores que envolvam redes conectadas à Internet no Brasil. Dentre
diversos documentos, eles elaboraram uma cartilha que estabelece as
Práticas de Segurança para Administradores de Redes Internet. Acesse o site
cert.br e conheça essas práticas.
A PSI tem a incumbência de capacitar a organização com instrumentos processuais,
jurídicos e normativos. Estes, devem compreender as estruturas tecnológicas, físicas e
administrativas, de maneira a garantir os princípios da integridade, disponibilidade e
confidencialidade das informações organizacionais. Para Ferreira e Araújo (2008) a PSI
pode ser dividida em três blocos que são:
As Diretrizes possuem papel estratégico e tem por objetivo expressar a
importância que a organização dá aos ativos de informação, além de
demonstrar claramente seus valores aos funcionários;
As Normas estão vinculadas diretamente no segundo nível da política onde se
detalha ambientes, situações e processos específicos, fornecendo subsídios para
o uso adequado das informações;
40
Figura 1 – Diagrama do conceito dos componentes da PSI e seus pilares.
Fonte: adaptada de Ferreira e Araújo (2008).
Já os Procedimentos estão presentes na política em maior quantidade por se
tratar especificamente de ações operacionais. É nesta camada que são
especificados os meios de se atingir os objetivos estabelecidos pelas diretrizes.
Para um melhor entendimento da relação dos blocos da PSI com a estrutura
organizacional, apresenta-se a figura 1.
A política deve ser construída antes da ocorrência de eventos que podem impactar na
segurança da organização ou após, de forma a evitar a reincidências. Uma das
premissas básicas é a criação de um Comitê de Segurança da Informação, que deve
envolver diversos setores, tais como, tecnologia da informação, jurídico, engenharia,
infraestrutura, recursos humanos e outros que forem necessários.
Ferreira e Araújo (2008) apresentam um plano organizado em quatro fases para o
desenvolvimento de uma política de segurança da informação, conforme explicitados
a seguir.
41
Fase 1 – Levantamento de informações
A fase de levantamento de informações possui quatro subfases, que compreendem
os seguintes as atividades principais:
Aquisição de padrões, normas e procedimentos de segurança já existentes;
Identificação das necessidades e uso dos recursos da tecnologia da informação;
Coleta de informações sobre os processos de negócios, tendências de mercado
e controles de risco;
Aquisição de informações sobre o ambiente tecnológico.
Fase 2 – Desenvolvimento do conteúdo da política e normas de
segurança
A segunda fase é responsável pela consolidação dos conteúdos necessários para a
PSI, possuindo também quatro subfases, em que são realizadas as seguintes
atividades:
Gerenciamento da política, por meio da definição da segurança da informação,
do objetivo do gerenciamento, dos fatores críticos de sucesso e da manutenção
da política.
Definição de regras e responsabilidades, em que se deve criar o comitê, definir o
proprietário e os usuários das informações, os recursos humanos e a auditoria
interna;
Definição dos critérios de classificação das informações, por níveis,
reclassificação, armazenamento e descarte;
Elaboração dos procedimentos de segurança da informação, por exemplo, uso
de internet, correio eletrônico e realização de cópias de segurança, entre outros.
Fase 3 – Elaboração dos procedimentos de segurança da informação
A terceira fase consiste na construção dos procedimentos de segurança da
informação, subdivididos em três etapas:
Busca e identificação das melhores práticas em SI usadas pelo mercado;
Elaboração de procedimentos e padrões, para apresentação e discussão com a
alta gerência da organização e alinhamento as necessidades do negócio;
Formalização dos procedimentos no processo de integração às políticas
corporativas.
42
Fase 4 – Revisão, aprovação e implantação das políticas, normas e
procedimentos de segurança da informação
A última fase está organizada em apenas duas etapas, que consistem na revisão e
aprovação das políticas, normas e procedimentos de SI. E, por fim, na implantação
concreta destas políticas, normas e procedimentos, atuando diretamente na
divulgação, envolvimento e publicidade da Política de Segurança da Informação para
todos os funcionários da organização.
Um dos principais fatores de sucesso de implementação de uma Política de
Segurança da informação consiste na sua divulgação. Portanto
apresentamos quatro aspectos que devem ser considerados nesse
processo:
1. Todos devem ter acesso, um completo entendimento dos controles e
objetivo da PSI;
2. Devem ser realizadas as mais diversas formas de divulgação (e-mail,
comunicado, workshop, cartilhas, etc.);
3. Deve-se criar um programa de reciclagem, divulgação periódica aos
novos funcionários; e
4. Para toda alteração, revisão da PSI deve-se realizar novamente o
processo de divulgação.
43
06
Auditoria de Sistemas
44
Quando o assunto é segurança da informação em sistemas, há obrigatoriamente a
necessidade de se identificar os usuários que realizaram as ações e emque
momento essas ações foram executadas. Portanto, é de extrema necessidade a
criação de um mecanismo para gravação e recuperação de todas as ações ou
eventos que foram realizados no sistema. Uma característica importante neste
mecanismo é a precisão das informações geradas, pois comporão as trilhas de
auditoria.
O trabalho em rede e o compartilhamento de recursos tornam a auditoria um
processo complexo, além de aumentar a sua aplicabilidade nos sistemas de
informações. As conhecidas trilhas de auditoria proveem um ferramental de
aperfeiçoamento e proteção contra as principais vulnerabilidades e ameaças, nas
tentativas de acesso, violação do sistema e na correção de riscos identificados.
Para se planejar um sistema de auditoria, são necessários alguns pontos básicos,
como a geração de trilhas de auditoria, análise e forma de armazenamento que são
definidas conforme a necessidade da aplicação.
45
Princípios de Auditoria
A ABNT NBR ISO 19011 (2018) apresenta os princípios relacionados aos auditores, de
forma a possibilitar uma conclusão de auditoria relevante, independente com
conclusões mais próprias da realidade. Os princípios apresentados pela norma são:
Integridade: o fundamento do profissionalismo. Espera-se o desempenho do
trabalhado de forma ética, honesta, imparcial e com responsabilidade;
Apresentação justa: a obrigação de reportar com veracidade e exatidão. O
resultado da auditoria deve se pautar na veracidade e precisão das atividades de
auditoria. A comunicação deve ser verdadeira, objetiva, clara e completa.
Devido cuidado profissional: aplicação de diligência e julgamento em auditoria.
Ser profissional e exercer com o cuidado conforme a importância da tarefa que
está sendo executada. Ter a capacidade de realizar julgamentos ponderados em
todas as situações de auditoria.
Confidencialidade: segurança da informação. Importante que haja total
discrição das informações obtidas e não ocorra o uso inapropriado para ganhos
pessoais. Deve se manusear de forma apropriada a informação sensível ou
confidencial.
Independência: a base para a imparcialidade da auditoria e objetividade das
conclusões de auditoria. A independência do auditor é imprescindível para o
sucesso da auditoria, de forma a não ocorrer conflitos de interesse e
tendenciosidade.
Abordagem baseada em evidência: método racional para alcançar conclusões
de auditoria confiáveis e reprodutíveis em um processo sistemática de auditoria.
A evidência deve ser verificável, uma vez que o uso apropriado de amostras está
diretamente ligado à confiança que se deposita nas conclusões de auditoria.
Abordagem baseada em risco: uma abordagem de auditoria que considera
riscos e oportunidades. Tem por objetivo influenciar o planejamento, a execução
e o relato de auditorias, de forma a assegurar que aa auditorias tenham como
foco assuntos efetivamente relevantes para o cliente.
Ferreira e Araújo (2008) destacam a dificuldade em se transformar a considerável
quantidade de informações disponibilizadas por meio dos logs registrados nos mais
diversos sistemas, sejam servidores, aplicativos, firewalls, roteadores entre outros,
que, geralmente, são formatos distintos e nem sempre compatíveis entre si.
Importante ressaltar que há alguns tipos de categorias de logs específicas para
usuários, sistemas, redes, aplicações, processos e sistemas de arquivos.
46
As organizações são amparadas por processos que possuem uma relação de
dependência de ativos físicos, humanos e tecnológicos, que naturalmente estão
sujeitos a falhas de segurança em algum nível. Estas vulnerabilidades são exploradas
por ameaças, que se efetivadas, geram impacto nos ativos, afetando os processos e,
por consequência, o negócio.
Já tratamos a necessidade de se ter uma visão completa dos riscos dentro das
organizações, uma vez que é necessária a continuidade do negócio para aqueles que
dependem de infraestrutura operacional e riscos controlados. Um dos maiores
problemas em segurança da informação é a identificação do causador do evento. No
entanto, por meio da gravação e guarda da trilha de ações realizadas no sistema, essa
identificação é possível.
Qualquer sistema que precise de um nível mais alto de segurança, principalmente no
que tange a controles de acesso, necessita também de auditoria. É imprescindível o
acompanhamento do desempenho do sistema segurança e corrigir possíveis falhas,
além da detecção de usuários maliciosos. O planejamento de um processo de
auditoria requer alguns pontos que antecedem a auditoria em si. Que são:
Ações: é preciso analisar quais ações precisam efetivamente ser registradas,
pois o fato de registrar tudo pode ocasionar problemas de espaço para
armazenamento, lentidão no sistema e dificuldade na recuperação da
informação desejada. Ao se registrar poucas ações pode ainda não conseguir
encontrar a informação desejada, por não estar armazenada;
Privacidade: verificar até que ponto o registro de ações não invada a
privacidade dos usuários, podendo ocasionar outros problemas;
Análise da trilha: só há necessidade de análise de trilha quando da ocorrência
de um problema de segurança;
Armazenamento: verificar as formas de armazenamento que impeçam o
acesso de usuários maliciosos, que poderão utilizar o acesso às trilhas com
forma de ação ilícita e exclusão de históricos, entre outros.
Programa de Auditoria
A auditoria consegue validar o atendimento dos requisitos para segurança da
informação, garantindo assim a segurança nos dados organizacionais. No entanto,
para que se atinja os objetivos, há um fluxo de processos de gerenciamento de uma
auditoria, definido pela ABNT NBR ISO 19011 (2018), conforme apresentado pela
Figura 1.
47
Figura 1 – Fluxo do processo de gerenciamento de um programa de auditoria
Fonte: adaptada de ABNT NBR/ISO 19011 (2018).
O programa de auditoria deve incluir informação e identificar recursos para permitir
que elas sejam conduzidas de forma eficiente e eficaz, cumprindo os prazos
estabelecidos. Conforme definido pela ABNT NBR ISO 19011 (2018), a informação
deve incluir:
48
Objetivos para o programa de auditoria;
Riscos e oportunidades relacionados ao programa de auditoria;
Escopo de cada auditoria no programa;
Agendamento de auditorias;
Tipos de auditoria, podem ser interna ou externa;
Critérios de auditoria;
Métodos de auditoria a serem empregados;
Critérios para seleção de membros de equipe de auditoria e
Informação documentada pertinente.
Etapas da Auditoria
A auditoria de tecnologia da informação não é baseada somente na segurança, mas
dispõe à organização inovar, intermediar, controlar e gerir processos, produtos ou
serviços de forma contínua, objetivando a construção de diferenciais competitivos.
Esta deve ser dividida em etapas, apresentando claramente os objetivos, o escopo e
os critérios estabelecidos.
As etapas, conforme ilustrado pela Figura 2, compõem o alinhamento das
expectativas da organização, o planejamento e levantamento das informações, análise
dos negócios e tecnologia da informação, apresentação dos relatórios das análises e
testes de controles e, por fim, a comunicação dos resultados e do plano formal de
ações.
49
Figura 2 – Etapas da auditoria
Fonte: elaborada pelo autor (2020).
Todas as etapas do processo de auditora devem produzir documentos para a
organização, pois possuem informações sobre os processos, os riscos encontrados e a
avaliação destes riscos, os controles em conformidade ou não com as normativas,
além de recomendações de melhoria.
50
07
Conceitos, Tipos de 
Ameaças e Vulnerabilidades
51
Vulnerabilidades
As vulnerabilidades são falhas que comprometem o sistema, ferindo os pilares da
segurança da informação. Basicamente são divididas em quatro tipos principais.
Vulnerabilidades de hardware, de comunicação, de armazenamento, humanas e
físicas.
Vulnerabilidades de Hardware
São equipamentos de hardware que, por serem mal instalados ou desenvolvidos,
acabam se apresentando com maior facilidade para diversos tipos de ataques. Os
ataques realizados em equipamentos dehardware ocorrem por conta de má
instalação e drivers desatualizados. Os modens são os hardwares, em geral, mais
acessíveis para um ataque malicioso, já que os atacantes aproveitam o uso de senha
fracas ou padronizadas para acessarem os painéis de controle do dispositivo.
Vulnerabilidades de Comunicação
Consiste em quando as redes privadas são acessadas sem o devido cuidado ou
quando alguém com habilidades técnicas avançadas conseguem invadir a rede
privada e capturar informações. As redes privadas são onde ocorrem a troca e
visualização de pacotes de dados, quando alguém explora essas vulnerabilidades,
acaba atingindo o princípio da confidencialidade, podendo também atingir o princípio
da integridade.
Vulnerabilidades de Armazenamento
São as que afetam dispositivos de armazenamento, como pen drives, HDs externos,
SSDs, que são os cartões de memória de máquinas e celulares entre outros. Tal
vulnerabilidade pode ser explorada por ataques simples como vírus de script, podem
assim apagar todas as informações ali contidas.
52
Vulnerabilidades Humanas
Dentre as apresentadas, as vulnerabilidades humanas são as mais comuns, pois é a
ação realizada pelo próprio usuário que compromete a segurança, criando chances
para que os ataques ocorram. É também a mais perigosa, pois, por falta de
treinamento, acabam ocorrendo com maior frequência. As principais formas que
representam este tipo de vulnerabilidade são download de aplicações inseguras,
senhas fracas/simples e sua repetição para vários sistemas distintos.
Vulnerabilidades Físicas
São as que afetam as instalações prediais fora do padrão, sala de equipamentos mal
planejadas, ausência de sistemas de proteção ambiental, que possibilitam acesso
físico de pessoas não autorizadas.
Ameaças
Uma ameaça é a ação praticada por softwares com intenções maliciosas, quando
exploram as vulnerabilidades do sistema com sucesso. Consiste em uma possível
violação de um sistema computacional e pode ser acidental ou intencional. Uma
ameaça acidental (não intencional) é aquela que não foi planejada. Pode ser, por
exemplo, uma falha no hardware (um defeito no disco rígido) ou uma falha de
software (bug do sistema). Já uma ameaça intencional, como o nome diz, está
associada à intencionalidade premeditada. Pode ser desde um monitoramento do
sistema até ataques sofisticados, como aqueles feitos por hackers ou crackers.
53
Algumas das principais ameaças aos sistemas de computadores envolvem destruição
de informações ou recursos, modificação ou deturpação da informação, roubo,
remoção ou perda de informação, revelação de informações confidenciais ou não,
chegando até a interrupção de serviços de rede.
Já um ataque ocorre quando uma ameaça intencional é realizada. Os ataques
ocorrem por motivos diversos. Variam desde por pura curiosidade, pelo interesse em
adquirir conhecimento e pelo teste de capacidade até o extremo, envolvendo ganhos
financeiros, extorsão, chantagem de algum tipo, espionagem industrial, venda de
informações confidenciais e – o que está muito na moda – ferir a imagem de um
governo ou uma determinada organização.
54
Ataques acidentais é quando um usuário, sem intenção de causar prejuízos,
por imprudência, imperícia ou negligência acaba causando danos que
comprometem os pilares da segurança da informação. Como exemplo,
imagine um funcionário de uma empresa que recebeu um e-mail, nele
informava que ele foi sorteado e que ganharia um carro, devendo abrir o
arquivo que estava em anexo e executá-lo em sua máquina. Sem pensar que
este ato poderia danificar sua máquina, o funcionário executa o arquivo e
seu computador é infectado.
Intencionalidade das Ameaças
Basicamente, as intenções das ameaças podem ser categorizadas em três:
Naturais: que são os fenômenos da natureza (incêndio, terremoto, tempestade,
etc.);
Involuntárias: que são causadas quase sempre pelo desconhecimento
(acidentes, erros, etc.);
Voluntárias: que são causadas propositalmente por agentes humanos (hackers,
espiões, ladrões, invasores, etc.).
Sistemas Computacionais e suas Ameaças
As ameaças inerentes aos sistemas computacionais são classificadas em:
55
Vazamento: ocorre quando um usuário legítimo fornece informação para um
ou mais receptores não autorizados. Isto pode ocorrer propositalmente, ou não;
Violação: ocorre quando uma informação legítima sofre alteração não
autorizada (incluindo programas);
Furto de recursos: ocorre quando alguém não autorizado beneficia-se das
facilidades dos sistemas computacionais;
Vandalismo: quando alguém não autorizado, interfere, causando danos às
operações dos sistemas, sem ganhos próprios.
E�tando as Ameaças
A fim de evitar a concretização dessas ameaças e ataques, existem três aspectos
básicos que um sistema de segurança da informação deve conter.
Prevenção
Proteção de hardware: também conhecida como segurança física, impede acessos
físicos não autorizados à infraestrutura da rede, prevenindo roubos de dados,
desligamento de equipamentos e demais danos possíveis quando se está fisicamente
no local.
Proteção de arquivos e dados: providenciado por autenticação, controle de acesso e
antivírus. No processo de autenticação, é verificada a identidade do usuário. No
processo de controle de acesso, só são disponibilizadas as transações realmente
pertinentes ao usuário. O antivírus garante a proteção do sistema contra programas
maliciosos.
Proteção de perímetro: ferramentas de firewall cuidam desse aspecto, mantendo a
rede protegida contra invasões de usuários não autorizados.
56
Detecção
Alertas: ferramentas para detecção de intrusos alertam os responsáveis pela
segurança da rede em momentos que identificam tentativa de invasão ou mudança
suspeita no ambiente computacional, que possa sugerir um padrão de ataque. Os
alertas podem ser por e-mail, mensagem direta ao administrador da rede entre
outras.
Auditoria: em períodos específicos deve-se analisar os níveis críticos do sistema em
busca de alterações suspeitas. Tal ação pode ser realizada por ferramentas que
identificam modificações com alteração de tamanho de arquivos de senhas, usuários
inativos, etc.
57
Recuperação
Cópia de segurança dos dados: é importante a atualização e a realização de testes
nas cópias de segurança dos arquivos, mantendo-os separados das suas fontes
originais.
Aplicações de Backup: aplicativos que possibilitam a recuperação rápida e confiável
dos dados mais atualizados, na ocorrência de evento que pode ter causado a perda
dos dados.
Redundância do Hardware: a existência de redundância de hardware pode ser
justificada levando-se em consideração qual será o custo de uma interrupção do
sistema, de forma a determinar a importância da tecnologia da informação para a
organização.
É possível mitigar os riscos dos ativos computacionais de uma organização seguindo
algumas recomendações básicas contra as ameaças disponibilizadas pelas diversas
formas virtuais que circulam atualmente pela web:
Atualização do antivírus: os programas de antivírus devem ser atualizados
rotineiramente, principalmente quando da descoberta de um novo vírus ou
vulnerabilidade, pois a maioria dos ataques por vírus se utilizam de falhas em
sistemas operacionais e aplicativos.
Bloquear arquivos executáveis: quando se necessita enviar um e-mail com um
arquivo executável, utiliza-se do processo de compactação de arquivo. Somente
usuários específicos têm reais motivos para enviar, por e-mail, arquivos com
extensões desse tipo. Vale lembrar que muitos aplicativos de webmail
bloqueiam tais arquivos, mesmo compactados.
Bloqueio de programas de mensagens instantâneas: os aplicativos de
mensagens instantâneas possibilitam o compartilhamento de arquivos. Desta
forma, o usuário corre o risco de infectar o seu equipamento ao realizar o
download do arquivo, mesmo existindo um programa de antivírus instalado e
um controle de firewall.
Autenticação Segura: no uso da Internet para realizar transações comerciais, é
necessária a verificação do site visitado e se ele utiliza o protocolo de segurança
seguro.58
Outras providências para a segurança da informação em sistemas estão relacionadas
especificamente aos serviços de correio eletrônico. As principais são:
Visualização de e-mail: desabilitar o recurso de visualização do sistema de correio
eletrônico. Essa função exibe o conteúdo de uma mensagem eletrônica antes do
usuário optar por realmente abri-la. Há diversos vírus que são ativados por meio da
pré-visualização da mensagem infectada.
Arquivos anexos: não se deve abrir arquivos anexados diretamente no aplicativo de
correio eletrônico. Orienta-se baixar o arquivo no disco rígido e, em seguida, realizar a
varredura do antivírus.
Mensagens de origem desconhecida: não se deve abrir e-mails com arquivos sem o
devido conhecimento do emissor. Além dos possíveis danos causados, existe o risco
de mensagens maliciosas redirecionarem automaticamente para uma página da web,
possibilitando assim que o invasor roube as informações pessoais do equipamento
infectado.
59
Mensagens inesperadas de conhecidos: suspeitar de mensagens inesperadas,
principalmente com anexos de algum remetente conhecido. O envio pode ter sido
realizado sem o consentimento da pessoa, que provavelmente está com a máquina
infectada.
Uso de criptografia: se a informação a ser enviada pela internet for confidencial, a
solução é a utilização de algoritmos de criptografia que se criam chaves e só podem
ser decifradas por quem tem acesso à chave gerada. Alguns algoritmos de criptografia
já são incorporados em sistemas gerenciadores de correio eletrônico, mas existe a
possibilidade de se adquirir separadamente.
60
08
Vírus, Trojans 
e Malwares
61
Ameaças e Ataques
Existem diversos tipos de ataques, conhecidos como malware, que possuem ações
específicas. O termo malware se refere especificamente a programas desenvolvidos
para executar ações danosas em computadores. Os principais são: vírus, trojan,
backdoors, spyware, keylogger, worms e rootkits.
Vírus
É um programa ou parte de um programa de computador, normalmente malicioso,
que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte
de outros programas e arquivos de um computador. O vírus depende da execução do
programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade
ao processo de infecção.
Os vírus podem se propagar por e-mails, por meio de scripts, na execução de macros
e por telefone celular. Importante ressaltar que, na maioria das vezes, eles se mantêm
ocultos, infectando os arquivos que estão armazenados no disco rígido e executando
sem o conhecimento do usuário.
62
Trojan
É um programa, normalmente recebido como um "presente", que além de executar
funções para as quais foi aparentemente projetado, também executa outras funções
normalmente danosas e sem o conhecimento do usuário. Eles podem ser instalados
por intrusos que alteram programas já existentes para desempenhar funções
maliciosas, além das originais. Algumas das funções maliciosas que podem ser
executadas por um cavalo de Troia são: Instalação de keyloggers ou screenloggers;
Furto de senhas e outras informações sensíveis, como números de cartões de crédito;
Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o
computador.
Backdoor
Normalmente um atacante procura garantir uma forma de retornar a um computador
comprometido, sem precisar recorrer aos métodos utilizados na realização da
invasão. Na maioria dos casos, também é intenção do atacante poder retornar ao
computador comprometido sem ser notado. A sua inclusão consiste em disponibilizar
um novo serviço alterado, em geral, incorporando recursos que possibilitam o acesso
remoto. Os programas mais comuns de acesso remoto como backoffice, netbus,
subseven e vnc, se não forem configurados corretamente ou utilizados sem a devida
autorização do usuário, podem ser caracterizados como backdoors.
Spyware
Refere-se a uma categoria de software que tem o objetivo de monitorar atividades de
um sistema e enviar as informações coletadas para terceiros. Atividades realizadas
por esse tipo de malware são:
Monitoramento de endereços acessados enquanto o usuário navega na Internet;
Varredura dos arquivos armazenados no disco rígido e
Monitoramento e captura de informações inseridas em outros aplicativos, como
editores de texto.
63
Eles podem ser legítimos, quando há o consentimento da instalação na máquina do
usuário; e malicioso, quando as ações executadas comprometem a privacidade dos
dados do usuário e a segurança do equipamento instalado.
Keylogger
É um programa capaz de capturar e armazenar as teclas digitadas pelo usuário.
Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados
na declaração de Imposto de Renda e outras informações sensíveis, como senhas
bancárias e números de cartões de crédito.
64
Worm
Código capaz de propagar-se automaticamente por meio de redes, enviando cópias
de si mesmo de computador para computador. Diferente do vírus, o worm não
embute cópias de si mesmo em outros softwares ou arquivos e não necessita ser
explicitamente executado para se propagar. Sua propagação se dá por meio da
exploração de vulnerabilidades existentes na configuração de aplicações instaladas.
Os worms são notadamente responsáveis por consumir muitos recursos.
Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas
vezes os worms realizam uma série de atividades, incluindo sua propagação, sem que
o usuário tenha conhecimento.
Rootkits
Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e
assegurar a sua presença no computador comprometido. O conjunto de programas
que fornece estes mecanismos é conhecido como rootkit. Ele pode fornecer
programas com as mais diversas funcionalidades, dentre eles: programas para
esconder atividades e informações deixadas pelo invasor, tais como arquivos,
diretórios, processos, conexões de rede; programas para remoção de evidências em
arquivos de logs; sniffers, backdoors e scanners, outros tipos de malware, como cavalos
de Troia, keyloggers, ferramentas de ataque de negação de serviço entre outros.
Os códigos maliciosos possuem características próprias que os definem e os
diferenciam dos demais, por exemplo, forma de obtenção, instalação, propagação e
ação maliciosa. Com o objetivo de facilitar essa conceituação e classificação o Cert.br
(2020) apresenta uma tabela comparativa, conforme tabela 1.
65
Tabela 1 – Comparativo entre os códigos maliciosos
CÓDIGOS MALICIOSOS
  Vírus Worm Trojan Spyware Backdoor Rootkit
Como é obtido:
Recebido
automaticamente
pela rede
  x        
Recebido por e-mail x x x x    
Baixado de sites na
Internet
x x x x    
Compartilhamento
de arquivos
x x x x    
Uso de mídias
removíveis
infectadas
x x x x    
Redes sociais x x x x    
Mensagens
instantâneas
x x x x    
Inserido por um
invasor
  x x x x x
Ação de outro código
malicioso
  x x x x x
Como ocorre a instalação:
Execução de um
arquivo infectado
x          
66
Execução explícita do
código malicioso
  x x x    
Via execução de
outro código
malicioso
        x x
Exploração de
vulnerabilidades
  x     x x
Como se propaga:
Insere cópia de si
próprio em arquivos
x          
Envia cópia de si
próprio
automaticamente
pela rede
  x        
Envia cópia de si
próprio
automaticamente
por e-mail
  x        
Não se propaga     x x x x
Ações maliciosas mais comuns:
Altera e/ou remove
arquivos
x   x     x
Consome grande
quantidade de
recursos
  x        
Furta informações
sensíveis
    x x    
Instala outros   x x     x
67
Fonte: Adaptada de Cert.br (2020).
códigos maliciosos
Possibilita o retorno
do invasor
        x x
Envia spam e
phishing
           
Desfere ataques na
Internet
  x        
Procura se manter
escondido
x     x x x
68
09
Fraudes
69
Olá, alunos!
Quando o assunto é fraude, há dois tipos conhecidos: os fraudadores internos e os
externos. Ambos são preocupantes, pois a intenção dos dois é uma só: prejudicar a
empresaou pessoa.
No entanto, para que uma fraude efetivamente ocorra, de acordo com Fontes (2008),
são necessários ao menos três aspectos:
A motivação, que está exclusivamente ligada à pessoa e não há como intervir;
A ausência de controle, que permite que uma determinada vulnerabilidade
seja aproveitada. A criação de controles e monitoramento de vulnerabilidade é
uma das formas de mitigar as ações maliciosas;
A oportunidade, que é o momento em que o usuário tem a chance de realizar a
ação maliciosa. Geralmente há vulnerabilidades, porém, a pessoa não conseguiu
identi�cá-las.
Portanto, o conjunto desses três aspectos garante uma alta probabilidade de
realização de uma fraude. Com isso, ressalta-se a importância de ações de detecção,
prevenção e, como última maneira, recuperação das informações posterior à
ocorrência de uma fraude.
Em geral não é uma tarefa simples atacar e fraudar dados em um servidor de uma
instituição bancária ou comercial. Por isso, golpistas e fraudadores vêm concentrando
esforços na exploração das fragilidades dos usuários.
Utilizando técnicas especí�cas e por diferentes meios e discursos, eles buscam
enganar e persuadir as vítimas em potencial a fornecer informações sensíveis ou a
realizar ações tais como executar códigos maliciosos e acessar páginas falsas. Com as
informações pessoais das vítimas, os fraudadores podem realizar uma série de ações,
tais como: transações �nanceiras, acesso a sites, envio de mensagens eletrônicas e
criação de contas bancárias ilegítimas, entre outras atividades maliciosas.
Atualmente, há muitos tipos de fraudes no meio digital e os mais comuns são: furto
de identidade, fraude de antecipação de recursos, phishing, golpes de e-commerce e o
famoso boato.
70
Furto de Identidade
O furto de identidade, também conhecido como identity theft, é o ato pelo qual uma
pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo
de obter vantagens indevidas.
De posse dos dados, alguém cria um per�l em outro nome em uma rede social,
acessa sua conta de e-mail e envia mensagens se passando pela pessoa ou falsi�ca os
campos de e-mail, fazendo parecer que ele foi enviado por ela.
71
Figura 1 - Exemplo de uso de Furto de Identidade.
Fonte: adaptada de Goa Disponível aqui
A �gura 1 mostra um exemplo prático da ação de fraudadores no recebimento de
restituição de tributos, como por exemplo, imposto de renda de pessoa física.
Acompanhe a imagem de acordo com a numeração descrita.
1. Usando informações pessoais do contribuinte, é realizado o envio de mensagem
pelo fraudador reivindicando um reembolso junto ao serviço da Receita Federal;
2. A Receita Federal emite reembolso fraudulento ao fraudador;
3. Os arquivos legítimos do contribuinte são enviados pelo contribuinte à Receita
Federal;
4. A Receita Federal envia noti�cação ao contribuinte sobre o preenchimento
duplicado;
5. O contribuinte reconhece um problema e alerta a Receita Federal sobre a fraude
no reembolso de identidade.
72
Fraude de Antecipação de
Recursos
A fraude de antecipação de recursos, também conhecida como advance fee fraud, é
aquela na qual um golpista busca induzir seu alvo a fornecer informações
con�denciais ou a realizar um pagamento adiantado com a promessa de futuramente
receber algum tipo de benefício. A seguir, são apresentados alguns exemplos desse
tipo de fraude:
Loteria internacional: a vítima recebe um e-mail informando que ela foi
sorteada em uma loteria internacional, no entanto, para receber o prêmio a que
tem direito, precisa fornecer seus dados pessoais e informações sobre a sua
conta bancária;
Crédito fácil: a vítima recebe um e-mail com uma oferta de empréstimo ou
�nanciamento com taxas de juros muito inferiores às praticadas no mercado.
Após o seu crédito ser supostamente aprovado, a vítima é informada que
precisa realizar um depósito bancário para o ressarcimento das despesas;
Doação de animais: pessoas que desejam adquirir um animal de uma raça
consideravelmente cara e, ao pesquisar por possíveis vendedores, descobre que
há sites oferecendo tais animais para doação. Após entrar em contato, é
solicitado que a vítima realize o depósito de um valor para despesas de
transporte;
Oferta de emprego: a vítima recebe uma mensagem em seu celular contendo
uma proposta tentadora de emprego. Para efetivar a contratação, no entanto, é
necessário que ela informe detalhes de sua conta bancária;
Noiva russa: o fraudador deixa um recado na rede social da vítima contendo
insinuações sobre um possível relacionamento amoroso entre eles. Esta pessoa
mora em outro país, geralmente na Rússia, e após alguns contatos iniciais,
sugere que se encontrem pessoalmente, mas, para que ela possa vir até o país
da vítima, necessita de ajuda �nanceira para as despesas de viagem.
73
Fonte: Disponível aqui
O Cert.br, Centro de Estudos, Resposta e Tratamento de incidentes de
segurança no Brasil, possui uma in�nidade de publicações que tratam dos
riscos na Internet. Um dos materiais disponíveis apresenta de forma clara e
leitura simples os principais golpes aplicados na, rede de computadores,
com foco especial, no Brasil.
Phishing
O phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais
e �nanceiros de um usuário por meio da utilização combinada de meios técnicos e
engenharia social. As ações mais comuns são: páginas falsas de comércio eletrônico
ou Internet Banking, páginas falsas de redes sociais ou empresas conhecidas,
mensagens contendo formulários de cadastro, mensagens contendo links para
códigos maliciosos e solicitação de recadastramento, entre outros.
74
Fonte: Freepik
Phishing – Pharming
Existe ainda o pharming, que é um tipo especí�co de phishing que envolve o
redirecionamento da navegação do usuário para sites falsos por meio de alterações
no serviço de DNS (Domain Name System).  Neste caso, quando a vítima tenta acessar
um site legítimo, o seu navegador Web é redirecionado de forma transparente, ou
seja, sem a percepção do usuário, para uma página falsa.
75
Site Fraudulento de E-
Commerce
Neste golpe, o hacker cria um site fraudulento com o objetivo especí�co de enganar
os possíveis clientes que, após efetuarem os pagamentos, não recebem as
mercadorias.
Para aumentar as chances de sucesso, o golpista costuma utilizar artifícios tais como
enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites de
compras coletivas e ofertar produtos muito procurados e com preços abaixo dos
praticados pelo mercado.
Site de Compras Coletivas
Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de
compras coletivas e, assim, conseguir grande quantidade de vítimas em um curto
intervalo de tempo.
76
Além disso, sites de compras coletivas também podem ser usados como tema de
mensagens de phishing. Fraudadores costumam enviar mensagens como se fossem
originárias do site o�cial e, desta maneira, tentam induzir a vítima a acessar uma
página falsa e a fornecer dados pessoais, como número de cartão de crédito e senhas.
Site de Leilão e Venda de
Produtos
Os sites de leilão e venda de produtos são aqueles por meio dos quais um comprador
ou vendedor age de má-fé e não cumpre com as obrigações acordadas, ou ainda
utiliza os dados pessoais e �nanceiros envolvidos na transação comercial para outro
�m. Exemplos desse tipo de fraude são quitação de dívidas em menor valor e compra
e venda cruzada, em que o fraudador faz o papel de intermediário oculto.
Boato
Também conhecido como hoax, o boato é uma mensagem que possui conteúdo
alarmante ou falso e que, na maioria das vezes, tem como remetente alguma
instituição, empresa importante ou órgão governamental. Por meio de uma leitura
minuciosa de seu conteúdo, normalmente é possível identi�car informações sem
sentido e tentativas de golpes, como correntes e pirâmides. Para legitimação dos
boatos, os fraudadores utilizam de diversos meios e técnicas, veja:
Engenharia social;
Falsi�cação de documentos em geral;
Roubo ou criação de "identidades"