Segurança Cibernética_Controles 1 a 6 do CIS Controls

Prévia do material em texto

Governo e Transformação Digital
Segurança Cibernética: 
Controles 1 a 6 do 
CIS Controls
Enap, 2023
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s
André Gheventer (Conteudista, 2023);
Raphael Carlos Santos Machado (Conteudista, 2023);
Wladmir Araújo Chapetta (Conteudista, 2023).
Curso desenvolvido no âmbito da Diretoria de Desenvolvimento Profissional – DDPRO
3Enap Fundação Escola Nacional de Administração Pública
Sumário
Módulo 1 – Inventário e Controle de Ativos Corporativos e de 
Software: Controles 1 e 2
Unidade 1: Inventário e Controle de Ativos Corporativos: Controle 1 ..............6
1.1 Por que é Importante Inventariar e Gerenciar Ativos Corporativos?................... 6
1.2 Quais Procedimentos Gerais e Técnicas o Inventário de Ativos Corporativos 
Deve Compreender? ........................................................................................................ 9
1.2.1. Quais as Medidas de Segurança? ....................................................................... 11
1.3 A Descoberta Ativa ................................................................................................... 13
1.4 A Descoberta Passiva de Ativos .............................................................................. 14
1.5 Análise de Logs Dhcp ............................................................................................... 17
1.6. O Tratamento de Ativos Não Autorizados ............................................................ 18
Referências ............................................................................................................ 19
Unidade 2: Inventário e Controle de Ativos de Software: Controle 2 ..............20
2.1. Por que é Importante Inventariar e Gerenciar Ativos de Software? ................. 20
2.2 Quais os Procedimentos Gerais e as Técnicas que o Inventário de Ativos de 
Software Deve Compreender? ...................................................................................... 23
2.3. Como Criar um Inventário de Software? .............................................................. 28
2.4 Lista de permissões .................................................................................................. 28
Referências ............................................................................................................ 30
Módulo 2 – Proteção de Dados e Configuração Segura de Ativos 
Corporativos e Software: Controle 3 e 4
Unidade 1: Proteção de Dados: Controle 3 ......................................................... 31
1.1. Por que é Importante Proteger os Dados? .......................................................... 31
1.2. Quais Procedimentos Gerais e Técnicas a Proteção de Dados Deve 
Compreender? ................................................................................................................ 35
1.3. Como Proteger seus Dados ................................................................................... 41
Referências ............................................................................................................ 44
4Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Configuração Segura de Ativos Corporativos e de Software: 
Controle 4 ............................................................................................................... 45
2.1. Por Que é Importante Configurar os Ativos Corporativos e de Software de 
Forma Segura? ................................................................................................................ 45
2.2. Quais Procedimentos Gerais e Técnicas a Configuração Segura de Ativos 
Corporativos e Software Deve Compreender? ........................................................... 46
2.3. Como Proteger os Ativos Corporativos e de Software? ...................................... 53
Referências ............................................................................................................ 56
Módulo 3 – Gestão de Contas e de Controle de Acesso: 
Controles 5 e 6
Unidade 1: Gestão de Contas: Controle 5 ............................................................ 57
1.1. Por Que é Importante Gerir Contas de Usuários? .............................................. 57
1.2. Quais Procedimentos Gerais e Técnicas a Gestão de Contas Deve 
Compreender? ................................................................................................................ 59
1.3. O Inventário e a Proteção de Credenciais de Usuários ..................................... 64
Referências ............................................................................................................ 66
Unidade 2: Gestão do Controle de Acesso: Controle 6.......................................67
2.1. Por Que é Importante Controlar o Acesso e os Privilégios de Usuários? ........ 67
2.2. Quais Procedimentos Gerais e Técnicas o Controle de Acesso Deve 
Compreender? ................................................................................................................ 69
2.3. Como Proteger as Credenciais da sua Organização? .......................................... 75
Referências ............................................................................................................ 76
5Enap Fundação Escola Nacional de Administração Pública
Apresentação e boas-vindas
Seja bem-vindo(a) ao curso Segurança Cibernética: Controles 1 a 6 do CIS Controls!
Antes de iniciar, assista ao vídeo de apresentação do curso:
Apresentação do curso
Por meio de conceitos e técnicas básicas, este curso fornecerá uma visão geral para 
implementação dos controles 1 a 6 do CIS e você compreenderá os pontos mais 
relevantes para a implementação desses controles. 
O curso está dividido em três módulos, que são:
• Módulo I: Inventário e Controle de Ativos Corporativos e de Software: 
Controles 1 e 2
• Módulo II: Proteção de Dados e Configuração Segura de Ativos 
Corporativos e Software: Controle 3 e 4
• Módulo III: Gestão de Contas e de Controle de Acesso: Controles 5 e 6
Sempre que for relevante, faremos referências a publicações e a documentos 
técnicos que objetivam abordar questões comuns e difundir melhores práticas em 
matéria de privacidade e segurança da informação, relacionando-as aos controles 
do CIS Controls abordados no curso. 
Nesse sentido, cabe mencionar um documento dirigido aos órgãos e às entidades 
da Administração Pública Federal, o “Guia do Framework de Privacidade e Segurança 
da Informação”, documento de autoria da Secretaria de Governo Digital (SGD). No 
Anexo IV deste documento, a SGD disponibilizou uma “tabela de controles e medidas 
de cibersegurança”, correlacionando os controles do CIS a outras referências 
relevantes. Clique aqui para acessar.
Pronto(a) para iniciar? Então, continue a leitura e bons estudos!
https://youtu.be/9hrXbUZ2Zy4
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_framework_psi.pdf
6Enap Fundação Escola Nacional de Administração Pública
 Módulo
1 Inventário e Controle de Ativos 
Corporativos e de Software: 
Controles 1 e 2
Neste módulo, você começará sua trajetória no fortalecimento da cultura de segurança 
cibernética dentro de sua organização e aprenderá conceitos, procedimentos e 
técnicas fundamentais para a gestão de ativos corporativos e de software, com base 
nos Controles 1 e 2 do CIS Controls.
A Secretaria de Governo Digital (SGD) disponibiliza um documento, 
cujo preenchimento tem a finalidade de auxiliar os órgãos e as 
entidades da Administração Pública Federal a elaborar a sua 
Política de Gestão de Ativos no âmbito institucional. Clique aqui 
para acessar.
Unidade 1: Inventário e Controle de Ativos 
Corporativos: Controle 1
Ao final da unidade, você deverá ser capaz de reconhecer os 
principais conceitos,em: https://www.cisecurity.org/controls/v8/. Acesso em: 25 jul. 2023.
CENTER FOR INTERNET SECURITY (CIS). Essential Guide to Election Security. [S. l.]: 
CIS, 2023. Disponível em: https://essentialguide.docs.cisecurity.org/en/latest/index.
html. Acesso em: 25 jul. 2023.
CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, 
prevention, and future directions. Wires Data Mining and Knowledge Discovery, 
[s. l.], v. 7, n. 5, p. e1211, 2017. Disponível em:https://wires.onlinelibrary.wiley.com/
doi/10.1002/widm.1211. Acesso em: 25 jul. 2023.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: 
https://www.freepik.com/. Acesso em: 8 out. 2023.
IBM. Cost of a Data Breach: Report 2023. [S. l.]: IBM, 2023. Disponível em: https://
www.ibm.com/reports/data-breach. Acesso em: 25 de jul. 2023.
RUBRIK. The State of Data Security: The Hard Truths. [S. l.]: Rubrik, [s. d.]. Disponível 
em: https://www.rubrik.com/content/dam/rubrik/en/resources/report-review/rpt-
rubrik-zero-labs-sprint-report.pdf. Acesso em: 25 jul. 2023.
THALES. 2023 Data Threat Report - Global Edition. 2023. Disponível em: https://cpl.
thalesgroup.com/data-threat-report. Acesso em: 25 jul. 2023.
45Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Configuração Segura de Ativos 
Corporativos e de Software: Controle 4
Ao final da unidade, você deverá ser capaz de recordar os 
principais conceitos, procedimentos e técnicas relacionadas ao 
processo de configuração segura de ativos corporativos e de 
software, relativos ao Controle 4 do CIS Controls. 
2.1. Por Que é Importante Configurar os Ativos 
Corporativos e de Software de Forma Segura?
A parte dos ataques cibernéticos mais comuns pode ser evitada por meio das 
configurações adequadas de segurança. Entretanto, muitas organizações não se 
atentam ao instalar novos ativos e mantêm, por exemplo, as configurações padrões 
(também chamadas de configurações de fábrica). Esse cenário pode ser confortável 
e até agilizar as instalações, mas isso pode ocasionar possíveis riscos de segurança 
gerados por configurações padrões fracas e/ou obsoletas pré-carregadas e já 
conhecidas pelos agentes maliciosos.
Configurações vulneráveis e/ou fracas e/ou obsoletas podem estar relacionadas 
à: escolha de protocolos e/ou cifras inseguras ou inadequadas; portas, serviços 
e softwares desnecessários; configurações permissivas; além das credenciais 
administrativas com senhas padrões, como admin/admin.
Ataque de negação de serviço. Fonte: Freepik (2023).
46Enap Fundação Escola Nacional de Administração Pública
Um bom exemplo de exploração dessas configurações padrões foi o ataque de 
negação de serviço (DoS - Denial Of Service - , em inglês) perpetrado pela botnet Mirai 
em 2016, rede que tem foco em dispositivos IoT. Na época, 400.000 dispositivos 
IoT foram comprometidos pela botnet Mirai após a realização de combinações de 
credenciais padrões, e juntos conseguiram derrubar serviços conhecidos como o 
Twitter e a Netflix. Até hoje, as soluções de segurança detectam ataques da botnet 
Mirai (MARZANO et al., 2018).
Como exemplo mais recente, foi detectada uma vulnerabilidade no Apache Superset 
Software, em abril de 2023, causada por configuração padrão insegura que pode 
resultar em execução remota de código. 
Mais informações sobre essa vulnerabilidade podem ser 
encontradas aqui.
Entretanto, mesmo depois da aplicação de uma configuração de segurança adequada 
em um ativo, essa configuração deverá ser reavaliada continuamente, durante toda 
a vida útil do ativo, buscando evitar a degradação da segurança após atualizações e/
ou as correções de softwares. 
Atenção! Todas as mudanças realizadas nos ativos para os 
ajustes de configuração de segurança devem ser registradas e 
autorizadas, a fim de manter o rastreamento quando necessário. 
De forma complementar, é possível que algumas configurações e credenciais 
padrões nos ativos corporativos e de software não sejam identificadas ou que ajustes 
errados nas configurações padrões sejam aplicados. E, nesse caso, é preciso que 
controles adicionais de segurança sejam implementados para proteger os ativos.
Atenção! As configurações seguras devem ser aplicadas em 
dispositivos conectados localmente na infraestrutura da 
organização, assim como nos dispositivos que se conectam 
remotamente e nos mantidos em ambientes de nuvem.
2.2. Quais Procedimentos Gerais e Técnicas a 
Configuração Segura de Ativos Corporativos e 
Software Deve Compreender?
Em particular, as organizações utilizam muitos ativos corporativos e de software, 
às vezes com tecnologias e características semelhantes e/ou até iguais, como os 
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27524
47Enap Fundação Escola Nacional de Administração Pública
desktops e os sistemas operacionais dos dispositivos dos usuários finais e de 
servidores, equipamentos de rede, entre outros.
Por padrão, esses dispositivos são fornecidos de fábrica com configurações que 
buscam facilitar as suas instalações e reconfigurações, embora essas não sejam 
as ideais do ponto de vista de segurança. Realizar as configurações de segurança 
de forma adequada nos dispositivos é uma tarefa essencial para a manutenção 
da segurança, da conformidade, da operação e da continuidade dos negócios da 
organização.
O OWASP (Open Source Foundation for Application Security) é uma comunidade online 
que cria e disponibiliza, de forma gratuita, artigos, metodologias, documentação, 
ferramentas e tecnologias no campo específico da segurança de aplicações web. 
Um dos documentos disponibilizados se chama “OWASP Top 10”, que representa 
amplo consenso sobre os riscos de segurança mais críticos para aplicativos da 
web.
Veja na figura a seguir que as configurações incorretas de segurança (Security 
Misconfiguration) estão entre os riscos mais críticos para o OWASP.
OWASP Top 10. Fonte: OWASP (2021).
Entre as vulnerabilidades identificadas pelo OWASP estão as falhas de segurança na 
codificação, as funcionalidades ativas e/ou instaladas de forma desnecessária, as 
credenciais padrões não alteradas, as versões obsoletas etc. 
Saiba mais sobre o OWASP Top 10 clicando aqui.
Para proteger os dispositivos, o CIS recomenda inicialmente o estabelecimento e a 
manutenção de um processo de gerenciamento de configuração segura dos ativos, 
podendo estar contido em uma política e/ou em um normativo da organização. O CIS 
recomenda que o processo tenha quatro etapas, conforme a figura e as descrições 
abaixo.
https://owasp.org/Top10/
48Enap Fundação Escola Nacional de Administração Pública
Diagrama do processo de gerenciamento de configuração segura proposto pelo CIS (2022).
Saiba mais sobre cada etapa recomendada na figura acima no 
modelo de Política de Gerenciamento de Configuração Segura, 
disponibilizado pelo CIS (disponível aqui). 
De forma geral, é necessário que sejam estabelecidas, mantidas, aplicadas, 
monitoradas e ajustadas linhas de base (baselines) de configurações seguras. Uma 
baseline de segurança é um conjunto documentado mínimo de configurações de 
segurança acordadas que permitem a implantação por padrão mais segura de 
determinados dispositivos e seus componentes.
Entretanto, um dos desafios no estabelecimento de uma baseline de segurança 
é que não existe um conjunto perfeito de configurações de segurança para cada 
dispositivo e contexto. É um ponto de partida que cada organização deverá avaliar 
conforme o seu modelo de negócios e/ou ambiente de tecnologia e/ou seu apetite 
ao risco.
Felizmente, podemos encontrar diversas recomendações, checklists e modelos de 
baselines de segurança na internet, como:
• CIS Benchmarks (disponível aqui)
• Microsoft Security Compliance Toolkit (SCT) (disponível aqui)
O NIST define o conceito de hardening como sendo um 
processo destinado a eliminar os meios de ataque, corrigindo 
vulnerabilidades e desativando serviços não essenciais. Esse 
conceito se assemelha ao do baseline de segurançae muitos 
fazem a consolidação tratando o processo com o termo hardening 
baseline.
https://www.cisecurity.org/insights/white-papers/secure-configuration-management-for-cis-control-4
https://www.cisecurity.org/cis-benchmarks
https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/security-compliance-toolkit-10
49Enap Fundação Escola Nacional de Administração Pública
O NIST também disponibiliza um guia sobre a temática em sua 
“Special Publication 800-128”. Para acessar, clique aqui.
2.2.1 Quais as Medidas de Segurança?
De forma geral, é preciso também estabelecer meios técnicos para conseguir realizar 
a proteção dos ativos corporativos e de software.
No vídeo a seguir, faremos uma breve explicação das medidas de segurança do 
Controle 4 que buscam realizar a proteção dos ativos corporativos e de software.
Controle 4 do CIS Controls
Em linhas gerais, para a configuração segura de ativos corporativos e de software, 
as seguintes medidas de segurança técnicas são recomendadas pelo CIS:
1. Configurar bloqueios automáticos, conforme medidas de segurança 4.3 
e 4.10 do CIS Controls v8.
Para melhor compreender essa medida, veja uma breve explanação sobre dois 
conceitos/técnicas que estão relacionados aos acessos físicos (ou presenciais) não 
autorizados, aos dados e às informações dos dispositivos.
 + Ameaça interna (Insider threat)
A Agência de Segurança Cibernética e Infraestrutura (CISA - Cybersecurity 
& Infrastructure Security Agency), responsável por fortalecer a segurança 
cibernética e a proteção das infraestruturas do governo dos EUA, explica que 
uma ameaça interna é o potencial de uma pessoa interna à organização de 
usar o seu acesso autorizado, conscientemente ou não, para, por exemplo, 
acessar e divulgar informações confidenciais e/ou restritas sem permissão. 
Veja mais aqui. 
 + Ataque de força bruta
É uma técnica de ataque contendo atividades sistemáticas, com mecanismos 
interativos ou repetitivos, para tentar adivinhar, por exemplo, a composição 
de credenciais de acesso de um usuário.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-128.pdf
https://youtu.be/Mv069-UBWlE
https://www.cisa.gov/topics/physical-security/insider-threat-mitigation/defining-insider-threats
50Enap Fundação Escola Nacional de Administração Pública
Com base nas informações acima, a recomendação do CIS é que se faça o bloqueio 
automático das sessões dos usuários após um período de inatividade, mitigando, 
assim, o risco de agentes maliciosos internos acessarem os dispositivos corporativos 
conectados na infraestrutura da organização enquanto os usuários estiverem 
ausentes.
De forma complementar, para reduzir o risco do sucesso de ataques de força bruta 
locais (presenciais) em dispositivos portáteis do usuário final, faz-se necessário, 
quando possível, impor o bloqueio automático após um limite pré-determinado de 
tentativas de autenticação com falha. Dessa forma, o acesso não autorizado aos 
dados e às informações de um dispositivo roubado e/ou perdido é dificultado.
Atenção! O CIS recomenda que o bloqueio da sessão seja 
realizado em até 15 minutos de inatividade nos ativos com 
sistemas operacionais de uso geral e em até 2 minutos se for um 
dispositivo móvel.
2. Faça uso de firewalls nos ativos servidores e de usuário final, conforme 
medidas de segurança 4.4 e 4.5 do CIS Controls v8.
Basicamente, o uso de firewalls locais nos dispositivos, sejam de dispositivos de 
usuários finais, sejam de servidores, objetiva o fornecimento de uma camada 
adicional de proteção que analisa e impede o tráfego de dados não compatíveis 
com as atividades da organização.
Uso de firewalls. Fonte: Freepik (2023).
Nesse sentido, o firewall local pode impedir uma série de atividades maliciosas 
que fazem uso de portas e serviços disponibilizados desnecessariamente e sem 
gestão e/ou monitoração das equipes técnicas, por descuido nas configurações 
51Enap Fundação Escola Nacional de Administração Pública
de segurança. Na prática, por exemplo, um servidor web, com configurações e 
credenciais padrões, pode ser disponibilizado em um dispositivo que não necessita 
desse serviço, permitindo que agentes maliciosos tentem acessar remotamente o 
dispositivo por meio de vulnerabilidades no servidor web.
3. Gerenciamento seguro de ativos e softwares corporativos, conforme 
medida de segurança 4.6 do CIS Controls v8.
Essa medida está relacionada ao gerenciamento da segurança dos ativos ao longo 
de seus ciclos de vida e do uso dos baselines de segurança. As organizações devem 
estar cientes dos potenciais riscos de segurança gerados pelos provisionamentos 
de novos dispositivos corporativos. O CIS recomenda o uso de um conceito de 
controle de versões por meio de técnica chamada de “infraestrutura como código” 
(infrastructure-as-code/IaC) para mitigar esses riscos.
Em um modelo de IaC, o gerenciamento e o provisionamento de 
infraestrutura são realizados por meio de código. Nesse cenário, 
arquivos com codificação de configurações baseadas nas baselines 
de segurança são usados no momento da instalação de um 
dispositivo, por exemplo.
Assim, o processo de provisionamento de um dispositivo é mais consistente, 
reproduzível e rápido, podendo até ser automatizado, evitando, assim, que possíveis 
falhas nas configurações de segurança sejam aplicadas nos procedimentos manuais. 
Um componente do IaC muito importante quando se usa esse tipo de modelo é o 
controle de versão das baselines de segurança, que objetiva manter um histórico das 
modificações e de seus responsáveis.
Ao realizar as atividades administrativas para o provisionamento 
e a gestão dos ativos, utilize protocolos seguros de comunicação, 
como o SSH e o HTTPS. Desse modo, evita-se que o tráfego seja 
interceptado por agentes maliciosos que possam comprometer 
as configurações de segurança.
4. Gerenciar as contas padrões e os serviços desnecessários, conforme 
medidas de segurança 4.7 e 4.8 do CIS Controls v8.
Como já discutido anteriormente, credenciais padrões pré-configuradas, como logins 
de usuário root e administrador, e mantidas nos dispositivos em produção, assim 
52Enap Fundação Escola Nacional de Administração Pública
como a manutenção de serviços desnecessários, incrementam as vulnerabilidades 
e a superfície de ataque dos agentes maliciosos.
Desativar ou inutilizar essas credenciais e serviços desnecessários são atividades 
fundamentais e a melhor prática para a segurança cibernética. Se não for possível 
desativar e/ou inutilizar uma credencial padrão, no mínimo e o mais breve possível, 
troque a senha.
Caso necessite de privilégios administrativos para realizar 
as atividades de gestão dos ativos, crie credenciais novas. 
Entretanto, não crie essas credenciais com nomes que possam 
indicar as suas funções, por exemplo, user_admin ou super_user, 
e prejudicar a rastreabilidade. De forma complementar, não 
utilize essas credenciais para atividades corriqueiras do dia a dia, 
como a navegação na internet.
5. Configure servidores DNS confiáveis, conforme medida de segurança 
4.9 do CIS Controls v8.
Servidores DNS podem estar comprometidos por agentes maliciosos, às vezes até 
servindo para a distribuição de malware. Um tipo de ataque cibernético conhecido 
em que o tráfego é desviado de forma maliciosa de um site legítimo para um site falso 
é chamado de envenenamento do Sistema de Nomes de Domínio (DNS poisoning). 
Esse ataque também pode ser conhecido por sequestro de DNS (DNS hijacking), 
redirecionamento, falsificação ou envenenamento de cache.
Então, para mitigar os riscos do uso de um DNS comprometido, configure os ativos 
para usar servidores DNS internos controlados pela própria organização e/ou 
externos com boa reputação, que não necessariamente serão os do seu provedor 
de comunicação internet (ISP). Os serviços DNS da Cloudflare (1.1.1.1) ou do Google 
(8.8.8.8) são exemplos desses provedores externos públicos de DNS.Saiba mais sobre DNS seguro clicando aqui.
6. Realize a limpeza remota dos dados corporativos de dispositivos portáteis 
de usuário final, conforme medida de segurança 4.11 do CIS Controls v8.
Qual é a maior preocupação em casos de perda e/ou roubo de um smartphone 
pessoal, por exemplo? Alguém pode obter acesso à nossa lista de contatos, aos 
https://www.kaspersky.com.br/blog/secure-dns-private-dns-benefits/20820/
53Enap Fundação Escola Nacional de Administração Pública
aplicativos de bancos e/ou às credenciais para acessos a serviços na internet com 
intenções maliciosas?
Desse mesmo modo, as organizações também devem se preocupar com os 
dados confidenciais e/ou restritos mantidos localmente nos ativos corporativos, 
principalmente nos dispositivos móveis dos usuários, como notebooks e 
smartphones. Em particular, o risco de um dispositivo corporativo móvel ser 
perdido ou roubado existe, e uma alternativa para reduzir possíveis acessos e 
violações aos dados confidenciais mantidos nesse tipo de dispositivo é configurar 
soluções e tecnologias de limpeza remota (Remote Wipe) que permitem a execução 
de comandos de exclusão desses dados sem precisar do acesso físico (presencial).
7. Separe os espaços de trabalho, conforme medida de segurança 4.12 do 
CIS Controls V8.
Mesmo com os controles de segurança implementados nos dispositivos móveis 
corporativos utilizados pelos usuários finais, ainda sim existe o risco de esses serem 
comprometidos por agentes maliciosos após, por exemplo, um acesso particular 
a um site malicioso e/ou um simples clique em link de e-mail phishing que consiga 
instalar um malware no dispositivo.
Nesse caso, é possível que um agente malicioso consiga acessar dados e serviços 
corporativos mantidos no dispositivo. E, para ajudar na prevenção desse tipo 
de ataque, a recomendação do CIS é aplicar recursos e/ou funcionalidades que 
possibilitem a separação da área de trabalho nesses dispositivos, de modo que as 
aplicações e os dados corporativos fiquem separados dos dados e das aplicações 
pessoais.
2.3. Como Proteger os Ativos Corporativos e de 
Software?
Neste item você verá algumas técnicas e soluções utilizadas na proteção dos ativos 
corporativos e de software.
2.3.1. Mobile Device Management (MDM)
Basicamente, o MDM é um conceito utilizado para designar soluções tecnológicas 
que permitem o gerenciamento remoto de dispositivos móveis, podendo incluir 
funcionalidades diversas, como habilitar e desabilitar serviços, separar os espaços 
54Enap Fundação Escola Nacional de Administração Pública
de trabalho, configurar regras de senhas, fazer backups, customizar as proteções de 
telas, realizar limpezas remotas (Remote Wipe), localizar dispositivos perdidos e/ou 
roubados, entre outras. Neste tópico, você verá três soluções que permitem realizar 
o bloqueio dos dispositivos após tentativas falhas de autenticação local e/ou de 
separar os espaços de trabalho:
• Microsoft InTune Device Lock
O Microsoft InTune Device Lock faz parte da família de soluções de MDM 
da Microsoft e permite o bloqueio do dispositivo após tentativas falhas de 
autenticação local. É uma solução multiplataforma baseada em nuvem que 
permite o gerenciamento remoto de dispositivos Android, iOS e macOS.
• Apple Configuration Profile
A Apple disponibiliza um recurso chamado “Apple Configuration Profile” que 
permite diversas configurações de segurança em dispositivos iOS, como o 
bloqueio do dispositivo após falhas de autenticação local e a separação 
dos espaços de trabalho. Entretanto, para usar esse recurso, é necessário 
que o responsável pela configuração faça os procedimentos localmente (ou 
presencialmente) ou poderá usar uma solução de MDM da Apple.
• Android Work Profile
É uma funcionalidade nativa em smartphones android que permite a 
separação dos espaços de trabalho.
2.3.2. Security Content Automation Protocol (SCAP)
Agora você verá duas ferramentas baseadas no SCAP que permitem verificar as 
conformidades de segurança por meio de baselines de segurança.
SCC 
Desenvolvida pela Naval Information Warfare Center (NIWC Atlantic), anteriormente 
chamada de SPAWAR Atlantic (veja mais aqui).
CIS-CAT Lite
O CIS-CAT Lite é uma ferramenta gratuita desenvolvida pelo CIS baseada no SCAP. 
Entretanto, a sua versão gratuita é bem limitada e não disponibiliza a mesma 
quantidade de baselines de segurança quanto à versão paga CIS-CAT Pro (veja mais 
aqui).
https://www.microsoft.com/pt-br/security/business/microsoft-intune
https://support.apple.com/pt-br/guide/deployment/dep1d7afa557/web
https://support.google.com/work/android/answer/6191949?hl=en
https://public.cyber.mil/stigs/scap/
https://learn.cisecurity.org/cis-cat-lite
55Enap Fundação Escola Nacional de Administração Pública
O NIST também disponibiliza baselines de segurança que podem 
ser utilizadas com as ferramentas compatíveis com SCAP. Saiba 
mais aqui.
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
https://ncp.nist.gov/repository
56Enap Fundação Escola Nacional de Administração Pública
Referências 
BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos (MGI). Guia do 
Framework de Privacidade e Segurança da Informação. Programa de Privacidade 
e Segurança da Informação (PPSI). versão 1.1.2. Brasília, DF: SGD, 2023. Disponível 
em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/
guia_framework_psi.pdf. Acesso em: 2 out. 2023.
CENTER FOR INTERNET SECURITY (CIS). CIS Controls v8. [S. l.]: CIS, 2021. Disponível 
em: https://www.cisecurity.org/controls/v8/. Acesso em: 25 jul. 2023.
CENTER FOR INTERNET SECURITY (CIS). Essential Guide to Election Security. [S. l.]: 
CIS, 2023. Disponível em: https://essentialguide.docs.cisecurity.org/en/latest/index.
html. Acesso em: 25 jul. 2023.
CENTER FOR INTERNET SECURITY (CIS). How to Create a Data Protection Plan. CIS, [s. 
l.], [s. d,]. Disponível em: https://www.cisecurity.org/insights/blog/how-to-create-a-
data-protection-plan. Acesso em: 2 out. 2023.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: 
https://www.freepik.com/. Acesso em: 8 out. 2023.
MARZANO, A. et al. The Evolution of Bashlite and Mirai IoT Botnets. In: IEEE 
Symposium on Computers and Communications (ISCC), 2018, Natal. Proceedings 
[...] Natal, Brazil: IEEE, 2018. p. 813-818. Disponível em: https://ieeexplore.ieee.org/
document/8538636. Acesso em: 25 jul. 2023.
OWASP. OWASP Top Tem. [S. l.]: Owasp, 2021. Disponível em: https://owasp.org/
www-project-top-ten/. Acesso em: 25 jul. 2023.
57Enap Fundação Escola Nacional de Administração Pública
Gestão de Contas e de Controle 
de Acesso: Controles 5 e 6
Neste módulo, por meio de processos e técnicas básicas, você aprenderá como 
proteger as credenciais de acesso contra usos não autorizados.
Unidade 1: Gestão de Contas: Controle 5
Ao final da unidade, você deverá ser capaz de esclarecer os 
principais conceitos, procedimentos e técnicas relacionadas 
ao processo de gestão de contas, relativos ao Controle 5 do CIS 
Controls.
1.1. Por Que é Importante Gerir Contas de 
Usuários? 
Contas ainda válidas depois que usuários deixam a organização, contas de teste 
inativas ou remanescentes, contas compartilhadas que não foram alteradas em 
meses ou anos e contas de serviço incorporadas em códigos para o funcionamento 
e a integração de aplicações que o pessoal técnico nem lembra mais para que 
serve. Esses exemplos lhe soam familiar? E usuários que utilizam a mesma senha 
corporativa em serviços públicos e/ou particulares na internet? 
Esse contexto e as violações envolvendo credenciais são mais comuns do que 
se imagina. Em junho de 2023, o Group-IB, empresa especializada em segurança 
cibernética, identificou que mais de 100 mil contas cadastradas na base do ChatGPT 
estão sendo negociadas em mercados ilícitos na Dark Web, estando o Brasil entre 
os mais afetados, conformefigura a seguir. Ademais, muitas empresas estão 
integrando o ChatGPT em seu fluxo operacional (SHESTAKOV, 2023).
 Módulo
3
58Enap Fundação Escola Nacional de Administração Pública
Credenciais do ChatGPT comprometidas. Fonte: Adaptado de Shestakov (2023)
No relatório “2023 Data Breach Investigations Report”, da Verizon (2023), empresa 
de telecomunicações dos EUA, com dados de 2022 sobre incidentes e violações 
cibernéticas, foi identificado que 86% das violações ocorridas em Aplicações Web 
ocorreram por meio do uso de credenciais roubadas. 
Acesse o relatório da Verizon, clicando aqui.
O roubo de credenciais é um dos principais objetivos dos ciberataques. Com as 
credenciais roubadas, esses criminosos conseguem acessar de forma legítima 
os ativos corporativos e de softwares como se fossem os proprietários dessas 
credenciais, podendo violar dados valiosos da organização. Proteger as credenciais 
é uma das atividades mais importantes para uma organização. A figura abaixo ilustra 
o resultado da investigação da Verizon (2023).
https://www.verizon.com/business/resources/reports/2023-data-breach-investigations-report-dbir.pdf
59Enap Fundação Escola Nacional de Administração Pública
Violações em aplicações Web. Fonte: Adaptado de Verizon (2023).
Atenção! Contas administrativas ou altamente privilegiadas são 
alvos específicos, porque permitem que atacantes adicionem 
outras contas ou façam alterações em ativos que podem torná-
las mais vulneráveis a outros ataques.
O material elaborado pela Microsoft chamado “Contas atraentes para roubo de 
credenciais” (MICROSOFT, 2023) alerta e exemplifica diversas vulnerabilidades ao se 
usar credenciais privilegiadas (disponível aqui). 
1.2. Quais Procedimentos Gerais e Técnicas a 
Gestão de Contas Deve Compreender?
Tratando-se de gestão de contas, os três primeiros aspectos a se observar são: 
visibilidade, visibilidade e visibilidade. As credenciais são o principal ponto de entrada 
https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-best-practices/attractive-accounts-for-credential-theft
60Enap Fundação Escola Nacional de Administração Pública
de uma organização e precisam de atenção especial, mas primeiro é preciso saber 
onde estão, com quem estão e para que são utilizadas. Desse modo, as credenciais 
também são ativos que devem ser inventariados e rastreados, de forma semelhante 
aos ativos corporativos e de software.
Novamente, o primeiro passo é estabelecer e manter o inventário de todas as contas 
de usuários e serviços gerenciados pela organização, não somente das contas 
com acessos privilegiados, para, em seguida, aplicar as proteções adequadas. É 
importante que esse inventário inclua, pelo menos, o nome da conta (login), o seu 
proprietário e o departamento, se tem privilégio administrativo ou não, se a conta é 
local ou não, o propósito da conta, caso seja de serviço, e a data de revisão.
Em seguida, de posse do inventário, mantenha uma rotina periódica para validar 
se todas as contas ativas ainda estão autorizadas a serem usadas. É possível e 
muito comum que usuários, terceirizados ou não, que saíram da organização ainda 
estejam com a conta ativa, assim como possíveis contas de serviços que não são 
mais necessárias.
Atente-se para as novas contas adicionadas desde a revisão 
anterior do inventário, especialmente as contas com privilégios 
administrativos e de serviço. Em particular, procure entender o 
processo de criação e a autorização dessas contas.
1.2.1. Quais as Medidas de Segurança?
O CIS recomenda algumas medidas técnicas para mitigar os riscos de roubo e mau 
uso das credenciais da organização.
No vídeo a seguir, faremos uma breve explicação das medidas de segurança do 
Controle 5 que buscam realizar a gestão de contas.
Controle 5 do CIS Controls
Veja, a seguir, os principais conceitos e técnicas que são tratados pelas medidas 
propostas para o Controle 5.
https://youtu.be/ZUYrsMTCyss
61Enap Fundação Escola Nacional de Administração Pública
1. Usar senhas fortes e exclusivas, conforme medida de segurança 5.2 do 
CIS Controls v8.
As senhas ainda continuam sendo um dos temas mais importantes para a proteção 
das credenciais. Uma senha “forte” ajuda a manter os atacantes longes dos sistemas 
e dos serviços corporativos. No entanto, mesmo uma senha dita “forte” requer outras 
proteções complementares para reduzir o risco de violações, como um Múltiplo 
Fator de Autenticação (MFA – Multi-factor Authentication), principalmente para os 
acessos aos dados confidenciais, críticos e/ou por meio de contas com privilégios 
administrativos.
O MFA é um conceito de autenticação em que um usuário fornece mais de um fator 
de validação, além da senha, para ter acesso a um site, a um aplicativo ou a um 
recurso, como um código recebido no celular e/ou em e-mail.
A Hive Systems, empresa com foco em cibersegurança com sede nos EUA, é 
bastante conhecida por uma tabela chamada de “Hive Systems Password Table”, que 
lista o tempo de quebra de uma senha conforme o seu tamanho e complexidade. 
Em 2023, a empresa resolveu incrementar o tema complementando os resultados 
por meio do uso do ChatGPT. Veja os resultados abaixo e a mudança do cenário. 
Como pode ser visto, com o uso dessa ferramenta, os tempos de quebra caíram 
consideravelmente, quando olhamos os cenários de senhas mais complexas.
Tempo que um hacker leva para quebrar a senha usando força bruta. Fonte: Hive Systems (2023)
62Enap Fundação Escola Nacional de Administração Pública
Tempo que o ChatGPT leva para quebrar a senha usando 
inteligência artificial. Fonte: Hive Systems (2023)
Saiba mais sobre as tabelas disponibilizadas pela empresa Hive 
Systems clicando aqui.
Veja algumas dicas sobre o tema:
• Quer saber se o seu endereço de e-mail já apareceu em algum vazamento? 
Clique aqui e faça a consulta.
• Quer saber se a sua senha já apareceu em algum vazamento ou em 
banco de senhas? Clique aqui e faça a consulta.
• Quer validar se a sua senha é realmente forte? Clique aqui e faça a 
consulta.
• Quer gerar uma senha forte? Clique aqui e veja como.
2. Desabilitar contas inativas, conforme medida 5.3 do CIS Controls v8.
Como já dito anteriormente, contas podem ainda estar ativas de forma desnecessária. 
Portanto, essas contas precisam ser desativadas ou excluídas o mais breve possível 
e sempre que possível.
Entretanto, é importante sinalizar que uma conta pode estar sem uso por diversos 
motivos, por exemplo: conta de usuário que não trabalha mais na organização; 
https://www.hivesystems.io/password
https://haveibeenpwned.com/
https://haveibeenpwned.com/Passwords
https://password.kaspersky.com/pt/
https://passwordwolf.com/
63Enap Fundação Escola Nacional de Administração Pública
conta que foi usada para testes pontuais; conta de usuário de licença médica; conta 
de serviço de sistema utilizada em períodos ou em finalidades específicas e que 
ainda é necessária; ou conta de aplicação desativada. Portanto, avalie sempre cada 
situação antes de realizar a desativação ou a exclusão de uma conta.
O CIS deixa o alerta recomendando excluir ou desativar uma conta inativa após um 
período de 45 dias de inatividade, se suportado.
Atenção! Normativos legais podem exigir que as contas não 
sejam excluídas e/ou reutilizadas, somente inutilizadas, a fim de 
manter o rastreamento para auditorias futuras e conformidades.
3. Restrinja os privilégios de administrador, conforme medida 5.4 do CIS 
Controls v8.
Contas com privilégios administrativos devem ser utilizadas somente para as 
tarefas que requeiram esse perfil. Agentes maliciosos buscam principalmente 
e intermitentemente as contas com privilégios administrativos para realizarem 
as violações, já que com essas contas será possível acessar e desativar possíveis 
controles de segurança, criar, alterar e/ou remover contas, instalar softwares e 
malwares, entre outras atividades.
Portanto, não facilite! Usar contas com privilégios administrativos para as tarefas 
rotineiras,como a navegação na internet e/ou a leitura de e-mails, deve ser evitado. 
Lembre-se de que, mesmo com todos os cuidados, podemos inadvertidamente 
acessar um site malicioso, ou clicar em um link, e baixar e instalar um malware.
Por exemplo, o Centro Nacional de Segurança Cibernética (NSCS - National Cyber 
Security Centre), órgão do Gabinete de Segurança das Comunicações do Governo 
da Nova Zelândia, disponibiliza recomendações para se tratar contas com privilégios 
administrativos, e ressalta:
Restringir os privilégios administrativos está entre as 
quatro estratégias mais importantes para se mitigar 
as invasões cibernéticas. (NCSC, 2023)
Acesse as recomendações do NCSC clicando aqui.
https://www.ncsc.govt.nz/assets/NCSC-Documents/NCSC-Restricting-Admin-Priviledges-Explained.pdf
64Enap Fundação Escola Nacional de Administração Pública
Atenção! Não se esqueça de considerar também para análise 
dessa medida os privilégios locais de administração muitas vezes 
concedidos para os dispositivos dos usuários finais.
4. Centralizar a gestão de contas, conforme medida de segurança 5.6 do 
CIS Controls v8.
Essa medida parece óbvia, já que muitos irão dizer que usam o Active Directory da 
Microsoft e/ou um serviço de LDAP no Linux. Contudo, é possível que existam contas 
locais nos dispositivos de usuários finais e/ou de servidores, seja para possível 
necessidade técnica, seja por ser uma conta padrão mantida. Ademais, essas contas 
locais podem ter privilégios administrativos.
Centralizar a gestão de contas em um serviço de diretório facilita a gestão, a 
monitoração e, por exemplo, o rápido bloqueio dos acessos de uma conta quando 
necessário.
1.3. O Inventário e a Proteção de Credenciais de 
Usuários 
Existem diversas soluções e ferramentas técnicas que podem apoiar na gestão 
de contas, mas vamos nos concentrar em apenas sinalizar alguns conceitos e 
recomendações que podem ser utilizados, para que posteriormente seja mais fácil 
analisar as possíveis alternativas, ferramentas e soluções técnicas disponíveis:
Gestão de Identidades e Acessos (Identity and Access Management / IAM): 
É o conceito de solução cujo objetivo é garantir que os usuários e os dispositivos 
certos possam acessar os recursos certos, como sistemas, redes e dados, pelos 
motivos certos e no momento certo. Uma solução de IAM pode ser fornecida como 
serviço em nuvem, instalada localmente (on-premise) ou híbrida, assim como pode 
ser composta por processos e ferramentas.
Elevação de privilégios:
É a estratégia de ataque cibernético em que um agente malicioso, usando um acesso 
e/ou uma conta com privilégio padrão, consegue explorar um erro, uma falha de 
65Enap Fundação Escola Nacional de Administração Pública
projeto ou um descuido na configuração em um sistema operacional ou software de 
aplicação e executar comandos que permitirão obter acessos privilegiados.
Tradeoff da segurança da informação: 
Um dos maiores desafios dos líderes de segurança atualmente é chegar ao nível 
adequado dos controles de segurança que não penalize os processos de negócio. 
Muitos até fazem uso da frase “Quanto mais conveniente menos segurança”. 
Entretanto, vamos dar um exemplo prático. O CIS recomenda o uso de senhas 
exclusivas para todos os ativos corporativos e cita que as melhores práticas do 
mercado recomendam o uso de senhas com, no mínimo, 8 caracteres para contas 
que usam MFA e uma senha de 14 caracteres para contas que não usam MFA. O CIS 
disponibiliza um guia com recomendações e demais informações sobre a construção 
e o uso de senhas (veja aqui).
Gerenciador de senhas ou cofre de senhas: 
São tecnologias de cofres virtuais que permitem armazenar diversas credenciais 
de acesso com segurança. Essas soluções podem atuar com múltiplos fatores de 
autenticação, salvar suas senhas exclusivas para cada ativo e/ou serviço, e até 
preencher automaticamente quando necessitar fazer uso das senhas.
• Dados pessoais podem ser vazados por meio da criação, do uso e da 
divulgação de credenciais. Portanto, ao criar uma conta, abstenha-se de 
obter mais dados pessoais do que o necessário.
• Os agentes maliciosos podem tentar roubar as credenciais acessando o 
banco de dados do Active Directory e/ou o LDAP e/ou diretamente os 
arquivos /etc/passwd e /etc/shadow. Mantenha esses ambientes 
seguros.
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, 
reveja o conteúdo e se aprofunde nos temas propostos. Até a próxima! 
https://www.cisecurity.org/insights/white-papers/cis-password-policy-guide
66Enap Fundação Escola Nacional de Administração Pública
Referências 
HIVE SYSTEMS. Password-table. Hive Systems, 2023. Disponível em: https://www.
hivesystems.io/password. Acesso em: 28 jul. 2023.
MICROSOFT. Contas atraentes para roubo de credenciais. Microsoft, [s. l.], 2023. 
Disponível em: https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/
plan/security-best-practices/attractive-accounts-for-credential-theft. Acesso em: 28 
jul. 2023.
NATIONAL CYBER SECURITY CENTRE (NCSC). Restricting Administrative Privileges 
Explained. Disponível em: https://www.ncsc.govt.nz/assets/NCSC-Documents/
NCSC-Restricting-Admin-Priviledges-Explained.pdf. Acesso em: 28 jul. 2023.
SHESTAKOV, D. Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark 
Web Marketplaces; Asia-Pacific region tops the list. 2023. Disponível em: https://
www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/. 
Acesso em: 28 jul. 2023.
VERIZON. 2023 Data Breach Investigations Report (DBIR). Disponível em: https://
www.verizon.com/business/resources/reports/2023-data-breach-investigations-
report-dbir.pdf. Acesso em: 28 jul. 2023.
67Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Gestão do Controle de Acesso: 
Controle 6
Ao final da unidade, você deverá ser capaz de reconhecer os 
principais conceitos, procedimentos e técnicas relacionadas ao 
processo de gestão de controle de acesso, relativos ao Controle 6 
do CIS Controls.
2.1. Por Que é Importante Controlar o Acesso e os 
Privilégios de Usuários? 
Organizações podem conceder às contas mais privilégios do que precisam. Isso se 
dá por conveniência, descuido, negligência e/ou complexidade do procedimento. 
Conceder, por exemplo, uma permissão total e/ou colocar o usuário em um grupo 
de administração do domínio e/ou do computador local é mais rápido e mais fácil, 
entretanto incrementa o risco desnecessariamente em caso de comprometimento 
de uma credencial dessa e pode até incorrer em não conformidades legais. As contas 
devem ter apenas a autorização mínima necessária para a função.
Acesso e privilégio de usuários. Fonte: Freepik (2023).
68Enap Fundação Escola Nacional de Administração Pública
A principal causa das violações nas aplicações web é o roubo de credenciais. Um 
agente malicioso de posse de uma credencial válida terá a liberdade de acessar os 
mesmos recursos concedidos para o usuário responsável pela credencial roubada. 
Diante dessa situação e dos riscos associados, é importante também reduzir ou 
limitar os impactos gerados pelos roubos de credenciais, tornando as violações 
bem-sucedidas menos eficazes.
Proteger as identidades digitais nunca foi tão 
crucial quanto os ataques cibernéticos que 
aumentam rapidamente em sofisticação e volume. 
O comportamento dos funcionários costuma ser 
a principal causa dos incidentes relacionados à 
identidade (IDSA, 2023).
De acordo com o relatório “Trends in Securing Digital Identities de 2023” (IDSA, 
2023), 90% das organizações sofreram pelo menos uma violação relacionada à 
identidade em 2022. Nesse estudo, constatou-se que 68% das organizações que 
sofreram uma violação baseada em identidade em 2022 responderam que tiveram 
impactos diretos no negócio. Além disso, o relatório da IDSA identificou também 
que 42% dos entrevistados disseram que a implementação de uma autenticação 
multifator (MFA) para todos os usuários poderia ter evitado ou minimizado o efeito 
dos incidentes,seguido de revisões oportunas de acesso a dados sensíveis (40%) e 
acesso privilegiado (34%).
Acesse o relatório da IDSA clicando aqui.
Autenticação MFA resistente a phishing
Um novo conceito de proteção para aumentar a confiabilidade do uso do MFA contra 
ataques do tipo phishing chamado de “autenticação MFA resistente a phishing” 
ou, em inglês, “phishing resistant MFA authentication” foi citado no relatório da IDSA, 
e 83% dos entrevistados informaram que estão otimistas e que será uma ótima e 
sólida tecnologia para o futuro
A Agência de Segurança Cibernética e Infraestrutura (CISA) publicou uma notícia 
em seu site com o seguinte conteúdo traduzido “O MFA resistente a phishing é a 
chave para a tranquilidade” (CISA, 2022). Como parte dos planos de longo e médio 
https://www.idsalliance.org/white-paper/2023-trends-in-securing-digital-identities/
69Enap Fundação Escola Nacional de Administração Pública
prazo para aplicar os princípios Zero Trust, a CISA incentiva todas as organizações a 
implementarem o “MFA resistente a phishing”. 
Diante disso, também foi gerado o documento chamado de “Implementing Phishing-
Resistant MFA” (disponível aqui). 
Confiança Zero (Zero Trust)
Um conceito, relacionado também à gestão dos privilégios e aos acessos, muito 
discutido e replicado pelos fornecedores de soluções de segurança é o da “Confiança 
Zero (Zero Trust)”. A “Confiança Zero” é um conceito criado com base na crença de 
que a confiança implícita sempre é uma vulnerabilidade e, portanto, a segurança 
deve ser projetada com uma estratégia – nunca confie, sempre verifique.
Basicamente, a Confiança Zero restringe o acesso aos recursos de tecnologia da 
informação (TI) usando processos rigorosos de verificação de identidade e de 
dispositivo (VMWARE, 2022).
Como leitura complementar, o Instituto Nacional de Padrões e Tecnologia (NIST) 
disponibiliza dois documentos relacionados à confiança zero e à identidade digital, 
são eles:
• NIST SP 800-207. Zero Trust Architecture. 2020. Disponível aqui. 
• NIST SP 800-63. Digital Identity Guidelines. 2023. Disponível aqui. 
2.2. Quais Procedimentos Gerais e Técnicas o 
Controle de Acesso Deve Compreender?
Inicialmente, a recomendação do CIS prioriza o estabelecimento de processos para 
concessão e revogação de privilégios, de preferência automatizados, que incluam os 
níveis adequados de aprovação e que possam apoiar no gerenciamento de todo o 
ciclo de vida do acesso. Importante aqui sinalizar que a concessão e a revogação de 
privilégios também estão relacionados com as mudanças de funções dos usuários.
Sim, a equipe técnica de TI é a responsável e a detentora de conhecimentos para 
realizar as atividades de cadastro, de desativação e/ou de exclusão de credenciais 
na organização, entretanto somente o responsável pelo dado ou pela informação, 
geralmente com um perfil não técnico, que saberá analisar a função do solicitante e 
conceder os acessos adequados nas aplicações corporativas.
https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
https://pages.nist.gov/800-63-4/
70Enap Fundação Escola Nacional de Administração Pública
A concessão de privilégios baseada em função (Role Based Access Control - RBAC) 
é uma das práticas mais utilizadas e recomendadas pelo CIS cujo objetivo é mitigar 
os impactos gerados pelos roubos e/ou pelo mau uso das credenciais. Junto a essa 
técnica, alguns conceitos também são incorporados como: “necessidade de saber”, 
“privilégio mínimo”, “segregação de funções” e “requisitos de privacidade”.
Entenda cada um desses conceitos a seguir:
 + Necessidade de saber
É a justificativa ou a finalidade específica para se ter o acesso a um ativo de 
informação.
 + Privilégio mínimo
É a prática de imposição que limita o acesso e o que se pode fazer com esse 
ativo de informação. É muito importante que cada usuário tenha apenas 
a autorização mínima necessária para atender a sua função precípua no 
momento.
 + Segregação de funções
É um controle adicional que aborda o potencial de abuso de privilégios 
autorizados e ajuda a reduzir o risco de atividades maliciosas sem conluio. 
Um bom exemplo está na Instrução Normativa nº 3 do GSI/PR (disponível 
aqui), em que é solicitada a designação de um responsável pela avaliação 
de conformidade de acordo com os aspectos relativos à segurança da 
informação. Vale notar que esse responsável não poderá fazer parte da 
equipe de gestão de segurança da informação do órgão ou da entidade.
 + Requisito de privacidade
É o uso e a gestão apropriados dos dados e das informações armazenados 
e disponibilizados aos usuários. Estes devem ser gerenciados de maneira 
adequada em todo o seu ciclo de vida, com o objetivo de proteger os direitos 
fundamentais de liberdade e de privacidade e o livre desenvolvimento 
da personalidade da pessoa natural, conforme sinalizado na Lei Geral de 
Proteção de Dados (LGPD, Lei nº 13.709/2018).
Importante, também, para dar a garantia e a confiabilidade ao processo de 
concessão e revogação de privilégios, identificar e manter atualizados os registros 
dos sistemas de autenticação e autorização da empresa, incluindo aqueles mantidos 
na infraestrutura da organização ou em provedores de serviços remotos. É uma 
questão de visibilidade e, para algumas organizações, conformidade. Nesse sentido, 
não menos importante, é sempre procurar reforçar as proteções das credenciais e 
reduzir as atividades técnicas manuais, que incrementam as chances de falhas.
Por fim, particularmente, o CIS entende da complexidade de se implementar todas 
as medidas recomendadas e a quantidade de vulnerabilidades que as organizações 
https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/legislacao/copy_of_IN03_consolidada.pdf
71Enap Fundação Escola Nacional de Administração Pública
necessitam tratar, mas também enxerga que existem medidas mínimas essenciais 
para se iniciar a proteção da organização. Essas medidas foram consolidadas pelo 
CIS no documento “Estabelecendo uma Higiene Cibernética essencial" (disponível 
aqui).
2.2.1. Quais as Medidas de Segurança?
A seguir, você verá alguns conceitos e medidas técnicas para reduzir possíveis falhas 
geradas pelas atividades manuais de revogação e concessão de privilégios, assim 
como mitigar os riscos do roubo de credenciais.
No vídeo a seguir, faremos uma breve explicação das medidas de segurança do 
Controle 6 que buscam realizar o controle de acesso e o de privilégios.
Controle 6 do CIS Controls
A seguir, veja os principais conceitos e técnicas que são tratados pelas medidas 
propostas para o Controle 6:
1. Centralizar, se possível ou ao máximo possível, priorizando os ativos 
críticos que mantêm operacional a organização, o controle de acesso 
por meio de serviços de diretório ou os provedores de SSO (Single Sign-
On), conforme medida de segurança 6.7 do CIS Controls v8. 
Esse tipo de implementação permitirá que um usuário faça o login uma única 
vez e consiga acessar os serviços e as aplicações da organização sem necessitar 
se autenticar novamente e/ou se reinserir os possíveis fatores adicionais de 
autenticação e/ou memorizar senhas exclusivas de cada acesso.
Diagrama básico de um conceito de SSO. Fonte: Autoria própria. 
https://www.cisecurity.org/insights/white-papers/establishing-essential-cyber-hygiene
https://youtu.be/s6WSIq8r5TQ
72Enap Fundação Escola Nacional de Administração Pública
2. Exija, pelo menos e quando possível, que todos os sistemas e aplicativos 
corporativos expostos na internet, assim como os acessos remotos e os 
administrativos, façam uso de dois ou mais fatores de autenticação 
(MFA), conforme medidas de segurança 6.3, 6.4 e 6.5 do CIS Controls v8.
Esse conceito reforça a necessidade de proteção adicional à tradicional autenticação, 
utilizando apenas um nome de usuário e senha. Existem diversas soluções disponíveis 
no mercado para se implementar o conceito de MFA,cabendo à organização avaliar 
qual melhor se encaixa em seu modelo de negócios. O diagrama abaixo exemplifica 
a utilização de um celular no processo de autenticação com o uso de MFA.
Exemplo de autenticação com o uso de MFA. Fonte: Autoria própria. 
Como medida de segurança adicional de proteção recomendada pelo CIS para se 
restringir a exposição de credenciais administrativas, na falta de outras soluções 
técnicas específicas, o uso do conceito chamado de “Jump Box” (ou Jump Server ou 
Jump Host) é uma alternativa. “Jump Box” pode ser um computador seguro ao qual 
todos os administradores se conectam primeiro antes de iniciar qualquer tarefa 
administrativa. Pode ser usado como ponto de origem para se conectar a outros 
servidores ou a ambientes não confiáveis.
Diagrama básico do conceito de “Jump Box”. Fonte: Autoria própria. 
73Enap Fundação Escola Nacional de Administração Pública
Veja algumas dicas sobre esse tema:
• A Gestão de Acesso Privilegiado (Privileged Access Management - PAM) é 
um conceito que tem foco em monitorar, detectar e impedir o acesso 
privilegiado não autorizado a recursos críticos, oferecendo a visibilidade 
sobre quem está usando uma credencial privilegiada e o que está 
fazendo enquanto está conectado com ela, assim como possíveis 
anomalias. Ao identificar que um usuário está tentando usar ou acessar 
um recurso com privilégios administrativos, políticas definidas serão 
aplicadas, podendo realizar um bloqueio e/ou requerer outro fator de 
autenticação.
• Ao estabelecer processos para concessão e revogação de privilégios, 
discuta com os envolvidos a possibilidade do disparo de eventos para as 
partes interessadas. Por exemplo, o desligamento de um profissional 
pode desferir uma rotina e/ou um processo que alerte aos responsáveis 
sobre a necessidade de revogação dos privilégios, ou que até faça isso 
automaticamente, quando possível.
• Credenciais inseridas em códigos de aplicações é um dos grandes 
desafios e “dores de cabeça” para a equipe de segurança da informação. 
É muito comum, e um erro, serem incluídos tokens e/ou senhas em texto 
claro no código das aplicações. De forma adicional, oportunidades de 
negócio estão requerendo integração entre as suas aplicações e/ou de 
terceiros, sem o domínio dos níveis de segurança implementados nestes. 
De forma geral, o uso de uma API (Application Programming Interfaces) é 
o caminho para a integração, que nada mais é que um conjunto de 
definições e protocolos.
Portanto, é imprescindível dar a atenção adequada para a segurança dessas 
APIs. Em uma pesquisa da SANS Institute (System Administration, Networking 
and Security) de 2023, sobre segurança de API, foi identificado que, conforme 
a figura a seguir, menos de 50% das empresas estão usando ferramentas de 
teste de segurança de APIs (SANS, 2023). Acesse a pesquisa aqui.
https://www.sans.org/white-papers/2023-sans-survey-api-security/
74Enap Fundação Escola Nacional de Administração Pública
Pesquisa sobre a utilização de ferramentas de proteção nas organizações. Fonte: SANS (2023)
Atenção! Códigos de aplicações da organização que são mantidos 
em nuvem pública podem conter credenciais de acesso. Não se 
esqueça de avaliar e de inventariar esses ambientes também.
Para finalizar este item, apesar das recomendações de segurança sobre os padrões 
de complexidade das senhas, com tamanhos mínimos e diversas combinações, 
deixaremos aqui o recente conceito sobre o tema, para que cada organização possa 
iniciar os seus estudos e entendimentos: “Autenticação sem senha” (Passwordless 
authentication). 
Esse é um conceito sendo altamente discutido em que o usuário não usa uma senha 
no processo de autenticação. Em vez disso, tecnologias com senhas de uso único 
(OTP - On time password) e/ou de biometria fazem a substituição. Você já deve ter 
percebido isso ao entrar em algum sistema apenas com o CPF e o uso de biometria, 
por exemplo. 
Para se aprofundar mais sobre esse conceito, acesse os seguintes documentos:
• Passwordless Authentication — The next breakthrough in secure digital 
transformation. World Economic Forum. 2020. Disponível aqui. 
• The State of Passwordless Security Report. Vanson Bourne and HYPR. 
2023. Disponível aqui.
https://www.weforum.org/whitepapers/passwordless-authentication-the-next-breakthrough-in-secure-digital-transformation/
https://get.hypr.com/2023-passwordless-security-report
75Enap Fundação Escola Nacional de Administração Pública
2.3. Como Proteger as Credenciais da sua 
Organização?
Veja algumas orientações e ferramentas para o uso de um MFA na prática:
• GCA Cybersecurity Toolkit
A Global Cyber Alliance (GCA) consolidou diversos links que apontam para 
os procedimentos técnicos necessários para se implementar um MFA em 
diversos serviços disponíveis na internet. 
• Google Authenticator 
Esse aplicativo do Google adiciona uma camada extra de segurança às 
diversas contas on-line com uma segunda etapa de verificação no login. Isso 
significa que, além da senha, será necessário inserir um código gerado pelo 
Google Authenticator no smartphone. 
• Microsoft Authenticator
Esse aplicativo da Microsoft permite que você use o seu telefone, e não a sua 
senha, para você se autenticar em serviços como o Outlook, OnDrive, Office, 
entre outros. De forma complementar, a sua impressão digital, o Face ID ou 
o PIN fornecerão uma segunda camada de segurança nesse processo de 
verificação de duas etapas.
• Duplo fator de autenticação em dispositivos Apple. 
Esse é um método de segurança nativo em dispositivos Apple. 
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
https://gcatoolkit.org/tool/set-up-2fa-on-your-accounts/
https://support.google.com/accounts/answer/1066447?hl=pt&co=GENIE.Platform%3DAndroid
https://www.microsoft.com/pt-br/security/mobile-authenticator-app
https://support.apple.com/en-us/HT204915
76Enap Fundação Escola Nacional de Administração Pública
Referências 
CISA. Defend Today, Secure Tomorrow. Implementing Phishing-Resistant MFA. [S. 
l.], 2022. Disponível em: https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-
implementing-phishing-resistant-mfa-508c.pdf. Acesso em: 29 jul. 2023.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: 
https://www.freepik.com/. Acesso em: 8 out. 2023.
IDENTITY DEFINED SECURITY ALLIANCE (IDSA). 2023 Trends in Securing Digital 
Identities. [S. l.]: IDSA, 2023. Disponível em: https://www.idsalliance.org/white-
paper/2023-trends-in-securing-digital-identities/. Acesso em: 29 jul. 2023.
LORD, B. Phishing Resistant MFA is Key to Peace of Mind. CISA, [s. l.], 2023. Disponível 
em: https://www.cisa.gov/news-events/news/phishing-resistant-mfa-key-peace-
mind. Acesso em: 30 jul. 2023. 
MICROSOFT. Contas atraentes para roubo de credenciais. Microsoft, 2023. Disponível 
em: https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-
best-practices/attractive-accounts-for-credential-theft. Acesso em: 28 jul. 2023. 
SANS. 2023 SANS Survey on API Security. SANS Institute, 2023. Disponível em: 
https://www.sans.org/white-papers/2023-sans-survey-api-security/. Acesso em: 30 
jul. 2023. 
VMWARE. O que é segurança de confiança zero? VMWARE, [s. l.], [s. d.]. Disponível 
em: https://www.vmware.com/br/topics/glossary/content/zero-trust-security.html. 
Acesso em: 30 jul. 2023. 
WORLD ENCONOMIC FORUM. Passwordless Authentication: The next Breakthrough 
in Secure Digital Transformation. World Economic Forum, [s. l.], 2020. Disponível 
em: https://www.weforum.org/whitepapers/passwordless-authentication-the-next-
breakthrough-in-secure-digital-transformation. Acesso em: 29 jul. 2023.
	Inventário e Controle de Ativos Corporativos e de Software: Controles 1 e 2
	Unidade 1: Inventário e Controle de Ativos Corporativos: Controle 1
	1.1 Por que é Importante Inventariar e Gerenciar Ativos Corporativos?
	1.2 Quais ProcedimentosGerais e Técnicas o Inventário de Ativos Corporativos Deve Compreender? 
	1.2.1. Quais as Medidas de Segurança?
	1.3 A Descoberta Ativa
	1.4 A Descoberta Passiva de Ativos
	1.5 Análise de Logs Dhcp
	1.6. O Tratamento de Ativos Não Autorizados
	Referências 
	Unidade 2: Inventário e Controle de Ativos de Software: Controle 2
	2.1. Por que é Importante Inventariar e Gerenciar Ativos de Software?
	2.2 Quais os Procedimentos Gerais e as Técnicas que o Inventário de Ativos de Software Deve Compreender?
	2.3. Como Criar um Inventário de Software?
	2.4 Lista de permissões
	Referências 
	Proteção de Dados e Configuração Segura de Ativos Corporativos e Software: Controle 3 e 4
	Unidade 1: Proteção de Dados: Controle 3
	1.1. Por que é Importante Proteger os Dados? 
	1.2. Quais Procedimentos Gerais e Técnicas a Proteção de Dados Deve Compreender?
	1.3. Como Proteger seus Dados 
	Referências 
	Unidade 2: Configuração Segura de Ativos Corporativos e de Software: Controle 4
	2.1. Por Que é Importante Configurar os Ativos Corporativos e de Software de Forma Segura?
	2.2. Quais Procedimentos Gerais e Técnicas a Configuração Segura de Ativos Corporativos e Software Deve Compreender?
	2.3. Como Proteger os Ativos Corporativos e de Software?
	Referências 
	Gestão de Contas e de Controle de Acesso: Controles 5 e 6
	Unidade 1: Gestão de Contas: Controle 5
	1.1. Por Que é Importante Gerir Contas de Usuários? 
	1.2. Quais Procedimentos Gerais e Técnicas a Gestão de Contas Deve Compreender?
	1.3. O Inventário e a Proteção de Credenciais de Usuários 
	Referências 
	Unidade 2: Gestão do Controle de Acesso: Controle 6
	2.1. Por Que é Importante Controlar o Acesso e os Privilégios de Usuários? 
	2.2. Quais Procedimentos Gerais e Técnicas o Controle de Acesso Deve Compreender?
	2.3. Como Proteger as Credenciais da sua Organização?
	Referênciasos procedimentos e as técnicas relacionadas 
ao processo de gestão de ativos corporativos, relativos ao 
Controle 1 do CIS Controls.
1.1 Por que é Importante Inventariar e Gerenciar 
Ativos Corporativos?
Inicialmente, precisamos entender a definição de um ativo corporativo. Para o CIS, 
um ativo corporativo é:
Qualquer dispositivo fisicamente, virtualmente, 
ou remotamente, conectado na infraestrutura 
da organização, e também aqueles mantidos nos 
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/modelo_politica_gestao_ativos.pdf
7Enap Fundação Escola Nacional de Administração Pública
ambientes em nuvem, incluindo, mas não se limitando 
a: dispositivos de usuários finais, incluindo portáteis 
e móveis; dispositivos de rede; dispositivos não 
computacionais/Internet das Coisas (IoT); e servidores 
(CIS, 2021). 
Na figura a seguir, o CIS exemplifica alguns equipamentos compreendidos dentro 
da definição de um ativo corporativo.
Ativos corporativos. Fonte: Adaptado de CIS (2022).
Então, inventariar e controlar os ativos corporativos é um processo que também 
abrange um conceito conhecido como Gestão Ativa, que contempla atividades de: 
inventário, rastreamento e correção de ativos. Esse processo é muito importante 
para se conhecer a totalidade dos ativos corporativos que, por exemplo, sustentam 
os dados críticos da organização, incluindo dados pessoais, e que precisam ser 
monitorados e protegidos de forma apropriada. Ademais, esse processo também 
ajuda na identificação de ativos não gerenciados e não autorizados, para posterior 
remoção ou remediação.
O desafio
Agentes maliciosos realizam varreduras contínuas na internet buscando, através 
de possíveis vulnerabilidades existentes nos ativos corporativos expostos, realizar 
acessos não autorizados a dados, a informações e a demais ativos mantidos 
internamente na organização. As atividades maliciosas estão cada vez mais 
8Enap Fundação Escola Nacional de Administração Pública
complexas, automatizadas, crescendo exponencialmente e muito difíceis de se 
detectar e, às vezes, até mesmo de se bloquear. E, para aumentar o desafio, os ativos 
corporativos estão em constante mudança, seja por requerimentos do negócio, seja 
por adequações de configurações, seja por necessidades de atualização.
Dessa forma, o Controle 1 do CIS Controls torna-se um pré-requisito e um 
dos mais críticos para se conseguir mitigar os riscos de segurança em uma 
organização. Afinal, as organizações não podem defender o que não sabem que 
possuem.
Lembre-se: novos ativos são constantemente adquiridos, 
outros são retirados, enquanto muitos ativos são simplesmente 
perdidos (CIS, 2022). Manter uma visão atual e precisa dos ativos 
corporativos deve ser um processo contínuo e dinâmico.
Em linhas gerais, esse controle é o ponto de partida para se iniciar a implementação 
dos controles do CIS. Dessa forma, mantenha em mente:
• Se a organização não sabe o que possui, então não pode aplicar a 
proteção adequada. A visibilidade é essencial! Para se ter efetividade na 
Gestão Ativa, a organização precisa conhecer com precisão os seus 
ativos corporativos.
• Uma organização pode possuir muitos ativos corporativos e precisará 
escolher por onde começar a análise e a aplicação das proteções. Por 
exemplo, um ativo servidor de rede utilizado internamente pelas equipes 
de desenvolvimento não necessitará das mesmas proteções que um 
ativo servidor de rede com serviços expostos na internet. As proteções 
aplicadas devem ser apropriadas para cada ativo conforme a sua 
importância para a organização.
• Os ativos corporativos podem estar vulneráveis, passíveis de falhas e/ou 
de explorações maliciosas. 
Quase todos os ataques cibernéticos bem-sucedidos exploram 
vulnerabilidades básicas, como software sem patches, 
configurações insatisfatórias, credenciais expostas e soluções 
desatualizadas.
• Não se esqueça de que é necessário identificar os ativos corporativos 
mantidos na infraestrutura local da organização e/ou em provedores 
externos, como os serviços em nuvem.
9Enap Fundação Escola Nacional de Administração Pública
• Os princípios de privacidade, como os contidos na Lei Geral de Proteção 
de Dados (Lei nº 13.709/2018 - LGPD), devem ser incorporados ao 
processo, tanto do ponto de vista tecnológico quanto do processual. O 
conhecimento sobre um dispositivo, onde ele está localizado, quem está 
usando-o e como está usando, podem fornecer informações sobre um 
determinado indivíduo (“dados pessoais”).
1.2 Quais Procedimentos Gerais e Técnicas 
o Inventário de Ativos Corporativos Deve 
Compreender? 
1. O primeiro procedimento a ser compreendido refere-se à visibilidade 
dos ativos corporativos.
Nesse contexto, é importante coletar as características de cada ativo corporativo. 
Por exemplo: qual é o tipo desse ativo, onde está localizado, como se dá o acesso ou 
como se chega até ele, se está dentro ou fora da organização, qual o seu endereço de 
rede/endereço IP, nome do ativo, portas e protocolos de segurança configurados, se 
está na nuvem, se é um ativo móvel, quem é o responsável pelo ativo, entre outros.
Algumas características dos ativos corporativos podem ser 
restringidas por soluções de segurança, como firewalls, buscando 
evitar uma exposição que pode facilitar ações maliciosas.
2. Uma vez que a organização realizou a coleta das características dos 
ativos corporativos, os próximos passos incluem, por exemplo, a 
correlação e a análise da criticidade do ativo corporativo com os 
processos organizacionais.
Lembre-se: não menos importante, após coletar as características 
dos ativos corporativos, será necessário identificar aqueles 
ativos que não estão autorizados a ingressar na infraestrutura 
da organização e que deverão ter posteriormente os tratamentos 
específicos. O CIS recomenda que o tratamento desses ativos já 
seja realizado dentro das atividades do Controle 1.
Um termo usado para descrever alguns tipos específicos de ativos não autorizados 
é a Shadow IT, conhecido no Brasil como TI invisível. A Shadow IT é qualquer software, 
hardware ou recurso de TI usado em uma rede corporativa sem a aprovação do 
10Enap Fundação Escola Nacional de Administração Pública
departamento de TI e, muitas vezes, sem seu conhecimento ou supervisão (IBM, 
[s.d.]). 
Quer ler mais sobre a Shadow IT? Veja o artigo da IBM disponível 
aqui.
Shadow TI. Fonte: Freepik (2023).
Em linhas gerais, é o uso de, por exemplo, equipamentos, aplicativos, programas e 
serviços em processos organizacionais, sem a aprovação da área de TI, geralmente 
até manipulando dados corporativos.
Obviamente, ao mesmo tempo em que há tradição e certa lógica em busca da 
inovação por trás da Shadow IT, o descontrole no tratamento desses ativos pode 
criar sérios problemas. Como o próprio nome diz, as ações desses dispositivos e 
aplicativos poderão ser invisíveis até que os prejuízos sejam grandes demais para 
se ignorar. 
Os dados coletados dos ativos corporativos com as demais informações geradas 
podem ser registrados, por exemplo, em uma planilha Excel.
O CIS disponibiliza um modelo de planilha para manter o registro 
de ativos chamado de “Planilha de Rastreamento de Ativos de 
Hardware e Software”. Para acessá-la, clique aqui.
https://www.ibm.com/br-pt/topics/shadow-it
https://www.cisecurity.org/insights/white-papers/cis-hardware-and-software-asset-tracking-spreadsheet
11Enap Fundação Escola Nacional de Administração Pública
1.2.1. Quais as Medidas de Segurança?
Esse controle requer ações técnicas e processuais conjugadas em um processo 
que presta contas e gerencia o inventário de ativos corporativos e todos os dados 
associados ao longo de seu ciclo de vida.
No vídeo a seguir, você verá breve explicação das medidas de segurança do 
Controle 1, que buscam realizar a proteção dos ativos corporativos.
Controle 1 do CIS Controls
Em linhas gerais, um processo de gerenciamento de ativos corporativos deve 
contemplar as seguintes medidas de segurançanecessárias para a composição do 
inventário e para o controle desses ativos:
• Usar uma ferramenta de descoberta ativa e/ou passiva para a coleta dos 
dados, conforme medidas de proteção 1.3 e 1.5 do CIS Controls v8.
 Enquanto uma ferramenta de descoberta ativa envia pacotes pela rede 
para acessar diretamente o ativo alvo e coletar os dados, uma ferramenta 
de descoberta passiva faz a coleta dos dados do ativo alvo “escutando” o 
tráfego da rede, não existindo, então, uma interação junto ao ativo. Por 
essa diferença na forma de coleta, a descoberta ativa é considerada 
intrusiva, pode ser detectada e pode gerar instabilidades no ativo alvo. 
Atenção! A coleta realizada pelas ferramentas automatizadas 
pode conter, de forma clara, ou, até mesmo, por meio da 
combinação de identificadores, vínculos que podem ser 
considerados como dados pessoais. 
• Fazer uso do log DHCP (Dynamic Host Configuration Protocol) para 
validar e atualizar o inventário, conforme medida de proteção 1.4 do CIS 
Controls v8. 
O log do DHCP pode servir como fonte alternativa de dados de rede dos 
ativos corporativos para atualizar e/ou validar com os capturados pelas 
ferramentas de descoberta ativa e passiva. 
• Identifique, no inventário, os ativos corporativos não autorizados em 
sua rede e realize o tratamento, conforme a medida de proteção 1.2 do 
CIS Controls v8. 
https://youtu.be/t9UPRwOB4DQ
12Enap Fundação Escola Nacional de Administração Pública
A identificação de um ativo que não está no inventário pode ser 
classificada como um “evento de segurança da informação” e requer 
investigação e execução de atividades de tratamento apropriadas.
Veja a definição de “evento de segurança da informação”, segundo o Glossário de 
Segurança da Informação, do Gabinete de Segurança Institucional da Presidência da 
República (GSI, 2021). 
Qualquer ocorrência identificada em um sistema, 
serviço ou rede, que indique uma possível falha da 
política de segurança, falha das salvaguardas ou 
mesmo uma situação até então desconhecida, que 
possa se tornar relevante em termos de segurança.
Após identificar um ativo que não está no inventário, a organização deve realizar a 
investigação o mais breve possível para decidir se o ativo será classificado como não 
autorizado, e, assim, removê-lo da rede, negar a sua conexão remota à rede ou, até 
mesmo, colocá-lo em quarentena para posterior análise. 
Um ativo não autorizado conectado na infraestrutura da organização pode gerar um 
“incidente de segurança da informação”, definido pelo GSI/PR como sendo “qualquer 
evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas 
de computação ou das redes de computadores”.
Lembre-se: Os ativos corporativos devem ser identificáveis por meio de dados 
únicos, relevantes, precisos, detalhados e atualizados.
Veja algumas dicas a seguir:
 + Identificação de Ativos
Quando possível e aplicável, fixe uma etiqueta de identificação em cada 
ativo corporativo para facilitar presencialmente o seu reconhecimento e 
correlação com o inventário. Entretanto, não inclua na etiqueta dados que 
possam ferir os princípios de privacidade contidos na LGPD e/ou em outros 
normativos legais, como o nome ou o identificador de um usuário.
 + Guia Framework de Privacidade e Segurança
O Anexo IV do Guia do Framework de Privacidade e Segurança da Informação 
correlaciona as medidas de segurança do Controles 1 do CIS Controls às 
13Enap Fundação Escola Nacional de Administração Pública
Normas Complementares do Gabinete de Segurança Institucional da 
Presidência da República (GSI/PR) e com alguns requerimentos dispostos 
na Lei Geral de Proteção de Dados (LGPD). Acesse aqui.
O CIS disponibiliza um modelo de documento para a definição de 
uma política de gerenciamento de ativos corporativos. Acesse o 
documento aqui.
1.3 A Descoberta Ativa
1.3.1 O que é a Descoberta Ativa?
Como mencionado rapidamente na seção anterior, a descoberta ativa é realizada 
por intermédio de ferramenta que usa uma rede como meio para realizar varredura 
em busca dos ativos corporativos. Há uma interação entre a ferramenta e o ativo 
encontrado para a coleta de dados.
Ao identificar os ativos, a descoberta ativa pode coletar, por exemplo, informações 
do sistema operacional, protocolos e portas em uso, serviços, vulnerabilidades, 
status de atividade e demais informações do ativo alvo.
1.3.2. Exemplo de Como Realizar a Descoberta Ativa com Apoio 
Ferramental
Agora, falando da prática, veremos sucintamente como podemos realizar o inventário 
dos ativos corporativos.
Uma ferramenta de descoberta ativa muito utilizada no mercado é o NMAP, 
disponível para download no site do fabricante (acesse aqui). Essa ferramenta é 
gratuita, de código aberto e bastante utilizada para a realização de inventários e 
auditoria de segurança. Para a coleta dos dados, não é necessário que os destinos 
tenham agentes (ou softwares) instalados. A ferramenta está disponível em sua 
versão para execução por meio de uma linha de comando ou por uma interface 
gráfica chamada de ZENMAP.
Os resultados da coleta do NMAP são facilmente entendíveis na própria interface 
gráfica do ZENMAP, na saída da execução do NMAP ou, até mesmo, em um bloco 
de notas. 
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_framework_psi.pdf
https://www.cisecurity.org/insights/white-papers/enterprise-asset-management-policy-template
https://nmap.org/download.html
14Enap Fundação Escola Nacional de Administração Pública
O fabricante da ferramenta também disponibiliza um guia de referência com 
diversos exemplos úteis do uso da ferramenta (disponível aqui).
Atenção! É relativamente comum observar alguns efeitos 
colaterais do uso de uma ferramenta de descoberta ativa, 
dependendo da configuração, tais como instabilidades, alertas e/
ou excessos de logs nos ativos de destino. Portanto, muita atenção 
ao se executar uma ferramenta de descoberta ativa. A execução 
de qualquer ferramenta de descoberta ativa: (1) planejamento 
para identificar e mitigar riscos; (2) obter o comprometimento 
de partes interessadas, e; (3) possivelmente, executar estudos e 
testes de viabilidade dentro de condições pré-estabelecidas em 
um ambiente controlado.
Veja algumas dicas em relação à descoberta ativa:
 + Utilização de NDIFF
O CIS recomenda que a ferramenta de descoberta ativa seja executada 
regularmente. Dependendo da quantidade de ativos corporativos alvos do 
NMAP, a identificação de possíveis mudanças entre os resultados de cada 
execução da ferramenta pode ser extremamente trabalhosa e complexa. 
Uma ferramenta muito útil e que ajuda na identificação dessas possíveis 
mudanças é o NDIFF, disponibilizada de forma integrada ao se fazer 
download do NMAP. Um guia de referência também é disponibilizado aqui.
 + Automatização de execuções
As execuções periódicas podem ser automatizadas por meio de scripts 
batch, usando o comando “cron”, em sistemas operacionais linux, ou pelo 
agendador de tarefas do Windows, usando o comando “at” ou “schtasks”. O 
comando “at” está sendo descontinuado pela Microsoft.
1.4 A Descoberta Passiva de Ativos
1.4.1 O que é a Descoberta Passiva?
A descoberta passiva usa a observação do tráfego na rede para identificar e coletar 
dados dos ativos corporativos de uma organização. Não há interação ativa entre 
a ferramenta de descoberta e o ativo de destino para a coleta dos dados. Existe 
https://nmap.org/book/man.html
https://nmap.org/book/ndiff-man.html
15Enap Fundação Escola Nacional de Administração Pública
apenas uma análise no tráfego de rede que busca identificar os dados pertinentes 
sobre os ativos.
Em geral, utiliza-se um software que monitora os pacotes que transitam em redes de 
computadores. Esse tipo de software é também popularmente chamado de sniffer.
Geralmente esse tipo de software é utilizado em tarefas e em processos de 
administração de redes para detectar problemas ou conexões suspeitas, testar se 
as senhas usadas na rede estãorealmente sendo criptografadas e realizar uma série 
de outras atividades relacionadas à segurança.
1.4.2. Exemplo de Como Realizar a Descoberta Passiva com Apoio 
Ferramental
Uma das ferramentas mais conhecidas para realizar a descoberta passiva é o 
Wireshark, disponível para download no site do fabricante (acesse aqui). Assim 
como o NMAP, essa ferramenta também é gratuita e de código aberto. 
As funcionalidades do Wireshark são bem parecidas com as da ferramenta também 
utilizada para análise de tráfego de rede, chamada ”tcpdump”, mas com interface 
gráfica que permite a definição e a utilização de filtros mais facilmente.
E como funciona o Wireshark? 
Resumidamente, os pacotes de rede são capturados pela interface de rede onde 
o Wireshark está sendo executado. Para coletar o tráfego de uma rede, um 
procedimento bastante utilizado é o “espelhamento de porta”, em inglês port 
mirroring, em que o tráfego de uma porta específica de um switch de rede é enviado 
(espelhado) para a porta de conectividade do Wireshark, conforme pode ser visto 
na figura a seguir:
https://www.wireshark.org/
16Enap Fundação Escola Nacional de Administração Pública
Diagrama básico de um espelhamento de porta. Fonte: Autoria própria
Atenção! Embora a captura do tráfego de rede por meio da 
ferramenta Wireshark não seja invasiva, não requerendo 
interação com o ativo alvo, é sempre uma boa prática pedir 
permissão àqueles que gerenciam a rede antes de realizar a 
varredura. 
A figura abaixo é um exemplo da tela do Wireshark após a captura de pacotes de 
rede.
Tela básica do Wireshark com a coleta dos dados. Fonte: Wireshark ([s. n.]).
17Enap Fundação Escola Nacional de Administração Pública
1.5 Análise de Logs Dhcp
1.5.1 O que são logs do DHCP (Dynamic Host Configuration Protocol)?
O DHCP (Dynamic Host Configuration Protocol) é uma ferramenta que oferece 
configuração dinâmica com concessão de endereços IP de host, máscara de sub-
rede, default gateway (gateway padrão), número IP de um ou de mais servidores 
DNS e outras informações importantes na configuração de ativos que se conectam 
na rede corporativa.
Os logs do DHCP são as informações sobre essas dinâmicas de configuração de 
ativos em uma rede. Em geral, essas informações estão formatadas com o registro 
temporal da manutenção ou das mudanças de possíveis configurações de rede 
ocorridas ao longo do tempo.
Em um sistema operacional Windows, os logs são mantidos 
por padrão no diretório “%systemroot%\system32\dhcp”, em 
arquivos de texto no formato “DhcpSrvLog-.log” para IPv4 
ou DhcpV6SrvLog-.log para IPv6, em que XXX é o dia de 
coleta do log. 
A seguir, você verá a imagem do diretório de logs de um DHCP no sistema operacional 
Windows.
Exemplo dos logs DHCP do IPV4 no Windows. Fonte: Autoria própria.
Lembre-se: é preciso validar se o DHCP está ativo e configurado 
adequadamente.
18Enap Fundação Escola Nacional de Administração Pública
1.6. O Tratamento de Ativos Não Autorizados
Como os ativos não autorizados não são gerenciados pela equipe de TI, eles 
geralmente estão repletos de vulnerabilidades que os agentes maliciosos podem 
tentar explorar para obter acesso à rede, aos dados e às informações da organização.
Importante definir e manter um processo periódico que identifique e trate os ativos 
que não estão presentes no inventário. Soluções de controle de acesso à rede, 
conhecidas como NAC (Network Access Control), automatizam e podem facilitar o 
tratamento dos ativos não autorizados por meio de políticas com requerimentos 
mínimos para a conexão à rede.
Quer entender mais sobre solução de controle de acesso à rede? 
Acesse o artigo da Cisco (disponível aqui).
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima!
https://www.cisco.com/c/en/us/products/security/what-is-network-access-control-nac.html
19Enap Fundação Escola Nacional de Administração Pública
Referências 
BRASIL. Portaria GSI/PR nº 93, de 18 de outubro de 2021. Aprova o glossário de 
segurança da informação. Brasília, DF: Presidência da República, 2021. Disponível 
em: https://www.in.gov.br/en/web/dou/-/portaria-gsi/pr-n-93-de-18-de-outubro-
de-2021-353056370. Acesso em: 20 ago. 2023.
CENTER FOR INTERNET SECURITY (CIS). CIS Controls v8. [S. l.]: CIS, 2021. Disponível 
em: https://www.cisecurity.org/controls/v8/. Acesso em: 25 jul. 2023.
CENTER FOR INTERNET SECURITY (CIS). Enterprise Asset Management Policy 
Template. [S. l.]: CIS, 2022. Disponível em: https://www.cisecurity.org/insights/white-
papers/enterprise-asset-management-policy-template. Acesso em: 18 ago. 2023. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: 
https://www.freepik.com/. Acesso em: 8 out. 2023.
IBM. O que é a shadow IT? IBM, [s. l.], [s. d.]. Disponível em: https://www.ibm.com/
br-pt/topics/shadow-it. Acesso em: 18 ago. 2023. 
WIRESHARK. Homepage. Wireshark, [s. l.], [s. d.]. Disponível em: https://www.
wireshark.org/. Acesso em: 2 out. 2023.
20Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Inventário e Controle de Ativos de 
Software: Controle 2
Ao final da unidade, você deverá ser capaz de recordar os 
principais conceitos, os procedimentos e as técnicas relacionadas 
ao processo de gestão de ativos de software, relativos ao Controle 
2 do CIS Controls.
2.1. Por que é Importante Inventariar e Gerenciar 
Ativos de Software?
Inicialmente, precisamos entender a definição de um ativo de software. Para o CIS, 
ativos de software são:
Programas e outras informações operacionais usadas 
em um ativo corporativo. Os ativos de software incluem 
sistemas operacionais e aplicativos. Um aplicativo é 
um programa, ou grupo de programas, hospedado 
em ativos corporativos e projetado para usuários 
finais. Já um sistema operacional é um software de 
sistema instalado em ativos corporativos que gerencia 
recursos de hardware e software, e fornece serviços 
comuns para os programas (CIS, 2021).
Veja abaixo uma figura com sugestão de nomenclatura distinguindo tipos de 
software de acordo com o CIS Controls.
21Enap Fundação Escola Nacional de Administração Pública
Categorização de softwares. Fonte: Adaptado de CIS (2022).
Assim como para os ativos corporativos, as varreduras contínuas realizadas pelos 
agentes maliciosos também buscam por vulnerabilidades nos softwares dos sistemas, 
dos serviços e das aplicações corporativas expostas na internet. A finalidade é a 
mesma: tentar explorar possíveis vulnerabilidades que possam permitir acessos 
não autorizados a dados, a informações e ao próprio ativo que sustenta o software.
Por exemplo: usuários que utilizam navegadores sem patches de segurança e 
acessam sites maliciosos ou clicam em anexos contaminados podem instalar 
programas maliciosos, como backdoors e bots, podendo, assim, permitir o acesso 
não autorizado dos agentes maliciosos no dispositivo em uso.
Além disso, muitas organizações estão passando por transformações digitais, seja 
em busca de novas oportunidades na internet, seja em melhoria dos serviços e dos 
processos internos, seja por necessidades do negócio. Esse contexto tende a deixar 
as organizações mais dinâmicas e também acarreta mudanças constantes nos 
sistemas e nas aplicações corporativas, que podem aumentar o risco de exposição 
de falhas na codificação e/ou de vulnerabilidades dos softwares utilizados.
Uma das principais ações para mitigar os riscos de exploração de possíveis 
vulnerabilidades expostas é a atualização e a correção de software (patch). Contudo, 
as técnicas utilizadas pelos agentes maliciosos estão cada vez mais sofisticadas e 
aptas a detectar e a explorar as vulnerabilidades dos softwares ainda não conhecidas 
pelos seus fabricantes. Esse tipo de exploração é conhecido como “Dia Zero” ou 
“Zero-Day”.
22Enap Fundação Escola Nacional de Administração Pública
Vetor e superfície de ataque são termos utilizados para sinalizar os 
possíveis caminhos,métodos e/ou oportunidades que os agentes 
maliciosos aproveitam para buscar explorar vulnerabilidades 
nos ativos corporativos e de softwares. Quer saber mais?
Acesse o artigo de Cloudflare (disponível aqui). 
Entretanto, sem um inventário completo e preciso dos softwares em uso na 
organização não será possível, de forma preventiva, identificar as suas possíveis 
vulnerabilidades e realizar as correções antes que os agentes maliciosos tentem 
realizar as explorações.
Atenção! O inventário de software também objetiva identificar 
se existem violações de licenciamento em potencial e aplicativos 
desnecessários ou que infringem a política de segurança da 
organização.
Para ajudar na identificação de possíveis violações de licenciamento em potencial, 
separamos aqui cinco definições de categorias de software que comumente são 
confundidas (GNU, [s. d.], OPEN SOURCE INITIATIVE, 2006). 
 + Software livre
É qualquer programa de computador que pode ser usado, copiado, 
estudado, modificado e redistribuído sem nenhuma restrição. É permitido 
vender software livre, entretanto as mesmas liberdades são válidas para o 
comprador.
 + Freeware ou software gratuito
Não possui definição clara e aceita, mas é qualquer programa de computador 
que permite a redistribuição, mas não a modificação. Em geral, o código-
fonte não é disponibilizado, e a modificação do programa é proibida. 
 + Código aberto (do inglês open source)
É o programa de computador que tem seu código-fonte disponibilizado, 
mas não garante absolutamente nada sobre a sua distribuição, modificação 
e comercialização. Na verdade, o termo “código aberto” somente afirma 
que qualquer um pode ter acesso ao código do programa, mas é seu 
desenvolvedor quem determina as condições de uso. A partir do final da 
década de 1990, essa denominação passa a contemplar o software que é 
licenciado de forma que o detentor do direito autoral fornece o direito de 
https://www.cloudflare.com/pt-br/learning/security/glossary/attack-vector/
https://pt.wikipedia.org/wiki/Programa_de_computador
https://pt.wikipedia.org/wiki/Software_de_computador
https://pt.wikipedia.org/wiki/Código_fonte
https://pt.wikipedia.org/wiki/Código_aberto
23Enap Fundação Escola Nacional de Administração Pública
estudar, de modificar e de distribuir o software de graça para qualquer um 
e para qualquer finalidade (CURRION; SILVA; VAN DE WALLE, 2007).
 + Shareware
É um programa de computador distribuído livremente e que vem com 
permissão para redistribuir cópias, mas diz que qualquer um que continue 
usando uma cópia é obrigado a pagar por uma licença. Geralmente, possui 
algum tipo de limitação até que seja adquirida uma licença. 
 + Software privado ou personalizado
É um software desenvolvido para um usuário (geralmente organização ou 
empresa). Esse usuário o mantém e o usa, mas não o libera para o público 
como código-fonte ou como binários.
2.2 Quais os Procedimentos Gerais e as Técnicas 
que o Inventário de Ativos de Software Deve 
Compreender?
Conforme já citado anteriormente, nesse controle o primeiro procedimento a ser 
compreendido refere-se também à visibilidade, agora dos ativos de software.
Portanto, é importante realizar uma coleta dos softwares que estão em uso na 
organização de forma precisa e detalhada, buscando registrar, por exemplo: título, 
fabricante, data da instalação, versão, objetivo de negócio, caso tenha, endereços 
de internet (URL), em qual dispositivo está instalado, quem é o responsável pelo 
software, entre outros.
Ativos de software. Fonte: Freepik (2023).
https://pt.wikipedia.org/wiki/Programa_de_computador
24Enap Fundação Escola Nacional de Administração Pública
Uma vez que a organização realizou a coleta dos ativos de software, os próximos 
passos incluem, por exemplo, a correlação e a análise da criticidade, o envolvimento 
do ativo com os processos organizacionais, assim como se ele é ou não suportado 
pela organização, com posterior tratamento específico.
Atenção! O CIS recomenda que o tratamento desses ativos de 
software não suportados já seja realizado dentro das atividades 
do Controle 2, conforme medida de segurança 2.3 - Endereçar o 
software não autorizado.
O CIS propõe o uso do protocolo SCAP (Security Content Automation Protocol) 
para apoiar na identificação de falhas e de vulnerabilidades dos softwares. Como 
citado, o SCAP não é uma ferramenta, e sim um protocolo que pode ser utilizado 
livremente pelos fabricantes de ferramentas comerciais ou não, para verificação de 
conformidades de segurança.
O “National Vulnerability Database (NVD)”, mantido pelo NIST, 
é o repositório de conteúdo do governo dos EUA com base nas 
especificações de automação de segurança do SCAP. Saiba mais 
sobre o repositório mantido pelo NVD clicando aqui. 
Apesar de o CIS citar o SCAP nos comentários do Controle 2, você pode ver com 
mais detalhes sobre esse protocolo e como utilizá-lo no Controle 4 “Configuração 
segura de ativos corporativos e software”, já que, a partir desse controle, iniciam-se 
as avaliações de segurança dos softwares.
2.2.1. Quais as Medidas de Segurança?
De forma geral, é preciso estabelecer meios de mapear quais softwares são 
suportados e autorizados para a instalação e a execução na organização (incluindo 
sistemas operacionais e aplicativos), bem como fazer a inclusão em uma lista de 
permissões, buscando, assim, garantir que somente esses softwares possam ser 
executados e acessados.
No vídeo a seguir, faremos uma breve explicação das medidas de segurança do 
Controle 2 que buscam realizar a proteção dos ativos de software.
Controle 2 do CIS Controls
https://nvd.nist.gov/
https://youtu.be/wfgVfT5SBUY
25Enap Fundação Escola Nacional de Administração Pública
De acordo com o Controle 2 do CIS, um processo de gerenciamento de ativos de 
software deve contemplar as seguintes medidas de segurança necessárias para a 
composição do inventário e para o controle desses ativos: 
1. Utilizar ferramentas automatizadas de inventário de software, conforme 
a medida de proteção 2.4 do CIS Controls v8.
De forma geral, as organizações costumam suportar e necessitar de grande 
quantidade de softwares para a operação dos seus processos organizacionais. 
Muitos desses softwares dependem de outros que às vezes não são conhecidos no 
momento da instalação. Além disso, dependendo do modelo de privilégios utilizado 
pela organização, outros softwares poderão até ser instalados sem que a área 
técnica responsável fique ciente. Entre eles estão: sistemas operacionais, aplicativos 
de processamento de textos, navegadores web, bancos de dados, leitores de pdf, 
compressores de arquivos, anti-malwares, ferramentas de colaboração, ferramentas 
de backup, virtualização, aplicações financeiras etc.
Dependendo do tamanho da organização ou da quantidade de dispositivos em 
uso na sua infraestrutura, a tarefa de coleta manual e periódica desses softwares 
torna-se uma atividade muito demorada, custosa, complexa, além de propensa a 
falhas. Dependendo do modelo de negócio e do dinamismo da organização, a coleta 
manual pode, até mesmo, ser inviável. Então, quando possível, é recomendável que 
a detecção e a coleta sejam realizadas de forma automatizada.
2. Faça uso de lista de permissões de software, bibliotecas e scripts 
autorizados, conforme as medidas de proteção 2.5, 2.6 e 2.7 do CIS 
Controls v8.
Seguindo o raciocínio citado anteriormente, a automatização do controle dos 
softwares que podem ser instalados e executados, denominados softwares 
autorizados, busca a prevenção e a redução dos riscos de não conformidades 
legais e da exposição de vulnerabilidades que podem ser exploradas por agentes 
maliciosos.
Para automatizar o controle dos softwares autorizados, podemos fazer uso de 
ferramentas que utilizam lista de permissões com a seleção dos softwares, bibliotecas 
e scripts autorizados da organização. A lista de permissões pode conter a descrição 
de softwares assim como os possíveis arquivos e/ou extensões permitidas, como.dll, ocx, evitando também o carregamento de bibliotecas que podem ser maliciosas. 
De acordo com o NIST (POWELL et al., 2022), uma lista de permissões é uma lista 
com aplicativos e componentes de aplicativos, como bibliotecas e arquivos de 
26Enap Fundação Escola Nacional de Administração Pública
configuração, autorizados a estarem instalados e/ou ativos em um host de acordo 
com uma linha de base bem definida.
Saiba mais sobre listas de permissões na página do glossário do 
NIST (acesse aqui).
Entretanto, muitos agentes maliciosos utilizam programas legítimos, como o 
PowerShell, nativo do Windows, para executar scripts maliciosos que podem 
desativar funcionalidades de proteção contra malware instalados no dispositivo ou 
até fazer o carregamento e a execução de outros softwares para permitir o ataque. 
Dessa forma, sugerimos duas ações:
• Se você não precisa do PowerShell, desative-o.
• Se você precisa do PowerShell, procure assinar os scripts que podem ser 
executados.
Saiba mais sobre a assinatura de scripts na página da Microsoft 
(acesse aqui). 
3. Identifique no inventário os ativos de software não autorizados em sua 
rede e realize o tratamento, conforme as medidas de proteção 2.2 e 2.3 
do CIS Controls v8. 
Resumidamente, isso significa determinar quais desses softwares são ou não 
suportados e, em seguida, determinar quais entrarão na lista de autorizados. Os 
suportados podem ser incluídos na lista de autorizados. Entretanto, se o software 
não for suportado, mas for necessário para o cumprimento da missão da empresa, 
faça a inclusão dele no inventário, documentando uma exceção e detalhando os 
controles de mitigação e a aceitação do risco residual. Caso contrário, o software 
não suportado deve ser classificado como não autorizado.
Em particular, é preciso haver distinção clara entre software não suportado e não 
autorizado. Veja:
 + Software não suportado
Qualquer software que não está mais recebendo atualizações do vendedor 
ou da área responsável, devido à descontinuação do produto, à falta de 
aquisição ou à renovação de licenças do produto etc. Alguns exemplos de 
https://csrc.nist.gov/glossary/term/application_allowlisting
https://learn.microsoft.com/pt-br/powershell/module/microsoft.powershell.core/about/about_signing?view=powershell-7.3
27Enap Fundação Escola Nacional de Administração Pública
controle de mitigação para o uso de um software não suportado são: (1) 
limitar a sua execução a dispositivos específicos, que preferencialmente 
estejam fora do domínio da rede corporativa; (2) limitar o seu uso em 
sub-redes específicas e isoladas do restante da infraestrutura de rede da 
organização; (3) limitar os usuários que podem usá-los etc.
 + Software não autorizado
Qualquer software que sabidamente seu uso representa um risco à 
segurança da organização. Entre eles, aqueles não suportados e sem 
documentação de exceção. Aqui podemos citar, por exemplo, os softwares 
que infringem a política de segurança e/ou de licenciamento e/ou por 
conter vulnerabilidades não aceitas que podem ser exploradas por agentes 
maliciosos.
Ao identificar um software não autorizado, a organização deverá fazer o 
tratamento o mais breve possível, por exemplo, removendo-o do dispositivo 
e/ou aplicando bloqueios que impeçam a execução. 
Atenção! Preferencialmente, trate apenas o software atualmente 
suportado como autorizado no inventário de software.
Veja algumas dicas:
• Um ativo corporativo pode vir instalado com softwares não suportados 
e desnecessários para a organização, gerando um risco de segurança 
em potencial. Então, em geral, toda aquisição deve ser encarada como 
um ponto de verificação e de atualização do inventário de software.
• O CIS disponibiliza um modelo de planilha para documentar o inventário. 
Clique aqui para visualizá-la.
• O Anexo IV do Guia do Framework de Privacidade e Segurança da 
Informação correlaciona as medidas de segurança do Controles 2 do CIS 
Controls às Normas Complementares do Gabinete de Segurança 
Institucional da Presidência da República (GSI/PR) e a alguns 
requerimentos dispostos na Lei Geral de Proteção de Dados (LGPD).
Lembre-se: uma empresa sem um inventário completo dos ativos 
de software não pode determinar se possui software vulnerável 
ou se há violações de licenciamento em potencial (CIS, 2021).
https://www.cisecurity.org/insights/white-papers/cis-hardware-and-software-asset-tracking-spreadsheet
28Enap Fundação Escola Nacional de Administração Pública
2.3. Como Criar um Inventário de Software?
Existem diversas ferramentas automatizadas de inventário de software, comerciais 
ou não. Muitas dessas ferramentas permitem gerar e personalizar relatórios que 
ajudam no controle e no gerenciamento dos softwares, além da possibilidade de 
aplicação de poderosos filtros.
2.3.1. PowerShell
O PowerShell é uma solução de automação de tarefas multiplataforma que consiste 
em um shell de linha de comando, em uma linguagem de script e uma estrutura de 
gerenciamento de configuração. O PowerShell pode ser executado no Windows, no 
Linux e no macOS.
O Windows PowerShell vem instalado por padrão em todos os Windows, começando 
com o Windows 7 SP1 e Windows Server 2008 R2 SP1. É possível identificar os 
softwares instalados em um ativo corporativo usando comandos dentro do próprio 
PowerShell. 
Saiba mais sobre o PowerShell clicando aqui. 
2.3.2. Outras Ferramentas Grátis Para a Coleta de Softwares
A seguir, confira outras ferramentas que podem ser obtidas e utilizadas gratuitamente 
para apoiar a implementação desse controle.
• Spiceworks (disponível aqui)
• OpenAudIT (disponível aqui)
2.4 Lista de permissões
Existem diversas soluções comerciais que possibilitam a implementação de uma 
lista de permissões de softwares, incluindo, por exemplo, algumas soluções de 
proteção contra malwares.
https://learn.microsoft.com/pt-br/windows-server/administration/windows-commands/powershell
https://www.spiceworks.com/free-pc-network-inventory-software
https://www.open-audit.org/
29Enap Fundação Escola Nacional de Administração Pública
O AppLocker é uma ferramenta incluída nos sistemas operacionais Windows e que 
possibilita a criação de regras para permitir ou negar a execução de softwares, 
podendo ser configurada também por meio de políticas de grupo (GPO – Group Policy 
Object). A configuração é feita pelo Editor de Diretiva de Grupo Local e é necessário 
validar se o serviço “Identidade de Aplicativo” está ativado.
Saiba mais sobre o AppLocker clicando aqui.
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
https://learn.microsoft.com/pt-br/windows/security/application-security/application-control/windows-defender-application-control/applocker/what-is-applocker
30Enap Fundação Escola Nacional de Administração Pública
Referências 
CENTER FOR INTERNET SECURITY (CIS). Guide to Enterprise Assets and Software. 
[S. l.]: CIS, 2022. Disponível em: https://www.cisecurity.org/insights/white-papers/
guide-to-enterprise-assets-and-software. Acesso em: 25 jul. 2023.
CURRION, Paul; SILVA, Chamindra de; VAN DE WALLE, Bartel. Open source software 
for disaster management. Communications of the ACM, New York, v. 50, n. 3, p. 61-
65, 2007. Disponível em: https://dl.acm.org/doi/10.1145/1226736.1226768. Acesso 
em: 25 jul. 2023.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: 
https://www.freepik.com/. Acesso em: 8 out. 2023.
GNU PROJECT/Free Software Foundation (GNU). Categorias de softwares livres 
e não livres. GNU: [s. n.], [s. d.]. Disponível em: https://www.gnu.org/philosophy/
categories.pt-br.html. Acesso em: 16 out. 2023.
OPEN SOURCE INITIATIVE. The Open Source Definition. 2006. Disponível em: 
https://opensource.org/osd/. Acesso em: 16 out. 2023. 
POWELL, M. et al. NIST SPECIAL PUBLICATION 1800-10. Protecting Information 
and System Integrity in Industrial Control System Environments:Cybersecurity 
for the Manufacturing Sector. NIST, 2022. Disponível em: https://csrc.nist.gov/pubs/
sp/1800/10/final. Acesso em: 15 mar. 2022.
31Enap Fundação Escola Nacional de Administração Pública
Proteção de Dados e Configuração 
Segura de Ativos Corporativos e 
Software: Controle 3 e 4
Neste módulo, você verá cenários, orientações e dicas de como reduzir os riscos de 
violação de dados e de como tornar seus ativos mais seguros.
Unidade 1: Proteção de Dados: Controle 3
Ao final da unidade, você deverá ser capaz de reconhecer os 
principais conceitos, procedimentos e técnicas relacionadas ao 
processo de proteção de dados, relativos ao Controle 3 do CIS 
Controls.
1.1. Por que é Importante Proteger os Dados? 
Os dados não estão mais apenas dentro da fronteira de uma empresa. Podem estar 
em dispositivos portáteis e/ou desktops da própria organização, nos computadores 
pessoais dos usuários que trabalham em casa, em plataformas em nuvem de 
colaboração como o Microsoft Teams, ou mesmo mantidos em serviços públicos online 
para armazenamento de arquivos em nuvem, como o Dropbox, o Google Drive, etc. 
Muitas dessas opções podem estar vulneráveis a várias formas de ataque cibernético.
Usar o mesmo nível de proteção e/ou tratamento 
para todos os dados, independentemente da 
importância e da confidencialidade destes, é uma 
vulnerabilidade. Usuários mal-intencionados, ou 
até descuidados, podem, por exemplo, deixar 
dados confidenciais expostos publicamente ou 
aproveitar a ausência das proteções para, de forma 
não autorizada, coletar, compartilhar, apagar ou 
mesmo realizar alterações nesses dados. Esse tipo 
de situação é comumente chamado de “violação 
de dados” (CHENG; LIU; YAO, 2017).
Violação de dados. Fonte: Freepik (2023).
 Módulo
2
32Enap Fundação Escola Nacional de Administração Pública
Em um relatório sobre os custos de violação de dados (IBM,2022), identificou-se 
que 83% das organizações sofreram mais de uma violação de dados durante o ano 
de 2022, com impactos na ordem de milhões de dólares, conforme gráfico a seguir. 
Em 45% dessas violações, identificou-se que ocorreram em soluções baseadas na 
nuvem.
Custo de uma violação de dados, mensurado em milhões de dólares. Fonte: adaptado de IBM (2022)
Já em uma pesquisa realizada pela Thales (2023), organização especializada na área 
de cibersegurança, foram apontadas falhas humanas na aplicação dos controles 
preventivos sobre os dados corporativos!
33Enap Fundação Escola Nacional de Administração Pública
Falhas humanas em vazamento de dados. Fonte: Adaptado de Thales (2023). 
A Rubrik, empresa colaboradora do CIS na área de cibersegurança, em sua pesquisa 
com dados de 2022 sobre o atual cenário de ameaças cibernética, sinalizou (Rubrik, 
[s. d.]):
• Os dados estão crescendo mais rápido e em mais lugares do que 
pensamos. Em uma organização típica, o volume dos dados irá triplicar 
nos próximos cinco anos.
• Muitas vezes, as organizações não sabem que estão sob ataque até que 
os atacantes as informem. 
• 96% dos líderes de TI e de segurança estão preocupados se as suas 
organizações terão capacidade para manter a continuidade dos negócios 
após um ataque cibernético.
Saiba mais sobre a pesquisa da Rubrik, clicando aqui. 
Diante desse cenário, é importante que as organizações mantenham proativamente 
a conformidade e o controle sobre os seus dados, entendendo os impactos em 
casos de violações, gerando e mantendo os procedimentos de proteção adequados 
e, não menos importante, empregando esforços para obter a colaboração de seus 
https://www.rubrik.com/content/dam/rubrik/en/resources/report-review/rpt-rubrik-zero-labs-sprint-report.pdf
34Enap Fundação Escola Nacional de Administração Pública
stakeholders nessa questão. Nesse sentido, há um pensamento relativamente 
popular no tema Segurança Cibernética que devemos sempre ter em mente: 
Seja proativo em sua postura de segurança.
Na linha da conformidade, no Brasil, a Lei Geral de Proteção de Dados (LGPD – Lei nº 
13.709/2018) dita os regramentos gerais para a proteção dos dados pessoais, sejam 
estes para organizações da iniciativa privada seja da pública. 
O Artigo 46 da LGPD determina que:
Os agentes de tratamento devem adotar medidas de segurança, técnicas e 
administrativas aptas a proteger os dados pessoais de acessos não autorizados 
e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação 
ou qualquer forma de tratamento inadequado ou ilícito. (BRASIL, 2018). 
Já o Artigo 52 adverte que “os agentes de tratamento de dados, em razão das 
infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes 
sanções administrativas aplicáveis pela autoridade nacional”. 
Em julho de 2023 a Autoridade Nacional de Proteção de Dados (ANPD), autarquia 
de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, 
responsável por zelar pela proteção de dados pessoais e por regulamentar, 
implementar e fiscalizar o cumprimento da LGPD no Brasil, aplicou a primeira multa 
por descumprimento à referida lei (veja aqui).
Entretanto, uma penalidade financeira por não conformidade não é o único impacto 
relacionado à proteção dos dados. Violações de dados podem gerar prejuízo à 
imagem e à reputação da organização, impactando nas receitas e gerando também 
despesas não planejadas para o tratamento.
 O Comitê Central de Governança de Dados, composto por 
representantes de organizações da sociedade atuantes na 
temática de Proteção de Dados Pessoais, disponibiliza um 
documento com orientações de boas práticas aos órgãos e às 
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd
35Enap Fundação Escola Nacional de Administração Pública
entidades da Administração Pública Federal direta, autárquica e 
fundacional para as operações de tratamento de dados pessoais, 
conforme previsto no Art. 50 da LGPD. Acesse aqui.
1.2. Quais Procedimentos Gerais e Técnicas a 
Proteção de Dados Deve Compreender?
Inicialmente, é importante identificar quais dados a sua organização produz, retém 
e consome, bem como quão críticos eles são para os processos e para a missão da 
organização.
Buscando evitar a divulgação não autorizada, a alteração ou o uso 
indevido dos dados, a primeira medida recomendada pelo CIS é o 
estabelecimento e a manutenção de um processo de gestão de 
dados para todo o seu ciclo de vida, com tarefas e procedimentos 
que abordem a confidencialidade e a criticidade dos dados, o 
processamento e o armazenamento, os alinhamentos legais e 
regulatórios, o proprietário dos dados e como os dados devem 
ser classificados, manuseados, retidos e/ou descartados. 
Alguns pontos de atenção na criação desse processo são sinalizados pelo CIS no 
post “How to Create a Data Protection Plan” (disponível aqui). 
Cumpre reforçar que a LGPD define papéis e responsabilidades quanto ao tratamento 
de dados pessoais. Portanto, a organização deverá se atentar e incorporar ao 
processo de gestão de dados as disposições relacionadas contidas na lei.
A Secretaria de Governo Digital disponibiliza um Guia de 
Elaboração de Inventário de Dados Pessoais que tem por 
finalidade apresentar orientações com o intuito de auxiliar os 
órgãos e as entidades da Administração Pública Federal, direta, 
autárquica e fundacional a realizar o levantamento e o registro 
dos dados pessoais tratados no âmbito institucional. (Disponível 
aqui).
Importante ainda ressaltar que os dados organizacionais devem ser categorizados 
de acordo com o nível de sensibilidade e relevância, podendo ser rotulados como 
exemplificado pelo CIS em: “Sensível”, “Confidencial” e “Público”. A classificação 
de dados usando critérios rigorosos e bem definidos ajuda a distinguir dados 
confidenciais e críticos dos demais, facilitando a implementação das proteções de 
segurança.
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf
https://www.cisecurity.org/insights/blog/how-to-create-a-data-protection-planhttps://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_inventario_dados_pessoais.pdf
36Enap Fundação Escola Nacional de Administração Pública
Nível de sensibilidade.
Após essa categorização, com base no plano de gestão de dados, será necessário 
realizar um inventário preciso dos dados organizacionais, incluindo o mapeamento 
do fluxo desses dados, compreendendo, pelo menos, os dados críticos para a 
operação e a missão da organização. Nesse momento, será essencial identificar 
quais são esses dados produzidos, quem consome e como são consumidos, como 
são retidos e descartados, bem como os possíveis impactos em caso de “violação de 
dados”.
Com os dados inventariados, analisados e documentados, a organização poderá 
avaliar as medidas de segurança que são necessárias para reduzir os riscos de 
violação.
1.2.1. Quais as Medidas de Segurança?
De forma geral, é preciso também estabelecer meios técnicos para conseguir realizar 
a proteção dos dados.
No vídeo a seguir, faremos uma breve explicação das medidas de segurança do 
Controle 3 que buscam realizar a proteção dos dados.
Controle 3 do CIS Controls
https://youtu.be/HuvW_s9dw5k
37Enap Fundação Escola Nacional de Administração Pública
Em linhas gerais, para a proteção dos dados, as seguintes medidas de segurança 
técnicas são recomendadas pelo CIS:
1. Configurar listas de controle de acesso aos dados, conforme medida de 
proteção 3.3 do CIS Controls v8.
Aqui estamos falando de permissão de acesso, limitando o acesso do usuário com 
base na necessidade de conhecimento. O usuário deverá ter uma razão legítima 
para acessar, por exemplo, um determinado dado, uma informação, um sistema 
de arquivo, um banco de dados e aplicações. Em seguida, podemos aplicar o 
princípio do privilégio mínimo para granular mais o acesso. Se o usuário precisa 
apenas consultar determinado dado, não serão permitidas ações para alteração e/
ou exclusão.
2. Realizar a retenção e o descarte seguro dos dados, conforme medida de 
proteção 3.4 e 3.5 do CIS Controls v8.
Nessas medidas, é preciso atender às diretrizes que estão no processo de gestão 
de dados quanto à retenção e ao descarte dos dados. É a implementação prática, 
com os prazos mínimos e máximos de retenção, e o método de descarte dos dados, 
sempre vinculados à sua sensibilidade e criticidade.
Você sabia que os agentes maliciosos podem vasculhar um lixo 
de uma organização em busca de dados e informações sensíveis 
e/ou confidenciais? Essa técnica é chamada de Dumpster Diving. 
Embora essa prática possa parecer estranha, na verdade é um 
método de ataque muito comum!
3. Criptografar dados em trânsito e repouso, conforme medidas de 
proteção 3.10 e 3.11 do CIS Controls v8.
Primeiro, veja a definição de criptografia do Glossário de Segurança da Informação, 
do Gabinete de Segurança Institucional da Presidência da República:
Criptografia é a arte de proteção da informação, por 
meio de sua transformação em um texto cifrado 
(criptografado), com o uso de uma chave de cifragem 
e de procedimentos computacionais previamente 
estabelecidos, a fim de que somente o(s) possuidor(es) 
da chave de decifragem possa(m) reverter o texto 
https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1
38Enap Fundação Escola Nacional de Administração Pública
criptografado de volta ao original (texto pleno). A 
chave de decifragem pode ser igual (criptografia 
simétrica) ou diferente (criptografia assimétrica) da 
chave de cifragem. (BRASIL, 2021)
Em linhas gerais, os dados digitais podem estar em três estados: em repouso, em 
trânsito ou em uso, quando está sendo processado. Contudo, nesse controle, vamos 
nos concentrar nos dados em repouso e nos dados em trânsito.
Para esse tema, utilizaremos também como referência o guia desenvolvido pelo CIS 
(2023), chamado The Essential Guide to Election Security. Nesse guia, o CIS detalha na 
prática diversas medidas recomendadas.
Veja a diferença entre dados em repouso e dados em trânsito:
 + Dados em repouso
Para o CIS (2021), quaisquer dados que não estejam sendo ativamente 
transferidos podem ser considerados como “dados em repouso”. Isso 
inclui dados armazenados nos discos rígidos dos dispositivos de usuários 
finais, em servidores, storages, pendrives e/ou em provedores de serviços de 
nuvem terceirizados. Importante citar que esses dados em repouso podem 
estar basicamente em um formato estruturado (ex.: dados armazenados 
em bancos de dados) ou não (ex.: textos, vídeos, imagens e áudios).
Atividades maliciosas contra dados em repouso geralmente incluem 
tentativas de obter acesso físico ao hardware em que os dados são 
armazenados e, em seguida, de realizar a exfiltração ou o comprometimento 
desses dados.
 + Dados em trânsito
Já os dados considerados “dados em trânsito” estão se movendo entre 
dispositivos, como em redes privadas ou na internet, podendo, durante essa 
transferência, ficarem expostos a interceptações não autorizadas. O ataque 
chamado de man-in-the-middle é bem comum e se caracteriza basicamente 
por um agente malicioso se posicionando entre dois dispositivos e 
interceptando os dados trafegados, seja para ter um acesso não autorizado, 
seja para manipular os dados.
Para reduzir os riscos de violações, ou interceptações não autorizadas dos dados, 
faz-se o uso da criptografia.
39Enap Fundação Escola Nacional de Administração Pública
Mas, por onde começar? Novamente, deveríamos centrar as ações de proteção 
em dados confidenciais e/ou críticos para a organização. É preciso se basear no 
processo de gestão de dados para que se possa priorizar a aplicação dessa medida. 
A partir da identificação do tipo de dispositivo que necessitará da criptografia dos 
dados, a organização deverá selecionar a tecnologia para essa aplicação. Existem 
várias soluções no mercado, incluindo soluções comerciais e gratuitas.
Entretanto, a implementação incorreta de criptografia, o uso de algoritmos de 
criptografia fracos ou o gerenciamento inseguro de chaves de criptografia podem 
gerar vulnerabilidades e riscos de violação de dados. Portanto, avalie bem as 
características técnicas de cada solução.
Atenção! Preste atenção no dispositivo em que os seus logs de 
auditoria e o seu backup estão armazenados e avalie, quando 
possível, a aplicação da criptografia. É muito comum, nas 
técnicas de ataques, que os agentes maliciosos busquem esses 
ativos para realizar os comprometimentos e garantir o sucesso 
das suas atividades.
4. Segmentar o processamento e o armazenamento de dados com base na 
confidencialidade e na criticidade dos dados, conforme medida de 
segurança 3.12 do CIS Controls v8.
As medidas de proteção devem ser priorizadas e estar baseadas no processo de 
gestão de dados. Portanto, os ativos corporativos e de software que fazem parte da 
operação e da missão da organização e/ou que sustentam os dados confidenciais e/
ou críticos devem ser priorizados. 
Nesse contexto, podemos entender que os ativos não priorizados poderão conter 
vulnerabilidades ainda não tratadas. Dessa forma, é possível que explorações 
sejam realizadas em ativos menos críticos para se conseguir ter o acesso aos dados 
confidenciais e críticos da organização. A técnica de ataque que se pode encaixar 
nesse exemplo é conhecida como “movimento lateral”, em que um agente malicioso 
se aproveita das falhas e/ou dos direitos de acesso atuais para navegar, ou se 
movimentar, pelo ambiente.
“Idealmente, a rede deveria ser separada para que os 
ativos corporativos do mesmo nível de sensibilidade 
estejam na mesma rede e separados dos ativos 
corporativos com diferentes níveis de sensibilidade.” 
(CIS, 2021).
40Enap Fundação Escola Nacional de Administração Pública
5. Auditar e monitorar o acesso aos dados confidenciais e/ou críticos, 
conforme medidas de proteção 3.13 e 3.14 do CIS Controls v8.
De maneira geral, os dados confidenciais e/ou críticos da organização estão aptos 
a serem consultados, modificados, apagadose/ou até transmitidos. Entretanto, 
essas ações podem ser realizadas de forma não autorizada e/ou com intenções 
maliciosas, aproveitando, por exemplo, vulnerabilidades nos ativos corporativos e 
de softwares, falhas nas permissões de acesso e/ou por descuido também. Mas, 
por vezes, a organização fica sabendo dessas ações não autorizadas apenas quando 
ocorre um incidente de segurança.
Mais uma vez, com base no processo de gestão de dados, 
faz-se necessário aplicar medidas para o controle dos dados 
confidenciais e/ou críticos seja pelo registro dos acessos e das 
atividades realizadas nos dados, que, por exemplo, pode ser 
realizado por funções do próprio sistema e/ou aplicação, seja por 
procedimentos e técnicas de proteção para prevenir possíveis 
perdas e vazamentos.
O conceito utilizado no mercado para tratar de forma preventiva os possíveis 
vazamentos, perdas e/ou exfiltrações dos dados confidenciais e/ou críticos é 
chamado de DLP (Data Loss Prevention). Na prática, um DLP atua escutando, 
analisando e identificando esses dados no ambiente e aplicando os controles de 
segurança necessários e configurados. Por exemplo, o DLP poderá bloquear o 
acesso e/ou a transferência de um dado, estruturado ou não, por um usuário que 
não seja autorizado.
Entretanto, para que essa solução seja eficaz, é necessário ter precisão na seleção 
dos dados a serem “monitorados” pelo DLP, evitando alertas falsos e/ou bloqueios 
de atividades legítimas que podem impactar na operação da organização. Em linhas 
gerais e dependendo da estratégia da corporação e do processo de gestão de dados, 
um DLP poderá analisar os dados em trânsito, escutando o tráfego da rede, assim 
como os dados em repouso, por exemplo, em apenas um ativo corporativo.
Dica: O Anexo IV do Guia do Framework de Privacidade e 
Segurança da Informação (disponível aqui) correlaciona as 
medidas de segurança do Controles 3 do CIS Controls às Normas 
Complementares do Gabinete de Segurança Institucional da 
Presidência da República (GSI/PR) e a alguns requerimentos 
dispostos na Lei Geral de Proteção de Dados (LGPD).
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_framework_psi.pdf
41Enap Fundação Escola Nacional de Administração Pública
1.3. Como Proteger seus Dados 
Existem diversas ferramentas e técnicas que podem ser utilizadas para a proteção 
preventiva de dados, comerciais ou não. Muitas dessas ferramentas necessitam de 
conhecimentos mais específicos. Contudo, faremos aqui uma breve explicação de 
algumas ferramentas para a criptografia, a fim de fornecer uma visão geral e ajudar 
em avaliações posteriores.
1.3.1. Criptografia de Dados em Repouso
1.3.1.1 Windows BitLocker
O BitLocker é uma tecnologia de criptografia nativa e específica para ambientes 
Windows que protege seus dados contra acesso não autorizado, criptografando sua 
unidade e exigindo senha de acesso.
Para configurar o BitLocker no Windows 10, por exemplo, basta clicar em Iniciar, 
digitar BitLocker e depois clicar em Gerenciar o BitLocker. Uma tela semelhante a 
de baixo será aberta. Clique em “Ligar BitLocker” e siga as instruções.
Tela inicial do BitLocker. Fonte: Autoria própria.
Pontos de atenção com relação à ativação e ao uso do BitLocker:
 + Dispositivos com recurso TPM (Trusted Platform Module)
O TPM é um chip instalado em diversos dispositivos e que inclui vários 
mecanismos adicionais de segurança. Caso o seu dispositivo não tenha um 
chip TPM (Trusted Platform Module) instalado, será necessário configurar 
42Enap Fundação Escola Nacional de Administração Pública
preliminarmente o BitLocker para uso sem as funcionalidades do TPM, por 
meio do Editor de Diretiva de Grupo Local.
 + Chave de recuperação
Ao ativar o BitLocker, será solicitada a geração de uma chave de recuperação. 
Essa chave pode ser utilizada caso seja perdida ou esquecida a senha de 
acesso. Salve essa chave em um lugar seguro e lembre que, se um agente 
malicioso conseguir acesso à chave de recuperação, também conseguirá 
acessar o dispositivo criptografado.
 + Padrão do BitLocker
O BitLocker por padrão é usado para proteger o seu dispositivo, entretanto, 
se um agente malicioso acessar um dispositivo sem a proteção do BitLocker 
e/ou de outra ferramenta de criptografia, poderá, por exemplo, ativar o 
BitLocker, criptografar o dispositivo e manter em seu poder a senha e a 
chave de recuperação. Então, se não for usar o BitLocker, crie procedimentos 
para ele não ser ativado.
Saiba mais como configurar o BitLocker clicando aqui. 
Para saber mais sobre TPM, clique aqui. 
1.3.1.2 VeraCrypt
VeraCrypt é um software multiplataforma gratuito de criptografia de disco, de código 
aberto, para Windows, Mac OSX e Linux. Semelhante ao BitLocker, entretanto com 
características próprias que deverão ser analisadas pontualmente.
Para baixar e saber mais sobre o VeraCrypt, clique aqui.
Acesse o tutorial básico para a instalação do VeraCrypt clicando 
aqui.
1.3.1.3 Apple FileVault
O Apple FileVault é uma ferramenta de criptografia nativa e específica dos sistemas 
operacionais Mac.
https://www.dell.com/support/kbdoc/pt-br/000125409/como-habilitar-ou-desabilitar-o-bitlocker-com-tpm-no-windows
https://learn.microsoft.com/pt-br/windows/security/hardware-security/tpm/trusted-platform-module-overview
https://www.veracrypt.fr/en/Home.html
https://veracrypt.eu/en/Beginner's%20Tutorial.html
43Enap Fundação Escola Nacional de Administração Pública
Saiba mais sobre o Apple FileVault clicando aqui.
1.3.1.4 Linux dm-crypt
O dm-crypt é um subsistema de criptografia de disco transparente para dispositivos 
em bloco disponível em ambientes Linux.
Mais informações sobre o uso do dm-crypt podem ser acessadas 
aqui.
1.3.2. Criptografia de Dados em Trânsito
Para impedir a interceptação do tráfego por agentes maliciosos, é necessário aplicar 
uma criptografia dos dados durante o fluxo pela rede. Para criptografar os dados 
confidenciais e/ou críticos da organização que estão em trânsito, algumas ações são 
recomendadas, como:
• 1. Faça uso de certificados SSL (HTTPS, e não HTTP) nos servidores que 
armazenam as aplicações. Configure protocolos de segurança 
atualizados, como o TLS v1.2 ou o TLS 1.3. Os protocolos TLS 1.1 ou TLS 
1.0 são obsoletos e vulneráveis. Avalie também as cifras de segurança. 
Clique aqui para ver mais sobre protocolos e cifras de segurança.
• 2. Use FTPS, SFTP, SCP para a transferência de dados, e não FTP ou RCP. 
De preferência, faça a desativação dessas funcionalidades.
• 3. Use SSH, e não Telnet para fazer as conexões remotas. De preferência, 
faça a desativação do Telnet.
• 4. Exija de seus provedores e parceiros as mesmas recomendações 
acima.
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima! 
https://support.apple.com/pt-br/guide/deployment/dep82064ec40/web
https://www.ibm.com/docs/en/cloud-private/3.1.1?topic=installation-encrypting-volumes-by-using-dm-crypt
https://www.cloudflare.com/pt-br/learning/ssl/why-use-tls-1.3/
44Enap Fundação Escola Nacional de Administração Pública
Referências 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.
BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos (MGI). Guia do 
Framework de Privacidade e Segurança da Informação. Programa de Privacidade 
e Segurança da Informação (PPSI). versão 1.1.2. Brasília, DF: SGD, 2023. Disponível 
em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/
guia_framework_psi.pdf. Acesso em: 2 out. 2023.
BRASIL. Portaria GSI/PR nº 93. Aprova o glossário de segurança da informação. 
Brasília, DF: Presidência da República, 2021. Disponível em: https://www.in.gov.br/
en/web/dou/-/portaria-gsi/pr-n-93-de-18-de-outubro-de-2021-353056370. Acesso 
em: 25 jul. 2023.
CENTER FOR INTERNET SECURITY (CIS). CIS Controls v8. [S. l.]: CIS, 2021. Disponível